VXLANゲートウェイについて議論するには、まずVXLANそのものについて議論する必要があります。従来のVLAN(仮想ローカルエリアネットワーク)は、12ビットのVLAN IDを使用してネットワークを分割し、最大4096個の論理ネットワークをサポートしていました。これは小規模なネットワークでは十分に機能しますが、数千もの仮想マシン、コンテナ、マルチテナント環境が存在する現代のデータセンターでは、VLANだけでは不十分です。VXLANは、インターネット技術特別調査委員会(IETF)によってRFC 7348で定義され誕生しました。その目的は、UDPトンネルを用いてレイヤー2(イーサネット)ブロードキャストドメインをレイヤー3(IP)ネットワーク上に拡張することです。
簡単に言うと、VXLANはイーサネットフレームをUDPパケット内にカプセル化し、24ビットのVXLANネットワーク識別子(VNI)を付加することで、理論上1600万の仮想ネットワークをサポートします。これは、各仮想ネットワークに「IDカード」を与えるようなもので、仮想ネットワーク同士が干渉することなく、物理ネットワーク上を自由に移動できるようになります。VXLANの中核コンポーネントは、パケットのカプセル化とカプセル化解除を担うVXLANトンネルエンドポイント(VTEP)です。VTEPは、ソフトウェア(Open vSwitchなど)またはハードウェア(スイッチ上のASICチップなど)で実現できます。
VXLANがこれほど普及しているのはなぜでしょうか?それは、クラウドコンピューティングとSDN(Software-Defined Networking)のニーズに完全に合致しているからです。AWSやAzureなどのパブリッククラウドでは、VXLANによってテナントの仮想ネットワークをシームレスに拡張できます。プライベートデータセンターでは、VMware NSXやCisco ACIなどのオーバーレイネットワークアーキテクチャをサポートします。数千台のサーバーがあり、それぞれが数十台のVM(仮想マシン)を実行しているデータセンターを想像してみてください。VXLANは、これらのVMが同じレイヤー2ネットワークの一部であると認識できるようにすることで、ARPブロードキャストとDHCPリクエストのスムーズな伝送を保証します。
しかし、VXLANは万能薬ではありません。L3ネットワーク上で動作させるには、L2からL3への変換が必要であり、ここでゲートウェイが役立ちます。VXLANゲートウェイは、VXLAN仮想ネットワークを外部ネットワーク(従来のVLANやIPルーティングネットワークなど)に接続し、仮想世界から現実世界へのデータフローを確保します。転送メカニズムはゲートウェイの心臓部であり、パケットの処理、ルーティング、配信方法を決定します。
VXLAN 転送プロセスは繊細なバレエのようで、送信元から宛先までの各ステップは密接に連携しています。では、ステップごとに解説していきましょう。
まず、送信元ホスト(VMなど)からパケットが送信されます。これは、送信元MACアドレス、宛先MACアドレス、VLANタグ(存在する場合)、およびペイロードを含む標準的なイーサネットフレームです。このフレームを受信すると、送信元VTEPは宛先MACアドレスをチェックします。宛先MACアドレスがMACテーブル(学習またはフラッディングによって取得)に存在する場合、VTEPはパケットをどのリモートVTEPに転送するかを判断します。
カプセル化プロセスは非常に重要です。VTEPはVXLANヘッダー(VNI、フラグなどを含む)を追加し、次に外部UDPヘッダー(内部フレームのハッシュに基づく送信元ポートと固定の宛先ポート4789を含む)、IPヘッダー(ローカルVTEPの送信元IPアドレスとリモートVTEPの宛先IPアドレスを含む)、そして最後に外部イーサネットヘッダーを追加します。これでパケット全体がUDP/IPパケットとして表示され、通常のトラフィックのように見え、L3ネットワーク上でルーティングできるようになります。
物理ネットワーク上では、パケットはルータまたはスイッチによって転送され、宛先VTEPに到達します。宛先VTEPは外側のヘッダーを取り除き、VXLANヘッダーをチェックしてVNIが一致することを確認した後、内側のイーサネットフレームを宛先ホストに配信します。パケットが不明なユニキャスト、ブロードキャスト、またはマルチキャスト(BUM)トラフィックである場合、VTEPはマルチキャストグループまたはユニキャストヘッダーレプリケーション(HER)を利用し、フラッディングを使用して関連するすべてのVTEPにパケットを複製します。
転送原理の中核は、コントロールプレーンとデータプレーンの分離です。コントロールプレーンは、イーサネットVPN(EVPN)またはフラッドアンドラーンメカニズムを用いてMACアドレスとIPアドレスのマッピングを学習します。EVPNはBGPプロトコルに基づいており、VTEP間でMAC-VRF(仮想ルーティングおよび転送)やIP-VRFなどのルーティング情報を交換できます。データプレーンは実際の転送を担い、効率的な伝送のためにVXLANトンネルを使用します。
しかし、実際の導入においては、転送効率がパフォーマンスに直接影響します。従来のフラッディングは、特に大規模ネットワークにおいてブロードキャストストームを引き起こしやすいため、ゲートウェイの最適化が必要になります。ゲートウェイは、内部ネットワークと外部ネットワークを接続するだけでなく、プロキシARPエージェントとして機能し、ルートリークを処理し、最短の転送パスを確保します。
