VMM ファブリックでSDN ネットワーク コントローラーを設定する
重要
このバージョンの Virtual Machine Manager (VMM) がサポート終了に達しました。 VMM 2022 にアップグレードすることをお勧めします。
この記事では、System Center - Virtual Machine Manager (VMM) ファブリックでソフトウェア定義ネットワーク (SDN) ネットワーク コントローラーを設定する方法について説明します。
SDN ネットワーク コントローラーは、拡張性に優れ、可用性の高いサーバー ロールです。これを使用すると、ネットワーク インフラストラクチャの構成処理を自動化することができ、ネットワーク デバイスを手動で構成しなくても済みます。 詳細については、こちらを参照してください。
VMM 2022 では、SDN ネットワーク コントローラーのデュアル スタックがサポートされています。
最初に、ネットワーク コントローラーの展開の概要をお伝えするビデオをご覧ください (所要時間は 5 分間弱です)。
Note
- VMM 2019 UR1 からは、1 つの接続されたネットワークの種類が接続されたネットワークに変更されます。
- VMM 2019 UR2 以降では IPv6 がサポートされています。
- VMM 2019 UR3 以降では、Azure Stack Hyper Converged Infrastructure (HCI、バージョン 20H2) がサポートされます。
Note
- VMM 2022 では、SDN コンポーネント用のデュアル スタック (Ipv4 + Ipv6) がサポートされています。
- サポートされているサーバー オペレーティング システムの完全な一覧については、「システム 要件」 を参照してください。
必須コンポーネント
• ソフトウェアによるネットワーク制御 (SDN) の計画。 詳細については、こちらを参照してください。
• SDN ネットワーク コントローラーのインストールおよび展開の計画。 詳細については、こちらを参照してください。
開始する前に
VMM ファブリックで SDN を設定するには、次のものが必要です。
- サービス テンプレート: VMM では、サービス テンプレートを使用して、ネットワーク コントローラーの展開を自動化します。 ネットワーク コントローラーのサービス テンプレートは、第 1 世代と第 2 世代の VM 上のマルチノード展開をサポートします。
- 仮想ハード ディスク: サービス テンプレートを使用するには、VMM ライブラリにインポートされる準備済みの仮想ハード ディスクが必要です。 この仮想ハード ディスクは、ネットワーク コントローラー VM 用に使用されます。
- 仮想ハード ディスクは、最新のパッチがインストールされた該当する Windows Server バージョンを実行している必要があります。
- VHD または VHDX 形式で指定できます。
- 管理論理ネットワーク: VMM ホスト、ネットワーク コントローラー ホスト、テナント VM ホストに対応する物理管理ネットワークの接続をモデル化します。
- 論理スイッチ: ネットワーク コントローラー VM に接続される管理論理ネットワークを提供します。
- SSL 証明書: VMM サーバーとネットワーク コントローラー間の通信を認証します。
- HNV プロバイダーの論理ネットワークとテナント VM ネットワーク: ネットワーク コントローラーの展開を検証します。
- その他の前提条件: その他の要件を確認してください。
デプロイメントの手順
SDN ネットワーク コントローラーを設定するために必要な操作を次に示します。
ホストと物理ネットワーク インフラストラクチャの構成: VLAN、ルーティングなどを構成するには、物理ネットワーク デバイスにアクセスする必要があります。 SDN インフラストラクチャとテナント VM をホストするための HYPER-V ホストも必要です。 詳細については、こちらを参照してください。
仮想ハード ディスクを準備する: 必要に応じて、選択したサービス テンプレートの生成に合わせて、ネットワーク コントローラー サービス テンプレート用の仮想ハード ディスクを VHD または VHDX 形式で準備できます。
サービス テンプレートをダウンロードする: ネットワーク コントローラー サービス テンプレートをダウンロードし、VMM ライブラリにインポートします。
Active Directory セキュリティ グループを設定する: ネットワーク コントローラーの管理用の Active Directory セキュリティ グループと、ネットワーク コントローラーのクライアント用の別のセキュリティ グループが必要です。 各グループには、その中には、少なくとも 1 つのユーザー アカウントが必要です。
VMM ライブラリ共有を設定する: 診断ログを保存するためのオプションのライブラリ ファイル共有を使用できます。 ネットワーク コントローラーは有効期間中に診断情報を格納するために、このライブラリ共有にアクセスします。
VMM ホスト グループの設定: すべての SDN Hyper-V ホストの専用ホスト グループを設定します。
注意
ホストは、最新のパッチがインストールされ、Hyper-V の役割が有効になっている該当する Windows Server を実行している必要があります。
管理論理ネットワークを作成する: VMM ホスト、ネットワーク コントローラーのホスト、テナント VM ホストに対応する管理ネットワーク接続をモデル化する管理論理ネットワークを作成します。 プールから静的 IP アドレスを割り当てる場合は、この論理ネットワーク上にプールを作成します。
管理論理スイッチを作成して展開する: 論理スイッチを作成し、ネットワーク コントローラー ホストに展開して、ネットワーク コントローラー VM の管理ネットワークへの接続を提供します。
証明書を設定する: ネットワーク コントローラーとのセキュア/HTTPS 通信には SSL 証明書が必要です。
