Contrail サービス オーケストレーションの構成要素
このセクションでは、CSOを使用する前に理解すべき主な要素と概念について紹介します。これらの要素と概念の詳細な説明については、 https://www.juniper.net/documentation/product/en_US/contrail-service-orchestration で利用可能な Contrail サービス オーケストレーション管理ポータル ユーザー ガイドおよび Contrail Service Orchestration カスタマー ポータル ユーザー ガイドを参照してください。
管理者
CSO は階層型ドメインベースの管理フレームワークを使用します。CSOのインストール後、最初の管理者はデフォルトで cspadmin と名付けられます。この管理者は、グローバル サービス プロバイダ(SP)管理者とも呼ばれます。この SP 管理者は、グローバル ドメインのすべての CSO プラットフォームへの読み取りと書き込みアクセス権を持っています。CSOaaS では、cspadmin ロールはジュニパーネットワークス用に予約されています。SP 管理者は、CSO のさまざまなオブジェクトに特権を割り当てる役割ベースのアクセス コントロール(RBAC)の対象となる他の管理者やオペレーターを作成、編集、削除できます。
次のレベルの管理者は、運用会社または OpCo 管理者です。CSOaaS では、OpCo 管理者は、マネージド サービス プロバイダの加入者が利用できる最高レベルの管理者です。特定の OpCo の最初の管理者は、SP 管理者によって作成されます。このユーザーは、OpCoドメイン内で完全な管理権限を持っています。CSO のオンプレミス インストールでは、OpCo はグローバル サービス プロバイダ内の地域固有のサービス プロバイダと考えることができます。OpCo管理者は、OpCoドメインとそのテナント内に他の管理者やオペレーターを作成できますが、グローバルドメインや他のOpCoドメインの要素に影響を与えることはできません。OpCo 管理者によるログインが成功すると、管理者は OpCo の管理ポータルに配置されます。
もう 1 つのレベルの管理者はテナント管理者です。この管理者は、単一テナント内のすべてのオブジェクトに完全にアクセスでき、そのテナント内に他の管理者およびオペレーターユーザーを作成できます。テナント管理者のログインにより、テナントのカスタマーポータルにテナントが配置されます。
OpCoとテナントオペレーターのユーザーも存在しますオペレーター・ユーザーは、それぞれのドメインの管理者によって作成されます。デフォルトでは、オペレーターはドメイン内の要素に読み取り専用でアクセスできます。
これは 表 1 にまとめられています。
ユーザー |
ポータル |
アクセス |
ドメイン |
|---|---|---|---|
cspadmin |
管理 |
読み取り/書き込み |
グローバル |
OpCo管理者 |
管理 |
読み取り/書き込み |
独自の OpCo ドメイン |
OpCo事業者 |
管理 |
読み取り専用 |
独自の OpCo ドメイン |
テナント管理者 |
顧客 |
読み取り/書き込み |
独自のテナント ドメイン |
テナントオペレーター |
顧客 |
読み取り専用 |
独自のテナント ドメイン |
ドメイン
各CSOインストールでは、SP管理者がアクセスできる単一のグローバルドメインがサポートされています。CSOaaS の場合、このドメインは加入者にはアクセスできません。
グローバル ドメイン内には、複数の OpCo ドメインが存在する可能性があります。CSOのオンプレミスインストールでは、これらのドメインは地域のサービスプロバイダや、管理責任を分割するために使用するあらゆるスキームに対応します。よりシンプルな管理設定では、単一の OpCo ドメインのみを選択できます。CSOaaS の場合、各 OpCo ドメインは 1 つのマネージド サービス プロバイダ加入者に対応します。
