2017年 秋期 応用情報技術者試験 問5
SDN(Software-Defined Networking)を利用したネットワーク設計
T社は,中小企業向けにIaaSを提供する会社である。国内2か所にデータセンタをもち,約100社の顧客にサービスを提供している。T社では,既存のデータセンタが手狭になってきたので,データセンタを新設することになった。
新設するデータセンタ(以下,新データセンタという)では,複数顧客の仮想サーバを一つの物理サーバに配備するマルチテナント方式を採用する。ネットワークについても,ソフトウェアによって仮想的なネットワークを構築する技術であるSDNを用いて,顧客ごとに独立した仮想ネットワークを迅速かつ柔軟に構築することを目指している。T社ネットワークサービス部のS君が,SDNを用いた仮想ネットワークの検証を行うことになった。
【検証対象の仮想ネットワーク】
検証対象は,図1に示す二つの顧客のネットワーク構成を想定した仮想ネットワークである。顧客Y,Zの LANとも,同じネットワークアドレス192.168.0.0/24が利用されている。
【新データセンタの検証環境構築】
S君は,新データセンタに設置予定の物理L2SW,物理サーバ,SDNコントローラを利用して検証環境を構築した。S君が構築した検証環境の構成を図2に示す。各物理サーバには仮想化ソフトウェアをインストールして,複数の仮想サーバ・FWと一つの仮想L2SWを定義した。仮想サーバや仮想FWは仮想L2SWに接続し,仮想L2SWの1番ポートは物理L2SWに接続する。仮想L2SW及び物理L2SWは,SDNコントローラで定義したルールに従って,イーサネットフレーム内の送信元MACアドレスと宛先MACアドレスに応じて,イーサネットフレームをL2SWのどのポートに転送するかを制御する。
S君は,図1に示す二つの顧客のネットワークを図2の環境で構成するために,各顧客のサーバとFWを表1のように割り当てた。
| 項番 | 顧客 | サーバ・FW | 割当て先仮想サーバ・FW | 割当て先仮想MACアドレス |
|---|---|---|---|---|
| 1 | 顧客Y | APサーバ | 仮想サーバ#1 | aaa |
| 2 | 顧客Y | DBサーバ | 仮想サーバ#9 | bbb |
| 3 | 顧客Y | FW | 仮想FW#1 | ccc(LAN側),mmm(WAN側) |
| 4 | 顧客Z | Webサーバ | 仮想サーバ#16 | ddd |
| 5 | 顧客Z | FW | 仮想FW#4 | eee(LAN側),nnn(WAN側) |
表1の割当てを行った図2の検証環境において,顧客YのPCから顧客YのAPサーバにアクセスする場合,FWとAPサーバの間を流れるAPサーバ向けイーサネットフレームの送信元MACアドレスはa,宛先MACアドレスはbとなる。
同一顧客のネットワーク内の機器が相互に通信できるように,物理L2SW及び仮想L2SWのネットワーク情報をSDNコントローラに設定した。物理L2SW#1の通信制御テーブルの内容を表2に示す。
新データセンタに設置する物理L2SW及び仮想L2SWは,各ポートから入力されたイーサネットフレームに対して,通信制御テーブルの項番1から順に判定条件の評価を行い,判定条件にマッチしたルールが存在した場合は,アクションに記載された内容に従って処理を行う。
例えば,顧客YのDBサーバからAPサーバ向けのイーサネットフレームが,物理L2SW#1のc番ポートに入力されると,通信制御テーブルの項番dのルールにマッチし,イーサネットフレームが物理L2SW#1の9番ポートに転送される。同様に仮想L2SW#1でも,MACアドレスによる通信制御が行われ,APサーバにイーサネットフレームが届く。
| 項番 | 判定条件 | アクション | |
|---|---|---|---|
| 送信元MACアドレス | 宛先MACアドレス | ||
| 1 | aaa | bbb | Forward 13 |
| 2 | aaa | ccc | Forward 8 |
| 3 | bbb | aaa | Forward 9 |
| 4 | bbb | ccc | Forward 8 |
| 5 | ccc | aaa | Forward 9 |
| 6 | ccc | bbb | Forward 13 |
| 7 | ddd | eee | Forward e |
| 8 | eee | ddd | Forward f |
| 9 | aaa | any | Forward 8, 13 |
| 10 | bbb | any | Forward 8, 9 |
| 11 | ccc | any | Forward 9, 13 |
| 12 | ddd | any | Forward 8 |
| 13 | eee | any | Forward 13 |
| 14 | any | any | Drop |
注記2 "any" とは,対象が全ての MACアドレスであることを示す。
注記3 "Drop" とは,イーサネットフレームを破棄することを示す。
各L2SWにおいてイーサネットフレーム内のMACアドレスを用いた通信制御を行うことによって,顧客Yと顧客ZのサーバのIPアドレスが同一であっても,それぞれの顧客の通信を区別することができる。
【物理サーバ故障時の検証】
S君は,物理サーバの故障に備えた仮想サーバの冗長化の検証を行うために,物理サーバ#1の故障時に,物理サーバ#1で動作していたAPサーバを物理サーバ#2に自動的に移動させる設定を行った。物理サーバ#2に移動させたAPサーバは仮想L2SW#2の2番ポートに接続する。
また,①物理サーバ#1が故障して,APサーバの移動を完了した場合に物理L2SW及び仮想L2SWの通信制御テーブルのルールを自動的に変更する設定をSDNコントローラに行った。
S君は,物理L2SW故障時に備えた冗長化や通信速度の検証なども行い,仮想ネットワークの検証作業を完了した。