AHVのネットワークの新機能パート4

本記事の原文はNutanixコミュニティのブログNutanix Connect Blogの記事の翻訳ヴァージョンです。原文の著者はNutanix社のStaff Solutions ArchitectのJason Burns氏によるものです。原文を参照したい方はWhat’s New in AHV Networking Part 4をご確認ください。情報は原文の投稿時のままの情報ですので、現時点では投稿時の情報と製品とで差異が出ている場合があります。

当社のNutanix社製品についてはこちら。本ブログのNutanix関連記事のまとめページはこちら。

ネットワールドのNutanix関連情報はぜひ以下のポータルから取得ください(初回はID、パスワードの取得が必要です)。

本シリーズの以前の記事で、我々はNutanixがどのように仮想化スイッチ内にアプリケーションポリシーを実装し、アプリケーションのトラフィックに対してセキュリティを提供しているのかを見てきました。AHVマイクロセグメンテーションはレイヤ2からレイヤ4までの与えられたポリシー定義をベースにしたルールを実装しています。つまり、定義からアドレスやプロトコルやポートを自動的に展開するのです。

しかし、幾つかのタイプのトラフィックではシンプルなルールでは提供ができない、内部的な検査が必要な場合もあり、そこではネットワークファンクション仮想化(NFV)が必要となってきます。トラフィックの中にウィルススキャンの機能やパケットを深く検査する機能を取り込んだりするためには、我々はもっとネットワークの高いレイヤへと目を向けなくてはなりませんーつまり、もっと多くのリソースを必要とすることになります。Nutanix AHVのネットワーキングスタックでは、ネットワークトラフィックフローを収集したり分析したりするために仮想化されたネットワークファンクションを挿入してこうした検査を行うことができます。

このブログのシリーズは遡ること6月にNutanix .NEXT DCでアナウンスされたワンクリックネットワーク実現するのに役立つAHVの機能を取り上げます。

パート 1: AHV ネットワーク可視化

パート 2: AHV ネットワーク自動化と統合

パート 3: AHV ネットワークマイクロセグメンテーション

パート 4: AHV ネットワークファンクションチェイン(本記事)

AHVネットワークファンクションチェイン

現在AHVの管理者はネットワークファンクションチェインをAHVネットワーク(AHVホスト上の単一VLANが対象です)全体からトラフィックをリダイレクトすることで作成します。例えば、Exchangeネットワークの全てのトラフィックをファイヤウォールアプライアンスへとリダイレクトすることができます。将来のリリースにおいてNutanixはファンクションチェインがもっときめ細やかなレベルで運用できるようにそしてPrismベースのUIからそれが行えるように計画をしています。こうした改善の計画についての幾つかについては以下で述べていきます。

直近の記事で、アプリケーションポリシーでサンノゼの人事部がExchangeのエッジトランスポート層と通信ができるように許可しました。この例を拡張して、｢East West ファイヤウォール｣サービスチェインを使って、ポリシーの作成中に特定のトラフィックをネットワークファンクション仮想マシンにリダイレクトするようにしてみましょう。そうすることで｢East Westファイヤウォールアプリケーションの検査が終われば、サンノゼの人事がExchangeエッジトランスポート層にアクセスできるようにする｣というポリシーを定義することができるのです。

上の画像はPrism内のファンクションチェインの管理UIのもので、次のリリース時には利用ができるようになるものです。Redirect through service chain(訳注:サービスチェイン経由でリダイレクト)にチェックを入れることでただのワンクリックでトラフィックを特別なファイヤウォールサービス仮想マシンへとリダイレクトし、さらなる処理を行うことができます。トラフィックが常にこの経路を通ることを保証するために、我々はAHVホスト内の仮想化スイッチ内部にいくつものルールを実装しました。以下のダイアグラムはトラフィックパス内のEast Westファイヤウォールを顕しています。あらゆる仮想マシンへのまたは仮想マシンからのトラフィックは最も右のブリッジ br0 から内部のスイッチへと至ります。もしくは物理ネットワークへのアップストリームとしてスイッチされます。この例ではbr.nf ブリッジ(またはネットワークファンクションブリッジ)内のルールで人事の仮想マシンのトラフィックをリダイレクトー右または左へとーしてネットワークファンクション仮想マシンへと導きます。

br0.local ブリッジは一つの仮想マシンが他の仮想マシンと直接通信することを一切許しません。特定の仮想マシンからのトラフィックは残りのブリッジチェインを流れながら処理され、ブリッジチェインから仮想マシンへのトラフィックも同様です。

