Virtualizzazione: Che cosa è nuovo con Hyper-V

Alcuni dei principali miglioramenti apportati a Windows Server 2012 sono incentrati su Hyper-V. Qui è un profondo sguardo ad alcuni dei miglioramenti.

Paul Schnackenburg

Hyper-V è all'avanguardia di alcuni dei più significativi cambiamenti in Windows Server 2012. Ci sono così tante funzionalità nuove e migliorate che progettando una riuscita implementazione di Hyper-V richiede intuizione nella profondità di queste modifiche tecniche.

Molte delle caratteristiche avanzate di supporto diversi aspetti del networking. Ci sono anche miglioramenti di scalabilità, sicurezza, storage e migrazione delle macchine virtuali (VM). In questo primo di due articoli, mi concentrerò sulla virtualizzazione singola radice I/O (SR-IOV), rete di monitoraggio e di qualità del servizio (QoS), NIC teaming, l'extensible switch virtuale, virtualizzazione di rete e software-defined networking (SDN).

SR-IOV

SR-IOV è una nuova tecnologia che essenzialmente fa cosa fare per la virtualizzazione del processore Intel Virtualization Technology (Intel VT) e AMD Virtualization (AMD-V). Aumenta le prestazioni spostando la funzionalità dal software all'hardware dedicato. SR-IOV ha usi specifici e alcune limitazioni che è necessario prendere in considerazione durante la pianificazione di nuovi cluster Hyper-V.

Con schede di rete che supportano SR-IOV, insieme a un server che supporta SR-IOV nel suo BIOS, la scheda NIC presenta funzioni virtuali (VFs) o copie virtuali della stessa per macchine virtuali. Perché SR-IOV è abbastanza nuovo, assicuratevi di che controllare il tuo modello di scheda di rete particolare. Alcune schede forniscono solo quattro o otto VFs, mentre altri offrono fino a 64. Quando si crea un nuovo switch virtuale esterno, si può semplicemente selezionare per renderlo un interruttore SR-IOV (vedere Figura 1). Si non è possibile convertire un normale vSwitch più tardi.

Figura 1 , purché siano soddisfatti tutti i prerequisiti, abilitazione SR-IOV è una singola casella di controllo in fase di creazione dell'interruttore.

SR-IOV hanno alcune limitazioni. Se si configura il port access control lists (ACLs), estensioni o politiche nello switch virtuale, SR-IOV è disabilitato perché il suo traffico ignora totalmente l'interruttore. Non è possibile squadra due schede di rete SR-IOV nell'host. È possibile, tuttavia, prendere due schede di rete di SR-IOV fisico nell'host, creare switch virtuali separati e team di due schede di rete virtuali all'interno di una macchina virtuale.

Dal vivo la migrazione di una macchina virtuale con NIC SR-IOV funziona (a differenza di vMotion in vSphere 5.1), come ogni NIC SR-IOV è "nascosto" da un Bus di VM di NIC ordinario. Così se si esegue la migrazione una VM da un host che non ha il SR-IOV NIC o dove ci sono non più libero VFs, il traffico continua semplicemente sopra link sintetico ordinaria.

Larghezza di banda non è necessariamente il vantaggio chiave di SR-IOV in Hyper-V. Il Bus VM può saturare un link 10Gb, ma quella quantità di traffico genera abbastanza carico di CPU per occupare un core. Così se basso utilizzo della CPU è un obiettivo chiave di design, SR-IOV è la chiave. Se la latenza è un aspetto critico, SR-IOV dà prestazioni vicino un fisico NIC.

Su un host dove vi aspettano un sacco di traffico in ingresso VM, Dynamic Virtual Machine Queue (dVMQ) distribuisce il traffico in code per ogni macchina virtuale basato su hash indirizzo MAC. Distribuisce anche gli interrupt in nuclei di CPU.

Misurazione e monitoraggio

Hyper-V viene ora con incorporato VM resource usage misurazione. Questo è principalmente adatto a scenari di hosting. È anche utile nel cloud privati per la raccolta di dati Visualizza-back o charge-back. Le funzioni di misurazione traccia media utilizzo di CPU e memoria, insieme al traffico di rete e disco. Perché è disponibile solo tramite Windows PowerShell, si può fare più completa raccolta dei dati e la visualizzazione con System Center 2012 Virtual Machine Manager (VMM) SP1.

È inoltre possibile aggiungere una porta ACL con l'azione di misurazione a uno switch virtuale quindi è possibile separare il traffico Internet (gateway predefinito) dal traffico interno di datacenter per scopi di misurazione. Per quei tempi, quando hai bisogno di catturare i pacchetti di rete in una rete virtuale, è possibile definire una porta di monitoraggio o port mirroring per poter usare un network monitor.

