Exportar (0) Imprimir
Expandir Tudo
Este artigo foi traduzido por máquina. Coloque o ponteiro do mouse sobre as frases do artigo para ver o texto original. Mais informações.
Tradução
Original

Novidades do Hyper-V Switch Virtual

No Windows Server ® 2012, Switch Virtual do Hyper-V inclui novos recursos para gerenciamento, segurança, isolamento, visibilidade e escalabilidade para fornecer mais eficaz implantação do Hyper-V no seu local ou privada, híbrido ou ambientes de nuvem pública.

A seguir estão os novos recursos primários para Hyper-V Virtual Switch.

Agora você pode usar o Windows PowerShell comandos, executados manualmente ou em scripts, configurar o Hyper-V Virtual Switch e recursos relacionados.

PowerShell sintaxe consiste principalmente de <verb>-<noun>pares. Por exemplo, o comando a seguir exibe todos os Switches virtuais do Hyper-V que estão configurados no servidor.



Get-VMSwitch

Windows PowerShell substantivos que são fornecidos para o Switch Virtual do Hyper-V são:



VMNetworkAdapterVMNetworkAdapterAclVMNetworkAdapterVlanVMSwitch

Um VMNetworkAdapter inclui os seguintes elementos:

  • A placa de interface de rede virtual (NIC) em VM

  • Porta do Switch Virtual do Hyper-V

VMNetworkAdapter é o substantivo principal que você pode usar para gerenciar os vários recursos de segurança, qualidade de serviço (QoS), espelhamento de porta e outros itens. Para obter mais informações sobre esses recursos, digite o seguinte no Windows PowerShell e, em seguida, pressione ENTER:



Get-Help Set-VMNetworkAdapter

Para ver todos os verbos do Windows PowerShell em VMNetworkAdapter, digite o seguinte comando no Windows PowerShell e, em seguida, pressione ENTER:



Get-Help *-VMNetworkAdapter

Para exibir o estado atual de um VMNetworkAdapter, digite o seguinte comando no Windows PowerShell e, em seguida, pressione ENTER:



Get-VMNetworkAdapter –VMName MyVM | format-list *

A seguir estão os comandos do Windows PowerShell que você pode usar para configurar o Switch Virtual e adaptadores de rede virtual. Uma referência de comando completo para estes e outros cmdlets do Windows PowerShell de Hyper-V, incluindo sintaxe e exemplos, está disponível em Cmdlets do Hyper-V no Windows PowerShell.



Add-VMNetworkAdapterAdd-VMNetworkAdapterAclAdd-VMSwitchAdd-VMSwitchExtensionPortFeatureAdd-VMSwitchExtensionSwitchFeatureConnect-VMNetworkAdapterDisable-VMSwitchExtensionEnable-VMSwitchExtensionGet-VMNetworkAdapterGet-VMNetworkAdapterAclGet-VMNetworkAdapterFailoverConfigurationGet-VMNetworkAdapterVlanGet-VMSwitchGet-VMSwitchExtensionGet-VMSwitchExtensionPortData Get-VMSwitchExtensionPortFeatureGet-VMSwitchExtensionSwitchDataGet-VMSwitchExtensionSwitchFeatureGet-VMSystemSwitchExtension



Get-VMSystemSwitchExtensionPortFeatureGet-VMSystemSwitchExtensionSwitchFeatureNew-VMSwitchRemove-VMNetworkAdapterRemove-VMNetworkAdapterAclRemove-VMSwitchRemove-VMSwitchExtensionPortFeatureRemove-VMSwitchExtensionSwitchFeatureRename-VMNetworkAdapterRename-VMSwitchSet-VMNetworkAdapterSet-VMNetworkAdapterFailoverConfigurationSet-VMNetworkAdapterVlanSet-VMSwitchSet-VMSwitchExtensionPortFeatureSet-VMSwitchExtensionSwitchFeature

JJ679878.note(pt-br,WS.11).gif Nota
Ao usar comandos do Windows PowerShell em placas de rede físicas, usar a família de NetAdapter de cmdlets;e quando usando os comandos do Windows PowerShell NICs virtual, usar a família de VMNetworkAdapter de cmdlets. Se você tiver apenas uma única placa de rede ou uma equipe de NICs ligado ao Switch Virtual Hyper-V, você pode usar vários pai NICs virtual também.

