Home > Blogs > Japan Cloud Infrastructure Blog > 月別アーカイブ: 2013年6月

月別アーカイブ: 2013年6月

ネットワーク仮想化 設計ガイドのレビュー その1

ネットワーク仮想化というキーワードを様々なメディアで見かけるようになってきました。なぜこれほど注目されているのでしょうか?理由は様々あるかと思いますが、ネットワークの世界では、この数年革新的なテクノロジーの変化がなく、問題を抱えたままそれを使い続けるしかありませんでした。

そんな中、ネットワーク仮想化 はこれまでのネットワークの問題点を解決する、実現可能なテクノロジーということで、注目が集まっています。

本ブログでは、VMware® Network Virtualization Design Guide(http://www.vmware.com/files/pdf/techpaper/Virtual-Network-Design-Guide.pdf)をベースに VMware が実現する ネットワーク仮想化 の世界を紹介していきます。

初回は、どなたでも読みやすいように VMware がネットワークの世界で何をしようとしているのか簡単に解説します。

VMware は CPU やメモリ等のコンピューティングリソースやストレージを抽象化し、仮想マシンという単位で利用することで
大幅な効率の向上と柔軟性を実現しました。

ネットワークについてはどうでしょうか? 仮想マシンが通信するには、仮想スイッチに仮想NICを接続で簡単に実現します。しかし、他のシステムと通信を行うには、物理ネットワークデバイスを中継してに出て行く必要があり、その設定(VLANの設定、アクセスリスト等)をそれぞれのコンソール(インターフェース)から手動設定しなければなりません。つまり、仮想マシンが通信する為に必要な機能が、様々な物理ネットワークデバイスで点在して実装されており、この点が仮想マシンの柔軟性を阻害していた最後の障壁でした。

VMware はこの点に着目し、物理ネットワークデバイス上で実装していた機能を仮想環境上で実装します。
例えば仮想マシンが所属する論理ネットワークを VXLAN という新しいテクノロジーで構成し、これまで物理ネットワークデバイスで作成していた論理ネットワークを仮想環境上で作成することが可能にです。
仮想マシンの通信制御をしていた Firewall 機能を仮想 Firewall として、必要な箇所に分散実装できます。
また、これらを事前に定義をしておけば自動的に機能追加することも可能になります。

下図はVMware がサーバを仮想化した同じアプローチで、ネットワークを仮想化しようとしているイメージ図です。

次回は、既存ネットワークに VXLAN を実装してみよう!について記載します。

ネットワーク仮想化 – VXLAN の概要

VXLAN の概要

仮想化技術およびクラウド技術の普及により、VMware のお客様の多くはネットワークの運用において新たな課題に直面しています。ネットワークに柔軟性をもたらす仮想化技術、 Virtual eXtensible Local Area Network (VXLAN) がその課題を克服できる技術の一つとして注目を浴びています。これから数回に分けて、解説と設定をご紹介します。

VXLAN は一言で言うと、レイヤ 2 (L2) を維持したまま、物理インフラをまたぐ通信に IP が使える、オーバーレイ ネットワークです。

従来の物理ネットワークには、次のような課題が見受けられます。

  • L2 ネットワークの分離のために一般的に利用される VLAN 数は、4094 個までしか作成できない。マルチテナントや大規模データセンターでは、さらに多くのネットワークの分離が望まれている。
  • VLAN やスイッチの境界を、キャパシティ要件の増加や縮小に合わせて、運用コストを大幅に増加させずに、拡張することが難しい。
  • 高可用性テクノロジーは、フラットな L2 ネットワークで最適に動作するため、データセンターにわたってサーバ リソースのプールを利用したい場合は、大規模 L2 ネットワークが必要となり、構築と管理が難しい。

このような課題に、VXLAN ベースのネットワーク仮想化で対応できます。

  • 通常の IP ネットワーク上に論理的な L2 オーバーレイネットワークを作成し、論理的な L2 ネットワークを構築できる。論理ネットワークに付与される VXLAN Network Identifier (VNI)、または VXLAN セグメント ID とよばれる ID は、約 1677 万個のため、VLAN をはるかに超えるネットワークの分離ができる。
  • スイッチやポッドの境界にまたがる拡張クラスタを構築でき、柔軟性を増加させることができる。
  • VXLAN は標準の L3 の IP ネットワーク上で動作し、大規模な物理 L2 ネットワークを構築及び管理する必要がない。

