NSXを活用したネットワークソリューション

NSXを活用したネットワークソリューションまとめ

本記事では、VMware NSXおよびVMware vDefend Distributed Firewall(旧NSXの分散ファイアウォール)を活用したネットワークソリューションを、4つの課題解決形式でご紹介します!

目次

DR環境を有効活用したい!

企業の存続にとって重要なDR

2011年の東日本大震災時に注目を集めたDR(Disaster Recovery:災害復旧)ですが、自然災害や電源障害など不測の事態に備えることは、企業にとってますます重要な課題となっています。被災時においてもシステムが正常に稼働し続け、ビジネスを続行できることが求められているのです。内閣府の「事業継続ガイドライン」においても、事業継続の重要項目として「情報及び情報システムの維持」が挙げられています。

仮想環境におけるDRの問題点

従来のDRソリューションにおいては、いくつかの問題がありました。

一つは、サイト間のネットワークの設定にまつわる問題です。通常、本番サイトの仮想マシンをDRサイトなど異なるロケーションで動作させるには、仮想マシンにIPアドレスを振り直さなくてはなりません。その設定には時間がかかる上、専門知識が必要な作業でした。非常時において、ダウンタイムが長期化することは致命的な問題で、その間ビジネスはストップし取引機会の損失が発生するだけでなく、重要なデータも失われる可能性があります。

また、担当者が作業できない場合には、たとえ非常時用のマニュアルを用意していたとしても、担当外の人間が滞りなく復旧させることは困難です。

また二つ目の問題は、アクティブ/スタンバイ構成でDRサイトを構築する場合、せっかく多額な投資をしても、災害が発生し本番サイトがダウンするまで、DRサイトの出番が全くない点です。限られた予算やリソースを有効に活用する観点において、通常運用で使われないシステムに対して大きな予算を割り振ることはあまり望ましいことではありません。しかし、だからといって十分な投資を行わなかった場合に非常事態に対応できないということは、避けなくてはなりません。

VMware NSXならサイト切替にかかる時間を80%短縮

VMware NSXはDRにおけるこれらの課題を解決することができます。本番サイトとDRサイトを仮想ネットワークで接続することで、本番サイトの仮想マシンをそのままDRサイトで動かすことができます。つまり本番サイトのIPアドレス体系をDRサイトでもそのまま使うことができるのです。その際、物理ネットワーク機器にまったく変更を加える必要もありません。

ネットワーク仮想化を利用したDRソリューションでは、災害時の目標復旧時間(RTO) が従来よりも80%も短縮されると言われており、また、簡単な操作で切り替えが可能です。

VMwareのDRソリューションである「VMware Site Recovery Manager(SRM)」と連携させることで、災害発生時のサイト切り替えを、IPアドレス等のネットワーク設定も含めて自動化することができます。

平常時のリソースとしてDRサイトを有効活用

またVMware NSXなら、本番サイトとDRサイトでアクティブ/アクティブ構成を構築することも可能です。これにより、平常時には稼働していないDRサイトのリソースを有効に活用すると同時に、もし片方のサイトでシステムが停止しても、ダウンタイムをなくすことができます。

このアクティブ/アクティブの構成は、負荷分散としてDRサイトに常時リソースを振り分けることもできますし、システム需要の急増などに対する一時的なバッファとして利用することもできます。予算やシステムに合わせて柔軟に、そして適切にリソースを配分することが可能となります。

※Active-Active構成はサイト間のストレージ・レプリケーションの考慮も必要です。

ネットワークを自由に変更したい!

