Hyper-V 仮想スイッチの概要

 

適用対象: Windows Server 2012 R2,Windows Server 2012,Windows 8

このトピックでは、Windows Server 2012 の Hyper-V 仮想スイッチについて説明します。 また、このトピックには、Hyper-V 仮想スイッチのいくつかの実際の使用例、ハードウェア要件とソフトウェア要件、および追加情報へのリンクも含まれています。

注意

このトピックに加え、次の Hyper-V 仮想スイッチ関連ドキュメントも参照できます。

• Windows Server 2012 R2 での Hyper-V 仮想スイッチの新機能

• Windows Server 2012 での Hyper-V 仮想スイッチの新機能

• Windows Server 2012 R2 の拡張ポート アクセス制御リストを使用したセキュリティ ポリシーの作成

• Hyper-V: VLAN と VLAN タグの構成

• Hyper-V: サード パーティ製の拡張機能で必要とされている場合、WFP 仮想スイッチ拡張機能を有効にする必要がある

• Create networks with VMM 2012 (VMM 2012 を使用してネットワークを作成する)

• 統合トレースの概要

Hyper-V 仮想スイッチ

Hyper-V 仮想スイッチは、Hyper-V サーバーの役割をインストールすると Hyper-V マネージャーで使用できる、ソフトウェアベースのレイヤー 2 イーサネット ネットワーク スイッチです。 このスイッチには、仮想マシンを仮想ネットワークと物理ネットワークの両方に接続するための、プログラムで管理される拡張可能な機能が含まれています。 また、Hyper-V 仮想スイッチでは、セキュリティ、分離、およびサービスのレベルでポリシーを適用できます。

重要

Hyper-V 仮想スイッチは、イーサネットのみをサポートしており、その他のワイヤード (有線) ローカル エリア ネットワーク (LAN) テクノロジ (Infiniband やファイバー チャネルなど) はサポートしていません。

Windows Server® 2012 の Hyper-V 仮想スイッチでは、テナントの分離、トラフィックのシェイプ、悪意のある仮想マシンへの対策、簡素化されたトラブルシューティングなど、いくつかの新しい機能や拡張された機能が導入されています。

Network Device Interface Specification (NDIS) フィルター ドライバーおよび Windows フィルタリング プラットフォーム (WFP) コールアウト ドライバーのサポートが組み込まれた Hyper-V 仮想スイッチを使用することで、独立系ソフトウェア ベンダー (ISV) は、ネットワークおよびセキュリティの機能を強化するための広範なプラグイン (仮想スイッチ拡張機能) を作成できます。 Hyper-V 仮想スイッチに追加した仮想スイッチ拡張機能は、Hyper-V マネージャーの仮想スイッチ マネージャー機能で表示されます。

次の図で、仮想マシン (VM) の仮想 NIC はスイッチ ポートを経由して Hyper-V 仮想スイッチに接続されています。

 

Hyper-V 仮想スイッチに用意された各機能により、テナントの分離の強制、ネットワーク トラフィックのシェイプと制御、悪意のある仮想マシンへの対策の導入に関して、より多くのオプションが組織に提供されます。

実際の適用例

統計情報の表示: ホスト型クラウドのベンダーの開発者が、Hyper-V 仮想スイッチの現在の状態を表示する管理パッケージを実装するとします。 この管理パッケージでは、WMI を使って、スイッチ全体の現在の機能、構成設定、および個々のポートのネットワーク統計情報を照会できます。 それにより、スイッチのステータスが表示され、管理者はスイッチの状態をすばやく把握できます。

リソース追跡: メンバーシップのレベルに応じた価格でホスティング サービスを販売しているホスティング企業があります。 各種のメンバーシップ レベルでは、ネットワーク パフォーマンスのレベルがさまざまに異なります。 管理者は、ネットワークの可用性のバランスを取りながら SLA を満足できるように、リソースを割り当てます。 管理者は、割り当てられた帯域幅の現在の使用状況や、仮想マシン (VM) で割り当てられた仮想マシン キュー (VMQ) または IOV チャンネルの数などの情報をプログラムで追跡します。 また、同じプログラムで、割り当てられた VM ごとのリソースに加えて、使用中のリソースを定期的に記録することで、二重エントリによるリソース追跡を行います。

スイッチ拡張機能の順序の管理: ある企業では、トラフィックの監視と侵入検出の報告の両方の目的で、Hyper-V ホストに拡張機能をインストールしています。 メンテナンス中に、いくつかの拡張機能が更新されることで、拡張機能の順序が変更される場合があります。 単純なスクリプト プログラムの実行により、更新後に拡張機能の順序を再設定します。

転送拡張機能による VLAN ID の管理: ある大手スイッチ企業で、ネットワークに関するすべてのポリシーを適用する転送拡張機能を構築しています。 管理される要素の 1 つに、仮想ローカル エリア ネットワーク (VLAN) ID があります。 仮想スイッチは、VLAN の制御を転送拡張機能に渡します。 このスイッチ企業のインストールでは、Windows Management Instrumentation (WMI) アプリケーション プログラミング インターフェイス (API) をプログラムで呼び出すことで、透過性をオンにし、Hyper-V 仮想スイッチに対して、何も操作を行わずに VLAN タグを渡すよう指示します。

