Embed Size (px)
Citation preview
40 - Software Design Nov. 2012 - 41
3第 章 ベンダー各社が掲げるOpenFlowソリューション
実用化に向けて続々登場
第1特集 『もし、OpenFlowでやれと言われたら?』
はじめに
昨今ネットワーク業界で注目を集めている技術がOpenFlow/SDN技術注1です。OpenFlow/
SDN技術は「ネットワーク仮想化」「プログラマビリティ」「IT/NWオーケストレーション」などの機能を具備し、クラウドデータセンタ領域ほかでの活用が期待されています。本稿では、本技術に基づいたNECの商用製品「ProgrammableFlow」によるクラウドデータセンタソリューション注2と、OpenFlow/SDNの将来展望について述べます。
ProgrammableFlow
クラウドデータセンタでは「突然の高負荷や利用者の増加に対応したシームレスなサービス拡張機能」「複数ユーザを収容するためのネットワーク仮想化機能」「負荷に応じたデータセンタのICTリソースの柔軟な電力制御機能や利用者に負担のない機能修正や機能拡張機能」「仮想サーバ向けの柔軟なアクセスコントロール対応」などを実現する必要があります。NECは本要求条件を満たす企業データセンタ、クラウドデー
タセンタ向けの製品として、OpenFlow/SDN
技術を採用したProgrammableFlowシリーズの製品注3を世界初で商用化に成功し、2011年4
月から商用ユーザへ出荷提供しています。以下では、データセンタ領域の現状の課題を挙げ、それをどのようにProgrammableFlowソリューションで解決するかについて紹介します。
ダイナミックリソース拡張機能
現在のデータセンタのネットワークは、帯域制御装置やファイアウォール(以下、FW)、ロードバランサ(以下、LB)をL2スイッチなどで多段に接続した複雑な構成になっており、新たにサーバやユーザの追加を行う際には、各機器に個別に設定変更やネットワーク構成の見直しを行う必要があり、運用管理が非常に複雑になっています。 図1はProgrammableFlowに基づくデータセンタの構成例です。OpenFlowスイッチから構成される「ネットワークプール」と、FW/LBなどのネットワークアプライアンスから構成される「アプライアンスプール」と、ユーザ環境を収容する仮想サーバ/物理サーバから構成される「サーバプール」からなるダイナミックなリソー
注1) Open Networking Foundation, http://www.opennetworking.org Open Networking Research Center, http://onrc.stanford.edu/注2) 飯島明夫 他「クラウドコンピューティング時代のデータセンタとネットワークの省エネ技術」,『NEC技報』Vol.62,2009 クラウドネットワークプラットフォームUniverge PFシリーズ http://www.nec.co.jp/datanet/pflow/注3) http://www.nec.co.jp/datanet/pflow/
■ 日本電気株式会社 クラウドシステム研究所 所長代理 岩田 淳 IWATA Atsushi [email protected] http://www.nec.co.jp/rd/cloud/
クラウドデータセンタソリューション ProgrammableFlow
Part 1
40 - Software Design Nov. 2012 - 41
クラウドデータセンタソリューションProgrammableFlowPart 13第 章
実用化に向けて続々登場ベンダー各社が掲げるOpenFlowソリューション
スプールのアーキテクチャです。ネットワーク処理に必要なリソースをプールから動的に組み合わせることにより、従来のネットワークに比べてリソースの共有化を図れ、トータルコストの削減が可能です。 ネットワークプールで構成されるネットワークは、ProgrammableFlowコントローラ(以下、PFC)による管理により複数のスイッチがあたかも1つの仮想スイッチ(仮想スイッチファブリック)として動作するかたちとなり、
OpenFlowベースでのファブリックアーキテクチャを実現します。サーバ、L2スイッチ、ルータなどが異なるスイッチのリンクポートに対してリンクアグリゲーション(LAG)の設定を行うことで、Multi-Chasis LAGでの運用もできます。また、スイッチの増減設時にネットワークを止めずに、かつパケットロスなくオペレーションができ、スケールアウト型の形態でネットワークの性能を向上できる特長があります。
ネットワーク仮想化機能
1つの仮想スイッチファブリックを複数のテナントに分割するネットワーク仮想化機能を持ちます。具体的には以下の機能を有します。
