VXLANゲートウェイについて説明する前に、まずVXLAN自体について説明する必要があります。従来のVLAN(仮想ローカルエリアネットワーク)は、12ビットのVLAN IDを使用してネットワークを分割し、最大4096個の論理ネットワークをサポートしていました。これは小規模ネットワークでは問題ありませんが、数千台の仮想マシン、コンテナ、マルチテナント環境を備えた最新のデータセンターでは、VLANでは不十分です。そこで、インターネット技術タスクフォース(IETF)がRFC 7348で定義したVXLANが誕生しました。その目的は、UDPトンネルを使用してレイヤ2(イーサネット)ブロードキャストドメインをレイヤ3(IP)ネットワーク上に拡張することです。
簡単に言うと、VXLANはイーサネットフレームをUDPパケット内にカプセル化し、24ビットのVXLANネットワーク識別子(VNI)を追加することで、理論上1600万個の仮想ネットワークをサポートします。これは、各仮想ネットワークに「身分証明書」を与えるようなもので、仮想ネットワーク同士が干渉することなく物理ネットワーク上を自由に移動できるようにします。VXLANの中核となるコンポーネントは、パケットのカプセル化とデカプセル化を担当するVXLANトンネルエンドポイント(VTEP)です。VTEPは、ソフトウェア(Open vSwitchなど)またはハードウェア(スイッチ上のASICチップなど)で構成できます。
VXLANがこれほど人気なのはなぜでしょうか?それは、クラウドコンピューティングとSDN(ソフトウェア定義ネットワーク)のニーズに完璧に合致するからです。AWSやAzureのようなパブリッククラウドでは、VXLANによってテナントの仮想ネットワークをシームレスに拡張できます。プライベートデータセンターでは、VMware NSXやCisco ACIのようなオーバーレイネットワークアーキテクチャをサポートします。数千台のサーバーがあり、それぞれが数十台のVM(仮想マシン)を実行しているデータセンターを想像してみてください。VXLANによって、これらのVMは自身を同じレイヤ2ネットワークの一部であると認識できるため、ARPブロードキャストやDHCPリクエストのスムーズな送信が保証されます。
しかし、VXLANは万能薬ではありません。L3ネットワーク上で動作させるにはL2からL3への変換が必要であり、そこでゲートウェイが登場します。VXLANゲートウェイは、VXLAN仮想ネットワークを外部ネットワーク(従来のVLANやIPルーティングネットワークなど)に接続し、仮想世界から現実世界へのデータフローを確保します。転送メカニズムはゲートウェイの中核であり、パケットの処理、ルーティング、および配信方法を決定します。
VXLANの転送プロセスは、まるで繊細なバレエのようで、送信元から宛先までの各ステップが密接に連携しています。それでは、ステップごとに詳しく見ていきましょう。
まず、送信元ホスト(VMなど)からパケットが送信されます。これは、送信元MACアドレス、宛先MACアドレス、VLANタグ(存在する場合)、およびペイロードを含む標準的なイーサネットフレームです。このフレームを受信すると、送信元VTEPは宛先MACアドレスを確認します。宛先MACアドレスが(学習またはフラッディングによって取得した)MACテーブルに存在する場合、送信元VTEPはパケットを転送するリモートVTEPを特定できます。
カプセル化プロセスは非常に重要です。VTEPは、VXLANヘッダー(VNI、フラグなどを含む)、次に外側のUDPヘッダー(内部フレームのハッシュに基づく送信元ポートと固定の宛先ポート4789)、IPヘッダー(ローカルVTEPの送信元IPアドレスとリモートVTEPの宛先IPアドレス)、最後に外側のイーサネットヘッダーを追加します。これでパケット全体がUDP/IPパケットとして表示され、通常のトラフィックのように見え、L3ネットワーク上でルーティングできるようになります。
物理ネットワーク上では、パケットはルータまたはスイッチによって転送され、宛先VTEPに到達します。宛先VTEPは外側のヘッダーを取り除き、VXLANヘッダーをチェックしてVNIが一致することを確認した後、内部のイーサネットフレームを宛先ホストに配信します。パケットが不明なユニキャスト、ブロードキャスト、またはマルチキャスト(BUM)トラフィックである場合、VTEPはマルチキャストグループまたはユニキャストヘッダー複製(HER)を利用して、フラッディングによって関連するすべてのVTEPにパケットを複製します。
転送原理の中核は、制御プレーンとデータプレーンの分離です。制御プレーンは、イーサネットVPN(EVPN)またはフラッドアンドラーン機構を使用してMACアドレスとIPアドレスのマッピングを学習します。EVPNはBGPプロトコルに基づいており、VTEP間でMAC-VRF(仮想ルーティングおよび転送)やIP-VRFなどのルーティング情報を交換できます。データプレーンは、VXLANトンネルを使用して効率的な伝送を行い、実際の転送を担当します。
しかし、実際の運用環境では、転送効率がパフォーマンスに直接影響します。従来のフラッディング方式では、特に大規模ネットワークにおいて、ブロードキャストストームが発生しやすくなります。そのため、ゲートウェイの最適化が必要となります。ゲートウェイは、内部ネットワークと外部ネットワークを接続するだけでなく、プロキシARPエージェントとして機能し、ルートリークを処理し、最短の転送パスを確保する役割も担います。
