SaaS型アプリ利用の増加で注目を集めるのが「ローカルブレークアウト(インターネットブレークアウト)」だ。ローカルブレークアウトを実現する重要な技術がSD-WANだが、日本での普及はこれからと見られる。基礎情報、選定のポイントを解説する。
業務アプリケーションの多くをクラウドで利用するようになった現在、企業内ネットワークからインターネットへのアクセス数は飛躍的に伸びた。そのため、WANを介して本社ゲートウェイからインターネットにアクセスさせるような、従来型のネットワーク設計ではレスポンスの遅延を招くだけでなく、セッション数に上限のあるファイアウォールやプロキシでは対処し切れなくなる可能性が出てきている。このようなネットワーク環境の課題を解消すると期待されているのが「SD-WAN」(Software Defined Wide Area Network)だ。
「SDN」(Software Defined Networking)で培った技術をWANに適用したSD-WANは、ソフトウェアでWANを制御する技術だ。
SD-WANを活用すれば、例えばアプリケーションの優先順位やネットワークの利用状況、セキュリティレベルなどを軸に、MPLS網やインターネット網、LTE網などを柔軟に切り替られるようになる。
またルーターなどハードウェアに依存したルーティングに比べ、柔軟なネットワーク設計が可能で、遠隔から一括で設定変更などを実行できる。こうした特性から拠点のネットワーク構築がシンプルになり、日々の運用管理の負担を大幅に軽減できる。人的リソースの限られたシステム部門にとってありがたい仕組みだろう。
SD-WANというキーワード自体は2014年ごろに登場したもの。日本に比べてMPLS網が高価な米国などでは、既にSD-WANソリューションが浸透し始めている。日本でも拠点を多く抱える製造や金融等の業界を中心に導入が進み始めている状況にある。
今SD-WANが注目される背景には、企業でのクラウドサービスの利用拡大がある。これまでの企業インフラとしてのネットワークの多くは、本社と拠点をつなぐ回線をMPLSなどの閉域網で接続し、インターネット向けの出口は本社などのセンターに集約するネットワーク構成が主だった。この構成であれば、インターネット向けの出入り口にファイアウォールやプロキシなどを設置して運用すれば、統制がとれたセキュアな環境を整備できる。
しかし、クラウド利用が広がりインターネットへのアクセスが増大すると、1カ所からインターネットへ抜ける従来型の構成では、レスポンス的にも遅延が発生しやすくなり、さらにクラウドサービスを利用する際に対応できるセッション数が既存プロキシでは足りなくなるなど、さまざまな課題が顕在化してきた。
そこで、注目されているのが「ローカルブレークアウト」だ。
ローカルブレークアウトは、拠点から全ての通信をセンターに集めるのではなく、特定のクラウドサービスだけは拠点から直接インターネットに通すことでWANのトラフィック負荷を低減する手法だ。SD-WANを利用すれば、特定のクラウドサービスのみインターネットに直接ルーティングすることで、ローカルブレークアウトが容易に実現できるようになる。このローカルブレークアウトに関する要望が、SD-WAN導入の大きな動機になっているケースは少なくない。
SD-WANは既に数年前からキーワード化されていたものの、米国に比べて日本では導入が進んでいないのが実態だろう。もともとSD-WANは、ソフトウェアによってWANの柔軟な運用を可能にする仕組みであり、初期設定の容易さや設定の一括変更など運用における利便性が大きなメリットになるものだ。
しかし、日本企業の場合はネットワークの運用管理を自社ではなく通信事業者やSIerなどに委託しているケースが多く、運用負担の軽減に役立つSD-WANが魅力的なソリューションとして見えにくい。つまり、ネットワークの自由度がもたらす付加価値を定量化しづらいのだ。SD-WANによって運用を委託している保守費用が大きく削減できるのであれば検討する企業は飛躍的に増えるはずだが、SIerに運用委託している場合はそのコストが見えづらく、なかなか広がっていかないという事情もある。
