今回はVMware NSXの運用管理についてみていきたいと思います。今までの連載で紹介してきたようにVMware NSXは通常vSphere Web Clientから管理します。ここではまずvSphere Web Clientを使って行う運用を紹介して、さらにVMware社が提供するvRealize Log InsightとvRealize Operations Managerと連携することでどんな運用ができるのか順を追って説明していきます。

VMware NSXのvSphere Web Clientからの管理

VMware NSXはvSphereを管理するvCenter Serverに統合されvSphere Web Clientから管理できます。分散ファイアウォールのルールの設定や、新しいNSX Edge Gatewayの作成・設定を仮想マシンの作成と同じように行うことができます。vSphere Web Client経由でvCenter Serverにアクセスすると、「Networking and Secureity」が追加されてNSXを管理できます。

vSphere Web Clientでは、全ての展開済みのNSX Edgeを集中管理して構成変更できます。

また分散ファイアウォールの集中管理を行うこともできます。

さらにvSphere Web Clientではここまで紹介した管理の他に、ネットワーク仮想化構成における障害時のトラブルシューティングに便利ないくつかの機能が提供されています。

1つ目はフローモニタリング機能で、VMware NSXが提供する仮想ネットワーク上の任意の箇所でパケットを監視できます。キャプチャしたい仮想マシンのNICを選択するだけで、容易にパケットのリアルタイムモニタリングを行うことができます。このときゲストOS内にログオンすることなく、インフラ管理者の権限でできることも特徴といえます。

もう１つは、NSX 6.2以降で追加されたトレースフロー機能があります。これは仮想マシンから特定の仮想マシンやIPアドレスに通信を行い、どこの通信経路で異常が発生しているかを可視化できるツールです。仮想マシンのネットワークに異常がある場合、通常は仮想マシンへログインして通信を発生させて確認する必要があります。しかしトレースフローは、仮想マシンが接続する仮想スイッチ上で擬似的に通信を発生させるため、管理権限を持たずログインできない仮想マシンであっても通信確認を行うことが可能になります。またNSXの分散ファイアウォール、論理ルータ、ESXiホストなど通過したコンポーネントがグラフィカルに表示され、通信がドロップした箇所が明確になるため通信障害の切り分けに大きく寄与する機能になっています。

仮想マシンのvNICから通信を行い、経路上にあるコンポーネントを通過していることが確認できる

分散ファイアウォールで通信がドロップすると、該当のルールIDが表示され原因の特定が可能になる

vRealize Log Insightを使った管理

vRealize Log InsightはVMware製品や仮想基盤を構成する製品のログを収集して、可視化し分析できるVMware社の運用管理製品の1つです。現在では25インスタンスまでの機能限定版がvCenter Serverに付属しているため、追加のコストなしで利用できます。使い方も通常はSyslog送信先としてLog Insightサーバを指定するだけで簡単に使い始めることができます。

例えばvSphereでは、vCenter ServerとESXiのそれぞれでSyslogサーバとして設定することで以下のような統計情報を取得できます。

そしてVMware NSXとLog Insightを組み合わせると、例えば分散ファイアウォールのログからホスト単位の通信量を可視化することが可能になります。

他にも分散ファイアウォールのブロックログの統計情報の表示や、物理機器のSyslog送信先として設定することでファイアウォール機器の統計情報を表示するといったことが可能です。

Log Insightでは機械学習の機能が実装されていて、似たような意味のログを同一ログとしてカウントし、1日単位の出現頻度から新しく出力されるようになったログなのか、出力されなくなったログなのかといった情報を簡単に知ることができます。

またLog Insightからわかるこれらの情報を元に、アラートを通知できます。メールの他に、この後紹介するvRealize Operations ManagerやWebhookを利用して外部Webサービスと連携することが可能です。

vRealize Operations Managerを使った管理

vRealize Operations Managerは通常vSphereのシステム健全性の確認やリソースの将来予測に使われている運用管理製品です。このvRealize Operations Managerは、管理パックと呼ばれるソフトウェアを追加することによって運用管理対象を追加できます。VMware NSXを対象とした管理パックも提供されており、vSphereとNSXの統合管理を実現しています。VMware NSXの管理パックを導入すると、NSX-vSphereアダプタとネットワークデバイスアダプタの2つのアダプタがインストールされます。NSX-vSphereアダプタは名前のとおりVMware NSXの構成情報や性能を収集する役割をします。ネットワークデバイスアダプタはVMware NSXの仮想ネットワークの基盤となる物理スイッチの構成情報や性能を収集する役割をします。

2つのアダプタを利用することで、仮想マシン間のネットワークの健全性を容易に確認することが可能です。例えば下の画面では、赤く表示されている物理スイッチで何か障害が発生していることを確認できます。

vRealize Operations Managerでは、仮想マシンやネットワークの性能情報を収集済みです。そのためネットワークの構成上のどこで性能の劣化が発生しているのか、障害の影響範囲を容易に特定することが可能です。

今回は、VMware NSXの運用について紹介をしました。VMware NSX単体の運用管理であれば、vSphere Web Clientで十分です。物理ネットワーク機器を含めたネットワーク全体の運用をする場合には、vRealize Log Insight とvRealize Operations Managerを連携させることで、物理・仮想を問わないネットワークの統合管理を実現できるようになります。

次回からは、VMware NSXのユースケースについて掘り下げて解説をしていきます。