2016/02/15

SD-WANなVeloCloudを検証してみた

多拠点事業者のWAN投資が変わると確信した


VeloCloudシステム概要。既存のオンプレデータセンターやクラウドサービスと接続も可能なSD-WANソリューション


いきなり結論を述べてしまいますが、小売業や製造業でオフィス、工場、店舗など多拠点を持つ事業者には絶大なるメリットのあるソリューションです。私も小売業に勤めて長いのですが(そのうち社内システム担当として勤めた経験は一度もないのですが)、過去の会社すべてで導入検討に向けた評価がなされるべきものです(ええい回りくどい、要するに「小売業のシステム担当、要チェックやで!」ってことです)。


SD-WANって何?


ITmediaさんのこちらの記事が分かりやすいでしょうか。明確な定義はなく、各事業者が「ウチのソリューションはSD-WANだよ」と言っているだけ…というのが実情ですが、実際に使ってみると分かります。

私なりの言葉で言えば「ブラウザで使うクラウド上のソフトウェアで、拠点のネットワークが全部管理できてしまう」ソリューションです。


  • 初期設定の事前投入ができる
  • 現地では専用ファイアウォール兼ルーター(VCE:詳細後述)のハードウェアにLANケーブルを挿し、PCのブラウザからワンクリックで設定完了
  • 拠点間VPNはほぼデフォルトで設定してある
  • 稼働後のトラブルシューティング、疎通確認、他拠点VCEからのPing、設定変更、VLAN追加/削除など、全部クラウド上で実施すると各拠点のVCEに即時反映される

私は2000年~2005年くらいまでネットワークエンジニアとして仕事をしていたのですが、当時「こういうのがあったら便利なのになぁ」と思っていたことが10年余りを経てついに実現した、という印象です。



VeloCloudの構成要素


VeloCloudのソリューションは、以下3つの構成要素からなります。

1. VeloCloud Orchestrator

VeloCloud Orchestratorの初期画面。ここから新規設定、設定変更、既存拠点のモニタリング、トラブルシューティングが出来ます

ブラウザで使う管理コンソールです。略してVCO。
アカウントさえ持っていればどこからでもアクセスが可能。特段ブラウザのプラグイン等は使っていないようなので、その気になればスマートフォンからでもアクセスが出来てしまいます。

2, VeloCloud Edge


出展:VeloCloud社Webサイトより
VeloCloud Edgeハードウェア。この種の機器にしては珍しく白いです

拠点に設置するファイアウォール兼ルーターです。2.4Ghz/5Ghz帯両方のWi-Fiに対応、VLAN対応(Trunkも設定可能)、LANポート4つ、WANポート2つという標準的な構成。USBポートには携帯電話網を使うバックアップ用モデムなどを接続できるようです。


3. VeloCloud Gateway

VeloCloud Gateway。様々な外部VPN終端と接続が可能

こちらはクラウドソフトウェア上にだけ存在する仮想的なVPN終端。既存の物理的なデータセンターやAWS VPC等のVPN終端とVeloCloud WANを接続するソフトウェアVPNゲートウェイです。VeloCloud社のBlogによると、Cisco ISR4000やAzure, AWSへの最適化を行っていくとのことですのでそれらとの接続は問題なく出来るようです。



私がやったこと


今回、とあるキッカケによりVeloCloudの機能の一部を評価することが出来ました。今回は、以下のような利用を想定した検証を行っています。
  • 本部、倉庫、データセンター、店舗など10~50拠点程度を持つ多拠点ネットワークの構築に利用する
  • ERPや会計システム用のデータなど、VPNを通して伝送したいデータがある
  • システム管理者が少なく、物理的に離れた場所のシステム管理の手間は極小化したい
  • 出来れば緊急時に自宅などからシームレスにネットワーク管理したい
  • 出来れば拠点開設時、初期設定時に拠点に行かなくても済むようにしたい


検証の申し込み後、2台のVCEが送られてきました。その後、メールでVCOのID/PWが発行されたので早速アクセス。

あいにく一般消費者向けのような「クイックスタートガイド」はついていませんが、VCOにあるヘルプにそれに類するものがあったので一番最初の取っ掛かりはそれを読むところからスタート。

