2018年11月13日、@IT編集部の主催による「これからのネットワークエンジニアにとっての必須知識 ネットワーク仮想化ディープダイブセミナー」が行われた。デジタルトランスフォーメーションやマルチクラウドなどが進む中、ネットワークに求められていることとは。
2018年11月13日、ヴイエムウェアの年次イベント「vFORUM 2018」が開催中のザ・プリンス パークタワー東京において、@IT編集部の主催による「これからのネットワークエンジニアにとっての必須知識 ネットワーク仮想化ディープダイブセミナー」が行われた。本稿では、そのセミナーの様子を紹介する。
オープニングでは「ニーズに即応できるインフラの仕組みとは? エンジニアの役割とは? 〜DX時代、ネットワークエンジニアは何をすべきか〜」と題されたセッションが開催された。IDC Japan コミュニケーションズ グループマネージャーの草野賢一氏と、@ITのエグゼクティブエディターである三木泉が登壇。「SDN」(Software Defined Network)や「SD-WAN」(Software Defined WAN)といったネットワーク仮想化技術の現状、また、あらゆる企業にデジタルトランスフォーメーション(DX)が求められている時代に、その重要な基盤となる「ネットワーク」をつかさどるエンジニアには、どのようなマインドセットが求められるのかといったテーマについて議論を行った。
長らくネットワーク分野を取材する三木は、SDNという概念が注目され始めた2012年ごろを振り返り、SDNの捉え方の変化について次のように話し、草野氏もそれに同意した。
「当時は、『OpenFlow』という特定の技術を活用したものこそがSDNと吹聴する団体やベンダーがあった。徐々にそうした風潮は廃れ、現在では『ネットワークを扱う人が、自分のやりたいことを迅速に実現するための技術』がSDNだと捉えている」(三木氏)
企業内でのサーバ仮想化や、クラウドサービスの活用が進み、新たなITサービスを迅速に立ち上げたいというビジネスサイドのニーズが高まっている。サービスの要となるネットワークを、いかに簡単かつ素早く用意できるかどうかは、ネットワークエンジニアにとって必須の検討課題となっている。
「ネットワークは、確かに難しい技術要素であり、その準備や変更に当たって考えなければならないことが多い。だからといって、そこに『時間をかけてもいい』といえる時代ではなくなってきている」(三木)
草野氏によれば、「SDNブーム」が起こった2011年当時から、5年以上が経過している現在においても「ネットワーク仮想化」の市場は、成長に衰えが見られないという。
「ブームと呼ばれた時期は少し前だったが、実際の企業での導入は、ここ1〜2年で大きく伸びている」(草野氏)
その目的も「物理ネットワークの統合」「設定の一元化」「セキュリティ対策」などと明確になってきており、「実際に導入効果が出やすいユースケースに対しては、SDNが定着しつつある」(草野氏)という。
現在、注目を集めているSD-WANも、SDNと同じく「ネットワークをより使いやすいものにする」ことを求める市場ニーズの延長線上にあるソリューションだと三木は指摘した。
「現在、SD-WANソリューションで使われている個々の技術は決して新しいものではない。しかし、これまで通信事業者に主導権を握られ、ユーザー企業にとって『面倒くさい』ネットワークであったWANのMPLS(Multi Protocol Label Switching)による専用回線を、ユーザーにとって使いやすいものにしたいという思想が、SD-WANの重要なテーマだと考えている」(三木)
国内企業のSD-WANに対するニーズとしては「セキュリティ」「クラウド活用への適応」「WANでの信頼性と迅速性」があると草野氏は言う。「迅速性」といった観点では「オンデマンドでの拠点ネットワーク設置」といった用途も注目される。
「新たな拠点を立ち上げるとき、回線事業者のサービスが間に合わなくてもSD-WANがあれば、取りあえずLTEなどを使って仮に接続するといったことは可能だ。こうしたスピード感は特に面白い」(三木)
今後、企業でのパブリッククラウドの活用度合いが高まっていく中、ネットワーク構成が、より「流動的」になっていくと予想される。ネットワーク担当者には、業務部門のニーズに迅速に応えながら、多様なシステム環境を統一されたポリシーで運用していくことが求められるようになる。そうした場合にも、ソフトウェアベースで柔軟に構成や設定を変更し、一括して管理できる環境は必須になるという。
