VMware vSphere 4のネットワーク機構VMware vSphere 4徹底解剖(2)(2/4 ページ)

» 2009年08月18日 00時00分 公開
[齋藤康成ヴイエムウェア株式会社 テクニカルアライアンスマネージャ]

プライベートVLAN

 VMware vSphere 4ではプライベートVLAN(以下PVLANと略記)と呼ばれるVLAN技術が利用可能である。PVLANは分散仮想スイッチにおいてのみ利用可能な機能として実装されている。

 PVLAN自体はVMware固有の技術ではないが、ここでは簡単にそのコンセプトを紹介しておこう。例えばホテルやマンションなどにおけるLAN環境を考えてみよう。セキュリティを配慮する場合、通常ホテルの各客室はネットワーク的に分離されているべきであり、相互に到達可能ではってはならない。これは同一ネットワーク上にウィルスに感染したPCが接続された場合や、攻撃の踏み台となりえるPCが接続された場合の影響を考慮すると、必須の要件と言えるだろう。一方で、各客室からはゲートウェイアドレス、DHCPサーバ、DNSサーバなどには到達可能であるべきで、これらは通常ホテルのサーバ設備として限られた数の装置が設置されることになる。

 通常のVLANのみでこれを実現しようとした場合、ネットワークの設計は比較的複雑なものとなる。例えば客室単位でVLANを区切りサブネットを割り当てた場合、客室の数だけゲートウェイアドレス、DHCPサービス、DNSサービスを構成しなければならなくなる。これは中規模以上の環境においては非現実的と言わざるを得ないだろう。しかし、PVLANを利用するとこれは容易に実現できるようになる。

 PVLAN環境ではVLANをさらに複数のセカンダリVLANに分割することができる。セカンダリVLANには「タイプ」と呼ばれる属性値が用意されており、その種類によってネットワーク的到達性が異なっている。セカンダリVLANのタイプは3種類あり、それぞれ以下のような性質を持つ。

・Promiscuous (無差別)
ここに配置されたデバイスは他のセカンダリVLANとの間で相互に通信可能。通常ここにゲートウェイ装置やDHCP/DNSサーバなどを配置する。

・Isolated (隔離)
ここに配置されたデバイスはPromiscus上のデバイスとのみネットワーク通信が可能。同一のセカンダリVLAN上に複数のデバイスが接続されている場合であっても、それらは相互に通信することができない。

・Community (コミュニティ)
ここに配置されたデバイスはPromiscus上のデバイスとネットワーク通信が可能。同一のセカンダリVLAN上に複数のデバイスが接続されている場合は、それらは相互に通信することが可能。

 PVLANがどのように実装されているのか簡単に説明しておこう。PVLANはカプセル化は行なわず、通常のIEEE 802.1qタグ付きVLANのフォーマットでイーサネットフレームを構成する。つまり、VLANフレームの中に更にPVLANフレームを埋め込むような実装ではない、ということである。このため各イーサネットフレームに付与されるVLANタグ番号は、セカンダリVLANのタグ番号がそのまま用いられる。つまり、イーサネットフレームのヘッダを見ただけでは通常のVLANフレームとの区別はつかないということである。

 このため、PVLAN環境ではスイッチ側にタグ番号とPVLANとの対応表が構成される。この表にはプライマリVLANの番号、セカンダリVLANの番号、PVLANのタイプの組が一覧化されており、スイッチは受信したイーサネットフレームのタグ番号に基いて到達範囲を決定する。

ALT 図6 PVLANを用いた環境

 VLAN自体は物理スイッチ側で提供される機能であるが、そこにVMware ESXを接続する場合、物理ネットワークの環境に則した形で仮想スイッチ側のVLAN設定を行う必要がある。PVLANを利用する環境でも考え方は同様で、PVLANを構成している物理ネットワーク環境にVMware ESXを接続し適切な通信を実現する場合、仮想スイッチ側も物理ネットワーク環境の設定に則したPVLANを構成しなければならない。

 VMware vSphere 4で提供される分散仮想スイッチはこのPVLANに対応することができる。分散仮想スイッチに対してプライマリVLAN、セカンダリVLANならびにそのタイプなどを定義し、ポートグループに対してそのペアを割り当てることができるようになっている。

ALT 図7 分散仮想スイッチにおけるプライベートVLANの定義画面
ALT 図8 ポートグループに対するPVLANの割り当て

 ホスティング環境などにおいて仮想マシンを活用する場合、顧客単位でネットワークの独立性を確保しなければならないケースが多い。クラウド環境における仮想マシンの本格利用を想定した場合、PVLANへの対応は必須項目と言えるものである。VMware vSphere 4はいち早くこの機能に対応し、より柔軟なネットワーク設計を可能にしている。

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

AI for エンジニアリング
「サプライチェーン攻撃」対策
1P情シスのための脆弱性管理/対策の現実解
OSSのサプライチェーン管理、取るべきアクションとは
Microsoft & Windows最前線2024
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。