Win2012的虚拟化技术(虚拟机)(云主机)教程八网络管理.docx

早在windows2008 R2版本中的 Hyper-V，就可以提供创建与物理二层以太网交换机类似的虚拟网络交换机，实施复杂的虚拟网络环境。可以创建外部虚拟网络，为虚拟机提供到外部服务器 与客户端的连接，并可创建内部网络，让同一宿主机上的虚拟机之间，以及虚拟机与宿主机之间进行通讯，或者可以创建专用虚拟网络（PVLAN），可用于在同 一宿主机上的不同虚拟机之间进行隔离，让虚拟机只能通过外部网络通讯。 除此以上功能外，Windows Server 2012 中的 Hyper-V 虚拟交换机 (vSwitch) 引入了很多用户要求的功能，以便实现租户隔离、通信整形、防止恶意虚拟机以及更轻松地排查问题。Microsoft 扩展的开放可扩展性和可管理性方面的改进。可以编写非 Microsoft 扩展，以模拟基于硬件的交换机的全部功能和支持更复杂的虚拟环境和解决方案。要使用 Windows Server 2012 Hyper-V 宿主机实施网络虚拟化一些高级功能，还要求具备 SystemCenter Virtual Machine Manager 2012。一、可扩展虚拟交换机 在Windows Server 2012 中 ，微软充分提高了Hyper-V 可扩展交换机功能，比如Cisco Systems 已经宣布，其出产的 Cisco Nexus 1000V 分布式虚拟交换机将可在Hyper-V 环境中完整支持虚拟机级别的可见性与安全控制能力。还有inMon Corp. 也已宣布，其出产的 sFlow 通讯监控软件将对 Hyper-V 虚拟化环境提供全面的网络与系统资源可见性。也有5nine Software 已经宣布，3.0 版的 5nine Security Manager 将是首款完善的，基于宿主机的虚拟防火墙，并带有反病毒功能，可适用于 Windows 2012。 扩展可以扩展或替换交换过程的三个方面：入口筛选、目标查找和转发以及出口筛选。此外，扩展还可以通过监视 vSwitch 不同层的通信来收集统计数据。在 vSwitch 的入口和出口部分，可以支持多个监视和筛选扩展。如果您使用转发扩展，则每个交换机实例只能使用扩展的一个实例，这种情况下它替代 vSwitch 的默认转发。二、负载平衡与故障转移 网卡捆绑（也叫做负载平衡和故障转移（LBFO）使得多个网络适配器可以加入到同一个捆绑接口中。这种技术可提供带宽聚合及通讯故障转移，预防由于一个网络适配器故障造成连接丢失。网卡捆绑技术可支持多个供应商的产品。三、服务质量带宽管理 Windows Server 2012 包含全新的服务质量（QoS）带宽管理功能，可供您通过单一网络适配器将多种不同类型的网络通讯聚合在一起，每种类型的通讯都可获得可预期的服务级别。您 可以通过虚拟机设置选项配置带宽管理功能，或使用 Windows PowerShell 命令。为了规划带宽管理，您可以指定带宽的最大值和最小值。这些限制使得您可以根据网络通讯的类型管理带宽的分配。另外还要注意，新增的最小带宽功能使得 每个网络服务（例如管理、存储、实时迁移，以及虚拟机通讯）可以在网络带宽高度占用，产生拥堵时获得预分配的带宽份额。当重新出现可用带宽时，这些网络服 务又都可以尽可能多地获得所需带宽。有两种机制可用于强制实施最小带宽。您可以使用运行Hyper-V 的服务器中包含的 QoS 软件，或者使用通过Windows 认证，并且支持数据中心桥接（DCB）技术的网络适配器。四、单根 I/O 虚拟化 SR-IOV 是一种通过提供 I/O 所需的直接硬件路径，使得 PCI Express 设备能够在多个虚拟机之间进行共享的标准。Hyper-V 能够支持符合 SR-IOV 标准的网络适配器。SR-IOV 可降低网络延迟，降低处理网络通讯时的 CPU 占用率，并可提升网络吞吐率。符合 SR-IOV 标准的网络设备具有一种名为 Virtual Functions 的硬件界面，可通过安全的方式将其分 配给虚拟机并绕过管理用操作系统中的虚拟交换机，直接收发数据。