SDN導入に不可欠なビジビリティと目的意識

ホワイトペーパー
SDN導入に不可欠なビジビリティと
目的意識
はじめに
ネットワーク・アーキテクチャは大規模な変革の途上にあります。
従来のネットワーク構成では、コンピュートとストレージに対する
ニーズの増加がすでに大きな負担になっていました。しかし、サー
バーとストレージの仮想化の出現によって、サービス指向アーキ
テクチャとマシン・ツー・マシンの通信をサポートするのに必要
なリソースにオンデマンドでアクセスできるようになりました。そ
の仮想化の機敏性とプロビジョニングが向上した結果、基盤となる
ハードウェアから主要なネットワーク・コンポーネントを分離す
る優れた柔軟性が提供されるようになり、現在のソフトウェア定義
ネットワーキング（SDN）に向けた動きが加速されるようになり
ました。
SDN とネットワーク仮想化（NV）の導入は一般化とはほど遠い
状態にありますが、実質的にあらゆる組織がこの不可避のアーキ
テクチャの変化に対応する計画を策定しているため、今後、ネット
ワークは過去に例を見ない変革を遂げることになるでしょう。組織
がSDN の活用を考える場合、ソフトウェア定義アーキテクチャと
ネットワーク機能の仮想化の分野で組織全体の知識とスタッフのス
キル・セットの強化が必要になることは間違いありません。本文
書はそのような組織に役立つよう、さまざまなソースからの情報
をまとめて基本的なSDN の概念と用語を説明し、その利点を提示
して、導入計画に対する実用的なアドバイスや市場動向に関する情
報を提供します。その中でも特に重要なのは、ネットワーク・ビ
ジビリティの拡大です。本文書の最後に、その着手方法、簡単に導
入できるこの単一の統合フレームワークにアクセスする方法、およ
びサーバー仮想化、SDN、クラウド採用などの基本要素として活
用する方法についてまとめています。
背景
SDN とは
SDN アーキテクチャは、データ・プレーン（データ転送レイヤー）
から制御プレーン（管理レイヤー）を分離します。その結果、アー
キテクチャは高度なプログラミングと拡張が可能になり、制御フ
レームワークによってネットワークを単一の論理抽象化として表示
およびプロビジョニングできるようになります。このようなアーキ
テクチャでは、必要な構成が常に自動的に適用されるため、サービ
スのオーケストレーションとプロビジョニングの管理が簡略化され
ます。それによって、拡張性と俊敏性が大幅に向上し、基盤となる
© 2015-2016 Gigamon. All rights reserved.
ハードウェア・インフラストラクチャの選択肢も拡大します。ま
た、CAPEX （設備投資）とOPEX （運用コスト）が大幅に低減さ
れるだけでなく、SDN アーキテクチャによって革新に拍車がかか
り、変化にも迅速に対応できるようになりますが、そのためにサー
ビスの中断やオーバーヘッドが発生することはほとんどありませ
ん。
ソフトウェア定義のビジビリティとネットワーク機能仮想化の関係
ソフトウェア定義ネットワーキング（SDN）とネットワーク機能
仮想化（NFV）は相互に補完し合う関係です。補完という概念で
は、そのほかにもネットワーク仮想化（NV）とホワイトボック
ス・スイッチングがあります。このような概念では最終的にすべ
て、基盤となるハードウェアからソフトウェアを抽象化することに
なりますが、それによってソフトウェアの機能は移動できるように
なり、ハードウェアに依存しなくなります。
• SDN: データ・レイヤーまたは転送レイヤーからネットワーク
制御レイヤーを分離します。抽象化の最高位に位置し、ネット
ワークを全体として扱います。
• NFV:DNS とネットワーク・アドレス変換のほか、ファイアー
ウォール、IPS、高度な脅威検出、WAN 最適化、CDN などの
セキュリティ・サービスが代表的な特定のネットワーク・サー
ビスが中心です。
• NV: サーバー、または多くの場合、仮想マシンに必要に応じて
リアルタイムで分割して割り当てることのできる統一体として
扱うことで、ネットワーク帯域幅の使用を最適化します
OpenFlow の役割
OpenFlow はこれまで、SDN の同義語として誤って使用されてき
ました。実際には、SDN の制御プレーンと転送プレーンの間の通
信パスとインタフェースを初めて定義したオープンな標準の1 つで
す。以下の画像は、オープン・ネットワーク財団（ONF）が提唱
および管理するOpenFlow の現在の構造の概要です。
この構造では、SDN コントローラはSDN の中央司令塔として機能
します。OpenFlow や Open Virtual Switch Database（OVSDB）
のようなAPI を介して、インフラストラクチャ・レイヤーのルー
ターとスイッチと通信します。また、API はコントローラがアプリ
ケーションをプロビジョニングする場合にも使用されます。
