Что нового в Hyper-V

Hyper-V находится в авангарде самых значимых конфигураций в Windows Server 2012. Новых и усовершенствованных функций настолько не мало, что планирование удачной реализации Hyper-V просит глубочайшего осознания этих технических конфигураций.

Многие расширенные многофункциональные средства поддерживают разные нюансы работы сети. Улучшения также задели масштабируемости, безопасности, хранения данных и передвижения виртуальных машин (ВМ). В этой первой из 2-ух статей я сосредоточусь на последующих темах: виртуализация ввода-вывода в отдельном физическом устройстве (single root I/O virtualization, SR-IOV), мониторинг сети и качество обслуживания (quality of service, QoS), объединение сетевых карт (NIC teaming), расширяемый виртуальный коммутатор (extensible virtual switch), виртуализация сети (network virtualization) и программное управление сетевой инфраструктурой (software-defined networking, SDN).

SR-IOV

SR-IOV — новенькая разработка, которая, на самом деле, делает то же, что Intel Virtualization Technology (Intel VT) и AMD Virtualization (AMD-V) делают для виртуализации микропроцессоров. Она увеличивает производительность, перемещая функциональность из программного обеспечения в спец аппаратные средства. SR-IOV имеет особенное назначение и ряд ограничений, которые необходимо учесть при планировании новых кластеров Hyper-V.

Сетевая карта, поддерживающая SR-IOV, вкупе с сервером, поддерживающим SR-IOV в BIOS, предоставляет виртуальным машинам виртуальные функции (virtual functions, VF) либо виртуальные копии себя. Так как разработка SR-IOV еще достаточно нова, инспектируйте ее поддержку в определенной модели сетевой карты. Некие карты предоставляют только четыре либо восемь виртуальных функций, в то время как другие могут предлагать до 64. При разработке нового наружного виртуального коммутатора вы сможете просто сделать его коммутатором SR-IOV (рис. 1). Потом вы не можете конвертировать в него обыденный виртуальный коммутатор.

Что нового в Hyper-V

Рис. 1. Пока все условия соблюдены, включить SR-IOV можно флагом при разработке коммутатора

SR-IOV имеет определенные ограничения. Если вы настраиваете списки управления доступом к порту (access control list, ACL), расширения либо политики в виртуальном коммутаторе, SR-IOV отключается, так как ее трафик на сто процентов обходит коммутатор. Нельзя соединить две сетевые карты SR-IOV в хосте. Но можно установить в хосте две физические сетевые карты SR-IOV, сделать отдельные виртуальные коммутаторы и соединить две виртуальные сетевые карты снутри виртуальной машины.

Динамическая (live) миграция виртуальной машины с сетевыми картами SR-IOV работает (в отличие от vMotion в vSphere 5.1), так как любая сетевая карта SR-IOV «затеняется» обыденным сетевым адаптером VMBus. Потому, если вы выполняете миграцию виртуальной машины в хост, у которого нет сетевых карт SR-IOV либо нет свободных виртуальных функций, трафик просто осуществляется при помощи обыденных синтетических соединений.

Пропускная способность не непременно является главным преимуществом SR-IOV в Hyper-V. VM Bus может вполне заполнить 10 Гбитное соединение, но такое количество трафика делает довольно высшую загрузку микропроцессора, чтоб полностью занять одно ядро. Потому, если низкая загрузка микропроцессора является главный задачей проектирования, SR-IOV играет главную роль. Если задержка является важным нюансом, SR-IOV обеспечивает производительность, сравнимую с физической сетевой картой.

В хосте, где ожидается много входящего трафика ВМ, динамическая очередь ВМ (Dynamic Virtual Machine Queue, dVMQ) распределяет трафик по очередям для каждой ВМ на базе хэшей MAC-адресов. Она также распределяет прерывания меж ядрами микропроцессора.

Измерения и мониторинг

Hyper-V сейчас поставляется со встроенными средствами учета использования ресурсов ВМ. Сначала это понадобится в сценариях хостинга. Также полезно в личных облаках для сбора данных по способу show-back либо charge-back. Измерительные функции выслеживают усредненное внедрение микропроцессора и памяти, также диска и сетевого трафика. Так как это доступно только средством Windows PowerShell, вы сможете воплотить более полный сбор данных и визуализацию при помощи System Center 2012 Virtual Machine Manager (VMM) SP1.

Вы также сможете добавить ACL порта с передачей функции измерения виртуальному коммутатору и таким макаром отделить измерение интернет-трафика (шлюз по дефлоту) от внутреннего трафика центра обработки данных. В тех случаях, когда нужно перехватывать сетевые пакеты в виртуальной сети, вы сможете задать порт мониторинга либо зеркалирование порта, что позволит использовать сетевой монитор.

