Hyper-V仮想スイッチでポート分離を構成する

Windows で仮想化を扱う場合、遅かれ早かれこれに対処しなければなりません。 Hyper-V 仮想スイッチとポート分離いくつかのボックスにチェックを入れるだけでは十分ではありません。ネットワークの設計方法によって、仮想マシンが保護されるか、適切にパフォーマンスを発揮するか、必要のないときに互いを認識しないかが決まります。

この記事では、本質的な部分に触れ、それがどのように機能するかを見ていきます。 Hyper-V のネットワーク、分離オプション (ポート、VLAN、PVLAN、ACL、NAT)これらすべてはSystem Center VMMとどのように適合し、 トリック これらは、ホームホストでも本格的なクラスターでも、環境をクリーンかつ整然とした安全な状態に保つために適用できる実用的なヒントです。

Windows Server と Hyper-V におけるネットワーク分離と名前空間

現代のMicrosoft環境では、分離の多くは TCP/IPスタックのネットワーク名前空間とネットワークコンパートメント各接続ポイント (たとえば、コンテナーまたは VM アダプターの接続ポイント) は独自のコンパートメント内に存在できるため、ネットワークのビューは他の接続ポイントとは分離されます。

ホストとその 管理仮想ネットワークアダプタはデフォルトのネットワーク名前空間に保持されます一方、Hyper-V 分離で実行されている各 Windows Server コンテナーには独自の名前空間があり、そこにそのコンテナー固有の仮想アダプターがインストールされます。

従来のWindows Serverコンテナは、 Hyper-V仮想スイッチに接続するためにホスト上でホストされている仮想ネットワークアダプタ一方、Hyper-V 分離モードのコンテナーは、合成仮想マシン アダプター (ユーティリティ VM には表示されない) を介して接続するため、ホスト、コンテナー、およびその他のワークロード間の分離が強化されます。

システムにどのようなネットワークコンパートメントがあるかを確認したい場合は、 PowerShellの コマンドレットですべてをリストする Get-NetCompartmentコンテナ化された環境や NAT 環境でまれに発生する分離または接続の問題をデバッグするときに非常に役立ちます。

ACL、ファイアウォール、VFPを使用したネットワークセキュリティと分離

ネットワークのセキュリティと分離は Hyper-V だけに依存するのではなく、他の要因も影響します。 Windows ファイアウォール、仮想スイッチ ポート ACL、Azure 仮想フィルタリング プラットフォーム (VFP)使用するコンテナーとネットワーク コントローラーの種類によって異なります。

Windows Serverコンテナでは、デフォルトのポリシーは ホストファイアウォール（名前空間が有効）と VFP のルール出力は通常「すべてを許可」しますが、入力では、要求されていない TCP、UDP、ICMP、および IGMP トラフィックが許可され、含まれていない残りのプロトコルはブロックされます。

コンテナで動作する場合 Hyper-V 分離。それぞれが独自の Windows ファイアウォール インスタンスを実行します。 分離されたコア内では、通常、内部ファイアウォールと VFP の両方で許容的なデフォルト ポリシー (すべて許可) が設定されており、ワークロードで必要な場合はルールを厳しくすることができます。

Kubernetesではロジックが少し変わります。ポッド内では、まずインフラストラクチャコンテナが作成され、ネットワークポイントが接続され、 ポッド内のすべてのコンテナは同じネットワーク名前空間を共有するこれにはIPアドレスとポート空間が含まれます。ポッド間の分離は、ファイアウォール、ネットワークポリシー、および仮想スイッチのACLに依存します。

変更する必要がある場合は、 定義済みポートACLホスト ネットワーク サービスの構成を確認し、さまざまなネットワーク コントローラー (透過、NAT、L2Bridge、L2Tunnel、オーバーレイ) のポリシーを調整し、それぞれのケースでどのコンポーネント (Windows ファイアウォール、VFP、またはその両方) がルールを適用するかを把握する必要があります。

Hyper-V仮想スイッチとスイッチの種類とは

Hyper-V仮想スイッチは、本質的には ソフトウェア定義のレイヤー2イーサネットスイッチその使命は、仮想マシンを物理ネットワークまたは論理ネットワークに接続し、仮想化環境で必要な分離、監視、およびセキュリティ ツールを提供することです。

すぐにご利用いただけます Hyper-V マネージャー また、Windows Server の各バージョンでは、リソース追跡、悪意のある VM に対する新しい保護対策、高度なポート トラフィック分離オプション、PVLAN サポート、トランキング、拡張 ACL などの機能が強化されています。

