View
3
Download
0
Category
Preview:
Citation preview
Presentation_ID 1
2009年8月
シスコシステムズ合同会社
チャネルシステムエンジニアリング
大平 伸一
”仮想化” ロード バランサ
Cisco ACE 4710 アプライアンス オンライン製品セミナー①
ACE 4710 の製品概要
(13:00 - 13:40)
Presentation_ID 2© 2009 Cisco Systems, Inc. All rights reserved. Cisco Public
Web セミナー中の QA について
Web セミナー中の説明内容やその他の関連事項について、質問がありましたら、WebEX 画面のチャット機能にて、いつでもご自由に質問の送信をお願い致します。
質問をいただく際の送信先には、“すべてのパネリスト” を選択していただけますようお願い致します。
各セッション内で時間の許す限り、ご回答をさせていただきます。
Cisco SE
xxxxx
Presentation_ID 3© 2009 Cisco Systems, Inc. All rights reserved. Cisco Public
自動化 (Automation)自動化 (Automation)
ストレージ
ネットワーク
サーバ
ビジネスの変革に即したサービス指向型
ITサービス
ダイナミック プロビジョニングと情報ライフサイクル管理
ビジネスの変化に迅速に対応
仮想化 (Virtualization)仮想化 (Virtualization)
ストレージネットワークサーバ
エンタープライズアプリケーション
物理インフラに依存しないリソース管理の実現
稼働率と柔軟性の向上、管理工数を削減
サーバファブリックネットワーク
HPCClusterGRID
リソースの集約と標準化
コスト削減と稼働率の改善
統合化 (Consolidation)統合化 (Consolidation)
LANWANMAN
SAN
ストレージネットワーク
データネットワーク
統合ネットワーク(IIN)
統合ネットワーク(IIN)
Cisco Data Center 3.0について
現在
Presentation_ID 4© 2009 Cisco Systems, Inc. All rights reserved. Cisco Public
• 幅広いプロダクト
ポートフォリオ
• 将来の安定的なロードマップの提供
• Data Center 3.0 戦略との融合
• TCO(総所有コスト)
の削減
• 主要アプリケーションベンダーとの共同開発・検証
• 満足と安心を提供
• 業界最高水準の性能と機能
• “仮想化” 機能
• グリーン性能
• 世界 No.1 シェア
と、多くの実績
お客さまへの
価値の提供
シスコの
優位性
ACE のセールスポイント
Cisco ACE 訴求ポイント
Presentation_ID 5© 2009 Cisco Systems, Inc. All rights reserved. Cisco Public
世界のロードバランサー マーケットシェア
ロードバランサーの世界 No.1 シェアを獲得!
ACE モジュール、ACE4710、CSS11500 シリーズ、CSM
ACE4710は、販売からわずか一年弱で世界で数千台の出荷・導入実績
Source: Sep 2008
Presentation_ID 6© 2009 Cisco Systems, Inc. All rights reserved. Cisco Public
Application Control Engine 製品ラインナップ
Cisco ACE Module
4 – 16 Gbps
Modules
ACE XML Gateway30,000 TPS
Cisco ANM 2.0
Global Products and Tools
Appliance
ACE 47100.5 – 4 Gbps
ACE GSS30K DNS RPS
L4 – L7 SwitchingXML Switching & Security
ACE WebApplication
Firewall
Cisco ACE XML Gateway Manager
“One-Click”Migration
Tools
(CSS/CSMACE)
+
Multi-modules(64 Gbps)
GSLB
Presentation_ID 7© 2009 Cisco Systems, Inc. All rights reserved. Cisco Public
ACE 4710 ハードウェアについて
前面
背面
ハードウェア: 1 RU, 4 x 10/100/1000 Copper Ethernet Ports
デュアルコア、デュアルCPUアーキテクチャ
搭載メモリ: 6 GB (基本構成に含む)
デバイスマネージャGUI 標準搭載
スループット: 500Mbps – 4Gbps (ライセンス拡張可)HWベース圧縮: 最大2 Gbps (ライセンス拡張可)SSL TPS 最大7500 (ライセンス拡張可)仮想デバイス 最大20 (ライセンス拡張可)
