前回は、SDNが必要とされるに至った背景や具体的な課題、そしてそれらを解決するためのSDNの大まかなコンセプトについて紹介した。SDNが注目を集めるようになった背景には、仮想化やクラウドといった技術が普及した結果、ネットワークの運用がITの柔軟性や拡張性の足かせになってきたという事情がある。そして、こうした課題を解決するには、アプリケーション要件の観点からネットワークを制御できる新たな技術やコンセプトを導入する必要がある。詳しくは前回の内容を参照いただきたいが、今回からはより具体的に「では、SDNがこうした課題を解決するにあたり、どのような技術やソリューションが求められるのか」について、順を追って解説していきたい。

具体的に説明しよう。アプリケーション要件の観点からネットワークを制御するということは、インフラそのものに携わらないビジネスオーナーやアプリケーション担当者は、アプリケーションを稼働する観点からインフラ担当者へ要件(可用性、セキュリティ、性能、キャパシティなど)だけを伝えればよいということだ。

アプリケーション担当者は、「インターネット経由で機密情報を含むアプリケーションを提供したいので暗号化を施す必要がある」「24時間365日のサービス提供が必要なので、ダウンタイムなく機能拡張できる必要がある」「最大で秒間1万人が利用できる性能が必要だ」といった、アプリケーションが業務要件を満たすためのリクエストを発行すればいい。そのリクエストを実現するためのITリソースの調達と設定、例えば仮想サーバの立ち上げや設定、ストレージ領域の確保、ネットワークの構成といったインフラの作業は、すべてソフトウェアを介してシステムが自動的に実行してくれる。

図1 アプリケーションのインフラ要件とオーケストレータ/SDNの位置付け

ちなみに、こうしたリクエストを受け付け、ITインフラ全体のリソース制御や管理を行うソフトウェアは、「オーケストレータ」や「クラウドOS」と呼ばれている。オープンソースの「OpenStack Heat」や「AWS CloudFormation」、「VMware vCenter Orchestrator」などといった製品がこれに該当する。SDNはオーケストレータが管理するネットワーク領域に位置しており、オーケストレータからSDNコントローラ(ネットワーク全体を見渡し、集中管理して制御するソフトウェア)がリクエストを受けて、ネットワークリソースの各種制御や管理を実行する。このようにSDNは、それ単体で何かを実現するというよりは、アプリケーションが稼働するインフラ全体の中でネットワーク領域を担うという位置付けだ。

図2 一般的に考えられているSDN - ネットワークを迅速かつ柔軟にどう「つなぐ」のか?

図3 F5が提案する理想的なアーキテクチャ : Software-Defined Application Service

L4-7の観点が抜け落ちていては成り立たないSDN

さて、ここまでアプリケーションのためのネットワークインフラという観点から、SDNとそれを構成する個々の要素技術の位置付けを簡単に説明してきた。しかし実のところ、現時点ではSDNの本来の目的である「アプリケーション視点でのネットワーク」は、残念ながら、まだ実現にはほど遠い状態にある。というのは、現在、製品化や試験的な検証やサービスが進められているSDNコントローラやOpenFlow、VXLANといった技術は、すべてネットワークの接続性を提供する主にL2-3に属する技術だからだ。

L2-3は、いわゆる「データリンク/ネットワーク層」と言われるレイヤのプロトコルで、データフレームやパケットを宛先に届ける役割を果たす。簡単に言えば「ネットワークをつなぐ」ための技術である。一方、ユーザーに安全かつ安定し、快適にアプリケーションが使える環境を提供するためには、単につながっただけのネットワーク機能では不十分である。

例えばアプリケーションの安全な利用環境を実現するには、セキュリティ上の脅威からユーザーやアプリケーションを守るための対策が必須だ。それも、すべてのアプリケーションに一律に同じ対策を適用するのではなく、個々のアプリケーションに適した対策が必要である。社内ネットワークに閉じて運用されているアプリケーションならばそれなりの対策を、あるいはインターネット上に公開しているアプリケーションならばFWやWAFを含めた高度なセキュリティ対策を、さらにパートナー企業が利用するアプリケーションならばユーザー本人確認やデバイスの特定が必要、といった具合である。

こうした対策を実施するのはL2-3の役割ではなく、F5ネットワークス 「BIG-IP」などADC(Application Delivery Controller)に代表されるL4-7(アプリケーション層)のレイヤーで実装されるものだ。従って、アプリケーション視点でのネットワーク管理を実現するには、L4-7の技術の活用が不可欠だと言える。

しかし、これまで説明してきたように、現在、製品化や実装が進んでいるSDNはL2-3が主流であり、L4-7のものはまだまだこれからというのが実情だ。そのため、クラウドやSDNに積極的に取り組んでいる先進的な企業であっても、サーバやストレージ、L2-3ネットワークの設定・構築は高度に自動化できていても、L4-7の設定には人手で1~2カ月間を要してしまい、結局はクラウドやSDNの最大のメリットである「迅速性・柔軟性」が帳消しになってしまうケースが散見される。

ちなみに、F5ネットワークスでは業界でいち早く、こうしたSDNにおけるL4/L7技術の重要性に着目し、他社に先駆けてさまざまな技術や製品の開発・提供に取り組んできた。そこで次回からは、そうした技術や製品の紹介を通じて、真にあるべきSDNの姿を徐々に明らかにしていきたいと思う。

関連記事
【連載】エキスパートに聞く ロードバランサ最前線
【レポート】138万円から購入可能なBIG-IPが新たに登場

DDoS攻撃やアプリケーションへの巧妙な攻撃に有効な《BIG-IP》

既存のファイアウォールに、大量のアクセスを安心して託せますか?
詳しくはこちら
http://www.f5networks.co.jp/solution/topics/inbound_firewall/