VMware SASE超入門編②
パフォーマンスを最適化する「VMware SD-WAN Gateway」とは？

VMwareが提供するSASEプラットフォーム「VMware SASE」は、大きく分けて「VMware SD-WAN」「VMware Secure Access」「VMware Cloud Web Security」の3つのサービスから構成されています。本記事では、このうちのVMware SD-WANについて解説します。その数々の機能の中でも特に重要な役割を担っているのがVMware SD-WAN Gatewayであり、SASEが提供するネットワークサービスを支えるコア技術となっています。

VMware SD-WANとは

SASEを最初に提唱したガートナーは、その概念をネットワークサービス（Network as a Service）とネットワークセキュリティサービス（Network Security as a Service）を統合したクラウドサービスと定義しています。このうちのネットワークサービスのコアとなっている技術の1つがSD-WAN（Software Defined Wide Area Network）です。物理的なネットワーク機器で構成されたWANの上に仮想的なオーバーレイネットワークを構築し、ソフトウェアによる制御・管理を可能とするもので、VMware SASEではVMware SD-WANがその役割を担っています。

VMware SD-WANは、もともとSD-WANの専業ベンダーとして市場をリードしていたベロクラウド ネットワークス社が提供していたもので、VMwareが同社を2017年に買収したことに伴い、現在のVMwareブランド名で販売されるようになりました。

ユーザートラフィックを最適化するVMware SD-WAN Gateway

VMware SD-WANの最大の特徴であり、他社のSD-WANソリューションに対する圧倒的な優位性となっているのが、VMwareが全世界3,100カ所以上から提供しているクラウドゲートウェイサービス「VMware SD-WAN Gateway」です。これを利用することで、ユーザートラフィックをさまざまなSaaSやパブリッククラウド、オンプレミスのデータセンターのすぐ近くまで最適化して転送することが可能となります。

各拠点からMicrosoft 365やSalesforceなどのSaaSアプリケーションを利用する際に本社側のデータセンターに設置されたプロキシサーバーを経由せず、インターネット回線を使って直接クラウドサービスへアクセスする、いわゆるローカルブレイクアウトはどのベンダーのSD-WANサービスでも可能です。これに加えてVMware SD-WAN Gatewayは、そうしたローカルブレイクアウトのユーザートラフィックまで最適化するのです。

もちろん特別なハードウェアを追加導入する必要ありません。オフィスやブランチオフィス、あるいは自宅などの拠点にSD-WANエッジを設置するだけで、通信品質をビジネスレベルのクオリティに改善します。また、管理プレーンのVMware SD-WAN オーケストレーターから最寄りのVMware SASE PoPに接続することで、VMware SD-WAN Gatewayを含めたVMware SASE のすべての機能を一元的に管理することが可能です。

SD-WANエッジとVMware SD-WAN Gatewayの連携で実現する高度な機能

具体的にVMware SD-WANによって、どのような形で通信の最適化が行われるのかを見てみましょう。まず各拠点は会社から配送されたSD-WANエッジと呼ばれる機器をネットワークに接続するだけの、いわゆるゼロタッチ・プロビジョニングで、すぐにSD-WANに参加することができます。

これを実現しているのが先にも述べた管理プレーンのVMware SD-WANオーケストレーターです。SD-WANの環境全体をGUI画面で一元管理し、複数の拠点に展開するSD-WANエッジの設定を一括して行うことができます。

さらにVMware SD-WANオーケストレーターの管理画面には、VMware独自のDPI（Deep Packet Inspection）により識別されたアプリケーションごとの利用状況やトラフィック、端末の設置場所、回線の利用状況などがすべて可視化されるとともに、ログイン履歴やアラート情報、イベント情報などのログも証跡として残されます。これに基づきSD-WANの運用管理者は、必要に応じて通信経路の設定変更や特定アプリケーションのQoS/優先度設定、端末アクセス制御などを実施することができます。拠点の拡大やネットワーク回線の拡張にも容易に対応することができます。

またセキュリティの観点からは、VMware SD-WAN Gatewayを利用することで拠点間VPNを1クリックで設定することが可能です。

低コストでVPNを利用できるサービスとしては、エントリーVPNやインターネットVPNなどがありますが、すべての経路で通信事業者の閉域網を利用しているわけではなく、途中でインターネットを経由することから通信品質は保証されません。したがって、より高品質な通信が求められる場合は、IP-VPNや広域イーサネットなどの上位サービスに変更する必要がありました。VMware SD-WAN Gatewayを利用すれば、こうしたコスト負担を増やすことなく、セキュリティと快適な通信を両立できます。

WANのパフォーマンスを最大限に向上

VMware SD-WANのアーキテクチャーは、各拠点から各クラウドサービスやオンプレミスのデータセンターにいたるユーザートラフィックのパフォーマンスをエンドツーエンドで向上します。

具体的にはVMware SD-WAN上では、リンクアグリゲーションによりMPLS（専用線）やインターネット回線（ブロードバンド回線）、モバイル回線など複数のトランスポート回線を束ね、１本のWAN回線として同時利用することができます。

このリンクアグリゲーションをさらに強力なものとしているのが、VMwareが独自開発したDMPO（Dynamic Multi-Path Optimization）という機能です。オーバーレイ（仮想ネットワーク）とアンダーレイ（物理ネットワーク）の双方を非常に短い間隔で監視しつつ、最適なパケットの送出先を動的に決定していくもので、これまでActive-Standbyで運用してきたバックアップ回線をActive-Active化した有効利用、利用帯域の増強、海外など遠く離れた拠点への通信品質改善といったメリットをもたらします。

前述したとおりVMware SD-WAN Gatewayを利用することで、ユーザートラフィックをさまざまなSaaSやパブリッククラウド、オンプレミスのデータセンターのすぐ近くまで最適化して転送することが可能となります。そこに上記のようなリンクアグリゲーションおよびDMPOの技術を組み合わせることで、WANのパフォーマンスを最大限に引き出すことができるのです。