“超越虛擬化”的真正意圖
早在微軟新一代云操作系統還處于Windows Server 8的版本狀態時,微軟就開始提出“超越虛擬化”的理念。知道微軟發布了Windows Server 2012,所謂“超越虛擬化”的真正意圖才被揭示。區別在哪兒?原來,上一個版本Windows Server 2008 R2平臺重點體現在服務器虛擬化方面,新版本Windows Server 2012不僅僅在服務器虛擬化能力上得到空前的加強,而且實現了更加全面的虛擬化,包括存儲、網絡設備等。這就是微軟“超越虛擬化”的真實意圖,提供更加全面更加強大的虛擬化工具,讓IT管理員不再為虛擬化而犯愁。
9月18日,Windows Server 2012在中國市場正式發布。Windows Server 2012 幫助企業在虛擬化的基礎上更進一步:通過高密度,高擴展能力的環境提升可擴展性與性能,并能根據需求以最優化的級別來運行。使用通用的身份與管理框架連接到云服務,獲得更加安全可靠的跨邊界連接。
Windows Server 2012 Hyper-V還能滿足托管供應商的特定需求,包括對租戶進行隔離,對基礎架構的資源使用情況獲得洞察力,以及提供新服務幫助創造更多收入機會等能力。Hyper-V還提供工具,幫助企業完成從內部到托管式環境的轉換,并繼續滿足大型企業、中型市場,以及小型企業對服務和可靠性的要求。
Hyper-V 3.0完善的虛擬化平臺,提供完全隔離的多租戶環境,以及保證服務級別協議(SLA)的工具,通過基于用量的計費實現收款,同時還能支持自助服務交付。憑借Hyper-V 3.0新的和改進的功能提供的高性能與可擴展性可實現真正的多租戶基礎架構,同一臺宿主機上不同租戶的網絡、計算,以及存儲資源可完全隔離。
當然,企業要獲得私有云的靈活性與可擴展能力,僅僅實施虛擬化解決方案是遠遠不夠的。Windows Server 2012更加突出的云操作系統的特性,企業必須在虛擬化技術的基礎上實現跨越,完善構建私有云平臺的基礎。在這里不再展開敘述Windows Server 2012,我們重點談談Windows Server 2012在虛擬化方面的超越。
Hyper-V 可擴展交換機
Windows Server 2012中全新的Hyper-V可擴展交換機是創建安全的云環境,支持多租戶隔離的關鍵。Windows Server 2012中的Hyper-V可擴展交換機包含了一系列新增和改進的功能,主要涉及租戶隔離、通訊塑型、保護防范惡意虛擬機,以及輕松排錯等多個領域。可擴展交換機還可由第三方開發插件擴展,模擬硬件交換機的全部功能,并能支持更復雜的虛擬化環境解決方案。
老版本的Hyper-V可以幫助系統管理員創建與物理二層以太網交換機類似的虛擬網絡交換機,實施復雜的虛擬網絡環境。并且,能夠創建外部虛擬網絡,為虛擬機提供到外部服務器與客戶端的連接;創建內部網絡,讓同一宿主機上的虛擬機之間,以及虛擬機與宿主機之間進行通訊,或者可以創建專用虛擬網絡(PVLAN),可用于在同一宿主機上的不同虛擬機之間進行隔離,讓虛擬機只能通過外部網絡通訊。
新版本的Hyper-V可以幫助系統管理員擴展交換機,簡化虛擬網絡的創建步驟。通過多種方式為系統管理員提供極大的靈活性。如,系統管理員可以配置虛擬機內的來賓操作系統使用一塊虛擬網絡適配器,并將其關聯給指定的可擴展交換機,或者配置多個虛擬網絡適配器(每個關聯給不同的交換機),但是,系統管理員不能將同一個交換機連接到不同的網絡適配器。然而,新版本的Hyper-V這里的改進是,Hyper-V虛擬交換機可以通過多種不同方式進行擴展。
首先,系統管理員可以給虛擬交換機的驅動堆棧中安裝自定義的網絡驅動器程序接口規范(NDIS)篩選器驅動(也被稱為擴展)。如,創建一個擴展,對發到可擴展交換機的端口的數據包進行捕獲、篩選或轉發。尤其是可擴展交換機,使系統管理員可以使用諸多類型的擴展:捕獲擴展,可捕獲數據包,借此監控網絡通訊,不能修改或丟棄數據包篩選擴展,類似捕獲擴展,但可以注入和丟棄數據包轉發擴展,可以用來修改數據包路由,并與物理網絡基礎架構進行集成。
