VMware SD-WANの最新動向

はじめに

前回は、VMware SD-WANの事例を紹介しました。最終回となる今回は、VMware SD-WANの最新情報をまとめて紹介します。

vRealize Network Insightを使った運用管理

VMware SD-WANでは、SaaS提供される「VMware SD-WAN Orchestrator」による一元的な運用管理を実現していますが、さらに高度な運用管理を実現するために「vRealize Network Insight」との連携が可能です(図1)。

図1：vRealize Network InsightとVMware SD-WAN Orchestratorの機能比較

vRealize Network Insightとの連携が可能になって1年以上が経過しており、本連載執筆時の最新版であるバージョン6.1ではより高度な連携が可能になっています。ここでは、最新版で追加された新機能を紹介します。

Path tunnel visibility

すべてのVMware SD-WANのトンネルの健全性をトポロジ―で簡単に確認できます。例えば、図2の画面では2拠点を接続する3本のトンネルのうち1本は健全な水色で、2本は何らかの異常を検知している赤色で表示されています。このような情報は、ドリルダウンすることでより詳細な各トンネルの情報にアクセスできます。

図2：Path tunnel visibility

ISPダッシュボード

ISPダッシュボードではISPの問題を把握できます。VMware SD-WAN Orchestratorでも各Edgeが利用している回線品質を確認できましたが、利用しているISP単位での表示には対応していませんでした。

ISPダッシュボードは、特定のISPを利用しているVMware SD-WAN EdgeのリストやISPと接続しているリンクのリストからメトリックを表示できるISPに焦点を当てた機能となっています。具体的にはQoE値やパケット損失、遅延、ジッターおよび複製された送受信パケットや再送信された送信パケットを確認できます(図3)。

図3：ISPダッシュボード

特定地域のEdgeもしくはISPに共通した問題のトラブルシュートに活用できるでしょう。

フローRTT

フローRTTは、vRealize Network InsightでVMware SD-WAN Edgeの通信フローからRTTおよびTCP再送信パケットを解析する機能です。

一般的に、RTTの値は宛先までの物理的な距離やサーバの応答時間、中継する機器数、輻輳やレイテンシなどにより変動します。フローRTTでは選択した基準に基づいて、様々な範囲のTCPラウンドトリップ時間(RTT)値から異常フローを見つけて可視化します。図4の例では3種類が示されていますが、30～120msの2フローのうち1フローが異常なフローとして示されています。このように特定のフローで正常／異常を確認できるため、RTTがどの程度フローに影響しているかを把握できます。

図4：フローRTT

なお、ISPダッシュボードやフローRTTはVMware SD-WAN Orchestratorでは可視化されないため、vRealize Network insightと連携する必要があります。

イベント管理

VMware SD-WAN OrchestratorとvRealize Network Insightでは、表示されるイベントの粒度が異なります。

VMware SD-WAN OrchestratorはVMware SD-WAN EdgeやWANリンクのアップダウンイベントはもちろん、様々なイベントを表示できますが、品質の劣化はイベントに表示されず、常に「いつ劣化が発生したのか」を追う必要がありました。

vRealize Network InsightではQoEの劣化が発生した場合やパケットロスの閾値を超えた場合にイベントから確認できるため、より容易に品質を監視できます(図5)。

図5：イベント管理

vRealize Network InsightはVMware SD-WANだけでなく、VMware NSXや物理ネットワーク機器、パブリッククラウドのネットワークなど、ネットワーク全般の運用管理を支援します。これまで紹介してきたようにVMware SD-WAN Orchestratorではカバーしきれなかった特定のメトリックの監視などを補完し、データセンターのネットワーク全体の運用支援を提供します(図6)。

図6：vRealize Network Insightが運用管理を支援する範囲

VMware Edge Network Intelligenceによる
LAN環境の統合管理

VMware社は、2020年1月に企業内LANのAIOpsプラットフォーム「Nyansa Voyance」を提供するNyansa社を買収し、VMware SD-WANへの統合を発表しました。現在は「VMware Edge Network Intelligence」と再ブランディングされて提供しています。VMware SD-WANのエッジデバイスを展開時に分析機能を有効にすることで容易に連携できるようになっています。

【参考】VMware SD-WAN Orchestrator での VMware Edge Network Intelligence の有効化
https://docs.vmware.com/jp/VMware-SD-WAN/4.2/VMware-SD-WAN-Edge-Network-Intelligence-Configuration-Guide/GUID-34106F51-4ACE-4EA7-89D0-F8E4BCDB7251.html

VMware Edge Network Intelligenceを利用することで、前述のvRealize Network Insightで確認したデータセンターネットワークだけでなく、エッジサイトで発生しているネットワークの問題も容易に分析できるようになります(図7)。

図7：VMware Edge Network Intelligence

分析できる問題として代表的なものは以下のとおりです。

Zoomで在宅勤務するユーザーにとって最悪のISPはどれか
Wi-Fiのパフォーマンスが最も悪い拠点はどれか
接続の問題が最も多く発生しているVLANはどれか
Office 365の問題の一番の根本原因は何か

VMware SD-WAN Zero Trust Service

VMware社は2020年6月にSASEサービスの「VMware SD-WAN Zero Trust Service」をリリースしました。このサービスは従来のリモートワーク時における多くのVPNの課題を解決できるゼロトラストソリューションです(図8)。最近、SASEサービスは多くのセキュリティベンダーやネットワークベンダーでも提されるようになりました。

【参考】VMware SD-WAN + Workspace ONE: Coming Together to Provide Global Secure Access(英語)
https://blogs.vmware.com/velocloud/2020/06/16/vmware-sd-wan-workspace-one-coming-together-to-provide-a-global-zero-trust-service/

図8：VMware SD-WAN Zero Trust Service

VMware SD-WAN Zero Trust Serviceでは、VMware SD-WANで提供されていたVMware SD-WAN OrchestratorとVMware SD-WAN Gatewayに加え、VMware社のマネージドサービスとしてWorkspace Oneのコンポーネントである「Unified Access Gateway」が提供されます。WAN Edge InfrastructureとUnified Endpoint ManagementのリーディングカンパニーであるVMware社の現在の強みを活かしたSASEソリューションです。

従来のVPNではオンプレミスやデータセンターに配置したVPNゲートウェイ経由でクラウドサービスにアクセスする場合、VPNゲートウェイをヘアピンするような形になってしまい、アプリケーションの体感速度やオンプレミスの回線コストに課題がありました。クラウドサービスを多く利用する場合、リモートから接続する際にアクセスするVPNゲートウェイはクラウド上にあった方が効率が良いことになります。

またUnified Access Gatewayもマネージドサービスとして提供されるため、従来のVPNゲートウェイとVPNの回線のキャパシティを気にせず利用でき、運用管理の負荷も軽減できます。

現在、VMware SD-WAN Zero Trust ServiceにはWorkspace ONE管理下にあるデバイスだけがアクセスできますが、将来的には「Workspace ONE VPN Client」を介して非管理デバイスからのアクセスや、クライアントソフト不要のブラウザアクセスが提供される予定です。