1
ホワイトペーパー: SDN導入に不可欠なビジビリティと目的意識
Software-Defined Framework
Application Layer
Business Applications
API
Control Layer
Network
Services
API
API
Network Services
ているサービス・プロバイダー、企業、政府機関、または組織は、
OpenStack のアプローチによって長期的に提供される利点を検
討する必要があります。本文書の執筆時点で150 社以上の企業が
OpenStack 財団の活動にコードと専門知識を提供しています。
OpenStack のアーキテクチャはモジュール式で、コンピュー
ト、ストレージ、ネットワーキング、仮想マシンの監視など、ク
ラウド・コンピューティング・アーキテクチャの一般的に知ら
れている部分に対してコードネームを採用しています（以下参
照）。
OpenStack
Infrastructure Layer
main services and components
Heat
Horizon
orchestration
dashboard,
web UI
templates
Neutron
networking
図1:SDNアーキテクチャ
特にプロトコルとSDN コントローラの選択は、現在に至るまで、
確立されたネットワーク・ベンダーと新興ベンダーの間における
業界の熾烈な競争の原因になってきました。その選択肢はNOX
（現在のVMware であるNicira が開発）、POX、Beacon、および
新しいOpenDaylight などのオープン・ソースのコントローラに
まで拡大し、Cisco、Citrix、Ericsson、HP、IBM、Juniper など、
あらゆる規模のベンダーに幅広くサポートされています（リス
ト参照）。これらのベンダーの多くは、オープン・ソースから派
生したコントローラの商用版を提供し、今後オープン・ソースに
なるかどうかは不明ですが、用途に合わせた専用製品を提供する
ベンダーもあります。また、AT ＆T、Ciena、富士通、Huawei、
NTT、Intel などの企業は、Open Network Operating System
（ONOS）搭載のOpenDaylight に代替製品を提供しています。
SDN アーキテクチャと既存のルーターやスイッチなどのインフラ
ストラクチャとの相互作用はコントローラとサポートされるプロ
トコルによって決まるため、その選択は重要です。
OpenStack について
2010 年にRackSpace とNASA の共同プロジェクトとして開始し
たOpenStack は現在、ユーザーと貢献者のグローバル・コミュニ
ティとしてOpenStack の財団が管理しています。OpenStack の
目標は、パブリック・クラウドとプライベート・クラウドの構成
にオープン・ソースの柔軟性と拡張性を提供することです。ベン
ダーに依存しない新しいデータ・センターの設計と構築を計画し
1
Keystone
Nova
conductor
DB
scheduler
compute
VM
hypervisor
Cinder
block storage
identity
service
Glance
VM image
manager
external
storages
図2:OpenStackの主なサービスとコンポーネント1
以前は、アナリストも業界も、オープン・ソースのアプローチの
広範な使用事例がないことを理由にOpenStack の実行可能性を疑
問視していましたが、そのような懸念はOverstock.com やPaypal
をはじめ、多くの大規模企業の使用事例がFICO とNASA に追加さ
れるにつれて薄れつつあります。それでも、拡張性や相互運用性、
NFV が各組織に最適なクラウド・アーキテクチャ（専用、制限
付きの配布またはオープン）のオプションに関する調査を保証す
るかについては懸念があります。
SDN と NFV のビジネス・ケース
ネットワーク・インフラストラクチャにはこの数十年間、大きな
変化はありません。現在の高パフォーマンス・ネットワークはカ
スタム・シリコンを搭載した専用ハードウェア上で稼働されてい
ますが、それらを市場に提供している企業はそのために莫大な投
資をしていることが、その原因の1 つになっています。導入する
側の企業も、現在のネットワーク・インフラストラクチャを維持
するために、専門的なスキルや資格を持つ多くの人材を投入して
きました。このようなことから、カスタマイズやネットワーク構
成を柔軟に行うことは、最近まで非常に難しい状況にありました。
出典:https://en.wikipedia.org/wiki/OpenStack
© 2015-2016 Gigamon. All rights reserved.
