使用NIC創(chuàng)建子網(wǎng)隔離Hyper-V的網(wǎng)絡(luò)流量

申請免費試用、咨詢電話：400-8352-114

當(dāng)來咨詢的客戶表達他們對Hyper-V的興趣時，我建議在他們預(yù)算范圍內(nèi)購買盡可能多的網(wǎng)絡(luò)接口卡（NIC）。一般地，如果是出于通過光纖通道存儲區(qū)域網(wǎng)絡(luò)集中存儲的目的，我建議為每臺服務(wù)器至少配備四個NIC。如果客戶端使用iSCSI SAN，我建議至少使用六個NIC。不過為每臺服務(wù)器配備10個NIC也是很平常的。

原因在于許多Hyper-V服務(wù)器管理員需要進行由額外NIC造成的網(wǎng)絡(luò)隔離。管理員也喜歡能在存儲和生產(chǎn)網(wǎng)絡(luò)連接之間進行連接聚合。不過雖然Hyper-V能支持虛擬局域網(wǎng)（VLAN）聚合，這是種支持多個擁有一個以上交換機的VLAN的方式，這種設(shè)置的挑戰(zhàn)更多在于政治上，而不是技術(shù)上。

一般來說，當(dāng)VLAN聚合到Hyper-V服務(wù)器，網(wǎng)絡(luò)管理責(zé)任就落在虛擬化管理員身上了。網(wǎng)絡(luò)管理員忽視了這種責(zé)任是常見的，安全經(jīng)歷很擔(dān)心，因為一組“非專家”（例如虛擬管理員）現(xiàn)在對他們不太精通的環(huán)境負有責(zé)任。

此外，當(dāng)多個VLAN聚合在一起，潛在的管理錯誤會增加。隨著更多服務(wù)器管理員嘗試整合多個子網(wǎng)，因此，安全區(qū)域問題會上升。

另外，使用子網(wǎng)隔離網(wǎng)絡(luò)流量，不僅按照微軟的建議指南分配NIC到不同的子網(wǎng)，也能預(yù)防半途而廢。微軟的故障轉(zhuǎn)移集群服務(wù)對于頻率延遲尤其苛刻，當(dāng)服務(wù)器不能及時發(fā)送或響應(yīng)集群頻率，或?qū)е沦Y源或集群故障。通過使用集群本身的鏈接隔離集群頻率，就能避免這種情況。

為了證明我的觀點，下面是如何正確隔離網(wǎng)絡(luò)連接的實例。我的一位客戶購買了兩臺Hyper-V服務(wù)器，跨三個子網(wǎng)部署虛擬機：

● 子網(wǎng)A是生產(chǎn)網(wǎng)絡(luò)，包括傳統(tǒng)的辦公室服務(wù)器，如Exchange、SQL和文件服務(wù)器；

● 子網(wǎng)B是一個運營網(wǎng)絡(luò)，用于業(yè)務(wù)線服務(wù)器，業(yè)務(wù)關(guān)鍵組需要少量額外的網(wǎng)絡(luò)保護；

● 子網(wǎng)C包括測試和開發(fā)者的分段沙盒?！　?/P>

要正確連接子網(wǎng)，需要以下六個NIC：

● 一個NIC專用于到Hyper-V服務(wù)器的管理流量。熱遷移流量也通過這個接口。

● 一個接口卡用于集群的頻率連接。這個連接宿主在本身的子網(wǎng)里，并且確保網(wǎng)絡(luò)堵塞不會導(dǎo)致集群故障。

● 兩個NIC通過多路徑I/O設(shè)置連到iSCSI SAN。

● 兩個網(wǎng)絡(luò)卡作為綁定連接，進行物理連接，并在邏輯上配置到網(wǎng)絡(luò)IOS，以通過VLAN流量到子網(wǎng)A、B和C?！　?/P>

這是種可接受的配置，因為在其區(qū)域里隔離了每個通信類型。例如，iSCSI流量通過使用隔離的路徑通過存儲網(wǎng)絡(luò)。這種設(shè)置確保生產(chǎn)網(wǎng)絡(luò)連接不會影響到服務(wù)器硬盤驅(qū)動的訪問。

為管理流量創(chuàng)建隔離的連接，另一方面完成了兩件事情。第一，從物理上隔離了來自Hyper-V管理流量的虛擬機流量，這樣更安全。同時，防止虛擬機過度消耗網(wǎng)絡(luò)連接，阻礙服務(wù)器管理。

最后兩個NIC旨在網(wǎng)絡(luò)聚集。這種配置在IT博客里進行廣泛深入地討論，。我在這系列文章的第一部分“Hyper-V NIC聚合”中已經(jīng)解釋過。注意，微軟虛擬網(wǎng)絡(luò)交換機協(xié)議可能阻止一些NIC聚合驅(qū)動啟用。在嘗試Hyper-V NIC聚合之前檢查服務(wù)器廠商支持表。

我這個客戶聚合了這三種生產(chǎn)VLAN到相同的成對接口。盡管流量低，Hyper-V主機服務(wù)器的數(shù)量相對較小，系統(tǒng)管理員通過獨立的接口隔離每個VLAN流量，而不是聚合它們。

原因在于他們想預(yù)防錯誤。

有時，Hyper-V的VLAN向?qū)Ш茈y操作。首先，你必須創(chuàng)建和分配正確的參數(shù)給Virtual Network Manager里的虛擬交換機。接下來，確保正確的物理接口連接到正確的虛擬交換機。由于Hyper-V的管理向?qū)狈未翱谖锢斫缑?，就很容易犯錯。

由于Hyper-V或思科的路由協(xié)議使用VLAN存在數(shù)據(jù)泄露問題，在VLAN指尖使用虛擬機的接口存在很大風(fēng)險。因此，他們最多使用10個NIC通道。

在本系列最后一部分鐘，我將解釋創(chuàng)建虛擬交換機的過程。