課題を解決

IT人材がいない、足りない、手いっぱいの企業が抱える課題
ネットワーク運用の属人化を解消するVMware NSX Data Centerの活用ポイント(2/3)

2019/04/09

ネットワーク仮想化で属人化を解消するモデルケース

仮想化が“手付かず”で残されたネットワーク運用管理の課題

SB C&S株式会社が、仮想化技術を用いたネットワークセグメント分割のモデルケースとして紹介するのは、神戸市立工業高等専門学校(以下、神戸高専)における取り組みです。

神戸高専は2008年にVMware vSphereを導入し、物理サーバの統合・集約を実施。さらに2013年にはVMware Horizonを導入し、教職員のPCをVDI(デスクトップ仮想化)環境に移行するなど、校内ITインフラの仮想化を進めてきました。ただ、そこで課題として残っていたのがネットワークの運用管理です。

神戸高専では、VMware vSphereベースの仮想マシンを「成績情報/個人情報」「教務系システム」「学生用教育システム」「校務系システム」といった業務内容に応じての4台のホストサーバに振り分けると共に、それぞれを異なるネットワークセグメントに分割して運用しています。しかし、各セグメントに設置されたファイアウォールはセキュリティポリシーの個別管理が必要で、その操作は専門的なITスキルを要する手作業となります。加えて、試験対策用や学生の実習用など一時的に払い出した仮想マシンに対するポリシーの設定・変更なども、情報系学科のネットワークに詳しい1人の教員に頼っているのが実情でした。

「このような属人化を解消するためにも、ネットワーク運用管理をもっとシンプルにすることが急務でした」と小泉氏は説明します。この課題を解決するために神戸高専は、VMware NSX Data Centerをベースとしたネットワーク仮想化の導入へと踏み出しました。

nw-op-nsx-datacenter-usecase-slide-cs-solution

VMware NSX Data Centerの活用 (1)
ネットワークセグメントの分割

神戸高専におけるVMware NSX Data Centerの導入は、大きく2つに分けて行われました。

1つは、VMware NSX Edge Services Gatewayを活用したネットワークセグメントの分割です。VMware NSX Edge Services Gatewayとは、VMware vSphere上で稼働している任意の仮想マシンに対してファイアウォールおよびロードバランサーの機能を提供する仮想アプライアンスです。これにより、従来のルーターに依存したセグメント分割とは何が変わるのでしょうか。

VMware NSXが提供するファイアウォールは、VMware NSX Managerを経由してVMware vCenter Serverと連携させることで、セグメント分割ならびにファイアウォールのポリシー運用をVMware vCenter Serverで一元管理することが可能となるのです。

「ネットワークを流れるトラフィックをフィルタリングするルールとして、IPアドレスはもとより仮想マシン名やホスト名、OS名、仮想スイッチのポートグループなど、VMware vSphere環境を構成するオブジェクトの識別名をそのまま利用できます。また、新たなオブジェクトが追加されたり変更されたりした場合も、それぞれに該当するポリシーが自動的に追加されるなどネットワークの動的な運用管理を実現します」と萩原氏は説明します。そして、「例えば新たな仮想マシンを払い出した際に行うポリシー設定も、すべてVMware vCenter Server上で完結できます」と強調します。

nw-op-nsx-datacenter-usecase-cs02

VMware NSX Data Centerの活用 (2)
マイクロセグメンテーションの実装

2つ目は、マイクロセグメンテーションの実装です。マイクロセグメンテーションとは、セキュリティゾーンを従来のネットワークセグメント単位から仮想マシン単位に最小化し、分散ファイアウォールを配置するものです。VDI環境ならびに「成績情報/個人情報」「教務系システム」「学生用教育システム」「校務系システム」の各ホストサーバ上で運用している仮想マシン間の不必要な通信をシャットアウトすることで、万一マルウェアに侵入された場合でもその拡散を防止します。

nw-op-nsx-datacenter-usecase-slide

おすすめ記事

この記事を読んだ人がよく読む記事

最新の「課題を解決」

人気の記事

関連情報

TOP