NSXを活用した運用効率化ソリューションまとめ
本記事では、VMware NSXを活用した運用効率化ソリューションを、4つの課題解決形式でご紹介します!
ネットワーク構成変更も、ソフトウェアで自動化したい!
ITの迅速なビジネス展開におけるボトルネックとは
ITサービスを提供するための最初の工程であるインフラ構築は長い時には一か月以上かかり、企業にとってはボトルネックとなっているケースが多く見られます。その大きな原因として、各管理者が手作業でITインフラの構成を行っていることが考えられます。特に昨今、セキュリティに関する要求は厳しくなる一方で、ネットワークも複雑化しています。そのため、サービス提供までにより多くの時間がかかってしまい、ビジネスの迅速性が失われる結果となっています。
上図は、WEBサーバを構築するまでのフローの一例ですが、インフラ構築には多数の作業が含まれています。今回はネットワーク仮想化ソリューションVMware NSXを導入することで、これらの物理作業を削減し、手作業で行っていた作業をポリシーベースで自動化する方法をご紹介します。
ネットワークを含めた仮想化技術の活用で、ITインフラの構成にかかる時間を大幅に短縮し、ビジネスに要求されるITの俊敏な対応が可能になります。
これまで(物理ネットワーク)のITデプロイメントフロー
まずは一般的な、VMware vSphereと物理ネットワークの構成でのデプロイメントフローについてご説明します。
通常、物理ネットワーク構築を行った後で、仮想マシンの作成を行います。一口で物理ネットワーク構築と言っても、スイッチ、ルータ、ファイアウォール、ロードバランサなど多数のネットワークアプライアンス機器を設定しなくてはなりません。さらにこれらは独立したハードウェアなため、冗長性を考慮して、それぞれ2台構成をとるのが一般的です。当然、作業量も2倍になってしまいます。
vSphereによって、仮想マシンのデプロイは効率化しましたが、物理ネットワークアプライアンスに依存する従来のネットワーク構成では、物理的な作業をハードウェアの数だけ何度も行わなくてはならず、迅速な対応をとることは、とても困難です。
NSXで実現する、物理ネットワークに依存しない仮想ネットワーク
ネットワークアプライアンスへの依存性は、VMware NSX で物理ネットワーク環境から分離された仮想ネットワーク環境を構築することで、解消することが可能です。
VMware NSXのネットワーク仮想化によって、物理ネットワークアプライアンスは、仮想環境内のネットワークの設定変更の影響を受けなくなります。仮想マシンを作成するために必要なネットワーク設定作業も、物理ネットワークアプライアンスに対して一台一台設定していた作業が不要になり、工数を大幅に削減することができます。また、ネットワーク機能の提供は、VMware NSXの単一のコンソールから、すべて仮想的に提供することが可能になります。
さらに、VMware NSXではvSphereと連携して設定作業の自動化が可能となります。
例えば従来は、仮想マシンのIPアドレスを用いて、ファイアウォールやロードバランサの設定を行っていましたが、NSXでは仮想マシンの名前を条件に構成する事ができます。これにより、仮想マシンのIPアドレスを変更したとしても、ファイアウォールや、ロードバランサの構成を変更せずにすむということです。
さらに、“セキュリティグループ”という機能を用いれば、ファイアウォールやロードバランサのポリシーを自動的に適用する事も可能です。
上図をご覧いただくと、ITデプロイメントのネットワーク関連の作業が2つに絞られていることがご理解いただけると思います。これは、ネットワーク管理者やセキュリティ管理者の作業負荷を大幅な軽減し、迅速に対応することができるようになります。
NSX with VCF Automation で実現する“セルフサービスITデプロイメント”
さらに、VMware Cloud Foundation Automation(以下 VCF Automation)を用いると「開発者からリクエスト→インフラ担当者が構築」という流れ自体を変えることができます。(旧称:VMware Aria Automation、VMware vRealize Automation)
仮想マシンを提供するvSphere、仮想ネットワークを提供するNSX、これらは別々の製品であり、その構成も別々に行います。それぞれの製品に応じて、それぞれの管理者が作業を分担しているわけです。
しかし、VCF Automationを用いる事で、管理者の手で構成されていた設定をテンプレート化し、それらを組み合わせ、目的に合わせて構成したカタログを提供することができます。ユーザは、そのカタログから自分に必要な構成を選ぶだけで、ITインフラを構築することができます。誰でも簡単にITインフラを構成できる“ゼロタッチ”デプロイメントが可能となるのです。
REST APIで、別アプリからの制御も可能に
NSXはREST APIに対応しており、前述の “ゼロタッチ”デプロイメントが可能になったのも、このREST APIを使ってVCF AutomationがNSXに対して指示を出しているからなのです。
このAPIを利用すれば、VMware製ではない別のアプリケーションとNSXを連携させる事も可能です。実際に多くのプロダクトがAPIを介してNSXと連携し、ネットワーク設定の自動化に成功し、より負担が軽減されています。
NSXにより、ネットワークがソフトウェアで定義されるようになるため、あらゆる作業の自動化が可能になります。
不正アクセスやネットワークトラブルの原因を特定したい!
