VMware NSX Portal | 番外編1現場で活躍するSDN担当者による座談会(前編)
SDN最前線~価格差を逆転!総合提案と運用の効率化~
11月24日に、ネットワールドのNSX担当の営業、マーケ、SEが集まって、NSXの提案と導入について考える座談会を開催しました。
SDNのメリットとしては、VXLANによるオーバーレイ化、L2延伸、クラウド接続、セキュリティなどが挙げられますが、かえってたくさんありすぎて、実際の現場では、どのように提案したり導入しているのか、よくわからない人もいるのではないでしょうか。
今回は、NSX担当で現場を駆けずり回っているSE、営業、マーケを集め、その本音に迫っていきます。
出席者の紹介
SE 松野
ネットワールド SI技術本部
2017年はクラウドやHCI等、数々のNSX案件を経験。石橋は叩きまくって渡る、陽気なネットワークエンジニア。
営業 山田
ネットワールド 営業本部
仮想化やバックアップの販売支援が主なミッション。関西出身で、マンガSDN講座で自身が標準語なのが少し不満。
マーケティング 竹内
ネットワールド マーケティング本部
NSXの販促企画や提案支援、プリセールスなどを担当。NSXポータルの更新ネタを常に探している。
マーケティング 松尾
ネットワールド マーケティング本部
NSXポータルの運営や企画、Webマーケティングを担当。マンガSDN講座の編集長として、PV数チェックに余念がない。
竹内それでは、皆さん、よろしくお願いします。
一同よろしくおねがいします!
竹内まずは、NSXを実際導入されたとき、どのような理由で導入されるのでしょうか。
導入から運用までを幅広くサポートしているエンジニアの松野さんに聞いてみたいと思います。
松野えー、いきなりですか!
今、お付き合いしているお客様は、自社のクラウドサービスの展開にあたって、オンプレと同じように利用できるクラウドサービスを提供するため、NSXのL2延伸を活用しています。
竹内それはつまり、NSXだとクラウドサービスを提供しやすくなる、ということですか?
松野そうですね、たとえば、NSXの「Cross-vCenter NSX(下図)」だと、いくつかのデータセンターをつなげても、メインの管理画面で全部操作できますよ・・・みたいな感じでご説明すると、関心を持って頂けるお客様が多いです。
ネットワークの運用は非常に手間がかかりますので、データセンターの集中管理というのは大きなメリットですね。
VMware NSX の「Crosss-vCenter NSX 」によるDRサイトのメリット
NSXでDRサイトをつくるときの注意点は?
松尾それはどんなクラウドサービスなんですか?
松野DRを目的としたサービスです。
クラウドサービスをDRで使うと色んな問題がでてきて…。
たとえば、IPアドレスを書き換えるときに、アプリケーションによってはIPアドレスを書き換えると使えなくなってしまいます。
そういうときに、ネットワークをL2延伸できると楽ですね。
山田私が担当したお客様でも、「NSX Edge」 の「L2VPN」をDRで使うことで、目標復旧時間を短縮できたという案件がありました。
そのお客様はサイトを2つ持っていて、普段は本番環境・開発環境という形で利用しています。
今は、NSX Edgeを使って、本番環境で何かあったら、システムをそこに避難させましょう、という運用にしています。
L2VPNによるDR
竹内メリットを説明していただきましたが、逆にNSXの導入で何か困ったことはありましたか?
松野NSXのL2延伸には、「L2VPN」と「Cross-vCenter NSX」の大きく二つの方法がありますが、実は「Cross-vCenter NSX」はVXLANでL2延伸を行うため、MTUサイズがネックになることがあります。
それでこの前、この問題が発生して焦りました。L2VPNの延伸であれば、この問題は起きませんから…。
松尾試験の時にはその問題はわからなかったのでしょうか?
