レジリエンシアーキテクチャ
このトピックでは、Network Edge を使用して実現できるフォールトトレラントソリューションの概要について説明します。
回復力のあるソリューションの設計は、ネットワークおよびエッジアーキテクチャの最も重要な側面の一つです。必要な回復力の程度について正しい答えはありませんが、ベストプラクティス、さまざまなユースケースに関する提案、および Network Edge が提供する特定のサービスや機能があります。
Network Edge のインフラストラクチャを提供する基盤となるネットワーク機能仮想化 (NFV) プラットフォームは、単一の仮想インスタンスの観点からは本質的にフォールトトレラントです。それでも、可能な限り最高の冗長性を実現するには、ソリューション全体に回復力を組み込む必要があります。このドキュメントでは、Network Edge のフォールトトレラント機能によって補完される、プラットフォームの固有の性質を利用して回復力を実現する方法について説明します。
冗長性のレベル
データパケットの起点から、内部から外部に向かい、宛先まで移動するネットワーク設計を想像してみてください。その場合、トラフィックが処理される、あるいはトラバースする各ポイントが障害点となる可能性があります。重要なのは、トラバーサルポイントで影響を及ぼす事象を想定して設計することです。
次の図に示すように、Network EdgeデバイスからEquinix Fabric参加者へのシンプルなネットワークフローでは、トラフィックフローは3つのポイントに分かれています:Network Edge仮想デバイス、Equinix Fabric、Fabric参加者の接続です。Network Edge仮想デバイスとEquinix Fabricの間には固有の冗長性があるため、基盤となるNFVプラットフォームとFabricを相互接続するLeafまたはSpineアーキテクチャは冗長化されています。Equinix FabricとFabric参加者の間には固有の冗長性はありません。最大限の冗長性を実現するには、異なる接続プレーンを利用して完全なネットワークフローを利用するソリューションを導入する必要があります。
一次平面と二次平面
Network Edgeは、専用の電力供給を受ける複数のPOD(Point of Deployments)を備えた標準的なデータセンターの冗長アーキテクチャに基づいて構築されています。Network EdgeとEquinix Fabricの導入の背景には、プライマリプレーンとセカンダリプレーンという概念があります。Network Edgeでは、アフィニティによるコンピュート分離を利用してプライマリプレーンとセカンダリプレーンを利用します。フォールトトレラントペアの各仮想デバイスは、それぞれのクラスタに配置されます。 プライマリプレーン、セカンダリプレーンと呼ばれるものの、Network Edge PODには複数のコンピュートプレーンがあります。実際の数はメトロの規模によって異なります。これにより、デバイスが同じコンピュートプレーンに混在しないように配置でき、単一障害点(SPOF)としてのコンピュートプレーンを排除できます。
Equinix Fabricスイッチは、プライマリスイッチとセカンダリスイッチで構成されるシャーシグループの一部です。シャーシグループのプライマリスイッチとセカンダリスイッチの呼称は、単に呼称の観点からスイッチを識別するためのものであり、トラフィックフローを示すものではありません。ルーティングの観点からの Active-Active または Active-Standby は、Network Edge デバイスで設定され、完全に制御されます。Network Edge の基本アーキテクチャの詳細については、Platform Architecture documentation を参照してください。
NGFW-A というファイアウォール VNF がデプロイされています。セカンダリプレーンにルーター VNF をデプロイするには、Diverse Compute from an Existing Single Device 機能を使用し、ドロップダウンメニューから NGFW-A を選択します。
デバイスと接続の回復力の定義
Network Edgeは、デバイスオプションと接続オプションに要約される複数の弾力性オプショ ンを提供する。デバイスオプションはローカルで、ローカルメトロのコンピュートとデバイスレベルでの障害に対する回復力を提供する。これは、業界で一般的に「高可用性(HA)」と呼ばれるものに類似している。接続の弾力性は、デバイス接続(DLG、VC、EVP-LANネットワーク)で追加の弾力性を必要とする顧客向けの別のオプションです。
ローカル弾力性と接続弾力性の両方を組み合わせるのが一般的ですが、必須ではありません。
Geo-redundancy は、メトロレベルで Network Edge に影響を及ぼす可能性のある問題を排除するために複数のメトロを利用することで、ローカルの耐障害性を拡張するアーキテクチャです。Geo-redundancyの詳細についてはこちらを参照してください。
シングル(スタンドアロン)デバイス - ローカル回復力オプション
シングルデバイスやスタンドアロンデバイスでは、コンピュートやデバイスの障害に対する回復力がありません。最初のシングルデバイスは常にプライマリコンピュートプレーンに接続されます。シングルデバイスは常にプライマリFabricネットワーク上で接続します。シングルデバイスは冗長接続(VC、DLGなど)を構築できますが、常にプライマリファブリックプレーンを経由します。シングルデバイスは、アンチアフィニティ機能によって冗長デバイスに変換することができます。
シングルデバイス アンチアフィニティ
前述したように、シングルデバイスはデフォルトで回復力を持たない。しかし、単一デバイスを分岐したコンピュートプレーンに配置することができます。これは一般的にアンチアフィニティと呼ばれ、デバイス作成ワークフローで利用できます。Diverse Compute from an Existing Single Device "セクションで、"Select Diverse From "ボックスをチェックすることで、互いに弾力性のある新しいデバイスを追加することができます。
