3 日立によるVDI環境の検証
日立製作所 及川智博氏
VDIソリューションを提供する日立では、トレンドマイクロと共同でVDI環境におけるDeep Securityの性能や運用手順の検証を実施し、その結果をホワイトペーパーにまとめて公開している。同社情報・通信システム社ITサービス事業部の及川智博氏は、今回の検証の背景を次のように説明する。
「物理PC環境で発生していたウィルススキャン時の数々の問題は、VDI環境に移行しても解決できるわけではありません。そこで、エージェントレス型のDeep Securityが有効であると考え、お客様に提案できるかどうかを確かめるために、性能面、運用面での動作を検証しました。」
[※検証にいたる経緯についてはこちらの記事も参照していただきたい。]
検証は、VDIソリューションとしてCitrix XenDesktopを使った構成(図3.1)と、VMware Viewを使った構成(図3.2)の2種類で行われた。
図3.1 検証環境の構成(Citrix XenDesktop)
※クリックすると拡大画像が見られます |
図3.2 検証環境の構成(VMware View)
※クリックすると拡大画像が見られます |
性能検証のホワイトペーパーはこのページで公開されている。検証項目は全部で59点に渡るが、セミナーではそのうち表3.3にまとめた6点について、検証内容と結果の概要が紹介された。
性能検証項目 | 結果 |
---|---|
リアルタイムスキャンによるCPUとI/O性能 | エージェント型に比べてCPU使用率がピーク時で53.2%、平均で44%減少。平均書き込みIOPSはエージェント型と大きな差はなし。 |
ファイルサイズおよびファイル数が異なるファイルをスキャンした際のCPUとI/O性能 | ファイル数に依存してスキャン実行時間が長くなる。 |
リアルタイムスキャンと手動スキャンを同時実行した際のCPUとI/O性能 | リアルタイムスキャンのみに比べて仮想PCのCPU使用率は減少し、ディスクI/Oは読み取り要求が仮想PCとVAともに上昇。 |
アプリケーションの実行時におけるリアルタイムスキャンのCPUとI/O性能 | 大きな性能低下はなく、概ね想定内の負荷。 |
リアルタイムスキャン多重実行におけるCPUとI/O性能 | 仮想PC5台の場合と10台の場合で、CPU、I/Oともにほぼ同程度の負荷。 |
VMware Viewの機能別によるリアルタイムスキャンのCPUとI/O性能 | リンククローンとフルクローンで、CPUとI/O負荷は変わらない。 |
性能面においては、ウィルススキャンをDSVAに代行してもらうことで、仮想PC単位での負荷の増大を防ぐという Deep Security の特徴が強く現れる結果になっていることが分かる。
※クリックすると拡大画像が見られます
運用面の検証は全部で27点の項目に対して行われたとのことで、セミナーではそのうち表3.5にまとめた4点について詳しく紹介された。
運用検証項目 | 結果 |
---|---|
定時スキャン時にvMotionを実行した場合の動作 | 移動先のESX上の仮想PCが定時スキャン実行中だと、スキャンが完了していない(キャンセルされた状態)のに完了扱いにされてしまった。 |
HA環境でフェイルオーバした仮想PCがDSVAの管理対象になるか | HAが動作した場合でも保護対象とすることができた。 |
DSVA障害時の回復手段 | スタンバイからの自動回復ができなかった。 |
DSM(Deep Security Manager)シャットダウン時にもリアルタイムスキャンが実行されるか | DSMシャットダウン時でも問題なく実行された。 |
vMotionの検証結果は、スキャン中の仮想PCを別のESXにvMotionで移動させた場合、移動先のESX上で定時スキャンが行われていると、移動した仮想PCのスキャンがキャンセルされてしまうというもの。このとき、ステータスには"完了"と表示されてしまうので注意が必要である。これは、定時スキャンの実行中のvMotionは実行しない運用とすることで回避が可能である。
HA環境については問題なく動作するが、注意点としてDSVAをHAの対象から外す必要があることが指摘された。さらに、移動先のESX上にDSVAを配置することにより、フェイルオーバした仮想PCのセキュリティを自動的に維持することができるとのことだ。
DSVAは単一障害点になりうるため、障害時のリカバリ手段の確保が必要である。Active/Standby構成での冗長化に関しては、検証結果より、Standbyへの自動切替が行えないことが判明したが、DSMから手動で再デプロイして回復することでリカバリが可能であることを確認している。コスト面、リカバリ時の復旧手順も考慮すると、DSMからの再デプロイの方が、適用シーンも多いものと考えられるとのことだ。
図3.6 vMotionの実行には注意が必要
※クリックすると拡大画像が見られます |
図3.7 フェイルオーバした仮想PCもDSVAで保護される
※クリックすると拡大画像が見られます |
図3.8 Standby状態のDSVAは自動では起動しない
※クリックすると拡大画像が見られます |
図3.9 DSMがシャットダウンされていてもリアルタイムスキャンは実行される
※クリックすると拡大画像が見られます |
仮想化環境の導入の際には、CPUやディスク、メモリなどのリソースに必要な目に見えるコストと、保守や運用に必要な目に見えないコストの両面を意識しなければいけないと及川氏は指摘する。Deep Securityでは各仮想PCが使うCPUリソースを減らせるため、前者のコスト削減につながる。また、VMware Viewのリンククローン機能はディスク容量の削減に有効である。
目に見えないコストについては、運用のライフサイクルが変わることに注意して考える必要がある。マスターによる一元管理が可能な仮想化環境は運用コスト面で有利だが、マスターに対して頻繁にパターンファイルを適用するのは現実的でない。その点Deep Securityであれば、ウィルスパターンファイルが個別の仮想PCに保存されず、マスターの更新が発生しにくいため、大きな強みになっているという。
※クリックすると拡大画像が見られます
今後、日立では実システムでの運用を想定したディザスタリカバリなどの検証を実施し、その結果もホワイトペーパーにまとめて公表する予定とのことである。