使用NIC創(chuàng)建子網(wǎng)隔離Hyper-V的網(wǎng)絡(luò)流量

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

當(dāng)來咨詢的客戶表達(dá)他們對(duì)Hyper-V的興趣時(shí)，我建議在他們預(yù)算范圍內(nèi)購(gòu)買盡可能多的網(wǎng)絡(luò)接口卡（NIC）。一般地，如果是出于通過光纖通道存儲(chǔ)區(qū)域網(wǎng)絡(luò)集中存儲(chǔ)的目的，我建議為每臺(tái)服務(wù)器至少配備四個(gè)NIC。如果客戶端使用iSCSI SAN，我建議至少使用六個(gè)NIC。不過為每臺(tái)服務(wù)器配備10個(gè)NIC也是很平常的。

原因在于許多Hyper-V服務(wù)器管理員需要進(jìn)行由額外NIC造成的網(wǎng)絡(luò)隔離。管理員也喜歡能在存儲(chǔ)和生產(chǎn)網(wǎng)絡(luò)連接之間進(jìn)行連接聚合。不過雖然Hyper-V能支持虛擬局域網(wǎng)（VLAN）聚合，這是種支持多個(gè)擁有一個(gè)以上交換機(jī)的VLAN的方式，這種設(shè)置的挑戰(zhàn)更多在于政治上，而不是技術(shù)上。

一般來說，當(dāng)VLAN聚合到Hyper-V服務(wù)器，網(wǎng)絡(luò)管理責(zé)任就落在虛擬化管理員身上了。網(wǎng)絡(luò)管理員忽視了這種責(zé)任是常見的，安全經(jīng)歷很擔(dān)心，因?yàn)橐唤M“非專家”（例如虛擬管理員）現(xiàn)在對(duì)他們不太精通的環(huán)境負(fù)有責(zé)任。

此外，當(dāng)多個(gè)VLAN聚合在一起，潛在的管理錯(cuò)誤會(huì)增加。隨著更多服務(wù)器管理員嘗試整合多個(gè)子網(wǎng)，因此，安全區(qū)域問題會(huì)上升。

另外，使用子網(wǎng)隔離網(wǎng)絡(luò)流量，不僅按照微軟的建議指南分配NIC到不同的子網(wǎng)，也能預(yù)防半途而廢。微軟的故障轉(zhuǎn)移集群服務(wù)對(duì)于頻率延遲尤其苛刻，當(dāng)服務(wù)器不能及時(shí)發(fā)送或響應(yīng)集群頻率，或?qū)е沦Y源或集群故障。通過使用集群本身的鏈接隔離集群頻率，就能避免這種情況。

為了證明我的觀點(diǎn)，下面是如何正確隔離網(wǎng)絡(luò)連接的實(shí)例。我的一位客戶購(gòu)買了兩臺(tái)Hyper-V服務(wù)器，跨三個(gè)子網(wǎng)部署虛擬機(jī)：

● 子網(wǎng)A是生產(chǎn)網(wǎng)絡(luò)，包括傳統(tǒng)的辦公室服務(wù)器，如Exchange、SQL和文件服務(wù)器；

● 子網(wǎng)B是一個(gè)運(yùn)營(yíng)網(wǎng)絡(luò)，用于業(yè)務(wù)線服務(wù)器，業(yè)務(wù)關(guān)鍵組需要少量額外的網(wǎng)絡(luò)保護(hù)；

● 子網(wǎng)C包括測(cè)試和開發(fā)者的分段沙盒?！　?/P>

要正確連接子網(wǎng)，需要以下六個(gè)NIC：

● 一個(gè)NIC專用于到Hyper-V服務(wù)器的管理流量。熱遷移流量也通過這個(gè)接口。

● 一個(gè)接口卡用于集群的頻率連接。這個(gè)連接宿主在本身的子網(wǎng)里，并且確保網(wǎng)絡(luò)堵塞不會(huì)導(dǎo)致集群故障。

● 兩個(gè)NIC通過多路徑I/O設(shè)置連到iSCSI SAN。

● 兩個(gè)網(wǎng)絡(luò)卡作為綁定連接，進(jìn)行物理連接，并在邏輯上配置到網(wǎng)絡(luò)IOS，以通過VLAN流量到子網(wǎng)A、B和C?！　?/P>

這是種可接受的配置，因?yàn)樵谄鋮^(qū)域里隔離了每個(gè)通信類型。例如，iSCSI流量通過使用隔離的路徑通過存儲(chǔ)網(wǎng)絡(luò)。這種設(shè)置確保生產(chǎn)網(wǎng)絡(luò)連接不會(huì)影響到服務(wù)器硬盤驅(qū)動(dòng)的訪問。

為管理流量創(chuàng)建隔離的連接，另一方面完成了兩件事情。第一，從物理上隔離了來自Hyper-V管理流量的虛擬機(jī)流量，這樣更安全。同時(shí)，防止虛擬機(jī)過度消耗網(wǎng)絡(luò)連接，阻礙服務(wù)器管理。

最后兩個(gè)NIC旨在網(wǎng)絡(luò)聚集。這種配置在IT博客里進(jìn)行廣泛深入地討論，。我在這系列文章的第一部分“Hyper-V NIC聚合”中已經(jīng)解釋過。注意，微軟虛擬網(wǎng)絡(luò)交換機(jī)協(xié)議可能阻止一些NIC聚合驅(qū)動(dòng)啟用。在嘗試Hyper-V NIC聚合之前檢查服務(wù)器廠商支持表。

我這個(gè)客戶聚合了這三種生產(chǎn)VLAN到相同的成對(duì)接口。盡管流量低，Hyper-V主機(jī)服務(wù)器的數(shù)量相對(duì)較小，系統(tǒng)管理員通過獨(dú)立的接口隔離每個(gè)VLAN流量，而不是聚合它們。

原因在于他們想預(yù)防錯(cuò)誤。

有時(shí)，Hyper-V的VLAN向?qū)Ш茈y操作。首先，你必須創(chuàng)建和分配正確的參數(shù)給Virtual Network Manager里的虛擬交換機(jī)。接下來，確保正確的物理接口連接到正確的虛擬交換機(jī)。由于Hyper-V的管理向?qū)狈未翱谖锢斫缑妫秃苋菀追稿e(cuò)。

由于Hyper-V或思科的路由協(xié)議使用VLAN存在數(shù)據(jù)泄露問題，在VLAN指尖使用虛擬機(jī)的接口存在很大風(fēng)險(xiǎn)。因此，他們最多使用10個(gè)NIC通道。

在本系列最后一部分鐘，我將解釋創(chuàng)建虛擬交換機(jī)的過程。