アーキテクチャー・フォー・レジリエンシー
このトピックでは、Network Edgeを使用して実現できるフォールトトレラントソリューションの概要を説明します。
耐障害性を備えたソリューションの設計は、ネットワークとエッジアーキテクチャの最も重要な側面の1つです。どの程度の弾力性が必要なのかについて正しい答えはありませんが、ベストプラクティス、さまざまなユースケースに対する提案、Network Edgeが提供する特定のサービスや機能があります。
Network Edgeのインフラストラクチャを提供する基盤となるNFV(Network Functions Virtualization)プラットフォームは、単一の仮想インスタンスの観点から本質的にフォールトトレラントです。しかし、可能な限り最大限の冗長性を実現するには、ソリューション全体に弾力性を設計する必要があります。本資料では、Network Edgeのフォールト・トレラント機能によって補完されたプラットフォーム固有の性質を利用して、弾力性を実現する方法を説明します。
冗長性のレベル
データパケットの起点から、内部から外部に向かい、宛先まで移動するネットワーク設計を想像してみてください。その場合、トラフィックが処理される、あるいはトラバースする各ポイントが障害点となる可能性があります。重要なのは、トラバーサルポイントで影響を及ぼす事象を想定して設計することです。
次の図に示すように、Network EdgeデバイスからエクイニクスFabric参加者へのシンプルなネットワークフローでは、トラフィックフローは3つのポイントに分かれています:ネットワークエッジ仮想デバイス、エクイニクスFabric、Fabric参加者の接続です。Network Edge仮想デバイスとエクイニクスFabricの間には固有の冗長性があるため、基盤となるNFVプラットフォームとFabricを相互接続するLeafまたはSpineアーキテクチャは冗長化されています。エクイニクスFabricとFabric参加者の間には固有の冗長性はありません。最大限の冗長性を実現するには、異なる接続プレーンを利用して完全なネットワークフローを利用するソリューションを導入する必要があります。
一次平面と二次平面
Network Edgeは、専用の電力供給を受ける複数のPOD(Point of Deployments)を備えた標準的なデータセンターの冗長アーキテクチャに基づいて構築されています。Network EdgeとEquinix Fabricの導入の背景には、プライマリプレーンとセカンダリプレーンという概念があります。Network Edgeでは、アフィニティによるコンピュート分離を利用してプライマリプレーンとセカンダリプレーンを利用します。フォールトトレラントペアの各仮想デバイスは、それぞれのクラスタに配置されます。 プライマリプレーン、セカンダリプレーンと呼ばれるものの、Network Edge PODには複数のコンピュートプレーンがあります。実際の数はメトロの規模によって異なります。これにより、デバイスが同じコンピュートプレーンに混在しないように配置でき、単一障害点(SPOF)としてのコンピュートプレーンを排除できます。
Equinix Fabricスイッチは、プライマリスイッチとセカンダリスイッチで構成されるシャーシグループの一部です。シャーシグループのプライマリスイッチとセカンダリスイッチの呼称は、単に呼称の観点からスイッチを識別するためのものであり、トラフィックフローを示すものではありません。ルーティングの観点からの Active-Active または Active-Standby は、Network Edge デバイスで設定され、完全に制御されます。Network Edge の基本アーキテクチャの詳細については、Platform Architecture documentation を参照してください。
NGFW-A というファイアウォール VNF がデプロイされています。セカンダリプレーンにルーター VNF をデプロイするには、Diverse Compute from an Existing Single Device 機能を使用し、ドロップダウンメニューから NGFW-A を選択します。
デバイスと接続の回復力の定義
Network Edgeは、デバイスオプションと接続オプションにまとめられる複数の回復力オプションを提供します。デバイスオプションはローカルで、ローカル都市圏のコンピュートとデバイスレベルでの障害に対する回復力を提供します。これは、業界で一般的に「高可用性(HA)」と呼ばれるものに類似しています。接続の回復力は、デバイス接続(DLG、VC、EVP-LANネットワーク)で追加の回復力を必要とする顧客向けの別のオプションです。
ローカルな回復力と接続の回復力の両方を組み合わせるのが一般的ですが、必須ではありません。
Geo-redundancy は、メトロレベルで Network Edge に影響を及ぼす可能性のある問題を排除するために複数のメトロを利用することで、ローカルの耐障害性を拡張するアーキテクチャです。Geo-redundancyの詳細についてはこちらを参照してください。
シングル(スタンドアロン)デバイス - ローカル回復力オプション
シングルデバイスやスタンドアロンデバイスには、コンピュートやデバイスの障害に対する回復力はありません。最初のシングルデバイスは、常にプライマリコンピュートプレーンに接続されます。シングルデバイスは常にプライマリファブリックネットワーク上で接続されます。シングルデバイスは冗長接続(VC、DLGなど)を構築できますが、常にプライマリファブリックプレーンを通過します。シングルデバイスは、アンチアフィニティ機能によって冗長デバイスに変換することができます。
シングルデバイス アンチアフィニティ
前述したように、シングルデバイスはデフォルトで回復力を持ちません。しかし、シングルデバイスを分岐したコンピュートプレーンに配置することができます。これは一般的にアンチアフィニティと呼ばれ、デバイス作成ワークフローで利用できます。Diverse Compute from an Existing Single Device セクションで、「Select Diverse From 」ボックスをチェックすることで、互いに回復力のある新しいデバイスを追加することができます。