!](images/create-devices/NE-select-diverse-from.png)
冗長化仮想デバイスとクラスタ仮想デバイス
Network Edge のワークフローは、フォールトトレラントなデプロイメントでペアリングされた仮想デ バイスがプライマリとセカンダリのコンピュートプレーンに配置されることを保証します。フォールトトレラントには2つのタイプがあります:冗長デバイスとクラスタ化デバイスです。
これらのオプションは、ローカル Network Edge POD のハードウェア障害や停電から保護するためのローカル (メトロ内) 回復力を提供します。デフォルトでは、2 つの仮想デバイスは別々のコンピューティングプレーン (プライマリおよびセカンダリ) に展開され、互いに区別されます。プライマリデバイスはプライマリ Fabric ネットワークに接続され、セカンダリ/パッシブデバイスはセカンダリ Fabric ネットワークに接続されます。展開タイプの選択は、ポータルのデバイス作成ワークフローから行えます。
!](images/create-devices/NE-RD-CD.png)
冗長化された仮想インスタンスは、冗長性のために異なるコンピュートプレーンにデプロイされます。冗長化された仮想インスタンスは、冗長化のために異なるコンピュートプレーンに配置され、上位レベルのワークフローはありません。通常、冗長化されたデバイスはActive-Active方式で機能します。 冗長化された仮想インスタンスは、同じメトロまたはメトロ間で展開できます。単一のメトロ内の冗長化デバイスは、ローカルな弾力性のみを提供します。メトロをまたいだ冗長化(Geo-Redundancy)は、より高い耐障害性を提供します。冗長デバイスが別のメトロに配置されても、セカンダリコンピュートプレーンに配置されます。
クラスタ仮想インスタンスには、各ベンダによって定義されたアクティブ-スタンバイ・デバイス・ペアを展開する、より高レベルのワークフローがあります。仮想デバイスのクラスタサポートを確認するには、ドキュメントを確認してください。 クラスタデバイスは、同じメトロ内でのみデプロイできます。
仮想接続
仮想接続では、展開に必要な弾力性のレベルを指定できます。ワークフローは柔軟性があり、必要に応じて冗長性に対応する複数のシナリオが可能です。
仮想接続のワークフローは、冗長化環境とクラスタ環境とで異なります。冗長化デバイス接続は冗長化ペアの個々の仮想デバイスから発生し、クラスタ化デバイス接続はクラスタから発生します。
仮想接続の冗長化
冗長デバイスは、アフィニティを使って異なるコンピュートプレーンに配置される。一度デプロイされると、デバイスは構成情報を共有せず、2つの独立したデバイスとして機能します。冗長性を実現するために、プライマリおよびセカンダリEquinix Fabricに仮想接続を作成します。プライマリプレーンはプライマリFabricネットワーク(またはプライマリFabricプレーン)に接続し、セカンダリプレーンはセカンダリFabricネットワークに接続します。
これは Network Edge の回復力を理解する上で最も重要な概念の一つです。デバイスプレーンは、デバイス接続にどのEquinix Fabricネットワーク(またはEquinix Fabricプレーン)を使用するかを決定します。
冗長化されたデバイスは、同じ都市圏でも異なる都市圏でも展開することができ、地理的な距離を超えた冗長化ソリューションを構築することができます。ワークフローは柔軟で、プライマリおよびセカンダリFabricプレーンの両方、またはそれぞれのプレーンで、ユースケースに応じた接続を作成できます。
クラスタ仮想接続
クラスタ化されたデバイスは、プライマリおよびセカンダリのコンピュートプレーンに配置され、仮想デバイスのアクティブ-アクティブまたはアクティブ-スタンバイのペアを構築する上位のワークフローを備えています。
クラスターは同じメトロ内にのみ構築できます。たとえば、プライマリおよびセカンダリのFabricプレーンの両方に仮想回線を構築する場合、ワークフローはクラスタへの接続を2つ作成し、両方のクラスタノードに各接続用のインターフェイスを割り当てます。下の画像(Connecting to Same Metro/Same Provider) は、cluster-node0がアクティブ、cluster-node1がスタンバイのActive-StandbyクラスタへのプライマリおよびセカンダリのFabric接続を示しています。クラスタがフェイルオーバーしてcluster-node1がアクティブになると、接続はcluster-node1に移動します。
| Redundant Devices | Clustered Devices | |
|---|---|---|
| Deployment | Two devices, both Active, appearing as two devices in the Network Edge portal. Both devices have all interfaces forwarding | Two devices, only one is ever Active. The Passive (non-Active) device data plane is not forwarding |
| WAN Management | Both devices get a unique L3 address that is active for WAN management | Each node gets a unique L3 address for WAN management as well as a Cluster address that connects to the active node (either 0 or 1) |
| Device Linking Groups | None are created at device inception | Two are created by default to share configuration synchronization and failover communication |
