テクノロジー解説

仮想マシンを個別に認識し、仮想マシンごとにケアできるネットワークを実現

ネットワーク側から見た場合、仮想マシンと物理マシンの大きな違いは、物理的なネットワーク接続の先に複数のマシン(ノード)が存在し、しかもそのノードが別のネットワーク接続に移動してしまうということでしょう。このような特性が、ネットワークにどんな影響を及ぼすかを考えてみましょう。

ネットワークやストレージから個々の仮想マシンを識別できない。

 物理サーバ上に複数の独立した仮想マシンが存在する仮想化環境でも、物理サーバを使用している場合と同様に、それぞれのサーバ(仮想マシン)とのネットワーク接続に対してセキュリティなどのポリシーを設定する必要があります。しかし、仮想マシン環境ではネットワーク側から個々の仮想マシンを識別できないため、個別のポリシーを割り当てることが困難になります。また、仮想マシンがライブマイグレーション等によって別の物理サーバに移動してしまうと、ポリシーの再設定が必要になります。そのために管理に手間がかかり、その煩雑さのためにネットワーク ポリシーの設定を諦めてしまうことさえあります。これでは、セキュリティなどの面で問題が発生する可能性があります。



仮想スイッチはネットワークなのかサーバなのか。

 仮想化されていない環境であれば、物理サーバはアクセス スイッチに接続されます。仮想サーバの場合は、物理サーバのなかに複数のサーバが存在しているため、アクセス スイッチにあたる機能をソフトウェアで実行しています。これが、「仮想スイッチ」です。つまり、サーバのなかにネットワークが内蔵されているような形になっているのです。ただし、これを管理するのは、通常、サーバ管理者です。



ネットワーク トラフィックを予測しにくい。

 仮想マシン間のデータ送受信は、必ずしもネットワークを経由するとは限りません。同じ物理サーバ内の仮想マシンどうしであれば、ネットワークにトラフィックが出ていくことなく、データが送受信されます。そのため、ネットワーク管理者にとっては、予想のつきにくいトラフィックが発生する可能性があり、ネットワーク プランが立てにくくなります。

 また、物理サーバと物理ネットワークの世界では、サーバ接続やセキュリティに問題があった場合、スイッチド ポート アナライザ(SPAN)技術などを使用してサーバ間トラフィックの解析が可能でしたが、同じ物理サーバ内の仮想マシンどうしでは難しく、トラブル解析が困難なものになります。

VN-Linkの実装 − Cisco Nexus 1000V スイッチ

VN-Linkは、このような仮想化環境の課題を解決するソリューションです。多くのサーバ仮想化の実績をもつ VMware とネットワークの専門家であるシスコが共同で開発したもので、仮想サーバと物理スイッチの間を“ネットワーク”として管理することを可能にします。そして、このVN-Linkを実現しているのが、Cisco Nexus 1000V スイッチです。

 Cisco Nexus 1000V 仮想マシン アクセス スイッチは、VMware ESX 環境用に実装されたインテリジェント ソフトウェア スイッチで、VMware ESX ハイパーバイザの内部で実行されます。Cisco Nexus 1000V スイッチには 2 つの主要コンポーネントがあります。1 つは Virtual Ethernet Module(VEM)で、ハイパーバイザの内部で実行されます。もう 1 つは外部の Virtual Supervisor Module(VSM)です。

 VEM は、VMware vSwitch の機能の代わりにパケットのスイッチングをする、データプレーンの役割を果たします。1 台の物理モジュラー スイッチに I/O モジュールがあるのと同じように、VEM は Cisco Nexus 1000V においてモジュールとしての機能を担います。

 複数の物理サーバをまたがるVEMを、制御するコントロールプレーンの役割はVSMが果たします。VSM は、Cisco IOS とほぼ同じ操作感の Cisco NX-OS によって制御され、全体で1つのCisco Nexus 1000V スイッチとして機能するようになっています。

Cisco Nexus 1000Vでは、仮想スイッチの監視・設定・管理をCisco NX-OSを搭載した VSM から実行できるため、ネットワーク管理者にとっては、通常のネットワークを管理するのと同じ要領で仮想スイッチの監視・設定・管理できます。また、vCenterなどの仮想マシンを管理するツールにより、GUI を使って物理マシンごとにネットワークを設定できるので、運用の簡素化および生産性の向上が見込まれます。

また、Cisco Nexus 1000V スイッチが複数のESXをまたがって1台のスイッチのように動作するため、仮想マシンの移動があったとしても、その仮想マシンに設定されたネットワーク ポリシーはそのまま適用されます。これにより、セキュリティ コンプライアンスが向上します。

将来的にはハードウェア ベースのVN-Linkも登場

VN-Link のネットワーク サービスの第一弾として近日提供するのは VMware ESX 環境で Cisco Nexus 1000V スイッチを使用している場合です。

さらにシスコでは、ハードウェア ベースでの VN-Link の実装も計画しています。現在のCisco Nexus 1000V の機能を外部のハードウェアに集めたものだと考えてください。



ソフトウェア ベースの VN-Link は、ASIC の作り込みが必要ないため、新しい機能の追加が簡単です。また、物理的に余分なホップを経由しないため、同一物理サーバ内の仮想マシン間通信の遅延が非常に小さいといった特長があります。一方、ハードウェアベースのVN-Linkには以下のような特徴があります。

  • Cisco Nexus 1000V のようなソフトウェア ベースの実装に比べて、様々な処理を専用のハードウェアで実行できるため、高いパフォーマンスの実装が可能
  • すべての仮想スイッチのスイッチング機能が1台のハードウェアに集約されるため、仮想ネットワークと物理ネットワークの統合設定・管理が可能になる

しかし、ハードウェア ベースのVN-Link を実現するためには、新たな工夫が必要になります。それは、ある物理ポートから届いたパケットが、どの仮想マシンから来たものであるかを判断する方法が必要になるということです。そのためにシスコでは、VN-Tag という手法を提案しています。これは、物理サーバから出て行くパケットにタグ付けを行うことで、送信元の仮想マシンを識別するという方法です。サーバのネットワーク インタフェースがこのタグ付けを行い、スイッチでタグと仮想イーサネット インターフェイスとのマッピングを行います。送信先の物理サーバでは、タグが取り外されて目的の仮想マシンにパケットが届きます。

タグ付けの機能を提供するものを「VN-Tagイニシエーター」と呼びます。VN-Tagイニシエーターは、ハードウェアとソフトウェアでの実装を予定しています。

現在、シスコでは、このVNTagを「Network Interface Virtualization」としてVMware社と共同で IEEE 802.3 タスクフォースに標準化のため提出しています。

お問い合わせ

シスコのキーパーソンが語る製品開発への情熱