Cisco Nexus 2000 シリーズ ファブリック エクステンダ(FEX)

仮想マシン ネットワーキング:標準とソリューション

ホワイト ペーパー





仮想マシン ネットワーキング:標準とソリューション



このドキュメントの内容


サーバ仮想化の登場により、データセンター ネットワーク設計における 2 つの基本的な前提が変化しました。複数の OS イメージ(または仮想マシン)が同じ物理サーバおよび I/O デバイスを透過的に共有できるようになり、OS イメージとネットワーク間の関係が動的なものになりました。ネットワークのアクセス レイヤはさらに拡張し、同じサーバ内の異なる仮想マシン間でのローカル スイッチングをサポートするので、各ネットワーク アクセス ポートが単一イメージを実行している単一物理サーバに対応するという前提は無効になります。この状況をさらに複雑にすることには、各仮想マシンは 1 つのデータセンター内、あるいは複数データセンターにわたる物理サーバ間で移動することができます。

ネットワーク仮想化の 1 つのオプションは、ソフトウェア スイッチをハイパーバイザの一部として実装することです。もう 1 つのオプションは、スイッチング機能を外部スイッチによって実行できるようにすることです。2 つのアプローチは、それぞれメリットがあり、異なるワークロード プロファイルやデータセンター設計のための相補的なオプションとして見る必要があります。

このドキュメントでは、仮想ネットワーキングに関する 2 つの主要な標準について説明し、既存の Cisco® ソリューションの概要を説明します。

定義:仮想組み込みブリッジ、ヘアピン転送、マルチチャネル、およびポート拡張機能


シスコと他の主要な業界ベンダーは、仮想化環境におけるネットワーキングの課題に対処するために、IEEE で標準化の提案を行っています。その成果である標準化過程が、IEEE 802.1Qbg エッジ仮想ブリッジおよび IEEE 802.1Qbh ブリッジ ポート拡張です。注目すべき点は、これらの標準化作業では、導入可能でサポート可能なソリューションを提供するために必要なネットワークとハイパーバイザ間の管理機能を扱う代わりに、仮想ネットワーク スイッチ(またはブリッジ)のデータ プレーン機能の規定に重点が置かれたという点です。

仮想組み込みブリッジ

Virtual Embedded Bridge(VEB; 仮想組み込みブリッジ)は、仮想化アプリケーションで使用される組み込みブリッジです(図 1)。VEB に関する独立した標準はありません。VEB は、ハイパーバイザ内に存在する IEEE 802.1Q 標準に完全準拠したイーサネット ブリッジの場合もあります。また、VEB はハイパーバイザに対応し、合理化されたアプローチをとる場合もあります。たとえば、VEB が MAC アドレスを学習するのではなく、ハイパーバイザから MAC アドレスを取得することもあります。ハイパーバイザ ベンダーから提供される VEB は、多くの場合、従来のブリッジ管理機能ではなく、ハイパーバイザ管理ツールを使用して管理されます。

図 1 仮想組み込みブリッジ

図 1 仮想組み込みブリッジ


Cisco Nexus® 1000V スイッチは、後のセクションで詳しく説明するように、極めて高度な VEB の例です。つまり、既存のすべてのブリッジおよびサーバと連動する標準の IEEE 802.1Q ブリッジとして機能し、既存のフレーム形式を変更する必要はありません。

VEB のアプローチは、柔軟でユビキタスな導入、高密度な仮想マシン環境、および新機能の迅速な導入を実現できるので、現在および将来のデータセンター環境にとって極めて重要です。

外部ハードウェア スイッチ

標準化過程と市場リーダーによって提案されたソリューションの相補的なアプローチでは、VEB、ハイパーバイザ、またはアダプタ上で、仮想マシンから送信されるすべてのトラフィックを外部制御スイッチ(従来のアクセス レイヤ スイッチ)に転送するモードが可能になります。