其次,系統管理員可以借內建的Wfplwfs.sys篩選擴展使用Windows Filtering Platform(WFP)的功能,對可擴展交換機數據路徑上的數據包進行攔截。如,使用這種方法在虛擬化環境中執行數據包檢查。
總體來說,新版本Hyper-V可擴展交換機有三種不同類型的擴展功能,這些功能主要可被微軟合作伙伴與獨立軟件供應商(ISV)用于更新自己原有的網絡監控、管理,以及安全軟件產品,使得這些產品不僅可以用于物理宿主機,還可用于任何虛擬化環境中部署的,以及通過Windows Server 2012 中的Hyper-V創建的虛擬機。
此外,通過添加擴展的方式對 Hyper-V 網絡功能進行擴展,這也使系統管理員可以用更簡單的方法為 Hyper-V 添加新功能,而無需替換或升級交換機。當然,還可以使用管理Hyper-V其他網絡功能時相同的工具管理這些擴展,主要包括Hyper-V管理器控制臺、PowerShell以及 Windows 管理規范(WMI)。并且,因為這些擴展已經集成到原生的 Hyper-V 網絡框架中,因此可以自動配合其他功能使用,如實時遷移。
需要提醒注意的是,一旦宿主機安裝了某個擴展,就可以啟用或禁用,并可通過在交換機擴展列表中上移或下移的方式調整擴展的順序。
第2頁:Hyper-V集成的高級功能
Hyper-V集成的高級功能
另外,微軟還在Hyper-V可擴展交換機中集成了大量其他高級功能,這些功能可以幫助企業IT改善安全性、監控功能,以及排錯功能。
詳細展開來說,這些額外的功能包括:
DHCP guard
有助于保護防范動態主機配置協議(DHCP)中間人攻擊,這個技術可以丟棄未經授權的虛擬機冒充DHCP服務器發送的DHCP服務器消息。
MAC地址仿冒:
有助于保護防范使用ARP仿冒技術從虛擬機處盜用IP地址的企圖,這種做法可以讓虛擬機更改發出的數據包中的來源MAC地址,并將地址改為并非分配給自己的地址Router guard有助于保護防范未經授權的路由器等。這個功能可以丟棄來自未經授權的虛擬機所假冒的路由器發出的路由器公告和重定向消息端口鏡像,使得IT管理員可以將目標或源數據包的副本轉發到其他用作監控用途的虛擬機,借此對虛擬機的網絡通訊進行監控端口;
ACL:
有助于根據MAC地址或IP地址段對通訊進行篩選,強制實施虛擬網絡隔離隔離的VLAN可對多個VLAN的通訊進行劃分,通過創建私有VLAN(PVLAN)對租戶的網絡進行隔離。
Trunk 模式:可將來自一組VLAN的通訊重定向到指定虛擬機帶寬管理 可為每個虛擬機提供有保證的帶寬最小值,并/或強制實施帶寬最大值限制增強的診斷可通過可擴展交換機,使用 ETL 和統一追蹤實現數據包監控和事件追蹤上述功能中的大部分都可以通過打開虛擬機的設置窗口,使用圖形用戶界面(GUI)配置。例如,在硬件選項下選擇網絡適配器后,即可為該虛擬機指定帶寬管理設置。例如,通過這種方式的配置選項可以確保虛擬機總是能獲得至少50MBps可用網絡帶寬,但不會超過100MBps。
如果宿主機位于共享的云環境中,需要為業務部門或客戶提供應用程序和服務,這種新的帶寬管理機制可以幫助IT管理員滿足與業務部門或客戶制定的 SLA。在上述設置中,點擊網絡適配器旁的“ + ”加號還可以打開兩個新的網絡設置頁面:硬件加速與高級功能。這些高級功能的設置可以讓IT管理員針對虛擬機的所選網絡適配器配置 MAC 地址仿冒、DHCP guard、router guard以及端口鏡像。
第3頁:Hyper-V體現網絡虛擬化的價值
Hyper-V體現網絡虛擬化的價值
眾所周知,IaaS服務提供商運行的數據中心需要提供“云主機”或“虛擬機租用”服務,為企業用戶動態分配資源。企業用戶擁有自己的虛擬機,并且可以在云中對自己的服務器進行管理。這意味著不同云供應商與客戶之間的協議可能各不相同,當然,這主要取決于IT管理員使用的是共享的私有云還是公共云。