ビジネスのスピードを阻害する、ネットワークの変更

ビジネスを取り巻く環境が大きく変化し、モバイルやテレワークといったワークスタイルの多様化が進む中、それらを支えるITシステムは、ますます柔軟性とスピードが求められるようになりました。複数のデータセンターを利用してITサービスを展開する場合、システム規模の変化に合わせて仮想マシンがデータセンター間を移動することも珍しくありません。しかし、ネットワーク変更に手間がかかり迅速に対応できないケースが発生しています。サーバの仮想化により、サーバやシステムは素早く構築することができるようになりましたが、それを支える物理ネットワークがボトルネックとなっているのです。

たとえば、仮想マシンのプロビジョニングには物理ネットワークを含めた設定が必要になるため、実際に利用するまで時間がかかってしまい、その配置や可搬性もネットワークに制限されるため、リソースを有効活用できないことがあります。また、物理機器に依存した従来のネットワークでは、異なるデータセンター間を移動する際には、各仮想マシンに割り当ててあるIPアドレスを一つ一つ手作業で振り直す必要があり、これらはアプリケーションによっては多大な工数が発生し、情報システム担当者にとって大きな負担となります。

VMware NSXでネットワークを仮想化、自由に変更が可能に

VMware NSXは、これらネットワークの運用工数を大幅に減らすことができるソリューションです。NSXは従来の物理ネットワークの上にかぶせる形で、新たに仮想的なネットワークレイヤーを作成します(オーバーレイ方式)。これにより、物理ネットワークと仮想ネットワークが分離され、物理インフラが持つ制約を解消し、サーバの仮想化と同じように、各種ネットワークサービスを自由に、迅速に展開することが可能になります。

NSX環境では、物理ネットワーク上を流れるパケットは仮想化によってカプセル化されるため、ネットワーク機器がその中身を意識する必要はありません。L3ルーティングや制御ルールによるフィルタリングも全てNSXで実行されます。

そのため、仮想マシンの追加や移行、仮想ネットワークの作成/変更/削除といった作業においても、物理ネットワーク機器を操作する必要はなくなります。

IT管理者は手間をかけることなく、迅速にITシステムの変更を行うことができるのです。

VMware NSX はネットワーク機器を土管化! コストと運用工数を大幅に削減

VMware NSX以外にも、L2ネットワークをまたいだ仮想マシンの移動を実現するネットワーク機器やサービスも存在します。しかし、それらは高額であったり、拠点数が増減する際には接続するネットワーク機器すべての設定が必要であったりと、費用・運用の両方において課題がありました。

NSXなら、物理ネットワークは土管のようなシンプルな通り道となり、単にスイッチングとパケットを転送するだけの役割となります。そのため、 SDN対応の高価な物理スイッチは要らず、安価な機器と標準プロトコルのみで、安定性・拡張性の高い仮想ネットワーク環境を構築することができます。物理ネットワーク機器の選択も広がり、ネットワークの変更や増設、ハードウェアの入れ替えも、最小限のコスト・工数で行うことができます。

ネットワークをシンプルかつスピーディに!

仮想化システムのボトルネック

3層構造のネットワークとは、クライアントサーバシステムを「プレゼンテーション層(UIを提供するWEBサーバ)」、「アプリケーション層(ビジネスロジックを提供するアプリケーションサーバ)」、「データ層(データを提供するDBサーバ)」の3層に分割して構築したネットワークのことです。ブラウザから操作するWEBシステムの提供は一般的となり、3層構造のネットワークは多くの企業が採用する標準的な構成となっています。階層を分割することでシステム変更への柔軟な対応や、大量のデータを効率的な処理することができるなどのメリットがありました。

しかし、サーバが仮想化され、システムの構築スピードの向上や大規模化が進むと、複数の階層に分かれていることが、かえって足かせとなってきました。サーバの増減は仮想化によってスピーディーに実施できますが、追加・変更する仮想マシンのネットワーク設定は、複数の階層にわたる機器を一つ一つ手動で変更する必要があります。手間も時間もかかる作業に、ネットワーク管理者の負担は増える一方です。

vDefend Distributed Firewall+NSX で複雑なネットワーク構成を解決

VMware vDefend Distributed Firewall(旧NSXの分散ファイアウォール)では、これまでの3層構造のネットワーク構成を、一つのフラットなネットワークで実現することができます。既存のネットワークに影響を与えることなく導入が可能な「分散ファイアウォール」によるマイクロセグメンテーションで、同一ネットワーク内のサーバそれぞれに個別に通信制御を行うことで、フラットなネットワーク構成でありながら3層構造と同様の運用が可能となります。