Nas versões anteriores do Hyper-V, apenas um pai NIC virtual apoiava-se, no entanto no Windows Server 2012 Hyper-V, várias NICs são suportados. Além disso, você pode compartilhar o NIC física que está vinculado para o interruptor de Hyper-V com o sistema operacional de gerenciamento.

JJ679878.Tip(pt-br,WS.11).gif Dica
Para habilitar essa funcionalidade, abra o Gerenciador Hyper-V. No painel de ações , selecione Gerenciador de Switch Virtual. No Virtual Switch Manager, selecione uma opção. No painel de detalhes para o switch, que é ilustrado abaixo, selecione o sistema de operacional de gestão de permitir compartilhar este adaptador de rede.

Properties for a Virtual Switch

Você pode criar vários pais de placas de rede virtuais que você usar para a migração ao vivo, armazenamento e gerenciamento;e você pode atribuir a cada NIC virtual para um diferente Rede Local virtual (VLAN). Você também pode criar diferentes políticas de qualidade de serviço (QoS) para cada NIC virtual

Uma configuração de vários NIC é ilustrada abaixo:

Virtual NICS and Virtual Switch

Para criar as placas de rede virtuais para o sistema operacional de gerenciamento, digite os seguintes comandos no prompt do Windows PowerShell e, em seguida, pressione ENTER:



Adicionar-VMNetworkAdapter –ManagementOS – Name ManagementAdd-VMNetworkAdapter –ManagementOS – Name StorageAdd-VMNetworkAdapter –ManagementOS – Name "Migração ao vivo"

Switch Virtual do Hyper-V inclui os seguintes novos recursos de segurança no Windows Server 2012.

A maioria destas características fornece a capacidade de especificar os tipos de pacotes que são permitidos ou bloqueados quando enviado de ou para as máquinas virtuais que estão conectadas ao switch virtual. As seções a seguir fornecem detalhes adicionais.

JJ679878.collapse(pt-br,WS.11).gif Porta Access Control Lists (ACLs)

Uma porta ACL é uma regra que você pode aplicar a uma porta do switch de Hyper-V. A regra especifica se um pacote é permitido ou negado no caminho, dentro ou fora da VM. ACLs têm três elementos com a seguinte estrutura: Local ou endereço remoto | Direção | Ação.

Você pode especificar um endereço de local ou um endereço remoto no Local ou endereço remoto, mas você não pode especificar ambos. O valor que você fornecer para o Local ou endereço remoto pode ser um endereço IPv4, um endereço IPv6 ou um endereço de controle (MAC) de acesso de mídia. Opcionalmente, você pode usar um intervalo de endereços IP, se você fornecer o prefixo de intervalo.

Você pode configurar várias ACLs de porta para uma porta do switch de Hyper-V. Durante as operações, a ACL cujas regras coincidir com o pacote de entrada ou saído de porta é usada para determinar se o pacote é permitido ou negado.

Por exemplo, para configurar a NIC virtual conectada a uma porta para usar sempre um endereço MAC específico ou um endereço de broadcast, você pode criar regras que são semelhantes à seguinte:

Endereço local ou remoto Direção Ação

12-34-56-78-9A-BC

Entrada

Permitir

12-34-56-78-9A-BC

Saída

Permitir

FF-FF-FF-FF-FF-FF

Entrada

Permitir

Qualquer

Entrada

Negar

Qualquer

Saída

Negar

Neste exemplo, qualquer é uma curinga. Observe que as ACLs são avaliadas sobre o prefixo mais longo que é correspondido. Portanto o MAC endereço 12-34-56-78-9A-BC com a regra Allow prevalece sobre a regra de curinga que tenha um endereço qualquer.

