[レポート]ハイブリットクラウドネットワーキングの課題をCisco Cloud ACIで解決する #NET214-S #reinvent

2019.12.09

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、AWS事業本部の島川です。

本記事ではラスベガスで開催されたAWSの一大イベント AWS re:Invent 2019で発表されたセッションをご紹介いたします。

今回紹介するセッション

What everyone should know about hybrid cloud networking

スピーカー

  • Azeem Suleman - Principal Engineer, Cisco Systems
  • Mayuri Kulkarni - Senior Product Manager, Cisco

概要

Shift your thinking about hybrid cloud networking. In this session, amplify your knowledge of simplifying network connectivity and segmentation through a policy-driven automation framework. Get answers for scalable architectures, which enable common use cases such as cloud migration, cloud bursting, business continuity, and disaster recovery. A live demo showcases Cisco’s flagship SDN solution, Cisco Application Centric Infrastructure. This session also includes details about enabling a consistent management model in hybrid cloud environments, including integration with third-party services like firewalls and load balancers. Finally, learn how to deploy, manage, and operate a hybrid cloud environment while meeting common governance and compliance mandates. This presentation is brought to you by Cisco Systems, an APN Partner.

レポート

ハイブリットクラウドの要件と課題

自動化された安全な接続

  • 構成の複雑さ
  • 複数の接続ポイントによりエラーが発生しやすくなる

基本的に複雑さはスケールとともに増加する。IP、セグメント、VPN、BGP、ルーティング、ACL等複数のものを用意する必要がある。AWSであればセキュリティグループの追加なども含まれる。

一貫したポリシーとセキュリティ体制

  • クラウドとオンプレミスのポリシーの一致

ハイブリッドクラウドに移行する前に、アプリケーションはどのように接続するのか、データベースはオンプレを中心にするのかクラウドにも分散するのかというすり合わせをしておく必要がある。一貫したポリシーが必要不可欠なものである。

オペレーションを簡単にする

  • エンドtoエンドの可視性の欠如と複数のツールのトラブルシューティング

オペレーションをいかに簡単にするか、ツールは既にそろっている。

構成管理ツールであればTerraform/Ansible/CFnなどがある。トラブルシュートであればCloudWatch、CloudTrailなどがある。モニタリングについてはsplunk、Wireshark、Tracerouteなどを駆使する。

Cisco Cloud ACIを使用したハイブリットクラウド

Cisco Cloud ACIとは

  • 自動化されたネットワーク接続、一貫性のあるポリシー管理、およびマルチクラウド環境向けの簡素化された操作のための包括的なソリューション
  • クラウドルーターである「Cisco Cloud Services Router(CSR)1000V」で動作する。
  • できること
    • 規模に応じた運用の自動化
    • マルチクラウドへの移行をサポート
    • ネットワークの保護
    • トラブルシュート~修復の自動化

統括的に管理する

AWSとオンプレミスのポリシーのマッピング

オンプレミス AWS
Tenant User Account
VRF Amazon VPC
Network Subnet VPC Subnet
Group Policy Security Group
Group Classification Tag/Label
Endpoint with unique ip-addr Network Adapter on a EC2

DirectConnect(DX)の設定を自動化する。

  • LOA-CFAの発行と物理接続が完了している必要がある。
  • 自動化できる設定
    • Virtual Interfaceの作成
    • DX Gatewayの設定
    • TransitGatewayの設定
    • オンプレミス側のルータの設定

コンテナネットワークへのポリシー適用

  • コンテナ、VM、ベアメタルのネットワークを統一する
  • k8sのネットワークを統合する。
  • コンテナごとのライブ統計やヘルスメトリックの可視化

使用可能なインテグレーション

  • Ansible
  • Terraform
  • servicenow
  • splunk

最後に

すでにハイブリッドクラウドの運用をされているところは多いと思います。ただ、運用はどうしても手動になっているというのが現実としてあってそれを自動化できるCisco Cloud ACI素晴らしいと思いました。

またコンテナのネットワークも統合して管理してくれるのは便利です。例えばDockerコンテナを立ち上げるとネットワークが構築されますが、デフォルトで172.17.0.0/16の広範囲なレンジを使用します。意識していれば問題ないですが、これが原因で事故の元になるケースもあるかと思います。そういったところも統括的に制御してくれるのはとてもありがたいです。

さらにセキュリティやトラブルシュートなどクラウドだからこそできる便利な機能がそろっています。

インテグレーションもそろっていて運用に多くの課題を持っているユーザーにはとてもおすすめできる製品でした。以上です!