Comments
Description
Transcript
NETWORK FUNCTIONS VIRTUALIZATION
WHITE PAPER NETWORK FUNCTIONS VIRTUALIZATION www.brocadejapan.com 仮想化で起こしやすい 4 つの間違い 時代は今、まさに仮想化です。何年にもわたり、増設に増設を重ね機 器が蓄積されたデータセンターに、その仮想化の風が吹き抜けると、 一気にすべての課題が解決されることがあります。 その一方で、まだ 仮想化に踏み出したばかりで、型どおりの方法で動かしているだけとい う IT 管理者も少なくはありません。会社のネットワークの脆弱性が露 呈していたり、ディザスタ・リカバリ計画を不必要に複雑にしていたり、 あるいは余計に重複したネットワーク・インフラで費用がかさんでいた りするかも知れません。 ここでは、企業が仮想化の際に起こしやすい 4 つの間違いをテーマに 仮想化とネットワーク・インフラに関連した内容を解説します。本書を 読んでこれらの点に厳しい目を向け、十分な備えをもつことで、仮想化 プロジェクトを成功に導いていくことができます。 仮想化で起こしやすい4つの間違い 間違い 1:ネットワークをセグメント化していない 仮想化は、新たな進化のチャンスと危険性の双方をもたらします。仮想化によって設備費用は大幅に縮小し、管理性も向上します。その一方で、 仮想マシンを管理するハイパーバイザという新しいソフトウェアの導入が必要です。そしてソフトウェアである以上セキュリティのリスクが生じます。 オペレーティング・システムに不備があると、その上で稼働する全アプリケーションのセキュリティが損なわれます。同様に、ハイパーバイザに不 備があれば、そのハードウェア・システムの上で稼働する仮想マシンのすべてが危険にさらされます。企業では、ハイパーバイザ自体に関連する リスク対策を立て、特にネットワークとの境界でしっかりとセキュリティを確保することが重要になります。 「Network World 誌」が読者を対象に実施した調査 1 では、仮想化テクノロジによって新たなセキュリティ脅威が加わったと感じると回答した 人のうち、半数以上がその対策としてネットワークのセグメント化を強化したと言っています。 ネットワークをセグメント化する場合、従来のネットワーク構築法であれば、新しい機器を導入することになりますが、ブロケードのソフト ウェア・ベースのネットワーキング・ソリューションでは、ソフトウェアで仮想化環境の中で高度なルーティングとセキュリティの機能を提供 します。Brocade Vyatta は、サブネット間を流れるトラフィックのフィルター処理や VLAN の間のルーティングを簡単に実装できる製品で す。これを使って、仮想化環境で稼働するアプリケーションごとにネットワーク・セグメントを割り振ることができ、万が一セキュリティが破ら れた場合でも、初期の侵入を超えたさらなる侵入を封じ込めることができます。図 1 は、セグメント化されたデータセンターを表しています。 図 1. Brocade Vyatta を使って、LAN をアプリケーショ ン別の VLAN にセグメント化し、異なる VLAN 間にファイアウォールを置いてデータセンターのセ キュリティを強化します。 ルータ/ファイアウォールで VLANの接続とトラフィックの 確実なフィルター処理 仮想マシン アプリケーションごとのVLAN VLANトランク ネットワークのセグメント化に利用できるルータやファイアウォールには様々なものがあります。ブロケードでは、そうしたどの製品と比べても、 コストを大幅に抑えることができます。これは、x86 ハードウェアを採用することで、以下のように多面的に予算を節約する方法をとれるためです。 •• x86 関連機器の市場ではシャーシから、ネットワーク・インタフェース、メモリなどのコンポーネントまで量産品価格の調達ができ、初期投 資を節減できます。 •• 汎用ハードウェアを使用するため、データセンターにあるファイアウォールやルータ、他のサーバなどのコンポーネントを共通化でき、保守 在庫のコストを低減するとともに、可用性が向上します。 •• Brocade Vyatta は、ブレード・サーバをはじめ、ラック・マウント・サーバーやタワー型サーバにも簡単に導入できるため、物理インフラ 拡張プランのどこにでも組み入れて使用することができます。ブレード・システムでは、電源やファンをほかのインフラと共有することによりさ らに総合的な効率性が向上します。 間違い 2:サーバのみの仮想化で終わってしまう 今日、仮想化というと、多くの人はサーバの仮想化を思い浮かべます。実際、仮想化はサーバのテクノロジとして始まったものです。しかしそ こで止まってしまうと、仮想化の多くのメリットを生かしたことにはなりません。仮想化は、ネットワーク機能も対象になるということに留意する 必要があります。設備費用については、実はネットワークの仮想化からも大きな節減が可能なのです。 Brocade Vyatta は、各社のネットワーキング製品とは異なり、標準的な x86 ハードウェア上で稼働します。したがって、オペレーティング・シ ステムの Windows や Linux と同じハイパーバイザ(VMware、XenSource、Hyper-V、Red Hat KVM など)上での仮想化が可能です。 Brocade Vyatta では、1 つのアプリケーションに関連するインフラ全体を、ネットワーク・コンポーネントまで含めて仮想化できることになります。 