松野pingの疎通テストはうまくいっていましたが、なぜかアプリケーションがうまく動作しませんでした。
切り分けていくと、あるアプリケーションの通信のMTUサイズをアプリ側で変更する予定が、実はなっていなかったことが原因でした。
新規でSDNを導入するときには大丈夫だと思いますが、既存のネットワークに導入するときには、MTUサイズ問題は要注意ですね。
Cross-vCenter NSX のメリット
松尾じゃあ、「Cross-vCenter NSX」のメリットはどんなことが挙げられますか?
竹内それは、設定の同期が最大のメリットだと思います。
ユニバーサル分散ファイアウォールという機能が使えるので、メインサイトで作った分散ファイアウォールのセキュリティ設定を、そのままコピーでDRサイトの仮想マシンに適用できる。
つまり、「Cross-vCenter NSX」 で作った仮想マシンは、どこのDRサイトに移動しても同じセキュリティ設定が適用されて一元管理ができるところが便利ですね。
山田ストレージのレプリケーションも考慮した上で、Active-Activeのマルチサイトを構築することができることも大きなメリットですね。
例えばオンプレミスのサービスにユーザーアクセスが急増したときに、クラウドに通信を流してオンプレ環境を守る。
物理ネットワークの場合はそういった切替作業がかなり大変ですが、SDNなら対応しやすくなります。
松野ただ、ユニバーサル分散ファイアウォールは、通常の分散ファイアウォールに比べて機能が少ないところが気になりますね。
通常の分散ファイアウォールは、仮想マシン名や、クラスタ名、データセンター名やvCenterのリソースを使って対象を指定することができるけど、ユニバーサル分散ファイアウォールはIPアドレスで指定するしかない。
この辺が、今後のバージョンアップで改善されると、もっと使いやすい機能になるんだけど…。
竹内「Cross-vCenter NSX」 はパッと見ものすごく便利な機能ですが、お客様の環境やネットワークを考えると、必ずしもベストな方法ではない場合があります。
どの方法でL2延伸をするか、考慮すべきポイントは何かということを踏まえて検討することが重要です。
マーケ竹内がアドバイス!
L2延伸、どちらを選ぶ?
「Cross-vCenter NSX」と「NSX Edge L2VPN」
Cross-vCenter | NSX Edge | |
---|---|---|
仮想マシンの別ロケーションへの移行 | ○ IPアドレス変更なしで移行可能 | ○ IPアドレス変更なしで移行可能 |
Active-Active構成 | ○ 可能 | × 未対応 |
複数データセンターの管理 | ○ 1つの管理画面で設定が可能 | × 各データセンターごとに管理 |
セキュリティ設定の同期 | ○ ロケーションを変えても、設定が引き継がれる | × ロケーションを変えると、再設定が必要 |
MTUサイズ | △ 制限あり | ○ 制限なし |
必要なライセンス | NSX Enterprise | NSX Enterprise |
お客様の環境や将来の展望によって、
どちらがいいかが変わってきます。
ぜひ、ご相談ください!
NSXのDRサイトは、Active-Activeがおススメ
松尾その他に、NSXでDRサイトをつくるメリットってありますか?
山田やっぱり、Active-ActiveのDRサイトを簡単に作れるってのが、大きなメリットだと思います。
例えば、これはDRサイトとはちょっと違う例ですが、ゲーム会社様でスマホゲームや何かシステムを運用していると、ユーザーが急に増える場合とかに使えますね。
松野そうですね。その場合、普段はオンプレミスでサービスを提供していて、ユーザーが急増したときに、クラウドにアプリを展開して、そこに通信を流す。
急増するアクセスを直接クラウドにつなげて、オンプレ環境を守る。
「Cross-vCenter」ならそういうのが簡単にできるところがいいんです。
というのは、物理のネットワークだと、切替作業がかなり大変なんですよね。
竹内Active-Activeだからこそ、NSXを選ぶ価値があるんですね。
私が知っているお客さんでも、絶対止められないシステムがあるからNSXを導入してるってのがもありましたね。
松野それに、Active-Activeはメンテナンスもやりやすいんです。
メンテナンスしたいけど仮想マシンを止めると嫌がられるってこと、結構あるんですよね。
NSXは高い?
