オンプレミス連携やフェデレーションでBIG-IPはまだまだ使える
エンタープライズのAWS・AzureでF5のBIG-IPはどう活用できる?
2016年09月20日 07時00分更新
9月16日、F5ネットワークスジャパンは「パブリッククラウドシフトとF5が果たす役割」をテーマにした勉強会を開催した。登壇したF5の帆士敏博氏は、まだまだオンプレミスでの売り上げが大きいF5がクラウド分野で成長するため、どのようなユースケースか考えられるか、足で稼いだユーザーの情報を踏まえて説明した。
エンタープライズのクラウド導入はまだ夜明け前
登壇したのはF5ネットワークスジャパン ビジネスディベロップメントマネージャの帆士敏博氏。F5ネットワークス全体がパブリッククラウドにシフトする戦略を打ち出す中、帆士氏はこの4ヶ月でマイクロソフトやAWSのようなクラウドベンダー、FIXERのようなクラウドインテグレーター、数多くのユーザーに足繁く通ってきたという。今回の勉強会では、実際のユーザー事例を元に、AWSやAzureなどのパブリッククラウドとF5のBIG-IPがどのように連携できるかが披露された。
まずはF5の立ち位置だが、現状でもF5の売り上げの大半はオンプレミスのロードバランサーで、まだまだクラウドのイメージがないという認識。帆士氏は、「今後、これがなくなっていくとは思わないけど、市場的にあまり未来はない。クラウドシフトが進む中で、多くのオンプレベンダーが苦労している。はっきり言ってF5も苦労している」と本音を吐露する。とはいえ、F5のIP自体がアプライアンスよりも、ソフトウェアにあるということで、生き残れる確率は高いと見込む。
市場動向についてはシスコのGlobal Cloud Indexのレポートを元に、典型的な利用形態がパブリックとプライベートのハイブリットクラウドである一方、ワークロード自体がパブリッククラウドにシフトしているという点を指摘。また、帆士氏がユーザー訪問で調べた20件のデータも明らかにされ、「一言で言えば、(クラウド導入に関しては)エンタープライズは夜明け前。今後、1年でだんだん明るくなっていく」と感想を述べる。
エンタープライズを調べた20件のデータでは半分がAWS、2割がAzureという割合。AWS一強だった数年前に比べ、Azureが台頭してきたことで、時間の経緯とともにマルチクラウドの割合が高まってくると見込んでいる。一方でクラウドは使わないという会社も2社あった。「2社とも日本の企業としては珍しくIT部門が強く、事業部からパブリッククラウドを使いたいというリクエストをことごとくリジェクトし、プライベートクラウドを使っている」(帆士氏)という。
エンタープライズのインフラ担当に聞いた導入のパターンとしては、「役員レベルでクラウドファーストが決まった」という「上から」パターン、「現場部門が勝手に使い始め、そろそろガバナンスが必要になってきた」という「勝手に」パターンなど、情シスから見た外部要因が多い。そのため、インフラ担当しては、とにかくトラブルを回避するため、アプリケーションをそのまま移行したいという声が多かった。一方で、「セキュリティと運用に不安がある」や「既存のインテグレーターにノウハウがない」といった悩みもありつつ、「せっかくだからクラウドならではのメリットを享受したい」という生の声も得られたという。
F5とパブリッククラウドとの連携は大きく4パターン
とはいえ、現状はパブリッククラウドに全面クラウドとオンプレミスが混在し、アプリケーションが分散化している状態。これにより、セキュリティや可用性が破綻しているというのが帆士氏の見立てだ。本質的には、一貫したポリシーで、あらゆるクラウドをどこからでも利用できる環境が望ましい。こうしたニーズに対応するためには、F5をシングルポイントコントロールとして導入し、セキュリティと可用性を担保するのが理想だという。帆士氏はAWSとAzureを中心に、4つのパブリッククラウドの連携パターンを4つ披露した。
オンプレミスのワークロードをそのままクラウドに移行
1つ目は、クラウド上にBIG-IPのバーチャルアプライアンス(BIG-IP VE)を導入することで、オンプレミスのワークロードをそのまま移行させるパターン。BIG-IP VE自体は以前から展開しているが、「設定を変えたくない」というあまり積極的でない事情で導入されることも多く、クラウドならではの機能が使いにくいというのが実情。しかも、パブリッククラウドに移行する際に、AWSのELBに乗り換える事例も出ているという。
