VMware NSXができること~ネットワーク仮想化編~

2016年5月17日(火)
山本 祥正

連載の第1回では、VMware NSXの必要性とVMware NSXのコンポーネントについて紹介しました。第2回ではVMware NSXのコンポーネントのうち、「NSX vSwitch」と「NSX Edge Service Gateway」の2つを解説します。

VMware NSXのコンポーネント
VMware NSXのコンポーネント

仮想スイッチがL3スイッチになるNSX vSwitchとは?

VMware NSXは、従来までのvSphereの仮想スイッチに対して「論理スイッチ」、「分散ルータ」、「分散ファイアウォール」の3つの機能を追加することで、スケールアウト(分散)型L3スイッチとして動作するNSX vSwitchを提供します。

それでは「論理スイッチ」、「分散ルータ」、「分散ファイアウォール」についてみていきたいと思います。

ネットワーク仮想化導入後の仮想基盤の違い
ネットワーク仮想化導入後の仮想基盤の違い

VMware NSXが提供する論理スイッチとは?

VMware NSXでは、L2ネットワークを仮想化し「論理スイッチ」として仮想マシンに提供します。論理スイッチはVXLANと呼ばれるカプセリング技術で提供されます。既存のVLAN上にVXLANによる仮想化されたネットワークを複数作成する「オーバーレイ型」の仮想ネットワークによって、物理ネットワークの変更なくL2ネットワークを提供することも可能です。

なお、NSX vSwitchを利用する際に論理スイッチは必ず設定しなければいけないわけではありません。今までのvSphereと同じように物理スイッチで定義されたVLANをNSX vSwitchでそのまま利用することも可能ですし、VMware NSXの「L2ブリッジ」機能を使って既存のVLANと論理スイッチを透過的に接続することも可能です。

こうした実際の導入時のネットワーク設計や、移行プロセスに関してはこの後第7回で詳細に解説する予定です。

NSXが提供する分散ルータとは?

分散ルータは、従来までのvSphereが提供するL2スイッチ相当の仮想スイッチにルーティング機能を追加する機能です。ルーティングプロトコルを使って他のゲートウェイ機器と経路情報を交換できます。詳細なアーキテクチャは本連載では割愛しますが、第1回で紹介したNSX Controllerが各ESXiホストの仮想スイッチを集中管理することで、複数の物理サーバを跨いで1台のL3スイッチのように動作します。

vSphere上で動作する仮想マシンに一番近い仮想スイッチがL3スイッチ相当になるメリットはなんでしょうか?まず利点として挙げられるのは管理性の向上です。論理スイッチと同じように仮想サーバを管理するvCenter ServerからL2セグメントの定義だけでなく、そのセグメント間や外部ネットワークとの接続まで管理できるようになります。

そしてもう1つの利点が通信効率の向上です。サーバ仮想化基盤におけるサーバのネットワークの論理構成を表すと以下のようになります。L2セグメントを跨ぐ場合は必ずゲートウェイであるL3スイッチまたはファイアウォールを経由してまたサーバに戻ってくるような構成をとります。

仮想スイッチのL3スイッチ化による通信の効率化(左:従来のネットワーク、右:NSX vSwitchによるネットワーク)
仮想スイッチのL3スイッチ化による通信の効率化(左:従来のネットワーク、右:NSX vSwitchによるネットワーク)

システム単位で仮想化されているような場合はあまり問題になりませんが、最近トレンドの共通化されたサーバ仮想基盤を想定した場合、一般的には8割のトラフィックがシステム内の通信だと言われています。インターネットなど外部と通信するトラフィックは2割に過ぎないのです。仮想スイッチをL3スイッチ化する分散ルータを利用することで、この8割の通信をサーバのアクセススイッチ内で完結できます。これによりファイアウォールやL3スイッチのスループットを大幅に削減でき、ネットワーク機器のコストを下げることができます。

NSX vSwitchにはもう1つL3スイッチのアクセス制御リスト(ACL)を提供する分散ファイアウォール機能がありますが、こちらは次回の第3回で紹介します。ここまではvSphereのESXiの中で動作する仮想スイッチをL3スイッチ相当にするNSX vSwitchの紹介をしました。次に仮想マシンでロードバランサ、ファイアウォールとして動作する「NSX Edge Service Gateway」を紹介していきます。

ファイアウォールやロードバランサを提供するNSX Edge Service Gatewayとは?

