お問い合わせ2022.10.13
はじめに
近年、仮想化の技術が進歩し、1台の物理サーバー上に複数の仮想環境を構築して利用するケースが増えています。昨今はサーバーの仮想化だけに留まらず、仮想化の対象がネットワーク機器にも広がっています。そこで注目を集めるのが「NFV」です。
本記事では、ネットワーク機能の仮想化を実現し、クラウドサービスとして提供する「NFV」と、NFV上で利用する「仮想アプライアンス」のメリットや製品例について、詳しく解説します。
目次
NFV(Network Functions Virtualization)とは?
NFVは「Network Functions Virtualization 」の略称で、汎用サーバーの仮想化基盤上に、ルータやスイッチ、ファイアウォールやロードバランサーなど、ネットワーク機能を持つハードウェアを仮想化させる技術です。
これらのネットワーク機器やネットワーク機能を、クラウドサービスとして提供します。
NFVを利用することで、物理的なネットワーク機器を仮想化基盤上に集約でき、設備導入や運用に掛かるコストを低減できます。
また物理的なハードウェアの用意が不要なため、データセンターに設置するルータやスイッチ類の導入や運用が非常に楽になります。
仮想化は、まずサーバー機器が仮想化され始め世の中に広く普及しました。昨今はネットワーク仮想化の技術が進歩し、サーバーに続きネットワーク機器の仮想化が進んでいます。
NFVのメリット
次に、NFVの4つのメリットについて紹介します。
ネットワーク機能ごとに専用のハードウェアを用意する必要がなくなる
NFVはルータやファイアウォールなどの、専用ハードウェアを用意する必要がありません。ライセンス利用料を支払い、ネットワーク機能を持つ仮想アプライアンスを、クラウドサービスとして利用する仕組みです。
ハードウェアは一度購入すると、減価償却のため5年ほど使い続けるのが一般的です。一度資産として持ってしまうと、ビジネスを拡大していくときに、足を引っ張られることがあります。
一方、NFVは必要なときにすぐに仮想ネットワーク機能を立ち上げて運用を開始することができ、不要になったら即時に利用停止できます。
専用ハードウェアを資産化せず、柔軟にネットワーク環境の構築や運用ができる点が、NFVのメリットです。
ハードウェアの納期を気にする必要がなくなる
NFVは、ネットワーク機器やネットワーク機能をクラウドサービスで利用するため、ハードウェアの購入手配が不要になります。このことは、利用するユーザーやシステム構築するサービスプロバイダーにとってハードウェアの納期を気にしなくてよくなることを意味します。
昨今は世界的な半導体不足の影響で、手配したハードウェアの納品に時間が掛かるケースが頻発しています。
NFVを利用すると、これらの納期影響を受けることがなくなるため、システム稼働までのリードタイムが大幅に短縮できます。
ネットワーク・ハードウェアに必要な設置スペースを低減できる
NFVを使うと、ネットワーク機器を設置するために必要なスペースを低減できます。一台の物理サーバー上に、複数のネットワーク機器の機能を統合できるため、機器の集約や高密度化を進められます。
従来は必要だった施設の設置面積とともに管理コストや消費電力も低減できる点がメリットです。
また、サーバーの状態監視や構成変更は、専用の管理システムを使い、一か所で集中的に行えます。そのため、各機器が設置された場所に移動して、個別の設定作業を行う必要がありません。
NFV利用することで、管理やメンテナンスにかかる人的・時間的なコストを最小化できます。
ネットワーク機能の拡張・縮小が柔軟にできる
NFVは、ネットワーク機能に対する突発的な需要の増減や、ネットワーク構成の変更に対し、柔軟に対応できます。
たとえば、顧客からネットワーク機能の追加を求められた場合、サービスプロバイダーはその機能を持つ新たな仮想環境を起動するだけで、瞬時に要望に応えられます。
また、仮想環境上で稼働しているアプライアンスが不要になったときは、起動時と同様に簡単に終了できます。ネットワーク機能の拡張や縮小が、容易に変更できる点がNFVのメリットです。
仮想アプライアンスとは
続いて、仮想環境でネットワーク機能を実現する「仮想アプライアンス」について解説します。
そもそもアプライアンスとはなにか?