テンプレートをインポートする: ネットワーク コントローラーのサービス テンプレートをインポートしてカスタマイズします。
サービスを展開する: サービス テンプレートを使用して、ネットワーク コントローラー サービスを展開します。 その後で、VMM サービスとして追加します。
仮想ハード ディスクの準備
- 使用するテンプレートの種類に基づいて、VHD または VHDX を準備します。
- ハード ディスクを準備したら、該当する最新の Windows Server 更新プログラムと、英語以外の環境がある場合に必要な言語パックをインストールします。
- VHD/VHDX ファイルを VMM ライブラリにインポートします。 詳細については、こちらを参照してください。
ネットワーク コントローラーのサービス テンプレートをダウンロードする
Microsoft SDN GitHub リポジトリから SDN フォルダーをダウンロードし、[VMM][テンプレート][NC] の順に選択して、テンプレートを VMM サーバー上のローカル パスにコピーします。
ローカル コンピューター上のフォルダーに内容を抽出します。
ライブラリを更新します。後でサービス テンプレートをインポートします。
注意
カスタム リソース ファイルは、ネットワーク コントローラーとその他の SDN コンポーネント (ソフトウェア ロード バランサー、RAS ゲートウェイ) を設定するときに使用されます。
NC フォルダーには、4 つのサービス テンプレートと 5 つのカスタム リソース フォルダーが含まれています。 次の表に、これらの概要を示します。
テンプレートとリソース ファイル
名前 | Type | 詳細 |
---|---|---|
Network Controller Production Generation 1 VM.xml | Template | 第 1 世代の VM の 3 ノード ネットワーク コントローラー。 |
Network Controller Production Generation 2 VM.xml | Template | 第 2 世代の VM の 3 ノード ネットワーク コントローラー。 |
Network Controller Standalone Generation 1 VM.xml | Template | 第 1 世代の VM の単一ノード ネットワーク コントローラー。 |
Network Controller Standalone Generation 2 VM.xml | Template | 第 2 世代の VM の単一ノード ネットワーク コントローラー。 |
NcSetup.cr | カスタム リソース ファイル | ネットワークを設定するために使用するスクリプトを含むライブラリ リソース。 |
ServerCertificate.cr | カスタム リソース ファイル | .pfx 形式のネットワーク コントローラーの秘密キーを含むライブラリ リソース。 |
NcCertificate.cr | カスタム リソース ファイル | ネットワーク コントローラーの信頼されたルート証明書 (.CER) を含むライブラリ リソース。 これは、ネットワーク コントローラーと他のサブサービス (SLB MUXes など) 間のセキュリティで保護された通信に使用されます。 |
TrustedRootCertificate.cr | カスタム リソース ファイル | SSL 証明書を検証するために信頼されたルート証明書としてインポートされた CA 公開キー (.cer) を含むライブラリ リソース。 |
EdgeDeployment.cr | Template | SLB MUX の役割とゲートウェイの役割 (VPN など) をインストールするために使用します。 |
Active Directory グループをセットアップする
ネットワーク コントローラーの管理とクライアント用のセキュリティ グループを作成します。
[Active Directory ユーザーとコンピューター] で、ネットワーク コントローラーを管理するためにセキュリティ グループを作成します。
- グループに、ネットワーク コントローラーを構成するためのアクセス許可を持つすべてのユーザーを追加します。 たとえば、Network Controller Admins というグループを作成します。
- このグループに追加するすべてのユーザーは、Active Directory の [ドメイン ユーザー] グループのメンバーである必要もあります。
- ネットワーク コントローラーの管理用のグループは、ドメイン ローカル グループにする必要があります。 このグループのメンバーは、展開されたネットワーク コントローラーの構成を作成、削除、更新することができます。
- このグループのメンバーであるユーザー アカウントを 1 つ以上作成し、グループの資格情報へのアクセス権を取得します。 ネットワーク コントローラーが展開されたら、このユーザーのアカウント資格情報を使用してネットワーク コントローラーとの通信を確立するように VMM を構成することができます。
ネットワーク コントローラー クライアント用の別のセキュリティ グループを作成します。
- ネットワーク コントローラーを使用してネットワークを構成および管理するためのアクセス許可を持つユーザーを追加します。 たとえば、Network Controller Users というグループを作成します。
- 新しいグループに追加するすべてのユーザーも、Active Directory のドメイン ユーザー グループのメンバーである必要があります。
- すべてのネットワーク コントローラーの構成と管理は、Representational State Transfer (DNS) を使用して実行されます。
- グループは、ドメイン ローカル グループとします。 ネットワーク コントローラーを展開すると、このグループのメンバーには、REST ベースのインターフェイスを介してネットワーク コントローラーと通信するアクセス許可が付与されます。