それでも、ローカルブレークアウトによるプロキシ負荷の軽減や回線コストの削減など定量化しやすい硬貨がメリットとして見え始めており、ネットワーク更改に合わせてSD-WAN検討を進める日本企業が増えつつあるのは間違いない。
実際にSD-WANを実装する場合はどういった構成になるだろうか。基本構成と目的別の構成、それぞれのメリットを見てみよう。
システム構成としては、SD-WAN全体を管理するコントローラーをオンプレミスやクラウドホストに設置し、各拠点にはSD-WANに対応したルーターを設置する。
仕組みとしては、管理パケットをやりとりする「コントロールプレーン」と実際のデータをやりとりする「データプレーン」を分離させることで、拠点同士でフルメッシュ通信を可能にしている。これまでの一般的なネットワーク構成との違いは、拠点からの経路を複数用意し、利用するアプリケーションや回線の逼迫(ひっぱく)具合に応じてダイナミックに経路を選択できる点だろう。
拠点側でゲートウェイとして機能するSD-WANルーターは、DPI(Deep Packet Inspection)を実施してアプリケーションを識別し、複数の網サービスへのダイナミックな経路制御を実現する。さらにWebアプリケーションファイアウォール(WAF)や侵入検知システム(IDS)、不正侵入防御システム(IPS)などのセキュリティ機能を生かして高度なセキュリティ環境を拠点に実装することも可能だ。
ここではSD-WANを利用した場合の代表的なメリット4つを紹介しよう。帯域の有効活用やコンプライアンス、コスト削減なども期待できる。
(1)複数WAN回線を利用した最適化
拠点のSD-WANルーターでアプリケーションを識別し、最適な経路を割り当てることでネットワークの負荷軽減に役立つ。サービス品質の異なる複数のWAN回線を全てアクティブな状態で運用すし、アプリケーションごとに使い分ければ利用できる帯域幅を拡大させることも可能だ。アプリケーションの優先度に応じてサービス品質の高いWAN回線を利用することもできれば、遅延やジッタ、パケットロス率などからどのWAN回線にルーティングするのかを動的に決定できるようになる。
また、SD-WANオーバーレイでネットワークを論理的に分割する「セグメンテーション」という機能もある。部門ごと、あるいはアプリケーションごとなどで論理ネットワークを分けることで、セキュリティやコンプライアンスレベルを維持できる。物理WAN回線が1本しかない場合でも複数の論理ネットワークを設定できるので、これまでセキュリティやコンプライアンスを理由に複数回線を引き込んでいた場合などは、回線集約の効果を見込むこともできる。
(2)拠点から直接SaaSにアクセスするローカルブレークアウト
ローカルブレークアウトによるインターネット接続効率化は、最も期待されているSD-WANのメリットの1つだ。「Office 365」をはじめとしたパブリッククラウドへのアクセスを、センターを経由にせず、拠点のSD-WANルーターから直接インターネットにダイレクトアクセスさせられる。ルーターでアプリケーションを識別し、特定のSaaSへのトラフィックだけをインターネットに向けることで遅延を解消し、より快適なSaaS利用が可能になる。センターに集中していたファイアウォールやプロキシのボトルネックも解消できる。
SD-WANでは必ず各拠点からローカルブレークアウトさせる必要はなく、地域の中継拠点を幾つか指定する方法も選択できる。全リモート拠点からのブレークアウトする場合のセキュリティ懸念に対処しつつ、データセンター拠点のファイアウォールやプロキシのリソース不足にも対応できる。
また、IaaSに仮想SD-WANルーターを配置すればIaaSにSD-WANを拡張でき、あたかも自社の物理拠点であるかのようにトラフィックを運用し、可視化することもできる。
(3)事前設定が不要なゼロタッチプロビジョニング
拠点のネットワーク環境を整備する際、通常であれば設置するルーターなどの初期設定を現地で行い、ネットワークを構築していくのが一般的だ。SD-WANであれば工場出荷のまま現地にSD-WANルーターを送り、ネットワークに物理的に接続するだけでよい。