ACL行数 :40,000以上NATエントリー :1Million仮想デバイス :デフォルト5、最大20SSL Throughput :1GbpsCPS :120,000/秒仮想サーバ(VIP) :1000
Presentation_ID 8© 2009 Cisco Systems, Inc. All rights reserved. Cisco Public
ハードウェアの置換え不要、成長に合わせた投資が可能
• 500Mbpsスループット• 100 SSL TPS• 100Mbps HTTP圧縮• 5仮想コンテキスト• アプリケーション最適化
4Gbps
ACE 4710: L4-7機能統合の効果ライセンスモデルによる投資保護
upgradelicense
2Gbps
1Gbps
500Mbps
upgradelicense
upgradelicense
• 4Gbpsスループット• 7500 SSL TPS• 2Gbps HTTP圧縮• 20仮想コンテキスト• アプリケーション最適化• スループット
• SSL TPS• HTTPハードウェア圧縮• 仮想コンテキスト• アプリケーション最適化
↑これらのパラメータ毎にダウンタイム無しでの容量拡張が可能
容量不足時のフォークリフト・アップグレードは不要
最小スペック
最大スペック
Presentation_ID 9© 2009 Cisco Systems, Inc. All rights reserved. Cisco Public
バンドル製品用型番ライセンス 説明
ライセンス バンドル製品 本体
ACE-4710-0.5F-K9 本体、0.5 Gbps パフォーマンス、100 TPS SSL、100 Mbps 圧縮、5 仮想コンテキスト、アプリケーション高速化(50 コネクション限定)
ACE-4710-1F-K9 本体、1 Gbps パフォーマンス、5,000 TPS SSL、500 Mbps 圧縮、5 仮想コンテキスト、アプリケーション高速化(50 コネクション限定)
ACE-4710-2F-K9 本体、2 Gbps パフォーマンス、7,500 TPS SSL、1 Gbps 圧縮、5 仮想コンテキスト、アプリケーション高速化(50 コネクション限定)
ACE-4710-4F-K9 本体、4 Gbps パフォーマンス、7,500 TPS SSL、2 Gbps 圧縮、5 仮想コンテキスト、アプリケーション高速化(50 コネクション限定)
ACE-4710-BAS-2PAK 本体2台のセット1 Gbps パフォーマンス、1,000 TPS SSL、100 Mbps 圧縮、5 仮想コンテキスト、アプリケーション高速化(50 コネクション限定)
バンドル製品用 アップグレード ライセンス
ACE-4710-BUN-UP1= 0.5G から1G へのバンドルアップグレード
ACE-4710-BUN-UP2= 1G から2G へのバンドルアップグレード
ACE-4710-BUN-UP3= 2Gから4G へのバンドルアップグレード
バンドル型番は個別にライセンスを買い揃える場合に比べて、15~30% お得になっています!
Presentation_ID 10© 2009 Cisco Systems, Inc. All rights reserved. Cisco Public
バンドル製品のアップグレード
1. バンドル製品間のアップグレード
ACE-4710-*F-K9 製品は、それぞれのバンドル製品間のアップグレード用ライセンスを提供
ACE-4710-1F-K9 利用時に、ACE-4710-BUN-UP2= を購入することで、ACE-4710-2F-K9 にアップグレード可能
パフォーマンスが 2G になるだけでなく、その他 SSL や圧縮もアップグレードされる
2. 個別アップグレード ライセンスによるアップグレード
特定機能のみアップグレードしたい場合、アップグレード ライセンスを購入
ACE-4710-1F-K9 利用時に、
ACE-AP-VIRT-020= を購入 → 仮想デバイス数を 20 にアップグレード
ACE-AP-02-LIC= を購入 → スループットが 2G にアップグレード
注意: 購入後のアップグレードは、 “=” 型番のあるものに限られます
Presentation_ID 11© 2009 Cisco Systems, Inc. All rights reserved. Cisco Public
個別ライセンス型番
ライセンス 説明
ACE 4710 ハードウェア 本体、ソフトウェア (必須)
ACE-4710-K9 ACE 4700 本体
ACE-AP-SW-3.2 Software Version 3.2スループット ライセンス (いずれか必須)
ACE-AP-01-LIC 1 Gbps LicenseACE-AP-02-LIC 2 Gbps LicenseACE-AP-04-LIC 4 Gbps Licenseアップグレード ライセンス
ACE-AP-02-LIC= 2 Gbps スループットアップグレードライセンス
