【テクニカルレポート】Cisco、VMware、NetAppの協業によるマルチテナント環境の強化 エンドツーエンドのサービス品質~前編 | RBB TODAY

【テクニカルレポート】Cisco、VMware、NetAppの協業によるマルチテナント環境の強化 エンドツーエンドのサービス品質~前編

エンタープライズ ソフトウェア・サービス

Chris Naddeo氏
  • Chris Naddeo氏
  • 図1)エンドツーエンドのブロック図
 共有インフラの構築には常に、多少なりともやっかいな課題がともないます。一般的な企業のデータセンター設計を見ると、重要なアプリケーションに対して、専用のインフラか、あるいは共有環境であれば、必要をはるかに上回る性能を割り当てられているケースが目に付きます。どちらのアプローチでも、リソースが十分に活用されず、IT予算の浪費につながります。

 問題は、通常より高い負荷がかかった場合に、サーバ、ネットワーク、ストレージなどのインフラ・コンポーネントが、どのように影響を受けるのか予測がつかない点にあります。あるリソースがボトルネックになって、重要なアプリケーションのパフォーマンスが不意に低下する危険性があるとしたら、ボトルネックの原因をすばやく特定するには、どうすればいいでしょうか。

 クラウド・コンピューティングへの関心が高まりつつある現在、マルチテナント環境(すべてのリソースが共有されるインフラ)のあらゆる側面について理解することが、従来にも増して重要になっています。実際、セキュリティやQuality of Service(QoS:サービス品質)の問題に不安があるために、クラウド・インフラの構築やクラウド・サービスの契約に二の足を踏んでいる企業が少なくありません。

 CiscoはVMwareおよびNetAppと協力し、セキュア・マルチテナント・デザイン・アーキテクチャの設計とテストに取り組んできました。セキュア・マルチテナントの重要な要素としては、以下の4つをあげることができます。

・セキュアな分離:どんな状況下でも、他のテナントの仮想マシン(VM)、ネットワーク、ストレージ・リソースにアクセスできないようにしなければなりません。それぞれのテナントが、安全に分離されている必要があります。

・サービス保証:通常の運用時だけでなく、障害が発生したときや、一部のテナントで異常な負荷が発生したときにも、サーバ、ネットワーク、ストレージの各パフォーマンスがテナント別に分離され、保証される必要があります。

・可用性:障害が発生しても、必要なサーバ、ネットワーク、ストレージの各リソースの可用性を確保できるインフラでなければなりません。

・管理:すべてのリソースの迅速なプロビジョニング、管理、監視といった機能は必要不可欠です。

 この記事では、マルチテナントに関するこれらの重要要素を達成するために、3社が共同で開発した独自のアーキテクチャについてご紹介します。2番目の目標である「サービス保証」については、特に詳しく説明します。

■アーキテクチャの概要

 図1は、このアーキテクチャのブロック図です。主要なソフトウェアおよびハードウェア・コンポーネントによって、すべてのレイヤでセキュリティ、QoS、可用性、管理のしやすさを実現するように設計されています。

■サーバ・レイヤ

 サーバ・レイヤでは、VMware vSphereおよびvCenter Serverソフトウェアによって強力なサーバ仮想化環境が提供され、仮想マシンで動作する複数のゲストOSにサーバ・リソースを動的に割り当てることができます。

 サーバ・レイヤ内のセキュリティは、VMware vShield Zonesによって提供されます。vShield ZonesはvSphere 4.0にバンドルされた集中管理方式のステートフルな分散型ファイアウォールであり、ESXホストの近接性と仮想ネットワークの可視性を利用してセキュリティ・ゾーンを作成します。vShield ZonesはVMware vCenterに統合され、vNIC、ポート・グループ、クラスタ、VLANなどの仮想インベントリ情報を利用して、ファイアウォール・ルールの管理とトラストゾーンのプロビジョニングを簡易化します。この新しい手法でセキュリティ・ポリシーを作成すると、VMotionの際にもその情報がVMに付随します。この手法はIPアドレスの変更やネットワーク番号の付け替えに対しても完全に透過的です。

