仮想化 ロードバランサ Cisco ACE 4710 アプライアンスオンライン製品セミナー 1 ACE 4710 の製品概要 (13:00-13:40) 2009 年 8 月シスコシステムズ合同会社チャネルシステムエンジニアリング大平伸一 Presentation_ID 1
Web セミナー中の QA について Web セミナー中の説明内容やその他の関連事項について 質問がありましたら WebEX 画面のチャット機能にて いつでもご自由に質問の送信をお願い致します Cisco SE xxxxx 質問をいただく際の送信先には すべてのパネリスト を選択していただけますようお願い致します 各セッション内で時間の許す限り ご回答をさせていただきます 2
Cisco Data Center 3.0 について データネットワーク ストレージネットワーク サーバファブリックネットワーク エンタープライズアプリケーション 自動化 (Automation) ダイナミックプロビジョニングと情報ライフサイクル管理 ビジネスの変化に迅速に対応 LAN WAN MAN SAN HPC Cluster GRID 仮想化 (Virtualization) 物理インフラに依存しないリソース管理の実現 ビジネスの変革に即したサービス指向型 IT サービス 統合ネットワーク (IIN) 稼働率と柔軟性の向上 管理工数を削減 サーバ 統合化 (Consolidation) ネットワーク リソースの集約と標準化コスト削減と稼働率の改善 サーバ ネットワーク ストレージ ストレージ 現在 3
Cisco ACE 訴求ポイント ACE のセールスポイント シスコの優位性 お客さまへの価値の提供 業界最高水準の性能と機能 仮想化 機能 グリーン性能 世界 No.1 シェアと 多くの実績 幅広いプロダクトポートフォリオ 将来の安定的なロードマップの提供 Data Center 3.0 戦略との融合 TCO( 総所有コスト ) の削減 主要アプリケーションベンダーとの共同開発 検証 満足と安心を提供 4
世界のロードバランサーマーケットシェア Source: Sep 2008 ロードバランサーの世界 No.1 シェアを獲得! ACE モジュール ACE4710 CSS11500 シリーズ CSM ACE4710 は 販売からわずか一年弱で世界で数千台の出荷 導入実績 5
Application Control Engine 製品ラインナップ XML Switching & Security ACE XML Gateway 30,000 TPS ACE Web Application Firewall Appliance L4 L7 Switching Modules Cisco ACE Module 4 16 Gbps Multimodules (64 Gbps) + One-Click Migration Tools ACE 4710 0.5 4 Gbps ACE GSS 30K DNS RPS Cisco ANM 2.0 Cisco ACE XML Gateway Manager (CSS/CSM ACE) GSLB Global Products and Tools 6
ACE 4710 ハードウェアについて 前面 背面 ハードウェア : 1 RU, 4 x 10/100/1000 Copper Ethernet Ports デュアルコア デュアル CPU アーキテクチャ スループット : 500Mbps 4Gbps ( ライセンス拡張可 ) HW ベース圧縮 : 最大 2 Gbps ( ライセンス拡張可 ) SSL TPS 最大 7500 ( ライセンス拡張可 ) 仮想デバイス最大 20 ( ライセンス拡張可 ) ACL 行数 :40,000 以上 NATエントリー :1Million 仮想デバイス : デフォルト5 最大 20 SSL Throughput :1Gbps CPS :120,000/ 秒 仮想サーバ (VIP) :1000 搭載メモリ : 6 GB ( 基本構成に含む ) デバイスマネージャ GUI 標準搭載 7
ACE 4710: L4-7 機能統合の効果ライセンスモデルによる投資保護 最大スペック 最小スペック upgrade license 4Gbps 500Mbps スループット 100 SSL TPS 100Mbps HTTP 圧縮 5 仮想コンテキスト アプリケーション最適化 500Mbps upgrade license 1Gbps upgrade license 2Gbps スループット SSL TPS HTTP ハードウェア圧縮 仮想コンテキスト アプリケーション最適化 4Gbps スループット 7500 SSL TPS 2Gbps HTTP 圧縮 20 仮想コンテキスト アプリケーション最適化 これらのパラメータ毎にダウンタイム無しでの容量拡張が可能容量不足時のフォークリフト アップグレードは不要 ハードウェアの置換え不要 成長に合わせた投資が可能 8
