セコムトラストシステムズ株式会社 ハイブリッドクラウドの親和性が高いセコムセキュアデータセンター ~ 安定した環境を実現するためのソリューション紹介 ~ 2016 年 08 月 31 日セコムトラストシステムズ株式会社 中村淳 Copyright 2016 SECOM Trust Systems C

ハイブリッドクラウドの親和性が高い

セコム セキュアデータセンター

～ 安定した環境を実現するためのソリューション紹介 ～

2016年 08月31日

セコムトラストシステムズ株式会社

中村 淳

セコムトラストシステムズ株式会社

アジェンダ

・ハイブリッド クラウドの親和性が高いセキュアデータセンターの紹介

→ セコム セキュアデータセンター（東京＆大阪）のご紹介

→ クラウド接続サービス （ Direct Link Colocation 接続 ）

・ハイブリッド クラウド環境を実現するために

→ IBM様との共同検証内容のご紹介

+ VMware NSX ＆ DirectLink Colocation

+ Direct Link のVRF接続検証

SoftLayerとハイブリッドクラウドを行うための接続について

プライベート接続を⾏う⽅法

・Internet からの接続

→ Internet VPN

・WAN

(専用線)

からの接続 → Direct Link

3つのサービスメニュー体系

Direct Link Cloud (Cloud Exchange)

Equinix Cloud Exchange を経由するダイレクト接続

Direct Link NSP (Network Service Provider)

SoftLayer の PoP を経由した専用線でのダイレクト接続

Direct Link CSP (Colocation Service Provider)

データセンター構内回線経由のダイレクト接続が可能なラックのご提供

Direct Link POP接続 可用性 接続先 1G 価格/月 備考

Cloud Exchange

共有

シングル

Equinix

$ 399

Equinixにラックが必要

NSP

_占有

_シングル

_Equinix

_{$ 1,499}

Equinixにラックが必要

Colocation

占有

冗⻑

アット東京

$ 1,499

アット東京にラックが必要

セコムグループ と SoftLayerとの関わり

セコムグループ の アット東京は、日本国内 唯一の Direct Link の コロケーション・プロバイダーです。

アット東京 と

セコム セキュアデータセンター

は 広帯域で冗⻑化された信頼性の高いバックボーンがあります。

この環境を元に、SoftLayerとのハイブリッド環境を構成するための、各種オプションサービスを提供します。

セコムのデータセンターは様々な業種業態のお客様にご利用いただいております。 ⾦融・保険・医療・官公庁・情報系・製造・メーカー・サービス・⾷品・協会・学校・各種団体・ 個人情報取り扱い事業者etc… 1984年 セコム情報システム㈱設⽴ セコムグループ情報系事業、SI事業開始 1985年 セコムネット㈱設⽴ VAN事業、ネットワーク販売事業開始 （日本電信電話公社⺠営化〜電気通信事業法） 1994年 東京インターネット㈱ （元セコムグループ） ISP事業・データセンター事業参入 2000年 セキュアデータセンター、プレオープン 2001年 セキュアデータセンターオープン、商標登録 2001年 セコム東京中央データセンターオープン 2003年 セキュアデータセンター山陰オープン 2005年 セキュアデータセンター鳥取オープン 2006年 セコム関⻄バックアップセンターオープン 2008年 BCPセンタープロジェクト始動 2010年 セキュアデータセンター新館オープン 2012年 (株)アット東京、セコムグループ入り （日本最大のサーバースペース面積の保有） 2013年 セキュアデータセンター大阪オープン 2013年 セキュアデータセンター別館オープン 2014年 セコムマネージドクラウドサービス（SoftLayer）提供開始

