テクノロジー概要

---

Cisco Application Control Engine：仮想パーティショニングの技術概要

---

今日の業務サービスに必要なアプリケーションを適切に導入するには、ネットワークの仮想化が最も重要な成功要因となります。最前線のデータセンターにおけるニーズ増大に対応するため、Cisco® ACE Application Control Engine Module はレイヤ4 〜 7 のサービスに対して堅牢な仮想化ソリューションを提供します。この資料では、データセンター ソリューションの導入で Cisco ACE の仮想パーティションを利用することで得られる利点について説明します。

範囲

この資料では仮想化による利点とともに、実装前に考慮しておくべき要点と実装のガイドラインについても説明します。この資料では、Cisco ACE Application Control Engine Module を効果的に設定して、スケーラビリティ、可用性、フェイルオーバーの機能と仮想パーティショニングによる利点を活かすことで、エンドユーザにベストなサービスを提供するための方法について説明します。

対象読者

この資料は、コンテンツ スイッチングとネットワーク設計について熟知していて、Cisco ACE モジュール内部で仮想パーティションを実装する方法について関心があるネットワーキング技術者向けの技術資料です。

業界の課題

従来のデータセンターは通常、レイヤ 2 〜 3 のネットワーキング デバイスとともに、ロード バランサやイントラネット用 DMZ ファイアウォールなどのレイヤ 4 〜 7 のデバイスで構成されています。これらのデバイスは業務グループや事業部門、あるいはアプリケーション階層の間で共用したり、専用化したりすることができます。このようなデバイスの導入形態は、企業の業務構造、およびサービスやアプリケーション インフラの要件によって異なります。データセンターでは、新しいビジネス要件に対応するために、従来のソリューションを拡張する必要があるため、導入面と運用面でさまざまな非効率性を生み出す傾向にあります。

• 新しいサービスには、新しい物理的な導入や検証過程のほか、専用リソースが必要
• 新しい物理的な導入には、配線と電源の増設が必要
• ワークフロー上で複雑な調整が発生して導入速度が低下
• 個別のネットワーク デバイスを維持管理しなければならないため、運用コストが増加
• 装置を十分に利用しきれないことがよくある

企業に及ぼす影響

新しいサービスを導入する際には、専用ソリューション用に新たに装置をプロビジョニングしたり、共有環境内の社内グループ間の調整を行ったりする必要があります。このような調整は、導入の遅れや実働システムへのリスク増大を招く恐れがあります。いずれの場合も、多くの企業は複数の製品ソリューションを導入し、複数のベンダーを利用しています。さらに、利用する製品が複数ある場合は、選択したアプリケーションを実際に展開する前にセットアップ、テスト、検証する時間が余分に必要になります。このプロセスの遅れにより、物理コンポーネントのコストがすぐに超過したり、日常的な運用コストが増大したりする場合があります。

IT 予算を圧迫するその他の要因には、以下が挙げられます。

• 構成方法が複雑で、1 つのサービスに複数のデバイスが必要
• アプリケーション設計の維持管理に高度な知識や高額なリソースが必要
• 高額なアプリケーション インフラ
• 企業内の複数のグループを含めた複雑なワークフロー
• 新しいビジネス要件への対応の遅れ
• 予備品の在庫確保

導入プロセスが十分に整った環境であっても、キャパシティ プランニングの標準的な手法を用いることにより、コスト効率が悪くなる場合があります。将来的な拡張に備えるには、想定シナリオにおけるネットワーク デバイスの利用率を 60 〜 75% に抑えておきます。単一インスタンスを採用することが望ましい方法ですが、定常的に設計規模とビジネス ニーズが変化するにつれて、未使用リソースの割合がデバイス全体を上回る場合があります。たとえば、データセンターに 4 台のロード バランサが導入されていて、すべてのロード バランサが理想的な利用率である 75% で稼働している場合、ロード バランサ専用機が 1 台分が未使用であることに等しくなります。仮想パーティショニングを利用すると、これら 4 台のロード バランサは同一の物理デバイスを共有でき、将来の拡張に備えて同じ予備領域を共有できます。

シスコのソリューション

Cisco ACE Application Control Engine Module は、安全なアプリケーション配信をめざした仮想化ソリューションを提供します。このモジュールは従来どおりに、シングルユーザ デバイスとして利用できますが、データセンターにとって真の利点となっているのは、このモジュールの仮想パーティショニング機能です。この仮想パーティショニングにより、設定内容、ディスク スペース、トラフィック処理が完全に分離されます。1 つの仮想パーティションは、Cisco ACE モジュールの仮想インスタンスとして動作します。仮想パーティションには、対応する設定内容と統計情報が存在します。仮想パーティションには、トラフィックの分類方法と、分類したそれぞれのトラフィックに対して実行するアクションが定義されます。各仮想パーティションには VLAN が割り当てられているため、明確に定義された入力/出力アクセスが提供されます。このモジュールには革新的なリソース割り当てマネージャが搭載され、仮想パーティションごとの比率とメモリ使用率に基づいて、システム リソースを制御できます。このリソース割り当てマネージャは各パーティションのパフォーマンス、キャパシティ、スケーラビリティを定義します。これらのリソースの割り当て方法には、固定、オーバーサブスクリプション、「free-for-all」の 3 種類が用意されています。

この包括的な仮想化ソリューションにより、Cisco ACE モジュールは、数多くの多様な顧客導入のニーズを満たすことができます。仮想パーティションは現行のネットワーク運用構造でミラーリングが可能なほか、どのような企業のビジネス モデルにも対応でき、マネージド/非マネージド サービスの提供などを実現します。業界をリードするスループット、秒あたりの接続数などのリソースを備えた 4 Gbps/8 Gbps/16 Gbps Cisco ACE モジュールは、仮想化を利用することで、論理的な仮想パーティションに分割することが可能となり、1 つのデータセンター内で複数のアプリケーションをサポートしながら、アプリケーション階層間のセキュリティを確保します。

この仮想化ソリューションを利用することにより、共有または専用の複数環境を 1 つのデバイスとして統合することができます。このような統合は、既存のCisco Catalyst® 6500 シリーズ スイッチを利用したネットワーク アーキテクチャに Cisco ACE モジュールをインストールし、VLAN グループを使用して、既存の VLAN 環境に簡単に導入することができます。モジュール内部で、これらの VLAN を目的の仮想パーティションに割り当てることにより、Cisco ACE モジュール内の仮想パーティション間で VLAN を完全に分離することができます。

