SCUGJ 第12回勉強会

2015/04/18

System Center User Group Japan

後藤諭史（Satoshi GOTO）

後藤諭史（ Satoshi GOTO ）

某 ISP 所属。

仮想化製品が主な専門分野です。

Microsoft MVP - System Center Cloud and Datacenter Management

（Jul.2012 - Jun.2015）

TwitterとBlogはこちら◦ Twitter：@wind06106／Blog：Tech Notes（http://www.dob1.info ：ドタバタしてて更新サボってます）

2

セッションの目的◦ Windows Azure Pack で作る IaaS の各種機能をご理解いただく。

◦ 3rd party による機能拡張（ Extension ）による「 Windows Azure Pack をもっと便利に！」をご理解いただく。

セッションのゴール◦ Windows Azure Pack で作る IaaS は、非常にお手軽で便利であることが説明できる。

3

Windows Azure Pack ってなに？

Windows Azure Pack で作る IaaS

便利な機能：エクステンション概要

まとめ

4

本セッション資料ですが、個人で準備した環境において、個人的に実施した検証／結果を基に記載しています。

あくまで個人の意見／見解であり、所属する会社／組織及びマイクロソフト社とは『まったく／なにも／全然』関係がございません。

所属する会社／組織／マイクロソフト社の正式な回答／見解ではない事に留意してください。

また、本資料を閲覧した事により問題が生じた場合、または問題が発生しかけた場合、または生じた一切の不利益について、発表者は一切の責任を負う事はできませんのでご了承ください。

5

6

7

Windows Server で構築可能なクラウドコントローラー

オンプレミスで作れる『 Microsoft Azure 』

Microsoft Azure Virtual Machines と同じように、数クリックで仮想マシンがデプロイ可能

そうはいっても……よくわからんし

百聞は一見に如かず

8

9

Admin Portal◦ クラウドの管理者（ファブリック管理者）が使用するポータル

◦ 利用者（テナント管理者）のアカウント管理、テナントに提供するサービス（プラン）の設定を実施

◦ ユーザーが自由にサインアップ可能にするか等の設定も可能

10

Tenant Portal◦ 利用者（テナント管理者）が使用するセルフサービスポータル

◦ ファブリック管理者が設定したプランの範囲内で、テナントが自由にサービスを利用可能

11

ネットワーク

DB サーバー Web サーバー

Firewall

Internet

ユーザー PC

管理者 PC

12

自分で決めた IP Addressが使いたい

DB サーバーは

Windows

Web サーバーはLinuxがいいかなぁ

Firewall

Internet

ユーザー PC

管理者 PC

いざというときにコンソール接続したい

NAT & ACL

13

自分で決めた IP Addressが使いたい

DB サーバーは

Windows

Web サーバーはLinuxがいいかなぁ

Firewall

Internet

ユーザー PC

管理者 PC

仮想ネットワーク(Windows Server Gateway)

仮想ネットワーク

リモートコンソール

仮想マシン

14

IaaS としての管理部分は全て System Center 2012 R2 Virtual Machine Manager(SCVMM)

が担当

WAP(Admin Portal) が管理するのはユーザー（テナント）とプラン

WAP と SCVMM との連携には、『 Service Provider Foundation(SPF) 』が必要

◦ SPF は System Center 2012 R2 Orchestrator に同梱

VMM 管理サーバー SPF WAP Portal

VMM 通信 (8100/TCP) HTTPS 通信 (443/TCP)

15

System Center 2012 R2 Virtual Machine Manager(SCVMM) と連携することで実装

◦ 仮想マシンの作成や管理等々は、 SCVMM が全て実施

◦ テンプレートは SCVMM で管理しているものを利用

ハードウェアプロファイルを使用して、仮想マシンのサイズ（ CPU コア数、メモリサイズ）をテンプレートして定義可能

◦ テナント側で、仮想マシンに適用されているハードウェアテンプレートの変更（再適用）が可能

WAP 側で定義する『プラン』は、SCVMM側で定義する『クラウド』を基準に設定◦ クラウドで指定されたリソースが、プランで使用可能なリソースに

◦ 利用可能なネットワークや、プロファイル関連も同様

16

VMMにおける『クラウド』の設定が、 WAP 側の『プラン』に反映

17

テナント単位での独立（分離）したネットワークは、二つのネットワーク技術で実装

◦ VLAN

◦ Hyper-V Network Virtualization(NVGRE)