ACLs de porta bi-direcional

Em muitos casos, você vai querer aplicar as mesmas permissões para tráfego Inbound e Outbound nas ACLs de Porto mesmo. Por exemplo, você deseja permitir a entrada e o tráfego de saída;ou você quer negar a entrada e o tráfego de saída.

Devido a isso, existem ACLs de porta bi-direcional. Essas entradas ACL poupar algum tempo administrativo, permitindo que você configure permissões de saída e de entrada com uma entrada ACL de Porto. Você pode realizar o mesmo efeito que o primeiro exemplo usando a porta bi-direcional ACLs da seguinte maneira:

Endereço local ou remoto Direção Ação

12-34-56-78-9A-BC

Ambos

Permitir

FF-FF-FF-FF-FF-FF

Entrada

Permitir

Qualquer

Ambos

Negar

Os comandos a seguir demonstram como criar essa configuração usando o Windows PowerShell:



Adicionar-VMNetworkAdapterAcl - VMName MyVM –LocalMacAddress 12-34-56-78-9A-–Direction ambos – Action AllowAdd-VMNetworkAdapterAcl - VMName MyVM –LocalMacAddress FF-FF-FF-FF-FF-FF –Direction entrada – Action AllowAdd-VMNetworkAdapterAcl - VMName MyVM –LocalMacAddress qualquer –Direction – ambos Action negar

Os exemplos acima focalizam ACLs são definidos usando o endereço Local. Você também pode definir as ACLs usando o endereço remoto. Isso é útil para bloquear um determinado endereço usando um endereço remoto com uma ação de negação.

Metro Porto ACLs

Metro Porto ACLs permitem medir a quantidade de tráfego é enviado de ou para a placa de rede virtual para um intervalo de endereços especificado.

Por exemplo, a seguinte porta medidor ACL mede o tráfego que é enviado do VM MyVM o nome para o IPv4 sub-rede 192.168.0.0/16.



– Adicionar-VMNetworkAdapterAcl –VMName MyVM –RemoteIPAddress 192.168.0.0/16 –Direction saída Action medidor

JJ679878.collapse(pt-br,WS.11).gif MacAddressSpoofing

MacAddressSpoofing permite que você especifique se um VM tem permissão para alterar sua fonte endereço MAC para pacotes de saída.

Se você tem uma VM para o qual você deseja permitir que o MacAddressSpoofing, você pode habilitá-lo usando o seguinte cmdlet.



Conjunto-VMNetworkAdapter –VMName MyVM –MacAddressSpoofing em

Para todas as outras VMs, você pode bloquear a capacidade de falsificar endereços de MAC com o seguinte cmdlet.



Conjunto-VMNetworkAdapter –VMName CustomerVM –MacAddressSpoofing fora

Para obter mais informações, consulte Set-VMNetworkAdapter.

JJ679878.collapse(pt-br,WS.11).gif RouterGuard

RouterGuard permite que você especifique se as mensagens de anúncio e redirecionamento de roteador de VMs não autorizados devem ser descartadas.

Se você tem uma VM para o qual você deseja permitir que o roteador mensagens de anúncio e redirecionamento de VMs não autorizados, você pode usar o cmdlet a seguir.



Conjunto-VMNetworkAdapter –VMName MyVM –RouterGuard fora

Para todas as outras VMs, você pode bloquear as mensagens de propaganda e redirecionamento de roteador de VMs não autorizados com o seguinte cmdlet.



Conjunto-VMNetworkAdapter –VMName CustomerVM –RouterGuard em

Para obter mais informações, consulte Set-VMNetworkAdapter.

