M E N U C L O S E
2021/12/14

Alkiraのソリューションでクラウドに光を照らす

< ブログ一覧へ
※ 2022/12/14 時点の Sunshine Your Clouds with Alkira の翻訳記事となります。

はじめに

企業によるデジタルトランスフォーメーションの新しい波を下から支えるもの、それはクラウドコンピューティングです。
多くの企業はすでに何らかのクラウドプロバイダーを利用していますが、次のような理由により、複数のクラウドでアプリケーションやワークロードをデプロイするようになっています。

・ベンダーロックインの回避
・複数のプロバイダーが提供する優れた機能を組み合わせての利用
・競争力のある価格
・ビジネスの継続性とディザスタリカバリ
・地理的に異なる複数の場所でのアプリケーションのパフォーマンスおよびオペレーションのコンプライアンスの確保
・吸収合併

とはいえマルチクラウドの採用には、運用面で特有の課題があります。
リモートユーザー、IoTデバイス、キャンパス、イントラクラウドとインタークラウドのエンドポイントから、広範囲で多種多様なデータセットが生成されている状態では、あらゆるソースからのトラフィックを管理して監視することは、あっという間にきわめて複雑なタスクになってしまいます。
このブログでは、ネットワークの可視性がDay 2オペレーション(運用管理の段階)にとって重要である理由と、Alkiraがいくつかの課題にどのように対処しているかを簡単に説明します。

マルチクラウドの可視化と監視

カスタマーエクスペリエンスを優れたものとするには、ITチームは問題が発生する前に自社のマルチクラウドの領域内にある危険な箇所や見落としがちな点を特定し、危険を減らしておかなければなりません。
言うのは簡単ですが、クラウドプロバイダーからさまざまな可視化ツールを提供され、そこから多種多様な形式の膨大なデータポイントを利用できるとしても、そうしたデータポイントを有効利用できる形式に変換して、インフラストラクチャの障害、アプリケーションのパフォーマンスの問題、セキュリティ上の弱点など(他にもいろいろありますが)を特定するのはたやすいことではありません。
まさに干し草の山の中に落ちた針を探すようなものです。

マイクロサービスの堅固な設計とInfrastructure as Codeのデプロイによって、クラウドネイティブのアプリケーションは非常に柔軟で俊敏性の高いものとなりましたが、同時に複雑さも増しています。
クラウドトラフィックの70~80%がEast-West(末端間の通信)になることが見込まれており、現在はその種のトラフィックを監視するために、あらゆるワークロードにサードパーティ製エージェントをインストールしなければならないことが珍しくありません。
さまざまなプラットフォーム(AWS、Azure、GCP)とさまざまなオペレーティングシステム向けにさまざまな特徴を持つエージェントが存在しているため、インフラストラクチャの複雑さがいっそう高まっています。
強固なクラウド監視プラットフォームであれば、確認・管理用の統一されたインターフェイスを通して、マルチクラウド環境とハイブリッドクラウド環境全体をまとめて、総合的に状況を把握できるはずです。

Alkiraのポータルはエンタープライズ対応のソリューションであり、ネットワークに関する次のような重要なインサイトによって、お客様のマルチクラウドプラットフォームに光を当てることができます。

  1. ネットワーク接続のステータス
  2. アプリケーションとネットワークの使用状況
  3. BGPのヘルスとルートの可視化
  4. クラウドネットワークの課題
  5. ポリシー主導の指標

では、それぞれの項目と関連するメリットについて詳しく見てみましょう。

ネットワーク接続のステータス

マルチクラウド環境でパケットドロップや遅延の問題にうまく対処するには、ネットワークのエンドポイントのステータスを常に把握していなければなりません。
エンドポイントのステータスを取得する方法は2つあります。

  1. ネットワーク内のすべてのノードからデバイスの統計値、エラーの指標、ログを定期的に収集し、すべての情報をデータベースに保存する。
    次に、一定間隔でデータを分析し、ネットワークに異常があれば必要に応じて修正措置を講じる。

  2. ネットワークの全エンドポイントをアクティブな統合プローブで常時監視し、プローブの結果に従ってステータスをアップデートする。
    あらかじめ設定された間隔でデータの取得や送信が必要な最初の方法とは異なり、こちらの方法ではネットワークのステータスはリアルタイムでアップデートされる。

Alkiraは2つ目の方法を採っており、ネットワークのエンドポイントでプローブが何らかの不整合を検知すると、アラートが生成・送信されます。
このアラートをREST APIを通して利用し、アプリケーションレベルで修正措置を実行すれば、ダウンタイムを回避できます。

アプリケーションとネットワークの使用状況

Alkiraのソリューションでは、あらゆるリージョンのあらゆるクラウドプロバイダーから、ネットワークレベルとアプリケーションレベルの統計値を取得できます。
このデータには、ネットワーク全体のパフォーマンスを把握するのに必要なコンテキストが含まれています。
あらゆるフローでディープパケットインスペクションが実行され、すべてのエンドポイントについて詳細な指標(帯域幅、遅延、ドロップ)が収集されて表示され、クラウドファブリック内で輻輳が発生している箇所が点灯します。
そのような分かりやすい表示を見ることで、パフォーマンスの低下が特定のアプリケーションやユーザー、またはロケーションのみで発生しているのかどうかを判断して、それに応じて対策を講じることができます。


