クラウドサービスと仮想化データセンターの可視化（パート1）

今日の IT 組織は前例のない課題に直面しています。企業内のビジネス部門は、外部のセキュリティ脅威や市場機会に迅速に対応するために、IT 部門にさまざまな革新的なサービスを迅速に提供することを要求し続けています。同時に、企業組織も支出予算をさらに削減するよう広範な命令を出している。このような困難な時代において、破壊的な新興テクノロジーを採用することが、今日の IT 企業組織が効率を向上させ、より少ない投入でより多くの成果を達成するための鍵となることは間違いありません。これらの新興技術の代表的なものとして、クラウド コンピューティングと仮想化技術は、企業組織がリソースの利用率を最大化しながら IT サービスの提供を向上させ、より動的で柔軟なインフラストラクチャを構築できるようにする革新的な技術です。

仮想化テクノロジーは、スペースと電力の効率を向上させながらサーバー管理を簡素化することで、企業組織が大幅なコストを節約するのに役立ちます。仮想化テクノロジーを採用することで、企業はこれまで以上に柔軟に対応できるようになります。たとえば、VMware が提供した一連のケース スタディでは、仮想化テクノロジを導入した企業は、IT 運用の総所有コストを 67% 削減しました。そのため、仮想化技術の導入が急速に進んでいます。さらに、現在の経済難と継続的なコスト削減の要求の状況では、この技術の導入はさらに加速する可能性があります。公開レポートでは、仮想化が技術標準の原動力となり、世界のクラウド市場は 5 年以内に 3,000 億ドルを超えると予測されています。

仮想化とクラウド コンピューティングはコストとスケーラビリティの面で紛れもない利点がありますが、ソフトウェア定義のクラウド コンピューティングの弾力性と動的な性質は、エンタープライズ組織の IT プロフェッショナルに新たな課題をもたらします。緊急のニーズに対応する能力は大幅に向上しましたが、診断が必要な問題や実行する必要がある分析機能はより複雑になっています。アプリケーション データのパスの多くが仮想ネットワークに覆われるにつれて、従来の方法を使用してネットワーク操作を管理および監視することがますます困難になります。企業の IT リーダーと関係者は、仮想化テクノロジの利点をさらに活用しながら、この新しいネットワークでアプリケーション パフォーマンスを維持および向上し、規制ポリシーに対する企業のコンプライアンスを強化するための可視性を獲得するために取り組んできました。 IT 組織が直面している課題は、真の価値と投資収益率を理解するために、「誇大宣伝」に基づいて期待を調整することです。

仮想化テクノロジーは、今日の IT 組織に魅力的なメリットをもたらします。財務的には、このテクノロジは、単一のサーバー上でホストする仮想マシン (VM) の数を増やすことで容量使用率を最大化し、コスト削減、管理の柔軟性、ビジネスの俊敏性を実現します。管理者は、ボタンを押すだけで数分以内に新しいサーバーを導入し、運用を開始できます。多くの場合、組織にコストはかかりません。しかし、ワークロードとサーバーが仮想化されるにつれて、データセンターの資産とネットワーク トラフィックを監視、分析、保護するために使用されていたツールは、サーバーを接続する物理リンクの向こう側では事実上「目に見えない」ものになりつつあります。かつてはモノリシックで大規模なバイナリ アプリケーションだったものが、現在では最新のスクリプト言語、Java、API に分散され、REST、JSON、Ruby on Rails を介して分散機能アーキテクチャ上で実行されるようになりました。分散アプリケーション アーキテクチャへのこの変更により、アプリケーション呼び出しを処理する東西トラフィックが増加し、アプリケーション内トラフィックの多くもカプセル化されたオーバーレイ ネットワークを使用するようになりました。仮想化技術が普及するにつれて、ツールの視覚化は減少します。

ホスト内のトラフィック

仮想化により、サーバー インフラストラクチャ内に盲点または目に見えないネットワークが作成されます。ソフトウェア定義のクラウド インフラストラクチャ全体の大量のトラフィックが仮想トンネル エンドポイントにカプセル化され、多くの場合、物理ネットワークにさえ接続されないため、VM およびネットワーク管理者はこの通信の可視性と制御を失っています。この包括的な可視性の欠如により、仮想化インフラストラクチャ内の複雑なワークロードを終了しようとしている IT プロフェッショナルの間で沈黙が生じています。

仮想化とクラウドの導入ではセキュリティとコンプライアンスが最優先されるため、組織は既存の可視性要件を満たしながら運用環境を仮想化するという、競合する優先事項を調整することに苦労しています。