ハイブリッドクラウド環境に最適なデータセンターとは？

ハイブリッドクラウドを意識した環境を検討するシーン

・フロントエンドのエンジンはSoftLayer 、重要なデータはオンプレミス環境 →

・SoftLayer と オンプレミス環境 での

DR環境実現

（遠隔地でのDR要件）

→

・SoftLayer だけでは実現できないセキュリティ要件

→

・SoftLayer に移⾏できない特殊なシステム（ライセンス）との接続

→

アット東京

Direct Link Colocation

Equinix

Direct Link Cloud Exchange POP Equinix Cloud Exchange

SoftLayer

セコム

セキュアデータセンター

東京

Backboneセコム Network 10G×2 各キャリア Network各キャリア Network NOC

セコム

セキュアデータセンター

大阪

セコム Backbone Network 10G×2

Internet

マルチホームで 冗⻑化された Internet接続 POP

セコムのセキュアデータセンターは、SoftLayerとのハイブリッドクラウドを実現するための

親和性に優れたデータセンターです。

SoftLayer と セキュアデータセンター のNW構成 相関図

・好条件の通信環境

・安心できるファシリティ

・各種セキュリティ対策

・SIによる環境構築支援

[ 実現するために必要な要件 ]

セコムがお手伝いします！

セコム セキュアデータセンターの特長

クラウドサービスとのハイブリッド環境を構築するうえで、重要視したいオンプレミス環境の安全性

セコム セキュアデータセンターであれば、安心できる環境をご利用いただけます。

セコム セキュアデータセンターの特長 （１）

■セキュアデータセンター東京（別館）

都心からのアクセスが30分圏内（公共交通機関を利用）の好⽴地で、 活断層より離れ、地震による影響や液状化のリスクが低いエリアに位置し 海抜50m以上で水害や津波の恐れが極めて低い安定した地盤の上に⽴地 しています。また、東京都が公表している地域危険度測定調査でも 安全性が最も高い「ランク１」とされています。

■セキュアデータセンター大阪

大阪中心部（最寄り駅徒歩1分）の好⽴地で、南海トラフ地震の浸水域外と 内閣府より公表されている地域です。 N値60の層を支持地盤とし、液状化対策として場所打ちコンクリート坑に 鋼管を巻くことで耐震性を高めたうえで、津波・河川氾濫・液状化など、 自然災害時にもセンターの安定稼動を支える建物設計としています。

利便性に優れ、

大規模災害リスクの少ない

都市型データセンター

セコム セキュアデータセンターの特長 （２）

↑ラック耐震固定＜共通＞

データセンター専用ビルとしての卓越した建築・設備スペックが、災害時にも安定稼動を

支えます。

セキュアデータセンターは、震度７クラスの大地震発⽣時にも機能を維持するため、二重三重の耐震対応を備えています。 建物は、地震の揺れを低減させるための免震構造。サーバーの収納にも地震の揺れによる被害を防ぐ対策を施しています。 ↑免震オイルダンパー ＜新館・大阪＞ ↑鋼材ダンパー＜大阪＞ ↑けがき式地震記録装置 ＜共通＞ ↑配管断裂防⽌対策＜共通＞ ↑免震ゴム＜共通＞ ↑免震すべり支承 ＜別館＞ ↑鉛ダンパー＜大阪＞

セコム セキュアデータセンターの特長 （３）

特別高圧受電、自家発電設備、UPS設備など、安定電源供給に充分な構成・大災害に強い設計。

セキュアデータセンターは、安定した電源供給、停電時などにおいても継続稼動 するための何重もの対策がとられています。 サーバーへの安定した電源供給を確保するため、変電所から複数の電源供給が 受けられる特別高圧受電設備を導入しています。 また災害などにより、変電所からの電源供給が停止した場合の非常用発電機。 非常用発電機の稼動に必要な燃料の補給が優先的に受けられる業務委託契約を 締結しています。 ↑特別高圧受電設備 ↑優先給油契約（東⻄２ケ所） ↑自家発電設備