重要な機能

Hyper-V 仮想スイッチに備えられているいくつかの主要な機能について説明します。

1. ARP/ND ポイズニング (スプーフィング) からの保護: アドレス解決プロトコル (ARP) スプーフィングを使って他の VM から IP アドレスを盗み出そうとする悪意のある VM から、システムを保護します。 近隣探索 (ND) スプーフィングを使って IPv6 で行われる可能性のある攻撃に対しても保護を提供します。

2. DHCP ガードによる保護: 動的ホスト構成プロトコル (DHCP) サーバーを装って man-in-the-middle 攻撃を行う悪意のある VM からシステムを保護します。

3. ポート ACL: メディア アクセス コントロール (MAC) またはインターネット プロトコル (IP) のアドレス/範囲に基づくトラフィックのフィルター処理により、仮想ネットワークの分離を設定できます。

4. VM へのトランク モード: 管理者が特定の VM を仮想アプライアンスとして設定し、各種の VLAN からその VM へとトラフィックを転送できます。

5. ネットワーク トラフィックの監視: ネットワーク スイッチを通過するトラフィックを管理者が確認できます。

6. 分離された (プライベート) VLAN: 管理者が複数の VLAN 上のトラフィックを分離することで、分離されたテナント コミュニティをより簡単に確立できます。

Hyper-V 仮想スイッチの操作性を向上させる機能の一覧を次に示します。

1. 帯域幅制限とバーストのサポート: 最小帯域幅によって、確保される帯域幅の大きさが保証されます。 最大帯域幅によって、VM が使用できる帯域幅の大きさが制限されます。

2. ECN マーキングのサポート: ECN (明示的輻輳通知) マーキングは、DCTCP (Data CenterTCP) とも呼ばれ、物理スイッチとオペレーティング システムにより、スイッチのバッファー リソースがあふれないようにトラフィック フローを制御するため、トラフィックのスループットが高められます。

3. 診断: 診断機能により、仮想スイッチを通過するイベントやパケットを簡単に追跡、監視できます。

Hyper-V 仮想スイッチ

このトピックの「重要な機能」で説明した Hyper-V 仮想スイッチの機能により、管理者はセキュリティと分離のオプションを構成し、以前にはなかったような方法でトラフィックを監視できます。 スイッチの拡張可能な性質により、ISV ではさらに細かなカスタマイズを提供できます。

この変更の利点

近年、仮想化の利用が広がってきたことで、多くのホスティング企業が同じコンピューター上の複数のクライアントに対して VM を配置するようになり、分離と保護の必要性が高まっています。Windows Server 2008 R2 は既定で MAC スプーフィングに対する保護を提供しますが、Windows Server 2008 R2 までのサーバー リリースでは、仮想化されたネットワーク トラフィックに対して最小限のセキュリティ保護しか提供されません。Windows Server® 2012 では、悪意のある仮想マシンに対する保護の強化によって、同じ物理ホスト コンピューター上の VM 間を流れるトラフィックの安全性が高まっています。

Windows Server® 2012 では、新しい Hyper-V 仮想スイッチによってセキュリティが強化され、スイッチを通過するトラフィックをユーザーが簡単に監視して移動させることができる機能も用意されています。 さらに、Hyper-V 仮想スイッチは、ISV でのスイッチ機能の拡張に利用できるインターフェイスをサポートしています。

ハードウェア要件

Hyper-V 仮想スイッチには、次のものを含む 64 ビット プロセッサが必要です。

• Windows Server® 2012 の製品ディスクまたはファイル

• Windows Server® 2012 をホストするための物理コンピューター

• ハードウェア補助による仮想化。 これは、仮想化オプションが組み込まれたプロセッサ、特に、Intel バーチャライゼーション テクノロジ (Intel VT) または AMD Virtualization (AMD-V) テクノロジを備えたプロセッサで使用できます。

• ハードウェアによるデータ実行防止 (DEP) が利用でき、有効にされていることが必要です。 具体的には、Intel XD ビットまたは AMD NX を有効にする必要があります。

関連項目

Hyper-V 仮想スイッチに関連したリソースの一覧を次に示します。

コンテンツの種類	参考資料
製品評価	Windows Server® 2012 の「Understand and Troubleshoot Hyper-V Virtual Network Switch (Hyper-V 仮想ネットワーク スイッチの概要とトラブルシューティング)」
開発者向けリソース	MSDN: Hyper-V 拡張可能スイッチ
コミュニティ リソース	Microsoft のサーバーとクラウド プラットフォームに関するブログ: Windows Server 2012: Introducing Hyper-V Extensible Switch (Windows Server 2012: Hyper-V 拡張可能スイッチの概要) | Virtual PC Guy のブログ: Hyper-V Extensible Switch in Windows Server 2012 (Windows Server 2012 の Hyper-V 拡張可能スイッチ) | Windows Lifestyle: Hyper-V Extensible Switch in Windows Server 2012 (Windows Server 2012 の Hyper-V 拡張可能スイッチ)
関連テクノロジ	Hyper-V の概要 | Microsoft のプライベート クラウド ソリューションに関するページ

関連ドキュメント

• Windows Server 2012 の「Hyper-V の概要」

• TechNet 内の Windows Server 2008 と Windows Server 2008 R2 のテクニカル ライブラリの「Hyper-V」

• Microsoft Developer Network (MSDN) ライブラリ内の Hyper-V 拡張可能スイッチに関する開発者向けリソース

• スイッチ ベースの 802.1X で認証されたワイヤード アクセスを使用した、保護された 802.3 イーサネット接続