虚拟网络是实现服务器资源虚拟化的核心。网络世界已经有了许多令人兴奋的发展,通过从底层硬件中虚拟化和抽象网络资源,这些都是可能的。
Microsoft Windows Server Hyper-V在每个Windows Server的新版本中都做了许多强大的改进,以处理运行在Hyper-V之上的虚拟机的网络层。与其他管理程序相比,Hyper-V具有一些独特的特性。
在了解Hyper-V网络配置的最佳实践之前,让我们先了解一下Hyper-V网络、虚拟交换机基础架构、Hyper-V群集以及Windows Server 2019中新的Hyper-V网络功能的基础知识。
就像虚拟服务器基础设施中的其他组件一样,虚拟世界也必须满足物理环境的要求。这可以是物理CPU/内存和存储,但也包括网络。在某一点上,来自Hyper-V中运行的虚拟机的数据包必须被定向到物理网络以进行出站和入站通信。
hyper - v的虚拟网络
Hyper-V创建虚拟网卡,并使用虚拟交换机作为连接这些虚拟网卡的构造。在这两个方面,虚拟网卡与物理网卡非常相似,并且使用相同的机制和协议进行操作。虚拟交换机是网络交换机的虚拟版本,具有与物理交换机(如vlan等)相同的第2层特性。
虚拟交换机的虚拟网卡插件和Hyper-V主机的物理网卡是虚拟交换机到物理交换机的上行链路。
Hyper-V虚拟交换机类型
Hyper-V提供不同的虚拟交换机类型,以适应不同的用例,并对虚拟网络资源提供不同的能力和隔离模式。它还允许在如何将虚拟网络连接到物理网络方面具有灵活性。
有三种不同的Hyper-V虚拟交换机类型,用于连接Hyper-V虚拟机网卡:
- 外部虚拟交换机
- 内部虚拟交换机
- 私人虚拟交换机
外部虚拟交换机
到目前为止,Hyper-V外部虚拟交换机是Hyper-V虚拟网络基础设施中使用的最常见的虚拟交换机。外部虚拟交换机是用于连接虚拟机到物理网络的虚拟交换机类型。
外部虚拟交换机的特点包括:
- 能够将虚拟机连接到物理网络
- 允许虚拟机在同一个Hyper-V主机或不同的Hyper-V主机上相互交谈
- 创建新的Hyper-V虚拟交换机时的默认选项
外部虚拟交换机提供与物理网络中路由/分段的LAN和WAN流量的连接。
内部虚拟交换机
正如您可以想象的那样,内部虚拟交换机直观地不提供对Hyper-V主机的外部访问。内部虚拟交换机是一种类型的虚拟交换机,允许连接到交换机的虚拟机彼此之间以及与Hyper-V主机进行对话。
考虑互联网虚拟交换机的一个好方法是考虑一个没有连接到任何其他交换机的物理交换机。插在交换机上的任何设备都可以相互通信,但不能与交换机外部的其他设备通信。内部虚拟交换机没有Hyper-V主机上的物理网卡支持。
内部虚拟交换机有一个完美的用例,您希望围绕一组vm隔离流量。这允许轻松地提供隔离的实验室环境,其中虚拟机只能彼此通信,或者在某些用例(如遵从性)中增强网络安全性。内部虚拟交换机为实验室、测试、POC等提供了一种安全、安全地复制生产子网的方法。
您可以通过路由器或其他可以在网段之间路由流量的设备将流量从内部虚拟交换机中排出。
下面是一个使用路由器虚拟机在内部虚拟交换机和外部虚拟交换机上的虚拟机之间路由流量的示例。这同样适用于将流量路由到Hyper-V主机本身之外的外部vm或物理机器。
私人虚拟交换机
私有虚拟交换机本质上与内部虚拟交换机相同,只是管理操作系统不能与位于私有虚拟交换机上的虚拟机通信。这意味着它不能插入使用虚拟网络适配器的虚拟交换机。
什么用例适合使用这种类型的Hyper-V虚拟交换机?
尽管来宾群集并不十分常见,但它提供了扩展Hyper-V本身在应用程序高可用性方面提供的可用性的能力。来宾群集使用一个专门的心跳网络,该网络只应用于VM到VM的通信。
通过使用私有虚拟交换机,这保证了只有客户集群主机能够在这个网络上通信,甚至管理操作系统也不会引入流量。这是确保在一个隔离的网段上VM到VM通信的完美用例。
请看一下实现此目的的步骤创建&管理使用Hyper-V管理器和Powershell的Hyper-V虚拟交换机。
管理操作系统连通性
如果您注意到在创建新的Hyper-V外部虚拟交换机时,您将看到“允许管理操作系统共享此网络适配器”选项。这意味着什么?