論理―物理リソース設計割り当て機能 ●
前述のリソースプールから、お客様向けのテナント対応に必要な物理リソース(L2/L3スイッチリソース、ネットワークアプライアンスの割り当てポート、サーバリソースポート)のみを仮想的に切り出し、動的にテナントへ割り当てる機能(論理―物理のマッピング機能)です。図2に示すように各テナント単位に仮想ルータ(vRouter)、仮想ブリッジ(vBridge)、仮想リンク(vLink)、外部ノード(vExternal)などのオブジェクトによって論理的にネットワーク設計を行えます(これを仮想ネットワーク(VTN:Virtual Tenant Network)と呼びます)。そして、
NWプール
サーバプールアプライアンスプール
NW可視化インターネットなど
集中一括制御
NW仮想化対応
NWシンプル化プール化
PFC
PFS群
VM VM VM VM
ファイアウォールウィルスチェック侵入検知ユーザ認証
帯域制御
キャッシュサーバ
サーバ負荷分散装置
図1 ▼ OpenFlow/SDNによる次世代データセンタ構成
スイッチプール アプライアンスプール サーバプール
仮想ネットワーク
物理ネットワーク
PFC
FW/NAT LB
VTN1
VTN2vRouter
vRouter
vBridge vBridge
PFSPFS PFSOpenFlowプロトコル
図2 ネットワーク仮想化機能 ▼
42 - Software Design
第1特集 『もし、OpenFlowでやれと言われたら?』―― SDN、仮想化、ネットワークはどうなるの?
Nov. 2012 - 43
PFCが論理設計と物理的な装置との対応を自動的にとります。これにより複数テナントユーザを収容する際にも、サーバや仮想サーバをラック収容位置に制約されずにリソース収容可能になり、トポロジーフリー、動的リソース設計、かつ拡張性に優れたマルチテナント対応のクラウドデータセンタが構築できます。とくにVM
Live Migrationなどの機能は従来はレイヤ2セグメント(VLAN)でしか構成できませんでしたが、ProgrammableFlowにより、いったん設定された物理サーバ、仮想サーバはどこへ移動しても設定変更なしにサービスを継続できます。これでサーバ仮想化環境を最大限に活用できます。 図3の左図のように、ProgrammableFlowスイッチ(以下、PFS)で構成された物理ネットワークがいかなるトポロジーでも、仮想ネットワークVTN#1、VTN#2、……VTN#Nを物理ネットワーク上へ自動的に対応させられます。仮想ネットワークの設定情報は論理的な設定であるため、図3の右図のように物理ネットワークトポロジーが異なる場合でもVTN#1を移設可能であり、データセンタの移設やバックアップデータセンタの構成などが簡単に実現できることも本ソリューションのメリットです。
ネットワークアプライアンスオフロード設定機能 ●
PFCがフロー単位にどのアプライアンス処理が必要かを判断し、不要なアプライアンス処理をLayer2/3スイッチ側へオフロードする機能です。 図4左の従来のネットワーク構成の場合、FW、NAT、LBなどをネットワークのインラインで構成します。この構成では、すべてのトラフィックがFW、NAT、LBなどを通過するため、高価なネットワークアプライアンスの導入が必要であり、とくに回線が10G、40Gと高速になっている昨今、回線容量の大きい機器を使うのは高価になりがちという課題があります。 本機能を利用すると、PFCがフローを選択的にリダイレクトさせることにより、アプライアンスの負荷を下げる(オフロード)効果があります。またアプライアンスを複数並べてクラスタ的に利用できるため、アプライアンスをリソースプールとして利用できます。1Gインターフェースなどの低価格なアプライアンス、あるいはソフトウェアアプライアンスをクラスタ構成で並べてトータルコストを落とす構成が可能です。 典型的な利用形態は、PFSに複数のアプライアンスをクラスタ型で接続した運用形態でN-Activeのような設定を行い、コントローラ側が
異なる物理NW上に論理NWを移設
ネットワーク仮想化統合(多重化) ネットワーク・マイグレーション(移設)
PFC
データセンタA
データセンタB
VTN#N
VTN#2
VTN#1VTN#1
… vRouter … vBridge
物理NW
vB
vB vBvRvB
vB
vR
vR
vB
VM
VM VM VM VM
PFSPFS PFS
PFSPFS
DC移行/バックアップ
vB vBvRvB
vB
vB
VM VM VM VM
物理NWPFS
PFS PFS
VM VM
PFC
図3 マルチテナント設計機能 ▼
42 - Software Design Nov. 2012 - 43
クラウドデータセンタソリューションProgrammableFlowPart 13第 章