セコム セキュアデータセンターの特長 （４）

データセンター構内冗⻑管路イメージ図↑

ネットワークも安全に！

各建屋間に敷設された、冗⻑化 セコムバックボーンをご利用いただくことができます。 また、セキュアデータセンター内に設置された各キャリアのNOCノードのご利用や、お客様ご自⾝でのネットワーク引き込みも キャリアニュートラルでお待ちしております。 網サービス 網サービス お客様拠点A _{お客様拠点B お客様拠点C} お客様拠点D ←冗⻑化インターネット接続→ ↑東京大阪間冗⻑化 ネットワーク接続 東京と大阪のデータセンター間に → おいては、ご希望に応じてご利用いた だけるネットワークが構築されています。 インターネット SDC 大阪 SDC 東京別館 SDC 東京 本館 アット東京 SDC 東京 新館

セコム セキュアデータセンター ハウジング環境

セコムが用意する標準ラック

必要とされる容量を各種選択いただき、ご利用いただけるハウジング・サービス

1ラック辺りで利用できる電源は上限が無いため、多くのシステムを集約できます。

（利用電源量に応じて熱対策を実施します。） サーバーラックにもセキュリティ対策が施されています。 セコムが開発したセキュリティラックは、一枚のＩＣカードに より、入退室に加え、ラックの開錠、施錠までできるため、 お客様の鍵管理が不要になります。 そして、ラック扉の開閉が自動で記録されますので、「だれが」、 「いつ」サーバーにアクセスしたのか、厳格に管理ができます。

必要とされるスペースをケージなどで

仕切ってご提供する コロケーション

サービスもご利用いただけます。

ハイブリッドクラウド環境を実現するために

セコムが提供するソリューションは？

セコム セキュアデータセンター

・クラウド接続サービス

.

・ハイブリッドクラウド構築サービス（SI）

→ ノウハウ蓄積の為、IBM様と共同検証中

セコムSDC クラウド接続サービス for SoftLayer

アット東京

Direct Link Colocation

Equinix

Direct Link Cloud Exchange POP Equinix Cloud Exchange

SoftLayer

セコム

セキュアデータセンター

東京

セコム Backbone Network 10G×2 各キャリア Network各キャリア Network NOC

セコム

セキュアデータセンター

大阪

セコム Backbone Network 10G×2

Internet

マルチホームで 冗⻑化された Internet接続

セコム セキュアデータセンターは、SoftLayerとのハイブリッドクラウドに適したデータセンターです。

対応する接続⽅式 接続帯域 構成 初期費用 月額費用 備考 Direct Link Cloud Exchange接続 100Mbps シングル接続 ¥250,000 ¥250,000 Equinix ECX費用含む 1Gbps ¥250,000 ¥450,000 Equinix ECX費用含む Direct Link Colocation接続 100Mbps 冗⻑接続 ¥300,000 ¥300,000 ※ ジャンボフレーム対応 1Gbps ¥400,000 ¥500,000 ※ ジャンボフレーム対応 Internet VPN接続 各種Internet 接続 お客様のご要望、構成により別途ご相談

セコム セキュアデータセンター 東京 接続メニュー （例）

※ 本価格には、SoftLayerアカウントに紐づく Direct Link費用は含まれません。

※ データセンター内のお客様環境と接続するためのマネージドルータ（SoftLayerとの接続、監視、運用等を提供）についても別途提供メニューがあります。

POP

ハイブリッドクラウド環境の実現に向けて

ハイブリッドクラウドの実現に向け、IBM様 と 専用線の環境（

Direct Link Colocation

接続）を

用いた

VMware on SoftLayer

の共同検証を実施しています。→ 現在進⾏形

テストシナリオ

１．NSXによるサイト間 VMware環境 NSX接続

・SDCとSoftLayerをDirect Link Colocation 1Gbpsで接続 VRF接続

・SDC、SoftLayerにVMware＆NSXを導入 VXLANによるL2延伸 ・SDC側の環境とSoftLayer間でのデータオフロード、vMotionを実施

２．NSX Standalone Edge(無料)によるクラウド環境へのL2延伸

・SDCとSoftLayerをDirect Link Colocation 1Gbpsで接続 VRF接続

・SoftLayer環境に NSX Standalone Edge（L2VPN）を導入 Standalone Edge（L2VPN）によるL2延伸 ・SDC側の環境とSoftLayer間でのデータオフロード、vMotionを実施

