Azure Stack HCI での SDN について説明する
Azure Stack HCI SDN の機能の評価を始める前に、SDN の主要な概念を確認します。 あなたは、これらの概念によってネットワーク仮想化と仮想化ベースのサービスのさらに複雑な側面を理解するのに役立つ基本知識が形成される、ということに気づいています。 特に、ソフトウェア ロード バランサー、分散ファイアウォール、リモート アクセス ゲートウェイがそれに含まれます。
ネットワーク仮想化とは
ネットワーク仮想化の目的を理解するには、サーバー仮想化と比較すると役に立つかもしれません。サーバー仮想化は、1 台の物理ホスト上で複数のオペレーティング システム インスタンス (仮想マシン) を同時に実行できるようにするもので、各インスタンスは相互に独立して機能します。 ネットワーク仮想化は、仮想ネットワークに関して同様の機能を提供するもので、同じ物理ネットワーク インフラストラクチャ内での分離を容易にし、VLAN や専用の IP アドレス管理ソリューションには依存しません。 この柔軟性により、お客様はワークロードをプライベートやパブリックのクラウドに簡単に移行できるようになります。 また、ホスティング プロバイダーやデータセンター管理者によるネットワーク インフラストラクチャの管理にも役立ちます。 さらに、これらの利点は、データセンターの統合イニシアティブで重要な役割を果たします。 Azure Stack HCI を使用すると、お客様は独自の分離された環境内で運用しながら、物理リソースを共有できます。 DevOps チームは、IP アドレスの割り当ての変更によるサービスの中断を発生させることなく、アプリケーションを展開することができます。 インフラストラクチャの所有者の場合、柔軟性が向上することで、コンピューティング、ストレージ、ネットワークの間の相関関係を抽象化することにより、動的なリソースの割り当てが容易になります。
ソフトウェアによるネットワーク制御 (SDN) とは
SDN を使用すると、データセンターでのネットワークとネットワーク サービス (切り替え、ルーティング、負荷分散など) を一元的に構成および管理できます。 SDN では、ネットワーク関数の仮想化を使用して、"仮想化されたソフトウェア機能" を実装します。 これらの関数は、従来ハードウェア ネットワーク デバイスに委任されている機能に置き換わるものです。
ネットワーク機能の仮想化とは
ソフトウェアによって定義されるデータセンターでは、従来ハードウェア デバイスによって実装されていたネットワーク関数の提供が、仮想アプライアンスによって引き継がれます。 これらの仮想化された機能は、セキュリティやエッジ サービスなど、いくつかのカテゴリに分類できます。 セキュリティ アプライアンスにはファイアウォールが含まれ、エッジ アプライアンスにはゲートウェイ、ルーター、スイッチ、ロード バランサーが含まれます。
仮想アプライアンスには、対応する物理アプライアンスと比較して、いくつかの利点があります。最も顕著なものは次のとおりです。
- シームレスな容量の拡張とワークロード モビリティ。
- 最小限に抑えられた運用上の複雑さ。
- プロビジョニングと管理が簡素化される。
- モビリティの向上。
- 垂直方向と水平方向のスケーリングのサポート。
Azure Stack HCI における SDN
Azure Stack ハイパーコンバージド インフラストラクチャ (HCI) ソリューションには、コンピューティングとストレージのリソースの仮想化が組み込まれています。 さらに、Azure Stack HCI では、SDN を実装することで、そのネットワーク リソースの仮想化がサポートされます。 この機能により、既存の VLAN ベースのインフラストラクチャとの統合から、Azure Stack HCI ワークロードの完全な分離まで、さまざまなネットワーク シナリオを実装できます。
Azure Stack HCI の SDN は、機敏性の向上、セキュリティの強化、効率性の最適化によって、従来のネットワーク インフラストラクチャに関連する課題に対処するのに役立ちます。 次の機能を提供します。
- ネットワーク サービスの抽象化。 基になる物理ネットワークから抽象化されたソフトウェアによるネットワーク サービスを、展開して管理できます。
- ネットワーク ポリシーの一元化。 ネットワーク ポリシーを使用して、仮想ネットワークと物理ネットワークの内部およびそれらの間のトラフィック フローを管理する規則を、一元的に構成および制御できます。 ネットワーク ポリシーを実装すると、ネットワーク サービスの量が増えたときの一貫性とスケーラビリティが向上します。
- ネットワーク管理の一元化。 PowerShell、Windows Admin Center、Microsoft System Center Virtual Machine Manager (VMM) を使用して、仮想化されたネットワーク インフラストラクチャを管理できます。
