ホワイト ペーパーCisco Application Control Engine(ACE)によるアプリケーション配信の仮想化概要Cisco® Application Control Engine(ACE)の独自の仮想化機能は、企業とサービス プロバイダーのアプリケーション導入の迅速化とスケーラビリティの向上、データセンターのコスト削減、アプリケーション配信ネットワーク アーキテクチャの簡素化、およびアプリケーション配信管理タスクの委任を実現します。 データセンターの課題複数の組織内で主要なビジネス目標をサポートするアプリケーションの導入が増えるにつれて、スケーラブルなアプリケーション配信サービスを提供し、かつデータセンター全体のコストも削減するという新たな要件が発生します。企業やサービス プロバイダーが必要としているのは、ユーザとしての立場から一目瞭然なアプリケーション セキュリティ、アプリケーション アベイラビリティの最大化、およびアプリケーション パフォーマンスの最適化がすべて統合された管理フレームワーク内に含まれた、拡張性のあるアプリケーション配信サービスです。このようなサービスには、高度なサーバ ロード バランシング、Secure Sockets Layer(SSL)オフロード、マルチレイヤ セキュリティ、アプリケーション アクセラレーションなどの重要なデータセンター テクノロジーがいくつか必要となります。アプリケーション導入の際に要求されるスケーラビリティとスピードは、現在のデータセンター スタッフが直面しているさまざまな課題、つまり機器の導入コストの削減、アプリケーションの導入コストの最小化、アプリケーション導入ワークフローの改善、そしてアプリケーション導入に関連するデータセンター リソース要件の軽減などを象徴しています。アプリケーション配信サービスを仮想化する機能は、これらの課題に対処するために不可欠な要件です。 仮想化とは仮想化は、1 つの物理デバイスを複数の仮想デバイスに論理的に分割する機能です。各仮想デバイスは、実際の物理デバイスの機能をすべて備えている必要があります。また、ネットワークおよびネットワーク管理者から見た場合、一意の物理デバイスになるように、独立し隔離されたデバイスである必要があります。仮想化により、各仮想デバイスは、必要に応じバースト機能を使用して、Virtual IP Address(VIP)または Real IP Address(RIP)レベルにそれぞれのリソースと QoS(Quality of Service)を割り当てることができます。各仮想デバイスには、それぞれの構成ファイル、管理インターフェイス、およびユーザの管理ロールに基づいてアクセス コントロール権限が割り当てられたアクセス コントロール ポリシーも割り当てられます。 Cisco ACE による仮想化の利点Cisco ACE で仮想化を実行すると、ビジネスおよび技術上の重要な利点がもたらされます。 アプリケーションの展開とアップグレードの高速化およびコスト削減Cisco ACE を使用すると、新しいアプリケーションを展開したり別の部門にアプリケーション サポートを追加する際、追加のハードウェア プラットフォームを導入せずに新しい仮想パーティションを追加するだけで、既存の物理的な Cisco ACE モジュール内に別の仮想 Cisco ACE デバイスが作成されます。この方法により、新しいアプリケーションの導入に必要なコストが大幅に削減され、管理者はアプリケーションを迅速に展開できます。Cisco ACE により、アプリケーションのアップグレードも効率化されます。Cisco ACE を仮想化すると管理者は、継続的なメンテナンスを行いアプリケーションのアベイラビリティを最大化する優れたアーキテクチャにより、大幅なコスト節約を実現できます。Cisco ACE により、管理者はアプリケーションを簡単に停止し、物理的な Cisco ACE デバイスが処理する他のアプリケーションに影響を与えずに、1 台の仮想デバイス内でシステムをスムーズに追加または削除できます。 ワークフローの改善従来のアプリケーション配信ソリューションでは、複雑なワークフロー調整が必要なため、アプリケーションの導入には時間を要しました。新しいアプリケーションを導入する場合、または既存のアプリケーションのテストやアップグレードを行う場合、アプリケーション グループはネットワーク管理者と連携する必要があります。