今さら聞けない「ロードバランサとSDNの切っても切れない関係」(5) L4-7レイヤの「サービスチェイニング」とは？

前回はL4-7サービスを活用する上で必要な「東西南北」のインタフェースのうち、上位のオーケストレータとの間の「North Bound」、そして下位のADC（Application Delivery Controller 、ここではBIG-IP)との間の「South Bound」について解説した。今回は「東西」、つまり「East Bound」と「West Bound」のインタフェースについて解説する。

まずは、「西」にあたるWest Boundについて説明しよう。西側に位置しているのはL2-3レイヤのネットワークサービス。これは、BIG-IPやBIG-IQが担うL4-7レイヤサービス、ルータやスイッチが担うL2-3レイヤのネットワーク接続サービスとを結び付け、互いに連携を取るためのものだ。なぜこのような結び付けが必要かというと、L4-7レイヤをベースとしたファイアウォールやロードバランシング、SSLの暗複号化などの処理は、クライアントとアプリケーションサーバの経路上に配置する必要があるからだ。

オーケストレータのビジュアルな管理画面からインフラを作る操作を例に、もう少し具体的に説明しよう。管理画面上でサーバとルータ、スイッチ、ファイアウォール、ロードバランサといった各種ネットワークコンポーネントのアイコンをドラッグ＆ドロップで配置し、その間を線で結べば、あとは自動的にその通りのシステム構成やネットワーク構成を構築してくれるのだ。

このとき、裏では一体何が起こっているのだろうか？オーケストレータはサーバ構築について、サーバ管理ソフトウェアに仮想サーバの生成を依頼しサーバを起動する。ネットワーク構築については、SDNコントローラを経由しルータやスイッチにルーティングやスイッチングなどの設定を行う。また、ファイアウォールやロードバランサといったL4-7レイヤのサービスをルータやスイッチ、サーバなどのネットワーク経路上に紐づけし、さらにファイアウォールやロードバランシングそのものの設定を行うという処理プロセスが走ることになる。

West Boundは、この一連のプロセスの中にある「L4-7レイヤのサービスをルータやスイッチ、サーバなどのネットワーク経路上に紐づける」ためのインタフェースなのだ。クライアントとアプリケーションサーバのネットワーク経路上に、セキュリティや可用性を確保するサービスを鎖で繋いでいくようなイメージを想起させるので、一般的には「サービスチェイニング」と呼ばれている。

L4-7レイヤサービスをチェイニングする際の設定は大きく2つに分かれる。1つはファイアウォールやロードバランサ自体のL2-3レイヤのネットワーク設定。2つめはL4-7レイヤのファイアウォールやロードバランサの設定だ。2つめのL4-7レイヤの設定を自動化する仕組みは本連載の第4回で解説しているので、そちらを参照いただきたい。

ここでは、1つめのL2-3レイヤのネットワーク設定について取り上げたい。L4-7レイヤのサービスをネットワーク上にチェイニングするには、ファイアウォールやロードバランサ自身のネットワーク設定（IPアドレス、ルーティング、VLAN、マルチテナント構成の場合はテナントIDなど）と周辺のルータやスイッチ、またアプリケーションサーバのネットワーク設定と歩調を合わせてつなぐ必要がある。F5ではそのようなL2-3レイヤのネットワーク設定についても、SDNコントローラからBIG-IQを経由してADCであるBIG-IPのL2-3レイヤの設定を自動化し、BIG-IPがクライアントとアプリケーションサーバのネットワーク経路上に自動的に接続されるように開発している。この開発を実装することで、BIG-IPの管理コンソールにログオンしなくても、オーケストレータやSDNコントローラからBIG-IPが持つセキュリティや可用性向上のL4-7レイヤサービスを自動的にサービスチェイニングできるようになる。

仮想化されたネット上のアプリにもサービスチェイニングを実現

さらにF5では、ネットワーク仮想化への対応も進めている。対応の背景としては、サーバ仮想化が普及し、仮想マシンをライブマイグレーションなどを使って自由自在に移動したいという管理者の要望がある。ただし仮想サーバを移動させるたびに、IPアドレスやルーティングテーブルなどのネットワーク設定を変更する作業の必要があり、管理者の負荷が課題となる。その問題を解決するために出てきた技術がネットワーク仮想化技術だ。具体的には「VXLAN」や「NVGRE」といったオーバーレイ方式を使ったネットワーク仮想化技術である。

この技術を使うと、仮想サーバを物理的に異なるネットワークに移動させても、同じIPアドレスなどネットワーク設定を維持したまま移動できるので設定変更の負荷がない。ファイウォール／ロードバランサやADCの視点から見ると、ロードバランシング対象の仮想マシンがVXLANやNVGREを使った仮想ネットワーク上に配置されていた場合、ロードバランサ自身も仮想ネットワーク上に参加する必要がある。そのため、F5ネットワークスではADC業界で初めてBIG-IPにVXLANやNVGREのトンネリング終端機能を追加し、仮想マシンが仮想ネットワーク上に配置されて自在に移動したとしても、BIG-IPのファイアウォールやロードバランシングサービスを仮想マシン上のアプリケーションにチェイニングできる機能を提供している。

外部クラウドサービス上にBIG-IPを生成・制御する「East Bound」インタフェース

最後に、東西の「東」に当たるEast Boundについても簡単に紹介しておこう。

L4-7サービスの東側に位置しているのは外部のデータセンターやクラウドサービスだ。East Boundインタフェースは、外部のデータセンターやクラウドサービス上でL4-7レイヤのサービスを生成したり、あるいは制御したりするための機能を提供する。簡単に言えば、これまで紹介してきたNorth BoundやSouth Bound、West Boundの機能を、特定の環境だけでなく、Amazon Web Services（AWS）といったパブリッククラウドサービス上や、OpenStackやVMwareを使って構成した外部データセンターのインフラ上で実装するためのものだ。

この機能で有効に働くのが「仮想アプライアンス」の技術だ。ハードウェア機器としてのBIG-IPを外部のデータセンターやクラウドサービス上に実装しようと思えば、当然のことながら、その環境内に機器を持ち込んで設置する必要がある。一方、仮想アプライアンスはBIG-IPの機能をハードウェアとしてではなく、仮想化環境上で動作する仮想アプライアンスとして提供する。したがって別途ハードウェアを購入・設置せずとも、リモートからAPIを使うことでBIG-IPを生成・制御できるようになるのだ。

BIG-IQには、このように外部環境でBIG-IPの仮想アプライアンスを生成・制御するためのインタフェース「クラウドコネクタ for AWS」「クラウドコネクタ for OpenStack」「クラウドコネクタ for VMware」が備わっており、クラウドオーケストレータをはじめとする周辺サービスから、これらのインタフェースを通じて外部クラウド上のL4-7レイヤのサービスを制御できる。この仕組みを使うことで、例えば一定期間だけ処理能力をクラウド上に立ち上げたサービスにオフロードするようなクラウドバーストにも柔軟に対応できる。