- このグループのメンバーであるユーザー アカウントを 1 つ以上作成します。 ネットワーク コントローラーが展開されたら、このユーザーのアカウント資格情報を使用してネットワーク コントローラーとの通信を確立するように VMM を構成することができます。
ログ用のライブラリ共有を作成する
- 必要に応じて、VMM ライブラリに診断ログを保存するためのファイル共有を作成します。
- ネットワーク コントローラーから共有にアクセスできることを確認します。 ネットワーク コントローラーは、診断情報を格納するために共有にアクセスします。 共有への書き込みアクセス権を持つアカウントの資格情報をメモします。
ホスト グループを設定する
- SDN により管理される HYPER-V ホスト専用のホスト グループを作成します。
- 最新のパッチがインストールされた状態で Hyper-V ホストがWindows Server 2016実行されていることを確認します。
管理論理ネットワークを作成する
VMM で管理論理ネットワークを作成して、物理管理ネットワークをミラーできます。
- 論理ネットワークは、VMM のホスト、ネットワーク コントローラー ホスト、およびテナント VM ホストのネットワーク接続の設定を提供します。
- 特に、ネットワーク コントローラーによって管理されるインフラストラクチャ VM との接続を提供する場合には、この論理ネットワークを作成することをお勧めします。
- [仮想マシンがこの論理ネットワークに直接アクセスできるように、同じ名前で VM ネットワークを作成する] を指定して構成されている VMM 論理ネットワークが既にある場合は、この論理ネットワークを再利用して、ネットワーク コントローラーへの管理接続を提供することができます。
以下の手順を使用して、管理論理ネットワークを作成します。
- [ ファブリック>ネットワーク] を選択します。 [論理ネットワーク] を右クリックし、[論理ネットワークの作成] をクリックします。
- [名前] と、必要に応じて [説明] を指定します。
- [設定] で、[ネットワークに接続済み] を選択します。 すべての管理ネットワークには、そのネットワーク内のすべてのホスト間のルーティングと接続が必要です。 [仮想マシンがこの論理ネットワークに直接アクセスできるように、同じ名前で VM ネットワークを作成する] を選択して、管理ネットワーク用の VM ネットワークが自動的に作成されるようにします。
- [設定] で、[ネットワークに接続済み] を選択します。 すべての管理ネットワークでは、そのネットワーク内のすべてのホスト間にルーティングと接続が必要です。 [仮想マシンがこの論理ネットワークに直接アクセスできるように、同じ名前で VM ネットワークを作成する] を選択して、管理ネットワーク用の VM ネットワークが自動的に作成されるようにします。
Note
VMM 2019 UR1 からは、1 つの接続されたネットワークの種類が接続されたネットワークに変更されます。
- [ ネットワーク サイト>の追加] を選択します。 ネットワーク コントローラーで管理するホストのホスト グループを選択します。 管理ネットワークの IP サブネットの詳細を挿入します。 このネットワークは、既に存在し、物理スイッチ内で構成されている必要があります。
- [概要] 情報を確認し、[完了] を選択して完了します。
IP アドレス プールを作成する
Note
VMM 2019 UR1 からは、 [論理ネットワークの作成] ウィザードを使用して IP アドレス プールを作成できます。
Note
[論理ネットワークの作成] ウィザードを使用して IP アドレス プールを作成できます。
ネットワーク コントローラー VM に静的 IP アドレスを割り当てる場合は、管理論理ネットワーク内に IP アドレス プールを作成します。 DHCP を使用している場合は、この手順をスキップできます。
VMM コンソールでの管理論理ネットワークを右クリックし、[IP プールの作成] を選択します。
プールの [名前] とオプションの説明を指定し、論理ネットワークの管理ネットワークが選択されていることを確認します。
[ネットワーク サイト] パネルで、この IP アドレス プールがサービスを提供するサブネットを選択します。
[IP アドレスの範囲] パネルで、開始 IP アドレスと終了 IP アドレスを入力します。
IP を REST IP として使用するには、[ その他の用途用に予約 する IP アドレス] ボックスに、指定した範囲の IP アドレスの 1 つを入力します。 REST エンドポイントを使用する場合、この手順はスキップします。
- 使用可能なサブネットのうち、最初の 3 つの IP アドレスは使用しないでください。 たとえば、利用可能なサブネットが .1 ~.254 である場合、使用範囲の開始は .4 以上とします。
- ノードが同じサブネット内にある場合は、REST IP アドレスを指定する必要があります。 ノードが異なるサブネット内にある場合は、REST DNS 名を指定する必要があります。
既定のゲートウェイ アドレスを指定し、必要に応じて DNS と WINS の設定を構成します。
[ 概要 ] ページで設定を確認し、[ 完了] を選択してウィザードを完了します。
管理論理スイッチを作成して展開する
管理論理ネットワーク上に論理スイッチを展開する必要があります。 このスイッチは、管理論理ネットワークとネットワーク コントローラー VM の間の接続を提供します。
VMM コンソールで、[ファブリック> ネットワーク] [論理スイッチの作成]の順に>選択します。 はじめに情報を確認し、[次へ] を選択します。
名前を入力し、必要に応じて説明を入力します。 [アップリンク チームがありません] を選択します。 チーミングが必要な場合は、[Embedded チーム] を選択します。
Note
Team を使用しないでください。
最小帯域幅モードの場合は、[重み] オプションを選択します。
