通常、仮想化環境では1台のハードウエア上でいくつもの仮想マシンを稼働させる。このため、仮想サーバーが動作するマシンと物理的につながったLANには、それぞれの仮想マシンの通信が混在して流れる。
重要なのは個別の仮想サーバー、もっと言えばアプリケーションなどの単位でのトラフィック、個々の仮想マシンの稼働状況などを把握すること。基本的に、仮想化ソフトのベンダーが提供する専用管理ツールを利用するか、各仮想化ソフトとAPI連携するサードパーティーの管理ツールを使う必要がある。現状で仮想化ソフトでは最も管理手法が充実している、ヴイエムウェアの「VMware ESX/ESXi」の仕組みを中心に解説する。
仮想スイッチの理解が第一歩
ヴイエムウェアの齋藤康成ストラテジックアライアンス テクニカル アライアンス マネージャは、「仮想ネットワークの仕組みを理解することが、仮想化環境における見える化の第一歩」と話す(図2-1)。同社が提供するハイパーバイザーであるVMware ESX/ESXiの内部には、仮想スイッチと仮想化マシンで構成されるネットワークがある(図2-2)。仮想マシンを作ると、自動的に仮想的なLANポート(仮想NIC)が設けられ、仮想MACアドレスが設定される。ここで「ポートグループ」という項目のパラメーターを設定すると、仮想NICが仮想スイッチに接続される。
仮想スイッチは機能的にはレイヤー2スイッチで、仮想マシンを収容するための仮想ポートと、物理NICに接続するためのアップリンクポートを備える。つまり仮想マシンから見ると、仮想NIC→仮想スイッチのポート→仮想スイッチのアップリンクポート→物理NIC→物理LANスイッチ(トランキングポート)と接続される。
仮想NIC、仮想スイッチのポートは、複数を組み合わせるチーミングなども可能。セキュリティを確保するためにネットワークを論理的に分けたければ、前述のポートグループごとにVLANの識別番号を付与することで、タグVLANに対応できる。タギングとアンタギングは、仮想スイッチで実施する。
ただし、ハイパーバイザーは物理マシンの状態をSNMPトラップとして送信できるが、仮想スイッチのトラフィックまでSNMPで取得することはできない。このためサーバーが外部とやり取りするトラフィック量の変化はつかめても、どの仮想サーバーが原因なのか、詳細をつかみにくい。また仮想スイッチで折り返す仮想マシン間通信もLAN側では把握できない。一部の仮想サーバーへの通信ができなくなっても、外から見ただけではその現象をつかめない。
