データープレーンとは、実際のネットワーク仮想化を行うエンジン部分となります。
このデータープレーンですがまず、2つの切り分けがあります。
- ESXiカーネルモジュールで提供されるサービス
- 仮想アプライアンスで提供されるサービス
1.は、カーネル側で処理をされますが、2.は、仮想アプライアンスで展開されますので、基本どこかのESXiホストで稼働する形となります。機能的にもvCloud Network and Security時代のvShield Edgeで展開されるEdge Gatewayの後継となります。
ではまず、カーネルモジュール側のコンポーネントをご紹介しましょう
◆カーネルモジュールでの提供
1.論理スイッチ(Logical Switch)
これは、VXLANを展開した際、VXLANにもVLANと同じようにIDが存在します。VLAN-IDのVXLAN版が、VNI(VXLAN Network Index) と思っていただければよいです。この1つのVNIに対して、1つの論理スイッチができる形となります。VLANに対応していないスイッチをそれぞれ配置するように、VLANの場合のvSwitchの用にポートグループで、VLANを分ける構成ではなく、VXLANの場合は、VNIごとに論理スイッチができるのが構成ポイントです。
2.分散論理ルーター(Distributed Logical Router)
通称「DLR」と呼びます。分散ルーターとも呼ばれます。これは、論理スイッチや分散スイッチ(vDS)のポートグループなどいわゆるL2スイッチの機能に対して、ルーティングの機能を提供します。これが、L2スイッチをL3スイッチに変換させ、EAST-WEST通信のヘアピンをなくす重要なコンポーネントとなります。ダイナミックルーティングにも対応します。
3.分散ファイアーウォール(Distributed Firewall)
これは、マイクロセグメンテーションにおける重要なコンポーネントです。具体的には、分散スイッチ(vDS)のdvFilterといわれる機能を利用しており、仮想マシンのvNICごとに展開され、通信の制御ができます。仮想マシン単位でファイアーウォールが展開されるため、L2ネットワーク環境下でも細かい通信制御ができるようになります。
4.分散ロードバランサー(Tech Preview)
こちらは、まだ正式なリリース機能ではありませんが、NSX for vSphere 6.2から、分散ロードバランサーの機能が提供されるようになりました。こちらは、EAST-WEST間の通信におけるロードバランシングを行う機能です。ただ、カーネルベースでの処理のため、パフォーマンスに主眼を置いており、ヘルスチェックなどの機能は現行ありません。仮想マシンで冗長構成が組まれている場合で、WEBサーバーとAPサーバーのAPIコール通信などを分散したい場合に利用可能です。
◆バーチャルアプライアプライアンスでの提供
まず、バーチャルアプライアンスで提供される各種機能は、Edge Security Gateway(ESG)で提供されます。そのため、ESGといわれたら、このデータープレーンのバーチャルアプライアンスのことを思い出してください。
1.ファイアーウォール
こちらは、カーネルベースではなくVAとして提供されますので、L3での利用が前提となるケースで利用します、またNATなどは、カーネルモジュールの分散ファイアーウォールでは提供されませんので、今までのネットワークアプライアンスと同様な動作が可能です。
2.ルーティング
こちらも、DLRと異なり、より細かい設定が可能になることと、分散スイッチのポートグループや論理スイッチだけではなく、標準スイッチからのルーティングも可能となります。(DLRは、分散スイッチと論理スイッチでのルーティングしかできません)
物理層にあるネットワーク機器との接続の際によく利用されます。もちろんダイナミックルーティングにも対応しています。ここは、以前のvCNS時代のEdge Gatewayよりも機能アップしています。
3.VPN
こちらは、カーネルモジュールには提供されていない機能です。
IPSECとSSL-VPNの2つが提供されています。
<SSL-VPN>
SSL-VPNは、最大で1000ユーザーの同時接続に対応し、Windows / Mac / Linuxの接続クライアントが提供されます。
このアーキテクチャーは、NeoAccel社のSSL-VPN Plusを利用しています。(NeoAccel社はVMwareに買収されました)
また、L2によるサイト間VPN機能もこのSSL-VPNを使って行うことが可能です。
<IPSEC-VPN>
IPSEC-VPNは、L3によるサイト間接続をする際に利用します。最大で、6000トンネルに対応しています。
4.ロードバランサー
こちらは、vCNS時代のEdge Gatewayから一番機能アップしたところではないかと思います。
最大1024VIP(仮想IP)に対応し、ワンアームとインライン(ツーアーム)モードに対応しています。
このEdge Security Gatewayのロードバランサーは、 SSL証明書を食べさせることもでき、SSLアクセラレーターとして利用することも可能となります。ヘルスチェックももちろん可能ですので、いわゆる100万円程度で販売されるローエンド市場のロードバランサー以上のことができるイメージでいてもらえればよいかと思います。カーネルモジュールの分散ロードバランサーに比べて、多機能であり、商用サービスレベルに耐えられるバランサーです。
データープレーンになると、細かい動きが見えてきますので、できることがよりよくわかってきたかと思います。
0 件のコメント:
コメントを投稿