TechLeague

    Aruba

    Aruba CX 10000: Pensando DPUによるEast-Westボトルネックの解消

    TechLeague Editorial··14 分で読了

    従来の「シャーシ型ファイアウォール」モデルは、今日の100GデータセンターにおけるEast-Westトラフィックの爆発的な増加には対応できません。長らく、ローカルVLANトラフィックを中央検査ポイントにバックホールすることでレイテンシを導入し、大規模なヘアピンボトルネックを生成してきました。Pensando Elba DPUを搭載したAruba CX 10000は、集中型アプライアンスから、Top-of-Rack (ToR)レイヤーで800 Gbpsのステートフルサービスキャパシティを持つ真の分散型サービスアーキテクチャへの最初の信用できるシフトを示しています。

    アーキテクチャの行き詰まり:なぜ2026年にはDPUが必須なのか

    標準的なリーフ・スパインアーキテクチャでは、North-Southトラフィックは通常うまく処理されます。しかし、East-Westトラフィックはデータセンターのフローの約80%を占めます。このトラフィックを従来のハードウェアファイアウォールで保護しようとすると、スケーリングの壁にぶつかります。マイクロサービス間の100Gフローを検査するには、ハイエンドアプライアンス(FortiGate 3000FやCisco Firepower 9300など)に多額の費用をかけるか、全く検査せずに内部をオープンにしたままにするかのどちらかになります。

    Aruba CX 10000は、プログラマブルなData Processing Unit (DPU)をスイッチASICパイプラインに直接組み込むことで、この状況を変えます。これは単なる基本的なACLやフロー監視ではありません。100GのラインレートでポートごとにステートフルL4インスペクション、NAT、さらにはテレメトリエクスポートが可能です。セキュリティ適用を接続ポイントに分散することで、CX 10000はセキュリティクラスターへのトラフィックのヘアピンニングの必要性を排除します。

    ハードウェア詳細:Pensando Elbaシリコン

    そのマジックはPensando Elba DPUによって実現されます。高速パケット転送に最適化された標準のBroadcom TridentまたはTomahawk ASICとは異なり、Elba DPUはステートフルサービス用に設計された高度にプログラマブルなプロセッサです。CX 10000では、Aruba AOS-CX ASICがL2/L3スイッチングを処理しますが、集中的な処理のためにトラフィックをElba DPUに透過的にリダイレクトできます。

    • スループット:スイッチあたり800 Gbpsのステートフルファイアウォール性能。
    • 同時セッション:最大100万のステートフルセッションをサポート。
    • レイテンシ:ステートフルインスペクションにおけるレイテンシは通常10マイクロ秒未満で、標準的なファイアウォールホップと比較して桁違いに高速です。
    • 消費電力:セキュリティをスイッチに統合することで、個別のスイッチ+ファイアウォールを組み合わせる場合と比較して、消費電力を最大30%削減できます。

    CX 10000は、1U固定構成のスイッチで、48の10/25GbEポート(SFP28)と6つの40/100GbEポート(QSFP28)を備えています。標準のリーフスイッチのように見えますが、Pensando Policy and Services Manager (PSM)を介した分散ポリシーエンジンを実行できることが、その特徴です。

    設定:Zero-Trustファブリックの実装

    CX 10000の運用には、ポリシーに関する思考の転換が必要です。従来の意味でのインターフェース上の「ルール」を設定するのではなく、Pensando PSMでグローバルポリシーを定義し、それを分散DPUにプッシュします。しかし、CLIからの統合はシームレスです。物理インターフェースやLAGに直接サービスポリシーが適用されていることを確認できます。

    ! Example: Applying a stateful policy to a server-facing interface
interface 1/1/1
    description Web-Server-Farm-01
    no shutdown
    mtu 9100
    vlan access 10
    service-policy type psm name Web_Tier_Security in
    service-policy type psm name Web_Tier_Security out

    Web_Tier_SecurityポリシーはPSM UIまたはAPIで定義され、L4プロトコル、送信元/送信先プレフィックス、およびロギング要件を指定します。DPUはデータパス上に存在するため、パフォーマンスを低下させることなくこれらのルールを適用できます。弊社のEVPN-VXLAN設計に関する以前の作業をご覧になっていれば、CX 10000がVXLANファブリックに完璧に統合され、セキュリティポリシーがファブリック全体でワークロードに追従できることがお分かりいただけるでしょう。

    統合:VMware NSXと「両者の良いとこ取り」

    CX 10000がVMware NSXと競合するという誤解が一般的です。実際には、両者は補完的です。NSXはハイパーバイザーレベルでのマイクロセグメンテーションに優れていますが、「ベアメタル」サーバー、レガシーメインフレーム、または標準的なESXiエージェントが実行されない特殊なアプライアンス(高性能ストレージなど)を保護することはできません。

    CX 10000は、非仮想化ワークロードに対する「Zero Trustギャップ」を埋めます。仮想化ホストとベアメタルサーバーの両方のTop-of-RackスイッチとしてCX 10000を使用することで、環境全体で統合されたセキュリティポリシーを適用できます。Aruba Fabric Composer (AFC)は、ネットワークファブリックとPensandoセキュリティポリシーの両方をオーケストレーションすることもでき、データセンター運用全体に対する単一の管理画面を提供します。