アプライアンスとは、特定の用途向けに設計された機器や器具のことです。一般的にネットワーク分野では、「ネットワークアプライアンス」を意味する用語として使われます。
代表的なアプライアンスとして、ルータ、ファイアウォール、ロードバランサーなどがあります。
アプライアンス製品の特長は、さまざまな機能を持ち複数用途に使うことができる汎用製品と比べ、特定の機能や用途に限定されています。
あまり使われない機能や用途を削減しているため、比較的安価で高い性能を実現します。多機能製品に比べて省電力なものが多く、運用コストも削減できるでしょう。
また、あらかじめOSなどのソフトウェアが組み込まれた状態で提供されます。これらアプライアンスを上手く活用することで、セキュリティの高いネットワーク環境が構築可能です。
物理アプライアンスと仮想アプライアンスの違い
物理的なハードウェアとして存在し、特定のネットワーク機能を有する専用機器が「物理アプライアンス」です。
一方、仮想アプライアンスは、ネットワーク機能をアプリケーションなどのソフトウェアで実現し、仮想環境で動くようにしたものです。
仮想アプライアンスの中身は、仮想マシン内にOS、ミドルウェア、アプリケーションが実装されています。
仮想化基盤上に仮想アプライアンスを展開するだけで、ルータやロードバランサーなどのネットワーク機能がすぐに利用できます。
今まではハードウェアで提供されていた各ネットワーク機器類が、近年は仮想アプライアンスとして提供されるケースが多くなってきました。
その背景として、「仮想化技術の普及」「ネットワーク仮想化要求の高まり」「汎用サーバーの処理能力の向上」などが挙げられます。
仮想アプライアンスのメリット
仮想アプライアンスは、専用のハードウェアが不要で汎用的なサーバー上で動作するため、ネットワークに掛かる導入コストを抑えることができます。
仮想化ソフトで必要な設定を行うだけで、仮想化基盤上ですぐに利用可能です。特定のハードウェアに縛られる必要がないため、ユーザーやサービスプロバイダーにとって、ネットワークシステム構築の選択肢が広がります。
また、仮想アプライアンスをNFVで利用することで、物理的な機器の集約ができ、設備導入や運用の負担が大きく軽減できます。
NFVで利用する仮想アプライアンスは、ソフトウェアのように構築されているため、契約先のクラウドサービス上で稼働させたり、別の物理サーバーに移転したりすることも可能です。
必要に応じたネットワーク機能の拡張や縮小が容易で、スピーディーかつ柔軟にネットワーク環境を構築できます。
仮想アプライアンスの種類
仮想アプライアンスの種類は一般的に、ルータやファイアウォール、SD-WANのほか、IDSやIPSなどのセキュリティアプライアンスが提供されています。ここで、代表的な仮想アプライアンスの特徴を見ていきましょう。
ルータ
ルータは、異なるネットワーク間でパケットをルーティング(経路制御)するためのネットワーク機器です。
端末から受け取ったIPパケットのIPアドレスを参照し、異なるネットワークにいる端末へと届ける役割を担います。
ルーティングテーブルという表を元にパケットの受け渡し先を管理しており、受け取ったIPパケットのIPアドレスとルーティングテーブルの情報を照合し転送処理を行います。
一方、仮想ルータは、ソフトウェアで提供される仮想的なルータです。
パケットのルーティング機能を持つソフトウェアを、サーバー上にインストールして環境構築します。仮想ルータは物理的なハードウェア構成に縛られず、管理機能に優れる点がメリットです。
ソフトウェア的に利用するため、リソース管理やレポーティングなどに優れています。また月額料金で利用できるため、ルータ機能の増減や、利用の開始や停止が柔軟に行えます。
ファイアウォール
ファイアウォールは不正アクセスから身を守るための、ネットワーク保護を目的とした装置です。
ファイアウォールはネットワークの出入り口に設置し、送信されてくる通信パケットの情報から「接続を許可する」「接続を許可しない」の判断を行います。
通信内容を不正と判断した場合、管理者に通報できるよう設計されています。
またファイアウォールは外部からの攻撃に対する防御だけでなく、内部から外部への好ましくない通信を制御することも可能です。
一方、仮想ファイアウォールは、仮想環境での利用に特化して設計されています。
仮想環境上のネットワークの出入り口に設置し、送信される通信パケットに対して、ネットワーク接続の許可や拒否を判断します。
