ファイアウォールやVLAN(仮想LAN)を仮想化環境で構築することは意外に難しい。「ネットワークの保護」では前回述べたように「変化」「集中」「共有」といった特性によって懸念が増大するためだ。
「変化」では、ライブマイグレーションによって保護対象のVM(仮想マシン)が別の仮想化ホストへ移動することを考慮する必要が出てくる。VMの移動に対応して、仮想化ホストのファイアウォールやVLANのポリシーを変更する方法もあるが、運用負荷が大きく、運用ミスのリスクもある。人手作業では実現は困難だ。
「集中」についても同様である。1台の仮想化ホストで10台のVMを稼働させる場合、物理サーバー10台に相当するトラフィックが、仮想化ホストのネットワークインタフェースに集中する。数ギガビット/秒、場合によっては10ギガビット/秒レベルのネットワークが必要かもしれないが、10ギガビット/秒レベルに対応する物理デバイスとしてのファイアウォールは高価である。
「共有」を考慮すると、さらに懸念が高まる。パブリックおよびプライベートクラウドでは、可能なら同一の仮想化ホストに複数のテナントのVMを収容してリソース利用効率を高めたい。しかし、異なるテナント(利用企業)のVMについては、ネットワークを分離することが重要な要件である。
こうした課題を解決するソリューションには、米ヴイエムウェアのVMware vSphereが提供している「VMsafe」や米ジュニパーネットワークスの「vGWVirtual Gateway(vGW)」が挙げられる。後者はVMsafeの技術でハイパーバイザーレベル(カーネルレベル)のファイアウォールを実装した製品である。VMsafeのカーネルレベルの実装は、技術上の困難に加え、vSphere専用のソリューションになるため、製品を提供しているベンダーは少ない。
vGWは「変化」「集中」「共有」によって顕在化する課題を次のように解決している。
まず、「変化」によって増大する懸念については、ライブマイグレーションによって移動するVMをどこまでも追いかけて守ることで対処する。vGWは、VM内の仮想NIC(Network Interface Card)と、仮想化ホストにまたがる分散仮想スイッチの間の通信に対してフィルタリング処理を行う(図1)。つまり、フィルタリング処理の設定は、仮想NIC(すなわちVM)に直接ひも付くため、VMがライブマイグレーションによって別の仮想化ホストへ移動しても維持される。
また、「集中」によって増大する懸念については処理性能の向上で対処する。vGWが提供するファイアウォールはカーネルレベルで実装されているため、高速なネットワークに対応できる。仮想化環境向けには仮想アプライアンス型ファイアウォールも提供されているが、仮想化に伴うオーバーヘッドがあるため、処理性能で見劣りする。極端なケースではカーネルレベルのファイアウォールに比べて性能が1桁小さい場合がある。
「共有」によって増大する懸念については、VM間のネットワークの仮想的な分離で対処する。vGWでは、VMごとにファイアウォールのオン/オフやポリシーが個別に制御できるため、VLAN相当の仮想ネットワークの構築やVMのグルーピングが自由に行える。VM単位に加えて、複数のVMをまとめたグループ単位での階層的管理も可能である。