集中型VXLANゲートウェイ
集中型VXLANゲートウェイ(集中型ゲートウェイまたはL3ゲートウェイとも呼ばれる)は、通常、データセンターのエッジ層またはコア層に配置されます。これは中央ハブとして機能し、VNI間またはサブネット間のすべてのトラフィックが通過する必要があります。
原則として、集中型ゲートウェイはデフォルトゲートウェイとして機能し、すべての VXLAN ネットワークに対してレイヤ 3 ルーティング サービスを提供します。2 つの VNI、VNI 10000 (サブネット 10.1.1.0/24) と VNI 20000 (サブネット 10.2.1.0/24) を考えます。VNI 10000 の VM A が VNI 20000 の VM B にアクセスしようとすると、パケットはまずローカル VTEP に到達します。ローカル VTEP は、宛先 IP アドレスがローカル サブネット上にないことを検出し、それを集中型ゲートウェイに転送します。ゲートウェイはパケットをデカプセル化し、ルーティングの決定を行い、その後、宛先 VNI へのトンネルにパケットを再カプセル化します。
その利点は明らかだ。
○ シンプルな管理ルーティング設定はすべて1台または2台のデバイスに集中管理されるため、オペレーターは少数のゲートウェイのみでネットワーク全体をカバーできます。この方式は、中小規模のデータセンターや、VXLANを初めて導入する環境に適しています。
○資源効率が良いゲートウェイは通常、大量のトラフィックを処理できる高性能ハードウェア(Cisco Nexus 9000やArista 7050など)です。制御プレーンは集中管理されており、NSX ManagerなどのSDNコントローラとの統合が容易です。
○強力なセキュリティ管理トラフィックはゲートウェイを経由する必要があり、これによりACL(アクセス制御リスト)、ファイアウォール、NATの実装が容易になります。集中型ゲートウェイによってテナントのトラフィックを容易に分離できるマルチテナント環境を想像してみてください。
しかし、その欠点は無視できない。
○ 単一障害点ゲートウェイが故障すると、ネットワーク全体のL3通信が麻痺します。VRRP(仮想ルータ冗長プロトコル)は冗長化のために使用できますが、それでもリスクは伴います。
○パフォーマンスのボトルネック東西方向のトラフィック(サーバー間の通信)はすべてゲートウェイを経由する必要があるため、最適な経路とは言えません。例えば、1000ノードのクラスタでゲートウェイの帯域幅が100Gbpsの場合、ピーク時には輻輳が発生する可能性が高くなります。
○拡張性が低いネットワーク規模が拡大するにつれて、ゲートウェイの負荷は指数関数的に増加します。実際の例として、集中型ゲートウェイを使用している金融データセンターを見たことがあります。当初はスムーズに動作していましたが、仮想マシンの数が倍増した後、レイテンシがマイクロ秒からミリ秒へと急激に増加しました。
アプリケーションシナリオ:エンタープライズプライベートクラウドやテストネットワークなど、高度な管理簡素化が求められる環境に適しています。CiscoのACIアーキテクチャは、コアゲートウェイの効率的な運用を保証するために、リーフスパイントポロジーと組み合わせた集中型モデルを採用することがよくあります。
分散型VXLANゲートウェイ
分散型VXLANゲートウェイ(分散型ゲートウェイまたはエニーキャストゲートウェイとも呼ばれる)は、ゲートウェイ機能を各リーフスイッチまたはハイパーバイザーVTEPにオフロードします。各VTEPはローカルゲートウェイとして機能し、ローカルサブネットのL3転送を処理します。
この方式はより柔軟性が高く、各VTEPはAnycastメカニズムを使用して、デフォルトゲートウェイと同じ仮想IP(VIP)で構成されます。VMから送信されるサブネット間パケットは、中央ポイントを経由することなく、ローカルVTEP上で直接ルーティングされます。EVPNは特に有効で、BGP EVPNを介してVTEPはリモートホストの経路を学習し、MAC/IPバインディングを使用してARPフラッディングを回避します。
例えば、VM A(10.1.1.10)がVM B(10.2.1.10)にアクセスしたいとします。VM Aのデフォルトゲートウェイは、ローカルVTEP(10.1.1.1)のVIPです。ローカルVTEPは宛先サブネットにルーティングし、VXLANパケットをカプセル化して、VM BのVTEPに直接送信します。このプロセスにより、経路と遅延が最小限に抑えられます。
際立った利点:
○ 高い拡張性ゲートウェイ機能をすべてのノードに分散させることでネットワーク規模が拡大し、大規模ネットワークにとって有利になります。Google Cloudのような大手クラウドプロバイダーは、同様の仕組みを用いて数百万台の仮想マシンをサポートしています。
○優れた性能東西方向のトラフィックはボトルネックを回避するためにローカルで処理されます。テストデータによると、分散モードではスループットが30%~50%向上することが示されています。
○高速障害復旧VTEPの障害はローカルホストのみに影響し、他のノードには影響しません。EVPNの高速な収束機能と相まって、復旧時間はわずか数秒です。
○資源の有効活用既存のリーフスイッチASICチップをハードウェアアクセラレーションに活用し、転送速度をTbpsレベルまで向上させる。
デメリットは何ですか?