各 OpCo ドメイン内はテナント ドメインです。これらは、WAN接続が管理されている個々の企業です。CSOをオンプレミスにインストールする場合、これらのテナントは、地域サービスプロバイダーまたはグローバルサービスプロバイダの顧客です。CSOaaS の場合、これらのテナントは、CSOaaS に加入しているマネージド サービス プロバイダの顧客である場合や、テナントが CSOaaS 加入者自身に直接加入できる場合があります。
ポータル
CSO は、SP と OpCo がそれぞれのドメインを管理するための管理ポータルと、対応するドメインを管理するテナント用のカスタマー ポータルを提供します。任意のドメイン内の任意のポータルへのアクセスは、ユーザーのログイン権限によって制御されます。ログインで管理ポータルへのアクセスが許可されない場合、このポータルのどの要素も表示またはアクセスできません。
管理ポータルでは、テナントがカスタマー ポータル内で使用するその他のハイレベル オブジェクトをテナントが作成および作成できます。
カスタマー ポータルは、管理ポータルに存在するオブジェクトのサブセットへのテナント アクセスを提供します。OpCo 管理者は、管理ポータルの [テナント] ページのテナント リンクをクリックすると、 テナント のカスタマー ポータルにアクセスできます。
テナント
CSOはテナント要素を使用して、論理的に1つの顧客と別の顧客を分離します。OpCo 管理者は、ネットワーク サービスを提供する各顧客を表す 1 つのテナントを作成します。
CSOでは、RBACや、ネットワーク内の仮想ルーティングおよび転送(VRF)インスタンスなどのその他の方法を使用して、すべてのテナントオブジェクトとOpCoオブジェクトを独自のスペース内で壁に配置します。最終的には、顧客のネットワークを通過するトラフィックも含まれます。個々のテナント、その管理者、オペレーター、または顧客は、別のテナントや顧客のオブジェクトを表示または操作することはできません。SP または OpCo 管理者が最も理にかなっている方法でテナントを指定できます。
ポイントオブプレゼンス(POP)
POP とは、通常はプロバイダ ネットワーク エッジの物理的な場所で、2 つ以上のネットワーク間の境界または交流ポイントとして機能します。POPは、SD-WAN導入において、必要なユーザーの近くでネットワークアクセスとネットワークサービスを特定する方法として使用されます。必要と可用性に応じて、各 POP で異なるネットワーク サービスと異なる接続タイプを提供できます。
CSOでは通常、POPはテナントトラフィックがテナントオーバーレイネットワークから抜け出し、プロバイダのアンダーレイネットワークまたはインターネットに入ります。SP または OpCo 管理者は、POP を作成し、その POP に PE ルーターとプロバイダ ハブ デバイスを追加する役割を担います。プロバイダ ハブ デバイスが追加されると、そのデバイスをテナント ネットワーク内で使用するために選択できるようになります。SP または OpCo 管理者が最も理にかなっている方法を問わず、POP の名前を付けることができます。
プロバイダ ハブ
SP または OpCo 管理者は、プロバイダ ハブを POP に追加します。プロバイダ ハブは、以下の役割のいずれかまたは両方を持つことができます。
OAM - OAMハブは、CPEとCSOインストールの間に論理的に位置しています。その役割は、CSO から OAM トラフィックを受信し、セキュア トンネル内の宛先 CPE デバイスに転送することです。一方、OAMハブは、セキュアトンネル内のCPEデバイスからOAMトラフィックを受信してCSOに転送します。この役割は、CSO のオンプレミス導入にのみ存在します。CSOaaS では、この役割は提供されるサービスの一部です。
データ - テナントネットワーク内に留まるテナントトラフィックの場合、データハブはサイト間トラフィックのトランジットハブとして機能します。プロバイダ ネットワークを宛先とするテナント トラフィックの場合、データ ハブはオーバーレイ テナント ネットワークとアンダーレイ プロバイダ ネットワークの間の境界ポイントとして機能します。プロバイダ データ ハブは、独自のエンタープライズ データ ハブを持つテナントにはオプションです。テナントにエンタープライズデータハブとプロバイダデータハブが割り当てられた場合、割り当てられたプロバイダーデータハブがバックアップとして機能します。
