虛擬化系列-Windows server 2012 網絡管理

    早在windows2008 R2版本中的 Hyper-V，就能夠提供建立與物理二層以太網交換機相似的虛擬網絡交換機，實施複雜的虛擬網絡環境。能夠建立外部虛擬網絡，爲虛擬機提供到外部服務器與客戶端的鏈接，並可建立內部網絡，讓同一宿主機上的虛擬機之間，以及虛擬機與宿主機之間進行通信，或者能夠建立專用虛擬網絡（PVLAN），可用於在同一宿主機上的不一樣虛擬機之間進行隔離，讓虛擬機只能經過外部網絡通信。

    除此以上功能外，Windows Server 2012 中的 Hyper-V 虛擬交換機 (vSwitch) 引入了不少用戶要求的功能，以便實現租戶隔離、通訊×××、防止惡意虛擬機以及更輕鬆地排查問題。Microsoft 擴展的開放可擴展性和可管理性方面的改進。能夠編寫非 Microsoft 擴展，以模擬基於硬件的交換機的所有功能和支持更復雜的虛擬環境和解決方案。要使用 Windows Server 2012 Hyper-V 宿主機實施網絡虛擬化一些高級功能，還要求具有 SystemCenter Virtual Machine Manager 2012。

1、可擴展虛擬交換機

    在Windows Server 2012 中 ，微軟充分提升了Hyper-V 可擴展交換機功能，好比Cisco Systems 已經宣佈，其出產的 Cisco Nexus 1000V 分佈式虛擬交換機將可在Hyper-V 環境中完整支持虛擬機級別的可見性與安全控制能力。還有inMon Corp. 也已宣佈，其出產的 sFlow 通信監控軟件將對 Hyper-V 虛擬化環境提供全面的網絡與系統資源可見性。也有5nine Software 已經宣佈，3.0 版的 5nine Security Manager 將是首款完善的，基於宿主機的虛擬防火牆，並帶有反病毒功能，可適用於 Windows 2012。

    擴展能夠擴展或替換交換過程的三個方面：入口篩選、目標查找和轉發以及出口篩選。此外，擴展還能夠經過監視 vSwitch 不一樣層的通訊來收集統計數據。在 vSwitch 的入口和出口部分，能夠支持多個監視和篩選擴展。若是您使用轉發擴展，則每一個交換機實例只能使用擴展的一個實例，這種狀況下它替代 vSwitch 的默認轉發。

 

2、負載平衡與故障轉移

    網卡捆綁（也叫作負載平衡和故障轉移（LBFO））使得多個網絡適配器能夠加入到同一個捆綁接口中。這種技術可提供帶寬聚合及通信故障轉移，預防因爲一個網絡適配器故障形成鏈接丟失。網卡捆綁技術可支持多個供應商的產品。

 

3、服務質量帶寬管理

    Windows Server 2012 包含全新的服務質量（QoS）帶寬管理功能，可供您經過單一網絡適配器將多種不一樣類型的網絡通信聚合在一塊兒，每種類型的通信均可得到可預期的服務級別。您能夠經過虛擬機設置選項配置帶寬管理功能，或使用 Windows PowerShell 命令。爲了規劃帶寬管理，您能夠指定帶寬的最大值和最小值。這些限制使得您能夠根據網絡通信的類型管理帶寬的分配。另外還要注意，新增的最小帶寬功能使得每一個網絡服務（例如管理、存儲、實時遷移，以及虛擬機通信）能夠在網絡帶寬高度佔用，產生擁堵時得到預分配的帶寬份額。當從新出現可用帶寬時，這些網絡服務又均可以儘量多地得到所需帶寬。有兩種機制可用於強制實施最小帶寬。您可使用運行Hyper-V 的服務器中包含的 QoS 軟件，或者使用經過Windows 認證，而且支持數據中心橋接（DCB）技術的網絡適配器。

 

4、單根 I/O 虛擬化

    SR-IOV 是一種經過提供 I/O 所需的直接硬件路徑，使得 PCI Express 設備可以在多個虛擬機之間進行共享的標準。Hyper-V 可以支持符合 SR-IOV 標準的網絡適配器。SR-IOV 可下降網絡延遲，下降處理網絡通信時的 CPU 佔用率，並可提高網絡吞吐率。符合 SR-IOV 標準的網絡設備具備一種名爲 Virtual Functions 的硬件界面，可經過安全的方式將其分

    配給虛擬機—並繞過管理用操做系統中的虛擬交換機，直接收發數據。策略與控制則依然由管理用操做系統實施。SR-IOV 徹底兼容實時遷移功能，由於基於硬件的網絡在任什麼時候間均可用。在實時遷移過程當中，VirtualFunctions 會被暫時刪除。這樣實時遷移便可使用不一樣供應商的網絡適配器，或在目標計算機上 SR-IOV不可用的狀況下使用。

 