    運用上の現実:コストとライセンス

    数字について説明しましょう。Aruba CX 10000は、お客様の割引階層にもよりますが、通常約45,000ドルでリストされます。標準的な25Gリーフスイッチ(約15,000ドル~20,000ドル)とミッドレンジのステートフルファイアウォール(30,000ドル以上)と比較すると、CX 10000はハードウェアの観点から基本的に「コスト中立」でありながら、10倍のスループット容量を提供します。

    エンジニアがしばしばつまずくのはライセンスです。主なコンポーネントは2つあります。

    • AOS-CX Premierライセンス:高度なネットワーク機能とファブリックオーケストレーションとの統合に必要です。
    • Pensando PSMライセンス:DPUセキュリティポリシーの管理に必要です。これは通常、3年または5年の期間でスイッチごとにライセンスされます。

    typical 20ラック規模のデータセンターでは、ファイアウォールハードウェア保守費用の節約だけで、Pensandoライセンス費用が18ヶ月以内に回収できることがよくあります。

    パフォーマンス検証:100Gの壁を打ち破る

    ラボテストでは、5,000のルールで構成されるステートフルポリシーを持つCX 10000を介して100GbEラインレートトラフィックを流しました。従来のファイアウォールでは、ルール深度が増加するにつれてCPUが大幅に上昇し、スループットが低下します。しかし、CX 10000はフラットなパフォーマンスカーブを示しました。これは、Elba DPUが、x86ベースのファイアウォールに見られる逐次処理ではなく、ルールを並行して処理する特殊なMatch-Action Engine (MAE)を使用しているためです。

    # Monitoring DPU utilization and session health
switch# show pens-dpu status
DPU Slot 1/1:
    Status: Up
    Firmware Version: 1.45.2-E
    Service Policy: Active
    Active Sessions: 452,102
    Throughput (Last 5 min): 642 Gbps
    Drops (Policy): 1,202

    テレメトリの粒度も大きな利点です。DPUは、スイッチングASICに影響を与えることなく、すべてのフローに対してIPFIXまたはNetFlowデータをエクスポートできます。これにより、以前は侵入的なタップやパケットブローカーを展開しない限り不可能だったEast-Westトラフィックに対する100%の可視性が提供されます。

    結論:未来は分散型

    Aruba CX 10000は、高頻度取引やハイパースケーラーのためのニッチな製品ではありません。Zero Trustモデルへと移行するあらゆる企業にとってのアーキテクチャ上の青写真です。DPUにステートフルサービスをオフロードすることで、コアネットワークをセキュリティボトルネックから解放します。2026年になっても内部セグメンテーションのためにスタンドアロンのミッドレンジファイアウォールを購入しているのであれば、それは最終的に自身のデータ負荷によって破綻するであろうレガシーなボトルネックを構築していることになります。

    ファブリックの最新化を検討しているエンジニアリングチーム向けに、CX 10000の実装とPensando PSMオートメーションに関する詳細なワークショップを提供しています。techleague.ioまでお問い合わせいただき、技術アーキテクチャレビューを予約し、集中型アプライアンスの限界を超えましょう。

    よくある質問

    Aruba CX 10000は、より優れたACLを備えた単なる標準スイッチですか?+

    違います。CX 10000はステートフルサービスにPensando P4プログラマブルDPUを使用しますが、従来のスイッチはステートレスACL用に固定機能ASICと基本的なTCAMを使用しており、コネクションの状態を追跡できません。

    CX 10000は境界ファイアウォールを置き換えることができますか?+

    できません。CX 10000は既存のファイアウォールを補完するように設計されています。大量のEast-Westトラフィック(内部セグメンテーション)を処理する一方、境界ファイアウォール(Palo Alto/Fortinet)は複雑なNorth-South L7インスペクションとVPN終端を処理します。

    レベル7アプリケーションインスペクション(DPI)をサポートしていますか?+

    CX 10000は現在、ステートフルL4インスペクション(IP、ポート、プロトコル)に焦点を当てています。ディープパケットインスペクション(L7)やSSL復号化については、特定のフローを専用アプライアンスにリダイレクトするか、ハイパーバイザーレベルのツールを使用する必要があります。

    CX 10000をVMware vCenterと統合できますか?+

    はい、Aruba Fabric ComposerとPensando PSMを介して、vCenterと同期したポリシーを自動化し、VMがホスト間を移動する際にセキュリティルールが自動的に更新されるように設定できます。

    Pensando DPUの最大セッション容量はどれくらいですか?+

    CX 10000は、スイッチあたり最大100万の同時ステートフルセッションをサポートします。これは、ほとんどのミッドレンジからハイエンドのハードウェアセキュリティアプライアンスよりも大幅に高い容量です。

    ステートフルインスペクションは100Gフローに大きなレイテンシを追加しますか?+

    DPUが追加するレイテンシは無視できるほど少なく、通常10マイクロ秒未満です。これは、外部ファイアウォールクラスターにトラフィックをヘアピンするときに通常追加される50〜200マイクロ秒よりもはるかに優れています。