TechNet
Exportar (0) Imprimir
Expandir Tudo
Este artigo foi traduzido manualmente. Coloque o ponteiro do mouse sobre as frases do artigo para ver o texto original.
Tradução
Original

Novidades no Comutador Virtual do Hyper-V no Windows Server 2012

 

Aplica-se a: Windows Server 2012 R2, Windows Server 2012

No Windows Server ® 2012, o Comutador Virtual do Hyper-V inclui novos recursos de gerenciamento, segurança, isolamento, visibilidade e escalabilidade para fornecer implantação mais eficiente do Hyper-V em seu ambiente de nuvem local, privado, híbrido ou público.

A seguir, os principais novos recursos do Comutador Virtual do Hyper-V.

Agora você pode usar os comandos do Windows PowerShell, executados manualmente ou em scripts, para configurar o Comutador Virtual do Hyper-V e recursos relacionados.

A sintaxe do PowerShell consiste principalmente em pares <verbo>-<substantivo>. Por exemplo, o comando a seguir exibe todos os Comutadores Virtuais do Hyper-V configurados no servidor.

Get-VMSwitch

Os nomes do Windows PowerShell fornecidos ao Comutador Virtual do Hyper-V são:

VMNetworkAdapter VMNetworkAdapterAcl VMNetworkAdapterVlan VMSwitch

Um VMNetworkAdapter inclui os seguintes elementos:

  • A NIC (Placa de Interface de Rede) virtual na VM

  • Porta do Comutador Virtual do Hyper-V

VMNetworkAdapter é o nome primário que você pode usar para gerenciar vários recursos de segurança, QoS (Qualidade de Serviço), espelhamento de porta e outros itens. Para obter mais informações sobre esses recursos, digite o seguinte no Windows PowerShell e pressione ENTER:

Get-Help Set-VMNetworkAdapter

Para exibir todos os verbos do Windows PowerShell para VMNetworkAdapter, digite o seguinte comando no Windows PowerShell e pressione ENTER:

Get-Help *-VMNetworkAdapter

Para exibir o estado atual de um VMNetworkAdapter, digite o seguinte comando no Windows PowerShell e pressione ENTER:

Get-VMNetworkAdapter –VMName MyVM | format-list *

Estes são os comandos do Windows PowerShell que você pode usar para configurar o Comutador Virtual e os adaptadores de rede virtual. Uma referência de comando completa desses e outros cmdlets de Hyper-V no Windows PowerShell, incluindo sintaxe e exemplos, está disponível em Cmdlets de Hyper-V no Windows PowerShell.

Add-VMNetworkAdapter Add-VMNetworkAdapterAcl Add-VMSwitch Add-VMSwitchExtensionPortFeature Add-VMSwitchExtensionSwitchFeature Connect-VMNetworkAdapter Disable-VMSwitchExtension Enable-VMSwitchExtension Get-VMNetworkAdapter Get-VMNetworkAdapterAcl Get-VMNetworkAdapterFailoverConfiguration Get-VMNetworkAdapterVlan Get-VMSwitch Get-VMSwitchExtension Get-VMSwitchExtensionPortData Get-VMSwitchExtensionPortFeature Get-VMSwitchExtensionSwitchData Get-VMSwitchExtensionSwitchFeature Get-VMSystemSwitchExtension

Get-VMSystemSwitchExtensionPortFeature Get-VMSystemSwitchExtensionSwitchFeature New-VMSwitch Remove-VMNetworkAdapter Remove-VMNetworkAdapterAcl Remove-VMSwitch Remove-VMSwitchExtensionPortFeature Remove-VMSwitchExtensionSwitchFeature Rename-VMNetworkAdapter Rename-VMSwitch Set-VMNetworkAdapter Set-VMNetworkAdapterFailoverConfiguration Set-VMNetworkAdapterVlan Set-VMSwitch Set-VMSwitchExtensionPortFeature Set-VMSwitchExtensionSwitchFeature
System_CAPS_noteObservação

Ao usar comandos do Windows PowerShell nas NICs físicas, use a família NetAdapter de cmdlets; e, ao usar os comandos do Windows PowerShell em NICs virtuais, use a família de cmdlets VMNetworkAdapter. Se você tiver uma única NIC ou um grupo de NICs associados ao Comutador Virtual do Hyper-V, pode usar também várias NICs virtuais.

Nas versões anteriores do Hyper-V, somente uma NIC virtual pai tinha suporte; no entanto, no Hyper-V do Windows Server 2012, várias NICs têm suporte. Além disso, você pode compartilhar a NIC física associada ao Comutador Hyper-V com o sistema operacional de gerenciamento.

