エキスパートに聞くロードバランサ最前線(3) 最新のVDI事情。アクセス形態の多様化とそのセキュリティ対策

仮想化製品のリーディングベンダーとして広く知られるVMware。サーバ仮想化の分野ではデファクトスタンダードとしての地位を築き上げた同社だが、ここ1～2年の間でクライアント仮想化の分野における存在感も急速に高まっている。ひと口にクライアント仮想化といっても、その実現方式にはいくつかの種類がある。以前から使われているのが、マイクロソフトのWindowsリモートデスクトップサービス／ターミナルサービスやシトリックスのXenAppに代表される複数のユーザーがサーバのアプリケーションを共有して使うサーバーベース方式だ。

一方、近年注目が高まっているのが、VDI方式である。VDI方式では、クライアントOSとアプリケーション環境を仮想化基盤上の独立した仮想マシンとして実装し、個別のユーザーが利用する。柔軟なワークスタイル、情報漏えいリスクの軽減、マルチデバイス化の流れを受けて急速に普及が進んでいる。このVDIの市場においてトップシェアを占めるのが、「VMware Horizon View」である。

急速な進化を遂げるVMwareのVDI製品「VMware Horizon View」

ヴイエムウェアソリューション本部ソリューション開発部部長菊本洋司氏

2014年4月10日には最新版の「VMware Horizon 6」がリリースされ、注目すべき新機能の数々が投入されている。ヴイエムウェアのソリューション本部ソリューション開発部部長、菊本洋司氏によれば、それらの中でも特に「Virtual SAN（VSAN）」と呼ばれる機能は、VDI導入の敷居を低くできるため、注目を集めているという。

「VSANはひと言で言うと、複数のサーバの内蔵ディスクを束ねて、あたかも大容量ストレージのように扱うソフトウェアです。2014年3月にハイパーバイザーであるvSphere（ESXi)にこの機能が組み込まれました。さらに、VMware Horizon 6ではこれを追加ライセンス費用なしで利用できるようになりました」（菊本氏）

Virtual SANの概要とメリット

VDIの導入検討にあたっては、共有ストレージのコストとユーザーの行動に紐づくディスクIOの集中が導入障壁になるケースが多い。例えば、就業開始時間の午前9時にアクセスが集中し、ディスクIOパフォーマンスにムラが発生してユーザーにとって使いづらいシステムとなったり、SANストレージとネットワーク基盤が高価であることがボトルネックになりやすい。しかし、従来より実装されているサーバのメモリ領域をRead Cache化することでIOPS自体を減らすStorage Accelaratorを使用することにより、ディスクIOの集中を回避できる。

また、VSANを使えば共有ストレージは基本的に不要で、サーバとその内蔵ディスクを増やしていくだけでディスクの容量とIO性能をスケールアウトし、イニシャルコストを抑えられる。

さらに菊本氏によれば、「クラウドポッド・アーキテクチャ」と呼ばれる技術も要チェックだという。これは、Horizon Viewの環境（ポッド）を複数のデータセンターにまたがって構築できる機能だという。この機能を活用すれば、ユーザーはもともと接続していたポッドだけでなく、他のデータセンターに配置されたポッド経由でも自身の仮想デスクトップを利用できます。１つのデスクトッププールがもしダウンしてしまった際の冗長化の手段として使えるほか、さまざまな場所に移動しながら仮想デスクトップを利用するユーザーは、今いる場所に最も近いポッドが利用できるので、ネットワークの遅延によるパフォーマンス劣化の悪影響を抑えられるなど常に高いサービスレベルが維持されます」

VDI分野におけるVMwareとF5の協業がユーザビリティを向上

ヴイエムウェアマーケティング本部テクノロジーアライアンス担当部長森田徹治氏

菊本氏によれば、このクラウドポッド・アーキテクチャをBIG-IPを使った広域負荷分散（地理的に離れたDCにあるサーバ群を負荷分散する手法)機能と連携させることによって、顧客に付加価値の高いソリューションを提供できるようになるという。「クラウドポッド・アーキテクチャをBIG-IP GTMの『グローバル・ロードバランシング』機能と組み合わせれば、ユーザーはポッドの稼働状況を意識することなく、どの場所からでも常に同じURIにアクセスするだけで、自動的に最も近い場所やサービス提供可能なポッドにリダイレクトしてくれます。この連携がないと、ユーザーは複数のURIを覚えておく必要があり、仮に利用中のポッドに障害が発生した場合は、別のポッドにアクセスするための別のURIへアクセスし直す必要があり、利便性は低下します」

ちなみに、VMwareとF5ネットワークスのこうした連携ソリューションは、今に始まったことではなく、すでに数多くの実績があるという。ヴイエムウェアのマーケティング本部テクノロジーアライアンス担当部長、森田徹治氏は次のように説明する。