シャドーIT(企業のIT部門は認識していないが、社員が日常的に使用しているリソース)の権限のないリソースによって、機密データが攻撃者に流出する事故が起きると、企業にとって重大なセキュリティ上の脅威になります。
ITとクラウドの管理者にとっては、このダークデータ(未分類で未知のデータ)をITの管理下に置き、企業の接続ポリシーとセキュリティポリシーに準拠できるようにすることが欠かせません。
Alkiraのソリューションがあれば、クラウド環境にあるすべてのアプリケーションを詳細に確認し、未知のデータソースやアプリケーションがあれば、セキュリティポリシーとコンプライアンスポリシーをふさわしい場所に早急に適用して、リスクと混乱を最低限に抑えることができます。

BGPのヘルスとルートの可視化

企業がハイブリッドクラウド環境に移行するのに伴って、IPアドレスをさまざまなセグメントに割り当てて管理することは、ネットワークアーキテクチャにとって不可欠な要素になっています。
ネットワークに現在あるすべてのIPルートを分かりやすく正確に、まとめて確認できることは、強固なネットワークを管理するのに非常に役立ちます。
Alkiraのポータルにあるルート可視化ダッシュボードでは、受信したルートやアドバタイズされたルートのグローバルなサマリーを、リージョンレベルと個別のコネクタレベルで確認できます。

このソリューションでは、すべてのノードでBGPセッションのヘルスを定期的に監視しており、セッションが停止するとすぐにアラートが発信されて、関連のあるルートはルート可視化ダッシュボードに表示されなくなります。

ルートの競合は自動的に検知されます。
ネットワークに構成ミスがあると、ルートでのループやトラフィックのブラックホールが発生し、ネットワークで大惨事が起きる可能性があります。
2つの異なるエンドポイントから同じ設定で同じルートを学習した場合、優先度の高いアラートが生成されて、ルートは無効になります。
しかし、設定が異なる場合にそのような状況が発生すると、設定に基づいて最適な経路が選択されます。

クラウドのインベントリ管理

AlkiraのソリューションはAs-a-serviceで提供されます。つまり、お客様のVPCやVNetでエージェントやゲートウェイは稼動しません。
また、Alkiraはお客様アカウントの全体的な可視性を高めました。
Alkiraのソリューションを利用すると、いくつかのシンプルな読み取り権限によって、自社環境の次の要素について詳細なインサイトを取得できます。

・デプロイされているクラウドのリソース
・さまざまなリソース間の接続
・さまざまなリソース間のセキュリティのギャップ
・リソースの使用状況と上限

たとえば、Alkiraのポータルから次の情報を確認できます
・各種クラウドプロバイダーで発生しているCIDRの競合
・Alkiraのクラウドバックボーンを通さずにインターネットにアクセスしている仮想ネットワーク
・作成済みだが一度も割り当てられていないElastic IP
・長時間ダウンしているVPN接続
・VPN接続のないVGW
・どのVPCとも関連付けられていないIGWまたはVGW
・allow_allアクセス(すべてのIPとすべてのポート)が付与されているセキュリティグループ

Alkiraのポータルはセキュリティのギャップを見つけ出すだけではなく、お客様のネットワークに価値を付加しないリソースをタグ付けすることで、クラウドの浪費を最低限に抑えます。

ポリシー適用のための指標

効果の高いポリシーを実装して適用するには、各アプリケーションのトラフィックのプロファイルを、クラウドファブリック内の他のアプリケーションすべてと比較し、対比させることが重要です。
たとえばストリーミングメディアのアプリケーションは、重要なSaaSおよびエンタープライズアプリケーションと比べて、多くの帯域幅を使用しているでしょうか。
Alkiraの「Top Applications」のグラフでこの情報を確認でき、重要なトラフィックのプロファイルが不足しないようにポリシーを作成できます。
エンドポイントについても同様に、「Top Talkers」のグラフから、送信されるトラフィックの多くを占めているデータソースを特定し、必須ではないとみなされるエンドポイントについては、それらのエンドポイントの測定用ポリシーを適用できます。

結論

強固なネットワーク接続とセキュリティが安定したマルチクラウドネットワークの基礎となるのであれば、それを支える足場として欠かせないのは、直感的に理解できるようにネットワークを可視化することです。
全体の状況を分かりやすく、まとめて表示できるAlkiraの可視化ダッシュボードは、さまざまな種類のAPIと組み合わせて使用でき、多数のイノベーションを生み出す肥沃な土壌となります。
お客様はもう、クラウドでのデプロイで判断に迷うことはありません。

元記事の著者:Bharath Chakravarthy
Bharath Chakravarthyは長年の間コンピューターネットワーク業界で活動し、豊富な経験を有しています。
現在はAlkiraのリードエンジニアとして、Alkiraのテストオートメーションフレームワークおよびインフラストラクチャの設計と開発を担当しています。
Alkira入社以前はCloudgenix(SD-WANアプリファブリック)、Nuage Networks(SDN)、Juniper & Cisco(データセンターとストレージ)でエンジニアリングの指導者を務めてきました。
余暇には読書、ベイエリアでのトレイル、テニスを楽しんでいます。インドのマドラス大学で学士号を、シカゴのイリノイ大学で修士号を取得しました。Twitterのアカウントは@bchakravです。

▼シンプルでセキュアなマルチクラウドネットワークを実現する
次世代のネットワーキングサービスはこちら!