Віртуалізація мережі в Hyper-V. Налаштування

1. Включення фільтра Windows Network Virtualization (WNV)
2. Включення NV для логічних мереж
3. Створення мереж віртуальних машин (VM Network) і пулів IP-адрес
4. Створення шаблонів віртуальних машин (VM Template)
5. Розгортання ВМ з використанням підготовлених шаблонів

Наша взаимовыгодная связь https://banwar.org/

На хості з розгорнутою роллю Hyper-V є кілька командлетів PowerShell, за допомогою яких виконується настройка необхідної конфігурації NV. Основних командлет чотири:

Як завжди для PowerShell, існують аналогічні команди з префіксами Get-, Set-, Remove- для отримання поточних параметрів, зміни і видалення відповідно.

Ще пара командлетів, Get-NetVirtualizationGlobal і Set-NetVirtualizationGlobal дозволяють визначити (і, відповідно, задати), використовується чи зовнішній Gateway для маршрутизації трафіку.

Найпростіший спосіб познайомитися з перерахованими Командлети - вивчити і спробувати застосувати в тестовому середовищі два скрипта-прикладу, розроблених моїми колегами. Кожен скрипт містить детальні коментарі, опис модельованої середовища і вказівку на ті змінні і константи, які вам необхідно замінити на власні значення. Знайти та завантажити скрипти можна тут:

Перевіряв особисто, працює. 🙂 Але, думаю очевидно, що в масштабах ЦОД-а маніпуляція подібними скриптами перетворюється в вкрай складне завдання. Тому далі набагато більш детально я розгляну настройку NV за допомогою VMM.

Технологія NV є частиною Hyper-V в Windows Server 2012. System Center підтримує Windows Server 2012, починаючи з версії System Center 2012 SP1. Тут і далі мова йде про VMM саме з System Center 2012 SP1. Я припускаю, що VMM вже розгорнуто, хости Hyper-V в нього додані, тому буду звертати увагу тільки на ті настройки, які безпосередньо пов'язані з NV.

Налаштування NV за допомогою VMM складається з наступних кроків:

1. Включення фільтра Windows Network Virtualization (WNV) на хостах з піднятою роллю Hyper-V.
2. Включення NV для потрібних логічних мереж.
3. Створення мереж віртуальних машин (VM Network) і пулів IP-адрес.
4. Створення шаблонів віртуальних машин (VM Template) з прив'язкою до потрібних мереж віртуальних машин.
5. Розгортання ВМ з використанням підготовлених в п. 4 шаблонів.

Розглянемо послідовно кожен крок.

Включення фільтра Windows Network Virtualization (WNV)

вручну
Нагадаю, що правила, що визначають роботу NV, задаються в так званій політиці віртуалізації. Певні налаштування, задані в політиці віртуалізації, безпосередньо до мережевих пакетів застосовуються драйвером-фільтром рівня NDIS (Network Driver Interface Specification), званим Windows Network Virtualization (WNV). Цей фільтр необхідно включити на тих хостах Hyper-V, на яких планується використовувати NV. Вручну це робиться у властивостях фізичного мережевого адаптера хоста. Підкреслюю, саме фізичного адаптера, а не віртуального, який, як правило, створюється при налаштуванні зовнішнього світча Hyper-V.

За допомогою Logical Switch
В якості альтернативи ручній настройці можна використовувати що з'явився в VMM 2012 SP1 механізм логічних світчей (Logical Switch). Більш докладний опис налаштувань мережі в VMM можна знайти ось в цьому пості Георгія Гаджиєва. Тут же коротко згадаю, що логічний свитч необхідний для того, щоб застосувати заданий набір налаштувань до мережевих адаптерів і світча Hyper-V Extensible Switch на безлічі хостів. Знайти описані нижче налаштування можна в розділі «Fabric», підрозділі «Networking» консолі VMM. Фактично в логічному світче можна задати три групи налаштувань: налаштування для фізичних мережевих адаптерів хостів, настройки для віртуальних мережевих адаптерів ВМ (а точніше, для портів Hyper-V Extensible Switch, до яких ВМ підключаються) і настройки для розширень (extensions) Hyper-V Extensible Switch.

