実用期のSDN：「Cisco ACI」の特長--アプリ中心のネットワークで設定を簡素化

　前回までSDNの登場の背景、SDNの主な仕組みとメリット、主なユースケースなどを紹介したあと、実際のソリューションとしてVMware NSX for vSphereの特長を紹介した。連載第3回の今回はCisco ACI（Application Centric Infrastructure）にフォーカスし、具体的なユースケースやソリューションの特徴を紹介する。

最も生きる利用シーン

　まず、技術的詳細に入る前に、ACIによるメリットをお伝えしたい。SDNというと、「迅速性」や「自動化」といったキーワードが想像される。もちろん、ACIはこれらを実現できる。さらに、これらに加えて、次のような要求も満たすことができる。

• ネットワークの追加・削除について、既存のネットワークの複雑な機能・設定を意識せず、他のアプリケーションに影響を与えることなく迅速に実施したい
• 仮想サーバと物理サーバが混在した環境でもSDNを適用し、その移行作業も最小化したい
• SDN導入後も、論理と物理のネットワーク管理の分離や複雑化は避けて統合管理したい（オーバーレイとアンダーレイの統合管理）

　では、より具体的に、ACIが有効に機能する3つの利用シーンを見てみよう。

ネットワーク設定・変更時の影響範囲の確認

【課題】 : アプリケーションの作成・変更・削除の際に、ネットワーク側の影響範囲の確認に手間がかかり、数日要してしまう

　一般的なシステムでは、仮想サーバとネットワークはある程度連携するものの、アプリケーションとネットワークは連携せず、双方で留意すべき観点は大きく異なる。アプリケーションを作成・削除する際、ネットワーク側は、既に稼働している他のアプリケーションに影響を与えないように、VLAN、ルーティング、アクセスリスト、ファイアウォール、バランシングなどの環境に配慮して設計・設定する必要がある。そのためには現状把握から始め全体に及ぶ作業リスクを評価する必要があり、多くの時間を要していた。

　アプリケーションに関するアクセスリストの設定変更を例に挙げる。アプリケーション管理のため、特定のセグメントからのみアクセスを許可するためのアクセスリストを使っていたが、アプリケーションが不要になったためアクセスリストを削除したいといったことがあったとする。

　この場合、アクセスリストは他のアプリケーションにも影響している可能性があるため、簡単には削除できない。ネットワーク上のすべての設定を確認し、他のアプリケーションに影響がないことを確認して、ようやく削除することができる。この確認を怠ると、設定の削除漏れによって、その後も管理アクセスができる状態になってしまい、セキュリティリスクが発生する。

【ACIによる解決】：アプリケーション単位のネットワーク操作が可能となり、運用時間を劇的に削減

　ACIではアプリケーション単位でネットワークを設定する。この設定の中にはアプリケーションに必要なサーバがどのスイッチのどのポートに接続されているか（ハイパーバイザの仮想ポートグループ情報や、物理サーバの接続ポート、接続時に使用するVLANタグなど）といった物理的情報や、これらのサーバグループ間でどのような通信を許可するかといったアクセスコントロールの情報、さらにネットワークを構成するために必要なサブネットの情報やルーティング情報なども含まれている。

　そのため、アクセスリストを追加・削除する場合でも、影響する範囲はそのアプリケーションのネットワークに限られる。さらに、アプリケーションごとのネットワークの中でも、それぞれのサーバグループ間でアクセスリストを設定すると、影響範囲がより簡単に特定できる。

　また、アプリケーションが不要になった場合、ACIで必要な操作は、アプリケーションごとのネットワーク設定を削除するだけだ。これだけで、アクセスリストやスイッチのポートの設定なども削除されるため、不要になった設定がネットワーク機器上に残り続けることを防ぐことができ、意図しないネットワークのパスを残すことなくクリーンに維持することが可能である。

　ネットワーク管理者にとっては自身のネットワークでどのようなネットワークパスを提供しているかを意識的に把握できることがメリットである。