Intercloud Fabric 向け Cisco vPath および vServices リファレンス ガイド
Cisco vPath および vServices の概要
Cisco vPath および vServices の概要
発行日;2015/07/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 1MB) | フィードバック

目次

Cisco vPath および vServices の概要

Cisco vPath および vServices に関する情報

Cisco vPath の概要

仮想サービス(vServices)の概要

仮想サービス アーキテクチャ

Cisco vPath および仮想サービス アーキテクチャの利点

ダイナミック サービス プロビジョニング

サービスのバインド

サービス オーバーレイ

モビリティ

マルチテナント機能

サービスの高速化とプログラマビリティ

Intercloud Fabric ファイアウォールのバージョンのサポート

Cisco vPath および vServices の概要

この章では、Cisco vPath および vServices の概要について説明します。具体的な内容は次のとおりです。

「Cisco vPath および vServices に関する情報」

Cisco vPath および vServices に関する情報

ここでは、Cisco vPath および vServices の概要について説明します。次の項目を取り上げます。

「Cisco vPath の概要」

「仮想サービス(vServices)の概要」

「仮想サービス アーキテクチャ」

「Cisco vPath および仮想サービス アーキテクチャの利点」

Cisco vPath の概要

シスコ仮想サービス データ パス(vPath)は、Intercloud Switch に組み込まれているサービス インテリジェンスです。

Cisco vPath は、セグメント化ファイアウォールやエッジ ファイアウォールなどのネットワーク サービスの実装に必要なフォワーディング プレーンの抽象化とプログラマビリティを実現します。vPath は Intercloud Switch の仮想イーサネット モジュール(VEM)に組み込まれています。仮想マシン外または仮想マシン間のトラフィックをインターセプトし、処理のために、そのトラフィックを Intercloud Fabric ファイアウォールなどの適切な vservice ノード(VSN)にリダイレクトします。Cisco vPath はオーバーレイ トンネルを使用して、レイヤ 3 隣接の仮想サービス ノードにトラフィックを誘導します。

Cisco vPath の基本的な機能として、vservice へのトラフィックのダイレクションがあげられます。基本機能とは別に、Cisco vPath には、トラフィック オフ ロードやアクセラレーションなどの高度な機能も含まれています。

Cisco vPath は、仮想マシン外のトラフィックであるか、仮想マシン間のトラフィックであるかに関わらず、トラフィックを仮想サービス ノードに誘導します。vservice では、ポリシーの評価と適用のために初期パケット処理が行われます。ポリシー決定が行われると、仮想サービス ノードは残りのパケットのポリシー適用を Cisco vPath にオフロードできます。

図 1-1 シスコ仮想サービス データパス(vPath)

 

仮想サービス(vServices)の概要

次の仮想サービスが Cisco vPath を使用する Intercloud Switch によってサポートされます。

Intercloud Fabric ファイアウォール: 詳細なゾーン ベースのセキュリティ ポリシーにより、信頼できるマルチテナント アクセスを VM に提供します。Intercloud Fabric ファイアウォールは複数のサーバにセキュリティ ポリシーを提供します。また、ワークロード バランシング、可用性、または拡張性に関する物理サーバ間の VM モビリティをサポートします。

仮想サービス アーキテクチャ

図 1-2 仮想サービス アーキテクチャ

 

仮想サービス アーキテクチャは、仮想サービスを配信するためのフレームワークを提供します。Cisco vPath はこのアーキテクチャの主要コンポーネントであり、Intercloud Switch VEM に組み込まれています。vPath は、サービス トラフィック分類子およびサービス ディスパッチャとして機能します。サービスを必要とするトラフィックを選択し、それをサービス提供用の適切な仮想サービス ノードに誘導します。Cisco vPath は、テナントの分離を実現するために、テナントの境界ですべての機能を実行します。

仮想サービス アーキテクチャのその他のコンポーネントは次のとおりです。

Cisco Prime Network Services Controller(Prime NSC)は、デバイスとポリシーの管理、および統合を担当するマルチテナント ポリシー マネージャです。Prime NSC は、仮想サービス アーキテクチャの全体的な管理と調整を行うコンポーネントです。

Intercloud Fabric VSM は、Cisco vPath および Cisco Prime NSC とのすべてのインタラクションを担当します。Intercloud Switch の仮想サービス エージェントは、トラフィックの分類、トラフィック リダイレクション、トラフィック オフ ロード、アクセラレーションなど、Cisco vPath のすべての制御面を担当します。

vService はサービス処理を担当します。サポートされている各種仮想サービスとして、Intercloud Fabric ファイアウォール(VSG)があげられます。vservices には同じ、または異なる仮想サービス タイプのインスタンスを多数含めることができます。