セキュリティ対策としてのネットワーク可視化
個人情報保護やマイナンバー制度の施行など、企業においてIT環境のセキュリティ対策の重要性はますます高まっています。ファイアウォールなどを強化し、適切に情報を管理することはもちろん重要ですが、不正なアクセスを検知したり、情報漏洩が発生した場合の迅速な原因究明を可能にするネットワークの可視化も、セキュリティ対策にとっては欠かせないことです。
膨大なログから不正を発見することは困難?
とはいえ、ネットワーク上のログは膨大で、ログを取得しただけでは、不正やその予兆を発見することは現実的ではありません。また、昨今の情報漏洩の事件は、なりすましなど、一見すると正常なアクセスなのか不正なアクセスなのかの区別がつきにくい場合が多くなっています。また、正当にアクセス権を付与された担当が悪意ある不正アクセスを行った場合は、正当なのか不正なのかの区別をつけることは極めて困難です。
ログ情報から不正なアクセスを見つけ出すためには、さまざまな角度からログを分析、抽出する技術が必要なのです。
ネットワークの可視化と監査ログの取得が可能
VMware NSXなら、vCenter Serverのユーザインターフェイスから、仮想環境のネットワーク状態を様々な角度から可視化・分析し、不正や異常を早期発見することが可能となります。
NSXに備わっているモニタリング機能に加えて、フロー監視やパケットキャプチャなどの技術を使い、仮想マシン、送信元IP、送信先IPといった情報だけでなく、通信を行ったアプリケーションやユーザまで特定する監査ログを取得することができます。また、遮断された通信も含めてログが記録されるので、不審な通信を発見して「ネットワークからの隔離」、「仮想デスクトップのリフレッシュ」などの対処を検討することができます。
将来発生する異常を予見し、トラブルを未然に防止
また、NSXによるネットワークの可視化は不正な通信を発見するだけでなく、ネットワークトラブルを未然に防ぐことにも使えます。
VMwareの管理製品であるVMware Cloud Foundation Operations(旧称:VMware Aria Operations 、VMware vRealize Operations)と連携することで、取得したログを自動で分析し、グラフィカルに可視化します。現在のネットワークの健全性についてのモニタリングはもちろん、将来的に発生しそうなトラブルまで予見し明示します。また、いざトラブルが発生した場合には、物理機器を含めたNSX環境の各種ログを詳細に分析するだけでなく、障害箇所の特定や解決策の提示などトラブルシューティングを強力にサポートします。
ログの統合管理で、システムトラブルを迅速に解決したい!
現代のITインフラは、問題発生時の原因究明が困難
サーバーやネットワーク、アプリケーションなど、システムの動作内容や警告メッセージの履歴であるログは、システム障害や情報漏洩などが発生した場合、早急な原因究明には不可欠の情報です。
最近のITインフラでは様々なベンダー製品が連携して稼動しており、仮想マシン、OSやアプリケーション、物理機器など、それぞれに分散してログが出力されます。
システムに問題が発生した際に、ネットワークスイッチ、ストレージ、サーバー、アプリケーションといった異なるシステムにログインし、順番にログを確認するのはとても手間と時間がかかります。
そこで問題発生時の迅速な解決のため、ベンダーの枠を越えてログを一括して管理できる「統合ログ管理システム」が求められています。もちろん、これまでのログサーバーでもログの集約や検索といった機能は実現できています。しかし、複雑なITインフラの管理には、より高度な統合管理が必要です。それぞれのログの関係性を見つけ、ログの分析やログの可視化を行い、統計情報を表示するといった機能が不可欠と言えます。
ログ可視化ツール「VCF Operations Log Management」
VMware Cloud Foundation Operations Log Management(以下VCF Operations Log Management)はVMware製品のみならず、スイッチやストレージなどの物理機器、WindowsやLinuxのOSのログ(※1)など幅広いシステムをサポートします。また、システム監視、トラブルシューティング、根本原因分析などに必要となるログの収集、解析、検索、自動化されたログ管理機能を提供します。(旧称:VMware Aria Operations for Logs、VMware vRealize Log Insight)
従来のログ管理では、「ログがシステムごとに点在していて管理が困難」、「ログの検索が難しい」、「ログをためても有効利用ができていない」などの、デメリットがありましたが、VCF Operations Log Management では 「複数システムのログを集中管理」、「高速な検索機能」、「ログの自動分析やグラフ化による運用効率の向上」等のメリットをリアルタイムで享受することができます。