Hyper-Vロールをインストールした後、デフォルトではスイッチは作成されません。スイッチを設定するまで、VMはネットワークにアクセスできません。スイッチをワンクリックで管理するには、 仮想スイッチマネージャー ホストのアクション パネルから。

Hyper-V では 3 種類の仮想スイッチが許可されており、それぞれがネットワークの分離とスイッチ ポートの動作に直接影響を及ぼします。

• 外部スイッチホスト上の物理NICを仮想NICにリンクし、物理ネットワーク（およびネットワークが許可する場合はインターネット）へのアクセスを提供します。この接続は、VM、ホスト、そして外部の世界によって共有されます。
• 内部スイッチ: 接続された VM とホスト自体が外部ネットワークにアクセスすることなく相互に通信できる仮想ネットワークを提供します。
• 専用交換機: VM が互いを認識することしかできない完全に分離されたネットワークを作成します。ホストも他のネットワークもこの「サンドボックス」と対話することはできません。

仮想スイッチとキー分離オプションの構成

外部スイッチを作成すると、ウィザードがいくつかのオプションを案内し、 港のセキュリティと隔離最初のステップは、vSwitch のアップリンクとなる物理アダプタを選択することです。複数の NIC がある場合は、トラフィックがここに送信されます。

もう一つの重要なボックスは 管理オペレーティングシステムがアダプタを共有できるようにするデフォルトで有効になっているため、ホストは自身の接続に同じNICを使用するように強制されます。チェックを外すと、そのパスを経由するホストのネットワーク接続が切断されます。リモートでこれを行う場合、クリック1つでサーバーへのアクセスを失う可能性があるため、これは非常に重要です。

スイッチはまた、 SR-IOV（シングル Root（根） I/O仮想化）この技術は、 ハードウェア SR-IOVはこれに対応しており、一部のトラフィックを物理NICからVMに直接転送することで、vSwitchのデータプレーンの大部分をバイパスし、レイテンシとCPU使用率を削減します。ただし、SR-IOVは既存のスイッチに後付けすることはできず、既存のスイッチとの互換性が必要です。 BIOSCPU (SLAT) とネットワーク カード。

最後に、オプションを有効にすると、 管理オペレーティング システムの VLAN IDこれにより、ホスト トラフィックが特定の VLAN に配置されます。これは、物理スイッチ レベルと vSwitch の仮想ポートの両方で、残りのトラフィックの管理を厳密に分離する場合に非常に便利です。

変更を適用した後、ホストは数秒間接続を失うことがあります。 物理 NIC がオフになり、仮想スイッチに接続され、すべてが再び起動します。これは正常な動作ですが、リモート操作を行う場合はパニックにならないように留意してください。

スイッチの種類とホスト、VM、インターネット間の分離

特定の仮想マシンがホストまたはインターネットにアクセスできないのではないかと懸念される場合は、適切なタイプの仮想スイッチを選択することが重要です。 Hyper-V でのポート分離.

コン国連 専用交換機この設定では、仮想マシンは互いに分離されたネットワークを共有しますが、ホストや外部ネットワークは認識できません。また、ホストも接続されている仮想マシンを認識することができません。これは、テスト環境や、相互通信のみが必要な機密性の高いワークロードに最適です。

コン国連 内部スイッチVMは他のVMやホストと通信できますが、外部に直接アクセスすることはできません。仮想ルーターやNATを自分で追加しない限り、VMのIPアドレスにゲートウェイを設定する必要はありません（必須ではありません）。

コン国連 外部スイッチVM、ホスト、物理ネットワークは同じリンクを共有します。これは「実質的な」接続が必要な場合によく使われるオプションですが、デフォルトでは分離性が最も低いため、より細心の注意を払う必要があります。 VLAN、ポートACL、ファイアウォール.

