VeloCloudは、アプリケーションパフォーマンス管理を指向するSD-WAN：SD-WANは、何をしてくれるのか（2）

　本連載の第1回では、SD-WAN製品／サービスの概要を説明した。だが実際には、この種の製品は非常にバラエティに富んでおり、力を入れているユースケースや機能にはかなりのばらつきがある。正直なところ、一般化した説明は非常に難しい。そこで今回より、SD-WAN関連ベンダー各社の狙いや注力機能を、幹部へのインタビューに基づいて、1社ずつ紹介する。

　最初に紹介するのは米VeloCloud。以下は、同社アジア太平洋担当リジョナルバイスプレジデントであるJoseph Chung（ジョセフ・チャング）氏への取材を基にしている。

VeloCloudはハイブリッドWANとVPN集約が最大の特徴

　VeloCloudは、Viptela、CloudGenixなどと並ぶ、SD-WANに特化したスタートアップ企業だ。同社の事業は製品とサービスで成り立っている。製品の仕組み上の特徴は、同社がAmazon Web Services（AWS）やエクイニクスなどのパブリッククラウド／データセンター上で稼働させるゲートウェイによって、通信の計測や仲介といった機能を果たすことだ。これによってサービスに付加価値を与えている。

　SD-WANでは、ハードウェア製品の販売を主な収益源とするベンダーがあるが、VeloCloudは自社を「ソフトウェア企業」だと表現する。その言葉通り、同社ではCPEを機器としてだけでなく、仮想マシンとしても提供している。さらにはシスコシステムズと連携し、シスコのルータ上で、このソフトウェアを動かしている。販売／OEMパートナー連携にも力を入れており、日本では、例えばネットワンシステムズが同社の製品を使ったサービスを提供している。

　VeloCloudが取り組む根本的なテーマについて、Chung氏は、「アプリケーションレベルでのユーザー体験をどう向上するか」だと表現している。この観点から、同社製品の特長として特筆したいのは「きめの細かいハイブリッドWAN機能」と「VPN接続の集約機能」だ。この2つを軸として、ユースケースを広げている。

　つまり、ハイブリッドWAN機能は、きめ細かな制御が実現できれば、単なる「プライベートWANのコスト削減策」ではなくなる。IP通話サービス（VoIP）、ビデオ会議、デスクトップ仮想化、パブリッククラウド／SaaSなど、さまざまな方向のネットワーク通信が関わる多様なアプリケーションを混在させながら、自動的に交通整理できる。言い換えれば、企業はさまざまなアプリケーションのパフォーマンス管理を、統合的に実施できるようになる。また、VPNの集約機能により、数千拠点対1拠点のVPN接続といった構成もでき、パブリッククラウドへのVPN接続数制限の克服も可能だという。

　次に、この2つのポイントそれぞれについて説明する。

「ハイブリッドWAN」にもいろいろなレベルがある

　本連載の第1回で説明したように、ハイブリッドWANは多くのSD-WAN製品における基本機能となっている。「専用線をはじめとするプライベートWANサービスに掛かるコストを削減できる」と言えば、メリットが分かりやすいからだ。だが、「ハイブリッドWAN機能」にも、さまざまなレベルが考えられる。VeloCloudは、おそらく現在のSD-WAN製品の中で、最もきめ細かなハイブリッドWAN機能を備えている。

　最も基本的なレベルのハイブリッドWAN機能は、アプリケーション単位で異なる通信サービスへ固定的に割り当てるものだ。例えば遠隔拠点から社内業務アプリケーションへのアクセスは専用線、社内のビデオ会議についてはIP回線を通るように設定できる。ハイブリッドWAN機能を搭載する全てのSD-WAN製品は、このレベルをクリアしていると考えてよい。プロトコルでなく、アプリケーションで指定できると、セキュリティにおける次世代ファイアウォールのように、通信をポリシーとして制御できるようになる。これだけでも一定のメリットはある。

　VeloCloudでは、各アプリケーションにSLAを設定できる。さらに複数のネットワーク間における動的なアプリケーショントラフィックの振り分けを組み合わせることで、積極的なアプリケーションパフォーマンス管理が可能になる。

