VMware NSX
VMware NSXは、VMware社が提供するネットワーク仮想化の製品である。 VMware社が、[1]Niciraを買収したことで、旧Nicira NVPの機能とVMware社のvCloud Networking and Security(vCNS)の機能を統合し、NSXブランドとしてリリースされた。[2] 現在では、VMware NSX for vSphereとNicira NVPの系統である、VMware NSX for Multi HyperVisorの2つの製品ラインナップが存在していた。 2016年5月に新ラインナップが発表され、NSX for vSphereは、Standard、Advanced、Enterpriseの3エディションがリリースされた。[3] また、NSX for Multi Hypervisorは、NSX Transformersという新しいブランドで、AzureやAWSなど他のクラウド基盤を超えて、L2ネットワークを構成できる製品として発表された。[4][5]
NSX for vSphereの概要[編集]
NSX for vSphereは、vCloud Networking and Security(vCNS)の事実上の後継製品であり、VXLANを中心にネットワークの仮想化機能を、VMware vSphere(ESXi)に提供する製品である。
VXLAN機能[編集]
NSX for vSphereでは、VXLANで構成する(VXLAN Network Identifier)毎に論理スイッチといわれる仮想のスイッチが1対1の関係で作成される。 VTEPによるVXLANの通信機能を提供するが、vCNS時代のVXLANと異なり、コントローラーベースでのVXLAN通信をサポートしている。そのため、VXLANを構成する上において以下のモードを保有[6]している。
- マルチキャストモード
- ユニキャストモード
- ハイブリッドモード
マルチキャストモード[編集]
NSX for vSphereの標準であるコントローラー制御型ではなくマルチキャストでVTEP間でテーブル情報をやり取りする方式。
ユニキャストモード[編集]
L3ネットワーク越え時におけるマルチキャスト通信のハードルを下げることを目的として、コントローラーベースで、必要なテーブル情報コントローラーで管理する方式。
ハイブリッドモード[編集]
vSphereのクラスターをまたいだVXLANを構成した際に、クラスター内のVXLAN通信は、マルチキャストで行い、クラスターを超えたVXLAN通信においては、ユニキャスト通信を行う方式。各クラスターは、L2ネットワークでクラスター間がL3ネットワークで接続されていることが想定環境である、ユニキャストのL3越えの容易さと、マルチキャストの通信負荷軽減の両方のいいところを採用した方式でもある。
カーネルルーティング機能[編集]
vCNSの時代では、作成されたVNIをまたいだ通信を行う機能は提供されず、別途外部のルーター等を利用してルーティングを行うか、EdgeGatewayを利用したルーティングを行うことで対応していた。 これは、物理層または、EdgeGatewayは仮想アプライアンスのため、ルーティング処理を負荷分散できないことから、ESXiのカーネルでルーティング機能が提供される分散論理ルーター(DLR)と呼ばれる機能が提供された。 DLRにより、各VNIで分けられたセグメント間のルーティングをESXiカーネル処理のみでルーティングできることになり、East-West間の通信におけるネットワークのヘアピーニング削減ができるようになる。 DLRでは、OSPFやBGPなどのダイナミックルーティングのサポートもされている。
分散ファイアーウォール機能[編集]
従来のネットワークでは、L3ベースでセグメントを超えた通信を行う際のゲートウェイにファイアーウォール機能を提供することで、セキュリティを保っていた。NSX for vSphereで提供される、分散ファイアーウォールは、仮想マシンと仮想スイッチの間に仮想のファイアーウォールを搭載することで、仮想マシン単位で通信制御を行うことができる機能である。そのため、同一のL2セグメントに存在する仮想マシン同士であっても、用途に応じて細かな通信制御が可能となる。この分散ファイアーウォールの機能とサードパーティー製のセキュリティソフトを組み合わせることで、仮想マシンがマルウェア等に感染した場合にその仮想マシンだけ、業務ネットワークからの遮断や検疫ネットワークへの切り替えなどを行うことができるようになる。このことを、VMware社は、マイクロセグメンテーションによるセキュリティ機能と提唱している。[7]
高度なネットワーク&セキュリティ機能[編集]
vCNS時代のEdge Gatewayの後継に当たる機能として、Edge Security Gatewayの機能が提供される。 分散ファイアーウォールや分散論理ルーターと異なり、Edge Security Gatewayは、仮想アプライアンスの機能として提供される。そのため、処理は仮想アプライアンス内で行われ、他のCPUに処理は分散されない。
提供される機能は、以下のとおりである。
- 論理ロードバランシング(ADC)機能
- SSL-VPN(Point to Point)機能
- L2-VPN機能
- IPSec VPN機能
- L3ファイアーウォール機能
論理ロードバランシング(ADC)機能[編集]
主にWeb系のサービスをロードバランスするための機能。ヘルスチェック機能やSSLアクセラレーション機能を保有する。カスタムなアプリケーションルールを作成することも可能。尚、機能は、HA-Proxy[8]を踏襲している。
SSL-VPN(Point to Point)機能[編集]
Windows / Mac / Linuxに対応した、SSL-VPN機能。 各対応OSにインストール型のクライアントソフトウェアを提供する。機能は、VMwareが買収したNeoAccelのSSL-VPN Plus[9]の機能相当を継承している。