・Edge環境とNSX環境での動作環境の特性比較 二つのL2延伸環境を確認

３．Direct Link Colocation 接続（セコム セキュアデータセンター環境：セコム SDC）を利用した環境の測定 ・Direct Linkの優位性を確認する

Standalone Edge

VLAN Direct Link Colocation

SoftLayer

セコムSDC

NSX L2 延伸

VMware NSX L2延伸 Public Cloud TOK02 ベアメタル環境 VMware on SoftLayer

Direct Link Colocation

SoftLayer

セコムSDC

NSX Edge L2VPN延伸 Public Cloud TOK02 ベアメタル環境 VMware on SoftLayer NSX

VMware vSphere vSAN

検証環境のご紹介

SoftLayer

セコム セキュアデータセンター 東京

DirectLink Colocation 1Gbps Cisco ASR 9kシリーズ Cisco Nexus 9396PX Cisco UCS

ESXi #01 Cisco UCSESXi #02 Cisco UCSESXi #03 Cisco UCSESXi #04

SoftLayer XCR SoftLayer BCR SoftLayer BCS VRF Tunnel VMware NSX VMware NSX VMware vSphere VMware NSX VMware NSX Bare metal ESXi

機器 メーカー 機種 CPU MEM SSD HDD NIC UNIT 電⼒量 電源

ESXi #01 Cisco UCS : C240M4 8C : E5-2609v4 x2 128GB : 16G×8 120GB SATA×2 300GB SAS×3 10G×2Port 2U 400W 100V×2 ESXi #02 Cisco UCS : C220M4 10C : E5-2640v4 x2 128GB : 16G×8 120GB SATA×2 300GB SAS×3 10G×2Port 1U 400W 100V×2 ESXi #03 Cisco UCS : C220M4 10C : E5-2630Lv4 x2 128GB : 16G×8 120GB SATA×2 300GB SAS×3 10G×2Port 1U 400W 100V×2 ESXi #04 Cisco UCS : C220M4 8C : E5-2609v4 x2 128GB : 16G×8 120GB SATA×2 300GB SAS×3 10G×2Port 1U 400W 100V×2 Switch Cisco Nexus 9396PX - - - 2U 540W 100V×2 Router Cisco ASR 9kシリーズ - - - -

-オンプレミス：セコムセキュアデータセンター環境

PSC _{vCenter NSX Mgr NSX Ctrl} Test01 Test02 Test03

・・・

PSC vCenter NSX Mgr

Test01 Test02 Test03

・・・

4台のUCSにて VMware 環境を構成 ・vSphere 6.0系 + ESXi 6.1 + NSX 6.2 + vSAN 6.2

セコム SDC

SoftLayer TOK02

SoftLayerとの接続構成 ： Direct Link Colocation

今回の共同検証環境の物理的な接続は、Direct Link Colocation にて物理結線を⾏い

VRF (Virtual Routing and Forwarding)

にて接続しました。

Direct Link Colocation にて選択できる接続⽅法

１．Routing

SLから払い出されるIPをオンプレサーバにアサインしたIPを割り当て

→ 払い出されるIP数に制限あり

２．NAT

お客様ルータで、SLから払い出されるIPを使用してNAT/NAPTによるアドレス変換

→ NAT/NAPTに対応しないアプリケーションがある場合選択不可

３．GRE

/IPSec SLから払い出されるIPをNWアドレスとしてWANを形成

お客様ルータとSL環境に構成したVyattaとトンネリングを張り、NWを構成 → 上記の問題を解消する柔軟性に優れた構成も、Vyatta GWアプライアンス等が 必要になりコストが懸念

４．

VRF

SoftLayer BCRとXCRでトンネルを形成し、SLから払い出されるIPでWANを形成 お客様ルータとXCRを接続 → 経由する機器が減り、シンプルかつNWが効率化するも一部アドレスが利用できない (利用不可：10.0.0.0/14, 10.200.0.0/14, 10.198.0.0/15, 169.254.0.0/16, 224.0.0.0/4) XCR MBR BCR BCS お客様環境

