TOPサーバ構築・運用> VLANの概念とメリット
VMware ESX Server サーバ統合ガイド
VMware ESX Server サーバ統合ガイド

第8回:ブレードサーバで構築するVMware ESX ServerのVLANネットワーク
著者:デル  Balasubramanian Chandrasekaran
Kyon HolmanCuong T. NguyenScott Stanford   2006/8/25
前のページ  1  2  3  4  次のページ
VLANの概念とメリット

   現世代のブレードサーバには固有の悩みがある。それは、通常のサーバに比べてネットワーク・ポート数が少ないことだ。PowerEdge 1855では、1台のサーバブレードにつき2個のオンボードGigabit Ethernet NIC(注1)を搭載しており、それぞれNIC 0、NIC 1となる。
※注1: この表記は、実際に1Gbpsで稼動することを保証するものではない。高速伝送を実現するには、Gigabit Ethernet対応のサーバとネットワーク・インフラストラクチャに接続する必要がある。

   VMware ESX Server 2.5.1ソフトウェアの場合、NICは、VMwareサービス・コンソール専用にするか、それとも、VM専用にするか、もしくは、サービス・コンソールとVMで共用させる構成を選ばねばならない。デフォルト(既定)では、NIC 0がサービス・コンソール専用に、また、NIC 1がVM専用に割り当てられる。

   表1にNICの構成例を示した。

Dell PowerEdgeブレードサーバを使ったNICとVLANの構成例
表1:Dell PowerEdgeブレードサーバを使ったNICとVLANの構成例
(画像をクリックすると別ウィンドウに拡大図を表示します)

   デフォルト構成、隔離トラフィック構成、VMotion専用ネットワーク構成、冗長構成という4種類を挙げており、ネットワーク・バンド幅を有効活用したいときや、冗長構成を取り入れたいときなど、目的に応じて選べるようになっている。ESX Server環境にVLANを追加すると、トラフィックをさらに細かく分けることができる。よって、上記いずれの構成も、VLANを加えることでセキュリティ強化が可能だ(注2)。

※注2: 2VLANの詳細は、「Dell PowerConnect 5316M Ethernetスイッチ・モジュール・ユーザガイド」を参照されたい。以下のURLから入手可能です。
http://support.dell.com/support/edocs/network/PC5316M/en/UG/index.htm

   しかし、VLANを導入すると、初期セットアップが若干複雑になるうえ、PowerEdge 1855およびESX Server環境のメンテナンス処理を変更し、追加したVLANレイヤも含める必要がある。それでもなお、トラフィックの分離から得られる恩恵は多大だ。特に、業務用VMと、VMotionまたはサービス・コンソールで1つの物理NICを共有する場合、トラフィックを切り離してセキュリティを強化する意義は大きい。

   その他にも、VLANの性質上、考慮すべき点がいくつかある。

  • あるVLAN上で送信されたEthernetトラフィックは、レイヤ2対応のEthernetスイッチから他のVLANに転送されることはない。また、ブロードキャスト・トラフィックも同じVLAN内にしか送信されない。


  • スイッチにVLANメンバーを登録することができる。登録するには、特定のネットワークと仮想スイッチ・ポートをVLANに関連付ければよい。この利点は、そのVLANに関連付けられたポート同士のみで通信できるようになることだ。さらに、あるVLANにブロードキャスト・メッセージを送っても、同じVLANに所属するポートにしか届かない。


  • 1つのポートを複数のVLANに所属させることができる。このようなポートに送られるパケットは、所属するVLANのうち、どのVLANに送信するのか指定する必要がある。送信パケットに宛先VLANが指定されていない場合、スイッチは、当該ポートのデフォルトに設定されているVLANを自動的に選ぶ。


  • VLAN構成は、受信トラフィックの取捨選択が可能。規格に合わないトラフィックを自動的にドロップすることができる。


  • VLANは、必ずしもQoS(Quality of Service)を保証するわけではない。たとえば、2つのVLANが同じポートを共有している場合、VLAN同士でバンド幅を取り合うことになる。したがって、スイッチのオーバーサブスクライブが極端な比率になっている場合、一方のVLANでネットワーク・トラフィックが過密になると、他方のトラフィックにまで影響を与えることがある。