2
ホワイトペーパー: SDN導入に不可欠なビジビリティと目的意識
SDN では、インフラストラクチャの選択でより多くのオプション
が提供されています。ホワイトボックス・スイッチはまさに、そ
の柔軟性とカスタマイズ性から市場に提供され、既製のハード
ウェアもOS と基本的なネットワーク・サービスの有無が選択で
きます。ネットワーク設計者はそれでも柔軟性とパフォーマンス
のいずれかで妥協する必要がありますが、この分野における革
新はこれまでにないほどの幅広さで急速に進んでいます。実際、
ネットワークとネットワーク・サービスに専用アプライアンス
を提供する多くのベンダーは現在、ソフトウェアのみのバンドル
とサブスクリプション・サービスとして機能を提供しています。
SDN とNFV の利点は以下のとおりです。
1. 革新のための触媒となり、そのペースを加速します。
2. ネットワーク・インフラストラクチャの調達で顧客に対して影
響力があります。
3. ハードウェア依存によってこれまでオプションで選択できな
かった新しいサービスやアプリケーションが利用できます。
4. 共有インフラストラクチャの使用によりCAPEX が削減され、
提供できるテナントとリソースの数を大幅に拡大できます。
5. ネットワーク・サービスの一元的な制御とオーケストレーショ
ン、および管理とサービス・デリバリを効率化するリソースを
通してOPEX を削減できます。
6. ビジネスと目的に適応可能な柔軟性と拡張性に優れたネット
ワークによって民間企業の競争力を強化し、公共部門の対応を
加速できます。
SDN のセキュリティの課題
現在の脅威は、ネットワークやデータ・センター内部のトラ
フィックを標的にしています。これらの脅威は許可されたデバイ
スまたはトラフィック・ストリーム内に隠れてデータ・センター
に侵入し、侵入後はサーバーからサーバーへと水平方向に伝播し
ます。セキュリティ・コントロールおよびデバイスは、理論的に
はデータ・センターの各セグメントに適用できますが、規模とパ
フォーマンスの観点からは、特にネットワーク速度とトラフィッ
ク・ボリュームの増加を考えると、あまり現実的ではありません。
セキュリティを導入しても、広範または詳細に適用できることは
ほとんどありません。また、この分野ではいくつかの技術革新は
あったものの、物理と仮想のワークロード全体に対するセキュリ
ティ・ポリシーとアプリケーション制御の統合は、現時点では
現実的な導入オプションではありません。そのため、脆弱な状態
のまま組織の最も価値あるデータが保存されているデータ・セン
ターは、攻撃者の格好の標的になっています。このような状況は、
リファレンス・デザインとベスト・プラクティスがまだ存在せず、
自動化によって図らずもネットワークにおける脅威の迅速かつ広
範な増殖が促されるSDN アーキテクチャでは一層深刻になりな
す。
© 2015-2016 Gigamon. All rights reserved.
顧客と採用
SDN 市場の予測
5 年以内に、実質的にすべてのネットワーク関係の調達は、SDN
の準備と適応が精査されるようになると予測されています。
SDXCentral で2015 年のSDN 市場のレポートを参照してください。
https://www.sdxcentral.com/flow/sdn-software-definednetworking/.
使用事例
キャンパスと支店 — キャンパス・ネットワークにおける懸念の1
つはネットワーク・アクセス・コントロール（NAC）です。つ
まり、ユーザーのネットワーク接続を保護し、使用するデバイス
や接続する場所にかかわらず、必要なサービスとアプリケーショ
ンにのみアクセスを提供することです。SDN 内に一元的な制御と
プロビジョニングの機能があれば、必要なリソースにアクセスす
るときに、基盤となるインフラストラクチャに依存しないシーム
レスなユーザー・エクスペリエンスを提供し、組織がユーザーに
許可したセキュリティとビジネス・プロファイルに従った接続を
確保できます。セキュリティの方針やアクセスに対するニーズが
変更されたときに、必要なリソースの迅速な再割り当てが自動的
にトリガされれば、手作業や遅延は発生しません。
データセンター — ビッグ・データ・ウェアハウス、および垂直/
水平方向とマシン間のトラフィックの急増によって、データ・セ
ンターの設計では規模が重視されます。SDN とNFV では、迅速な
サービスとアプリケーションのプロビジョニングによって、サー
バーとストレージの仮想化のメリットが拡大されます。必要なコ
ンピュートとサービスが自動的に割り当てられれば、ビジネス・
ニーズに合わせてアプリケーションも加速されます。
クラウド — プライベートとハイブリッドに加え、パブリック・
クラウドでさえ俊敏なリソースの配分と無限のセグメント化が鍵
となる特別なデータ・センターになっています。SDN とNFV の
アーキテクチャを使用すると、クラウドの細分化、テナント制御
の最大化、リソースのプライバシー保護および脅威の封じ込めが
可能になります。論理のSDN データ・センターとクラウド・プ
ロビジョニングによって、管理のオーバーヘッドが削減され、二
酸化炭素排出量は負荷に対して最適なレベルで維持されます。
サービスプロバイダー — SDN とNFV は規模の拡大だけでなく、
インフラ投資のあらゆる側面の収益化を期待する通信事業者とモ
バイル・ネットワーク事業者にとって多くのメリットがあり. ま
す。制御とプロビジョニングを中央に配置すると、通信事業者は
ユーザーやビジネス・サービスに対して必要なアプリケーション、
パフォーマンス・レベル、セキュリティの組み合わせをカスタマ
