Embed Size (px)
Citation preview
Microsoft私有云基础部署包 架构和规模指南
2
Microsoft 提供的私有云基
础部署包可为 Microsoft 合作伙伴提供下列帮助:
通过提供有关借助Microsoft 虚拟化技术规划和交付私有云解决方案的最佳实践,加速实践的实施。
通过提供交付服务器虚拟化场景的方法,降低培训成本。
通过提供 Microsoft 架构师和顾问所遇到的问题和解决方案的真实案例,降低风险。
该私有云基础部署包适合:
顾问服务管理、销售,以及交付角色。
希望了解私有云部署方式的软硬件供应商。
对规划和处理私有云管理工作感兴趣的许可和分销商。
简介
架构和规模指南介绍了在针对私有云基础架构设计服务器架构时,所
需考虑的有关设计、硬件、软件,以及支持等需要考虑的问题。
本指南简要介绍了最小系统需求、支持的操作系统、宿主服务器架构
模式、以及存储设计和服务器设计需要考虑的内容,适用于部署带
Hyper-V™虚拟化技术的 Microsoft Windows Server® 2008 R2 操作系统、
System Center Virtual Machine Manager 2008 R2,以及 System Center
Virtual Machine Manager Self Service Portal 2.0。
本参与管理指南连同其他五个部分,同属于 Microsoft 私有云基础部署
包的一部分,该部署包完全构建于 Microsoft 顾问服务的框架之上,
Microsoft 顾问服务已在全球 82 个国家和地区参与服务器虚拟化交付工
作长达多年时间。
3
目录
组件概述 4
带 Hyper-V ™的 Microsoft Windows Server ® 2008 R2 5
System Center Virtual Machine Manager 2008 R2 5
SCVMM 2008 R2 Self-Service Portal 2.0 5
前提条件 7
带 Hyper-V™的 Microsoft Windows Server ® 2008 R2 7
Windows Server 2008 R2 和 Hyper-V 的系统需求 7
独立宿主机架构模式 9
独立宿主机存储架构 10
宿主服务器架构 15
操作系统架构 20
Hyper-V 架构 21
虚拟网络 28
安全考虑 30
宿主机的规模和整合规划 34
整合候选者的负载分析 35
宿主服务器的架构模式 35
定义来宾的硬件配置文件 35
对宿主机和来宾服务器架构进行性能评测 36
计算所需的宿主服务器数量 37
System Center Virtual Machine Manager 2008 R2 38
System Center Virtual Machine Manager 组件 38
System Center Virtual Machine Manager 服务器安置 41
存储的考虑 43
安全方面的考虑 45
监控和报表 46
物理到虚拟迁移工作的规划 47
System Center Virtual Machine Manager 自助服务门户 2.0(VMMSSP)............................................................ 50
VMMSSP 的组件 50
4
硬件需求 51
VMMSSP 架构模式 52
安全方面的考虑 54
监控和报表 56
参考资源 58
Microsoft 解决方案加速器 58
Microsoft.com 59
组件概述
5
带 Hyper-V ™的 Microsoft Windows Server ® 2008 R2
在动态的、虚拟化的基础架构中,宿主服务器是重要组件之一。宿主
服务器可运行带 Hyper-V ™技术的 Windows Server® 2008 R2 操作系统,
可为来宾虚拟机的运行提供基础,并可在来宾系统和 Microsoft® System
Center Virtual Machine Manager 之间提供管理接口。
下文将详细讨论有关宿主服务器的设计和容量等内容,另外还将介绍
一些服务器架构方面的建议。这里所建议的服务器架构可作为设计流
程的起点,并为最终的设计提供基础。
有关如何开始安装和配置 Microsoft Windows Server 2008 R2 Hyper-V 的
指导,可参考:
http://technet.microsoft.com/en-us/library/cc732470(WS.10).aspx
System Center Virtual Machine Manager 2008 R2
管理虚拟基础架构的首选工具是 System Center Virtual Machine
Manager。System Center Virtual Machine Manager 可将虚拟化环境进行
更大范围的扩展,并可由针对小型环境的单一服务器设计全面扩展为
分布式企业级环境,管理数千台正在运行的虚拟机以及上百台宿主
机。
