カサドさん、ヴイエムウェアは現在議論されているSDNをどう超えていきますか?:ネットワーク仮想化には次がある
ヴイエムウェアは、現在のSDNを超える世界を目指している。この新しい世界では、何ができるようになるのか。8月最終週に行った、米ヴイエムウェア ネットワークCTO、マーティン・カサド氏へのインタビューの前編をお届けする。
米ヴイエムウェアは、8月下旬に同社が開催したVMworldにおいて「VMware NSX」の年内提供を明らかにしたが、これをきっかけに、現在議論されているSoftware Defined Networking(SDN)技術を超える世界を目指していく。8月下旬に同社が開催したVMworldにおいて筆者が米ヴイエムウェアのネットワークCTO、マーティン・カサド(Martin Casado)氏にした質問とカサド氏の答えを、2つの記事に分けてお届けする。
本記事におけるカサド氏の答えの最大の注目ポイントは、Niciraやヴイエムウェアの推進する技術は、単純な意味でのネットワーク仮想化にとどまらないということにある。
NVPやVMware NSXのような製品は、しばしば「エッジ・オーバーレイ」と呼ばれる。「オーバーレイ」はこの場合、物理ネットワーク上に論理的なネットワークをかぶせるという意味で、「ネットワーク仮想化」という言葉の意味に近い。カサド氏が強調するのは「エッジ」を活用することによる機能拡張の可能性だ。エッジとはネットワークの端のことだが、Nicira/ヴイエムウェアのようなネットワーク仮想化技術においてはハイパーバイザ/仮想マシンを意味する。この、「エッジ」に、どんなネットワーク/セキュリティ関連機能を適用あるいは挿入できるかを考えれば、可能性は大きく広がるということだ。
「エッジ・オーバーレイ」の「エッジ」は、アプリケーションやユーザーデスクトップの動く仮想マシン/ハイパーバイザに限らない。例えばカサド氏は、任意のネットワーク機能を実行する仮想マシン(ルータや負荷分散など)を配置し、さらにこれを仮想ネットワークセグメントと柔軟に結び付けることにより、一部のネットワーク関係者が現在議論している意味でのNFV(Network Function Virtualization)を、現時点ですでに実現可能だと話している。
―― あなたは、VMware VSXをフレームワーク、あるいはプラットフォームだと表現している。では、これを使って、現在のネットワーク製品・サービスで実現されていないどんなことができるようになるのか。
1つは可視性とデバッグ性だ。ネットワークをグローバルに認識できるため、一般的なネットワーク製品よりもしばしば詳細なネットワーク関連情報を取得できる。また、こうした情報に対して適切なAPIを提供する。このため、(ヴイエムウェアの仮想化環境管理製品)「vCenter Operations(vCOps)」などの、洗練された運用/管理ツールとの統合で、ネットワークをグローバルに可視化できる。(開発中のvCOpsに基づく管理画面を見せて)緑、黄、赤でネットワークの状況を示せる。1つのダッシュボードで何千もの仮想ネットワークセグメントを可視化し、それぞれの稼働状態を確認できる。物理ネットワークも可視化でき、相互の関連付けも可能だ。これを基に、問題を検知し、トラブルシューティングができる。現状で、大規模クラウドにおける問題を発見するには、電話が掛かってくるのを待つしかない。しかしこれなら、(ネットワーク上の)あらゆる事象を包括的に監視できる。
2つ目は、この製品はハイパーバイザにいるため、仮想マシンから意味のある情報を取得できるということだ。ユーザーやアプリケーション、プロセスなどに関するきめ細かな情報を得られる。こうした情報を使ってセキュリティポリシーをつくれる。IPアドレスのような低いレイヤの情報だけでなく、より意味のある情報、例えばユーザーや事業部門、アプリケーションなどの情報を引き出し、これに基づくポリシーを追加できるということだ。
――それは各仮想マシンのトラフィックの中身を見るということか?
