Microsoft PowerPoint - 01_ACE4710_Webセミナー_製品概要編_ ppt

2009年8月

シスコシステムズ合同会社

チャネルシステムエンジニアリング 大平 伸一

” 仮想化 ” ロード バランサ

Cisco ACE 4710 アプライアンス オンライン製品セミナー①

ACE 4710 の製品概要

(13:00 - 13:40)

Web セミナー中の QA について

Web セミナー中の説明内容や その他の関連事項について、

質問がありましたら、 WebEX 画面の チャット機能にて、いつでもご自由に 質問の送信をお願い致します。

質問をいただく際の送信先には、

“ すべてのパネリスト ” を選択して いただけますようお願い致します。

各セッション内で時間の許す限り、

ご回答をさせていただきます。

Cisco SE

xxxxx

自動化 (Automation)

自動化 (Automation)

ストレージ ネットワーク

サーバ ビジネスの変革に即し

たサービス指向型

ITサービス

ダイナミック プロビジョニングと 情報ライフサイクル管理 ビジネスの変化に迅速に対応

仮想化 (Virtualization)

仮想化 (Virtualization)

ストレージ ネットワーク

サーバ

エンタープライズ アプリケーション

物理インフラに依存しない リソース管理の実現 稼働率と柔軟性の向上、

管理工数を削減

サーバ ファブリック ネットワーク

HPC Cluster

GRID

リソースの集約と標準化 コスト削減と稼働率の改善

統合化 (Consolidation)

統合化 (Consolidation)

LAN WAN MAN

SAN

ストレージ ネットワーク データ

ネットワーク

統合ネットワーク

（IIN）

統合ネットワーク

（

IIN

）

Cisco Data Center 3.0 について

現在

• 幅広いプロダクト ポートフォリオ

• 将来の安定的なロ ードマップの提供

• Data Center 3.0 戦略との融合

• TCO （総所有コスト）

の削減

• 主要アプリケーショ ンベンダーとの共同 開発・検証

• 満足と安心を提供

• 業界最高水準の 性能と機能

• “ 仮想化 ” 機能

• グリーン性能

• 世界 No.1 シェア と、多くの実績

お客さまへの 価値の提供 シスコの

優位性 ACE の

セールス ポイント

Cisco ACE 訴求ポイント

世界のロードバランサー マーケットシェア

ƒ ロードバランサーの世界 No.1 シェアを獲得！

ACE モジュール、 ACE4710 、 CSS11500 シリーズ、 CSM

ƒ ACE4710 は、販売からわずか一年弱で世界で数千台の出 荷・導入実績

Source: Sep 2008

Application Control Engine 製品ラインナップ

Cisco ACE Module 4 – 16 Gbps

Modules

ACE XML Gateway 30,000 TPS

Cisco ANM 2.0

Global Products and Tools Appliance

ACE 4710 0.5 – 4 Gbps

ACE GSS

30K DNS RPS

L4 – L7 Switching XML Switching & Security

ACE Web Application

Firewall

Cisco ACE XML

Gateway Manager

“One-Click”

Migration Tools (CSS/CSM

ÆACE) +

Multi- modules

(64 Gbps)

GSLB

ACE 4710 ハードウェアについて

前面

背面

ハードウェア：

1 RU, 4 x 10/100/1000 Copper Ethernet Ports

デュアルコア、デュアルCPUアーキテクチャ

搭載メモリ: 6 GB (基本構成に含む)

デバイスマネージャGUI 標準搭載

スループット：

500Mbps – 4Gbps (ライセンス拡張可) HWベース圧縮: 最大2 Gbps (ライセンス拡張可) SSL TPS 最大7500 （ライセンス拡張可）