[拡張機能] で、すべてのスイッチの拡張機能をオフにします。 すべてをオフにすることが重要です。 この段階でスイッチ拡張機能のいずれかを選択すると、後でネットワーク コントローラーの登録ができない場合があります。
必要な場合は、このページで、仮想ポート プロファイルを追加し、ホスト管理に対してポート分類を選択することができます。
既存のアップリンク ポート プロファイルを選択するか、[新しいアップリンク ポート プロファイルの追加]> を選択します。 名前を入力し、必要に応じて説明を入力します。 負荷分散アルゴリズムとチーミング モードについては、既定値を使用します。 管理論理ネットワークですべてのネットワーク サイトを選択します。
[ 新しいネットワーク アダプター] を選択します。 これにより、ホスト仮想ネットワーク アダプター (vNIC) が論理スイッチとアップリンク ポート プロファイルに追加されます。結果として、論理スイッチをホストに追加すると、vNIC も自動的に追加されます。
vNIC の名前を入力します。 [接続] に管理 VM ネットワークが表示されていることを確認します。
[ホスト管理にこの仮想ネットワーク アダプターを使用する]、[ホスト アダプターから接続設定を継承する] の順に選択します。 これにより、ホストに既に存在するアダプターから vNIC アダプター設定を取得できるようになります。 ポート分類と仮想ポート プロファイルを前に作成している場合は、ここで選択できます。
[ 概要] で情報を確認し、[完了] を選択してウィザードを完了 します 。
論理スイッチを展開する
NC を展開する予定のすべてのホストに管理論理スイッチを展開する必要があります。 これらのホストは、作成済みの VMM ホスト グループの一部である必要があります。詳細については、こちらを参照してください。
セキュリティ証明書を設定する
ネットワーク コントローラーとのセキュア/HTTPS 通信に使用される SSL 証明書が必要です。 次の方法を使用できます。
- 自己署名証明書: 自己署名証明書を生成し、パスワードで保護されている秘密キーと共にエクスポートできます。
- 証明機関 (CA) 証明書: CA によって署名された証明書を使用することができます。
自己署名証明書の使用
次の例では、新しい自己署名証明書を作成し、VMM サーバーで実行する必要があります。
注意
- DNS 名として IP アドレスを使用できますが、ネットワーク コントローラーを 1 つのサブネットに制限するため、これはお勧めしません。
- ネットワーク コントローラーにはわかりやすい名前を付けることができます。
- 複数ノード展開では、DNS 名が使用する必要がある REST 名になります。
- 単一ノード展開の場合、DNS 名は、ネットワーク コントローラー名とその後に続く完全なドメイン名にする必要があります。
デプロイ | 構文 | 例 |
---|---|---|
複数ノード | New-SelfSignedCertificate -KeyUsageProperty All -Provider "Microsoft Strong Cryptographic Provider" -FriendlyName "<YourNCComputerName>" -DnsName @("<NCRESTName>") |
New-SelfSignedCertificate -KeyUsageProperty All -Provider "Microsoft Strong Cryptographic Provider" -FriendlyName "MultiNodeNC" -DnsName @("NCCluster.Contoso.com") |
単一ノード | New-SelfSignedCertificate -KeyUsageProperty All -Provider "Microsoft Strong Cryptographic Provider" -FriendlyName "<YourNCComputerName>" -DnsName @("<NCFQDN>") |
New-SelfSignedCertificate -KeyUsageProperty All -Provider "Microsoft Strong Cryptographic Provider" -FriendlyName "SingleNodeNC" -DnsName @("SingleNodeNC.Contoso.com") |
自己署名証明書をエクスポートする
証明書とその秘密キーを .pfx 形式でエクスポートします。
証明書 スナップイン (certlm.msc) を開き、Personal/Certificates で証明書を見つけます。
証明書を選択し、>>> の順に選択します。
[ はい、秘密キーをエクスポートする ] オプションを選択し、[ 次へ] を選択します。
[Personal Information Exchange - PKCS #12 (.PFX)] を選択し、既定の [証明のパスにある証明書を可能であればすべて含む] を受け入れます。
エクスポートする証明書の ユーザー/グループ とパスワードを割り当てます。[ 次へ] を選択します。
[エクスポートするファイル] ページで、エクスポートしたファイルを配置する場所を参照し、名前を付けます。
同様に、.CER 形式で証明書をエクスポートします。
Note
.CER 形式にエクスポートする場合は、[はい、秘密キーをエクスポートします] オプションをオフにします。
PFX を ServerCertificate.cr フォルダーにコピーします。
.CER ファイルを NCCertificate.cr フォルダーにコピーします。
完了したら、これらのフォルダーを更新し、これらの証明書がコピーされていることを確認します。
CA を使用する
CA で署名された証明書を要求します。 Windows ベースのエンタープライズ CA の場合、証明書の要求ウィザードを使用して証明書を要求します。
証明書に、OID 1.3.6.1.5.5.7.3.1 で指定された serverAuth EKU が含まれていることを確認します。 さらに、証明書のサブジェクト名は、ネットワーク コントローラーの DNS 名と一致する必要があります。