Перша група налаштувань, а саме вона нас найбільше цікавить, задається шляхом створення спеціального профілю, який називається Uplink Port Profile. У профілі необхідно встановити чекбокс, показаний на малюнку, завдяки якому і буде надалі включений фільтр WNV.

Друга група налаштувань задається шляхом створення профілю, який називається Virtual Adapter Port Profile. В цьому профілі немає налаштувань, безпосередньо пов'язаних з NV, але саме там можна задати різні параметри безпеки світча (наприклад, DHCP Guard), продуктивності (наприклад, IP Sec offload), обмеження трафіку (Quality of Service).

Ну а далі при створенні логічного світча можна вказати необхідні розширення для Hyper-V Extensible Switch, вибрати Virtual Adapter Port Profile і, найголовніше, додати Uplink Port Profile, в якому ми позначили чекбокс «Enable Windows Network Virtualization».

Тим самим, ми створили певний набір налаштувань у вигляді логічного світча. Залишається застосувати створений логічний свитч до необхідних хостам Hyper-V, а як наслідок, застосуються до хостів і всі налаштування цього логічного світча. Для цього в консолі VMM у властивостях хоста переходимо на закладку Virtual Switches, натискаємо «New Virtual Switch», потім «New Logical Switch» і вибираємо потрібний логічний свитч. Перевіряємо, що для необхідного фізичного мережевого адаптера застосовується той самий Uplink Port Profile.

Включення NV для логічних мереж

Наступний крок - включення NV для необхідних логічних мереж (Logical Networks). Логічні мережі в VMM дозволяють адміністратору описати фізичну мережеву топологію ЦОД-а. Це опис надалі допомагає істотно спростити підключення ВМ до необхідних мережевих сегментах. Схожим чином адміністратор Active Directory (AD) за допомогою сайтів і підмереж описує фізичну мережу підприємства для оптимізації трафіку реплікації AD. Стосовно ж до NV логічні мережі VMM не просто описують реальну мережеву топологію, а й визначають простір PA-адрес, які будуть використовуватися для передачі пакетів між ВМ на різних хостах.

Отже, уявімо собі, що у фізичній мережі використовується IP-адресація з діапазону 192.168.1.0/24. Нам же необхідно поверх цієї мережі віртуалізованних мережі двох компаній ВАТ «Сині» і ВАТ «Червоні». Причому обидві компанії використовують однаковий діапазон IP-адрес, а саме: 10.0.0.0/24.

Створюємо логічну мережу (кнопка меню «Create Logical Network») і на першому ж екрані дозволяємо для цієї мережі NV:

На наступному екрані створюємо сайт і вказуємо, які групи хостів можуть цей сайт використовувати (фактично в ньому розташовуються) і які IP-підмережі цього сайту належать.

Тепер для цієї логічної мережі необхідно створити пул IP-адрес. В контексті NV саме з цього пулу VMM виділятиме PA-адреса і асоціювати з ВМ і налаштованими всередині них CA-адресами. В консолі VMM натискаємо «Create IP Pool», задаємо ім'я пулу і на наступному екрані вказуємо для якого сайту і який IP-підмережі створюємо пул.

Потім необхідно зазначити діапазон IP-адрес і, якщо потрібно, якісь адреси зарезервувати. Наприклад так:

На наступних екранах можна вказати адресу шлюзу, а також адреси серверів DNS і WINS. Тепер, коли логічна мережа створена і налаштована, залишається вказати, які конкретно хости Hyper-V будуть з нею асоційовані, або іншими словами, на яких хостах можуть бути запущені ВМ, що вимагають доступ до цієї мережі. У властивостях хостів на закладці «Hardware» треба вибрати мережевий адаптер хоста і позначити відповідну логічну мережу.