どうやら、大きく分けると以下の設定を行っていくようだ…ということが分かります。

  1. Network - WAN全体の構成を設定、VCEの基本設定(全VCEに共通する設定を実施)
  2. Profile - VCEの設定テンプレートのようなもの。どのようなVLANを使うか、Wi-FiのSSIDは、などなど
  3. Edge - 拠点のネットワークを定義(拠点ごとにある程度のカスタマイズが出来る)
  4. Edge Activation - ワンクリックで設定をダウンロードして稼働(これは拠点内で実施する必要あり)
  5. (必要があれば)ファイアウォールの特別なルール、QoSを設定(ここでは実施していないため省略します)



以下、それぞれをカンタンに解説していきます。


1. Networkの設定


VeloCloud Orchestrator内のNetwork設定


これから構築するWAN/LANの全体像定義です。VCOにログインして一番最初に設定します。


  • VPNを使うのか?各拠点から直接インターネットに出られるだけでよいのか?
  • WAN全体で使う、各LANのアドレススコープは?(だいたいにおいて10.1.0.0/16など、広めのスコープを使うと思います)
  • 拠点内のVLAN数は?(例えばOffice用、Guest用、VoIP用など)
  • 各VLANでのDHCP利用有無は?利用する場合、動的アドレス数は?


などをここで設定します。これにより、当該Network内にいくつのVCEを置けるか、VLAN内における機器の数がいくつになるか、などが決まります。

一番最初に決めなければならないのですが、実際に稼働してしまうと変更は困難です(不可能ではないが、変更時にWAN全体が停止(!)する)。ある程度、慎重に決める必要がありそうです。
VLAN用アドレスが枯渇した場合には、おそらく別ネットワークを定義し、それらのネットワーク間をソフトウェア的に接続するような対応が必要になるのだと思います。


2. Profileの設定


VeloCloud Orchestrator内のProfile設定
Profileとは、各拠点に設置するVCEの設定テンプレートのようなものです。特別な設定をする必要がない拠点は、このProfile設定をそのまま適用すればよい。
もちろん、VLAN用IPアドレススコープなど拠点ごとに異なるべきものはVCOが自動的に割り当ててくれます。

ちなみにVCEのLAN側インタフェースはVLAN Trunkにも対応しています。このため、LAN側にVLAN対応スイッチがあれば、複数のVLANを1つのポートでまとめることも可能です。


3. Edgeの設定


VeloCloud Orchestrator内のEdge設定画面。Network設定の範疇で、Edgeごとに異なる設定が可能

Edge、つまり拠点に置くファイアウォール兼ルーターの設定です。基本的な設定はProfileから継承されるので、特別な要件(例えば、何らか特殊な通信をファイアウォールで許可するとか、特別に手動でLAN IPアドレススコープを設定しなければならないなど)をここで設定します。

私の場合は検証用機材を既存WANに組み込んだため、さすがにLAN IPは既存LANとの重複を避けるために手動で設定しました。
もし、全くのゼロからWANを構築する場合は(レアケースだと思いますが…)LAN IPの管理はVCOにすべて任せてしまうことも可能です。

さらにLANポートの割り当てやVLAN Trunkの割り当て等も、Profileを上書きする形で設定することもできます。上図にある「Enable Edge Override」をチェックすると、Profileの設定とは違う形の構成も可能。
ただしVLANの数を増やすことはできないようです。


4. Edge Activation



最後に、拠点ルーターのアクティベーション。さあ、ここからがSD-WANの本領発揮です。

通常、新しい拠点に新しいルーターを設置する場合にはシステム管理者が自ら出向いて、あるいは委託業者さんに手順書をお渡しして、電源ONから設定の投入、疎通確認などを行うと思います。

しかし、VCEでは何と以下の3手順で終わってしまうのです。


  1. VCOから、システム担当が拠点担当者にボタン1つでメールを送る
  2. 拠点担当がVCEの電源を繋ぎ、LANケーブルを繋ぐ
  3. 拠点担当がVCEのLAN側にあるPCから、対象メールにあるリンクをクリックしてブラウザを開きVCEのWeb UIにアクセス、そこにあるActivateボタンをクリックするだけ(アクティベーションキーはURLに埋め込まれている)


