クラウドコンピューティング と最新BIG-IPテクノロジー

DevCentral
クラウドコンピューティング
と最新
と最新BIG
BIG--IP
IPテクノロジー
テクノロジー
2009年5月27日
F5ネットワークスジャパン株式会社
エンジニアリングマネージャ
ジョー・ペルス
INDEX
■ クラウドインフラとクラウドされた
アプリケーションの設計
■ BIG-IP v10の技術紹介
Copyright © 2009 All rights reserved F5 Networks Japan K.K.
第3回DevCentral Members Meeting
2
「クラウドコンピューティング」
■ 「クラウド」とは何？
– さっきのディスカッションでク
ラウドを少し具体化してみた
•
•
•
•
SaaS?
PaaS?
IaaS?
仮想データセンター？
– しかしそれでもどうしてもクラ
ウドはまだ少しぼやっとして
いるコンセプト
Copyright © 2009 All rights reserved F5 Networks Japan K.K.
第3回DevCentral Members Meeting
3
「クラウドコンピューティング」
■ 「クラウド」定義の共通点：
– 強度でありながら柔軟
なインフラ
Copyright © 2009 All rights reserved F5 Networks Japan K.K.
第3回DevCentral Members Meeting
4
クラウドでのアプリケーション構築
■ クラウドでのアプリケーション構築の特徴：
– サーバ構築が簡単で莫大なシステムを作るのが比較的に簡単
– 運用中のハードウェアで新サービスを試験的に構築することが可能
■ 上記の柔軟性から強度なインフラの必要性がでてくる：
– 莫大なシステムにはソースをきちんとした管理が必要
– ハードウェアリソースが実際に限られているとの意識が必要
■ つまり、クラウドで構築したアプリケーションには、クラウドのリソース管
理するものと連携できるキャパシティに余裕のあるフロントエンドが必須
– 柔軟なクラウドインフラにおいてのトラフィック処理はこれまでと違う
– Application Delivery Network Layer（ADN レイヤ）及びApplication
Delivery Controller（ADC）のコンセプトが重要
Copyright © 2009 All rights reserved F5 Networks Japan K.K.
第3回DevCentral Members Meeting
5
ADNには
ADN
にはNW
NWと
とApp
Appの協力が必須
の協力が必須
アプリケーション側
NW上の動作を意識しながら
アプリケーションを開発：
TCP/UDPフローを理解
この協力が少しずつ見え始めている！
• 「NW」装置をApp/Svr側で管理
• AppのNWを可能な限り簡単な構成
ADNレイヤ
アプリケーションを意識した
NW基盤を提供：
運用が簡単、キャパシティがある
ネットワーク側
Copyright © 2009 All rights reserved F5 Networks Japan K.K.
第3回DevCentral Members Meeting
6
NW・
NW
・App
Appを個別に設計するアプローチ
を個別に設計するアプローチ
 App者はサーバ、ソフトウェアを担当
 NW者はサーバ間を含むパスを担当
???
Copyright © 2009 All rights reserved F5 Networks Japan K.K.
第3回DevCentral Members Meeting
7
ADNにおけるアプローチ
ADN
におけるアプローチ
 App者とNW者がチームとしてアプリケーションを担当
 「アプリケーション」はサーバ以外の機器を含む！
 「システム」として設計
Copyright © 2009 All rights reserved F5 Networks Japan K.K.
第3回DevCentral Members Meeting
8
「システム」としての設計
 システム全体を見て、設計する
› これは「アーキテクト」の仕事
Copyright © 2009 All rights reserved F5 Networks Japan K.K.
第3回DevCentral Members Meeting
9
アーキテクト：ゴールを考えた設計
 システムとしてのゴール
›
›
›
›
同時ユーザ接続数
ページ表示時間
利用する帯域幅
障害が発生したときのリカバリ時間、ステート（RTO、RPO）
› 細かいシステム仕様（例：負荷分散方法）はゴールではなく、ゴール
を満たすためのツールに過ぎない！
 クラウド化されているインフラはこのアプローチに適切である
Copyright © 2009 All rights reserved F5 Networks Japan K.K.
