企業におけるネットワーク機能の仮想化(Stephen Lynn 著)

    本ページは英語ドキュメントを翻訳したものです。

     


     

    ネットワーク機能の仮想化

    NFV とは何か、その利点と企業組織での設計方法

     

    企業のお客様のほとんどは、IaaS、SaaS、PaaS サービスの利用を目的としてクラウドを導入しています。クラウドで得られる利点は多数ありますが、企業のお客様がクラウドベースのサービスを採用する一般的な理由は次のとおりです。

    • 俊敏性の向上
    • コンピューティング リソースをオンデマンドで提供するサービスの利用
    • CapEx の削減

     

    エンタープライズ アーキテクトは、クラウド インフラストラクチャ内のそれぞれのテナント スペースでサービスを制御したいと考えています。ここで注目したいのがネットワーク機能の仮想化(NFV)の概念です。NFV の要素は IaaS クラウド サービスで広く使われています。NFV の概念はシンプルで、ルーティング、ロード バランサ、VPN サービス、WAN 最適化、ファイアウォールなどのネットワーク サービスの要素をソフトウェアで実装するというものです。これは、ネットワーク サービスの要素にメモリやサーバ機能をプロビジョニングする新しい機能により可能になります。NFV の要素は自動化することで、サービスを素早くプロビジョニングできます。これらの仮想サービスにより、企業はオンプレミスのデータセンター、プロバイダー クラウド、ブランチの拠点にネットワーク機能を用意できます。

     

    NFV では、ネットワーク サービスの設計、オーケストレーション、管理で新しい方法が可能になります。NFV は基盤となるハードウェアからネットワーク機能を切り離すため、これらの機能は市販のハードウェアやカスタムビルドのハードウェアでソフトウェア イメージとして実行できます。NFV はルーティング、ロード バランシング、ファイアウォール サービス、侵入検知と防御、ネットワーク アドレス変換などのネットワーク サービスの仮想化をビルディング ブロックとして提供するフレームワークです。これらのサービスを連結し、各ユース ケースに合わせたネットワーク サービス チェーンを作成できます。

     

    元々 NFV の概念は、拡大する顧客需要に対応するために、サービス プロバイダーが新しいネットワーク サービスの導入の俊敏性と柔軟性を高めたいという要望から始まったものでした。NFV は SDN を補完するもので、SDN と NFV 間に依存関係はありません。NFV は、多くのデータセンターでよく使われている技術を活用する SDN 以外のメカニズムを使用しても実装できます。ただし、SDN と NFV を組み合わせることで、導入、運用、メンテナンスの作業がシンプルになります。

     

    NFV によるブランチの仮想化

    NFV によるブランチの仮想化アプローチは、仮想化されたネットワーク要素を必要に応じて展開するプラットフォームをお客様に提供することで、新しいテクノロジーの道を開きます。これに、容易に操作できるエンドツーエンドのオーケストレーションと管理のフレームワークを連結すれば、企業は各ブランチでサービスを提供する場合に必要になる費用のかかるトラック ロール(技術者の派遣コスト)が避けられるため、大幅にコストを削減し、投資回収率(ROI)を高めることができます。以下にブランチの仮想化で重視される点を示します。

    • プログラム可能であること — オープン API を活用し、可視性を改善しながらネットワーク サービスの自動化を高められます。
    • 俊敏性 — サービスを迅速に、適切なタイミングで導入できる柔軟性が得られます。トラフィックの拡張、トラフィック タイプの多様化、パフォーマンス、信頼性に対する需要、期待など、変化するビジネス要件を満たすことで、資本と運用の両方でビジネスの効率性を改善できます。
    • シンプル化 — サービスと運用の複雑さを軽減し、より俊敏なビジネス モデルを保証できます。1 つの画面ですべてのブランチを管理できます。

     