PFX を ServerCertificate.cr フォルダーにコピーします。
.CER ファイルを NCCertificate.cr フォルダーにコピーします。
CA の公開キーを .CER 形式で TrustedRootCertificate.cr にコピーします。
Note
エンタープライズ CA が証明書の自動登録用に構成されていることを確認します。
拡張キー使用法
Hyper-V ホスト上の個人用証明書ストア (My – cert:\localmachine\my) に、ホストの完全修飾ドメイン名 (FQDN) としてサブジェクト名 (CN) を持つ X.509 証明書が複数ある場合は、SDN によって使用される証明書に、OID 1.3.6.1.4.1.311.95.1.1.1 を持つ追加のカスタム拡張キー使用法プロパティがあることを確認してください。 そうでない場合、ネットワーク コントローラーとホスト間の通信が機能しない可能性があります。
Southbound 通信用に CA によって発行された証明書に、OID 1.3.6.1.4.1.311.95.1.1.1 を持つ追加のカスタム拡張キー使用法プロパティがあることを確認してください。
サービス テンプレートを設定する
テンプレートをインポートし、環境のパラメーターを更新します。
テンプレートをインポートする
サービス テンプレートを VMM ライブラリにインポートします。 この例では、第 2 世代のテンプレートをインポートします。
[ ライブラリ>インポート テンプレート] を選択します。
サービス テンプレート フォルダーを参照し、Network Controller Production Generation 2 VM.xml ファイルを選択します。
サービス テンプレートをインポートするときは、環境内のパラメーターを更新します。 詳細を確認し、[インポート] を選択 します。
- WinServer.vhdx: 前に準備した基本の仮想ハード ドライブ イメージを選択します。
- NCSetup.cr: VMM ライブラリ内の NCSetup.cr ライブラリ リソースにマッピングします。
- ServerCertificate.cr: VMM ライブラリ内の ServerCertificate.cr リソースにマッピングします。 このフォルダーには、事前に準備してある .pfx SSL 証明書も配置します。 ServerCertificate.cr フォルダーに証明書が 1 つだけ存在することを確認します。
- TrustedRootCertificate.cr: VMM ライブラリ内の TrustedRootCertificate.cr フォルダーにマッピングします。 信頼済みのルート証明書が不要な場合でも、このリソースを CR フォルダーにマッピングする必要があります。 ただし、フォルダーを空白のままにする必要があります。
完了したら、ジョブが完了したことを確認します。
テンプレートのカスタマイズ
プロダクト キー、IP 割り当て、DHCP、MAC スプーフィング、高可用性など、organizationに関連する特定の要件を満たすようにサービス テンプレートをカスタマイズできます。 ホスト グループ、ホスト クラスター、サービス インスタンスなどのオブジェクトのプロパティをカスタマイズすることもできます。
たとえば、プロダクト キーを入力し、DHCP と高可用性を有効にする手順は、次のとおりです。
VMM ライブラリで、サービス テンプレートを選択し、デザイナー モードで開きます。
コンピューター層をダブルクリックし、Windows Server ネットワーク コントローラーの [プロパティ] ページを開きます。
プロダクト キーを指定するには、[OS 構成プロダクト キー] > を選択し、CCEP によって共有されるキーを指定します。
高可用性を有効にするには、[ハードウェア構成>の可用性] を選択し、[仮想マシンを高可用性にする] チェック ボックスを選択します。
動的 IP 構成を有効にし、ネットワーク コントローラー管理に DHCP を使用するには、デザイナーでネットワーク アダプターを選択し、IPV4 アドレスの種類を [動的] に変更します。
注意
- 高可用性のためにテンプレートをカスタマイズする場合は、クラスター化されたノードにデプロイしてください。
- ネットワーク コントローラーを構成し、FQDN を REST 名として指定する際に、DNS 内のプライマリ NC ノードのホスト A レコードは事前に作成しないでください。 プライマリ NC ノードが変更されると、ネットワーク コントローラー接続に影響を与える可能性があります。 これは、SDN Express または VMM Express スクリプトを使用して NC を展開する場合でも適用されます。
ネットワーク コントローラーの展開
まず、ネットワーク コントローラーのサービス テンプレートを選択し、> を選択します。 サービス名前を入力し、サービス インスタンスの場所を選択します。 宛先は、ネットワーク コントローラーによって管理されるホストを含む専用ホスト グループにマップする必要があります。
次の表に示すように、展開の設定を構成します。
仮想マシンのインスタンスが最初に赤色で表示されるのは正常です。 [ プレビューの更新] を選択して、作成する仮想マシンに適したホストをデプロイ サービスで自動的に見つけられるようにします。
これらの設定を構成したら、[ サービスのデプロイ ] を選択して、サービスのデプロイ ジョブを開始します。
Note
展開の所要時間はハードウェアによって異なりますが、通常は 30 分~ 60 分です。 ボリューム ライセンス VHD\VHDX を使用していない場合、または VHD\VHDX が応答ファイルを使用してプロダクト キーを提供していない場合、展開はネットワーク コントローラー VM のプロビジョニング中に [プロダクト キー] ページで停止します。 VM デスクトップに手動でアクセスし、プロダクト キーをスキップまたは入力する必要があります。