第3回DevCentral Members Meeting
10
アプリケーション・アーキテクトによる設計
エンド・ユーザ
ネットワーク

ネットワーク・インフラのニーズは？
›

経路と運用
アプリケーション

アプリケーションの特徴は？
›
›
›
低レイヤの動作
実装すべき機能
オフロードすべき機能
ユーザはどのようにアクセスする？
›
›
ネットワーク特徴
端末特徴
Copyright © 2009 All rights reserved F5 Networks Japan K.K.
第3回DevCentral Members Meeting
11
Summary：クラウドと
Summary
：クラウドとBIG
BIG--IP
■ クラウドインフラに必要なのは：
– １） 柔軟性を提供する仮想マシン管理システム（vSphere）
– ２） 仮想マシン管理システムと連携できるADC（BIG-IP）
– ３） 仮想化されたインフラにおいてアプリケーションを設計するマイン
ドセット（アプリケーションアーキテクト）
Copyright © 2009 All rights reserved F5 Networks Japan K.K.
第3回DevCentral Members Meeting
12
BIG--IP v10におけるテクノロジー
BIG
v10におけるテクノロジー
Copyright © 2009 All rights reserved F5 Networks Japan K.K.
v10のコンセプト
v10
のコンセプト
■Unified Application Delivery
■ アプリケーションのフロントエンドに最も適切なデバイスになるため、
統合と集約の機能を強化：
• パフォーマンス
• CMP拡張
•
•
•
•
•
•
WAM＋ASM併用可
VIPRION＋ASM
リソース割り当て
マルチユーザ
ルーティングドメイン
管理機能拡張（GUI、シェル）
Copyright © 2009 All rights reserved F5 Networks Japan K.K.
第3回DevCentral Members Meeting
14
Unified：
Unified
：BIG
BIG--IP v9.6と
v9.6とv9.4
v9.4の機能統合
の機能統合
■ まずは、ベースはv9.4と9.6でバラバラ
でリリースされた機能の統合
■ BIG-IP v9.4
– 管理用パーティション
– SCF
• BIG-IPを単一ファイルで設定
– イメージスナップショット
– HTTPプロファイルの拡張
• Cookie暗号化
• Webサーバ署名クローキング
• サーバ エラーによるリダイレクト
■ BIG-IP v9.6 (VIPRION)
– GUIでソフトウェア管理
– CMP拡張
• パーシステンス
Copyright © 2009 All rights reserved F5 Networks Japan K.K.
第3回DevCentral Members Meeting
15
Unified：次世代の
Unified
：次世代のBIG
BIG--IP HW
HWで統合
で統合
■ BIG-IP テクノロジーリフレッシュ
– SCCP → AOM
– PVA → マルチコア
– シンプルなデザインによる品質向上
BIG-IP 8900
BIG-IP 1600
BIG-IP 3600
VIPRION
BIG-IP 6900
全機種CMP対応
Copyright © 2009 All rights reserved F5 Networks Japan K.K.
第3回DevCentral Members Meeting
16
BIG--IP v10の新機能
BIG
v10の新機能
■ 新しいGUI －さらにユーザフレンドリー
• テンプレートによる設定
• ログアウトボタン
複数の管理者のあるシステム、
NW専門家以外の管理者が喜ぶ
■ TMOS Shell－新しいシェルでGTMもCLIで設定可能
• 業界のスタンダード
■ iSession
NW専門家が喜ぶ
• BIG-IP間の通信を圧縮や暗号化により最適化
■ リソース・プロビジョニング
• BIG-IPのリソースを細かくコントロール
■ ルーティング・ドメイン
• IPアドレスの重複、
• 複数のデフォルト・ゲートウェイ
■ インバンドモニタ
■ CMP拡張、など・・・
Copyright © 2009 All rights reserved F5 Networks Japan K.K.
大きな仮想化された
システムを設計、
運用するアーキテクト
が喜ぶ
第3回DevCentral Members Meeting
17
GUIの拡張、機能改善
GUI
の拡張、機能改善
■ XUIの採用
• GUI上の個々のセクションが他の要素と分離しているため、
ひとつの要素の変更が他の部分に影響を与えない
■
■
■
■
ログイン画面
ログアウトボタン
デザインの変更
Fly-outメニュー表示
Form入力による認証
カスタマイズ可能な
バナー
Copyright © 2009 All rights reserved F5 Networks Japan K.K.