VLAN によるネットワーク分離の場合、あらかじめ管理者（ファブリック管理者）によるネットワーク (VLAN) 設定が必要

→ ネットワーク機器側の設定も必要

→ テナント管理者側で自由にサブネットを作ることができない

ネットワークのセルフサービスは NVGRE によるネットワークの仮想化が必要

18

Windows Server 2012 から実装されている、ネットワーク仮想化を実現するためのプロトコルのこと

◦ Network Virtualization using Generic Routing Encapsulation

VLAN と異なり、ネットワーク機器に依存することなく、ネットワークの分離が可能

詳しい事はこちらをご参照のこと

ネットワーク仮想化技術 NVGRE のすべて

日経BP社刊

19

Hyper-V Network Virtualization を利用した仮想ネットワークは、通常のネットワークとは疎通不可である

仮想ネットワークと通常のネットワーク間のゲートウェイの役割を果たすものが『 Windows Server Gateway(WSG) 』である

Windows Server 2012 R2 の Routing and Remote Access Service(RRAS) を利用しており、Windows Server の標準機能で実装可能

ゲートウェイの機能の他、仮想ネットワークに接続されている仮想マシンへのアクセス制御や、仮想マシンの IP アドレスのグローバルアドレスへの変換 (NAT) も実施可能

WSG の制御は SCVMM にて実施

20

WSG が VPN の終端装置として稼働し、対向の VPN 機器と Site-to-Site （ S2S ）接続を行う方式

WSG とVPN接続が可能であることが接続条件なため、公共ネットワーク（インターネット）経由でも安全にアクセスが可能

ハイブリッドクラウドでの実装を想定

VPN の方式は IPSec

192.168.1.0/24

20

.10

Virtual SwitchVirtual Switch

WNVNIC

.10 .11

NVGRE トンネル

192.168.1.10へアクセス

192.168.101.0/24

.250

VPN トンネル

21

リモートデスクトップ役割サービスの機能の 1 つである『リモートデスクトップゲートウェイ』を使用して、 Hyper-V コンソール接続をリモートデスクトップ接続に変換

コンソール接続のため、 Windows 以外の OS でも接続可能

OS のインストールも実行可能

Hyper-V ホストRDGatewayFirewall

https(443/tcp) vmconnect(2179/tcp)

Client

22

23

WAP の機能を拡張する、便利なプラグインのこと

WAP をインストールする際に使用する WebPI から、エクステンションをインストールする事も可能（別途インストールのものも）

当然のことながら、エクステンションが連携する先（アプリケーション）が必要

24

25

米 Cloud Cruiser 社が提供する課金管理ソフトウェア

Express 版は WAP での使用状況管理、課金管理に機能限定されていますが、無償で利用可能

WAP の Admin Portal のリンクからソフトウェアを入手して導入

26

VMM とOM の連携により、仮想マシンの使用状況 (CPU, Memory, Storage, Network) がOM DWH に蓄積されていきます

WAP の Usage Service が SPF を通じて OM DWH から使用状況データを取得、テナント単位でデータを分類

WAP Usage Service からレポート作成ツールがデータを取得し、内部加工ののちユーザーに公開

詳細な解説や、使用状況データの流れは以下の Blog を参照のこと

How to Integrate Your Billing System with the Usage Metering System

http://blogs.technet.com/b/systemcenter/archive/2013/08/01/how-to-integrate-your-billing-system-with-

the-usage-metering-system.aspx

VMMOperations

ManagerSPF

WAP

Usage

ServiceReporting

27

28

29

30

31

5nine Software 社が提供する Hyper-V 向けセキュリティーエクステンション

以下の機能が仮想マシン単位で利用可能

◦ バーチャルファイヤーウォール（ vFirewall ）機能：MAC Address、IP Address、Protocol（ TCP/UDP /ICMP etc）等でフィルター設定可能

◦ 通信状況監視機能：仮想マシンの通信状況（ Connection Table ）が取得可能

◦ IDS機能：Snort エンジンと連携し、IDSとして利用可能

バーチャルファイヤーウォールは Hypervisor の機能として提供されるため、仮想マシンの OS には依存せず

Tenant Portal からセルフサービスでバーチャルファイヤーウォールの On/Off 、セキュリティーポリシーの設定が可能

32

33

34

35

Windows Azure Pack はオンプレミスで展開できる Microsoft Azure ですが、リモートコンソールなど、 Microsoft Azure にはないオンプレミスならではの機能も備わっています

3rd Party 製品とエクステンションを利用することにより、より便利なプライベートクラウドが展開可能です

System Center と連携するため、運用管理も万全です

機会がありましたら、ぜひ一度テストをしてみてください

36

Windows Azure Pack プライベートクラウドとセルフポータル（仮）http://www.slideshare.net/wind06106/cloud-os-tech-day-2014windows-azure-pack

Building Cloudshttp://blogs.technet.com/b/privatecloud/

Windows Azure Pack Customization & Extensionhttps://msdn.microsoft.com/en-us/library/dn629554.aspx

Remote Console in System Center 2012 R2http://technet.microsoft.com/en-us/library/dn469415.aspx

Custom Resource Providers in Windows Azure Pack – Deploying the Hello World Samplehttp://blogs.technet.com/b/privatecloud/archive/2014/02/11/

custom-resource-providers-in-windows-azure-pack-deploying-the-hello-world-sample.aspx

37