プロバイダ ハブが POP に追加されると、SP または OpCo 管理者はプロバイダー ハブ サイトをテナントに関連付けることができます。
サイト
CSOがオーバーレイテナントネットワークを構築する前に、そのネットワーク内のすべてのサイトについて知る必要があります。サイトには、プロバイダ ハブ サイト、エンタープライズ ハブ サイト、オンプレミス スポーク サイト、クラウド スポーク サイトがあります(表 2)。
使用可能なサイト タイプ |
追加者 |
使用 |
サービスノート |
|---|---|---|---|
オンプレミスのスポーク |
テナント管理者は、オンプレミスのスポーク サイトを追加します。 |
ハブアンドスポーク方式またはフルメッシュトポロジーのいずれかで、支社サイトに配置されたNFXシリーズまたはSRXシリーズのデバイス。 |
オンプレミスのスポークには、以下の機能があります。 SRXシリーズ
NFX シリーズ
メモ:
リンクがPPPoEの場合、xDSLインターフェイスを使用したZTPは機能しません。リンクがブリッジされ、DHCPを使用する場合、XDSLインターフェイスでZTPが動作します。 |
クラウドスポーク |
テナント管理者がクラウド スポーク サイトを追加します。 |
テナントの Amazon Web Services(AWS)仮想プライベート クラウド(VPC)に配置された vSRX |
クラウド スポークの機能は次のとおりです。
|
プロバイダ ハブ |
SP または OpCo 管理者は、テナントのプロバイダー ハブ サイトを追加します。 プロバイダ ハブ サイトを追加するということは、既存のプロバイダ ハブ デバイスとテナントを関連付けるということです。これを行うには、SP または OpCo 管理者がテナントのカスタマー ポータルに切り替え、利用可能な POP とプロバイダ ハブ デバイスのリストから POP とプロバイダ ハブ デバイスを選択してプロバイダ ハブ サイトを追加します。 プロバイダ ハブ サイトの名前は、選択したプロバイダ ハブ デバイスの名前に自動的に設定されます。 |
サービス プロバイダ クラウドの中心的な役割を担う SRX シリーズ デバイス。ハブデバイスは、スポークサイトとのIPSecトンネルを確立します。プロバイダハブデバイスは、設定されたVRFインスタンスを使用して、マルチテナント(複数のサイト間で共有)されます。 |
プロバイダ ハブの機能は次のとおりです。
|
エンタープライズハブ |
テナント管理者は、エンタープライズ ハブ サイトを追加します。 |
通常のスポーク サイトにさらにハブのような機能を提供します。 |
エンタープライズ ハブの機能は次のとおりです。
|
トポロジ
CSOは、以下のネットワークトポロジーをサポートしています。
Standalone Topology — このトポロジーは、ネットワーク サービスの顧客またはユーザーが互いに分離し、NGFW ソリューションなど、相互に通信する手段がないものです。NGFWソリューションは、SRXシリーズの次世代ファイアウォールデバイスでリモートサイトのセキュリティを提供します(図1)。
図 1:スタンドアロン NGFW
Hub–and–Spoke Topology — このトポロジーは、SD-WAN 導入でサポートされています。スポークツースポークトラフィックを含むすべてのトラフィックがハブサイトを通過します。
図 2 は、ハブアンドスポーク方式の概念を示しています。
図 2:ハブアンドスポーク方式トポロジー
Dynamic Mesh Topology — このトポロジーは、SD-WAN の導入に対応しています。 図 3 は、トラフィックが任意のサイトから任意のサイトに直接流れる動的メッシュ トポロジーの例を示しています。サイト間トンネルはトラフィックのしきい値に基づいて動的に作成されるため、リソースが節約され、全体的なパフォーマンスが向上します。メッシュ タグを使用して、どのサイトを接続できるかを決定します。
図 3:ダイナミック メッシュ トポロジー
仮想ルートリフレクタ(VRR)