イズして提供できます。迅速なセルフサービスのプロビジョニン
グは、使用ベースの収益、競争上の差別化、顧客ロイヤルティに
おいて大きなメリットになります。また、多様なベンダーと価格
モデルのオプションのあるインフラストラクチャを調達できれば、
CAPEX を大幅に削減したり、少なくともSDN とNFV のROI を向
上させることができます。
3
ホワイトペーパー: SDN導入に不可欠なビジビリティと目的意識
標準の状態
標準をめぐって対立したり、そのために採用担当者間に混乱が生
じなければ、SDN の採用はスムーズに進みます。ネットワークと
データ・センターの設計者は当然、投資回収を最大化し、SDN と
NFV のすべての利点を活用できる選択が必要になります。
前のセクションのSDN コントローラの説明では選択肢の多さを強
調しましたが、NFV もETSI、OPNFV、OpenDaylight Project、
IETF、およびMEF によってさまざまなオプションが提供されま
す。ただし、SDN 導入には段階的なオプションがあるため、その
すべてを導入する標準的なシナリオの完成を待つ必要はありませ
ん。
SDN への移行
SDN への移行の詳細
一部の組織は完全にゼロからSDN を構築するにしても、大多数は、
従来のインフラストラクチャでハイブリッド・ネットワークを構
築しながら、SDN に対応したルーターとスイッチ、動的なワーク
ロードのプロビジョニングに取り組むことになるでしょう。この
ような環境を問題なく運用するには、管理を相互に関連付ける方
法と同様に、両方のタイプのネットワーク・トラフィックのビジ
ビリティが鍵になります。
ハイブリッド・ネットワークの設計の大きな魅力は、SDN に対応
するためにすべての要素に再投資する必要がなく、モデルに対し
てデータ・センター全体を変更せずに段階的にSDN に移行するた
め、移行時にありがちな業務の中断を最小化できることです。ま
た、ネットワークの一部をソフトウェア定義にすることによって、
自動化と迅速なプロビジョニングの利点に加え、サービスとして
提供するアプリケーションのサービス品質（QoS）も確保できま
す。
多くの組織からネットワーク・インフラストラクチャの設置を依
頼されたり、依頼の候補になっているベンダーは、SDN アーキテ
クチャへの段階的な移行を可能にする製品を提供しています。そ
のようなベンダーには、Cisco、IBM、VMware、HP、Juniper、
Brocade などの大手ネットワーク企業と新興企業が含まれます。
前述のように、それぞれが特定のコントローラとプロトコルをす
でに実装している可能性があるため、現在の選択がこれから導入す
るSDN の長期的な設計オプションに与える影響を理解することが
重要です。
タイムラインと検討事項
SDN の移行の中で最も重要なステップは計画です。全体の目標
は、SDN のメリットを確保しながら既存のインフラストラクチャ
を活用することで、初期コストを抑制し、中断を最小化すること
です。
め、質問の数や種類も組織によって様々ですが、代表的な質問に
は以下が含まれます。
•どのビジネス目標がSDN への移行の中心となるか
•どのアプリケーションを最初にSDN アーキテクチャから提供す
るか
• SDN インフラストラクチャに対してどのベンダーおよび/ また
はプロトコルの使用を検討中であるか、また、それはなぜか。
•どのセキュリティ・コントロールをレガシー・ネットワークか
らSDN に複製する必要があるか（最小限）
•どのマイルストーンと時間枠で移行の段階を定義するか
• 必要なアーキテクチャと目標に類似して、参照用の枠組みとし
て使用できる移行の成功例はあるか
•どのように成功を評価および伝達するか
• 移行を成功させるためには、どのようなリソースが必要であるか
SDN におけるビジビリティの役割
概要
SDN は近代的なネットワークとデータ・センターを変革し、ビジ
ネス・ニーズの変化に合わせて迅速に再構成できるアジャイル・
フレームワークへと変えてくれます。それでも、多くの組織は、
増加するモバイルのワークロードと自動設定のアプリケーション
やサービスによってトラフィックのビジビリティが損なわれ、そ
の結果、パフォーマンス最適化機能とセキュリティの両方に悪影
響が及ぶ可能性があると認識しています。
ネットワーク・ビジビリティはすべてのネットワークの基盤とな
る要素であり、動的なSDN アーキテクチャでは重要性が高くなり
ます。ただし、ネットワーク・ビジビリティを確保できなくても、
SDN の導入を遅らせる必要はありません。Gigamon® のように、
標準化コミュニティとSDN アーキテクチャの主要ベンダーと連携
して、SDN の移行中だけでなく移行の完了後もアプリケーション
のパフォーマンスとセキュリティが維持されるよう対策を用意し
ている企業もあります。
ビジビリティ・ファブリックによる SDN 採用の加速
ネットワーク・ビジビリティのパイオニアであるGigamon は、
高度な拡張性を備えたビジビリティ・ファブリックを統合し、そ
の一部としてインテリジェントなトラフィック転送機能を提供
しています。また、当社はビジビリティ・ファブリックの機能
をさらに拡張しているため、セキュリティ配信プラットフォーム
（SDP）として導入したり、パケット・キャプチャ、パフォーマン
ス監視、分析ソリューションを含めたあらゆるタイプのセキュリ
ティ・デバイスの導入を一元管理することも可能です。
重要な質問とその回答を可能な限り詳細に文書化すると、SDN の
移行作業の青写真として使用できます。組織はそれぞれ異なるた
© 2015-2016 Gigamon. All rights reserved.
