本連載でこれまで説明してきたように、SDNはさまざまなコンポーネントが密接に連携することで実現する。「BIG-IP」をはじめとするL4-7レイヤを担うADC(Application Delivery Controller)デバイスも、オーケストレータやL2-3ネットワークなど周辺のさまざまなコンポーネントと協調して動作することで、初めてアプリケーションに必要なネットワークサービスを実現する。そこで今回からは、BIG-IP(およびBIG-IQ)との連携ソリューションを提供するベンダーのエキスパートを招き、F5ネットワークス(以下、F5)の専門家とともに、SDNの現状や未来、ソリューション戦略について語り合ってもらう。
今回は、「ACI(Application Centric Infrastructure)」というコンセプトを掲げ、独自の戦略を打ち出したシスコシステムズ(以下、シスコ)のデータセンターバーチャライゼーション事業 データセンタースイッチング プロダクトマネージャ、及川尚氏と、F5ネットワークスジャパン(以下、F5)のパートナー営業本部ビジネスディベロップメントマネージャ、兼松大地氏による対談をお届けする。
──まず、シスコが現在打ち出されているコンセプト「ACI」について簡単に教えてください。
及川 従来、シスコはネットワークに注力して製品やソリューションを提供してきたのですが、2000年代中盤から仮想化技術が普及し、サーバやアプリケーションがデータセンター内で動的に立ち上がったり移動したりするようになった結果、アプリケーションサーバに紐づくアクセスリストやVLANのメンテナンスといった作業が極めて複雑化し、もはや手作業のネットワーク管理は限界を迎えました。この課題に対処するには、従来のネットワーク中心の考え方を捨て、思い切ってアプリケーションを中心とした考え方にシフトする必要があると考え、まったく新たなコンセプトであるACIを打ち出しました。
兼松 F5は、L4-7レイヤのネットワーク世界でずっとアプリケーションに必要な可用性やセキュリティのアプローチを提唱してきましたから、ACIのコンセプトにはとても親近感を覚えました。
及川 ユーザーはデータセンターインフラを使いたいわけではなくて、データセンターインフラでホストするアプリケーションなりサービスを使いたいわけです。そういう基本に立ち返って、根本からネットワーキングのマネジメントモデルを考え直すために、新スイッチ製品「Nexus 9000シリーズ」と管理ツール「Application Policy Infrastructure Controller(APIC)」を中心とした、これからのネットワーキング・アーキテクチャを提唱しています。この両製品を組み合わせることで、ユーザーはAPIC上でアプリケーションに必要なサービスをプロファイルとして設定するだけで、あとはバックグラウンドで必要なネットワークサービスの設定や制御を自動的に行ってくれます。ユーザーはまさに“アプリケーション中心”と考えて設定を行います。それにより、従来からの個々のネットワークデバイスを中心とした管理手法から解放されます。
──インフラ管理の現場にとって、具体的にはどのようなメリットがあるのでしょうか?
及川 例えばVLAN管理の煩雑さや拡張性の限界に悩んでいる方にとっては、ACIを導入することでVXLANの仮想ネットワークを容易に展開・管理できるので、VLANで管理できるテナントの拡張性にまつわる悩みから解放されます。また現在、多くの企業がファイアウォールのアクセスリスト管理について、工数や設定のミスに起因するトラブルに悩まされています。これまでのファイアウォールの管理はデバイス中心の管理手法であり、アクセスリストの設定に誤りがあった場合、ファイアウォール配下にあるサービス全体に悪影響を及ぼす可能性がありました。しかし、ACIの管理モデルはアプリケーションごとに集中管理されています。そのため、アプリケーションのプロファイル単位でACLの管理が独立しており、設定ミスの影響を局所化できます。
兼松 データセンターに多種多様なアプリケーションが集約されるようになって、こうした悩みを抱える企業が本当に増えていますよね。同時に、特にWebサービス系企業を中心に、アプリケーションやサービスを極力早く立ち上げたいというニーズも強くなってきました。F5でもこうしたアプリケーション中心のニーズに対応するため、例えばBIG-IPの設定をテンプレート化し、迅速にプロビジョニングを行えるようにしたり、あるいは複数のBIG-IPデバイスのプロビジョニングを一括して行えたりするような機能を強化してきました。
シスコ/F5協業のキーワードは“アプリケーション中心”
──シスコとF5ともに、アプリケーション中心の考え方に基づいてソリューションを提供する方針とのことですが、そんな両社が提携するに至った背景はどのあたりにあったのでしょうか?
