で、何ができるのかというのが、という話をしたいと思います。
NSX for vSphereは、vCloud Network and Security(vCNS)の流れを踏んでいるとお伝えしました。実際、vCNSでできた機能は、すべて機能アップした上で、ほとんどの機能が利用できます。
vCNSというか、vShield時代は管理方法や機能バランスが悪いく、正直あまり導入されているケースは少なかったかと思います。
データーセンター事業者で、vShield Edgeを利用されていたり、DeepSecurityとの連携でvShiled Ednpointを利用していたりと部分部分での利用だったかと思いますが、NSX for vSphereになって、統合的な展開と管理ができるようになり、より実用性になったと思います。
NSX for vSphereを使うメリットを紹介しましょう
1.VXLANの利用で、ネットワークの仮想化とマルチテナントを実現
これは、従来からのVXLANのメリットであるVLAN枯渇問題の対応がまずあげられます。
これ自体は、vCNS時代から提供されていました。
NSX for vSphereでは、VXLANのセグメントを「論理スイッチ(Logical Switch)」という表現を行い、この論理スイッチをどんどん追加したり、消したりできます。
(NSX for vSphereで管理できるVXLANの数は、1万程度です)
VXLANの特徴はまた改めてお話をしたいと思いますが、物理ネットワークにVLANのTRUNK設定やVLANインターフェースの作成など面倒くさいことをせずに、L2のネットワークを自由に作成できることがメリットになります。
物理ネットワークに影響を与えずに、ネットワークをどんどん拡張できることから、マルチテナントにおけるクラウド環境における"自動化"も、仮想マシンの自動展開の時代から、ネットワークを含めた環境が自動展開が可能となります。
自動化には、REST APIを利用するほかに、vRealize Automationを利用することが可能です。
これで、仮想マシンの自動販売機から、インフラ基盤の自動販売機の構築が可能となります。
2.EAST - WESTの通信におけるヘアピーニングを削減
これだけ聞くと意味がわからないのですが、いわゆるL3スイッチの上り下り問題です。
同じESXiにVLAN10に属する仮想マシンとVLAN20に属する仮想マシンがいたとしましょう。
同じESXiの中ですのが、VLAN10の仮想マシンがVLAN20に通信をしようとすると、ESXiのvSwitchを経由しますが、このvSwitchは、標準スイッチ(VSS)、分散スイッチ(vDS)は、良くも悪くもL2スイッチですので、ルーティングができません。そのため、vSwitchから上位に接続されるL3スイッチでルーティングされることになります。そのため同じホストで繋がっているにもかかわらず、かならず外に出てルーティングされてまた戻ってくると言う通信のヘアピンが発生することになります。
これは、無駄ですね。ということで、ESXiのvSwitchをL3スイッチにしてしまうという考え方が、分散論理ルーター(DLR)になります。この分散論理ルーターは、ESXiカーネルモジュールとして提供され、各ESXiホストでパケットをルーティングしていわゆるヘアピン処理をなくすことが可能です。
これにより、上位のL3スイッチに莫大な投資をすることが不要となります。
3.分散ファイアーウォールによるマイクロセグメンテーション
いままでのFirewallは、ゲートウェイとして動作し、いわゆるネットワークの境界として動作をしていました。これはL3ネットワークにおける、セグメントを跨いだ場合において有効ですが、同じセグメントにある端末において細かい通信セキュリティを設定することはできません。
この場合は、Windows Firewallやiptables(firewalld)のようなOSベースの機能を利用するか、トランスペアレントの設定が施されたアプライアンスを展開するしか方法がありません。しかしいずれの方法も台数が増えると一括管理をする仕組みがないため、管理コストが膨大になります。
しかし、NSX for vSphereを利用すると、仮想マシンの手前にファイアーウォールが展開され、 L2ネットワークにおいても通信セキュリティの設定が可能となります。
この機能とサードパーティーのセキュリティ製品を組み合わせることで、たとえばマルウェア感染した仮想マシンだけを動的に一切の通信を不可にするといったダイナミックなL2ファイアーウォールによるマルウェアの拡散も可能となります。
4.Edge Security gatewayによる、VPNやADCの提供
プライベートクラウド基盤を企業や組織において構成した場合、サーバーリソースの仮想化による共同利用は可能となりました。
例えばある企業で、営業向けのCRMを導入することになったとしましょう。立てる仮想マシンは共通のプライベートクラウド基盤に構築しました。システムの冗長構成を組むために、WEBロードバランサーと、営業だけがアクセスできるSSL-VPNの構築が別途必要となりました。
こうなると、情報システム部で基盤のロードバランサーやVPN装置を貸すことはできないので、結果部門でロードバランサーアプライアンスやVPNアプライアンスの導入をすることとなりました。
こんな話し、結構あるあるな話しなのですが、実際これはせっかくのプライベート基盤であるにもかかわらず、部門負担のネットワーク装置が設置されるという、すべてをクラウド基盤から提供するというポリシーを守れない結果となります。(かといって、部門ごとに必要な台数のロードバランサーを都度情報システム部で購入するわけにも、必要なリソースが読めないのに大規模なロードバランサーをあらかじめ購入することも現実的ではありません)こうなると、情報システム部で基盤のロードバランサーやVPN装置を貸すことはできないので、結果部門でロードバランサーアプライアンスやVPNアプライアンスの導入をすることとなりました。
こんな時、NSX for vSphereを導入すれば、仮想化基盤と同じようにロードバランサーやSSL-VPNなどのネットワークアプライアンス(仮想アプライアンス)を展開、提供することが可能です。
5.VXLANによるL2延伸
これは、言わずと知れずです。サイトをまたいでネットワークを構成した場合、どうしてもL3で違うセグメントになってしまいます。VXLANは、L2フレームをL3パケットに包んで通信をしますので、L3越しのネットワーク環境下で、同じL2ネットワークを利用することができます。
DRサイトを構築した際には、DRサイトで稼働したときにIPアドレスが変わることに対する対応は大変です。仮想マシンのIP変更はもちろん、DNSへの反映、内部で利用為ているDBなどのアプリケーションの接続をFQDNへの変更等々。こんな課題もVXLANを利用すればなくなります!
さあ、NSX for vSphereの魅力はわかりましたのでしょうか?
ネットワークの仮想化は、魅力が満載ですし、サーバー仮想化による課題事項が解決できる製品だと思います。これが、SDDC(Software Defined Data Center)を実現する大きな役割を施す成否であることも是非認識をしていただければと思います。
0 件のコメント:
コメントを投稿