VRRはCSOのSD-WANコントローラの一部です。これは、インストールプロセス中にプロビジョニングおよびインストールされる仮想マシンの1つです。SD-WAN導入で必要なルーティングを容易にするために、VRRは、OAM機能用に指定されたアンダーレイインターフェイス上で、CPEスポークとハブデバイスを使用してオーバーレイBGPセッションを形成します。この選択は、サイトオンボーディングの [サイトの構成] ワークフローで行います。 図 4 は、VRR の概念を示しています。
SLAベースのステアリングプロファイルとポリシー
CSOでは、SD-WAN導入におけるトラフィック管理のためにSD-WANポリシーインテントにマッピングできるSLAベースのステアリングプロファイルを作成できます。このプロファイルは、パケットロス、往復時間(rtt)、ジッターのしきい値などのSLAパラメーターに基づいて、トラフィックを特定のWANリンクに誘導するように設計されています。SLA ステアリング プロファイルは、すべてのテナントのグローバル アプリケーション トラフィック タイプに対して作成されます。SLA プロファイルは、管理ポータルで定義できる設定可能な制約セットで構成されます。
以下を設定できます。
サイト間の各接続パスのパス優先度
サイトからハブへの各接続パスのパス優先度
スループットのしきい値パラメーター
パケット損失のしきい値パラメーター
遅延のしきい値パラメーター
ジッターのしきい値パラメーター
さまざまなタイプのトラフィックのサービス クラス
アップストリームとダウンストリームのトラフィック レートとバースト サイズを制御するレート リミッタ
ステアリングプロファイルが存在すると、インテントベースのSD-WANポリシーを作成して、そのプロファイルを特定のサイトや部門に適用し、SSHやHTTPなどの特定のタイプのアプリケーショントラフィックに対して適用できます。
SLA プロファイルを作成する場合、パス優先度または SLA パラメーターのいずれかを設定する必要があります。両方のフィールドを同時に空白にすることはできません。
詳細については、 SLAプロファイルとSD-WANポリシーの概要 を参照してください。
パスベースステアリングプロファイル
パスベースのステアリングプロファイルは、グローバルなアプリケーショントラフィックタイプを特定のWANパスに誘導するシンプルな方法です。これらのプロファイルでは、SLA パラメーターを設定する必要はありません。必要なのは、特定のトラフィック タイプに使用する利用可能なパスを指定することばかりです。SLA ステアリング プロファイルと同様に、これらのプロファイルのレート制限パラメーターを設定できます。また、これらのプロファイルを有効にする前に、SLA ポリシーに割り当てる必要があります。
インテントベースのファイアウォールポリシー
カスタマーポータルからアクセスすると、ファイアウォールポリシーが インテントベースの ポリシーとして表示されます。ファイアウォールポリシーは、デバイスを通過するトラフィックにインテントを適用することで、セキュリティ機能を提供します。ファイアウォールポリシーインテントとして定義されたアクションに基づいて、トラフィックが許可または拒否されます。ソーシャル メディア サイトからの HTTP ベースのトラフィックをブロックし、Microsoft Outlook からの HTTP ベースのトラフィックを許可する場合は、それを行うインテント ポリシーを作成できます。
詳細については、 ファイアウォールポリシーの概要 を参照してください。
ソフトウェアイメージ管理
CSO 管理ポータルでは、SP 管理者(cspadmin)が [ リソース > イメージ ] ページでデバイス ソフトウェア イメージと VNF イメージをアップロードできます。オンプレミスCSO導入のcspadminユーザーは、サポートされているSRXシリーズデバイス(vSRXを含む)、NFXシリーズデバイス、EXシリーズデバイスのデバイスイメージをアップロードできます。
CSOaaSの場合、OpCo管理者は、ジュニパーネットワークスがCSOにアップロードした画像を確認できます。また、アップロードしたデバイス イメージを CPE デバイスや EX シリーズ アクセス スイッチにステージングして導入することもできます。