お問い合わせ

記事

「前任者が辞めて、ネットワーク運用が辛すぎるんですが......」 アイティメディアの"ほぼ一人情シス"が聞いた、その解決策とは?

  • VCN
  • 運用効率化
  • セキュリティー強化
  • セキュリティー

後編:ネットワーク運用のツラさは「仮想化して細分化」で解決
既存構成のまま導入できる「VMware NSX」

「前任者が辞めて、ネットワーク運用が辛すぎるんですが」。こんな悩みを正直に打ち明けたアイティメディアの情シス淺野氏。
そんな淺野氏に対し、ヴイエムウェアの中本氏が出した答えは......?

サーバの面倒も見ている上に、同僚の退職に伴って、当面社内ネットワークの運用も引き継ぐことになってしまった......。世の中、そんなシチュエーションに悩むシステム管理者は少なくないのではないでしょうか。アイティメディアの情報システム担当、淺野もそんな管理者の一人です(実話です)。

ありとあらゆるアプリケーションがネットワークを介し、クラウドと連携して動作するようになっている今、万一、ネットワークにトラブルがあると業務そのものに甚大な影響が生じてしまいます。

引き継ぎ資料もあるし、ある程度知識もあるとはいえ、専門とはいえない分野でその責任を果たしていけるのか? 前編で解説したヴイエムウェアの中本氏からのアドバイスをもとに、具体的な解決策を考えていきます。

ネットワークの運用を楽にする解決策は 「仮想化して細分化」

ヴイエムウェア パートナーSE 本部パートナーSE 部 シニアシステムズエンジニア 中本滋之氏
ヴイエムウェア株式会社
パートナー SE 本部
パートナー SE 部 シニアシステムズエンジニア
中本滋之氏
アイティメディア 総務部 淺野正徳
アイティメディア株式会社
総務部
淺野正徳氏

ヴイエムウェア中本氏(以下、中本):ここまでのお話で、おおよその課題は理解できました。1 つのネットワークを社内サーバセグメントとユーザーセグメントに分け、その間の通信はレイヤー 3(L3)スイッチのアクセスコントロールリスト(ACL)で制御している状態で、前任者から引き継いだんですよね。幸い、これまで ACL に変更を加える必要があるネットワーク変更は生じていないけれど、作業の重みを考えると、極力メンテナンスの影響範囲を細かくし、影響が広範に及ばないようにしたい......そういうことですよね。

アイティメディア淺野氏(以下、淺野):そうですね。できるだけ自分が何もしなくてもいい状態を保ちたいですね。でも実際には、一切手を加えなくていいなんてことはあり得ません。普段はなるべく手を触れなくてもよく、でも何か起きたときにはすぐに対応し、短時間で復旧できる状態が理想です。

中本:その理想に近づく解決策の 1 つが「ネットワークの細分化」だと考えています。現状、企業ネットワークの多くは、作業が煩雑にならないよう大きく1 つにまとめがちです。ただそうなると、統合の度合いが高くなるため、全ての設定変更が 1 つの機器に依存することになります。そこが単一障害点(SPoF)になり、1 カ所がダメになるとネットワーク全体がダメになってしまう恐れがあります。独立したネットワークを複数持つことでドメインを小さくし、障害が起きたときの影響範囲を小さくしていくのが理想的ではないかと思います。

淺野:確かにそれは分かるのですが、複数の物理ネットワークを作るのは、コスト面でも、運用の面でも難しいでしょう。

中本:おっしゃる通りです。物理的にネットワークを細分化するのはコストもかかるしメンテナンスの手間も増え、スペースも占有されるため現実的には困難ですが、仮想化すればそれが可能になります。Software Defined という形で、サーバやネットワークも含め、これまでのデータセンターに相当するものを簡単に作れます。

淺野:なるほど。アプリケーション開発の世界におけるマイクロサービスのようなものかもしれませんね。これまでどーんと 1 つだったネットワークを分割していくイメージでしょうか。