第3回DevCentral Members Meeting
18
Fly--out
Fly
outメニュー
メニュー
■ Fly-outメニューにより、管理者は特定のタスクへ
ドリルダウンできる
• それぞれのページ（Profile、Services、HTTP）をロードしないので、
管理者にとってもTMOSにとっても負荷が軽減
Copyright © 2009 All rights reserved F5 Networks Japan K.K.
第3回DevCentral Members Meeting
19
設定テンプレート
 アプリケーションの最適な設定のためのテンプレート
Copyright © 2009 All rights reserved F5 Networks Japan K.K.
第3回DevCentral Members Meeting
20
冗長構成ウィザード
 ウィザード形式によるBIG-IP冗長ペアをセットアップ
Copyright © 2009 All rights reserved F5 Networks Japan K.K.
第3回DevCentral Members Meeting
21
TMOS Shell
 BIG-IP v10.0.0からの新しいCLI
 多くの新しい機能
– context sensitive help
– tab completion
– action/object syntax
– tree object structure
 今までのインターフェイス(bash, bpsh)は当面使用可
 なぜ新しいシェル?
– お客様からの強い要望
– “業界標準”（Ciscoのような）シェル
Copyright
© 2008©All
rightsAll
reserved
F5 Networks
K.K. Japan K.K.
Copyright
2009
rights reserved
F5Japan
Networks
BIG-IP v10新機能技術紹介
第3回DevCentral
Members Meeting
22
TMOS Shell
Shellの例：
の例： バーチャルサーバの設定情報
root@lazy(Active)(tmos)# ltm
root@lazy(Active)(tmos.ltm)# virtual
root@lazy(Active)(tmos.ltm.virtual)# list
virtual http_vip {
destination 10.1.1.100:http
ip-protocol tcp
mask 255.255.255.255
pool http_pool
profiles {
http { }
tcp { }
}
snat automap
}
Copyright
© 2008©All
rightsAll
reserved
F5 Networks
K.K. Japan K.K.
Copyright
2009
rights reserved
F5Japan
Networks
BIG-IP v10新機能技術紹介
第3回DevCentral
Members Meeting
23
24
iSession － WAN
WANアプリケーション配信サービス
アプリケーション配信サービス
サイト間の安全かつ最適化された通信
BIG-IP
BIG-IP
WAN
Firewall
Firewall
iSessions
Servers
Symmetric Adaptive Compression
SSL Encryption
Complete L7 QoS
TCP Express 2.0
Servers
iSessions – secure, optimized connection between two BIG-IPs
• iSessionは、BIG-IP上のWANアプリケーションサービスの基盤
• BIG-IP LTM v10からデフォルトでTMOSに含まれる
Copyright © 2009 All rights reserved F5 Networks Japan K.K.
第3回DevCentral Members Meeting
24
iSessionプロファイル
iSession
プロファイル
 iSessionプロファイルで、BIG-IP間の通信を最適化
新しい iSessionプロファイルを
使うことにより、BIG-IP間の通信
をトンネル内で行い、データの暗
号化、圧縮などが可能
•HTTP以外の通信も圧縮
•TCP通信のみ
Copyright © 2009 All rights reserved F5 Networks Japan K.K.
第3回DevCentral Members Meeting
25
iSessionを利用した
iSession
を利用したBIG
BIG--IP
IP間の
間のSSL
SSL トンネル
Clientside
VIP
iSession Pool
iSession VIP
ServerSSL:
encrypt
Clientside VIP
- ServerSSL profile
- LAN optimized TCP profile
- WAN optimized TCP profile
- iSession profile ‘myiSession’
- context=server
- pool = none
Pool myiSessionPool
- - member a.b.c.d:port
Profile myiSession
- compression to match serverside
- port transparency
- Re-use connection
- target VIP = none
- pool = myiSessionPool
Copyright © 2009 All rights reserved F5 Networks Japan K.K.
ClientSSL:
decrypt
iSession VIP
- destination a.b.c.d:port
- ClientSSL profile
- iSession profile ‘myiSession’
- context=client
- LAN optimized TCP profile
- WAN optimized TCP profile
- pool = none
第3回DevCentral Members Meeting
26
リソース・プロビジョニング
■ WAM、ASMなどの各ソフトウェアモジュールが利用できるCPU、メモリ、
ディスクのリソースが個別に設定できる
• 「Resource Provisioning」（リソース・プロビジョニング）と呼ばれる
• 各モジュールがソフトウェア的に独立している
■ 使用例
• 複雑なセキュリティポリシーを実装しているサイトで、ASMモジュールに多くのリ
ソースを設定
• 簡単なポリシーしか使っていないがVIP、Poolが多いサイトでLTM処理を優先
• ASMライセンスを最初から入れるが、検証が終わるまで本番環境はLTMに
最大限のリソースをアサイン
Copyright © 2009 All rights reserved F5 Networks Japan K.K.