スイッチのタイプを選択するだけでなく、VM ごとに複数の仮想 NIC を試して、各アダプタを異なるスイッチに割り当て、必要に応じて異なる VLAN に割り当てて、論理的な分離とポートごとの詳細な制御を組み合わせることができます。

Hyper-Vの内部NAT: 外部アクセスが可能な分離されたネットワーク

長年、隔離された社内ネットワークからインターネットにアクセスしたい場合は、ルーターやファイアウォールとして機能するVMを設定する必要がありました。Windows Server 2016と最新のWindows 10では、 オペレーティングシステム自体に統合された NAT を備えた内部スイッチ追加の機械を必要とせずに。

仕組みはシンプルです。内部スイッチを作成し、そのネットワークのゲートウェイとして機能するホスト上のIPアドレスを割り当て、 PowerShellを使用してそのプレフィックスのNATネットワークそのスイッチに接続され、そのサブネットの IP を持ち、そのゲートウェイを指す VM は外部にアクセスできますが、内部ネットワークは外部から直接ルーティングされません。

基本的な手順は次のとおりです。

• 内部スイッチを作成します。 New-VMSwitch -SwitchName “swNAT” -SwitchType 内部.
• vSwitch に関連付けられているアダプタを見つけて、ゲートウェイ IP アドレスを割り当てます。例: 新しいネットIPアドレス -IPアドレス 192.168.254.1 -プレフィックス長 24 -インターフェースインデックス.
• NAT ネットワークを作成します。 New-NetNat -Name netNAT -InternalIPInterfaceAddressPrefix 192.168.254.0/24.

VMはそのスイッチに接続し、サブネット内の静的IPアドレス（例：192.168.254.2、254.3…）が割り当てられます。 ゲートウェイ 192.168.254.1 と外部 DNSこれで完了です。ブラウジングが可能になります。ホストはIPアドレスを持っているため、内部ネットワークを認識していますが、外部からはサブネットを直接表示することはできません。ホストのIPアドレスのみが公開されます。

内部VM（例えばポート80のIIS）から外部にサービスを公開するには、 NATネットワーク上の静的ポートマッピング次のように入力します: Add-NetNatStaticMapping -NatName «netNAT» -Protocol TCP -ExternalIPAddress 0.0.0.0 -InternalIPAddress 192.168.254.2 -ExternalPort 80 -InternalPort 80。アクセスは内部 IP ではなく、ホスト IP に対して行われます。

NATとファイアウォールを使用してVMをホストと物理ネットワークから分離する

かなり典型的なケースは、 ホストやホームネットワークを認識できない「動作中の」VMしかし、インターネットや VPN 企業内。内部NATとファイアウォールを使用すれば、重要なニュアンスはあるものの、このシナリオに非常に近いものを実現できます。

例のように NAT を使用して内部スイッチを構成し (ネットワーク 172.168.100.0/24 または 192.168.254.0/24)、そこに VM を接続すると、システム内に存在するルートまたは許可されたファイアウォール ルールを除き、VM はホストの 192.168.xx ネットワークを認識しません。

VM が 192.168.xx ネットワークに ping できる場合、接続が存在します。 内部NATネットワークと物理ネットワーク間の転送を許可するルート、または過度にオープンなファイアウォールルール断熱性を強化するには、次の方法があります。

• インターフェイス間の転送を許可するホスト上のルートをチェックしてクリーンアップします (Get-NetRoute および疑わしい静的ルートの削除)。
• 必要に応じて、ホスト自体を除き、内部ネットワーク (例: 172.168.100.0/24) から物理ネットワーク 192.168.0.0/16 へのトラフィックをブロックする Windows ファイアウォール ルールをホスト上に作成します。
• ファイアウォール プロファイルと制限された送信ルールを使用して、VM 上のトラフィックをフィルターし、VPN に送信されないトラフィックや厳密に必要な送信先に送信されるトラフィックをすべて制限します。

VMがIPアドレスでホストを全く認識しないようにしたい場合は、より根本的な方法として、 内部スイッチの代わりにプライベートスイッチ NAT を実行する中間 VM ファイアウォール/UTM を介してインターネット アクセスを提供し、そのセグメント上のホストを完全に切断された状態に保ちます。

もう 1 つの非常に強力な分離ツールは、特に多数の VM で同じ vSwitch を共有する場合に使用します。 仮想スイッチポートACLこれにより、トポロジを変更したり追加の VLAN を使用したりすることなく、ネットワークを共有する VM 間のトラフィックをブロックできます (東西分離)。

System Center VMM のポート プロファイルとポート分類

System Center Virtual Machine Manager (VMM) または Windows 管理センターポートごとに設定するのではなく、 ポートプロファイルと分類 再利用可能なネットワーク ポリシーを定義します。

たくさん 上位リンクポートプロファイル これらは論理スイッチを展開する際に物理アダプタに適用されます。ここで、負荷分散アルゴリズム（Hyper-Vポート、IP、トランスポートポート、 マック、動的バランシング）、チーミング モード（スイッチ独立、LACP、または静的）、およびアップリンクに関連付けられている論理ネットワークとネットワーク サイトを指定します。