それ以上のことができる。ハイパーバイザにいるため、仮想マシンのメモリスペースを見ることができる。(VMware vSphere環境では)仮想マシンにVMware Toolsをインストールしている。従って、現時点でも豊富な情報にアクセスできる。ネットワークトラフィックを見るだけでは、どのユーザーが送ったか分からない。しかし仮想マシンの中を見れば分かる。このため、非常にリッチなセキュリティポリシーおよび機能を果たせる可能性がある。
(最初の質問の答えの)3番目は、エッジを使うことで、フロー単位でのトラッキングができるということだ。現在、ハードウェアスイッチのチップは、フロー単位の情報を扱うのに十分のステートを持てない。しかし例えばOpen vSwitchでは、すでにこれができる。従ってわれわれは、どのフローに、一意にQoSを適用すべきかを識別できる。データセンターにおいて、最も重要なフローは、一般的には非常に長いフローだ。従って、長いフローを識別し、それに適切なラベル付けができれば、物理ファブリック上ではるかに優れたQoSが実現できる。
最後に言いたいのは、このフラットフォームのパワーの全体像を、やっとわれわれは理解し始めた段階だということだ。今後、たくさんのユースケースや機能が出てくることを確信している。
――ヴイエムウェアがやることと、他社にやってもらいたいことと、どこで線引きするのか?
われわれが顧客に提供したい最も重要なことは、選択肢だ。ネットワークハードウェアのベンダ、レイヤ4〜7のアプライアンス、各種のネットワークスタックなど、われわれが提供するにしろ他の企業が提供するにしろ、選択の幅の広さ保ちたい。
われわれが機能を投入したい分野は、われわれの強みになる分野だ。例えば分散ファイアウォールなどは、まだ競合の激しい分野にはなっていない。従って、われわれが参入するには自然な分野だ。(ヴイエムウェアが提供してきた分散ファイアウォール製品の)vShield Edgeは、明らかに他の分散ファイアウォール製品よりも導入が進んでいる。一方で、F5ネットワークスと直接競合するのは意味がない。なぜなら、これは非常に成熟した分野であり、大規模な本番系のNorth-South(データセンターの内と外の間の)トラフィックに特化しているからだ。顧客はより小さなワークロードにおける負荷分散をわれわれに提供しろといっている(このためにVMware NSXは負荷分散機能を提供する)。テスト/開発など、パフォーマンスの要件が低いものだ。しかしこれはわれわれが競合したい市場ではない。ダウンマーケットであり、われわれの対象とは違う顧客セグメントを狙ったものだからだ。
――では、F5をはじめとするネットワーク機器との連携で生まれる可能性とは何か。
今回の発表で重要な点は、この統合だ。われわれが「VTEPパートナー」と呼ぶベンダと連携している。これにより物理デバイスを仮想ネットワークに接続させられるとともに、NSXからコントロールできる。トップ・オブ・ラック・スイッチのベンダやアプライアンスベンダが多数参加している。彼らは3つの異なるレイヤでプラグインできる。データパス、コントロールパス、マネジメントレイヤだ。3つのレイヤすべてにプラグインするパートナーもいる。ユーザーにとってはシームレスに使える。
――その統合とは、物理ネットワーク機器がネットワークに参加したことを(コントローラに)知らせ、仮想ネットワークセグメントに関する情報を交換し、ネットワーク機器が複数仮想セグメントに対するサービスを提供開始できる?
データパスとコントロールパスについては、それで正しい(この統合にはOVSDBを用いる。過去のインタビュー記事を参照いただきたい)。もう1つマネジメントレイヤでの統合がある。パートナー数社はわれわれの管理インターフェイスを利用している。(ヴイエムウェアの運用自動化製品)vCenter Automation Centerのポリシーシステムは、F5の設定に使うこともできるかもしれない。まとめると、データパスはパケットへのアクセスを提供し、コントロールパスではあなたが言ったように、対応製品が仮想ネットワークについて知り、ネットワーク上にトンネルを張るべき相手としてのエンドポイントの存在を知る。マネジメントについてはオーケストレーションとオートメーションの2つの側面での統合ができる。
関連特集:プライベートクラウドをめぐる誤解
企業などの組織内で、サーバー仮想化基盤を構築・運用することが「プライベートクラウド」だと考える人は多いようだ。しかし、クラウドサービスが単なる仮想サーバーホスティングサービスでないのと同様、プライベートクラウドも単なるサーバーの仮想化統合ではない。では、プライベートクラウドを構築すべき理由とは何なのか。また、その具体的な要件とはどういったものなのだろうか。特集では将来性を加味したプライベートクラウド構築のあるべき姿を探る。
Copyright © ITmedia, Inc. All Rights Reserved.