TOP
連載一覧
@IT Special
セミナー
eBook
ブログ
アットマーク・アイティ ITエキスパートのための問題解決メディア
Loading
@IT総合トップ >
@ITspecial
Tweet
このエントリーをはてなブックマークに追加

pr
仮想化技術はもっと活用できる!

「これが仮想アプライアンスの威力だ!」
仮想化基盤を導入・整備すると、その上で動作させるアプリケーション・ソフトウェアをどのようにすべきかという課題が出てくる。最近では市販の業務ソフトウェアも仮想化技術を前提にした物が登場しており、これを使わない手はない。今回はトレンドマイクロの仮想アプライアンス製品を見ていくことにしよう。
    仮想化ソフト上のアプリケーションはどうあるべきか

ボク
うわっ、今度は仮想化の妖精がたくさん出てきた。どんどん増えるぞ!
妖精さん
仮想化基盤を導入すると、仮想サーバの増減や移動が簡単にできるのは知っているわよね。そうしたら、次はそれらの役割分担がどうあるべきかを考えないとね

 第1回では、ミッションクリティカルであるゲートウェイ・システムにおける障害対策として、第2回では爆発的に増加しているコンピュータウイルスやスパムメールなどに対してゲートウェイ・システムが拡張性を確保する方策として、仮想化が有効であることを述べた。

 日本でも多くの企業で使われている仮想化ソフトウェアであるVMwareは、可搬性や可用性を高める機能としてVMotion、VMware HA、VMware FTなどを、拡張性やリソース効率性を高める機能としてVMware DRS、VMware DPMなどを搭載している。これらの機能は仮想マシン(VM)を対象としており、この単位で物理サーバ間の移動やリソース割り当てを行う。アプリケーションとOSはこの仮想マシンの上で動作するから、あるアプリケーションの処理能力を増強したい場合も仮想マシンに対してリソースの割り当て量を増やすという形で対処することになる。

 このアプリケーション・ソフトウェアにはさまざまなものがある。単機能でごく単純な作りのものから、複数の機能を持ち多数のプログラムで構成される巨大ソフトまで、実に多様だ。いわゆる市販の「業務パッケージ」と呼ばれるアプリケーションは豊富な機能を持つ、大型のソフトウェア製品として構成されていることが多い。前回取り上げたトレンドマイクロのゲートウェイセキュリティ製品も、決して小さなソフトウェア・プログラムではない。両製品とも、多段階の処理を行ってインターネット上の脅威を排除すると説明したが、この処理1つ1つも別々のソフトウェア機能になっている。

 こうした機能ごとにそれぞれ仮想マシンを用意し、それをVMWareでコントロールすれば、個別の役割を担うソフトウェア機能(仮想マシン)の負荷状況に応じて能力増強を明示的に最適化できるのではないだろうか。

    仮想化ソフトの機能を使い倒す

ボク
モジュールやコンポーネントごとに仮想サーバを立てた方がいい、ってことかい?
妖精さん
必ずしもそうだとはいえないわ。運用状況や目的に応じて選ぶべきね。自社の“ソフトウェア・アーキテクチャ戦略”を考える――なんていったらカッコよすぎるかしら

 トレンドマイクロのメールセキュリティ・ソフトウェア「InterScan Messaging Security Virtual Appliance」(IMSVA)は、仮想化プラットフォーム上での動作を前提として作られた仮想アプライアンス製品だ。その大きな特徴として、VMインスタンスという形で内部の機能を別々の仮想マシンにインストールできるという点がある。こうすることで、同じウイルススキャン処理でもゲートウェア処理専用とか、エンドユーザー隔離ストレージ専用というように役割分担させることが可能になる。

図1 「InterScan Messaging Security Virtual Appliance」を大規模環境に導入し、仮想化基盤の機能を使った場合の構築例
IMSVAではソフトウェア機能を役割ごとに仮想インスタンス(VM)に配置し、それによってクラスタ構成の形にするといったことができる(図版拡大)

妖精さん
妖精さんの豆知識
[ベアメタル・インストール]
  
トレンドマイクロの仮想アプライアンス製品「IWSVA」「IMSVA」は、仮想化ソフトウェアをプラットフォームとする仮想アプライアンス製品ですが、仮想化ソフト抜きにして、ハードウェアに直接インストールすることも可能です。通常のアプリケーションソフト(トレンドマイクロの従来製品を含む)はOSがセットアップされた環境に対してインストールを行いますが、トレンドマイクロの仮想アプライアンス製品の場合はすでにOSが含まれているので、ハードウェア側にOSがない状態へインストールすることになります。このOSなしのことを“ベアメタル(メッキなどがされていない、むき出しの金属)”と呼びます。ベアメタル・インストールを使えば、「仮想化ソフトは手に負えない」というユーザーでも、OSのインストールやメンテナンス(パッチ適用など)の手間を削減できます。

 むろん、すべての機能を1つの仮想マシンにインストールすることもできる。この場合は、IMSVAが持つ自前のリソース配分機能を使うことになるが、IMSVAは原則として仮想化ソフトウェア上で動作する製品だ。仮想化基盤側でリソース配分機能が稼働している状況で、その上で動作するアプリケーションも同種の機能が動作するというのはムダというものだ。

 従って、仮想化ソフトウェアを導入してはいるものの静的な形で運用しているというのであれば、1台のVMにまとめた形に構成する方法でもよいだろう。しかし、VMWareなどの仮想化ソフトウェアの機能を使ってリソース配分や冗長化を実行するなら、機能ごとにIMインスタンスを構成した方がよい。システムはできるだけ重複のない、シンプルな構成にすることが望ましいのだ。