仮想ファイアウォールはソフトウェアのため、物理的ファイアウォールの設置や導入が困難な場合の仮想環境の保護に適しています。
たとえば、パブリッククラウドやプライベートクラウド、SDN(ソフトウェア定義型ネットワーク)、SD-WAN(ソフトウェア定義型広域ネットワーク)などの環境で役立ちます。
SD-WAN
SD-WAN(Software Defined-Wide Area Network)は、ネットワークをソフトウェアで制御するSDN(Software Defined Networking)技術を、WANに適用したソリューションです。
拠点間の接続やクラウドへの接続など、柔軟なネットワーク構成の確立やトラフィックコントロールを実現します。
テレワークの普及に伴う働き方の多様化や企業のクラウド推進によって、企業のWANネットワークのトラフィック種類は変化しています。
SD-WANを使うことで、たとえば拠点間を接続する際に「高い信頼性が求められない通信はインターネットVPNを利用」「遅延影響が大きいビデオ会議はクローズドVPNを利用」など、トラフィックの種類に応じて利用回線を使い分けることが可能です。
各オフィスにSD-WAN機能を持つルータを設置し、インターネットとプライベートネットワークのトラフィックを制御して最適化することが、これからの企業ネットワーク構築における一つのモデルになってくるでしょう。
SD-WANを使いこなすことで、クラウド利用やTV会議利用など目的用途に応じた、柔軟なネットワーク環境構築が可能になります。
仮想アプライアンスを使ったNFVと従来のネットワークとの違い
■従来のネットワーク構築簡易イメージ
従来は必要なネットワーク機器を物理的に設置する必要がありました。
■NFVによるネットワーク構築簡易イメージ
仮想化技術の進歩により、汎用的物理サーバー上に構築したVMにネットワーク機能を持たせられるようになったことで、拡張性・柔軟性が増しました。
NFVに対応した仮想アプライアンス製品例
続いて、NFVに対応した仮想アプライアンス製品を紹介します。仮想アプライアンス製品を利用するには、ライセンス購入やライセンス利用料が必要です。
仮想アプライアンス製品の概要と併せて、必要となるライセンスの利用形態も紹介します。
CISCO Catalyst 8000V Edge ソフトウェア(仮想ルータ)
メーカー:CISCO
ネットワーク機能:仮想ルータ
ライセンス形態:サブスクリプションライセンス
製品概要:
Catalyst 8000V Edgeは、クラウドから顧客のエンドポイントを接続する「マルチクラウド展開向け」に設計された、次世代の仮想ルータです。
Catalyst 8000V Edgeは、AWSやMicrosoft Azure、Google Cloudやコロケーション施設など、仮想化されたブランチロケーションに展開できます。
Catalyst 8000V Edgeは、コントローラモードと自律モードの両方が起動可能で、2つのモードが統合されたイメージです。
現在出荷されている Cisco Cloud Services Router 1000vや、サービス統合型仮想ルータの次世代版です。従来のルーティングモードでの利用に加えて、SD-WANでも利用することができます。
Catalyst 8000V Edgeを利用するには、ライセンス利用料となる「Cisco DNA サブスクリプションライセンス」の購入が必要です。
Cisco DNA サブスクリプションライセンスを購入すると 、ルーティングモードとSD-WAN の両方の環境で利用できます。クラウドとオンプレミスの両方で、Ciscoの最新技術が利用可能です。
参考URL:https://www.cisco.com/c/ja_jp/products/collateral/routers/catalyst-8000v-edge-software/nb-06-cat8000v-edge-sw-og-cte-en.html
Cisco ASAv(仮想ファイアウォール)
メーカー:CISCO
ネットワーク機能:ファイアウォール
ライセンス形態: スマートライセンス
製品概要:
Cisco ASAv は、仮想化環境上で包括的なファイアウォール機能を提供する、NFV対応の仮想アプライアンスです。
データセンタートラフィックと、マルチテナント環境のセキュリティを強化します。
Ciscoが提供する直感的で使いやすい Web ベースの管理インターフェイスASDM(Adaptive Security Device Manager)を使用することで、簡単にCisco ASAv の管理やモニタリングができます。