Управление пропускной способностью

Многие кластеры, спроектированные в последние пары лет, полагаются на огромное количество 1-гигабитных сетевых карт, любая из которых создана для определенного трафика — динамической передвижения, взаимодействия ВМ, синхронизации кластера, управления и, может быть, iSCSI. По мере распространения 10-гигабитных сетевых карт Ethernet большинству серверов будет довольно только нескольких таких сетевых карт.

Новое функциональное средство QoS позволяет задавать как наименьшую пропускную способность, которая всегда будет доступна определенной службе, так и наивысшую (рис. 2). Это позволяет делить 10-гигабитное соединение для совместного использования его разными службами.

Что нового в Hyper-V

Рис. 2. Вы сможете управлять как малой, так и наибольшей пропускной способностью сетевого соединения, применяемого виртуальной машиной

В отсутствие перегрузки любая служба может использовать заданную ей наивысшую пропускную способность. При насыщенном сетевом трафике каждой службе гарантируется малая толика. QoS на программной базе обеспечивает точную детализацию для разных типов трафика, но сопровождается некими издержками на обработку.

Для обыденных типов трафика, таких как динамическая миграция, Server Message Block (SMB) и iSCSI, предлагаются интегрированные фильтры. Это ускоряет настройку и работу с QoS. Эти средства регулирования пропускной способностью будут в особенности презентабельны для хостеров, так как сейчас они сумеют верно определять и использовать соглашения об уровне обслуживания (service-level agreement, SLA).

Если вы используете SMB Direct (новаторство Windows Server 2012) в сетевых картах с удаленным прямым доступом к памяти (Remote Direct Memory Access, RDMA), они будут обходить программную QoS. В таких случаях — либо если у вас есть не-TCP трафик, которым вы желаете управлять — Windows Server также поддерживает Data Center Bridging (DCB). С DCB полоса пропускания управляется аппаратно на совместимых сетевых картах. Это позволяет задать только восемь классов трафика, но просит еще меньше издержек на обработку.

Объединение сетевых карт

В почти всех серверах сейчас употребляется объединение сетевых карт для обеспечения отказоустойчивости и увеличения пропускной возможности. Каждый производитель сетевых карт предлагает собственное решение, потому объединению сетевых карт не хватает гибкости и простоты управления. Включение встроенного объединения сетевых карт (также известного как балансировка нагрузки для отказоустойчивости, load balancing failover) полезно в виртуализированных средах.

Вы сможете соединять воединыжды до 32 сетевых карт (от различных производителей, если может быть). Вы сможете настроить каждую группу в режим Switch Independent либо Switch Dependent (рис. 3). 1-ый режим применяется, если у вас неуправляемые коммутаторы либо нет способности изменять конфигурацию коммутатора.

Что нового в Hyper-V

Рис. 3. Соединять воединыжды огромное количество сетевых карт в Windows Server 2012 просто, только не забудьте задать лучшую комбинацию характеристик.

Это отлично для реализации избыточности. Используйте две сетевые карты, одна из которых пребывает в режиме ожидания. Если 1-ая сетевая карта выходит из строя, 2-ая берет работу на себя. Для еще большей безопасности можно подключить сетевые карты к различным коммутаторам.

Если вы желаете, чтоб обе сетевые карты были активны, сможете использовать один из режимов балансировки нагрузки — Address Hash либо Hyper-V Port. 1-ый режим неплох при большенном исходящем трафике, к примеру, в случае сми и веб-серверов. Входящий трафик будет проходить только через одну сетевую карту. 2-ой режим неплох, когда в хосте несколько виртуальных машин, но каждой из их довольно скорости одной сетевой карты.

В более сложных сценариях лучше использовать режим Switch Dependent. Вы сможете установить для него статический режим либо режим Link Aggregation Control Protocol (LACP). Вам пригодится привлечь сетевую группу для правильной опции собственных коммутаторов. Статический режим подходящ только в маленьких средах, которые редко меняются. LACP автоматом определяет группы на коммутаторе и может обнаруживать дополнительные сетевые карты при их добавлении в группу.

Вы сможете использовать виртуальные локальные сети в купе с группами, с несколькими групповыми интерфейсами в каждой группе, отвечающей определенному данному VLAN ID. Вы даже сможете сделать группу всего из одной сетевой карты, но с несколькими групповыми интерфейсами для разделения трафика на базе VLAN.