VLAN を仮想パーティションに割り当てると、リソース クラスも適用される場合があります。Cisco ACE モジュールのリソースを仮想パーティションに割り当てる方法は、リソース クラスで定義します。リソース クラスは特定の仮想パーティションに対して、クライアント トラフィックを処理するためのキャパシティとスケーラビリティを定義します。この革新的な手法により、Cisco ACE モジュールは、ソフトウェアによる制限を仮想パーティションに適用することが可能になり、実働ネットワーク内の特定の仮想パーティションのキャパシティをリアルタイムに増減できます。このモジュールは最大 100 の独立したリソース クラスをサポートし、250 の仮想パーティションすべてがこれらのクラスを共有できます。リソース割り当てをきめ細かく管理することにより、リソースをトラフィックに最適に適用することが可能になり、管理の分離が実現されるため、あらゆるデータセンターのニーズを満たすことができます。

Cisco ACE モジュールをステートフルな冗長化ソリューションとしてペアで導入すると、ハイ アベイラビリティを実現できます。Cisco Catalyst の同一シャーシ内またはデータセンターの冗長設計で一般的な、2 つの個別のシャーシに分けて、アクティブ/スタンバイまたはアクティブ/アクティブのいずれかの構成にすることができます。Cisco ACE モジュールは仮想パーティション単位でステートフルなハイ アベイラビリティを提供します。仮想パーティションをグループ化する機能を搭載しているため、アプリケーション サービスをほぼ瞬時にフェールオーバーすることができます。仮想パーティション単位での冗長化により、両方の Cisco ACE モジュールをアクティブな状態で利用することも、データセンターのネットワーク経由でプライマリ データ フローを緻密に制御することもできます。

Cisco ACE モジュールは、リソースで管理する仮想化とステートフルな冗長化機能だけでなく、Application Infrastructure Control を利用する革新的なネットワーク デバイス管理機能も提供します。Application Infrastructure Control が提供する機能は次のとおりです。

• 仮想パーティション単位でまたは仮想パーティションをまたがってのユーザ作成
• ユーザが Cisco ACE モジュールの機能にアクセスすることを可能にする役割（ロール）を、仮想パーティション内で定義可能
• ユーザをドメインに関連付けて、ユーザのアクセスを仮想パーティション内の設定のサブセットに制限

Application Infrastructure Control は Cisco ACE モジュールの仮想化機能を補完して、万全な仮想化ソリューションを提供します。また、フルに開発された XML API もサポートされます。この API には、Application Infrastructure Control に組み込むことができる XML Document Type Definition（DTD）が用意されています。これにより、どのユーザも XML API にアクセスが可能になると同時に、コマンドライン インターフェイス（CLI）で見られる同一のユーザ機能、保護、制限も提供されます。完璧な管理を実現できるように、Cisco ACE モジュールは仮想化された Syslog、MIB、SNMPv1、v2、v3 をサポートするほか、グラフィカルな管理を行うための Application Network Manager もサポートします。

ビジネス上の利点

統合：1 つの物理デバイスを複数のシステム向けにパーティション化できるため、高性能デバイスの数が少なくて済むほか、テスト環境と実働環境を同一ハードウェア上に混在させることができます。また、階層間のサーバ ロード バランシング（SLB）を集約することもできます。
リソース：オーバーサブスクリプションがサポートされているため、重要なアプリケーション用のリソースを確保できます。リソースを、必要とするワークロード（パーティション）に迅速かつ容易にシフトすることができます。その結果、データセンターの物理インフラ（電源、ケーブル、ラック スペース）の利用率を向上させることができます。
アベイラビリティ：各パーティションは完全に独立しています。1 つのパーティションの設定ミスが他のパーティションの運用に影響を与えることはありません。仮想パーティションには、複数デバイスで使用可能なハイ アベイラビリティを設定できます。
ネットワーク リソースの利用率向上：ネットワークへの投資回収率が向上します。

管理：Cisco ACE モジュールを使用するとパーティション単位で設定を簡素化することができるため、XML API によるプロビジョニング、アプリケーション チームへのレイヤ 7 ポリシーの適用が可能なほか、実働開始前にテスト用パーティションで設定を検証することができます。

セキュリティ：Cisco ACE モジュールを利用すると、重要なアプリケーションを隔離しながらセキュリティを確保し、設定の簡素化および集中化を容易に実現できます。

実装に関する考慮事項

Cisco ACE モジュールをネットワークに展開する前に、仮想パーティションと各種リソースを実装する方法について検討する必要があります。初めてのリソース割り当てには、非常に明確な推奨事項があります。ただし、仮想パーティショニングを行う場合は、対象となる環境に最適な仮想化を実装する方法について、さらに検討を重ねる必要があります。

拡張性および容量のプランニングを効果的に実現するには、Cisco ACE モジュールを新規インストールする際、デバイスの全容量の 60 〜 80% 以内に収まるようにします。初回のリソース割り当てをプランニングする際は、そのモジュールに予約済みリソース クラス（reserved）を作成し、固定リソース クラスとしてモジュールの全リソースの 5 〜 10% を割り当てることを検討してください。これらのリソースを予約済みとして確保するために、予備の仮想パーティションを 1 つ作成するようにしてください。この方法でリソースを予約することで、増加するクライアント トラフィックの処理に必要な容量を増やさなければならない場合に、他の仮想パーティショニングに動的に割り当てることが可能になります。

仮想パーティショニングに対する最初のリソース割り当てをプランニングする際は、必要最小限だけ、または予想できるリソースのみを割り当ててください。Cisco ACE モジュールは使用中のリソースを保護します。そのため、仮想パーティショニングのリソースを減らすには、これらのリソースを未使用の状態にしておくことが必要です。リソース割り当てをリアルタイムに減らすことは可能ですが、使用済みリソースを削減前に消すための管理オーバーヘッドが余分に必要になる場合があります。そのため、最初にできるだけ多くのリソースを予約しておき、必要に応じて未使用の予約済みリソースを割り当てるのが最良の方法です。

