『IIJ GIOの裏側を語る』連載企画の第2回目です。

今回は「ネットワークの仮想化がもたらすメリット」について、IIJクラウド本部の田口がご説明します。

keisuk-t_01_150

執筆者の紹介

株式会社インターネットイニシアティブ
クラウド本部 クラウドサービス1部 部長
田口 景介

「第2回:ネットワークの仮想化がもたらすメリット」

前回はIIJ GIOインフラストラクチャーP2(以下「P2」)の全体像についてお話ししましたが、第2回から第4回にかけてはP2のパブリッククラウド要素を担うパブリックリソースのアーキテクチャについてお話ししたいと思います。

パブリックリソースとプライベートリソースは互いに補い合う、異なるアーキテクチャを採用しています。その特徴的なポイントにフォーカスしていきましょう。

今回取り上げるのはネットワークアーキテクチャについてです。クラウドのように大規模なマルチテナントシステムを支えるネットワークは、一般的な常識が通じない部分が少なくありません。

クラウドの設計とは、一般的な企業システムでは遭遇しえない様々な制約が立ちはだかる、“規模との戦い”なのです。VLAN ID数の上限であったり、スイッチにおけるMACアドレスの学習上限であったり、テナント同士の帯域のフロー制御であったり、その制約と課題は様々です。

P2パブリックリソースのネットワークを支えるSDN技術

P2パブリックリソースでは、全面的なSDN(Software Defined Network)の導入によって、こうした多くの困難な課題を克服しています。

もっとも、ネットワークがSDNにより仮想化されているかどうかをユーザーから認識することはありません。仮想マシン上のゲストOSからはeth0, eth1といったごく普通のNICが見えるだけです。エンドユーザーがハイパーバイザの先でテナントごとで固有のVLANに接続されていることも、さらにその先でVXLANによるオーバーレイネットワークが存在していることも知ることはできません。

それでは、ネットワークの仮想化がユーザーのメリットにつながっていないのかと言えば、そんなことはありません。P2の特徴的な仮想ネットワークがもたらすメリットは、ユーザーにも高性能、高可用性、高信頼性といった品質という形でお届けできているはずです。

ところで、一言でSDNを導入したネットワークといっても、確立した設計やプロトコルがあるわけではありませんから、実装によってその姿はさまざまです。

giolog_acr10

giolog_arc12

P2パブリックリソースのネットワークアーキテクチャは、いくつかの特徴的な構造を備えています。

  • 特徴1 物理L2面で構成されたゾーンをL3でスケールアウト可能なサイト設計
  • 特徴2 同一L2内では通常のVLANとして、ゾーンをまたぐトラフィックのみオーバーレイするハイブリッドな仮想化ネットワーク
  • 特徴3 高可用性と公平性を実現するHA構成の独立型VTEP
  • 特長4 複数サーバの可用性を保証するマルチグループネットワーク構成

ソフトウェアスイッチがもたらすメリット

なかでも最も特徴的なのは、VTEP(*1)がハードウェアスイッチでもなく、ハイパーバイザでもなく、独立したソフトウェアスイッチとして実装されていることです。このひと手間かけた構造が、多くのメリットをもたらしているのです。

(*1)Virtual Tunnel End Point:VXLANによるオーバーレイネットワークを終端する装置あるいはソフトウェア

まず、ハイパーバイザを通じて送出されたパケットは通常のVLANで構成されたネットワークに流され、宛先が同一ゾーン内にある場合はそれで完結します。

VTEPによってパケットがカプセル化されるのは、宛先が異なるゾーンに存在する場合だけでよいのです。小規模なシステムは全体が同一ゾーンに収まっている可能性が高いため、多くの場合ネットワークの仮想化によるオーバーヘッドを避けることができます。さらに、サイト全体での総VXLANトンネル数を減らすことになるので、VTEPの負荷軽減にもつながります。

