テクノロジー解説

ユニファイド ネットワーク サービス(UNS)

前々回のテクノロジー解説では、デスクトップ仮想化の“エクスペリエンス”を強化する Cisco VXI(Virtualization Experience Infrastructure)について、前回では仮想デスクトップとデータセンターが WAN で結ばれる場合のレスポンス時間を短縮する WAN 最適化について解説しました。今回は、仮想化の効果をサーバだけでなくデータセンター全体、さらにエンドユーザへと広げることが可能なアーキテクチャ「ユニファイド ネットワーク サービス(UNS)」と、その具体的なテクノロジーについて解説します。

UNS と仮想アプライアンスの違い

ユニファイド ネットワーク サービスは、シスコが 2010 年 9 月に発表した「データセンター ビジネス アドバンテージ」フレームワークの主要テクノロジーの 1 つです。しかし、これは単にネットワーク機器を仮想化するというものではありません。初めに、これらの違いについて説明します。

これまではネットワークにおけるアプリケーション デリバリ最適化やセキュリティ機能を実行するために、それぞれの機能に特化したアプライアンス (ハードウェア) を使用するのが一般的でした。しかし、サーバやデスクトップの仮想化が進むことによってリソースの集積と規模の拡大が進行するにつれて、従来のアプライアンスではさまざまな面で不都合が生じます。予測される不都合の1 つは仮想マシン (VM) レベルのセキュリティです。1 つのデータセンターで複数のテナントのVMをホスティングするときは、ネットワークの境界に配置される従来のファイアウォールのほかに、VM 間のトラフィックを監視するしくみが必要になります。もしVM間トラフィックの監視をしていなければ、悪意のある VM から別テナントの VM に対して攻撃や、なりすましが発生するかも知れません。もう 1 つの不都合は仮想マシンのオンデマンドでの生成や移動への追従です。仮想マシンは必要になったときに生成されるだけでなく、物理サーバのリソースが足りなくなった場合には別の物理サーバへ移動されます。しかしながら、従来のアプライアンスはこのような仮想マシンのダイナミックな生成や移動をという変化を把握できないために、変化が起きるたびに設定を変更する必要があります。仮想マシンの数が少ないうちは手作業で対応できるかも知れませんが、数千ともなると不可能です。

これらの問題は、物理的なアプライアンスを仮想アプライアンスで置き換えただけでは解決できません。そこでシスコは、ネットワーク サービスを仮想化スイッチ Nexus 1000V と連携させることでダイナミックに変化する仮想化環境に適応できるアーキテクチャを開発し、従来のアプライアンスと併せて「ユニファイド ネットワーク サービス(UNS)」ソリューションとして提供しています。このアーキテクチャでは、VMware ESX ハイパーバイザ上において 1 つの仮想マシンとして動作する VSN(Virtual Service Node)が従来のアプライアンスと同等の機能を担当します。仮想マシンの状況変化にともなってサービスの設定を変更する作業を自動化するために、VSN は Nexus 1000V の他に VMware の仮想化管理製品である VMware vCenter Server や、シスコの管理用仮想アプライアンス Cisco Virtual Network Management Center(VNMC)とも連携します。

デスクトップを仮想化するに当たって求められるものには、セキュリティ、アプリケーションのパフォーマンス、可用性といった基本的な事項に加えて、ポリシー ベースでの自動設定や高い拡張性がありますが、UNS はこれらの要件を満たすためにも役立ちます。ユーザをグループに分け、各グループに応じた設定をポリシーとして定義しておくと、ユーザが使用する仮想マシンが生成される時に事前に定義済みのポリシーが自動的に適応されますので、設定を自動化することができます。この方法ならば、クライアント数が数千といった規模に拡張しても、同じグループには同じ設定を確実に適用できます。

このページのコンテンツには、Adobe Flash Player の最新バージョンが必要です。

Adobe Flash Player を取得

VM レベルのセキュリティを実現する Cisco Virtual Security Gateway(VSG)

シスコの仮想化ネットワーク サービス製品の一つである Cisco Virtual Security Gateway(VSG)は、仮想化データセンター(特にマルチテナント環境)における VM のセキュリティを強化するためのソフトウェア(仮想アプライアンス)です。Cisco VSG は、1 つの VSN として VMware ハイパーバイザ上で実行され、Nexus 1000V と連携して機能します。VSG のセキュリティ ポリシーの管理は、Cisco VNMC というソフトウェア(仮想アプライアンス)で行います。

