クラウドサービスと仮想化データセンターの可視化について（第2部）

仮想化データセンター向けオーバーレイネットワーク

仮想拡張LAN (VXLAN)

物理ネットワークの現在の制限により、ますます動的になる仮想世界がかなり複雑なネットワーク アーキテクチャに再結合され、企業組織がプライベート クラウドの完全な柔軟性と俊敏性を実現することを不可能にする人工的な障壁が生まれています。 VM は数分でプロビジョニングできますが、VM の周囲に必要なすべてのネットワーク サービスとセキュリティ サービスを配置するには、まだ数日かかります。可用性の高い仮想化テクノロジー (VMware Fault Tolerance など) はレイヤー 2 ネットワークで最も効果的に機能しますが、このアーキテクチャの作成と管理は、特に大規模な場合には運用上困難になる可能性があります。真のソフトウェア定義ネットワーク (SDN) の場合、データ センターやクラウド オペレーターはハードウェアやデバイスのオペレーティング システムについてまったく心配する必要はなく、OpenFlow や VXLAN などの「配管」プロジェクトから始めることができます。

VXLAN は、データセンターのネットワークの課題を解決するのに役立ちます。これにより、データ センター アーキテクチャ全体にわたって分離されたマルチテナント ブロードキャスト ドメインを作成する機能が提供され、エンタープライズ顧客は物理ネットワーク境界にまたがる弾力性のある論理ネットワークを作成できるようになります。これにより、ネットワークが仮想化され、仮想化されたアプリケーションとデータに必要な柔軟な俊敏性、パフォーマンス、およびスケールを備えたネットワークが作成されます。

VXLAN は、標準のレイヤー 3 IP パケットにカプセル化された論理レイヤー 2 ネットワークを作成することで機能し、レイヤー 2 仮想ネットワークを物理的な境界を越えて拡張できるようにします (下の図 4 を参照)。各フレームの「セグメント ID」は、VLAN タグを必要とせずに VXLAN 論理ネットワークを区別します。

図4: VXLANにより、レイヤ2仮想ネットワークが物理的な境界を越えることができる

このアプローチにより、多数の分離されたレイヤー 2 VXLAN ネットワークを共通のレイヤー 3 インフラストラクチャ上に共存させることができるだけでなく、同じレイヤー 2 仮想ネットワーク内の 2 つの異なるレイヤー 3 ネットワーク上で仮想マシンをホストすることも可能になります。 VXLAN は標準のスイッチング ハードウェア上で実行され、ソフトウェアのアップグレードは不要で、クラウド/データ センター ネットワーク内のさまざまな物理的な場所に仮想データ センターを拡張しながらマルチテナントを実現します。

ただし、このアプローチには大きな欠点があります。トラフィックがトンネル内に隠されるため、ネットワークの監視が非常に困難になります。したがって、トンネル内の個々のアプリケーションをうまく監視することはできません。監視ツールがハードウェアまたはソフトウェアの変更によって VN タグおよび VXLAN カプセル化トンネルと互換性を持つようになったとしても、これらのツールは、トラフィックの分析と監視という本来の設計目的の機能にもっと効果的に使用できるにもかかわらず、カプセル化を解除するために貴重なリソース サイクルを費やしてしまいます。

仮想化されたデータセンターとクラウドへの広範な可視性

今日、企業顧客がさらなる仮想化とクラウド サービス ソリューションへと移行するにつれ、パフォーマンスやセキュリティの問題が進歩を妨げることはなくなりました。

図5: VXLAN認識

オーバーレイネットワークの可視化

VXLANカプセル化トラフィックを視覚化する

VXLAN は、ブロードキャスト ドメインを一意に識別する 24 ビットのセグメント ID を備えており、クラウド規模のマルチテナント環境を実現し、MAC-in-UDP カプセル化で生のフレームをカプセル化することで、物理境界を越えてレイヤー 2 ネットワークを拡張します。 VXLAN SDN と仮想トンネル エンドポイントのパフォーマンスを監視することは、ネットワーク運用チームが汎用ネットワークと仮想化インフラストラクチャの上にある「仮想」ドメインを制御および理解できるようにするための鍵となります。 VXLAN カプセル化されたトラフィックは可視化ファブリックに送信でき、可視化ファブリックはセグメント ID をフィルタリングして、関連ベンダーが提供する処理機能を使用して特定のトラフィック フローを転送またはカプセル化解除し、この情報にアクセスする必要がある監視ツールに転送できます (上記の図 5 を参照)。その結果、UDP カプセル化トラフィックに対する重要な可視性を必要とするネットワークおよびセキュリティ アナライザーは、ハードウェアやソフトウェアを変更することなく、VXLAN 仮想オーバーレイ ネットワークのセキュリティとパフォーマンスを監視できるようになりました。

システムアーキテクチャの統合可視化

Unified Visualization Fabric アーキテクチャは、通信ネットワークを通過するネットワーク トラフィックの広範囲かつ動的な可視性を提供する革新的なソリューションです。複数の部門やツールに配信される監視データの独立性と分離を確保するには、集中アクセスを備えた統合監視アーキテクチャが必要です。これにより、物理ネットワークや仮想ネットワークなど、さまざまなネットワーク アーキテクチャにわたるデータの視覚化が統合され、マルチテナント設定内での安全な展開が可能になります。