このカテゴリ内で、さらにタグなし(ヘアピン転送)オプションとタグ付き(マルチチャネルおよびポート拡張)オプションを区別することができます。これらのオプションは現在、IEEE において、IEEE 802.1Qbg および 802.1Qbh プロジェクト内で開発中です。

Cisco UCS M81KR Virtual Interface Card(VIC; 仮想インターフェイス カード)は、外部制御スイッチを使用して仮想マシン トラフィックをスイッチングする完全なポート拡張ソリューションの例です。外部スイッチの使用には、仮想スイッチングと物理スイッチング インフラストラクチャを 1 つのエンティティに統合し、管理インフラストラクチャを簡素化するという利点があります。

IEEE 802.1Qbg エッジ仮想ブリッジ


ヘアピン転送

ヘアピン転送(図 2)は、仮想マシン トラフィックのスイッチングに外部制御スイッチを使用する唯一のタグなしオプションです。

図 2 IEEE 802.1Qbg ヘアピン転送

図 2 IEEE 802.1Qbg ヘアピン転送


このアプローチでは、VEB は仮想マシンから送信されるすべてのフレームを隣接する制御スイッチに転送します。制御スイッチはそれらのフレームにさまざまなポリシーを適用した後、再び VEB に転送します。次に VEB は、MAC アドレスと VLAN ID に基づいて、フレームを適切な仮想マシン(またはマシン)に転送します。

IEEE 802.1Qbg では、スイッチ ポートで受信したパケットを同じポート上にピン接続できるようにする制御スイッチの機能を規定しています。この動作をヘアピン転送と呼びます。ハイパーバイザ、Network Interface Card(NIC; ネットワーク インターフェイス カード)、または VEB でこのリレー機能がどのように使用されるかは標準に規定されていないので、ベンダー依存の独自仕様になります。

ヘアピン転送および独自仕様のリレー機能はタグを必要としないため、簡単に実装できます。これらの機能では、高度なポリシーやモニタリング機能からコンピューティング リソースを部分的に解放します。これは制御スイッチへのオフロードによって実現しますが、代わりにリンクの帯域利用率が増加します。ほとんどのサーバ アクセス スイッチは、この機能をソフトウェアのアップグレードによって実現できます。つまり、ハードウェアの変更は必要ありません。このオプションは、仮想マシンをまたがってグローバルに適用する必要のあるポリシーに適しています。ただし、このアプローチは仮想マシンのサブセットにポリシーを適用する機能が大きく制限されます。

このモードでは、リレー機能を実装するためにハイパーバイザに対して非標準の変更が必要になります。また、高度なポリシーやモニタリング機能からコンピューティング リソースが部分的に解放されますが、各パケットは VEB を 2 度通過する必要があるため、この利点は CPU リソースの消費で相殺されます。さらに、管理の点から見れば、VEB と制御スイッチという 2 つの異なる要素が存在するために、同じ仮想マシン トラフィックに対して、特定の機能がどこに適用および実装されるかを決定するための調整が必要となります。

現在のところ、独自仕様のリレー機能を備えた製品は出荷されていません。

マルチチャネル機能

ヘアピン転送の動作は、この機能を使用してマルチキャスト フレームの送信元抑制を実行するデバイスの能力に依存します。このような送信元抑制には、デバイスで使用されているすべての MAC アドレスを認識することが必要となります。しかし、ファイアウォールやロード バランサなどの大規模なデータセンター アプリケーションでは、この認識は不可能です。マルチチャネル アプローチ(図 3)では、このような重要アプリケーションを処理するために、仮想マシン トラフィックの送信元と宛先を明示的に指定するタグを導入することで、これらの制限の一部を克服しています。

図 3 IEEE 802.1Qbg ヘアピン転送およびマルチチャネル

図 3 IEEE 802.1Qbg ヘアピン転送およびマルチチャネル


マルチチャネル アプローチでは、VEB と制御スイッチの新しい機能を規定しています。VEB は引き続きスタンドアロン デバイスとして管理されます。マルチチャネル機能の導入は、どちらかといえばスイッチの追加に相当するもので、管理がさらに複雑になります。

