VMware Aria Operations for Networks には、仮想マシン間の通信パスの可視化機能(パス トポロジ)を提供しており、仮想マシンのような仮想環境とサーバや物理スイッチなど物理ネットワークのような物理環境を統合してトラフィックの経路を可視化することができます。こうしたVM 間の通信にはロードバランサを介して行われるものも多く存在します。そうした通信経路はロードバランサでNATされるケースもあるため、IP アドレスやポート番号をもとにしたフローで解析すると、本来の End to End の通信が可視化できず、ロードバランサの前後でフローが分断され、トラフィックの経路を調査する場合に不便であることがあります。
こうした課題を考慮し、VMware Aria Operations for Networks では、NSX Advanced Load Balancer ( NSX ALB ) と連携することで、VM 間の通信がロードバランサを介して行われる場合に、本来の End to End の通信を可視化しつつ、ロードバランサがトラフィック経路の途中に介在しても、ロードバランサを含めて End to End の通信可視化ができるようになっています。こうしたロードバランサでNATされる通信経路のケースであっても、本来の End to End の通信を可視化しつつ、ロードバランサの前後でフローを突合してトラフィックの経路を一気通貫で調査することを可能にしてくれます。
このブログでは、VMware Aria Operations for Networks による、仮想ロードバランサ( NSX ALB )を介したVM 間のトラフィックパスの可視化(パス トポロジ)に焦点を当てて解説します。
VMware Aria Operations for Networksの「仮想マシン間パス(パス トポロジ)」機能を利用すると、「仮想ロードバランサを介さない」場合や「仮想ロードバランサを介す」場合の通信パスを正確に確認できます。「 仮想ロードバランサを介す」場合に、特定のサービスエンジンを指定して パスを確認したりもでき、ECMP によって「 仮想ロードバランサ を介す」可能性のあるすべてのサービスエンジンを含めたパスを見ていくこともできます。今回の解説する環境は、以下のような NSX ALB と VMware NSX が連携した状態の構成とし、VDIである 「vm01」から Webサーバ「Web01」へのアクセスする場合の通信経路を例として取り上げます。
動作環境
- vSphere : 7.0 U3g
- NSX : 4.1.0.2
- NSX ALB: 22.1.4
指定した仮想マシンからインターネットへのパス
まずは、VMware Aria Operations for Networks を使用して、「指定した仮想マシンからインターネットへの疎通経路」をパスとして確認してみましょう。本ブログでは、「vm01」の仮想マシンを例にさまざまなパスを見ていこうと思います。下図左は、「vm01」のインターネットまでの疎通経路の パスを表示したものです。仮想マシンがどのESXi ホスト上で動作し、どの NSX Edge や物理スイッチを介しているかが確認できます。また、下図右のように表示された物理スイッチの「モデル・シリアル・バージョン・各種テーブル情報、潜在的な問題」が表示されます。このように、仮想と物理双方の可視化を行い、仮想マシンのトラフィック経路を、物理と仮想あわせて一気通貫で表示してくれ、問題箇所にアラートマークまで出てくる「パワフルな見える化」機能となります。
「仮想ロードバランサを介さない」場合の 仮想マシン間パス
それでは、パスの基本機能を抑えましたので、次は VMware Aria Operations for Networks で、「 仮想ロードバランサ を介さない」場合の パスを確認してみましょう。以下の図のように、仮想マシン間通信は、どの ESXi Host 上でVMが稼働し、どの物理スイッチを経由するかを可視化してくれます。
これ以降は簡略化のため、物理スイッチは表示されないテスト環境での表示例を用いてご紹介していきます。下図のように、パスにより2つの仮想マシン間通信は、Edgeを介しESXiホストをまたいで疎通していることがわかります。
「 仮想ロードバランサ を介す」場合の 仮想マシン間パス
