MVP Community Camp 2015

2015/01/31

System Center User Group Japan

後藤諭史（Satoshi GOTO）

後藤諭史（ Satoshi GOTO）

某 ISP所属。

仮想化製品が主な専門分野です。

Microsoft MVP - System Center Cloud and Datacenter Management

（Jul.2012 - Jun.2015）

TwitterとBlogはこちら◦ Twitter：@wind06106／Blog：Tech Notes（http://www.dob1.info ：ドタバタしてて更新サボってます）

2

System Centerの名前は冠していますが、インフラテクノロジー全般をターゲットとした勉強会を開催しています。◦ 仮想化テクノロジーや、管理のためのSystem Center関連技術

◦ Active Directoryや Failover Cluster等のシステム基盤技術

◦ PowerShellによる運用自動化等々

平たくいうと『ITProの勉強会』です。

各種情報発信はこちら◦ Twitter：@scugj

◦ Web：http://www.scug.jp

◦ FaceBook：https://www.facebook.com/SCUGJ

3

セッションの目的◦ 『 Hyper-V 仮想スイッチ』の特徴的な機能である『エクステンション』機能にスポットを当て、実装例を通してその持てる機能をご理解いただく。

◦ 現在公開されている Windows Server Technical Preview の情報から、次期バージョンにおける『 Hyper-V 仮想スイッチ』の実装を予想する。

セッションのゴール◦ Hyper-V仮想スイッチに実装された機能を利用することができる。

4

仮想スイッチの概念／位置づけ

エクステンション概要

実装例紹介

Windows Server Technical Preview におけるHyper-V 仮想スイッチ

まとめ

5

本セッション資料ですが、個人で準備した環境において、個人的に実施した検証／結果を基に記載しています。

あくまで個人の意見／見解であり、所属する会社／組織及びマイクロソフト社とは『まったく／なにも／全然』関係がございません。

所属する会社／組織／マイクロソフト社の正式な回答／見解ではない事に留意してください。

また、本資料を閲覧した事により問題が生じた場合、または問題が発生しかけた場合、または生じた一切の不利益について、発表者は一切の責任を負う事はできませんのでご了承ください。

6

7

8

9

エクステンション

◦ 仮想スイッチの機能を拡張するプラグイン

サードパーティーフォワーディングエクステンション

◦ Microsoft以外のベンダーのフォワーディングエンジンが搭載可能

◦ パケットのフォワーディング処理を標準のフォワーディングエンジンを利用せずに行う事が可能

◦ Cisco Nexus 1000V／NEC Programmable Switch

HNV：Hyper-V Network Virtualization

◦ Hyper-Vのネットワーク仮想化機能を実行するモジュール

本日のお題

10

VLAN機能

各種セキュリティー機能

ポートミラーリング

Access Control Lists（ ACLs）

Network QoS

http://technet.microsoft.com/ja-jp/library/hh831823.aspx

詳細はMVP Community Camp 2014『 Hyper-V仮想スイッチの Tips（仮）』の資料をご覧ください。

http://www.slideshare.net/wind06106/mvpcomcamp

11

TechEd North America 2013:MDC-B380

Deep Dive on Hyper-V Network Virtualization in Windows Server 2012 R2

http://media.ch9.ms/sessions/teched/na/2013/MDC-B380_Williams.pptx

12

TechEd North America 2013:MDC-B380

Deep Dive on Hyper-V Network Virtualization in Windows Server 2012 R2

http://media.ch9.ms/sessions/teched/na/2013/MDC-B380_Williams.pptx

13

14

Hyper-V 仮想スイッチの機能を拡張するプラグインのこと

この機能により、Hyper-V 仮想スイッチが標準では持っていない機能を、任意に追加可能となった

Windows Server 2012 から実装

エクステンションは、その拡張される機能により大きくは 3つに分類される

『 Hyper-V マネージャー』→

『仮想スイッチマネージャー』→

仮想スイッチを展開して『拡張』

15

16

Add-VMSwitch

Add-VMSwitchExtensionPortFeature

Add-VMSwitchExtensionSwitchFeature

Disable-VMSwitchExtension

Enable-VMSwitchExtension

Get-VMSwitch

Get-VMSwitchExtension

Get-VMSwitchExtensionPortData

Get-VMSwitchExtensionPortFeature

Get-VMSwitchExtensionSwitchData

Get-VMSwitchExtensionSwitchFeature

Get-VMSystemSwitchExtension

Get-VMSystemSwitchExtensionPortFeature

Get-VMSystemSwitchExtensionSwitchFeature

New-VMSwitch

Remove-VMSwitch

Remove-VMSwitchExtensionPortFeature

Remove-VMSwitchExtensionSwitchFeature

Rename-VMSwitch

Set-VMSwitch

Set-VMSwitchExtensionPortFeature

Set-VMSwitchExtensionSwitchFeature

17

拡張機能 目的 実装例

Capture（キャプチャー）

トラフィックを検査し、レポートの目的のために新たなトラフィックを生成します。パケットの検査が目的のため、ネットワークパケットそのものの改変を行うことはできません。また、複数のキャプチャーエクステンションを同時に動作させることが可能です。

sFlowやネットワークモニタリング

Filter（フィルター）

vSwitchを経由するネットワークパケットの検査、破棄、変更、またはパケットの作成を行います。また、複数のフィルターエクステンションを同時に動作させる事が可能です。

