Hyper-V – Wirtualny Przełącznik  Udostępnij na: Facebook

Tłumaczenie na podstawie Hyper-V Virtual Switch Overview: Dawid Dudek

Opublikowano: 2012-10-31

W Windows Server 2012 zastosowano nowy przełącznik, dzięki któremu możemy zapewnić większe bezpieczeństwo, łatwość monitorowania czy też przenoszenie ruchu przez przełącznik. Dodatkowo, Hyper-V Wirtualny Przełącznik obsługuje interfejs, w którym można instalować oprogramowanie niezależnych producentów, a tym samym zwiększyć funkcjonalności przełącznika. Przestawione zostanie praktyczne zastosowanie dla wirtualnego przełącznika, jego funkcjonalność oraz wymogi sprzętu i oprogramowania.

Opis funkcji

Hyper-V Virtual Switch to wirtualna druga warstwa sieci, który zapewnia programowe zarządzanie oraz rozszerza możliwości dla podłączenia maszyn wirtualnych do sieci fizycznej. Wirtualny przełącznik zgodny jest z zasadami bezpieczeństwa, izolacji warstw i usług. Dodatkowo, ten Przełącznik wprowadza w systemie Windows Server 2012 wiele nowych i ulepszonych funkcji dotyczących izolacji użytkowników, kształtowania ruchu, ochrony przed niezabezpieczonymi maszynami wirtualnymi oraz uproszczony system rozwiązywania problemów.

Posiada wbudowane wsparcie dla sterowników interfejsów sieciowych (ang. Network Driver Interface Specification, NDIS), filtra sterowników oraz platformy filtrowania systemu Windows (z ang. Windows Filtering Platform, WFP). Aby umożliwić rozbudowę wejść (znane jako wirtualne rozszerzenie przełączników, Virtual Switch Extensions), Hyper-V Virtual Switch umożliwia korzystanie z niezależnych producentów oprogramowania (ISV). Dzięki temu mogą one wspierać większe sieci oraz budowę systemu zabezpieczeń.

Możliwości wirtualnego przełącznika przewidują większe możliwości izolacji użytkowników w organizacji, kształtowania oraz kontroli ruchu w sieci oraz zabezpieczenia przed szkodliwymi maszynami dzięki jego wykorzystaniu.

Praktyczne zastosowania

  • wyświetlaniestatystyk – deweloper dostawcy hostingu wdraża pakiet, który wyświetla aktualny stan wirtualnego przełącznika. Pakiet ten może pokazać aktualny stan wirtualnego przełącznika, ustawienia oraz indywidualne statystyki portów sieciowych. Stan ten jest przekazywany administratorom, dając szybki podgląd stanu przełącznika,
  • śledzenie zasobów – firmy hostingowe sprzedają usługi hostingu w cenach pakietowych, które są uzależnione od wykupionych opcji. Różne pakiety obejmują różne poziomy wydajności sieci. Administrator przydziela zasoby zgodnie z SLA. Śledzi on informacje dotyczące bieżącego wykorzystania przypisanego pasma oraz liczbę maszyn wirtualnych pracujących w tym paśmie – przypisuje kolejki wirtualnym maszynom (virtual machine queue, VMQ) lub kanały wirtualne wejścia/wyjścia (I/O Virtualization, IOV). Samo oprogramowanie również rejestruje okresowo użyte zasoby dla każdej z maszyn wirtualnych,
  • zarządzanie rozszerzeniami przełącznika – przedsiębiorstwa mają zainstalowane dodatki do monitorowania ruchu sieciowego oraz zgłaszania wykrywanych włamań. Niektóre z nich mogą być aktualizowane podczas pracy. Prosty skrypt programowy jest uruchamiany w celu uporządkowania ponownego aktywowania dodatków po aktualizacji,
  • przekierowanie zarządzania dla VLAN ID - główny przełącznik tworzy przekierowania rozszerzeń dotyczących wszystkich polis sieci. Jednym z elementów jest zarządzany przez Virtual Local Area Network (VLAN) identyfikator (ID). Przełączniki, wywołane przez Windows Management Instrumentation (WMI) interfejs programowania aplikacji (API), który działa w tle, instalowane są programowo. Informuje on przełącznik wirtualny, że ma przejść w tryb pasywny i nie podejmować żadnych działań wobec określonego Tagu VLAN.