　通信の振り分けは、各回線のモニタリング結果に基づき、アプリケーションのSLA設定との関係で、自動的にパケット単位で実行するという。複数の回線サービスを1つのグループにまとめ、単一のアプリケーションのトラフィックを、このグループに設定することも可能だ。これにより、対象アプリケーションのトラフィックは、グループ内の回線間で常時最適化できる。この場合でも、SLAが満たせなくなったら他の通信サービスにフェイルオーバーする、あるいはデフォルトで利用する通信サービスに通信断が発生したら切り替える、といった設定ができる。

回線モニタリングに基づき、回線サービスを使い分けてアプリケーションの品質を維持する（ネットワンシステムズ提供）

　こうした仕組みにより、ビデオ会議やVoIPのようなアプリケーションでも、積極的な通信品質の維持、あるいは向上が図れるとする。

また、VeloCloudではバックアップ回線を指定できる。例えばLTEなどの通信サービスを、完全な非常用として設定、平常時は利用しないようにしておきながら、メイン回線の接続断を受けて自動的に1秒以内で切り替えるといったことが実現できるという。あるいはコンシューマーインターネット回線をバックアップ用に用意しておきながら、平常時にも一部のトラフィックを流して有効活用することができるという。

　これら全てを通じ、アプリケーション単位で通信状況を可視化、これに応じて各アプリケーションの回線利用構成を変えられるとしている。

　このように、アプリケーションの通信品質管理を積極的に行えることから、例えばVoIPサービスを提供する米Vonageは、VeloCloudを自社サービスにバンドルして販売しているという。

　「Vonageは、顧客企業におけるWAN接続の品質が原因で自社サービスを顧客に使ってもらえないことがある。VeloCloudをバンドル提供することで、通信回線の増強などの負担を顧客に強いることなく、自社サービスが良好な品質で届けられる。ビデオ会議やデスクトップ仮想化でも同じようなことがいえる。こうしたケースでは、アプリケーションの利用自体を可能にする役割を、VeloCloudが担っていると表現できる」（Chung氏）

VPN集約機能とインターネットアクセスのオフロード

　これも連載第1回で触れたが、各拠点からのインターネットアクセスを、本社データセンター経由ではなく直接行えるならば、本社データセンターと各拠点間のWAN接続コストを節約できる可能性が出てくる。これは、SaaS利用、パブリッククラウドへのVPN接続、一般的なインターネットアクセスの3つに分けて考えることができる。

　3つのうち、SaaSアクセスのオフロードは簡単だ。一般的なSD-WANソリューションなら特定SaaSへのアクセスをインターネット経由に設定するだけでいい。SaaSアクセスは一般的にSSL/TLSで暗号化されているので、特別のセキュリティ対策は不要だ。

　一方、各拠点からパブリッククラウドへの直接VPN接続では、VPN集約機能が役立つ。VPN集約機能とは、複数のVPN接続を、単一のVPN接続にまとめ上げる機能を指す。この機能はVeloCloudのゲートウェイで実行される。これにより、企業の本社などが複数の拠点とVPN接続を行う場合でも、単一のVPN接続をすればよくなる。VPNは、接続数が増えるほど、各拠点の通信機器に負荷が掛かるが、単一の接続に集約できれば、過剰な負荷は発生しにくくなる。

　この機能を、パブリッククラウドへの接続に活用できる。AWSでは、IPsec VPNでAmazon VPCに接続できる。だが、1アカウントで利用できる同時VPN接続数には制限がある。VPN集約機能により、このAWSの制限を回避できる。そこで、企業の各拠点からAmazon VPCへの個別的な直接VPN接続が、現実的な選択肢として考えられるようになる。こちらもVPNで守られているため、特別のセキュリティ対策は不要だ。

残るは、各拠点からの一般的なインターネットアクセスのオフロードだが、これを実現するには、セキュリティ対策を考えなければならない。VeloCloudでは各拠点に設置する同社のCPE機器に、ファイアウォール機能を搭載している。また、VeloCloudを採用したSD-WANサービスの事業者は、ゲートウェイでセキュリティ機能を付加価値サービスとして提供することができる。

　以上をまとめると、VeloCloudは「各種の回線サービスを抽象化し、企業WANとクラウドにまたがって、それぞれのアプリケーションやサービスの品質を維持するためのツールを提供するSD-WAN製品」だと表現できる。