次に、「仮想ロードバランサを介す」場合の パスを確認してみます。以下の図のように、仮想マシン間通信は、どの ESXi Host 上で VM やロードバランサが稼働し、どの物理スイッチを経由するかを把握することで、どこまでの通信が良好であり、どこの通信に問題が生じているかを切り分けや、障害範囲を絞り込んでいくことができるようになります。
今回は、ロードバランサでNATされた通信経路のケースを取り扱います。前述のように、IPアドレスやポート番号をもとにしたフローで解析すると、本来の End to End の通信が可視化できず、ロードバランサの前後でフローが分断され、トラフィックの経路を調査する場合にいろいろと不便なケースと言えます。下図のように、パスの表示の中でロードバランサ(バーチャルサービス/VIP)を選択すると、ロードバランサを介した2つの仮想マシン間通信に対して、Edge や ESXi ホスト、そしてロードバランサ(プライマリのサービスエンジン)をまたいで疎通している状態が表示されていることがわかります。(簡略化のため、物理スイッチは表示されないテスト環境での表示例を用いてご紹介しています)
「仮想ロードバランサを介す」場合の 仮想マシン間パス (サービスエンジンを指定)
3つめの例として、「仮想ロードバランサを介す」場合に、特定のサービスエンジンを指定してパスを確認してみます。例えば、上記のプライマリのサービスエンジンではなく、セカンダリのサービスエンジンを経由したトラフィックのパスを確認したい場合に有用です。下図のように、パスの表示の中でロードバランサ(バーチャルサービス/ VIP )を選択された状態で、サービスエンジンを選択します。
これにより、ロードバランサを介した2つの仮想マシン間通信に対して、Edge や ESXi ホスト、そしてロードバランサ(指定したサービスエンジン)をまたいで疎通している状態が表示されていることがわかります。(簡略化のため、物理スイッチは表示されないテスト環境での表示例を用いてご紹介しています)
「 ECMPを用いた仮想ロードバランサ を介す」場合の 仮想マシン間パス (サービスエンジンを指定)
最後に、ECMP によって「仮想ロードバランサ を介す」可能性のあるすべてのサービスエンジンを含めたパスを確認してみます。NSX と連携した NSX ALB は、NSX T-1 Gateway の ECMP により複数のサービスエンジンにまたいで1つのバーチャルサービス( VIP )を動作/処理するロードバランシング処理をスケールアウトさせることを可能としています。
以下のように、以下のように、ECMP のトグルを有効にすることで、スケールアウトされたロードバランサを中継する End to End の正確なパスを確認できます。仮想マシン間通信は、どの ESXi ホスト上で VM やロードバランサが稼働し、どのような通信経路となるのかを正確に把握し、自動で描画してくれます。
まとめ
このブログでは、こうしたトラフィックパスに適用した VMware Aria Operations for Networks による仮想ロードバランサ ( NSX ALB ) を介した VM 間のトラフィックパスの可視化の内容を解説しました。VMware Aria Operations for Networks には、仮想マシン間パスの可視化機能があり、仮想マシンのような仮想環境とサーバや物理スイッチなど物理ネットワークのような物理環境を統合してトラフィックの経路を可視化することができ、ロードバランサがトラフィック経路の途中に介在しても、ロードバランサを含めてEnd to End の通信を可視化することができます。
こうしたロードバランサで NAT される通信経路のケースであっても、本来の End to End の通信を可視化しつつ、ロードバランサの前後でフローを突合してトラフィックの経路を一気通貫で調査することを可能にしてくれることで、より早いトラブルシュートや構成管理(構成の台帳管理)の自動化が可能となります。また、仮想化による可視化の欠如が生じないため、拡張時や構成変更時、そして障害時に、今回の構成図(仮想マシン間パス)を関係者と共有し活用することで、どなたでも直感的に現状を把握できる中心的な情報ツールとしても重宝されるかと思います。サーバ仮想化、そしてネットワーク仮想化までもが一般化し、VMware Aria Operations for Networks による可視化の需要はこれまで以上に強まってきています。ロードバランサやファイアウォール、物理スイッチなど、さまざまなコンポーネントまで含めて包括的に仮想と物理を管理する唯一のツールとして、みなさまの運用に貢献できたら幸いです。