Azure Stack HCI SDN のこれらの機能は、ネットワーク コントローラーを使用して実装します。 ネットワーク コントローラーとは、サーバー ロールであり、Representational State Transfer (REST) アプリケーション プログラミング インターフェイス (API) を介してアクセス可能な管理インターフェイスを備えています。 このインターフェイスを使用して、SDN インフラストラクチャとネットワーク機能の仮想化ベースのサービスの展開、管理、構成、監視、トラブルシューティングを行います。
ネットワーク機能の仮想化ベースのサービスには、次のものがあります。
ソフトウェア ロード バランサー (SLB)。仮想ネットワーク リソース間にネットワーク トラフィックを分散させることによって、可用性が高くスケーラブルなソリューションを容易に構築できます。 さらに、SLB は、ネットワーク アドレス変換 (NAT) を使用して、インバウンドとアウトバウンドのインターネット アクセスを仮想化されたワークロードに提供します。 仮想化されたオーバーレイ ネットワークと従来の VLAN ネットワークに、SLB ポリシーを適用できます。
SDN 用のリモート アクセス サービス (RAS) ゲートウェイ。サイト間 (S2S) IP セキュリティ (IPsec) 仮想プライベート ネットワーク (VPN)、サイト間汎用ルーティング カプセル化 (GRE) トンネル、およびレイヤー 3 転送を使用して、外部ネットワークへのネットワーク接続を拡張します。
データセンター ファイアウォール。仮想ネットワークとそのワークロードを、インターネットおよびイントラネット ネットワークから送信される承認されていないトラフィックから保護するのに役立ちます。 ネットワーク パケットの最大 5 つのパラメーターの組み合わせに基づくステートフルなフィルター処理が実現します。 これには、パケットのプロトコル、送信元と送信先のポート番号、送信元と送信先の IP アドレスが含まれます。 これらのポリシーは、仮想化されたオーバーレイ ネットワークと従来の VLAN ネットワークに適用することができます。
注意
データセンター ファイアウォールは、既存の物理アプライアンスを補完するためのものです。
サービスの品質 (QoS) ポリシー。1 つのアプリケーション仮想マシン (VM) またはワークロード仮想マシン (VM) によって、HCI クラスター ノードの帯域幅全体が使われないようにするために使用できます。 これらのポリシーは、仮想化されたネットワークと従来の VLAN ネットワークに適用することができます。
サードパーティのアプライアンス。お客様は、ファイアウォール、侵入検出デバイス、ロード バランサーなどのサードパーティの仮想アプライアンスを導入し、高度なサービスのためにそれらを SDN 仮想ネットワークにアタッチできます。
仮想ネットワークとサブネット
仮想化されたワークロードの分離を実装するために、SDN によって Hyper-V ネットワーク仮想化 (HNV) ベースの仮想ネットワークが使用されます。 これらのネットワークは、1 つ以上の仮想サブネットで構成され、基になる物理ネットワーク上にオーバーレイとして個別に定義されます。 仮想サブネットは、接続されている仮想マシン (VM) に対してレイヤー 3 IP サブネットの機能をエミュレートします。 各仮想ネットワークは、その内部でのみ VM が相互に通信できる分離境界を形成します。 仮想ネットワーク間で通信できるようにするには、仮想ネットワーク ピアリングを実装します。
仮想ネットワーク サブネットに接続されている VM の各ネットワーク インターフェイスは、2 つの IP アドレスに関連付けられています。
- カスタマー アドレス。 お客様により、優先する IP アドレス指定方式に基づいて各 VM に割り当てられた IP アドレス。 このアドレスを使用すると、顧客は、ワークロードを SDN 環境に移行するときに既存のネットワーク構成を維持できます。 対応する VM 内のオペレーティング システムはカスタマー アドレスにアクセスできます。
- プロバイダー アドレス。 Azure Stack HCI 管理者により、物理ネットワーク インフラストラクチャに基づいて Hyper-V ホストに割り当てられた IP アドレス。 プロバイダー アドレスは、物理ネットワーク上では認識できますが、お客様の VM では認識できません。
論理ネットワークとサブネット
ネットワーク機能の仮想化を実装し、VLAN ベースのセグメント化を可能にするため、SDN は論理ネットワークの概念に依存しています。 各論理ネットワークは、物理ネットワークの論理パーティションを表します。 論理ネットワークは、お客様の VLAN にマップされる論理サブネットのコレクションで構成されます。 これらの VLAN でお客様のワークロードがホストされる場合もありますが、重要な SDN インフラストラクチャ コンポーネントをホストする論理ネットワークもいくつかあります。 たとえば、Azure Stack HCI SDN の実装には、管理論理ネットワークや HNV プロバイダー論理ネットワークが含まれ、後者はすべての仮想ネットワークに対するプロバイダー アドレス ネットワークとして機能します。 その実装の一部であるすべての Hyper-V ホストは、管理論理ネットワークと HNV プロバイダー論理ネットワークに接続されている必要があります。