仮想デバイス 最大20 （ライセンス拡張可）

ACL

行数 ：

40,000

以上

NAT

エントリー ：

1Million

仮想デバイス ：デフォルト

5

、最大

20 SSL Throughput

：

1Gbps

CPS

：

120,000/

秒

仮想サーバ（

VIP

） ：

1000

ハードウェアの置換え不要、成長に合わせた投資が可能

• 500Mbpsスループット

• 100 SSL TPS

• 100Mbps HTTP圧縮

• 5仮想コンテキスト

•

アプリケーション最適化

4Gbps

ACE 4710: L4-7 機能統合の効果

ライセンスモデルによる投資保護

upgrade license

2Gbps

1Gbps

500Mbps

upgrade license

upgrade license

• 4Gbpsスループット

• 7500 SSL TPS

• 2Gbps HTTP圧縮

• 20仮想コンテキスト

•

アプリケーション最適化

•

スループット

• SSL TPS

• HTTPハードウェア圧縮

•

仮想コンテキスト

•

アプリケーション最適化

↑

これらのパラメータ毎にダウンタイム無しでの容量拡張が可能 容量不足時のフォークリフト・アップグレードは不要

最小スペック

最大スペック

バンドル製品用型番

ライセンス 説明

ライセンス バンドル製品 本体

ACE-4710-0.5F-K9

本体、0.5 Gbps パフォーマンス、100 TPS SSL、100 Mbps 圧縮、5 仮想コ ンテキスト、アプリケーション高速化（50 コネクション限定）

ACE-4710-1F-K9

本体、1 Gbps パフォーマンス、5,000 TPS SSL、500 Mbps 圧縮、5 仮想コ ンテキスト、アプリケーション高速化（50 コネクション限定）

ACE-4710-2F-K9

本体、2 Gbps パフォーマンス、7,500 TPS SSL、1 Gbps 圧縮、5 仮想コン テキスト、アプリケーション高速化（50 コネクション限定）

ACE-4710-4F-K9

本体、4 Gbps パフォーマンス、7,500 TPS SSL、2 Gbps 圧縮、5 仮想コン テキスト、アプリケーション高速化（50 コネクション限定）

ACE-4710-BAS-2PAK

^{本体2台のセット}

1 Gbps パフォーマンス、1,000 TPS SSL、100 Mbps 圧縮、5 仮想コンテキ スト、アプリケーション高速化（50 コネクション限定）

バンドル製品用 アップグレード ライセンス

ACE-4710-BUN-UP1= 0.5G

から

1G

へのバンドルアップグレード

ACE-4710-BUN-UP2= 1G

から

2G

へのバンドルアップグレード

ACE-4710-BUN-UP3= 2G

から

4G

へのバンドルアップグレード

ƒ バンドル型番は個別にライセンスを買い揃える場合に比べて、15～30% お得に

なっています！

バンドル製品のアップグレード

1.

バンドル製品間のアップグレード

ACE-4710-

＊

F-K9

製品は、それぞれのバンドル製品間のアップグレード用ライセン スを提供

ACE-4710-1F-K9

利用時に、

ACE-4710-BUN-UP2=

を購入することで、

ACE- 4710-2F-K9 にアップグレード可能

パフォーマンスが

2G になるだけでなく、その他 SSL や圧縮もアップグレードされ

る

2.

個別アップグレード ライセンスによるアップグレード

特定機能のみアップグレードしたい場合、アップグレード ライセンスを購入

ACE-4710-1F-K9

利用時に、

ACE-AP-VIRT-020= を購入 → 仮想デバイス数を 20 にアップグレード ACE-AP-02-LIC= を購入 → スループットが 2G にアップグレード

注意： 購入後のアップグレードは、

“＝”

型番のあるものに限られます

個別ライセンス型番

ライセンス 説明

ACE 4710 ハードウェア 本体、ソフトウェア

（必須）

ACE-4710-K9 ACE 4700 本体

ACE-AP-SW-3.2 Software Version 3.2

スループット ライセンス （いずれか必須）

ACE-AP-01-LIC 1 Gbps License ACE-AP-02-LIC 2 Gbps License ACE-AP-04-LIC 4 Gbps License