ACE-AP-04-UP1= 1Gbps から 4 Gbps スループットアップグレードライセンス
ACE-AP-04-UP2= 2Gbps to 4 Gbps スループットアップグレードライセンス
ACE-AP-C-UP1= 500 Mbpsから1Gbps 圧縮アップグレードライセンス
ACE-AP-C-UP3= 1 Gpbs から2 Gbps 圧縮アップグレードライセンス
ACE-AP-SSL-UP1-K9= 5000 から7500 TPS アップグレードライセンス
Presentation_ID 12© 2009 Cisco Systems, Inc. All rights reserved. Cisco Public
個別ライセンス型番 (オプション)ライセンス 説明
オプション ライセンス
ACE-AP-C-500-LIC 500 Mbps 圧縮ライセンス
ACE-AP-C-1000-LIC 1 Gbps 圧縮ライセンス
ACE-AP-C-2000-LIC 2 Gbps 圧縮ライセンス
ACE-AP-SSL-05K-K9 5000 TPS ライセンス
ACE-AP-SSL-7K-K9 7500 TPS ライセンス
ACE-AP-OPT-LIC-K9 アプリケーション最適化ライセンス
ACE-AP-VIRT-020 20 仮想コンテキストライセンス
スペア ライセンス
ACE-AP-C-500-LIC= 500 Mbps 圧縮ライセンススペア
ACE-AP-C-1000-LIC= 1 Gbps 圧縮ライセンススペア
ACE-AP-C-2000-LIC= 2 Gbps 圧縮ライセンススペア
ACE-AP-SSL-05K-K9= 5000 TPS ライセンススペア
ACE-AP-SSL-7K-K9= 7500 TPS ライセンススペア
ACE-AP-OPT-LIC-K9= アプリケーション最適化ライセンススペア
ACE-AP-VIRT-020= 20 仮想コンテキストライセンススペア
Presentation_ID 13© 2009 Cisco Systems, Inc. All rights reserved. Cisco Public
個別ライセンス購入の例
(例 1) ACE 4710 の個別オーダ時の最小構成
– ACE 4710 本体 (ACE-4710-K9)
– 1Gbps スループット ライセンス (ACE-AP-01-LIC)
その他の機能 (HTTP 圧縮、SSL、仮想デバイス、アプリケーション高速化) はデフォルト値で動作
(例 2) 2Gbps スループット+20 仮想デバイスが必要な構成
– ACE 4710 本体 (ACE-4710-K9)
– 2Gbps スループット ライセンス (ACE-AP-02-LIC)
– 20 仮想デバイス ライセンス (ACE-AP-VIRT-020)
その他の機能 (HTTP 圧縮、SSL、アプリケーション高速化) はデフォルト値で動作
本体購入後のアップグレード ライセンスは、スペア or アップグレード ライセンス (“=”型番) のあるものに限られます
Presentation_ID 14© 2009 Cisco Systems, Inc. All rights reserved. Cisco Public
0.5G
仮想デバイス (VC)数
SSL 性能 (TPS)
圧縮性能 (bps)
パフォーマンス(bps)
1G 2G 4G
20 VC
5 VC
1,0005,0007,500
2G
1G
500M
100M
アプリケーション最適化性能の追求
仮想化機能による統合化の促進
サーバ オフロード
による最適化
段階的な高性能化による投資の保護
100
Cisco ACE 4710 アプライアンス1RU のハードウェアで必要に応じたライセンス アップグレードが可能
Presentation_ID 15© 2009 Cisco Systems, Inc. All rights reserved. Cisco Public
ACE 4710 の業界最高パフォーマンス
第三者機関でのパフォーマンステスト結果 (他社比較データ含む)
数段上のクラスの他社
製品と比較しても、
ACE 4710 はさらに高
い性能を発揮
http://www.miercom.com/
他社(10G)他社(2G)他社(1G)
他社(10G)他社(2G)他社(1G)
※ ACE4710 は 2Gbpsライセンスで検証
Presentation_ID 16© 2009 Cisco Systems, Inc. All rights reserved. Cisco Public
ACE モジュールの業界最高パフォーマンス
第三者機関でのパフォーマンステスト結果 (他社比較データ含む)
http://www.cisco.com/en/US/prod/collateral/modules/ps2706/ps6906/prod_brochure0900aecd806d1c8a.pdf
ACE モジュールあたり、L4 / L7 ともに
最大約 14 Gbps の性能を実証
→ 4 枚搭載時、最大約 60 Gbps !!
