2013年10月10日木曜日
上位レイヤーに注力する -EmbraneのSDN-
EmbraneのSDN(Software-Defined Network)アプローチはユニークだ。
SDN と言えば、通常ISO Reference ModelのL2/3でスイッチやルータを対象とするベンダーが多い。しかし、今回取り上げるEmbraneの場合は、その上のLayer4~7に注力し ている。Embraneはサービスプロバイダーや大手企業を対象に、彼らの持つ既存クラウドインフラやネットワークを前提とし、より柔軟でかつコスト競合 力のあるネットワークサービスの仕組みを提供する。
=なぜ、L4/7なのか=
現 在リリースされているサービスはロードバランサーやファイヤーウォール/VPNなどだが、なぜ、EmbraneはL4/7に注力するのか。それにははっき りした理由がある。例えばファイヤーウォールを例にとると、旧来型の製品はIPアドレスとポート番号からトラフィックを識別していた。しかしアプリが Web化された今日、これでは役に立たない。殆どのWebアプリはHTTPで80番ポートを使う。今やセキュリティー攻撃の多くがここだ。つまり時代と共 にセキュリティー対策は変わらなければいけない。何百万というルールを駆使してこれらの攻撃から守るための方法は何か。時代に対応できる製品とは何か。こ のような市場要請はロードバランサーでも同様だ。これらに対する同社の回答、それは更新可能なソフトウェアのアプライアンス化であり、そのための仕組みを 提供することである。この戦略を裏付けるデータがある。今年初め、ある機関が行った「最も大きなネットワークの課題(What are the biggest challenges at your organization)」という調査だ。これはサービスプロバイダーや企業IT部門向けのもので、挙げられた課題の2番目以降は、②迅速なネットワー ク拡張機能がない、③ネットワーク遅延、④仮想環境支援の融通性がない、⑤十分なネットワーク容量がない、⑥マルチテナント環境時のセキュリティーが十分 でない、などだ。そして1番目は、2番目以降を大きく引き離して、「①ネットワークサービス適用に時間がかかる」であった。つまり、これはアプリケーショ ンやサーバーの追加時、さらにはトラフィックの増大に伴うネットワーク構成の適正化が簡単ではないことを示している。この部分をソフトウェアアプライアン スによって自動対応が出来れば大きな効果があがる筈だ。
=vToporogyアーキテクチャー=
SDN を考える基本は、ネットワーク機器のハードウェアとそれを制御する部分をソフトウェアとして分離することである。この考えを進めれば、最低限の機能をハー ドウェアに残し、他は全てソフトウェアで対応する。現在、多くのSDNベンダーが採っているアプローチだ。このソフトウェア分離というアプローチをさらに 突き詰めれば、最上位のレイヤーから見てどうか、という議論にたどり着く。Embraneのアプローチは、この視点から“アプリケーション・セントリッ ク”なネットワークを追求したものでもある。そのためには、ネットワーク全体が現在普及しているタイプであろうと、その上にSDNがオーバレイされていよ うと、透過的でなければならない。そして考えだされたアーキテクチャーがvToporogy(Virtual Toporogy)だ。
=heleosプラットフォーム=
vToporogy の核となるのは分散型のheleosプラットフォームである。heleosは任意のx86上で稼動し、L4/7のネットワークサービスとして、アプリケー ションの全メッセージをコンテナーで運ぶように安全に下位レイヤーと接続する。heleosプラットフォームは、2つのエレメントから構成される。ひとつ はサービスを展開するコンテナーとなるDVA(Distributed Virtual Appliance)だ。そしてもうひとつがheleosの制御エンジンとなるESM(Elastic Service Manager)である。前述のように、現在、DVAは2つ、①Firewall/VPNと②Load Balancerがある。これらはグローバルIPアドレスを複数サーバーで共有するNAT(Network Address Translation)やネットワークの仮想セグメントを作るVLAN(Virtual LAN)だけでなく、VMware対応のVXLAN(Virtual eXtensible LAN) もサポートし、暗号化は192-bit 3DES、128/256-bit AESが可能だ。その上でファイヤーウォールはサイト間(Site-to-Site)IPsec VPN(Virtual Private Network)もサポートするし、ロードバランサーはL4だけでなくL7もサポートする。ESMはGUIやコマンドラインなどを用意し、最適な運用環境 を設定するためのインターフェースとなる。もしクラウドプロバイダー(もしくは企業IT部門)が業務要請によってCompute Unit数を増減させると、ESMは連動して即時にDVAを自動生成し、heleos全体を適正化する。また、DVAやESMはRESTful APIで、彼らが持つクラウド運用システムと統合することも可能できる。
以上、heleosは現実のネットワーク課題に目を向け、L3以下は透過し、L4/7に注力する。このようなEmbraneのSDNの特色を理解して採用したのは、ホスティングのPeer1、総合ITサービスのSungard、アウトソーシングのLong Viewなどである。ライセンスは利用料度数払いとサブスクリプションがある。