正直、ここ感動しました。めっちゃカンタン。

VCOから担当者にメールを送ると…

VCEのLAN側に繋いだ端末でこのようなメールを受け取れる。
ここにあるリンクをクリックすると…

ブラウザが開き、アクティベーションと最新ソフトウェア、最新の設定がダウンロードされる。
この後、自動的にVCEの再起動がかかりVPN/WANの設定が完了する。


ここに、2つの感動があります。


  • アクティベート前のVCEは、VCO内の設定はほぼ無視され一般消費者用ルーターのようにふるまう
    • LAN側はDHCPが動き、どのLANポートにつないでもVCEのアクティベーションWeb UIにアクセス可能
    • アクティベーション専用Wi-Fiが動いており、スマートフォンからでも設定可能。かつSSIDとPWはVCOから送るメールに書かれている
    • とりあえずVCEのLAN側からインターネットには(適切に配線されていれば)出ることが出来る(なのでVCOから送ったメールが読める)
  • アクティベーション後はVCO内の設定が適用され、アクティベーション専用Wi-Fiなどは消える


これ、上手いなぁ、と思います。
専門知識がない拠点担当者でも、メールに書いてある手順に従って2ステップを踏んでしまえば拠点LANの設定が完了してしまう。

もちろん、実務上はルーターやファイアウォールだけじゃなくってLAN内のPCの設定やL2スイッチの配線、電話、Wi-Fiなどなど設定することはたくさんあるので拠点をシステム管理者不在で設定することなどあり得ないのですが、一番手間がかかるインターネット接続とVPN設定の部分がこんなにもカンタンに終わってしまうというのは本当に感動的です。実際の苦労を知っているだけに…。


そして、何が出来るか


こうして無事に私のテスト用2拠点間のVPN設定が完了しました。

今私がこのブログを書いているPCはVCEのLAN側にあり、そしてもう1拠点側のPCに対してリモートデスクトップ接続が出来てしまっています。拠点間VPNが通っている証です。

さらにVeloCloudの機能としていくつか追記すると、

  • VCEはインターネット直結でも、NATルーターの内側でも機能します
    • 今回、私のテストでは拠点1はインターネット直結、拠点2は一般家庭用のルーターの下に置きましたが何ら問題なく利用できています
  • 拠点ごとにどのようなアプリケーションが使われていて、どのような接続先にアクセスしているかが手に取るようにわかります
    • 例えば、誰が何時にSkypeを使っていたか、誰がYouTubeを見ていたか、などがツブサに理解できます
    • これを元に、業務と無関係に見えるトラフィックの優先度を下げて業務トラフィックの安定性を向上させる、なども可能と思います
VeloCloud Orchestrator内のトラフィックモニタリング。息子とYouTubeを見ていた時間だけダウンロードトラフィックがスパイクしていることが分かります。


今後への期待


個人的な所感ですが、SORACOMさんとVeloCloudさんが提携したら、すごく付加価値の高い小売業向けソリューションが完成しそう。

先述の通りVCEはUSBモデム対応です。ここにSORACOMさんのクラウドSIM対応のUSBモデムが刺さって、バックアップ回線として機能したら?
※VeloCloud Edgeには複数回線のアグリゲーション、回線速度に応じた負荷分散機能もあります。

ってかSORACOMさん、早いところアメリカでも商売せんかな。



結論


SD-WANとは、言うなれば「ネットワークのAWS」。WANの構成要素を全部ブラウザで定義でき、テンプレートのごとく構成を定義したら、あとは全自動で設定が適用されて使えるようになる。あたかもAMIをベースにEC2インスタンスを作成するかのごとく、Edgeデバイスを設定できてしまいます。

小売業のネットワークなんて、基本構成を決めてしまえば後はそのテンプレートを各店舗に当てはめていくだけ。店舗ごとに固有の要件なんて滅多にありません。そのような特徴を持つ小売業のWANには最適なソリューションではないかと。

日本の小売業のネットワーク管理者さん、要チェックですぜ。日本でもネットワンシステムズさんが代理店になっているそうですよ。