5、Hyper-V虛擬交換機

    在運行 Hyper-V 的服務器上建立虛擬網絡，爲虛擬機和虛擬化服務器定義各類網絡拓撲。使用虛擬網絡管理器（從 Hyper-V 管理器訪問）時，有三種不一樣類型的虛擬網絡可供選擇。在Hyper-v管理器「操做」窗格中的虛擬機名稱下，單擊「虛擬交換機管理器」

    在新建虛擬機網絡交換機的頁面中，默認的有個交換機，這是在安裝Hyper-v組建中添加的虛擬交換機，咱們能夠在右邊選擇相應的網絡類型，選擇建立虛擬交換機。

一、 外部虛擬網絡：在但願容許虛擬機與外部服務器和管理操做系統（有時稱爲父分     區）進行通訊時，可使用此類型的虛擬網絡。此類型的虛擬網絡還容許位於同     一物理服務器上的虛擬機互相通訊。

二、 內部虛擬網絡：在但願容許同一物理服務器上的虛擬機與虛擬機和管理操做系統     之間進行通訊時，可使用此類型的虛擬網絡。內部虛擬網絡是一種未綁定到物     理網絡適配器的虛擬網絡。它一般用來構建從管理操做系統鏈接到虛擬機所需的     測試環境。

三、 專用虛擬網絡：在但願只容許同一物理服務器上的虛擬機之間進行通訊時，能夠     使用此類型的虛擬網絡。專用虛擬網絡是一種無需在管理操做系統中裝有虛擬網     絡適配器的虛擬網絡。在但願將虛擬機從管理操做系統以及外部網絡中的網絡通     信中分離出來時，一般會使用專用虛擬網絡。

    鏈接到外部虛擬網絡的虛擬機經過主機系統中一個虛擬交換機鏈接物理網卡訪問外部網絡。 從而實現主機與外部網絡溝通。外部虛擬網絡上的虛擬交換機，能夠視爲鏈接在物理交換機上的2級交換設備。虛擬機與物理機的溝通，虛擬機和其餘虛擬機的溝通，均可以經過此虛擬交換機或與其鏈接的外部網絡進行。

    咱們也能夠對已經有的交換機進行修改設置。

    在建立完成虛擬網絡後，能夠在新建虛擬機或者是虛擬機網絡中能夠看到新建的虛擬網絡。

    Windows Server 2012 中在 Hyper-V 控制檯的虛擬交換機管理器中選中的 Windows Filtering Platform（WPF）擴展。請注意，一旦宿主機安裝了某個擴展，就能夠啓用或禁用，並可經過在交換機擴展列表中上移或下移的方式調整擴展的順序。也可使用 PowerShell 建立、刪除，以及配置 Hyper-V 宿主機上的可擴展交換機。

 

6、虛擬機網絡功能

    微軟還在 Hyper-V 可擴展交換機中集成了大量其餘高級功能，這些功能能夠幫助您改善安全性、監控功能，以及排錯功能。 這些額外的功能包括：

    一、DHCP guard：有助於保護防範動態主機配置協議（DHCP）中間人***，這個技術能夠丟棄未經受權的虛擬機冒充 DHCP 服務器發送的 DHCP 服務器消息

    二、MAC 地址仿冒：有助於保護防範使用 ARP 仿冒技術從虛擬機處盜用 IP 地址的企圖，這種作法可讓虛擬機更改發出的數據包中的來源 MAC 地址，並將地址改成並不是分配給本身的地址。

    三、Router guard 有助於保護防範未經受權的路由器，這個功能能夠丟棄來自未經受權的虛擬機所假冒的路由器發出的路由器公告和重定向消息端口鏡像 使得您能夠將目標或源數據包的副本轉發到其餘用做監控用途的虛擬機，藉此對虛擬機的網絡通信進行監控。

    四、端口 ACL 有助於根據MAC 地址或 IP 地址段對通信進行篩選，強制實施虛擬網絡隔 離隔離的 VLAN 可對多個 VLAN 的通信進行劃分，經過建立私有VLAN（PVLAN）對租戶的網絡進行隔離Trunk 模式 可未來自一組 VLAN 的通信重定向到指定虛擬機帶寬管理，可爲每一個虛擬機提供有保證的帶寬最小值，並/或強制實施帶寬最大值限制

    五、加強的診斷，可經過可擴展交換機，使用 ETL 和統一追蹤實現數據包監控和事件追蹤

    上述功能中的大部分均可以經過打開虛擬機的設置窗口，使用圖形用戶界面（GUI）配置。打開虛擬機的設置，以下圖：

    經過這種方式配置的選項，這樣的配置能夠確保虛擬機老是能得到至少 50MBps 可用網絡帶寬，但不會超過 100 MBps。若是宿主機位於共享的雲環境中，須要提供應用程序和服務，這種新的帶寬管理機制能夠幫助知足要求。