特別企画

マルチクラウド、FPGA、そしてDevOps――、F5が「BIG-IP i」で挑むアプリケーションデリバリのトレンド

 クラウドを検討中の企業にとってもっとも重要なポイントのひとつに、既存アプリケーションの移行が挙げられる。ここ数年、ERPなどの基幹業務システムをパブリッククラウドに移行するケースが劇的に増えたが、オンプレミスとは異なる運用スタイルやセキュリティへの対応にとまどうIT担当者はいまだに少なくない。

 クラウドかオンプレミスを問わず、あるいはクラウドベンダーをも問わず、どんな環境であっても一貫したポリシーのもとでアプリケーションを安全に稼働させ、クラウドのメリットである柔軟で迅速なサービス展開を実現する――、現在、多くの国内企業がそうしたソリューションを求めている。もっといえば、エンタープライズにおけるクラウド導入は、アプリケーションのスムーズな移行が重要な鍵となる。

 クラウドとアプリケーションの親和性に悩む企業に対し、F5ネットワークスジャパン(以下、F5ジャパン) 営業企画 ビジネスディベロップメントマネージャ 帆士敏博氏は「F5はアプリケーションに特化した会社」と明言する。

 F5ジャパンは2016年11月、フラグシップ製品のアプリケーションデリバリコントローラ(ADC)である「BIG-IPシリーズ」を刷新、「BIG-IP iシリーズ」としてリブランディングを行った。

 F5と聞くと、今も“ロードバランサーの会社”というイメージが強いが、このイメージを打破すべく、同社は現在、「マルチクラウド時代におけるアプリケーションデリバリ」をもっともモダンに実現できるベンダーとしてのアプローチを強化している。BIG-IP iシリーズのリブランディングもその一環だ。

 クラウドへの移行がますます重要トレンドとしてクローズアップされる中、F5は"アプリケーションに特化した会社"としてどんなビジネス戦略を展開しようとしているのだろうか。本稿ではBIG-IP iシリーズの戦略を中心に、F5がマルチクラウド市場で帆士氏にお話をうかがった。

帆士敏博氏

BIG-IP iシリーズ:マルチクラウドと自動化にこだわった次世代のADC

 アプリを、あらゆるクラウドで、安心/安全に――、F5はBIG-IP iシリーズの発表の際、同社の今後のアプローチについてこう表現している。ここでのキーワードは「アプリケーション」「マルチクラウド」「セキュリティ」だ。そしてその3つを同時に体現するADC製品が一新されたBIG-IP iシリーズとなる。

 なお、BIG-IP iシリーズの"i"は「intelligent(インテリジェント)を示している」(帆士氏)という。

 そもそもF5が前提としている“マルチクラウド”とはどんな状態を指しているのだろうか。帆士氏は「特定のクラウドだけを利用している企業はまずない。多いのはオンプレミスとパブリッククラウドが混在している状況。最近は事業部門サイドが独断でSaaSを利用しているケースなども多く、複数のパブリッククラウドが社内で乱立していることもめずらしくない。金融はまだガバナンスがきいているが、製造業などはかなり乱立状態だ」と指摘する。

 IT部門にとってやっかいなのは、IT部門を通さずに事業部門が導入したクラウドはその利用実態を把握しにくい存在だということだ。うまく動いている間はいい。だが、ひとたびセキュリティインシデントが起こると、その責任はIT部門が負わなければならない。全社共通のセキュリティガイドラインを作って対応を図っているIT部門もあるが、当然ながら事業部門がそれを順守するとは限らない。むしろ守られない可能性のほうが高いかもしれない。

 「だからこそ、(プライベートクラウド/オンプレミスを含む)どんなクラウドにどんなアプリケーションを置いても、一元的に集中管理できるシステムが必要となる」と帆士氏は強調する。

 F5がBIG-IP iシリーズを単なるロードバランサーではなくAD"C"だと主張するのもここに理由がある。

 クラウドにアプリケーションを置く最大のメリットはその柔軟性とスピードだ。ビジネスや市場の規模にあわせてアプリケーションのデリバリ/デプロイがオンプレミスに比べてはるかに変更しやすく、スピーディに展開できる。このメリットを最大限に享受しつつ、パフォーマンスを最適化し、セキュリティを担保することができるコントローラ、それが一新されたBIG-IP iシリーズであり、「アプリケーションデリバリの自動化とオーケストレーションまで含めて一元的な管理を提供できるのはBIG-IP iシリーズだけ」だと帆士氏は言う。

 クラウドの普及に伴い、データセンターのオペレーションは手動から自動化/オーケストレーションへと変わりつつある。データセンターの進化に対応できるコントローラは現在、市場にそれほど多くはなく、そこに「F5の伸びしろ」(帆士氏)がある。

「アプリを、あらゆるクラウドで、安心/安全に――」、というF5のアプローチを実現するものがBIG-IP iシリーズだ(資料提供:F5ジャパン、以下同じ)

