最新のアプリケーションを本番環境で正常に稼働させるためには、単に仮想マシン(VM)やコンテナをデプロイするだけでなく、ロードバランサー、永続ストレージ、監視ツールなどの幅広いサービスへのアクセスが必要です。本ブログでは、VMware Cloud Foundation®(VCF)上でKubernetes環境を構築・運用するための設計指針を解説したウェビナー「Design and Architecture Considerations for VKS on VCF」から、VMware vSphere® Kubernetes Service (VKS) を導入する上で重要となる点を抜粋してご紹介します。
1. VMware vSphere® Supervisor と Namespace による統合管理
vSphere Supervisorを有効にすると、従来のESXクラスタがKubernetesクラスタへと変換され、VMとコンテナを一元管理できるようになります。これにより、インフラの運用手順を気にすることなく、統一されたAPIを通じてリソースを展開・管理できます。また、リソースを論理的に分割するvSphere Namespaceを活用することで、製品やチーム、環境(テスト、ステージング、本番など)ごとに隔離されたマルチテナント環境を構築できます。
提供されるコアサービス:
- VKS: 完全に準拠したKubernetesクラスタのデプロイと管理
- VM Service: 宣言的な記述(Desired State)による仮想マシンの管理
- その他のサービス: コンテナレジストリ、シークレットストアなど、独立したライフサイクルを持つサービス
2. 可用性ゾーン(Availability Zones)の展開モデル
可用性ゾーンは、物理的な障害ドメイン(ラックやサーバー・ルームなど)を表す論理的な構成単位となります。環境の要件や規模に応じて、主に3つの可用性展開モデルが考えられます。
- 単一ゾーンモデル(Single Zone) コントロールプレーンとワークロードが同じ単一のクラスタに配置されます。シンプルで導入が早く、ライセンスやハードウェアコストを抑えられます。開発・テスト環境や、小規模な環境に最適ですが、クラスタ全体に障害が発生した場合はシステム全体がダウンするリスクがあります。
- 管理・ワークロード分離モデル(Dedicated Management Zone + Separate Workload Zones) コントロールプレーン専用のゾーンを設け、ワークロードは別のゾーン(クラスタ)に配置して分離します。コントロールプレーンとワークロードを分けたい中規模の本番環境に適しています。
- 3ゾーンモデル(Three Management Zones) コントロールプレーンを3つの異なるゾーンに分散させ、高い可用性を確保する構成です。1つのゾーン(クラスタ)が完全に失われてもシステムが稼働し続けるため、最高レベルの可用性とセキュリティが求められるミッションクリティカルな本番環境に推奨されます。ただし、ハードウェアやライセンスのコストが高くなる点に注意が必要です。
また、前述の管理・ワークロード分離モデルを採用して、コントロールプレーンとワークロードをそれぞれ3つの異なるゾーンに分ける構成を取ることもできます。
3. ネットワーク設計の選択肢
vSphere Supervisor の構築において、ネットワークアーキテクチャの決定は非常に重要です。ここでは構成要素を「ネットワークスタック」、「ロードバランシング」、「コンテナネットワーク (CNI)」の3つに分けて解説します。
ネットワークスタックの選択肢
- VDS ネットワーク 従来の分散仮想スイッチ(VDS)を使用する方式です。既存の物理ネットワーク機器でファイアウォール等を管理する場合に適しております。
- NSX VPC ネットワーク(推奨) パブリッククラウド(AWSやAzureなど)に似た「仮想プライベートクラウド(VPC)」の概念を導入した最新のネットワーク方式です。分離性が高く、VCF自動化ツールと連携した高度なセルフサービスプロビジョニングが可能なため、新規(グリーンフィールド)展開での利用が推奨されています。
- NSX セグメントネットワーク 従来のNSX環境の知識があり、既存の仮想マシンなどを移行して活用したい場合に適しています。高度なNSXの機能やファイアウォール(VMware® vDefend™)との統合が可能です。
ロードバランシング
- 基盤ロードバランサー (Foundational Load Balancer) VDSネットワーク向けに標準で組み込まれているL4ロードバランサーです。以前のHA Proxyに代わるものであり、追加構成なしで利用できますが、NSXを利用したネットワークスタック環境では利用できません。
- NSX Advanced Load Balancer (AVI)(推奨) すべてのネットワークスタックで利用可能な、最も推奨される高度なソリューションです。
- NSX クラシックロードバランサー NSX VPCまたはセグメントネットワークを選択した場合に標準提供されるL4ロードバランサーです。L7相当のルーティング機能が必要な場合は、クラスタ内に別途ContourなどのIngressコントローラーを追加で展開し、構成を補う必要があります。
コンテナネットワーク (CNI)
- Antrea(推奨) デフォルトで提供されるCNIであり、NSXスタックやvDefend(ファイアウォール)と密統合されています。
- Project Calico サポート対象として選択可能なもうひとつのCNIです。NSXとの密統合はされておりませんが、パブリッククラウドなど他の環境で既にCalicoを利用している場合、運用やトラブルシューティングの一貫性を保つために採用されることが多いオプションです。
本記事では、VCF上のVKSを導入する際の重要な設計ポイントとして、「Namespaceによる統合管理」「可用性ゾーンのモデル」、そして「ネットワークアーキテクチャの選択肢」について解説しました。実際のウェビナー動画「Design and Architecture Considerations for VKS on VCF」では、本記事では触れていないストレージ設計の詳しい解説に加え、Q&Aセッションにて現場のエンジニアから寄せられた実践的な質問への回答も収録されています。詳細なアーキテクチャの解説や、運用上の細かい疑問を解消するためにも、ぜひウェビナー本編の動画をご視聴ください。皆様の環境に最適なインフラ設計のヒントがきっと見つかるはずです!
ウェビナー 「Design and Architecture Considerations for VKS on VCF 」はこちらからご覧ください
