このページの本文へ

Letter from Silicon Valley 第9回

仮想サーバの中のネットワークって何だ?

2008年10月17日 13時00分更新

文● 秋山慎一

  • この記事をはてなブックマークに追加
  • 本文印刷

1台の物理サーバで複数のOSを動かせる仮想化技術。でもそれだけじゃない。サーバの中に、データセンターを丸ごと作ってしまうことだってできるかもしれない。

ネットワークマガジン2008年11月号掲載

1台の物理的なPCやサーバ上で、複数のOS(仮想マシン)を同時に稼働できるのが仮想化技術です。特にデータセンターなどでは、物理サーバの台数を減らして電力やスペースを節約し、確実にコストを下げることができるということで、日本でも米国でも急速に普及しつつあります。

ネットワーク屋としては、「サーバの話だろ、俺たちにはあんまり関係ないよね」と手を抜きたいところですが、現実にはそうもいっていられないようです。

仮想マシンといっても、利用者やその中で動いているプログラムからすれば普通のサーバなどと変わりません。当然クライアントとのやり取りにはネットワークを利用します。ところが実際には、その仮想マシンが動いている物理サーバには、NIC(ネットワークインターフェイスカード)が1枚しかないこともあります。その1枚のNICをうまく共用して外部と通信しなければなりません。

ではここで問題です。1台の物理サーバの中で、4台の仮想マシンを動かしているとすると、その4台の間のネットワーク通信はどうなるのでしょうか。実は、当然のようにそれらはつながります。VMwareなどの 仮想化ソフトウェア は、そのようなネットワーク機能もきちんと提供してくれます。図に示すように、1つの物理サーバの中に仮想マシンだけでなく、仮想的なスイッチやNICなどのネットワークも構成してくれるのです。そして、あるときはブリッジ接続で外部の実ネットワークと接続したり、また設定によってはNAT(Network Address Translation)やルーティングによって外部との接続を実現します。

※  仮想化ソフトウェア
仮想化ソフトウェアとしては、シリコンバレーのパロアルトに本社を置くヴイエムウェアの「VMware」が有名です。そのほか代表的なものとしては、オープンソースの「Xen」(ゼン)、マイクロソフトの「Hyper-V」(ハイパーブイ)などがあります。

図 仮想化技術の概念(例)

図:仮想化技術の概念(例)

図 仮想化技術の概念(例)

さらに話を進めましょう。ネットワークのあるところにはセキュリティが求められます。仮に、仮想のWebサーバとデータベースサーバを単一物理サーバ上で動かしていたとします。そうしたら、やっぱりその間にファイアウォールがほしくなりませんか? ウイルスチェックやコンテンツフィルタリング、侵入防御装置(IPS)なんかも必要ありませんか?

実は、すでにそのような製品が現れてきています。たとえば、これはシリコンバレーではありませんが、ジョージア州の アトランタ に拠点を置くレフレックスセキュリティでは、仮想環境で動作するファイアウォール/IPS製品を提供しています。仮想環境で稼働しているサーバがマルウェアに感染した場合、仮想ネットワークを通じて同じ環境で動いているほかの仮想サーバだけでなく、仮想化のプラットフォームである実サーバや仮想化ソフト自体を攻撃します。この攻撃は単一の物理サーバの中で行なわれるので、その外にある従来のファイアウォールなどは手が出せません。

アトランタ

アトランタ:ジョージア州はアメリカの南東部、マイアミのあるフロリダ州の北に位置しています。コカ・コーラの発祥の地で、コカ・コーラ博物館は今ではアトランタの有名な観光スポットです。

アトランタ

ここで、VMwareなどの仮想環境上で 仮想アプライアンス型 のセキュリティ製品を稼働させれば、理論的にはそのような仮想環境内のセキュリティ対策に利用できます。ただ、一般的な仮想アプライアンスは、専用ハードウェアや専用サーバで稼働させることを前提で開発されています。ですから、物理サーバの リソース を占有しないと、十分な性能を発揮できないことが多いようです。

※  仮想アプライアンス
専用のハードウェアアプライアンス、あるいはソフトウェアで提供されていたファイアウォールや帯域制御、そのほかの機能を、仮想マシンとして簡単に稼働させられる状態に設定した製品です。ソフトウェア製品の手軽さと、設定などの導入の容易さというハードウェアアプライアンスのよいとこ取りをした形です。VMware上で動作する製品も多く、ヴイエムウェアは数十もの仮想アプライアンス製品を認定しています。

※  リソースを占有
仮想マシンとして動作するのにリソースを占有しないと使えないなんて、メリットが少なく感じるかもしれません。ですが、物理マシンのスペックやOSに依存せずにアプライアンスの機能が使えるというメリットが大きいのです。

それに対してレフレックスセキュリティの製品は、仮想環境でサーバの1つとして稼働させるように設計され、わずか数%程度のCPU使用率で稼働する“軽さ”が特徴とのこと。2つの仮想スイッチの間に挟むように「インライン」で、あるいはスイッチやルータにつなぐ「ワンアーム」で仮想ネットワーク内に導入できます。

現在のところ、仮想環境内での利用を想定したこのような製品はごく限られていますが、今後は増えていくかもしれません。筆者は、本当に仮想環境内にデータセンターを構築して実用できるような日が来るのだろうと思っています。

CNN

CNN:アメリカの有力なニュース専門テレビ局であるCNNもアトランタに本社があります。筆者がアトランタを訪れた今年の3月、たまたまアトランタの中心部をハリケーンが襲い、CNN本社ビルも多くの窓ガラスが破損するなどの被害を受けました。

CNN

筆者紹介─秋山慎一


Letter from Silicon Valley

日立システムアンドサービス にてシステムエンジニアやプロダクトマネージャ、 マーケティングを経験。現在Hitachi America Ltd. に駐在し、シリコンバレーの技術動向の調査やビジネス開発などに携わる。「SEのためのネットワークの基本」(2005年・翔泳社刊)、ネットワークマガジン連載「トラブルから学ぶネットワーク構築のポイント」(2005.12〜2006.12)などを執筆。


この連載の記事

週刊アスキー最新号

編集部のお勧め

ASCII倶楽部

ASCII.jp Focus

MITテクノロジーレビュー

  • 角川アスキー総合研究所
  • アスキーカード
ピックアップ

デジタル用語辞典

ASCII.jp RSS2.0 配信中