セキュリティ

Forwarding（転送）

vSwitchごとに転送機能を拡張し、既定の転送をバイパスします。この転送エクステンションは、 1つの vSwitch で 1 つだけ有効化可能です。

Cisco Nexus 1000V

NEC ProgrammableFlow Switch

Open vSwitch on Hyper-V他、Virtual Ethernet Port Aggregator

(VEPA)、独自のネットワークファブリック

他、 Monitoring（監視）、 Native（ネイティブ）エクステンションと呼ばれるものが存在

18

標準で実装されている、Hyper-V仮想スイッチのエクステンション

このエクステンションにより、実装されている機能は以下の通り

Ethernet Switch Port Isolation Settings

Ethernet Switch Port VLAN Settings

Ethernet Switch Port ACL Settings

Ethernet Switch Port Bandwidth Settings

Ethernet Switch Port Extended ACL Settings

Ethernet Switch Port Routing Domain Settings

Ethernet Switch Port Profile Settings

Ethernet Switch Port Offload SettingsEthernet Switch Port Security Settings

Ethernet Switch Bandwidth Settings

PortFeature SwitchFeature

※赤字はWindows Server 2012 R2で追加された Feature

19

20

21

22

5nine Software社が提供するセキュリティーエクステンション

以下の機能が仮想マシン単位で利用可能

◦ バーチャルファイヤーウォール（ vFirewall）機能：MAC Address、IP Address、Protocol（ TCP/UDP /ICMP etc）等でフィルター設定可能

◦ 通信状況監視機能：仮想マシンの通信状況（ Connection Table）が取得可能

◦ IDS機能：Snort エンジンと連携し、IDSとして利用可能

vFirewall機能は仮想スイッチで行われるため、仮想マシンのOS種別は問わず、また仮想マシンに vFirewall機能由来の負荷は一切発生しない

製品情報は以下URLを参照のこと（ 30日評価版あり）

http://www.5nine.com/5nine-security-for-hyper-v-product.aspx

23

24

25

sFlowとは、米 inMon社が開発したネットワークトラフィックを可視化するための管理テクノロジ（プロトコル）の名称で、HPや Brocade、 Juniper等の多くのハードウェアネットワーク機器が実装している

Host sFlow agentは、物理サーバー・仮想サーバーのパフォーマンス統計値を sFlowプロトコルを使用して送信するためのエージェントであり、Hyper-V仮想スイッチにおいてはエクステンションの形で実装されている

sFlow機能は仮想スイッチで行われるため、仮想マシンのOS種別は問わず、また仮想マシンに sFlow機能由来の負荷は一切発生しない

Host sFlow agentは以下URLからダウンロード可能

http://host-sflow.sourceforge.net/

26

27

28

Technical Preview時点では、ネイティブエクステンションでの追加 Featureはなし→ 標準機能はWindows Server 2012 R2と同等と思われる

Windows Server 2012 R2用のフィルターエクステンション、キャプチャーエクステンションが（現状では）利用可能

→ エクステンション回りの仕様もWindows Server 2012 R2と同等の模様

新しい転送エクステンション『Windows Azure VFP Switch Extension』が追加

◦ VFP： Virtual Filtering Platform

29

30

31

32

Hyper-Vの仮想スイッチは、非常に高性能な仮想スイッチです

エクステンションはあまりなじみのない機能ですが、使ってみると思いのほか便利です

機会がありましたら、ぜひ一度テストをしてみてください

次期Windows Serverでエクステンションを使う機会は増えるかも……？

33

Get Hands-on with the New Hyper-V Extensible Switch in Windows Server 2012http://channel9.msdn.com/Events/TechEd/NorthAmerica/2012/VIR307

Hyper-V Extensible Switch (Windows Drivers)http://msdn.microsoft.com/en-us/library/windows/hardware/hh598161%28v=vs.85%29.aspx

Hyper-V 仮想スイッチの概要http://technet.microsoft.com/ja-jp/library/hh831823.aspx

『次期Windows Server はどうなる? ～年末年始を無駄にしないために～』http://download.microsoft.com/download/6/6/D/66DF1C86-2202-4392-A38B-3664398ED390/20141222_TF_WSvNext.pptx

34