仮想環境のネットワークで最も特徴的な点は、サーバー上で仮想マシン同士をつなぐ「仮想スイッチ」が稼働していること。仮想環境をうまく運用できるネットワークを作るには、仮想スイッチと物理スイッチの接続方法を理解し、適切なタグVLANを設定しなければならない。
物理サーバーのポートにはタグVLANを設定
仮想スイッチの基本的な役割は、大きく二つある。一つは、仮想サーバーの仮想NICと物理NICを接続して外部のネットワークへとつなぎ込む。もう一つは、1台の物理サーバー上で、仮想マシン同士を接続する役割である。
仮想スイッチに関する設計上のポイントは、VLANの設計にある。特に1台の物理サーバー上で稼働する複数の仮想サーバーに異なるVLANを割り当てて運用する場合、タグVLANを設定する必要がある。
外部の物理スイッチと仮想スイッチをつなぐリンク(物理NICを含む)には、一般的なトランクポートと同様に、異なるVLANに所属するイーサネットフレームが流れることになる。このため、フレームが所属するVLANを「VLANタグ」という情報で識別するタグVLANが必要となる(図1)。また、第1回で説明したように物理NICを用意できず、どうしても複数の用途で物理NICを共用せざるを得ない場合、用途ごとにVLANを分けるという使い方もできる。
ライブマイグレーションを考慮して設計
VLAN設計では、仮想スイッチだけではなく、物理スイッチとの整合性も考慮する必要がある。特に考慮すべき点は、ライブマイグレーションで仮想サーバーが異なる物理サーバーに移動した場合でも通信を継続できるように、物理スイッチ側でもタグVLANを正しく設定しておくことである。ライブマイグレーションで移動可能な物理サーバーやストレージのセットは「クラスター」や「リソースプール」などと呼ばれる。その範囲内では、同じVLAN IDを割り当てる必要がある。
例えば、VMwareで仮想環境を構築しているデンソーは、複数の仮想サーバーに対して、VMotion用、サービス用、機器監視用、各DMZ(非武装セグメント)用などの用途ごとにタグVLANを設定している。そのうえで、すべての仮想サーバーを一つのVMotion用VLANに収容することで、どの物理サーバーにも仮想サーバーが移動できるようにしている。
クラスター内で複数の物理サーバーでの仮想スイッチを管理する場合、個々のハイパーバイザーでの設定が必要となり、手間がかかるし、ポートIDの重複といった設定ミスがあり得る。そうした場合、複数の物理サーバー上の仮想スイッチを統合し、1台の仮想スイッチとして運用する「分散仮想スイッチ」(VDS)が効果的である。これはVMwareのESX/ESXi 4から利用できるようになった機能で、ポートIDをはじめとした設定情報を一元管理できる。さらに同様の機能を実現する製品として、シスコのCisco Nexus 1000Vがある。これは物理サーバー上で動作するソフトウエアで構成される。基本的な機能はVDSと同じだが、運用管理を同社の物理スイッチ(CatalystシリーズやNexusシリーズ)と共通化できるという特徴がある。