NSX とVCF Operations Log Managementを組み合わせることで、NSXを構成するコンポーネントごとに存在するログや、各ESXiホストに保存される分散ファイアウォールのログなどを一元管理することが可能になり、ログの集中管理と可視化を実現することができます。
※1 OSのログには、エージェントが必要です。
vRealize Log Insight UI紹介1:インタラクティブ分析
vRealize Log Insightのユーザーインターフェイスには2つのタブがありますが、一つ目に[インタラクティブ分析]タブをご紹介します。
[インタラクティブ分析]タブでは、ログイベントを検索してフィルタリングしたり、ログイベントのタイムスタンプ、テキスト、ソース、フィールドを基にイベントを抽出するためのクエリを作成することができます。
vRealize Log Insight は図にあるように、クエリ結果をチャートで提供します。頻繁に見るようなクエリやチャートは、保存して、[ダッシュボード] タブに表示することができます。
インタラクティブ分析の画面では、表示されたグラフをクリックすることでログの詳細情報を確認することができます。
分析機能の1つとして、似通ったログを自動的に同じタイプのログと認識しまとめて表示する機能があります。これにより、同じログが頻繁に表示されることでログ画面が埋もれてしまう事がなくなります。
またログの発生回数を時間ごとに比較し、急に増加したログについては増減を数値化(%)することで、ログの傾向を確認することができます。
その他にもイベント結果やチャートデータのファイルへのエクスポートや、クエリのURL共有等の機能も備えており、管理者間での情報共有機能も充実しています。
vRealize Log Insight UI紹介2:ダッシュボード
次に、[ダッシュボード]タブをご紹介します。
[ダッシュボード]タブでは、カスタム ダッシュボードとコンテンツ パック ダッシュボードが含まれ、ログの統計グラフを表示したり、最も重要な情報にアクセスする一連のカスタム ウィジェットを作成したりすることができます。
カスタム ダッシュボードは、インタラクティブ分析タブで設定したクエリ結果やチャートをカスタム ダッシュボードに登録する事ができます。
この機能を使う事で、日々の監視業務で確認するクエリ結果やチャートを事前に登録する事で、監視業務を行う上での工数の削減や迅速化を実現できます。
コンテンツ パック ダッシュボードは、コンテンツ パックと共にインポートされる特定の製品やログのセットに関連するダッシュボードです。
VMware製品のみならず、幅広い製品の監視がしやすいように、あらかじめチャートやフィールド テーブル、クエリリスト 等のウィジェットが構成されています。
vRealize Log Insight UI紹介3:コンテンツパック
コンテンツ パックを利用すると、VMware社が提供するシステム(vSphere、vCA、Horizonなど)やサードパーティー(Cisco、EMC、NetAppなど)の製品ログの監視や分析ができるようになります。コンテンツパックには製品に特化したログに関連するダッシュボードや、抽出されたフィールド、アラートなどが含まれています。
特定製品のコンテンツパックをインポートする事で、ログの内容を自動的に識別し、可視性が向上します。また、製品固有のアラートを使用する事で、vRealize Log Insight 上で迅速に対応する事が可能になります。
NSX用のコンテンツパックをインポートすることで、大量に集まったログの中から、該当する機能や、オブジェクト名(仮想マシンなど)で絞込み、必要なログ情報だけ抽出する事も可能です。
ネットワークベンダーやストレージベンダーもコンテンツパックを提供しているため、VMware製品のみならず物理機器などの一元的なログ管理を実現できます。
VMware NSX環境でのログ可視化ソリューションのベネフィット
仮想化されたネットワークは、従来の物理ネットワーク環境よりもはるかに多くのログが発生します。たとえば、分散ファイアウォール機能できめ細かくファイアウォールを設置するとセキュリティは向上しますが、その分、管理すべきログが増えることになります。NSXの場合は、これらのネットワークログは、NSXマネージャーやESXiホストにログに分散して保存されます。NSXに標準で付属しているvRealize Log Insight を利用することで、これらのログを統合管理することができるのです。
仮想ネットワーク環境でログを統合管理することには、下記のようなベネフィットがあります。
- 運用にかかる工数の削減
…分散していたログの統合管理が実現し、vRealize Log Insightの画面からVM名などで誰でも簡単にログ検索が可能となります。 - 不審な通信の早期発見、対処が可能
…NSXのファイアウォールでブロックしているログの情報を確認して、「この時間に異常に遮断したログが多い」⇒「このVMを隔離する」などの対応が可能 - 障害発生時の迅速なトラブルシューティングが可能
…vRealize Log Insight の分析機能を使えば、問題点が自動的に提示されます。
ネットワーク仮想化を可視化したい!
