あなたのネットワークにVMware NSXは必要ですか? - (1)

結局8月は1本もエントリー書けませんでした…。反省。

San Franciscoで8/25-29に開催されたVMworld 2013。やはり今年の目玉はVMware NSXということになりましたが、リリース予定はCY2013Q4。年内ではありますが、まだしばらくは待つ必要がありそうです。この段階で推測を多分に含んだカタチでエントリーを書くことはちょっと躊躇われるのですが、まぁ特に責任ある?企業ブログというわけでもなし、個人ブログに自由に書くなら盛り上がっているときでしょ!ということでタイトルもあえてちょっと挑発的にいってみることにします(^_^;)。

VMwareは2012年にNiciraを買収し、2013年3月にvCloud Network & SecurityとNicira NVPを統合するVMware NSXを発表、そして今回のVMworldにおいて製品としての提供開始予定時期が発表されるとともに各種ブレイクアウトセッションが行われ、さらにはβプレビューではありますがハンズオンラボなどで実際の動作を試すことができるようになりました。とはいえ、まだまだESXi側のNSX対応も開発途上なようで、NSXとひとくくりにしてはいてもNicira NVPなNSXと、Network & Securityの色を残したVMware的なNSXとではまだちょっと別物、といった感じでした。裏側の動作としてはNSXへのESXiの対応なども動作していましたので、おそらくリリースまでの数ヶ月で表側の見た目に対する開発が急ピッチで進められることになるのでしょう。そんなわけで、マルチハイパーバイザー対応をうたうVMware NSXですが、おそらく初期リリースではNicira NVPとして元々対応していたKVMとESXiへの対応というカタチとなるのではないかと個人的には推測しています。Open vSwitchを使用することが可能なXenはともかく、まだサードパーティ製のネットワーク機能の組み込みに制約の多いHyper-Vへの対応はなかなか難しいかもしれません。

さて、そんなNSX最大のメリットであり、考えようによってはデメリットでもあるとも思える点が「ネットワークの仮想化」を目的とした製品であるということ自体であると私は考えています。

全ての通信を基本的にはオーバーレイされた論理ネットワークで構成してしまおう、という考え方は OSにとっての仮想マシンと同じ様な発想に基づいています。VMware ESXはOSにとってのサーバを論理サーバ化してしまうことによって、物理的に固定化されていたサーバを動的なものとしてインフラの概念に根本的な革新をもたらしましたが、VMware NSXではこれと同じような変化をネットワークに対して実現しようとしています。

なるほど確かに、これまでのネットワーク機器は基本的には自律分散を基本としており、ダイナミックルーティングやVTPなど、仕様に基づいて相互に情報を交換することはあっても、基本的には各ノードが自律的に動作する仕組みが一般的です。この仕組みのメリットは、なんといっても中央制御されずともネットワークが成り立ち、部分的に障害が発生したとしても全体として調停する存在なく継続的に通信が維持される点です。しかし、この仕組みはエンドノードとしてのサーバが物理的に固定化されていた時代には十分に機能していたものの、過半数のサーバが仮想化された現在では、動的に変化していくサーバ群に対してより柔軟に対応するネットワークが求められており、そうした状況に対して様々な方法での対応が試みられている、というのが現在の状況といえるでしょう。そしてその試みの1つが、NSXが全面的に採用しているオーバーレイ方式のネットワークです。


L2(VLAN)/L3(Routing)の壁を超えたネットワークを実現するためにEndpoint間でのL2接続をオーバーレイによって実装する、というやり方は確かに非常に強力です。通信を必要としている動的な点と点を結びつけるために、その間のネットワーク全体を刻々と変化していく状況に追随してトポロジーを維持することはなかなか大変ですから、なのであれば通信を必要としている点を直下に持っているエンドノード同士が物理的なトポロジーに関係なくPoint to Pointでつながり合えばよい、という発想は たしかにネットワークにおける制約を乗り越えるために使うことができるやり方の1つであり、仮想環境を前提として考えるとある意味で必然ともいえる帰着点かもしれません。

しかしポイントは、オーバーレイ方式をネットワーク全体に適用することが果たして必要とされているのかどうか、という点です。会社のネットワークにはWANとLAN、有線と無線、様々なセグメントとそれらの間のFirewall、各種サーバやロードバランサ、データセンターとオフィス、さらにはサテライトオフィスやモバイルアクセスなどなど…様々な形態と要素が組み合わされています。サービスを提供する要素も、物理サーバや仮想サーバなどの汎用OS上にインストールされたソフトウェアベースのものだけではなく、各種センサーやアプライアンス製品、カメラやビデオなどのデバイス類、等々、とても多様です。オーバーレイはこれらエンドデバイス一歩手前の仮想スイッチや物理スイッチなどの段階でオーバーレイのエンドポイントを設けることで、各エンドデバイス自体でのオーバーレイ対応を不要としていますが、モバイル機器などの接続形態がLANに限定されないデバイスであったりなども多くオーバーレイ化が逆にネットワークの複雑性をもたらしてしまう場合も考えられます。また、物理的な接続ポイントはこれまでVLANであったりセグメントであったりなどの情報からロケーションを判断していたわけですが、オーバーレイによって物理的なネットワークとは別に、フラットな論理ネットワークが構成された場合にはどのように最短経路や最寄りのAD/DNSサーバ、各種キャッシュサーバなどを判断するかなどは新しい課題となるでしょう。


そもそも、オーバーレイ方式の論理ネットワークの下には必ず物理ネットワークが必要です。物理ネットワークはなくならないし、どちらかといえばオーバーレイなネットワークが上に構成されている場合には物理的にはどこにボトルネックが発生するか予測が付かなくなるが故に、基本的にはフルメッシュでActive/Activeで広帯域・低遅延なネットワークを実現するいわゆるFabric的なネットワークが必要となるでしょう。そして、それらの物理ネットワークの管理とステータスの把握は安定した通信を得るためには欠かせません。オーバーレイは完全に下回りとなるネットワークを切り離すため、上(オーバーレイネットワーク)からは下(物理ネットワーク)が、下からは上がお互いに把握できないが故に、ネットワークのトラブルシュート、特にパフォーマンスまわりについての切り分けはとても困難となることが想定されます。

まずはここまで!つづく。
なお、このシリーズは単なる批判というよりもちゃんと理解して、判断して、必要性をしっかり考えることを目的としたものですので、誤解なきよう!
...(^_^;)