Hyper-v Server 网络管理
早在windows2008 R2版本中的 Hyper-V,就可以提供创建与物理二层以太网交换机类似的虚拟网络交换机,实施复杂的虚拟网络环境。可以创建外部虚拟网络,为虚拟机提供到外部服务器与客户端的连接,并可创建内部网络,让同一宿主机上的虚拟机之间,以及虚拟机与宿主机之间进行通讯,或者可以创建专用虚拟网络(PVLAN),可用于在同一宿主机上的不同虚拟机之间进行隔离,让虚拟机只能通过外部网络通讯。
除此以上功能外,Windows Server 2012 R2 中的 Hyper-V 虚拟交换机 (vSwitch) 引入了很多用户要求的功能,以便实现租户隔离、通信整形、防止恶意虚拟机以及更轻松地排查问题。Microsoft 扩展的开放可扩展性和可管理性方面的改进。可以编写非 Microsoft 扩展,以模拟基于硬件的交换机的全部功能和支持更复杂的虚拟环境和解决方案。要使用 Windows Server 2012 R2 Hyper-V 宿主机实施网络虚拟化一些高级功能,还要求具备 System Center Virtual Machine Manager 2012 R2。
一、可扩展虚拟交换机
在Windows Server 2012 R2 中 ,微软充分提高了Hyper-V 可扩展交换机功能,扩展可以扩展或替换交换过程的三个方面:入口筛选、目标查找和转发以及出口筛选。此外,扩展还可以通过监视 vSwitch 不同层的通信来收集统计数据。在 vSwitch 的入口和出口部分,可以支持多个监视和筛选扩展。如果您使用转发扩展,则每个交换机实例只能使用扩展的一个实例,这种情况下它替代 vSwitch 的默认转发。
二、单根 I/O 虚拟化
SR-IOV 是一种通过提供 I/O 所需的直接硬件路径,使得 PCI Express 设备能够在多个虚拟机之间进行共享的标准。Hyper-V 能够支持符合 SR-IOV 标准的网络适配器。SR-IOV 可降低网络延迟,降低处理网络通讯时的 CPU 占用率,并可提升网络吞吐率。符合 SR-IOV 标准的网络设备具有一种名为 Virtual Functions 的硬件界面,可通过安全的方式将其分
配给虚拟机—并绕过管理用操作系统中的虚拟交换机,直接收发数据。策略与控制则依然由管理用操作系统实施。SR-IOV 完全兼容实时迁移功能,因为基于硬件的网络在任何时间都可用。在实时迁移过程中,VirtualFunctions 会被暂时删除。这样实时迁移即可使用不同供应商的网络适配器,或在目标计算机上 SR-IOV不可用的情况下使用。
三、使用GUI界面创建Hyper-V虚拟交换机
在运行 Hyper-V 的服务器上创建虚拟网络,为虚拟机和虚拟化服务器定义各种网络拓扑。使用虚拟网络管理器(从 Hyper-V 管理器访问)时,有三种不同类型的虚拟网络可供选择。在Hyper-v管理器“操作”窗格中的虚拟机名称下,单击“虚拟交换机管理器”
在新建虚拟机网络交换机的页面中,一般情况会默认的有个虚拟交换机,这是在安装Hyper-v角色的时候添加的虚拟交换机,本次环境我再安装Hyper-v角色的时候没有勾选创建虚拟交换机,所以没有。但是没关系我们可以在右边选择相应的网络类型,选择创建虚拟交换机。虚拟网络交换机分为以下三种类型:
1、外部虚拟网络:在希望允许虚拟机与外部服务器和管理操作系统(有时称为父分区)进行通信时,可以使用此类型的虚拟网络。此类型的虚拟网络还允许位于同一物理服务器上的虚拟机互相通信。
2、内部虚拟网络:在希望允许同一物理服务器上的虚拟机与虚拟机和管理操作系统之间进行通信时,可以使用此类型的虚拟网络。内部虚拟网络是一种未绑定到物理网络适配器的虚拟网络。它通常用来构建从管理操作系统连接到虚拟机所需的测试环境。
3、专用虚拟网络:在希望只允许同一物理服务器上的虚拟机之间进行通信时,可以使用此类型的虚拟网络。专用虚拟网络是一种无需在管理操作系统中装有虚拟网络适配器的虚拟网络。在希望将虚拟机从管理操作系统以及外部网络中的网络通信中分离出来时,通常会使用专用虚拟网络。
