NSX SD-WAN by VeloCloud VMware SD-WAN ネットワーク

Microsoft Teams / Zoom 揃い踏み:最適化パックを使った VDI 環境と SD-WAN 利用でリモートワークをより快適に

気がつけば2021年、昨年は未曾有の環境変化に右往左往させられてしまった感が否めませんが、皆さまいかがお過ごしでしょうか?振り返れば我々VMwareの社員もリモートワークの比率が急激に高まったことにより、お客さまと直接お会いしてお話できない寂しさあり、通勤がなくなった事によるストレスフリー化もあり、でもその分オンラインミーティングがすし詰めになってくる事による目が回るような忙しさもあり、、、などなどいろいろ複雑な気持ちがない混ざりますが、それもこれもICTの進化による恩恵の結果であり良くも悪くも時代に応じた環境変化とICTの普及は密接に絡んで進むのだなあ、などと止め処もない普通の感想に改めて帰着したりもします。

今回はそんな昨今、ご相談いただくことが多くなってきた弊社Horizon VDI環境におけるオンライン会議システムの利用効率化と、そこに対するネットワーク的な補佐のお話をご紹介させていただきます。

最適化パックの登場

以前、Office365(現Microsoft 365)利用に対するVMware SD-WANの併用効果測定試験を日本マイクロソフトさまと協同で試験させていただく機会をもたせていただき、結果を Microsoft さまとの協同ホワイトペーパーとしてまとめさせていただいたことがありました。

https://vmware-juku.jp/resource/form_201/

マイクロソフトさま自身も推奨頂いているとおり、昨今の クラウド時代における SaaS の利用には旧来のバックホール型のインターネット接続ではなく、ブロードバンドインターネットと SD-WAN を利用したローカルブレイクアウト構成が有効で、協同検証からもその効果・メリットを明らかにすることができました。と、同時により高速・最速パフォーマンスでの Office365 の利用がご希望であれば、さらなる高度化として Horizon Cloud on Azure のようなそもそもワークロードの実態自体をSaaSの側においてしまう、という構成によるさらなる効率化といったところも実証実験データとして提示させていただきました。

ただしその時の唯一の課題としては、VDI 環境においては Microsoft Teams の利用を行うことができず、「これが残念!」と協同で検証させていただいた日本マイクロソフトさまの SE さん共々がっかりした経験があります…

そこから時が流れ、気がつけば VMware Horizon のバージョンが上がり、Microsoft Teams 最適化パックなるソリューションがリリースされています!
詳細はこちらの Blog における紹介をご覧いただければと思いますが、

https://blogs.vmware.com/vmware-japan/2020/09/dw-media-optimization-for-microsoft-teams.html

この最適化パックを使うことで、Microsoft Teams のオンライン会議を行う際の、音声通話、ビデオ通話などの処理を VDI の仮想基盤側から Horizon クライアントが動作する端末側にオフロードすることで仮想インフラのリソース効率化、ネットワークの分離などを行うことができるというスグレモノです。

実は同様の仕組みは  Zoom 社から提供されている最適化パックにより Zoom + Horizon の環境においては既に提供されていたのですが、

https://blogs.vmware.com/vmware-japan/2020/06/horizon-zoom-optimization-pack.html

Microsoft Teams 用の最適化パックは、Microsoft 社の協力を経て VMware が開発を行い、VMware Horizon 2006 および Horizon Cloud on Microsoft Azure 3.1 のバージョンからめでたく 同様のソリューションをお届けできることが可能な運びとなりました。

最適化パックをバックホール接続で使うと…

さて、ここからが  Virtual Cloud Networkお話です。最適化パックを利用することで、Microsoft Teams/Zoom の音声・動画トラフィックを Blast もしくは PCoIP といった Horizon VDI のプロトコルからトラフィック的に分離することが可能になりますが、これを一般的なエンタープライズネットワークに当てはめてみるとどうでしょう?目下様々なお客さまが CloudSaaS の利用をきっかけに従来の WAN 構成の見直しを検討され始めているのでいま時点で何が一般的かという議論もあるかと思いますが、ここでは仮に旧来型のすべての拠点からの外部インターネットアクセスをセンター Hub となる DC からのみ許可するポリシー、所謂バックホール接続型の WAN 構成だとこのようなトラフィックの流れになります。

このトラフィックフローだと特に「」で表現した箇所、WAN 回線もしくはバックホール接続によるインターネットアクセス部分のトラフィック量増大が解消しないためここに対応するためのコスト圧迫、もしくはオンライン会議の利用者に対する品質低下ということが起こり得るため、せっかくの最適化パックによるトラフィック分離の効果が半減してしまう残念な結果となってしまうことが懸念されます…

最適化パックを最適化するネットワーク!

