現在の企業ネットワークは、スイッチやルーター、ロードバランサー、ファイアウォールなど、複数のベンダーが提供する多数の機器で構成されていることが多いため、複雑化しているネットワーク構成の上で安定したサービス品質やセキュリティを確保しなければいけません。こうした課題を解決し、より柔軟かつ効率的な運用を実現するネットワーク仮想化ソリューションとして「VMware NSX-T™ Data Center(以下、NSX-T)」が登場しました。
いまやさまざまな企業に普及したサーバー仮想化は、物理サーバー台数の削減、機器調達時間の削減、機器の集約化による工数削減、サーバーシステム全体の最適化によるコストの削減など、多くのメリットをもたらしました。
しかしその一方で、20年以上前から様変わりしないのがネットワーク設定です。大量のケーブルをかき分けて機器ごとに設定を行い、ラックの前でトラブルシュートを実施するといった、旧態依然とした運用が今なお行われています。またファイアウォール、ロードバランサー、ルーター、スイッチといった機器ごとに個別の設定・管理が必要なことも、ネットワーク管理者の負担を増大させる要因となっています。
こうしたネットワークに関する課題は、VMware NSX-T Data Centerなら解決できます。NSX-TはVMware vSphere®仮想基盤/KVM/AWS/Azure/ベアメタルなどさまざまな環境に対応し、単一に管理できるネットワーク仮想化ソフトウェア製品で、レイヤー2から レイヤー7まで包括したネットワーキングとセキュリティを提供します。
NSX-Tの基本概念図
具体的には、サービスルーターや仮想ファイアウォール、仮想ロードバランサー、仮想VPN、物理機器との接続などの機能を仮想アプライアンス(NSX Edge)で提供するほか、論理スイッチング、分散ルーター、分散ファイアウォールをカーネルの組込み機能として提供します。上述したようにこれらの機能の全てが、VMware vSphere環境だけでなくKVM環境や物理サーバーにも対応しているのがNSX-Tのポイントです。
ここからは、さらに詳しくNSX-Tの機能を掘り下げます。
ネットワーク仮想化にはさまざまな方式がありますが、NSX-Tでは「オーバーレイ」と呼ばれる方式を採用しています。これはハイパーバイザー上に実装された仮想スイッチ間をトンネリングすることにより、物理ネットワークから分離された論理的なネットワークを構成するものです。そのネットワーク上でファイアウォールやロードバランサーなどの仮想ネットワークサービスを提供し、コントローラーによる一元的な制御を実現します。
オーバーレイを図式化した様子
ネットワーク構成を変更する際も物理的なネットワーク機器の設定を変更する必要がないため、アジリティの向上や中央集中管理による運用性の向上と自動化、セキュリティの自動化と高度化、コスト最適化といったメリットを得ることができます。
こうした仮想ネットワークの運用を司るのが、NSX-Tの「NSX Manager」というコントローラーです。GUI画面を数回クリックするだけで、必要な仮想ネットワークサービスを構築し、一括して管理できるため、ネットワーク管理の作業負荷を大幅に軽減します。
また、仮想ネットワークによるセキュリティサービスとして、NSX-Tは「分散ファイアウォール」と「マイクロセグメンテーション」という機能を提供します。これらはいわゆるゼロトラストのセキュリティモデルに基づくもので、各仮想マシンに対して NIC(Network Interface Card)レベルのセキュリティを強制することで境界を極小化します。
これまでの境界防御の仕組みでは、信頼されているセキュリティゾーンに一度侵入されると、サーバー間や端末間での自由なアクセスを許してしまう問題がありました。加えて、セキュリティゾーン内部ではマルウェアなどの拡大を検知する仕組みもないことから、侵入範囲を容易に拡大させてしまいます。
そこで有効となるのが、分散ファイアウォールおよびマイクロセグメンテーションの仕組みであり、セキュリティ上の脅威がネットワーク全体に拡散するのを防ぎます。
仮想ネットワークによるセキュリティサービス
また、各種仮想ネットワークサービスを提供するNSX Edgeについては、「ベアメタルEdgeノード」と「VM Edgeノード」という2つの展開モデルが用意されています。
Edgeノードとは、ハイパーバイザーに配布できない集中管理のネットワークサービスの実行専用のサービスアプライアンスです。ベアメタルEdgeノードは、より高いスループットやスケーラビリティが必要な場合に利用するハードウェアベースのアプライアンスです。一方のVM Edgeノードは、柔軟な展開が可能な仮想マシンのフォームファクターとして、インスタンス化されたアプライアンスとなっています。
これらのEdgeノード上でService Router (SR) と呼ばれるコンポーネントを稼働させることで、Distributed Router(DR)により、分散処理できないネットワークサービスの提供が可能となります。これによりP to V L3/L2ゲートウェイ、アドレス変換、ロードバランサー、IPアドレス管理、境界ファイアウォール、VPNといったサービスを利用することができます。
なおNSX-Tには「Professional」「advanced」「Enterprise Plus」という3つのエディションが用意されており、必要な機能によって選択可能となっています。
またNSX-Tと連携可能なソリューションとして、ネットワールドでは「VMware NSX® Advanced Load Balancer™(以下、NSX ALB)」の活用を推奨しています。NSX ALBはマルチクラウドを最適化するソフトウェア型ロードバランサーで、次に示す3つの機能を提供します。
1つめは一元管理です。仮想環境、コンテナ環境、パブリッククラウド、物理環境などの多様な環境を集中管理コントローラーで一元管理し、どのプラットフォームでも高い負荷分散性能を発揮します。
2つめは、伸縮自在なADC(Application Delivery Controller)機能です。L7情報に基づいて負荷分散を行い、需要に応じたスケールアウトやスケールアップを実現します。
3つめは、可視化/セキュリティです。アクセス中のトラフィックに対して検索や可視化を実行するほか、アプリケーション解析により設定ミスや脆弱性を早期発見することができます。
さらにNSX Managerと連携させれば、データセンター内のルーティングを自動的に最適化する高度な運用も可能となるなど、NSX-TにNSX ALBを組み合わせて活用することには非常に大きなメリットがあります。
NSX ALBと連携するメリット
ネットワールドでは、仮想ネットワークの効果を最大限に享受したいと考える企業の要望に応えるべく、NSX-TおよびNSX ALBについて見積りから設計、構築、導入後までカバーする一気通貫の支援サービスを用意しています。
NSX-T(NSX ALB)設計支援サービスでは、事前ヒアリングに基づいて基本構成の決定を支援します。NSX-T(NSX ALB)構築サービスでは、設定シートの作成から各製品やコンポーネントのインストール、動作確認まで一貫してサポートします。そしてNSX-T(NSX ALB)導入後サポートサービスでは、運用に入った製品に関するQA対応などのサービスを提供します。
ネットワールドでは、「VMware Cloud Frontier」というクラウド最新情報のポータルサイトを運営しており、こちらでもNSX-TやNSX ALBに関する最新情報を随時発信しているので、アクセスして情報を収集すると良いでしょう。