Ważne funkcje

Poniżej wymieniono niektóre z głównych funkcji, które zawarte są w Hyper-V Wirtualnym Przełączniku:

  • ochrona przed fałszywymi ARP / ND - zapewnia ochronę przed fałszowaniem adresów IP przy użyciu Address Resolution Protocol (ARP) lub Neighbor Discovery (ND) dla IPv6,
  • system ochrony DHCP – zapewnia ochronę przed wirtualnymi maszynami podszywającymi się jako Dynamic Host Configuration Protocol (DHCP) do ataków typu man-in-the-middle,
  • Porty ACL (Access Control List, ACL) - zapewniają filtrowanie ruchu w oparciu o Media Access Control (MAC), protokołu pojedynczego IP lub jego zakresu, co pozwala na wirtualną izolację sieci,
  • tryb przenoszenia do wirtualnych maszyn - umożliwia administratorom utworzenie specjalnej wirtualnej maszyny, jako urządzenia wirtualnego, a następnie przekierowanie ruchu z różnych sieci VLAN do tej maszyny wirtualnej,
  • monitorowanie ruchu w sieci – umożliwia administratorom przeglądanie ruchu pomiędzy przełącznikami sieciowymi,
  • izolowany (prywatny) VLAN – umożliwia administratorom separowanie ruchu dla wielu sieci VLAN, w celu łatwiejszego izolowania środowiska klienta.

Poniższa lista przedstawia zwiększenie możliwości oraz użyteczności wirtualnego przełącznika:

  • limitacja przepustowości łącza oraz wsparcie dla wielokanałowości – minimalna przepustowość gwarantuje utrzymanie zarezerwowanej (minimalnej) prędkości łącza. Dzięki temu możliwe jest zrealizowanie limitu maksymalnej, wykupionej przepustowości dla wirtualnych maszyn,
  • wsparcie dla funkcji ECN (Explicit Congestion Notification, która służy do wykrywania zatorów w sieci), znanej także jako Data center TCP (DCTCP) – umożliwia fizycznym przełącznikom oraz systemom operacyjnym regulowanie przepływu ruchu sieci. Zasoby buforowe przełącznika nie są wtedy przepełniane, co umożliwia zwiększenie przepustowość sieci,
  • diagnostyka - diagnostyka ułatwia śledzenie i monitorowanie zdarzeń oraz przepływ pakietów przez wirtualny przełącznik.

Funkcje wirtualnych przełączników umożliwiają administratorom konfigurowanie zabezpieczenia oraz monitorowanie ruchu w sposób wcześniej opisany. Rozbudowane możliwości wirtualnych przełączników umożliwiają producentom niezależnego oprogramowania (z ang. Independent software vendor ISV) zapewnienie dodatkowych funkcjonalności.

Wymagania sprzętowe

Hyper-V wirtualny przełącznik wymaga 64-bitowego procesora, który zawiera następujące elementy:

  • fizyczny komputer z systemem Windows Server 2012,
  • sprzętowe wsparcie wirtualizacji – funkcja ta jest dostępna w procesorach, które zawierają opcję wirtualizacji – specyficznie procesory Intel Virtualization Technology (Intel VT) lub AMD Virtualization (AMD-V),
  • sprzętową realizację zapobiegania wykonywaniu kodu (z ang. DEP - Data Execution Prevention) – funkcja musi być dostępna i aktywna (funkcje Intel XD lub AMD N muszą być włączone w procesorach).

Podsumowanie

Wzrost wykorzystania wirtualizacji, jaki można ostatnio zaobserwować, skłonił wiele firm hostingowych do umieszczenia wielu maszyn wirtualnych na tym samym serwerze. W związku z tym należało zwiększyć nacisk na ochronę i izolację w sieci. Windows Server 2008 R2 zapewnia ochronę przed fałszowaniem adresów MAC tylko domyślnie i jest to tylko minimalne zabezpieczenie zwirtualizowanego ruchu sieciowego. Ruch w systemie Windows Server 2012, który przepływa pomiędzy maszynami wirtualnymi na jednym serwerze, jest bardziej bezpieczny ze względu na wprowadzone ulepszenia. Chronią one przed szkodliwymi wirtualnymi maszynami w sieci.