他社製品他社製品 (HTTP)
他社製品 (標準モード)
Presentation_ID 17© 2009 Cisco Systems, Inc. All rights reserved. Cisco Public
Q and A
Presentation_ID 18© 2009 Cisco Systems, Inc. All rights reserved. Cisco Public
ACE 高機能な負荷分散アルゴリズム
Adaptive Response Predictor (サーバレスポンスタイムベース)サーバからのレスポンスタイムをベースにロードバランスを行う(サポート対象は HTTP )
Least Loaded Predictor (サーバ MIB 値ベース)SNMP Probeによる実サーバの SNMP オブジェクト ID の値をベースにロードバランスを行う(例; CPU 使用率、メモリ空き容量)
Least Bandwidth Predictor (サーバ平均使用帯域ベース)実サーバに対する双方向の平均使用帯域(Bytes/sec)をベースにロードバランスを行う
拡張負荷分散アルゴリズムは動的なサーバ負荷にも対応可能
※上記以外にも標準的なロードバランスアルゴリズムである、ラウンドロビン(重付け可能)、最小コネクション(重付け可能)、IPアドレスやヘッダー、Cookie、URLのハッシュ関数などもサポート
Presentation_ID 19© 2009 Cisco Systems, Inc. All rights reserved. Cisco Public
• サーバのレスポンスタイムに応じて負荷分散を行う• レスポンスタイムは設定されたサンプル数に基づいて計算される• 応答の計測方法として3つのオプションを用意
Adaptive Response Predictor
ACE4710からHTTPリクエストを送信し、サーバからHTTP レスポンスを受信するまでの時間
ACE4710からHTTPリクエストを送信し、サーバからHTTP レスポンスを受信するまでの時間
ACE4710からSYNを送信し、サーバからSYN-ACK を受信するまでの時間
ACE4710からSYNを送信し、サーバからSYN-ACK を受信するまでの時間
ACE4710からSYNを送信し、サーバから FIN/RSTを受信するまでの時間
ACE4710からSYNを送信し、サーバから FIN/RSTを受信するまでの時間
ACE4710 Serverfarm
SYN to CloseSYN to Close App. Request to ResponseApp. Request to ResponseSYN to SYN-ACKSYN to SYN-ACK
Presentation_ID 20© 2009 Cisco Systems, Inc. All rights reserved. Cisco Public
サーバの CPU 使用率、メモリ/ディスク空き容量などの情報を取得するために SNMP ベースのプローブを使用。
SNMP オブジェクト ID
CPU UtilizationMemory ResourcesDisk Drive Availability……. ……. Query Result
CPU Utilization = 14%Memory Resources= 947300k freeDisk Drive Availability= 440GB free
Query ResultCPU Utilization = 14%Memory Resources= 947300k freeDisk Drive Availability= 440GB free
Query Result CPU Utilization = 24%Memory Resources= 885300k freeDisk Drive Availability= 307GB free
Query Result CPU Utilization = 24%Memory Resources= 885300k freeDisk Drive Availability= 307GB free
Query ResultCPU Utilization = 34%Memory Resources= 785300k freeDisk Drive Availability= 202GB free
Query ResultCPU Utilization = 34%Memory Resources= 785300k freeDisk Drive Availability= 202GB free
サーバ側にはSNMP エージェントが必要。(特別な追加ソフトウェアは不要)
Least-loaded Predictor(SNMP使用)
ACE
Server Farm
Presentation_ID 21© 2009 Cisco Systems, Inc. All rights reserved. Cisco Public
Least-bandwidth Predictor
Least-bandwidth predictor とは、
決められたサンプリング時間内の実際のトラフィックをベースにネットワークトラフィック量を計測し、最小負荷のサーバを選択
ACEとサーバ間の双方向のトラフィック統計を取得し、サンプリング時間内の
利用ネットワーク帯域幅を計算
トラフィックのサンプリング結果に基づき、順序づけされたサーバリストを作成
最も帯域使用量の少ないサーバを選択
トラフィックボリュームが多いアプリケーションサーバのロードバランスに最適
Presentation_ID 22© 2009 Cisco Systems, Inc. All rights reserved. Cisco Public
アプリケーションレベルでのサーバヘルスチェック
Webサービス
Application
サービス
CISCO-service
HTTP GETリクエストを送信
http://www.cisco.ace4710.com
Webサーバファーム
HTTP 200OK レスポンスを返信
指定したURLに対するHTMLのレスポンス
連携
