尝补驳辞辫耻蝉と础锄耻谤别と滨笔蝉别肠と顿笔顿碍
- 1. 日本マイクロソフト株式会社 カスタマー サービス&サポート サポート エンジニア 宇田 周平 Lagopus と Azure と IPsec と DPDK (その裏側)
- 2. ? Microsoft Corporation About me ? Microsoft Corporation Azure PS C:> Get-Profile -Name “Shuhei Uda” | Format-List 名前 : 宇田 周平 職種 : サポート エンジニア 2015/12 – 現在 Azure (IaaS / Networking) 2013/06 – 2015/11 Windows (Hyper-V / RDS / Performance)
- 3. ? Microsoft Corporation Azure https://thinkit.co.jp/article/13243
- 4. ? Microsoft Corporation A. その通りです。 Windows Server 2016 の Server Core (CUI only) および Hyper-V の仮想化基盤が稼働しています。 メンテナンスの際にダウンタイムを最小化するため に VM-PHU (Preserving Host Update) という VM を 30 秒~数秒程度サスペンドする仕組みや、 OS のバイナリを瞬時に入れ替える Hotpatching を 独自に実装しています。 Q. きっと Windows Server だよね? https://youtu.be/t3Vo37V9oU8?t=4025
- 5. ? Microsoft Corporation A. その通りです。 現状、TCP、UDP、ICMP のみを使用することがで きます。 マルチキャスト、ブロードキャスト、IP-in-IP、GRE の通信は VNet がサポートしないため、ブロックされてしま います。 Q. L2 を考えてはいけないの? https://docs.microsoft.com/ja-jp/azure/virtual-network/virtual-networks-faq
- 6. ? Microsoft Corporation A. その通りです。 Hyper-V の VFP (Virtual Filtering Platform) を使って encap / decap, NAT, Load Balancing 等をしています。 Q. きっとやりたい放題 SDN してるよね? https://www.microsoft.com/en-us/research/project/azure-virtual-filtering-platform/#!publications
- 7. VNET (オーバーレイ) Azure 基盤 (アンダーレイ) 192.0.2.1 192.0.2.2 10.0.0.4 10.0.0.510.0.0.4 10.0.0.5 VNET B VNET A Src: 10.0.0.4 -> Dst: 10.0.0.5 Src: 192.0.2.1 -> Dst: 192.0.2.2 Src:10.0.0.4 -> Dst: 10.0.0.5 Src: 10.0.0.4 -> Dst: 10.0.0.5 Src: 192.0.2.1 -> Dst: 192.0.2.2 Src:10.0.0.4 -> Dst: 10.0.0.5 VM 間の通信
- 8. VNET (オーバーレイ) Azure 基盤 (アンダーレイ) 192.0.2.1 192.0.2.2 10.0.0.4 10.0.0.5 VNET A Src: 10.0.0.4 -> Dst: 10.0.0.5 Src: 192.0.2.1 -> Dst: 192.0.2.2 Src:10.0.0.4 -> Dst: 10.0.0.5 Src: 10.0.0.4 -> Dst: 10.0.0.5 Src: 192.0.2.1 -> Dst: 192.0.2.2 Src:10.0.0.4 -> Dst: 10.0.0.5 VNET (encap / decap) NAT (Public IP / LB) ACLs (NSG) NSG の送信規則に基づいて評価を行います オーバーレイからのパケットをカプセル化し、 宛先 IP にある 10.0.0.5 の VM をホストしている 物理サーバーの PA (192.0.2.2) 宛に投げます NAT の処理については後で説明するので省略 VM 間の通信
- 9. VNET (オーバーレイ) Azure 基盤 (アンダーレイ) 192.0.2.1 192.0.2.2 VNET A Src: 10.0.0.4 -> Dst: 10.0.0.5 Src: 192.0.2.1 -> Dst: 192.0.2.2 Src:10.0.0.4 -> Dst: 10.0.0.5 Src: 10.0.0.4 -> Dst: 10.0.0.5 Src: 192.0.2.1 -> Dst: 192.0.2.2 Src:10.0.0.4 -> Dst: 10.0.0.5 VNET (encap / decap) NAT (Public IP / LB) ACLs (NSG) NSG の受信規則に基づいて評価を行います オーバーレイからのパケットのカプセルを解除 NAT の処理については後で説明するので省略 10.0.0.4 10.0.0.5 VM 間の通信
- 10. VNET (オーバーレイ) Azure 基盤 (アンダーレイ) 192.0.2.1 192.0.2.2 VNET A Src: 203.0.113.4 -> Dst: 10.0.0.5 VNET (encap / decap) NAT (Public IP / LB) ACLs (NSG) Src: 203.0.113.4 -> Dst: 13.78.x.xInternet 10.0.0.4 13.78.x.x 10.0.0.5 Public IP 宛の通信は Private IP に DNAT されます (Dst を 13.78.x.x から 10.0.0.5 へ NAT) NSG は DNAT 後のPrivate IP で評価されます From Internet
- 11. VNET (オーバーレイ) Azure 基盤 (アンダーレイ) 192.0.2.1 192.0.2.2 VNET A Src: 10.0.0.5 -> Dst: 203.0.113.4 VNET (encap / decap) NAT (Public IP / LB) ACLs (NSG) Src: 13.78.x.x -> Dst: 203.0.113.4Internet 10.0.0.4 13.78.x.x 10.0.0.5 戻りの通信は、逆に SNAT されて出ていきます (Src を 10.0.0.5 から 13.78.x.x へ NAT) NSG は SNAT 前のPrivate IP で評価されます To Internet
- 12. VNET (オーバーレイ) Azure 基盤 (アンダーレイ) 192.0.2.1 192.0.2.3 10.0.0.4 10.0.0.10 VNET A Src: 10.0.0.4 -> Dst: 10.0.0.5 Src: 192.0.2.1 -> Dst: 192.0.2.3 Src:10.0.0.4 -> Dst: 10.0.0.5 Src: 10.0.0.4 -> Dst: 10.0.0.5 Src: 192.0.2.1 -> Dst: 192.0.2.3 Src:10.0.0.4 -> Dst: 10.0.0.5 VNET (encap / decap) NAT (Public IP / LB) ACLs (NSG) 10.0.0.5 192.0.2.2 UDR で 0.0.0.0/0 宛を 10.0.0.10 へ向けた場合、 アンダーレイの宛先を 192.0.2.2 で encap せず、 10.0.0.10 をホストする 192.0.2.3 宛とします UDR で経路制御
- 13. ? 2019/06/24発売 ? Windows Server 2016/2019で搭載された Microsoft SDN v2(a.k.a HNV v2)を徹底解説 ? Windows Server における実装、実際の環境展開 とオペレーションをコマンドレットレベルで解説 ? 既存ネットワークへの展開も含めた考慮点と 注意点も併せて紹介 ? Microsoft Azure StackでのSDNの立ち位置も紹介
- 14. ? Microsoft Corporation ? Azure は Hyper-V (VFP) で動いています。 ? Lagopus のような仮想アプライアンスも当然ご利用いただけますが、 OS 内のルーティングだけではなく、アンダーレイのルーティングも 考慮が必要です。 ? 本日の資料: https://aka.ms/npstudy17 ? その他の細かな情報は、ブログでもご紹介しています。 https://www.syuheiuda.com/ まとめ