ということで、こんな時こそ VMware SD-WAN の出番だ、ということになります。旧来型のルーターと異なり、トラフィックをアプリケーションの識別を持って判別し転送すべき WAN 回線を柔軟に選択することが可能な VMware SD-WAN ですので、最適化パックで分離したトラフィック毎に通信経路を柔軟に変更することはお手の物です。つまり最適化パックと組み合わせることでこんなトラフィックフローを実現することができます。

SD-WAN を利用すれば必要なトラフィックを自由に分離できるところまでは当たり前なので、この Blog では如何に簡単にそれを実施できるか、なおかつ実行するとどんな見え方、管理の仕方が VMware SD-WAN ではできるのか、のイメージについて検証環境を使ってご紹介しようと思います。

検証構成:

このようなシンプルな構成で動作確認を行ってみました。最適化パックを利用する前は、すべてのトラフィックが Cloud 上に設定されたバックホール Hub を介して Horizon VDI 基盤にアクセスし、Horizon VDI のワークロードがインターネットを介して Microsoft Teams/Zoom にアクセスしています。

検証の目的としては、Horizon VDI 宛てのトラフィックから最適化パックを利用して Microsoft Teams/Zoom の音声・動画トラフィックだけを抜き出して別の経路に流すことを VMware SD-WAN で実行することにあります。

設定方法:

VMware SD-WAN においては Business Policy という設定項目で、アプリケーションの認識とトラフィックの制御を簡単に実行することが可能です。ルールの 1 行目で Microsoft Teams 2 行目で Zoom を指定していますが、どちらも Network Service = “Directとなっていることから直接インターネットに抜ける指示(ローカルブレイクアウト)が設定されていることがわかります。一方、 3 行目から 5 行目はログ取りのために設定したルールで実環境では必ずしも必要な設定ではないですが、Network Service = “Multi-Pathと設定されていることに注目してください。これにより VPN 経由のバックホール接続が指定されています。

検証結果:

最適化パックが正しくインストールされ、VMware SD-WAN Business Policy でローカルブレイクアウトを実施するとこのようなトラフィックの流れになることが確認できました。Business Policy の設定で指定したとおり、Horizon VDI に利用されるプロトコルは Overlay VPN を介してバックホール Hub へ転送されます。ただし最適化パックで分離された Microsoft Teams/Zoom 宛の音声・ビデオトラフィックのみはブランチサイトから直接インターネットにアクセスしています。

セッション Log とパケットキャプチャの見え方:

ローカルブレイクアウトをした Microsoft Teams/Zoom 宛のセッション、Horizon VDI 宛てのバックホール向けのセッション、はそれぞれ Log からこのような形で見られるようになっています(このサンプルはMicrosoft Teams 宛てトラフィックフローと Horizon VDI 宛てトラフィックフローのログイメージ)。Horizon Blast のアプリケーションフローは “Cloud via Gateway” という Log となっておりバックホール Hub である Gateway 宛にになっているのに対し、Microsoft Teams のアプリケーションフローは “Direct to Cloud” となっており直接インターネットに接続している旨が Log からわかる点がポイントです。

ためしに SD-WAN Edge のアップリンク側インタフェースでパケットキャプチャを行うとこのようなかたちになります。

バックホール経由の Horizon VDI 向け通信は、UDP2426 を利用した VMware SD-WAN 独自の暗号化プロトコルでカプセリングされていることがわかります。

これに対して、最適化パックで分離された Microsoft Teams/Zoom 宛の音声、動画トラフィックはこのような形で VMware SD-WAN のプロコルではなく直接インターネットに向けたパケットになっていることが確認できます(このサンプルは Zoom 宛てトラフィックのキャプチャイメージ)。

まとめ

いかがでしたでしょうか。VMware SD-WAN により非常に簡単な手間で最適化パックによって分離したトラフィックをネットワークの転送経路に反映させられることを感じ取っていただけたのではないかと思います。このような形の新しい WAN 構成にしていただくことによって VDI 環境におけるオンライン会議を最適化させるソリューションに対してネットワークとしてアラインする形で併せてご提供できるようになりますので、VDI 環境におけるオンライン会議においてネットワーク的な課題でお困りの方はぜひご検討、ご相談いただければ、と思います。

ちなみに最近の地味な悩みは、日々いろいろなお客様とオンライン会議をさせていただくようになり、時と場合により Microsoft Teams、Zoom、Cisco WebEx、、、と都度都度インタフェースを切り替えなくてはならず、連続ミーティングで疲れてくるとどうにも即座に頭を切り替えられなくて時には共有画面でお見せすべきではない社内の情報などを誤って晒してしまうという凡ミスも…そろそろ古くなった脳みそにガタが出始めてきてるのですが、こんなポンコツにも効果がある素敵な最適化パックなど何処かにないものでしょうか…

関連記事