LADIS 2013マイクロソフトは、巨大な Azure クラウドにネットワーク仮想化を提供するために導入したテクノロジを公開し、ネットワークを大幅に拡大したときに発生するいくつかの厄介な問題を認めました。
同社の Windows Azure ネットワーク担当パートナー開発マネージャー、アルバート・グリーンバーグ氏は、今月ペンシルバニア州で開催された LADIS カンファレンスでこのアプローチの詳細を説明した。
「この3年間で、Azureネットワークのすべてが変わりました」とグリーンバーグ氏は述べた。「同じ形で残っている回線やプロトコルはありません。ネットワーク業界にとって、今は絶好の時代です。チャンスがたくさんあるのですから。」
Microsoft の仮想化ネットワークは、Azure フロントエンド、ネットワーク ファブリック コントローラー、そして区画化された VM のネットワーク ニーズを処理する Azure VMSwitch という 3 つの標準コンポーネントから構築されています。
フロントエンドはリクエストを受け取り、それをコントローラに配布します。コントローラはリクエストを VMSwitch に送り込み、そこからリクエストはネットワーク コントロール プレーンに伝播されます。
これは、MicrosoftによるNVGRE(Network Virtualization using Generic Routing Encapsulation)の開発と活用によって実現しました。この技術は、Arista、Dell、Intel、Broadcomなどの企業も支持しています。NVGREは、帯域幅の競合を引き起こすことなく、IPファブリックを介してレイヤー2のネットワークパケットを水平にトンネリングすることでネットワークを統合します。機能的にはVMware/Ciscoの「VXLAN」に類似しています。
マイクロソフトが仮想化ネットワークへの移行を決意したのは、現在では「数百台のサーバー」にわたる「数百万台のVM」をサポートするAzureの成長により、旧来のネットワークに負担がかかったためだ。
仮想化?それよりむしろ柔軟性の実現!
企業はネットワーク仮想化に関心を寄せており、制御機能をベーススイッチから上位の、迅速に変更可能な制御プレーンに移行できるためです。これによりハードウェア費用を削減できますが、シスコはこれを非常に懸念しており、ソフトウェア定義ネットワーク機能の導入を目指して、Insiemeという企業に資金提供と買収を余儀なくされました。
たとえば、Microsoft は、VPN およびオーバーレイ サービス、テナントごとのアクセス制御リスト、ネットワーク アドレス変換に VM スイッチを使用しています。
このアーキテクチャによって Microsoft が実現できる機能には、柔軟な課金、レート制限、追加のセキュリティ機能、大規模な VLAN の展開の容易化、5 タプル ACL (送信元 IP、宛先 IP、プロトコル、送信元ポート、宛先ポートを含むアクセス制御リスト) などがあります。
Greenberg 氏が「ネットワークの新しいクールなもの」と呼ぶ VMswitch には、フローをアクションにマッピングするテーブルが含まれており、仮想ネットワーク インターフェイス カードと特定の VM の間にパイプラインを作成して、ネットワークのカプセル化を実現します。
仮想化ネットワークへの移行により、Microsoftはネットワークを他のクラウドサービスと同様に扱うことができるようになりました。「すべてのポリシーはソフトウェアであり、すべてがVMです。つまり、クラウドサービスを構築するための基盤となるすべてのメカニズムをネットワーク向けに再利用でき、他のすべてのサービスと同様にネットワークを展開できるということです」とグリーンバーグ氏は述べています。
Microsoft のネットワーク コントローラは、VM または VM グループを独自の仮想スイッチでカプセル化し、データを他の仮想スイッチにシャトルして、マルチテナントのセキュリティを損なうことなく情報共有を支援します。
「状態をどう追跡するかが、真の実力者とそうでない者を分けるのです」と彼は言った。「VMSwitchに多くのことを知らせる必要はありませんが、学習させる必要があります。」
「水に足を浸す良い方法」
同氏によると、マイクロソフトのスイッチはコントローラに自動的に情報を要求し、コントローラは何か新しいものに遭遇するとディレクトリ サービスからデータを取得するという。
顧客はマイクロソフトの仮想化ネットワークを利用して、複数のプライベート仮想ネットワークを構築し、時には互いにネストされた状態で、それらをオンプレミスネットワークに接続することが可能になった(図参照)。グリーンバーグ氏は、クラウドに懐疑的な組織にとって、これは「クラウド導入の手始めとして最適な方法」だと述べた。
しかし、Microsoftは、ネットワークがサポートしなければならないVMの数が増えるにつれて、課題に直面している。グリーンバーグ氏によると、40GbEネットワークカードの価格が下がってきたため、これらのカードを購入することで課題を部分的に解決できるだろうが、パケットフローの最適化も必要になるという。
「最初のパケットに必要なアクションを予測し、それをキャッシュしておけば、2番目以降のパケットははるかに高速に処理できるようになります」と彼は述べた。「こうした最適化は非常に重要です。」
グリーンバーグ氏は、ネットワークを仮想化することによって、マイクロソフトは主要なアプリケーションごとに個別のコントローラを作成できるようになったが、同時に複数のコントローラを調整するためにアロケータを作成する必要が生じたと述べた。
グリーンバーグ氏は、制御層をソフトウェアに組み込むことで、マイクロソフトのシステムの管理がはるかに容易になったと語る。
「これらの大規模ネットワークを管理する複雑さは、小規模な企業ネットワークの管理と比較すると軽減されます。奇妙に思えるかもしれませんが、何も触る必要はなく、すべて自動化されており、ドリフトはありません。ラック上部のスイッチが故障しても、別のスイッチがあります。つまり、冗長性が組み込まれているのです」と氏は述べた。
ただし、これによって Microsoft のクラウドが何度も突然停止するのを止めることはできませんでしたが、私たちが理解しているところによると、これらの障害はネットワークよりもスタックの上位で発生しています。®