XCR : Cross Connect Router MBR : Master Backend Router BCR : Backend Customer Router BCS : Backend Customer Switch お客様 ルータ オンプレミス機器

VRF接続イメージ

Vyatta不要

Tunnel

日本国内 検証中) 日本国内 初の構成 (検証中) ※ 注意 SoftLayerポータルサイトから接続する SSL-VPNとメンテナンス用G/Wから 接続するIP-Secが利用出来なくなります。 メンテナンスの際はVRF(Direct Link側) から直接サーバの操作が必要となります。 自由度が高い 接続⽅式

共同検証の状況について

Direct Link の VRF接続については、日本初であったため？諸問題が発⽣し、接続が難航した関係で検証が完了して

いません。（現時点では、VRF接続は正常化されています。

皆様が利用される際には、スムーズな提供が⾏えます。

）

< 確認できている環境情報 >

・オンプレミス(セコムSDC)のVMから、Direct Link Colocation経由でのSoftLayer XCR までのラウンドトリップ 平均 1ms以下 (0/0/1) ・セコムSDC 東京 から、セコムSDC大阪までの冗⻑接続環境のラウンドトリップ 平均 7ms (4/7/8)

※ 参考 ： セコムSDCのVMから、SoftLayer 香港DCサーバー までのラウンドトリップ 平均 68ms(67/68/93)

セコム セキュアデータセンター であれば、SoftLayer

(TOK02)

との接続を低遅延環境で提供できます！

＜Direct Link Colocation を使った VMware on SoftLayer 検証に関する期待＞

・

VMware NSX (VXLAN)

と、

Standalone Edge(L2VPN)

それぞれの L2延伸のパフォーマンス比較

→ VXLAN ：UDP 遅延に強いL2延伸

→ L2VPN ：TCP 遅延に弱いL2延伸 低遅延の環境であればVXLANと同等のパフォーマンス？

・Direct Linkのジャンボフレーム対応 (MTUチューニングでの通信環境改善)

→ NSX MTU 1600 を チューニングした場合の通信速度比較 → SoftLayer環境VMから、オンプレミスVSAN へのアクセスレスポンス確認 SoftLayer 通信機器 NSXで接続されたｖSphere環境 VMware vSphere SDC 東京 VMware NSX VMware NSX 物理SW / 物理Router SoftLayer VMware vSphere SoftLayer 通信機器 VMware vSphere SDC 東京 VMware NSX VMware NSX Edge Gateway 物理SW / 物理Router SoftLayer VMware vSphere 仮想Switch 仮想Switch Edge Gateway L2延伸 (L2VPN) VMware NSX VMware NSX VXLAN NSX不要 TCP UDP

参考

TCPのはなし

TCPの場合、一度に送出できるデータ量は、64KB

(Defaultのウインドウサイズの最大値)

つまり、64KB送ると相手側からACKが返ってくるまで、次のデータが送れません。

となると、論理的な単純計算で、RTT 1ms(1/1000秒) 環境の場合、

1秒間で遅れるデータ量は、64KB×1000回 = 64MB → 512Mbps となります。

この単純計算で算出すると

RTT

最大スループット

5ms

102.4Mbps

6ms

85.3Mbps

7ms

73.1Mbps

8ms

64.0Mbps

：

10ms 51.2Mbps

20ms 25.6Mbps

※ 本データは、論理的な単純計算です。実際の環境は、様々な要因により上記の数値とは異なる結果となります。

NSX Standalone Edge （L2VPN：SSL)

TCP ＝ コネクション型

・データの到達確認がある(ACK)

・届いてなければ再送 (劣悪な環境でもOK）

NSX （VXLAN：UDP）

UDP = コネクションレス型

・データの到達確認が無い

・再送は⾏わない（届いてないかは判らない）

セコムトラストシステムズでは、今回の検証を⾏ったノウハウを

お客様及び、パートナー様へ還元させていただければと思います。

気軽にお声掛けください。