!](images/create-devices/NE-select-diverse-from.png)
冗長化仮想デバイスとクラスタ仮想デバイス
Network Edge のワークフローは、フォールトトレラント展開のペアになった仮想デバイスがプライマリおよびセカンダリのコンピュートプレーンに配置されることを保証します。フォールトトレラントデプロイメントには2つのタイプがある:冗長化デバイスとクラスタ化デバイスです。
これらのオプションは、ローカルの Network Edge PODのハードウェアや電源の障害から保護するために、ローカル(都市圏内)の回復力を提供します。デフォルトでは、2つの仮想デバイスは別々のコンピュートプレーン(プライマリとセカンダリ)に配置され、互いに区別されます。プライマリデバイスはプライマリ Fabricネットワークに接続され、セカンダリ/パッシブデバイスはセカンダリ Fabricネットワークに接続されます。展開タイプの選択は、ポータルのデバイス作成ワークフローから可能です。
!](images/create-devices/NE-RD-CD.png)
冗長化された仮想インスタンスは、冗長性のために異なるコンピュートプレーンにデプロイされます。冗長化された仮想インスタンスは、冗長化のために異なるコンピュートプレーンに配置され、上位レベルのワークフローはありません。通常、冗長化されたデバイスはActive-Active方式で機能します。 冗長化された仮想インスタンスは、同じメトロまたはメトロ間で展開できます。単一のメトロ内の冗長化デバイスは、ローカルな弾力性のみを提供します。メトロをまたいだ冗長化(Geo-Redundancy)は、より高い耐障害性を提供します。冗長デバイスが別のメトロに配置されても、セカンダリコンピュートプレーンに配置されます。
クラスタ仮想インスタンスには、各ベンダによって定義されたアクティブ-スタンバイ・デバイス・ペアを展開する、より高レベルのワークフローがあります。仮想デバイスのクラスタサポートを確認するには、ドキュメントを確認してください。 クラスタデバイスは、同じメトロ内でのみデプロイできます。
バーチャル・コネクト
仮想接続では、展開に必要な弾力性のレベルを指定できます。ワークフローは柔軟性があり、必要に応じて冗長性に対応する複数のシナリオが可能です。
仮想接続のワークフローは、冗長化環境とクラスタ環境とで異なります。冗長化デバイス接続は冗長化ペアの個々の仮想デバイスから発生し、クラスタ化デバイス接続はクラスタから発生します。
仮想接続の冗長化
冗長デバイスは、アフィニティを使って異なるコンピュートプレーンに配置される。一度デプロイされると、デバイスは構成情報を共有せず、2つの独立したデバイスとして機能します。ファブリックパーティシパントを通して冗長性を実現するために、プライマリファブリックとセカンダリファブリックに以下のような仮想接続を作成します。プライマリプレーンはプライマリファブリックネットワーク(またはプライマリファブリックプレーン)に接続し、セカンダリプレーンはセカンダリファブリックネットワークに接続します。
これは Network Edge の回復力を理解する上で最も重要な概念の一つです。デバイス・プレーンは、デバイス接続にどのファブリック・ネットワーク(またはファブリック・プレーン)を使用するかを決定します。
冗長化されたデバイスは、同じメトロでも異なるメトロでも展開することができ、地理的な距離を超えた冗長化ソリューションを構築することができます。ワークフローは柔軟で、プライマリおよびセカンダリFabricプレーンの両方、またはそれぞれのプレーンで、ユースケースに応じた接続を作成することができます。
クラスターバーチャルコネクション
クラスター化されたデバイスは、プライマリおよびセカンダリのコンピュートプレーンに配置され、仮想デバイスのアクティブ-アクティブまたはアクティブ-スタンバイのペアを構築する上位のワークフローを備えています。
クラスターは同じメトロ内にのみ構築できます。たとえば、プライマリおよびセカンダリのFabricプレーンの両方に仮想回線を構築する場合、ワークフローはクラスタへの接続を2つ作成し、両方のクラスタノードに各接続用のインターフェイスを割り当てます。下の画像(Connecting to Same Metro/Same Provider) は、cluster-node0がアクティブ、cluster-node1がスタンバイのActive-StandbyクラスタへのプライマリおよびセカンダリのFabric接続を示しています。クラスタがフェイルオーバーしてcluster-node1がアクティブになると、接続はcluster-node1に移動します。
| Redundant Devices | Clustered Devices | |
|---|---|---|
| Deployment | Two devices, both Active, appearing as two devices in the Network Edge portal. Both devices have all interfaces forwarding | Two devices, only one is ever Active. The Passive (non-Active) device data plane is not forwarding |
| WAN Management | Both devices get a unique L3 address that is active for WAN management | Each node gets a unique L3 address for WAN management as well as a Cluster address that connects to the active node (either 0 or 1) |