アップグレード ライセンス

ACE-AP-02-LIC= 2 Gbps

スループットアップグレードライセンス

ACE-AP-04-UP1= 1Gbps

から

4 Gbps

スループットアップグレードライセンス

ACE-AP-04-UP2= 2Gbps to 4 Gbps

スループットアップグレードライセンス

ACE-AP-C-UP1= 500 Mbps

から

1Gbps

圧縮アップグレードライセンス

ACE-AP-C-UP3= 1 Gpbs から2 Gbps

圧縮アップグレードライセンス

ACE-AP-SSL-UP1-K9= 5000 から7500 TPS アップグレードライセンス

個別ライセンス型番 （オプション）

ライセンス 説明

オプション ライセンス

ACE-AP-C-500-LIC 500 Mbps 圧縮ライセンス ACE-AP-C-1000-LIC 1 Gbps

圧縮ライセンス

ACE-AP-C-2000-LIC 2 Gbps

圧縮ライセンス

ACE-AP-SSL-05K-K9 5000 TPS ライセンス ACE-AP-SSL-7K-K9 7500 TPS ライセンス

ACE-AP-OPT-LIC-K9

アプリケーション最適化ライセンス

ACE-AP-VIRT-020 20 仮想コンテキストライセンス

スペア ライセンス

ACE-AP-C-500-LIC= 500 Mbps

圧縮ライセンススペア

ACE-AP-C-1000-LIC= 1 Gbps 圧縮ライセンススペア ACE-AP-C-2000-LIC= 2 Gbps 圧縮ライセンススペア ACE-AP-SSL-05K-K9= 5000 TPS ライセンススペア ACE-AP-SSL-7K-K9= 7500 TPS ライセンススペア

ACE-AP-OPT-LIC-K9=

アプリケーション最適化ライセンススペア

ACE-AP-VIRT-020= 20

仮想コンテキストライセンススペア

個別ライセンス購入の例

（例

1） ACE 4710 の個別オーダ時の最小構成 – ACE 4710

本体 （

ACE-4710-K9

）

– 1Gbps

スループット ライセンス （

ACE-AP-01-LIC

）

その他の機能 （HTTP 圧縮、SSL、仮想デバイス、アプリケーション高速化） はデフォ ルト値で動作

（例

2

）

2Gbps

スループット＋

20

仮想デバイスが必要な構成

– ACE 4710 本体 （ACE-4710-K9）

– 2Gbps スループット ライセンス （ACE-AP-02-LIC）

– 20 仮想デバイス ライセンス （ACE-AP-VIRT-020）

その他の機能 （

HTTP

圧縮、

SSL

、アプリケーション高速化） はデフォルト値で動作

ƒ

本体購入後のアップグレード ライセンスは、スペア

or アップグレード ライセンス

（“＝”

型番） のあるものに限られます

0.5G

仮想デバイス （

VC

）数

SSL

性能 （

TPS

）

圧縮性能 （

bps

）

パフォーマンス（bps）

1G 2G 4G

20 VC

5 VC 1,000

5,000 7,500

2G 1G 500M 100M

アプリケーション 最適化性能の追求 仮想化機能による

統合化の促進

サーバ オフロード による最適化

段階的な高性能化 による投資の保護

100

Cisco ACE 4710 アプライアンス

1RU のハードウェアで必要に応じたライセンス アップグレードが可能

ACE 4710 の業界最高パフォーマンス

ƒ 第三者機関でのパフォーマンステスト結果 （他社比較データ含む）

数段上のクラスの他社 製品と比較しても、

ACE 4710 はさらに高 い性能を発揮

http://www.miercom.com/

他社(10G) 他社(2G) 他社(1G)

他社(10G) 他社(2G) 他社(1G)

※

ACE4710 は 2Gbps

ライセンスで検証

ACE モジュールの業界最高パフォーマンス

ƒ 第三者機関でのパフォーマンステスト結果 （他社比較データ含む）

http://www.cisco.com/en/US/prod/collateral/modules/ps2706 /ps6906/prod_brochure0900aecd806d1c8a.pdf

ACE モジュールあたり、 L4 / L7 ともに 最大約 14 Gbps の性能を実証

→ 4 枚搭載時、最大約 60 Gbps !!

