SD-WAN導入のための可視化ベストプラクティス

による投稿 2019年11月7日
2019年11月7日

本記事では、SD-WAN導入のための準備ライフサイクルの重要性について説明します。 SD-WAN導入の目標は、企業ネットワーク内のVPN閉域網(MPLSなど)をインターネットアクセスにより大幅に増強または置換することにより、クラウドアクセスのパフォーマンスと回線コスト削減を達成することになります。一方、インターネットアクセスを増やすということは、企業ネットワークを予測不可能な環境にさらすことを意味しています。 この移行への成功を確実にする唯一の方法は、ベースラインデータ(基準値)を元にした移行プロセスを築くことです。 ThousandEyesの可視化は、フォーチュン500およびグローバル2000の企業に移行プロセスのツールとして広く採用され、SD-WAN展開を成功させています。

SD-WAN導入のための可視化ベストプラクティス

移行前に知るべきベースライン(基準値)

現在の企業ネットワークのほとんどが、拠点・支店からVPN閉域網(MPLS等)のWANを介して全てのハブであるデータセンターに接続され、センター内のファイアウォール等のセキュリティインフラを通してパブリックのインターネットに接続されています。MPLSのサービスにはエッジ間の通信パフォーマンスSLAが提供されていることが多いため、契約内容により期待されるパフォーマンスを把握できます。一方、パブリッククラウドへのアプリケーションの移行や、独自のアプリケーション構築・運用をSaaS利用へシフトした際には、クラウドやSaaSプロバイダーがインターネット上で提供しているPoP(Point of Presence)への接続に切り替わります。しかし、このモデルの問題は、PoP経由の接続であればこれらのアプリやサービスに低遅延で到達できるため、わざわざトラフィックをハブであるDCに集めることが無意味となるのです。そのため、企業WAN自体がユーザーエクスペリエンスを低下させる要因となりうり、さらにトラフィック量の増加に伴う帯域増設のためMPLSトランスポートのコストも高くなります。

そのため、拠点・支店からの直接インターネットアクセス(DIA:Direct Internet Access)への移行は、適切な対応方法であり、SD-WANアーキテクチャの中心的な理念となっています。そして、ネットワーク設計初期段階からのベースラインデータの取得開始が大切なポイントとなります。SD-WANソリューションの選択、サービスプロバイダーとの契約、アーキテクチャと展開計画の最終決定、そしてSD-WANの本番環境への移行といった全てのステップが準備ライフサイクルの個々の一部となっており、成功のための鍵となるのです。

では、なぜ早期のデータ収集が必要となるのでしょうか?拠点にインターネット回線を持っていない企業もあれば、メイン回線となるMPLS WANのバックアップ回線として既にインターネット回線を保持している企業もあります。しかし、保持している場合でも、おそらく利用はほとんどなく、重要視もされていないでしょう。さて、その ISPがどれだけのパフォーマンスを提供できるのか?各拠点のLANやWi-Fi、あるいは古いモデルのブランチルータが、クラウドアクセスによる増加するインターネットトラフィックを処理することができるのか?さらに、SaaSアプリケーションの多くは、社内ホストアプリケーションよりもはるかにWeb UIが重いため、これらの実稼働環境へ展開する前に、パフォーマンスデータを収集する必要があるのです。

では、どのようなパフォーマンスデータを収集する必要があるのでしょうか?まず最初に、優先度の高い社内アプリケーション、AWS、Azure、GCPなどで実行される重要なアプリ、Office 365などのSaaSアプリなどのユーザーエクスペリエンスを測定することから始めます。 SalesforceおよびWorkday。VoIPとWebexやZoomなどのコラボレーションツールも忘れないでください。これらのアプリとサービスが現在のネットワークを介してどの程度機能しているかをベースラインとして測定することから始めます。アプリケーションサイトのページ読み込み時間、HTTPテスト、エンドツーエンドのネットワークパフォーマンス、およびBGPルーティングの可視化により測定と監視を開始します。ミッションクリティカルなユースケースの場合は、Webシナリオを用いたトランザクション監視テストを実行します。 既存ネットワーク上でのトランザクションパフォーマンス、応答時間、可用性、ネットワーク遅延、パケット損失、ジッターのデータ取得により、次のステップに進む準備が整います。

パイロットテストの実施、ベースライン比較、プロバイダーのデータ収集

多くの企業で施行されている重要な準備手順の一つとして、各拠点(支店)と主要データセンターの接続、拠点からクラウドサービスへのアクセスとなるISP、SD-WAN経由の社内アプリへの接続等のベースライン取得になります。つまり、実ユーザによる試験前に、パイロットサイト各所とデータセンター間でSD-WANのセットアップを開始し、各拠点やエンドユーザーのデバイスから利用中のアプリとサービスがどのように機能するかを測定します。 そしてこれらの測定は、ThousandEyes エンタープライズ・エージェント及びエンドポイント・エージェントを使用して行うことができます。 また、Zscalerのようなクラウドベースのセキュリティサービスを導入検討している場合には、パイロット環境に組み込み、同じ環境で測定を実施してください。

