VMware SD-WANの最新動向
はじめに
前回は、VMware SD-WANの事例を紹介しました。最終回となる今回は、VMware SD-WANの最新情報をまとめて紹介します。
vRealize Network Insightを使った運用管理
VMware SD-WANでは、SaaS提供される「VMware SD-WAN Orchestrator」による一元的な運用管理を実現していますが、さらに高度な運用管理を実現するために「vRealize Network Insight」との連携が可能です(図1)。
vRealize Network Insightとの連携が可能になって1年以上が経過しており、本連載執筆時の最新版であるバージョン6.1ではより高度な連携が可能になっています。ここでは、最新版で追加された新機能を紹介します。
Path tunnel visibility
すべてのVMware SD-WANのトンネルの健全性をトポロジ―で簡単に確認できます。例えば、図2の画面では2拠点を接続する3本のトンネルのうち1本は健全な水色で、2本は何らかの異常を検知している赤色で表示されています。このような情報は、ドリルダウンすることでより詳細な各トンネルの情報にアクセスできます。
ISPダッシュボード
ISPダッシュボードではISPの問題を把握できます。VMware SD-WAN Orchestratorでも各Edgeが利用している回線品質を確認できましたが、利用しているISP単位での表示には対応していませんでした。
ISPダッシュボードは、特定のISPを利用しているVMware SD-WAN EdgeのリストやISPと接続しているリンクのリストからメトリックを表示できるISPに焦点を当てた機能となっています。具体的にはQoE値やパケット損失、遅延、ジッターおよび複製された送受信パケットや再送信された送信パケットを確認できます(図3)。
特定地域のEdgeもしくはISPに共通した問題のトラブルシュートに活用できるでしょう。
フローRTT
フローRTTは、vRealize Network InsightでVMware SD-WAN Edgeの通信フローからRTTおよびTCP再送信パケットを解析する機能です。
一般的に、RTTの値は宛先までの物理的な距離やサーバの応答時間、中継する機器数、輻輳やレイテンシなどにより変動します。フローRTTでは選択した基準に基づいて、様々な範囲のTCPラウンドトリップ時間(RTT)値から異常フローを見つけて可視化します。図4の例では3種類が示されていますが、30~120msの2フローのうち1フローが異常なフローとして示されています。このように特定のフローで正常/異常を確認できるため、RTTがどの程度フローに影響しているかを把握できます。
なお、ISPダッシュボードやフローRTTはVMware SD-WAN Orchestratorでは可視化されないため、vRealize Network insightと連携する必要があります。
イベント管理
VMware SD-WAN OrchestratorとvRealize Network Insightでは、表示されるイベントの粒度が異なります。
VMware SD-WAN OrchestratorはVMware SD-WAN EdgeやWANリンクのアップダウンイベントはもちろん、様々なイベントを表示できますが、品質の劣化はイベントに表示されず、常に「いつ劣化が発生したのか」を追う必要がありました。
vRealize Network InsightではQoEの劣化が発生した場合やパケットロスの閾値を超えた場合にイベントから確認できるため、より容易に品質を監視できます(図5)。
vRealize Network InsightはVMware SD-WANだけでなく、VMware NSXや物理ネットワーク機器、パブリッククラウドのネットワークなど、ネットワーク全般の運用管理を支援します。これまで紹介してきたようにVMware SD-WAN Orchestratorではカバーしきれなかった特定のメトリックの監視などを補完し、データセンターのネットワーク全体の運用支援を提供します(図6)。
VMware Edge Network Intelligenceによる
LAN環境の統合管理
VMware社は、2020年1月に企業内LANのAIOpsプラットフォーム「Nyansa Voyance」を提供するNyansa社を買収し、VMware SD-WANへの統合を発表しました。現在は「VMware Edge Network Intelligence」と再ブランディングされて提供しています。VMware SD-WANのエッジデバイスを展開時に分析機能を有効にすることで容易に連携できるようになっています。
【参考】VMware SD-WAN Orchestrator での VMware Edge Network Intelligence の有効化
https://docs.vmware.com/jp/VMware-SD-WAN/4.2/VMware-SD-WAN-Edge-Network-Intelligence-Configuration-Guide/GUID-34106F51-4ACE-4EA7-89D0-F8E4BCDB7251.html
VMware Edge Network Intelligenceを利用することで、前述のvRealize Network Insightで確認したデータセンターネットワークだけでなく、エッジサイトで発生しているネットワークの問題も容易に分析できるようになります(図7)。
分析できる問題として代表的なものは以下のとおりです。
- Zoomで在宅勤務するユーザーにとって最悪のISPはどれか
- Wi-Fiのパフォーマンスが最も悪い拠点はどれか
- 接続の問題が最も多く発生しているVLANはどれか
- Office 365の問題の一番の根本原因は何か
VMware SD-WAN Zero Trust Service
VMware社は2020年6月にSASEサービスの「VMware SD-WAN Zero Trust Service」をリリースしました。このサービスは従来のリモートワーク時における多くのVPNの課題を解決できるゼロトラストソリューションです(図8)。最近、SASEサービスは多くのセキュリティベンダーやネットワークベンダーでも提されるようになりました。
【参考】VMware SD-WAN + Workspace ONE: Coming Together to Provide Global Secure Access(英語)
https://blogs.vmware.com/velocloud/2020/06/16/vmware-sd-wan-workspace-one-coming-together-to-provide-a-global-zero-trust-service/
VMware SD-WAN Zero Trust Serviceでは、VMware SD-WANで提供されていたVMware SD-WAN OrchestratorとVMware SD-WAN Gatewayに加え、VMware社のマネージドサービスとしてWorkspace Oneのコンポーネントである「Unified Access Gateway」が提供されます。WAN Edge InfrastructureとUnified Endpoint ManagementのリーディングカンパニーであるVMware社の現在の強みを活かしたSASEソリューションです。
従来のVPNではオンプレミスやデータセンターに配置したVPNゲートウェイ経由でクラウドサービスにアクセスする場合、VPNゲートウェイをヘアピンするような形になってしまい、アプリケーションの体感速度やオンプレミスの回線コストに課題がありました。クラウドサービスを多く利用する場合、リモートから接続する際にアクセスするVPNゲートウェイはクラウド上にあった方が効率が良いことになります。
またUnified Access Gatewayもマネージドサービスとして提供されるため、従来のVPNゲートウェイとVPNの回線のキャパシティを気にせず利用でき、運用管理の負荷も軽減できます。
現在、VMware SD-WAN Zero Trust ServiceにはWorkspace ONE管理下にあるデバイスだけがアクセスできますが、将来的には「Workspace ONE VPN Client」を介して非管理デバイスからのアクセスや、クライアントソフト不要のブラウザアクセスが提供される予定です。
COVID-19の影響でリモートワークの普及が進む中、デバイス問わずSD-WANによるネットワーク最適化の恩恵を受けることができるようになるVMware SD-WAN Zero Trust Serviceは、今後注目のソリューションになっていくでしょう。
おわりに
本連載では、VMware SD-WANの概要と強み、そして他のVMwareの製品と連携することで、どのようなソリューションを展開しているのかを紹介しました。サイト間のWAN接続を見直す際には、ぜひVMware SD-WNの導入をご検討いただけますと幸いです。