ネットワールドSEが語る!マルチクラウド環境でネットワークを仮想化するVMware NSX-T Data Center
現在の企業ネットワークは、スイッチやルーター、ロードバランサー、ファイアウォールなど、多数の機器で構成されていますが、それらの機器は統一されていないケースが多く、複数のベンダーによって構成されていることが多いため、複雑化しています。
この複雑化したネットワーク構成の上で安定したサービス品質やセキュリティを確保しなければならないといった課題を解決し、より柔軟かつ効率的な運用を実現するネットワーク仮想化ソリューションとして「VMware NSX-T™ Data Center(以下、NSX-T)」をご紹介します。
複雑化したネットワーク設定を仮想化により解決
現在、サーバーの仮想化は当たり前になっており、様々な企業で採用されています。サーバー仮想化は物理サーバー台数の削減、機器調達時間の削減、機器の集約化による工数削減、サーバーシステム全体の最適化によるコストの削減等々多くのメリットがあります。
その一方で、20年以上前から様変わりしないのがネットワーク設定です。機器につながれた大量のケーブルをかき分けて機器ごとに設定を行い、ラックの前(現地で)でトラブルシュートを実施するといった、昔から変わっていない運用が今なお行われています。またファイアウォール、ロードバランサー、ルーター、スイッチといった機器ごとに個別の設定・管理が必要なことも、それぞれ運用が異なってくるので、ネットワーク管理者の負担を増大させる要因となっています。
こうしたネットワークに関する課題は、VMware NSX-T Data Centerなら解決できます。NSX-Tはネットワーク仮想化ソフトウェア製品であり、コンソールで単一に管理でき、VMware vSphereを基に仮想基盤/KVM/AWS/Azure/ベアメタルなど様々な環境に対応する、レイヤー2から レイヤー7まで包括したネットワーキングとセキュリティを提供します。
具体的には、サービスルーターや仮想ファイアウォール、仮想ロードバランサー、仮想VPN、物理機器との接続などの機能を仮想アプライアンス(NSX Edge)で提供するほか、論理スイッチング、分散ルーター、分散ファイアウォールをカーネルの組込み機能として提供します。上述したようにこれらの機能の全てが、VMware vSphere環境だけでなくKVM環境や物理サーバーにも対応しているのがNSX-Tのポイントです。
NSX-Tの仕組みと基本機能
ネットワーク仮想化にはさまざまな方式がありますが、NSX-Tでは「オーバーレイ・ネットワーク」を採用しています。これはハイパーバイザー上に実装された仮想スイッチ間をトンネリングすることにより、物理ネットワークから分離されたシンプルなパケットの通り道として活用し、論理的なネットワークを構成するものです。そのネットワーク上でファイアウォールやロードバランサーなどの仮想ネットワークサービスを提供し、コントローラーによる一元的な制御を実現します。
オーバーレイネットワークはネットワーク構成を変更する際も物理的なネットワーク機器の設定を変更する必要がないため、アジリティの向上や中央集中管理による運用性の向上と自動化、セキュリティの自動化と高度化、コスト最適化といった主に4つのメリットを得ることができます。
こうした仮想ネットワークの運用を司るのが、NSX-Tの「NSX Manager」というSDNコントローラーです。GUI画面を数回クリックするだけで、必要な仮想ネットワークサービスを自動的に構築し、一括して管理できるため、ネットワーク環境の構築に物理作業や物理NWへの作業の必要がなくなり、管理の作業負荷を大幅に軽減します。
また、仮想ネットワークによるセキュリティサービスとして、NSX-Tは「分散ファイアウォール」と「マイクロセグメンテーション」という機能を提供します。これまでの境界防御の仕組みでは、外部に接続されているファイアウォールを突破されるとサーバー間や端末間での自由なアクセスを許してしまい、脅威の拡散が防げないことがありました。さらにセキュリティゾーン内部ではマルウェアなどの拡大を検知する仕組みもないことから、侵入範囲を容易に拡大させてしまいます。NSX-Tでは各仮想マシンに対して NIC(Network Interface Card)レベルのセキュリティを強制することで境界を極小化します。境界を極小化することによって、脅威の拡散を最小限にかつ未然に防止することが可能です。