「ネットワークに接続される機器やクラウドサービスが増えることで、今後もSD-WANの市場は継続して伸長すると見ている。企業におけるネットワーク運用管理のパラダイムが、SD-WANを前提とした新しいものへと移行していくことが、この技術の意義だと考えている」(草野氏)
デジタル化されたビジネス基盤の上で、新たな価値を創造することが求められる「DX」の時代において、その基本となる「ネットワーク」を扱えるエンジニアの存在は、ますます重要になる。その一方で、新たなビジネスやサービスの立ち上げ、クラウドサービスを活用して「より早く」「使いたい形で」ネットワークを整えてほしいというビジネス部門からのプレッシャーも高まると予想される。
「ネットワークエンジニアが旧来の運用の考え方をこれからも続けていこうとすると、ビジネスとの距離がどんどん離れてしまうのが現実だ」(三木)
このような時代に、ネットワーク担当者がビジネス部門から「頼られる存在」になるためには、SDN、SD-WANなどを含むネットワーク仮想化の技術を上手に使いながら、ビジネス部門を助けていくやり方が有効というのが、登壇した2人の共通した見解だ。
DX時代において、アプリケーションの重要性はより高まっていく一方で、個別の事業部門が、それぞれで新しいことを始めて、どこでどんなアプリが立ち上がっているか分からなくなることもあり得る。しかし、どこで何をやるにしても、ネットワーク担当者の助けは必要だ。例えば、ネットワーク仮想化のテーマの一つである「自動化」の仕組みを使えば、高いセキュリティレベルを保ちながら、ユーザーが自分のニーズに合ったネットワークをセルフサービスで構築できるような環境も実現可能だ。
「今ある技術をうまく活用しながら、ネットワークのお守りにかかる負荷を軽減しつつ、ビジネス部門の要望にすぐに応えられるようになることで、ネットワークエンジニアはビジネス部門にとって頼りがいのある存在になるはずだ」(三木)
「ネットワークエンジニアの強みとなるナレッジは、ネットワークに対する考え方やデザインにある。設定や運用など、自動化できる部分は自動化し、負担を減らしながら、そのナレッジを組織や企業の中で生かしていくというのが、目指すべき姿なのではないだろうか」(草野氏)
続くセッションは、「Virtual Cloud Network 〜ソフトウェアで実現するこれからのネットワークの姿〜」と題し、ヴイエムウェア CTO(最高技術責任者) North Asiaの進藤資訓氏が登壇した。
「Virtual Cloud Network(VCN)」は、「VMware NSX」(以下、NSX)を基盤としたネットワーク仮想化技術を手掛けてきたVMwareが、パブリッククラウド、マルチクラウド、コンテナフレームワークといった近年のシステムトレンドを包括する形で提唱している、ソフトウェアをベースとしたネットワークのコンセプトである。
そのコンセプト図を見ると、複数のブランチ拠点やデータセンター、テレコムネットワーク、クラウドサービス、IoT(モノのインターネット)、個人のデバイスなどが、グローバル規模で相互接続されている。一見すると、既存のインターネットと大きな違いはないように見えるが、VCNは「全てがソフトウェアで実行される」「エンドツーエンドのクラウドファブリックである」「本質的なセキュリティを備えている」という3つの特長を持っている。
「これからのネットワークは、迅速性、柔軟性、サービスベース、APIによるコントロール、自動化といったクラウド的な特質をより強く備えるようになる。また、VCNでは、後付けが難しいセキュリティに関する要件をアーキテクチャの一部として組み込んでいる。ネットワークを取り巻く環境が複雑化するにつれ、全ての人が直接ハードウェアを触れる状況ではなくなってきている。その要素をソフトウェアから扱えることが、柔軟性や効率の面だけではなく、セキュリティ面でも重要になってきている」(進藤氏)
VCNの基盤となるのが「NSXファミリー」の製品群だ。NSXは、ソフトウェアによるネットワーク仮想化ソリューションとして、これまでに7500以上の顧客に8000万以上のスイッチポートを提供してきた。近年ではポートフォリオが拡充され、ネットワークやセキュリティの仮想化、その管理および自動化を実現するための幅広いソリューションを提供している。
進藤氏はそのポートフォリオの中から、前セッションでの話題と関連して、さまざまなタイプの回線を統合し、柔軟かつ迅速に接続環境を設定、配備できるWAN接続サービス「NSX SD-WAN by VeloCloud」(NSX SD-WAN)を紹介した。
