連載
» 2016年11月21日 05時00分 UPDATE

特集:成熟するOpenStack、企業における利用の現場(2):NTTドコモにおける、OpenStackプライベートクラウドの価値を高める取り組みとは

NTTドコモでOpenStackによるプライベートクラウドを推進している人々が、2016年10月にスペインで開催されたOpenStack Summit Barcelona 2016で、自らの活動について語った。OpenStackを運用するというだけでなく、ユーザーにとっての価値を高める取り組みを進めている。

[三木 泉,@IT]

 アナリティクス、DevOpsなど、さまざまな分野に当てはまることだが、新技術を組織内で広げていくためには、しばしば社内の誰かが推進役になる必要がある。推進役が社内ユーザーに新技術を「売る」。すなわちユーザーに新技術のメリットを理解してもらうとともに、利用のための環境を整備する取り組みを行う。

 NTTドコモのサービスイノベーション部 第3サービス開発担当の石井淳氏と天野浩司郎氏は、日本仮想化技術CTOの伊藤宏通氏とともに、同社のプライベートクラウドにおける上記のような取り組みを、2016年10月にスペインで開催されたOpenStack Summit Barcelona 2016で説明した(人物写真提供:日本仮想化技術 玉置伸行氏)。

まず「森」を整備し、その後に「木」を植える

 2015年6月に、1500 CPUコア規模で始まったNTTドコモのOpenStackによるプライベートクラウド。2016年10月現在では2データセンターにまたがり、約1万コアに達した。2017年3月には4データセンター、3万5000コア以上に拡張の予定という。

NTTドコモのプライベートクラウドは、早いペースで拡大している

 こうした速いペースでOpenStackインフラが拡張を続けている理由を、石井氏は森と木にたとえて説明した。NTTドコモのOpenStack推進チームでは、安定的に予算を確保するためにも、まず「森」と表現できる大規模な社内システムをOpenStack上で稼働することに注力(具体的なアプリケーションについては明らかにしていない)。続いて「木」となる特定用途向けのアプリケーションを支援するという、2段階の取り組みが成功していると話した。

NTTドコモの石井淳氏

 森となった業務システムは、ハードウェアのサポート終了を機に、OpenStackへ完全に移行した。大規模であり、動的な拡張が求められるシステムであるため、OpenStackには適していた。移行により、TCOは約22%低減したという。

 森となるシステムで調達したリソースを有効活用するためにも、「木」となる、より小規模なシステムをOpenStackで動かしてもらう必要がある。だが、社内のユーザーは、機能が整っているパブリッククラウドに目を向けがちだ。

 そこでOpenStack推進チームでは、機能の強化と迅速なアプリケーション投入支援の2通りの取り組みを進めてきたという。

 機能の強化については、データセンター間を結ぶレイヤ2ゲートウェイ、GPU対応を重要な機能として位置付け、これらを円滑に提供するための作業を進めた。一方で、社内ユーザーが新しいアプリケーションを構築する際に必要な時間と労力を積極的に削減することでOpenStackインフラの付加価値を高める取り組みを併せて行っている。

機能強化の取り組み

 レイヤ2ゲートウェイは、既存システムのOpenStackへの移行における問題を軽減するものであると同時に、アプリケーションのモビリティを向上する取り組みでもある。

 レイヤ2ゲートウェイは、複数のデータセンター間にまたがって、単一の仮想ネットワークセグメントを構成する働きをする。「あるデータセンター上の仮想ネットワークセグメントと、別のデータセンター上の仮想ネットワークセグメントとをレイヤ2で接続する」と言い換えることもできる。

 構築を支援した日本仮想化技術の伊藤氏の説明によると、もともとNTTドコモでは、既存システムを稼働するデータセンターが、全国をカバーするレイヤ2網に接続される構成となっていた。このWAN網には既存設備もつながっている。これらの既存データセンター上にOpenStack基盤を構築し、既存アプリケーションの移行を進めようとした際のユーザー側からのリクエストとして、IPアドレス構造やルーティングアーキテクチャを変更しないでほしいというものがあった。そこで各OpenStack基盤をレイヤ2ゲートウェイ経由で、全国WAN網に接続する方式を採用した。