4
ホワイトペーパー: SDN導入に不可欠なビジビリティと目的意識
ネットワーク・ビジビリティはSDN 導入において最も重要な幅
広いレイヤーです。そのため、SDN のトラフィック・フローとパ
ケットに対する深い知識は、以下にとって不可欠です。
1. SDN ネットワーク自体の状態の監視
2. 提供するアプリケーションの監視
3. セキュリティの維持
選択したSDN アーキテクチャをOpenFlow またはVMware の
NSX やCisco のACI のようなネットワーク仮想化の抽象化、ある
いはその他のフレームワークのいずれに構築しても、上記の要件
の重要性は変わりません。SDN では制御と転送のレイヤーは独立
して管理しながら、連携して機能させる必要があります。ネット
ワーク・インフラストラクチャでは、ネットワークの遅延やベン
ダーの相違によって引き起こされるこれら2 つのレイヤー間の同
期の問題がボトルネックとなり、中断が発生する可能性がありま
す。SDN のアプリケーションとサービスでは、オンデマンドのプ
ロビジョニングのメリットは否定できません。しかし、その動的
な構成によってトラフィック・パターンは予測不能になり、ネッ
トワーク内の予測可能な場所にパフォーマンス管理ツールを配置
する従来の方法では問題を解決できない可能性があります。SDN
内ではこのようなトラフィックのビジビリティには一貫性が必
要であり、ツールを中央に配置して、すべてのトラフィック・フ
ローとパケットを受信できるようにする必要があります。同様
のロジックは、セキュリティのニーズにも適用されます。従来の
ネットワークではセキュリティ・デバイスを重要なネットワーク・
セグメントに配置できましたが、SDN ではできません。これは、
ネットワークの重要なポイントが未知なためではなく変更される
ためで、リソースと通信ルールも頻繁に更新されます。中央に配
置し、SDN 内のすべてのトラフィックに完全にアクセスできれ
ば、埋め込まれたマルウェアや異常なパターンのセキュリティ技
術による検出率は最大化されます。
ポイントを詳しく説明するために、SDN の3 つの使用例を以下に
示します。
Internet
IPS
(Inline)
VMware NSX ソフトウェア定義データセンター（SDDC）
SDDC に移行する場合に重要なのは、IT がSDDC を管理、監視
および保護すると同時に、既存のツールへの投資を活用すること
です。VMware のNSX とCisco ACI などのネットワーク仮想化ソ
リューションでは、オーバーレイとアンダーレイのネットワーク
の概念を導入しています。オーバーレイ・ネットワークは通常、
場所とアイデンティティの分離に加えて、テナントの分離とサー
ビスの分離が提供される仮想ネットワークです。物理的なネット
ワーク・インフラストラクチャは通常、アンダーレイ・ネット
ワークとして機能します。仮想オーバーレイはテナントのサブス
クリプション、サービス保証、VM の可動性に基づいて動的にイン
スタンス化、拡張および削除できます。また、それによって基盤
となる物理インフラストラクチャの効率が向上します。
ただし、トラブルシューティングと監視の作業は複雑化します。
オーバーレイの動的な性質から、特に、オーバーレイがサーバー
/ ハイパーバイザのドメインでインスタンス化され、物理的アン
ダーレイ・ネットワークで転送される場合、アンダーレイとオー
バーレイの間のトラフィックを相関させて追跡したり、サーバー・
チームとネットワーク・チームの部門間にサイロが存在すると、
迅速なトラブルシューティング、パフォーマンスの最適化、セ
キュリティの障壁になります。また、そのために、トラフィック
の複数のプレーンの監視と保護が必要になります。同様に、仮
想マシンの移行は現在、セッションの継続性を維持するために、
ネットワーク・オーバーレイを使用してセグメント化されたレ
イヤー3 のアンダーレイ・ネットワークを介して行われます。そ
れによって、基盤となる物理インフラストラクチャは、レイヤー
3 のセグメンテーションを通して拡張できます。ただし、アプリ
ケーション・パフォーマンス管理（APM）とセキュリティ監視
の課題ももたらされます。その原因は、脅威の範囲を管理および
制限するためのアプリケーション・パフォーマンスの分析にトラ
フィック・ビジビリティを必要とするツールでは、仮想マシンが
Anti-Malware
(Inline)
SIEM
/
Data
Loss
Big Data
Prevention
Intrusion
Detection
System
Forensics
Email Threat
Detection
A
P
I