実用化に向けて続々登場ベンダー各社が掲げるOpenFlowソリューション
死活確認をすることで障害時に動的にクラスタを切り替えられます。この構成はネットワークアプライアンスのロードバランサ的な利用形態です。
省電力、 ノンストップファイル更新機能
サーバ仮想化(VM利用)によるアプリケーションをサービス中断せずにサーバ間を移動させる技術(VM Live Migration技術)と、OpenFlow/
SDNの通信を維持したままトラフィック経路を切り替える経路変更技術(フロー片寄せ機能)とを組み合わせ、トラフィックやサーバの処理負荷に応じて、仮想化マシン上のアプリケーションや通信フローを片寄せします。アイドル状態のサーバやネットワーク機器を集約し電源を落とすことにより、省電力化制御が可能になります。 コントローラ上にて単一コマンドでトラフィックの片寄せができ、かつトラフィックロスなく経路変更ができるため運用が極めて容易です。フローを片寄せた後に電源を落とすといった利用以外に、スイッチのファームウェアのバージョンアップを行うなどのメンテナンスの利用もできます。
仮想サーバ対応 アクセスコントロール機能
VMをサーバ間で動かす際に、セキュリティを担保するためにはVMへのネットワークアクセス制御、VM―VM間のアクセス制御の変更対応が必要です。とくにVMがLive Migrationで頻繁にサーバ間を動かす環境においては、本ア
クセス制御の自動化により、大幅なネットワーク設定の省力化が可能となります。図5はHyper-V対応のOpenFlow Virtual Switchを持つ仮想サーバ環境とPFS網とを相互接続し、コントローラによって一括管理する制御モデルです。 NECで はMicrosoft Windows Server 2012
のHyper-V仮想サーバに対応したOpenFlow
Virtual Switch製品「PF1000」を開発中です。本製品はソフトウェアスイッチソリューションとして、2012年11月から提供開始予定です。 PF1000はWindows Server 2012の提供するExtensible Switchと呼ぶサードパーティベンダに公開されているAPIを用いて開発しています。仮想スイッチ内部のエクステンション(拡張機能)としてはCapturing、Filtering、Forwardingの3
種類が提供されており、本製品は、Forwarding
Extension機能を活用して実現しています。利用
従来のネットワーク構成
全トラフィックが通過
ルータ PFC
FW, NAT
スイッチ FW, NAT…キャッシュサーバ…
スイッチ
LB
LB
ProgrammableFlowのネットワーク
ApplianceTrafficOffloading
選択的リダイレクト
図4 ネットワークアプライアンスオフロード ▼
PFC
PFS群
Windows Server 2012
VM VM VM
PFvSPF1000
Windows Server 2012
VM VM VM
PFvS PF1000
Windows Server 2012
VM VM VM
PFvS PF1000
図5 Hyper-V対応OpenFlow Virtual Switch ▼
44 - Software Design
第1特集 『もし、OpenFlowでやれと言われたら?』―― SDN、仮想化、ネットワークはどうなるの?
Nov. 2012 - 45
者はPF1000をHyper-Vスイッチに適用することにより、Hyper-VスイッチをOpenFlowに対応させられます。 図6のようにVM1とVM2/VM3間のアクセス制御において、VM1が同じサーバ内、あるいはほかのサーバへ移動したとしても、VM1→VM2はアクセスを許し、VM3→VM1
はアクセスを止めるといった制御をマイグレーションの有無に関わらず自動的にコントローラ側から制御可能です。 また、VM間通信のトラフィックはFW/LB
など外部のアプライアンスへ必ず経由させるといったポリシーの場合、コントローラがVM間のトラフィックをリダイレクトすることにより、特定のトラフィックだけ特定のアプライアンスを通過させるといったことも一元管理できます。リダイレクトでも、VMのマイグレーションでもいっさい設定変更する必要がないのも大きなメリットです。 NECはWindows Server 2012の開発段階早期より、米国Microsoft社の協力のもとPF1000
の検証を進め、今回の拡張ソフトウェアの開発を実現しました注4。
ProgrammableFlow ソリューション適用事例