他社製品

他社製品 （HTTP）

他社製品 （標準モード）

Q and A

ACE 高機能な負荷分散アルゴリズム

ƒ Adaptive Response Predictor （サーバレスポンスタイムベース）

サーバからのレスポンスタイムをベースにロードバランスを行う

（サポート対象は HTTP ）

ƒ Least Loaded Predictor （サーバ MIB 値ベース）

SNMP Probe による実サーバの SNMP オブジェクト ID の値を ベースにロードバランスを行う（例； CPU 使用率、メモリ空き容量）

ƒ Least Bandwidth Predictor （サーバ平均使用帯域ベース）

実サーバに対する双方向の平均使用帯域（ Bytes/sec ）をベースにロ ードバランスを行う

拡張負荷分散アルゴリズムは動的なサーバ負荷にも対応可能

※上記以外にも標準的なロードバランスアルゴリズムである、ラウンドロビン（重付け可能）、最小 コネクション（重付け可能）、IPアドレスやヘッダー、Cookie、URLのハッシュ関数などもサポート

• サーバのレスポンスタイムに応じて負荷分散を行う

• レスポンスタイムは設定されたサンプル数に基づいて計算される

• 応答の計測方法として3つのオプションを用意

Adaptive Response Predictor

ACE4710からHTTPリクエスト を送信し、サーバから HTTP レ スポンスを受信するまでの時間 ACE4710 から HTTP リクエスト を送信し、サーバから HTTP レ スポンスを受信するまでの時間 ACE4710からSYNを送信

し、サーバから SYN-ACK を 受信するまでの時間

ACE4710 から SYN を送信 し、サーバから SYN-ACK を 受信するまでの時間

ACE4710からSYNを送信し

、サーバから FIN/RST を受 信するまでの時間

ACE4710 から SYN を送信し

、サーバから FIN/RST を受 信するまでの時間

ACE4710 Serverfarm

SYN to Close

SYN to Close App. Request to Response App. Request to Response SYN to SYN-ACK

SYN to SYN-ACK

サーバの CPU 使用率、メモリ／ディスク空き容量などの情報を取得 するために SNMP ベースのプローブを使用。

SNMP オブジェクト ID CPU Utilization

Memory Resources Disk Drive Availability

……. ……. Query Result

CPU Utilization = 14%

Memory Resources

= 947300k free

Disk Drive Availability

= 440GB free Query Result CPU Utilization = 14%

Memory Resources

= 947300k free

Disk Drive Availability

= 440GB free Query Result CPU Utilization = 24%

Memory Resources

= 885300k free

Disk Drive Availability

= 307GB free

Query Result CPU Utilization = 24%

Memory Resources

= 885300k free

Disk Drive Availability

= 307GB free Query Result CPU Utilization = 34%

Memory Resources

= 785300k free

Disk Drive Availability

= 202GB free Query Result CPU Utilization = 34%

Memory Resources

= 785300k free

Disk Drive Availability

= 202GB free

サーバ側には SNMP エージェントが必要。（特別な追加ソフトウェアは不要）

Least-loaded Predictor（SNMP使用）

ACE

Server Farm

Least-bandwidth Predictor

Least-bandwidth predictor とは、

決められたサンプリング時間内の実際のトラフィックをベースにネット ワークトラフィック量を計測し、最小負荷のサーバを選択

ƒ ACE とサーバ間の双方向のトラフィック統計を取得し、サンプリング時間内の 利用ネットワーク帯域幅を計算

ƒ トラフィックのサンプリング結果に基づき、順序づけされたサーバリストを作成

ƒ 最も帯域使用量の少ないサーバを選択

ƒ トラフィックボリュームが多いアプリケーションサーバのロードバランスに最適

アプリケーションレベルでのサーバヘルスチェック

Webサービス

Application サービス

CISCO-service

HTTP GETリクエストを送信 http://www.cisco.ace4710.com

Webサーバファーム

HTTP 200OK レスポンスを返信 指定したURLに対するHTMLのレスポンス

連携

Webサービス

Application サービス

連携

Webサービス

Application サービス

連携

クライアントPC

面倒のスクリプトを作成することなく、HTTP ResponseのBODY部分に含まれる StringをチェックしサーバのヘルスチェックをL7レベルで容易に監視することが可能

