Special
» 2017年05月11日 10時00分 公開

「従来型のネットワーク構成」がクラウド活用の足かせに?:Office365などSaaSの性能問題を解決。帯域を圧迫しない「クラウド時代のネットワーク構成」に簡単に変える方法

クラウドサービスは便利なものだが、活用が広がるにつれ、幾つかの課題も浮上してきた。特に、複数の拠点と本社データセンターとをWAN回線で結び、インターネット接続を集約するタイプのネットワーク構成では、ネットワークがボトルネックになり、サービスのレスポンスが悪化してしまう。クラウドを前提とした今の時代、どのようなネットワーク構成が最適なのだろうか?――その現実解となるのが、インターネットを生かしたハイブリッド型のWANと、それを実現するためのジュニパーネットワークスの拠点向けセキュアルーター「SRXシリーズ」だ。

[PR/@IT]

“教科書通りのネットワーク構成”、クラウド時代には不向き?

 経営環境変化が速い近年、企業が競争を勝ち抜く上では、ITの力を駆使したスピーディなビジネス展開が必須となっている。そんな中で、Office 365やDropbox、Amazon Web Services(AWS)をはじめとするクラウドサービスが果たす役割は年々増している。顧客やパートナーのニーズに応じて迅速にビジネスを進める上で、必須のスピード、柔軟性を提供してくれるからだ。

 だが一方で、クラウドサービスの普及はIT管理者に新たな課題を突き付けている。各従業員がOffice 365などのSaaSを利用し始めた結果、インターネットへの通信量やセッション数が跳ね上がり、ネットワークやプロキシサーバがボトルネックになっているのだ。

 従来のネットワークアーキテクチャでは、各拠点をWAN回線で結んで、全てのトラフィックをいったんデータセンターや本社側に集約し、そこでさまざまなセキュリティ制御をかけた上でインターネットに接続してきた。こうした中でOffice365などのクラウドサービスを利用すると、帯域はもちろん、多くのセッションも消費するため、データセンター側のファイアウォールやプロキシサーバ機器の帯域・リソースがボトルネックになる。その結果、クラウドサービスの性能が大きく低下してしまうのだ。

ALT 図1 データセンターにトラフィックを集約する従来のネットワーク構成では、帯域・リソースが不足してネットワークがボトルネックとなり、クラウドサービスの性能が低下してしまう

 確かに従来のネットワーク構成は、クライアントサーバ型の社内システムを利用するには向いていた。だがクラウドを前提とした今の時代には、それに合わせてネットワークの作り方も変えていく必要がある。ではいったいどのような姿が望ましいのだろうか?

インターネットを生かしたハイブリッド型のWANを作る

 その解となるのが、一極集中型のWAN構成をやめて、アプリケーションの種類によっては各拠点からインターネットに直接接続させるハイブリッド型のWANである。例えば、業務アプリケーションのトラフィックは従来通りWAN回線を介してデータセンターに通し、Office 365などクラウドサービスのトラフィックは本社データセンターに集約せず、各拠点からインターネット回線に直接流すアプローチだ。

ALT 図2 業務アプリケーションのトラフィックは従来通りWAN回線を通してデータセンターを通す。一方、クラウドサービスのトラフィックは直接インターネットに流すことで性能を向上させる

 これならデータセンター側のネットワークやプロキシサーバがボトルネックにならないため、業務に必要なOffice365などのクラウドサービスの快適性を損なうことはない。データセンター側のファイアウォールやプロキシサーバに必要な性能やWANの必要帯域も下がるため、コスト面でも大きなメリットがある。

セキュアルーター「SRXシリーズ」を各拠点に配置するだけで実現するハイブリッド型のWAN

 このように、「インターネットを生かしたハイブリッド型のWANを構成することで、ネットワーク制御のポイントをデータセンター一極集中から各拠点に分散するとともに、アプリケーションの種類に応じてきめ細かくコントロールする」アプローチを提案しているのが、長らくキャリアやエンタープライズ向けにルーターやセキュリティアプライアンスを提供してきたジュニパーネットワークスだ。

 セキュアルーター「SRXシリーズ」を各拠点に配置し、アプリケーションに応じて、ルーティングごと最適化する。より具体的には、拠点側の機器(SRX)でアプリケーションの種類を識別し、その重要度に応じてトラフィックに優先度をつけたり、ルーティングを切り替える。これにより、従来のWANとインターネットを使い分ける仕組みだ。