○複雑な構成各VTEPでは、ルーティング、EVPN、その他の機能の設定が必要となるため、初期導入には時間がかかります。運用チームはBGPとSDNに精通している必要があります。
○高いハードウェア要件分散ゲートウェイ:すべてのスイッチが分散ゲートウェイをサポートしているわけではありません。Broadcom TridentまたはTomahawkチップが必要です。ソフトウェアによる実装(KVM上のOVSなど)は、ハードウェアによる実装ほど優れたパフォーマンスを発揮しません。
○一貫性に関する課題分散型とは、状態同期がEVPNに依存することを意味します。BGPセッションが変動すると、ルーティングブラックホールが発生する可能性があります。
アプリケーションシナリオ:ハイパースケールデータセンターやパブリッククラウドに最適です。VMware NSX-Tの分散ルーターはその典型的な例です。Kubernetesと組み合わせることで、コンテナネットワークをシームレスにサポートします。
集中型VxLANゲートウェイと分散型VxLANゲートウェイの比較
さて、いよいよクライマックスです。どちらが良いのでしょうか?答えは「場合による」ですが、納得していただくためには、データや事例研究を詳しく見ていく必要があります。
パフォーマンスの観点から見ると、分散システムは明らかに優れています。一般的なデータセンターのベンチマーク(Spirent社のテスト機器に基づく)では、集中型ゲートウェイの平均レイテンシは150μsでしたが、分散システムの平均レイテンシはわずか50μsでした。スループットの面では、分散システムはSpine-Leaf Equal Cost Multi-Path(ECMP)ルーティングを活用するため、容易にラインレート転送を実現できます。
拡張性もまた、大きな争点となる。集中型ネットワークは100~500ノード規模のネットワークに適しているが、それ以上の規模になると分散型ネットワークが優位に立つ。例えば、アリババクラウドを見てみよう。同社のVPC(仮想プライベートクラウド)は、分散型VXLANゲートウェイを用いて世界中の数百万人のユーザーをサポートしており、単一リージョンのレイテンシは1ms未満だ。集中型アプローチであれば、とっくに破綻していただろう。
コストはどうでしょうか?集中型ソリューションは初期投資が少なく、高性能ゲートウェイを数台用意するだけで済みます。一方、分散型ソリューションでは、すべてのリーフノードがVXLANオフロードをサポートする必要があり、ハードウェアのアップグレードコストが高くなります。しかし、長期的には、Ansibleのような自動化ツールによって一括設定が可能になるため、分散型ソリューションの方が運用保守コストが低くなります。
セキュリティと信頼性:集中型システムは集中的な保護を可能にする一方で、単一攻撃ポイントのリスクが高い。分散型システムはより回復力に優れているが、DDoS攻撃を防ぐための堅牢な制御プレーンが必要となる。
実際の事例:あるeコマース企業は、サイト構築に集中型VXLANを使用していました。ピーク時にはゲートウェイのCPU使用率が90%にまで急上昇し、ユーザーから遅延に関する苦情が寄せられました。分散型モデルに切り替えたことで問題は解決し、同社は容易に規模を2倍にすることができました。一方、ある小規模銀行は、コンプライアンス監査を優先し、集中管理の方が容易だと考えたため、集中型モデルにこだわりました。
一般的に、極めて高いネットワーク性能と拡張性を求めるなら、分散型アプローチが最適です。予算が限られており、経営陣の経験が不足している場合は、集中型アプローチの方が現実的です。将来的には、5Gやエッジコンピューティングの普及に伴い、分散型ネットワークがより普及するでしょう。しかし、支店間の相互接続など、特定のシナリオにおいては、集中型ネットワークも依然として有効です。
Mylinking™ ネットワークパケットブローカーVxLAN、VLAN、GRE、MPLSヘッダーストリッピングをサポート
元のデータパケットからVxLAN、VLAN、GRE、MPLSヘッダーを削除し、出力を転送する機能をサポートしています。
投稿日時:2025年10月9日