Cisco ACE モジュールを利用すると、各層のアプリケーションや機能（セキュリティ、ロード バランシング、アプリケーション最適化など）、企業内構成、利用者のビジネス ニーズなどに基づいて、仮想パーティションを柔軟に展開することが可能になります。利用する仮想化のタイプと大きさは、リソース クラスの作成方法に影響を及ぼすほか、Application Infrastructure Control の利用にも影響する場合があります。Cisco ACE モジュールを仮想化するための万能な方法というものはありませんが、Cisco ACE モジュールには柔軟性があるため、それぞれの業務に適した方法で効率的にネットワーク リソースを利用できます。

ハイ アベイラビリティ設計で仮想パーティショニングが必要になることがありますが、これは特に Cisco ACE モジュールをアクティブに利用するときに必要となります。ハイ アベイラビリティを実現する Cisco ACE ソリューションは、仮想パーティション単位で運用されます。従来のアクティブ/スタンバイ ハイ アベイラビリティ設計では、プライマリ Cisco ACE モジュールがアクティブの場合、プライマリ モジュール内の仮想アプリケーションもすべてアクティブになります。プライマリ モジュールまたは仮想パーティションに障害が生じると、バックアップ モジュールによって処理が引き継がれ、すべての仮想パーティションがバックアップ モジュールに移動します。アクティブ/アクティブ ハイ アベイラビリティ設計では、プライマリとバックアップの両方の Cisco ACE モジュールが同時にアクティブになります。アクティブな仮想パーティションは、およそ半分がプライマリ モジュール上でアクティブになり、残りがバックアップ モジュール上でアクティブになるように、両方のモジュールに分散されます。仮想パーティションに障害が発生すると、もう一方のモジュールによってバックアップ仮想パーティションが引き継がれます。モジュールに障害が発生した場合は、それまでアクティブだったすべての仮想パーティションが、残りのアクティブなモジュールに引き継がれます。この設計の場合、障害対策イベントの実行中にオーバーサブスクリプションの発生を避けるために、ハイ アベイラビリティ設計のモジュール ペアの 1 つの Cisco ACE モジュールに、100% を超える容量が割り当てられないようにする必要があります。

アクティブ/アクティブ ハイ アベイラビリティ設計でもう 1 つ考慮しなければならないのは、2 台の Cisco Catalyst 6500 シリーズ スイッチにモジュールが展開され、スイッチ間にトランク トラフィックがあるときに仮想パーティションの障害によって影響を受けることです。複数の仮想パーティションをグループ化できるように、Cisco ACE モジュールはフェールオーバー機能の一部として追跡メカニズムを提供します。1 つの仮想パーティションが障害を起こした場合に、同一のアプリケーションまたはサービスをサポートするすべての仮想パーティションをバックアップ モジュールに移動させることができます。これにより、1 つの仮想パーティションの障害によってアプリケーションが部分的にフェールオーバーを起こした際にも、Cisco Catalyst スイッチ間のトランクのオーバーサブスクリプションを防止できます。

仮想化の全体設計が固まってきたら、VLAN の使用によって生じる仮想パーティション割り当てへの影響について検討します。VLAN の割り当て方法に影響する設計方法には、ブリッジ モード、ルーティング モード、および仮想パーティションのカスケード接続の 3 種類があります。仮想パーティションをブリッジ方式で構成する場合は、Cisco Catalyst 6500 Spanning Tree Protocol に Cisco ACE モジュールを組み込むことにより、ブリッジ接続した VLAN が複数の仮想パーティションで共有されるのを防止できるため、予期しないブリッジ ループを防止できます。

Cisco ACE モジュールでは拡張性を実現するために、VLAN ペアを複数構成できるほか、1 つの仮想パーティション内でルーティングを行うための VLAN の追加が可能になっています。ルーティング設計では VLAN を自由に共有できますが、サーバ VLAN を複数の仮想パーティションで共有する場合は、トラフィックの負荷分散を行ったりサーバ上でスタティック ルートを適用したりするために、ソース Network Address Translation（NAT）の使用が必要になる場合があります。たとえば、Cisco ACE モジュールの仮想パーティション vp1 をデフォルト ゲートウェイとして利用しているサーバには、vp2 から一意のサブネットへのトラフィックに対してソース NAT を実行するために、Cisco ACE モジュールが必要になります。この場合、vp2 への応答を返させるためには、実際のサーバにスタティック ルートを適用する必要があります。

この操作はそれほど頻繁に行う必要はありませんが、ソース アドレスを変換することにより、さまざまな複雑な環境で Cisco ACE モジュールが戻りフローを制御できるようになります。監査証跡が必要な法規制を遵守する必要がある企業の場合、サーバ VLAN の共有について再検討する必要があるかもしれません。クライアントの実際の IP アドレスをサーバから隠すと、法規制の基準を満たすのに必要な明確な監査証跡の展開が困難になります。

仮想パーティションをカスケードする設計（図 3）では、クライアント トラフィックは Web トラフィック用に vp1 から流れ、次にアプリケーション用に vp2 を通過し、最後にデータベース トランザクション用に vp3 に流れます。階層化設計では、Cisco ACE モジュール内の仮想パーティションごとに、独立したクライアント ネットワークが必要になります。階層化設計は、Cisco ACE モジュールの導入事例でよく見られる構成方法です。階層構造の仮想パーティションの要件の 1 つとして、仮想パーティション間にレイヤ 3 ホップが必要になることが挙げられます。ほとんどの場合、仮想パーティション間のルーティング インターフェイスとして、Cisco Catalyst 6500 シリーズ スイッチに搭載する Multilayer Switch Feature Card（MSFC; マルチレイヤ スイッチ フィーチャ カード）、または Virtual Route Forwarding（VRF） インスタンス、またはFirewall Services Module（FWSM; ファイアウォール サービス モジュール）を使用します。

最後に、Cisco ACE モジュールはデフォルトで 5 つの仮想パーティションを提供します。従来のような単一パーティション設計で既存のサービスをモジュールに移行させる場合、移行作業を簡素化してわかりやすくするには、空きの仮想パーティションを用意することで、今後の新しいプロジェクトの開発やデータセンターの拡張に対応することを検討してください。

実装時の考慮事項を次のようにまとめました。

• 将来的にカスケード化する場合に備えて、Cisco ACE モジュールの 5 〜 10% を予約しておきます。
• 初回展開時は、過度な容量を割り当てないようにしてください。
• 仮想パーティションの利用は、目的または業務別にします。
• 仮想化を検討する際は、アプリケーション、機能（セキュリティ、SLB、アプリケーション最適化）、企業、または顧客の事業内容をベースにしてください。
• 仮想化がどのような規模の実装であっても、ハイ アベイラビリティ設計による影響を考慮する必要があります。
• 仮想パーティションの割り当てをプランニングする際は、VLAN の使用要件を仮想パーティション単位で検討します。
• デフォルトで、5 つの空き仮想パーティションを利用できます。積極的に活用してください。