ThousandEyesの利用により、アプリとオーバーレイネットワークのパフォーマンスを取得してMPLS回線の場合と比較できるだけでなく、アンダーレイとなるインターネットトランスポートのエンド・ツー・エンドおよびホップ・バイ・ホップのパフォーマンス、およびBGPルーティングパスの変更や安定性の問題も発見できます。

ここで必要な最初のステップは、図1に示すように、一連の監査アクティビティと目標を定義することです。

図1:SD-WAN準備監査のためのアクティビティと目標の例
図1:SD-WAN準備監査のためのアクティビティと目標の例

ある程度のデータが収集された段階で、主要なアプリとサービスのデータをダッシュボード上で並べて表示し、SD-WANとMPLS経由のパフォーマンスを比較します。 図2にあるお客様の場合、SD-WANによるインターネット経由での接続がMPLSと同等もしくはそれ以上に機能し、遠隔地からでも重要なアプリケーションに高いパフォーマンスを提供できることがわかりました。

図2: SD-WANがMPLSと比較して強力なパフォーマンスを発揮することが多くみられます
図2: SD-WANがMPLSと比較して強力なパフォーマンスを発揮することが多くみられます

この同じフェーズで、ISPのパフォーマンスに関するデータの収集も行います。このお客様の場合では、30日間のテスト期間でパフォーマンス、安定性、可用性が大きく変化していることがわかりました。 たとえば、図3では、アジアの支社で利用していた2つのISPのデータを示しています。 ThousandEyesのネットワークパスの可視化とBGPルーティングデータを調べたところ、非常に遠回りなルートでトラフィックを定期的にルーティングしていることがわかりました。 お客様は、ThousandEyesの共有リンク機能(スナップショット)を使用してプロバイダと対話し、その問題を修正することができました。

図3:ISPのネットワーク遅延の変化
図3:ISPのネットワーク遅延の変化

重要なSaaSアプリケーションへのアクセスを、クラウドベースのセキュリティプロバイダーPoPを通過する監視と、PoPをバイパスする監視の2通りで設定します。これにより、クラウドベースのプロキシがパフォーマンスにどのように影響するかを確認でき、アーキテクチャ設計とセキュリティ方針の判断を下すことができます。 図4は、Zscalerを通過するVeevaクラウドサービスへのアクセスと、ブランチからZscalerを介さずVeevaサービスに直接アクセスするページロード時間の比較を示しています。

図4:クラウドベースのセキュリティ経由とバイパスしたアクセスのパフォーマンス比較
図4:クラウドベースのセキュリティ経由とバイパスしたアクセスのパフォーマンス比較

これにより、運営委員会またはその他の関係者向けの準備監査レポートの作成が可能になり、SD-WANがビジネスにどれくらい効果をもたらすかも指し示し、デジタル変革の取り組みをサポートします。 また、SD-WANを介したリモートサイトのベースラインやパフォーマンスの比較により、計画中の新しいWANエッジインフラ投資の実行可能性と見込みを証明することができます。 図5は主な調査結果とその後の対応策の一例となります。

図5:SD-WAN準備監査レポートの調査結果のサンプル
図5:SD-WAN準備監査レポートの調査結果のサンプル

よりスマートなSD-WANソリューションとサービスのPoCを実行

多くの場合、複数のSD-WANベンダーまたはプロバイダーを評価されると思いますが、これらの準備監査で得られた可視性を使用して、ソリューションとサービスをクリーンで公正なPoCによって比較することができます。 ユーザーエクスペリエンス、オーバーレイ、アンダーレイのすべてがどのように連携して動作しているかをサードパーティのビューを持つことで、可能な限りのデータ主導の決定を下すことができます。この種の評価を実施するために、ThousandEyesの可視性を活用する顧客がますます増えています。

展開する前に運用上の可視性を確立

アーキテクチャ、マルチクラウドプロバイダ、SD-WANベンダー、あるいはSD-WANサービスプロバイダーの選定が終われば、展開の準備はほぼ完了です。 ただし、本番稼働前に、運用に必要な可視性が整っているかを改めて確認してください。

  • ベースラインと比較結果を使用して、内部KPIとアラートルールを設定してください。
  • ServiceNow、Slack、PagerDutyとの連携も簡単に行え、その他の既存システムともThousandEyesプラットフォームからのアラートやAPIデータによる連携統合も可能です。
  • シェアリンクの利用による、ISP、クラウドセキュリティプロバイダー、クラウドまたはSaaSプロバイダーへの効果的なエスカレーションにも備えてください。
  • 内部関係者向けのセルフサービスダッシュボードを作成して、移行中に重要なアプリケーションがどのように実行されているかも確認してください。

これで、本番環境へのスムーズで適切な展開と効率的な運用の準備が完了です。

SD-WAN環境を危険にさらさないでください

SD-WANは、最も大きなネットワークアーキテクチャ変更の1つと言えます。ですので、 先を急ぐあまり、測定データをもとにした調査プロセスなしで進むことは危険です。 ThousandEyesの可視化は、必要とされる各準備ライフサイクルの基盤となるデータを提供します。そしてクラウドは、常に変化し定常状態を保つことは無いので、ある時点の変更完了後も、さらに多くの変更が必要となることがあります。ThousandEyesは、このベースラインデータを基にしたライフサイクルモデルの利用により、変化を続けるクラウド、SaaS、インターネット、およびWANの移行から運用までの成功をサポートします。