仮想化が進むと、今までの物理の世界で見えていた世界と変わり、物理に紐付かない見えない世界が広がるため、運用やトラブルシューティングのために可視化がますます望まれています。
VMware が考える Virtual Cloud Network のビジョンのなかで vSphere や NSX Data Center で構成されるネットワークに可視化を提供する製品が vRealize Network Insight (vRNI) で、オンプレミスの環境を中心に機能を拡充してきましたが、ニーズに合わせたおおよそ四半期ごとにリリースで、現在はパブリッククラウドやハイブリッドクラウド、また VMware SD-WAN によるブランチサイトの仮想化も提供しています。
まず、vRNI を使用すると、リアルタイムのトラフィックをマップし、セキュリティ・グループとファイアウォール・ルールをモデル化して、マイクロセグメンテーションのためのセキュリティポリシーをうまく実装するためのネットワークフロー解析により、マイクロセグメンテーションの導入や、パフォーマンスと可用性の向上にも役立ちます。
そして、仮想および物理的なコンピュート、ストレージ、ネットワークのコンポーネントを相関的に見せることで、インフラストラクチャの全体像を把握することもできます。
さらに、これまではインフラの上で動いているワークロード(VM やコンテナ)を重視していましたが、いくつかのワークロードで機能しているアプリケーションの視点も提供するようになりました。
このような機能を提供するために、vSphere や NSX、物理環境、コンテナ環境、VMware SD-WAN、パブリッククラウドに対応し、可視化したい場所をデータソースとして登録します。
簡単なアーキテクチャとしては、プラットフォームとコレクタ(以前の名前はプロキシ)の 2 つのコンポーネントから成り、コレクタがデータソースから構成およびデータを収集、プラットフォームがそれをまとめあげてユーザが情報を取得したり、ブラウザを接続してグラフ等を表示するための接続を提供します。
また、同じアーキテクチャで、プラットフォームをクラウド (SaaS) で提供する、vRealize Network Insight Cloud(vRNI Cloud) がすでに、日本を含めた 4 箇所で、ご利用いただけます。
vRNI と vRNI Cloud は同じアーキテクチャなので、どちらの提供形態が利用しやすいかによってご選択いただけます。
それでは vRNI が 3 つの視点からどのように利用ができるのか、具体的にご紹介していきたいと思います。
ユースケース
ユースケース 1 – アプリケーション
最初は、アプリケーション視点でのユースケースです。
アプリケーションは、基本的に様々な役割を持つサーバがやりとりすることでサービスを提供します。
同じ役割のサーバ(仮想マシンや物理 IP アドレス等)の集合体を、vRNI では階層として定義することができ、階層内、階層間、またアプリケーション間のトラフィックフローを可視化し、分析を提供できます。
例えばシンプルな 3 層アプリケーションの例では、ユーザインターフェースのための Web 層に Web サーバ、ビジネスロジックのための App 層にアプリケーションサーバ、データアクセスのための DB 層にデータベースサーバが存在します。
vRNI はこのようなアプリケーションを、条件をもとに手動で作成、もしくは属性や構成管理データベース (CMDB)、ネットワークフローをもとに自動で検出できます (ネットワークフローによる自動検出は、現在 vRNI Cloud でのみ提供)。
アプリケーションが作成・検出されると、それを見やすい形でまとめ(キュレート)、様々な角度から利用することができます。さらに、VMware HCX とのインテグレーションによって、アプリケーション単位での移行に使ったり、構成管理データベースに情報を提供したり、特定の状況、問題が発生した場合にアラートやイベントを通知します。
では実際にどのような使い方ができるのか、ご紹介していきたいと思います。
モニター: アプリケーションの状況を把握
アプリケーションの構造と通信と可視化できます。
例えば、次のような情報が確認できます。
アプリケーションの概要とトポロジ
- 階層構造
- 構成されている仮想マシン
- 依存するまたは使用する物理 IP アドレス
- 共有サービス
- アプリケーションの通信先アプリケーション
- 関連するイベント
直近 24 時間の最新情報
- 受信または送信トラフィック
- ドロップされたフロー
- 新規および新規で保護されていないメンバー
- アクセスが発生した外部サービス
- インターネットからアクセスされたサービス
- 使用されたアプリケーションのポート
トラフィックフロー (直近 24 時間)
- フロー量に基づくアプリケーション内の上位通信メンバー(仮想マシンまたは IP アドレス)
- ファイアウォールルールが適用された上位のアプリケーションフロー
マイクロセグメンテーション
- 階層のようなエンティティ間のフローについて、すべての許可されたフロー、ドロップされたフロー、保護対象の許可されたフロー、保護対象でないフローなど、様々なタイプのデータ
- 通信の分散状況 (East-West トラフィックの割合や実際のトラフィックなど)
メトリック
- 仮想マシン、または Kubernetes のネットワークトラフィックレート
安全性: アプリケーションの安全性を確認
NSX によって設定されたマイクロセグメンテーションが想定どおり機能しているのか、ドロップしているのはどんなトラフィックか、最後に任意から任意へのトラフィックを許可するルールが使われていた場合、そのルールを通ったトラフィックがあるのか、あった場合はどんなトラフィックなのか、を確認したり、アプリケーションがやりとりしている国を確認したりすることができます。
移行: アプリケーションを移行する場合の影響範囲を把握
アプリケーションを VMware HCX を使って移行する場合に、アプリケーションのまとまりを HCX の機能の Mobility Group に API/ スクリプトで連携することが可能です。
また、移行前にどれくらいのトラフィック量が流れていて、移行先への移動による通信影響や、アプリケーション内やアプリケーション間の通信を把握することで、移行後の切り戻しのリスクを低減することが可能です。
コンプライアンスチェック: インフラのPCI-DSSコンプライアンスチェックとレポート
vRNI はこの記事時点の最新の PCI-DSS コンプライアンスチェック機能を提供しており、特定のアプリケーションに対してチェックし、それをレポートとして PDF ファイル(日本語)にエクスポートすることが可能です。
分析: アプリケーション内の上位通信をフローの観点で表示
フローボリューム、トラフィックレート、セッション数、フロー数別に上位通信を表示し、アプリケーション特性の把握に利用できます。
パフォーマンス分析: TCP のラウンドトリップタイムの変化と外れ値の分析
指定した期間のネットワークパフォーマンスの変化を分析し、TCP ラウンドトリップタイムの変化をグラフ表示したり、パフォーマンスに関わる外れ値(異常値)を確認できます。
トラブルシューティング: 問題発生時に原因の特定を援助
アプリケーション内の劣化したフローや、問題が発生しているエンティティを把握し、迅速なトラブルシューティングに役立てていただくことが可能です。下記はその一例です。
このように、以前から vRNI が提供してきた機能に加え、様々な機能や可視化をアプリケーションに対して提供しています。
次回は vRNI の別のユースケースをご紹介したいと思います。
