Виртуальный коммутатор Hyper-V vSwitch - сравнение разных типов

В Microsoft Hyper-V виртуальный коммутатор Hyper-V vSwitch является центром связи внутри и снаружи среды Hyper-V. Он позволяет виртуальным машинам взаимодействовать друг с другом, а также с физической сетью. 

Конечная цель сетевых возможностей с точки зрения гипервизора — позволить сетевому трафику из виртуализированной среды взаимодействовать с физической сетью, чтобы пакеты могли быть отправлены по назначению. Хотя большая часть коммуникаций происходит непосредственно внутри гипервизора, взаимодействие виртуальной сети с физической является важной частью общей виртуальной инфраструктуры.

Обзор виртуального коммутатора Hyper-V

Прежде чем углубиться в виртуальную инфраструктуру, большинство инженеров по эксплуатации в течение многих лет имели дело с физическими конструкциями ЦП, памяти и сети. Все эти конструкции реплицируются в виртуализированном мире.

Сосредоточив внимание на виртуальной сетевой карте, они функционируют так же, как и функции физической сетевой карты, за исключением всего, что происходит в программном обеспечении.

В мире Hyper-V сетевой уровень абстрагируется так же, как абстрагируется уровень вычислений и хранения и представляется гостевой операционной системе.

Виртуальный коммутатор Hyper-V называется vSwitch. Опять же, это программные объекты, которые находятся на хосте Hyper-V и по сути абстрагируют сетевые карты, найденные на хосте, и представляют их гостевой операционной системе. Порты хост-сетевого адаптера Hyper-V по существу являются портами восходящей линии связи, которые обеспечивают обратную связь с физической сетью как для интрасети, так и для подключения к Интернету.

Что такое виртуальный коммутатор Hyper-V?

Виртуальный коммутатор Hyper-V — это программный сетевой коммутатор Ethernet уровня 2, доступный в диспетчере Hyper-V по умолчанию после подготовки роли Hyper-V на узле. Это позволяет подключаться как к виртуальным сетям, так и к физической сети.

Примером этого является коммутатор Cisco Nexus 1000x для Microsoft Hyper-V. Этот сторонний модуль от Cisco добавляет множество функций Cisco к виртуальному коммутатору Hyper-V, благодаря чему он ведет себя так же, как физические устройства Cisco, с которыми знакомы многие сетевые инженеры. Это помогает поддерживать виртуальный коммутатор Hyper-V практически так же, как и его физические аналоги.

По сравнению с физическими коммутаторами виртуальный коммутатор Hyper-V предлагает множество преимуществ, включая возможность программного управления и подготовки, а также возможность расширения за счет дополнительных функций, которые позволяют сторонним поставщикам расширять его возможности.

Виртуальный коммутатор Hyper-V обладает широкими возможностями расширения.

Используя спецификацию интерфейса сетевого устройства или фильтры NDIS, а также платформу фильтрации Windows или WFP, виртуальные коммутаторы Hyper-V можно расширить с помощью подключаемых модулей, написанных специально для взаимодействия с виртуальным коммутатором Hyper-V. Они называются расширениями виртуального коммутатора и могут обеспечить расширенные возможности сети и безопасности.

Виртуальные коммутаторы Hyper-V также позволяют применять и обеспечивать соблюдение политик безопасности, изоляции ресурсов и обеспечения соглашений об уровне обслуживания. Эти дополнительные функции представляют собой мощные инструменты, которые позволяют современным многопользовательским средам изолировать рабочие нагрузки, а также обеспечивать формирование трафика. Это также помогает защититься от вредоносных виртуальных машин.

Как уже упоминалось о большинстве функций Hyper-V, ими можно управлять и настраивать программно. Hyper-V чрезвычайно легко настраивается и управляется с помощью Microsoft PowerShell. Виртуальные коммутаторы не являются исключением. С большинством функций виртуального коммутатора можно взаимодействовать с помощью командлетов PowerShell.

