TOPサーバ構築・運用> デフォルトのVLAN構成
VMware ESX Server サーバ統合ガイド
VMware ESX Server サーバ統合ガイド

第8回:ブレードサーバで構築するVMware ESX ServerのVLANネットワーク
著者:デル  Balasubramanian Chandrasekaran
Kyon HolmanCuong T. NguyenScott Stanford   2006/8/25
前のページ  1  2  3   4  次のページ
デフォルトのVLAN構成

   この構成では、サービス・コンソール専用に割り当てたNIC 0で管理トラフィックを処理する。また、NIC 1はVMotionとその他のトラフィックを処理することになる。この構成は、VMware ESXServerのデフォルト・インストールの一環として設定されるため、セットアップに特別な手順は必要ない。この構成では、管理ネットワーク(NIC 0)とVMネットワーク(NIC 1)を分けているので、ある程度のネットワーク分離はサポートできている。

   ここにVLANを追加すれば、VMotion用の仮想ネットワークを別途形成することができ、「VMotionトラフィックのセキュリティ強化」という課題の克服が可能だ。図1は、デフォルト構成にVLANを取り入れたアーキテクチャを示している。ESX Serverでは、仮想スイッチを作成することができるので、これにVMを接続すればネットワークが構築でき、それをVMotion用に構成することもできる。仮想スイッチは、VLANもサポート可能だ。
ESX Serverの仮想スイッチとDell PowerConnect 5316M物理スイッチを使ったデフォルトのVLANアーキテクチャ
図1:ESX Serverの仮想スイッチとDell PowerConnect 5316M物理スイッチを使ったデフォルトのVLANアーキテクチャ
デフォルト構成のセットアップ手順

   VLANを通してVMotionトラフィックのセキュリティを守るには、次の手順に従ってセットアップする。

  1. ESX Serverソフトウェアで仮想スイッチをセットアップし、全VMトラフィックにVLANタグを追加する。システム管理者は、すべてのVMで同じVLANタグを使う設定も、また、VMごと(またはVMグループごと)にVLANタグを変える設定も可能だ。VM間通信の必要性に応じて、VLANタグの付け方が変ってくる。ごく少数のVMだけが互いに通信するのであれば、これらのVMを1つのグループにまとめると良いだろう。 そして、グループ内のVMから送信される全トラフィックに、同じVLAN IDタグを付けるようスイッチを構成する。トラフィックへのタグ付け処理をスイッチに任せることで、ESX Serverの性能が向上する。これは、VLANタグとパケット検査にかかる負荷や、Dell Power-Connect5316MのASIC(Application-Specific IntegratedCircuit)に処理タスクを回す負荷をESX Serverから取り除くことができるからだ。


  2. NIC 1に接続したPowerConnect 5316Mスイッチ上でVLANをセットアップする。このスイッチは、図1の「スイッチ1」にあたる。サーバブレードに接続されている全内蔵ポートで、VMotion用のVLANを構成する(図中、VLAN ID=Aと記載された箇所)。サービス・コンソール用のNIC(NIC 0)に接続したPowerConnectスイッチ(図2の「スイッチ0」)には、このような構成はしない。


  3. スイッチ1上で、1つの外部ポートをVLAN Aのメンバーに設定する。外部ポートの固定VLAN ID(PVID)が4095に設定されているか確認してほしい。これで、タグなしトラフィックをすべて排除することができる。あるいは別のオプションとして、VLAN未対応の外部システムから、タグなしトラフィックをポートで受信するような設定も可能だ。このときスイッチは、VMotion向けのトラフィックにタグを自動的に付加する。 このオプションは、セキュリティが若干甘くなってしまうが、タグなしトラフィックをすべて排除してしまう最初のオプションに比べれば管理しやすい。この外部ポートは、VMotionトラフィックの送受信のみに利用するようお勧めする。この方法はいわば、「外部からサーバブレード宛てに送信されてきたVMotionトラフィックは、このポートを通過しなければならない」という制約を作る構成法だ。


  4. 希望に応じて、スイッチ1の残りの外部ポートを特定のVMVLANメンバーに割り当てる。ポートを特定のVM VLANに割り当てることで、各種のVMから送信されるトラフィックを切り離すことができる。

表4:セットアップ手順

※注3: VMotionを正しく機能させるには、全ブレード・サーバでスイッチ名を統一する必要がある。

   以降は、デフォルト以外の3つのVLAN構成について、それぞれ主なメリットを挙げている。これらの詳細なセットアップや設定手順は、
オンライン(http://www.dell.com/powersolutions)で提供している本連載の補足資料をご覧いただきたい。
前のページ  1  2  3   4  次のページ
デル株式会社 Balasubramanian Chandrasekaran
 著者プロフィール
著者:デル株式会社  Balasubramanian Chandrasekaran
デルのスケーラブル・エンタープライズ・コンピューティング・ラボに所属するシステム・エンジニア。研究分野は、データセンタの仮想化、高速インターコネクト、ハイパフォーマンス・コンピューティング(HPC)など。オハイオ州立大学でコンピュータ科学の修士号を取得。 http://www.dell.com/jp/
デル株式会社 Kyon Holman
 著者:デル株式会社  Kyon Holman
デル・エンタープライズ製品グループでテープ・ストレージ・チームのリーダーを務めるソフトウェア・エンジニア。ミシガン大学アナーバー校でコンピュータ科学の学士号を取得後、テキサス大学オースチン校でソフトウェア工学の修士号を取得。現在、同校でエグゼキュティブMBAの取得を目指している。
デル株式会社 Cuong T. Nguyen
 著者:デル株式会社  Cuong T. Nguyen
Dell PowerConnect Ethernetスイッチ・チームに所属するシステム・エンジニア。ネットワーク管理システムを専門とし、ネットワークおよび電気通信業界で15年以上の経験がある。カルフォルニア大学アーバイン校で、コンピュータ情報科学の学士号を取得。
デル株式会社 Scott Stanford
 著者:デル株式会社  Scott Stanford
デル・ソリューション・エンジニアリング・グループのスケーラブル・エンタープライズ・コンピューティング・チームに所属するシステム・エンジニア。現在の担当分野は、仮想化ソリューションの性能評価とサイジング。テキサス農工大で学士号を取得した後、テキサス大学オースチン校で地域社会計画の修士号を取得。現在、セントエドワード大学でコンピュータ情報システムの修士課程を履修中。
INDEX
第8回:ブレードサーバで構築するVMware ESX ServerのVLANネットワーク
  はじめに
  VLANの概念とメリット
デフォルトのVLAN構成
  隔離トラフィック構成の特徴