調整は、アプリケーション配信デバイス(通常はロード バランサ)で目的の構成変更を行うために必要であり、ネットワーク管理者にとっては、構成の変更が既存のサービスに影響しないことを確認する必要があるため特に問題になるプロセスです。Cisco ACE で Role-Based Access Control(RBAC)を使用して仮想パーティション化を行うと、ネットワーク管理者はアプリケーション グループ用に分離された構成ドメインを作成することが可能になり、この問題が軽減されます。分離された単一の仮想デバイス内の設定権限をアプリケーション グループに割り当てるとネットワーク管理者がワークフローに関与する必要はなくなり、他の仮想デバイスで使用できる既存のアプリケーションの設定ミスを回避できるようになります。この改善されたワークフローにより、アプリケーション グループがこれまでよりも迅速かつ個別にアプリケーションをテストし、アップグレードし、導入できる、セルフサービス モデルが構築されます。 アプリケーション、部門、および顧客の完全な分離Cisco ACE を使用すると、管理者はリソースを仮想デバイスに適切な方法で柔軟に割り当てることができます。たとえば、導入されるアプリケーションごとに 1 つの仮想デバイスを割り当てることも、部門ごとに複数のアプリケーションを 1 つの仮想デバイスを割り当てることもできます。サービス プロバイダーの管理者は、ユーザごとに 1 つの仮想デバイスを割り当てることができます。リソースの割り当て方法に関係なく、Cisco ACE の仮想デバイスは完全にお互いから分離しています。一方の仮想デバイスの構成が、他方の仮想デバイスの構成に影響することはありません。したがって、仮想パーティション化は、複数の仮想デバイスに設定された一連のサービスを、他の仮想デバイスによる偶発的なミスや悪意のある設定から守る新たな方法として利用できます。Cisco ACE で設定ミスが生じたとしても、その影響は設定が行われた仮想デバイスの範囲に限定されます。ある仮想デバイスでのミスは、Cisco ACE 内の他の仮想デバイスには影響しないため、特に Cisco ACE をハイ アベイラビリティの冗長構成で展開した場合に、重要なアプリケーションのアップタイムを最大化できます。競合他社の製品でアプリケーション、部門、および顧客についてこのレベルの構成を分離するには、追加の物理ユニットを購入し、導入する必要があります。 Cisco ACE の容量利用率の最適化Cisco ACE を使用すると、リソースを仮想デバイスに正確に割り当てることができます。割り当て可能なリソースには、帯域幅、接続数、毎秒あたりの接続数、Network Address Translation(NAT; ネットワーク アドレス変換)のエントリ数、メモリなどがあります。この柔軟性により、リソースを最も必要とする仮想デバイス(つまりアプリケーションまたは部門)に正確に移行できるため、アプリケーションのパフォーマンスと Cisco ACE モジュール内のリソース利用率を同時に最大化できます。 通常、キャパシティ プランニングを行うには、ピーク時の利用率を考慮して、データセンター内のデバイスをキャパシティの約 75% で展開する必要があります。しかし、このアプローチはビジネス要件におけるアプリケーションの展開や拡張には対応していません。デバイスの数が増えると、ピーク時の使用量に合わせて確保されている未使用リソースの量が、デバイス全体のキャパシティを超える可能性があるためです。たとえば、拡張を考慮して推奨値である 75% のキャパシティで 4 台のデバイスを展開すると、各デバイスの 25% が未使用になります。この 4 台のデバイスの簡潔な例での集約された未使用リソースの量は、デバイス全体の容量(25% × 4 = 100%)と等しくなります。数十から数百台のデバイスが展開される実際のデータセンターの例で考えた場合、このような未使用の予約リソースに起因するコストは膨大になります。Cisco ACE の仮想パーティション化機能と、モジュールの類のないスケーラビリティ(モジュールあたり最大 16 Gbps のスループット)を組み合わせることで、複数の仮想デバイスが同じ物理 Cisco ACE デバイスを共有すると同時に、将来の拡張用にリソースを割り当てることが可能になります。 Cisco ACE を使用すると、コストのかかる大規模なアップグレードが不要になります。Cisco ACE では「必要に応じて拡張可能」なモデルを使用しているため、1 つのソフトウェア ライセンス アップグレードのみで 1 台の Cisco ACE モジュールのスループットを 4 Gbps から 8 Gbps、16 Gbpsに拡張できます。