「『複雑で高コスト』『導入に時間がかかる』『非効率』といった従来のWANにまつわる課題を、SD-WAN化によって解決する」(進藤氏)
NSX SD-WANの特長の一つとなるのが「ゼロタッチコンフィグレーション」と呼ばれる展開の容易さだ。セッションでは、新たに設置した拠点で工場出荷状態の機器をポートに接続し、スマートフォンのアプリケーションからアクティベートするだけでデータセンターへの接続を即座に開通できる様子がビデオで示された。
「今後、NSXとSD-WANの技術はより緊密に統合されていく。例えば、デジタルワークスペース『VMware Workspace ONE』で管理されているモバイル端末へのセキュアなアプリケーション配信をはじめ、リモートデスクトップや情報キヨスクなど、用途に応じ要件が異なる論理ネットワークを構成できる環境を提供していく」(進藤氏)
続いてVMware ネットワーク&セキュリティ部門、シニアスタッフテクニカルプロダクトマネージャのレイ・ブダバリ氏が登壇し、マルチクラウド時代におけるネットワークのあるべき姿や、セキュリティの確保や運用スタイルの変化について講演した。そしてVCNのコンセプトをNSXで実現することで、ネットワークを含むITシステムの構築や運用、セキュリティ確保の姿がどのように変わっていくのか、幾つかの事例やビデオを交えながら詳細な解説を行った。
ブダバリ氏は、同社がネットワーク仮想化に本腰を入れる大きな理由として、次のように述べる。
「仮想化技術に取り組む中で、ワークロードや仮想マシンに近いハイパーバイザー上で、ネットワーキングやセキュリティサービスを提供したいと考えた。そして、ネットワークのより柔軟な変更や容易なスケールアウトを実現することを目指してきた」(ブダバリ氏)
そのコア技術であると同時に「戦略的なプラットフォーム」(ブダバリ氏)でもあるNSXは、物理と論理のネットワークをソフトウェアベースで分離する。物理環境はリソースプールとして管理し、その上に、論理ネットワークをソフトウェアによって柔軟に構成、管理できる。NSXはサポート範囲がL2からL7までとなっており、上位のレイヤーにおいて、アプリケーションやワークロード、ユーザーといった詳細なコンテクストを認識しながら処理を行える。
NSXでは「ポリシーベース」のアプローチを採用しており、コンテクストごとに個別のセキュリティポリシーを適用できる。また、NSXで定義したコンテクストやポリシーは、複数のデータセンターやクラウドサービスなどをまたいで適用可能だ。
さらに「VMware NSX Data Center」の拡張機能である「VMware NSX Cloud」を導入することで、企業はデータセンターやプライベートクラウドに加え、AWS(Amazon Web Services)、Microsoft Azure、GCP(Google Cloud Platform)といった、各社のパブリッククラウドサービスを管理対象に加え、それを利用するアプリケーションやネットワークに、一元化したセキュリティポリシーと管理プロセスを適用できる。
NSXによる論理ネットワークの構成機能は、PaaS(Platform as a Service)上のコンテナで提供されるマイクロサービスにも適応が可能だ。
「NSXは、コンテナのオーケストレーションサービスとしてポピュラーな『Kubernetes』に対応しており、マイクロサービスの起動と、連携したセキュリティポリシーの適用、ロードバランシングの設定などが行える。また構成や設定の変更に当たって、物理ネットワークの変更は必要ない。こうした柔軟性は、マルチクラウド時代において、ソフトウェアベースのネットワーク仮想化技術が持つ明確な優位性になる」(ブダバリ氏)
NSXによるネットワーク仮想化は、セキュリティのスタイルを、柔軟で効率的なものへと変化させる。ポリシーベースのアプローチによる、ユーザーやワークロードの「マイクロセグメンテーション」が、そのカギになる。
攻撃者が採るポピュラーな手法として、重要性が低く、セキュリティ対策が脆弱(ぜいじゃく)なシステムを踏み台としてネットワーク境界内に侵入し、その中でより重要なシステムやデータへアクセスするものがある。NSXによって仮想化されたネットワーク上では、多様なコンテクストを「マイクロセグメント化」することによって、それぞれのライフサイクルに応じた適切なセキュリティポリシーを適用できる。これにより、物理的なネットワークの境界が破られた場合でも、その中に存在するシステムへの横方向への被害拡大は食い止められる。