適切に設計するには、1つのアップリンクプロファイルを少なくとも1つ用意することをお勧めします。 独自のVLANとサブネットを持つ物理ネットワークまたは場所論理ネットワークを特定のホスト グループに制限する場合は、それらのグループに固有のプロファイルを作成し、定義された VLAN とサブネットが有効であり、適用先の NIC からルーティング可能であることを確認する必要があります。

たくさん 仮想ネットワークアダプタのポートプロファイル これらは VM の仮想 NIC に適用され、最小/最大帯域幅、オフロード タスク (VMQ、IPsec オフロード、SR-IOV)、セキュリティ オプション (MAC スプーフィング、DHCP 保護、ルーター保護、IEEE 802.1p タグ付け、ゲスト管理 IP アドレス、ゲスト チーミングなど) などの機能を定義できます。

これらのプロファイルは、 港湾分類これらは、特定のポートプロファイルに関連付けられたユーザーフレンドリーなラベル（例：FAST、SLOW、SR-IOV）です。VMを展開する際に、管理者またはテナントが分類を選択すると、VMMが適切なプロファイルを仮想ネットワークアダプタに適用します。これにより、ユーザーがすべてのパラメータを覚える必要がなくなり、ポートの動作が標準化されます。

VMM でアップリンク ポート プロファイルを作成する

VMMでアップリンクポートプロファイルを定義するには、 ファブリック > ネットワーク > ポートプロファイル ウィザードを起動して、トップ リンク オプションをオンにし、新しい Hyper-V ポート プロファイルを作成します。

ウィザード内で、 負荷分散方法これはホストのデフォルト（バージョンに応じてHyper-Vポートまたはダイナミック）にすることも、特定のポート（Hyper-Vポート、IPアドレス、トランスポートポート、MACアドレス）を強制的に使用することもできます。各オプションは、NICチームメンバー間でトラフィックを異なる方法で分散し、ポート間の負荷分散方法に影響を与えます。

次にモードを選択します チームトレーニングスイッチ非依存（物理スイッチに特別な設定は不要）、LACP（動的ネゴシエーション）、または静的チーミング（ホストとスイッチに手動で設定が必要）。多くのHyper-Vシナリオでは、シンプルさと堅牢性から、スイッチ非依存が推奨されるオプションです。

ネットワーク構成セクションでは、1つまたは複数の ネットワークサイト アップリンクプロファイルに従って、各サイトは異なる論理ネットワークに接続します。サイトが同じホストグループスコープを共有し、VLANとサブネットが物理インフラストラクチャに実際に存在するものと整合していることが重要です。

そのプロファイルをホスト上の物理アダプタに適用することで、 論理ネットワークとVLANおよびIP範囲 これらは、そのアップリンクを使用する論理スイッチに接続された VM およびサービスで利用できるようになります。

仮想ネットワーク アダプタのポート プロファイルとセキュリティ オプション

VMMで仮想アダプタのポートプロファイルを作成するには、名前を付けるだけでなく、ポートプロファイルに直接影響するいくつかの構成セクションを実行する必要があります。 VMポートの分離と動作.

トラフィックオフロードセクションでは、 VMQ (仮想マシン キュー) 仮想 NIC 宛てのパケットを物理 NIC 上の特定のキューに送信し、ホストと VM 間のコピーを減らし、IPsec タスク オフロードが暗号化を NIC にオフロードできるようにし、環境で SR-IOV がサポートされており、論理スイッチでも有効になっている場合は SR-IOV を有効にします。

プロファイルのセキュリティタブでは、次のような分離の重要な側面を制御します。 MACスプーフィングこれは、非常に特殊なケース（ロード バランサー、クラスタリング シナリオ）でのみ有効にする必要があります。DHCP 保護は、VM ネットワーク内の悪意のある DHCP サーバーをブロックします。ルーター保護は、許可されていないルーターのアドバタイズメントを防止します。

また、許可するかどうかも決定します ゲストとしてチームを組む (ゲスト オペレーティング システムが複数の仮想 NIC をグループ化できるようにするため)、送信パケットで IEEE 802.1p 優先度タグ付けを許可するかどうか、および VM がそのアダプタ上の追加の IP アドレスを管理できるようにするかどうか (仮想化ネットワーク上の特定のゲスト クラスターで必要なもの)。