ネットワーク アーキテクチャの設計

Cisco ACE モジュールは、ネイティブの Cisco IOS® Software Release 12.2(18)SXF41 以降を実行する Cisco Catalyst 6500 シリーズ スイッチと Cisco 7600 シリーズ ルータに簡単に組み込むことができます。この資料では、Cisco Catalyst 6500 シリーズへの Cisco ACE モジュール組み込みに関する詳細は説明しませんが、自動ステート機能やプライベート VLAN などの機能との統合により、Cisco Catalyst 6500 シリーズのポートの自動認識とセキュリティ利用できる点について理解しておくことが重要です。Cisco ACE モジュールは、VRF 対応 Route Host Injection 機能を提供することで、Cisco Catalyst 6500 シリーズの利用価値を高めます。これらのトピックの詳細については、Cisco ACE マニュアルと Cisco.com を参照してください。

Cisco ACE モジュールをネットワークに展開する最初のステップでは、モジュールが Cisco Catalyst 6500 シリーズで使用する VLAN を割り当てます。VLAN を割り当てるための新しい Cisco IOS コマンドとして「svclc」（service line card）が用意されています。svclc コマンドは、VLAN を VLAN グループに割り当て、その VLAN グループを Cisco ACE モジュールに適用するために利用します。もう 1 つのコマンドとして、「svclc multiple interfaces」があります。複数のレイヤ 3 VLAN（MSFC でルーティングされる Switch Virtual Interface [SVI]）を Cisco ACE モジュールに割り当てる際は、このコマンドを使用する必要があります。このコマンドを使用すると、Cisco ACE モジュール内部で VLAN の設定が不適切だった場合に生じる可能性のあるルーティング ループを認識できます。

単純なシナリオでは、MSFC が Cisco ACE モジュールとともに VLAN を共有している場合、VLAN の基本構造は次のようになります（図 4 を参照）。

表 1 Cisco ACE 4710 ソフトウェア リリース 3.1 の新機能

VLAN の名前	データセンター VLAN での一般的な名前	VLAN ID
公開 VLAN	Cisco ACE クライアント VLAN	VLAN 10
プライベート VLAN	Cisco ACE サーバ VLAN	VLAN 20

この例では、VLAN 10 と VLAN 20 を Cisco ACE モジュールに割り当てる必要があります。

VLAN グループに VLAN を割り当てる際は、特定の VLAN を 1 つの VLAN グループにしか割り当てられない点に注意してください。この要件により、複数の VLAN グループを使用することが可能になります。Cisco Catalyst 6500 シリーズ FWSM と Cisco ACE モジュールの両方を使用する一般的なシナリオでは、基本的な VLAN 構成は次のようになります（図 5）。

VLAN の名前	データセンター VLAN での一般的な名前	VLAN ID
インターネット公開	VLAN 外部の FWSM	VLAN 10
DMZ VLAN	内部の FWSM	VLAN 20
DMZ VLAN	Cisco ACE クライアント VLAN	VLAN 20
プライベート VLAN	Cisco ACE サーバ VLAN	VLAN 30

この例では、図からお分かりになるように、VLAN 10 および 20 を FWSM に割り当てる必要があり、 VLAN 20 および 30 を Cisco ACE モジュールに割り当てる必要があります。VLAN グループの制約のため、FWSM と Cisco ACE モジュール間で共有される VLAN 用に、追加の VLAN グループを割り当てる必要があります。

firewall コマンドまたは svclc コマンドも、VLAN グループの定義に使用できる点に留意してください。ただし、VLAN グループを FWSM に割り当てるには firewall コマンドを使用し、VLAN グループを Cisco ACE モジュールに割り当てるには svclc コマンドを使用する必要があります。VLAN のモジュールへの割り当てが完了したら、仮想化とリソース割り当てのプロセスを開始できます。

各 Cisco ACE モジュールには、デフォルトで作成された単一の仮想パーティションがあります。このパーティションは、Admin 仮想パーティションといいます。このパーティションは、デフォルトのリソース クラスに属します。デフォルトのリソース クラスには、リソースがまったく定義されていません。使用可能なすべてのリソースを使用できます。Admin 仮想パーティションでは、モジュールに割り当てられたすべての VLAN にアクセス可能です。Cisco ACE モジュールを、単一利用/単一目的の従来型構成で運用する場合は、これらのデフォルト設定により、Admin 仮想パーティションを利用できます。

仮想化構成での Admin 仮想パーティションは、新しい仮想パーティションを作成し、クライアントとサーバの VLAN トラフィックを適切な仮想パーティションに渡すために使用します（図 6）。この方法により、Cisco ACE モジュールを単一使用設計に展開し、必要に応じて新しい仮想パーティションを追加できます。

Admin 仮想パーティションは、他の仮想パーティションの機能すべてを持つように設計されていますが、通常の仮想パーティションの機能のほかにも、4 つの主要機能を備えています。

• 他の仮想パーティションの作成（Admin 仮想パーティションだけが実行可能）
• リソース クラスの作成と適用
• 仮想パーティションに対する VLAN の割り当て
• ハイ アベイラビリティ展開時の耐障害性の設定

Admin 仮想パーティション内には、admin というデフォルト アカウントがあります。admin アカウントは、Cisco ACE コマンドのすべてを利用する権限のほか、Cisco ACE モジュールを利用して作成した仮想パーティションのいずれにもアクセスできる権限があります。このモジュールでは、どの仮想パーティションにもユーザ アカウントを作成できます。Admin 仮想パーティション内で特別に定義されたユーザには、2 種類の権限があります。まず、これらのユーザは changeto コマンドにアクセスできる唯一のユーザであり、このコマンドを使用すると、Cisco ACE モジュール内の仮想パーティションを容易に切り替えることができます。そして、Admin 仮想パーティション内で Admin ロールを付与されたユーザは、admin アカウントに類似したシステム全体にわたる権限を持つことができます。Role-Based Access Control（RBAC; ロールベース アクセス コントロール）の詳細については、他の Cisco ACE モジュール実装ガイド資料を参照してください。

