ヴイエムウェアのネットワーク仮想化製品であるVMware NSXの導入は広がっているというが、どういう用途で使われているのだろうか。新機能は、用途を今後どのように広げていくのか。米ヴイエムウェア ネットワーキング&セキュリティ事業部門(NSBU) ゼネラルマネージャー、マーティン・カサド氏に聞いた。
米ヴイエムウェアの社内における、ネットワーク仮想化関連事業の存在感が日増しに高まっている。
ヴイエムウェアは、2015年第2半期終了時点で、ネットワーク仮想化製品「VMware NSX(以下、NSX)」の有償顧客が、一年前の150社から700社に増加したと報告している。2014年は年間換算で2億ドル規模の売り上げを達成したという。ちょうど一年前の2014年8月、米ヴイエムウェアのネットワーキング&セキュリティ事業部門(NSBU)ゼネラルマネージャーに就任し、ネットワーク製品事業を率いているマーティン・カサド(Martin Casado)氏は、「3年前は、100人程度を率いていた。今では私の下で1000人近くが働いている。職場ですれ違っても(部下の)顔が分からない。時々さびしい気分になる」という。
一般企業におけるNSXの導入が進んでいるのなら、顧客は何のために、このネットワーク仮想化製品を買っているのか。カサド氏は昨年、しきりにセキュリティ上のメリットを強調していた。NSXでは、分散トンネリングによりネットワークを論理分割し、その中でさらにファイアウオール機能を働かせ、3階層アプリケーションにおける階層間の分離など、きめ細かなセキュリティ対策が図れる(同社はこれを「マイクロセグメンテーション」と呼ぶ)。
「では、これが実際に、VMware NSXの主な用途なのか」と聞くと、カサド氏は「(セキュリティが主な用途になると予測した)私は間違っていた」と答えた。セキュリティを理由に購入した顧客は40%、自動化が40%、データセンター間の可用性向上(HA)や災害対策(ディザスターリカバリ)が10%、その他が10%だという。だが、購入理由と実際の用途は、必ずしも同じではないことが分かったという。
「面白いのは、どんな理由で購入したにせよ、大部分の顧客にとって自動化が主な用途になっていることだ。セキュリティは二番目の用途だ」(カサド氏)
「自動化」とは、具体的に何を意味しているのか。ネットワーク構成機能を備えたアプリケーション配備ツールなどを、皆が使っているということなのか。
「その点でも、私は間違っていた。ネットワーク仮想化に基づくネットワーク設定の自動化には、OpenStackや「vRealize Automation」などの本格的な自動化ツールが必要だ、と考えていた。しかし顧客の50%は、自動化ツールなど使っていない。vCenterでネットワーク仮想化の設定をクリックし、ファイアウオールポリシーを設定するだけだ。つまり多くの顧客は、クリックでネットワーク仮想化やファイアウオールを構成したいだけだった」(カサド氏)
カサド氏は、次の用途として、データセンター間の可用性向上や災害対策が急速に伸びていると話す。さらに期待されるのは、任意の複数データセンターへの、社内データセンターネットワークの拡張だという。
「(今回のVMworldでは、)Amazon Web Services(AWS)、もう一つ別のクラウドサービス、そしてオンプレミスを、NSXで結ぶデモを実施した。今後に向けては、クラウド上のアプリケーションのためのネットワーキングやポリシー適用が、とても面白い用途になると考えている。AWS上には多数の仮想マシンが動いていて、企業の業務アプリケーションも増えている。他のクラウドも同様だ。私たちは、これらのクラウドサービスに対し、ネットワーキングとセキュリティの共通フレームワークを提供できる。これは、私たちにとっては、新しい取り組みになる。これまでとは違った顧客層、用途、エコシステムに対応していく必要があるからだ」(カサド氏)
カサド氏は物理ネットワークと比べた仮想ネットワークの優位性について、次のように話した。
第一に、通信を暗号化した上で分散トンネリングを行えることが、新しいセキュリティへのアプローチとして活用できる。第二に、ネットワークのステートを維持したまま、データセンター間で移行ができるため、災害対策などで有利だ。第三にアプリケーションの情報を取得し、これを基に、負荷分散やファイアウオールと緊密に連携できる点が有利だという。