NSX Edge Service Gatewayは、仮想マシンでファイアウォール・ロードバランサとして動作する仮想アプライアンスとして提供されます。同様の動作をするものとして、オープンソースのVyOS、Brocade社のVyattaなどがあります。展開する仮想アプライアンスは用途に応じていくつかのサイズからスペックを選択できます。

NSX Edge Service Gatewayの用途に応じたスペック
仮想アプライアンスのサイズvCPU数メモリ(MB)用途
X-Large68192L7のロードバランサ
Quad-Large41024高性能ファイアウォール
Large21024中規模向け
Compact1512小規模・評価向け

NSX Edge Service Gatewayは多くの機能をもち様々な用途で利用できます。このうちよく使われるファイアウォール、ロードバランサ、VPNの3つを紹介していきます。

NSX Edge Service Gatewayの代表的な機能
機能詳細
DHCPDHCPサーバ・リレー機能を提供
NAT送信元アドレス・送信先アドレスのNATを提供
ルーティング静的ルーティング・動的ルーティング
(OSPF/BGP/IS-IS)を提供
ファイアウォールNSX Edge Service Gatewayを通る通信の制御
IPSec VPN拠点間VPN用のIPSec VPNを提供
SSL VPNSSL VPNによるリモート接続を提供
L2 VPNNSX Edge Service Gateway同士でL2延伸のVPNを提供
ロードバランサL4-L7のロードバランサを提供

ファイアウォール

NSX Edge Service Gatewayは、ファイアウォールやNATルータとしてL2セグメントの境界に配置できます。一般的なファイアウォールの機能を有していますが、NSX Edge Service Gatewayの特徴として、フィルタリングルールに仮想マシンや仮想スイッチのポートグループなどのVMware仮想環境のオブジェクトを利用できる点が挙げられます。

ファイアウォールの設定
ファイアウォールの設定

ロードバランサ

NSX Edge Service Gatewayはロードバランサとしても利用できます。「ファイアウォールについているおまけのロードバランサの機能なんて……」と考えがちですが、意外とこれだけあれば十分に商用利用できる機能を持っています。

通常のL4/L7用途であれば十分な設定ができます。また、懸念だったSSL暗号化時のスループットも現在市場に出回っているx86サーバであればCPUのハードウェア支援を受けることができ、その性能は大幅に改善されています。

ロードバランサの設定
ロードバランサの設定

また、アプリケーションに応じたカスタマイズとして、スクリプトベースの「アプリケーションルール」の作成も可能です。例えばHTTPのアクセスをHTTPSにリダイレクトするなどの処理を行うことも可能です。他にもこちらの公式ドキュメントで様々なサンプルを確認できます。

IPSec VPN / SSL VPN

NSX Edge Service Gatewayでは、サイト間を接続するために利用されるIPSec VPNや、外出先のPCなどからリモート接続するためのSSL VPNなどのVPNを提供できます。ロードバランサの部分でも解説したとおり、最近のx86サーバ上で動作するNSX Edge Service Gatewayでは、SSL暗号化のハードウェアオフロードが可能になっています。

IPSec VPNの設定
IPSec VPNの設定
SSL VPNの設定
SSL VPNの設定

L2VPN

一般的に拠点間を接続する際に利用されるIPSec VPNでサイト間を接続した場合、サイトAではL2セグメントAが利用され、サイトBではL2セグメントBが利用されます。そのためサイトAで動作していた仮想マシンをサイトBで動作させようとしたときには、ゲストOSのIPアドレスを変更する必要があります。IPアドレスの変更は、アプリケーションの動作などを考えるとできれば避けたい設定変更といえます。

NSX Edge Service Gatewayが提供するL2VPNでは、こうしたIPSec VPNの課題を解決できます。L2VPNでは疎通可能な2台のNSX Edge Service Gateway間で同一のL2セグメントを共有できます。高価な専用線接続や専用ハードウェアは一切不要です。L2VPNの用途として、IPアドレスの変更不要で、災害対策の実現やデータセンターの移行、またvSphere 6.0でサポートされたvCenter Server間のvMotionを実現できます。

L2VPNを使ったL2セグメントの延伸
L2VPNを使ったL2セグメントの延伸

今回はVMware NSXが持つ機能のうちネットワーク仮想化に関連する機能について紹介しました。実環境への導入や設計については第7回で詳細に解説します。

次回は、今回紹介できなかったVMware NSXがもつセキュリティ機能について解説をしていきます。

富士ソフト株式会社 エグゼクティブフェロー
富士ソフト株式会社でICTプラットフォームの提案から導入までを担当。同社の上級スペシャリストで「技術に裏付けされた提案・設計」により企業にとって最適なICTプラットフォームの提供を行っている。最近ではVMware社のNSX、VSAN、Horizon、AirWatchやその他OpenStackやコンテナ技術に注力している。VMwareのアワードであるvExpertを5年連続受賞し、導入経験・知見を活かしセミナーや記事寄稿なども行っている。vExpertを2012年から5年連続受賞。最近ではNSX スペシャリストtop100(vExpert NSX)に選ばれる。

連載バックナンバー

ネットワーク技術解説
第7回

VMware NSX 6.3の新機能と強化ポイント

2017/4/19
本連載では、NSXがネットワークとセキュリティにもたらす革新と、その運用管理について説明してきました。SDDCのキーコンポーネントであるNSXは、SDDCのコンセプトの成熟と共に進化しています。今回は、2017年2月にリリースされた、新しいバージョンのNSX 6.3の新機能を紹介します。

Think ITメルマガ会員登録受付中

Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。

Think ITメルマガ会員のサービス内容を見る

他にもこの記事が読まれています