JT4-1 仮想マシンネットワークの閉域化技術の研究 発表者:0BJT1223 田中 宏紀、0BJT1218 小栗 弘樹、0BJT2114 矢野 祥太朗 指導教員:村山 純一 教授 1. はじめに 近年、仮想マシン(VM)技術が著しく進展している。将来 は、1 つの物理マシン内で多数の VM がネットワーク化され ることも予想される。このようなサイバー空間で、VM 同士 のサイバー攻撃を防止するためには、VM ネットワークの閉 域化(VPN 化)が有効と考えられる。そこで、本研究では、 現在実装可能な VPN 技術を仮想マシンに適用した場合の評 価を行う。 図3 OpenVPN による閉域 VM ネットワークの実装 2. サービスモデル 本稿で想定する VM ネットワークの閉域化モデルを図1 に示す。閉域空間として、CUG(Closed User Group)を定義 する。CUG 内の VM 同士は通信が可能だが、CUG 間では VM 同士は通信できない。CUG は複数の物理マシン間にも設定 可能である。 図4 Open vSwitch による閉域 VM ネットワークの実装 図 1 サービスモデル 3. 評価対象とする VPN 技術 本研究で評価対象とする VPN 技術は次の通りである。 (1) Linux Bridge (ポート VLAN) [1] CUG 毎に仮想ブリッジを独立に割り当てる。ポート VLAN と等価で、CUG の異なる VM 間では互いに通信ができない。 (2) OpenVPN (暗号化トンネル) [2] 全ての VM を仮想ブリッジで接続した上で、同じ CUG の VM 同士に暗号化トンネルを設定する。全ての通信は暗号化 トンネルを利用することとして、CUG 間通信を禁止する。 (3) Open vSwitch (フロースイッチ) [3] Open vSwitch を用いて、VM 間でのフロースイッチング を制御する。異なる CUG の VM 間では、フロースイッチン グを行わないことで、CUG の閉域性を実現する。 図5 VPN 技術の評価結果グラフ 5. 評価結果 本実験における測定結果を図5に示す。各技術とも閉域 化を実現できることを確認した。また、図5よりスループ ット特性については、Linux Bridge 技術と Open vSwitch 技術でほぼ同程度の性能が得られたが、OpenVPN 方式では 性能劣化の現象が観測された。これは暗号処理のオーバー ヘッドに起因すると考えられる。 4. 評価方法 6. おわりに 物理マシン1台の中で KVM[4]上に VM を4台構成し、 これらを2台ずつ2つの CUG に分離した。CUG 分離は上 述の3つの技術で実現した。最初に閉域機能を検証し、次 に性能の比較評価を行った。各技術での実験構成を図2〜 4に示す。 物理マシンに閉じた環境では、OpenVPN 方式は不利だが、 インターネット経由でのアクセス時には必須の方式となる。 そこで、複数の物理マシンで構成されるデータセンターの ような環境における暗号化機能の最適配備について、今後 検討を進める。併せて、CUG 数が増加した場合の影響につ いても検討を進める。 参考文献 図2 Linux Bridge による閉域 VM ネットワークの実装 [1]“Bridge Network Connections,” https://wiki.debian.org/BridgeNetworkConnections . [2]“OpenVPN.JP,” http://www.openvpn.jp/ . [3]“Open vSwitch,” http://openvswitch.org/ . [4]“KVM,”http://www.linux-kvm.org/page/Main_Page .
© Copyright 2024 ExpyDoc
