近年、パブリッククラウドの利便性、拡張性、オンデマンドといったメリットがますます注目を集めており、企業がこれまでデータセンターにオンプレミスで保有していたIT資産をクラウド上へ移行する事例が増えています。
一昔前はクラウド上にデータを保有することがセキュリティ上リスクが高いこととされていましたが、パブリッククラウドを提供するAmazon 、Microsoft、Googleといった主要ベンダーのセキュリティ対策はもはや日本の一企業が施すセキュリティレベルとは比較にならないほど高くなっており、セキュリティにうるさい金融機関までもが積極的にクラウド利用を始めています。
では、これまでオンプレミスのみでITサービスを提供していた企業が、パブリッククラウドを安全に利活用していくためには具体的にどのようなステップで進めていけばよいでしょうか。
今回は、BCP・DR・開発環境をパブリッククラウドに移行することによりコストカットをするとともに、既存データセンターのボトルネックの解消を実現するネットワークデザインのサンプルを一例としてご紹介します。
パブリッククラウドの他にも、データセンターSDN、SD-WAN、SaaSサービスの利用を組み合わせることにより、クラウド移行やセキュリティ対策に課題を持っているお客様へのコンセプトとして提案できます。
B to Bビジネスでプリセールスに携わるエンジニアや営業の方は是非考え方を参考にしていただければと思います。
それではみていきましょう。
Table of Contents
企業のパブリッククラウド利用「ボトルネック・BCP・DR対策」
メインデータセンターのボトルネック解消
まず最初に、図の左上に書いたPDC(プライマリデータセンター )をご覧ください。
既存のオンプレミスで本番環境を運用するメインデータセンターは、ボトルネックのない40G/100Gbpsのバックボーンで構築することが主流となっています。
新型コロナウイルスの流行に伴いテレワークを導入する企業が増え、データセンターにVDI(Virtual Desktop Infrastructure)環境を構築するケースも多くなっています。
詳細は後述しますが、本社や拠点からのSaaSサービスやパブリッククラウドの利用をローカルブレイクアウトすることにより、既存インターネット利用のボトルネックを解消することができます。
BCP・DR・開発環境の物理(オンプレミス)コストカット
Amazon AWS・Microsoft Azure・Google GCPといった複数の主要クラウドサービスにマルチ閉域網接続することにより、パブリッククラウドを活用できる環境を提供します。
その上で、パブリッククラウド上にBCP・DR・開発環境を移行することができれば、これまでオンプレミスで維持していたIT資産のコストを大幅にカットすることができます。
データセンターのホスティング、サーバやストレージの物理IT資産、専用のオペレーター、専用の保守サービスなどのサービスレベルを見直すことにより、劇的にイニシャル&運用費用を抑えることができるでしょう。
【おすすめ書籍】
クラウドセキュリティの対策
パブリッククラウドの接続を提供するコロケーションエリアに、専用のファイアウォールやIPS/IDSを配備することにより、より強固なセキュリティ対策を施すことができます。
今回の図には記載していませんが、マルチパブリッククラウドを一括でポリシー管理するCASB(Sanctioned IT)の有効性も高いので合わせて提案するとGoodです。
SaaSサービスは、次世代FWやURLフィルタリングでサービス提供の許可・拒否を管理します。
CASB(Shadow IT)で、「クラウドサービスの利用状況の可視化」、「クラウドサービスの評価(レーティング)」、「異常行動検知」といったセキュリティ監査を行うのもよいでしょう。
▶︎▶︎▶︎関連記事:CASBとは?ガートナー が提唱するクラウド活用時代のセキュリティ対策
SDNによるオンプレミス・クラウドを含む統合管理
SDNの利用
オンプレミスの既存データセンターやパブリッククラウドを一元で統合管理できるSDN(Software Defined Networking)を採用する企業が増えてきています。
大規模NWではVMware NSXやCisco ACIなどの代表的なソリューションとして有名です。
オンプレミスの仮想基盤でVMwareを利用しているのであれば、AWS上にVMware基盤を作り(VMware on AWS)、VXLANトンネルによってNSXでクラウド連携をする構成が典型例です。
SDNの要素を取り込むことにより、仮想スイッチ、仮想ルータ 、仮想ファイアウォール、仮想ロードバランサーなどのファンクションを内包することができます。