ヴイエムウェアは8月下旬、VMworld 2015に先立って、「VMware NSX for vSphere」の新バージョン6.2(以下、NSX 6.2)を一般提供開始した。
NSX 6.2では、vCenterをまたぐ仮想ネットワークセグメントの運用ができるようになった。これによって、データセンターをまたがる仮想マシンのライブマイグレーションを実現しやすくなった。各仮想マシンに関するメタデータ情報もデータセンター間で同期されるため、セキュリティポリシーを維持したままでライブマイグレーションができる。VMworld 2015では、これがネットワーク関連でのハイライトの一つとして紹介された。
NSX 6.2の新機能には、「カーネルレベルの負荷分散」も挙げられている。ハイパーバイザ―であるESXiのカーネルに、負荷分散機能を組み込んでいるのだという。全物理サーバーが、完全分散型で、この機能を実行できる。対象となる仮想マシンがサーバー間を移動した場合も、負荷分散に関わる設定は仮想マシンと共に移行する。
この新機能には主に二つの用途が考えられるという。一つはデータセンター内のトラフィックの負荷分散。アプリケーションの階層間での負荷分散、例えばWebサーバー群とアプリケーションサーバー群の間の負荷分散では、10Tbpsといった量のトラフィックをさばく必要が出てくるという。そこで、高度な拡張性を実現する手段として、このカーネルレベルのファイアウオール機能が使われるだろうという。
もう一つは単一物理サーバー上に、多数の仮想マシンを載せ、その間で負荷分散をしたい場合だ。コンテナーを運用する場合には、こうしたアプローチが必要になってくるという。
この「分散負荷分散機能」は、現時点ではプレビュー版であり、本格稼働を意図したものではない。
ヴイエムウェアはNSXで、商用データセンターや企業の社内データセンターのネットワーク仮想化に取り組んできた。今後はこれに加え、企業のキャンパスネットワーク(社内LAN)の仮想化にも取り組むのだろうか。例えば、企業の社内無線LANアクセスポイント/無線LANコントローラーにNSXへのゲートウェイ機能を実装することで、ユーザー端末からの通信をエンドツーエンドで仮想化できる可能性がある。
「その通りだと思うし、多くの顧客からもリクエストを受けている。だが、データセンター分野には、膨大な事業機会がある。私たちの仕事は始まったばかりだ。当面はデータセンター分野を積極的に攻略し、その後に他の分野を考えたい。あなたの意見には賛成なので、どんな企業が関心を持つかを戦略的に注視していくつもりだ。だが、データセンター分野から目をそらしたくはないので、その分野に注力するのはしばらく後になるだろう」(カサド氏)
とはいえ、「ヴイエムウェアのモバイル端末管理(MDM)製品「AirWatch」とNSXを統合するための拡張はしている」とカサド氏は話す。つまり、端末上のAirWatchソフトウエアがNSXゲートウェイの機能を提供することで、NSXによる論理ネットワークセグメントに直接参加できるようになっているという。
もう一つ、もっと簡単に、ユーザー端末をNSXによる仮想ネットワークに参加させられるシナリオがある。ヴイエムウェアのエンドユーザーコンピューティング事業部門ゼネラルマネージャーであるサンジェイ・プーネン(Sanjay Poonen)氏がVMworld 2015の基調講演でデモを見せていたが、デスクトップ仮想化を使えばいい。仮想デスクトップを動かす仮想マシンは、業務アプリケーションを動かす仮想マシンと、基本的には何も変わらない。そして、仮想デスクトップの仮想マシンは、データセンター内で動いている。
従って、仮想デスクトップ用仮想マシンと、業務アプリケーションを動かす仮想マシン群をVMware NSXでつなぎ、相互間の通信を暗号化すれば、事実上、ユーザーと業務アプリケーションの間で、エンド・ツー・エンドの暗号化ができる。
ただし、この場合は当然ながら、対象はデスクトップ仮想化ユーザーのみだ。上述のAirWatchとの統合でも、AirWatchをインストールしているユーザーだけが対象になる。
米ヴイエムウェア 社長兼CEOのパット・ゲルシンガー(Pat Gelsinger)氏は、VMworld 2015の基調講演で、標的型攻撃が高度化する現状では、端末と業務アプリケーションサーバーの通信の暗号化が、エンドユーザーコンピューティングにおけるセキュリティ上、非常に重要になると話している。
Copyright © ITmedia, Inc. All Rights Reserved.