Windows Azure Pack + NVGREにて外部と通信する方法、手段等について
実際にWindows Azure Packをあつかうケースが増えてきました。その中でWAP内部でNVGREで仮想化されたネットワーク環境と、外部の環境との通信の方法や、その際に使われる技術や必要なIPアドレス等について(私に)混乱があったのでこのポストでまとめてみたいと思います。残念ながらリッチな検証環境を持っておらず実際にすぐには試せないので(ここがWAPのつらい所…)、まずはインターネット上で得られる情報のまとめとなります。 使用している画像は全て「参照先」のサイトからの引用となります。 ### NVGRE WAPで使用されるネットワーク仮想化はNVGREを使っています。まずは、NVGREの基本のおさらい。 VMは通常のパケットを送信し、それがHyper-Vホストをまたがる場合際にカプセル化されて送信され、受信先のHyper-Vホストで再度カプセル化が解かれて宛先のVMに到達します。 この時必要なのは - どれだけの仮想ネットワークがあるのか どの仮想マシンがどのHyper-Vホスト上に存在しているのか などの情報ですが、このような情報はSCVMMが集中管理する仕組みになっています。 外部のネットワーク上の通常のホストと仮想ネットワーク上のホストとがお互いに通信するためには、途中でこのカプセル化をほどいてあげる必要があります。この役割はNVGREゲートウェイが担います。 ### VMネットワークのルーティングに関して VMネットワークのルーティングに関しては以下の形態があります。 VMネットワーク内のサブネット間は自由にルーティング可能。".1"のアドレスがゲートウェイとなる。 VMネットワークをまたぐルーティング フォワーディング 単純にカプセル化する/ほどくによってルーティングする。VMネットワークと物理ネットワークが接続できる。 - VPN Site-to-Site サイトとサイトをVPNで結ぶことによってルーティングする。VMネットワーク上と物理ネットワーク上の両方にゲートウェイが必要となる。 - Remote Access(Point-to-Site) VMネットワークに対して1台のコンピューターからVPN接続をする。この時必要なゲートウェイはVMネットワーク側のみ。 - NAT/Load balancing プライベートネットワークからグローバルのネットワークへのアクセスと同じように、物理ネットワークとVMネットワーク間でNATする方式。1つの外部アドレスをVMネットワーク上の全てのVMで共有する形も、1つの外部アドレスに対して1つのVMを1対1でマッピングする形も、どちらも可能。 Windows Server 2012 R2のNVGREゲートウェイでは - フォワーディング Site-to-Site VPN NAT の3つの機能が提供されています。 - VMネットワーク毎にゲートウェイのIPアドレスを1つ使用 ゲートウェイは独自のVirtual Subnetに配置する必要あり 同一のHyper-Vホストに複数のゲートウェイを配置可能だが、ゲートウェイを配置するホストにはゲートウェイ以外のVMを配置できない という仕様もあります。 ### 設定画面 NAT ### NVGRE Gatewayの構築 NVGRE Gatewayの構築は通常SCVMMのウィザードで実施します。その際にキーとなるのは「connection string」です。以下、いくつかのサンプルです。 S2S/NAT Gateway VMHost=EdgeCluster.contoso.com;GatewayVM=GWCluster01.contoso.com;BackEndSwitch=”ESU Switch” Fowarding Gateway VMHost=EdgeCluster01.contoso.com;GatewayVM=GWCluster01.contoso.com;BackEndSwitch=”ESU Switch”;DirectRoutingMode=true;FrontEndServerAddress=10.10.0.4 ### パケットの流れ パケットの流れを表すPPTが以下のサイトからダウンロード可能です。 ...