仮想化技術を利用したバーチャルルータの構築と最適化海尻研究室所属花田真澄 2009年2月7日目次・背景（口頭）・PC仮想化技術・他の装置で実現されている仮想化技術・目的（１）・目的（２）・監視行為の意味するところ・各結果について・再アプローチ・今後の課題背景 • CPU・主記憶装置・HDDとPCを構成する各部品の高性能化と大容量化により著しく高性能化された物理上の１台のPCに対して、論理上のPCを複数に構築する仮想マシン作成のための仮想化技術が成立して久しい。最近では、CPUメーカーが仮想化支援技術を提供するなど仮想化技術に注目が集められている。仮想化技術はPCに限ることなく、CPU・ネットワーク・ストレージといった各種装置も仮想化技術の対象となる。 PC仮想化技術物理的な１台のマシン上に、複数の仮想PCを、動作させること。 ex. WebサーバとDBサーバとアプリケーションサーバ（危険）背景：CPU・主記憶装置・HDDとPCを構成する各部品の高性能化と大容量化により著しいPCの進歩メリット：リソースの高効率化、運用の簡素化、多サービスの提供。実現手法： jail,OpenVZ,Xen,VMware 他の装置に対する仮想化技術右の図では、ロードバランサーを用いた負荷分散の実現を表している。先に述べた事例とは正反対である、統合を意味している。統合と分離という矛盾した機能を上手に使いこなすことが、ケースによって必要である。目的（１）回線の冗長化のために右の図のようなトポロジーを仮想化技術によって作成された仮想ルータ実現すること。目的（２）仮想FireWallとVLAN により右の図のような構成にする。予想されるメリット：きめ細かいアクセスコントロールとログによる有効な監視監視行為の意味するところ監視という言葉からネガティブなイメージをもたらす。監視とは、リソースを有効活用・安全性の確保が目的。監視そのものは、直接人の行動を制約しない。万一の際には監視ログにより、迅速な対応。しかしながら、専用機材は高価である。また保守費用が高額である。保守契約を行わない場合、セキュリティーに問題を抱えることになる。加えてユーティリティを使わない場合管理者の負荷を高めることになる。目的（１）に対しての結果補足 • RIP使用 • PPP0ダウン時には経路切り替えに成功する。目的（２）に対しての結果 VLAN（virtual lan)および FireWallの数を多くすることでよりきめ細かくアクセスコントロールをすることが可能になる。 (究極的には個人単位の FireWallまで実現可能。）ウィルスの一部種類の感染拡大にも有効に作用することが分かった。再アプローチ • httpに関してはproxyサーバとしてsquid、smtpに関してはリレー配送のためpostfix、pop3については ProxyサーバーとしてDelegateを各仮想サーバー上に設置することで、直接外部ネットワークにアクセスしない構成を構築した。今後の課題 • 物理的に一台のサーバー機にたいして複数のサービスを実現させた。しかしながら、試験環境においては相当数の仮想PCにより多種類のサービスを物理的に１台のマシンへの集約が可能。しかしながら、今回の試験環境と違い運用段階においては、いくら高性能化したとしても機能凝縮によりトラフィックが集中する状況すなわち、ピークタイムによりリソースは枯渇し物理マシンがダウンする状況は想像に難くない。ご清聴ありがとうございました。今後の試みとして、通常サーバーとはピークタイム以外の稼働率は極めて低いものであるから、サービス毎にアクセス特性とピークタイム時の精密な測定を行い取得したデータから、オペレーションズ・リサーチ上、特に線形計画の見地から適切なリソースの配分を試みたい。また、仮想技術のマイテグレーションを有効に使う事も考えられる。