SDN Conference 2014 Tokyo――技術の進展と見えてきた課題　「SDNの現在位置」を確認する

IaaS/ホスティング事業者には響かない、現在のSDN

写真1：データホテル 情報環境技術研究室 執行役員CTA室長 伊勢幸一氏

データホテル 情報環境技術研究室 執行役員CTA室長の伊勢幸一氏は、「今求められるSDNソルーションとは」と題した基調講演を行った。

SDNという言葉は、OpenFlowの仕様が公開された辺りから言われはじめ、この2年くらいで「SDNソリューションが唯一の解だ」とも言われるようになってきた。「とはいえ、すでに導入している、あるいは導入を検討している大半は通信事業者やISPで、IaaS事業者やホスティング／データセンター事業者、コンテンツプロバイダーといった分野ではほとんど導入されていないのが実情だ」と伊勢氏は指摘。理由は、そもそもSDNはキャリアネットワークのためのアーキテクチャだからだという。

ネットワークリンクの確立をソフトウェア的に、動的かつ柔軟に提供するアーキテクチャは、サイト間のコネクティビティに対して対価を得るサービスモデルには有効なソリューションである。しかし、ホスティング事業者などは、一般的にネットワークのコネクティビティを提供することに対する課金メニューは持っていない。「つまり、SDNを導入してネットワークリンクを柔軟に迅速に提供できるようになったとしても、それで新たな収入になるわけではない。投資しても回収する目処がないのだから、SDNの導入が進まない」（伊勢氏）

仮想から物理へのマイグレーションが課題に

伊勢氏によれば、インフラレイヤの事業者のオペレーターが日常的に行っている仕事は、さまざまなインスタンスを最適化するための再配置であり、そこで一番苦労しているのは、クラウド環境で動いているインスタンスとその上で稼働しているアプリケーションをベアメタルな物理環境に持ってくる作業だという。これは、物理環境から仮想環境へのマイグレーションに比べて、まだノウハウが蓄積されていない。

この問題を受けて、OpenStackでも2013年10月にリリースされた現行バージョンのHavanaから「Baremetal Deployment」機能を追加している。これは、OpenStackからベアメタルのサーバーへインスタンスを立ち上げる機能だ。他にも、MaaS（Metal as a Service）、PLUMgrid Baremetal Solutionといったソリューションが登場している。

また、伊勢氏は国内ベンダー数社が、ベアメタルのサーバーをクラウドコントローラーのように立ち上げるベアメタルコントローラーを独自実装していることにも言及。一般的なものがないので各社独自実装になってしまうが、どこもIPMI、PCE、Cobbler、Chef/puppetといったコンポーネントで構成しているという。

このとき問題となるのが、仮想化環境でroot権限を持っているゲストOSをベアメタルに移動した場合、悪意があれば何でもできてしまう点だという。同氏は、「仮想化環境であれば、ハイパーバイザーがそうした操作をコントロールしているが、物理環境に持ってきた場合は、ToR（トップ・オブ・ラック）スイッチがその機能を担う必要がある。では、そういうスイッチがあるかというと実はない。つまり、インフラ事業者が必要としているSDNは、ハイパーバイザー経由でコントロールするものではなく、ベアメタルコントローラーとの連携が可能なものなのである」と強調した。

「ベアメタル環境のためのSDN」とToRスイッチ

伊勢氏の言う「ベアメタル環境のためのSDN」において最も重要なのはSouthbound APIであり（図1）、「Southbound APIに類するものが各社から出ている。NETCONFが一般的だが、シスコのonePK、Neutron plug-in、ジュニパーのPuppetなどもある。とはいえ、最もスマートにスイッチをコントロールできるのはやはりOpenFlowである」（同氏）

図1：「ベアメタル環境のためのSDN」で重要となるSouthbound API（出典：データホテル）

ただし、これはあくまでToRスイッチに限定した話である。ToRスイッチは、サーバー台数に合わせて大量に導入する、1Uサイズシャーシに収まる機器であり、重要なのは価格。20万円以下、できれば数万円であることが求められるという。

伊勢氏が発起人・運営委員を務めるOCPJでも同様の考えで、2013年には「Proposed Charter For Open Network Project」というワーキンググループが立ち上げられた。そこでは、「Cumulus（Cumulus Linux）」「PICA8（Linux XORP Open vSwitch）」「Pluribus Networks（Netvisor Linux or Solaris）」といった“SDN ToRベアメタルスイッチ”のプロジェクトが進んでいるという。

問題は、国内でこういった製品やソリューションを使う場合には、ユーザーが何らかの形でコントローラーを作らなければならない点だ。そこで、SDKドキュメントやハンズオントレーニングの充実が必須となる。また、評価・検証のために数十万円のスイッチを購入するのもハードルが高い話だ。「その際には、通常のLinuxサーバー上で開発できるエミュレーターなら取り組みやすいだろう」と伊勢氏。

