VMware

VMware Infrastructure の主な仮想ネットワーク コンポーネントは、仮想イーサネット アダプタと仮想スイッチです。仮想マシンは、1 つまたは複数の仮想イーサネット アダプタで構成できます。仮想スイッチを使用すると、物理スイッチと同じプロトコルを使用して、同じ VMware ESX ホスト上の複数の仮想マシンが互いに通信できます。このとき、追加のハードウェアは必要ありません。Cisco 社などのベンダーが提供する、標準的な VLAN 実装との互換性がある VLANS もサポートされます。

 

仮想マシンとネットワークとの接続

VMware のテクノロジーは、仮想スイッチを経由したローカルの仮想マシン同士のリンクや、外部のエンタープライズ ネットワークとのリンクを可能にします。仮想スイッチは、従来の物理イーサネット ネットワーク スイッチの処理を擬似的に実現するもので、データ リンク レイヤーでフレームを転送します。VMware ESX には、複数の仮想スイッチを設定することが可能です。各仮想スイッチは、それぞれ 1,000 個を超える内部仮想ポートを仮想マシンに提供できます。仮想スイッチは、送信イーサネット アダプタ経由でエンタープライズ ネットワークに接続します。また、仮想スイッチでは、外部接続用に最大 8 個のギガビット イーサネット ポート、または 10 個の 10/100 イーサネット ポートを使用できます。仮想スイッチは、従来のサーバ上での NIC チーミングと同様に、複数の VMNIC を結合できます。これにより、仮想マシンに優れた可用性とバンド幅が提供されます。

仮想イーサネット アダプタ

VMware vSphere では、次の 3 種類のアダプタを仮想マシンに使用できます。

  1. vmxnet は、オペレーティング システムに VMware Tools がインストールされている場合にのみ機能する準仮想デバイスです。このアダプタは、仮想環境向けに最適化され、高いパフォーマンスを実現するように設計されています。
  2. vlance は、AMD Lance PCNet32 イーサネット アダプタをエミュレートします。ほとんどの 32 ビット ゲスト OS と互換性があり、VMware Tools なしで機能します。
  3. e1000 は、Intel E1000 イーサネット アダプタをエミュレートするもので、64 ビット仮想マシンまたは 32 ビット仮想マシンで使用されます。

VMware のテクノロジーでは、このほかに 2 種類の仮想アダプタを使用できます。vswif は vmxnet に類似した準仮想デバイスで、VMware ESX のサービス コンソールで使用されます。vmknic は VMkernal 内のデバイスで、NFS およびソフトウェア iSCSI クライアント用に TCP/IP スタックが使用します。

仮想スイッチ

VMware のテクノロジーには、実行時に要求に応じて構築できる仮想スイッチが含まれます。これにより、次のような機能が提供されます。

  1. レイヤー 2 転送
  2. VLAN のタグ付け、ストリップ、およびフィルタリング
  3. レイヤー 2 セキュリティ、チェックサム、およびセグメント オフロード

このモジュラー型アプローチにより、複雑さが低減し、システムのパフォーマンスが最大になります。VMware の仮想化テクノロジーでは、構成内で使用される特定の種類の物理および仮想イーサネット アダプタのサポートに必要なコンポーネントのみをロードします。また、モジュラー型設計であるため、VMware およびサードパーティの開発者は、将来新しいモジュールを組み込んでシステムを拡張できます。各 VMware ESX ホスト上で、最大 248 個の仮想スイッチを作成できます。仮想スイッチの重要な機能は次のとおりです。