ネットワーク仮想化の導入時の“悩み”
VMware NSXによるネットワーク仮想化は、運用効率化やITサービス提供の迅速化など様々なメリットをもたらすことは確かです。
しかし、いざ実際にNSXの導入を検討し始めると新たな課題にぶつかり、導入のハードルになる場合があります。
たとえば、現在のネットワークの利用状況がそもそもよくわからず、導入効果を定量化できないということや、ネットワーク仮想化を導入するとネットワークレイヤがVMware NSXが構成するオーバーレイと、物理スイッチが構成するアンダーレイの2層に分離してしまい、運用が大変になるのではないか?といったことが挙げられます。
ネットワーク仮想化を可視化する “VCF Network Operations”で悩みを解消!
VMware NSXではこのような”悩み”を解消するために、連携ソリューションとしてVMware Cloud Foundation Network Operations(以下 VCF Network Operations)が用意され、NSXの運用効率化を実現しています。(旧称:VMware Aria Operations for Networks、VMware vRealize Network Insight)
VCF Network Operationsの主な機能
- NSX環境のネットワーク構成や通信状況を可視化
- グラフィカルなUIで通信状況を表示
- 通信状況を踏まえてセキュリティポリシーを推奨したり、NSXの動作状況を自動でチェック
- 物理も含めたネットワーク全体のトラブルを可視化
vRealize Network Insightのアーキテクチャ
vRealize Network Insightは、vSphereの分散スイッチの機能であるNetFlowのデータを収集します。NetFlowで収集した送信元IP、送信先IP、送信先ポート番号、プロトコル情報などをベースに、さらにはvCenter ServerやNSX Managerから収集したインベントリ情報や設定情報を組み合わせて解析し、通信の可視化を行います。
vRealize Network Insightはこうした解析を行うことで、VLAN間やIPセグメント間の通信だけでなく、vSphereのインベントリ情報に基づいたvSphereクラスタ間や仮想マシン間の通信を可視化できます。
ネットワーク通信の可視化
vRealize Network Insightは、仮想ネットワーク環境のネットワークセグメントごとの通信状況を可視化できます。データセンター内のトラフィック(East-West)や、仮想マシン間の通信状況など、様々な観点からデータを分類・分析することが可能です。
またその結果から推奨ファイアウォールポリシーが設定されます。こうしたデータ分析に基づいて計画的にマイクロセグメンテーションを適用することができます。
可視化対象を掘り下げていくことで、より詳細な通信状況を確認することも可能です。情報は時系列を含めて管理されているため、指定期間の通信状況や障害が発生した特定時刻の通信状況なども容易に確認できます。
- 仮想ネットワーク環境のネットワークセグメントごとの通信状況を可視化
- 推奨ファイアウォールポリシーの設定
- 指定期間の通信状況や障害が発生した特定時刻の通信状況なども容易に確認
VMware NSXの”健康診断”も可能
vRealize Network Insightには「NSX環境がベストプラクティスに従って構成されているか?」「NSXの設定が正常に動作しているか?」などを自動的にチェックする健康診断のような機能を持っています。ネットワールドで検証を行ったバージョン3.0では、以下のような40個のルールに従ってチェックが行われます。
- 各ESXiのNSXコンポーネントが正常に動作しているか
- NSXのコンポーネント間のバージョンが一致しているか
- NSX Edgeや分散ルータの動的ルーティングが正常に動作しているか
こうした機能を提供することで導入時だけでなく運用時においても、NSX基盤の安定性を保持し続けることができます。また、2つのVM間の通信を可視化しながらトラブルシューティングすることも可能です。
物理スイッチも統合管理、トラブルシューティングも効率化
vRealize Network InsightではVMware NSXが構成するオーバーレイだけでなく、以下の、物理スイッチが構成するアンダーレイのネットワークも統合管理できます。これはNSX Managerが持つトレースフロー機能にはなかった機能です。
※詳細については、統合管理できる物理スイッチをご確認ください。
ネットワーク仮想化への不安を解消!
NSXとvRealize Network Insightを組み合わせて利用することで、ネットワーク仮想化による不安を解消することは勿論、より効率的な運用管理を実現することができます。
また、マイクロセグメンテーションの実装を強力にサポートする機能を提供するので、仮想環境のセキュリティポリシーの見直しにも力を発揮します。
vRealize Network Insight 関連デモ動画
実際のvRealize Network InsightのグラフィカルなULをご覧いただけます。