Если в хосте несколько виртуальных машин, которые должны вести взаимодействие с различными VLAN, используйте для опции доступа коммутатор Hyper-V и виртуальные сетевых карты. Не используйте сетевые группы в хосте. Объединение сетевых карт снутри ВМ поддерживается, но не забудьте включить параметр AllowTeaming.

Расширяемый виртуальный коммутатор

Новый виртуальный коммутатор — большой шаг вперед по сопоставлению с предшествующей версией. В него добавлены базисные средства для работы в облаке, такие как изоляция арендаторов (tenant isolation), формирование трафика, более легкое устранение дефектов и защита от вредных виртуальных машин. Очередной новый нюанс виртуального коммутатора в том, что посторонние производители могут добавлять свои многофункциональные способности средством прикладных интерфейсов Network Driver Interface Specification (NDIS 6.0) либо Windows Filtering Platform (WFP). Обе эти среды знакомы разработчикам сетевого программного обеспечения.

Существует несколько разновидностей расширений:

Расширение для проверки сетевых пакетов может просматривать пакеты (только чтение) по мере их поступления и позволять коммутатору выявлять конфигурации. Одним из примеров является sFlow от компании InMon. Для визуализации трафика вы сможете использовать бесплатную версию sFlowTrend.
Расширение для фильтрации сетевых пакетов может создавать, фильтровать и изменять пакеты в коммутаторе. Одним из примеров является Security Manager от 5nine Software. Он предоставляет систему предотвращения вторжений (Intrusion Dectection System, IDS), межсетевой экран и антивирус, не требуя наличия агента в каждой ВМ.
Расширения для сетевой переадресации изменяют переадресацию в коммутаторе. В каждом виртуальном коммутаторе может быть установлен только какой-то из них. Известным примером тут служит Cisco Nexus 1000V.

Управлять расширениями сравнимо просто (рис. 4). VMM 2012 SP1 поддерживает централизованное управление расширениями и настройку коммутаторов, позволяя автоматом распределять их всем хостам.

Что нового в Hyper-V

Рис. 4. В новеньком виртуальном коммутаторе можно просто включить и настроить расширения сети.

Вы сможете связать один коммутатор с несколькими виртуальными сетевыми картами. Вы также сможете заполнить списки ACL-списки порта удаленными либо локальными IPv4, IPv6 либо MAC-адресами для управления трафиком и измерения сетевых данных. В хостинговых средах будет приветствоваться защита маршрутизатора (Router Guard), которая перекрывает объявления маршрутизатора от виртуальной машины, также защита DHCP (DHCP Guard), которая перекрывает трафик Dynamic Host Configuration Protocol (DHCP), исходящий от ВМ, если этой ВМ не разрешено работать в качестве сервера DHCP.

IPsec является хорошим методом защитить трафика данных, но его нередко игнорируют из-за высочайшей нагрузки на микропроцессор. Hyper-V сейчас поддерживает IPsecTO (Task Offload) для виртуальных машин, работающих под управлением Windows Server 2008 R2 и Windows Server 2012. Эта функция делегирует вычисления физической сетевой карте, поддерживающей IPSecTO.

SDN

SDN представляет собой новый метод управления сетями и изоляцией ВМ в огромных центрах обработки данных (ЦОД) и кластерах. В ЦОД нужна возможность управлять сетями и изоляцией, основываясь на централизованных политиках, а ручная настройка коммутаторов VLAN просто не довольно эластичная. Одной их составляющих того, как Microsoft лицезреет пасмурную операционную систему, является виртуализация сети (network virtualization, NV). По-настоящему достоинства NV и SDN появляются, когда вы желаете переместить часть собственной инфраструктуры в скопление.

Вам нередко приходится изменять Айпишника собственных виртуальных машин. Делать это нелегко, так как часто они в почти всех местах связаны с политиками безопасности и сетевых экранов. Не считая недочета гибкости это также затрудняет перемещение виртуальных машин меж провайдерами облака.

Виртуализация сети в Windows Server 2012 делает то же, что сделала виртуализация для других структурных компонент, таких как микропроцессор, память и диск. Любая виртуальная машина с NV считает, что работает с сетевой инфраструктурой, которой она «владеет». На самом же деле она практически изолируется от других виртуальных машин при помощи программного обеспечения. NV также аккуратненько разрешает перемещение виртуальных машин при использовании Bring Your Own IP (BYOIP). Виртуальные машины могут сохранять свои адреса при перемещение их в общедоступное скопление. Это позволяет им просто вести взаимодействие с остальной инфраструктурой.