ルールを作成し、特定のトラフィックをネットワークファンクションチェイン経由で流せるようになったので、今度はどのようにサービスもしくはエージェント仮想マシンを展開するのかを見ていきましょう。それぞれのネットワークファンクションはそれぞれのAHVホスト上で動作させなくてはなりません。こうすることでサービスチェインをホスト上に構成し、ファンクション仮想マシンを展開して、チェインの中に引っ掛けることができます。もしもこの手順を手動ですべてのホスト場で行わなければならないとしたら、こうした手順内では多くのエラーが起こる可能性が含まれてきます。

ですが、それぞれのステップを手動で実施する必要はありません。なぜなら、次のリリースにはNutanix Calmが含まれており、これを助けてくれるからです。Calmはパロアルト社のVM-シリーズファイヤウォールをNutanix AHVホスト上にブループリントに沿って展開するだけでなく、必要に応じてコントローラーを構成することもできます。ですから上で示したように新しいEast Westファイヤウォールサービスを使い始める際にセキュリティポリシーが正しいことだけをチェックすればよいのです。

AHV上で動作しているあらゆる仮想マシンがネットワークファンクション仮想マシンを利用することができます。上で紹介したパロアルトネットワークスのVM-シリーズのファイヤウォールはNutanix上に展開できるNFVの例のホンの一つです。お使いになりたい製品を自由に使うことができます。私のラボではオープンソースのツールを仮想マシンとして動作させ、ファンクションチェインではAHV上の全てのホストにパケットキャプチャとIDSの機能を提供しています。

シリーズのサマリ

今回のシリーズでは同時にどれだけ可視化、自動化、そしてセキュリティが近年のデータセンタネットワーク戦略の中で重要なコンポーネントになったのかを述べてきました。Nutanix AHVは接続性とフローマッピングの両方をPrismで可視化しています。自動化はベンダーに依存しないライフサイクルイベント通知とCalmによる複雑なネットワークサービスの展開と構成の両方によって提供されます。複数の段階で階層化された絶妙なネットワークセキュリティを提供しています:

接続性とフローの可視化によって怪しいものがないか見つけられる
トップオブラック(ToR)スイッチを統合することで、ほんとうに必要な接続性だけが有効になり、必要のなくなった接続性はすぐに削除される
仮想化スイッチレベルのポリシーベースのマイクロセグメンテーションで正しいフローのみがネットワーク内で許可される
先進的なセキュリティサービスとの統合でこうしたトラフィックをっ更に深く検査することができる
Calmの自動化によって管理上の手間を緩和し、先進的なセキュリティサービスまたはNFVのシンプルな展開を可能とする

こうしたネットワークの機能を組み合わせることでワンクリックネットワークは現実のものとなるでしょう。

今回のシリーズはお楽しみいただけましたか? コメント(※訳注、日本語版のコメントはぜひ当社のTwitterへ)かNutanixのTwitterにお願い致します。もしも技術的にもっと深く知りたいのであれば、今はまだここまでです。

議論を続け、皆でオンラインフォーラムでつながっていきましょう。

© 2017 Nutanix, Inc. All rights reserved. Nutanix, AHV, and the Nutanix logo are registered trademarks or trademarks of Nutanix, Inc. in the United States and other countries. All other brand names mentioned herein are for identification purposes only and may be the trademarks of their respective holder(s).

Forward-Looking Statements Disclaimer

This blog includes forward-looking statements, including but not limited to statements concerning our plans and expectations relating to product features and technology that are under development or in process and capabilities of such product features and technology and our plans to introduce product features in future releases. These forward-looking statements are not historical facts, and instead are based on our current expectations, estimates, opinions and beliefs. The accuracy of such forward-looking statements depends upon future events, and involves risks, uncertainties and other factors beyond our control that may cause these statements to be inaccurate and cause our actual results, performance or achievements to differ materially and adversely from those anticipated or implied by such statements, including, among others: failure to develop, or unexpected difficulties or delays in developing, new product features or technology on a timely or cost-effective basis; delays in or lack of customer or market acceptance of our new product features or technology; the introduction, or acceleration of adoption of, competing solutions, including public cloud infrastructure; a shift in industry or competitive dynamics or customer demand; and other risks detailed in our Form 10-K for the fiscal year ended July 31, 2017, filed with the Securities and Exchange Commission. These forward-looking statements speak only as of the date of this presentation and, except as required by law, we assume no obligation to update forward-looking statements to reflect actual results or subsequent events or circumstances.

記事担当者: マーケティング本部三好哲生 (@Networld_NTNX)

Ntc2017_2