中本:物理的にどーんと 1 つあるのは悪いことではないと思います。ただ、一度入れたハードウェア機器やインフラには極力手をつけたくありませんよね。特にネットワークはシステムの一番根っこの部分ですから、そこは触らずに済ませたいものです。全て仮想化し、仮想基盤の上のアプリケーションという形でネットワークを構築すれば、物理的な機器の設定を変更したり、ポートをいじったりしなくても、ルーティングテーブルの追加やフィルター設定、セグメントの追加といった作業が、設定ファイルの変更だけで実現できます。 しかも、ネットワークを細分化できるため、どこか1 カ所の設定をいじっても全社に影響が及ぶことはありません。メンテナンスの際、ミスでメンテナンス対象が停止することは仕方ないかもしれませんが、全く関係ない部分も含め、全ネットワークに影響が及ぶ事態は避けたいですよね。影響を局所化してリスクヘッジし、計画的に停止できるようにします。

淺野:「ここが壊れたら大変だ」というポイントを分散でき、たとえ障害があっても他の場所には影響しないなら安心ですね。ネットワーク運用を担ったことがあれば、規模の大小はあれど、一度はヒヤっとしたことがあるんじゃないでしょうか。コマンド 1 つ打つのがどれほど大きなプレッシャーか......。

中本:作業自体は数分で行えますが、会社によってはそのコマンドを打つのを許可するまでに、会議に会議を重ねて数週間かかることもあります。さらに、コマンドを投入できるのは週 1 回だけといった場合もありますし。それもこれも、ネットワークが落ちると仕事にならないからですよね。

物理的な構成に手を加えず導入できる「VMware NSX」で仮想ネットワークを提供

淺野:ネットワークを仮想化し、細分化するといいますが、具体的にはどういったソリューションで、どこにインストールするのでしょうか。

中本:VMware のネットワーク仮想化製品が「VMware NSX」です。一言で言うと「サーバの仮想化環境を対象にしたネットワーク環境を、仮想化環境を構築している同じ物理サーバの上で提供するもの」で、1 台でネットワークまで完結できます。

淺野:既存のスイッチを入れ替える必要はありますか?

中本:いえ、スイッチなど物理的な機器のリプレースは必要なく、そのまま使えます。物理的なネットワーク機器には一切手を触れず、ネットワークやサーバといった物理的な構成要素も全く変えないまま、仮想マシンに必要なネットワークを、仮想マシンが動作している同じ物理サーバ上で、仮想アプライアンスで提供するイメージです。

淺野:ライセンスは個別に必要ですか?

中本:VMware vSphere が動いているサーバと同じ数だけ、Standard 版のライセンスが必要になります。

淺野:もう 1 つ気になるところが。導入時にサービスを停止する必要があるのかどうかというところなんですが......。

中本:仮想環境をリプレースするための停止時間は発生します。けれど、そもそも VMware NSX を導入するのはサーバやネットワークを入れ替えたり、新しく仮想環境を導入するタイミングがほとんどです。リプレース作業の一貫として考えるといいでしょう。

淺野:設定作業はどのように行うのでしょうか?

中本:コンポーネントが増えると大変なように思えますが、VMware vCenter のコンソールさえ操作できれば、今、ネットワークがどうなっているか、設定通りになっているかの確認が楽に行えます。Excel などで構成図を管理していると、運用しているうちに、徐々に実際の設定とずれが生じがちですが、NSX の場合、画面に表示されているものがそのまま現在のネットワーク構成を示すため、迷うこともありません。

淺野:それで簡単に運用できるようになれば、僕だけでなく、もう一人の担当者もネットワークを触れるかもしれませんし、この先、新しい人が加わったときのトレーニングコストも下がりそうですね。

中本:ACL って、プログラムのソースコードと同じで、人によって結構、書き方に違いがあるじゃないですか。

淺野:ありますね。「全部自分流に書き直してやろうか」と考えることもあります(笑)。

中本:それを NSX の場合は GUI 画面で、どの仮想マシンからどの仮想マシンに対するアクセスを許可したり、拒否したりといった具合に設定できるので、誰が見ても分かりやすい形で管理できます。