Routers
GigaSECURE Security Delivery Platform
“Spine”
Switches
“Leaf”
Switches
GigaVUE-VM and
GigaVUE® Nodes
Metadata
Engine
Application
Session Filtering
SSL
Decryption
Inline
Bypass
Virtualized
Server Farm
図3:ツールへの投資を活用して物理およびSDNセグメントのトラフィック監視を可能にするハイブリッドSDNのビジビリティ・ファブリック
© 2015-2016 Gigamon. All rights reserved.
5
ホワイトペーパー: SDN導入に不可欠なビジビリティと目的意識
別の場所に移動し、そのトラフィックが元の場所のツールに表示
されない場合、死角が発生することにあります。
Gigamon の統合VMware ソリューションは、ハイブリッドSDN
とグリーンフィールドSDN の導入の両方でこれらの課題を解決し
ます。下の図で示すように、Gigamon セキュリティ配信プラット
フォームはSDN アーキテクチャと既存のセキュリティの間に配置
して、パフォーマンス管理ツールによってそれらすべてにSDN の
ビジビリティが提供されます。仮想化TAP によって、トラフィッ
ク、フロー、およびパケットがセキュリティ配信プラットフォー
ムに配信され、そのトラフィックのコピーが必要なすべてのツー
ルに転送されます。また、NSX Manager とvCenter と統合する
ことで、仮想コンポーネントやTAP のGigaSECURE® セキュリティ
配信プラットフォームへの導入が自動化されるだけでなく、ソフ
トウェア定義データ・センター内でのビジビリティ・トラフィッ
ク・ポリシーの動的なプロビジョニングが可能になります。
分割されます。そのため、データ・センターやクラウド・オペ
レータは仮想ネットワーク全体を管理して、すべてのテナントに
セキュリティ検査とサービス監視を提供すると同時に、テナント・
リソースを相互に分離する必要があります。以下に示す配置では、
Gigamon のセキュリティ配信プラットフォームとVMware のク
ラウド管理プラットフォーム（vRealize Automation）および/
またはNSX Manager の統合によって、以下が可能になります
• GigaSECURE Virtual Visibility のコンポーネント、GigaVUE-VM
を使用したビジビリティ・サービスの挿入
• テナントの仮想トラフィックを分析のために選択およびフィルタ
リングして、セキュリティ・ツールと監視ツールへ転送するトラ
フィック・ポリシーの定義
新しいテナントのオンボード時または既存のテナントのセキュリ
ティ・グループの動的な拡張時にサービスおよびトラフィック・
ポリシーを自動で更新
VMware NSX マルチテナント SDDC/ クラウド
マルチテナントSDDC では、クラウドの「テナント」とは異な
り、リソースが顧客の組織にマッピングする論理エンティティに
vRealize Automation (vRA)
1. Deploy new Tenants and Applications 2. Apply “Visibility” Policy
NSX Manager
vCenter
IPS
?,.
(Inline)
E?3;"3/F
Anti-Malware
+36"()$;7$0/
(Inline)
E?3;"3/F
Data
Loss
@$6$2C8--2
Prevention
,0/1/36"83
Intrusion
?360:-"83
Detection
@/6/A6"83
System
.>-6/B
Forensics
G80/3-"A-
Email Threat
Detection
A
P
I
NSX APIs, Service Insertion
vCenter APIs, Events
Internet
TAPs
GigaVUE VM
GigaSECURE Security Delivery Platform
GigaVUE-VM and
GigaVUE® Nodes
NetFlow / IPFIX
Generation
Application
Session Filtering
SSL
Decryption
Inline
Bypass
Filtered and Sliced Virtual Traffic
図4:VMware NSXソフトウェア定義データ・センター（SDDC）の保護
© 2015-2016 Gigamon. All rights reserved.