| Fabric Virtual Connections | Connections can be built to one or both devices | Single connections are built to a special VNI that connects to the Active Cluster node only. Customer can create optional, additional secondary connection(s) |
| Supports Geo Redundancy | Yes, Redundant devices can be deployed in different metros | No, Cluster devices can only be deployed in the same metro |
| Vendor Support | All vendors | Fortinet FortiGate FirewallsJuniper vSRX FirewallsNGINX PlusPalo Alto VM-Series Firewalls |
以下の図に示すすべてのシナリオは、プロバイダ参加者がプライマリとセカンダリの両方のFabricに接続することを前提としています。Equinix Fabricの冗長接続について不明な点がある場合は、エクイニクスグローバルソリューションアーキテクトにご相談ください。
同じ都市圏/同じプロバイダへのコネクト
この接続シナリオは、同じメトロロケーションにある Network Edge デバイスを使用して、同じプロバイダに接続する場合に使用します。このシナリオでは、Network Edge は冗長およびクラスタの両方の展開をサポートしています。仮想回線ワークフローにより、各回線がプライマリおよびセカンダリ Fabric プレーンにそれぞれプロビジョニングされます。例としては、同じ Fabric 参加者への冗長接続があります。
同じ都市圏/異なるプロバイダへの接続
この接続シナリオは、同じメトロロケーションにある Network Edge デバイスを使用して、異なるプロバイダに接続する場合に使用します。このシナリオでは、Network Edge は冗長およびクラスタの両方の展開をサポートしています。仮想回線ワークフローにより、各回線がプライマリおよびセカンダリ Fabric プレーンにそれぞれプロビジョニングされます。例としては、異なる Fabric 参加者への冗長接続があります。
異なる都市圏/同じプロバイダへの接続
この接続シナリオは、異なるメトロのロケーションにある Network Edge 仮想インスタンスを使用して、同じプロバイダに接続する場合に使用します。このシナリオでは、Network Edge は冗長展開をサポートしますが、クラスタ展開はサポートしません。仮想回路ワークフローにより、各回路はプライマリおよびセカンダリ Fabric プレーンにそれぞれプロビジョニングされます。例としては、2 つの異なるメトロから同じ Fabric 参加者への冗長接続があります。
異なる都市圏/異なるプロバイダへの接続
この接続シナリオは、異なるメトロのロケーションにある Network Edge デバイスを使用して、異なるプロバイダを異なる Fabric 参加者に接続する場合に使用します。このシナリオでは、Network Edge は冗長展開をサポートしますが、クラスタ展開はサポートしません。仮想回線ワークフローにより、プライマリおよびセカンダリ Fabric プレーン上の各回線のプロビジョニングが保証されます。例としては、2 つの異なるメトロから異なる Fabric 参加者への冗長接続があります。
デバイスリンクグループ
デバイスリンクグループ (DLG) は、2 つ以上の仮想デバイスを 1 つのグループとして、1 つまたは複数のメトロ内で接続できる Network Edge サービスです。DLG は通常、サービスチェーン (ファイアウォールやルーターなどの複数のデバイスタイプを相互に接続する)、バックボーン、または冗長化のために使用されます。
DLG は冗長性の有無にかかわらず作成できる。単一の DLG は、単一のイーサネットケーブルのように、弾力性を提供しません。最大限の弾力性を必要とする顧客は、プライマリおよびセカンダリ Fabric ネットワークの両方に接続する DLG を追加導入する必要があります。
デバイスリンクとその冗長性機能については、Device Link Resiliencyで詳しく説明されています。
EVP-LANネットワーク
Network Edgeは、EVP-LAN接続をサポートし、多拠点間ネットワークを可能にします。EVP-LANを使用すると、個々の拠点間で直接接続する必要がなく、共通のネットワークを通じて多くの拠点にあるデータセンター資産を相互接続することができます。このトピックでは、プライベートな多拠点間ネットワークを作成し、Network Edgeデバイスからそのネットワークに接続する方法について説明します。
EVP-LAN は、Network Edge デバイスおよび Fabric ポートに接続するという点で DLG とは異なります。同じメトロにある複数の Network Edge デバイスは、同じ EVP-LAN ネットワークの一部となることができます。最大の回復力を必要とするお客様は、プライマリおよびセカンダリ Fabric ネットワークの両方にまたがる追加の EVP-LAN を導入する必要があります。
適切な回復力のために、冗長デバイスペアの各デバイスは、2つの異なるEVP-LANネットワークへの単一の接続を必要とします。プライマリプレーンのプライマリデバイスはプライマリファブリックネットワークを使用します。セカンダリプレーンのセカンダリデバイスは、セカンダリファブリックネットワークを使用します。
クラスタ化されたデバイスは、ワークフローによってプライマリまたはセカンダリEquinix Fabricネットワークのいずれかに接続を構築できるという点で異なります。
関連トピック