在此我将要创建一个外部网络。连接到外部虚拟网络的虚拟机通过主机系统中一个虚拟交换机连接物理网卡访问外部网络。 从而实现主机与外部网络沟通。外部虚拟网络上的虚拟交换机,可以视为连接在物理交换机上的二级交换设备。虚拟机与物理机的沟通,虚拟机和其他虚拟机的沟通,都可以通过此虚拟交换机或与其连接的外部网络进行
在此也可以根据需求对虚拟交换机的名称等进行修改(PS:也可以对已有的虚拟网络进行修改):
在创建完成虚拟网络后,可以在新建虚拟机或者是虚拟机网络中可以看到新建的虚拟网络。
四、使用PowerShell创建Hyper-V虚拟交换机
1、创建外部网络交换机:
2、创建内部网络交换机:
创建内部网络交换机不需要指定网卡,直接输入命令:
“New-VMSwitch " vmNetwork Name " -SwitchType Internal”
3、创建专用网络交换机:
创建内部网络交换机不需要指定网卡,直接输入命令:
“New-VMSwitch "vmNetwork Name" -SwitchType Private”
当添加完成以上3种虚拟交换机后,可以通过命令Get-VMSwitch来查看Hyper-V主机的所有虚拟交换机
对于虚拟交换机更改的一些命令如下:
1、为虚拟交换机重新命名,假设要将vmNetwork02重新命名为vmNetwork04,其命令如下:
Rename-VMSwitch "vmNetwork02" -NewName "vmNetwork04"
2、更改虚拟交换机为内部虚拟网络,其命令如下:
Set-VMSwitch vmNetwork04 -SwitchType Internal
3、更改虚拟交换机为专用虚拟网络,其命令如下:
Set-VMSwitch vmNetwork04 -SwitchType Private
五、虚拟机网络功能
微软还在 Hyper-V 可扩展交换机中集成了大量其他高级功能,这些功能可以帮助您改善安全性、监控功能,以及排错功能。这些额外的功能包括:
1、DHCP guard:有助于保护防范动态主机配置协议(DHCP)中间人攻击,这个技术可以丢弃未经授权的虚拟机冒充 DHCP 服务器发送的 DHCP 服务器消息
2、MAC 地址仿冒:有助于保护防范使用 ARP 仿冒技术从虚拟机处盗用 IP 地址的企图,这种做法可以让虚拟机更改发出的数据包中的来源 MAC 地址,并将地址改为并非分配给自己的地址。
3、Router guard 有助于保护防范未经授权的路由器,这个功能可以丢弃来自未经授权的虚拟机所假冒的路由器发出的路由器公告和重定向消息端口镜像使得您可以将目标或源数据包的副本转发到其他用作监控用途的虚拟机,借此对虚拟机的网络通讯进行监控。
4、端口 ACL 有助于根据MAC 地址或 IP 地址段对通讯进行筛选,强制实施虚拟网络隔 离隔离的 VLAN 可对多个 VLAN 的通讯进行划分,通过创建私有VLAN(PVLAN)对租户的网络进行隔离Trunk 模式 可将来自一组 VLAN 的通讯重定向到指定虚拟机带宽管理,可为每个虚拟机提供有保证的带宽最小值,并/或强制实施带宽最大值限制
5、增强的诊断,可通过可扩展交换机,使用 ETL 和统一追踪实现数据包监控和事件追踪
上述功能中的大部分都可以通过打开虚拟机的设置窗口,使用图形用户界面(GUI)配置。打开虚拟机的设置,如下图:
通过这种方式配置的选项,这样的配置可以确保虚拟机总是能获得至少 50MBps 可用网络带宽,但不会超过 100 MBps。如果宿主机位于共享的云环境中,需要提供应用程序和服务,这种新的带宽管理机制可以帮助满足要求。
OK今天就给大家介绍这么多,更多内容请大家继续关注!
本文转自wuyvzhang 51CTO博客,原文链接:http://blog.51cto.com/wuyvzhang/1719773,如需转载请自行联系原作者