 Cisco Unified Computing System(UCS)は、サーバ・リソース、サーバ・ネットワーク・アクセス、ストレージ・アクセス、仮想化を1つのシステムに統合した、次世代データセンター・プラットフォームです。UCSは低遅延かつロスレスの10ギガビット・イーサネット・ネットワーク・ファブリックを、エンタープライズクラスのx86アーキテクチャ・サーバに統合します。この拡張性に優れた統合型のマルチシャーシ・プラットフォーム・システムでは、すべてのリソースが統一された管理ドメインを共有します。

■ネットワーク・レイヤ

 ネットワーク・レイヤは、サーバ・レイヤとストレージ・レイヤ間のセキュアなネットワーク接続のほか、外部ネットワークおよびクライアントへの接続を提供します。主要なコンポーネントは次のとおりです。

・Cisco Nexus 7000:外部ネットワークへのイーサネット(LAN)接続を提供します。

・Cisco Nexus 5000:FCストレージおよびCisco 7000を接続します。

・Cisco Nexus 1000V:VMwareカーネル内で動作するソフトウェア・スイッチです。サーバとネットワーク環境との間で緊密な統合を実現するCisco VN-Linkサービスを提供し、ライブ・マイグレーション時に仮想マシンに付随するポリシーの移動を実現します。

・Cisco MDS 9124:SAN接続を提供するファイバ・チャネル・スイッチであり、UCS上で動作するVMware ESXのSANブートを可能にします。

■ストレージ・レイヤ

 ストレージ・レイヤは、SAN接続(SANブート用)とNFS接続(VMware環境の動作用)を同時に提供できるNetAppユニファイド・ストレージ・システムで構成されます。NetAppストレージは、稼働するアプリケーションの特殊なストレージ・ニーズにも対応できます。イーサネット上でVMware環境を運用することで、コスト削減につながる非常に管理しやすい環境が実現されます。

 NetApp MultiStoreソフトウェアは、物理的に分かれたストレージ・アレイに匹敵するレベルのセキュリティと分離機能を、共有ストレージに提供します。MultiStoreを使用すると、1つのストレージ・システム上で完全に分離された複数の論理パーティションを作成できるため、機密性を損なわずにストレージを共有することが可能になります。ストレージ・システム間で個々のストレージ・コンテナを独立して、かつ透過的に移動することができます。

■テナントのプロビジョニング

 このアーキテクチャを使用してプロビジョニングを行うと、テナントには次のものが提供されます。

・1つ以上の仮想マシンまたは仮想アプリケーション
・1つ以上の仮想ストレージ・コントローラ(vFilerユニット)
・これらのリソースを相互接続してアクセスする、1つ以上のVLAN

 これらの構成要素を組み合わせて、論理パーティションが形成されます。このパーティションの境界を、テナントが侵害することはできません。私たちの目標は、セキュリティに加えて、あるテナント・パーティションで発生したアクティビティが、他のテナント・パーティションでのアクティビティに、間接的にも干渉しないようにすることです。

Chris Naddeo氏

Cisco Systems UCS担当テクニカル・マーケティング・エンジニア

Chris氏はCiscoに入社して以来、Cisco Unified Computing System(UCS)の顧客環境への導入と最適なストレージ・アーキテクチャの設計に取り組んでいます。Chris氏はストレージ業界でさまざまな経験を重ねており、NetAppでOracleおよびData ONTAP GX担当コンサルティングSEとして1年、VeritasでVeritasストレージ・ソフトウェアのプロダクト・マネージャとして9年、それぞれ活躍した経歴があります。

※同記事はネットアップ(NetApp)の発行する「Tech OnTap」の転載記事である
《RBB TODAY》

関連ニュース

特集

page top