 VMwareには仮想スイッチ(vSwitch)が用意されており、システム全体が同じプラットフォームにあれば、任意の範囲をDMZにする、あるいはその中でポートグループを構成して、FTやHAを設定するといったことが柔軟に行える。こうした使い方を前提としたときも“メールセキュリティ”というような大きな役割もよりも、“スパムフィルタ”や“ウイルススキャン”といった単位でシステムが構成されている方が融通が利くはずだ。

    セキュリティ問題は運用工数やコスト問題でもある

妖精さん
それからもう1つ、仮想基盤上のアプリケーションについて考えておきたいのは、運用に掛かる手間の問題ね
ボク
確かにシステムコストの大半は、運用コストだからなぁ
妖精さん
サーバ統合でマシンの台数を減らすというのもいいんだけど、運用の手間を削減するという点でも仮想化は大きな効果があるのよ

 前回取り上げた「InterScan Web Security Virtual Appliance」(IWSVA)と「InterScan Messaging Security Virtual Appliance」(IMSVA)は、ともに仮想アプライアンス製品だ。その最大の特徴は、製品にOSが含まれているということ。これは単にバンドルしているということではなく、セキュリティ的にもパフォーマンス的にもカスタマイズしてあるということだ。

 一般に、ユーザーがOSを独自に調達した場合、セキュリティパッチはOSベンダから提供を受けるか、ユーザー自身が随時チェックを行う必要がある。アプリケーションとOSが別調達の場合、不具合についてはそれぞれの窓口に問い合わせなければならず、状況によっては不具合の原因の所在がはっきりせず、なかなか対策ができないといった問題が発生することさえある。

 またOSにバージョンアップやセキュリティパッチの提供があったとき、これをやみくもに適用するとアプリケーションが動かなくなるという問題も厄介だ。多くの場合、運用担当者はアプリケーション・ベンダでの検証情報などを得てから移行や導入を行うが、ユーザー企業自身が検証作業を行わなければならないこともある。

 仮想アプライアンスは、これらの手間暇を一挙に払拭(ふっしょく)する。トレンドマイクロから提供される「IWSVA」「IMSVA」向けのアップデートには、アプリケーションに対するものだけではなくOS部分も含まれている。もちろん、動作検証済みのものだ。ユーザーの作業としては、Webコンソール型の管理画面からアップデートの可否を選ぶだけだ。

「InterScan Web Security Virtual Appliance」の管理画面
アップデートの管理だけでなく、ウイルスやスパイウェア、トラフィックの状況などを確認できる(図版拡大)

 そうはいってもメールやWebは“ミッションクリティカル・システム”、いきなりパッチを適用するのは心配だというのであれば、VMWare上にクローンを用意してアップデートを行ってみるという手がある。逆に、アップデート前の状態をVMイメージファイルとしてバックアップしておくという方法もよいだろう。なお、トレンドマイクロ製品はユーザーライセンス制なので仮想マシンの数をいくつにしても使用料には影響しない。

 パッチ適用などを含めてシステム変更を行う際に、事前検証やバップアップを行うのは常識だが、従来、これが運用担当者の大きな負担になっていた。仮想化はこれらの作業を大幅に簡素化し、変更による不具合(システム障害の多くは、何らかのシステム変更によって引き起こされる)が発生したときにも即座に復旧できる。加えて仮想アプライアンスを導入すれば、ソフトウェアレイヤ(組み合わせ)の削減によるシステム安定化、そしてシステム変更の回数の削減といった効果を享受できるのだ。

    ゲートウェイ仮想化の意義

 本シリーズの第2回でも述べだが、企業にとって情報セキュリティ対策はしないわけにはいかない“義務”だ。これまで、多くの運用管理者はセキュリティ脅威の増大に対応するために適宜、物理サーバの入れ替えを行い、サービスを停止しないでセキュリティパッチを適用するために、多大な手間と労力を費やしてきた。当然、コストもかかる。

 仮想基盤+仮想アプライアンスは、これを大きく改善するソリューションだ。サーバ統合という文脈では、ゲートウェイ・システムを仮想化する意義はあまり大きくないかもしれない。しかし、運用効率の向上という面で考えると、ゲートウェイの仮想化/仮想アプライアンス化はさまざまな魅力に満ちていることが分かるはずだ。一度、ゲートウェイ仮想化を検討してみてはいかがだろうか?

ボク
そうか。よし、うちもゲートウェイ仮想化に取り組んでみよう
妖精さん
分かってもらえて嬉しいわ。何か用があったら、仮想化ソフトの管理画面から呼び出してね。いつでも起動するわ
ボク
ううっ、こんな口うるさい妖精が出てくる仮想化ソフト※なんて、イヤだなぁ

※注 このような仮想化ソフトウェアは実在しません

→Web・メールセキュリティ (ゲートウェイ) 対策
仮想アプライアンスへのマイグレーション

提供:トレンドマイクロ株式会社
アイティメディア 営業企画
制作:@IT 編集部
掲載内容有効期限:2010年11月10日


関連リンク
Web・メールセキュリティ (ゲートウェイ) 対策
仮想アプライアンスへのマイグレーション
Trend Micro Enterprise Security for Gateways

関連記事
仮想化でセキュリティ管理をもっと楽に(@ITNews)
セキュリティTips for Today 連載インデックス(@IT Security&Trust)

関連リンク
「ゲートウェイ仮想化」について詳しく解説
ゲートウェイにおける仮想アプライアンスの世界
@ITトップ|@IT Special インデックス|会議室|利用規約|プライバシーポリシー|サイトマップ


Copyright © ITmedia, Inc. All Rights Reserved.