マーティン・カサド氏がネットワーク仮想化の役割と価値を語る

The APP is The Network時代に発揮されるVMware NSXの真価

2015年09月03日 07時00分更新

文● 大谷イビサ／TECH.ASCII.jp

8月30日から開催しているVMworld 2015の2日目。基調講演はEUC（End User Computing）からネットワークとセキュリティにフォーカスが移る。同部門を統括するマーティン・カサド氏の講演内容と個別ブリーフィングから「VMware NSX」の役割と価値を探る。

アプリケーションこそがネットワークだ

　EUC部門のサンジェイ・プーネン氏の後に、颯爽と壇上に昇ったのは米ヴイエムウェアネットワーキング＆セキュリティ部門ジェネラルマネージャ＆シニアバイスプレジデントのマーティン・カサド氏。同社のネットワーク仮想化製品である「VMware NSX」の産みの親である米Niciraの創業者で、ネットワーク仮想化の立役者としても知られている。

米ヴイエムウェアネットワーキング＆セキュリティ部門ジェネラルマネージャ＆シニアバイスプレジデントのマーティン・カサド氏

　カサド氏は、昨今のアプリケーションが分散化を前提に構築され、ネットワークに大きく依存している現状を指し、「ずっと『（サンマイクロシステムズが唱えていた）ネットワークこそがコンピューター』だとされてきたが、アプリケーションこそがネットワークではないか」（カサド氏）と表現する。

The APP is The Networkの概念

　しかし、こうしたネットワーク依存した分散型のアプリケーションは複雑性をもたらす。たとえば、プロビジョニングにおいては複数のコンポーネントをつなぐため、時間と手間がかかるようになった。「しかも共用インフラを使っているので壊れやすい。作業を間違えると、ほかのアプリケーションにも影響を与えかねない」（カサド氏）。

　当然、トラブルシューティングも難しくなる。エンドユーザーからトラブルが見えても、複数のサービスが分散しているシステムの中で、障害の原因を発見するのはきわめて難しい。セキュリティに関しても課題がある。攻撃が巧妙になり、システムがダイナミックに変化する中、セキュリティ製品を静的な設定で運用していくのは難しいというわけだ。

分散アプリケーション環境ではトラブルシューティングも難しい

導入が700社へ！　本番環境での利用も

　アプリケーションがネットワークへと進化し、インフラがソフトウェア化されてきた現在、こうした問題はいち早く解消していく必要がある。これを実現していくのが、ソフトウェアによってネットワークの仮想化を提供するVMware NSXの役割だ。

　スイッチングやルーティング、ロードバランシング、フィルタリングなど、ネットワークに関わるあらゆるサービスを仮想化するVMware NSX。NSXを導入することで、プロビジョニングやトラブルシューティングは容易になり、高い拡張性を実現する。また、セキュリティの境界線をVM単位まで局所化する「マイクロセグメンテーション」の機能により、柔軟なセキュリティポリシーを運用できる。

あらゆるネットワークの機能・サービスを仮想化するVMware NSX

　カサド氏は、5ヶ月で151のアプリケーションをVMware NSXプラットフォームに移行した全米最大の独立系の放送局トリビューンメディアの事例を動画で披露。同社ではNSXの導入により、ネットワークやビジネスを迅速に動かすことが可能になり、セキュリティも担保できたという。同社のみならず、本番環境での利用も増えており、VMworld 2015でも25社がユーザー事例を披露している。「NSXが登場して2年くらいだが、かなり成長している。昨年は700社以上で導入された」とカサド氏はアピール。昨年のVMworldでは100社程度だったので、まさに急速な成長と言える。好調の背景には、やはりアプリケーションの複雑性が顕在化してきた点があるようだ。

　NSXの導入理由としてカサド氏が挙げたのは、セキュリティ、自動化、アプリケーションコンティニュイティ（継続性）の3つ。「現状ではセキュリティが4割、自動化が4割、DRやHAなどのアプリケーションコンティニュイティが1割だ」（カサド氏）。

見える化やトラブルシューティングをデモ

　発表されたばかりのVMware NSX 6.2では、仮想環境のみならず物理環境でのトラブルシューティングが可能になったほか、マルチサイトのデータセンターやDRなど耐障害性も強化。また、APIの拡張、オペレーションの改善も図られたという。さらにESXのカーネルレベルで分散的にロードバラングさせることが可能になった。ユーザーとアプリケーション間の“ノースーサウス”のトラフィックのみならず、分散アプリケーションでのコンポーネント間で行なわれる“イースト－ウェスト”のトラフィックをVM単位で分散させることができる。

VMware NSX 6.2の新機能

　カサド氏は、NSXの運用に関するデモンストレーションを披露する。NSXでは複数のトポロジをテンプレートとして用意しているので、プロビジョニングはデプロイのボタンを押せば終了。トラブルシューティングに関しても、「vRealise Operations Suite」を見れば、コンピュート、ストレージ、ネットワークがすべて俯瞰できるため、障害の箇所を迅速に特定できる。

　ネットワークに問題があるのがわかったら、カスタムビューを立ち上げ、論理ビューと物理ビューを見ながら、トラブルシューティングを行なえばよい。従来のように仮想ネットワークのみならず、物理ネットワークも対象になるため、リンク障害などもここから把握できる。また、セキュリティに関しても、パートナーであるパロアルトネットワークスの仮想NGFWをドラッグアンドドロップすればデプロイが完了する。

vRealise Operations Suiteから論理ビューと物理ビューを見る

セキュリティ面で不安な場合は仮想NGFWなどを投入すればよい

これからは仮想化ならではの機能を追加

　従来のNSXではおもに物理ネットワークの機能を仮想化してきたが、今後は仮想化ならではの機能を追加していく。現在取り組んでいるのは、分散型ネットワークの暗号化（Distributed Network Encryption）だ。セキュリティ部門のシニアバイスプレジデントであるトム・コーン氏は、「暗号化は幅広く使われてきたが、データセンターでは“管”が多すぎて、運用の面でいろいろ問題があった。暗号化の鍵をどのように管理するのか、ボトルネックをどうやって解消するのか、さまざまなエージェントの管理も必要だった」と指摘する。

トラフィックを“面”で暗号化する分散ネットワーク暗号化

　これに対してNSXではVPNのようなポイントツーポイントではなく、vNICからネットワークに流れるすべてのトラフィックに対して暗号化を施すことができる。また、アプリケーションの可視化を合わせて提供し、トラブル対応を容易にする。

　10年前にスタンフォード大学でネットワーク仮想化を研究していたというカサド氏は、今回の登壇は非常に感慨深いと語る。一方で、課題は急速に成長するNSXのビジネスに組織や陣容が追いついていないこと。カサド氏は、「この10年でネットワーク仮想化は大きく進展してきた。しかし、こうした変化はわれわれだけでは難しい。パートナーやコミュニティの協力があって始めて実現できるものだ」と聴衆に語りかけ、今後の協力を求めた。

■関連サイト