vRealize Network Insight NSX Data Center ネットワーク 製品

vRealize Network Insight – ユースケース 1

仮想化が進むと、今までの物理の世界で見えていた世界と変わり、物理に紐付かない見えない世界が広がるため、運用やトラブルシューティングのために可視化がますます望まれています。

VMware が考える Virtual Cloud Network のビジョンのなかで vSphereNSX Data Center で構成されるネットワークに可視化を提供する製品が vRealize Network Insight (vRNI) で、オンプレミスの環境を中心に機能を拡充してきましたが、ニーズに合わせたおおよそ四半期ごとにリリースで、現在はパブリッククラウドやハイブリッドクラウド、また VMware  SD-WAN によるブランチサイトの仮想化も提供しています。

 

まず、vRNI を使用すると、リアルタイムのトラフィックをマップし、セキュリティ・グループとファイアウォール・ルールをモデル化して、マイクロセグメンテーションのためのセキュリティポリシーをうまく実装するためのネットワークフロー解析により、マイクロセグメンテーションの導入や、パフォーマンスと可用性の向上にも役立ちます。

そして、仮想および物理的なコンピュート、ストレージ、ネットワークのコンポーネントを相関的に見せることで、インフラストラクチャの全体像を把握することもできます。

さらに、これまではインフラの上で動いているワークロード(VM やコンテナ)を重視していましたが、いくつかのワークロードで機能しているアプリケーションの視点も提供するようになりました。

このような機能を提供するために、vSphere や NSX、物理環境、コンテナ環境、VMware SD-WAN、パブリッククラウドに対応し、可視化したい場所をデータソースとして登録します。

 

 

簡単なアーキテクチャとしては、プラットフォームとコレクタ(以前の名前はプロキシ)の 2 つのコンポーネントから成り、コレクタがデータソースから構成およびデータを収集、プラットフォームがそれをまとめあげてユーザが情報を取得したり、ブラウザを接続してグラフ等を表示するための接続を提供します。

 

また、同じアーキテクチャで、プラットフォームをクラウド (SaaS) で提供する、vRealize Network Insight Cloud(vRNI Cloud) がすでに、日本を含めた 4 箇所で、ご利用いただけます。

 

 

vRNI と vRNI Cloud は同じアーキテクチャなので、どちらの提供形態が利用しやすいかによってご選択いただけます。

それでは vRNI が 3 つの視点からどのように利用ができるのか、具体的にご紹介していきたいと思います。

 

ユースケース

ユースケース 1 – アプリケーション

 

最初は、アプリケーション視点でのユースケースです。

アプリケーションは、基本的に様々な役割を持つサーバがやりとりすることでサービスを提供します。
同じ役割のサーバ(仮想マシンや物理 IP アドレス等)の集合体を、vRNI では階層として定義することができ、階層内、階層間、またアプリケーション間のトラフィックフローを可視化し、分析を提供できます。

例えばシンプルな 3 層アプリケーションの例では、ユーザインターフェースのための Web 層に Web サーバ、ビジネスロジックのための App 層にアプリケーションサーバ、データアクセスのための DB 層にデータベースサーバが存在します。

vRNI はこのようなアプリケーションを、条件をもとに手動で作成、もしくは属性や構成管理データベース (CMDB)、ネットワークフローをもとに自動で検出できます (ネットワークフローによる自動検出は、現在 vRNI Cloud でのみ提供)。

アプリケーションが作成・検出されると、それを見やすい形でまとめ(キュレート)、様々な角度から利用することができます。さらに、VMware HCX とのインテグレーションによって、アプリケーション単位での移行に使ったり、構成管理データベースに情報を提供したり、特定の状況、問題が発生した場合にアラートやイベントを通知します。

 

 

では実際にどのような使い方ができるのか、ご紹介していきたいと思います。

 

モニター: アプリケーションの状況を把握

アプリケーションの構造と通信と可視化できます。
例えば、次のような情報が確認できます。

アプリケーションの概要とトポロジ

  • 階層構造
  • 構成されている仮想マシン
  • 依存するまたは使用する物理 IP アドレス
  • 共有サービス
  • アプリケーションの通信先アプリケーション
  • 関連するイベント

直近 24 時間の最新情報

  • 受信または送信トラフィック
  • ドロップされたフロー
  • 新規および新規で保護されていないメンバー
  • アクセスが発生した外部サービス
  • インターネットからアクセスされたサービス
  • 使用されたアプリケーションのポート

トラフィックフロー (直近 24 時間)

  • フロー量に基づくアプリケーション内の上位通信メンバー(仮想マシンまたは IP アドレス)
  • ファイアウォールルールが適用された上位のアプリケーションフロー

マイクロセグメンテーション

  • 階層のようなエンティティ間のフローについて、すべての許可されたフロー、ドロップされたフロー、保護対象の許可されたフロー、保護対象でないフローなど、様々なタイプのデータ
  • 通信の分散状況 (East-West トラフィックの割合や実際のトラフィックなど)

メトリック

  • 仮想マシン、または Kubernetes のネットワークトラフィックレート

 

安全性:  アプリケーションの安全性を確認

NSX によって設定されたマイクロセグメンテーションが想定どおり機能しているのか、ドロップしているのはどんなトラフィックか、最後に任意から任意へのトラフィックを許可するルールが使われていた場合、そのルールを通ったトラフィックがあるのか、あった場合はどんなトラフィックなのか、を確認したり、アプリケーションがやりとりしている国を確認したりすることができます。

 

移行: アプリケーションを移行する場合の影響範囲を把握

アプリケーションを VMware HCX を使って移行する場合に、アプリケーションのまとまりを HCX の機能の Mobility Group に API/ スクリプトで連携することが可能です。
また、移行前にどれくらいのトラフィック量が流れていて、移行先への移動による通信影響や、アプリケーション内やアプリケーション間の通信を把握することで、移行後の切り戻しのリスクを低減することが可能です。

 

コンプライアンスチェック:  インフラのPCI-DSSコンプライアンスチェックとレポート

vRNI はこの記事時点の最新の PCI-DSS コンプライアンスチェック機能を提供しており、特定のアプリケーションに対してチェックし、それをレポートとして PDF ファイル(日本語)にエクスポートすることが可能です。

 

分析: アプリケーション内の上位通信をフローの観点で表示

フローボリューム、トラフィックレート、セッション数、フロー数別に上位通信を表示し、アプリケーション特性の把握に利用できます。

 

パフォーマンス分析: TCP のラウンドトリップタイムの変化と外れ値の分析

指定した期間のネットワークパフォーマンスの変化を分析し、TCP ラウンドトリップタイムの変化をグラフ表示したり、パフォーマンスに関わる外れ値(異常値)を確認できます。

 

トラブルシューティング: 問題発生時に原因の特定を援助

アプリケーション内の劣化したフローや、問題が発生しているエンティティを把握し、迅速なトラブルシューティングに役立てていただくことが可能です。下記はその一例です。

このように、以前から vRNI が提供してきた機能に加え、様々な機能や可視化をアプリケーションに対して提供しています。

 

次回は vRNI の別のユースケースをご紹介したいと思います。