マルチチャネル機能では、マルチキャスト フレームが効率的に処理されません。マルチチャネル導入環境のチャネルごとに各マルチキャスト フレームのコピーが別々に必要となるため、帯域幅が余分に消費されます。

マルチチャネル機能は IEEE 802.1Qbg でオプションとして規定されています。現在のところ、マルチチャネルをサポートする製品は出荷されていません。

ブリッジ ポート拡張

IEEE 802.1Qbh では、ポート エクステンダという新しいデバイスが導入されています。ポート エクステンダは 1 つの制御スイッチに 1 つ以上接続できます。制御スイッチとその一連のポート エクステンダによって、1 つの拡張スイッチが構成されます。拡張スイッチは、制御スイッチを介して 1 つのエンティティとして管理されます。制御スイッチにポート エクステンダを追加するのは、従来のスイッチにライン カードを追加するようなものです。

マルチチャネル アプローチと同様に、ポート拡張(図 4)ではタグの使用が規定されています。タグがフレームに追加されることで、制御スイッチがフレームの送信元拡張ポートを識別し、フレームを宛先拡張ポートに明示的に送信できるようになります。

図 4 IEEE 802.1Qbh ポート拡張

図 4 IEEE 802.1Qbh ポート拡張


前述のとおり、マルチチャネル機能では、制御スイッチが、同じブロードキャストまたはマルチキャスト フレームを何度も送信する必要があります(マルチチャネル導入環境のチャネルごとに 1 回)。スイッチは同じ出力キューに同じパケットのコピーを複数作成してキューイングしなければならないため、ハードウェア変更の必要が生じ、回線使用も極めて非効率になります。ポート エクステンダを使用すれば、制御スイッチは複製制御タグを追加したフレームを 1 回送信するだけで済みます。ポート エクステンダはフレームを適切なポートに複製するので、ポート エクステンダの効率は大幅に向上します。

さらに、ポート エクステンダはカスケーディングが可能です。カスケーディングには、いくつかの利点があります。カスケーディングにより、複数のネットワーク レイヤを 1 つのレイヤとして管理できます。また、カスケーディングを行わない場合、サーバが接続される制御スイッチは、ネットワーク階層で最も単純なデバイスである可能性が高く(ブレード スイッチまたはアクセス スイッチ)、仮想マシン トラフィックのスイッチングに必要となる高度な機能(高度な Quality of Service(QoS)、ポリシー適用、トラブルシューティングなど)をサポートしないことがあります。この場合、必要な機能を持つスイッチが配置されるまで、ポート エクステンダを階層上にインストールすることができます。

シスコは 2009 年以降、VNTag を実装する先行標準のポート拡張製品を出荷しています(Cisco Nexus 5000 シリーズ スイッチおよび Cisco Nexus 2000 シリーズ ファブリック スイッチの分散アクセス アーキテクチャ、Cisco Unified Computing System™ の Cisco UCS M81KR VIC)。これらの製品は、現在開発中のポート拡張標準で規定されるものと同じ機能を提供します。IEEE 802.1Qbh 標準の完成後、シスコは VNTag と標準ベースのソリューションの異種混在環境を完全にサポートする製品を提供できる見込みです。

シスコ、業界をリードする仮想マシン サポートを提供


シスコは、Cisco VM-FEX テクノロジーで仮想マシン対応ネットワーキングの先頭に立っています。Cisco VM-FEX テクノロジーにより、ネットワーク インフラストラクチャは仮想マシン対応となりました。このテクノロジーでは、お客様が物理デバイスで使い慣れているのと同じレベルの可視性、セキュリティ、およびトラブルシューティング機能を備えた仮想マシン用ツールが提供されます。