最後に、帯域幅を設定します。 Mbpsでの最小速度と最大速度、または相対的な重み これにより、vSwitch は、オーバーサブスクライブ環境で一部の仮想 NIC を他の仮想 NIC よりも優先するようになります。これは、ポートごとにネットワークの使用を制御および分離するためのもう 1 つのメカニズムです。

Hyper-V ネットワーク アダプター: 種類、VLAN、および詳細オプション

各Hyper-V VM内では、ゲストオペレーティングシステムに表示されるネットワークアダプタは、 vSwitch のポートに接続された仮想ネットワーク アダプタ主なファミリには、合成アダプタとレガシー アダプタの 2 つがあります。

アダプタ 合成 これらは推奨されるものです。Hyper-V統合サービスと連携し、優れたパフォーマンスを提供し、タグ付きVLANやSR-IOVなどの高度な機能をサポートします。第2世代VMおよびほとんどのVMでは標準タイプです。 OSの モダン

アダプタ 遺伝性の 古いNICをエミュレートする（タイプ インテル 21140）であり、基本的には PXEブートまたはシステムインストールが ドライバー 合成アダプター用システムと統合サービスがインストールされたら、通常は合成アダプターを追加し、レガシーアダプターを削除します。

トラフィックをセグメント化するには、 仮想ネットワークアダプタレベルのVLANこれはグラフィカルインターフェースとPowerShell（Set-VMNetworkAdapter -VMName VM -VlanId ID）の両方から実行できます。これにより、同じvSwitchに接続されていても、各スイッチポートは異なるVLANからのトラフィックを伝送できるようになります。

アダプタの高度な機能には、SR-IOV、VMQ、RSS などがあります。 ダウンロード （TCPチェックサム、セグメンテーションなど）は、高パフォーマンス環境におけるホストとVMのCPU負荷を軽減するのに役立ちます。ただし、これらの機能を一括で有効にする前に、インフラストラクチャへの影響をテストすることをお勧めします。

パフォーマンスと分離のための Hyper-V ネットワークのベストプラクティス

これらすべてが混乱に終わらないようにするには、いくつかのガイドラインに従う価値があります。 Hyper-V における特定のネットワークのベストプラクティス1 つ目は、すべてのハードウェア機能を活用し、既知のバグを回避するために、物理 NIC の最新ドライバー（できれば製造元からのもの）を常に使用することです。

もう一つの明確な推奨事項は、 Hyper-Vホストのネットワークアダプタ上の静的IPアドレス (サーバーとして機能する VM 上でも)、常にそれらを見つけられるようにし、DHCP 更新後に DNS レコードまたは依存関係が壊れないようにします。

複数のホストがある環境では、管理、ライブマイグレーション、 ストレージ （iSCSIまたはSMB 3.0）、VMトラフィック、クラスタパルス（CSV/ハートビート）など、ネットワークごとに異なる機能が必要です。 専用の仮想スイッチ、または少なくとも明確に定義されたVLAN.

NIC チーミング (従来の LBFO または SET (スイッチ組み込みチーミング)) は、もう 1 つの重要な柱です。複数のカードをグループ化すると、トラフィックを分散してフォールト トレランスを向上させることができます (MPIO またはその他の特定の戦略が推奨される iSCSI または SMB 3.0 ストレージ ネットワークでない限り)。

ストレージ ネットワーク、ライブ マイグレーション、CSV にとっては非常に興味深いものになります。 ジャンボフレームを有効にする（MTU 9000） 関係するすべてのデバイス (NIC、スイッチ、ルーター) でオーバーヘッドを削減し、大規模で持続的な転送のパフォーマンスを向上させます。

VMでは、オペレーティングシステムが許可する場合は、 合成アダプタ、レガシーアダプタの使用を以下のシナリオに限定 ブーツ PXE統合サービスやドライバーの更新も忘れずに Linux 統合サービスを最大限に活用しましょう。

最後に、 利用可能なネットワーク帯域幅と共有ストレージ容量高速な SAN と低速なネットワーク、またはその逆の 10 Gb ネットワークと低速なディスクの組み合わせは、同様に厄介なボトルネックになってしまいます。

仮想スイッチ (外部、内部、プライベート)、内部 NAT、VLAN、PVLAN、ポート ACL、VMM のポート プロファイルと分類、ホスト レベルおよび VM レベルのファイアウォール オプションを適切に組み合わせることで、各仮想スイッチ ポートが認識できる内容と通信できる場所を明確に認識し、マシンを追加するたびに問題が発生することなく安定したパフォーマンスと適切な管理を維持できる Hyper-V 環境を構築できます。