ユースケース 3 – ネットワーク (NSX)
前回の vRealize Network Insight (vRNI) ユースケース 紹介から時間が経ってしまいましたが、今回はネットワーク視点のユースケースで、VMware NSX 向け中心にご紹介します。
まず最初に、2022年秋に、vRealize Network Insight (vRNI) がリブランドして、VMware Aria Operations for Networks となっています。
このブログ執筆時点で、製品ドキュメントや UI はまだ vRealize Network Insight が使われており、この記事でも意図して両方を使っていますが、同じ製品です。
(参考までに、VMware NSX-T Data Center もバージョン 4.0から VMware NSX に名称変更されています)
VMware NSX 可視化
vRNI は製品発売開始時から、NSX の可視化を提供しており、お客様からの要望に合わせて機能拡張し、NSX Manager で構成された環境について様々な情報を一元的に見ることができます。検索バーより、下記のクエリを使って表示できます。
NSX Manager [NSX Manager名]
最新バージョン 6.9 で VMware NSX を表示した場合、4 つのセクション (タブ) に分かれています。
- 概要
- アラート
- フロー
- メトリック
概要 セクションは、アラート、ファイアウォールルール、保護されていないフローなどの数量のサマリ、エンティティの設定等に関するプロパティ、エンティティとその関連する問題 (赤の ! があるもの) を表示したトポロジ、ヒット数別の上位ファイアウォールルール、フローのバイト合計別の上位ファイアウォールルールが確認できます。
アラート セクションは、アラートや分析しきい値のリストです。
フロー セクションは、直近 24 時間の分析情報を確認できます。
そして、メトリック セクションは、下記のような様々なメトリック単位で表示できます。
- 管理ノードの健全性
- トランスポートノードの健全性
- 上位 100 のルータインターフェイスメトリック
- 上位 100 の論理スイッチメトリック
- 上位 100 の論理ポートメトリック
- 上位 100 のファイアウォールルールメトリック
- 上位 100 の NAT ルールメトリック
- ネットワーク使用率
- 上位 25 台の仮想マシン
例えば、NSX Manager には管理ノードやトランスポートノードの健全性を表示、アラームで通知する機能がありますが、VMware Aria Operations for Networks は VMware NSX からのデータを保持できる任意の時間の範囲を指定して表示可能です。
メトリックで特にお勧めしたいものは、ネットワーク使用率です。仮想マシン単位のネットワークアクティビティとスループットを追跡でき、仮想マシン名の一番右にある + マークをクリックすると展開してグラフで表示できます。メトリックはこちらに説明があります。
仮想化インフラを担当されている方が、素早く仮想マシンのネットワーク速度を調べたいときに便利です。例えば、毎日の速度の傾向、変化、問題が発生した時の前後の比較などのような使い方が考えられます。物理環境の MRTG に相当するデータ量に関する情報を仮想環境で取得が欲しい方にピッタリではないでしょうか。
また、データを取り出して利用したい、保存しておきたい場合は、右上の3つの点 から、CSV としてエクスポートすることが可能です。なお、メトリックデータは、直近48時間以内の表示か、もっと長い時間か、範囲選択によって、メトリックの解像度(データの詳細度)が異なります。詳しくはガイドを参照ください。
ネットワーク使用率は、他のメトリック同様、仮想マシンから表示することも可能です。
VMware VM [仮想マシン名]
別の視点でネットワークのパフォーマンス異常や変化をフローの観点で確認したい場合、[分析] – [フローインサイト] – [ネットワーク パフォーマンス] より、直近 24 時間の TCP ラウンドトリップ時間の異常なフローをハイライト(赤: Abnormal)で見つけることができます。この機能は、以前のブログ記事も参考にしてください。
エンドツーエンドのパス可視化
企業が利用する環境もオンプレ、パブリッククラウド、ハイブリッドクラウドと多様化しています。VMware Aria Operations for Networks は現在、スイッチ、ルータ、ロードバランサ、ファイアウォールを含め様々なサードパーティ製品をサポートしています。また、VMware SD-WAN をお使いの場合はブランチ、VMware ベースの VMware Cloud on AWS のような環境、ネイティブ AWS や Azure といったクラウド環境も、下記のようなパス トポロジの可視化が実現できます。