SDxによって、ITリソースの統合管理、バックアップデータセンターやパブリッククラウドとの仮想マシン連携、バックアップ管理、アプリケーションレベルの可視化などに利用できます。
SD-WANによる拠点接続とローカルブレイクアウト
本社、支社、海外拠点を接続するWAN環境は「SD-WAN」で構築します。
大規模NWで利用するSD-WAN製品は、VMwareのVelocloud、CiscoのViptela、Citrix、NOKIAといった海外メーカーが有名ですが、国内のIIJ OmnibusやNECのSD-WANも市場では健闘しています。
以下でSD-WANのメリットを簡単にご紹介します。
閉域網からインターネット回線への契約変更によるコストカット
WAN接続は回線の種別を分けて冗長化しますが、これまでバックアップ回線を閉域網で接続している企業では、安価なインターネット回線に契約変更することでコストカットを実現することができます。
一般的に閉域網に比べてインターネット網の方が回線コストは安くなりますので、セキュリティを担保しつつ柔軟に接続できるメリットがSD-WANにはあります。
接続する拠点が多い大規模NWになるほど、そのコストメリットは大きくなります。
WANルータのリプレースのタイミングなどで、営業と一緒に回線契約まで含めた費用積算をすると顧客担当者も喜ぶでしょう。
SaaSのトラフィックをローカルブレイクアウト
SAP、O365、BOXといったSaaSサービスを利用している場合は、サブ回線にローカルブレイクアウトすることでメイン回線やメインルータ のリソース逼迫を回避することができます。
とくにO365は1ユーザあたりの50セッション以上使うこともあり、NW機器やFWへの負荷がかかりますので、ローカルブレイクアウトすることにより業務通信のボトルネックを改善することができます。
インターネットブレイクアウトによるボトルネック解消
1番最初に提示した図では、インターネット接続をメインデータセンターからに集約していますが、拠点から直接インターネットに接続を提供する「インターネットブレイクアウト」をする提案もよいでしょう。
例えば、本社や支社の社員は既存のデータセンター経由でセキュアなインターネット接続環境を提供し、来客などの一時ユーザにはフリーのSSIDを開放する使い分けもありです。
拠点のWANルータでVRFを分けてしまえば簡単に接続環境を分離することが可能です。
ゼロタッチプロビジョニング(ZTP)
拠点追加の際に、WANルータを現地で電源接続すると自動でコンフィグレーションが投入されて企業NWに参加することが可能となります。
これをゼロタッチプロビジョニング(ZTP)と呼びます。
現地に専門知識をもったNWエンジニアがいなくても接続が可能となるため、構築や運用面でのコスト削減にもつながります。
実際には、事前にMacアドレスをコントローラーに登録したりする手間がありますので、ワンタッチプロビジョニングと呼ばれ完全に自動化されるわけではありません。
ただ、現地へのエンジニア派遣が不要で簡単に構成追加できる点に変わりありませんので、ゼロタッチプロビジョニングはSD-WANの大きなメリットのひとつです。
他にもあるSD-WANのメリット
ここでは長くなるので割愛しますが、SD-WANには、その他にも下記のようなメリットがあります。
SD-WANのその他の機能
- マルチテナント環境の提供
- WAN構成管理(メッシュの柔軟な管理など)
- アプリレベルでトラフィック可視化・解析
まとめ
今回は、企業がクラウドを利活用する際のネットワークデザインについて、ポイントごとにまとめました。
パブリッククラウドやSDNやSD-WANといったソリューションの詳細までは紹介はしていませんが、まず簡単にコンセプトとして全体の提案を行い、顧客が興味をもった部分を深掘りして次の提案ミーティングにつなげていくとよいでしょう。
今回は一例として紹介しましたが、もちろん顧客ごとに抱えている環境は違いますので、各顧客の課題ベースで提案できるかが成功の鍵になります。
先にコンセプトを提示するとともに、そこまでの具体的なステップをフェーズごとに描くことも大事でしょう。
いきなり全てを実現できることはありませんので、「まずはクラウドレディな環境を作りましょう」とか、「SD-WANで回線コストを見直しましょう」といった段階に分けて提案すれば顧客もイメージしやすくなります。
ネットワークやインフラのデザインは時代によって変化していきますので、今後も技術情報として紹介できる機会を作っていきたいと思います。
本日も最後まで読んでくださり、ありがとうございました。
【おすすめ書籍】