System_CAPS_tipDica

Para habilitar essa funcionalidade, abra o Gerenciador do Hyper-V. No painel Ações selecione Gerenciador de Comutador Virtual. No Gerenciador de Comutador Virtual, selecione um comutador. No painel de detalhes do comutador, ilustrado abaixo, selecione Permitir que o sistema de operacional de gerenciamento compartilhe este adaptador de rede.

Properties for a Virtual Switch

 

Você pode criar várias NICS pai virtuais que usa para migração dinâmica, armazenamento e gerenciamento; e pode atribuir cada NIC virtual a uma VLAN (Rede Local Virtual) diferente. Você também pode criar diferentes políticas de QoS (Qualidade de Serviço) para cada NIC virtual.

Uma configuração de várias NICs está ilustrada abaixo:

Virtual NICS and Virtual Switch

 

Para criar NICS virtuais para o sistema operacional de gerenciamento, digite os seguintes comandos no prompt do Windows PowerShell e pressione ENTER:

Add-VMNetworkAdapter –ManagementOS –Name Management Add-VMNetworkAdapter –ManagementOS –Name Storage Add-VMNetworkAdapter –ManagementOS –Name “Live Migration”

O Comutador Virtual do Hyper-V inclui os seguintes novos recursos de segurança no Windows Server 2012.

A maioria desses recursos fornece a capacidade de especificar tipos de pacotes que são permitidos ou bloqueados quando enviados de ou para máquinas virtuais conectadas ao comutador virtual. As seções a seguir fornecem detalhes adicionais.

Uma ACL de porta é uma regra que você pode aplicar a uma porta de comutador do Hyper-V. A regra especifica se um pacote é permitido ou rejeitado em seu caminho para dentro ou fora da VM. As ACLs têm três elementos com a seguinte estrutura: Endereço Local ou Remoto | Direção | Ação.

Você pode especificar um endereço local ou um endereço remoto em Endereço Local ou Remoto, mas não pode especificar ambos. O valor fornecido para Endereço Local ou Remoto pode ser um endereço IPv4, IPv6 ou um endereço de MAC (Controle de Acesso de Mídia). Opcionalmente, você pode usar um intervalo de endereços IP se fornecer o prefixo do intervalo.

Você pode configurar várias ACLs de porta para uma porta de comutador do Hyper-V. Durante as operações, a porta ACL cujas regras correspondem aos pacotes de entrada ou saída é usada para determinar se o pacote é permitido ou rejeitado.

Por exemplo, para configurar a NIC virtual conectada a uma porta para sempre usar um endereço MAC específico ou um endereço de difusão, você pode criar regras semelhantes ao seguinte:

Endereço local ou remoto

Direção

Ação

12-34-56-78-9A-BC

Entrada

Permitir

12-34-56-78-9A-BC

Saída

Permitir

FF-FF-FF-FF-FF-FF

Entrada

Permitir

qualquer

Entrada

Negar

qualquer

Saída

Negar

Neste exemplo, Qualquer é um curinga. Observe que as ACLs são avaliadas pelo prefixo mais longo correspondente. Portanto, o endereço MAC 12-34-56-78-9A-BC com a regra Permitir tem precedência sobre a regra de curinga com um endereço Qualquer.

ACLs de porta bidirecional

Em muitos casos, você pode aplicar as mesmas permissões para o tráfego de entrada e saída nas mesmas ACLs de porta. Por exemplo, você deseja permitir tráfego de entrada e saída; ou deseja rejeitar tráfego de entrada e saída.

Por isso, existem ACLs de porta bidirecional. Essas entradas de ACL economizam algum tempo administrativo, permitindo que você configure permissões de saída e entrada com uma entrada de ACL de porta. Você pode conseguir o mesmo efeito do primeiro exemplo usando ACLs de porta bi-direcional, da seguinte maneira:

Endereço local ou remoto

Direção

Ação

12-34-56-78-9A-BC

Ambos

Permitir

FF-FF-FF-FF-FF-FF

Entrada

Permitir

qualquer

Ambos

Negar

Os comandos a seguir demonstram como você pode criar essa configuração usando o Windows PowerShell:

Add-VMNetworkAdapterAcl  -VMName MyVM –LocalMacAddress 12-34-56-78-9A-–Direction Both –Action Allow Add-VMNetworkAdapterAcl  -VMName MyVM –LocalMacAddress FF-FF-FF-FF-FF-FF  –Direction InBound –Action Allow Add-VMNetworkAdapterAcl  -VMName MyVM –LocalMacAddress Any  –Direction Both –Action Deny

Os exemplos anteriores se concentram nas ACLs que são definidas usando o endereço Local. Você também pode definir ACLs usando o endereço remoto. Isso é útil para bloqueio de determinado endereço usando um endereço remoto com uma ação de negação.

ACLs de porta de medidor

ACLs de porta do medidor permitem medir a quantidade de tráfego enviado de ou para a NIC virtual a um intervalo de endereços especificado.