Cisco ACE モジュールは、同一レベルまたは他のさまざまなレベルで割り当てることができる各種システム リソースを用意しています。リソースは、ユーザ定義クラスにグループ化して割り当てられます。リソース クラスに属するいずれの仮想パーティションも、クラスによって定義されたとおりにリソースを受け取ります。表 1 に、Cisco ACE モジュールによる割り当てが可能なリソースとモジュールごとの上限を記載します。

表 1 リソースの割り当て

リソース メトリック	説明	システム上限
すべて	単一のコマンドで Cisco ACE リソース* のすべてを割り当てることができます。
ACL メモリ	ACL メモリの最大値	75 MB
同時接続数	最大同時接続数（through-the-box トラフィック）（conn オブジェクト）	400 万（800万）
管理接続	管理接続の最大数（to-the-box トラフィック）	5000
プロキシ接続	最大プロキシ接続数（レイヤ 7 接続オブジェクト）	512,000（100万）
正規表現	正規表現メモリの最大量	1 MB
スティッキ エントリ	スティッキ エントリの最大数	400万
変換（xlate）	トランスレーション エントリの最大数	100万
リソース バッファ
Syslog バッファ	Syslog メッセージのバッファ量上限値	4 百万
リソースの割り当て指標
帯域幅	1 秒あたりのバイト数で示す最大帯域幅	4/8/16 Gbps
接続	秒あたりの最大接続数（CPS）	348,000 CPS
検査済みの接続	秒あたりの最大検査接続数	6000 CPS
Mac なし	秒あたりのパケット数で示す、MAC のないトラフィック（パントによる to-the-box）の最大量	2000
管理トラフィック	秒あたりのバイト数で示す、管理トラフィック（to-the-box）の最大量	1 Gbps
SSL 接続レート	秒あたり最大 SSL トランザクション数	1000/5000/10,000/15,000
Syslog	秒あたり最大 syslog メッセージ数	358,000 データプレーン
帯域幅	1 秒あたりのバイト数で示す最大帯域幅	4/8/16 Gbps

* スティッキ リソースの割り当ては、スティッキ リソースを必要とするそれぞれのクラスごとに行なう必要があります。デフォルトのリソース クラスでは、スティッキに対するリソースが割り当てられないため、持続性が必要な場合は手動で割り当てる必要があります。
Cisco ACE モジュールは一意のリソース クラスを100 個までサポートします。リソースを割り当てに使用できる場合は、どのリソース クラスも単一の仮想パーティションまたはすべての仮想パーティションに適用できます。リソース クラス内の個々のリソースを割り当てる方法には、次の 3 種類があります。

• 固定構成：最小で x%、最大で x% 以内で割り当てます。
• オーバーサブスクリプション：最小で x% を割り当て、使用可能なすべてのリソースを任意に使用できます。
• Free-for-all：使用可能なすべてのリソースを使用できますが、最小割り当ては定義されません。

速度制限されたリソースは、仮想パーティションに割り当てられる際に Cisco ACE モジュールによって予約されます。この割り当て方法は、クライアント トラフィックを適切に処理するために仮想パーティションのリソースを十分に確保する場合や、他の仮想パーティションで使用中のリソースを消費させないようにする場合に使用できます。速度制限されたリソースを設定するには、guaranteed の値を最小値として定義し、上限値を「equal-to-min」として設定します。

仮想パーティションを最小レベルで実行する必要があり、ピーク期間にはリソースの追加が必要なシナリオでは、リソースのオーバーサブスクリプションを使用できます。リソースをオーバーサブスクリプションに設定する場合は、guaranteed 値を最小値として定義し、最大値を「unlimited」として設定します。

割り当てに free-for-all を使用すると、仮想パーティション間でリソースを当分に割り当てることができます。デフォルトでは、すべてのリソース（スティッキを除く）が「default-class」に割り当てられます。デフォルトでは、仮想パーティションの作成時に、このクラスがすべての新規仮想パーティションに適用されます。free-for-all 割り当てを設定するには、最小値をゼロとして定義し、最大値を「unlimited」として設定します。

リソースは、仮想パーティションに割り当てられるまで予約されません。リソースが割り当てられるときに最小値が記録され、保証されたリソースのオーバーサブスクリプションを防止します。リソースが仮想パーティションに割り当てられ、モジュール リソースを利用可能にするには 100% 以上の割り当てが必要な場合、Cisco ACE モジュールによって CLI エラーが発行され、割り当ての実行が回避されます。

リソースが保証割り当て、またはオーバーサブスクリプション割り当てのいずれかとして適用される場合、Cisco ACE モジュールは適用するリソースに対する最小値の合計が 100 を超えないようにチェックします。

リソース割り当てはリソース クラスに個別に追加できるほか、すべてを追加することも可能です。

1 つのクラスにすべてのリソースが割り当てられた場合、すべてのリソースを 1 つのクラスに追加した際に作成された制限は、追加された制限に上書きされます。たとえば、特定のリソース メトリックを個別に制限し、そのあとですべてのリソースを制限する場合は、個別に追加されたメトリクスが維持されることになります。

Cisco ACE モジュールでは、デフォルトのクラスを使用できます。このクラスでは、すべてのリソース メトリック（スティッキ リソースを除く）が、新しく作成された仮想パーティションに対して free-for-all 割り当てを適用します。仮想パーティションがクライアント接続を持続するためには、スティッキ リソースは、リソース クラスおよび仮想パーティションに割り当てられたリソース クラスに個別に定義する必要があります。クライアントの持続性を必要としない仮想パーティションは、デフォルトの仮想パーティションを使用でき、持続性（スティッキ）が必要な仮想パーティションは、スティッキ リソースが適切に定義されたリソース クラスのメンバとして設定する必要があります。

リソース クラスを定義したら、仮想パーティションを定義済みのリソース クラスのメンバとして設定することにより、リソース クラスを仮想パーティションに適用できます。仮想パーティションを 1 つのリソース クラスのメンバにする場合、Cisco ACE モジュール内で利用可能なリソースから、そのクラスの最小限のリソースが取り出されます。3 つの別々の仮想パーティションが同じリソース クラスのメンバである場合、各仮想パーティションに 1 回ずつ、3 回のリソース割り当てが行われます。すべてのクラス メンバー間で 1 つのリソース クラスがリソースを共有するわけではないことに注意してください。むしろ、各メンバーは、リソース クラスによって定義されたように、自身の個別のリソースが割り当てられます。図 7 では、リソースのクラスが、そのクラスのメンバーとして追加された各仮想パーティションに割り当てられます。仮想パーティションは、リソース クラスで定義されたリソースに対して競合しているわけではありません。

