ネットワーク仮想化と VMware NSX は統合により視認性を大きく改善する
※この記事は、2013年10月15日の Brad Hedlund による記事の翻訳版です。
記事の概要
これまで VMware NSX に関する議論の多くは、優れた俊敏性と、完全に自動化されたネットワーク プロビジョニングという VMware NSX の主要な特性に関するものでした。仮想マシンと同等のスピードおよび可搬性を備え、完全な機能を持った L2 ~ L7 仮想ネットワークをソフトウェア コンテナ内に作成する機能です。これは非常に重要な機能ですが、同じくらい重要な機能がほかにもあります。それは、ネットワーク仮想化と VMware NSX が Software-Defined Data Center 時代の運用における視認性を大きく変革するという点です。
統合による新たな視認性
ネットワークとコンピューティングの統合は、別々でありながら密接に関連するこの 2 つのサービスを安定して共存させる理想的なアーキテクチャによって実現されています。まだあまり注目されていませんが、この統合は本質的に視認性を向上します。理由は簡単で、プラットフォームが 1 つになることで、同期された統合ビューで複数のサービスとそれらの関係をリアルタイムで確認できるためです。1 か所から確認できるようになることで、これまで考えられていた以上に高度なアプリケーションと運用ツールを実現できます。
VoIP 端末により実現した音声とデータの統合、および接続制御のソフトウェアを例として考えてみましょう。データ端末と音声利用者の関係を 1 か所で確認できるようにすることで、マルチメディア、場所情報、在席情報などの充実したサービスを利用したコラボレーションが実現しました。音声 / データの統合によるメリットは最終段階にならないとわからないかもしれませんが、インフラの統合では初期段階で明らかなメリットがあります。
VMware NSX によって実現するネットワークの仮想化は、異なるサービスでありつつ密接に関連している複数の仮想サービス (仮想コンピューティング、仮想ネットワーク、および物理ネットワーク ファブリック) の統合につながります。俊敏性に優れ、自動化されたネットワーク プロビジョニングの初期段階のメリットは明らかであり、とても重要です。ただし、繰り返しますが、あまり目立ちませんが同様に重要なメリットである、サービスの視認性の向上も実現するでしょう。ネットワーク仮想化と VMware NSX を使えば、単一のプラットフォームで、アプリケーション環境、アプリケーションが使用する完全な L2 ~ L7 ネットワーク サービス、およびサーバが転送される物理ネットワーク ファブリックを詳細にわたって確認することができます。
この統合と視認性を実現する理想的なプラットフォームは、ハイパーバイザー、およびそれに対応するプログラム可能なソフトウェア仮想スイッチです。ハイパーバイザーは、仮想マシン (アプリケーション)、仮想ネットワーク、物理ネットワーク、およびストレージ アクセスのちょうど中間に位置付けられます。VMware NSX は、ハイパーバイザー内でこの戦略的な位置付けを十分に活用します。また、統合制御ソフトウェアを通じて、個々のアプリケーション、それらが利用する L2 ~ L7 ネットワーク サービス、および物理ネットワーク間の流動的な関係を、NSX では 1 か所からまとめて測定および確認できるようになります。
シンプルな例として、ロード バランシング サービスに関連付けられた N 台の仮想マシンの階層からなるアプリケーションを考えてください。単一の API で次のことができます。各仮想マシンと対応するロード バランサの物理的な場所を確認できます。ロード バランサと各仮想マシン間のトラフィックを測定してプロファイルを作成できます。ロード バランサと各仮想マシン間の物理ネットワーク接続の問題を検出してフラグを付けることができます。仮想ネットワーク ポート上の構成エラーを検出してフラグを付けることができます。影響があるインスタンスを特定できます。ロード バランサ インスタンスの負荷と健全性を確認できます。ポート カウンタとフル パケット キャプチャを利用しながらトラフィックを監視できます。ベースラインまたはテンプレートとの比較をこれらすべての特性について行えます。アプリケーション特有のビューを、関連するアプリケーションの所有者とネットワーク運用担当者に提示できます。包括的で目的を絞った視認性により、ノイズの中からより多くのシグナルを抽出できるようになります。
トラブルシューティング
統合によりトラブルシューティングの基盤も強化されます。相互に依存する複数のドメインを単一のプラットフォームで確認できると、問題があるドメインを迅速に識別するための出発点とすることができます。VMware NSX はハイパーバイザー内で理想的な場所に配置されています。相互に依存する 2 つのドメイン、つまり仮想ネットワークと物理ネットワークの重要な接点です。VMware NSX では、完全な L2 ~ L7 仮想ネットワークの健全性と状態を確認できます。また、VMware NSX はすべてのハイパーバイザー仮想スイッチおよびゲートウェイ間の物理ネットワーク (トンネル健全性プローブあり) の健全性を常にテストしており、API クエリと NSX Manager のヒート マップを通じてリアルタイムで確認できます。