| Device Linking Groups | None are created at device inception | Two are created by default to share configuration synchronization and failover communication |
| Fabric Virtual Connections | Connections can be built to one or both devices | Single connections are built to a special VNI that connects to the Active Cluster node only. Customer can create optional, additional secondary connection(s) |
| Supports Geo Redundancy | Yes, Redundant devices can be deployed in different metros | No, Cluster devices can only be deployed in the same metro |
| Vendor Support | All vendors | Fortinet FortiGate FirewallsJuniper vSRX FirewallsNGINX PlusPalo Alto VM-Series Firewalls |
以下の図に示すすべてのシナリオは、プロバイダ参加者がプライマリとセカンダリの両方のFabricに接続することを前提としています。ファブリックの冗長接続について不明な点がある場合は、エクイニクス・グローバル・ソリューション・アーキテクトにご相談ください。
同じメトロ/同じプロバイダーへのコネクト
この接続シナリオでは、同じメトロにあるNetwork Edgeデバイスを使用して同じプロバイダに接続します。このシナリオでは、Network Edge はリダンダントとクラスタの両方をサポートします。仮想回線ワークフローでは、各回線がプライマリおよびセカンダリのファブリックプレーンにそれぞれプロビジョニングされるようにします。例としては、同じFabricパーティシパントへの冗長接続が挙げられます。
同じメトロ/異なるプロバイダーへの接続
この接続シナリオでは、同じメトロにあるNetwork Edgeデバイスを使用して異なるプロバイダに接続します。このシナリオでは、Network Edgeは冗長構成とクラスタ構成の両方をサポートします。仮想回線ワークフローでは、各回線がプライマリおよびセカンダリのファブリックプレーンにそれぞれプロビジョニングされるようにします。例としては、異なるFabricパーティシパントへの冗長接続が挙げられます。
異なるメトロ/同じプロバイダーへの接続
この接続シナリオは、異なるメトロロケーションにあるNetwork Edge仮想インスタンスを使用して同じプロバイダに接続する場合に使用します。このシナリオでは、Network Edge は冗長構成をサポートしますが、クラスタ構成はサポートしません。仮想サーキットのワークフローでは、各サーキットがプライマリとセカンダリのファブリックプレーンにそれぞれプロビジョニングされるようにします。例として、2つの異なるメトロから同じFabricパーティシパントへの冗長接続が挙げられます。
異なるメトロ/異なるプロバイダへの接続
この接続シナリオを使用して、異なるメトロロケーションのNetwork Edgeデバイスを使用して、異なるプロバイダに接続し、異なるFabric参加者に接続します。このシナリオでは、Network Edge は冗長構成をサポートしますが、クラスタ構成はサポートしません。仮想サーキットのワークフローは、プライマリおよびセカンダリのファブリックプレーン上の各サーキットのプロビジョニングを保証します。例として、2つの異なるメトロから異なるFabricパーティシパントへの冗長接続が挙げられます。
デバイスリンクグループ
デバイスリンクグループ(DLG)は、2つ以上の仮想デバイスを複数のメトロ内またはメトロ間でグループとして接続できるNetwork Edgeサービスです。DLG は通常、サービスチェーン (ファイアウォールやルーターなど、複数のデバイスタイプを接続)、バックボーン、または冗長目的に使用されます。
DLG は冗長性の有無にかかわらず作成できる。単一の DLG は、単一のイーサネットケーブルのように、弾力性を提供しません。最大限の回復力を必要とする顧客は、プライマリとセカンダリのファブリックネットワークの両方に接続する DLG を追加導入する必要があります。
デバイスリンクとその冗長性機能については、Device Link Resiliencyで詳しく説明されています。
EVP-LANネットワーク
Network Edgeは、EVP-LAN接続をサポートし、多拠点間ネットワークを可能にします。EVP-LANを使用すると、個々の拠点間で直接接続する必要がなく、共通のネットワークを通じて多くの拠点にあるデータセンター資産を相互接続することができます。このトピックでは、プライベートな多拠点間ネットワークを作成し、Network Edgeデバイスからそのネットワークに接続する方法について説明します。
EVP-LAN は DLG と異なり、Network Edgeデバイスとファブリックポートに接続します。同じ都市圏内の複数のNetwork Edgeデバイスは、同じ EVP-LAN ネットワークの一部になることができます。最大限の回復力を必要とする顧客は、プライマリとセカンダリのファブリックネットワークの両方にまたがる追加の EVP-LAN を展開する必要があります。
適切な回復力のために、冗長デバイスペアの各デバイスは、2つの異なるEVP-LANネットワークへの単一の接続を必要とします。プライマリプレーンのプライマリデバイスはプライマリファブリックネットワークを使用します。セカンダリプレーンのセカンダリデバイスは、セカンダリファブリックネットワークを使用します。
クラスタ化されたデバイスは、ワークフローによってプライマリまたはセカンダリのファブリックネットワークのいずれかに接続を構築できるという点で異なります。
関連トピック