さらに、1 台の Cisco Catalyst 6500® シリーズ スイッチ シャーシに最大 4 台の Cisco ACE モジュールを展開して、最大 64 Gbps のスループットを提供し、競合製品をはるかに上回るパフォーマンスと拡張性を実現します。 データセンターのリソース要件の軽減Cisco ACE の独自の仮想化機能を利用することで、データセンターの物理リソースと環境リソースの両方を大幅に削減でき、アプリケーション配信に関連する全体的なコストも大幅に削減することができます。前述のように、Cisco ACE を使用した場合、管理者は追加のハードウェア プラットフォームを導入しなくても、同じ物理的な Cisco ACE モジュール内で追加の仮想デバイスを設定するだけで、追加アプリケーションを展開できます。その結果、ネットワークのスプロール化が軽減され、新たにケーブル接続やラック スペースを追加する必要はなくなります。さらに、Cisco ACE はネットワーク内の物理デバイスの数も削減するため、お客様が追加のアプリケーションを展開した場合でも、データセンターの電力消費とコストを大幅に削減できます。Cisco ACE は、お客様が電力要件を追加せずにアプリケーション配信サービスを拡張できる唯一のアプリケーション配信ソリューションです。仮想デバイスの追加によって導入されたアプリケーション用に電源を増やす必要がないため、組織が拡張してもユニットあたりの電力消費は減少し、Cisco ACE は最もエネルギー効率に優れたハイ パフォーマンス ソリューションとして機能することができます。 高度なハイ アベイラビリティ機能による類のないサービス継続性Cisco ACE は、ハイ アベイラビリティを実現するために、アクティブ/アクティブとアクティブ/スタンバイ設計の両方でステートフル冗長性をサポートします。ステートフル冗長性は、フェールオーバーが発生した場合もユーザ セッションを続行するため、極めて重要な機能といえます。Cisco ACE のペアは、同じ Cisco Catalyst 6500 シリーズ シャーシ内、またはより一般的なデータセンターの冗長設計である物理的に異なる 2 台の Cisco Catalyst 6500 シリーズ シャーシに導入できます。この柔軟性により、Cisco ACE は、コストと時間のかかるネットワーク設計を行わずに、既存のネットワーク アーキテクチャに簡単に統合できます。 Cisco ACE のステートフル冗長性は仮想デバイス単位で有効化できるため、障害が発生した場合はその仮想デバイスを切り離すことができます。Cisco ACE では、ある仮想デバイスでフェールオーバーが発生しても、他の仮想デバイスの動作には影響しません。さらに、物理デバイス全体ではなく障害の発生した仮想デバイスだけにフェールオーバーが発生するため、ほぼ即時にフェールオーバーが行われサービスが継続します。 仮想デバイス単位の冗長性により、ユーザはアクティブ/アクティブ構成で両方の Cisco ACE モジュールを同時に使用できるため、Cisco ACE の利用が最適化され、Cisco ACE の Return On Investment(ROI; 投資回収率)が最大化されます。従来のアクティブ/スタンバイ ハイ アベイラビリティ設計では、プライマリ Cisco ACE がアクティブの場合、プライマリ Cisco ACE モジュール内の仮想デバイスもすべてアクティブになります。プライマリ Cisco ACE または仮想デバイスで障害が発生すると、バックアップ(スタンバイ)Cisco ACE がその役割を引き継ぎ、すべての仮想デバイスがバックアップ Cisco ACE モジュールにフェールオーバーされます。アクティブ/アクティブ ハイ アベイラビリティ設計では、プライマリとバックアップの両方の Cisco ACE モジュールが同時にアクティブになります。アクティブな仮想デバイスは両方の Cisco ACE モジュールに分散され、最初のアクティブな Cisco ACE モジュールで半分がアクティブになり、2 番めのアクティブな Cisco ACE モジュールで残りの半分がアクティブになります。仮想デバイスで障害が発生すると、スタンバイ仮想デバイスがピア Cisco ACE モジュールでその役割を引き継ぎます。万一 Cisco ACE で障害が発生した場合は、以前にアクティブだったすべての仮想デバイスがピア Cisco ACE モジュールにフェールオーバーされます。 