Por exemplo, a seguinte ACL de porta de medidor mede o tráfego enviado da VM denominada MyVM para a sub-rede IPv4 192.168.0.0/16.

Add-VMNetworkAdapterAcl –VMName MyVM –RemoteIPAddress 192.168.0.0/16 –Direction Outbound –Action Meter

MacAddressSpoofing permite que você especifique se uma VM tem permissão de alterar seu endereço MAC de origem para pacotes de saída.

Se você tiver uma VM para a qual deseja permitir MacAddressSpoofing, pode habilitá-la usando o cmdlet a seguir.

Set-VMNetworkAdapter –VMName MyVM –MacAddressSpoofing On

Para todas as outras VMs, você pode bloquear a capacidade de falsificar endereços MAC com o cmdlet a seguir.

Set-VMNetworkAdapter –VMName CustomerVM –MacAddressSpoofing Off

Para obter mais informações, consulte Set-VMNetworkAdapter.

RouterGuard permite que você especifique se anúncio de roteador e mensagens de redirecionamento de VMs não autorizadas devem ser descartados.

Se você tiver uma VM para a qual deseja permitir anúncios de roteador e mensagens de redirecionamento de VMs não autorizadas, pode usar o cmdlet a seguir.

Set-VMNetworkAdapter –VMName MyVM –RouterGuard Off

Para todas as outras VMs, você pode bloquear anúncio de roteador e mensagens de redirecionamento de VMs não autorizadas com o cmdlet a seguir.

Set-VMNetworkAdapter –VMName CustomerVM –RouterGuard On

Para obter mais informações, consulte Set-VMNetworkAdapter.

DHCPGuard permite que você especifique se as mensagens do servidor DHCP provenientes de uma VM devem ser descartadas. Para VMs que executam uma instância autorizada da função de servidor DHCP, você pode desativar o DHCPGuard usando o seguinte cmdlet:

Set-VMNetworkAdapter –VMName MyDhcpServer1 –DhcpGuard Off

Para todas as outras VMs que não são servidores DHCP autorizados, você pode impedir que elas se tornem um servidor DHCP invasor ativando o DHCPGuard, usando o cmdlet a seguir.

Set-VMNetworkAdapter –VMName CustomerVM –DhcpGuard On

Muitos algoritmos de criptografia exigem muito do processador, o que pode reduzir o desempenho das VMs. O Comutador virtual do Hyper-V agora fornece VMs com a capacidade de usar IPsecTO, o que permite que a VM descarregue processos de criptografia na NIC. O descarregamento de operações de criptografia por pacote da VM na NIC resulta em uma economia substancial de CPU.

O IPsec inclui uma SA (Associação de Segurança) com a qual ele executa criptografia e, quando você habilita o IPsecTO, a VM descarrega a SA na NIC para processamento. NICs compatíveis com IPsecTO têm um número limitado de SAs que podem ser descarregadas, então você pode usar o Windows PowerShell para designar o número de SAs que a VM pode descarregar na NIC. Para gerenciar o número de SAs que podem ser descarregadas por uma VM, você pode usar o cmdlet a seguir.

Set-VMNetworkAdapter –VMName MyVM -IPsecOffloadMaximumSecurityAssociation 200

Esse cmdlet limita o número de SAs que podem ser descarregadas pela VM denominada MyVM em 200. Depois que o limite for atingido, a pilha de rede do Windows na VM gerencia de forma inteligente as SAs para que as mais ativas sejam descarregadas, enquanto a menos ativas são carregadas e executadas pela VM.

Requisitos para usar o IPsecTO

Aqui estão os requisitos para usar o IPsecTO.

  • Apenas VMs executando Windows Server ® 2008 R2 e Windows Server 2012 têm suporte, porque a pilha de redes da VM deve dar suporte a IPsecTO.

  • A NIC física também deve dar suporte a IPsecTO.

Isolamento de rede está relacionado a segurança, mas ao contrário do IPsec - que criptografa o tráfego de rede - o isolamento segmenta logicamente o tráfego.

VLANs, no entanto, sofrem problemas de escalabilidade. Uma ID de VLAN é um número de 12 bits e VLANs estão no intervalo de 1 a 4095. Em um data center multilocatário, se você quiser isolar cada locatário usando uma VLAN, a configuração é complexa e difícil. Esses problemas de escalabilidade das VLANs serão resolvidos quando você implantar a Virtualização de Rede Hyper-V, no qual cada locatário tem várias sub-redes virtuais. No entanto, uma solução simples quando cada locatário tem apenas uma única VM é usar a PVLAN.