同様に「マイクロセグメンテーション」と「ポリシーベース管理」のアプローチによって、利用するデバイスやアプリケーションごとのユーザー保護や、より柔軟性の高いソフトウェアベースのDMZ(DeMilitarized Zone)構築なども実現できる。
「NSXを使って、物理と論理のネットワークを分離させることで、これまでにできなかった多くのことが可能になる。旧来からのネットワーキングスタイルを変化させることには、恐れを伴うかもしれない。それを乗り越え、ネットワーク運用、セキュリティ確保の自動化や効率化といった変化を起こすことで、未来の成功へと近づくことができる」(ブダバリ氏)
最後のセッションは、ヴイエムウェアでNSX技術部部長を務める大平伸一氏による「CiscoインフラストラクチャへのNSX Data Centerの導入」だ。このセッションで大平氏は、Cisco Systemsのネットワーク機器およびSDNソリューションである「Cisco Application Centric Infrastructure」(以下、ACI)とNSXの組み合わせによるネットワークデザインとはどのようなものかについて解説した。
「NSXは、複数の異なるクラウドをソフトウェアとネットワークでつなぐ『クロスクラウド』でのネットワーク構成とセキュリティ管理を実現する一貫したAPIを持つSDNソリューションだ。アンダーレイを問わずに動作可能という特長を持つ。一方、ACIは、物理ネットワークをプログラミングでき、ファブリック管理に優れているという強みを持つ。ACIをアンダーレイ、NSXをオーバーレイとして共存させることで、より柔軟な要件に対応した、セキュアなネットワークを構築できる」(大平氏)
NSXとACIを組み合わせて利用する場合、ポイントとなるのは物理ネットワーク側に「管理用」「vMotion用」「ストレージ用」「トランスポート用」の4つのサブネットを定義することだ。この4つのVLAN(Virtual LAN)があれば、オーバーレイ側のNSXで、どのような形のトポロジーでも制御が可能になるという。
「ファブリックの管理についても、ACIだけで複数のテナントを作ろうとすると非常に複雑な設計が求められる。ファブリックデザインのシンプル化のためにも、NSXを組み合わせて活用することを提案したい」(大平氏)
ACIアンダーレイ上でNSXを運用する際のメリットとしては「インフラストラクチャトラフィックの分離」「アプリケーション展開のスケーラビリティ」「インフラストラクチャ運用の最小化」といったものが挙げられる。ACIによる物理的なネットワークの切り分けでセキュリティを高めつつ、NSXでアプリケーションニーズを柔軟に対応できる論理ネットワークの構成が可能になる。
「物理と仮想のネットワークを個別に管理することで運用負荷はかえって高まるのではないか」というユーザーの懸念に対する一つの回答として、VMwareでは「VMware vRealize Network Insight」(以下、vRealize Network Insight)と呼ばれる運用管理のフレームワークを用意している。
vRealize Network Insightでは、プライベート、パブリック、ハイブリッドといった多様なクラウド環境における物理、仮想の双方のネットワークについて、トラフィック状況の可視化や、セキュリティに関する設定、最適化、トラブルシューティングをサポートする機能を統合的に提供する。vRealize Network Insightでは、近日中にACIによるアンダーレイにも正式に対応予定という。
ACIとNSXの組み合わせによるネットワーク環境については、国内外の金融機関、製造業、リテールなどによる導入実績も出始めている。
「ACIとNSXは、SDNという分野において競合する技術なのではないかとみられることもあるが実際にはそうではない。物理ネットワークの分野で多くの実績を持つACIと、ソフトウェアによるネットワーク仮想化で実績あるNSX。それぞれの強みとなる領域を組み合わせることによって、非常に優れたネットワークを実現できる」(大平氏)
Copyright © ITmedia, Inc. All Rights Reserved.
提供:ヴイエムウェア株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2019年1月14日