こうして最小限のオーバーヘッドでネットワークの仮想化が実現しているのです。

シンプルな構造が品質向上につながる

このアーキテクチャは運用の容易さにも貢献してくれます。

もしVTEPが各ハイパーバイザに存在していて、すべてのトラフィックが仮想ネットワークを通るのならば、VXLANトンネルが数千台のハイパーバイザ間で無数に張られることになります。一方、P2の構造ではVTEP間だけでトンネルが張られるので、全体像を捉えるのは容易です。しかも、前述したように無用なトンネルはそもそも作られないので、サイト全体の規模がスケールしていっても、比例してトンネルの本数が増加するわけではありません。

システムの構造がシンプルであるということは安定的な運用につながり、またトラブルシューティングを容易にしてくれるため、結果的に品質の向上につながります。

ソフトウェアスイッチならではの柔軟な制御

さらには、ネットワークのフロー制御にも役立ちます。

例えば、一部のテナントで突発的にネットワーク帯域を必要としたとしましょう。P2全体としてはかなり余裕を持ったネットワーク設計がなされているので十分な帯域を割り当て可能だとしても、VTEPがボトルネックになれば他テナントへのネットワークリソースの割り当てに影響が出ることが考えられます。しかし、P2のアーキテクチャならばVTEPが独立型であることを活かして、必要に応じて柔軟にスケールアウトさせることが可能です。

また、必要ならば特定のテナントを専用のVTEPに隔離することで、公平にネットワークリソースを割り当てる制御が可能です。これは個々のテナントに快適なネットワークを提供するという面と、一部のテナントに過剰なネットワークリソースが消費され、他テナントへ影響が及ぶ事態を避けられるという面があり、双方でネットワーク品質の向上につながっています。

以上のように、P2の仮想ネットワークはVXLANという標準的な技術で実装されていながらも、独特のアーキテクチャを採用することで、クラウドという大規模なネットワークインフラを効果的に制御しているのです。


次回、第3回「自社開発に拘るクラウドオーケストレータ」では、引き続きP2パブリックリソースのクラウド制御の仕組みについて解説する予定です。

今後の連載予定

  • 第1回:サービスの共通基盤と全体像
  • 第2回:ネットワークの仮想化がもたらすメリット
  • 第3回:自社開発に拘るクラウドオーケストレーター
  • 第4回:無停止運用を目指したライブマイグレーション
  • 第5回:唯一無二のVMwareサービスが実現できる理由
  • 第6回:オンデマンドを実現するベアメタル制御
  • 第7回:オブジェクトストレージ設計上のポイント
  • 第8回:ナレッジが詰め込まれた運用管理システム
  • 第9回:クラウドサービスに対応した仮想回線基盤
  • 第10回:大規模インフラの安定運用
  • 最終回:IIJ GIOが目指す未来

先日、IIJ飯田橋本社にVMware社の最高経営責任者(CEO)パット・ゲルシンガー氏が来社されました!その模様をレポートいたします。

あの大物CEOがIIJにやってきました!

パット・ゲルシンガー氏といえば、ご存知の通り、米国インテル社で「80486プロセッサ」のデザインマネージャーとして同社の躍進を担った方です。最年少でインテル社のバイスプレジデントに就任しました。

その後、電撃的にEMC社に移って最高執行責任者(COO)となり、2012年に子会社VWwareのCEOとなり現在にいたります。

まさに世界のITをリードしてきた存在で、我々エンジニアにとっては伝説の人物といっても過言ではありません。

dscn0886
(IIJ社員の前で講話をするパット・ゲルシンガー氏)

IIJとVMwareの関係

IIJでは、VMware社の仮想化技術を用いたサービスを多くのお客様に提供しています。
特にご紹介するのが、IIJ GIOインフラストラクチャーP2プライベートリソースである「VWシリーズ」と、SDN/NFV技術を用いたクラウド型ネットワークサービス「IIJ Omnibusサービス」です。

前者はVMwareのESXiサーバとデータストア・管理サーバ・管理ネットワークをパッケージで提供するサービスです。vCenterを管理者権限付きで提供できるので、お客様のオンプレミスと同等のvCenter機能を利用可能なことが大きな特徴です。