Gestione della banda

Molti disegni di cluster da questi ultimi anni si basano su più schede di rete di 1Gb, ognuna dedicata al traffico particolare — live migration, comunicazione VM, heartbeat cluster, gestione e forse iSCSI. Come 10 Gb Ethernet diventa più banale, la maggior parte dei server sono solo alcuni di questi NIC.

La nuova funzionalità di QoS consente di definire sia una banda minima che deve essere sempre disponibile a un particolare servizio, come pure un livello massimo (vedere Figura 2). Questo consente di prendere un link 10Gb e dividere il suo uso tra i diversi servizi.

Figura 2 è possibile controllare sia minima e massima larghezza di banda utilizzata da una VM.

In tempi di congestionata, ogni servizio può utilizzare al valore massimo assegnato di larghezza di banda. Durante il traffico di rete, ogni servizio è garantita una quota minima. Il QoS basata su software fornisce granularità fine per diversi tipi di traffico, ma arriva con qualche elaborazione overhead.

Ci sono anche filtri incorporati per i comuni tipi di traffico, come ad esempio live migration, Server Message Block (SMB) e iSCSI. Questo rende più veloce per ottenere installato e funzionante con QoS. Queste funzionalità per la gestione della larghezza di banda si rivolge particolarmente a hoster, come possono ora chiaramente definire e far rispettare i contratti di servizio (SLA).

Se stai utilizzando SMB diretta (novità di Windows Server 2012) su schede di rete Remote Direct Memory Access (RDMA), questo consentirà di bypassare software QoS. In questi scenari — o se si desidera controllare il traffico non TCP — Windows Server supporta anche Data Center Bridging (DCB). Con DCB, la larghezza di banda è gestito dall'hardware su schede di rete compatibili. Questo solo permette di definire otto classi di traffico, ma si tratta con molto meno elaborazione overhead.

Schede di rete di Teaming

Molti server oggi si basano sulla rete carta teaming per la tolleranza di errore e maggiore produttività. Ogni fornitore NIC ha la propria soluzione, quindi questo può essere difficile da gestire e inflessibile. Tra cui nativo NIC teaming (noto anche come failover bilanciamento di carico) sarà utile in ambienti virtualizzati.

Possibile squadra fino a 32 schede di rete (da fornitori diversi, se applicabile). È possibile configurare ogni squadra in modalità Interruttore indipendente o dipendente Interruttore modalità (vedere Figura 3). Il primo è applicabile dove avete switch non gestito o dove non è possibile modificare la configurazione di switch.

Figura 3 Teaming più NIC è facile in Windows Server 2012, basta essere sicuri di utilizzare le opzioni migliori.

Questo funziona bene per la ridondanza. Utilizzare due schede di rete con uno in modalità standby. Se uno non riesce, il secondo si riprende. Per una maggiore protezione, è possibile collegare ogni NIC a un diverso switch.

Se vuoi entrambi NIC ad essere attivo, è possibile utilizzare l'indirizzo Hash o Hyper-V porta carico modalità di bilanciamento. La prima modalità funziona bene quando c'è un sacco di traffico in uscita, come ad esempio con media o Web server. Il traffico in ingresso passerà attraverso un solo NIC. La modalità di quest'ultima funziona bene in scenari dove si dispone di diverse macchine virtuali su un host, ma ciascuno di essi non hanno bisogno più che la velocità di un singolo NIC.

Per scenari più complessi, modalità Switch dipendente è meglio. È possibile impostare questo per modalità statica o Link Aggregation Control Protocol (LACP). È necessario coinvolgere il team di networking per impostare correttamente il vostro switch. Statica funziona solo in ambienti più piccoli che non cambiano spesso. LACP identifica squadre automaticamente all'interruttore e in grado di rilevare ulteriori schede di rete quando sono aggiunti alla squadra.

È possibile utilizzare le VLAN in collaborazione con le squadre, con molteplici interfacce di squadra per ogni squadra, rispondendo a una specifica VLAN ID. È anche possibile impostare una squadra con solo un singolo NIC, ma squadra più interfacce per segregazione di traffico basato su VLAN.

Se avete più macchine virtuali su un host che si desidera parlare con diverse VLAN, utilizzare l'opzione Hyper-V e le schede di rete virtuali per configurare l'accesso. Don' t utilizzare squadre di rete sull'host. Teaming nic all'interno di una VM è supportato, basta assicurarsi di abilitare l'impostazione AllowTeaming.