Brocade Vyatta は、例えば 1 台のハードウェア上でいくつものインスタンスを稼働させ、それぞれに異なったアプリケーションを処理するこ ともできます(図 2 を参照)。大規模なデータセンターや、サーバを多層化したシステムの構築に適した使用法で、仮想化していないサーバに 対しても利用できます。 1台のハードウェアでVyattaのVMを複数稼働し、 それぞれで異なったアプリケーションを処理 図 2. 仮想化を使って 1 台のハードウェア上で Brocade Vyatta のインスタンスをいくつも稼働させて、それ ぞれを異なったアプリケーションに割り振ることが できます。 各アプリケーション 1 つのアプリケーションが 1 台のサーバを占有する場合には、仮想化したネットワーク・インフラをアプリケーションの仮想マシンと同じハードウェ アに置くことが考えられます(図 3 を参照) 。さらに、ファイアウォールや VPN サービスを実装すると、セキュリティ・ソリューションを効率的 に組み込むことができます。特に、Microsoft Exchange のメール・サーバなど、インターネットに直接接続するアプリケーションにセキュリティ・ サービスを実施する場合、またはアプリケーションとクライアントの間に VPN を置いて、アプリケーションに安全な通信をさせたい場合などに利 用できます。 1 2 「Virtual System, Real Risk」、Network World、2007 年 8 月 20 日、P30 図 3. Brocade Vyatta をアプリケーションと同じハード ウェアに置いて、ネットワークとセキュリティのサー ビスを提供することができます。 間違い 3:ブランチ・オフィスを仮想化していない 2006 年 10 月に、ブランチ・オフィスの IT 統合への動きを取り上げた報告書が、Forrester Research 社から発表されました(“The Evolving Branch Office: Intelligently Reducing Your Network Infrastructure Footprint”「進化するブランチ・オフィス : ネットワー ク・インフラの負担をインテリジェントに軽減」 )の報告書では、ブランチ・オフィス統合のためのベスト・プラクティスを説明しながら、究極の “Branch-in-a-box”(ブランチ・オフィス向けのワンボックスソリューション)の実現を目指す上での課題を挙げています。その中では、各種の 機能をかなりの程度まで統合するソリューションがすでに提供されているものの、 「現実的に考えて、すべての機能を 1 個にまとめたオール・イン・ ワンのソリューションが登場するとは思っていない。 」とも認めています。しかし、仮想化を利用すれば Branch-in-a-box にかなりの程度まで近 づくことは可能です。 ファイル/プリント・サーバ 電子メール・サーバ オフィスLAN インターネット VPN ファイアウォール 図 4. 複数のサーバとネットワーク・アプライアンスで構 成された典型的なブランチ・オフィス ルータ ブランチ クライアント IT 管理者の多くはデータセンターという環境における仮想化については考えるようですが、ブランチ・オフィスに点在するアプリケーションやシ ステムを仮想化によって 1 つのハードウェアにまとめることができるのです(図 5 も参照)。例えば、ローカルのメール・サーバやファイル・サー バ等は、異なったオペレーティング・システムを使っていても仮想化で 1 つのサーバ・システム上に統合することができます。 ファイル/プリントVM 電子メールVM オフィスLAN インターネット VPN ファイアウォール 図 5. ブランチ・オフィスにある各サーバを、仮想化によっ て 1 つのハードウェア・システムに統合できます。 ルータ ブランチ クライアント 現状からもう一歩前へ進むことができれば、究極のオール・イン・ワン Branch-in-a-box ソリューションをどこかのベンダが提供するのを待つ までもなく、各分野で最高のテクノロジを集めたベスト・オブ・ブリードの Branch-in-a-box を、自分の手で構築することができます。ルータ、ファ イアウォール、そして本社システムに接続するための VPN を Brocade Vyatta で仮想化して、ファイル/プリント・サーバや電子メール・サー バの仮想化システムと一緒にすると、図 6 のような構成になります。 ベスト・オブ・ブリード Branch-in-a-box ファイル/プリントVM 電子メールVM オフィスLAN ブランチ クライアント インターネット 図 6. Brocade Vyatta とサーバ仮想化を使って各種 サーバとネットワーキング機能をまとめた、ベスト・ オブ・ブリードの Branch-in-a-box を構築するこ とができます。 Vyatta VM ルータ、ファイアウォール、VPN 3 WHITE PAPER www.brocadejapan.com 間違い 4:ディザスタ・リカバリを検討の際にネットワーク仮想化を考慮していない どの企業でも、自然災害からコンピュータ・ウィルスまであらゆる緊急事態に備えて、綿密な対策が立てられています。有事の際に、できる限り 迅速に業務を復旧できるように、基幹業務のアプリケーションはバックアップを取り、データセンターの機器や電源は冗長化されています。そし て仮想化では、ディザスタ・リカバリの面でも能力を発揮する優れたテクノロジを補強できるのです。