リソース クラスで定義された最小要件を満たすリソースが存在しない場合、リソース クラスのメンバとして仮想パーティションが追加されたときに、Cisco ACE モジュールはエラーを発行します。

このエラーが発生した場合は、予約済み仮想パーティションのリソース割り当てを減らし、新しい仮想パーティションの追加に十分なリソースを解放してください。予約済み仮想パーティションを使い果たした場合、または初期展開時に予約済み仮想パーティションを用意しなかった場合は、使用可能で最低限必要なリソースの差分を既存の仮想パーティションから取得する必要があります。これは、他のリソース クラス内の下限値を修正するか、適用されているリソース クラスの最小要件を少なくすることで、動的に行うことができます。さらに多くのリソースが必要な場合は、特定の仮想パーティションを同一シャーシ内の別の Cisco ACE モジュールに移動することを検討してください。Cisco Catalyst 6500 シリーズ スイッチ内では、4 つまでの Cisco ACE モジュールがサポートされます。

Cisco ACE モジュールに備わったリソース割り当てメカニズムの柔軟性により、仮想パーティション単位でリソースを幅広く管理できます（図 8）。

Cisco ACE モジュールでは、サービス管理グループや事業部門などと連携させるために複数の仮想パーティションを使用するだけでなく、ドメインを提供して仮想パーティションをさらに分割します。ドメインを使用すると、複数の事業部門、ワークグループ、その他の論理的なグループなどを区分して、所定の仮想パーティション内で、アプリケーション サービスへのクライアントの要求を管理することができます。ドメインは本質的に、構成オブジェクトの論理グループであり、これらのオブジェクトによる定義済みユーザ セットへのアクセスを制限することを目的としています。企業における一般的なシナリオでは、ある技術部門に 1 つの仮想パーティションを割り当てて、その中にすべての技術サービスを含めます。たとえば、この技術部門には「ウィジェット グループ」と「ガジェット グループ」の 2 つのグループがあるとします。各グループそれぞれに仮想パーティションを新規作成して割り当てるのではなく、ドメインをウィジェット サービスとガジェット サービスおよびウィジェット サービスまたはガジェット サービスのいずれかをサポートする各ユーザ アカウントに割り当てることができます。

仮想パーティションは、Cisco ACE モジュールのコマンドライン インターフェイス（CLI）内のキーワード「virtual partition」を使用して実装することに留意してください。仮想パーティションは Cisco ACE 仮想化の主要コンポーネントです。仮想パーティションには、個別の Cisco ACE 設定および関連する各種ファイルが格納されています。仮想パーティションにより、設定の定義、ファイルの格納、ユーザへのアクセス権の付与、ドメインの割り当てが行われます。Admin 仮想パーティションでは、Admin ロールのメンバのすべてのユーザが仮想パーティションを追加作成できます。新しい仮想パーティションを作成可能にするには、新しい仮想パーティションを割り当てる VLAN が Cisco Catalyst 6500 シリーズ Supervisor Engine から Cisco ACE モジュールに接続できることを、デフォルトの Admin 仮想パーティションの管理者が確認しておく必要があります。管理者は、仮想パーティションに必要なリソース クラスの作成と設定が完了しているを確認して、リソース割り当てを正しく行えるようにする必要があります。これらの条件が整ったら、新しいパーティションを作成できます。

仮想パーティションの作成が完了すると、仮想パーティションは、独立した物理デバイスのように表示されます。各仮想パーティションの設定は仮想パーティション内で行います。管理アクセス、ACL、AAA、Syslog のほかに、クライアント トラフィックのロード バランシングに用いるサービス ポリシーなど、その仮想パーティション独自の管理用パラメータが使用されます。Admin 仮想パーティションでは、仮想化の割り当てを各リソース クラス別に表示できます。一方、仮想パーティション内部では、所定の仮想パーティションに割り当てられたリソースだけが表示されます。

割り当てられた各リソースは、保証されたリソース（最小限のカラム）として表示され、リソース クラスごとにオーバーサブスクリプションの可否が表示されます。この出力を見ると、現在、全リソースの 83% が割り当てられていることがわかります。ただし、正規表現（regex）リソースは 98% が割り当て済みになっています。その結果、デフォルト クラスのメンバである仮想パーティションは、Cisco ACE モジュールの残りの 17% を使用できますが、正規表現の容量としては 2% しか利用できません。

デフォルトの仮想パーティションがオーバーサブスクリプション設定されていることに留意してください。リソースの最大割当量が無制限になっているため、Cisco ACE モジュールは最悪な場合、100% が割り当てられます。デフォルト クラスのメンバである仮想パーティションは 5 つあるため、デフォルト クラスは 500% のオーバーサブスクリプションが発生するリスクがあると報告されています。仮想パーティションは大きくなるにつれて、より多くのリソースを必要とします。これらのリソースは、予約済みクラスを調整して必要な分のリソースを解放するか、または一部の仮想パーティションを別の Cisco ACE モジュールに移動することで取得します。リソースは他のクラスからも解放できますが、使用中の一部のリソースの場合、リスクが発生する可能性があるため、即座に割り当てを解放することはできません。予約済みのクラスを使用すれば、実働環境でも簡単かつ効果的にリソースの調整を行うことができます。

仮想パーティションは作成後、割り当てられたすべてのリソースを使用するように拡張できます。仮想パーティションが割り当ての限界に達し始めたら、リソースの割り当てを動的に増やすことができます。

上記の出力サンプルでは、Peak カラムおよび Denied カラムで示されているように、regex リソースのピークが仮想パーティションの最大値に達しています。これらのイベントの原因は、ローカル ユーザが不十分なルール セットまたは過度に複雑なルール セットを実装したために多数の regex リソースが消費され、その後、regex 制限内に収まるように最適化されたために発生した可能性があります。ただし、Denied カラムでの増加は、その仮想パーティションの regex 領域でさらに多くのリソースを即座に必要としていることを示している可能性があります。追加リソースが保証されている場合、regex リソースの割り当てを調整することで動的に割り当てを増やすことができます。