DHCPサーバから自動的にIPアドレスを取得し、設定情報のある事業者側のサーバへ自ら接続を試みることで、事前設定なしでもルーターに必要な環境をダウンロードできる(「ゼロタッチプロビジョニング」)。拠点数が多いほど環境整備の手間を大きく軽減できる。小規模な拠点では現地にネットワークエンジニアがいないこともあるが、こうした場合でもネットワークにルーターを接続するだけで自動的に設定が実行される。
(4)コスト削減
WAN回線の自由度を高めることで柔軟な運用が可能になるSD-WANだけに、初期設定や運用に入った後の変更、WANの可視化による障害対応など運用工数の削減はもちろん可能だ。ただし、外部にネットワーク運用を委託する場合、その効果は保守費の低減などがない限り見えにくいところだろう。
では、分かりやすいコスト削減のポイントはどこにあるのだろうか。具体的には、従来広帯域なMPLS網を利用していた部分の1部を安価なインターネットVPNに切り替えることでのコスト削減効果は分かりやすい。また、複数回線に分散することで、これまで使っていなかったバックアップ回線も有効利用しながら総契約帯域を絞ることでコスト効果を出すことも可能だろう。これまで拠点ごとに設置してきたWAN高速化やセキュリティ関連機器をSD-WANルーターに集約することで、専用機器を減らすということもコスト削減として示せる企業もあるはずだ。
最後にSD-WANを検討する際にどんな点を見ておくべきなのか、選び方の勘所について紹介する。
SD-WANを自社で導入する場合、集中管理で制御するSD-WANコントローラーと各拠点に設置してゲートウェイとしての機能するSD-WANルーターがやりとりしながらWAN全体のトラフィックを制御する。この制御の仕組みは各社独自の実装があるため、複数のベンダーを混在させるような運用は難しい。つまり、ある特定のアーキテクチャを採用すると後から変更するのは困難だ。製品選定では機能を重視する傾向にあるが、クラウド時代の今では、求められる機能は後から追加されることも多く、機能の優劣は大きな差にならない。だからこそ、変更の効きにくいアーキテクチャをしっかり見極めた上で、SD-WANを選択することが求められる。特に制御プロトコルやDPIの性能、スケーラビリティに寄与する技術など、技術の根幹となる部分を十分に吟味し、判断していきたいところだ。
SD-WANの実装はそれぞれのベンダーに依存するものが多く、技術面の特性はぞれぞれが独自の優位点を持つ。例えば仮想化ベンダーが提供するSD-WANは、データセンターから拠点までエンドツーエンドでセグメンテーションが可能なため、SD-WANにとどまらずSD-LANの世界も実現するものだ。また、宅内ないしオフィス内に設置される既存のCPE(Customer Premises Equipment)に対してVNF(Virtual Network Function)機能を提供するタイプのソリューションならば、新たな機器導入を最小限におさえることも可能だ。この他、WANへの通信を差分だけ送ることで高速化するソリューションも存在するなど、各社それぞれ特徴を持った展開をしている。導入に際してはこのあたりの技術的な差異も見極める必要があるだろう。
SD-WANは、ルーターやスイッチなどのネットワーク機器ベンダーの他、WAN回線を取り扱う通信事業者、NIer、仮想化ベンダーなどさまざまな企業がサービスを提供している。特にネットワークに関連したサービスだけに、WAN回線を扱う通信事業者が積極的にサービスを展開しているため有力な選択肢の1つとなり得る。ただしSD-WANのメリットとして、最適なWAN回線を通信の状況やアプリケーションに応じて柔軟に制御できることが大きな特徴になるため、特定キャリアのサービスを利用すると、複数キャリアの回線を柔軟に使い分けるといったことは難しい。回線の冗長化も意識するのであれば、複数のキャリアが選択できる環境の方が望ましいケースもある。もちろん、人的リソースの観点からWAN回線は全てキャリアに任せることも選択肢としてはありだろう。自社の置かれた状況に応じて選んでいきたい。
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。