Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

LagopusとAzureとIPsecとDPDK

1,249 views

Published on

2019/06/28 ネットワークプログラマビリティ勉強会 #17

Published in: Technology
  • Be the first to comment

LagopusとAzureとIPsecとDPDK

  1. 1. 日本マイクロソフト株式会社 カスタマー サービス&サポート サポート エンジニア 宇田 周平 Lagopus と Azure と IPsec と DPDK (その裏側)
  2. 2. © Microsoft Corporation About me © Microsoft Corporation Azure PS C:> Get-Profile -Name “Shuhei Uda” | Format-List 名前 : 宇田 周平 職種 : サポート エンジニア 2015/12 – 現在 Azure (IaaS / Networking) 2013/06 – 2015/11 Windows (Hyper-V / RDS / Performance)
  3. 3. © Microsoft Corporation Azure https://thinkit.co.jp/article/13243
  4. 4. © Microsoft Corporation A. その通りです。 Windows Server 2016 の Server Core (CUI only) および Hyper-V の仮想化基盤が稼働しています。 メンテナンスの際にダウンタイムを最小化するため に VM-PHU (Preserving Host Update) という VM を 30 秒~数秒程度サスペンドする仕組みや、 OS のバイナリを瞬時に入れ替える Hotpatching を 独自に実装しています。 Q. きっと Windows Server だよね? https://youtu.be/t3Vo37V9oU8?t=4025
  5. 5. © Microsoft Corporation A. その通りです。 現状、TCP、UDP、ICMP のみを使用することがで きます。 マルチキャスト、ブロードキャスト、IP-in-IP、GRE の通信は VNet がサポートしないため、ブロックされてしま います。 Q. L2 を考えてはいけないの? https://docs.microsoft.com/ja-jp/azure/virtual-network/virtual-networks-faq
  6. 6. © Microsoft Corporation A. その通りです。 Hyper-V の VFP (Virtual Filtering Platform) を使って encap / decap, NAT, Load Balancing 等をしています。 Q. きっとやりたい放題 SDN してるよね? https://www.microsoft.com/en-us/research/project/azure-virtual-filtering-platform/#!publications
  7. 7. VNET (オーバーレイ) Azure 基盤 (アンダーレイ) 192.0.2.1 192.0.2.2 10.0.0.4 10.0.0.510.0.0.4 10.0.0.5 VNET B VNET A Src: 10.0.0.4 -> Dst: 10.0.0.5 Src: 192.0.2.1 -> Dst: 192.0.2.2 Src:10.0.0.4 -> Dst: 10.0.0.5 Src: 10.0.0.4 -> Dst: 10.0.0.5 Src: 192.0.2.1 -> Dst: 192.0.2.2 Src:10.0.0.4 -> Dst: 10.0.0.5 VM 間の通信
  8. 8. VNET (オーバーレイ) Azure 基盤 (アンダーレイ) 192.0.2.1 192.0.2.2 10.0.0.4 10.0.0.5 VNET A Src: 10.0.0.4 -> Dst: 10.0.0.5 Src: 192.0.2.1 -> Dst: 192.0.2.2 Src:10.0.0.4 -> Dst: 10.0.0.5 Src: 10.0.0.4 -> Dst: 10.0.0.5 Src: 192.0.2.1 -> Dst: 192.0.2.2 Src:10.0.0.4 -> Dst: 10.0.0.5 VNET (encap / decap) NAT (Public IP / LB) ACLs (NSG) NSG の送信規則に基づいて評価を行います オーバーレイからのパケットをカプセル化し、 宛先 IP にある 10.0.0.5 の VM をホストしている 物理サーバーの PA (192.0.2.2) 宛に投げます NAT の処理については後で説明するので省略 VM 間の通信
  9. 9. VNET (オーバーレイ) Azure 基盤 (アンダーレイ) 192.0.2.1 192.0.2.2 VNET A Src: 10.0.0.4 -> Dst: 10.0.0.5 Src: 192.0.2.1 -> Dst: 192.0.2.2 Src:10.0.0.4 -> Dst: 10.0.0.5 Src: 10.0.0.4 -> Dst: 10.0.0.5 Src: 192.0.2.1 -> Dst: 192.0.2.2 Src:10.0.0.4 -> Dst: 10.0.0.5 VNET (encap / decap) NAT (Public IP / LB) ACLs (NSG) NSG の受信規則に基づいて評価を行います オーバーレイからのパケットのカプセルを解除 NAT の処理については後で説明するので省略 10.0.0.4 10.0.0.5 VM 間の通信
  10. 10. VNET (オーバーレイ) Azure 基盤 (アンダーレイ) 192.0.2.1 192.0.2.2 VNET A Src: 203.0.113.4 -> Dst: 10.0.0.5 VNET (encap / decap) NAT (Public IP / LB) ACLs (NSG) Src: 203.0.113.4 -> Dst: 13.78.x.xInternet 10.0.0.4 13.78.x.x 10.0.0.5 Public IP 宛の通信は Private IP に DNAT されます (Dst を 13.78.x.x から 10.0.0.5 へ NAT) NSG は DNAT 後のPrivate IP で評価されます From Internet
  11. 11. VNET (オーバーレイ) Azure 基盤 (アンダーレイ) 192.0.2.1 192.0.2.2 VNET A Src: 10.0.0.5 -> Dst: 203.0.113.4 VNET (encap / decap) NAT (Public IP / LB) ACLs (NSG) Src: 13.78.x.x -> Dst: 203.0.113.4Internet 10.0.0.4 13.78.x.x 10.0.0.5 戻りの通信は、逆に SNAT されて出ていきます (Src を 10.0.0.5 から 13.78.x.x へ NAT) NSG は SNAT 前のPrivate IP で評価されます To Internet
  12. 12. VNET (オーバーレイ) Azure 基盤 (アンダーレイ) 192.0.2.1 192.0.2.3 10.0.0.4 10.0.0.10 VNET A Src: 10.0.0.4 -> Dst: 10.0.0.5 Src: 192.0.2.1 -> Dst: 192.0.2.3 Src:10.0.0.4 -> Dst: 10.0.0.5 Src: 10.0.0.4 -> Dst: 10.0.0.5 Src: 192.0.2.1 -> Dst: 192.0.2.3 Src:10.0.0.4 -> Dst: 10.0.0.5 VNET (encap / decap) NAT (Public IP / LB) ACLs (NSG) 10.0.0.5 192.0.2.2 UDR で 0.0.0.0/0 宛を 10.0.0.10 へ向けた場合、 アンダーレイの宛先を 192.0.2.2 で encap せず、 10.0.0.10 をホストする 192.0.2.3 宛とします UDR で経路制御
  13. 13.  2019/06/24発売  Windows Server 2016/2019で搭載された Microsoft SDN v2(a.k.a HNV v2)を徹底解説  Windows Server における実装、実際の環境展開 とオペレーションをコマンドレットレベルで解説  既存ネットワークへの展開も含めた考慮点と 注意点も併せて紹介  Microsoft Azure StackでのSDNの立ち位置も紹介
  14. 14. © Microsoft Corporation • Azure は Hyper-V (VFP) で動いています。 • Lagopus のような仮想アプライアンスも当然ご利用いただけますが、 OS 内のルーティングだけではなく、アンダーレイのルーティングも 考慮が必要です。 • 本日の資料: https://aka.ms/npstudy17 • その他の細かな情報は、ブログでもご紹介しています。 https://www.syuheiuda.com/ まとめ

×