仮想化のプロが明かす、見落とせない 「大規模 VMware 環境」の注意点とは?

仮想化のプロが明かす、見落とせない
「大規模 VMware 環境」の注意点とは?
ヴイエムウェアとトレンドマイクロが徹底対談
システム基盤を仮想化する動きが広がりつつある今、大規模環境ならではの課題に直
面するユーザー企業も少なくない。仮想化の雄である VMware を例に、専門家 2 人が
その課題と、「vSOM」などの効果的な解決策を語り尽くす。
1
姜 サーバ仮想化を導入するのであれば、1 台の物
理サーバに可能な限り多くの仮想マシンを稼働させた方が
効率的です。でも、十分な数の仮想マシンを集約できて
いないユーザー企業は少なくないようです。
岡野氏 1 台の物理サーバに多くの仮想マシンが乗るよう
になってきましたが、まだまだ集約率は低いと感じています。
原因はさまざまだと思いますが、例えば物理環境からの移
行の際に、同スペックを与えて仮想マシンを作成するケー
スです。仮想化のために新調したハードウェア上に、物理
環境でも余裕を持ってサイジングされていた CPU やメモリ
で仮想マシンを作成し統合してしまう。さらにそれを CPU
やメモリがオーバーコミットしないような形で統合するケ
ヴイエムウェアの岡野氏
ースもよく見掛けます。物理環境でリソース使用量や
仮想化のオーバーヘッドの見積もりが難しい場合も多いので、移行初期は仕方ないことだと思いますが、そ
のままでは集約率は上がっていきません。
姜 リソース不足を懸念するあまり、集約率が高められなくなっている。
岡野氏 物理マシンのスペックを最適化できるように仮想
環境を見直していくには、ツールが重要になります。当社
のサーバ仮想化基盤製品「VMware vSphere」用の管
理ツールである「VMware vCenter Server」には「パフォ
ーマンスチャート」が準備されており、特定の仮想マシンや
ホストに対して、CPU やメモリなどのリソース利用状況を
個別に詳しく見ることができます。
ただ仮想環境では、仮想マシン同士がリソースを奪い合
っている可能性もあるわけです。こうした状況では、個別
の仮想マシンのリソース利用状況を確認するだけでは不
十分で、もっと俯瞰的、全体的に情報を見ることが必要
トレンドマイクロの姜
になります。そのため、パフォーマンスチャートは必ずしも最
適のツールとはいえません。
2
そこで役立つのが、vSphere と仮想環境の管理機能を豊富に備える、「VMware vSphere with
Operations Management(vSOM)」です。vSOM を利用することにより、全体を俯瞰して状況を把
握することができるようになりますので、例えば仮想マシンのパフォーマンスが悪いときに、他の仮想マシンやホ
ストの状況までチェックして状況を判断することが可能となります。
例えば、ホストのリソースが足りなくてパフォーマンスが低下しているのであれば、同一ホストに乗っている全
ての仮想マシンが影響を受けるはずです。vSOM を利用すればそのことがすぐに分かります。仮想環境で何
が起こっているのか、仮想マシンのパフォーマンスが悪いときにどこを修正すればいいのかが一目瞭然になるの
です。
具体的には、ダッシュボードを使い、vSOM が管理している複数の vCenter Server およびその管理下に
ある「VMware ESXi」、さらにその上で動いている仮想マシン、そこにひも付いた物理的なストレージやネッ
トワークも監視できます。
まずは vSOM が管理しているシステム全体の健康状態をチェックし、おかしなところがあったら、管理画面
に表示された仮想マシンや ESXi、vCenter Server といった要素をクリックしていくことでドリルダウンしていき、
原因を突き止めることができます。全体を俯瞰的に見ることで、部分的なチェックでは分からない障害までも
把握できるのです。
vSOM を利用することにより、集約率を上げた際にもパフォーマンスに関する課題がより容易に解決でき
るようになります。パフォーマンスダウンを必要以上に恐れることなく集約率を上げることができるようになるの
です。
姜 vSOM には、その他にも仮想環境の運用に役立つ機能が豊富にありますよね。
岡野氏 vSOM には大きく 3 つの機能があります(図 1)。先ほど紹介したのは現在の問題の対処、つま
り健全性を担保する機能です。その他、統計情報を基に、将来のトラブルの種になりそうなリスクをダッシュ
ボードに表示する機能があります。例えば、「このまま仮想マシンをデプロイし続けていると、来年にはリソース
が足りなくなる」といったことが分かります。
3
図 1 vSOM は、「現在の問題」「将来の問題」「最適化の余地」の 3 つをカバーする
(出典:ヴイエムウェアの製品資料)
仮想環境がどのくらい効率的に使われているのかを表示する機能もあります。「この仮想マシンは 4CPU
で構成されているが、2CPU で十分。メモリは 4G バイトでいい」など、具体的な改善策を提案してくれるわ