淺野:こんな風に属人性を排除して、手離れよく運用できればうれしいですね。管理者としてやることは他にもたくさんありますし、この先、誰かに引き継ぐことになった場合楽になると思います。

VMware NSX はGUI 画面で設定が行えるため、誰が見ても分かりやすい形で管理が行える
VMware NSX は GUI 画面で設定が行えるため、誰が見ても分かりやすい形で管理が行える
ファイアウォールの設定画面。ルールにクラスタ名や仮想マシンの名前を使うこともできる
ファイアウォールの設定画面。ルールにクラスタ名や仮想マシンの名前を使うこともできる

サーバの在り方、運用の在り方を本質的に見直す契機に

淺野:となると、あとはコスト面ですね。導入を検討したいのは山々なのですが......でも、お高いんでしょう?

中本:今、アイティメディアってサーバの数はどれくらいありますか?

淺野:そうですね、IA サーバ中心に大体 10 台くらいです。

中本:NSX のライセンスはサーバではなく、ソケット数単位になります。サーバとストレージ、もろもろ合わせて物理サーバのコストが仮に 100 万円くらいだとして、その 1.4 ~1.5 倍程度になると思います。 ただ、そのときにはぜひ「本当に 10 台でいいのか」と本質に立ち返り、ダウンサイジングを考えてほしいですね。サーバの性能は年々上がっています。実際、サーバのリプレース前にアセスメントやシミュレーションを行ってみると、今まで 10 台で動かしていたものが、実は 6 台や 4 台でもまかなえるといったケースも珍しくありません。 サーバを集約して浮いたコストを、何か新しいこと、例えば、NSX のように運用をもっと楽にできるソリューションに投じるのもいいのではないでしょうか。また、重要な部分とそうでないものとを分け、一部に NSX を入れてみて、成果が出れば広げていくというスモールスタートのシナリオもあります。

淺野:な、なるほど......確かに現場としてはいいアイデアだと思いますが、経営層はまた違う見方をする可能性もあります。「今、できているのと同じことができるなら、別に今のままでいい。新たに導入する必要はない」と考える経営層は結構多いです。また、「メンテナンスが楽になります」という説明だけでは「現場が頑張ればいいじゃないか」と返されるケースもあります。

中本:これは日本企業特有の現象かもしれませんね。食器洗い機や洗濯機もそうですが、「これまで人がやってきたことを機械にやらせるのに、なぜ何十万もする機械を買うのか、手でやればいいじゃないか」という話になりがちです。日本の IT の世界では、人件費って "タダ" と捉えられがちですよね。しかし IT 担当者は、もっと先を見据えた戦略的な取り組みを進めるのが本来の役割のはずです。なのに、システムのお守りに張り付けられてしまっていることの多いこと。この運用管理をなるべく自動化し、省力化して負荷を減らしていくことが必要でしょう。ただでさえたくさんあるタスクの 1 つを楽にすることで、もっと新しい領域に取り組めるようにしたいと思います。

そもそもオートメーションというのは、IT が実現できる最も基本的な価値なのに、それすら理解できていない会社がいまだに多いですよね。この第一歩すら理解できない会社が AI に対応できるわけがないし、デジタルトランスフォーメーションに対応できるはずもないと思います。

淺野:お忙しい中、今日はいろいろとありがとうございました。うーん......ウチの経営層はどうかなあ......。取りあえず一度話を持ち帰ってみますね。

◇ ◇ ◇ ◇ ◇ ◇ ◇

ネットワークの運用を楽にするには「仮想化して細分化していく」。そのためのソリューションも含め、このアドバイスには淺野も納得するところがあったようです。

※このページはITmedia エンタープライズの2018年11月に掲載されたコンテンツを転載したものです。
http://www.itmedia.co.jp/enterprise/articles/1811/05/news007.html
http://www.itmedia.co.jp/enterprise/articles/1811/19/news009.html

関連情報
さらに表示する

VMware製品、販売についての資料・お問い合わせ VMware製品、販売パートナー制度に関するお問い合わせを受け付けております。お気軽にご相談ください。