仮想アプライアンスと「Citrix ADC Pooled Capacity」活用、柔軟にスケールできるVPN環境を実現

わずか1か月弱で4500人規模のVPN環境構築、KADOKAWA Connected

2020年08月11日 08時00分更新

文● 谷崎朋子　編集● 大塚／TECH.ASCII.jp

グループ全社規模のVPN環境整備計画、コロナ禍で前倒しに

　計画自体は以前からあった。でも、まさか1か月以内に、しかもグループ全社規模でVPN環境を緊急構築することになるとは――。

　KADOKAWA Connectedは、KADOKAWAグループ全体のデジタルトランスフォーメーション（DX）を加速させるために、KADOKAWAとドワンゴのICT部門を統合し、2019年4月に設立された会社だ。そんな彼らが取り組むDX推進プロジェクトのひとつに、VPNを活用した全社規模でのリモートワーク実現があった。グループ全体、最大4500人規模で利用できるVPN環境だ。

　まずは平時のVPN利用状況に合わせ、ある通信会社のフルマネージドVPNサービスを使って最大400人が同時利用できる環境は整えていた。そして2020年中をめどに、全社員が利用可能なVPN環境を構築する計画だった。

　しかし、2020年の2月ごろから事態は急変する。新型コロナウイルスが国内でも感染拡大し、政府や自治体からの外出自粛要請が出され、企業は可能なかぎりリモートワークに移行せざるを得なくなった。KADOKAWAグループもしかり。

　「VPNを全社展開せよとの意思決定が下りたのが、2月の中盤か後半です。そこから1か月弱で構築しなければなりませんでした」。KADOKAWA Connectedの松本洋平氏は、シトリックスのオンラインセミナーで当時を振り返る。

シトリックスのオンラインセミナー「最新事例から考察！ポストコロナ時代を生き抜くテレワークとは」。KADOKAWA Connectedの松本洋平氏が登壇し、短期間でのVPN環境構築事例を紹介した

　1か月弱でVPN環境を構築するためには、調達や設置に時間がかかる物理アプライアンスは候補から外れる。そもそも同社のエンジニアやオペレーター自身も、感染リスクがあるため外出を伴う物理構築作業は避けたかった。

　また「グループ全社員に提供する」とは言っても、実際にVPNがどの程度利用されるのか、同時接続数はどのくらいになるのかは、蓋を開けてみなければ分からない。その意味では、利用状況に応じて柔軟にスケールアップ／ダウンできる、無駄の少ない構成が望ましい。

　検討の結果、同社ではシトリックスのSSL VPN仮想アプライアンス「Citrix Gateway」をVPNゲートウェイと、サブスクリプション型ライセンスの「Citrix ADC Pooled Capacity」で対応することにした。

ロードバランサー用のADC Pooled Capacityライセンスを転用

　シトリックス製品、特にADC Pooled Capacityを採用したのは、以前から別の用途でそれを利用していたからだ。

　KADOKAWA Connectedでは、KADOKAWAグループが展開するさまざまなWebサービスのインフラ構築や運用を手がけている。以前、Webサービスの負荷分散環境を再構築する際に、仮想アプライアンスの「Citrix ADC VPX」とADC Pooled Capacityを導入していた。Citrix ADC VPXは、ロードバランサーをはじめ、WAF、VPNなど、用途に応じてさまざまな機能コンポーネントを実装できるアプリケーションデリバリコントローラー（ADC）である。

　「それ以前は、物理アプライアンスの『Citrix ADC MPX』を中心に負荷分散環境を整備していました。物理アプライアンス上に、個々のWebサービスに対応したマイクロサービス（ロードバランサー）が多数同居しており、マイクロサービスごとに性能見積もりを行って、物理アプライアンスのキャパシティ上限を超えないように積み上げていました」（松本氏）

　だが、物理機器はライセンスや保守含め多額のコストがかかるうえ、購入の意思決定から納品、データセンターへの設置、サービスインまで、少なくとも1～2か月はかかる。また、どんなに頑張って必要なキャパシティを見積もっても、サービスインしてみると、想定通りの負荷が発生する機器と負荷がまったく発生しない機器が出るなど「偏り」が生じた。

　そこで松本氏らは、既存のvSphere環境に展開できる仮想アプライアンスのCitrix ADC VPXを導入することにした。これならば短期間でサービスインができる。さらに、ADC Pooled Capacityでは、あらかじめ一括購入しておいたキャパシティ（帯域ライセンス）を、必要に応じて個々のADCに割り当てることができる。サービスイン後の負荷状況を見てキャパシティの割り当てを変更すればよいので、事前の性能見積もりがほぼ不要になる。

　これにより偏りが解消され、マイクロサービス数の変化に耐えうる最適な負荷分散環境が、1週間、場合によっては1、2日で提供できるようになったという。

Citrix ADC VPXによる負荷分散環境

　今回のVPN導入にあたって、松本氏たちはADC Pooled Capacityに余剰ライセンスが多数プールされていることを思い出した。そこで、これを利用してVPN環境が構築できないかを検討。プールされているライセンスを使い、ロードバランサーと複数のCitrix GatewayをVPX仮想アプライアンスとして用意し、VPNユーザー数の増減にも対応できるスケーラブルなVPNゲートウェイを構築することにした。

　なお、前段で負荷分散を行うロードバランサーでは「セッションパーシステンス」機能を使い、送信元IPアドレスに基づいてVPNセッションを維持するようにしている。

　「こうした環境構築作業は、既存のVPNサービスを使ってすべて自宅から行うことができた」と松本氏。「Citrix Pooled Capacityのおかげで運用コストが抑えられたほか、当初はロードバランサーのみで導入したVPXをVPNに転用でき、短期間での環境構築やコスト効率化が実現できた」と、その効果を説明した。