座談会@ZDNet

SDN座談会(3):インフラ自動化を支えるSDN--気になるコンテナとの関係 - (page 4)

吉澤亨史 田中好伸 (編集部) 山田竜司 (編集部)

2016-01-28 07:00

 コントローラを使ったネットワークプログラミングができれば、たとえば「オフィスの特定フロアのVLAN(仮想LAN)を変える」「無線LANのポリシーを変える」「オフィスから人がいなくなったからWi-Fiを使えないようにする」など、そういったこともREST APIで簡単にできるんですね。たとえば「Raspberry Pi」にくっつけたトグルボタンを押せば、部屋のWi-Fiが全部落ちるといったことも実現できます。

 VLANが全然解らない人でも操作できる、会議室の電気スイッチのようなハードウェアとネットワーク管理を結びつけたりと、可能性が拡がります。しかもコーディングがすごく簡単なんですよね。UIというのも、IT技術者向けのUIではなく、電気のスイッチのようなレベルのものが今後出てくるんじゃないかと思います。IoTなどと同期する形で、ネットワークを制御するいろいろなデバイスが出てくると、面白いですね。

コンテナは普及するのか

――コンテナの話が出ましたが、ネットワークの専門家がどう見てるかは興味があります。ちょっと脱線しますが、ご意見をいただきたいと思います。

藤田氏 コンテナひとつひとつに対する分離というのは、かなりテクニックが必要だと思います。ただ、実導入において、コンテナは単一のノード上で動かすだけではなく、ノード部分をクラスタリングして冗長化する必要もあり、そういったテクノロジは(クラスタリングマネージャの)「Apache Mesos」などのOSSが必要となります。そのMesosのノードごともセキュリティ分離が必要となりますが、ノードベースのセキュリティ分割は可能かと思います。

 たとえばOpenStackのコンピュートを担うコンポーネントである「Nova」とDocker連携の「Nova-Docker」のような形で、OpenStackからDockerをデプロイする形であれば、セキュリティグループにより、ある程度分割はできます。ただ、そのリソースの監視やクラスタが必要となり、すべてのシステムを連携しながら分離することはさまざまな検討が必要です。

日本IBM グローバル・テクノロジー・サービス事業本部 サービス・デリバリー 技術理事 ディスティングイッシュド・エンジニア 山下克司氏
日本IBM グローバル・テクノロジー・サービス事業本部 サービス・デリバリー 技術理事 ディスティングイッシュド・エンジニア 山下克司氏

山下氏 ベースにあるLinuxコンテナだけを対象にセキュリティを確保しようとすると、かなり難しいというのはその通りだと思います。コンテナはカーネルを共有しているのでマルチテナントの分離が難しいし、コンテナが利用されるアプリケーションはマイクロサービスのデザインパターンで並列化されているものが多いので、集団で動いているクラスタという状態を管理するという方法論が必要です。そういった意味でコンテナの稼働と監視がサービスとして提供されている「IBM BlueMix」のようなPaaSの上で動いているコンテナ環境も重要になってくると思います。

 コンテナだけでシステム全体を稼動させる環境整備には高度な知識が必要で、エンタープライズがコンテナ実装にチャレンジしようと思ったら、ある程度既成のプラットフォームの上で動かしているサービスの利用が有利になります。既成のPaaSのような環境でクラスタに対してネットワークのセキュリティを組んでいくと、1個のインスタンスをどう守るのかということよりも、検知後の対処を自動化しインスタンスを移動して他のところに逃がすというような対処も必要になります。

 今までのネットワークセキュリティのIPアドレスをトラフィックで監視してフィルタするという対処だけでは対応できません。さらにコンテナ実装ではコンテナがサーバ間を移動しながらサービスを継続するので、コンテナで動いているクラスタをひとつのサービスとみて、サービスポートのセキュリティをかけていきます。ソフトウェアでなければ、そういったダイナミックな環境に追従していくことはできないので、よりSDNの要求が高くなっていくのではないでしょうか。

 コンテナの実装はVMware、Docker、(OSSのPaaS基盤ソフトウェア)「Cloud Foundry」というようなプレイヤーがオープンなテクノロジとして推し進めています。IBMも支援している「Open Container Project」という共通仕様化の動きもできたので、全体的には粒が揃ってくると思います。

生田氏 オープンなテクノロジをオープンなまま使いこなそうとすると、すごく難しいですよね。(OSSのSDNコントローラ)「OpenDaylight」だって、普通のIT管理者がすぐ使えるかというと全然そんなことはない。メーカーとしては、オープンソースプロジェクトに参画する一方で、OpenDaylightを活用したプロダクトをパッケージ化して出したりしています。コンテナについても、使う立場という側面もありまして、たとえば企業向けのACIコントローラというのは、全部コンテナベースになっています。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

注目している大規模言語モデル(LLM)を教えてください

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]