けです。これによって、リソースを無駄なく活用できるようになるのです。
また、vSOM では長期間パワーオンされていない仮想マシン、あるいはパワーオンされていても使用されて
いない仮想マシンの一覧を表示することが可能です。仮想環境では簡単に仮想マシンができてしまいがち
ですので、それを把握して最適化できます。
●集約化の課題その 1:セキュリティ対策のリソース消費
姜 vSOM で可視化することで可用性の高い環境になり、集約率を高めることができたとしても、また別の
課題があります。その最たる例がセキュリティ面での課題です。
4
岡野氏 集約率が上がってくると、1 つひとつの仮想マシンが消費するリソースが問題となってきます。特にセ
キュリティ対策で課題となるのは、アンチウイルス製品の CPU リソースの消費です。パターンファイルのアップ
デートやウイルスチェックは、CPU への負荷が高くなります。
姜 同時に複数の仮想マシンでウイルスチェックをしたときに、CPU に大きな負荷がかかってしまう問題を、
当社は「アンチウイルスストーム」と呼んでいます。
岡野氏 高い集約率を生かしつつ、リソースの大量消費問題を解決するためは、個別の仮想マシンでの処
理をオフロードしていくことが必要です。
姜 当社が提供する「Trend Micro Deep Security」は、まさに仮想マシンでのウイルス検索の処理をオフ
ロードできるセキュリティ製品です。Deep Security を活用することで、CPU の負荷を大きく軽減できます。
Deep Security は、個別の仮想マシンでセキュリティ関連の処理をするのではなく、各 ESXi で稼働させ
る専用の仮想アプライアンスへオフロードします(図 2)。この仮想アプライアンスでアンチウイルスの処理や
侵入防御システム(IPS)、ファイアウォールといったネットワークセキュリティの機能も提供します。
図 2 Deep Security は、個別の仮想マシンの処理負荷を、
専用の仮想アプライアンスへオフロードする
(出典:トレンドマイクロの製品資料)
5
岡野氏 Deep Security を VMware 環境で使いやすくするために、当社とトレンドマイクロはさまざまな協
力を進めています。
姜 Deep Security は技術的には、アンチウイルス処理を仮想プライアンスへオフロードする VMware 環
境の機能である、「VMware vShield Endpoint」の API を利用しています。ESXi で発生したデータのやり
とりを API を通じてフックし、フックしたデータを Deep Security でスキャン。解析結果が“白”であればそのま
ま仮想 OS へ渡す、といったアーキテクチャです。
Deep Security によるセキュリティ対策のポイントは、
1. 各仮想 OS にウイルス対策ソフトをインストールする必要がないこと
2. ハイパーバイザーレベルでのセキュリティ対策ができること
3. 「VMware vSphere vMotion」で ESXi をまたいで仮想マシンを移動しても、ゲスト OS のセキュリティ
ポリシーが引き継がれること
の 3 つです。特にエンドユーザーが意識することなく、こうしたメリットが得られるのが、Deep Security の特
徴だといえるでしょう。
●集約化の課題その 2:運用負荷の増大
岡野氏 Deep Security は仮想デスクトップ環境で利用されるケースも多いのですが、仮想デスクトップ環
境ではサーバ台数が多くなりがちです。さらに、従業員が増えればサーバ追加も必要になりますし、既に稼
働中の多数のサーバにパッチを当てる作業も大変な手間となります。つまり、ESXi 自体の管理が煩雑にな
ってくる、ということです。
そこで有効となるのが「vSphere Auto Deploy」です(図 3)。これは vSphere の最上位エディションで
ある「Enterprise Plus」に搭載されています。
図 3 Auto Deploy の全体構図
6
Auto Deploy の基本的な仕組みは、ネットワークブートです。各ホストは Auto Deploy サーバからネット
ワーク経由で ESXi イメージを受け取りながら、稼働に必要な情報をメモリに展開し、インストールすることな
しに起動します。ネットワークブートですので、Auto Deploy サーバに配置した 1 個の ESXi イメージから、
たくさんの ESXi ホストを起動することができます。パッチ適応の際は、この 1 個のイメージにパッチを当て、
ESXi ホストを再起動するだけで終了です。Auto Deploy を利用すると、ESXi イメージの集中管理と配
布が可能となり、大規模環境でのホスト運用が格段に効率的になります。
自動化に大きく貢献する仕組みとしては、「ホストプロファイル」も挙げられます。ホストプロファイルは、Auto