Cisco vPath および仮想サービス アーキテクチャの利点

Cisco vPath および仮想サービス アーキテクチャには、次のような利点があります。

「ダイナミック サービス プロビジョニング」

「サービスのバインド」

「サービス オーバーレイ」

「モビリティ」

「マルチテナント機能」

「サービスの高速化とプログラマビリティ」

ダイナミック サービス プロビジョニング

Cisco vPath は、サービス プロファイルを介して仮想マシンのダイナミック プロビジョニングをサポートし、サービス プロファイルが vMotion イベントに追随するようにします。ICF ファイアウォール(VSG)では、サービス プロファイルはセキュリティ プロファイルと呼ばれます。サービス プロファイルではサービス パラメータを設定できます。

サービス パラメータは、サービス プロファイルで設定されてから、ポート プロファイルにアタッチされます。仮想マシンがインスタンス化されてポート プロファイルにアタッチされると、サービス プロファイルも仮想マシンに動的にアタッチされます。関連付けが完了すると、仮想マシンが起動したときやサーバ間を移動したときに、すべてのポリシーがその仮想マシンに対して動的にプロビジョニングされます。

仮想サービス アーキテクチャはコラボレーション マネジメント モデルをサポートしています。このモデルでは、ネットワーク管理者、サーバ管理者、サービス管理者の役割と責任が明確に定義されています。

図 1-3 ダイナミック サービス プロビジョニング

 

サービスのバインド

ダイナミック サービス プロビジョニングにより、サービス プロファイルは、仮想マシンがインスタンス化されるとその仮想マシンに関連付けられます。その後、Cisco vPath によって、サービス プロファイルにサービス プロファイル識別子が割り当てられます。このようにして、Cisco vPath は、異なる仮想マシンに関連付けられているトラフィックに異なるサービス プロファイルをバインドできるようにします。仮想サービス ノードはサービス プロファイル識別子を使用して、トラフィックへの適用やサービスの提供に適したポリシーを選択します。

サービス オーバーレイ

Cisco vPath はオーバーレイ トンネルを使用して、仮想サービス ノードにトラフィックを誘導します。仮想サービス ノードはレイヤ 3 隣接の場合もあります。オーバーレイ トンネル モデルは、仮想サービス ノードにモビリティをもたらします。このモデルは、レイヤ 2 展開で使用される VLAN などのトランスポート テクノロジーには依存していません。次の図に示すように、トンネルは L4 です。UDP カプセル化内の MAC は、L4 トンネルで使用されます。

図 1-4 サービス オーバーレイ

 

モビリティ

仮想サービス アーキテクチャは仮想マシンにモビリティをもたらします。ダイナミック サービス プロビジョニングにより、仮想マシンのトラフィック フローは適切な仮想サービス ノードで継続的に処理されます。

マルチテナント機能

Cisco vPath はテナント対応型であり、さまざまなテナントに属している仮想サービス ノードに対応します。仮想サービス アーキテクチャにより、Cisco vPath はさまざまなテナント間の重複する IP アドレスをサポートできます。Cisco vPath は、仮想マシンからのトラフィックを同じテナント内の仮想サービス ノードに誘導することで、テナントの分離を実現します。

図 1-5 マルチテナント機能

 

サービスの高速化とプログラマビリティ

Cisco vPath は、仮想マシン外のトラフィックであるか、仮想マシン間のトラフィックであるかに関わらず、トラフィックを仮想サービス ノードに誘導します。仮想サービス ノードは、リダイレクトされたトラフィックの処理を続行することも、Cisco vPath にトラフィックをオフロードすることもできます。オフロードされたトラフィックは Cisco vPath によって処理され、これにより、Intercloud Switch のサービス配信のパフォーマンスが向上します。

また、Cisco vPath には、仮想サービス ノードの指定に従ってトラフィックにアクションを適用する機能もあります。仮想サービス ノードは、スイッチでスタティック設定を行わずにリバース トラフィックをインターセプトするか、一部のトラフィックをオフロードするかを選択できます。

図 1-6 サービスの高速化

 

Intercloud Fabric ファイアウォールのバージョンのサポート

Intercloud Fabric Firewall (VSG) Release 5.2(1)VSG2(1.1) 以降は、次のプロバイダー プラットフォームでサポートされます。

Amazon Web Services(AWS)

Microsoft Azure

Cisco Hybrid Cloud Bundle(Dimension Data と提携)

Cisco Cloud Service

CloudStack