  • ただし、スイッチの設定次第でQoSをある程度調整することは可能だ。たとえば、特定のタイプのトラフィックだけを選択させたり、トラフィックのタイプに応じて優先順位を付けたりすることが考えられる(VMotionトラフィックとVMトラフィックで優先順位を変えるなど)。QoSのセットアップは本連載の範囲外となるため、詳しい説明は割愛する。

表2:考慮すべき点

   VLANの導入を決定し、採用する構成を選択したら、その構成を同じシャーシ内にある全サーバブレードにも適用する必要がある。たとえば、表1のデフォルト構成を選んだ場合(NIC 0はサービス・コンソール専用、NIC 1はVMとVMotion専用)、他のすべてのサーバブレードも同様に構成するのだ。このように統一することで、EthernetスイッチのVLAN構成がシンプルになる。この制約は必ずしも守る必要はないが、その分、構成が複雑になってしまう。この件の詳細は、本連載の範囲外となるため割愛させていただく。

   表1の4例すべてに共通する留意点を以下に示す。

  • サービス・コンソールから送られてくるVMwareの管理トラフィックは、デフォルトで暗号化される。


  • しかし、VMotionのトラフィックは暗号化されないため、VMotionを効果的かつ安全に運用するには、VMotion用のNICを別のVLANに接続するか、物理的に別のNICを使うようお勧めする。


  • サービス・コンソールから生じるトラフィックはVMware管理トラフィックだけではない。Dell OpenManageソフトウェアのようなシステム管理ソフトウェア・スイートもサービス・コンソールにインストールされる。これに加え、BMC(Baseboard Management Console)トラフィック、SNMP(簡易ネットワーク管理プロトコル)トラフィック、バックアップ・トラフィックもサービス・コンソールと同じNICを使う。


  • デフォルト以外の構成では、3例ともNIC 0をサービス・コンソールとVMで共有している。これには、インストール時に特別な手順が必要となる。

表3:留意点
前のページ  1  2  3  4  次のページ
デル株式会社 Balasubramanian Chandrasekaran
 著者プロフィール
著者:デル株式会社  Balasubramanian Chandrasekaran
デルのスケーラブル・エンタープライズ・コンピューティング・ラボに所属するシステム・エンジニア。研究分野は、データセンタの仮想化、高速インターコネクト、ハイパフォーマンス・コンピューティング(HPC)など。オハイオ州立大学でコンピュータ科学の修士号を取得。 http://www.dell.com/jp/
デル株式会社 Kyon Holman
 著者:デル株式会社  Kyon Holman
デル・エンタープライズ製品グループでテープ・ストレージ・チームのリーダーを務めるソフトウェア・エンジニア。ミシガン大学アナーバー校でコンピュータ科学の学士号を取得後、テキサス大学オースチン校でソフトウェア工学の修士号を取得。現在、同校でエグゼキュティブMBAの取得を目指している。
デル株式会社 Cuong T. Nguyen
 著者:デル株式会社  Cuong T. Nguyen
Dell PowerConnect Ethernetスイッチ・チームに所属するシステム・エンジニア。ネットワーク管理システムを専門とし、ネットワークおよび電気通信業界で15年以上の経験がある。カルフォルニア大学アーバイン校で、コンピュータ情報科学の学士号を取得。
デル株式会社 Scott Stanford
 著者:デル株式会社  Scott Stanford
デル・ソリューション・エンジニアリング・グループのスケーラブル・エンタープライズ・コンピューティング・チームに所属するシステム・エンジニア。現在の担当分野は、仮想化ソリューションの性能評価とサイジング。テキサス農工大で学士号を取得した後、テキサス大学オースチン校で地域社会計画の修士号を取得。現在、セントエドワード大学でコンピュータ情報システムの修士課程を履修中。
INDEX
第8回:ブレードサーバで構築するVMware ESX ServerのVLANネットワーク
  はじめに
VLANの概念とメリット
  デフォルトのVLAN構成
  隔離トラフィック構成の特徴