 このSRXシリーズは、ルーターとしての機能に加え、ファイアウォールやVPN、アンチウイルスやアンチスパム、URLフィルタリング、サンドボックスといった複数のセキュリティ機能を1台でまかなえるセキュアルーターだ。

ALT 図3 SRXシリーズが備える各種セキュリティ機能。後述するSRXの仮想アプライアンス「vSRX」も全く同じ機能を備える

 ジュニパーネットワークスが長年にわたって提供してきた専用OS「JUNOS」をベースに多彩なセキュリティ機能を搭載し、クラウド上に構築された脅威インテリジェンスと連動することで、最新の脅威に対処できる点を特徴としている。数十人単位の小規模拠点から、数千ユーザーが利用する大規模拠点まで、幅広い規模に対応した複数のモデルを用意しており、環境に応じて選択できる。

ALT 図4 アプリ単位の制御、QoS、そしてルーティングを可能にするジュニパーの「SRXシリーズ」。求める規模に応じた製品をラインアップしている

アプリケーションに応じてWANとインターネットを使い分けることが可能に

 このようにセキュアルーターとして多彩な機能がある中で、前述のように「アプリケーションの種類を識別し、それに基づいてきめ細かくトラフィックを制御する」のが「AppSecure 2.0」(以下、AppSecure)という機能だ。

 このAppSecureは、複数のテクノロジーで構成されている。ジュニパーから提供されたアプリケーションシグネチャにより約3500以上のアプリケーションを識別して可視化する「AppTrack」をベースに、その情報を活用してセキュリティポリシーを適用し、通信の可否を制御する「AppFW」、QoS(Quality of Service)を適用して適切な帯域を割り当てたり、制限したりする「AppQoS」、そしてアプリケーションに基づいて経路制御を行う「APBR (Advanced Policy-Based Routing)」だ。AppTrackでは各アプリケーションに「AppID」を割り当てて識別するが、この際、カスタムシグネチャを定義することで、独自開発のアプリケーションに対応することもできる。

 なお近年、クラウドサービスやSNSの普及に伴い、IPレベルだけではなく、「アプリケーションレベルで通信を識別し、アクセスの可否を制御できる」機器が登場している。SRXシリーズもその一種といえるが、「アプリケーションの種類に基づいたルーティング」ができるのがSRXの大きな特徴だ。具体的には、APBR機能によって、通信元/通信先のIPアドレスやポート番号だけではなく、AppIDに基づいてルーティングを行い、通信を最適化できる。

ALT 図5 アプリケーションに基づくルーティングが可能なAPBR (Advanced Policy-Based Routing)はSRXシリーズの独自機能

 これにより、例えばインターネットVPNをWANとして活用している環境では、同じWeb通信でもAppIDに基づいて、「業務アプリケーションは従来通りデータセンターに」「YouTubeの動画など業務とは関係のないもの、Office365などネットワークに高負荷がかかるアプリケーションはインターネットに」ルーティングし、かつQoSを適用して最大帯域を絞るといった具合に、アプリケーションの重要度・優先度に応じたトラフィックのステアリングと帯域制御を同時に行える。

 さらに、TLSプロトコルの拡張情報を活用することで暗号化通信も識別・可視化し、制御可能なことも特徴だ。この機能などを活用すれば、ログ取得のために各拠点にプロキシサーバを用意する必要もなくなる。

 SRXシリーズを全国各地に散在する拠点に導入することによって、アプリケーションレベルでトラフィックを把握し、クラウドサービスを適切に利用しつつ、業務に必要なアプリケーションの帯域を確実に確保できるようになる。事実、このようにSRXシリーズをセキュアルーターとして活用している事例が米国には多数ある他、日本国内でも数多くの店舗や拠点を抱える企業が採用を検討しているという。

導入はネットワークにつないで電源を入れるだけ。各種自動化も搭載し管理は簡単・確実

 IT管理者の視点で見ると、アプリケーション識別機能とルーティング機能によってデータセンター側のボトルネックは解消されることになる。センター側の機器を取り替えたり、ロードバランサーを導入するといったネットワーク構成の“大手術”を行う必要もない。