Cisco VM-FEX テクノロジーは、次のことを実現可能にします。

  • ポリシーベースの仮想マシン ネットワーキング
  • 仮想マシンの移行による透過的なネットワークおよびセキュリティ ポリシーのモビリティ
  • ネットワーク管理者が仮想および物理ネットワーキング リソースを一貫したツールで管理する、中断のない運用モデル

Cisco VM-FEX 製品のポートフォリオは、お客様の多様なニーズに対応するさまざまなオプションを提供します。Cisco VM-FEX テクノロジーは、高性能なハードウェア スイッチングと同時に、高度なハイパーバイザ スイッチングを実現します。柔軟で拡張性に優れ、開発中の標準との相互運用が可能で、サービスに対応しています。

Cisco Nexus 1000V

VM 対応ネットワーキングを実現する最初の製品は、Cisco Nexus 1000V です。Cisco Nexus 1000V は、VMware vSphere 向けの業界で最も高度なソフトウェア スイッチで、単一の管理ポイントから最大 64 の VMware ESX ホストに対してスイッチングを提供します。Cisco NX-OS ソフトウェアを基盤とし、QoS、アクセス コントロール リスト(ACL)、Encapsulated Remote Switched Port Analyzer(ERSPAN)、NetFlow、コントロール プレーン セキュリティ機能、ネットワーク サービスの統合などの高度な機能を提供します(図 5)。

図 5 Cisco Nexus 1000V シリーズ スイッチのアーキテクチャ

図 5 Cisco Nexus 1000V シリーズ スイッチのアーキテクチャ
※画像をクリックすると、大きな画面で表示されますpopup_icon


Cisco Nexus 1000V は、2 つの主要なコンポーネントで構成されています。これらのコンポーネントは、冗長スーパーバイザ機能を使用してモジュール式イーサネット スイッチを仮想的にエミュレートします。

  • Virtual Ethernet Module(VEM; 仮想イーサネット モジュール)データ プレーン:この軽量ソフトウェア コンポーネントは、ハイパーバイザ内で動作します。VEM は、高度なネットワーキングおよびセキュリティ機能を有効にし、直接接続された仮想マシン間でスイッチングを行い、残りのネットワークにアップリンク機能を提供し、仮想スイッチ(vSwitch)を効果的に置き換えます。VEM は各ハイパーバイザに組み込まれています。
  • Virtual Supervisor Module(VSM; 仮想スーパーバイザ モジュール)コントロール プレーン:これは外部の物理または仮想スタンドアロン アプライアンスで、VMware vCenter との統合のほか、システム全体(つまり VSM そのものと、その VSM の制御下にあるすべての VEM の組み合わせ)の設定、管理、モニタリング、診断を行います。1 つの VSM で最大 64 の VEM を管理できます。VSM はアクティブ/スタンバイ モデルで展開できるので、高い可用性が得られます。

Cisco Nexus 1000V を使用すれば、仮想マシン間のトラフィックは VEM の各インスタンスでローカルにスイッチングされます。各 VEM はまた、アップストリーム アクセス レイヤ ネットワーク経由で、ローカル仮想マシンをネットワーク全体に相互接続する役割も担っています。VSM は、コントロール プレーン プロトコルを実行し、これに応じて各 VEM のステートを設定しますが、実際のパケットの転送にはまったく関与しません。

Cisco UCS M81KR VIC

Cisco UCS M81KR VIC は、仮想化のために最適化されたデュアルポート 10 ギガビット イーサネット統合型ネットワーク アダプタ(CNA)で、VMware とシスコを共同使用するお客様にとってはベアメタルに近い I/O パフォーマンス、管理の容易さ、およびネットワーク可視性の利点が実現します(図 6)。