那么,在共享的私有云場景中,云供應商如果就是組織本身,擁有并運營著自己的數據中心,客戶則可能是不同的業務部門,或不同地理位置的辦公室。在共享的公共云場景中,云供應商是托管公司,客戶可能是大型企業、中型企業,甚至可能是小公司。托管公司擁有并管理著數據中心,并將服務器出租給客戶或者托管由客戶自己擁有的服務器,或者同時使用這兩種方式。
企業的IT管理員需要注意查看,在上述兩種云服務場景中,云供應商都可以借助云計算技術為自己的客戶提供各種收益,但如果只使用今天的各項技術,不可避免會遇到各種問題。例如,云供應商主要使用VLAN對屬于不同客戶的服務器進行隔離,并通過同一個云環境供應給客戶。VLAN是通過給以太網幀添加標簽的方式實現這一點的。
隨后可將以太網交換機配置為讓使用相同標簽的節點相互通訊,但不允許使用不同標簽的節點通訊,借此強制實施隔離。但VLAN存在下列局限:擴展能力有限,因為典型的以太網交換機無法支持超過 1,000個VLAN ID(理論值為4,096 個)。
因此看來,以為的經驗看來,傳統以太網設置和管理靈活性有限,因為單一VLAN 無法跨越多個IP子網。相關的管理負擔繁重,因為每次添加或刪除VLAN,都需要重新配置以太網交換機。另一個常見問題主要發生在,企業IT管理員考慮將自己的計算資源移動到的云所使用的IP地址時,企業IT原有的基礎架構通常已經有一套地址架構,而數據中心的網絡可能使用了完全不同的地址架構。問題就出現了,如果客戶希望將自己的服務器遷往云端,通常需要對原有物理服務器上的負載進行虛擬化,這樣才可以在云供應商數據中心內托管的虛擬機上運行這些負載,此時客戶通常需要更改自己服務器的IP地址,以便符合云供應商網絡的地址架構要求。
這種做法可能造成一些困難,因為IP通常都與地理位置、管理策略,以及安全策略相捆綁,因此在將負載遷移到云端之前更改服務器的地址可能會導致路由問題、服務器超出管理范圍,或被應用了錯誤的安全策略等問題。如果客戶的服務器能夠保留原有IP地址,直接將負載虛擬化,并遷移到云供應商的數據中心,云的遷移工作將簡單很多。通過這種方式,客戶原有的路由、管理,以及安全策略都可以繼續像往常一樣生效。
這正是網絡虛擬化技術的重要價值。
Windows Server 2012中所運用的網絡虛擬化技術可以讓Hyper-V 宿主機上運行的每個虛擬機分配兩個不同的IP地址。這兩個地址分別是:客戶地址,也就是服務器位于客戶內部和遷往云端之前使用的 IP 地址。
例如,企業希望遷往云端的一臺服務器的客戶地址是192.168.11.23。供應商地址,在將服務器遷往供應商的數據中心后,云供應商給服務器分配的IP地址是10.44.3.45或可能是10.0.0.0/24 地址空間內的其他地址。
從企業用戶的角度看,與被遷移服務器的通訊和服務器位于客戶內部時沒有任何區別。這是因為運行客戶遷移后負載的虛擬機可以看到并使用自己的客戶地址,因此也可以被客戶網絡中的其他宿主機看到并訪問。然而虛擬機無法看到或使用自己的供應商地址,因為這個地址只對云供應商網絡中的宿主機可見。
Windows Server 2012中所運用的網絡虛擬化技術可以讓云供應商在同一套物理網絡上運行多個虛擬網絡,這一點類似服務器虛擬化技術,可以讓IT管理員在一臺物理服務器上運行多個虛擬服務器。網絡虛擬化技術還可對不同的虛擬網絡進行隔離,這樣每個虛擬網絡在表現上就類似于一套獨立的物理網絡。這意味著兩個或多個虛擬網絡可以使用完全相同的地址架構,但不同網絡之間依然可以實現徹底隔離,就好像自己是唯一使用這種架構的網絡。
為了實現這一切,網絡虛擬化技術需要通過一種方式對IP地址進行虛擬化,并將其與物理地址進行映射。Windows Server 2012 中的網絡虛擬化技術通過兩種方式實現這一目標:IP重寫和IP封裝。其中,IP重寫需要在虛擬機發出之前修改數據包的客戶地址,隨后才將其傳往物理網絡。而IP封裝中,虛擬機的所有數據包都會首先封裝一個新的包頭,隨后才傳輸到物理網絡。
雖然IP封裝方式的擴展能力更好,但IP重寫可以提供更好的性能,因為這種方式可以充分利用一些高端網絡適配器所支持的卸載功能將相關的負載進行分攤。因為網絡虛擬化技術主要針對數據中心領域,因此該技術的實施要求企業用戶具備虛擬機管理框架。
注意:
System Center Virtual Machine Manager 2012 Service Pack 1提供了這樣的框架,可供IT管理員使用PowerShell或WMI創建并管理虛擬網絡。
第4頁:優化的實時遷移
優化的實時遷移
話說,實時遷移此功能在微軟的產品里最早出現在Windows Server 2008 R2 中,這個功能可以為Hyper-V 宿主機上運行的虛擬機提供高可用性解決方案。實時遷移功能借助故障轉移群集功能讓運行中的虛擬機可以在群集的節點之間移動,而不會導致停機或網絡連接的中斷。
很多企業的系統管理員都贊嘆,實時遷移通過將運行中的虛擬機移動到最佳宿主機,給他們帶來很大的便捷。在Windows Server 2012中的Hyper-V給系統管理員更好的性能和操作體驗,實現了更高擴展能力,并確保最優化的負載整合,讓IT系統獲得更高的敏捷度。實時遷移通過不中斷虛擬化負載或停機的情況下對宿主機進行維護,可以幫企業IT改善生產力,降低成本。
以往Windows Server 2008 R2中的實時遷移功能需要將虛擬機存儲在 Internet Small Computer Systems Interface(iSCSI)或光纖通道 SAN 設備中。此外,Windows Server 2008 R2 中的實時遷移所能提供的性能只支持一次對一臺虛擬機進行遷移-不支持對多個虛擬機進行并發實時遷移。
如今,Windows Server 2012中的實時遷移通過Hyper-V得到了大大的改善。首先,實時遷移的速度更快。例如,在兩臺Windows Server 2012 Hyper-V 宿主機之間執行實時遷移時,可以完整使用10GB網絡帶寬,這種性能在 Windows Server 2008 R2 Hyper-V 宿主機上是無法實現的。
其次,實時遷移改善的另外一個功能是可以在同一個故障轉移群集內并發執行多個實時遷移操作。如,在特定群集節點離線并執行維護工作時,系統管理員可以將該節點上所有運行中的虛擬機遷移到其他節點,整個過程可并發快速完成,只需要在GUI下執行一個操作,或運行一個 PowerShell 命令。這樣的特性可極大簡化在您環境中的Hyper-V 宿主機上執行任務時的工作。
第三,Hyper-V在實時遷移方面的改進是,及時系統管理員沒有部署故障轉移群集基礎架構,也可以使用實時遷移。在老版本Windows Server 2008 R2 中,實時遷移需要安裝故障轉移群集功能,同時還需要啟用群集共享卷(CSV)存儲功能,以確保存儲虛擬機的邏輯單元號(LUN)可以被其他任何群集節點隨時訪問到。
然而在Windows Server 2012 中,系統管理員可以通過兩個額外的選項讓實時遷移功能在故障轉移群集環境之外執行,也可以將虛擬機保存到網絡中的共享文件夾內,這樣既可在將虛擬機的文件保存在共享中的前提下,在非群集 Hyper-V 宿主機之間進行實時遷移。系統管理員可以在一臺獨立 Hyper-V 宿主機上將虛擬機直接通過實時遷移功能轉移到其他宿主機,并且不使用任何共享的存儲設備。
通過使用Windows Server 2012中的Hyper-V,系統管理員可以將虛擬機的所有文件保存在網絡中的共享文件夾內,而這些文件夾可以位于運行Windows Server 2012 的文件服務器上,原因在于這種場景需要用到第三版服務器消息塊(SMB)協議所包含的新功能。
不過,使用SMB3.0共享存儲的實時遷移本身并不能提供高可用性,除非文件共享本身是高可用的。然而,這種方法可以改善虛擬機的可移植性。并且這種增加的可移植性可以不需要成本高昂的SAN設備,也不需要配套的交換設施(SAN 也在 LUN 的供應和管理方面造成了額外的管理負擔)。但是,只要企業部署了Windows Server 2012 文件服務器,系統管理員就可以集中存儲環境中的虛擬機,無需由于使用SAN而增加成本以及相關的管理負擔。
京公網安備 11010502049343號