VMware SD-WAN 経由の AWS インスタンスと VMware NSX 環境の VM のパストポロジ
vSphere や NSX で構成された仮想 NIC、分散ポートグループ、セグメント、ルーティング機能と言った論理エンティティをはじめ、シンプルな物理、ファブリック構成となっている物理環境も可視化できます。
Cisco ACI のファブリック構成と接続された VMware NSX 環境の VM パス トポロジ
サポート製品と OS バージョンはこちら、表示に関する補足や注意事項はこちらを参照ください。
ネットワーク マップ
パス トポロジは、仮想マシン間のネットワーク パスを仮想(オーバーレイ)をメインとして、接続された物理(アンダーレイ)を表示するものですが、物理を中心にネットワークトポロジを確認して全体のネットワークの把握、トラブルシューティングをしたい場合に使える別の機能、ネットワーク マップがあります。ネットワーク マップは、ネットワークの管理と検証 (Network Assurance and Verification: NAV) の 2 つの機能のうちの 1 つです。特定の時点でのネットワーク全体のマップを、データソース情報から表示します。対象のエンティティは物理スイッチ、物理ファイアウォール、NSX のトランスポートノードなどがあります。
バージョン 6.8 から、最初のマップ表示の読み込み時に、ネットワークの詳細ではなく、概要を表示し、グループ内のエンティティ数、広範なネットワーク トポロジ、ネットワーク上のホットスポットなどの情報を確認できるようになりました。
例えば、物理スイッチと NSX が導入済みのサーバ数台が構成されている場合は、次のような表示です。物理スイッチは矢印で示しており、数字が表示された四角が NSX のトランスポートノード(サーバ ホスト)、数字がその中にあるエンティティの数で、ズームインすることで、グループの詳細を確認できます。
前述のパス トポロジを物理視点でマップ上にパス表示させ、転送パス(経路)が複数考えられる場合は、そのリストとアクセス可能かブロックされているかのステータス、特定のパスを選択することでそのマップ上にその表示することもできます。
実は、このネットワーク マップとパス トポロジは相互にそれぞれの機能へ行き来できるようになっています。
パス トポロジからは [ネットワーク マップに表示]で、ネットワーク マップで [論理パスの表示] を使って、視点を変えたパス情報を見ることができます。
利用する場合は事前に VMware ドキュメントを確認後、要件に合うかの事前検証をお勧めしますが、ご参考までに主な留意点は下記です。
- パス トポロジとネットワーク マップには、サードパーティ製対応に差異があるため、製品ガイドを参照のこと
- パス トポロジは全てのエディションで利用できるが一部、Enterprise エディション、もしくは SaaS 版が必要なものがある。ネットワークマップは Enterprise エディション、もしくは SaaS 版が必要
- ネットワーク マップ機能は、VMware Aria Operations for Networks のプラットフォーム ブリック (仮想アプライアンス) サイズが特大 (Extra Large) の場合のみ利用可能
ネットワーク関連の便利な機能
他にも便利な機能をいくつかご紹介します。
ネットワークの管理と検証のもう一つの機能、インテント、をご存知でしょうか?
VMware Aria Operations for Networks のインテントは、ネットワークに求められる特性を指し、ビジネス ポリシーまたはアーキテクチャの目標を記述し、ビジネスポリシーに基づくネットワークの設計、管理、検証を行い、設定時点だけではなく、適合しているかどうかを定期的に検証することでネットワークの健全性を提供します。インテント違反が発生した場合は、アラートとして通知します。
他のツールでは実現が難しい設定ミスの削減や検出、例えばスイッチのトランク設定からのVLANの欠落、スパニングツリーの設定不一致のようなよくある設定ミス検出のインテント(システム定義)を設定時、運用時に通知します。また、特定のセグメント間の疎通を維持、逆に疎通させないというようなユーザ個別の要件に合わせたインテント(ユーザ定義)タイプがあります。
実はネットワークだけではありません。上記のように、SD-WAN 分析、アプリケーション分析、コンプライアンス、デバイスの健全性もあり、随時機能追加を行なっています。
他にも便利な機能として、VMware NSX 環境についての機能は、Tier-0 / Tier-1 ゲートウェイで、NAT を利用するケースがあるかと思います。こんな時に NSX Manager の UI からはゲートウェイごとにリスト表示できますが、
NSX-T Edge NAT Rule
クエリを使用すると、VMware NSX の全ての NAT ルールを表示できます。
まだまだいろんな機能や使い方がありますので、今後も紹介したいと思います。