仮想パーティションを拡張する場合、domains2 を使用してパーティションを分割すると、サービスをさらにきめ細かく管理できるようになります。ドメインは、構成オブジェクトへのユーザのアクセスを管理するために使用します。ドメインにはいくつかの使用方法があります。ACL と NAT はセキュリティ グループで制御することが可能であり、システム管理者はセキュリティ グループによって保守されるサーバ ファームと実サーバへのアクセス権だけを持つことができます。アプリケーション管理者には、レイヤ 7 ルール一致へのアクセス権が付与され、アプリケーション要件に合うように設定できます。

ドメインにより、仮想パーティションの内部を区分けすることができますが、リソースの割り当て、使用、または VLAN 割り当てには影響しません。本当の意味での仮想化には、新しい仮想パーティションが必要になります。ただし、仮想パーティションの設定へのユーザ アクセスを制限するだけであれば、ドメインとともに RBAC（ロールベース アクセス コントロール）を使用することを検討してください。

運用中のシスコ ソリューション

Cisco ACE 仮想化ソリューションは広範な機能を用意しているため、それぞれの企業独自のニーズを多用な方法で満たすことができます。ただし、大半のお客様に適用できる典型的なシナリオもいくつかあります。最も一般的なシナリオには次のようなものがあります。

• 大企業のデータセンターでは、Cisco ACE モジュールにより、複数のアプリケーションのコンテンツ スイッチングとサーバ オフロードが実行されると同時に、アプリケーションとネットワーク間のセキュアな分離が維持されます。これは、企業のインターネット、B2B、および B2C アプリケーション向けの一般的な設計方法です。
• 大規模なポータルまたは公開 Web サイト（ニュースやショッピングのサイト、検索エンジンなど）では、Cisco ACE モジュールによって、トラフィックの継続的な増加とピーク（休暇シーズンなど）にも対応でき、階層化されたアプリケーションにあわせて仮想化を実装して、管理とアベイラビリティを向上させます。
• Web やアプリケーション ホスティングに利用される ISP データセンターでは、仮想パーティションは顧客を分離するために使用することができます。リソースは、追加サービスをサポートするために割り当てることができます。
• データセンターの統合では、複数のデータセンターが少数のグローバルな巨大データセンターに集約され、Cisco ACE の仮想化機能によってトラフィックの分離が維持され、IPアドレスの重複問題が解消されます。
• 導入、運用、ステージング、開発のインフラを仮想パーティションに統合できる環境では、各ネットワーク環境に装置を重複して置く必要がなくなります。

大規模なエンタープライズ データセンターでは、専用のロード バランス サービスと SSL アクラレーション サービスを Cisco ACE モジュールの仮想パーティションに移動することができます。データセンターの Cisco Catalyst 6500 シリーズ FWSM やその他のファイアウォール製品内の多くの主要なファイアウォール リソースは、HTTP、FTP、DNS、および RTSP プロトコル インスペクションを Cisco ACE モジュールの仮想パーティションに移行することで解放できます。一部のケースでは、これらのすべてのセキュリティ サービスを、同じ仮想パーティションに統合して、ロード バランシングを実現できます。複数のサービスが 1 つの仮想パーティションを共有する場合、フローを処理する TCP 終端地点の数が減り、クライアント コネクションの遅延が低減します。Cisco ACE モジュールでは、Route Health Injection（RHI）、プライベート VLAN、自動ステート、Policy Based Routing（PBR）を始めとした Cisco Catalyst 6500 シリーズの特長も活かして、安全で信頼性の高いネットワーク接続を可能にするとともに、同期に失敗する可能性を低減します。

大規模なポータルや公開 Web サイトでは、1 つの仮想パーティション内にサービスとアプリケーション サイロを展開することができ、Role-Based Access Control（RBAC）とドメインを使用することで、権限を持つ担当者に適切なレベルのデバイス アクセスを提供できます。より高度な分離が必要な環境では、仮想パーティションをカスケード化することで、アプリケーションまたはアプリケーション階層単位でのリソース割り当てを提供できます。各仮想パーティション内では、ACL、NAT、および各種のプロトコル検査機能を適用して既存サービスのセキュリティを強化できます。Cisco ACE モジュールによるセキュリティの利点は、標準的な展開手順の一部として新しい展開にも適することができるため、データセンター全体のセキュリティが向上します。このモジュールでは XML API も使用できるため、多くのアプリケーション開発者が日常の保守管理とアプリケーション展開を自動化したり、Cisco ACE モジュールや Cisco ACE の仮想パーティションの監視作業をカスタマイズすることができます。

サービス プロバイダは現在、1 つの仮想パーティション全体を 1 つのマネージドまたは非マネージド サービスとして顧客単位で割り当てることができます。RBAC とドメインを使用することで、契約している仮想パーティションのコンポーネントと機能のみのアクセスを顧客に許可することができます。サービス プロバイダは RBAC ときめ細かなリソース割り当て管理を利用することで、高度なマネージド サービスを今までにない多様なレベルで提供することができます。

複数の展開を組み合わせることで、完全に分離された仮想パーティションを使用することが可能になり、小規模なサイトでは Cisco ACE モジュールのハイ アベイラビリティ ペア を実働用と開発用のデバイスとして使用できます。より規模の大きいデータセンターでは、開発とステージング、ステージングと運用のいずれかで 1 つのモジュールを共有するのが一般的です。一部の小規模企業では、コスト削減のために同一の Cisco ACE モジュールを開発用ネットワークと実働ネットワークで使用することがありますが、大企業が Cisco ACE モジュールを単一で利用することはあまりありません。中〜大規模データセンターでは実働用、ステージング用、開発/テスト用に個別の環境を設けるのが一般的です。これらの環境では通常、同一の Cisco ACE モジュールは使用されません。これは、テスト トラフィックと実働トラフィックが同一ネットワーク内に流れるリスクがあるためです。Cisco ACE モジュールとネットワーク インフラを 2 組用意すれば、テスト トラフィックがネットワークを停止させた場合でも、実働ネットワークは危険にさらされません。

