VMware NSXとテクノロジーパートナー連携

第1回から第3回の連載では、物理ネットワークとVMware NSXを比較してVMware NSXが持つ仮想ネットワーク機能を紹介してきました。今回はVMware NSXの特徴の1つであるテクノロジーパートナー製品との連携内容と、実現できるソリューションを紹介します。

VMware NSXテクノロジーパートナーは、大きく4つのカテゴリに分類できます。

1. ネットワーク仮想化
2. セキュリティサービス
3. アプリケーションデリバリー
4. 運用管理/通信の可視化

これら4つのカテゴリごとに代表的な連携について見ていきましょう。

物理ネットワークとの広帯域接続を可能にするハードウェアVTEP

これまでの連載でVMware NSXはデータセンター内で利用するネットワークのほとんどの機能を網羅していることを紹介してきました。しかし現在利用しているネットワークを全てVMware NSX環境に移行するにはいくつかの課題があります。その中でも、特定のアプリケーションサーバやサービスなどがVLANベースの物理環境上で稼働しているとNSXの仮想化されたネットワークとの接続が必要となるケースがあります。

連載第2回で取り上げたNSX Edge Service GatewayやL2ブリッジなど、VMware NSXは仮想ネットワーク(VXLAN)と物理ネットワーク(VLAN)を接続する機能を備えていますが、経由する特定のNSX EdgeやESXiホストで通信量のボトルネックが発生する可能性があります。この課題を解決するために、VMware NSXと複数のテクノロジーパートナーは「ハードウェアVTEP連携」を提供しています。

ハードウェアVTEP機能は、記事の執筆時点(2016年5月)ではTech Preview版として提供され正式サポートされた機能ではありませんが、2016年中頃には正式サポートの予定となっています。

物理スイッチをVXLANゲートウェイとして使用し、物理ネットワークと接続することで、より広帯域で高パフォーマンスなネットワークを実現可能となります。例えば物理環境で動作するデータベースサーバへの通信量が多い場合や、物理機器で稼働するセキュリティ機器をゲートウェイとして経由し外部通信を行っている環境などでは、ハードウェアVTEPによる既存VLAN環境への接続は魅力あるソリューションとなります。

NSXのL2ブリッジ機能では1台のESXiホストのみがVLAN通信を行うため負荷が集中する点や、ESXiホスト障害時の切り替わりにかかる時間などが懸念として挙げられますが、ハードウェアVTEPを使用することで解決することが可能です。

セキュリティサービスを強化するFortinet FortiGate-VMX連携

連載第3回で取り上げたように、VMware NSXは提供するセキュリティ機能として分散ファイアウォール機能を備えています。分散ファイアウォールはL2からL4 までの通信制御を可能にしますが、さらに上位レイヤーでの通信精査は行うことはできません。そこでセキュリティベンダー製品と分散ファイアウォールを連携させることで、セキュリティ機能を拡張することが可能となります。Fortinet社のFortiGate-VMXを使用することで、分散ファイアウォールをさながら「分散UTM」として使用できるようになります。

ここ数年、企業内に悪意を持ったマルウェアが侵入・拡散し、個人情報や機微な情報が流出するといったセキュリティ事件が相次いでいます。現在の企業ネットワークでは、SSL-VPNで社外や家庭からネットワーク接続して業務を行ったり、USBメモリなどで直接ファイルをコピーしたりと、インターネット境界に配置された物理ファイアウォールを通過せずにデータが社内ネットワークに入り込んでいます。こういった背景から、社内ネットワークでのマルウェア対策や高度なネットワーク制御を求める声が高まっています。

FortiGate-VMXは、VMware NSXと連携することで以下の機能を拡張します。

• アンチウィルス
• Webフィルタリング
• アプリケーション制御
• 侵入検知・防御

FortiGate-VMXによる通信の制御は、各ESXiホストに分散配置された「FortiGate-VMXセキュリティノード」によって行われます。ESXiホスト内のローカル環境で処理されるため、ネットワーク的な遅延は発生せず高速な処理が可能になります。

また、FortiGate-VMXの特徴としてVDOM(Virtual Domain)に対応している点が挙げられます。VDOM機能を使用することで1つのFortiGate-VMXを論理的に分割し、マルチテナント環境においても安全にセキュリティ機能を提供できるようになります。

アプリケーションデリバリーを強化するF5 Networks BIG-IQ/BIG-IP連携

VMware NSXの導入を検討する中で、既存システムからの移行計画を行うときに機能比較の質問が多いのがロードバランサ機能です。「現在使っているF5 Networks の BIG-IPはトラフィック処理のカスタマイズ(iRules)をしているけれど、NSX Edgeに置き換えられるのか？」といった質問です。NSX EdgeもiRulesのようなアプリケーションコントロール機能を備えていますが、既存アプリケーションとの組み合わせを考慮するとBIG-IPシリーズをNSX環境で使用したほうが移行はスムーズです。

BIG-IPは仮想アプライアンスでも販売されていますので、VMware vSphere環境下でも問題なく使用することが可能です。さらにVMware NSXと連携して使用することで、ロードバランサのオンデマンド自動デプロイ(LBaaS)を実現できます。この連携にはF5 Networks BIG-IPに加えてBIG-IQというBIG-IPを集中管理する製品を使用します。VMware NSXとF5 Networks BIG-IP/BIG-IQの連携がどのようなものか、ここでは概要を紹介していきます。

F5 Networks BIG-IQとNSX Managerを連動させるため、あらかじめBIG-IQにログインしvCenter ServerとNSX ManagerのIPアドレスやログイン情報を入力します。そうすることで、NSX ManagerからNSX Edgeのロードバランサ設定を行うときに「サービス挿入」というメニューが表示されるようになります。ここでF5 BIG-IQを選択すると、NSX Edgeのロードバランサとして入力した設定がBIG-IPのコンフィグに変換され、自動的にBIG-IP VEがデプロイされ、コンフィグも投入された状態で起動します。

自動化される手順は以下の通りです。

1. BIG-IP VEのデプロイ（OVAファイルから展開）
2. BIG-IP VE のインターフェース設定
3. BIG-IP VEへのライセンス適用
4. BIG-IP VEへの負荷分散設定

BIG-IPの新規デプロイは、ライセンス購入を含めて時間がかかる作業ですが、NSX連携ソリューションではNSX Edgeを作成することで自動化をすることが可能です。BIG-IPの設定をNSX Edge画面から更新することも可能ですし、不要になったBIG-IPを削除するとライセンスも自動で回収される仕組みになっています。

運用管理/通信の可視化を行う Tufin SecureTrack

ここまでネットワーク仮想化、アプリケーションデリバリー、セキュリティサービスにおけるテクノロジーパートナーとの連携を紹介してきましたが、VMware NSXにはもう1つ、運用管理の分野におけるテクノロジーパートナーとの連携があります。運用管理の連携製品としては、Arkin社、Gigamon社、Riverbed社、Tufin社などがおり、物理ネットワークの統合管理製品に加え、NSXの管理にも対応しているのが特徴です。

Tufin社SecureTrackによる物理ネットワークとNSXの統合管理

次回からは、ここで紹介したVMware NSXのユースケースについて掘り下げて解説をしていきます。