Вы можете перечислить различные командлеты, доступные для виртуального коммутатора Hyper-V, введя команду:

• Получить помощь *VMSwitch*

Базовым примером использования PowerShell с виртуальным коммутатором Hyper-V является создание нового виртуального коммутатора. Это можно сделать с помощью команды:

• New-VMSwitch -Name 'External01' -NetAdapterName LAN01

Возможности и функциональность виртуального коммутатора Hyper-V

Сегодня, пожалуй, нет большей заботы и цели в использовании любой формы технологии, чем безопасность. Виртуальный коммутатор Hyper-V позволяет применять политику для повышения безопасности и изоляции, а также обеспечивает изоляцию клиентов, формирование трафика и защиту от вредоносных виртуальных машин.

Существует множество замечательных функций и возможностей виртуального коммутатора Hyper-V, которые, безусловно, обеспечивают и укрепляют безопасность среды Hyper-V, включая следующее:

• Защита от отравления/подмены ARP/ND. Распространенным методом атаки, который многие злоумышленники могут использовать в сети, является подмена MAC-адреса или атака отравления или подделки ARP. Злоумышленник может использовать вредоносную виртуальную машину, чтобы выдать себя за законный IP-адрес или украсть его с помощью подмены ARP. Виртуальные коммутаторы Hyper-V предотвращают такое поведение, обеспечивая защиту от подмены MAC-адреса.
• Защита DHCP Guard. Атаки типа «человек посередине» могут осуществляться с использованием мошеннических DHCP-серверов. DHCP Guard защищает от вредоносной виртуальной машины, выдающей себя за неавторизованный DHCP-сервер.
• Списки ACL портов. ACLS портов позволяют администраторам фильтровать трафик на основе MAC- или IP-адресов или диапазонов, что позволяет эффективно настраивать сетевую изоляцию и микросегментацию.
• Транковый режим к виртуальной машине — позволяет направлять трафик из нескольких VLAN на конкретную виртуальную машину.
• Мониторинг сетевого трафика. Администраторы могут просматривать трафик, проходящий через сетевой коммутатор.
• Изолированная частная VLAN. Частные VLAN могут эффективно микросегментировать трафик и обеспечивать лучшую сегрегацию в целях безопасности в многопользовательской среде, поскольку по сути это VLAN внутри VLAN. Виртуальным машинам можно разрешить или запретить взаимодействие с другими виртуальными машинами в рамках конструкции частной VLAN.

Технология объединения Hyper-V

Действительно замечательная функция Windows Server 2016 Hyper-V — это технология Switch Embedded Teaming или SET. Это новая технология объединения, представленная в Windows Server 2016, которая предоставляет альтернативный способ объединения сетевых карт на узле Hyper-V. SET интегрирует некоторые из этих новых функций в виртуальный коммутатор Hyper-V.

Команда SET позволяет группировать от одного до восьми физических сетевых адаптеров в программный виртуальный сетевой адаптер, который можно использовать для обеспечения высокой производительности и отказоустойчивости в случае сбоев. Группа SET настраивается для каждого хоста Hyper-V, и каждая группа должна существовать на одном хосте.

Команда SET интегрирована в виртуальный коммутатор Hyper-V, поэтому ее нельзя представить гостевой операционной системе, работающей на виртуальной машине. Вы можете использовать объединение сетевых карт внутри виртуальной машины, но не SET. SET можно управлять через PowerShell, а также использовать подключения к удаленному рабочему столу для настройки и взаимодействия с SET.

Фундаментальное различие в объединении SET и обычного сетевого адаптера заключается в том, что при объединении сетевых карт вы можете иметь резервный адаптер как таковой. Однако в команде SET все адаптеры активны и ни один не может находиться в режиме ожидания. Команда SET работает в независимом от коммутатора режиме, то есть физические коммутаторы, к которым подключена группа SET, не знают о команде SET и не распределяют трафик между участниками SET. Скорее, команда SET распределяет входящий сетевой трафик между участниками SET.

Типы виртуальных коммутаторов Hyper-V

Если посмотреть на виртуальный коммутатор Hyper-V, то можно увидеть три различных типа коммутаторов, которые можно настроить для использования. Они включают:

• Частный виртуальный коммутатор
• Внутренний виртуальный коммутатор
• Внешний виртуальный коммутатор

Частный виртуальный коммутатор

При использовании частного виртуального коммутатора виртуальный коммутатор обеспечивает связь только между подключенными виртуальными машинами, подключенными к частному виртуальному коммутатору.