L2-VPN機能[編集]
SSL-VPN機能をサイト間で利用し、サイト間をL2でVPNを接続する機能。 親サイトには、Edge Security Gatewayを、サテライトには、VMwareから提供されるL2-VPNクライアント機能が組み込まれた仮想アプライアンスを展開し、構成することでサイト間をVPNで通信することとなる。VXLAN/VLANを複数セグメントまとめて、VLANトランクのように1つのトンネル内に複数のセグメントをVPN経由で延伸することができる。
IPSec VPN機能[編集]
一般的なIPSec VPN機能。最大で6000トンネル[10]までをサポート
L3ファイアーウォール機能[編集]
一般的なL3ファイアーウォール機能。IPアドレスやポート番号なので通信制御を行うことができる。また、一般的なファイアーウォールアプライアンスと同等で、DHCPサービスなどを提供する。
NSX for vSphere の提供ライセンス[編集]
NSX for vSphereは、ESXiホストの物理CPUで課金するCPUライセンスとVDIに適用できるCCU(同時接続ユーザー)カウントのライセンスから選択することができる。 CCUカウントのライセンスの場合、10ユーザー単位もしくは100ユーザー単位での手配が可能。
また、利用できる機能がエディションによって分かれている。ネットワークの仮想化のみをベースにしたものが、「Standard」、分散ファイアーウォールが利用できる「Advanced」、vCenter Server間でマルチサイトを構成する場合や、VPN機能を利用できる「Advanced」の3つがある。また、小規模向けのライセンスとして「ROBO」ライセンスがある。[11]
NSX for vSphereの各エディションで利用できる機能[編集]
| 製品の機能 | Standard | Advanced | Enterprise | Remote Branch Office |
|---|---|---|---|---|
| 分散スイッチ | ● | ● | ● | ● ※VLANのみ |
| 分散ルーティング | ● | ● | ||
| NSX Edge ファイアーウォール | ● | ● | ● | ● |
| NAT | ● | ● | ● | ● |
| 物理環境へのソフトウェア L2 ブリッジ | ● | ● | ● | |
| ECMP によるダイナミック ルーティング (アクティブ/アクティブ) | ● | ● | ● | ● |
| APIベースの自動化 | ● | ● | ● | ● |
| vRealize および OpenStack との連携 | ● | ● | ● | ● |
| NSX Edge のロード バランシング | ● | ● | ● | |
| 分散ファイアーウォール | ● | ● | ● | |
| Active Directory との連携 | ● | ● | ● | |
| サーバー アクティビティの監視 | ● | ● | ● | |
| サービスの適用 (サードパーティ製品との連携) | ● | ● | ● | |
| Cross-vCenter NSX | ● | |||
| マルチサイトにおける NSX の最適化 | ● | |||
| VPN (IPsec と SSL) | ● | ● | ||
| リモート ゲートウェイ | ● | |||
| ハードウェア VTEP との連携 | ● |
脚注[編集]
- ^ VMwareのNicira買収について https://xtech.nikkei.com/it/article/NEWS/20120724/411001/?rt=nocnt
- ^ http://www.impressrd.jp/idc/story/2013/07/19/2814
- ^ 新しいエディションの一覧 http://www.vmware.com/products/nsx/compare.html
- ^ カサド氏によるTransformerdの紹介 https://atmarkit.itmedia.co.jp/ait/articles/1604/25/news060_2.html
- ^ NSX Transfomerの情報 http://vcloud.sx/new-nsx-license-tier-thoughts-transformers/
- ^ VXLANの構成 http://pubs.vmware.com/NSX-62/index.jsp#com.vmware.nsx.admin.doc/GUID-229D0501-836E-4788-A72E-4D3DEBF2B26D.html
- ^ NSX for vSphereによるマイクロセグメンテーションの事例 http://ascii.jp/elem/000/000/953/953555/index-2.html
- ^ アプリケーションルールの編集方法 http://pubs.vmware.com/NSX-62/index.jsp#com.vmware.nsx.admin.doc/GUID-62E4E8AD-882F-4717-A419-77B931471FFA.html
- ^ VMwareが買収したNeoAccelについて https://www.vmware.com/jp/company/acquisitions/neoaccel
- ^ IPSecトンネルの上限値 http://pubs.vmware.com/NSX-62/index.jsp#com.vmware.nsx.admin.doc/GUID-6152B56B-2119-48E7-B2F2-BDDCF58B3F14.html
- ^ NSXのエディション https://www.vmware.com/jp/products/nsx.html