VMware NSXのカサド氏が、ネットワーク仮想化について「間違えていた」2つのこと：VMworld 2015

ヴイエムウェアのネットワーク仮想化製品であるVMware NSXの導入は広がっているというが、どういう用途で使われているのだろうか。新機能は、用途を今後どのように広げていくのか。米ヴイエムウェア ネットワーキング＆セキュリティ事業部門（NSBU） ゼネラルマネージャー、マーティン・カサド氏に聞いた。

[三木 泉，＠IT]

　米ヴイエムウェアの社内における、ネットワーク仮想化関連事業の存在感が日増しに高まっている。

　ヴイエムウェアは、2015年第2半期終了時点で、ネットワーク仮想化製品「VMware NSX（以下、NSX）」の有償顧客が、一年前の150社から700社に増加したと報告している。2014年は年間換算で2億ドル規模の売り上げを達成したという。ちょうど一年前の2014年8月、米ヴイエムウェアのネットワーキング＆セキュリティ事業部門（NSBU）ゼネラルマネージャーに就任し、ネットワーク製品事業を率いているマーティン・カサド（Martin Casado）氏は、「3年前は、100人程度を率いていた。今では私の下で1000人近くが働いている。職場ですれ違っても（部下の）顔が分からない。時々さびしい気分になる」という。

VMware NSXは、何に使われているのか

　一般企業におけるNSXの導入が進んでいるのなら、顧客は何のために、このネットワーク仮想化製品を買っているのか。カサド氏は昨年、しきりにセキュリティ上のメリットを強調していた。NSXでは、分散トンネリングによりネットワークを論理分割し、その中でさらにファイアウオール機能を働かせ、3階層アプリケーションにおける階層間の分離など、きめ細かなセキュリティ対策が図れる（同社はこれを「マイクロセグメンテーション」と呼ぶ）。

米ヴイエムウェア ネットワーキング＆セキュリティ事業部門（NSBU） ゼネラルマネージャー マーティン・カサド氏

　「では、これが実際に、VMware NSXの主な用途なのか」と聞くと、カサド氏は「（セキュリティが主な用途になると予測した）私は間違っていた」と答えた。セキュリティを理由に購入した顧客は40％、自動化が40％、データセンター間の可用性向上（HA）や災害対策（ディザスターリカバリ）が10％、その他が10％だという。だが、購入理由と実際の用途は、必ずしも同じではないことが分かったという。

　「面白いのは、どんな理由で購入したにせよ、大部分の顧客にとって自動化が主な用途になっていることだ。セキュリティは二番目の用途だ」（カサド氏）

　「自動化」とは、具体的に何を意味しているのか。ネットワーク構成機能を備えたアプリケーション配備ツールなどを、皆が使っているということなのか。

　「その点でも、私は間違っていた。ネットワーク仮想化に基づくネットワーク設定の自動化には、OpenStackや「vRealize Automation」などの本格的な自動化ツールが必要だ、と考えていた。しかし顧客の50％は、自動化ツールなど使っていない。vCenterでネットワーク仮想化の設定をクリックし、ファイアウオールポリシーを設定するだけだ。つまり多くの顧客は、クリックでネットワーク仮想化やファイアウオールを構成したいだけだった」（カサド氏）

　カサド氏は、次の用途として、データセンター間の可用性向上や災害対策が急速に伸びていると話す。さらに期待されるのは、任意の複数データセンターへの、社内データセンターネットワークの拡張だという。

　「（今回のVMworldでは、）Amazon Web Services（AWS）、もう一つ別のクラウドサービス、そしてオンプレミスを、NSXで結ぶデモを実施した。今後に向けては、クラウド上のアプリケーションのためのネットワーキングやポリシー適用が、とても面白い用途になると考えている。AWS上には多数の仮想マシンが動いていて、企業の業務アプリケーションも増えている。他のクラウドも同様だ。私たちは、これらのクラウドサービスに対し、ネットワーキングとセキュリティの共通フレームワークを提供できる。これは、私たちにとっては、新しい取り組みになる。これまでとは違った顧客層、用途、エコシステムに対応していく必要があるからだ」（カサド氏）

VMware NSX 6.2で、データセンター間連携が容易に

　カサド氏は物理ネットワークと比べた仮想ネットワークの優位性について、次のように話した。

　第一に、通信を暗号化した上で分散トンネリングを行えることが、新しいセキュリティへのアプローチとして活用できる。第二に、ネットワークのステートを維持したまま、データセンター間で移行ができるため、災害対策などで有利だ。第三にアプリケーションの情報を取得し、これを基に、負荷分散やファイアウオールと緊密に連携できる点が有利だという。

