Windows Server 2012的發(fā)布帶來(lái)很多新的特性，包括Hyper-V的可擴(kuò)展虛擬交換機(jī)。和其它的虛擬交換機(jī)類似，它可以把虛機(jī)連接到物理網(wǎng)卡。Windows Server 2012提供的核心特點(diǎn)是交換機(jī)的可擴(kuò)展性，允許第三方對(duì)其功能進(jìn)行擴(kuò)展。

可擴(kuò)展虛擬交換機(jī)如何工作

Windows Server 2012 Hyper-V可擴(kuò)展交換機(jī)通過(guò)由微軟或其第三方合作伙伴創(chuàng)建的擴(kuò)展包(NDIS-Network Driver Interface Specification 過(guò)濾驅(qū)動(dòng))，跟交換機(jī)的驅(qū)動(dòng)堆棧捆綁。這些交換機(jī)擴(kuò)展包可以在虛擬網(wǎng)絡(luò)內(nèi)完成普通的網(wǎng)絡(luò)監(jiān)控和過(guò)濾動(dòng)作。另外，交換機(jī)擴(kuò)展套件通過(guò)向網(wǎng)絡(luò)管理工具發(fā)送或接受虛擬網(wǎng)絡(luò)流量，可以實(shí)現(xiàn)對(duì)虛擬網(wǎng)絡(luò)的監(jiān)控甚至是修改。這使得擴(kuò)展套件不僅可以匯報(bào)虛擬網(wǎng)絡(luò)流量的狀態(tài)，而且扮演了防火墻或帶寬控制軟件的功能。

這種擴(kuò)展性可以實(shí)現(xiàn)允許重要應(yīng)用訪問(wèn)Hyper-V虛擬網(wǎng)絡(luò)，從而對(duì)Hyper-V管理員提供幫助。另外可以允許應(yīng)用直接訪問(wèn)虛擬網(wǎng)絡(luò)。例如網(wǎng)絡(luò)分析、防病毒或反惡意訪問(wèn)掃描、防火墻包過(guò)濾和帶寬控制等應(yīng)用(關(guān)于更多虛擬交換機(jī)擴(kuò)展套件和如何創(chuàng)建驅(qū)動(dòng)的內(nèi)容，微軟的網(wǎng)站有一部分關(guān)于Hyper-V虛擬交換機(jī)擴(kuò)展驅(qū)動(dòng)的內(nèi)容)。

去年的Microsoft TechEd峰會(huì)展出了幾款可以使用Hyper-V虛擬網(wǎng)絡(luò)功能的應(yīng)用：Cisco的Nexus 1000V for Windows 2012 Hyper-V、Inmon sFlow for Windows 2012 Hyper-V和NEC的OpenFlow for Windows 2012 Hyper-V 。

Windows 2012 Hyper-V無(wú)代理安全產(chǎn)品的工作原理

有一款獨(dú)特的產(chǎn)品是5nine Software公司的 Security Manager，宣稱是第一個(gè)用于Hyper-V的無(wú)代理安全解決方案。他們的產(chǎn)品通過(guò)Windows 2012 Hyper-V可擴(kuò)展交換機(jī)為Hyper-V虛擬網(wǎng)絡(luò)同提供防火墻、反病毒和防惡意訪問(wèn)以及入侵防護(hù)功能。

該公司期望Security Manager將替換Hyper-V虛擬架構(gòu)中現(xiàn)有的企業(yè)級(jí)防病毒方案。使用無(wú)代理防病毒軟件有這么幾個(gè)優(yōu)勢(shì)。虛機(jī)內(nèi)的無(wú)代理病毒掃描要比基于代理的方式速度快。在傳說(shuō)中，5nine Software宣稱他們的增量型無(wú)代理反病毒掃描要比基于代理的產(chǎn)品速度快70%。他們的觀點(diǎn)是每臺(tái)虛機(jī)運(yùn)行防病毒軟件時(shí)間的節(jié)省就相當(dāng)于節(jié)省了資源。這種資源的節(jié)省也意味著虛擬性能不會(huì)受到防病毒掃描的影響，而且不會(huì)對(duì)用戶體驗(yàn)有影響。通過(guò)無(wú)代理模式，可以避免“AV風(fēng)暴”的影響，而且不需要維護(hù)代理和在多臺(tái)服務(wù)器上保持防病毒軟件簽名的更新。對(duì)企業(yè)而言借助無(wú)代理防病毒方式可以提高虛機(jī)的整合比率，潛在地節(jié)省了服務(wù)器硬件費(fèi)用。