本ソリューションの適用事例として、企業内での複数部門向けのセキュアなネットワーク分離の運用維持管理の容易化例を示します。 企業網でのネットワーク運用は、必ずしも計画的なネットワーク設計、運用維持管理ができているわけではありません。企業によっては、各部門ごとに各種ネットワークアプライアンス、サーバ環境などが設置され、個別のセキュリティ対応がなされることで、ネットワークのセキュリティ対応、運用維持管理が困難になってきています。このような場合、新規にサーバや端末の追加、部門の場所移動、複数の部門統合などが発生すると、スイッチ、ルータ以外にアプライアンス、サーバ環境なども矛盾なく設定変更を施す必要があり、設定ミスや作業の長期化などを招く課題があります。複数部門のネットワークをいかにセキュアな分離を行いつつ、日々の設定変更依頼に対して運用維持管理を最小化するかが重要な鍵となります。 図7の例では、部門A、部門B、部門Cは既存のネットワーク装置でネットワークを構成し
ています。その上位にPFS―PFCから構成されるネットワークを配備し、部門ごとのVTN
を構成しています。またリソースプールの機能を用いてアプライアンスをプール化し、FW他を配備、またサーバプール側にはサーバを集約するといったモデルです。 この構成により部門A、B、Cの構成変更があったとしても、PFC内で仮想ネットワークの構成管理設定を変えるだけで柔軟に収容変更ができ、セキュリティ要件も常に一定に保てます。
Hyper-V SwitchWS2012Server #1
WS2012Server #2
PF1000
PFC
PFS
VM3 VM1 VM1VM2
マイグレーション
仮想マシンがどこにマイグレーションしても、設定変更することなく、移動と同期して通信経路を自動再設定。セキュリティポリシー(フィルタリング)が継続して適用される
Hyper-V Switch
PF1000
図6 OpenFlow Virtual Switchによるアクセスコントロール ▼
注4) http://jpn.nec.com/press/201209/20120905_02.html
44 - Software Design Nov. 2012 - 45
クラウドデータセンタソリューションProgrammableFlowPart 13第 章
実用化に向けて続々登場ベンダー各社が掲げるOpenFlowソリューション
これは、PFCが集中管理データベースを持ち、1ヵ所で運用管理設定変更を行うことで複数ヵ所に配備されたネットワーク装置の設定管理を統一的に実現できるためです。 また、本ソリューションは、既存ネットワークを生かしたままで利用できるところもメリットです。OpenFlowは既存ネットワークと機能が異なるために、相互接続について不安視されることもありますが、データ転送部分はTCP/
IPそのままであり、ネットワーク制御部分だけがOpenFlow動作をするため、この例のように既存ネットワークと組み合わせてネットワークを構成しつつ、ProgrammableFlowのメリットを享受できます。
OpenFlow/SDNの将来展望
OpenFlow/SDN技術は2011年3月のONF設立 後、2011 年 10 月、2012 年 3 月 の Open
Networking Summitを経て、ネットワーク業界のうねりとなって、キャリア、クラウドプロバイダ、SIer、ベンダのそれぞれの領域において商用化へ向けた活動が活発化しています。2012
年7月時点では、NECの商用化例を含めてクラウドデータセンタ内、データセンタ間、企業網
といった領域での商用化が進められています。しかしながら、NTT、Verizon、ドイツテレコムなどのキャリアでのOpenFlow/SDNの適用の検討推進、Google、Amazon、Yahoo!などのクラウドプロバイダでのOpenFlow/SDNの運用推進、NTTデータらのSIerでのOpenFlow/
SDNを活用したSIの推進など、ベンダ以外の動きも活発化している動きを鑑みると、今後ますます多様な利用形態が出てくると予想されます。とくにキャリアネットワークでの活用は、完成系に至るまでに時間がかかると考えられるものの、技術の進展とともに一歩ずつ適用領域が見いだされ、拡大していくと予想されます。 NECでは IT技術とネットワーク技術を融合させ、クラウドデータセンタの高度化へ向けて現状の商用化技術をさらに発展させていきます。また、さらなるOpenFlow/SDNの適用領域の拡大を目指し、データセンタのようなクローズドネットワークから、より広域なネットワーク、とくにキャリア向けの各種ネットワークへの適用拡大に取り組んでいく予定です。゚
vB
vB
PFS
PFS
PFS
PFS
vB vB
vR vBVM
VMVM
vB vR vBVM
VMVM
VM VM
部門A 部門B
部門A VTN
部門C
サーバプールアプライアンスプール ネットワークプール
既存のネットワークはそのままに統合/共通基盤に接続
本館1F、2F
本館3F 本館4F
別館 別館 別館
本館B1F
PFC
部門B VTN
部門C VTN
図7 企業網でのセキュアネットワーク分離 ▼
