Hyper-V 仮想スイッチ

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016

このトピックでは、Hyper-V 仮想スイッチの概要について説明します。この仮想スイッチにより、組織のイントラネットやインターネットなど、Hyper-V ホストの外部にあるネットワークに仮想マシン (VM) を接続できるようになります。

ソフトウェア定義ネットワーク (SDN) をデプロイするときに、Hyper-V を実行しているサーバー上の仮想ネットワークに接続することもできます。

Hyper-V 仮想スイッチは、Hyper-V サーバーの役割をインストールすると Hyper-V マネージャーで使用できる、ソフトウェアベースのレイヤー 2 イーサネット ネットワーク スイッチです。

Hyper-V 仮想スイッチには、VM を仮想ネットワークと物理ネットワークの両方に接続するための、プログラムで管理される拡張可能な機能が含まれています。 また、Hyper-V 仮想スイッチでは、セキュリティ、分離、およびサービスのレベルでポリシーを適用できます。

注意

Hyper-V 仮想スイッチは、イーサネットのみをサポートしており、その他のワイヤード (有線) ローカル エリア ネットワーク (LAN) テクノロジ (Infiniband やファイバー チャネルなど) はサポートしていません。

Hyper-v 仮想スイッチには、テナント分離機能、トラフィックのシェイプ、悪意のある仮想マシンへの対策、簡素化されたトラブルシューティングなどの機能があります。

Network Device Interface Specification (NDIS) フィルター ドライバーおよび Windows フィルタリング プラットフォーム (WFP) コールアウト ドライバーのサポートが組み込まれた Hyper-V 仮想スイッチを使用することで、独立系ソフトウェア ベンダー (ISV) は、ネットワークおよびセキュリティの機能を強化するための広範なプラグイン (仮想スイッチ拡張機能) を作成できます。 Hyper-V 仮想スイッチに追加した仮想スイッチ拡張機能は、Hyper-V マネージャーの仮想スイッチ マネージャー機能で表示されます。

次の図で、VM の仮想 NIC はスイッチ ポートを経由して Hyper-V 仮想スイッチに接続されています。

Virtual Switch connections

Hyper-V 仮想スイッチの機能により、テナントの分離の強制、ネットワーク トラフィックのシェイプと制御、悪意のある VM への対策の導入に関して、より多くのオプションが提供されます。

注意

Windows Server 2016 では、仮想 NIC を含む VM は、仮想 NIC の最大スループットを正確に表示します。 ネットワーク接続の仮想 NIC 速度を表示するには、目的の仮想 NIC アイコンを右クリックし、[状態] をクリックします。 仮想 NIC の [状態] ダイアログ ボックスが開きます。 [接続][速度] の値は、サーバーにインストールされている物理 NIC の速度と一致します。

Hyper-V 仮想スイッチを使用する

Hyper-V 仮想スイッチのいくつかのユース ケースのシナリオを次に示します。

統計情報の表示: ホスト型クラウドのベンダーの開発者が、Hyper-V 仮想スイッチの現在の状態を表示する管理パッケージを実装するとします。 この管理パッケージでは、WMI を使って、スイッチ全体の現在の機能、構成設定、および個々のポートのネットワーク統計情報を照会できます。 それにより、スイッチのステータスが表示され、管理者はスイッチの状態をすばやく把握できます。

リソース追跡: メンバーシップのレベルに応じた価格でホスティング サービスを販売しているホスティング企業があります。 各種のメンバーシップ レベルでは、ネットワーク パフォーマンスのレベルがさまざまに異なります。 管理者は、ネットワークの可用性のバランスを取りながら SLA を満足できるように、リソースを割り当てます。 管理者は、割り当てられた帯域幅の現在の使用状況や、仮想マシン (VM) で割り当てられた仮想マシン キュー (VMQ) または IOV チャンネルの数などの情報をプログラムで追跡します。 また、同じプログラムで、割り当てられた VM ごとのリソースに加えて、使用中のリソースを定期的に記録することで、二重エントリによるリソース追跡を行います。

スイッチ拡張機能の順序の管理: ある企業では、トラフィックの監視と侵入検出の報告の両方の目的で、Hyper-V ホストに拡張機能をインストールしています。 メンテナンス中に、いくつかの拡張機能が更新されることで、拡張機能の順序が変更される場合があります。 単純なスクリプト プログラムの実行により、更新後に拡張機能の順序を再設定します。

転送拡張機能による VLAN ID の管理: ある大手スイッチ企業で、ネットワークに関するすべてのポリシーを適用する転送拡張機能を構築しています。 管理される要素の 1 つに、仮想ローカル エリア ネットワーク (VLAN) ID があります。 仮想スイッチは、VLAN の制御を転送拡張機能に渡します。 このスイッチ企業のインストールでは、Windows Management Instrumentation (WMI) アプリケーション プログラミング インターフェイス (API) をプログラムで呼び出すことで、透過性をオンにし、Hyper-V 仮想スイッチに対して、何も操作を行わずに VLAN タグを渡すよう指示します。

Hyper-V 仮想スイッチの機能

Hyper-V 仮想スイッチに備えられているいくつかの主要な機能について説明します。

  • ARP/ND ポイズニング (スプーフィング) からの保護: アドレス解決プロトコル (ARP) スプーフィングを使って他の VM から IP アドレスを盗み出そうとする悪意のある VM から、システムを保護します。 近隣探索 (ND) スプーフィングを使って IPv6 で行われる可能性のある攻撃に対しても保護を提供します。

  • DHCP ガードによる保護: 動的ホスト構成プロトコル (DHCP) サーバーを装って man-in-the-middle 攻撃を行う悪意のある VM からシステムを保護します。

  • ポート ACL: メディア アクセス コントロール (MAC) またはインターネット プロトコル (IP) のアドレス/範囲に基づくトラフィックのフィルター処理により、仮想ネットワークの分離を設定できます。

  • VM へのトランク モード: 管理者が特定の VM を仮想アプライアンスとして設定し、各種の VLAN からその VM へとトラフィックを転送できます。

  • ネットワーク トラフィックの監視: ネットワーク スイッチを通過するトラフィックを管理者が確認できます。

  • 分離された (プライベート) VLAN: 管理者が複数の VLAN 上のトラフィックを分離することで、分離されたテナント コミュニティをより簡単に確立できます。

Hyper-V 仮想スイッチの操作性を向上させる機能の一覧を次に示します。

  • 帯域幅制限とバーストのサポート: 最小帯域幅によって、確保される帯域幅の大きさが保証されます。 最大帯域幅によって、VM が使用できる帯域幅の大きさが制限されます。

  • ECN マーキングのサポート: ECN (明示的輻輳通知) マーキングは、DCTCP (Data CenterTCP) とも呼ばれ、物理スイッチとオペレーティング システムにより、スイッチのバッファー リソースがあふれないようにトラフィック フローを制御するため、トラフィックのスループットが高められます。

  • 診断: 診断機能により、仮想スイッチを通過するイベントやパケットを簡単に追跡、監視できます。