Virtualização: O que há de novo com o Hyper-V

Alguns dos principais aprimoramentos feitos no Windows Server 2012 estão concentrados em torno do Hyper-V. Aqui está um profundo olhar para alguns dos aprimoramentos.

Paul Schnackenburg

Hyper-V está na vanguarda de algumas das alterações mais significativas no Windows Server 2012. Há tantos recursos novos e aprimorados que planear uma implementação bem sucedida do Hyper-V requer insight sobre a profundidade destas mudanças técnicas.

Muitas das características aprimoradas suportam diferentes aspectos da rede. Existem também melhorias de escalabilidade, segurança, armazenamento e migração de máquina virtual (VM). Neste primeiro de dois artigos, vou-me concentrar na virtualização de raiz única I/O (SR-IOV), rede de monitoramento e de qualidade de serviço (QoS), NICs, o switch virtual extensível, virtualização de rede e rede definido por software (SDN).

SR-IOV

SR-IOV é uma nova tecnologia que faz exatamente o que a Intel Virtualization Technology (Intel VT) e AMD Virtualization (AMD-V) fazem de virtualização do processador. Aumenta o desempenho, movendo a funcionalidade de software para hardware dedicado. SR-IOV tem usos específicos e algumas limitações que você precisará levar em conta ao planejar novos clusters Hyper-V.

Com placas de rede que suporte SR-IOV, juntamente com um servidor que ofereça suporte a SR-IOV na sua BIOS, a NIC apresenta funções virtual (VFs) ou virtuais cópias de si mesmo para VMs. Porque SR-IOV é bastante novo, certificar-se de que você verifique o seu modelo de placa de rede específico. Alguns cartões fornecem apenas quatro ou oito VFs, enquanto outros oferecem até 64. Quando você cria um novo switch virtual externo, você pode simplesmente selecionar para torná-lo um interruptor SR-IOV (ver Figura 1). Você não pode converter um vSwitch normal mais tarde.

Figura 1 , enquanto todos os pré-requisitos foram cumpridos, permitir SR-IOV é uma caixa de seleção no momento da criação do interruptor.

SR-IOV tem certas limitações. Se você configurar listas de controle de acesso (ACLs) Porto, extensões ou condições no virtual switch, SR-IOV está desativado porque seu tráfego ignora totalmente o interruptor. Você não pode equipa duas placas de rede SR-IOV no host. Você pode, no entanto, ter duas placas de rede física do SR-IOV no acolhimento, criar switches virtuais separadas e duas placas de rede virtual dentro de uma VM.

Ao vivo de migrar uma VM com SR-IOV NICs funciona (ao contrário do vMotion no vSphere 5.1), como cada NIC SR-IOV está "sombreada" por um ordinário VM Bus de NIC. Então se você migrar uma VM para um host que não tem SR-IOV NICs ou onde há não mais livre VFs, o tráfego continua simplesmente sobre links sintéticas comuns.

Largura de banda não é, necessariamente, a principal vantagem do SR-IOV no Hyper-V. O ônibus de VM pode saturar um link de 10Gb, mas essa quantidade de tráfego gera bastante carga de CPU para ocupar um núcleo. Assim, se a baixa utilização da CPU é um objetivo chave do projeto, SR-IOV é a chave. Se a latência é um aspecto crítico, SR-IOV dá desempenho perto um NIC física.

Em um host onde você espera um monte de tráfego de entrada VM, fila de máquina Virtual dinâmica (dVMQ) distribui o tráfego em filas para cada VM baseado em hashes de endereço MAC. Ele também distribui as interrupções em núcleos da CPU.

Medição e monitoramento

Hyper-V agora vem com built-in VM recurso uso medição. Isto é principalmente adequado para cenários de hospedagem. Também é útil em nuvens privadas para coleta de dados Mostrar-back ou devolução. As funções de medição faixa média da CPU e uso de memória, juntamente com o tráfego de rede e de disco. Porque só está disponível através do Windows PowerShell, você pode fazer mais abrangente coleta de dados e visualização com System Center 2012 Virtual Machine Manager (VMM) SP1.

Você também pode adicionar uma porta de ACL com a ação de medição a um switch virtual, assim você pode separar o tráfego de Internet (gateway padrão) do tráfego interno de datacenter para fins de medição. Para aqueles momentos em que você precisa para capturar pacotes da rede em uma rede virtual, você pode definir uma porta de monitoramento ou então você pode usar o espelhamento de porta um o monitor de rede.

Gerenciamento de largura de banda

Muitos projetos de cluster dos últimos anos com várias NICs de 1Gb, cada uma dedicada a determinado tráfego — live migração, comunicação de VM, pulsação de cluster, gestão e talvez iSCSI. 10 Gb Ethernet torna-se mais comum, a maioria dos servidores tem apenas alguns desses NICs.

O novo recurso de QoS permite que você defina ambos uma banda mínima que deve estar sempre disponível para um determinado serviço, bem como um nível máximo (ver Figura 2). Isso permite que você tome um link de 10Gb e divida seu uso entre os diferentes serviços.

Figura 2 você pode controlar a largura de banda mínima e máxima usada por uma VM.

Em momentos sem congestionamento, cada serviço pode usar seu máximo atribuído a largura de banda. Durante o tráfego pesado da rede, cada serviço é garantido uma proporção mínima. A QoS baseada em software fornece granularidade fina para diferentes tipos de tráfego, mas vem com alguma sobrecarga de processamento.

Existem também filtros internos para tipos comuns de tráfego, tais como a migração ao vivo, Server Message Block (SMB) e iSCSI. Isso torna mais rápido para se levantar e correr com QoS. Esses recursos de gerenciamento de banda particularmente vão apelar para hosters, como podem agora claramente definir e aplicar os acordos de nível de serviço (SLAs).

Se você estiver usando SMB direto (novo no Windows Server 2012) sobre RDMA Remote Direct Memory Access () NICs, isso irá ignorar o software de QoS. Nessas situações, ou se você tiver a comandar o tráfego não TCP — Windows Server também suporta uma ponte de centro de dados (DCB). Com DCB, a largura de banda é gerida pelo hardware de placas compatíveis. Isso só lhe permite definir as oito classes de tráfego, mas ele vem com muito menos sobrecarga de processamento.

Placas de rede de formação de equipes

Muitos servidores contam hoje com agrupamento de placa de rede para tolerância a falhas e maior throughput. Cada fornecedor NIC tem sua própria solução, por isso pode ser inflexíveis e difíceis de gerenciar. Incluindo nativo NICs (também conhecido como failover balanceamento de carga) será útil em ambientes virtualizados.

Você pode até 32 placas de rede (a partir de diferentes fornecedores, se for o caso) da equipe. Você pode configurar cada equipe em modo interruptor independente ou dependente do interruptor modo (ver Figura 3). O primeiro é aplicável onde você tem switches não gerenciados ou onde você não pode alterar a configuração do switch.

Figura 3 unindo várias NICs é fácil no Windows Server 2012, apenas certifique-se de usar as melhores opções.

Isso funciona bem para redundância. Use duas placas de rede com um em modo de espera. Se o primeiro falhar, o outro assume. Para proteção extra, você pode conectar cada NIC uma opção diferente.

Se você gostaria de duas placas de rede para ser ativo, você pode usar qualquer endereço Hash ou porta do Hyper-V modo de balanceamento de carga. O primeiro modo funciona bem quando há muito tráfego de saída, como com a mídia ou servidores Web. Tráfego de entrada vai passar apenas um NIC O último modo funciona bem em cenários onde você tem várias VMs em um host, mas cada um deles não precisa mais do que a velocidade de um NIC único.

Para cenários mais complexos, dependentes de interruptor modo é melhor. Você pode definir isso de modo estático ou Link Aggregation Control Protocol (LACP). Você vai precisar de envolver a equipe de rede corretamente configurar suas opções. Estático só funciona em ambientes menores que não mudam frequentemente. LACP identifica equipes automaticamente no interruptor e pode detectar placas de rede adicionais quando eles são adicionados à equipe.

Você pode usar VLANs em conjunto com as equipes, com várias interfaces de equipe para cada equipe, respondendo a um ID de VLAN específica. Você pode até mesmo configurar uma equipe com apenas uma única placa de rede, mas a equipe múltiplas interfaces para segregação de tráfego baseado em VLAN.

Se você tiver várias VMs em um host que você deseja falar com VLANs diferentes, use a opção Hyper-V e as placas de rede virtuais para configurar o acesso. Don' t use equipes de rede no host. Agrupamento de NICs dentro de uma VM é suportado, apenas certifique-se de habilitar a configuração de AllowTeaming.

Switch virtual extensível

O novo switch virtual é uma enorme melhoria sobre a versão anterior. Ele adiciona básico de nuvem como isolamento de inquilino, traffic shaping, mais fácil solução de problemas e proteção contra desonestos VMs. Outro aspecto novo para o switch virtual é que fornecedores de terceiros podem adicionar funcionalidade, através da Network Driver Interface Specification (NDIS 6.0) ou o Windows Filtering Platform (WFP) APIs. Estes são dois ambientes familiares para engenheiros de software de rede.

Existem vários sabores diferentes de extensões:

• Uma extensão de inspeção de pacotes de rede pode ver os pacotes (somente leitura) como eles entram e saem do interruptor para identificar alterações. Um exemplo é sFlow por InMon Corp. Você pode usar a versão gratuita, sFlowTrend, para visualizar o tráfego.
• Uma extensão de filtro de pacotes de rede pode criar, filtrar e modificar pacotes no switch. Um exemplo é Gerenciador de segurança de 5nine Software. Isso fornece um sistema de Dectection de intrusão (IDS), firewall e anti-malware, sem a necessidade de um agente em cada VM.
• Extensões de encaminhamento de rede alteram o encaminhamento do interruptor. Só pode haver um destes instalados em cada vSwitch. O icônico exemplo aqui é o Cisco Nexus 1000V.

Gerenciar extensões é relativamente simples (consulte Figura 4). VMM 2012 SP1 também oferece suporte a configuração de extensões e switch centralmente gerenciar e pode distribuir automaticamente isso para todos os hosts.

Figura 4 Habilitando e configurando extensões de rede no novo switch virtual é fácil.

Você pode ter um único switch associado com várias placas de rede virtuais. Você também pode definir as ACLs de porta por endereços IPv4, IPv6 ou MAC, locais ou remotos para controlar o tráfego e monitoração de rede de dados. Hospedagem de ambientes apreciarão a guarda de roteador que pára VMs de agir em anúncios de roteador, bem como a guarda de DHCP que interrompe tráfego DHCP Dynamic Host Configuration Protocol () provenientes de uma VM, a menos que você tenha aprovado a VM como um servidor DHCP.

O IPsec é uma excelente maneira de proteger o tráfego de dados, mas ele é muitas vezes esquecido por causa da sobrecarga de processador de alta. Hyper-V agora suporta IPsecTO (descarregamento de tarefa) para VMs rodando Windows Server 2008 R2 e Windows Server 2012. Esta função Delega os cálculos para uma placa de rede física com o apoio de IPSecTO.

SDN

SDN é uma nova forma de gerenciar redes e isolamento da VM em grandes datacenters e clusters. Centros de dados precisam ser capaz de controlar as redes e a segregação com base em políticas centrais, e configuração de switch VLAN manual só não é flexível o suficiente. Parte da visão do sistema operacional Microsoft nuvem é a virtualização de rede (NV). Onde NV e SDN realmente brilham é quando você quer mover parte de sua infraestrutura na nuvem.

Você frequentemente tem que alterar os endereços IP das suas VMs. Isso não é fácil de fazer, especialmente porque eles muitas vezes estão amarrados às políticas de segurança e firewall em vários lugares. Também não é muito flexível; nem faz isso fácil mover VMs entre provedores de nuvem.

Windows Server 2012 NV faz que virtualização tem feito para os outros componentes do tecido como processador, memória e disco. Cada VM com NV acha que ele está sendo executado em uma infra-estrutura de rede que ele "possui." Nos bastidores, ele realmente tem isolado de outras VMs através do software. NV também ordenadamente resolve mover VMs, permitindo trazer seu próprio IP (BYOIP). VMs podem manter seus endereços como está mudaram-para uma nuvem pública. Isso permite que eles comunicar-se perfeitamente com o resto de sua infra-estrutura.

Cada VM tem dois endereços IP, o endereço do cliente (CA) é o que usa a máquina virtual e o endereço do provedor (PA) é o que realmente é usado na rede. VMs usando NV podem ser misturados com não - NV VMs no mesmo host. Tráfego de transmissão nunca é enviado para "todos os hosts" em um segmento. Ele sempre passa por NV para manter essa segregação. Você pode configurar qualquer VM para isso, como NV é transparente para o sistema operacional subjacente.

As duas opções para configurar NV são IP reescrever e encapsulamento de roteamento genérico (GRE). IP reescrever altera cada pacote conforme ela chega ou deixa um host com o apropriado CA ou PA Isso significa que nenhuma alteração precisa de equipamentos de rede e o NIC libera o trabalho. Isso também significa que cada VM precisa um PA e uma autoridade de certificação. Isto aumenta a carga de gerenciamento de endereço.

GRE encapsula o pacote de CA dentro de um pacote de PA com uma ID de subrede virtual que acompanha. Isso resulta em rede hardware ser capaz de aplicar políticas de tráfego por inquilino. Cada VM em um host também pode compartilhar a mesma PA Isso leva a menos endereços para controlar.

A compensação é hardware NIC descarregamentos não vai funcionar, como eles dependem de cabeçalhos IP corretos. A solução para o futuro é um novo padrão chamado virtualização de rede usando o encapsulamento de roteamento genérico (NVGRE). Combina os benefícios da GRE com a vantagem de IP reescrever que NIC libera o trabalho conforme o esperado.

Virtualização VMM e rede

VMM 2012 SP1 adiciona dois objetos de configuração de NV — um interruptor lógico e uma rede VM. Este é um domínio de roteamento e pode abrigar várias sub-redes virtuais, enquanto eles podem se comunicar. Você pode configurar cada rede VM com um dos quatro tipos de isolamento: sem isolamento, VLAN, NV ou externo.

O primeiro é adequado para redes de gestão que precisam ser capaz de chegar a todas as redes. O tipo VLAN é apropriado onde você tem um modelo de isolamento existente que funciona. Baseia-se em ter os interruptores (físicos e virtuais) configurado corretamente. Cada rede VM corresponde a uma única VLAN.

O tipo de NV usa NV em Windows Server 2012. As tabelas de mapeamento que rastreiam CA PA mapeamento são mantidos pelo VMM. Cada host cria dinamicamente tabelas de mapeamento que envia e recebe tráfego de rede. Precisa de um host para se comunicar com um host que não sabe, ele atualiza seu mapeamento do VMM. Isso pode reduzir o tamanho da tabela em grandes redes.

O segundo objeto que é novo no VMM é a opção lógica esperada. Isso permite que você defina centralmente as configurações de vSwitch que são automaticamente replicadas para todos os hosts. Há também um switch virtual extension manager (VSEM) que permite controlar centralmente extensões para switches virtuais.

Extensões e seus dados são mantidos com as VMs como vivo migrá-las de um hospedeiro para outro. Também central, você pode definir e aplicar políticas de largura de banda para VMs. Redes virtuais são integrados com o VM, processo de provisionamento, fornecendo uma solução verdadeiramente automatizada.

Hyper-V no datacenter

Com todos estes novos recursos de design da rede e opções no Windows Server 2012 Hyper-V, é claro, que você pode precisar de uma viagem de volta à prancheta de desenho. Há um par de outros aprimoramentos de rede que não são Hyper-V-específicos que, no entanto, podem influenciar o seu projeto.

Para grandes ambientes, agora suporta Windows Server 2012 Datacenter TCP (DTCP) para melhor rendimento e menor espaço do buffer usado em switches (enquanto eles suportam 3168 de RFC de notificação de congestionamento explícito [REC]). Se você ainda está monitorando os endereços IP com uma planilha do Excel, você pode querer olhar para gerenciamento de endereço IP (IPAM) no Windows Server 2012. Este se comunica com seus servidores do Active Directory, DHCP e DNS para gerenciamento de IPv4 e IPv6. VMM 2012 SP1 tem um script (Ipamintegration.ps1) que exporta endereços IP atribuídos pelo VMM ao IPAM. Você pode executar isso em uma base regular.

No próximo mês, falarei sobre melhorias para o armazenamento de Hyper-V (incluindo a possibilidade de executar VMs de compartilhamentos de arquivos), migração de VM e aprimoramentos de escalabilidade.

Paul Schnackenburg tem trabalhado nele desde os dias de 286 computadores. Ele trabalha a tempo parcial como um professor IT e dirige sua própria empresa, especialista IT Solutions, na Sunshine Coast da Austrália. Ele possui as certificações MCSE, MCT, MCTS e MCITP e especializa-se em Windows Server, Hyper-V e soluções do Exchange para empresas. Contatá-lo em paul@expertitsolutions.com.au e acompanhar o seu blog em TellITasITis.com.au.

Conteúdo relacionado

• Tudo que você queria saber sobre o SR-IOV no Hyper-V parte 1
• NICs (NetLBFO) cmdlets do Windows PowerShell
• Virtualização de rede detalhes técnicos