VMWare と Microsoft は Software-Defined Datacenter (ソフトウェア定義のデータセンタ) ソリューションの提供を開始する。これはすべてのリソース – コンピューティング,ストレージ,可用性,ネットワーク,セキュリティ – を仮想化し,操作を自動化するものだ。今回の記事では,その最新の追加機能であるネットワークとセキュリティの仮想化に注目する。
VMware と Microsoft 両社は,パブリック,プライベート,ハイブリッドすべての形式のクラウドソリューションの基盤として,完全に自動化されたデータセンタを提供するための最終段階に達している。VMware はこのテクノロジを Software-Defined Datacenter (SDDC) と呼んでいるが,それに対して Microsoft では,データセンタを自動化するパズルの最後の1ピースとしての Software-Defined Networking (SDN) を強く主張する。コンピューティングとストレージ,そして可用性,この3つのリソースについては,すでに何年も前から自動化されている。しかしネットワークの仮想化と自動化,それに関連するポリシとセキュリティに関しては,各企業が取り組みを続けている真っ只中だ。そのようなソリューションのひとつが VMware の vCloud Suite であり,Microsoft の Windows Server 2012 と System Center 2012 SP1,仮想マシンマネージャなのだ。
先日の VMware World 2012 で発表された vCloud Suite 5.1 は,ネットワークやセキュリティを含むすべてのリソースを仮想化,集積化,自動化したデータセンタを構築可能にする製品である。vCloud Network and Security は,仮想ファイヤーウォールや VPN,ロードバランス,VXLAN ネットワークなどの新機能を適用するために動的に変更可能な,マルチテナント仮想ネットワークを構築する。同社クラウドインフラストラクチャ・ビジネスユニットでセキュリティとネットワークを担当する VP/CTO の Allwyn Sequeria 氏は,Software-Defined Network の主な特徴 について次のように説明している。
- 抽象化(ABSTRACTION)。ネットワークはポート (VM 側では仮想 NIC) の集合として,セキュリティはポート側ではファイアウォールの集合として,エンドポイント(端末)ではイントロスペクションとして抽象化されます。これら2つが仮想スイッチ (vSwitch) および 仮想ファイアウォール (vSheild) を通じてそれぞれインスタンス化され,各ホストのハイパーバイザに対してスケールアウト方式で提供されます。ネットワークとセキュリティの仮想化レイヤは,それぞれの基盤である物理ネットワークとファイアウォールアーキテクチャから VDC を事実上解放するとともに,スタック構築のための論理的な基礎を提供します。
- 集積化 (POOLING)。vSwitch は仮想分散スイッチ (VDS) 内に,ポートはポートグループ内に,それぞれ収集されます。論理的ネットワークはポートグループを活用して,データセンタの境界を越えたインスタンス化を実現します (VXLAN)。ポートファイアウォールは vShield App あるいは Edge として具象化されます。VM ベースのセキュリティは vShield Endpoint とエンドポイントでセキュリティパートナが提供する機能によって実現されます。配信がスケールアウト的に行われることにより,これらのプールは柔軟性を持って,データセンタ全体のテナントあるいはアプリユーザの要求に応じたリソース配分を実現します。
- サービス追加 (SERVICE INSERTION)。プラットフォームには暗号化,侵入検知および防止,アンチウィルス,アプリケーション配信コントローラ,データ漏洩防止,WAN 最適化管理,監視ツール,その他レイヤ4~7のサービスが簡単に追加できるような拡張性が求められます。ネットワークおよびセキュリティ仮想化レイヤは,このようなサービスを簡単に追加するための論理的コンテキストを提供します。
- 自動化 (AUTOMATION)。VM がサーバ仮想化のコンテナであるのと同じように,仮想データセンタ (Virtual Data Center / VDC) は SDDC のためのコンテナです。VDC の展開は vCloud Director によって完全に自動化されます。コンピューティングとストレージはポリシに基づいて,ネットワークとセキュリティは vCloud Networking & Security サブシステムに処理を委譲することで配信を行います。すべての抽象概念とプールは,集中型の管理コマンド機構 (vSheild Manager) によって管理されます。さらにこの機構は,テナントやアプリといった高レベルエンティティのニーズに対するためのプールの管理とマッピングや,高位の仮想コンテナとの同期に対しても責務を持っています。マルチテナンシやアイソレーション,柔軟性,RESTful なインターフェースを通じたプログラマビリティ,などといった概念もここで処理されます。
先日のブログ記事では,Microsoft の Windows ネットワーキングチーム GM の Sandeep Singhal 氏と,同じく SCVMM チームのプログラムマネージャである Vijay Tewari 氏が,Windows Server 2012 と System Center 2012 SP1 に組み込まれた Software-Defined Network の機能に関して,仮想ネットワークを用いて IP アドレスを変更せずにユーザのデータセンタを Windows Azure に移行する方法を説明している。
Hyper-V Network Virtualization は,共有されている物理ネットワーク上でマルチテナント仮想ネットワークを提供することによって,クラウドにネットワーク・フレキシビリティを提供します。各テナントにはそれぞれ,仮想サブネットや仮想ルーティングを備えた完全な仮想ネットワークが与えられます。(一般的なネットワーク仮想化ソリューションでは,テナントが持てるのはたったひとつのサブネットだそうです!) 各ホスト上では Hyper-V が,更新可能な SDN ポリシを動的に使用して,テナントネットワークと直接トラフィックと通信先への適切な直接トラフィックとの結び付けを行います。同時に SDN ポリシは,これらテナントの VM との通信を許可すべき VM を判断することによって,所定のアイソレーションを確保します。結果として Hyper-V Network Virtualization では,テナントのワークロードを物理的データセンタの任意の場所に配置できるのです。テナントネットワークではプライベート IP アドレスの使用も可能です (他のテナントが使用しているアドレスと重複しても構いません)。これによってテナントは既存のワークロードを,自分たちの IP アドレスを引き継いだまま,即座にクラウドに移行することができます。実際に,Windows Server 2012 は相互運用性のあるクロスプレミス接続をサポートしているので,パブリッククラウド上のサブネットをローカルネットワークに接続するような操作も可能です。…
さらに弊社の SDN ソリューションは,Hyper-V 仮想スイッチ上の機能豊富なトラフィックコントロールポリシ上に構築されています。トラフィックのタイプ(および通信先)を制限するためのセキュリティポリシも,VM 単位で設定することが可能です。また,ミッションクリティカルなサービスが常に必要なネットワーク能力を使用できるように,特定の VM 用の通信帯域幅を確保すること,あるいは帯域に上限を設定してトラフィックの枯渇回避やさまざまな課金モデルを実施すること,なども可能です。さらには,このようなネットワークのコントロールポリシがダイナミックであるため,リアルタイムに調整を実施することもできます。
Singhal,Tewari 両氏は同社のネットワーク仮想化ソリューションについて,"4,000 を超える物理ホスト上で数万の VM を対象とした通信を編成する" Azure データセンタ内で製品レベルのテストが実施されている,と主張している。その一方で,VMware のソリューションはオープンスタンダードを基本において構築されているので,この 白書 で説明しているように,ハードウェアや仮想アプライアンスを使用するようなサービスをサードパーティが構築し,仮想ネットワークの任意の場所に設定してトラフィックにアクセスすることも可能だという。