したがって、トラフィックの可視性、コンプライアンス、データ セキュリティに関する懸念が、企業におけるクラウド導入の最大の阻害要因として常に上位にランクされているのも不思議ではありません。

vMotion テクノロジー

vSphere vMotion テクノロジーは VMware によって開発されており、実行中の仮想マシンを 1 台の物理サーバーから別の物理サーバーにリアルタイムで移行できます。 vMotion テクノロジーにより、仮想マシンを継続的かつ自動的に最適化することで、動的で自動化された自己最適化データ センターを作成できます。このテクノロジーには、フォールト トレランス、高可用性、災害復旧機能が含まれており、ダウンタイムによる中断を最小限に抑えるための第一歩となります。ただし、柔軟性が向上すると、サーバー インフラストラクチャに変更が加わり、まったく新しいレベルの複雑さが加わります。これらの環境を効果的に監視するには、管理者は監視をシームレスかつ自動的に更新して、これらの変更を反映できるようにする必要があります。さらに、監視ソリューションでは、監視の継続性と履歴記録を維持する必要があります。これにより、管理者はこれらの問題をより適切に追跡および評価し、より優れた戦略を策定できます。 VM の再配置時にこれらの vMotion イベントを追跡および監視する機能がなければ、結果として生じる構成がアプリケーションとサービスの可用性とパフォーマンスに影響を及ぼす可能性があります。

仮想スイッチ（vSwitch）の機能

仮想マシン (VM) にスイッチ接続を提供する最も一般的な方法は、vSwitch とも呼ばれる仮想イーサネット ブリッジング (VEB) を使用することです。 vSwitch は、ハイパーバイザーに関連付けられたソフトウェア コンポーネントであり、受信/送信および VM 間通信を提供するレイヤー 2 ハードウェア スイッチのように機能します。デフォルトでは、各 VM は、VM 間のトラフィック監視やポリシーベースの検査およびフィルタリングを行わずに、単純な仮想スイッチを介して同じホスト上の他の VM と直接通信できます。ホスト内の仮想マシン トラフィックは vSwitch によって内部的に処理され、物理ネットワークを通過しません。仮想サーバーの外部にある多くのネットワークベースのセキュリティおよび監視デバイスは、この通信を認識できません。

したがって、複数の物理サーバーを単一の仮想サーバー プラットフォームに統合すると、物理サーバーを仮想サーバーに移行する前に導入されていたすべてのネットワークとアプリケーションの監視、ファイアウォール侵入検知、およびその他のコンプライアンス ツールに重大な影響を与える可能性があります。つまり、従来のネットワーク監視とセキュリティ対策では、仮想マシン間のトラフィックの増加を効果的に管理できず、攻撃に対して非常に脆弱になる可能性があります。可視性が欠如していると、障害の分離と解決が複雑になり、物理マシンから仮想マシンへの移行に伴うコスト削減が失われる可能性もあります。

単一ホスト上のVM間のトラフィックの可視化

企業がミッションクリティカルなワークロードを仮想サーバーに移行すると、同じホストでホストされている仮想マシン間で、より重要なネットワーク トラフィックが発生します。したがって、エンドツーエンドのサービス配信を管理するには、仮想スイッチング インフラストラクチャの可視性が重要になります。したがって、企業には、セキュリティ上の問題を引き起こすことなく、同じホスト上の VM 間のデータ フローのみを外部監視ツールにプッシュするソリューションが必要になります。現在、市場には、インテリジェントなフィルタリング技術を提供することで企業顧客のこれらの要件を満たす、関連サービスプロバイダーの仮想可視化アーキテクチャノードがあり、企業顧客は特定の仮想マシン間のトラフィックフローを選択してノードを展開できます。運用プロセスに変更を加えたり、基盤となるインフラストラクチャにさらなる複雑さを加えたりすることなく、これらの環境全体で仮想トラフィックのローカル (またはリモート) 転送をインテリジェントに検出、選択、フィルタリング、実行できます。その結果、現在導入されている監視および管理ツールを使用して、vSphere Distributed Switch (VDS) や Cisco Nexus 1000V などの最善の仮想スイッチを使用した仮想インフラストラクチャ間を移動するトラフィックを分析できるようになります。

