【ノウハウ活用ガイド】VMware NSX

VMware NSX マンガSDN講座 第1回~VXLANとオーバーレイ~

VMware NSX マンガSDN講座 第1回~VXLANとオーバーレイ~

※本コンテンツは「NSX for vSphere」をベースにしています。
ページ内に記載のある「VXLAN」は「NSX for vSphere」の機能となります。

「NSX-T」では、同等のオーバーレイ機能として「Geneve」が提供されています。

マンガSDN講座 第1回~VXLANとオーバーレイ~

サーバーの仮想化により、トラフィックの流れは激変!
従来のネットワークでは対応できない事態に。

トラフィックの流れには、南北(North-South)と東西(East-West)があります。南北のトラフィックとは末端のアプリケーションから外部ネットワークや基幹に向かう縦方向の通信であり、東西のトラフィックとは、内部ネットワークで発生する末端同士の横方向の通信です。

従来は南北のトラフィックが全体の8割を占めると言われていたので、ネットワーク構成も南北トラフィックに最適化されています。しかし仮想化が進んだ現在では、東西トラフィックの方が多くなりました。

このため、南北に最適化された従来のネットワークでは、利用者にとっても管理者にとっても問題がでてきました。

仮想化システムにとって、
従来のネットワークはとっても非効率

サーバーの仮想化や、ハードウェアの性能向上に伴いシステムは集約化され、東西トラフィックは増大する一方です。このような中、従来型ネットワークでは、たとえ同一ホスト内での仮想マシンの通信も、一度外部ネットワーク機器を経由して再びホストに戻ってくるような、「へアピン通信」と呼ばれる非効率な通信が発生しています。

また、サーバーの仮想化により、サーバー(仮想マシン)を新しく作るのは数分で完了しますが、それに伴うネットワークの変更には時間がかかります。集約されたシステムで共用しているネットワークの変更は影響が大きく、申請やネットワーク担当者との調整が必要ですし、夜間や休日のネットワーク変更作業が必要になったりします。

ネットワークの悩みを、NSXで解消!
Software-Defined Networking

このような仮想化システムにおけるネットワークの悩みを解消するのが、VXLAN(NSX-TではGeneve)-ネットワークの仮想化です。従来型ネットワークが担っていた”ネットワーク制御”と”データ転送”を分離して、”ネットワーク制御”はソフトウェアで論理的に制御し(オーバーレイ)、物理ネットワーク機器は”データ転送”だけの役割(アンダーレイ)とします。

オーバーレイとアンダーレイを分離することで、物理ネットワーク機器はデータを転送するだけの土管のような役割となり、ネットワークの制御や変更とは無関係となります。

その結果、ソフトウェアが提供する高度で柔軟なネットワーク管理を、安価な物理ネットワーク機器上で実現するといったこともできるようになります。

VXLANの仕組みについて勉強しよう!

代表的なSDNソリューションとしては、ヴイエムウェア社が提供する「VMware NSX(以下、NSX)」があります。NSXでは、どうやってオーバーレイとアンダーレイを分離しているのでしょうか。それはVXLANというプロトコルに秘密があります。

VXLANは、アンダーレイのL3ネットワーク上に、論理的なL2ネットワーク(オーバーレイ)を重ねることで、オーバーレイ上のネットワーク同士があたかもL2スイッチで直結されたかのように通信することができる技術です。

NSXのVXLANでは、パケットをカプセル化することでオーバーレイを可能にします。NSXの論理スイッチでパケットを転送先のヘッダーをつけたカプセルに埋め込み、目的地の論理スイッチへと転送することができるのです。

VLANとVXLANにおける仮想スイッチの違い

それでは本講座の最後に、VMware vSphere(以下、vSphere)で構築する仮想スイッチ(VLAN環境)と、ネットワークを仮想化するNSXの論理スイッチ(VXLAN環境)の違いについて、もう少し詳しく掘り下げます。

標準仮想スイッチ(vSS)

vSSは、vSphere上で動作する、もっとも基本的な仮想スイッチです。設定は、各ESXiホストで個々に設定することが必要です。

通信については、同一ポートグループ内での通信は、ルーターを経由せずにvSSだけで処理できます。しかし、ポートグループをまたぐL3通信の場合には、同一ホスト内であってもルーティング情報を参照するために外部のルーターを経由します。これにより、ヘアピン通信のような非効率な通信が発生してしまいます。

分散仮想スイッチ(vDS)

vDSもVLAN上で動作する仮想スイッチですが、vSSよりも管理性に優れた仮想スイッチです。vSSは複数のESXiホストにまたがって構成することが可能なので、ネットワークの設定はvCenterから一元管理することが可能です。

ただし、ポートグループをまたぐ通信の場合は、vSS同様に外部の物理ルーターを経由したルーティングが必要なため、非効率的な通信が発生します。

NSXの論理スイッチ・論理ルーターによるネットワーク環境

NSXでは分散論理ルーターによって、論理ネットワークのルーティング情報をハイパーバイザー上で参照することができます。そのため、ホスト内で発生するL3通信は外部のルーターを経由することなくトラフィックを処理することができます。

また、異なるESXiホスト間の通信であっても、パケットをカプセリング処理することで、物理ルーターを経由することなく通信することが可能です。NSXによって無駄なヘアピン通信をなくし、物理ルーターの負担を最小限に抑えることができるのです。
高性能で高価なルーターを用意しなくても、ネットワークトラフィックの処理を最適化することが可能です。

 

SDN講座の第1回、いかがだったでしょうか。今回は、VXLANの技術的な側面について説明いたしました。