JJ679878.collapse(pt-br,WS.11).gif DHCPGuard

DHCPGuard permite que você especifique se provenientes de uma VM de mensagens de servidor DHCP devem ser descartadas. Para VMs que estão executando uma instância autorizada da função de servidor DHCP, você pode desativar DHCPGuard usando o seguinte cmdlet:



Conjunto-VMNetworkAdapter –VMName MyDhcpServer1 –DhcpGuard fora

Para todas as outras VMs que não são autorizados os servidores DHCP, você pode impedi-los de tornar-se um servidor DHCP desonestos por ligar DHCPGuard, usando o seguinte cmdlet.



Conjunto-VMNetworkAdapter –VMName CustomerVM –DhcpGuard em

JJ679878.collapse(pt-br,WS.11).gif Tarefa de IPsec Offload (IpsecTO)

Muitos algoritmos de criptografia são uso intensivo do processador, que pode reduzir o desempenho de VMs. Switch Virtual do Hyper-V fornece agora VMs com a capacidade de usar o IPsecTO, que permite que a VM descarregar processos de criptografia para a NIC. Descarregando as operações de criptografia por pacote de VM para os resultados NIC em economias substanciais de CPU.

IPsec inclui uma associação de segurança (SA) com o qual ele executa criptografia, e quando você ativa o IPsecTO, o VM libera o SA para a NIC para processamento. Placas de rede compatíveis com IPsecTO têm um número limitado de SAs que podem ser descarregadas, assim você pode usar o Windows PowerShell para designar o número de associações que o VM pode descarregar à NIC. Para gerenciar o número de associações que podem ser descarregadas por uma VM, você pode usar o cmdlet a seguir.



Conjunto-VMNetworkAdapter –VMName MyVM - IPsecOffloadMaximumSecurityAssociation 200

Esse cmdlet limita o número de associações que podem ser descarregadas por VM nomeado MyVM para 200. Depois que o limite é atingido, a pilha de rede Windows na VM gerencia de maneira inteligente os SAs para que as mais ativas estão descarregadas, enquanto menos ativas são carregadas e executadas por VM.

Requisitos para usar o IPsecTO

A seguir estão os requisitos para usar o IPsecTO.

  • Apenas VMs rodando Windows Server ® 2008 R2 e Windows Server 2012 são suportadas, porque a pilha de rede da VM deve oferecer suporte a IPsecTO.

  • A placa de rede física também deve oferecer suporte a IPsecTO.

Isolamento de rede está relacionada com a segurança, mas ao contrário do IPsec - que criptografa o tráfego de rede - isolamento logicamente segmenta o tráfego.

VLANs, no entanto, sofrem problemas de escalabilidade. Uma VLAN ID é um número de 12 bits e VLANs estão na faixa de 1-4095. Em um centro de dados para múltiplos inquilinos, se você quiser isolar cada inquilino usando uma VLAN, configuração é complexo e difícil. Estes problemas de escalabilidade de VLANs são resolvidos quando você implantar a virtualização de rede do Hyper-V, onde os inquilinos cada tem várias sub-redes virtuais. No entanto, uma solução simples quando cada inquilino tem apenas um único VM é usar PVLAN.

PVLAN aborda alguns dos problemas de escalabilidade de VLANs. PVLAN é uma propriedade de porta do switch. Com PVLAN há dois VLAN IDs, um ID da VLAN primário e um secundário com o ID de VLAN. Um PVLAN pode estar em um dos três modos.

Modo de PVLAN Descrição

Isolado

Se comunica apenas com portas promíscuas na PVLAN

Promíscuo

Comunica-se com todas as portas na PVLAN

Comunidade

Comunica-se com portas na mesma comunidade e quaisquer portas promíscuas na PVLAN

PVLAN pode ser usado para criar um ambiente onde VMs podem somente interagir com a Internet e não ter visibilidade para o tráfego de rede dos outros VMs. Para realizar este colocar todas as VMs (realmente suas portas de switch de Hyper-V) para o mesmo PVLAN no modo isolado. Portanto, usando apenas dois VLAN IDs, primário e secundário, todas as VMs para são isolados uns dos outros. O seguinte script de PowerShell coloca porta de switch de uma VM em modo isolado de PVLAN.



