Open vSwitch(OVS)徹底解説:アーキテクチャ、機能、運用、性能チューニング

2025年12月13日 最終更新日時 : 2025年12月13日 エバープレイ編集部

はじめに:Open vSwitchとは何か

Open vSwitch(OVS)は、ソフトウェアベースの仮想スイッチであり、仮想化環境やクラウド基盤、SDN(Software Defined Networking)環境で広く使われています。Nicira(のちにVMwareに買収)によって開発され、Apache License 2.0で公開されているオープンソースプロジェクトです。OVSは仮想マシンやコンテナ間のネットワーク接続、トンネリング、フロー制御、モニタリングなど豊富な機能を提供し、OpenFlowやOVSDBなどのプロトコルと連携します。

アーキテクチャの概要

OVSは大きく分けて制御プレーンとデータプレーン、そして設定管理用のコンポーネントで構成されます。

  • ovs-vswitchd:OVSのメインプロセスで、制御ロジック(フローの管理やOpenFlowコントローラとの通信)を担います。

  • ovsdb-server:OVSDB(Open vSwitch Database)を提供するデーモンで、ブリッジやポート設定、QoS設定など永続的な設定情報を管理します。OVSDBはRFCとして標準化されたプロトコルです。

  • データプレーン(datapath):実際のパケット転送を行う部分で、従来はカーネルモジュール(openvswitch.ko)として実装されていました。ユーザースペースベースのdatapath(DPDKやnetdevバックエンド)もサポートします。

  • 管理ツール:ovs-vsctl(設定変更)、ovs-ofctl(OpenFlowフロー管理)、ovs-appctl(ランタイム操作)などのCLIツール群があります。

制御プレーンとOpenFlow

ovs-vswitchdはOpenFlowプロトコルによりSDNコントローラ(例:OpenDaylight、ONOS、Ryu)と通信できます。OpenFlowにより外部コントローラがフローテーブルを定義し、パケット処理を柔軟に制御できます。OVS内部でもローカルにフローをインストールしてパケットを処理し、プロアクティブ/リアクティブなフロー処理を組み合わせる運用が可能です。

データプレーンの実装オプション

OVSは複数のデータプレーン実装をサポートし、用途や性能要件に応じて選択できます。

  • カーネルデータプレーン(dpif-linux):標準的で安定しており、LinuxのネットワークスタックやNICのオフロードを活用できます。

  • ユーザースペース(dpif-netdev / DPDK):DPDKと組み合わせることで、カーネルを介さずユーザースペースで高速にパケット処理を行い、NFVや高スループットが要求される環境に適します。DPDK利用時はHugePagesやCPUピンニング、NICバインディングなどのチューニングが必要です。

  • eBPF/AF_XDPとの連携:近年はeBPFやAF_XDPを使った高速パスを利用するケースも増えています。OVS自体もデータプレーン戦略を進化させており、環境に応じた最適化が可能です。

主要機能とプロトコルサポート

  • トンネリング:VXLAN、GRE、Geneve、STTなどのトンネルプロトコルをサポート。これによりオーバーレイネットワークを構築し、マルチテナント環境での論理ネットワーク分離が可能です。

  • 接続追跡(conntrack):ステートフルなファイアウォールやNAT機能を実現するためにコネクション追跡が使用できます。

  • QoSとトラフィック制御:キューや帯域制御、優先度付けによりトラフィックの制御が可能。Linuxのtcやハードウェアオフロードと連携できます。

  • モニタリング:sFlow、NetFlow/IPFIX、パケットキャプチャ、フローカウントなどを通じて可視化が可能です。

  • ミラーリング、VLANタグ操作、QOSマーク付け、ヘッダ改変(NATや負荷分散向けの処理)など多彩なパケット操作がサポートされています。

OVN(Open Virtual Network)との関係

OVNはOVS上に構築された分散仮想ネットワークソリューションで、論理スイッチ・ルータやACL、ロードバランサーなどを提供します。OVNはNorthbound/Southboundのデータベース設計を持ち、分散型の論理ネットワークをスケーラブルに実現します。OpenStackやKubernetes向けの統合が進んでおり、OVNはOVSと密接に連携して動作します。

クラウド/コンテナ環境での利用例

  • OpenStack Neutron:OVSドライバは長年にわたりNeutronの主要なプラグインであり、トンネリングやセキュリティグループを実現します。

  • Kubernetes:OVSはCNIプラグインやOVN-Kubernetesなどを通じてコンテナネットワークの基盤として使われています。高機能なL2/L3処理と高い拡張性が魅力です。

  • NFV/SDN:仮想化されたネットワーク機能(vRouter、vFirewall、L7プロキシなど)を組み合わせる場面でOVSは重要な役割を担います。

運用とトラブルシューティング

OVS運用では以下のツールと手順が有用です。

  • ovs-vsctl show:ブリッジとポート設定の確認。

  • ovs-ofctl dump-flows:OpenFlowフローの確認・デバッグ。

  • ovs-appctl:ランタイム診断、メモリやスレッドの状態確認。

  • ovsdb-client:OVSDBのクエリ。

  • 性能監視:sFlowやIPFIX、Prometheusエクスポータ(コミュニティ実装)を用いた可視化。

性能チューニングのポイント

  • DPDK利用:高スループット用途ではDPDKパスが有効。HugePages、CPUコアの専有、メモリバインディング、NICのIRQ分離などが必要です。

  • ハードウェアオフロード:NICのRSS、TSO/GSO/GRO、チェックサムオフロード等を活用してカーネルパスの負荷を下げる。

  • フローテーブルの設計:フロー数が増えるとソフトウェア側の管理コストが上がるため、集約やマッチの粒度設計を慎重に行う。

  • パケットバッファとメモリ設定:バッファ不足やパケットロスを防ぐための調整。

セキュリティ上の留意点

OVSはネットワーク基盤であるため、設定ミスや脆弱性がインフラ全体に影響します。ベストプラクティスとしては:

  • 最小権限の原則でOVSDBや管理APIへのアクセス制御を行う。

  • コントローラとの通信はTLSで保護する。

  • 定期的なパッチ適用と脆弱性確認。

  • 監査ログやフローの収集による異常検知。

導入時の検討ポイント

OVS導入にあたっては、性能要件、運用体制、管理ツール、既存インフラとの互換性(トンネリング方式やハードウェアオフロード)、監視方法、バックアップ/復元方針などを事前に設計することが重要です。小規模な環境ではカーネルデータプレーンで十分な場合が多いですが、大規模/高性能が必要な環境ではDPDKやOVNなどの組み合わせを検討してください。

まとめ

Open vSwitchは柔軟性と拡張性に優れた仮想スイッチであり、クラウドやコンテナ、NFV、SDNの基盤に広く使われています。アーキテクチャ理解、適切なデータプレーン選択、性能チューニング、セキュリティ対策を組み合わせることで、堅牢かつ高性能なネットワーク基盤を構築できます。OVNと組み合わせれば論理ネットワークを大規模に管理でき、OpenStackやKubernetesとの統合運用も現実的です。

参考文献

カテゴリー
IT
前の記事
OpenFlowスイッチの仕組みと運用を徹底解説:アーキテクチャ、性能、導入上の注意点New!!
2025年12月13日
次の記事
Google Floodlight タグの仕組みと実装ガイド:計測・トラッキングの深掘りNew!!
2025年12月13日