ハイパーバイザー(仮想マシンモニター (VMM))は、1つの物理ホストマシンから複数の仮想マシン (VM) を作成して管理する仮想化ソフトウェアです。
ハイパーバイザーはVMMとして機能し、すべてのゲストVMのリソース(CPU、メモリ、ストレージなど)の監視、プール、割り当てを行います。これらのアセットを一元化することで、システム全体のパフォーマンスを最適化しながら、各VMのエネルギー消費、スペース割り当て、メンテナンス要件を大幅に削減することができます。
ハイパーバイザーを使用する理由
ハイパーバイザーは、ITチームが利用可能なすべてのリソースをより適切に監視して活用するのに役立つ以外にもさまざまな利点があります。以下の内容が含まれます。
- スピードとスケーラビリティ:ハイパーバイザーは新しいVMを即座に作成することができるため、組織はビジネスニーズの変化に合わせて迅速に拡張することができます。アプリケーションがさらなる処理能力を必要としている場合、ハイパーバイザーは別のサーバー上の追加マシンにアクセスして、この需要に対応することもできます。
- コストとエネルギー効率:ハイパーバイザーを使用して共通のホストから複数のVMを作成して実行すると、同じタスクの完了に複数の物理マシンを実行するよりもコストとエネルギーの効率がはるかに向上します。
- 柔軟性:ハイパーバイザーは、OSを基盤となる物理ハードウェアから分離します。結果として、システムは特定のハードウェアに依存しなくなるため、ゲストVMでさまざまなソフトウェアやアプリケーションを実行できるようになります。
- モビリティとレジリエンス:ハイパーバイザーは、ホストハードウェアからVMを論理的に分離します。したがって、VMは、中断のリスクなしに、あるサーバーから別のサーバーに自由に移動できます。ハイパーバイザーは、あるゲスト仮想マシンを別のゲスト仮想マシンから分離することもできます。これにより、1台の仮想マシンがクラッシュした場合のドミノ倒しのようなクラッシュのリスクが排除されます。
- レプリケーション:手動でのVMレプリケーションは非常に時間がかかり、プロセスが複雑になる可能性があります。ハイパーバイザーはVMレプリケーションプロセスを自動化するので、スタッフはより価値の高いタスクに集中できるようになります。
- 復元:ハイパーバイザーには、VMの現在の状態のスナップショットを作成する機能など、安定性とセキュリティの機能が組み込まれています。スナップショットを作成しておけば、必要に応じてVMをスナップショット時の状態に戻すことができます。エラーが発生した際に、ITチームはVMを以前の機能状態に復元できるため、システムのアップグレードやメンテナンスを実施する際に特に役立ちます。
ハイパーバイザーのタイプ
ハイパーバイザーには、大きく分けて2つのタイプがあります。
- タイプ1のハイパーバイザー:ネイティブハイパーバイザーまたはベアメタルハイパーバイザー
- タイプ2のハイパーバイザー:ホスト型ハイパーバイザーまたは組み込み型ハイパーバイザー
タイプ1のハイパーバイザー:ネイティブハイパーバイザーまたはベアメタルハイパーバイザー
タイプ1のハイパーバイザーは、仮想化ソフトウェアをハードウェアに直接インストールするため、ベアメタルハイパーバイザーと呼ばれます。
このモデルでは、ハイパーバイザーがOSの代わりを務めます。その結果、このタイプのハイパーバイザーは、すべてのコンピューティング能力をゲスト仮想マシンに使用することができるため、通常、より高速であり、また攻撃者がOS内の脆弱性を標的にできないためより安全でもあります。
とはいえ、ネイティブハイパーバイザーは、セットアップと操作が複雑になる傾向にあります。また、タイプ1のハイパーバイザーは、基本的にハイパーバイザー自体がOSの役割を果たすため、機能がやや制限されています。
タイプ2のハイパーバイザー:ホスト型ハイパーバイザーまたは組み込み型ハイパーバイザー
ベアメタルハイパーバイザーとは異なり、ホスト型ハイパーバイザーは、ホストオペレーティングシステム上の追加ソフトウェアレイヤーとして展開されます。その後、複数のオペレーティングシステムをホストOS上に新しいレイヤーとしてインストールできます。
このモデルでは、OSはハードウェアとハイパーバイザーの間の計量ステーションとして機能します。その結果、タイプ2のハイパーバイザーは、レイテンシーが高くなり、パフォーマンスが低下する傾向にあります。また、このタイプはOSの存在によりサイバー攻撃に対してより脆弱になります。
組み込み型ハイパーバイザーは、VMのセットアップと監視に管理コンソールや専用のマシンを必要としないため、一般的にタイプ1のハイパーバイザーよりも簡単にビルドして起動できます。また、ホスト型ハイパーバイザーは、ソフトウェアテストのようなレイテンシーが問題にならないユースケースにも適しています。
クラウドハイパーバイザー