PVLAN aborda alguns dos problemas de escalabilidade das VLANs. PVLAN é uma propriedade de porta do comutador. Com PVLAN há duas IDs de VLAN, uma ID de VLAN primária e uma ID de VLAN secundária. Uma PVLAN pode estar em um de três modos.

Modo PVLAN

Descrição

Isolado

Comunica-se apenas com portas promíscuas na PVLAN

Promíscuo

Comunica-se com todas as portas na PVLAN

Comunidade

Comunica-se com as portas da mesma comunidade e quaisquer portas promíscuas na PVLAN

PVLAN pode ser usado para criar um ambiente no qual as VMs podem apenas interagir com a Internet e não têm visibilidade de outros tráfegos de rede de VMs. Para realizar isso, coloque todas as VMs (na verdade, suas portas de comutador do Hyper-V) na mesma PVLAN no modo isolado. Portanto, usando apenas duas IDs de VLAN primária e secundária, todas as VMs são isoladas uma da outra. O seguinte script PowerShell coloca uma porta de comutador da VM no modo isolado de PVLAN.

Set-VMNetworkAdapterVlan –VMName MyVM –Isolated –PrimaryVlanId 10 –SecondaryVlanId 200
System_CAPS_importantImportante

Ao usar qualquer recurso de VLAN do Hyper-V, os comutadores físicos também devem ser corretamente configurados com as IDs de VLAN apropriadas.

Modo tronco

Além da PVLAN, o Comutador virtual do Hyper-V também fornece suporte para o modo tronco de VLAN. O modo tronco fornece serviços de rede ou dispositivos de rede em uma VM com a capacidade de ver o tráfego de várias VLANs.

No modo tronco, uma porta do comutador recebe tráfego de todas as VLANs que você configurar uma lista de VLANs permitidas. Você também pode configurar uma porta de comutador conectada a uma VM - mas não associada à NIC subjacente - para o modo tronco.

No cmdlet de exemplo a seguir, MyVM pode enviar ou receber tráfego em qualquer VLAN na lista de permissões. Se não existir uma VLAN especificada no pacote, esse pacote será tratado como se fosse da VLAN 10.

Set-VMNetworkAdapterVlan –VMName MyVM –Trunk –AllowedVlanIdList 1-100 –NativeVlanId 10

Com o espelhamento de porta, o tráfego enviado para ou de uma porta do Comutador Virtual do Hyper-V é copiado e enviado para uma porta de espelho. Há uma variedade de aplicativos para espelhamento de porta. Existe um ecossistema de empresas com visibilidade de rede, com produtos criados para consumir dados de espelhamento de porta para gerenciamento de desempenho, análise de segurança e diagnóstico de rede. Com o espelhamento de porta do Comutador Virtual do Hyper-V, você pode selecionar as portas de comutador que são monitoradas, bem como a porta do comutador que recebe cópias de todo o tráfego.

Os exemplos a seguir configuram o espelhamento de porta para que todo o tráfego enviado e recebido por MyVM e MyVM2 também seja enviado para a VM denominada MonitorVM.

Set-VMNetworkAdapter –VMName MyVM –PortMirroring Source Set-VMNetworkAdapter –VMName MyVM2 –PortMirroring Source Set-VMNetworkAdapter –VMName MonitorVM –PortMirroring Destination

Na rede, é importante resolver as circunstâncias em que o tráfego de rede está bloqueado ou lento, causando latência.

Para tráfego nativo, o RSS processa tráfego de rede de entrada para que ele não seja desacelerado por uma única CPU. RSS processa campos de origem e destino de IP e portas TCP de origem e destino para distribuir o tráfego de entrada em vários núcleos de CPU.

Para receber tráfego de rede externamente vindo do servidor e para o Comutador Virtual do Hyper-V, a dVMQ executa uma função semelhante ao RSS. Com a dVMQ, o endereço MAC de destino é colocado em hash para que o tráfego destinado a uma NIC virtual fique em uma fila específica. As interrupções nos núcleos da CPU também são distribuídas para evitar serem desaceleradas por um único núcleo de CPU. Se suas VMs em um Comutador Virtual do Hyper-V receberem muito tráfego de rede externo, é uma boa ideia usar a dVMQ.

dVMQ também inclui balanceamento dinâmico de carga. Anteriormente, o hash de MAC era feito estaticamente e era difícil gerenciar a dVMQ. O gerenciamento de dVMQ agora é simples – ele é habilitado por padrão e nenhuma outra etapa de gerenciamento é necessária.

Se por algum motivo você desabilitou a dVMQ, pode habilitá-la novamente usando o cmdlet a seguir. A NIC neste exemplo é uma NIC física associada ao comutador virtual, e é denominada GuestTrafficNic.

Enable-NetAdapterVmq GuestTrafficNic

Para obter mais informações, consulte Enable-NetAdapterVmq.

Mostrar:
© 2016 Microsoft