また後者はサービス基盤にVMwareのNSXを採用しており、クラウド時代の新型ネットワークサービスとして、今後IIJの提供するサービスの中核となるものです。

「エンジニアと話す時間が大切」

パット・ゲルシンガー氏はVMware社のイベント「vForum 2016」に登壇した後、IIJ本社にご訪問いただき、勝(IIJ 代表取締役COO)と会談されました。

その後、場所をセミナールームに移し、IIJのエンジニアを集めてざっくばらんな講話とQ&Aに臨んでいただきました。ご自身の経歴を紹介しつつ、今までVMwareが担ってきたコンピューティングの仮想化から、今後はSD-DC(Software Defined Data Center)をより一層進めていくといった将来のビションを語られました。

パット・ゲルシンガー氏が、「CEOとなり経営に関する仕事が多忙のため、なかなか開発の現場に出られない。だから、こういったエンジニアの皆さんとお話する機会をとても大切にしている」と話されたことが、非常に印象に残っています。

IIJエンジニアからは、VMwareがAWSとの提携を発表したことによる、今後のパートナーシップのあり方など鋭い質問が飛びました。しかし、終始IIJを始めとする日本の通信事業者との関係の重要さを強調され、丁寧にビジネス方針を説明していただきました。

講話の後は、にこやかに集合写真にも応じてくれました!

dscn0892
(IIJエンジニアに囲まれるパット・ゲルシンガー氏)

今後もIIJとVMwareは、強力なパートナーシップのもと、先進的なサービスを提供してまいります。

(GIOろぐ編集事務局)

こんにちは。サービス企画部の鍋倉です。

今月もIIJ GIOアカデミーを開催します。11月24日(木)には、IIJ本社(東京)、IIJ関西支社(大阪)の2か所で同日開催予定です!

東京のテーマは、2018年5月25日よりEUで施行される個人データ保護法(GDPR)です。法律の概要から、日本企業が取るべき具体的なIT対策とIIJ GIOを利用した有効なソリューションについて紹介します。
一方の大阪では、「IIJ GIOストレージ&アナリシスサービス」をファイルサーバー用途に適合する新たな取り組みと、企業ネットワークを仮想化しクラウド上で提供する「IIJ Omnibusサービス」をご紹介します。

ぜひお気軽にご参加ください。

それでは今月も、IIJ GIOのリリース・アップデート情報をお届けします。

2016年10月のIIJ GIOサービス更新情報

IIJ GIO統合運用管理サービス

リリース日: 2016/10/3

ジョブ管理サービス リリース

ジョブ管理サービスは、お客様ITリソースのジョブ(プログラムやバッチ処理の起動・終了制御)を自動定型化し、24時間365日実行・監視する機能を、SaaSとして提供します。

一定の周期で実行するジョブから、特定のイベント発生により実行するジョブまでさまざまなジョブを自動化できます。大量のジョブを自動化することで、お客様ITリソースの日常的な運用業務にかかる負荷を大幅に削減することが可能です。

giolog_201610_1

ジョブ管理サービスでは低価格な2つの管理メニューをご用意しました。

  1. 共用ジョブ管理
    • お客様共用のジョブ管理マネージャをご提供します。
    • 弊社指定日時でサービスメンテナンスを実施します。
    • 初期0円 月額1.5万/月 (台)
  2. 専用ジョブ管理
    • お客様専用のジョブ管理マネージャをご提供します。
    • 弊社指定候補日からサービスメンテナンス日時を選択いただけます。
    • 初期0円 月額2.5万/月(台)

また、監視サービスのエンハンスも行っています。

  1. UOMポータル
    • チケット機能
    • 簡易設定機能
  2. 電話連絡機能
    • 連絡先カレンダー登録機能
  3. API
    • WEB UIと同等の機能をもつAPI提供

IIJ GIO統合運用管理サービスは、IIJ GIOインフラストラクチャーP2を始めとするクラウドサービスや、お客様のオンプレミスシステムなど、様々なシステムでご利用いただけます。
IIJ GIO統合運用管理サービスの詳細については、弊社営業担当またはWeb問い合わせフォームまでお問い合わせください。