ハイパーバイザの中には、仮想マシンのスナッ プショットや、物理システムをまたいだ自動マイグレーションなどの機能が備えられたものもあり、これを使用することによってデータセンターのイ ンフラまるごとを、緊急時でもほとんど即時に 1 つの拠点から別の拠点に移行させることが可能になります。この拠点間の迅速な移行を前提にす ると、ディザスタ・リカバリ計画の策定はずっと容易になります。また付帯効果として、日常的に実施するデータ移行の作業時間も短縮できます。 問題なのは、多くの IT 管理者がサーバとアプリケーションにディザスタ・リカバリの重点を置き、ネットワークについては、ユーザの接続を保 持する上で必要な各種のサービスが当然用意されるものと思い込んでいることです。スイッチングやルーティングなどの基本的な L2/L3 インフ ラの場合は、プライマリの実働環境とバックアップ拠点に同様に用意されることもあります。しかし、ファイアウォールや VPN などのネットワー ク・サービスは、ネットワークの中に含まれているのでしょうか? それともサーバ上で稼働するアプリケーションの一部分として本来考えておく はずのものなのでしょうか? さらに具体的にいうと、プライマリの実働拠点でファイアウォールを使っている場合、そのファイアウォール・ルー ルに変更があった際には、リカバリ側のバックアップ拠点に確実に反映させていますか? バックアップ拠点のファイアウォールのファームウェア は、いつも最新の更新が行われ、パッチが当たっていますか? A A 図 7. Brocade Vyatta をサーバ仮想化とともに利用す ると、 ファイアウォールや VPN の設定を、 アプリケー ションの各種の状態と一緒にリカバリ拠点に複製す ることが可能です。 A B C D E プライマリ側データセンター A A A B D C E WAN バックアップ側データセンター ここでも仮想化によって、問題が解決されます。それは、今までのように両拠点に同じファイアウォール機器を設置して、何か変更が加わるご とにファームウェアや設定の同期に手間をかけるのではなく、仮想マシンにしたファイアウォールを、アプリケーションの仮想サーバとまったく 同様に拠点間で複製する方法をとることです(図 7 を参照)。ネットワーク構築方法によっては、両拠点の構成設定はかなり共通化されるはず です(一部の IP アドレスに調整が必要な程度)。変更が必要な個所については、簡潔な手順書に書き出して、ディザスタ・リカバリ計画に添 付することになるでしょう。このようにするとバックアップ拠点でもプライマリ拠点と同じ仮想マシンが稼働するため、ファームウェアの更新や構 成設定の変更を確実に行うことができます。 まとめのチェックリスト 間違いをなくし、仮想化プロジェクトのメリットを最大限に引き出すために、計画段階で使用できるチェックリストを示します。 1. リスクにさらされるセグメント化されていないネットワークを仮想化ツールでセグメント化します。 2. 仮想化するサーバに関連して必要なネットワーキング機能を同時に仮想化します。 3. ブランチ・オフィスの仮想化プロジェクトに、ルーティングやファイアウォール、VPN などのネットワーキング機能を取り込みます。これらを ほかのアプリケーションと一緒にハードウェアに置くことで、“Branch-in-a-box” 構築に近づきます。 4. 仮想化を使ってネットワーク機能をディザスタ・リカバリ計画に組み入れ、災害の際には、ルーティングやファイアウォール、VPN がほか のコンピュート・リソースと一緒に復旧できるようにします。 詳細については、Web サイトをご覧ください。 www.brocadejapan.com ブロケード コミュニケーションズ システムズ株式会社 〒100-0013 東京都千代田区霞ヶ関1-4-2 大同生命霞ヶ関ビル TEL.03-6203-9100 FAX.03-6203-9101 Email:[email protected] BROCADEに関するより詳しい情報は、以下のWebサイトをご覧ください。 http://www.brocadejapan.com ©2014 Brocade Communications Systems, Inc. All Rights Reserved. 01/14 GA-WP-1804-00-J ADX、AnyIO、Brocade、Brocade Assurance、B-wing シンボル、DCX、Fabric OS、ICX、MLX、MyBrocade、OpenScript、VCS、VDX および Vyatta は登録商標であり、HyperEdge、The Effortless Network、および The On-Demand Data Center は、米国またはその他の国における Brocade Communications Systems Inc. の商標です。 その他のブランド、製品名、サービス名は各所有者の製品またはサービスを示す商標またはサービスマークで ある場合があります。 注意:本ドキュメントは情報提供のみを目的としており、Brocade が提供しているか、今後提供する機器、機器の機能、サービスに関する明示的、暗示的な保証を行うものではありません。Brocade は、本ドキュメントをい つでも予告なく変更する権利を留保します。また、本ドキュメントの使用に関しては一切責任を負いません。本ドキュメントには、現在利用することのできない機能についての説明が含まれている可能性があります。機能や 製品の販売/サポート状況については、Brocade までお問い合わせください。