Cisco ACE の包括的で柔軟性のあるハイ アベイラビリティ機能により、コスト効率に優れた信頼性の高いアプリケーション配信サービスが実現します。 委任管理の一元管理すべての仮想デバイスが物理的に同じ Cisco ACE プラットフォーム上にあるため、すべての論理デバイスを簡単に集中管理できます。Cisco ACE は、強力な CLI(コマンドライン インターフェイス)である Cisco Application Networking Manager(ANM)GUI、または Extensible Markup Language(XML)ベースの API を使用して論理的にパーティション化できます。ANM は直感的に使用できるワークステーション ベースの管理システムで、それぞれに多くの仮想デバイスが存在する複数の Cisco Catalyst 6500 シリーズ シャーシで、複数の Cisco ACE モジュールを同時に管理できます。競合製品では複数のデバイスを導入する必要があるため、多くのハードウェア デバイスを管理するためにコストと時間のかかる管理作業が必要です。図 1 に、ネットワークにおける Cisco ANM の展開例を示します。 
図 1 Cisco Application Networking Manager(ANM)のネットワーク トポロジー お客様の使用例データセンターに導入されている既存のアプリケーションの多くは、通常、個別のアプリケーション配信デバイスの複数の層を利用する複雑なアーキテクチャを利用しています。Cisco ACE 独自の仮想化機能と、16 Gbps のスループットをサポートする優れたスケーラビリティを組み合わせることで、導入するデバイスの数を削減すると同時に、ネットワーク トポロジーを簡素化できます。ここに示す 5 つの構成例では、Cisco ACE のスケーラビリティと仮想化機能により、ネットワーク アーキテクチャの大幅な簡素化、アプリケーション展開コストの削減、機器のコストの削減、および管理タスクの簡素化を可能にしています。 例 1:複数のデバイスを 1 台の Cisco ACE に交換する場合 この一般的な構成例では、お客様は高い要求率を処理するために複数のアプリケーション配信デバイスを導入する必要があります。また、それぞれのデバイスを購入、構成、導入、および管理する必要があります。Cisco ACE を使用すると、図 2 に示すように 1 台のデバイスでパフォーマンスのニーズを満たすことができます。この構成例では、Cisco ACE の仮想化機能を明示的に利用していませんが、仮想パーティション化を使用すると同じ Cisco ACE モジュール上の追加アプリケーションをサポートできるため、スケーラビリティが向上しネットワークが簡素化できます(下記の例 4 を参照)。 
図 2 複数のデバイスを 1 台の Cisco ACE に交換する場合 例 2:Cisco ACE を使用して多層アーキテクチャを集約する場合 この構成例の場合お客様は、図 3 に示すように Web サーバ層、アプリケーション サーバ層、およびバックエンド サーバ層のそれぞれで個別のロード バランサとファイアウォールを使用して、従来の多層アーキテクチャを導入しました。Cisco ACE を使用すると、スケーラビリティ、仮想化、およびファイアウォールの各機能によりロード バランサとファイアウォールの 3 つの異なる層を 1 つの物理デバイスに集約できます。この例では、Cisco ACE はパーティション化され、各層のロード バランサの役割を引き受けると同時に、SSL オフロード、ステートフル パケット インスペクション、IP 正常化、およびサーバ オフロードの各機能によるアプリケーション レイヤ セキュリティを提供します。 