IIJ GIOインフラストラクチャーP2

リリース日: 2016/10/13

「Attestation Standard Section 801(以下AT801)」に準拠したSOC1 Type1報告書 受領

IIJ GIOでは、以下のサービスにおいて、AT801に準拠したSOC1報告書を受領しています。

  • IIJ GIOコンポーネントサービス(Type2)
  • IIJ GIO統合運用管理サービス(Type2)
  • IIJ GIO仮想デスクトップサービス(Type2)
  • (IIJ GIOのコンプライアンス・セキュリティに対する取り組みは、こちらをご参照ください)

これらに加え、今回IIJ GIOインフラストラクチャーP2において、「Attestation Standard Section 801(以下AT801)」に準拠したSOC1報告書を、2016年10月13日付で受領しました。

この度受領したSOC1 Type1報告書は、IIJ GIOのサービス運営に関わる内部統制の仕組みがあることが保証される、基準日時点のデザインの評価報告書となります。なお、今後は特定期間を通じたデザイン及び運用状況の評価したSOC1 Type2報告書の受領を目指して準備してまいります。

また、クラウドセキュリティという観点では、今年度中にセキュリティや可用性に係る内部統制を対象としたSOC2報告書の受領、および「ISO/IEC27017(※1)」クラウドセキュリティ認証の取得を目指して準備を行っています。

  • (※1)ISO/IEC27017:国際標準化機構(ISO)および国際電気標準会議(IEC)より2015年に発行されたクラウドサービスの提供及び利用に関する情報セキュリティ管理の国際規格。

(参考)AT801とは?

「AT801」とは、アメリカ公認会計士協会(AICPA)監査基準委員会公表の Statement on Auditing Standards No.70 “Reports on the Processing of Transantions by Service Orizations” (SAS70) に替わる、 「AT section 801, Reporting on Controls at a Service Organization 」 に基づいて受託会社監査人が提供する保証業務のことです。
「AT801」は以前SSAE16(Statement on Standards for Attestation Engagements No.16)(※2)と呼ばれていたものを改定した内容です。
「AT801」に準拠したSOC1報告書とは、AICPAが定めた、アウトソーシングサービスなどの受託業務を行う会社の財務報告に係る内部統制の保証報告書となります。

  • (※2) SOC1/SOC2報告書とは何か?といった詳細な内容について、過去に当ブログに投稿しています。合わせてご覧ください。

IIJは今後ともセキュリティに配慮し、安全で便利に利用いただけるクラウドサービスを提供してまいります。

(クラウド本部 サービス企画部 鍋倉)

今回から新たな企画となる『IIJ GIOの裏側を語る』がはじまります!

約10回にわたり、IIJのクラウドサービス「IIJ GIO」の安定稼働を支える裏側の仕組みや技術を、各サービスの開発者や基盤を運用しているエンジニアが解説します。

サービスのコアな話に入る前に、第1回は「サービスの共通基盤と全体像」について、クラウド本部の立久井がご説明します。

iij_tachikui_150

執筆者の紹介

株式会社インターネットイニシアティブ
クラウド本部長
立久井 正和

サービスの共通基盤と全体像

こんにちは、IIJでクラウド事業を担当している立久井です。

IIJ GIOでは、特徴の異なる複数のサービスメニューを共存させながらまとめて運営しています。この運営に必要な要素を表したものが、「図1 サービス共通基盤と全体像」です。

%e5%9b%b31

図1の下部は、データセンターとバックボーンネットワークを示しています。

IIJにはバックボーンネットワークに直結するデータセンターが国内21カ所にありますが、IIJ GIOでは東西に分散された従来型のデータセンターに加え、消費電力抑制やソフトウェア制御などの先進的な技術開発を進めているコンテナ型データセンターも使っています。

また、IIJは国内最大規模のバックボーンネットワークを持っています。これを利用してクラウドのプライベートネットワーク(閉域)のための仮想回線基盤を作っています。このように、大規模インフラの運用技術においても、IIJは大きな強みを持っています。