策略与控制则依然由管理用操作系统实施。SR-IOV 完全兼容实时迁移功能，因为基于硬件的网络在任何时间都可用。在实时迁移过程中，VirtualFunctions 会被暂时删除。这样实时迁移即可使用不同供应商的网络适配器，或在目标计算机上 SR-IOV不可用的情况下使用。五、Hyper-V虚拟交换机 在运行 Hyper-V 的服务器上创建虚拟网络，为虚拟机和虚拟化服务器定义各种网络拓扑。使用虚拟网络管理器（从 Hyper-V 管理器访问）时，有三种不同类型的虚拟网络可供选择。在Hyper-v管理器“操作”窗格中的虚拟机名称下，单击“虚拟交换机管理器” 在新建虚拟机网络交换机的页面中，默认的有个交换机，这是在安装Hyper-v组建中添加的虚拟交换机，我们可以在右边选择相应的网络类型，选择创建虚拟交换机。1、 外部虚拟网络：在希望允许虚拟机与外部服务器和管理操作系统（有时称为父分 区）进行通信时，可以使用此类型的虚拟网络。此类型的虚拟网络还允许位于同 一物理服务器上的虚拟机互相通信。2、 内部虚拟网络：在希望允许同一物理服务器上的虚拟机与虚拟机和管理操作系统 之间进行通信时，可以使用此类型的虚拟网络。内部虚拟网络是一种未绑定到物 理网络适配器的虚拟网络。它通常用来构建从管理操作系统连接到虚拟机所需的 测试环境。3、 专用虚拟网络：在希望只允许同一物理服务器上的虚拟机之间进行通信时，可以 使用此类型的虚拟网络。专用虚拟网络是一种无需在管理操作系统中装有虚拟网 络适配器的虚拟网络。在希望将虚拟机从管理操作系统以及外部网络中的网络通 信中分离出来时，通常会使用专用虚拟网络。 连接到外部虚拟网络的虚拟机通过主机系统中一个虚拟交换机连接物理网卡访问外部网络。 从而实现主机与外部网络沟通。外部虚拟网络上的虚拟交换机，可以视为连接在物理交换机上的2级交换设备。虚拟机与物理机的沟通，虚拟机和其他虚拟机的沟 通，都可以通过此虚拟交换机或与其连接的外部网络进行。 我们也可以对已经有的交换机进行修改设置。 在创建完成虚拟网络后，可以在新建虚拟机或者是虚拟机网络中可以看到新建的虚拟网络。 Windows Server 2012 中在 Hyper-V 控制台的虚拟交换机管理器中选中的 Windows Filtering Platform（WPF）扩展。请注意，一旦宿主机安装了某个扩展，就可以启用或禁用，并可通过在交换机扩展列表中上移或下移的方式调整扩展的顺序。也 可以使用 PowerShell 创建、删除，以及配置 Hyper-V 宿主机上的可扩展交换机。六、虚拟机网络功能 微软还在 Hyper-V 可扩展交换机中集成了大量其他高级功能，这些功能可以帮助您改善安全性、监控功能，以及排错功能。 这些额外的功能包括： 1、DHCP guard：有助于保护防范动态主机配置协议（DHCP）中间人攻击，这个技术可以丢弃未经授权的虚拟机冒充 DHCP 服务器发送的 DHCP 服务器消息 2、MAC 地址仿冒：有助于保护防范使用 ARP 仿冒技术从虚拟机处盗用 IP 地址的企图，这种做法可以让虚拟机更改发出的数据包中的来源 MAC 地址，并将地址改为并非分配给自己的地址。 3、Router guard 有助于保护防范未经授权的路由器，这个功能可以丢弃来自未经授权的虚拟机所假冒的路由器发出的路由器公告和重定向消息端口镜像 使得您可以将目标或源数据包的副本转发到其他用作监控用途的虚拟机，借此对虚拟机的网络通讯进行监控。 4、端口 ACL 有助于根据MAC 地址或 IP 地址段对通讯进行筛选，强制实施虚拟网络隔 离隔离的 VLAN 可对多个 VLAN 的通讯进行划分，通过创建私有VLAN（PVLAN）对租户的网络进行隔离Trunk 模式 可将来自一组 VLAN 的通讯重定向到指定虚拟机带宽管理，可为每个虚拟机提供有保证的带宽最小值，并/或强制实施带宽最大值限制 5、增强的诊断，可通过可扩展交换机，使用 ETL 和统一