時(shí)間的節(jié)省是由于從未使用虛機(jī)的操作系統(tǒng),而是由Hyper-V宿主機(jī)替代，對(duì)虛機(jī)的虛擬磁盤(pán)文件進(jìn)行防病毒的增量掃描。增量掃描過(guò)程只對(duì)從上次掃描之后虛擬磁盤(pán)發(fā)生改變的數(shù)據(jù)塊進(jìn)行(不像虛機(jī)操作系統(tǒng)內(nèi)的防病毒代理會(huì)對(duì)所有改變的文件做掃描)。 

圖 1. 5nine Software的 Security Manager

5nine Software的 Security Manager對(duì)虛機(jī)工具進(jìn)行一次增量掃描大約花費(fèi)40s時(shí)間。

您還可以對(duì)進(jìn)出每臺(tái)虛機(jī)的流量制定過(guò)濾規(guī)則。這就是通過(guò)交換機(jī)擴(kuò)展包Security Manager完成了實(shí)時(shí)的虛擬網(wǎng)絡(luò)流量過(guò)濾、監(jiān)控和帶寬控制。您將看到通過(guò)對(duì)Hyper-V虛機(jī)部署集中控制的虛擬防火墻，我可以創(chuàng)建進(jìn)出規(guī)則并監(jiān)控允許和拒絕訪問(wèn)的流量。

前面我們介紹了可擴(kuò)展虛擬交換機(jī)如何工作以及Windows 2012 Hyper-V無(wú)代理安全產(chǎn)品的工作原理。了解這些以后，在實(shí)施過(guò)程中，Hyper-V管理員還應(yīng)該注意一些事項(xiàng)。

Hyper-V管理員應(yīng)該考慮的三件事

我們看到Windows 2012 Hyper-V虛擬交換機(jī)現(xiàn)在可以提供擴(kuò)展套件，以及相關(guān)的新產(chǎn)品如何創(chuàng)建，包括5nine Software的Security Manager for Hyper-V可以完成的工作。那么Hyper-V管理員應(yīng)該怎么行動(dòng)來(lái)享受Windows 2012 Hyper-V可擴(kuò)展交換機(jī)提供的新功能?

1.　重新評(píng)估傳統(tǒng)的安全產(chǎn)品：牢記從物理服務(wù)器到虛機(jī)遷移時(shí)，傳統(tǒng)的備份和安全產(chǎn)品可能會(huì)無(wú)法工作。

2.　考慮其它的方案：Hyper-V和可擴(kuò)展交換機(jī)可以做一些以前不敢想象的事情。例如，假如您因?yàn)閾?dān)心對(duì)服務(wù)器性能的影響而沒(méi)有在物理服務(wù)器上使用防病毒產(chǎn)品。那么借助Hyper-V和類似5nine Software的Security Manager這樣的防病毒產(chǎn)品，您可以在不傷害性能的前提下對(duì)所有的服務(wù)器進(jìn)行保護(hù)。類似的，您之前可能無(wú)法想象可以在數(shù)據(jù)中心的所有服務(wù)器之前運(yùn)行共享的防火墻——現(xiàn)在通過(guò)Hyper-V和可擴(kuò)展交換機(jī)也變得可行。

3.　測(cè)試和學(xué)習(xí)：隨著最新hypervisor及其新功能的發(fā)布(類似可擴(kuò)展交換機(jī)的功能)，對(duì)于管理員是時(shí)候花一些時(shí)間測(cè)試和學(xué)習(xí)這些解決方案如何幫助他們改善虛擬架構(gòu)管理。如果不自己測(cè)試一下，這些功能的價(jià)值很難想象出來(lái)。