図 3 Cisco ACE を使用して多層アーキテクチャを集約する場合 例 3:データセンターを Cisco ACE に統合する場合 多くの企業やサービス プロバイダーでは、データセンターのコストを削減し管理機能を集中化するために、図 4 に示すようにデータセンター リソースを統合しています。統合の際に、分散したデータセンターから中央ロケーションに多数のデバイスとアプリケーションを移行する必要があるため、この移行に関連したさまざまな課題が生じます。多くの場合、IP アドレス空間が重複するため、この種の統合は非常に困難で時間がかかります。この資料で説明した Cisco ACE のすべての機能が、このようなデータセンター統合に関連する課題を軽減するうえで非常に有効な方法といえます。中央に配置された Cisco ACE モジュール 1 台で複数の仮想デバイスを有効にすることで、以前は分散したデータセンター アーキテクチャでサポートしていたアプリケーションと組織をサポートできます。すべての仮想デバイスが個別の構成で独立しているため、Cisco ACE は重複する IP アドレス空間も簡単にサポートできます。Cisco ACE をデータセンター統合戦略の一部として展開すると、データセンターのコストの大幅な削減、ネットワーク トポロジーの簡素化、アプリケーション展開の迅速化、および管理タスクの簡素化が可能になります。 
図 4 データセンターを Cisco ACE に統合する場合 例 4:Cisco ACE 上に複数のアプリケーションを展開する場合 この構成例のお客様は、図 5 に示すようにアプリケーションごとに異なるアプリケーション配信デバイスを導入しました。ここでは Cisco ACE 上に仮想デバイスを展開することにより、追加のハードウェア プラットフォームを導入せずに複数のアプリケーションをサポートしています。Cisco ACE を 1 台導入することは、複数のアプリケーション配信サービスを展開することと機能的に等しく、コスト効率が向上し管理も容易になる点に注目してください。 
図 5 Cisco ACE 上に複数のアプリケーションを展開する場合 例 5:複数の機能を Cisco ACE に統合する場合 この構成例のお客様は、図 6 に示すように冗長構成でロード バランシング、SSL オフロード、およびデータセンター ファイアウォールの各機能を果たすために個別のデバイスを多数導入しました。この構成はコストがかかるだけでなく、複数の TCP 終端地点があるため、パフォーマンスとスケーラビリティが低下します。このアーキテクチャは複雑なため、管理やトラブルシューティングも非常に困難になります。Cisco ACE を使用すると、管理者はこれらの機能を 1 台の Cisco ACE モジュールに統合し、ネットワーク アーキテクチャを簡素化できます。これらの機能を Cisco ACE に統合するとパフォーマンスとスケーラビリティも大幅に向上し、TCP の終端が一元化され、トラブルシューティングも容易になります。 
図 6 Cisco ACE を使用して複数の機能を展開する場合 ソリューション:Cisco ACE によるアプリケーション配信の仮想化Cisco ACE は、Cisco Catalyst 6500 シリーズ スイッチ内のサービス モジュールとして展開すると展開と使用がより容易になり、パフォーマンス、スケーラビリティ、ハイ アベイラビリティ、アプリケーション アクセラレーション、およびデータセンター ファイアウォールの各機能を向上させます。Cisco ACE は業界唯一の仮想化アーキテクチャを使用してネットワーク内のポリシー制御を一元化し、アプリケーション インフラストラクチャを簡素化します。1 Cisco ACE ソリューションの利点は、次のとおりです。
Cisco ACE 独自の仮想化機能により、1 台の Cisco ACE 上の独立した複数の仮想デバイスで多数のアプリケーションや部門をサポートできるため、容量利用率の最適化、展開コストの削減、ワークフローの改善、および電力消費コストの削減が可能になります。 シスコの仮想化機能はデバイス レベルで実装されるため、物理デバイスはすべての面において仮想化されます。他のベンダーは仮想化のサポートをアクセス コントロール機能に限定しており、Cisco ACE の機能に相当するデバイス レベルの仮想化機能はありません。 まとめスケーラブルで信頼性が高くコスト効率に優れたアプリケーション配信サービスをデータセンターで提供するうえで、仮想パーティション化は不可欠な要件です。企業やサービス プロバイダーは、Cisco ACE を使用することでコストを大幅に削減し、より迅速なアプリケーション展開が可能になります。Cisco ACE は、真のアプリケーション配信仮想化機能を提供する、現在の市場における唯一のソリューションです。 1 Cisco ACE がサポートする仮想デバイスはデフォルトで 5 台、ソフトウェア ライセンス アップグレードにより 5 〜 250 台の仮想デバイスに拡張が可能 |
 |
Guest
Cisco Application Control Engine(ACE)によるアプリケーション配信の仮想化