2019/06/28 ネットワークプログラマビリティ勉強会 #17

1. 日本マイクロソフト株式会社
カスタマー サービス＆サポート
サポート エンジニア
宇田 周平
Lagopus と Azure と IPsec と DPDK
(その裏側)

2. © Microsoft Corporation
About me
© Microsoft Corporation Azure
PS C:> Get-Profile -Name “Shuhei Uda” | Format-List
名前 : 宇田 周平
職種 : サポート エンジニア
2015/12 – 現在
Azure (IaaS / Networking)
2013/06 – 2015/11
Windows (Hyper-V / RDS / Performance)

3. © Microsoft Corporation Azure
https://thinkit.co.jp/article/13243

4. © Microsoft Corporation
A. その通りです。
Windows Server 2016 の Server Core (CUI only)
および Hyper-V の仮想化基盤が稼働しています。
メンテナンスの際にダウンタイムを最小化するため
に
VM-PHU (Preserving Host Update) という
VM を 30 秒～数秒程度サスペンドする仕組みや、
OS のバイナリを瞬時に入れ替える Hotpatching を
独自に実装しています。
Q. きっと Windows Server だよね？
https://youtu.be/t3Vo37V9oU8?t=4025

5. © Microsoft Corporation
A. その通りです。
現状、TCP、UDP、ICMP のみを使用することがで
きます。
マルチキャスト、ブロードキャスト、IP-in-IP、GRE
の通信は
VNet がサポートしないため、ブロックされてしま
います。
Q. L2 を考えてはいけないの？
https://docs.microsoft.com/ja-jp/azure/virtual-network/virtual-networks-faq

6. © Microsoft Corporation
A. その通りです。
Hyper-V の VFP (Virtual Filtering Platform) を使って
encap / decap, NAT, Load Balancing 等をしています。
Q. きっとやりたい放題 SDN してるよね？
https://www.microsoft.com/en-us/research/project/azure-virtual-filtering-platform/#!publications

7. VNET
(オーバーレイ)
Azure 基盤
(アンダーレイ)
192.0.2.1 192.0.2.2
10.0.0.4 10.0.0.510.0.0.4 10.0.0.5
VNET B
VNET A
Src: 10.0.0.4
-> Dst: 10.0.0.5
Src: 192.0.2.1
-> Dst: 192.0.2.2
Src:10.0.0.4
-> Dst: 10.0.0.5
Src: 10.0.0.4
-> Dst: 10.0.0.5
Src: 192.0.2.1
-> Dst: 192.0.2.2
Src:10.0.0.4
-> Dst: 10.0.0.5
VM 間の通信

8. VNET
(オーバーレイ)
Azure 基盤
(アンダーレイ)
192.0.2.1 192.0.2.2
10.0.0.4 10.0.0.5
VNET A
Src: 10.0.0.4
-> Dst: 10.0.0.5
Src: 192.0.2.1
-> Dst: 192.0.2.2
Src:10.0.0.4
-> Dst: 10.0.0.5
Src: 10.0.0.4
-> Dst: 10.0.0.5
Src: 192.0.2.1
-> Dst: 192.0.2.2
Src:10.0.0.4
-> Dst: 10.0.0.5
VNET (encap / decap)
NAT (Public IP / LB)
ACLs (NSG)
NSG の送信規則に基づいて評価を行います
オーバーレイからのパケットをカプセル化し、
宛先 IP にある 10.0.0.5 の VM をホストしている
物理サーバーの PA (192.0.2.2) 宛に投げます
NAT の処理については後で説明するので省略
VM 間の通信

9. VNET
(オーバーレイ)
Azure 基盤
(アンダーレイ)
192.0.2.1 192.0.2.2
VNET A
Src: 10.0.0.4
-> Dst: 10.0.0.5
Src: 192.0.2.1
-> Dst: 192.0.2.2
Src:10.0.0.4
-> Dst: 10.0.0.5
Src: 10.0.0.4
-> Dst: 10.0.0.5
Src: 192.0.2.1
-> Dst: 192.0.2.2
Src:10.0.0.4
-> Dst: 10.0.0.5
VNET (encap / decap)
NAT (Public IP / LB)
ACLs (NSG)
NSG の受信規則に基づいて評価を行います
オーバーレイからのパケットのカプセルを解除
NAT の処理については後で説明するので省略
10.0.0.4 10.0.0.5
VM 間の通信

10. VNET
(オーバーレイ)
Azure 基盤
(アンダーレイ)
192.0.2.1 192.0.2.2
VNET A
Src: 203.0.113.4
-> Dst: 10.0.0.5
VNET (encap / decap)
NAT (Public IP / LB)
ACLs (NSG)
Src: 203.0.113.4
-> Dst: 13.78.x.xInternet
10.0.0.4
13.78.x.x
10.0.0.5
Public IP 宛の通信は Private IP に DNAT されます
(Dst を 13.78.x.x から 10.0.0.5 へ NAT)
NSG は DNAT 後のPrivate IP で評価されます
From Internet

11. VNET
(オーバーレイ)
Azure 基盤
(アンダーレイ)
192.0.2.1 192.0.2.2
VNET A
Src: 10.0.0.5
-> Dst: 203.0.113.4
VNET (encap / decap)
NAT (Public IP / LB)
ACLs (NSG)
Src: 13.78.x.x
-> Dst: 203.0.113.4Internet
10.0.0.4
13.78.x.x
10.0.0.5
戻りの通信は、逆に SNAT されて出ていきます
(Src を 10.0.0.5 から 13.78.x.x へ NAT)
NSG は SNAT 前のPrivate IP で評価されます
To Internet

12. VNET
(オーバーレイ)
Azure 基盤
(アンダーレイ)
192.0.2.1 192.0.2.3
10.0.0.4 10.0.0.10
VNET A
Src: 10.0.0.4
-> Dst: 10.0.0.5
Src: 192.0.2.1
-> Dst: 192.0.2.3
Src:10.0.0.4
-> Dst: 10.0.0.5
Src: 10.0.0.4
-> Dst: 10.0.0.5
Src: 192.0.2.1
-> Dst: 192.0.2.3
Src:10.0.0.4
-> Dst: 10.0.0.5
VNET (encap / decap)
NAT (Public IP / LB)
ACLs (NSG)
10.0.0.5
192.0.2.2
UDR で 0.0.0.0/0 宛を 10.0.0.10 へ向けた場合、
アンダーレイの宛先を 192.0.2.2 で encap せず、
10.0.0.10 をホストする 192.0.2.3 宛とします
UDR で経路制御

13.  2019/06/24発売
 Windows Server 2016/2019で搭載された
Microsoft SDN v2（a.k.a HNV v2）を徹底解説
 Windows Server における実装、実際の環境展開
とオペレーションをコマンドレットレベルで解説
 既存ネットワークへの展開も含めた考慮点と
注意点も併せて紹介
 Microsoft Azure StackでのSDNの立ち位置も紹介

14. © Microsoft Corporation
• Azure は Hyper-V (VFP) で動いています。
• Lagopus のような仮想アプライアンスも当然ご利用いただけますが、
OS 内のルーティングだけではなく、アンダーレイのルーティングも
考慮が必要です。
• 本日の資料：
https://aka.ms/npstudy17
• その他の細かな情報は、ブログでもご紹介しています。
https://www.syuheiuda.com/
まとめ