たとえば、物理ネットワークの問題が原因で接続の問題が発生している場合、VMware NSX は直ちにこれを検出し、影響のあるハイパーバイザーと仮想マシンを特定できます。トラブルシューティング対象のドメインを迅速に特定し (物理環境)、問題の範囲を調査して、作業に着手するためのより実用的な情報を得られます。また、接続の問題が仮想ネットワーク内だけに存在する場合を考えます。ACL またはファイアウォール ルールの構成ミスが原因の可能性があります。VMware NSX はこれが物理ネットワークの問題ではないことを直ちに識別します。仮想ネットワーク (TraceFlow & Port Connections) を通じてトラフィックを挿入 / 追跡するツールを提供し、仮想スイッチおよびトラフィックをドロップしている ACL を特定します。
仮想ネットワーク内のブロックされているフローの統合管理
VMware NSX for vSphere のブロックされているフローの監視
例として (上図)、VMware NSX for vSphere で提供される Flow Monitoring ツールでは、仮想ネットワーク内でファイアウォール ルールが適用されているすべてのフローに対するグローバルなビューを提供します。これにより、トラブルシューティングの際に、仮想ネットワークのどこかでブロックされた個別のフローに関する詳細情報 (リアルタイムまたは履歴) を確認できます。詳細情報には、関連するアプリケーションのタイプ、ソースとターゲット、時刻、および特定のルールが含まれます。この情報はいつでも数クリックで確認できます。
この分析機能はすべて、プログラム可能な単一のインターフェイスである NSX API を通じて利用できます。VMware はすでに既存の運用ツールを拡張して、vCenter Operations Manager や Log Insight などで NSX API を活用できるようにしています。また、パートナーはすでに NSX との連携に着手し、優れたツールを拡張して、仮想ネットワークと物理ネットワークを可視化し、関連付けようとしています。いくつか例を見てみましょう。
トラフィック フローを可視化し、仮想ネットワークと物理ネットワークを関連付ける
ハイパーバイザー内では、VMware NSX は仮想コンピューティング レイヤーのアプリケーションに隣接しており、フローのすべてを直接確認できます。また、NSX がキャプチャしたフロー データのすべては、標準インターフェイス (IPFIX) を使用して監視ツールにエクスポートできます。この監視ツールは標準フロー データを物理ネットワークから収集することもできます。また、任意の標準インフラストラクチャ ハードウェア上で仮想 / 物理フローを関連付けて統合ビューに表示できます。
たとえば、VMware NSX は NetFlow Logic および Splunk (上図) と容易に連携できます。VMware NSX および ToR (Top of Rack) スイッチから取得した標準 IPFIX と NetFlow のエクスポートを単純に集約して関連付けることで、仮想ネットワークと物理ネットワーク上を流れるトラフィックを可視化します。トラフィック量が多いフローを確認できます。トラフィック ソースを選択して、そのやり取りの仮想ネットワークと物理パスを確認できます。たとえば (上図)、やり取りを 1 つ選択して、そのトラフィックの仮想と物理の詳細 (例: ソース VM IP アドレス > ソース Hypervisor IP アドレス > ソース ToR スイッチと入力ポート > 仮想ネットワーク VXLAN ID > ターゲット ToR スイッチと出力ポート > ターゲット Hypervisor IP アドレス > ターゲット VM IP アドレス > Tx/Rx 接続状態 > 時刻ごとの使用帯域 を確認できます。
物理および仮想ネットワーク トポロジを可視化して関連付ける
VMware NSX は、任意の仮想マシンの物理的な位置および接続されている完全な L2 ~ L7 仮想ネットワーク トポロジを常に認識します。また NSX は、ハイパーバイザーの運用状態、およびNSX アプライアンスのネットワークの健全性と統計情報を確認できる標準 SNMP インターフェイスを提供します。NSX API および SNMP を介してこの情報に容易にアクセスできるので、物理ネットワーク管理ツールが、仮想ネットワークとその運用状態の詳細情報を取得するのは非常に簡単です。