バンドル製品用型番 ライセンス ライセンスバンドル製品本体 ACE-4710-0.5F-K9 ACE-4710-1F-K9 ACE-4710-2F-K9 ACE-4710-4F-K9 ACE-4710-BAS-2PAK 説明 バンドル製品用アップグレードライセンス ACE-4710-BUN-UP1= ACE-4710-BUN-UP2= ACE-4710-BUN-UP3= 本体 0.5 Gbps パフォーマンス 100 TPS SSL 100 Mbps 圧縮 5 仮想コンテキスト アプリケーション高速化 (50 コネクション限定 ) 本体 1 Gbps パフォーマンス 5,000 TPS SSL 500 Mbps 圧縮 5 仮想コンテキスト アプリケーション高速化 (50 コネクション限定 ) 本体 2 Gbps パフォーマンス 7,500 TPS SSL 1 Gbps 圧縮 5 仮想コンテキスト アプリケーション高速化 (50 コネクション限定 ) 本体 4 Gbps パフォーマンス 7,500 TPS SSL 2 Gbps 圧縮 5 仮想コンテキスト アプリケーション高速化 (50 コネクション限定 ) 本体 2 台のセット 1 Gbps パフォーマンス 1,000 TPS SSL 100 Mbps 圧縮 5 仮想コンテキスト アプリケーション高速化 (50 コネクション限定 ) 0.5G から 1G へのバンドルアップグレード 1G から 2G へのバンドルアップグレード 2G から 4G へのバンドルアップグレード バンドル型番は個別にライセンスを買い揃える場合に比べて 15~30% お得になっています! 9
バンドル製品のアップグレード 1. バンドル製品間のアップグレード ACE-4710-*F-K9 製品は それぞれのバンドル製品間のアップグレード用ライセンスを提供 ACE-4710-1F-K9 利用時に ACE-4710-BUN-UP2= を購入することで ACE- 4710-2F-K9 にアップグレード可能 パフォーマンスが 2G になるだけでなく その他 SSL や圧縮もアップグレードされる 2. 個別アップグレードライセンスによるアップグレード 特定機能のみアップグレードしたい場合 アップグレードライセンスを購入 ACE-4710-1F-K9 利用時に ACE-AP-VIRT-020= を購入 仮想デバイス数を 20 にアップグレード ACE-AP-02-LIC= を購入 スループットが 2G にアップグレード 注意 : 購入後のアップグレードは = 型番のあるものに限られます 10
個別ライセンス型番 ライセンス 説明 ACE 4710 ハードウェア本体 ソフトウェア ( 必須 ) ACE-4710-K9 ACE 4700 本体 ACE-AP-SW-3.2 Software Version 3.2 スループットライセンス ( いずれか必須 ) ACE-AP-01-LIC 1 Gbps License ACE-AP-02-LIC 2 Gbps License ACE-AP-04-LIC 4 Gbps License アップグレードライセンス ACE-AP-02-LIC= 2 Gbps スループットアップグレードライセンス ACE-AP-04-UP1= 1Gbps から 4 Gbps スループットアップグレードライセンス ACE-AP-04-UP2= 2Gbps to 4 Gbps スループットアップグレードライセンス ACE-AP-C-UP1= 500 Mbpsから1Gbps 圧縮アップグレードライセンス ACE-AP-C-UP3= 1 Gpbs から2 Gbps 圧縮アップグレードライセンス ACE-AP-SSL-UP1-K9= 5000 から7500 TPS アップグレードライセンス 11
個別ライセンス型番 ( オプション ) ライセンス オプションライセンス ACE-AP-C-500-LIC ACE-AP-C-1000-LIC ACE-AP-C-2000-LIC ACE-AP-SSL-05K-K9 ACE-AP-SSL-7K-K9 ACE-AP-OPT-LIC-K9 ACE-AP-VIRT-020 スペアライセンス ACE-AP-C-500-LIC= ACE-AP-C-1000-LIC= ACE-AP-C-2000-LIC= ACE-AP-SSL-05K-K9= ACE-AP-SSL-7K-K9= ACE-AP-OPT-LIC-K9= ACE-AP-VIRT-020= 説明 500 Mbps 圧縮ライセンス 1 Gbps 圧縮ライセンス 2 Gbps 圧縮ライセンス 5000 TPS ライセンス 7500 TPS ライセンス アプリケーション最適化ライセンス 20 仮想コンテキストライセンス 500 Mbps 圧縮ライセンススペア 1 Gbps 圧縮ライセンススペア 2 Gbps 圧縮ライセンススペア 5000 TPS ライセンススペア 7500 TPS ライセンススペア アプリケーション最適化ライセンススペア 20 仮想コンテキストライセンススペア 12
個別ライセンス購入の例 ( 例 1) ACE 4710 の個別オーダ時の最小構成 ACE 4710 本体 (ACE-4710-K9) 1Gbps スループットライセンス (ACE-AP-01-LIC) その他の機能 (HTTP 圧縮 SSL 仮想デバイス アプリケーション高速化 ) はデフォルト値で動作 ( 例 2) 2Gbps スループット +20 仮想デバイスが必要な構成 ACE 4710 本体 (ACE-4710-K9) 2Gbps スループットライセンス (ACE-AP-02-LIC) 20 仮想デバイスライセンス (ACE-AP-VIRT-020) その他の機能 (HTTP 圧縮 SSL アプリケーション高速化 ) はデフォルト値で動作 本体購入後のアップグレードライセンスは スペア or アップグレードライセンス ( = 型番 ) のあるものに限られます 13