FPGAとECS-SSL:ハードウェアをインハウスでデザインできる強み

 BIG IP-iシリーズの特徴をもう少し深掘りしてみたい。ラインアップは「i2000シリーズ」「i4000シリーズ」「i5000シリーズ」「i7000シリーズ」「i10000シリーズ」の5シリーズ、さらにそれぞれにスタンダードモデル(ix600)とハイパフォーマンスモデル(ix800)の2つが用意されている。

 2つのモデルを用意した理由は“PAYG(Pay-as-you-grow)”、つまりユーザー側の成長に応じて、ハードウェアを変更することなく機能を拡張できるオプションを提供するためだ。

Pay-as-you-growにより、ハードウェアを変更することなく機能を拡張できる

 特徴のひとつめはFPGAによるパフォーマンスの最適化だ。これはF5の独自技術「TurboFlex」の実装によるもので、FPGAにロードするビットストリームをアプリケーションの要件に応じて変更することができる。

 「目的に応じたプロファイル、つまり“アプリケーションペルソナ”をいくつか用意しており、それぞれに最適化したFPGAコードを提供することでパフォーマンスの最適化を図っている」と帆士氏。

 例えば「セキュリティプロファイル」では、SYNフラッドやUDPフラッドなど想定される攻撃ごとに改善すべきパフォーマンスが異なる。また「L4とL7でも求められるパフォーマンスは大きく変わる」(帆士氏)ケースも多い。TurboFlexはこれらの処理をCPUではなく、アクセラレーションを変更可能なFPGAに肩代わりさせることで、パフォーマンスの最適化を図る。

TurboFlexにより、FPGAにロードするビットストリームを変更し、最適化を行える

 アプリケーションの用途や特定のインシデントにあわせてハードウェアのパフォーマンスを自動で柔軟に変更する、これはまさにクラウド時代に求められるアプリケーション管理の典型だろう。ただしプロファイルごとのオフロードが可能なのはハイパフォーマンスモデルだけで、スタンダードモデルではベースのFPGA機能のみが提供される。

スタンダードモデルとハイパフォーマンスモデルの違い。スタンダードモデルではベースのFPGA機能のみ利用可能

 もうひとつの特徴は、業界初となるECC SSLハードウェア処理を全モデルに実装している点だ。帆士氏は「最近の暗号アルゴリズムの主流はより強力なECCに傾きつつある」と業界標準がRSAからECCへと変化している状況を指摘、BIG-IP iシリーズはこのトレンドを踏まえて「ソフトウェアではなくハードウェアにECS SSLを処理させることで、競合他社に比べて5倍ものパフォーマンスを実現した」(帆士氏)という。

 ハードウェアへの実装は「Web系の顧客からの要望が強かった」と帆士氏はコメントしており、突然のスパイクアクセスにも対応する必要があるECサイトなどが待望していたアップデートだという。これもクラウド時代ならではのニーズといえる。

 「ハードウェアのデザインをインハウスでやっているベンダーはF5だけ。だからハードウェアベースの機能拡張がここまで可能になっている。BIG-IP iシリーズはF5のコアコンピタンスを集約した製品」(帆士氏)。

ハードウェアにECS SSLを処理させることで高いパフォーマンスを実現

コロケーションサービスとの包括提携が意味するもの

 F5はBIG-IP iシリーズの発表に伴い、コロケーションプロバイダの世界最大手であるEquinixと包括提携を結んでいる。

 Equinixは「日本においてもパブリッククラウドベンダーが必ず通らなければならないロケーション」(帆士氏)である。Equinixは各ロケーションに、AWSやMicrosoft Azureといったパブリッククラウドとダイレクトに接続する「Equinix Cloud Exchange」と、企業側のエンタープライズネットワーク(LAN/WAN)とCloud Exchangeを接続することでパブリッククラウドへのシームレスなアクセスを実現する「パフォーマンスハブ(Performance Hub)」を提供している。

 F5は今回の提携に伴い、パフォーマンスハブにBIG-IP iシリーズを設置、これによりユーザーはマルチクラウド環境においてもオンプレミスと同様のセキュリティおよびアプリケーションコントロールを手にすることができるという。

 この提携が実現した背景には「特定のクラウドベンダーに依存せずにセキュリティを確保したい、セキュリティは自社で管理したい」という、ユーザー側の強い要望があったと帆士氏は説明する。

 そもそもマルチクラウドというトレンドは「特定のクラウドベンダーにロックインされたくない」というニーズに端を発している。特にラージエンタープライズほどこの傾向は強い。

 しかしクラウドはサービス事業者ごとにセキュリティの基準が大きく異なり、マルチクラウドにおける最大のハードルでもある。この「セキュリティを自社でコントロールしたい」というユーザーの声に応えるためにF5が用意した解のひとつが、“セキュリティをBIG-IP i側に作り込み、Equinixのパフォーマンスハブにそれを置く”という選択だった。

 これによりユーザーは、SSLオフロードやDDoSプロテクションなどに関する一貫したセキュリティポリシーをマルチクラウドで展開でき、特定のクラウドベンダーに依存することなくアプリケーションの集中管理を行える。