オーケストレーターとバックオフィスシステム

図の左上のオーケストレーターは、リソースの割り当てや構成/在庫の管理などの自動化を担っています。
これによってプライベートリソースのような機器単位で提供するようなメニューであってもオンラインで構成変更ができるようになっています。

また、オーケストレーターはサービス毎に自社開発していますが、お客様の契約や請求、及びIIJ内の会計処理などを担うバックオフィスシステムは全社で共通化され、それぞれのオーケストレーターとバックオフィスシステムはn:1でAPI連携しています。20年以上の実績を持つバックオフィスシステムも自社開発です。

IIJのクラウドサービスを支える組織基盤

次に、図1の左下のサービス運営には、「セキュリティ」「サービス基盤運用」「サービスサポート」を担う組織があります。

セキュリティ対策は、IIJ社内にCSIRTの組織であるIIJ-SECTを持ち、設備やサービスを対象としたサイバー攻撃への緊急対応を行っています。さらに、コンプライアンス対応として、内部統制の有効性を評価する保証基準であるAT801(SSAE16)を取得しています。

サービス基盤運用は、サービス内部のオーケストレーターの運用、及びお客様に提供するサーバやストレージといったインフラの運用を行っています。サービスサポートは、お客様からの問い合わせのディスパッチを行っており、ご利用中のお客様に24時間365日で高品質なサポートを提供する体制をとっています。

様々なサービスと連携できます

図1の右に示すように、IIJが持つIIJ GIO以外のサービスとの連携が可能になっています。例えば、SDN/NFVでは他社クラウドとの閉域網接続を可能にしたり、セキュリティではメールセキュリティやwebセキュリティのサービスとの連携することで、IaaSレイヤのサービスであるIIJ GIOを補完することができるようになっています。

以上が、IIJ GIOを運営するためのインフラ基盤や組織の全体像です。規模の大きいバックボーンネットワークやバックオフィスは共通化していますが、一方でオーケストレーターやお客様に提供するリソースのように柔軟性や最新技術へのキャッチアップが重要視されるような部分は、サービス毎に個別に開発しています。これらをAPIでうまく連携することで全国規模のインフラの安定稼働と先進性のバランスを取っています。

ネットワークの全体像

続いては、ネットワークの全体像についてご説明します。

IIJ GIOインフラストラクチャーP2(以下、IIJ GIO P2)のネットワークは、各リソースの特徴に合わせて設計され、それぞれ分離された構成になっています。
「図2 IIJ GIO P2のネットワーク構成」をご覧ください。

%e5%9b%b32

それぞれのリソース間をプライベートバックボーンにより相互接続することにより、お客様毎の独立性を保ちつつ一つのシステムとして利用できるようになっています。

また、ネットワークをリソース毎に分離し、プライベートバックボーンにて接続する方式をとることにより、新たなサービスメニュー(リソース)が追加されても同じ方式でサービスが拡張できるようになっています。

2つのネットワークの特徴

各リソース毎に特徴のあるネットワーク設計の例として、2つの代表的なリソースである、パブリックリソース・プライベートリソースのネットワークを簡単に説明します。

パブリックリソースは、様々な種類の仮想サーバを提供するため、ネットワークは柔軟性と拡張性を重視した作りになっています。L3ネットワークで構成され、必要に応じてVLANとVXLANの技術を使い、お客様毎に独立した内部ネットワークを構成できるようになっています。

プライベートリソースは、自社でプライベートクラウドを構築してきた企業向けのため、堅牢性とパフォーマンスを重視した作りになっています。シンプルなL2ネットワークでHWサーバ単体のパフォーマンスを発揮出来る帯域を備え、お客様ごとにVLANIDを分けることで堅牢性を保っています。また、内部のIPストレージとの接続もフレームのロスによるパフォーマンスの低下が起きにくい工夫もされています。


IIJのクラウドサービスの全体像をイメージいただけたでしょうか?