「米国本社ではすでにかなり前から両社の間でさまざまな協業や、エンジニア同士の共同作業が行われています。日本でも4年ほど前から、VMware vCenter Site Recovery ManagerとBIG-IPを連携させた災害対策ソリューションの構築を通じて、密接な協業体制を築いてきました。これに加えて現在では、VDI案件の提案活動において両社のエンジニアやセールス担当が密接に連携して動いています」

森田氏によれば、近年では仮想デスクトップ環境を社外からインターネット経由で利用したいというニーズが強く、これを実現する上でBIG-IPが極めて有効なのだという。「少し前まで、VDIやシンクライアントといえば、金融企業が情報漏えいを防ぐために導入するものだというイメージが強かったと言えます。しかし、サーバの性能向上で統合率が上がって費用対効果が高くなってくると、セキュリティ以外の導入メリット、特に場所やデバイスを問わずデスクトップ環境を利用できることによる“ワークスタイル革新”の可能性に注目して導入を進める企業が増えてきました。ただし、これを実現するには十分なセキュリティ対策を講じる必要があり、そのための手段としてBIG-IPは現時点で最も優れた解の1つだと考えています」

アクセス形態の多様化に対応する先進的なVDIとは

菊本氏は、VDIのセキュリティを担保する上でBIG-IPが果たす役割を理解するためのキーワードとして、「アクセス形態の多様性」を挙げる。

「社外から仮想デスクトップを利用する最もオーソドックスな形態は、SSL VPNを使いトンネルを張って、VDIの画面転送プロトコル（Horizon Viewの場合は「PCoIP」）を通信する方法です。この場合、ユーザーの要件としてあらかじめ許可した端末からしかアクセスできないよう、クライアント証明書を使ったデバイス認証やデバイスの状態チェックを実施するケースが多いのですが、BIG-IPにはこうした機能がすべて備わっており、極めて柔軟にセキュリティポリシーを設定できるため使い勝手が良いのです。さらにBIG-IPが優れている点としては、SSL VPN以外の接続形態にも1台で対応できることが挙げられます」（菊本氏）

例えば、1人の従業員が複数の端末（会社支給のPC、タブレット端末、自宅のPCなど）を使っているような場合、すべての端末の状態をきちんと管理して、デバイス単位での認証を行えるようにするのは、かなり骨が折れる作業となる。また社外からの管理外の端末を使ったアクセスとなると、VPN接続の環境を必ずどこでも用意できるとは限らない。

そこでよく使われるのが、端末にHorizon Viewのクライアントソフトウェアを導入することで、VPNトンネルを介さずに画面転送プロトコルを処理してしまう方式だ。さらに近年では、HTML5の機能を使って、ブラウザ上で画面データやキーボード・マウスデータをやり取りする「HTMLアクセス」という方式も出てきている。この方式は、 Horizon Viewのクライアントソフトウェア自体のインストールも必要ないので、さらに幅広くクライアント環境をサポートできる。

企業の従業員のワークスタイルは徐々に変化していく。将来のワークスタイルの変化を見据えずに、直近の要件だけでアクセス環境を整えてしまうと、アクセス形態の変化に追従できない。結果的に、それぞれ個別に対応したネットワーク機器を導入・運用せざるを得ず、手間やコストがかさんでしまうというケースが増えてきている。それがBIG-IPであれば、すべてを1台でまかなえるのだという。

Horizon ViewとBIG-IPが実現する「アクセス形態の多様性」

「BIG-IPのOSをアップデートすれば、Horizon Viewクライアントソフトウェアとの間でPCo IPを直接やり取りできるほか、HTMLアクセス方式にも対応できるようになります。1台だけでこれだけ多様なアクセス形態をカバーできるので、ワークスタイルの変化に合わせてアクセス形態の種類を少しずつ増やしていくような段階的な導入に極めて適しています。またBIG-IPは、ワンタイムパスワードによる認証機能も備えているため、不特定の端末を使ったアクセスでも、二要素認証によって十分なセキュリティレベルを担保できます」（菊本氏）

菊本氏いわく、同社の技術とここまで密接に連携できるネットワーク機器製品は、現在のところBIG-IPだけだという。「両社の技術提携は今後も密接になっていき、それによって、これまでできなかったことがどんどん実現されていくでしょう。個人的にも、今後の展開をとても楽しみにしています」と強調する。

Company Profile

ヴイエムウェア株式会社

VMware のテクノロジーは IT を大きく変革し、企業の俊敏性、効率性、収益性を高めることを目指す。仮想化およびポリシーベースの自動化のパイオニアとして、50 万社を超える顧客企業にその価値を提供している。F5ネットワークスはVMwareのテクノロジーアライアンスパートナーで、両社製品を組み合わせた共同検証や共同セールスの展開など、幅広い協業が世界レベルで展開されている。