BIG-IP iシリーズをゲートウェイとして利用することで、一貫したセキュリティポリシーをマルチクラウドで展開できる

 ただしこのソリューションは、日本においては“ユーザーを選ぶ”解だといえる。ITアダプションがユーザードリブンで進む米国と異なり、日本ではマルチクラウド環境下のセキュリティを自社でコントロールできるほど知見のあるユーザー企業は多くない。

 この点に関して帆士氏に質問を向けると「たしかに米国とは同じわけにはいかないだろう。日本の場合、WAFやDMZなどをマネージドセキュリティで提供するパートナー企業やインテグレータと組んでスキームづくりをする必要があるかもしれない」という回答が返ってきた。

 ただしいずれにしろ、ユーザー側でマルチクラウドのセキュリティをコントロールすることのメリットとデメリットは十分に理解しておく必要はありそうだ。

DevOpsとマイクロサービスのメリットをアプリケーションデリバリに

 クラウド時代のアプリケーションの変化において、もうひとつ見逃せない重要なトレンドとして“マイクロサービス”、そしてマイクロサービスの運用を成功させるために欠かせないアプローチである“DevOps”が挙げられる。

 F5は2017年度のスタートにあわせ、DevOPsへのフォーカスを宣言しており、BIG-IP iシリーズとの連携を可能にする「Application Services Proxy」と「Container Connector」というテクノロジも同時に発表している。

・Application Service Proxy(ASP):マイクロサービス間の負荷分散とトラフィックの可視化を可能にするコンテナ環境に特化したプロキシ機能。Kubernetes、Marathon、Mesos、Dockerなどコンテナ環境と連携し、開発からテスト、デプロイ、スケーリングといったサイクルを柔軟に回すことが可能に
・Container Connector:BIG-IP iシリーズとマイクロサービスを自動で接続し、ADCの機能をマイクロサービスに提供する

 コンテナをベースにした環境のもと、マイクロサービス同士がつながることでアプリケーションをスケーリングさせる横の連携(East - West)にはASPを、ADCとしての強力な機能をもつBIG-IP iシリーズとマイクロサービスを接続する縦の連携(North - West)にはContainer Connectorを使う。これにより、機能単位でのアプリケーション拡張を図りつつ、障害解析などの対応を迅速に行い、DevOpsにおけるPDCAを短く速く回すことを支援する。

「Application Services Proxy」と「Container Connector」

 マイクロサービスは開発側、つまり"Dev"にとっては機能ごとの小さくて細かい拡張がしやすいことが大きな魅力だ。しかし運用を担当する"Ops"にとっては、小さなサービスがいくつも連携するマイクロサービスは「運用監視対象が膨大になり、障害などのログ解析が非常に悩ましい」(帆士氏)というボトルネックにもなる。「1つの処理を実現するために50以上のAPIコールが連動するケースもあり、各サービス間の遅延やエラーの確認は煩雑すぎる、という声も多い」(帆士氏)

 こうした課題の解決を支援するために、BIG-IP iシリーズという強力なハードウェアのバックアップと、マイクロサービスに特化したシンプルな負荷分散と可視化を実現するのが今回提供するテクノロジとなる。クラウドのインフラ管理ソリューションで有名なSplunkはBIG-IP iシリーズとともにこれらを採用したDevOps向けの可視化サービスを同社の顧客向けに提供しており、同様の事例は今後も増えそうだ。

 もっともマルチクラウドのセキュリティと同様に、DevOpsへの対応もまた、日本市場においてはチャレンジングな取り組みだ。米国ではUberやGEのように、デジタルサービスを既存の常識では考えられないスピードで開発し展開する成功例の枚挙にいとまがない。そのため、機能単位でアプリケーションを拡張できるマイクロサービスやそれを可能にするDevOpsは、アプリケーション開発におけるこく一般的なアプローチだ。

 だが、マイクロサービスやDevOpsの普及が遅れがちな国内市場で、これらのテクノロジがすぐに受け入れられるかは疑問が残る。帆士氏は「F5も国内事情に関しては十分に把握しているが、アプリケーションの機能開発をもっと作り込みたいというモチベーションは高まっていると認識している」と回答しているが、国内企業のDevOpsへの関心の高さをはかる上でも今後の展開に注目したいサービスである。

*****

 「F5のコアバリューはL4とL7にある。アプリケーションがどこにあっても、どんなかたちであっても、ここだけは変わらずに提供していく」――。

 インタビューの最後、帆士氏はF5の強みについてこう評している。ロードバランサーのとしてのブランドイメージの強いF5だが、コアバリューとするL4とL7を捨てることなく“アプリケーションデリバリの会社”へとの転換を図っている。してみれば、BIG-IP iシリーズはF5の変わる部分と変わらない部分の両方を具現化した製品といえるだろう。2017年の同社のビジネスはこの製品の成否にかかっていると言っても過言ではない。