兼松 F5はL4-7レイヤの世界では確実に製品を進化させてきました。ユーザーに真のアプリケーション中心のサービスを提供するためには、L4-7だけでなくL2-3レイヤの世界とも連携しないと価値がないと感じていました。そんな折、シスコがACIのコンセプトを打ち出されて、「これはF5のソリューションと極めて相性が良いのではないか」と感じました。
及川 シスコとしても、L2-3レイヤのネットワークレベルで自動化が達成できても、その上のL4-7レイヤによる可用性やセキュリティのネットワークサービスが従来のままのマニュアル運用では意味がありません。そこで、さまざまなL4-7製品のベンダーと協業していますが、F5はL4-7の世界で最も大きなシェアを持つベンダーですし、BIG-IPはロードバランサだけでなく、WAFなどさまざまな機能を備えています。これら個々の機能を個別のデバイスで実装することも可能ですが、そうなると管理の工数が煩雑になり、高度な自動化の実現から遠ざかってしまいます。
兼松 ちなみに、APICには「デバイスパッケージ」という外部デバイスと連携するためのオープンなインタフェースが用意されていますが、BIG-IPとの連携インタフェースの開発にはシスコ本社のエンジニアにも参画してもらっています。通常、クラウドオーケストレータからBIG-IPをコントロールする際には、かなり大ざっぱな設定や制御しかできないのですが、シスコの助けを借りてデバイスパッケージの開発にあたったおかげで、BIG-IPのロードバランシング設定は当然ながら、BIG-IP自体のネットワーク設定、SSLオフロード、マルチテナント設定など、かなり細かい機能までAPICから制御可能になっています。
──現状では、どのレベルまでの連携が実現できているのでしょうか?
兼松 APICとBIG-IPの組み合わせは、相当高いレベルの自動化を達成しています。自動化をうたっていても、実際には複数のツールを使い分けたり、一部手動の作業が必要なケースが多かったりするのですが、この両製品の組み合わせでは、BIG-IPの管理コンソールにアクセスする必要がほとんどないほど自動化が進んでいます。管理者はもはや、BIG-IP自身の設定や制御について、ほとんど意識する必要はなく、APICのコンソール上でアプリケーションプロファイルを設定するだけで、あとは自動的にAPICからBIG-IPの設定が行われます。
及川 APICからアプリケーションサービスを削除した場合も、裏で自動的にBIG-IPに対して設定の削除処理が行われます。手動での管理では、ユーザーやサービスの削除時の設定漏れでセキュリティホールが生じることが多いのですが、APICとBIG-IPの組み合わせならばその心配もありません。
今後も進化し続ける両社の連携ソリューション
──今後、両社の協業はどのような方向に進むのでしょうか?
兼松 現在はAPICからBIG-IPに対して直接ロードバランシング関連のプロビジョニングが行えるようになった段階ですが、まもなくBIG-IQというデバイスを挟んでロードバランサ以外のファイアウォールやWAF関連のサービス設定も行えるようになる予定です。
及川 現時点ではまず第1段階として、プロビジョニングの自動化を実現したわけですが、次のステップはアプリケーションのモニタリング機能になると思います。そのためにはF5製品と、より密接な連携が必要になってくると思います。またAPICの上位にあたるアプリケーションやビジネスプロセスとの連携も強化していく予定です。例えばSAP HANAのプロビジョニングツールでお絵かきをすると、SAP HANA用のアプリケーションプロファイルが自動的に生成されてAPICに渡され、ネットワークサービスが自動的に構築されるといった世界を目指していきます。
兼松 F5でも、アプリケーションごとに固有のテンプレートを使ってデバイス設定を簡素化できるインタフェースを用意していますから、このあたりで連携できれば、さらに高度な自動化が実現できそうですね。
──ありがとうございました。