Cisco ACE 4710 アプライアンス 1RU のハードウェアで必要に応じたライセンスアップグレードが可能 仮想デバイス (VC) 数 20 VC 仮想化機能による統合化の促進 5 VC 段階的な高性能化による投資の保護 7,500 5,000 1,000 100 0.5G 1G 2G 4G SSL 性能 (TPS) サーバオフロードによる最適化 100M 500M 1G パフォーマンス (bps) アプリケーション最適化性能の追求 圧縮性能 (bps) 14 2G
ACE 4710 の業界最高パフォーマンス 第三者機関でのパフォーマンステスト結果 ( 他社比較データ含む ) 他社 (10G) 他社 (2G) 他社 (1G) 数段上のクラスの他社製品と比較しても ACE 4710 はさらに高い性能を発揮 他社 (10G) 他社 (2G) 他社 (1G) ACE4710 は 2Gbps ライセンスで検証 http://www.miercom.com/ 15
ACE モジュールの業界最高パフォーマンス 第三者機関でのパフォーマンステスト結果 ( 他社比較データ含む ) 他社製品 他社製品 (HTTP) 他社製品 ( 標準モード ) ACE モジュールあたり L4 / L7 ともに最大約 14 Gbps の性能を実証 4 枚搭載時 最大約 60 Gbps!! http://www.cisco.com/en/us/prod/collateral/modules/ps2706 /ps6906/prod_brochure0900aecd806d1c8a.pdf 16
Q and A 17
ACE 高機能な負荷分散アルゴリズム Adaptive Response Predictor ( サーバレスポンスタイムベース ) サーバからのレスポンスタイムをベースにロードバランスを行う ( サポート対象は HTTP ) Least Loaded Predictor ( サーバ MIB 値ベース ) SNMP Probe による実サーバの SNMP オブジェクト ID の値をベースにロードバランスを行う ( 例 ; CPU 使用率 メモリ空き容量 ) Least Bandwidth Predictor ( サーバ平均使用帯域ベース ) 実サーバに対する双方向の平均使用帯域 (Bytes/sec) をベースにロードバランスを行う 上記以外にも標準的なロードバランスアルゴリズムである ラウンドロビン ( 重付け可能 ) 最小コネクション ( 重付け可能 ) IP アドレスやヘッダー Cookie URL のハッシュ関数などもサポート 拡張負荷分散アルゴリズムは動的なサーバ負荷にも対応可能 18
Adaptive Response Predictor サーバのレスポンスタイムに応じて負荷分散を行う レスポンスタイムは設定されたサンプル数に基づいて計算される 応答の計測方法として 3 つのオプションを用意 ACE4710 Serverfarm SYN to SYN-ACK ACE4710 から SYN を送信し サーバから SYN-ACK を受信するまでの時間 SYN to Close ACE4710 から SYN を送信し サーバから FIN/RST を受信するまでの時間 App. Request to Response ACE4710 から HTTP リクエストを送信し サーバから HTTP レスポンスを受信するまでの時間 19
Least-loaded Predictor(SNMP 使用 ) サーバの CPU 使用率 メモリ / ディスク空き容量などの情報を取得するために SNMP ベースのプローブを使用 Server Farm Query Result CPU Utilization = 34% Memory Resources = 785300k free Disk Drive Availability = 202GB free ACE SNMP オブジェクト ID CPU Utilization Memory Resources Disk Drive Availability.. Query Result CPU Utilization = 24% Memory Resources = 885300k free Disk Drive Availability = 307GB free Query Result CPU Utilization = 14% Memory Resources = 947300k free Disk Drive Availability = 440GB free サーバ側には SNMP エージェントが必要 ( 特別な追加ソフトウェアは不要 ) 20
Least-bandwidth Predictor Least-bandwidth predictor とは 決められたサンプリング時間内の実際のトラフィックをベースにネットワークトラフィック量を計測し 最小負荷のサーバを選択 ACE とサーバ間の双方向のトラフィック統計を取得し サンプリング時間内の利用ネットワーク帯域幅を計算 トラフィックのサンプリング結果に基づき 順序づけされたサーバリストを作成 最も帯域使用量の少ないサーバを選択 トラフィックボリュームが多いアプリケーションサーバのロードバランスに最適 21