ネットワーク コントローラーのデプロイに失敗した場合は、ネットワーク コントローラーのデプロイを再試行する前に、失敗したサービス インスタンスを削除します。 [VM とサービス>] [すべてのホスト サービス]> を選択し、インスタンスを削除します。
展開の設定
設定 | 要件 | 説明 |
---|---|---|
ClientSecurityGroup | 必須 | ネットワーク コントローラーのクライアントのアカウントが含まれる作成済みのセキュリティ グループの名前です。 |
DiagnosticLogShare | 省略可能 | 診断ログが定期的にアップロードされるファイル共有の場所です。 これが指定されていない場合、ログは各ノードにローカルに格納されます。 |
DiagnosticLogShareUsername | 省略可能 | 診断ログ共有へのアクセス権を有するアカウントの完全なユーザー名 (ドメイン名を含む) です。 [domain]\[username] の形式で指定します。 |
DiagnosticLogSharePassword | 省略可能 | DiagnosticLogShareUsername パラメーターで指定したアカウントのパスワードです。 |
LocalAdmin | 必須 | ネットワーク コントローラー仮想マシンのローカル管理者として使用される、環境内の実行アカウントを選択します。 注: [実行アカウント] の作成時に、ローカル アカウントを作成する場合は、[ ドメイン資格情報の検証] オプション をオフにします。 ユーザー名は、\Administrator にする必要があります (存在しない場合は作成します)。 |
管理 | 必須 | 前に作成した管理論理ネットワークを選択します。 |
MgmtDomainAccount | 必須 | 環境内の実行アカウントを選択します。これは、ネットワーク コントローラーの準備に使用されます。 このユーザーは、ネットワーク コントローラーを管理する特権を持つ管理セキュリティ グループのメンバー (以下で指定) である必要があります。 |
MgmtDomainAccountName | 必須 | MgmtDomainAccount にマップされた実行アカウントの完全なユーザー名 (ドメイン名を含む) とする必要があります。 展開時に、ドメイン ユーザー名が Administrators グループに追加されます。 |
MgmtDomainAccountPassword | 必須 | MgmtDomainAccount にマップされた管理実行アカウントのパスワードです。 |
MgmtDomainFQDN | 必須 | ネットワーク コントローラー仮想マシンが参加する Active Directory ドメインの FQDN (完全修飾ドメイン名) です。 |
MgmtSecurityGroup | 必須 | ネットワーク コントローラーの管理アカウントが含まれる、前に作成したセキュリティ グループの名前です。 |
RestEndPoint | 必須 | 証明書の準備時に使用した RESTName を入力します。 スタンドアロンのテンプレートでは、このパラメーターは使用されません。 ノードが同じサブネット内にある場合は、REST IP アドレスを指定する必要があります。 ノードが異なるサブネット内にある場合は、REST DNS 名を指定します。 |
ServerCertificatePassword | 必須 | コンピューターのストアに証明書をインポートするためのパスワードです。 |
Note
Windows Server 2019 以降では、Active Directory で SPN を登録および変更するためのアクセス許可がネットワーク コントローラー コンピューターに付与されている必要があります。 詳細については、「 サービス プリンシパル名を持つ Kerberos」を参照してください。
ネットワーク コントローラー サービスを VMM に追加する
ネットワーク コントローラー サービスが正常に配置されたら、次にそれをネットワーク サービスとして VMM に追加します。
[ファブリック] で、[ネットワーク>ネットワーク サービス] を右クリックし、[ネットワーク サービスの追加] を選択します。
ネットワーク サービスの追加ウィザード が起動します。 名前と、必要に応じて説明を指定します。
製造元として [Microsoft] を選択し、モデルとして [Microsoft ネットワーク コントローラー] を選択します。
[資格情報] で、ネットワーク サービスを構成するのに使用する実行アカウントを指定します。 このアカウントは、ネットワーク コントローラーのクライアント グループに含めたのと同じアカウントとします。
次のように接続文字列を指定します。
- 複数ノードの展開では、ServerURL で REST エンドポイントを使用し、servicename はネットワーク コントローラー インスタンスの名前にする必要があります。
- 単一ノードの展開では、ServerURL はネットワーク コントローラーの FQDN にし、servicename はネットワーク コントローラー サービスのインスタンス名にする必要があります。 例:
serverurl=https://NCCluster.contoso.com;servicename=NC_VMM_RTM
[証明書の確認] で、証明書を取得するために、ネットワーク コントローラー仮想マシンとの接続が確立されます。 表示された証明書が間違いないことを確認します。 [ これらの証明書は確認済みであり、信頼された証明書ストア にインポートできます] ボックスを選択していることを確認します。
次の画面で、[ スキャン プロバイダー ] を選択してサービスに接続し、プロパティとその状態を一覧表示します。 これはまた、サービスが正常に作成されているかどうかの確認、さらにサービスに接続するために使用されている接続文字列が正しいことの確認を行う上で適切なテストです。 結果が正しいことを確認しから、isNetworkController = true になっていることを確認します。 正常に完了したら、[ 次へ] を選択します。
