F5ネットワークスの「BIG-IQ」は、BIG-IPの統合管理プラットフォームであるとともに、SDNというトレンドに対する同社の答えでもあり、クラウドやグローバルデータセンターの連携を可能にするハブでもある。製品概要についてプロダクトマネージャのダン・キム氏に聞いた。
BIG-IQはなぜ生まれたか?
BIG-IQは同社の管理プラットフォームの新ブランドで、同社のADC(Application Delivery Controller)であるBIG-IPを集中管理できる。米F5ネットワークス プロダクトマネージャのダン・キム氏は、スイッチのアーキテクチャを例に、「既存のBIG-IPがデータプレーンだとすると、BIG-IQはマネージメントプレーンだ」と説明する。
米F5ネットワークス プロダクトマネージャのダン・キム氏
BIG-IQはBIG-IPと同じモジュラー型のアーキテクチャになっており、必要な機能のライセンスを購入し、共通プラットフォーム上で動作させることができる。REST APIを経由してBIG-IPプラットフォームを制御できるのが大きな特徴。キム氏は「iControlではSOAPを使っていたが、BIG-IQはREST APIを提供している。そもそもRESTを使うユーザーが増えたこともあるが、やはり柔軟性や堅牢性も高い点も大きい」と説明する。
F5がこうした管理プラットフォームを投入した背景には、やはりアプリケーションの利用形態が多様化してきた点がある。従来のようにローカルのセキュアな環境ではなく、モバイル環境やグローバルでの利用が増え、しかもアプリケーション自体が外部のクラウドでホストされるようになってきた。長年ユーザーとアプリケーションの接続を最適化してきたF5としては、こうした新しい利用形態にも適切に対応すべく、他の管理プラットフォームやクラウドとの連携を進める必要があったわけだ。
SDNとの連携という面でも、BIG-IQの存在意義は大きい。現在のSDNはおもにネットワークのコネクティビティの確保がメインで、アプリケーションやセキュリティの最適化という観点は欠落している。F5としては、単にアプライアンスを仮想化し、クラウド上に配置できるようにするだけではなく、SDNで構築された仮想ネットワークに対しても、トラフィックの最適化を提供する必要がある。このために作られたのが、BIG-IQと考えてよいだろう。
オーケストレーターとBIG-IQ Cloudの関係
BIG-IQプラットフォーム上で動作する製品の第1弾が「BIG-IQ Cloud」だ。これは「オーケストレーター」と呼ばれる他の管理プラットフォームからBIG-IPの設定や運用を可能にするモジュールだ。キム氏は、「オーケストレーターは、ADCやスイッチを使うために管理をシンプルにしたいというニーズがあるが、ADCやファイアウォールのベンダーはよりリッチな機能を使ってもらいたいというギャップがある。このギャップを埋める」と説明する。
クラウド対応の管理ソリューション「BIG-IQ Cloud」
また、「iApps」を用いてアプリケーションごとの最適化設定を一元的に施したり、負荷に応じて処理をパブリッククラウドにまで請け負わせるクラウドバースティングにも対応する。「両者のBIG-IP同士で連携し、ローカルでのキャパシティがあふれたときにパブリックに流していくことが可能だ」(キム氏)。パブリッククラウドとの接続に関しては、現在VMware vCloud DirectorとAmazon Web Servicesとのコネクターを提供しており、将来的にはVMwareの管理GUIからもシームレスにBIG-IPを統合管理できるようになるという。
さらにサービスプロバイダーとテナント用のビューが異なっている点もユニークだ。「プロバイダーが提供しているカタログとBIG-IPのiAppsをひも付け、テナントがアプリケーションに応じて選択できる」(キム氏)とのことで、プロバイダーが機能としてiAppsを提供できる仕組みを実現している。
ファイアウォールを統合管理するBIG-IQ Securityも投入
こうしたBIG-IQ Cloudがなにを目指すのか? 現状のオーケストレーターはVMやストレージなどベーシックなプロビジョニングを自動化するのみだが、今後はBIG-IQは橋渡しすることでセキュリティやアプリケーション配信のポリシーまで統合管理できる。
しかも、BIG-IQはSDNコントローラーとAPIレベルで連携できるため、将来的にはSDNで構築された仮想ネットワークに対し、トラフィックの最適化を施すということまで可能だ。キム氏は、「SDNはトラフィック制御ではなく、“土管”としてのネットワークをダイナミックに構築する技術だと考えている。われわれはアプリケーショントラフィックを管理するには、やはりL4~L7を制御するのがもっともよい」と述べ、SDNとは動作するレイヤーと役割が異なっているという認識を示した。
現状では、BIG-IP LTMのみサポートされているほか、提供形態も「Virtual Edition」だけだ。しかし、将来的にはハードウェア製品もリリースされる予定になっている。
米国ではすでに2つめのBIG-IQモジュールとして「BIG-IQ Security」もリリースされている。これは複数のBIG-IP AFM(Advanced Firewall Manager)のルール管理を統合的に行なうもので、ファイアウォールのコンプライアンスや監査の一元化を実現するほか、ルールのコンフリクトなどを避けられるという。「たとえば、数多くのルールの効果などを可視化できる。変更前と変更後の効果の違いを調べることが可能だ」(キム氏)。国内でも遠からずリリースされる予定となっている。
BIG-IQは2013年4月にリリースされたばかりだが、現在はアーリーアダプターによる試験導入が進んでいるという。「当初はデータセンターのみを想定していたが、エンタープライズでのプライベートクラウドで使われる例も見られる。また、特にOpenStackのコミュニティからは高い期待を受けている」(キム化)とのことだ。