VXLAN の主要なコンポーネント

VMware VXLAN ソリューションは次のコンポーネントから成ります。

VMware vCloud Networking and Security Manager

VMware vCloud Networking and Security Manager は vCloud Networking and Security 製品の集中型ネットワーク管理コンポーネントです。VMware vCenter Server にプラグインが用意されており、プラグイン経由で VXLAN 設定を行うことが出来ます。プラグインは VMware vSphere Client のみで利用可能で、VMware vSphere Web Client ではまだ利用可能ではありません。vCloud Networking and Security Manager で vCenter Server の IP アドレスとその証明書を設定後、データセンタ オブジェクト レベルで “Network Virtualization” タブが表示されます。VMware vCloud Networking and Security Manager はまた、vShield Manager とも呼ばれることがあります。

VMware vSphere Distributed Switch (分散スイッチ)

vSphere プラットフォーム内の分散スイッチ (VDS) はデータセンターの仮想ネットワークの状況管理を一元的に管理できます。VDS はまた、VXLAN に加えて、トラフィック管理、モニタリング、トラブルシューティングなどの拡張機能も提供します。最新の VDS 機能の詳細は、What’s New in VMware vSphere 5.1 – Networking をご参照ください。

http://www.vmware.com/files/
pdf/techpaper/Whats-New-VMware-vSphere-51-Network-Technical-Whitepaper.pdf

Virtual Tunnel End Point

Virtual Tunnel End Point (VTEP) は、VXLAN 設定プロセスの一部として、全てのホスト上で設定されます。VTEP は、次の 3 つのモジュールから成ります。

  1. vmkernel モジュール : VTEP 機能は VDS の一部で、VMware Installation Bundle (VIB) としてインストールされます。このモジュールはフォワーディング テーブルのメンテナンスとパケットのカプセル化とカプセル除去を含めた、VXLAN データパス処理を担当します。
  2. vmknic 仮想アダプター : このアダプターは、マルチキャストの参加、DHCP や ARP リクエストのレスポンスを含めたVXLANコントロール トラフィックを運ぶために使われます。
  3. VXLAN ポートグループ : 物理 NIC、VLAN 情報、チーミング ポリシー等を含めて最初の VXLAN 設定プロセス中に設定されます。

それぞれの vSphere ホストの VTEP には、vmknic 仮想アダプタに設定される固有の IP アドレスを付与し、ホスト間の通信トンネルを確立し、VXLAN トラフィックを運ぶために使われます。

VMware vClound Networking and Security Edge ゲートウェイ

VMware vCloud Networking and Security Edge ゲートウェイは、境界のファイアウォール、DHCP、NAT、VPN、ロードバランサ、VXLAN ゲートウェイ機能のような拡張ネットワーク サービスを持つ仮想アプライアンスです。

vCloud Networking and Security Edge ゲートウェイの VXLAN ゲートウェイ機能は、VXLAN ネットワーク デザインをする上での主要なコンポーネントの一つです。vCloud Networking and Security Edge ゲートウェイは、VXLAN と VXLAN でない環境間でのゲートウェイとして動作します。次のような場合に使われます。

  1. 論理 L2 ネットワークに接続される仮想マシンが物理サーバと会話しなければならない、もしくはホスト上で動作する仮想マシンが VXLAN をサポートしていない場合、トラフィックは vCloud Networking and Security Edge ゲートウェイが接続性を提供します。
  2. 1 つの論理 L2 ネットワークにある仮想マシンが他の論理 L2 ネットワーク上の仮想マシンと会話しなければならない場合、vCloud Networking and Security Edge ゲートウェイが接続性を提供します。

vCloud Networking and Security Edge ゲートウェイは、アクティブ-スタンバイ構成と最大 10 のインターフェースを持つことができる高可用性のある仮想アプライアンスです。Compact (小)、Large (中)、X-Large (大) の3つのサイズを提供しており、サイズを変更するオプションで、この仮想アプライアンスをスケールアップすることができます。また、複数の仮想アプライアンスを使うスケールアウト構成もできます。

次回は、設定について、ご紹介します。