クラウドおよびクラウドコンピューティングへの移行により、クラウドハイパーバイザーの必要性が高まっています。クラウドハイパーバイザーは、物理デバイス上ではなく、クラウド環境のVMの実行にのみ焦点を当てています。
クラウドの柔軟性、スピード、コスト削減により、企業はVMをクラウドに移行する傾向が強まっています。クラウドハイパーバイザーは、それらをより効率的に移行するためのツールを提供し、企業が変革の取り組みに対する投資をより迅速に回収できるようにします。
コンテナとハイパーバイザーの違い
コンテナとハイパーバイザーはどちらも、システム内でアプリケーションを論理的に分離することで、より効率的に実行できるようにします。ただし、この2つには、構造、拡張方法、およびユースケースに大きな違いがあります。
コンテナは、ソフトウェアとその依存関係だけ(コード、システムツール、設定、ライブラリなど)のパッケージです。あらゆるオペレーティングシステムやインフラストラクチャで確実に実行できます。コンテナはランタイム環境全体で構成されており、物理マシンからクラウドへ、または開発者のテスト環境からステージング環境、そして本番環境へなど、さまざまなコンピューティング環境間でアプリケーションを移動できます。
ハイパーバイザーとコンテナ
ハイパーバイザーは、物理マシンのコレクションを模倣する1つ以上のVMをホストします。各VMには独自の独立したOSがあり、他のVMから効果的に分離されています。
VMはコンテナに比べてサイズが大きく、一般的に低速ですが、複数のアプリケーションや異なるオペレーティングシステムを同時に実行できます。これが理由で、複数のアプリケーションや古いOSを必要とする従来のソフトウェアの実行を必要とする組織に適したソリューションとなっています。
一方、コンテナは、多くの場合、OSカーネルや基本イメージを共有します。各コンテナは個々のアプリケーションまたはマイクロサービスを実行できますが、基になるカーネルまたは基本イメージにリンクされています。
コンテナは通常、他のオーバーヘッドなしで1つのアプリまたはマイクロサービスをホストするために使用されます。コンテナは、VMよりも軽量で柔軟性が高くなっています。そのため、アプリケーション開発など、高度なスケーラビリティ、ポータビリティ、スピードを必要とするタスクによく使用されます。
ハイパーバイザーセキュリティについて
一方で、ハイパーバイザーはVMを互いに分離することで、個々のVMに対する攻撃を効果的に封じ込めます。また、タイプ1、つまりベアメタルハイパーバイザーの場合は、オペレーティングシステムが存在しないため、攻撃者はOS内の脆弱性を悪用できず、攻撃のリスクが大幅に軽減されます。
とはいえ、ハイパーバイザーホスト自体が攻撃対象となる可能性があります。その場合、各ゲストマシンとそれに関連するデータが、侵害に対して脆弱になる可能性があります。
ハイパーバイザーのセキュリティを向上させるためのベストプラクティス
ここでは、ハイパーバイザーを組織のITアーキテクチャに統合する際に考慮すべきベストプラクティスをいくつか紹介します。
- ホストの役割を稼働中のVMのみに制限することで、攻撃対象領域を最小化する
- すべてのソフトウェアアプリケーションとOSに対して定期的かつタイムリーなパッチ適用を実施する
- 暗号化、ゼロトラスト、多要素認証 (MFA) などの他のセキュリティ対策を活用して、ユーザーの認証情報の安全性を確保する
- システム内の管理者権限とユーザー数を制限する
- ハイパーバイザーを組織のサイバーセキュリティアーキテクチャに組み込むことで、最大限の保護を実現する
ハイパーバイザーとログ管理
マイクロサービスの増加と異なるクラウド環境への移行に伴い、オブザーバビリティの維持はますます困難になっています。さらに、アプリケーションの可用性、バグ/脆弱性、リソースの使用、仮想マシン/コンテナのパフォーマンスの変化など、エンドユーザーエクスペリエンスに対する課題が、コミュニティに影響を与え続けています。継続的デリバリーモデルで運用している組織は、アプリケーション環境内の依存関係を把握して理解することにさらに苦労しています。
すべてをログに記録、すべてに対する回答 - 無料
Falcon LogScale Community Edition(旧称Humio)は、クラウド向けの最新のログ管理プラットフォームを無料で提供します。ストリーミングデータ取り込みを活用して、分散システム全体を即座に可視化し、インシデントを防止および解決します。
無料ですぐにご使用可能なFalcon LogScale Community Editionには、次のものが含まれています。
- 1日あたり最大16GBの取り込み
- 7日間の保持期間
- クレジットカードは不要です
- トライアル期間なしの継続的なアクセス
- インデックスフリーのログ記録、リアルタイムのアラート、ライブダッシュボード
- 新しいパッケージをビルドするためのガイドを含む、マーケットプレイスとパッケージへのアクセス
- アクティブコミュニティの情報とコラボレーション