Любая виртуальная машина имеет два Айпишники — адреса заказчика (customer address, CA), который употребляется снутри ВМ, и адресок провайдера (provider address, PA), который по сути употребляется в сети. Виртуальные машины, использующие NV, могут работать вместе в одном и том же хосте с виртуальными машинами, не использующими NV. Широковещательный трафик никогда не передается «всем хостам» в секторе. Он всегда проходит через NV, чтоб обеспечить изоляцию. Вы сможете настроить так всякую ВМ, так как NV прозрачна для основной операционной системы.

Для опции NV предназначено два параметра — IP Rewrite и Generic Routing Encapsulation (GRE). IP Rewrite изменяет Айпишник в каждом пакете, когда он добивается либо покидает хост, на CA либо PA соответственно. Это не просит никаких конфигураций в сетевом оборудовании и снимает нагрузку с сетевой карты. Но это также значит, что каждой ВМ нужно два Айпишники — PA и CA. Это усложняет управление адресами.

GRE инкапсулирует CA-пакет в PA-пакет с провождающим виртуальное ID виртуальной сабсети. Это значит, что сетевое оборудование должно уметь использовать политики к трафику каждого арендатора. Любая ВМ в хосте может вместе использовать один и тот же PA. Это упрощает управление адресами.

К огорчению, разгрузка сетевых карт тут не будет работать, так как они полагаются на правильные IP-заголовки. Решением на будущее является новый эталон под заглавием Network Virtualization using Generic Routing Encapsulation (NVGRE). Он соединяет внутри себя выгоды GRE с преимуществом IP Rewrite, где разгрузка сетевой карты работает как необходимо.

VMM и виртуализация сети

VMM 2012 SP1 добавляет два объекта для опции NV — логический коммутатор и сеть ВМ. Последний из их представляет собой домен маршрутизации и может вмещать несколько виртуальных субсетей, если они могут вести взаимодействие. Вы сможете настроить каждую сеть ВМ на один из 4 типов изоляции: без изоляции, VLAN, NV либо наружный.

1-ый тип подходит для управления сетями, которым нужен доступ ко всем сетям. Тип VLAN подходит там, где у вас уже есть работающая модель изоляции. Он основывается на правильной настройке коммутаторов (физических и виртуальных). Любая сеть ВМ соответствует одной VLAN.

Тип NV употребляет NV в Windows Server 2012. Таблицы отображения, которые выслеживают отображение CA в PA, поддерживаются VMM. Каждый хост динамически строит таблицы отображения, когда передает и получает сетевой трафик. Когда хосту нужно вести взаимодействие с неведомым хостом, он обновляет свое отображение из VMM. Это может уменьшить размер таблиц в огромных сетях.

2-ой объект, который является новаторством VMM, — давно ожидаемый логический коммутатор. Он позволяет централизованно задавать характеристики vSwitch, которые автоматом реплицируются на все хосты. Есть также диспетчер расширений виртуального коммутатора (virtual switch extension manager, VSEM), который позволяет централизованно управлять расширениями виртуальных коммутаторов.

Расширения и их данные хранятся совместно с виртуальными машинами, когда вы осуществляете динамическую миграцию из хоста в хост. Вы также сможете централизованно задавать и использовать политики пропускной возможности виртуальных машин. Виртуальные сети интегрированы с процессом подготовки ВМ, что обеспечивает по-настоящему автоматическое решение.

Hyper-V в центре обработки данных

Беря во внимание все эти новые способности проектирования сетей в Windows Server 2012 Hyper-V, становится естественным, что вам, может быть, придется вернуться к чертежной доске. Еще есть ряд сетевых усовершенствований, которые не специфичны для Hyper-V, но все же могут воздействовать на ваш проект.

Для больших сред Windows Server 2012 сейчас поддерживает Datacenter TCP (DTCP) для роста пропускной возможности и уменьшения буферного места, применяемого в коммутаторах (если они поддерживают Explicit Congestion Notification-RFC 3168 [ECN]). Если вы все еще распределяете Айпишника при помощи таблиц Excel, направьте внимание на управление Айпишниками (IP address management, IPAM) в Windows Server 2012. Это средство ведет взаимодействие с вашими Active Directory, DHCP и DNS-серверами для управления IPv4 и IPv6. VMM 2012 SP1 содержит сценарий (Ipamintegration.ps1), который экспортирует Айпишники, назначенные средством VMM в IPAM. Вы сможете запускать его на постоянной базе.

В последующем месяце я расскажу об усовершенствованиях хранилища Hyper-V (включая возможность запускать виртуальные машины из общих файловых ресурсов), передвижения ВМ и улучшении масштабируемости.

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.