 ただ、別の課題が頭をもたげる。それはこうして導入した環境を、限られたリソースで確実・効率的に運用できるのか、ということだ。実際、@ITが2016年4月から5月にかけて行った「ネットワーク運用管理に関する調査」でも、回答者の約60%に「設定変更時の作業ミスによってサービスに影響を出してしまった経験がある」という。そこでネットワーク運用の自動化によって、こうしたミスの削減、運用負荷の軽減が可能になるのでは、という期待が寄せられている。

 ジュニパーネットワークスはこうした声に応えて、定型作業の自動化による作業時間短縮とオペレーションミス削減を目指しており、SRXを含めた各製品に運用自動化機能を実装している。オープンソースソフトウェア「Ansible」などのツールを用いて高度な環境構築を自動化することもできる。

 さらに、JUNOS搭載製品を全て一元管理できる「Junos Space」や、SRXシリーズが提供する各種セキュリティ機能を一元管理する「Security Director」も用意。これらを活用すれば、ネットワークの導入から運用まで、ルーティングからアプリケーションレベルのセキュリティまで、全てを統合管理できる。「AppTrackで把握したアプリケーションの利用状況を可視化した上で、QoSを調整して全体最適化を図る」「どのようにネットワークキャパシティを強化していくかといった将来計画を立案する」といったことも可能だ。

ALT 図6 直感的に状況を把握し、セキュリティ機能を一元管理できる「Security Director」の管理画面イメージ

 無論、「全国津々浦々に広がる拠点にSRXシリーズをどのように配備し、適切な管理を行うか」という導入・設定時の不安に応えていることは言うまでもない。エンジニアを派遣して、いちいち設定作業を行っていては、スケジュール調整だけでもひと仕事になる。せっかくクラウドサービスを活用してビジネスを加速させようとしているのに、その有効活用のためにネットワーク機器の配備が足かせになってしまっては本末転倒だ。

 具体的には、機器導入の手間を大幅に省く「Zero Touch Provisioning(ZTP)」を用意している。拠点にSRXシリーズ本体が到着したら、電源とネットワークケーブルをつなぎ、機器の電源を入れるだけで、必要なOSと設定ファイルが自動的に投入、適用される仕組みだ。設定ファイルの投入方法も「USBメモリを用いる方法」「L2ネットワーク経由で投入する方法」「L3ネットワーク経由で投入する方法」と、運用形態や企業の事情に合わせて複数の選択肢を用意している。これにより、必ずしも専門的な知識を持った技術者が拠点側にいなくても、少ない手間で設定ミスなく運用を開始できる。

オンプレミスもクラウドも、同じ操作で一元管理可能

 以上のように、ジュニパーネットワークスは「生産性を高めたい」「従業員が効率的に仕事を進められるようにしたい」というニーズを見据え、その手助けになるべきネットワークが「足かせ」にならず、確実に「手助け」として機能する数々の手段を用意している。

 それも「既存のネットワークにあまり手を加えることなくシンプルに解決したい」という企業に向けたSRXシリーズを活用する方法から、通信事業者やデータセンターが求める高度な制御を実現するSD-WAN(Software-Defined WAN)に至るまで、規模、目的、運用方法に応じた、さまざまな選択肢を用意している点が特徴だ。

 「オンプレミスのシステムだけではなく、AWSなどを活用してハイブリッドクラウドを実現したい」というニーズにも対応していることは言うまでもない。具体的には、SRXシリーズと全く同じ機能を仮想アプライアンスとして提供する「vSRXシリーズ」を用意。これを活用すれば、オンプレミスもクラウドも、同じ管理インタフェースから、同一のポリシーの下で一元的に運用できる

ALT 図7 「vSRX」と「SRX」、また「Security Director」を組み合わせればオンプレミスとクラウドのハイブリッド環境を一元管理できる

 デジタルトランスフォメーションの潮流も高まる中、ビジネスニーズの変化に対し、いかにスピーディかつ柔軟に応えられるかが企業にとって差別化の一大要件となっている。ジュニパーネットワークスでは、今後も“自社ビジネスを支える自社独自のインフラ”に、常に最適なネットワーク環境を提供してくれるはずだ。

Copyright© 2017 ITmedia, Inc. All Rights Reserved.


提供:ジュニパーネットワークス株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2017年10月18日

Interop Tokyo 2017特集

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。