インテントベース ネットワーキングの価値をフルに実現:Cisco Network Assurance Engine の導入
この記事は、データセンター ネットワーキング担当シニア バイス プレジデント兼ジェネラル ンマネージャー Roland Acra によるブログ「Assuring the Full Promise of Intent-Based Networking: Introducing the Cisco Network Assurance Engine」
(2018/1/30)の抄訳です。
ネットワークのインテント(意図)を把握し、変化を促進し、停止を予測し、ポリシーに対するコンプライアンスを確保する
デジタル エンタープライズが急速に進展する中で、新しいアプリケーションが爆発的に増加しています。それらはコンテナ、仮想化環境、クラウドなどに置かれて、膨大なデータセットに作用しています。どうすれば、アプリケーションの場所にかかわらず、ネットワーク ポリシーを確実に適用できるでしょうか。その答えが、データセンター向けのインテントベース ネットワーク(IBN)です。
IBN は、ユーザがネットワークに要求しているインテントを捉え、それを多様なデータセンター ネットワーク全体にわたって自動化して適用し、確実に実施します。それによって、データセンター ネットワーキングを変革します。
シスコでは長年にわたり、プログラム インターフェイスと明示的なポリシー構成を使用しながら、アプリケーション セントリック インフラストラクチャ(ACI)を通じてこのインテントを捉え、ネットワーク内で適用してきました。Tetration によって、シスコは誰も成し得なかったことを実現しました。つまり、かつてない高い精度で、ローカルまたはネットワーク全体におけるあらゆる観点から観察したアプリケーション動作に基づくデータ駆動型の推論を行い、インテントを自動的に作り出したのです。
そして今、Cisco Network Assurance Engine が、継続的かつ組織的な検証、インサイト、そして是正措置により、IBN に関する最終的な答えを出します。つまり、意図したとおりの機能をインフラストラクチャが確実に果たすことを保証して、変化の促進、停止の予測、コンプライアンスの確保を実現します。
現在のデータセンター ネットワークでこのような保証のギャップが生じている現状からは、どのような結果が導かれるでしょうか。
- 運用におけるインテントが失われれば、トラブルシューティングに長い時間がかかります。
- ネットワーク セキュリティにおけるインテントが失われれば、多くの場合、検出が困難になります。検出されても、急いで修正しようとして混乱が生じてしまいます。
- コンプライアンスにおけるインテントが失われれば、監査に合格できません。
- 変更におけるインテントが失われれば、プレッシャーの下で変更を元に戻そうとして、結果の評価ができないことによって、多くの場合、事態が大幅に悪化します。
Cisco Network Assurance Engine を使用すれば、こうした保証のギャップを解消できます。なぜ Network Assurance Engine はそれほどまでにすばらしいのか、その理由は一言で言い表すことができます。それは「数学」です。ネットワーク内のルールを分析することによって、モデリングを行い、ネットワークがそれらのルールに従っていることを継続的に確認し、ルールに矛盾がないことを保証するのです。
シスコは、複雑なポリシー ルールとその正確な影響を含め、ネットワークのコントロール プレーンとデータ プレーンのあらゆる側面について、数学的に正確なモデリングを、人間では不可能なスピードで行います。アンダーレイ、オーバーレイ、および仮想化レイヤにわたり、すべてが継続的に再アサートおよび再検証されます。それによって、非常に重要なビジネス成果が得られます。
予測的な変更管理 = リスクとコストの低減
データセンターにおけるネットワーク停止を招く圧倒的最大の原因は、人的ミスです。ネットワーク停止の 40 % が人的ミスによるものだとする集計結果もあります。1 ほとんどの場合、データセンターの問題は変更プロセス中に発生しています。マルチクラウドの仮想化世界では、絶えず変化が起こっています。データセンターの統合など、大規模な変更を実施している場合には、それが特に顕著です。アプリケーションの場所やポリシーの相互関連の様子を把握できていなければ、自信を持って変更を行うのは困難です。Cisco Network Assurance Engine を利用すれば、変更を実施する前にその影響を確認することができ、人的ミスによるネットワーク障害のリスクが大幅に軽減されます。
ネットワーク全体の動作をプロアクティブかつ継続的に検証:ネットワーク停止の可能性を検出
インテントを実現するには可用性が必要です。どのような場合でも、ネットワークは最高レベルで稼働していなければなりません。ネットワーク停止に対する最良の防御は、考え方をリアクティブからプロアクティブに変えることです。シスコの 30 年以上の経験から導かれた 5,000 以上の組み込みモデルと、お客様のモデルを組み合わせることで、シスコは意図した動作からの逸脱をプロアクティブに特定でき、修復策を推奨することもできます。それにより、停止を事前に防止することが可能になります。サブネットのオーバーラップのような、単純でありながら破壊的な問題であっても、コンテナ化されたマルチクラウド インフラストラクチャ内で何千ものポリシーが競合する問題であっても、Network Assurance Engine が、確実なインテントの実現に向けた運用パラダイム変革を支援します。
ネットワーク セキュリティ ポリシーを確実に適用:証明可能で継続的なポリシー遵守と一貫性
硬直的な監査では、リスクの存在箇所を特定できるだけの詳細な情報は得られません。また、変化のペースが急速になる中で、ネットワークの状態は、監査が終了した直後から変化していきます。何が存在しているのか、およびそのインテントは何であるかを理解できなければ、問題がポリシーに対するコンプライアンス違反にあるのか、ポリシーの競合にあるのか、あるいはポリシーの不在にあるのか特定することはできません。Network Assurance Engine によってネットワークのセキュリティ ポリシーが確実に適用され、ビジネス ルールに対するコンプライアンスがチェックされることで、ネットワークのセキュリティ リスクが軽減されるとともに、ポリシーと状態に基づいた証明可能かつ継続的なコンプライアンスが実現します。
Bosch 社、Axians 社、Vecozo 社など Network Assurance Engine を早期に導入したお客様では、すでにその価値が現れています。シスコは ACI と Tetration によって、アプリケーションのインテントを解釈し、ネットワーク全体またはアプリケーションが置かれているエンドポイント(AWS や Azure などの主要なパブリック クラウドを含む)にポリシーを適用することを可能にしました。Network Assurance Engine によって、状況が大きく変わっています。インテントを実行し、可用性が確保され、リスクが最小になり、将来的なデータセンター自動化に向けた動きが加速しています。
Cisco Network Assurance Engine が実現するインテントベース ネットワーキングの詳細については、http://cisco.com/jp/go/networkassurance をご覧ください。
Tags:
