SDN技術をWANに生かす

ネットワークを管理するうえでは、ネットワーク管理者が全体の設計図を基にルーター、スイッチ、ファイアウォールなどの機器を個別に設定し、それぞれのVLANを構成することで、ネットワーク全体の整合性を保つといった手法が一般的だ。

しかし、データセンターのサーバーが仮想化技術によって統合されるようになった昨今では、構成の複雑化に伴って全体の把握が困難になった。また、システム規模の拡大に伴って機器の追加や仮想マシンのライブマイグレーションなども頻繁に行われるため、設定変更に対する管理者の負荷は高まってしまった。

これを解決するためのソリューションとして注目を集めた技術の一つが、SDN(Software Defined Networking:ソフトウェア定義型ネットワーク)だ。個々のネットワーク機器をそれぞれ制御するのではなく、ネットワーク全体を俯瞰(ふかん)したうえでソフトウェアによって一括制御するため、従来の管理手法と比べ、ネットワーク技術者の負荷を軽減できる。SDNでは、設定するのはあくまでネットワーク全体であり、個別のネットワーク機器は(設定の面では)あまり意識されなくなるからだ。

このSDN技術は当初、LAN環境向けの製品やサービスが先行していたが、これをWAN(Wide Area Network:広域ネットワーク)に応用したものがSD-WANである。

SD-WANでも、LANで利用されているSDNと同様、物理的な機器を意識することなく、ソフトウェアを用いて、拠点に配備されたエッジルーター機器などの設定・管理を一元的に行えるようにしている。一口にSD-WANといってもさまざまな製品・サービスが存在し、その機能は千差万別だが、多くの場合、こうした設定・管理のためにクラウド上のポータルサイトが提供されており、ユーザーはそこにアクセスしてネットワーク回線の状況を確認したり、設定を行ったりすることが可能になっている。

さらに、単に統合管理しやすくするということにとどまらず、一つの物理回線上に論理的に分離された複数のネットワークを構築したり、通信を利用用途や品質によって異なる回線に振り分けて全体のパフォーマンスを最適化したり、アプリケーションごとのトラフィックを可視化したり、といった柔軟な制御を行えるものが多い。

グローバルでSD-WANソリューションを展開するSilver Peak Systemsによれば、同社のSD-WANソリューションのユースケースとして、海外では回線の振り分けを行っているケースが多いという。専用線接続のコストが相対的に高いうえに信頼性が低いことから、この問題を回避するためにSD-WAN技術を採用し、ブロードバンド回線と専用線を併用することで通信品質を確保しているとのことだ。

また、これ以外のメリットとしては、ゼロタッチプロビジョニングが挙げられる。WANの新規導入時、あるいは拠点増設時には、技術者を現地に派遣してルーターなどのWAN用機器を設置し初期設定を行う必要がある。ところが、設定を集中管理しているSD-WANでは、現地では機器にLANケーブルを挿すという作業を行うだけで、設定は遠隔から流し込み、WANの構築を完了させることができる。これは、技術者不足が進行している日本のIT業界ではメリットが大きいだろう。

なお具体的なSD-WAN製品としては、前述のSilver Peak以外にも、例えばシスコの「Cisco SD-WAN(旧Viptela)」や「Cisco Meraki」、ジュニパーの「Contrail SD-WAN」、ヴイエムウェアの「VMware SD-WAN by VeloCloud」などが挙げられるほか、NTTコミュニケーションズの「Software-Defined Network Service(SD-NS)」、NTTPCの「Master'sONE CloudWAN」、KDDIの「KDDI SD-Network Platform」、ソフトバンクの「SD-WANサービス」など、キャリアも積極的にサービスを提供するようになっている。

クラウド時代の必須技術、インターネットブレークアウト

そして、先に挙げたもの以外に、SD-WANのメリットとして大きく注目されるようになったものがある。それがインターネットブレークアウト(ローカルブレークアウト)だ。

現在、企業ではSaaSアプリケーションの利用など、クラウドサービスの活用が急増している。従来型のネットワーク構成では、拠点からのインターネット接続も全て本社(あるいは中央のデータセンター)経由で行うというのがよくあるケースで、SaaSアプリケーションのトラフィックも例外ではない。いったんWANを経由して本社側へ送られ、そこからクラウドへと出ていくことになる。

しかしSaaSアプリケーション、特に、頻繁な通信が発生するといわれるOffice 365のようなアプリケーションの活用が本格化すると、クラウド利用のための中継トラフィックが膨大になり、その結果として、本社との通信回線全体が影響を受けてしまう。

そこで特定のアプリケーションについては、本社を経由せず、拠点からダイレクトにクラウドへアクセスするように制御することで、本社との通信回線の負担を減らす試みが注目を集めるようになった。これが、インターネットブレークアウトである。

なお、こうしてトラフィックを拠点からクラウドへ逃がすことで、通信回線の負荷は減らせるものの、セキュリティには留意しなくてはならない。なぜなら、前述のような本社集中型のネットワークの場合、セキュリティ機能もまた、本社とインターネットの境界に集中して設置され、監視されているからだ。従って、通常はファイアウォールなどのセキュリティ機能を拠点側にも設けることになる。

また、少し本筋からは離れるが、SaaSをはじめとするクラウドへのアクセスは社内からだけとは限らない。ほかのクラウド上で稼働しているサービスからアクセスされる場合もあれば、モバイルユーザーからのアクセスも想定する必要があるだろう。

働き方改革が強く推進されている現在、モバイルワーク/リモートワークの比率が今後高まっていくことは確実であり、かつクラウド/SaaSの利用拡大を考え合わせれば、今後多くの業務が社内システムを一切経由せず、モバイルユーザーとクラウドの間で実行されるケースもますます増えてくるはずだ。

こうしたトラフィックのセキュリティを確保する手段は、従来の社内システムのセキュリティとは異なる形にならざるを得ないだろう。企業ネットワークを設計する際には、こうした点にも注意していきたい。

Windows 10のアップデートトラフィックも考慮する

また、今の企業ネットワークを考えるうえで、もう一つ考慮しなくてはならない要素がある。

それは、最新のクライアント向けWindows OSであるWindows 10の運用だ。Windows 10では、Windows Updateで配信される月例の更新パッチ(品質更新プログラム:Quality Update)に加え、半年ごとにバージョンアップ(機能更新プログラム:Feature Update)が提供されるが、そうした更新プログラムの容量は時に4GB以上にもなるという。

そうしたアップデートのたびに社内ネットワークに大量のトラフィックが流れ、ほかの業務に影響を与えてしまっては、ネットワーク管理者の元に大量の苦情が寄せられてしまう。そこでWindows 10を運用するうえでは、定期的なアップデートを考慮して導入計画を立案・運用していく必要があるのだ。

ネットワークを単純に増強するのも一つの手ではあるが、もちろんその分だけコストが必要になるため、現実的な解とは言い難い。そこで企業では、更新プログラムを配信・適用するためのWSUS(Windows Server Update Services)サーバーを拠点に分散配置したり、P2P型の配布を行ったりして負荷軽減を図っている。またSIベンダーでも、独自のアップデート支援ソリューションを提供するところが増えてきた。

いずれにしても、ネットワークにはある程度の負荷がかかってくる。こうしたトラフィックが発生することも踏まえて、企業ネットワークの設計・運用を行っていくべきだろう。

  • * 本稿に記載された各種IT製品、テクノロジーにつきましては、記事制作時の技術動向に関する幅広い知見を基にして構成されています。これは制作を担当したクラウドWatch編集部(株式会社インプレス)の所見であり、大塚商会においてお取り扱いのないものも含まれております。あらかじめご了承いただきますようお願いします。