アプリケーションレベルでのサーバヘルスチェック probe http http-test request method get url / www.cisco.ace4710.com expect regex CISCO-service HTTP GET リクエストを送信 http://www.cisco.ace4710.com Web サーバファーム Webサービス連携 Application サービス クライアント PC <HTML データ > CISCO-service HTTP 200OK レスポンスを返信指定したURLに対するHTMLのレスポンス Webサービス連携 Application サービス Webサービス連携 Application サービス 面倒のスクリプトを作成することなく HTTP Response の BODY 部分に含まれる String をチェックしサーバのヘルスチェックを L7 レベルで容易に監視することが可能 22
Cookie 非対応端末におけるセッション維持 ( クエリストリングをサポート ) Cookie に非対応 1HTML ページリクエスト GET Index.html ACE 2 サーバに転送 GET Index.html 200 OK 200 OK ACE では Cookie を動的に学習して Sticky database を作成 3HTML ページ内の Link をリクエスト GET xxx.html?sessionid=123 セッション情報が追加されているコンテンツリンク (URI) を返信 http://www.ciscosystems.com/?sessionid=123 サーバで Set-cookie ヘッダの返信もしてもらう Set-cookie: sessionid = 123 4 学習済みの Cookie 情報と URI に含まれるセッション情報を結びつけ同じサーバにセッション維持可能 端末が Cookie に非対応なため Cookie ヘッダ情報は含められないが セッション情報付きの URI にリクエストする ACE は 自身の Sticky database と HTTP リクエストの URI 内セッション情報に基づき同じサーバにセッションを維持 23
ACE 仮想 SLB ソリューション 仮想デバイスを最大 20 台生成 IT Context 全体の 50% Admin Context 残り (25%) Eng Context 全体の 25% 各仮想デバイスが個別管理 Configurationファイル 専用のディレクトリストラクチャ ルーティングテーブル リソースクラス RBAC ユーザアカウント等 SLBポリシー 最大 20 台の仮想のデバイス ( コンテキスト ) とAdmin 専用の仮想デバイス システム アプリケーション テスト用途に仮想デバイスを展開 仮想デバイス毎の多岐に渡る柔軟なリソース制御 : bandwidth, CPS, SSL, sticky, ACL 等 仮想デバイス毎のリソースのOversubscription 設定も可能 仮想デバイス単位での冗長化やフェールオーバーが可能 Router (NAT), Bridge, One-Armなど 多彩なデザインに柔軟に対応 保証されたリソースを各コンテキストに割り当てることで ACE 仮想デバイスはプラットホームのリソース利用効率を最大に 24
ACE の Web アプリケーションの最適化 Latency Reduction 特許取得済の技術であるFlashForwarding 機能ページダウンロード時間を高速化ラウンドトリップタイムを最小限に抑制効率的なコネクション管理 Bandwidth Reduction 特許取得済の技術であるDelta Encoding 機能 Webページの差分データのみを返信 HTTP Compression 機能 Webコンテンツを専用 HWでGzip 圧縮 Server Offload TCP SSL ACE4710 で終端することでサーバ負荷を軽減 SSL termination TCP Reuse Static および Dynamic Caching 25
ACE の Firewall 機能ペイロード攻撃を回避 The Last Line Of Server Defense Servers And Applications BLOCKED Header パケット Data Data Data Center Interior Attacks Perimeter Network Firewall ペイロード攻撃の対象 Deep Packet Attacks 通常のFirewallだけではアプリケーションデータの保護という観点で不十分 ACEはDPIを行い アプリケーションへの攻撃をブロック Generic Protocol Parsing はDPIによる防御をどんなプロトコルにも適用可 内部からの攻撃 : サーバの直前に位置するACEを活用する DDoS プロトコル脆弱性 悪意あるアクセスからサーバファームを保護 ACE4710 のセキュリティ機能とパフォーマンス : 4Gbps, 64k NAT (1M PAT), 40K ACL エントリー, 1M SYN Blocks/sec 26
Cisco ACE 4710 のセールスポイントがわかる!! Cisco ACE 4710 アプライアンスカタログ セールスポイント 構成 見積例 仮想化構成 VDI 構成 100% 日本語書き下ろし製品紹介用カタログ http://www.cisco.com/jp/go/ace/ 27
Q and A 28