Cisco ASAvファイアウォール機能は 、物理アプライアンスの「Cisco ASA ハードウェアファイアウォール」と非常によく似ています。
一方でCisco ASAvには、いくつかの制限事項があります。Cisco ASAvはデフォルトで最大 8 GB の仮想ディスクをサポートしますが、ディスクサイズを 8 GB を超えて増やすことはできません。
また、コンテキストモードのガイドラインとして、シングルコンテキストモードのみサポートしています。マルチコンテキストモードはサポートしていないため、注意しましょう。
ASAvを利用するには「Cisco Smart Software Licensing(スマートライセンス) 」のインストールが必要です。ライセンスをインストールするまで、スループットは 100 Kbps に制限されます。
Smart Software Licensing を利用することで、ライセンスを一元管理し、使用状況を一目で確認できます。
参考URL:https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa912/asav/quick-start-book/asav-912-qsg/asav_intro.html
vSRX仮想ファイアウォール
メーカー:Juniper
ネットワーク機能:ファイアウォール
ライセンス形態:従量課金制(Pay-As-You-Go)、個人所有ライセンス(Bring-Your-Own-License)
製品概要:
vSRX仮想ファイアウォールは、物理アプライアンスSRXシリーズのファイアウォール機能を、VMwareやKVMなどの仮想環境上で実現します。物理アプライアンスのSRXと同一の使用感で、vSRXを操作できます。
vSRXは、次世代ファイアウォール機能やネットワーキング、自動ライフサイクル管理などの機能を、仮想環境上で提供。
ユーザーのニーズに合わせて、プライベートクラウドやハイブリッドクラウドの環境で、柔軟なネットワーク構成が実現可能です。
また冗長構成を組むことで、より高い信頼性を提供し、最大100 Gbpsの速度で動作します。AWSなどのクラウドサービスとオンプレミスの通信環境を、セキュアに構築できます。
ライセンスは、パブリッククラウド向けの従量課金制(Pay-As-You-Go)と、個人所有ライセンス(Bring-Your-Own-License)が用意されています。ビジネスのさまざまな要件に対応して、シンプルかつ柔軟性と拡張性に優れたライセンスを提供します。
参考URL:https://www.juniper.net/jp/ja/products/security/srx-series/vsrx-virtual-firewall.html
仮想アプライアンス製品のライセンス形態
| 番号 | ライセンス名 | ライセンス概要 |
| 1 | Cisco DNA サブスクリプションライセンス |
・サブスクリプション契約期間中に、ソフトウェアを使用する権利。サブスクリプションには、サポートサービスが含まれる。 ・シスコが提供する新しいテクノロジーにアクセスし、最新機能が利用可能。 |
| 2 | Cisco Smart Software Licensing(スマートライセンス) |
・Smart Software Licensing は、ライセンスを一元管理し、使用状況と利用ニーズが一目で確認可能。 ・スマートライセンスは製品認証キーライセンスとは異なり、特定のシリアル番号に関連付けられていない。各製品のライセンスキー管理が不要で、簡単にASAvの導入や利用停止が可能。 |
| 3 |
・従量課金制(Pay-As-You-Go) ・個人所有ライセンス(Bring-Your-Own-License) |
・パブリッククラウド向けの従量課金制(Pay-As-You-Go)、個人所有ライセンス(Bring-Your-Own-License)から選択可能。 |
まとめ
今回はNFVと仮想アプライアンスについて述べました、いかがでしょうか。
アット東京ではユニアデックス社と協業し、2022年11月から「ATBeX NFVサービス」を提供開始します。詳細が気になる方は是非お問合せください。
ユニアデックス社との協業については、こちらのニュースリリースで詳しく紹介しています。
→アット東京、ユニアデックスが協業し、「ATBeX NFVサービス」を2022年11月から提供開始
この記事を書いた人 チータ
同じカテゴリーの記事
-
2022.12.13