Створення мереж віртуальних машин (VM Network) і пулів IP-адрес

На попередніх етапах ми включили фільтр WNV і налаштували логічну мережу з пулом IP-адрес, який буде використовуватися для виділення PA-адрес. Таким чином, ми підготували фізичну інфраструктуру або, в термінології VMM, підготували Fabric. Тепер поверх цієї інфраструктури можна створювати і віртуалізовивать довільні мережі клієнтів нашого ЦОД-а. В даному сценарії цими клієнтами, як ви пам'ятаєте, є компаній ВАТ «Сині» і ВАТ «Червоні», які використовують однакову підмережа 10.0.0.0/24.

З виходом SP1 для System Center 2012 у VMM з'явився новий тип об'єктів - мережа віртуальних машин (VM Network), далі просто «мережу ВМ». В першу чергу, цей тип об'єктів призначений для NV, хоча, як ви побачите в подальшому, навіть якщо NV не використовується, як мінімум одну мережу ВМ створити необхідно. Ну а в нашому випадку, очевидно, потрібно створити дві мережі ВМ для «Синіх» та «Червоних» відповідно. Процес цей дуже схожий на створення логічної мережі - ми створюємо мережу ВМ, визначаємо в ній один або кілька сайтів із зазначенням підмереж, потім створюємо для підмереж пули IP-адрес. Але ці пули вже будуть використовуватися для виділення CA-адрес віртуальним машинам.

Отже, в консолі VMM переходимо в розділ «VMs and Services» і натискаємо кнопку «Create VM Network». У першому вікні задаємо ім'я створюваної мережі і вибираємо зі списку логічний мережу, поверх якої буде працювати дана мережа ВМ.

Наступний крок дуже важливий. Коль скоро ми налаштовуємо NV, вибираємо верхній пункт. Він буде доступний для вибору тільки в тому випадку, якщо для логічної мережі, зазначеної на попередньому кроці, була включена підтримка NV, що ми вже зробили.

Але тут же хотів би звернути вашу увагу на другу опцію «No Isolation». Якщо виберемо її, то зазначимо тим самим VMM, що віртуальні машини цієї мережі повинні безпосередньо (без ізоляції) підключатися до логічної мережі. Ніяких додаткових налаштувань в цьому випадку вже не буде потрібно. Створювані потім ВМ буду отримувати IP-адреси з пулів, налаштованих безпосередньо в логічній мережі. Тобто опцію «No Isolation» ви вибираєте в тому випадку, коли технологія NV вам не потрібна. І тому закономірно, що для кожної логічної мережі можна створити тільки одну мережу ВМ без ізоляції.

Ми ж рухаємося далі і в наступному вікні створюємо підмережа (одну або кілька), яка потрібна клієнтові.

На завершальному екрані майстра вибираємо спосіб взаємодії ВМ створюваної мережі з зовнішнім світом. Оскільки ми не налаштовували спеціально зовнішній шлюз (про це мова піде в наступному пості), то вибір тут один - «No Connectivity», що означає, що ВМ зможуть взаємодіяти тільки в межах цієї мережі ВМ.

Останнє завдання даного етапу - налаштувати для створеної мережі ВМ пули адрес, тобто CA-адреси. В консолі VMM вибираємо мережу ВМ і натискаємо «Create IP Pool». На першому екрані перевіряємо, що вказані потрібні мережу ВМ і підмережа:

На другому задаємо діапазон IP-адрес для ВМ:

Вказуємо шлюз:

При необхідності задаємо далі адреси серверів DNS і WINS. Мережа «Червоних» налаштована. Повторюємо процедуру для ВАТ «Сині» і в результаті отримуємо ось таку картину:

Налаштування власне віртуалізації мережі на цьому завершена. Якщо згадати концепцію і архітектуру NV, описані мною в попередньому пості, то стає зрозуміло, що VM Network відповідає терміну Customer Network, а VM Subnet - терміну Virtual Subnet. Дійсно, якщо за допомогою командлетів Get-SCVMNetwork і Get-SCVMSubnet отримати інформацію про створені тільки що нами об'єктах, то у відгуку першого командлет серед іншого ви побачите Routing Domain ID (RDID), а другого - Virtual Subnet ID (VSID).

Залишається створити шаблони ВМ для кожної мережі, і на їх основі можна буде розгортати необхідну кількість «Синіх» та «Червоних» ВМ.