    ブランチの仮想化では、さまざまな NFV の要素に対してパフォーマンスを高めるために、カスタマイズされた専用プラットフォームを活用して NFV の要件に対処し、暗号化やカスタマイズされたドライバなどの特別な機能をオフロードしています。今後、NFV と VNF(仮想ネットワーク機能)という用語がよく使われるようになります。そこで、この 2 つの用語の違いを理解することが大切です。NFV は仮想サービスのパラダイム全体を指し、VNF は NFV フレームワークを構成する仮想ネットワークの要素やサービスを指します。この次世代ブランチ ネットワークを構築するための基本ブロックは以下のとおりです。

    • VNF の要素をホストするカスタマイズされた x86 ハードウェア
    • VNF の要素を開始する最適化されているハイパーバイザ プラットフォーム
    • オーケストレーション エンジンの強固な基盤
    • I/O の柔軟なオプション

     

    NFV によるブランチ仮想化の設計に関する考慮事項

    ネットワーク機能の仮想化の概念とその利点についてはよくおわかりいただけたと思います。それでは、NFV でブランチの仮想化を計画する場合に考慮すべきことはどのようなことでしょうか。

    ハードウェア ホスティング プラットフォーム:

    ハードウェア プラットフォームには、x86 ベースのサーバ、既存のルーティング プラットフォーム内で動作するサーバ ブレード、WAN および 4G/LTE アクセス用の専用インターフェイスのオプションを用意しているカスタマイズされた x86 ベースのプラットフォームを使用できます。 さらに、データ暗号化も、データのプライバシーとセキュリティを実現するために必要です。 高パフォーマンスの暗号化機能を保証するために、Intel 社の Advanced Encryption Standard New Instruction(AES-NI)ライブラリなど、高度な暗号化機能を含む CPU チップセットや暗号化オフロード モジュールを搭載したハードウェア プラットフォームを選択肢として検討できます。

     

     

    ハードウェア オプション長所短所
    汎用 x86 ベースのサーバ
    • 低コスト
    • すぐに使用可能
    • Intel AES-NI など、CPU ベンダーが提供する暗号化ライブラリを活用できる
    • コンセプト実証に最適
    • ベンダーの選択肢が幅広い
    • サーバの平均寿命が 3 ~ 5 年
    • 専用 WAN 接続や 4G/LTE アクセス用に外部デバイスが必要
    既存のルータ/スイッチのサーバ ブレード
    • 既存のルータ/スイッチのサーバ ブレード
    • 既存のインフラストラクチャに簡単に統合
    • 専用 WAN および 4G/LTE アクセスの統合をサポート
    • ハードウェアの寿命とサポートが長い(平均 7 ~ 10 年)
    • 組み込み暗号化オフロード モジュールをサポート
    • 既存環境(ブラウンフィールド)への導入に最適
    • サーバ ブレードの追加コストがかかる
    • ベンダーの選択肢が限られている
    カスタマイズされた x86 ベースのサーバ
    • カスタマイズされた x86 ベースのサーバ
    • NFV 環境に合わせた最適化
    • 専用 WAN および 4G/LTE アクセスをオプションでサポート可能
    • オプションの暗号化オフロード モジュールをサポート
    • 新規環境(グリーンフィールド)への導入に最適
    • ハードウェアの寿命とサポートが長い
    • 初期の CapEx が高くなる
    • ベンダーの選択肢が限られている

     

    VNF の要素用のハイパーバイザ プラットフォーム:

    ハイパーバイザは、オペレーティング システムと似ていますが、異なる点があります。ハイパーバイザとは、ハイパーバイザ上で実行している仮想マシンにオペレーティング システム サービスを提供するソフトウェアです。 ハイパーバイザには 2 つのタイプがあります。 タイプ 1 のハイパーバイザは、オペレーティング システムのようにベアメタルの x86 ハードウェア アーキテクチャ上で実行されますが、他のオペレーティング システムをその上で実行することもできます。タイプ 2 のハイパーバイザは、OS をホスト環境としてその上で実行されます。タイプ 1 のハイパーバイザはハードウェアへのダイレクト アクセスが可能なため、OS 上で実行されるタイプ 2 のハイパーバイザよりもパフォーマンスに優れています。