次回、第2回「ネットワーク仮想化がもたらすメリット」では、IIJ GIOで使われているSDN技術について解説します。

今後の連載予定

  • 第1回:サービスの共通基盤と全体像
  • 第2回:ネットワークの仮想化がもたらすメリット
  • 第3回:自社開発に拘るクラウドオーケストレーター
  • 第4回:無停止運用を目指したライブマイグレーション
  • 第5回:唯一無二のVMwareサービスが実現できる理由
  • 第6回:オンデマンドを実現するベアメタル制御
  • 第7回:オブジェクトストレージ設計上のポイント
  • 第8回:ナレッジが詰め込まれた運用管理システム
  • 第9回:クラウドサービスに対応した仮想回線基盤
  • 第10回:大規模インフラの安定運用
  • 最終回:IIJ GIOが目指す未来

こんにちは。IIJ GIOアカデミー事務局です。
2016年10月に開催したプログラムをレポートします。

10月13日 パブリックなクラウドのサービス解説 ~めっちゃ詳細版~ (IIJ サービスプロダクト事業部 岸本)

「サービス解説~めっちゃ詳細版~」シリーズ。8月に行った第1弾はIIJ GIOでVMwareを活用したサービスがテーマでしたが、第2弾は仮想マシン単位で提供するパブリックリソースをフォーカスし、特長や仕様など、最適なパブリッククラウドを選定するためのポイントをご紹介しました。

iij_kishimoto

まずは「IIJ GIOインフラストラクチャーP2」のサービスコンセプトや全体像、パブリックリソースの特長をご紹介。IIJ GIO P2の基礎をご理解いただきました。

次に、パブリックリソースについてめっちゃ詳細にご紹介!今回は普段お見せしないサービスシステム構成図を使った説明や仮想サーバやOS、ストレージ、ネットワークなどの仕様をお話ししました。

パブリックリソースのここだけは外せないポイントは、

  1. オンラインからユーザセルフでメニューの払い出しができる
  2. 従量課金タイプと固定課金タイプを切り替えながら利用できる
  3. API活用でサーバ設定やスケールアウトなどを自動化できる

以上の3点です。

8月に続き、多くの質問をいただき充実した時間となりました。「IIJ GIOインフラストラクチャーP2」についてちょっとした質問をお持ちの方は「かんたん質問フォーム」までお問い合わせください。サービス担当者が直接回答させていただきます!

10月26日 ハンズオンで学ぶ!IIJ GIOインフラストラクチャーP2 in 九州 (IIJ サービス推進部 南)

こんにちは。サービス推進部の南です。

私がGIOろぐに初登場したのが、GIOアカデミー一般公開の記念すべき第1回だったのですが、気づけばもう11月・・・はやくも半年が過ぎました。クラウド業界やIIJにとってホットな話題を毎回様々な視点でお話ししていますが、何度も参加される方も増えてきており、皆様には高い評価をいただいています。

主に東京本社での開催ですが、名古屋・大阪・福岡などから地方開催の要望をいただきまして、9月には名古屋、そして今回は福岡での開催となりました。

記念すべき福岡での第1弾は、IIJの最新クラウドサービス「IIJ GIOインフラストラクチャーP2」のサービス紹介とハンズオンでした。実は第1回で私がお話しした内容と同じです・・・が、もちろん内容はかなりパワーアップしています!

前半のサービス紹介では、昨今のパブリッククラウド事情なども交えながら、どのようにIIJ GIOを活用できるのかということに焦点をおいてご説明しました。皆さん非常に熱心に耳を傾けてくださったので、私も力が入ってしまい、予定より喋りすぎてしまいました。

後半はIIJのクラウドサービスを実際に体感いただくハンズオンです。ブラウザから利用できるコントロールパネルを使用し、サーバの契約や設定など一連の操作を体感いただきました。

合計2時間という短い時間でしたが、非常に有意義な時間になったかと思います。
次は、私の地元(に近い)大阪でも実施したいと思います!お楽しみに♪

11/16(水)のDELL EMC FORUM 2016 TOKYOにIIJが出展します。
私もブース対応をしておりますので、ぜひお立ち寄りください!

<お問い合わせ先>

今回の記事についてご不明点・ご質問がございましたら、IIJ GIOアカデミー事務局(gio-part-info@iij.ad.jp)までお気軽にご連絡ください。

(IIJ GIOアカデミー事務局)