这本质上意味着,管理操作系统将插入Hyper-V虚拟交换机。
当您选择允许管理操作系统共享此网络适配器设置时,您将看到专门的网络适配器出现在Hyper-V主机上的网络适配器配置中。它们被列举为附加了Hyper-V外部虚拟交换机名称的vNetwork。
取消选中此框也是如此。取消选中时,将自动删除专用的vNetwork接口。您会注意到,您只能在外部虚拟交换机上选中此框。这是因为外部虚拟交换机绑定到物理Hyper-V网卡。
对于内部和私有虚拟交换机,Hyper-V主机上的物理网卡都不使用,因为这两种类型的虚拟交换机是隔离的,如前所述。
Hyper-V物理NIC协作
自Windows Server 2016和更高的Hyper-V版本以来引入的更强大的网络功能之一是融合网络。
通过融合网络,管理操作系统使用的远程直接内存访问(Remote Direct Memory Access, RDMA)服务和Hyper-V虚拟交换机支持的专用物理网卡所暴露的专用物理网卡的使用限制已经解除。现在,这两种类型的服务都可以使用相同的物理网卡,从而允许Hyper-V vm使用那些RDMA公开的网卡进行正常的TCP/IP通信。
这是由Windows Server 2016及更高版本通过主机分区虚拟NIC公开RDMA来实现的,允许主机分区服务将RDMA与Hyper-V VM客户机使用相同的NIC。RDMA服务通过使用RDMA over Convergented Ethernet(RoCE)向主机进程公开。
是否需要物理网络团队?
与以往Windows Server版本中创建物理网卡组不同,融合组网特性不需要物理网卡组。虽然您可以使用物理网卡团队,但引入了一种名为Switch Embedded teamaming或SET的新方法。
通过SET, Hyper-V主机上的物理网卡通过虚拟交换机连接并组组。这需要一些先决条件:
- 两台运行Windows Server 2016 Datacenter版或Windows Server 2016标准版的服务器
- 每个服务器上安装一个支持rdma的、经过认证的网络适配器
- Hyper-V服务器角色安装在每个服务器上
如何配置融合组网?
我们可以利用PowerShell来配置一个Hyper-V虚拟交换机,它被配置为嵌入式团队(SET)。
New-VMSwitch -Name ConvergedSwitch -AllowManagementOS $True -NetAdapterName NET01,NET02 -EnableEmbeddedTeaming $True
要验证适配器上的RDMA功能,可以使用以下命令:
- 获取NetadapterDMA
要启用RDMA功能(如果尚未启用),我们可以使用以下命令:
- Enable-NetAdapterRDMA
使用PowerShell命令添加管理操作系统创建并绑定到vSwitch的vnic。
添加- vmnetworkadapter - managentos -Name " Management-100 " -SwitchName " ConvergedSwitch " MinimumBandwidthWeight 10
Add-VMNetworkAdapter - managentos -Name " LiveMigration-101 " -SwitchName " ConvergedSwitch " MinimumBandwidthWeight 20
Add-VMNetworkAdapter - managentos -Name " VMs-102 " -SwitchName " ConvergedSwitch " MinimumBandwidthWeight 35
添加VMNetworkAdapter-ManagementOS-Name“Cluster-103”-SwitchName“ConvergedSwitch”最小带宽权重15
我们可以通过Set-VMNetworkAdapterVlan命令给虚拟网卡添加vlan:
$Nic = Get-VMNetworkAdapter -Name Management-100 - managentos
Set-VMNetworkAdapterVlan -VMNetworkAdapter $Nic -Access -VlanId
$Nic=获取VMNetworkAdapter-名称LiveMigration-101-ManagementOS
Set-VMNetworkAdapterVlan -VMNetworkAdapter $Nic -Access -VlanId
$Nic = Get-VMNetworkAdapter -Name VMs-102 -ManagementOS
Set-VMNetworkAdapterVlan -VMNetworkAdapter $Nic -Access -VlanId 102
$Nic = Get-VMNetworkAdapter -Name Cluster-103 -ManagementOS
设置vmnetworkadaptervlan -VMNetworkAdapter $Nic -Access -VlanId 103
Hyper-V集群和额外的网络要求
除了传统的Hyper-V环境中的虚拟机网络需求和使用各种Hyper-V虚拟交换机提供到Hyper-V虚拟机的网络连接外,还有其他的网络流量考虑。
什么是Hyper-V群集?