講演の最後に伊勢氏は、「我々はオープンでないものは導入しない」と言い切り、オープンソース・スピリットの重要さを説いた。

リソースの全体最適化を目指したSDN/OpenFlowソリューション

写真2：日本IBM システム製品事業 System x事業部 ビジネス開発部 システムネットワーキング製品 技術推進 牛尾愛誠氏

日本IBMのセッションには、同社システム製品事業 System x事業部 ビジネス開発部 システムネットワーキング製品 技術推進の牛尾愛誠氏が登壇した。牛尾氏は「SDN技術によるリソースの全体最適化」と題して、企業でのSDN導入を支援するIBMの製品・ソリューションによる効果などを紹介した。

牛尾氏は冒頭、調査結果に見る、SDNの導入に対する企業での懸念点を取り上げた。それによると、「スキルのある人材がいない」「問題が発生した時に原因特定が難しい」が上位を占め、それに「どのようなパフォーマンスが出るか予想がつかない」「どのような技術が標準になるか不透明だ」「導入に高いコストがかかる」といった懸念が続く。こうしたSDN関連技術が発展途上にあることに起因する問題に加えて、ベンダーロックインに対する懸念が導入の障壁となっているようだ。

「これらの障壁を乗り越えて製品が選ばれるための条件の1つに、サーバー仮想化への対応、特にマルチハイパーバイザーへの対応が挙げられる。また、IaaS、ファイアウォールやロードバランサー、侵入検知システムなどとの連携も欠かせない」（牛尾氏）

現在、IBMはSDNの稼働要件に「Unified」（様々なネットワーク仮想化技術の一元管理・制御）、「Open」（オープンスタンダードの推進・活用）、「Optimized」（多様なSDN関連技術や管理モデルを有効活用する全体最適化）の3つのキーワードを挙げている。また、対応するソリューションとして、「IBM SDN Virtual Environments（SDN VE）」ファミリーのOpenFlowスイッチやコントローラーをはじめ、オーバーレイ・コントローラーやユニファイド・オーバーレイ・コントローラーを提供している。

IBM SDN VE製品群は、マルチハイパーバイザー環境をサポートし、一長一短ある各種SDN技術を組み合わせてネットワークサービスのリソースを最適化する機能を提供する。例えば、SDN VEのOpenFlowコントローラーは、SPARTA（Scalable Per Address RouTing Architecture）により、OpenFlowネットワークのリソース特性を有効活用することが可能だ。また、構成変更の自動化に伴う迅速なデプロイメント、管理のシンプル化とTCOの削減といった効果をもたらすという。

SDN/イーサネットファブリックがサービス有効化までの時間を短縮

写真3：米国アバイア ワールドワイド・ソリューションズ・エンジニアリング担当バイスプレジデント ジャン・タージョン氏

ソチオリンピック／パラリンピックでネットワークインフラを提供した米アバイア。セッションには同社のワールドワイド・ソリューションズ・エンジニアリング担当バイスプレジデントのジャン・タージョン氏が登壇。SDNの進展がどのような世界を実現するかを紹介した。

従来型のデータセンターでは、新しいアプリケーションを展開するのに、サーバー管理者、ストレージ管理者、ネットワーク管理者、セキュリティ管理者といった各エキスパートが自身の領域を担当して行っていたため、数週間はゆうにかかっていた。

「これではビジネスに追従することはできない。必要なのは、SDNやエンドツーエンドなイーサネットファブリックである」（ダージョン氏）というのがアバイアの戦略だ。同社は2013年、こうした縦割り構造を打破し、数分でアプリケーションの展開を完了するためのシンプルな5つのステップとして「Avaya Software-Defined Data Center（SDDC）」フレームワークを発表した。デバイスごとの設定は不要で、エンドポイントの設定のみで済むため、ビジネスを支えうるスピードを確保できるようになるという。

先のソチオリンピックでアバイアは、複数に分散されたセキュアなネットワークを提供し、SDN技術の拡張性を実証した格好だ。具体的なサービスとして、タージョン氏はIPベースのテレビ中継配信を挙げて次のように説明した。「これまでのオリンピックでは、安定性や拡張性、リカバリー時間といった問題のため、外部のブロードキャストネットワークを使っていたが、マルチキャストのスケーラビリティのよさについてIOCに理解してもらい、今回初めて実現できた」

また、アバイアが実装したソチオリンピック公式の「ゲームネットワーク」サービスでは、同社が得意とするユニファイドコミュニケーション技術がふんだんに活用された。審判や運営スタッフ向けのIP電話やセキュアゾーンなどが会期中のネットワークインフラとして提供され、自動認証／プロビジョニングの仕組みで、どこにいても有線または無線に接続することを可能にした。運用もポリシーに基づいてほぼ自動化された。また、DMZを途中で別の建物にも拡張しなければならない自体が起きた時も対応できた。バンクーバーオリンピックの時には、それは不可能だったという。