6
ホワイトペーパー: SDN導入に不可欠なビジビリティと目的意識
vRealize Automation (vRA)
1. Deploy new Tenants and Applications 2. Apply “Visibility” Policy
REST APIs
Software-Defined Visibility
vCenter APIs, Events
NSX Manager
NSX APIs, Service Insertion
Virtual Traffic
Centralized Tools
GigaVUE-FM
Security
vCenter
Anti-Malware
VXLAN=6000
POWERED BY
GigaSMART®
SSL
Decryption
DLP
SSL Decryption
NetFlow / IPFIX
Generation
Adaptive
Packet Filtering
TAPs
GigaVUE VM
Header
Stripping
Visibility Fabric
Application
Session Filtering
Internet
Network Forensics
APT
Monitoring
De-cap VXLAN
Application Performance
Network Performance
NetFlow / IPFIX
Filtered and Sliced Virtual Traffic
IDS
Customer Experience
図5:VMware NSX SDDCの監視のためのテナントレベルのトラフィック・ビジビリティ
Cisco ACI ソフトウェア定義ネットワーク
ACI アーキテクチャでも、ネットワーク仮想化のオーバーレ
イ/ アンダーレイの概念が使用されています。ポリシー施行の統
合ポイントであるApplication Policy Infrastructure Controller
（APIC）によって、アプリケーション中心のポリシーは基盤とな
るACI ファブリックにプログラムされているネットワーク・ポリ
シーの設定に変換されます。ネットワーク管理者がAPIC とインフ
ラストラクチャの同期の状態を即座に判断するためには、APIC と
物理/ 仮想ノード間の通信のビジビリティを確保する必要がありま
す。また、ネットワーク・トラフィックのアクティビティとコン
トローラが予測するスイッチの動作を相関させることは、SDN の
導入を成功させる上で重要です。
© 2015-2016 Gigamon. All rights reserved.
VMware と同様に、Cisco ACI では仮想ネットワーク内のトラ
フィックをセグメント化するのにVXLAN タギングが使用されま
す。また、VMware NSX 環境と同様に、Gigamon のセキュリティ
配信プラットフォームは、ビジビリティのギャップを埋め、物理
と仮想のネットワーク・セグメントからトラフィックを取得し、
接続しているツールに送信します。GigaSECURE のポリシーベー
スの転送では、VXLAN タグがセキュリティおよびアプリケーショ
ン管理ツールでサポートされない場合やSDN で機能しない場合、
オプションで、そのツールに送信されるトラフィックからVXLAN
タグを削除できます。
7
ホワイトペーパー: SDN導入に不可欠なビジビリティと目的意識
REST APIs
Closed Loop Monitoring
GigaVUE-FM
Centralized Tools
New ACI Architecture
POWERED BY
GigaSMART®
VM Traffic
Inline
Bypass
VXLAN=6000
SSL
Decryption
VXLAN=5000
Spine
(Nexus 9500)
NetFlow / IPFIX
Generation
Leaf
(Nexus 9300)
Header
Stripping
GigaVUE-VM
Virtualized Server Farm (UCS)
VM
VM
Visibility Fabric
Adaptive
Packet
Filtering
G-TAP BiDi (40Gb)
Application
Performance
Mangement
Customer
Experience
Management
De-cap VXLAN
Security
NetFlow / IPFIX
Network
Performance
Mangement
HYPERVISOR
図6:Cisco ACIの監視とセキュリティ
プラットフォーム中心のTaaS は、OpenStack のネットワーク・
サービスであるNeutron の拡張機能として操作できるように設計
されています。TaaS で提供される単純なAPI を使用して、テナン
ト（またはクラウド管理者）はNeutron がプロビジョニングする
ネットワークのポートを監視できます。テナントの境界が侵害さ
1. 予防、検出およびフォレンジックのためのセキュリティの導
れないよう、テナントは自らのポート、つまり、そのプライベー
ト仮想ネットワークの1 つが接続する任意のポート、または共有
入方法
2. 移行したアプリケーションによるSLA とコンプライアンスの
の仮想ネットワーク上で作成されたポートのみを監視できます。
