この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、Cisco vPath および vServices の概要について説明します。具体的な内容は次のとおりです。
ここでは、Cisco vPath および vServices の概要について説明します。次の項目を取り上げます。
• 「Cisco vPath および仮想サービス アーキテクチャの利点」
シスコ仮想サービス データ パス(vPath)は、Intercloud Switch に組み込まれているサービス インテリジェンスです。
Cisco vPath は、セグメント化ファイアウォールやエッジ ファイアウォールなどのネットワーク サービスの実装に必要なフォワーディング プレーンの抽象化とプログラマビリティを実現します。vPath は Intercloud Switch の仮想イーサネット モジュール(VEM)に組み込まれています。仮想マシン外または仮想マシン間のトラフィックをインターセプトし、処理のために、そのトラフィックを Intercloud Fabric ファイアウォールなどの適切な vservice ノード(VSN)にリダイレクトします。Cisco vPath はオーバーレイ トンネルを使用して、レイヤ 3 隣接の仮想サービス ノードにトラフィックを誘導します。
Cisco vPath の基本的な機能として、vservice へのトラフィックのダイレクションがあげられます。基本機能とは別に、Cisco vPath には、トラフィック オフ ロードやアクセラレーションなどの高度な機能も含まれています。
Cisco vPath は、仮想マシン外のトラフィックであるか、仮想マシン間のトラフィックであるかに関わらず、トラフィックを仮想サービス ノードに誘導します。vservice では、ポリシーの評価と適用のために初期パケット処理が行われます。ポリシー決定が行われると、仮想サービス ノードは残りのパケットのポリシー適用を Cisco vPath にオフロードできます。
次の仮想サービスが Cisco vPath を使用する Intercloud Switch によってサポートされます。
• Intercloud Fabric ファイアウォール: 詳細なゾーン ベースのセキュリティ ポリシーにより、信頼できるマルチテナント アクセスを VM に提供します。Intercloud Fabric ファイアウォールは複数のサーバにセキュリティ ポリシーを提供します。また、ワークロード バランシング、可用性、または拡張性に関する物理サーバ間の VM モビリティをサポートします。
仮想サービス アーキテクチャは、仮想サービスを配信するためのフレームワークを提供します。Cisco vPath はこのアーキテクチャの主要コンポーネントであり、Intercloud Switch VEM に組み込まれています。vPath は、サービス トラフィック分類子およびサービス ディスパッチャとして機能します。サービスを必要とするトラフィックを選択し、それをサービス提供用の適切な仮想サービス ノードに誘導します。Cisco vPath は、テナントの分離を実現するために、テナントの境界ですべての機能を実行します。
仮想サービス アーキテクチャのその他のコンポーネントは次のとおりです。
• Cisco Prime Network Services Controller(Prime NSC)は、デバイスとポリシーの管理、および統合を担当するマルチテナント ポリシー マネージャです。Prime NSC は、仮想サービス アーキテクチャの全体的な管理と調整を行うコンポーネントです。
• Intercloud Fabric VSM は、Cisco vPath および Cisco Prime NSC とのすべてのインタラクションを担当します。Intercloud Switch の仮想サービス エージェントは、トラフィックの分類、トラフィック リダイレクション、トラフィック オフ ロード、アクセラレーションなど、Cisco vPath のすべての制御面を担当します。
• vService はサービス処理を担当します。サポートされている各種仮想サービスとして、Intercloud Fabric ファイアウォール(VSG)があげられます。vservices には同じ、または異なる仮想サービス タイプのインスタンスを多数含めることができます。
Cisco vPath および仮想サービス アーキテクチャには、次のような利点があります。
• 「モビリティ」
Cisco vPath は、サービス プロファイルを介して仮想マシンのダイナミック プロビジョニングをサポートし、サービス プロファイルが vMotion イベントに追随するようにします。ICF ファイアウォール(VSG)では、サービス プロファイルはセキュリティ プロファイルと呼ばれます。サービス プロファイルではサービス パラメータを設定できます。
サービス パラメータは、サービス プロファイルで設定されてから、ポート プロファイルにアタッチされます。仮想マシンがインスタンス化されてポート プロファイルにアタッチされると、サービス プロファイルも仮想マシンに動的にアタッチされます。関連付けが完了すると、仮想マシンが起動したときやサーバ間を移動したときに、すべてのポリシーがその仮想マシンに対して動的にプロビジョニングされます。
仮想サービス アーキテクチャはコラボレーション マネジメント モデルをサポートしています。このモデルでは、ネットワーク管理者、サーバ管理者、サービス管理者の役割と責任が明確に定義されています。
ダイナミック サービス プロビジョニングにより、サービス プロファイルは、仮想マシンがインスタンス化されるとその仮想マシンに関連付けられます。その後、Cisco vPath によって、サービス プロファイルにサービス プロファイル識別子が割り当てられます。このようにして、Cisco vPath は、異なる仮想マシンに関連付けられているトラフィックに異なるサービス プロファイルをバインドできるようにします。仮想サービス ノードはサービス プロファイル識別子を使用して、トラフィックへの適用やサービスの提供に適したポリシーを選択します。
Cisco vPath はオーバーレイ トンネルを使用して、仮想サービス ノードにトラフィックを誘導します。仮想サービス ノードはレイヤ 3 隣接の場合もあります。オーバーレイ トンネル モデルは、仮想サービス ノードにモビリティをもたらします。このモデルは、レイヤ 2 展開で使用される VLAN などのトランスポート テクノロジーには依存していません。次の図に示すように、トンネルは L4 です。UDP カプセル化内の MAC は、L4 トンネルで使用されます。
仮想サービス アーキテクチャは仮想マシンにモビリティをもたらします。ダイナミック サービス プロビジョニングにより、仮想マシンのトラフィック フローは適切な仮想サービス ノードで継続的に処理されます。
Cisco vPath はテナント対応型であり、さまざまなテナントに属している仮想サービス ノードに対応します。仮想サービス アーキテクチャにより、Cisco vPath はさまざまなテナント間の重複する IP アドレスをサポートできます。Cisco vPath は、仮想マシンからのトラフィックを同じテナント内の仮想サービス ノードに誘導することで、テナントの分離を実現します。
Cisco vPath は、仮想マシン外のトラフィックであるか、仮想マシン間のトラフィックであるかに関わらず、トラフィックを仮想サービス ノードに誘導します。仮想サービス ノードは、リダイレクトされたトラフィックの処理を続行することも、Cisco vPath にトラフィックをオフロードすることもできます。オフロードされたトラフィックは Cisco vPath によって処理され、これにより、Intercloud Switch のサービス配信のパフォーマンスが向上します。
また、Cisco vPath には、仮想サービス ノードの指定に従ってトラフィックにアクションを適用する機能もあります。仮想サービス ノードは、スイッチでスタティック設定を行わずにリバース トラフィックをインターセプトするか、一部のトラフィックをオフロードするかを選択できます。
Intercloud Fabric Firewall (VSG) Release 5.2(1)VSG2(1.1) 以降は、次のプロバイダー プラットフォームでサポートされます。