Webサービス
Application
サービス
連携
Webサービス
Application
サービス
連携
クライアントPC
面倒のスクリプトを作成することなく、HTTP ResponseのBODY部分に含まれるStringをチェックしサーバのヘルスチェックをL7レベルで容易に監視することが可能
probe http http-testrequest method get url / www.cisco.ace4710.com expect regex CISCO-service
<HTMLデータ>
Presentation_ID 23© 2009 Cisco Systems, Inc. All rights reserved. Cisco Public
①HTML ページリクエストGET Index.html
200 OK
③HTMLページ内のLink をリクエスト
GET xxx.html?sessionid=123
Cookie に非対応 ②サーバに転送
GET Index.html
200 OK
端末が Cookie に非対応なため、Cookie ヘッダ情報は含められないが、セッション情報付きの URI にリクエストする
セッション情報が追加されているコンテンツリンク(URI)を返信http://www.ciscosystems.com/?sessionid=123サーバで Set-cookie ヘッダの返信もしてもらうSet-cookie: sessionid = “123”
Cookie 非対応端末におけるセッション維持(クエリストリングをサポート)
ACE では Cookie を動的に学習して Sticky database を作成
ACE は、自身の Sticky database とHTTP リクエストのURI 内セッション情報に基づき同じサーバにセッションを維持
④学習済みの Cookie 情報と URI に含まれるセッション情報を結びつけ
同じサーバにセッション維持可能
ACE
Presentation_ID 24© 2009 Cisco Systems, Inc. All rights reserved. Cisco Public
仮想デバイスを最大20台生成
最大20台の仮想のデバイス(コンテキスト)とAdmin専用の仮想デバイス
システム、アプリケーション、テスト用途に仮想デバイスを展開
仮想デバイス毎の多岐に渡る柔軟なリソース制御: bandwidth, CPS, SSL, sticky, ACL等
仮想デバイス毎のリソースのOversubscription設定も可能
仮想デバイス単位での冗長化やフェールオーバーが可能
Router (NAT), Bridge, One-Armなど、多彩なデザインに柔軟に対応
各仮想デバイスが個別管理Configurationファイル
専用のディレクトリストラクチャ
ルーティングテーブル
リソースクラス
RBAC、ユーザアカウント等
SLBポリシー
ACE 仮想SLBソリューション
Admin Context残り(25%)
IT Context全体の50%
Eng Context全体の25%
保証されたリソースを各コンテキストに割り当てることでACE仮想デバイスはプラットホームのリソース利用効率を最大に
Presentation_ID 25© 2009 Cisco Systems, Inc. All rights reserved. Cisco Public
ACEのWebアプリケーションの最適化
特許取得済の技術であるFlashForwarding機能
ページダウンロード時間を高速化
ラウンドトリップタイムを最小限に抑制
効率的なコネクション管理
Latency Reduction
Bandwidth Reduction 特許取得済の技術であるDelta Encoding機能
Webページの差分データのみを返信
HTTP Compression機能
Webコンテンツを専用HWでGzip圧縮
Server Offload
SSL
TCP
ACE4710で終端することでサーバ負荷を軽減
SSL termination
TCP Reuse
Static および Dynamic Caching
Presentation_ID 26© 2009 Cisco Systems, Inc. All rights reserved. Cisco Public
ACEのFirewall機能 ペイロード攻撃を回避The Last Line Of Server Defense
PerimeterNetworkFirewall
ServersAnd
Applications
Data Center
Deep Packet Attacks通常のFirewallだけではアプリケーションデータの保護という観点で不十分
ACEはDPIを行い、アプリケーションへの攻撃をブロック
『Generic Protocol Parsing』 はDPIによる防御をどんなプロトコルにも適用可
ペイロード攻撃の対象
パケット
Data
ACE4710のセキュリティ機能とパフォーマンス:4Gbps, 64k NAT (1M PAT), 40K ACL エントリー, 1M SYN Blocks/sec
InteriorAttacks
BLOCKED
内部からの攻撃: サーバの直前に位置するACEを活用する
DDoS、プロトコル脆弱性、悪意あるアクセスからサーバファームを保護
Header Data
Presentation_ID 27© 2009 Cisco Systems, Inc. All rights reserved. Cisco Public
Cisco ACE 4710 のセールス ポイントがわかる !!Cisco ACE 4710 アプライアンス カタログ
100% 日本語 書き下ろし 製品紹介用カタログ
http://www.cisco.com/jp/go/ace/
セールス ポイント
構成・見積例
・仮想化構成
・VDI 構成
Presentation_ID 28© 2009 Cisco Systems, Inc. All rights reserved. Cisco Public
Q and A
Recommended