集中型VXLANゲートウェイ
集中型VXLANゲートウェイ(集中型ゲートウェイまたはL3ゲートウェイとも呼ばれる)は、通常、データセンターのエッジ層またはコア層に導入されます。これは中央ハブとして機能し、すべてのVNI間またはサブネット間のトラフィックが通過する必要があります。
原則として、集中型ゲートウェイはデフォルトゲートウェイとして機能し、すべてのVXLANネットワークにレイヤー3ルーティングサービスを提供します。VNI 10000(サブネット10.1.1.0/24)とVNI 20000(サブネット10.2.1.0/24)という2つのVNIを考えてみましょう。VNI 10000のVM AがVNI 20000のVM Bにアクセスする場合、パケットはまずローカルVTEPに到達します。ローカルVTEPは、宛先IPアドレスがローカルサブネット上にないことを検出し、集中型ゲートウェイに転送します。ゲートウェイはパケットのカプセル化を解除し、ルーティングを決定した後、パケットを宛先VNIへのトンネルに再カプセル化します。
利点は明らかです:
○ シンプルな管理すべてのルーティング設定が1台または2台のデバイスに集中化されるため、オペレーターは少数のゲートウェイでネットワーク全体をカバーできます。このアプローチは、中小規模のデータセンターやVXLANを初めて導入する環境に適しています。
○資源効率が高いゲートウェイは通常、大量のトラフィックを処理できる高性能ハードウェア(Cisco Nexus 9000やArista 7050など)です。コントロールプレーンは集中管理されており、NSX ManagerなどのSDNコントローラとの統合が容易です。
○強力なセキュリティ管理トラフィックはゲートウェイを通過する必要があるため、ACL(アクセス制御リスト)、ファイアウォール、NATの実装が容易になります。集中型ゲートウェイによってテナントトラフィックを容易に分離できるマルチテナントシナリオを想像してみてください。
しかし、欠点も無視できません。
○ 単一障害点ゲートウェイに障害が発生すると、ネットワーク全体のL3通信が麻痺します。冗長化にはVRRP(Virtual Router Redundancy Protocol)を使用できますが、それでもリスクは残ります。
○パフォーマンスのボトルネックすべてのEast-Westトラフィック(サーバー間の通信)はゲートウェイをバイパスする必要があるため、パスは最適ではありません。例えば、1,000ノードのクラスターでゲートウェイの帯域幅が100Gbpsの場合、ピーク時には輻輳が発生する可能性があります。
○スケーラビリティが低いネットワーク規模が拡大するにつれて、ゲートウェイの負荷は指数関数的に増加します。実例として、集中型ゲートウェイを使用している金融データセンターを目にしたことがあります。当初はスムーズに動作していましたが、VM数が倍増すると、レイテンシがマイクロ秒からミリ秒へと急上昇しました。
適用シナリオ:エンタープライズプライベートクラウドやテストネットワークなど、高度な管理の簡素化が求められる環境に適しています。シスコのACIアーキテクチャでは、コアゲートウェイの効率的な運用を確保するために、集中型モデルとリーフスパイン型トポロジを組み合わせることがよくあります。
分散VXLANゲートウェイ
分散VXLANゲートウェイ(分散ゲートウェイまたはエニーキャストゲートウェイとも呼ばれます)は、ゲートウェイ機能を各リーフスイッチまたはハイパーバイザーVTEPにオフロードします。各VTEPはローカルゲートウェイとして機能し、ローカルサブネットのL3転送を処理します。
原理はより柔軟です。各VTEPは、Anycastメカニズムを使用して、デフォルトゲートウェイと同じ仮想IP(VIP)で設定されます。VMから送信されるサブネット間パケットは、中央のポイントを経由することなく、ローカルVTEP上で直接ルーティングされます。ここで特に役立つのがEVPNです。BGP EVPNを介して、VTEPはリモートホストのルートを学習し、MAC/IPバインディングを使用してARPフラッディングを回避します。
例えば、VM A(10.1.1.10)がVM B(10.2.1.10)にアクセスしたいとします。VM Aのデフォルトゲートウェイは、ローカルVTEP(10.1.1.1)のVIPです。ローカルVTEPは宛先サブネットにルーティングし、VXLANパケットをカプセル化して、VM BのVTEPに直接送信します。このプロセスにより、パスとレイテンシが最小限に抑えられます。
優れた利点:
○ 高いスケーラビリティゲートウェイ機能を各ノードに分散させることでネットワークサイズが拡大しますが、これは大規模ネットワークにメリットをもたらします。Google Cloud のような大規模なクラウドプロバイダーは、同様のメカニズムを使用して数百万台の VM をサポートしています。
○優れたパフォーマンスボトルネックを回避するため、東西トラフィックはローカルで処理されます。テストデータによると、分散モードではスループットが30%~50%向上することが示されています。
○迅速な障害回復単一のVTEP障害はローカルホストのみに影響し、他のノードには影響しません。EVPNの高速コンバージェンスと組み合わせることで、回復時間は数秒単位となります。
○資源の有効活用既存の Leaf スイッチ ASIC チップをハードウェア アクセラレーションに活用し、転送速度を Tbps レベルにまで高めます。
デメリットは何ですか?