VMware vDefend Distributed Firewallのネットワークの管理は仮想マシンの管理と同じく、vCenter Serverを通して一つのUIから設定を行うことができます。仮想マシン作成時には、VMware vDefend Distributed Firewallで定義したルールに従って自動的にファイアウォールのポリシーが適用されます。サーバを追加した場合でも、3層構造ネットワークのように、それぞれの階層にあるネットワーク機器の設定を変更するといった手間はかかりません。

また、NSXに含まれる機能の一つのEdgeサービス(旧称:NSX Edge Services Gateway、NSX Edge)は、仮想アプライアンスとしてロードバランサやファイアウォールの機能を提供します。この機能を利用して、従来の物理ネットワーク機器を置き換えることも可能です。

これによって仮想マシン作成時のネットワークの設定変更などの運用工数はごくわずかなものとなり、ネットワーク管理者は本来の業務であるネットワークの設計やポリシーの策定などの業務に集中することができます。

ネットワーク機器を削減したい!

増える一方のネットワーク機器。その管理はとても大変

あらゆる業務の情報化が進み、またモバイルワークなどワークスタイルが多様化する中で、システムは増える一方です。システムが増えると、それぞれのシステムに付随するネットワーク機器も増加します。せっかく仮想化でサーバなどのハードウェアは集約することができたのに、用途ごとに設置した物理ネットワーク 機器は増加する一方で、サーバーラックはネットワーク機器やケーブルだらけの状態となっていることも珍しくありません。

ネットワーク機器の数や種類が増えると、それに伴いさまざまなコストが増えていきます。ハードウェアコストやライセンスコストはもちろんですが、いくつもの機器の管理の仕方を覚えるための学習コストや、データセンター内のスペースや、電源、空調にかかるコストも無視できないレベルです。

また、システムの変更の際には、関係する全てのネットワーク機器を手作業で一つ一つ設定しなくてはならず、多大な時間が必要となります。また、システム毎にネットワーク機器が設置されているため、管理もバラバラなことが多く、変更も加えにくいという問題もあります。システムを停止する必要がある場合は、システム管理者は深夜、土日の作業を強いられることが多いのが現状です。

VMware NSX で、ネットワーク機器がいらなくなる!?

仮想ネットワークを実現するVMware NSXの機能の一つのEdgeサービス(旧称:NSX Edge Services Gateway、NSX Edge)は、これまで物理ネットワーク機器が提供していた各種ネットワーク機能を、ソフトウェアで提供します。物理ネットワークではシステムごとにネットワーク機器が必要でしたが、Edgeサービスは仮想マシンとしてその機能を再現するので、ロードバランサやファイアウォールなどの物理ネットワーク機器と置き換えることで、ハードウェアコストを削減することができます。また、Edgeサービスは、NSXライセンスに追加費用なしでいくつでも利用可能なため、ライセンスコストも削減することができます。

Edgeサービスは仮想マシンなので、急なネットワークシステムの増加にも、ラックスペースの空きやライセンスを気にすることなく、Edgeサービスの設定変更ですぐに提供することができます。

ネットワークもサーバもVMwareで統合管理

サーバもネットワークもVMware製品で仮想化しシステムを統合すると、一つのGUIからサーバ管理とネットワーク管理の両方を行うことができ、サポート窓口を一本化することができます。また、システム管理者は複数の機器の設定を覚えたり、膨大なルールを管理するといった作業から解放されます。これは限られた人員で効率的にシステムを管理することができると同時に、ネットワーク変更やトラブル発生時にかかる作業時間を減らすことにつながります。

目次