Створення шаблонів віртуальних машин (VM Template)

Процедура створення шаблонів для ВМ, які будуть використовувати NV, абсолютно стандартна і по суті нічим не відрізняється від створення шаблонів для будь-яких інших ВМ. Єдине, на що треба звернути увагу, що віртуальний мережевий адаптер підключений до потрібної мережі ВМ. Наприклад, для шаблону «Червоних» ця настройка виглядає наступним чином:

Параметр «Static IP» вказує VMM на те, що при створенні ВМ з цього шаблону необхідно виділити статичний IP-адресу з пулу, пов'язаного з мережею Red_VMnet01. А оскільки для цієї мережі включена технологія NV, то виділений адреса буде CA-адресою. Крім того, в процесі розгортання віртуальної машини VMM виділить з пулу, пов'язаного з відповідною логічною мережею, PA-адреса, асоціює пару CA-адреса / PA-адреса і пропише необхідні рядки в політику віртуалізації того хоста, на якому буде розгорнута ВМ. Якщо в ЦОД-е використовується динамічна адресація, то IP-адреси можуть виділятися не з пулів VMM, а зі Скоп'є DHCP-сервера, і в цьому випадку в шаблоні ВМ необхідно вибрати параметр «Dynamic IP».

Розгортання ВМ з використанням підготовлених шаблонів

Тепер все повністю готове, і можна розгортати ВМ на основі підготовлених шаблонів. Натискаємо кнопку «Create Virtual Machine» і вибираємо потрібний шаблон.

Якщо всі перераховані кроки виконані без помилок, то для експерименту можна створити пару «Червоних» і пару «Синіх» ВМ на одному або декількох фізичних хостах Hyper-V і переконатися в тому, що отримані ВМ працюють з адресами з мережі 10.0.0.0/24 , можливо навіть IP-адреси «Синіх» та «Червоних» повністю збігаються, але при всьому при цьому «Червоні» бачать один одного і повністю ізольовані від «Синіх».

Давайте подивимося, як виглядає відгук одного із згаданих на початку поста командлетів в моїй тестової середовищі. Нижче фактично зображена політика віртуалізації на одному з вузлів:

Зокрема видно, що машині Red-Web1 був виділений CA-адреса 10.0.0.2 (перший доступний адреса в пулі) і асоційований з PA-адресою 192.168.1.52. ВМ належить підмережі з VSID = 15184632 і відноситься до Customer Network з ідентифікатором RDID = {206146EB-F035-4A19-A625-054C49DEEBD7}.

Ще один дуже цікавий параметр «Rule» зі значенням «TranslationMethodEncap» говорить про те, що для віртуалізації IP-адрес використовується механізм NVGRE. Цей механізм застосовується за умовчанням при налаштуванні NV в VMM і рекомендується для більшості сценаріїв віртуалізації мережі. Можна перевірити роботу механізму інкапсуляції, зробивши c машини Red-Web1 ping на адресу 10.0.0.3 і подивившись мережевим монітором на структуру переданих пакетів.

По-перше, можна спостерігати, що пінг передаються у вигляді GRE-пакетів між хостами з PA-адресами 192.168.1.52 і 192.168.1.53. По-друге, в заголовку GRE зазначено, що всередині лежить пакет деякого протоколу з номером 0x6558 (виділено на малюнку синім), яким і є стандарт NVGRE. По-третє, за специфікацією NVGRE наступні 24 біта (обведені червоним) містять VSID. Дійсно, якщо 0xE7B2F8 перевести в десятковий вигляд, отримаємо VSID = 15184632, що є підмережею «Червоних».

Таким чином, ми налаштували і виконали перевірку працездатності технології Hyper-V Network Virtualization. Однак мабуть, це не більше ніж лабораторні випробування, оскільки ми не забезпечили взаємодію ВМ із зовнішнім світом. Про те, як це виглядає з архітектурної точки зору і як налаштовується, поговоримо в наступному пості.

А поки ви можете:

Сподіваюся, матеріал був корисний.

Дякуємо!

habrahabr.ru