Deploy で立ち上がったホストに構成情報を自動的に適用します。こうした自動化の推進は、大規模環境
では非常に有効であるため、ぜひ使いたいというユーザー企業も多いです。
姜 Auto Deploy は、Deep Security と組み合わせることで、ユーザー企業にとって幾つかのメリットをもた
らします。一番大きなメリットは、Deep Security をデプロイするときの運用工数が削減されることです。
Auto Deploy を使うユーザー企業は、大規模なシステム環境を運用する企業がほとんどです。その大規
模な環境に ESXi をデプロイする際、ユーザー企業が重点的に考えているのはインフラの整備です。
一方、セキュリティ対策も重要なのですが、インフラ整備に工数をかける分、セキュリティが後回しになるケ
ースも少なくありません。Auto Deploy を利用すれば、インフラ整備を省力化でき、セキュリティ対策に時間
をかけることができます。
●トレンドマイクロとヴイエムウェアの協業で、効率的なセキュリティ対策を実現
姜 運用者にとっては、新規に製品を導入する際に設計や導入が複雑だったり、導入後に運用してみいた
ら複雑で手間がかかるということも結構あります。さらにセキュリティ製品は、コストや工数が分かりづらいとい
う面もあります。
そこで今回、当社とヴイエムウェアは、運用者の負荷をいかに軽減するかに注力しました。岡野さんと一緒
に、Auto Deploy の機能を使ってセキュリティをうまく実装するにはどうしたらいいのか、運用者があまり手間
をかけずにセキュリティ対策を実現するにはどうすべきかを共同で検証したのです。
Auto Deploy を使用しない場合、
1. Deep Security に必要なコンポーネントの準備
2. vShield Endpoint のインストール
3. FilterDriver のインストール
4. Deep Security Virtual Appliance の配信
7
5. Deep Security による保護が完了
という、5 つのステップが必要でした。Deep Security と Auto Deploy を組み合わせることで、2 番目と 3
番目の手順を自動化しました。あらかじめ用意しておいた参照用のホストプロファイルなどを適用することで、
インストールや構成を完了できるようにしたのです。これにより再起動も不要になりました
姜 当社とヴイエムウェアは、今後も技術的な協力を進めていきます。ヴイエムウェアは最近、「VMware
NSX」という新しい仮想化基盤を発表しました。トレンドマイクロでは、この NSX にもエージェントレス型セキ
ュリティの考え方を追従させ、Deep Security の次期バージョンでもエージェントとして対応していきます。
ヴイエムウェアとは技術者レベルでも交流していますし、関連資格の取得など常に技術者のスキルアップを
図っています。今後も VMware 環境のセキュリティ対策は、トレンドマイクロがリードしていきたいと考えてい
ます。
岡野氏 トレンドマイクロは、vShield Endpoint を利用する製品をいち早くリリースするなど、当社の最新
技術に迅速にキャッチアップしていただいている信頼のパートナーです。今後も引き続き、協業によるメリット
をユーザー企業に提供できると確信しています。
姜 仮想化に早期から取り組んだヴイエムウェアは、ユーザー企業に意識させることなく最先端の技術を提
供しています。トレンドマイクロも同じくユーザー企業が意識することなく、安全に仮想環境を利用できるセキ
ュリティ対策の手段を提供していきたいと考えています。
※ 本対談は TechTarget ジャパンに掲載された記事です。
TREND MICRO、Trend Micro Deep Security、および Deep Security は、トレンドマイク
ロ株式会社の登録商標です。本ドキュメントに記載されている各社の社名、製品名およびサ
ービス名は、各社の商標または登録商標です。記載内容は 2014 年 7 月現在のものです。
内容は予告なく変更になる場合がございます。
Copyright © 2014 Trend Micro Incorporated. All rights reserved.
東京本社
〒151-0053 東京都渋谷区代々木 2-1-1 新宿マインズタワー
TEL.03-5334-3601(法人お問い合わせ窓口)FAX.03-5334-3639
大阪営業所
〒532-0003 大阪市淀川区宮原 3-4-30 ニッセイ新大阪ビル 13 階
TEL.06-6350-0330(代表) FAX.06-6350-0591
名古屋営業所
〒460-0002 愛知県名古屋市中区丸の内 3-22-24 名古屋桜通ビル 7 階
TEL.052-955-1221 FAX.052-963-6332
福岡営業所所
〒812-0011 福岡県福岡市博多区博多駅前 2-3-7 サンエフビル 7 階
TEL.092-471-0562 FAX.092-471-0563
8