○ 複雑な構成各VTEPにはルーティング、EVPN、その他の機能の設定が必要であり、初期導入には時間がかかります。運用チームはBGPとSDNに精通している必要があります。
○高いハードウェア要件分散ゲートウェイ:すべてのスイッチが分散ゲートウェイをサポートしているわけではありません。Broadcom TridentまたはTomahawkチップが必要です。ソフトウェア実装(KVM上のOVSなど)は、ハードウェアほど優れたパフォーマンスを発揮しません。
○一貫性の課題分散型とは、状態同期がEVPNに依存することを意味します。BGPセッションが変動すると、ルーティングブラックホールが発生する可能性があります。
適用シナリオ:ハイパースケールデータセンターやパブリッククラウドに最適です。VMware NSX-Tの分散ルーターは典型的な例です。Kubernetesと組み合わせることで、コンテナネットワークをシームレスにサポートします。
集中型 VxLAN ゲートウェイと分散型 VxLAN ゲートウェイ
さて、いよいよクライマックスです。どちらが優れているのでしょうか?答えは「場合による」ですが、納得していただくためにはデータとケーススタディを深く掘り下げる必要があります。
パフォーマンスの観点から見ると、分散システムは明らかに優れています。典型的なデータセンターベンチマーク(Spirent社のテスト機器に基づく)では、集中型ゲートウェイの平均レイテンシは150μsでしたが、分散システムではわずか50μsでした。スループットの点では、分散システムはスパイン・リーフ型等コスト・マルチパス(ECMP)ルーティングを活用するため、ラインレート転送を容易に実現できます。
スケーラビリティもまた、もう一つの課題です。集中型ネットワークは100~500ノード規模のネットワークに適していますが、それ以上の規模になると分散型ネットワークが優位になります。例えば、Alibaba Cloudを見てみましょう。Alibaba CloudのVPC(仮想プライベートクラウド)は、分散型VXLANゲートウェイを使用して、世界中の数百万のユーザーをサポートし、単一リージョンのレイテンシは1ミリ秒未満です。集中型のアプローチは、とっくの昔に崩壊していたでしょう。
コストはどうでしょうか?集中型ソリューションは初期投資が少なく、ハイエンドゲートウェイを数台設置するだけで済みます。分散型ソリューションでは、すべてのリーフノードがVXLANオフロードをサポートする必要があるため、ハードウェアのアップグレードコストが高くなります。しかし、長期的には、Ansibleなどの自動化ツールによってバッチ設定が可能になるため、分散型ソリューションの方が運用保守コストが低くなります。
セキュリティと信頼性:集中型システムは集中的な保護を可能にしますが、単一攻撃ポイントのリスクが高くなります。分散型システムはより耐障害性が高いですが、DDoS攻撃を防ぐには堅牢な制御プレーンが必要です。
実例:あるeコマース企業は、サイト構築に集中型VXLANを使用していました。ピーク時にはゲートウェイのCPU使用率が90%にまで急上昇し、レイテンシーに関するユーザーからの苦情が発生しました。分散型モデルへの切り替えによりこの問題は解決し、同社は容易に規模を2倍に拡大することができました。一方、ある小規模銀行は、コンプライアンス監査を優先し、集中管理が容易なため、集中型モデルを採用しました。
一般的に、極めて高いネットワークパフォーマンスと拡張性を求めるなら、分散型アプローチが最適です。予算が限られており、管理チームに経験不足がある場合は、集中型アプローチの方が現実的です。今後、5Gとエッジコンピューティングの台頭により、分散型ネットワークはさらに普及するでしょう。しかし、集中型ネットワークは、ブランチオフィス間の相互接続など、特定のシナリオにおいては依然として価値を持ちます。
Mylinking™ ネットワークパケットブローカーVxLAN、VLAN、GRE、MPLSヘッダーストリッピングをサポート
元のデータ パケットで削除され、出力が転送される VxLAN、VLAN、GRE、MPLS ヘッダーをサポートしました。
投稿日時: 2025年10月9日
