Windows Server 2012的发布带来很多新的特性,包括Hyper-V的可扩展虚拟交换机。和其它的虚拟交换机类似,它可以把虚机连接到物理网卡。Windows Server 2012提供的核心特点是交换机的可扩展性,允许第三方对其功能进行扩展。
可扩展虚拟交换机如何工作
Windows Server 2012 Hyper-V可扩展交换机通过由微软或其第三方合作伙伴创建的扩展包(NDIS-Network Driver Interface Specification 过滤驱动),跟交换机的驱动堆栈捆绑。这些交换机扩展包可以在虚拟网络内完成普通的网络监控和过滤动作。另外,交换机扩展套件通过向网络管理工具发送或接受虚拟网络流量,可以实现对虚拟网络的监控甚至是修改。这使得扩展套件不仅可以汇报虚拟网络流量的状态,而且扮演了防火墙或带宽控制软件的功能。
这种扩展性可以实现允许重要应用访问Hyper-V虚拟网络,从而对Hyper-V管理员提供帮助。另外可以允许应用直接访问虚拟网络。例如网络分析、防病毒或反恶意访问扫描、防火墙包过滤和带宽控制等应用(关于更多虚拟交换机扩展套件和如何创建驱动的内容,微软的网站有一部分关于Hyper-V虚拟交换机扩展驱动的内容)。
去年的Microsoft TechEd峰会展出了几款可以使用Hyper-V虚拟网络功能的应用:Cisco的Nexus 1000V for Windows 2012 Hyper-V、Inmon sFlow for Windows 2012 Hyper-V和NEC的OpenFlow for Windows 2012 Hyper-V 。
Windows 2012 Hyper-V无代理安全产品的工作原理
有一款独特的产品是5nine Software公司的 Security Manager,宣称是第一个用于Hyper-V的无代理安全解决方案。他们的产品通过Windows 2012 Hyper-V可扩展交换机为Hyper-V虚拟网络同提供防火墙、反病毒和防恶意访问以及入侵防护功能。
该公司期望Security Manager将替换Hyper-V虚拟架构中现有的企业级防病毒方案。使用无代理防病毒软件有这么几个优势。虚机内的无代理病毒扫描要比基于代理的方式速度快。在传说中,5nine Software宣称他们的增量型无代理反病毒扫描要比基于代理的产品速度快70%。他们的观点是每台虚机运行防病毒软件时间的节省就相当于节省了资源。这种资源的节省也意味着虚拟性能不会受到防病毒扫描的影响,而且不会对用户体验有影响。通过无代理模式,可以避免“AV风暴”的影响,而且不需要维护代理和在多台服务器上保持防病毒软件签名的更新。对企业而言借助无代理防病毒方式可以提高虚机的整合比率,潜在地节省了服务器硬件费用。
时间的节省是由于从未使用虚机的操作系统,而是由Hyper-V宿主机替代,对虚机的虚拟磁盘文件进行防病毒的增量扫描。增量扫描过程只对从上次扫描之后虚拟磁盘发生改变的数据块进行(不像虚机操作系统内的防病毒代理会对所有改变的文件做扫描)。
图 1. 5nine Software的 Security Manager
5nine Software的 Security Manager对虚机工具进行一次增量扫描大约花费40s时间。
您还可以对进出每台虚机的流量制定过滤规则。这就是通过交换机扩展包Security Manager完成了实时的虚拟网络流量过滤、监控和带宽控制。您将看到通过对Hyper-V虚机部署集中控制的虚拟防火墙,我可以创建进出规则并监控允许和拒绝访问的流量。
前面我们介绍了可扩展虚拟交换机如何工作以及Windows 2012 Hyper-V无代理安全产品的工作原理。了解这些以后,在实施过程中,Hyper-V管理员还应该注意一些事项。
Hyper-V管理员应该考虑的三件事
我们看到Windows 2012 Hyper-V虚拟交换机现在可以提供扩展套件,以及相关的新产品如何创建,包括5nine Software的Security Manager for Hyper-V可以完成的工作。那么Hyper-V管理员应该怎么行动来享受Windows 2012 Hyper-V可扩展交换机提供的新功能?
1. 重新评估传统的安全产品:牢记从物理服务器到虚机迁移时,传统的备份和安全产品可能会无法工作。
2. 考虑其它的方案:Hyper-V和可扩展交换机可以做一些以前不敢想象的事情。例如,假如您因为担心对服务器性能的影响而没有在物理服务器上使用防病毒产品。那么借助Hyper-V和类似5nine Software的Security Manager这样的防病毒产品,您可以在不伤害性能的前提下对所有的服务器进行保护。类似的,您之前可能无法想象可以在数据中心的所有服务器之前运行共享的防火墙——现在通过Hyper-V和可扩展交换机也变得可行。
3. 测试和学习:随着最新hypervisor及其新功能的发布(类似可扩展交换机的功能),对于管理员是时候花一些时间测试和学习这些解决方案如何帮助他们改善虚拟架构管理。如果不自己测试一下,这些功能的价值很难想象出来。