     

    現在販売されているハイパーバイザの一般的なタイプは次のとおりです。

    • VMWare ESXi
    • KVM
    • Microsoft Hyper-V
    • Xen

     

    ホストのネットワーク機能を正しく仮想化し、ホストしている VNF のスループットと遅延の要件を満たすには、ハイパーバイザを選択する際に以下の点を検討する必要があります。

    • VNF に関するデータ プレーンの遅延の変動
    • すべてのパケット サイズで高パフォーマンスが得られるネットワーク I/O
    • リアルタイム VNF に関するコントロール プレーンのタイミング変動と正確性
    • VM 間の通信

     

    この問題の解決策として、Single Root I/O Virtualization(SR-IOV)があります。これは、遅延の影響を受けやすい仮想マシンや CPU リソースを多く必要とする仮想マシンのネットワーキングで遅延を最小限に抑えることができます。 SR-IOV を利用するには、ハードウェア(PCIe デバイス)、ハイパーバイザ プラットフォーム、VNF のすべてがこの機能をサポートしている必要があります。

     

    また、一連のライブラリとドライバで構成される Data Plane Development Kit(DPDK)もあります。これは、ネットワーク I/O の処理が多い VNF の CPU サイクルの使用率を最適化しながら、パケット処理のパフォーマンスを改善できます。 DPDK は、対応している VNF のネットワーク I/O のスループットを高めます。

     

    ハイパーバイザのオプションハイパーバイザのタイプオープン ソースSR-IOV のサポートDPDK のサポート準仮想化機能
    ESXiタイプ 1非対応

    対応

    ESXi 5.1 以降

    対応

    ESXi 5.5 以降

    対応
    KVMタイプ 1対応

    対応

    対応

    対応
    Hyper-Vタイプ 1非対応

    対応

    Windows Server 2012 以降

    非対応対応
    Xenタイプ 1対応対応対応対応

     

    まとめ

    NFV は、新しいサービスを既存のサービスに統合する、つまりサービス チェーンの作成に必要なオンデマンド サービスと一元化されたオーケストレーションを可能にします。たとえば、ファイアウォール機能が必要なお客様は、ポータルを使用して VNF の一覧の中から選択すると(ASAv、vWAAS など)、そのファイアウォール機能がプラットフォームに動的に導入されます。企業は、特定のサービスを実行するために、「ベストな組み合わせ」の VNF を選択することができます。NFV を使用することで、新しい機能要件に合わせて拡張できる仮想デバイスが可能になります。 たとえば、ブランチ ルータに、セキュリティ ゲートウェイ(ファイアウォールや Sourcefire)を用意し、ファイアウォール サービス、高度なマルウェア防御(AMP)、Application Visibility and Control(AVC)、URL フィルタリングなどの機能を提供できます。ルータでファイアウォール機能を使用する代わりに、NFV の要素でセキュリティ機能を追加して利用する方法もあります。

     

    著者について

    pic Stephen Lynn.png

     

    pic Stephen Lynn book.jpg

    Stephen Lynn は CDE #20130056 およびトリプル CCIE #5507(ルーティングおよびスイッチング/WAN/セキュリティ)を取得しています。シスコのアーキテクトとして、主に米国連邦政府の顧客を担当し、キャンパス、WAN、データセンターなどの大規模な企業向け設計を専門としています。本内容の多くは、同氏が最近発行した Cisco Press ブック『Virtual Routing with Cisco Cloud Services Router (CSR 1000V)(シスコ クラウド サービス ルータ(CSR 1000V)による仮想ルーティング)』[英語] に詳しく説明されています。

     

     

    次の方法で、このテーマについてさらに学んだり情報を交換したりすることができます。

    CLNBanner