VSG による保護は、ゾーン ベースで行われます。ゾーンとは VM をグループ化したものであり、セキュリティ管理者はゾーン間および各ゾーンと外部との通信に関するセキュリティ ポリシーを設定します。ゾーンは、役割、部門、テナント レベルなど、階層的に設定できます。同じゾーンに属している VM が複数の物理サーバに分散していてもかまいません。VSG はゾーンごとに 1 つずつ必要ですが、どのサーバに存在していても担当ゾーンの VM を管理できるので、非常に柔軟な構成が可能です。

仮想化データセンターでは、VM がオンデマンドで生成、削除、移動されますが、VNMC と Nexus 1000V および VMware vCenter Server との連携によってポリシーが自動的に VM に追従するので、運用スタッフの負荷が軽減されます。

効率的なトラフィックのハンドリングを実現する vPath

Cisco vPath は Nexus 1000V の機能の一つで、Nexus 1000V と VM の間で送受信されるトラフィックをインテリジェントにハンドリングすることによってネットワーク サービス適用を効率化します。

具体的には、vPath はポート プロファイルに基づいてトラフィックをリダイレクトします。ポート プロファイルとは、Nexus 1000V のコンフィギュレーションの一部であり、個々のアプリケーション VM の仮想ポートに割り当てられます。トラフィックは、このプロファイルの中で指定されている VSN へリダイレクトされます。仮想マシンが移動してもポート プロファイルの適用は変わらないので、トラフィックのリダイレクトは引き続き、指定されたとおりに行われます。

vPath には、VSN の処理をオフロードするという働きもあります。たとえば、VSG(Virtual Security Gateway)の場合は、VM へのトラフィックのうち最初のパケットのみを VSG に渡して検査を行い、検査結果を vPath のキャッシュに保存します。VSGでの検査が完了した後にVM へ送られるパケットは、vPath のキャッシュに保存されている検査結果に基づいて判断されます。これによって、VSG に転送するトラフィックが削減されますので、VSG の負荷を軽減することができます。

このページのコンテンツには、Adobe Flash Player の最新バージョンが必要です。

Adobe Flash Player を取得

オンデマンド オーケストレーションに対応した WAN 最適化:Virtual WAAS(vWAAS)

Cisco Virtual Wide Area Application Services(vWAAS)は、物理的なアプライアンスである Cisco WAAS 製品の WAN 最適化機能を仮想化したものです。VSG と同様に、vWAAS も 1 つの VSN として実行されます。vWAAS では、トラフィックをリダイレクトするための機能として、Web Cache Communication Protocol(WCCP)に加えて vPath もサポートされています。このために VSG と同様に、ダイナミックに行われるVMの生成や移動に対してWAN 最適化サービスが透過的に適用されます。このために仮想化環境の規模の拡張にも柔軟に対応できます。

アプリケーションが稼働する VM と vWAAS とが別々のホスト上に存在した場合でも、トラフィックは vPath によって適切な vWAAS にリダイレクトされます。このようにして、WAN 最適化のオンデマンド オーケストレーションが可能になるため、サービス プロバイダーは自社の付加価値サービスの 1 つとしてWAN最適化の提供を謳うことができるようになります。

このページのコンテンツには、Adobe Flash Player の最新バージョンが必要です。

Adobe Flash Player を取得

まとめ:ユニファイド ネットワーク サービス(UNS)のメリット
  • プラットフォームに依存しない。ネットワーク サービスをソフトウェアとして、Cisco UCS に限らず任意の x86 サーバで実行できます。
  • オンデマンドでのプロビジョニングが可能。クラウド サービス プロバイダーや大規模企業のデータセンター運用に適しています。
  • 仮想化環境での透過性。仮想マシン(VM)が移動しても、ネットワーク サービスを引き続き適用できます。
  • スケールアウト。クライアント数が増加したときも、VNS を実行する仮想マシンを増やすことによって対応できます。
  • マルチテナント対応。複数のテナントを同じサーバ上でホスティングするようなケースにも、従来の物理アプライアンスに比べて柔軟に対応できます。

お問い合わせ