probe http http-test

request method get url / www.cisco.ace4710.com expect regex CISCO-service

＜HTMLデータ＞

① HTML ページリクエスト

GET Index.html 200 OK

③ HTML ページ内の Link をリクエスト

GET xxx.html?sessionid=123 Cookie に

非対応

②サーバに転送

GET Index.html 200 OK

端末が

Cookie に非対応なため、

Cookie ヘッダ情報は含められないが、

セッション情報付きの

URI にリクエストする

セッション情報が追加されているコンテンツリンク（URI）

を返信

http://www.ciscosystems.com/?sessionid=123

サーバで

Set-cookie ヘッダの返信もしてもらう Set-cookie: sessionid = “123”

Cookie 非対応端末におけるセッション維持

（クエリストリングをサポート）

ACE では Cookie を動的に学習

して

Sticky database を作成

ACE は、自身の Sticky database と

HTTP リクエストのURI 内セッション情報に基づき

同じサーバにセッションを維持

④学習済みの Cookie 情報と URI に含まれるセッション情報を結びつけ

同じサーバにセッション維持可能

ACE

仮想デバイスを最大 ₂₀ 台生成

ƒ

最大

20

台の仮想のデバイス

(

コンテキスト

)

と

Admin

専用の仮想デバイス

ƒ

システム、アプリケーション、テスト用途に仮想デバイスを展開

ƒ

仮想デバイス毎の多岐に渡る柔軟なリソース制御: bandwidth, CPS, SSL, sticky, ACL等

ƒ

仮想デバイス毎のリソースのOversubscription設定も可能

ƒ

仮想デバイス単位での冗長化やフェールオーバーが可能

ƒ Router (NAT), Bridge, One-Arm

など、多彩なデザインに柔軟に対応

各仮想デバイスが個別管理

ƒ Configuration

ファイル

ƒ

専用のディレクトリストラクチャ

ƒ

ルーティングテーブル

ƒ

リソースクラス

ƒ RBAC

、ユーザアカウント等

ƒ SLB

ポリシー

ACE 仮想SLBソリューション

Admin Context 残り(25%)

IT Context 全体の 50%

Eng Context 全体の25%

保証されたリソースを各コンテキストに割り当てることで

ACE仮想デバイスはプラットホームのリソース利用効率を最大に

ACE の Web アプリケーションの最適化

ƒ 特許取得済の技術であるFlashForwarding機能 ページダウンロード時間を高速化

ラウンドトリップタイムを最小限に抑制 効率的なコネクション管理

Latency Reduction

Bandwidth Reduction ƒ 特許取得済の技術であるDelta Encoding機能 Webページの差分データのみを返信

ƒ HTTP Compression機能

Webコンテンツを専用HWでGzip圧縮

Server Offload

SSL TCP

ƒ ACE4710で終端することでサーバ負荷を軽減 SSL termination

TCP Reuse

Static および Dynamic Caching

ACE の Firewall 機能 ペイロード攻撃を回避

The Last Line Of Server Defense

Perimeter Network

Firewall Servers

And Applications

Data Center

ƒ Deep Packet Attacks

通常のFirewallだけではアプリケーションデータの保護という観点で不十分 ACEはDPIを行い、アプリケーションへの攻撃をブロック

『 Generic Protocol Parsing 』 は DPI による防御をどんなプロトコルにも適用可

ペイロード攻撃の対象 パケット

Data

ACE4710 のセキュリティ機能とパフォーマンス :

4Gbps, 64k NAT (1M PAT), 40K ACL エントリー , 1M SYN Blocks/sec

Interior Attacks

BLOCKED

ƒ 内部からの攻撃 : サーバの直前に位置する ACE を活用する

DDoS、プロトコル脆弱性、悪意あるアクセスからサーバファームを保護

Header Data

Cisco ACE 4710 のセールス ポイントがわかる !!

Cisco ACE 4710 アプライアンス カタログ

ƒ 100% 日本語 書き下ろし 製品紹介 用カタログ

http://www.cisco.com/jp/go/ace/

セールス ポイント

構成・見積例

・仮想化構成

・VDI 構成

Q and A