Extensible switch virtuale

Il nuovo switch virtuale è un enorme miglioramento rispetto alla versione precedente. Aggiunge basi nube come inquilino isolamento, traffic shaping, più facile risoluzione dei problemi e protezione contro la canaglia VMs. Un altro aspetto nuovo per il virtual switch è che i fornitori di terze parti possono aggiungere funzionalità, sia attraverso il Network Driver Interface Specification (NDIS 6.0) o il Piattaforma filtro Windows (WFP) API. Questi sono entrambi ambienti familiari per gli ingegneri del software di rete.

Ci sono diverse varietà di estensioni:

• Un'estensione di ispezione pacchetti di rete può visualizzare i pacchetti (sola letti) come entrare e lasciare l'interruttore per identificare le modifiche. Un esempio è sFlow da InMon Corp. È possibile utilizzare la versione gratuita, sFlowTrend, di visualizzare il traffico.
• Un'estensione di rete packet filter può creare, filtrare e modificare i pacchetti nell'interruttore. Un esempio è Security Manager da 5nine Software. Questo fornisce un sistema rilevamento intrusione (IDS), firewall e anti-malware, senza la necessità di un agente in ogni VM.
• Rete inoltro estensioni alterano l'inoltro di interruttore. Ci può essere solo uno di questi installati in ogni vSwitch. L'iconica esempio qui è il Cisco Nexus 1000V.

Gestione estensioni è relativamente semplice (vedi Figura 4). VMM 2012 SP1 supporta configurazione centrale Gestione estensioni e interruttore ed automaticamente può distribuire questo a tutti gli host.

Figura 4 attivazione e configurazione di estensioni di rete il nuovo switch virtuale è facile.

Si può avere un singolo interruttore associato a diverse schede di rete virtuali. È inoltre possibile impostare porta ACL di indirizzi IPv4, IPv6 o MAC remoti o locali per il controllo del traffico e la misurazione dei dati di rete. Ambienti di hosting apprezzerà il Router guardia che arresta VMs di agire su annunci router, come pure la guardia DHCP che blocca il traffico Dynamic Host Configuration Protocol (DHCP) provenienti da una macchina virtuale a meno che voi avete approvato il VM come un server DHCP.

IPsec è un ottimo modo di proteggere il traffico dati, ma è spesso trascurato a causa dell'overhead elevato del processore. Hyper-V supporta ora IPsecTO (Task Offload) per le macchine virtuali in esecuzione Windows Server 2008 R2 e Windows Server 2012. Questa funzione di delega i calcoli di un NIC fisica con il supporto di IPSecTO.

SDN

SDN è un nuovo modo di gestire reti e isolamento di VM in grandi datacenter e cluster. Centri dati devono essere in grado di controllare reti e segregazione basata su politiche centrali e manuale configurazione switch VLAN semplicemente non è abbastanza flessibile. Parte della nube visione OS di Microsoft è la virtualizzazione di rete (NV). Dove NV e SDN davvero brillare è quando si desidera spostare parte dell'infrastruttura di cloud.

Spesso è necessario cambiare gli indirizzi IP dei vostri VMs. Questo non è facile da fare, soprattutto come essi stai spesso legati alle politiche di sicurezza e firewall in più punti. Inoltre non è molto flessibile; né la rende facile da spostare macchine virtuali tra fornitori di cloud.

Windows Server 2012 NV fa quali virtualizzazione ha fatto per gli altri componenti del tessuto come processore, memoria e disco. Ogni VM con NV pensa che è in esecuzione su un'infrastruttura di rete che "possiede." Sotto le coperte, è in realtà isolata da altre macchine virtuali tramite software. NV risolve anche ordinatamente spostare macchine virtuali abilitando Bring Your Own IP (BYOIP). VM può tenere loro indirizzi come sei saliti a un cloud pubblico. Questo permette loro di comunicare senza soluzione di continuità con il resto dell'infrastruttura.

Ogni VM ha due indirizzi IP, l'indirizzo del cliente (CA) è quello che utilizza la macchina virtuale e l'indirizzo del provider (PA) è in realtà quello che viene utilizzato sulla rete. Macchine virtuali utilizzando NV possono essere miscelati con macchine virtuali non NV sullo stesso host. Traffico broadcast non viene mai inviato a "tutti gli host" di un segmento. Va sempre attraverso NV per mantenere tale segregazione. È possibile configurare qualsiasi VM per questo, come NV è trasparente per il sistema operativo sottostante.

Le due opzioni per la configurazione di NV sono IP riscrivere e Generic Routing Encapsulation (GRE). Riscrivere IP cambia ogni pacchetto che arriva o lascia un host con l'appropriato CA o PA Questo significa che apparecchiature di rete ha bisogno di nessuna modifica e il NIC offload lavoro. Significa anche ogni VM ha bisogno di un PA sia una CA. Questo aumenta il carico di gestione indirizzo.