Hyper-V集群通过将Hyper-V角色置于至少配置了两个Hyper-V主机的Windows故障转移集群之上,从而为Hyper-V虚拟机提供高可用性。这样,如果单个Hyper-V主机由于硬件或其他问题而出现故障,则在健康主机上重新启动作为高可用性角色配置一部分运行的虚拟机,使虚拟机恢复在线。
有几个关键的基础架构需求使这成为可能,例如具有“相似”配置的主机以及共享存储。VM文件必须位于所有群集节点都可以访问的存储上,以便在发生故障时,任何节点都可以拥有Hyper-V VM。
除了在三种类型的Hyper-V虚拟交换机上进行正常的虚拟机网络通信之外,Hyper-V集群还需要哪些额外的网络流量?
有许多类型的专门流量允许Hyper-V集群运行。这些都与底层Windows故障转移集群、存储和虚拟机迁移通信有关。它们是:
集群网络–Windows故障转移群集使用特殊的群集通信在群集节点之间交换信息。“心跳”一词是用来描述这一过程的。心跳是在所有节点之间配置为集群使用的所有网络上通过UDP端口3343传输的小数据包(134字节)。
- 这种特殊的网络通信的目的是什么?
- 它可以确定群集网络是up还是down
- 它检查节点之间的路由
- 它确保集群节点的健康,确定其状态是否良好
- 这种专门化的流量对于稳定的Hyper-V集群至关重要。即使某个节点是健康的,并且由于某种原因无法与某个节点建立集群通信,集群中的其他节点也会假定存在问题,并将受影响的主机分区
- Windows故障转移群集使用所有可能的网络在它们之间进行通信。如果其中一个网络不可用,它将尝试另一个网络来建立群集通信。您可以在故障转移群集管理器中配置此行为。此网络上的“允许群集网络通信”设置会影响此行为,并允许管理员选择群集通信可用于此进程的网络
存储网络-在一个独立的带有直接连接存储(DAS)的Hyper-V服务器配置中,不需要专门的存储通信网络,因为这都是内部处理的。在Windows故障转移集群中,存储网络是一个非常重要的网络。如前所述,Hyper-V集群的关键需求之一是共享存储。
这允许Hyper-V集群中的计算节点简单地为虚拟机假定计算/内存,而不改变存储。这是由一个外部存储阵列与iSCSI, SMB等,或软件定义的存储方式的存储空间直接提供Hyper-V集群节点之间的共享存储。存储流量通常对带宽和延迟很敏感。如果带宽减少或延迟升级,性能问题将很快出现。存储空间存储直接访问、擦除编码和其他机制依赖于主机之间的快速网络。通过外部存储阵列实现的共享存储也需要高性能存储。
集群共享卷(CSV)允许Hyper-V集群中的所有主机同时访问为虚拟机提供的相同存储。CSV需要在主机之间交换和更新元数据。这种特殊类型的网络通信是Hyper-V集群中所需的总体存储通信的一部分。
动态迁移—这是一个专门的网络,用于将虚拟机的内存状态信息从一个主机传输到另一个主机。这允许VM在主机之间移动而不停机。这是一项功能强大的功能,通过将虚拟机从该主机实时迁移到集群中的其他主机,就可以在特定主机上进行维护操作。
Windows Server 2019虚拟网络新功能
微软在每一个Windows Server版本中都取得了巨大的进步,通过引入新的功能来扩展和使Windows Server和Hyper-V平台更加强大。
让我们花点时间来回顾一下Windows Server 2019在网络领域的两个新功能和增强功能,这无疑是IT管理员想要利用的功能。
加密的虚拟网络–虚拟网络加密允许在标记为已启用加密的子网内相互通信的虚拟机之间加密虚拟网络流量。它还利用虚拟子网上的数据报传输层安全(DTLS)来加密数据包。DTLS可防止任何能够访问物理网络的人进行窃听、篡改和伪造。这通常称为飞行中的数据加密,是一种增强数据安全性的安全机制。
虚拟工作负载的网络性能改进Windows Server 2019的新改进有助于降低主机CPU利用率,提高吞吐量。此外,vSwitch中的接收段合并(RSC)技术允许将多个TCP段合并成更少但更大的段。处理这些更少、更大的片段比处理大量、更小的片段效率更高。
通常,Windows Server 2012中提供了接收段合并,但只提供了该技术的硬件卸载版本。但这项技术与虚拟工作负载不兼容。一旦网络适配器连接到vSwitch,此类型的RSC即被禁用。