 レイヤ2ゲートウェイは、数百のVLANに対応するものでなければならず、数Gbpsの総スループットが要求された。既存機器との接続もレイヤ2で行う必要があった。ショートパケットが多いという特徴もあった。

 今回のOpenStack基盤は、レイヤ3ネットワークとVXLANの組み合わせで構成していたため、VXLANゲートウェイを導入することにしたという。ただし、上記のパフォーマンス上の理由で、ソフトウェアではなくハードウェアのゲートウェイを使うことにした。

OpenStackインフラを、レイヤ2網に接続することで、既存アプリケーションの構成を維持できるようにする必要があった

 結果的にはVXLANゲートウェイを備え、MLAG機能を持つレイヤ3スイッチを導入、Neutron Networking-l2gw機能を使ってこれをコントロールする構成とした。だがNeutron Networking-l2gwは安定した稼働ができなかったため、これを採用せず、手動で制御する仕組みを構築、その後この手動の作業を自動化して対応した。

 第2の機能強化の取り組みであるGPUに関しては、OpenStackで管理される物理ノードが備えるGPUを、仮想インスタンス間で共有する仕組みがある。ただし、この機能は、GPUカードによってはリブートを必要とし、CUDAやドライバに新しいバージョンを必要とする他、リソースの公平な共有が難しいなどの理由で、ユーザーと協議した上で利用した方がいいと話している。

迅速なアプリケーション投入支援への取り組み

リファレンスモデル

 NTTドコモでは、100項目を超えるセキュリティガイドラインがある。ログ、バックアップ、冗長化、暗号化、ログなど、アプリケーションを動かしたいユーザーが対応すべき範囲は広く、これに適合するために大きな労力が必要とされている。アプリケーション投入ごとにセキュリティガイドラインへの適応を、逐一実行するのは、ユーザーにとって大きな負担だ。

 そこで、OpenStack推進チームは、事前定義の「リファレンスモデル」を開発した。これはアプリケーションをデプロイする際に、主にセキュリティ上の要件を満たしたオープンソースソフトウェアを半自動的にインストールでき、追加的な設定もWebインタフェースで容易にできるというものだ。

 天野氏の説明によると、具体的には「Web基本モデル」「Web 3階層モデル」の2種類がある。例えば、WebサーバにApache、ロードバランサにはLVSを導入、さらにHTTPSのダミー証明書など、セキュリティ関連設定の設定を一緒にできるようにしている。リモートアクセスVPNではOpenVPNをインストール。設定では証明書作成などのツールが用意されている。

アプリケーションパターンに基づき、セキュリティ設定込みでインストールできるようにした

 現時点では、この半自動アプリケーションインストールパッケージで、セキュリティポリシーの60%をカバーしているという。今後は欠けている部分をカバーし、100%目指す。

セキュリティアップデート

NTTドコモの天野浩司郎氏

 運用担当者が行っている多くの日常的なセキュリティ関連作業は手作業だ。ベンダーのサイトなどで脆弱性をチェックし、脆弱性のリスクアセスメントを行う。そしてExcelを使い、運用のTo Doリストを作成。実際のアップデート作業を実施するようになっている。

 だが、脆弱性チェックを忘れるなどの人的ミスが避けられない。また、こうした作業に担当者は1日1時間程度の時間を費やさなければならない。クラウドの拡張に伴ってセキュリティオペレーションの重要性が増すことを考えれば、自動化が望ましいということになる。

 これについて、NTTドコモでは、大幅な自動化を取り入れた新たな手法の導入を検討しているという。

 自動システムは、「CVE(Common Vulnerabilities and Exposures)」というオンライン脆弱性データベースにアクセス、情報を取得する。次にCVSS(Common Vulnerability Scoring System)というオンラインツールを用い、再評価を自動的に実行する。そしてTo Doリストを自動的に作成する。

リファレンスモデルはまだセキュリティポリシーの60%程度しかカバーしていない。100%を目指す

 この仕組みは、現在のところ「準自動化」にとどまっているという。脆弱性への対策の際に、ユーザーインスタンスを退避させ、次にインフラに対するアップデートを実施し、インスタンスを戻すという一連の作業を、人によるチェックで滞ることなくできるようにしたいという。ユーザーに対しては、セルフチェックのツールを提供するなどしたいとしている。



Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。