例として、EMC Smarts を使えば、VMware NSX API と連携して、物理ネットワーク トポロジを VMware NSX 仮想ネットワーク トポロジと組み合わせて関連付け、依存関係のマップを作成することができます。上図の例では、ラックの一番上にある特定のスイッチに問題が発生している場合、影響があるテナント、アプリケーション、仮想ネットワーク、およびハイパーバイザーのマップを確認できることがわかります。別の例として、詳細にわたって仮想 / 物理ネットワークの可視化および関連付けを行う Riverbed 社の Cascade ソリューションも開発されています。
包括的なダッシュボードと Log Insight による分析
VMware NSX は多くの運用データを生成します。それらはすべて標準の Syslog データを使用してエクスポートできますし、NSX API を使用してもアクセスできます。例として、VMware Log Insight という複数の VMware プラットフォームにまたがるマシンのデータを集約して分析することができるソリューションを使うと、VMware NSX のデータも分析することができます(下図)。
VMware NSX は、vCenter Operations Manager (下図) や Log Insight (上図) などの既存の VMware の運用ツールと密接に連携します。これによりさまざまな機能 (パフォーマンス分析とアクセス プロセスのリアルタイムでの関連付け、仮想マシンと仮想ネットワーク インターフェイスの統計情報、物理ネットワーク インターフェイスの統計情報、ネットワークの健全性、物理ネットワーク フローのログ、予測的な根本原因分析の機能など) が提供され、任意の標準ネットワーク ファブリックにまたがって問題を迅速に診断するための、完全な運用上の視認性が得られます。これらの強力なツールは、コンピューティング チームとネットワーク チームが共同で利用することになると想定しています。
vCenter Operations Manager による包括的な監視と根本原因分析
VMware vCenter Operations Manager も、VMware NSX API でアクセスできる豊富なネットワーク情報を利用できるように拡張されました。
VMware NSX の統合は vCenter Operations Manager (上図) に組み込まれており、NSX のネットワークの視認性のデータは、既存のコンピューティングおよびストレージの運用データと統合されます。それにより、仮想インフラストラクチャ全体の状態を確認し、トラブルシューティングに利用できる、単一の包括的なツールが形成されます。たとえば、ハイパーバイザーの CPU、ストレージ、ネットワークの健全性ヒート マップなどが、通常のしきい値を動的に認識し、異常を検知します。また、詳細なメトリックまで掘り下げて、根本原因分析のためにイベントを関連付けます。
視認性と機能による大きな変革
VMware NSX により実現した全体的な視認性は、それ自体が重要なメリットといえます。ただし、遠隔監視や L2 ~ L7 ネットワーク サービスなどのハイパーバイザー仮想スイッチ レイヤーでの高度な機能と組み合わせると、以前は考えられなかったツールが提供されるようになります。それが、Software-Defined Data Center にメリットをもたらす運用機能の変革の始まりとなります。また、既存の監視ツール (IPFIX、sFlow、ERSPAN、SNMP、Syslog) は VMware NSX 用に拡張され、パケットに入口となるソース (ハイパーバイザー仮想スイッチ) で収集された、全体的な視認性に関する情報を取得します。ソースは、仮想環境で測定およびキャプチャするためのより重要な場所です。
パケット検査から詳細なアプリケーション セマンティクスへ
数十年間、ネットワークの運用では、「視認性」 についてはパケット ヘッダの検査で十分でした。パケット ヘッダを検査するネットワーク スイッチがセキュリティ ポリシー (ACL) や QoS (サービス品質) の役割を果たしていたのでしょう。あるいはトラフィックを識別するために監視ツール上のパケット ヘッダを調査している運用担当者がその役割を担っていたのかもしれません。どちらにしろ、ポリシーと視認性は、パケット ヘッダに含まれる基本的な情報と同じくらいの重要性しかありませんでした。たとえば、トラフィックが正当なアプリケーション プロセスからのものか、問題または異常のあるプロセスからのものかは識別できませんでした。インスタンスに提供されたトラフィックが、実際に健全なアプリケーション プロセスで使用されたものかどうかはわかりませんでした。ユーザー名、組織、アプリケーションのバージョン、ライフサイクル (開発 / テスト / 本番) などは識別できませんでした。物理ネットワークにおけるパケット ヘッダの 「視認性」 には、(設計上でも) アプリケーション環境に関して有用な詳細情報は含まれていませんでした。
対照的に、VMware NSX は、完全な L2 ~ L7 仮想ネットワークとハイパーバイザーの統合を通じて、仮想コンピューティング レイヤーにあるアプリケーション セマンティクスとメタデータに対する詳細な視認性を確保します。