数据路径穿过虚拟交换机的工作负载受益于此功能。
例如:
- 主机虚拟网卡包括:
- 软件定义网络
- hyper - v主机
- 存储空间直接
- Hyper-V Guest虚拟网卡
- 软件定义组网GRE网关
- 容器
Hyper-V组网配置最佳实践
现在,我们已经涵盖了Hyper-V网络的基础知识,虚拟交换机,Hyper-V集群网络需求,以及Windows Server 2019虚拟网络的新功能。
让我们看看在设计和构建Hyper-V基础设施时需要记住的关键Hyper-V网络最佳实践。
- 如果可能,安装或升级到最新版本的Windows Server。在每个Windows Server版本中,都有与Hyper-V相关的新的和增强的功能
- 使用微软支持的最新物理网卡,并具有使用远程直接内存访问(RDMA)的功能
- 确保您正在运行最新的网卡驱动程序和固件
- 使用虚拟机队列或启用VMQ的NIC–这提供了硬件虚拟化优势,使TCP/IP/iSCSI和FCoE的网络连接更加高效
- Hyper-V集群中Hyper-V主机间使用高速网络—Hyper-V主机间至少使用10gbe网络,以满足集群主机间的带宽和性能要求
- 启用巨帧—巨帧允许在高性能应用程序中更有效的网络通信,因为它允许更大的传输帧,并降低主机上的CPU利用率。巨型帧通常是9000字节或更大,而不是标准的1500字节以太网帧大小
- 请勿在Windows Server 2016中使用TCP烟囱卸载或IPsec卸载。这些技术在Windows Server 2016中已被弃用,可能会影响服务器和网络性能。要禁用TCP烟囱卸载,从一个升高的命令提示符运行以下命令:
- Netsh int tcp show global—显示当前tcp设置
- netsh int tcp set global chimney=disabled -禁用tcp烟囱卸载,如果启用
- 确保在Hyper-V集群主机之间使用冗余路径,以确保如果一条路径出现故障,还可以使用另一条路径进行通信
- 规划您的Hyper-V网络–特别是对于Hyper-V群集,规划网络至关重要。确保为特定于群集的网络(实时迁移、群集、存储、VM网络)提供了单独的IP范围/子网、VLAN等
- 不要在集群共享卷(CSV)中使用ReFS——目前,当与CSV一起使用时,ReFS会导致集群以文件系统重定向模式运行,这将通过集群网络将所有I/O发送到卷的协调节点。这将极大地影响性能
- 了解集群网络及其用法——您应该启用多个网络来进行集群通信,因为这为集群通信提供了内置的弹性,有助于确保Hyper-V集群中这个重要网络通信的HA
- 仅在必要的网络上启用管理操作系统访问。了解如何在Hyper-V主机上创建专门的vNetwork连接
- 使用的融合网络——融合网络可以更有效地使用Hyper-V主机上的物理适配器,以及提供的可用带宽
- Used Switch Embedded Teaming–使用Switch Embedded Teaming,可以通过虚拟交换机而不是使用物理团队创建团队
- 如果使用Windows Server 2019,请使用接收段聚合(RSC)来提高虚拟工作负载的性能
- 使用Windows Server 2019,使用加密网络–这允许对虚拟网络上的所有网络通信进行加密,以便在飞行中进行加密
备份Hyper-V和Hyper-V群集
虽然Hyper-V拥有极其强大的弹性和高可用性功能,但这并不能替代备份Hyper-V虚拟机中包含的数据。Hyper-V提供的弹性和高可用性机制可保护您的企业免受硬件和其他基础架构故障的影响,但它无法保护您的数据免受最终用户错误或勒索软件等安全威胁的影响。
使用允许同时保护独立Hyper-V主机和Hyper-V集群的备份解决方案是非常重要的。188abc金博宝 允许备份您的Hyper-V主机和集群,以确保您的数据得到适当的保护。这包括使用无代理的Hyper-V备份备份Hyper-V,支持SMB Share和CSV,应用程序一致备份,快速和粒度恢复,跨平台迁移,以及许多其他选项。
一定要下载Vembu BDR套件的全功能试用版这里为您自己看看Vembu如何提供一个强大的选项来保护您的Hyper-V环境。