ネットワーク コントローラーが管理するホスト グループを構成します。
[ 完了] を選択 してウィザードを完了します。 サービスが VMM に追加されると、VMM コンソールの [ネットワーク サービス] の一覧に表示されます。 ネットワーク サービスが追加されない場合、VMM コンソールで [ジョブ] を確認してトラブルシューティングを行います。
デプロイの検証
必要に応じて、ネットワーク コントローラーの展開を検証することができます。 これを行うには、次の手順を実行します。
- テナント VM の接続のためにネットワーク コントローラーによって管理される HNV プロバイダー ネットワーク (バックエンド ネットワーク) を作成します。 このネットワークは、ネットワーク コントローラーが正常にデプロイされていること、および同じ仮想ネットワーク内のテナント VM が相互に ping できることを検証するために使用されます。 このネットワークは物理ネットワーク インフラストラクチャ内に存在している必要があります。また、すべての SDN ファブリック ホストが物理的に接続されている必要があります。
- HNV プロバイダー ネットワークを作成したら、その上に 2 つのテナント VM ネットワークを構成します。 VM ネットワークと IP アドレス プールを作成し、テナント VM を展開します。 それぞれ異なるホストに展開された 2 つのテナント VM 間の接続をテストして、ネットワーク コントローラーが正しく展開されていることも確認します。
HNV プロバイダー ネットワークを作成する
- 論理ネットワークの作成ウィザードを開始します。 このネットワークの名前と、必要に応じて説明を入力します。
- HNV プロバイダー ネットワークでは、ネットワーク内のすべてのホスト間にルーティングおよび接続が存在する必要があるので、 [設定] ページで、 [ネットワークに接続済み] が選択されていることを確認します。 [この論理ネットワークに作成された新しい VM ネットワークでネットワーク仮想化を使用することを許可する] をチェックしていることを確認します。 さらに、 [ネットワーク コントローラーで管理] チェック ボックスをオンにします。
HNV プロバイダー ネットワークでは、ネットワーク内のすべてのホスト間にルーティングおよび接続が存在する必要があるので、 [設定] ページで、 [ネットワークに接続済み] が選択されていることを確認します。 [この論理ネットワークに作成された新しい VM ネットワークでネットワーク仮想化を使用することを許可する] をチェックしていることを確認します。 さらに、 [ネットワーク コントローラーで管理] チェック ボックスをオンにします。
Note
VMM 2019 UR1 からは、1 つの接続されたネットワークの種類が接続されたネットワークに変更されます。
すべての HNV プロバイダー ネットワークでは、そのネットワーク内のすべてのホスト間にルーティングと接続が存在する必要があるので、[設定] で、[接続されたネットワーク] が選ばれていることを確認します。 [この論理ネットワークに作成された新しい VM ネットワークでネットワーク仮想化を使用することを許可する] をチェックしていることを確認します。 さらに、 [ネットワーク コントローラーで管理] チェック ボックスをオンにします。
- [ネットワーク サイト] で、HNV プロバイダー ネットワークに関するネットワーク サイト情報を追加します。 これには、ネットワークのホスト グループ、サブネット、VLAN に関する情報を含める必要があります。
- [概要] の情報を確認して、ウィザードを完了します。
IP アドレス プールを作成する
Note
VMM 2019 UR1 からは、 [論理ネットワークの作成] ウィザードを使用して IP アドレス プールを作成できます。
Note
[論理ネットワークの作成] ウィザードを使用して IP アドレス プールを作成できます。
HNV 論理ネットワークの構成では、このネットワークで DHCP を使用できる場合でも、IP アドレス プールが存在する必要があります。 HNV ネットワークの構成に複数のサブネットがある場合は、サブネットごとにプールを作成します。
- [configure HNV logical network](HNV 論理ネットワークの構成) を右クリックし、>[IP プールの作成] を選択します。
- 名前と必要に応じて説明を入力します。さらに、論理ネットワークに対して HNV プロバイダーの論理ネットワークが選択されていることを確認します。
- [ネットワーク サイト] で、この IP アドレス プールがサービスを提供するサブネットを選択する必要があります。 HNV プロバイダー ネットワークの一部として複数のサブネットがある場合は、サブネットごとに静的 IP アドレス プールを作成する必要があります。 サイトが 1 つしかない場合 (たとえば、サンプル トポロジなど)、[ 次へ] を選択するだけです。
- [ネットワーク サイト] で、この IP アドレス プールがサービスを提供するサブネットを選択する必要があります。 HNV プロバイダー ネットワークの一部として複数のサブネットがある場合は、サブネットごとに静的 IP アドレス プールを作成する必要があります。 サイトが 1 つしかない場合 (たとえば、サンプル トポロジなど)、[ 次へ] を選択するだけです。
注意
IPv6 のサポートを有効にするには、IPv6 サブネットを追加し、IPv6 アドレス プールを作成します。
注意
- IPv6 のサポートを有効にするには、IPv6 サブネットを追加し、IPv6 アドレス プールを作成します。
- IPv4 のサポートを有効にするには、IPv4 サブネットを追加し、IPv4 アドレス プールを作成します。
- IPv6 アドレス空間を使用するには、IPv4 と IPv6 の両方のサブネットをネットワーク サイトに追加します。
