セキュリティポリシーとサイジングで変わるネットワーク設計
前述の「図2. 大企業・中小企業における通信利用動向(推定)」をさらに掘り下げて、大企業・中小企業におけるネットワーク仮想化の適用領域と場合分けについて考えていきましょう。総務省の通信利用動向調査(クラウドサービスの利用内訳)を頭の中で整理していくと、「オープンソース・パッケージソフト・独自開発システム」により、自社やデータセンターで稼働していると推定されるシステムには、1つの共通点があります。
至極当たり前ですが、それは「セキュリティポリシーにより外部設備を利用できない」という制約が、企業に存在するかしないかです。この制約を検討・整理できれば、結果としてパブリッククラウドやWebサービス・外部サービス・アウトソーシングを利用することができ、システム運用やIT資産活用の幅が広がります(図3)。
続いて、ネットワーク設計の観点から見ていきましょう。
前述の制約により、大企業・中小企業では利用目的が異なる複数のシステムを自社に抱えることになり、必然的に「異なりポリシーを内包するネットワーク仮想化」が必要です。当然、そこではシステム規模(必要なネットワークセグメント数)によって必要な技術も変化してきます。古くから使われている技術ではVPNやVLAN、より大規模なネットワーク仮想化ではVXLANやNVGREなど新技術が適用されます。企業によっては、過去10年以上にわたり自社システムを仮想化・プライベートクラウド化しており、ネットワーク設計も複雑化している場合も考えられます。これらすべてに適合するお話をするには、紙面が足りなくなりますので、今回は「共通するネットワーク仮想化」の項目としてVPNを選んで、その運用について考えていきましょう。
企業規模によらず「共通するネットワーク仮想化」の項目には、VPN(Virtual Private Network)が上げられます。
IP-VPNの歴史はすでに15年以上が経過しており、企業が利用するVPN通信としてのIPsecも十分に枯れた技術となりました。筆者が初めてIPsecに触れたのは15年以上前なので、あれから随分と時間が経ったな……と感じるばかりです。
しかし、VPNといっても企業規模や運用の考え方により、大きく2つの利用モデルに分かれます。
それはサービス停止時間に「猶予があるか/ないか」です。大企業の基幹業務システムであれば、当然のようにネットワーク設計は完全冗長され、停止時間にも厳しい制約が設定されています。しかし中小企業の場合、それら制約を満たすだけの資金的余裕がなく、必然的に冗長構成を選択しないことがあります。「どれだけ停止するか?」の程度問題はありますが、私が知る限り中小企業では自社設備のネットワーク設計に冗長構成を取り入れるケースを見たことがありません(図4)。
続いて、これら場合分けを踏まえて、仮想ルータを使ったネットワーク仮想化の適用事例について見てきましょう。
企業のネットワーク設計を考えると前述のとおり、企業によっては自社システムの仮想化・プライベートクラウド化が完了し、パブリッククラウドの利用についても積極的なケースが考えられます。旧来からの自社設備でデータセンターのハウジングなどを利用したシステムであれば、VMware vSphereやMicrosoft Hyper-V、Linux KVMなどハイパーバイザー環境で動く仮想ルータを利用することは、ほとんどないと考えられますが、今回のケースでは、自社でプライベートクラウドもしくはパブリッククラウドを利用する大企業・中小企業についてフォーカスして事例を解説します。