松尾DR以外では、他にどんな引き合いが多いでしょうか?
山田セキュリティ対策で、NSXの話がでてくることが多いですね。
やっぱり、マイセグ(マイクロセグメンテーション)はセキュリティソリューションとして非常に分かりやすいです。
VDI向けのNSXライセンスは最小10ユーザーから購入できますし、最近はデスクトップ仮想化の案件にはセットでご提案するケースが非常に多いです。
松野私も、NSXとトレンドマイクロのDeep Securityでのセキュリティ案件は構築もしたことありますね。
ただ、マイセグの話になったときに、『NSXって高いね』と言われてしまうケースが多くないですか?
山田私の場合は・・・、NSXは高いなりの理由がありますと答えます!(きっぱり)
一同おお、かっこいい!
山田セキュリティ単品であれば価格の安い製品は沢山ありますので、NSXをしっかり評価してもらうために、セキュリティにプラスしてネットワーク全体の話をしていきます。
たとえば、ロードバランサーも仮想化すればそこに予算かけなくてよくなることや、ネットワーク管理の自動化で運用コストを下げられることなど、初期投資コストと運用コストの両面を踏まえてご提案します。
松野運用面でいえば、NSXはvSphere Web Clientと同じ操作性になっています。
仮想マシンを作成するのと同じ要領でセキュリティを払い出せるのが、現場では一番喜ばれているのではないでしょうか。
セキュリティ製品は世の中にごまんとあるけど、結局それらの使い方を習熟しないと使えないし、操作するのにいちいち別々の管理画面に入らなきゃいけない。
これが案外面倒くさい、実際。
竹内社内システムでテナントを頻繁に作成していて、仮想マシンを作る、ネットワークをつくる、セキュリティを設定するという作業が一元的に行えるから、結果的に管理工数がかなり削減できたと仰っていたただいた案件もありました。
テナントのネットワークとNSXの相性は良くて、GUIから『ぽんっ』とサービスを払いだすことで、ネットワークとセキュリティの設定を自動化することも可能です。
営業山田がアドバイス!
セキュリティ提案時のツボ!
ポイント | 説明 |
---|---|
NSXは高い? | セキュリティ単体の機能だけで見ると、SDNよりも安いソリューションはたくさんある。 しかし、セキュリティ単体の機能だけで本当に良いかを確認! ロードバランサーなど他機能と合わせた総合的な提案にすることで、結果として初期コストを安くすることも可能。 |
運用面では大きなアドバンテージ | 仮想環境のセキュリティ設定は、NSXが圧倒的に楽!自動化機能も使えば、さらに運用コストを大幅にダウンすることが可能! |
教育は最小限 | セキュリティ設定は仮想マシンを作るのと同じ要領で設定することが可能。 仮想化システムを扱ったことがあれば、新たな教育コストはごくわずか。 |
仮想マシン作るのと同じ感覚で
セキュリティを払い出せるのは、
すごく楽なんだ!
■VMwareのサーバー仮想化にはNSXがイチバン!
松野そうそう。
NSXは、サーバーを仮想化したことで発生した問題を解決するという側面もありますね。
サーバー仮想化によって仮想マシンをどんどん作れるようになると、ネットワーク側がついていけなくなって問題化したんです。
だから、極端に言うと、サーバー仮想化によって発生した問題を解決するためにも、NSXが必要ってことですね。
竹内仮想化で困っているお客様には、やっぱり仮想化を作ったメーカーの製品が一番楽に解決できると思います。
なので、vSphereのユーザー様は、運用面も重視して是非一度NSXを検討して頂きたいです。
松尾そうなってくると、『NSXでコスト削減』というお話もしやすそうですね。
松野そうなんですが、日本は運用側に決裁権がないことが多いですね。
決裁権を持っている経営側は、どうしてもイニシャルコストを重視する傾向が強い。
竹内運用側の業務が効率化されれば、残業も減るし、間違いなくコスト削減につながりますよね。
これこそ働き方改革ですね!
・・・NSX談義もだんだんヒートアップしてきましたが・・・・。