第3回DevCentral Members Meeting
27
リソース・プロビジョニング

モジュール毎のCPU、Memory、Diskリソースをアサイン
• CPU
－v10の初期リリースでは、全てのモジュールがtmm以外の
CPUリソースを共有する形で動作
• Memory － tmmおよび各モジュールに個別にアサインされるメモリサイズ
• Disk
－ モジュールが利用できるディスクサイズをアサイン
ブート領域や/sharedのTMOS共有ディスクがカウントに入らない

アサイン対応モジュール
• LTM （つまりtmmデーモン）
• WAM
• WOM
Copyright © 2009 All rights reserved F5 Networks Japan K.K.
•
•
•
•
ASM
PSM
GTM
LC
第3回DevCentral Members Meeting
28
BIG--IP 6900 & 8900 － WAM & ASM
BIG
ASM併用可
併用可
HTTPクラス
ASMとWAMモジュール
をLTMに連携させる
処理の順番：
REQ
REQ
Client
RESP
WA
Plugin
Copyright © 2009 All rights reserved F5 Networks Japan K.K.
RESP
REQ
ASM
Plugin
Server
RESP
第3回DevCentral Members Meeting
29
ルーティング・ドメイン ： 重複する
重複するIP
IPアドレス空間
アドレス空間
■ そもそもどういうものか？
– 複数のVLAN上に同じIPアドレスが存在することを可能に
– これらのIPアドレス空間にて、個々に受信・送信双方のルーティングを可能
に
Copyright © 2009 All rights reserved F5 Networks Japan K.K.
第3回DevCentral Members Meeting
30
ルーティングドメインの設定
Copyright © 2009 All rights reserved F5 Networks Japan K.K.
第3回DevCentral Members Meeting
31
ルーティングドメインの設定
■ バーチャルサーバに、ルーティング・ドメインを適用した様子
■ SNATにRouting Domainを適用した様子
Copyright © 2009 All rights reserved F5 Networks Japan K.K.
第3回DevCentral Members Meeting
32
インバンドモニタ （パッシブモニタ）
 実際のトラフィックのエラー
応答を検出してプールメンバー
をDownさせることができます。
v9.4以降ではiRulesを用いて
設定することができましたが、
v10.0からはGUIから設定でき
るようになりました
 Active Monitorとの併用が可
能です。
 Pool Memberが・・・
upの間はPassive Monitorを、
downの間はActive Monitorを
使うといったことも可能です
Copyright
© 2008©All
rightsAll
reserved
F5 Networks
K.K. Japan K.K.
Copyright
2009
rights reserved
F5Japan
Networks
BIG-IP v10新機能技術紹介
第3回DevCentral
Members Meeting
33
その他の機能拡張
 CMPの拡張
– 全マルチコア・プラットフォームのCMP対応
– 各パーシステンスのCMP対応
– プロダクト・モジュールのCMP対応
 ダッシュボード
Copyright
© 2008©All
rightsAll
reserved
F5 Networks
K.K. Japan K.K.
Copyright
2009
rights reserved
F5Japan
Networks
BIG-IP v10新機能技術紹介
第3回DevCentral
Members Meeting
34
■ クラウドとBIG-IPがベストな組み合わせ
– クラウド管理システムと連携可能
■ クラウド化されたアプリケーションに新しい設
計、運用のアプローチが必要
– アーキテクトによるシステム全体の設計
■ v10ではクラウド化されたインフラで採用しや
すい機能が様々：
– CMPにおける使えきれないキャパシティ
– ルーティングドメインにおける柔軟なNW構成
– NW専門以外の管理者からの簡単操作
RECAP
Copyright © 2009 All rights reserved F5 Networks Japan K.K.
第3回DevCentral Members Meeting
35
THANK YOU
お問い合わせ：F5 First Contact
ありがとうございました
www.f5networks.co.jp/fc/
END
END