図 13 に、モジュールの仮想パーティショニングによる柔軟性を示します。Cisco ACE モジュールは、データセンター内でさまざまな組み合わせの機能を提供すると同時に、エラーの低減とセキュリティ向上に必要な簡素さも維持します。モジュールの柔軟な機能により、シスコのデータセンター ネットワーク向けエンドツーエンド仮想化ソリューションに簡単に組み込むことができます。たとえば、WAN エッジ/コア上の MPLS VRF を FWSM パーティションにマッピングしてから、アグリゲーション レイヤに配置された Cisco ACE モジュールの仮想パーティショニングにマッピングすることができます。これにより、VMWare と仮想マシンなどによるサーバ仮想化が実現します。Cisco ACE モジュールは、データセンター ネットワーク内でシスコのエンドツーエンド仮想化ソリューションを実現するための重要な役割を担い、大企業とサービス プロバイダの顧客に対して大きな競合優位性を提供します。

まとめ

統合化と自動化による優れた費用対効果をデータセンターで生み出すには、仮想化されたロード バランス インフラが必要です。現在の市場では、シスコだけが真に仮想化されたアプリケーション配信とセキュリティ サービス デバイスを提供しています。Cisco ACE Application Control Engine Module は、リソースの堅牢な割り当てと RBAC が可能な 250 の仮想パーティションをサポートします。要件の厳しいデータセンターにおける Cisco ACE モジュールとその仮想化が生む価値は、以下の利点にまとめることができます。

• 設備コストの低減：ほとんどの場合、サーバ アクセス レイヤの 1 つのアプリケーションまたはアプリケーション セットに対して、ロード バランサが個別に使用されています。このような場合は、分散レイヤに配置された高性能な仮想ロード バランサを共有するスイッチ ディストリビューション レイヤから類似アプリケーションを分離して配置できると同時に、その分離をずっと維持し続けることができます。ローカルでは、お客様はシスコのコンテンツ サービス スイッチから Cisco ACE モジュールに移行できます。つまり、3 つのクラスのアプリケーションを表す 3 つのサーバ ディストリビューション レイヤに配置された 6 台の Cisco ACE モジュール セットに、30 ペアのスイッチ（合計 60台）を集約できます。
• 管理する物理デバイスの数を減らして、管理の複雑さを低減できます。たとえば、複数のスタック可能なスイッチを管理する場合と、VLAN を使用する 1 つのスイッチを管理する場合を比較してみてください。
• 設置空間、消費電力、発熱の低減：60 台の Cisco CSS 11503 コンテント サービス スイッチ を利用するお客様は、1 台ごとに 440 W、合計で 26.4 KW の電力を消費します。このお客様の場合、スイッチを 6 台の Cisco ACE ブレードに統合することが可能です。その結果、消費電力は 1 台あたり 220 W、合計で 1.3 KW で済みます。
• より簡単な変更管理：仮想化を実装すると、アプリケーションに変更を加える際でも、他の仮想ロード バランサ（仮想パーティション）に収容されたアプリケーションには影響が及びません。そのため、各アプリケーション所有者は、ロード バランサ上のすべてのアプリケーションが最小の共通アプリケーションによって制限されることなく、より頻繁に変更を行うことが可能になります。また、Cisco ACE ソフトウェアは障害を発生させることなくアップグレードできるため、変更に伴うリスクが大幅に軽減されます。
• より簡単な拡張とプロビジョニング：新しいアプリケーションの運用を開始する際でも、新規のロード バランサを購入する必要がなく、簡単な準備で仮想ロード バランサを追加できます。

製品リスト

• Cisco ACE 20 Service Module for Cisco Catalyst 6500 Series and Cisco 7600 Series（SSL TPS× 1000、仮想パーティション× 5 を含む）： ACE20-MOD-K9
• Cisco ACE 4-Gbps Throughput License： ACE-04G-LIC
• Cisco ACE 8-Gbps Throughput License： ACE-08G-LIC
• Cisco ACE 16-Gbps Throughput License： ACE-16G-LIC
• Cisco ACE Upgrade License（4 Gbps から 8 Gbps）： ACE-UPG1-LIC=
• Cisco ACE Upgrade License（8 Gbps から 16 Gbps）： ACE-UPG2-LIC=
• Cisco ACE 5,000 SSL Transactions per Second License： ACE-SSL-05K-K9
• Cisco ACE 10,000 SSL Transactions per Second License： ACE-SSL-10K-K9
• Cisco ACE 15,000 SSL Transactions per Second License： ACE-SSL-15K-K9
• Cisco ACE Upgrade License from 5,000 to 10,000 SSL Transactions per Second： ACE-SSL-UP1-K9=
• Cisco ACE Upgrade License from 10,000 to 15,000 SSL Transactions per Second： ACE-SSL-UP2-K9=
• Cisco ACE 20 Virtual Contexts License： ACE-VIRT-020
• Cisco ACE 50 Virtual Contexts License： ACE-VIRT-050
• Cisco ACE 100 Virtual Contexts License： ACE-VIRT-100
• Cisco ACE 250 Virtual Contexts License： ACE-VIRT-250
• Cisco ACE Upgrade License from 20 to 50 Virtual Contexts： ACE-VIRT-UP1
• Cisco ACE Upgrade License from 50 to 100 Virtual Contexts： ACE-VIRT-UP2
• Cisco ACE Upgrade License from 100 to 250 Virtual Contexts： ACE-VIRT-UP3
• Cisco ACE 6504 Bundle with 4G ACE 20 Module： WS-C6504E-ACE20-K9
• Cisco ACE 6509 Bundle with 8G ACE 20 Module： WS-C6509E-ACE20-K9

導入サービスとサポート サービス

Cisco Customer Advocacy Application Networking Services（ANS）と Data Center Networking （DCN）は、データセンター ネットワーキング技術全体にわたる高度で幅広い専門知識をお客様に提供し、ネットワーク ライフサイクルに対する準備、計画、設計、実装、運用、および最適化（PDIOO）を支援します。また、Cisco Customer Advocacy は、事業目標と運用プロセスに合ったデータセンターとANS/DCN の戦略立案を、業界標準とベスト プラクティスに基づいて支援します。シスコによる ANS と DCN のサービスは、シスコのパートナーが提供するサービスを補完強化し、エンドツーエンドでのソリューションを支援します。

Cisco ACE Application Control Engine の詳細については、次の URL を参照してください。http://www.cisco.com/web/JP/product/hs/ifmodule/csm/prodlit/cacem_ds.html

1ハードウェアおよびソフトウェアの互換性に関する全情報は、Cisco ACE Application Control Engine Module のリリース ノートを参照してください。