サービス層

集約、フィルタリング、複製、インテリジェントなパケット変更

サービス層は分散ネットワーク デバイスで構成され、トラフィックの転送、操作、変更などの高度なフィルタリング インテリジェンスを提供します。サービス レイヤーの一部として、関連ベンダーの製品は、トラフィックのフィルタリングとより強力なサービス ノードへの転送に標準ベースの API を活用することで、仮想化サーバー インフラストラクチャへの可視性をさらに拡張します。仮想ネットワークと物理ネットワーク全体にわたる広範な可視性により、インフラストラクチャ全体の独自のビューが提供され、生産性、パフォーマンス、およびサービス レベル アグリーメントの遵守が保証されます。サービス層は、重要な情報へのアクセスを提供することに加えて、機密情報を隠したり、時間情報を追加したり、重複データを削除したり、不要なヘッダーを削除したりするために、送信中のパケットを変更するためにも使用できます。これにより、監視およびセキュリティ ツールの効率が向上します。今日、ますます多くの企業組織が仮想化、クラウド サービス、プログラム可能なネットワークを積極的に導入しています。 VXLAN、VN-Tag などの新しいテクノロジーは、データセンターに出入りするトラフィックを本質的に無視して IT インフラストラクチャを監視、分析、保護するためのレンダリング ツールです。サービス レイヤーによって提供される強化されたヘッダー除去機能により、企業は仮想化およびクラウド ソリューションを導入し、それらが提供する大きな価値提案を活用する際に、パフォーマンスとセキュリティに関する懸念を克服できます。

管理

統一されたエンドツーエンドの構成

関連ベンダーが提供する統合構成インターフェースは、物理、仮想、SDN ネットワーク全体のトラフィックを監視するためのエンドツーエンドの管理ポリシーを提供し、これらのツールのライフサイクル全体にわたってエコシステム インターフェースを提供します。 Visual Fabric のコア テクノロジーは、集中管理コンソールから実装されたユーザー ルールに基づいて、着信トラフィックを識別し、単一または複数のツールに誘導します。

テクノロジーの新たな機能強化により、高度なロールベースの管理と簡素化された GUI ワークフローが提供され、マルチテナント アクセスの分離、トラフィックとポリシーの監視が可能になります。これにより、監視トラフィックのより動的な管理が可能になり、運用サイロが排除され、CAPEX と OPEX の両方が削減されます。

ビジネスプロセスアレンジメント管理

オープンフレームワークによるプログラミング、自動化、ツール統合

ビジネス プロセス オーケストレーション管理レイヤーは、ネットワークで発生するリアルタイム イベントに「即座に」応答する機能を提供します。監視サービスは、人間の介入なしに動的に調整できるため、インフラストラクチャのリアクティブ管理を最もプロアクティブなアプローチに調整するのに役立ちます。独立系ソフトウェア開発者のコ​​ミュニティが、サービスとしての視覚化アプリケーションを提供できるようにします。標準ベースの API セットは、幅広いツールと完全に相互運用できるように設計されており、IT 企業組織にインフラストラクチャの設計と強化における究極のアーキテクチャの柔軟性を提供します。

アプリケーション層

動的電源供給によりフローをカスタマイズし、ツールの最適化を可能にします。統合された可視化構造アーキテクチャにより、付加価値の高い可視化アプリケーションの作成や、アプリケーション固有の新しい機能の開発が容易になり、企業顧客はビジネスニーズを効率的かつ安全に満たすことができます。監視ツールは、データ重複排除などの現在利用可能なアプリケーションで重複コンテンツを排除することで、より効率的に動作できるようになり、将来的には、インテリジェントなプロセスベースのサンプリングを使用して、ビッグデータを管理可能なデータに変換できるようになります。これは、クラウド コンピューティング、モビリティ、ソーシャル ネットワーキングによってもたらされた動的データの急増と一致しており、企業やサービス プロバイダーが専門的な補完的なソリューションを開発するための基盤が築かれました。

統合視覚化構造アーキテクチャの主な利点の概要:

• キャンパス、クラウド サービス、キャリア全体にわたるエンドツーエンドの可視性に必要なツールを使用して、物理、仮想、SDN インフラストラクチャ サイロを橋渡しします。
• ユーザー、仮想マシン、デバイス、アプリケーション間のツールトラフィックを標準化および最適化して、ツールの最適化を実現します。
• 柔軟なポリシーエンジンを使用して、複数の部門に同時にサービスを提供する並列監視ポリシーを有効にします。
• 自動化とオーケストレーション管理を通じて、ネットワーク内で発生するリアルタイムのイベントに「即時」対応します。

結論は

未来のデータセンターは今ここにあります。仮想化テクノロジーが現在のデータセンター変革フェーズを支配していることは間違いありません。オンデマンド方式による IT サービス配信の集中化、最適化、簡素化は、企業顧客から広く注目されており、IT コストの削減に役立ちます。しかし、仮想化されたサーバーと仮想化されたネットワーク機能により、稼働時間の測定、データと資産の保護、ネットワークとアプリケーションのパフォーマンスの分析に依存するツールの背後に隠れた、ますます大きな IT 部門が生まれています。これらのツールのバージョンは仮想化できますが、サーバー リソースへの依存度が高いため、IT ソリューション アーキテクトはツールとアプリケーションを同じハイパーバイザー上で混在させません。したがって、物理マシンから仮想マシンに移行すると、ツールのダッシュボードは空白のままになります。仮想ポートミラーリングを使用すると、ネットワーク帯域幅が過剰に消費される重大なリスクが伴います。エンドツーエンドのトンネリング プロトコルは、ヘッダーの除去やカプセル化解除のタスクを通じて、ツールから関連するパケット情報を隠したり、ツールがアクセスできない場所に置いたりすることもできます。これらのベンダーのソリューションは、仮想化環境とクラウド環境への重要な可視性を提供し、現在生み出されているクラウド コンピューティングと仮想化テクノロジのさまざまな側面によって隠されているデータ センターの隅々や IT サイロのすべてに監視、分析、セキュリティ ツールの範囲を拡張します。