Cisco ACI（Application Centric Infrastructure）の特徴

今後のIT業界におけるインフラは、コンバージドインフラの上で構築されるプライベートクラウドとパブリッククラウドを融合させた、ハイブリッドクラウドが主流になると考えられている。このようなハイブリッドクラウドのネットワークインフラを構築・運用するためには、ネットワークの仮想化は不可欠だといえるだろう。すでに、さまざまなベンダー、非営利団体などがこぞってSDNソリューションを発表し、かなり混沌としている状況とも言えるが、本稿では、他のSDNソリューションとはまったく異なるコンセプトと高機能を提供している、Cisco ACIを紹介する。

Cisco ACI

Cisco ACI（Application Centric Infrastructure）は、その名のとおりアプリケーションレイヤの目線からインフラを作るためのSDNソリューションだ。つまり、アプリケーションのセキュリティ要件、SLA、性能、コンプライアンスといった要件を設定して、ネットワークを構築するというコンセプトだ。

ACIファブリック

Cisco ACIを利用する際は、シスコ独自の物理的なネットワーク機器が必要だ。この点はNECなどが実装する、ホップ・バイ・ホップのOpenFlowと同様だ。実際に利用されるハードウェアとしては、Cisco ACIの基盤を提供するために新規開発された、Nexus9000シリーズのSpineスイッチとLeafスイッチを使用する。

Spineスイッチは、ACIファブリックに接続されるサーバーやネットワーク機器の情報をキャッシュする。Leafスイッチは、ACIファブリックに接続されるサーバーやネットワーク機器に対して物理的なポートを提供する。また、仮想環境に導入することが可能な仮想LeafスイッチとしてAVS（Application Virtual Switch）も提供している。

このように、Nexus7000シリーズやNexus5600シリーズのイーサネットファブリック技術であるFabric Path同様、Spine-Leafのシンプルなネットワークトボロジであり、ACIファブリック内のリンクは、40GbE以上という広帯域で接続される。

Cisco ACIのネットワークにおいて特徴的なのは、一元的にACIファブリックを制御するためのコントローラーであるAPIC（Application Policy Infrastructure Controller）を利用する点だ。このAPICから容易な操作で、ACIファブリックにSpineスイッチとLeafスイッチを参加させることができる。スケールアウトする際も、迅速にLeafスイッチをACIファブリックに追加することが可能になる。

図1：ACIファブリック

プロファイルベースのネットワーク

従来のネットワークでは、各レイヤに対する設定をそれぞれの機器に対して行ってきた。たとえば、L2-L3であればスイッチやルーター、L4-L7であれば、ロードバランサやファイアウォールの個々の機器に対して設定を行う必要があった。こうしたネットワークの設定を、Cisco ACIでは、APICでネットワークの設定を抽象化したポリシーという設定項目を作成し、ポリシーをまとめたプロファイルを作成していく。後は、このプロファイルをAPICからACIファブリックに対して適用するだけで、ファブリックすべての機器に対して設定が反映される。このように、従来のネットワークの設定方法とはまったく違った形でネットワークの構築プロセスを簡素化することにより迅速性を達成する。Cisco UCS（Cisco Unified Computing System）を理解している方であれば、UCS ManagerのService Profileをネットワークの世界で実現しているといえば、すぐにイメージができるであろう。

図2：プロファイルベースのネットワーク

• ネットワークを抽象化してACIファブリックに適用

APIでネットワークを構築

先に述べたように、Cisco ACIでは、基本的にAPICのGUIを使用してプロファイルを作成し、ネットワークを構築していくが、ACIの管理するすべての要素は構造化されたオブジェクトの集合体となっておりAPIを通じて設定・管理することが可能だ。そのため、外部からPostManなどのAPIエディタを利用し、そこからAPIをAPICに対して送信すれば、そのAPIに応じたプロファイルが作成され、そのプロファイルがACIファブリックに適用されるので、APIを使用すれば瞬時にネットワークを構築することが可能だ。今現在、Cisco ACIではXMLやJSONなどをサポートしている。これによりネットワークインフラをコーディング対象として自動化の範疇に取り込むことが可能になる。

オープンなエコシステム

上記のようにCisco ACIはAPIに対応しているので、さまざまな他社製品と連携が可能であり、オープンなところも魅力の1つだ。Northbound APIであれば、クラウドOS、オートメーションツールと呼ばれているOpenStack、vCloud Director、Azure Pack、UCS Directorなどから指示を受けて、APICはネットワークを作成することができる。Southbound APIであれば、エコパートナーのアプライアンス製品との連携が可能だ。今現在はエコパートナー側が用意しているデバイスパッケージをAPICに導入することで、エコパートナーのアプライアンス製品とAPICの連携を可能としている。記事の執筆時点では（2015年4月）、F5ネットワークスのBIG-IP、シトリックス・システムズのNetScaler、Check PointのNext Generation Security Gateway、RadwareのAlteon NG application delivery controller （ADC）、DefenseProなどとの連携が可能だ。当然、シスコ製品のASAとも連携できる。今後はOpFlexというOpenDaylightプロジェクトで進めているプロトコルを使用し、Cisco ACI以外のシスコ製品や他社製品と連携することも予定されている。この連携により、APICのGUI上からエコパートナーのアプライアンス製品の設定を一元的に行うことを可能にしている。

図3：ASA

物理と仮想のネットワーク

Cisco ACIは、VLAN、VXLAN、NVGRE（今後対応予定）のエンドポイント機能を有しているので、ACIファブリックにどのようなOS、ハイパーバイザーから通信があっても、適切にパケットを処理することが可能だ。また、APICとVMwareのvCenterやWindows ServerのSCVMM（今後対応予定）と連携することもできる。これにより、たとえば、APICからVMware環境に対してポートグループを自動的に作成し、なおかつ、VLANの払い出しも動的に行うことが可能になる。また、F5のBIG-IPと連携した際も同様に、LTMに対して自動的にパーティションを作成し、なおかつ、自動的にVLANの払い出しも動的行うことができる。要は、L2までの設定をCisco ACI側で一括して行い、仮想スイッチやアプライアンス製品に対してもセグメント分けを自動的に行うことができる。また、上記の「プロファイルベースのネットワーク」で物理と仮想のネットワーク設定もAPICで行うことができる。これにより、L2以下を気にしないでマルチテナント環境を構築することが可能になる。これが、本稿の冒頭で「アプリケーションレイヤの目線」からネットワークを構築可能、と最初に述べたことだ。この点は他のSDNではまだ実現できていない優位性ともいえる。

高度な分析機能

Cisco ACIでは、テナント毎にヘルススコア、遅延情報、アトミックカウンタ、リソースの使用状況などの高度な分析機能をサポートしている。これらの情報はGUIで容易に状況が把握できるスコア形式で表示されるため、障害時のトラブルシューティングを短縮し、迅速にシステムを復旧させることが可能だ。今後のアップデートでは、ACIファブリック、エコパートナーのアプライアンス製品、仮想スイッチを含めたトポロジの描写が可能になり、End-to-Endの通信に関するパケットのフロー、遅延、ドロップなどの情報もトポロジ画面から確認することが可能になる。

図4：ヘルススコア