vMotionによるメンテナンス

エンタープライズ仮想化テクノロジーの利点は、俊敏性、スケーラビリティ、コスト削減などの向上など、否定できないものです。しかし、これにより、複雑さ、可視性と制御の欠如、潜在的な非効率性など、企業の運用環境の監視に関する課題も生じます。これらの環境を効果的に監視するには、企業の管理者は、これらの自動化テクノロジーに対する統合された同期された可視性を提供するソリューションを活用する必要があります。 VMware vCenter インフラストラクチャと緊密に統合され、VMware オープン API を活用することで、関連サービス プロバイダーのファブリック ノードは、VMware High Availability (HA) および Distributed Resource Scheduler (DRS) クラスタ環境の俊敏性を追跡できます。このサポートの一環として、可視性ポリシーは監視対象の仮想マシンに関連付けられ、仮想マシンが仮想クラスター内の物理ホスト間で移行するときに移行されます。標準ベースの API を介した vMotion イベントのクローズドループ フィードバックと、可視性とポリシーの同期を可能にする自動化フレームワークにより、柔軟な仮想インフラストラクチャ全体の監視とセキュリティ体制をシームレスかつリアルタイムに調整できます。

VN-Link を使用して Cisco の導入で可視性を実装する

分散仮想スイッチに加えて、シスコは、元のデータ パケットに一意の VN-Tag ID をタグ付けした後、仮想データ フローを外部ネットワーク スイッチに転送するオプションも提供します。タグの最も重要なコンポーネントは、データ ソースと仮想インターフェイス (VIF) ターゲット ID です。これらは、単一の物理ポート上の複数の個別の仮想インターフェイスを識別します。ただし、パケットがラベルによって変更されたため、主な課題は、ハードウェアやソフトウェアを変更したり、処理サイクルを無駄にしたりせずに、このカプセル化されたトラフィックにアクセスすることです。

適応型パケット フィルタリングはカプセル化認識を実装し、オペレータが VN タグの送信元または宛先 VIF_ID、あるいは内部（カプセル化された）パケット コンテンツに基づいて着信トラフィック フローをフィルタリングおよび転送できるようにします。 VN-Tag ヘッダーを理解しない監視および分析ツールの場合、適応型パケット フィルタリングとヘッダー ストリッピングを組み合わせて、パケットを転送する前に VN-Tag ヘッダーを削除することもできます。関連するサービス プロバイダーのテクノロジによって提供される高度な処理機能により、トラフィックを条件付きでフィルタリングして転送し、パケット内の特定のコンテンツに基づいて VN-Tag ヘッダーを交互に削除する柔軟性が実現します。これらのサービス プロバイダー テクノロジによって提供される前処理機能により、ネットワークおよびセキュリティ監視デバイスは、貴重なリソースを消費することなく、仮想ネットワークからのトラフィックのソースを検出できるようになりました。

図1: 物理スイッチによって切り替えられたVNタグ付きホスト内トラフィック

VNタグ

VN-Tag 標準は、管理ドメインや STP ドメインを拡張したり、エンドツーエンドのポリシーを実装したりすることなくアクセス層の拡張を提供し、仮想化環境、特に同じホスト上の VM 間トラフィックにおけるネットワークの可視性を向上させる代替ソリューションとして提案されました。

VN-Tag では、必要なセキュリティ ポリシーが実装された後 (下図を参照)、VN-Tag によって識別される外部 (スイッチ) デバイスが VIF を一意に識別してデータを転送するために使用する追加の VN-Tag ヘッダーがイーサネット フレームに追加されます。したがって、VN タグは仮想ネットワーク認識を提供し、各仮想インターフェイスの個別の構成を物理ポートとして扱うことを可能にします。

図2: VNタグが追加ヘッダーとして追加される

このアプローチでは、ハイパーバイザーからスイッチング機能を完全に排除し、サーバーに物理的に関連付けられていない外部ハードウェア ネットワーク スイッチに配置します。つまり、パケット スイッチングはハイパーバイザーから完全に分離されます (上記の図 1 を参照)。

VN-Tags の汎用性により、このテクノロジーを既存の物理ネットワーク インフラストラクチャに適用できます。たとえば、VN-Tag はブリッジ拡張に使用できます。ブリッジ拡張では、Cisco Fabric Extender と Nexus 親スイッチ間で交換されるすべてのフレームに一意の識別タグが挿入され、発信元ポートを一意に識別します。

VN-Tag の欠点の 1 つは、イーサネット フレームの補完を利用することです。 VN タグを認識しない標準の監視ツールは、このトラフィックをまったく認識しないため、使用できません。 VN タグは、ホスト サーバーの物理ネットワーク リンク上のトラフィックも増加させます。

図3: VXLANにより、レイヤ2仮想ネットワークが物理的な境界を越えることができる