アプリケーション固有で ID に対応した視認性 (アクティビティの監視)
VMware NSX for vSphere は、アプリケーションに関連するネットワーク アクティビティを、仮想マシン上の個々のプロセス レベルで監視できます。仮想マシンは、トラフィック (上図)、ユーザー ID、組織グループ、アプリケーションのバージョン、所有者権限、オペレーティング システムなどの情報を送受信しています。たとえば、特定のアプリケーション プロセスに送信されたトラフィック、特定のマシン セットに向けたトラフィック、特定の Active Directory グループから送信されたトラフィックに焦点を絞ることができます。仮想コンピューティングに深く組み込まれた仮想ネットワーク プラットフォームだけが、このような、アプリケーションに関連した視認性を容易に提供できます。監視は始まりにすぎません。このレベルの視認性は、より高度なアプリケーション テンプレート、振る舞いに関するプロファイル、およびセキュリティ ポリシーを作成するために使用できます。
アプリケーションに関連する視認性はたしかに素晴らしいものですが、特定の仮想マシンが送信 / 受信している任意のトラフィックまたはすべてのトラフィックを迅速に確認する必要がある場合があります。パケット ヘッダの検査は、この目的ではもちろん現在でも有用なツールで、VMware NSX を使用することによる制約はありません。実際、ハイパーバイザーでの位置付けにより、NSX は任意の仮想マシンのステートフル トラフィック フローを、仮想ネットワーク インターフェイス (仮想 NIC) で直接、リアルタイムで選択的に分析できます。
仮想マシンのネットワーク インターフェイスでの直接的なリアルタイムのステートフル フロー監視 (Live Flow)
たとえば、VMware NSX for vSphere では、組み込みツールである Live Flow による監視機能 (上図) が提供されます。これにより、単純に任意の仮想マシンのネットワーク インターフェイスを選択して、(リアルタイムで) すべてのフローとその状態の概要を確認できます。対象の仮想マシンにおけるすべてのフローの完全な詳細情報を確認できます。詳細情報には、各フローの方向、フローごとのバイト数とパケット数、各フローで許可されているファイアウォール ルール、IP アドレスとポート番号、および各接続の状態が含まれます。追加の手順は必要ありません。リモート ツールへのフル パケット キャプチャの構成や、自分の仮想マシンに割り当てられる IP アドレスの調査は必要ありません。対象のネットワーク トラフィックの視認性に対するシンプルなタスクのために、VMware NSX はシンプルなツールを提供します。この情報はいつでも数クリックで確認できます。
フル パケット キャプチャが必要な場合は、任意の仮想マシンの仮想ネットワーク ポートから直接リモート監視システムに対して、SPAN / RSPAN / ERSPAN を使用してポート ミラーリングを選択的に確立できます。また、物理ネットワーク上のポートからのパケットをキャプチャする必要がある状況では、現在は多くの管理ツールが Wireshark などの VXLAN のフィルタを提供しており、それによりトンネル パケットを容易にデコードできます。
セキュリティ ポリシーとコンプライアンスの視認性
もちろん、「視認性」 とはネットワーク トラフィックを確認して把握することだけではありません。トラブルシューティングは、ネットワークの仮想化によりもたらされる包括的な視認性からメリットを享受できる多くの重要な分野の 1 つです。例として、コンプライアンスのためにセキュリティ ポリシーの監査を行うタスクを考えてください。このために、VMware NSX for vSphere は Service Composer と呼ばれる組み込みツールを使用して、リアルタイムのアプリケーション セキュリティ ポリシーを確認し、定義するための代表的な手段を提供します。
セキュリティ ポリシーとアプリケーションの分離に対するリアルタイムでの統合された視認性
Service Composer の [Canvas] ビューには、作成したセキュリティ グループ、各グループのオブジェクト、および各グループに適用されたサービス (ステートフル ファイアウォール分離など) が表示されます。たとえば (上図)、PCI アプリケーションのセキュリティ グループがあり、IT アプリケーションからの厳格な分離ポリシーが構成されています。これは、PCI コンテナのファイアウォールのアイコンをクリックするだけで確認できます。この分離は、ハイパーバイザー内の VMware NSX 分散配置されたカーネルのステートフル ファイアウォールにより適用され、中央のビューにリアルタイムで表示されます。
将来的な展望: 測定とインテリジェントな最適化
今日のプラットフォームの機能、統合、および視認性の堅牢な基盤は、ソフトウェアにより完全に実現されています。さらなる機能、また任意の標準ハードウェアやネットワーク アーキテクチャ上でそれを実現するスピードに期待しています。