GRE incapsula il pacchetto CA all'interno di un pacchetto di PA con un accompagnamento virtuale subnet ID. Questo si traduce in hardware di rete in grado di applicare criteri di traffico all'inquilino. Ogni macchina virtuale su un host può anche condividere lo stesso PA Questo porta ad un minor numero di indirizzi per tenere traccia.

Il compromesso è NIC hardware offload non funzioneranno, come essi si basano su intestazioni IP corrette. La soluzione per il futuro è un nuovo standard denominato virtualizzazione di rete utilizzando Generic Routing Encapsulation (NVGRE). Questo combina i vantaggi di GRE con il vantaggio di riscrivere IP che NIC offload lavoro come previsto.

Virtualizzazione di VMM e rete

VMM 2012 SP1 aggiunge due oggetti per la configurazione di NV — un interruttore logico e una rete VM. Quest'ultimo è un dominio di routing e può ospitare diverse sottoreti virtuali, purché possano comunicare. È possibile impostare ogni rete VM con uno dei quattro tipi di isolamento: Nessun isolamento, VLAN, NV o esterno.

Il primo è adatto per reti di gestione che devono essere in grado di raggiungere tutte le reti. Il tipo VLAN è adatto dove avete un modello di isolamento esistente che funziona. Esso si basa su parametri (fisici e virtuali) configurato correttamente. Ogni rete VM è abbinato ad una singola VLAN.

Il tipo NV utilizza NV in Windows Server 2012. Le tabelle di mappatura che traccia CA a PA mappatura sono mantenuti da VMM. Ogni host costruisce dinamicamente tabelle di mappatura come Invia e riceve traffico di rete. Quando un host deve comunicare con un host che non conosce, aggiorna la mappatura da VMM. Questo può ridurre la dimensione del tavolo in reti di grandi dimensioni.

Il secondo oggetto che è di nuovo in VMM è il passaggio logico atteso. Questo consente di definire centralmente vSwitch impostazioni che vengono replicate automaticamente a tutti gli host. C'è anche un gestore di estensione switch virtuale (PRIVET) che consente di controllare centralmente le estensioni a switch virtuali.

Le estensioni e i loro dati sono conservati con le macchine virtuali come si vive li la migrazione da host a host. Anche centralmente, è possibile definire e applicare criteri di larghezza di banda di VMs. Reti virtuali sono integrate con la VM processo di provisioning, fornendo una soluzione veramente automatizzata.

Hyper-V nel datacenter

Con tutte queste nuove funzionalità di progettazione di rete e opzioni in Windows Server 2012 Hyper-V, è chiaro, che potrebbe essere necessario un viaggio di ritorno a bordo di disegno. Ci sono un paio di altri miglioramenti della rete non Hyper-V-specifiche che tuttavia possa influenzare il vostro disegno.

Per ambienti di grandi dimensioni, ora supporta Windows Server 2012 Datacenter TCP (DTCP) per una migliore velocità effettiva e inferiore dello spazio di buffer utilizzati per interruttori (come sostengono Explicit Congestion Notification-RFC 3168 [REC]). Se è ancora necessario verificare gli indirizzi IP con un foglio di calcolo Excel, si potrebbe voler guardare alla gestione dell'indirizzo IP (IPAM) in Windows Server 2012. Questo comunica con i server Active Directory, DHCP e DNS per la gestione sia IPv4 che IPv6. VMM 2012 SP1 ha uno script (Ipamintegration.ps1) che consente di esportare gli indirizzi IP assegnati tramite VMM IPAM. È possibile eseguire questo su una base regolare.

Il mese prossimo, I'll cover miglioramenti allo stoccaggio di Hyper-V (tra cui essere in grado di eseguire macchine virtuali da condivisioni di file), migrazione VM e miglioramenti di scalabilità.

Paul Schnackenburg ha lavorato in essa fin dai tempi dei 286 computer. Lavora part-time come insegnante di IT e gestisce il proprio business, esperto IT Solutions, sulla Sunshine Coast, Australia. Ha certificazioni MCSE, MCT, MCTS e MCITP e si specializza in Windows Server, Hyper-V e lo scambio di soluzioni per le imprese. Contattarlo al paul@expertitsolutions.com.au e seguire il suo blog a indirizzo TellITasITis.com.au.

Contenuti correlati

• Tutto quello che avreste voluto sapere sulla SR-IOV in Hyper-V parte 1
• NIC teaming (NetLBFO) i cmdlet di Windows PowerShell
• Virtualizzazione di rete dettagli tecnici