あるスポーツ用品店のEコマースサイトではクラウドファーストでAWSへの移行が決定したものの、移行を考えてオンプレミスと同じ構成を採用した。この中で、既存のBIG-IPをそのままバーチャルアプライアンスに載せ替え、アプリケーションやiRulesなどをそのまま利用しているという。とはいえ、この場合はオンプレミスの構成をそのままクラウド化しただけなので、クラウドならではのメリットに乏しい。しかし、実際はAWSのCloudWatchで収集したメトリックを元に、EC2をオートスケールさせ、いっしょに従量課金型のBIG-IP VEをスケールさせることも可能。また、Azure Security CenterとF5のWAFを連携し、DevOpsとセキュリティを統合できるという。
BIG-IPをオンプレとクラウドのハイブリッドで利用
2つ目は、BIG-IPをオンプレミスとクラウドで利用するハイブリッド利用。ある商社では、オンプレミスとAzureのハイブリッド構成で、Azure LBではなく、BIG-IP VEを採用した。「監査のために詳細なログが必要だったが、ネットワークセキュリティグループ(NSG)だと、オンプレと同じログが出力できない、現行のAzureロードバランサーではパーシステンス機能やログが不足しているとった課題で、BIG-IP VEが導入された」(帆士氏)という。また、AWSでDRサイトを作り、オンプレミスとクラウドにあるBIG-IPを同じ設定にして、運用負荷を軽減した事例もあるという。
クラウドとオンプレミスの認証をBIG IP APMでシームレスに
意外と多いのは3つ目のクラウド認証との連携パターン。こちらはオンプレミスとパブリッククラウドを併用している場合に、認証やアクセスセキュリティが課題になる場合に導入される。
ある大手製造業では、イントラネット上にある600ものアプリケーションをパブリッククラウドに移行し、インターネット上で公開したいというニーズがあった。しかし、この場合、オンプレミスとパブリッククラウドでアカウントを多重管理すると負荷が大きくなり、社内と同じセキュリティポリシーを実現するのが難しいという課題があった。さらにクラウド上の各アプリごとにSAML SP(Service Provider)対応する必要があった。
そのため、この大手製造業ではオンプレミスのBIG-IP APMをSAMLのIdPとして機能させ、クラウド上のBIG-IP VEをSAML PSとして連携させる方法をとった。アカウント管理と認証はオンプレミスのディレクトリに統合し、クラウドサービスの認証はSAMLのSPとして動作するBIG-IP VEにフェデレーションさせる。これにより、アプリケーションを個別にSAML対応させる必要がなくなり、オンプレミスとクラウドでのシームレスな認証が可能になったという。とはいえ、AWS・Azureともにフェデレーションの機能を強化しているため、社内でワンタイムパスワードを利用していたり、イントラネットのアプリケーションに引き続きVPNが必要な場合など、特殊な事例で用いられることが多いようだ。
コロケーションでBIG-IPを設置し、アプラアインスの強みを生かす
そして、4つ目はBIG-IPをコロケーション事業者に設置してもらい、クラウドアプリの集中管理やハードウェアならではの処理能力を活かすという方法だ。
現在、エンタープライズのユーザーはDirect Connect(AWS)やExpress Route(Azure)などで、サーバーをコロケーションしたデータセンターとパブリッククラウドをつないでいることが多い。こうした中、コロケーションの事業者がBIG-IPをサービスとして提供することで、セキュリティや可用性の向上に寄与できるというシナリオだ。こちらもニーズが高いため、コロケーション事業者のサービス化に最適なプログラムを作っていきたいという。
クラウド専任部隊の設立やCIerとの連携も模索
F5ではこうしたパブリッククラウドでのビジネスを拡げるため、クラウド専任の部隊を設立し、AWS/Azureチームとも連携を深めていくという。また、先日発表されたFIXERとのアライアンスを皮切りにCIerとのビジネス開発も進め、10月にはクラウドに特化したパートナープログラムも進める。
製品開発もクラウド対応に注力し、AWSやAzure以外の対応や可視化プラットフォームの開発、さらにはガートナーがMode2と呼ぶクラウドネイティブアプリへの対応を進める。「AWSのELB(CLB/ALB)はまだまだ機能的にシンプルだが、クラウドにネイティブ対応しているため、エラスティックな部分が大きい」とのことで、クラウド環境でも最高なL4/L7プラットフォームを目標に、機能拡張を進めるという。