  • 仮想ポート: 仮想スイッチのポートは、仮想デバイス間、および仮想デバイスと物理デバイス間の論理接続ポイントを提供します。各仮想スイッチは最大 1,016 個の仮想ポートを持つことができ、1 台のホスト上の仮想スイッチの最大ポート数は 4,096 個に制限されます。仮想ポートは、接続された仮想イーサネット アダプタと通信するための多彩な制御チャネルを提供します。
  • アップリンク ポート: アップリンク ポートは物理アダプタに関連付けられており、仮想ネットワークと物理ネットワーク間の接続を提供します。アップリンク ポートは、デバイス ドライバによって初期化されるか、仮想スイッチのチーミング ポリシーが再構成されたときに、物理アダプタに接続されます。仮想イーサネット アダプタは、仮想マシンをパワーオンするとき、デバイスを接続するとき、または VMware VMotion を使用して仮想マシンを移行するときに、仮想ポートに接続されます。仮想イーサネット アダプタは、MAC フィルタリング情報が初期化および変更されるときに、仮想スイッチ ポートをその情報で更新します。
  • ポート グループ: ポート グループを設定すると、特定の仮想マシンがすべてのホストに対して特定の種類の接続を行うように指定できます。また、それらの仮想マシンが、仮想イーサネット アダプタに継続的で一貫したネットワーク アクセスを提供するために、十分な構成情報を保持するように指定できます。ポート グループが保持する情報には、仮想スイッチ名、タグ付けとフィルタリングのための VLANID およびポリシー、チーミング ポリシー、トラフィック シェーピング パラメータなどがあります。これらはすべて、スイッチ ポートに必要な情報です。
  • アップリンク: VMware のテクノロジーにおけるアップリンクは、仮想ネットワークと物理ネットワーク間のブリッジとして機能する、物理イーサネット アダプタです。アップリンクに接続される仮想ポートは、アップリンク ポートと呼ばれます。1 台のホストに、最大で 32 個のアップリンクを設定できます。

その他の考慮事項:

  • 仮想スイッチは、転送テーブルを実装するためにネットワークから情報を得ることはありません。これにより、DoS (denial of service) 攻撃のリスクを最小に抑制できます。
  • 仮想スイッチはフレーム データのプライベート コピーを作成して、転送やフィルタリングの決定に使用します。このため、仮想スイッチにフレームが転送されると、ゲスト OS が機密データにアクセスすることはできません。
  • VMware のテクノロジーでは、1) 仮想スイッチを経由するデータをフレーム外に配置するため、また、2) 分離トラフィックのリークを招き、データを危険にさらす可能性のある動的トランキングをサポートしないため、仮想スイッチ上の適切な VLAN 内にフレームが保持されます。

仮想スイッチ vs 物理スイッチ

仮想スイッチは、多くの点で、最新の物理イーサネット スイッチに類似しています。物理スイッチと同様に、仮想スイッチも MAC: ポート転送テーブルを保持し、フレーム送信先検索とフレーム転送を実行します。また、ポート レベルでの VLAN セグメンテーションもサポートするため、各ポートをアクセス ポートまたはトランク ポートとして構成でき、単一または複数の VLAN へのアクセスを提供します。ただし、物理スイッチとは異なり、仮想スイッチではスパニング ツリー プロトコルは不要です。これは、VMware Infrastructure 3 で単層ネットワーク トポロジーが適用されるためです。複数の仮想スイッチを相互接続することはできません。つまり、ネットワーク トラフィックは、同一ホスト内の 1 台の仮想スイッチから別の仮想スイッチへ直接流れることがありません。仮想スイッチの場合、必要なすべてのポートが 1 台のスイッチで提供されます。仮想スイッチをカスケード接続したり、仮想スイッチの接続エラーを防止する必要はありません。また、仮想スイッチは物理イーサネット アダプタを共有しないため、スイッチ間のリークも発生しません。各仮想スイッチは分離され、それぞれ独自の転送テーブルを保持します。このため、スイッチが検索する各送信先は、フレームの送信元となったポートと同じ仮想スイッチのポートのみと一致します。この機能により、セキュリティが強化され、ハッカーが仮想スイッチの分離を打破することが困難になります。

次のステップ

仮想ネットワークの作成と構成の詳細を確認し、最大のスケーラビリティとネットワーク スループットを実現するためのベスト プラクティスおよびリソースを参照できます。

TCO Calculator の使用

大幅なコスト削減の実現

今すぐ試用する