また、各種仮想ネットワークサービスを提供するNSX Edgeについては、「ベアメタルEdgeノード」と「VM Edgeノード」という2つの展開モデルが用意されています。
Edgeノードとは、ハイパーバイザーに配布できない集中管理のネットワークサービスの実行専用のサービスアプライアンスです。ベアメタルEdgeノードは、ノードごとにより高いスループットやスケーラビリティが必要な場合に利用するハードウェアベースのアプライアンスです。一方のVM Edgeノードは、より柔軟な展開が可能な仮想マシンのフォームファクターとして、インスタンス化されたアプライアンスとなっています。
これらのEdgeノード上でService Router (SR) と呼ばれるコンポーネントを稼働させることで、Distributed Router(DR)により、分散処理できないネットワークサービスを提供することが可能となります。これによりP to V L3/L2ゲートウェイ、アドレス変換、ロードバランサー、IPアドレス管理、境界ファイアウォール、VPNといった様々なサービスをEdgeノード上で動作させることができます。
なおNSX-Tには「Professional」「Advanced」「Enterprise Plus」という3つのエディションが用意されており、エディションが上がるごとに機能が追加されますので、お客様に沿った機能をご利用いただくことが可能になります。
VMware製品との連携~NSX Advanced Load Balancer~
またNSX-Tと連携可能なソリューションとして、ネットワールドでは「VMware NSX Advanced Load Balancer(以下、NSX Advanced Load Balancer)」を連携可能で、NSX-Tを連携させてご利用いただくことを推奨しています。NSX Advanced Load Balancerはマルチクラウドを最適化するソフトウェア型ロードバランサーで、主に3つの機能を提供します。
1つ目は一元管理です。仮想環境、コンテナ環境、パブリッククラウド、物理環境といった様々な環境を集中管理コントローラーによって一元管理し、これらのどのプラットフォームでも高い負荷分散性能を発揮させることが可能です。
2つ目は、伸縮自在なADC(Application Delivery Controller)機能です。NSX Advanced Load Balancerでは従来のロードバランサーより高度なADC機能をソフトウェアで提供しておりL7情報に基づいて負荷分散を行い、ソフトウェア型ですので、需要に応じたスケールアウトやスケールアップを実現します。
3つ目は、可視化/セキュリティです。NSX Advanced Load Balancerはロードバランサーの機能を提供するだけでなく、アクセス中のトラフィックに対して検索や可視化を実行するほか、アプリケーション解析により設定ミスや脆弱性を早期発見し、セキュリティ対策が可能になります。
これらのNSX Advanced Load Balancerの機能をNSX Managerと連携させることにより、データセンター内のルーティングを自動的に最適化する高度な運用も可能となるなど、NSX-TにNSX Advanced Load Balancerを組み合わせて活用することにはネットワーク仮想化するうえで非常に大きなメリットがあります。
最後に
ネットワールドでは、仮想ネットワークの効果を最大限に享受したいと考える企業の要望に応えるべく、NSX-TおよびNSX Advanced Load Balancerの見積りから設計、構築、導入後までカバーする一気通貫の支援サービスを用意しています。
NSX-T(NSX Advanced Load Balancer)の設計支援サービスでは、事前ヒアリングに基づいて基本構成の決定支援のサービスを提供します。NSX-T(NSX Advanced Load Balancer)構築サービスでは、設定シートの作成から各製品やコンポーネントのインストール、動作確認まで一貫して構築作業をサポートします。そしてNSX-T(NSX Advanced Load Balancer)導入後サポートサービスでは、導入後製品に関わるQA対応等サービスを提供します。