Conjunto-VMNetworkAdapterVlan –VMName MyVM –Isolated –PrimaryVlanId 10 –SecondaryVlanId 200

JJ679878.Important(pt-br,WS.11).gif Importante
Ao usar qualquer recurso de VLAN de Hyper-V, os switches físicos devem também ser configurados corretamente com as identificações de VLAN apropriada.

Modo de tronco

Além de PVLAN, Hyper-V Virtual Switch também fornece suporte para modo de tronco VLAN. Modo de tronco fornece serviços de rede ou dispositivos de rede em uma VM com a capacidade de ver o tráfego de várias VLANs.

No modo de tronco, uma porta do switch recebe o tráfego de todas as VLANs que você configurar em uma lista de permitidos VLAN. Você também pode configurar uma porta do switch que é ligada a uma VM - mas não está associada a NIC subjacente - para o modo de tronco.

No exemplo seguinte cmdlet, MyVM pode enviar ou receber tráfego em qualquer VLAN na lista de permitidos. Se não houver nenhum VLAN especificado no pacote, o pacote é tratado como pertencente a VLAN 10.



Conjunto-VMNetworkAdapterVlan –VMName MyVM –Trunk –AllowedVlanIdList 1-100 –NativeVlanId 10

Com espelhamento de porta, tráfego enviado de ou para uma porta do Switch Virtual do Hyper-V é copiado e enviado a uma porta de espelho. Há uma variedade de aplicações para espelhamento de porta - todo um ecossistema de empresas de visibilidade de rede existem que têm produtos projetados para consumir dados de espelho de porta para gerenciamento de desempenho, análise de segurança e diagnóstico de rede. Com espelhamento de porta Switch Virtual do Hyper-V, você pode selecionar as portas do comutador que são monitoradas, bem como a porta do switch que recebe cópias de todo o tráfego.

Os exemplos a seguir configurar o espelhamento de porta, para que todo o tráfego que é enviado e recebido por MyVM e MyVM2 também é enviado para a máquina virtual chamada MonitorVM.



Conjunto-VMNetworkAdapter –VMName MyVM –PortMirroring SourceSet-VMNetworkAdapter –VMName MyVM2 –PortMirroring SourceSet VMNetworkAdapter –VMName MonitorVM –PortMirroring destino

Em rede é importante resolver circunstâncias onde o tráfego de rede é bloqueado ou abrandou, causando assim a latência.

Para tráfego nativo, a receber escamação lateral (RSS) processa o tráfego de rede de entrada para que ele não é retardado por uma única CPU. RSS processa os campos de origem e destino de IP e portas TCP de origem e destino para espalhar o tráfego de recebimento em vários núcleos de CPU.

Para receber o tráfego de rede chegando externamente do servidor e no Hyper-V Virtual Switch, fila de máquina Virtual dinâmica (dVMQ) executa uma função semelhante ao RSS. Com dVMQ, o endereço MAC de destino é misturado para colocar o tráfego destinado para uma placa de rede virtual em uma fila específica. As interrupções para os núcleos de CPU distribuem-se, também, para evitar ser retardado por um único núcleo de CPU. Se suas VMs em um Switch Virtual do Hyper-V recebem um monte de tráfego de rede externa, é uma boa idéia usar dVMQ.

dVMQ também inclui balanceamento de carga dinâmica. Anteriormente, o hash do MAC foi feito estaticamente, e era difícil de gerenciar dVMQ. Gestão de dVMQ agora é simples – ele é ativado por padrão e não há outras etapas de gestão são necessárias.

Se por algum motivo que você desativou o dVMQ, você pode habilitá-lo novamente usando o cmdlet a seguir. A NIC neste exemplo é uma placa de rede física que é ligada ao switch virtual, e é denominado GuestTrafficNic.



Enable-NetAdapterVmq GuestTrafficNic

Para obter mais informações, consulte Enable-NetAdapterVmq.

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

ADICIONAR
Mostrar:
© 2014 Microsoft