Хорошим реальным применением частного виртуального коммутатора является использование с технологиями гостевой кластеризации для кластерного трафика.

Внутренний виртуальный коммутатор

Внутренний виртуальный коммутатор обеспечивает связь только между виртуальными адаптерами, подключенными к подключенным виртуальным машинам, и операционной системой управления. Это означает, что хост сможет видеть трафик внутреннего виртуального коммутатора.

Основное преимущество использования частного или внутреннего виртуального коммутатора заключается в изоляции трафика, чтобы гарантировать, что он не выйдет за пределы виртуального коммутатора. Единственный способ вывести трафик из частного или внутреннего виртуального коммутатора — использовать маршрутизатор для маршрутизации трафика наружу.

Внешний виртуальный коммутатор

Внешний виртуальный коммутатор — это наиболее распространенный тип виртуального коммутатора Hyper-V, который будет использоваться в большинстве сред, поскольку позволяет подключать виртуальные машины к физической сети. Внешний виртуальный коммутатор подключен к физическому сетевому адаптеру, установленному на узлах Hyper-V, что делает возможным обмен данными за пределами узла.

С помощью внешнего виртуального коммутатора виртуальные машины могут быть подключены к внешнему миру без какого-либо дополнительного механизма маршрутизации. Однако как для частных, так и для внутренних коммутаторов должна быть какая-то функция маршрутизации, позволяющая передавать трафик от внутренних/частных виртуальных коммутаторов наружу.

Логические коммутаторы Hyper-V

При использовании System Center в среде Hyper-V диспетчер виртуальных машин или структура VMM позволяет использовать виртуальный коммутатор Hyper-V другого типа — логические коммутаторы.

Логический коммутатор объединяет расширения виртуального коммутатора, профили портов и классификации портов, что позволяет единообразно настраивать сетевые адаптеры на нескольких хостах. Таким образом, несколько хостов могут иметь один и тот же логический коммутатор и связанные порты восходящей линии связи.

По ощущениям и функциям это похоже на администраторов VMware, имеющих опыт работы с распределенным виртуальным коммутатором. Конфигурация распределенного виртуального коммутатора хранится на уровне сервера vCenter. Затем конфигурация развертывается из vCenter на каждый хост, а не со стороны хоста.

Заключительные мысли

Виртуальный коммутатор Hyper-V — это мощная конструкция в области инфраструктуры Hyper-V. Разрешение входящего и исходящего сетевого трафика в среде Hyper-V имеет решающее значение для обеспечения возможности взаимодействия виртуальных машин друг с другом, а также с интрасетью и Интернетом в целом.

Как показано, виртуальный коммутатор Hyper-V — это мощная программно-определяемая сетевая технология, которая обеспечивает множество мощных функций, включая программируемость и расширяемость. Виртуальный коммутатор Hyper-V содержит множество замечательных функций безопасности, которые позволяют организациям применять политику и защищаться от многих распространенных сетевых атак.

Используя объединение SET с Windows Server 2016 и более поздних версий, Hyper-V может гораздо более эффективно использовать восходящие каналы и физические соединения. Hyper-V также обеспечивает гибкость в выборе типов и вариантов использования трех различных виртуальных коммутаторов Hyper-V — внешнего, внутреннего и частного.

Логические коммутаторы Hyper-V можно создавать с помощью System Center Virtual Machine Manager и предоставлять возможность создавать виртуальные коммутаторы, которые размещаются на уровне System Center и могут быть соответствующим образом применены к хостам Hyper-V. Каждый из них позволяет контролировать и разрешать прохождение сетевого трафика в среде Hyper-V различными способами.

Это позволяет создать стандартизированную и согласованную конфигурацию для всех хостов Hyper-V. Собственные инструменты Hyper-V позволяют создать стандартный виртуальный коммутатор, включая Hyper-V Manager и PowerShell.