TaaS のワークフローは、ポートのミラー・セッションの送信先
義務の履行。
3. 分析とトラブルシューティングの方法（特にSP のクラウド）
側となるNeutron のポートのあるタップ・サービスのインスタン
4. パフォーマンス管理とセキュリティに対する既存のアーキテ
スの作成から始まります。監視用の仮想マシンは通常、ミラーリ
ングしたトラフィックを消費するために、このポートに接続され
クチャの再利用
ています。その後、タップ・フロー（複数可）をタップ・サービ
これらの設計の目標を達成する基本的な方法の1 つは、ス・インスタンスに追加できます。タップフローは、監視対象の
OpenStack のクラウドにおけるトラフィック・フローに対するビ（送信元）ポートとタップ・サービスのインスタンス間の関係を表
します。TaaS はリモート・ポート・ミラーリングよって複数の
ジビリティを確保することです。ネットワーク・ビジビリティの
ホストにまたがるミラー・セッションが可能なため、場所の独立
リーダーとして、他社に先駆けてパブリック・クラウドのビジビ
性が維持されます。
リティの分野に取り組んできたGigamon では、そのビジビリティ
ポート・ミラーリングはかつてはスイッチ・レイヤー機能でし
をTap-as-a-Service （TaaS）と呼び、OpenStack のオープン・
ソース・フレームワークの一部として提供しています。
OpenStack のクラウドとビジビリティ
本稼動状態にあるOpenStack の数は2013 年以来倍増しています。
その採用が主流となりつつある現在、ユーザーは以下を検討する
必要があります。
© 2015-2016 Gigamon. All rights reserved.
8
ホワイトペーパー: SDN導入に不可欠なビジビリティと目的意識
Controller Node
Computer Node
Computer Node
Neutron API
TaaS Agent
TaaS Agent
TaaS Driver
TaaS Driver
Open vSwitch
Open vSwitch
TaaS API
Neutron Server
TaaS Plugin
図7: Tap-as-a-Service（TaaS）の単純なAPIを使用して、Neutronによってプロビジョニングされるネットワークのポートをテナントが監視
た。Tap-as-a-Service によってその機能は効果的に仮想化され、
Neutron がプロビジョニングするネットワークのユーザーに提供
されます。Gigamon にとってTaaS は、ネットワーク管理、トラ
ブルシューティング、アプリケーション/ ネットワーク・セキュリ
ティ、データ分析など、多様な使用事例に対してより複雑なトラ
フィック・ビジビリティ・ソリューションを構築するための基本
要素です。
まとめ
SDN、NFV、ネットワーク仮想化はついに現実となりましたが、
より優れたネットワークを目指して今後も変革を続けるでしょう。
多くの組織はこの3 つのうち1 つか2 つ、あるいはすべてを活用
するために移行を検討しています。その過程で中断を最小化する
には、その目的に対する基本的なトラフィック・ビジビリティ
の効果を理解する必要があります。オンデマンドのネットワーク
は、ネットワークの構成に前例のない俊敏性、規模、ダイナミズ
ムをもたらします。SDN の移行の開始から終了までの全過程にお
いて、トラフィックの経路とベースラインを理解していれば、移
行によってCAPEX とOPEX を削減し、セキュリティを強化できま
す。
Gigamon について
Gigamon は物理および仮想ネットワーク・トラフィックへのア
クティブ・ビジビリティを提供し、セキュリティ強化と優れた
パフォーマンスを実現します。Gigamon のビジビリティ・ファ
ブリックと、業界初のセキュリティ配信プラットフォームである
GigaSECURE® は高度なインテリジェンスを提供することで、企
業、行政機関、サービス・プロバイダーが、セキュリティ、ネッ
トワーク、およびアプリケーション・パフォーマンス管理ソリュー
ションを、より効率的、効果的に運用できるようにします。詳細に
ついては、www.gigamon.com をご覧ください。
ビジビリティ・ファブリックの中核であるGigamon セキュリティ
配信プラットフォームは、SDN と連携して、制御プレーンと転送
プレーンに必要不可欠な第3 のレイヤーを創出します。SDN にそ
のレイヤーがあれば、コラボレーション、自動化、プロビジョニ
ングによってエラーを抑制し、セキュリティの盲点を排除できま
す。
©2015-2016 Gigamon.All rights reserved.GigamonとGigamonのロゴは、米国および/または他の各国におけるGigamonの商標
です。Gigamonの商標の一覧は、www.gigamon.com/legal-trademarksに掲載されています。他の商標はすべて、それぞれの所
有者に帰属します。Gigamonは、この出版物を予告なしに変更、修正、移譲、あるいはその他の形態で改訂する権利を有します。
3300 Olcott Street, Santa Clara, CA 95054 USA | +1 (408) 831-4000 | www.gigamon.com
JP-3185-03 02/16

Download Report