End-to-End の遠隔監視
運用の視認性を最大限実現するための重要なツールは End-to-End の測定です。あるアプリケーション トラフィックのソースと目的を確認することに加え、特定の期間における、 アプリケーションのパフォーマンス プロファイルと振る舞いについて知りたい場合があります。真の End-to-End の遠隔測定法とは、可能な限りデータ ソースに近づいて測定することです。その点で、VMware NSX はトラフィックのソースで理想的な位置にあります (仮想コンピューティング レイヤーに深く組み込まれている)。また、ハイパーバイザー内でフロー ベースの仮想スイッチで遠隔監視を実装しています。つまり、任意の 2 つの端末間における任意のやり取りは、直接ソースとターゲット (ハイパーバイザー仮想スイッチ) で説明、測定、およびマークすることができます。
Network DRS
ハイパーバイザーの VMware NSX 仮想スイッチは、カーネル ファスト パス内の L2 ~ L4 ネットワーク サービスに対応しています。レイヤー 2 スイッチ、レイヤー 3 ルーティング、双方向のステートフル ファイアウォール、ACL、QoS などがすべて、x86 マシンの速度で、ハイパーバイザー カーネル内でローカルで処理されます。前述したアプリケーションの認識と End-to-End の遠隔監視とを組み合わせることで、ワークロードの配置をインテリジェントに最適化し、アプリケーションで可能な最高のパフォーマンスを実現するのに必要なすべての情報と機能が得られます。
たとえば、マルチ ティア アプリケーションにおいて、レイヤー 3 ルーティングとファイアウォール セキュリティにより分離された 2 つの仮想マシン間の重要なトラフィックを、End-to-End の遠隔監視により測定する場合を考えてください。この情報により、仮想コンピューティング レイヤーは、最適化されたパフォーマンスとそのトラフィックを物理ネットワークから削除するというメリットを実現するために、2 つの仮想マシンを同一のハイパーバイザーに移行することを決定できます。つまり最適な配置は最適なパス(経路)より優れています。
物理ネットワーク接続の問題が特定のハイパーバイザー間の問題を引き起こす別のシナリオを考えてください。VMware NSX は常に物理ネットワークの健全性をテストしているので、問題を迅速に発見できるだけでなく、影響があるハイパーバイザー、ネットワーク サービス、および仮想マシンを特定できることを思い出してください。物理ネットワークの課題に対応しながら、仮想コンピューティング レイヤーがこの情報を活用して、影響のある仮想マシンを、影響のない別のハイパーバイザーにプロアクティブに移行することができます。End-to-End の遠隔測定法はアクションが実際に役に立ったかどうかをあとで検証できます。
エレファント フローの検出と応答
Network DRS の別の例は、VMware NSX のフロー ベースのハイパーバイザー仮想スイッチ内の End-to-End の遠隔監視が、特定のフローを 「エレファント」 として検出し、プロファイリングするシナリオです。「エレファント」 とは、寿命は短いが重要な小さなフロー「マウス」を、無意識に踏みつける、寿命の長い大きなフローのことです。全体的に、確認対象となる可能性があるフローが多いので、VMware NSX は、この遠隔測定法がハイパーバイザー仮想スイッチ全体に分散されるように理想的に配置されています。各ハイパーバイザー仮想スイッチは自身のローカル トラフィックの一部を測定します。エレファント フローが検出されたら、タグ付けされ、処理されます。処理の内容は、重要な小さなフローから離れるように移行する、視認性とネットワーク ファブリックのポリシーのために QoS のマークを適用する、などです。
任意のハードウェア、クラウド、およびハイパーバイザーに対する視認性
もちろん、ここまで話したことはすべて、ソフトウェア プラットフォームである VMware NSX により実現されます。VMware NSX は、任意のネットワーク ハードウェア、任意のハイパーバイザーで動作し、任意のクラウド ポータルからプロビジョニングされ、任意のアプリケーションに対応するように設計されています。ハードウェアに依存しないソフトウェアにより、運用の視認性とツールの機能の両方の一貫性が保たれ、インフラストラクチャのライフサイクルを通じてさまざまなハードウェアとネットワーク アーキテクチャ上で正規化されます。
今後について
VMware NSX は現在一般公開されており、VMware およびパートナーの運用ツールと強固に連携しています。この記事は、長期的視点で見ると、SDDC 向けの運用ツールの変革において VMware NSX ができることのほんの一部に触れただけにすぎません。VMware では引き続き、このプラットフォームとネットワークの未来を形作るのに役立つ、お客様からの貴重なフィードバックをお待ちしております。ご協力よろしくお願いします。
