使用 NIC 创建子网隔离 Hyper-V 的网络流量
当来咨询的客户表达他们对 Hyper-V 的兴趣时,我建议在他们预算范围内购买 尽可能多的网络接口卡(NIC)。一般地,如果是出于通过光纤通道存储区域网络 集中存储的目的,我建议为每台服务器至少配备四个 NIC。如果客户端使用 iSCSI SAN,我建议至少使用六个 NIC。不过为每台服务器配备 10 个 NIC 也是很平常的。
原因在于许多 Hyper-V 服务器管理员需要进行由额外 NIC 造成的网络隔离。管 理员也喜欢能在存储和生产网络连接之间进行连接聚合。不过虽然 Hyper-V 能支持 虚拟局域网(VLAN)聚合,这是种支持多个拥有一个以上交换机的 VLAN 的方式, 这种设置的挑战更多在于政治上,而不是技术上。
一般来说,当 VLAN 聚合到 Hyper-V 服务器,网络管理责任就落在虚拟化管理 员身上了。网络管理员忽视了这种责任是常见的,安全经历很担心,因为一组“非 专家”(例如虚拟管理员)现在对他们不太精通的环境负有责任。
此外,当多个 VLAN 聚合在一起,潜在的管理错误会增加。随着更多服务器管 理员尝试整合多个子网,因此,安全区域问题会上升。
另外,使用子网隔离网络流量,不仅按照微软的建议指南分配 NIC 到不同的子 网,也能预防半途而废。微软的故障转移集群服务对于频率延迟尤其苛刻,当服务 器不能及时发送或响应集群频率,或导致资源或集群故障。通过使用集群本身的链 接隔离集群频率,就能避免这种情况。
为了证明我的观点,下面是如何正确隔离网络连接的实例。我的一位客户购买 了两台 Hyper-V 服务器,跨三个子网部署虚拟机:
子网 A 是生产网络,包括传统的办公室服务器,如 Exchange、SQL 和文件服 务器; 子网 B 是一个运营网络,用于业务线服务器,业务关键组需要少量额外的网 络保护; 子网 C 包括测试和开发者的分段沙盒。
一个 NIC 专用于到 Hyper-V 服务器的管理流量。热迁移流量也通过这个接 口。
Www.yunvn.com YunVN 运维网 运维管理专家
一个接口卡用于集群的频率连接。这个连接宿主在本身的子网里,并且确保 网络堵塞不会导致集群故障。 两个 NIC 通过多路径 I/O 设置连到 iSCSI SAN。 两个网络卡作为绑定连接,进行物理连接,并在逻辑上配置到网络 IOS,以 通过 VLAN 流量到子网 A、B 和 C。
这是种可接受的配置,因为在其区域里隔离了每个通信类型。例如,iSCSI 流 量通过使用隔离的路径通过存储网络。这种设置确保生产网络连接不会影响到服务 器硬盘驱动的访问。
为管理流量创建隔离的连接,另一方面完成了两件事情。第一,从物理上隔离 了来自 Hyper-V 管理流量的虚拟机流量,这样更安全。同时,防止虚拟机过度消耗 网络连接,阻碍服务器管理。
最后两个 NIC 旨在网络聚集。这种配置在 IT 博客里进行广泛深入地讨论,。 我在这系列文章的第一部分“Hyper-V NIC 聚合”中已经解释过。注意,微软虚拟 网络交换机协议可能阻止一些 NIC 聚合驱动启用。在尝试 Hyper-V NIC 聚合之前检 查服务器厂商支持表。
我这个客户聚合了这三种生产 VLAN 到相同的成对接口。尽管流量低,Hyper-V 主机服务器的数量相对较小,系统管理员通过独立的接口隔离每个 VLAN 流量,而 不是聚合它们。
有时,Hyper-V 的 VLAN 向导很难操作。首先,你必须创建和分配正确的参数 给 Virtual Network Manager 里的虚拟交换机。接下来,确保正确的物理接口连接 到正确的虚拟交换机。由于 Hyper-V 的管理向导缺乏单窗口物理界面,就很容易犯 错。
由于 Hyper-V 或思科的路由协议使用 VLAN 存在数据泄露问题,在 VLAN 指尖使 用虚拟机的接口存在很大风险。因此,他们最多使用 10 个 NIC 通道。
|