　ヴイエムウェアは8月下旬、VMworld 2015に先立って、「VMware NSX for vSphere」の新バージョン6.2（以下、NSX 6.2）を一般提供開始した。

　NSX 6.2では、vCenterをまたぐ仮想ネットワークセグメントの運用ができるようになった。これによって、データセンターをまたがる仮想マシンのライブマイグレーションを実現しやすくなった。各仮想マシンに関するメタデータ情報もデータセンター間で同期されるため、セキュリティポリシーを維持したままでライブマイグレーションができる。VMworld 2015では、これがネットワーク関連でのハイライトの一つとして紹介された。

　NSX 6.2の新機能には、「カーネルレベルの負荷分散」も挙げられている。ハイパーバイザ―であるESXiのカーネルに、負荷分散機能を組み込んでいるのだという。全物理サーバーが、完全分散型で、この機能を実行できる。対象となる仮想マシンがサーバー間を移動した場合も、負荷分散に関わる設定は仮想マシンと共に移行する。

　この新機能には主に二つの用途が考えられるという。一つはデータセンター内のトラフィックの負荷分散。アプリケーションの階層間での負荷分散、例えばWebサーバー群とアプリケーションサーバー群の間の負荷分散では、10Tbpsといった量のトラフィックをさばく必要が出てくるという。そこで、高度な拡張性を実現する手段として、このカーネルレベルのファイアウオール機能が使われるだろうという。

　もう一つは単一物理サーバー上に、多数の仮想マシンを載せ、その間で負荷分散をしたい場合だ。コンテナーを運用する場合には、こうしたアプローチが必要になってくるという。

　この「分散負荷分散機能」は、現時点ではプレビュー版であり、本格稼働を意図したものではない。

データセンターからキャンパスネットワークへ対象を広げるのはいつか

　ヴイエムウェアはNSXで、商用データセンターや企業の社内データセンターのネットワーク仮想化に取り組んできた。今後はこれに加え、企業のキャンパスネットワーク（社内LAN）の仮想化にも取り組むのだろうか。例えば、企業の社内無線LANアクセスポイント／無線LANコントローラーにNSXへのゲートウェイ機能を実装することで、ユーザー端末からの通信をエンドツーエンドで仮想化できる可能性がある。

　「その通りだと思うし、多くの顧客からもリクエストを受けている。だが、データセンター分野には、膨大な事業機会がある。私たちの仕事は始まったばかりだ。当面はデータセンター分野を積極的に攻略し、その後に他の分野を考えたい。あなたの意見には賛成なので、どんな企業が関心を持つかを戦略的に注視していくつもりだ。だが、データセンター分野から目をそらしたくはないので、その分野に注力するのはしばらく後になるだろう」（カサド氏）

　とはいえ、「ヴイエムウェアのモバイル端末管理（MDM）製品「AirWatch」とNSXを統合するための拡張はしている」とカサド氏は話す。つまり、端末上のAirWatchソフトウエアがNSXゲートウェイの機能を提供することで、NSXによる論理ネットワークセグメントに直接参加できるようになっているという。

　もう一つ、もっと簡単に、ユーザー端末をNSXによる仮想ネットワークに参加させられるシナリオがある。ヴイエムウェアのエンドユーザーコンピューティング事業部門ゼネラルマネージャーであるサンジェイ・プーネン（Sanjay Poonen）氏がVMworld 2015の基調講演でデモを見せていたが、デスクトップ仮想化を使えばいい。仮想デスクトップを動かす仮想マシンは、業務アプリケーションを動かす仮想マシンと、基本的には何も変わらない。そして、仮想デスクトップの仮想マシンは、データセンター内で動いている。

　従って、仮想デスクトップ用仮想マシンと、業務アプリケーションを動かす仮想マシン群をVMware NSXでつなぎ、相互間の通信を暗号化すれば、事実上、ユーザーと業務アプリケーションの間で、エンド・ツー・エンドの暗号化ができる。

　ただし、この場合は当然ながら、対象はデスクトップ仮想化ユーザーのみだ。上述のAirWatchとの統合でも、AirWatchをインストールしているユーザーだけが対象になる。

　米ヴイエムウェア 社長兼CEOのパット・ゲルシンガー（Pat Gelsinger）氏は、VMworld 2015の基調講演で、標的型攻撃が高度化する現状では、端末と業務アプリケーションサーバーの通信の暗号化が、エンドユーザーコンピューティングにおけるセキュリティ上、非常に重要になると話している。