- デュアル スタック サポートを有効にするには、IPv4 と IPv6 の両方のアドレス空間を持つ IP プールを作成します。
[IP アドレスの範囲] で、開始と終了の IP アドレスを構成します。 使用可能なサブネットのうち、最初の IP アドレスは使用しないでください。 たとえば、利用可能なサブネットが .1 ~.254 である場合、使用範囲の開始は .2 以上とします。
次に、既定のゲートウェイ アドレスを構成します。 [既定のゲートウェイ] ボックスの横にある [挿入] を選択し、アドレスを入力して、既定のメトリックを使用します。 必要に応じて DNS と WINS を構成します。
概要情報を確認し、[ 完了 ] を選択してウィザードを完了します。
ネットワーク コントローラーのオンボードの一環として、管理論理ネットワーク接続用にホストにデプロイしたスイッチが SDN スイッチに変換されました。 このスイッチを使用して、HNV プロバイダー論理ネットワークを含むネットワーク コントローラーマネージド ネットワークを展開できるようになりました。 管理論理スイッチのアップリンク ポート プロファイル設定で、HNV プロバイダー論理ネットワークに対応するネットワーク サイトを選択していることを確認します。
ネットワーク コントローラーで管理されるホスト グループ内のすべてのグループが HNV プロバイダーの論理ネットワークにアクセスできるようになりました。
テナントの VM ネットワークおよび IP プールの作成
次に、接続をテストするために、SDN インフラストラクチャ内の 2 つのテナント用に 2 つの VM ネットワークと IP プールを作成します。
Note
- 使用可能なサブネットのうち、最初の IP アドレスは使用しないでください。 たとえば、利用可能なサブネットが .1 ~.254 である場合、使用範囲の開始は .2 以上とします。
- 現時点で、ネットワーク コントローラーで管理されている論理ネットワークに対して、分離なしで VM ネットワークを作成することはできません。 HNV プロバイダーの論理ネットワークに関連付けられた VM ネットワークを作成する場合は、[Hyper-V ネットワーク仮想化を使用して分離] を選択する必要があります。
- ネットワーク コントローラーはまだ IPv6 でテストされていないため、VM ネットワークを作成するときに論理ネットワークと VM ネットワークの両方に IPv4 を使用します。
各テナントの VM ネットワークを作成します。
各 VM ネットワーク用の IP アドレス プールを作成します。
Note
VM ネットワークを作成するときに、IPv6 のサポートを有効にするには、VM ネットワークのドロップダウン メニューの [IP アドレス プロトコル ] から [IPv6] を選択します。 VM ネットワークを作成するときに、デュアル スタックのサポートを有効にするには、VM ネットワーク のドロップダウン メニューの [IP アドレス プロトコル ] から [IPv4] と [IPv6] を選択します (2022 以降に適用されます)。
VM サブネットを作成するときに、デュアル スタックのサポートを有効にするには、IPv4 サブネットと IPv6 サブネットの両方をセミコロンで区切って指定します(';')。 (2022 以降に適用可能)
テナントの仮想マシンを作成する
テナントの仮想ネットワークに接続されたテナントの仮想マシンを作成できるようになりました。
- テナントの仮想マシンでファイアウォールを介した IPv4 ICMP が許可されていることを確認します。 既定では、Windows Server はこれをブロックします。
- ファイアウォールを介した IPv4 ICMP を許可するには、コマンド New-NetFirewallRule -DisplayName "Allow ICMPv4-In" -Protocol ICMPv4 を実行します。
- テナントの仮想マシンでファイアウォールを介した IPv4/IPv6 ICMP が許可されていることを確認します。 既定では、Windows Server はこれをブロックします。
- ファイアウォールを介した IPv4 ICMP を許可するには、コマンド New-NetFirewallRule -DisplayName "Allow ICMPv4-In" -Protocol ICMPv4 を実行します。
- ファイアウォールを介した IPv6 ICMP を許可するには、コマンド New-NetFirewallRule –DisplayName "Allow ICMPv6-In" –Protocol ICMPv6 を実行します
注意
IPv6 ICMP は、2019 UR2 以降に適用されます。
- 既存のハード ディスクから VM を作成する場合は、次の手順に従います。
- ネットワークに接続された少なくとも 2 つの VM を展開したら、一方のテナント仮想マシンから他方のテナント仮想マシンに ping を実行することにより、ネットワーク コントローラーがネットワーク サービスとして正常に展開されていること、さらにテナント仮想マシンが互いに ping を実行できるようにネットワーク コントローラーが HNV プロバイダーのネットワークを管理できること、を検証することができます。
Note
デュアル スタックのサポートを有効にするには、VM ネットワークに対して、ドロップダウン メニューから 2 つの IP サブネットを選択して 2 つの IP プールを作成します。
新しい VM を作成し、デュアル スタック VM ネットワークを展開して、IPv4 と IPv6 の両方のアドレスを仮想マシンに割り当てます。
SDN ファブリックからネットワーク コントローラーを削除する
SDN ファブリックからネットワーク コントローラーを削除するには、こちらの手順を使用してください。
次のステップ
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示