図 6 Cisco UCS M81KR VIC

図 6 Cisco UCS M81KR VIC
※画像をクリックすると、大きな画面で表示されますpopup_icon


VIC では、2 つの主要な新技術が提供されています。

  • Cisco VM-FEX(Virtual Machine Fabric Extender)を使用した、ポート拡張と同様の機能:VIC は、シスコの VM-FEX テクノロジーを実装した最初の製品です。VM-FEX は、物理ネットワーク スイッチに個別の仮想マシンの仮想ポートを提供することにより、ハイパーバイザ内の vSwitch を不要にしています。仮想マシン I/O はアップストリームの物理ネットワーク スイッチに直接送信され、このスイッチが仮想マシンのスイッチングとポリシー適用を全面的に担当します。このアプローチにより、すべての仮想または物理ネットワーク トラフィックに対して一貫した処理が行われます。VM-FEX は、仮想スイッチング レイヤと物理スイッチング レイヤを 1 つのレイヤに統合し、ネットワーク管理ポイントの数を大幅に減少させます。
  • ハイパーバイザ パススルー:VIC は、VMware VMDirectPath テクノロジーを使用して仮想マシン I/O のスループットを大幅に向上させ、遅延を改善します。VMware VMDirectPath により、PCIe デバイスを仮想マシンに直接割り当てることが可能になります。仮想マシン I/O は、ハイパーバイザ レイヤをバイパスして、仮想マシンに関連付けられた PCIe デバイスに直接配置されます。Cisco VIC には、業界で初めてこのテクノロジーが実装されました。VMware VMDirectPath は VMware vMotion をサポートしているので、動的なワークロード管理が可能になります。

Cisco VIC は、VMware と Red Hat 両方の仮想化環境で VM-FEX の機能を実現します。

図 7 VM-FEX のモード

図 7 VM-FEX のモード
※画像をクリックすると、大きな画面で表示されますpopup_icon


まとめ


  • Cisco Nexus 1000V は、標準の IEEE 802.1Q ブリッジで、独自のタグは必要ありません。
  • ポート拡張機能とマルチチャネル機能では、新しいタグが必要になります。
  • ポート拡張機能とマルチチャネル機能では、NIC と制御ブリッジ ハードウェアの変更が必要になります。
  • ポート拡張は仮想化環境の外部でも使用でき、管理の簡素化やデバイス数の削減など、強力な利点があります。このような非仮想化の例として、Cisco Nexus 5000 および 2000 シリーズを使用した分散アクセス レイヤ設計があります。
  • Cisco Nexus 1000V は、発売以来、100 万を超えるポートが出荷されています。
  • Cisco UCS M81KR VIC は、2010 年第 1 四半期の発売以来、数十万の仮想ポートが出荷されています。
  • Cisco Nexus 5000 および 2000 シリーズ分散アクセス アーキテクチャは、発売以来、200 万を超えるポートが出荷されています。
  • 現時点では、仮想ネットワーキングに関連する標準はすべてドラフト段階です。
  • シスコの仮想化オファリングは継続的に発展しており、仮想ネットワーク サービスや高度な実験的機能を追加して拡張が進められています。

関連情報


次のリンクを参照してください。

  • IEEE 802.1Qbg のドキュメント:http://www.ieee802.org/1/pages/802.1bg.html [英語]
  • IEEE 802.1Qbh のドキュメント:http://www.ieee802.org/1/pages/802.1bh.html [英語]
  • VM-FEX テクノロジー:http://www.cisco.com/jp/go/vmfex/
  • Cisco Nexus 1000V:http://www.cisco.com/web/JP/product/hs/switches/nexus1000/index.html
  • Cisco Nexus 5000 および 2000 シリーズ分散アクセス アーキテクチャ:
    http://www.cisco.com/web/JP/product/hs/ucs/cum/prodlit/solution_overview_c22-555987.html
  • Cisco UCS M81KR VIC:
    http://www.cisco.com/web/JP/product/hs/ifmodule/ucsa/m81kr_vic/index.html
  • http://www.cisco.com/web/JP/product/hs/ucs/cum/prodlit/solution_overview_c22-555987.html
  • http://www.cisco.com/web/JP/product/hs/ucs/ucs_b/prodlit/data_sheet_c78-525049.html