さらに、最新のソーシャルネットワーキング技術が多用され、競技の結果が審判からアナウンスされるやいなや、すぐに公式のスマートフォン用アプリ上に反映されるといった、リアルタイムな情報発信がなされた。

このゲームネットワークには、開会式の1日だけでスタッフからのアクセス数が一気に4万まで達した。「例えば、皆さんが週明けに会社に出勤したとき、社内のネットワークにいきなり4万の新規ユーザーを迎えて、エラーを発生させずにアクセスさせることを想像すれば、これがどれほどすごいことがわかるだろう」（タージョン氏）

ProgramableFlowアーキテクチャとカテゴリごとの特徴

写真4：NEC ソリューションプラットフォーム統括本部 シニアエキスパート 宮永直樹氏

NECは、OpenFlowスイッチングコンソーシアム（当初に標準化を推進した団体。2011年からはOpen Networking Foundationが標準化を推進）の発足以前からOpen Flowに取り組み、2011年3月に世界初のOpen Flowベースの商用製品を発売した、この分野における代表的ベンダーだ。

セッションでは、同社ソリューションプラットフォーム統括本部 シニアエキスパートの宮永直樹氏が「事例にみるOpenFlowを用いたネットワーク仮想化のメリット」と題して、NECのスタンスとユーザーが享受するメリットを解説した。

SDNを可能にするネットワーク仮想化技術がここにきて注目を集めているのは、サーバー仮想化の本格的な普及があってのことである。複数の物理サーバー間でVMをマイグレーションさせるためにVLANを延長する場合、サーバー追加時やセグメント追加時に都度、VLANを設定しなければならず運用が大変になる。

「そこで、スイッチの集中管理の仕組みが必要になった。OpenFlowは、単なる“コンフィグ集中管理”ではなく、L2ネットワークの経路制御を集中管理して、VLANの設計・設定作業から担当者を解放するものだ」（宮永氏）

仮想化基盤の拡張ニーズやセキュリティ機構の複雑化から、ネットワークにはさらなる効率性、迅速性、運用性が求められるが、ユースケースごとに観点が異なっている。NECでは、ネットワーク仮想化のユースケースを「仮想化基盤」「データセンターネットワーク統合」「オフィスLAN」の3つに分類している。

宮永氏によれば、最もメリットが大きいのは、仮想化基盤での導入で、従来のサイロ型システムを仮想化基盤に統合した際、機器の台数やコストは2分の1から5分の1まで削減されるという。

「規模が大きく変更回数が多いほど、ネットワーク仮想化のメリットは大きい。メリットがある規模としては、当社の見立てではサーバー台数が300台以上、ネットワーク機器が50台以上が目安。ただし、すべてのシステムを闇雲に統合すればよいというわけではない点は注意されたい」と宮永氏。統合時のコツとして、「標準化を検討する」「IPアドレスがバッティングしても問題ない機器を採用する」「ファイアウォールやロードバランサーの統合も考慮する」「システムごとのセキュリティポリシーを考慮する」の5点を挙げた。

次にメリットが大きいのはデータセンターネットワークでの導入だという。従来分割されていたネットワークを統合することで、仮想化しない場合でも機器の台数やコストは4分の3から、最大で2分の1にまでなるという。また、シャーシ型コアスイッチを必要とせずにスモールスタート可能で、設置スペースや消費電力も削減できるという。コツとして宮永氏は、IPアドレスのバッティングを許容する機器を採用することのほか、可視化など運用性を向上させる機能を備えた機器を採用することを薦めた。

オフィスLANにおいては、STP（Spaning Tree Protocol）ループのトラブルがいまだに問題になっており、BYOD（Bring Your Own Devices：私物デバイスの業務利用）の流れもあってセキュリティの課題も増えていると指摘。そのうえで、ネットワーク仮想化はそれらの課題を解決できるとした。

「まず、OpenFlowはSTPを使用しないため、障害件数を大きく削減できる。また、LANの設定変更が容易になり、仮想ネットワーク上での認証機能を組み合わせると、セキュリティの向上と運用の自動化の両メリットが同時に得られる」（宮永氏）

NECのOpenFlowフレームワークである「ProgramableFlow」では、仮想ネットワーク間がセキュアに分離されるVTN（Virtual Tenant Network）という概念が特徴となる。同様の機能はVLANで実現できないわけではないが、それには非常に高いスキルが要求される。また、VTNは設定変更時に他システムに影響を与えない。宮永氏は「オフィスLANでの導入事例が増えたことからコントローラーの価格も下がり、OpenFlowのファブリックとしての完成度は上がっているので、ぜひ検討されてはいかがだろうか」と結んだ。