Virtual Machine Manager 可提供下列主要功能:
针对管理运行在 Windows Server® 2008 Hyper–V™以及 Microsoft
Hyper-V Server 上的虚拟机而设计。
可支持运行在 Microsoft Virtual Server 和 VMware ESX 上的虚拟机。
对将物理服务器整合到一个虚拟化架构的工作提供端到端支持。
针对虚拟化基础架构的动态性和响应性管理提供性能和资源优化
(PRO)(要求使用 System Center Operations Manager)。
可将虚拟化负载智能安置到状况最佳的宿主服务器上。
通过完整的库功能集中管理虚拟化数据中心的所有构件。
有关安装和配置 System Center Virtual Machine Manager 2008 R2 的详细
指导,请参考:
http://technet.microsoft.com/en-us/systemcenter/vmm/default.aspx
SCVMM 2008 R2 Self-Service Portal 2.0
通过使用 Microsoft System Center Virtual Machine Manager Self-Service
Portal 2.0,企业数据中心即可将基础架构作为一种服务,提供给企业中
6
的业务单元。该自助服务门户为组织中不同部门提供了一种管理自己
IT 需求的新方法,同时将组织中的基础架构集中为可管理的物理资源
(服务器、网络,以及其他相关硬件)池。
这一自助门户包含三个组件:
VMMSSP 网站。一种基于 Web 的组件,可为自助服务门户提供
用户界面。通过 VMMSSP 网站,基础架构管理员即可执行不同任
务,例如在自助服务门户中池化基础架构中的资产,扩展虚拟机
的操作,创建业务单元和基础架构请求,验证并审批请求,以及
交付虚拟机(使用自助服务虚拟机交付功能)。管理员还可使用
VMMSSP 网站查看与这些任务相关的信息。
VMMSSP 数据库。 一个 SQL Server 数据库,其中保存了有关已配
置资产、业务单元和请求,以及针对不同业务单元已经交付的内
容的相关信息。该数据库还可存储 XML,可将默认和自定义的虚
拟机操作以及与自助服务门户本身的配置有关的信息进行编码。
VMMSSP 服务器。 一个 Windows 服务,可运行用户通过
VMMSSP 网站申请的默认以及自定义的虚拟机操作。
参与自助服务门户系统的业务单元可使用门户执行下列操作:
使用标准化的表单申请新的基础架构,或更改基础架构组件。 每个业
务单元都可以向基础架构管理员提交申请,使用标准化的表单则
可确保基础架构管理员获得批准该申请所需的全部信息,而不需
要反复联系业务单元要求提供详情。
创建和管理虚拟机。 VMMSSP 网站包含了自助服务交付表单,业
务单元可使用该表单直接创建虚拟机。当业务单元提交创建虚拟
机的请求后,自助服务门户会开始进行自动化的交付操作,这样
可用比普通方法更快速更高效的方式创建虚拟机。
委派虚拟机的管理。 每个业务单元还可以委派自己的管理员、高
级操作员,以及用户。
基础架构管理员可使用自助服务门户执行下列操作:
扩展默认虚拟机操作,以满足数据中心特点。 您可以与技术合作伙
伴和硬件供应商合作,以修改自助服务门户用于创建和管理虚拟
机的标准“操作”。通过这种方式,即可扩展自助服务门户以使
用特定的存储区域网络(SAN)和负载均衡器等。
简化加入业务单元的流程,并定义其需求。 自助服务门户可收集有关
业务单元的信息,以及所需资源的详情。
简化为业务单元验证和交付资源的流程。 数据中心管理员可使用自助
服务门户根据业务单元的请求分配资源。
控制这些资源的变动流程。 对这些资源的变动都需要通过请求并审批
7
的生命周期,而且所有请求都会被记载到数据库中。
前提条件
System Center Virtual Machine Manager 2008 R2 提供了一系列功能和特
性。然而,本文档只提供了使用 System Center Virtual Machine Manager
2008 R2 操作独立 Hyper-V 主机的信息,并将其作为使用 Self-Service
Portal v2.0 管理主机上虚拟机自动化交付工作的基础。另外本文档还提
供了使用物理到虚拟(P2V),以及虚拟到虚拟(V2V)方法进行服务
器整合的相关信息。
按照设计,Microsoft System Center Virtual Machine Manager 可充分利用
Windows® Server 和 Microsoft® System Center 家族产品的最新功能和特
性。因此 System Center Virtual Machine Manager 只能安装在 Windows
Server® 2008 或 Windows Server® 2008 R2 上,并且需要使用 Microsoft®
SQL Server® 2008 才能满足 SSP 2.0 的需求。
带 Hyper-V™的 Microsoft Windows Server ® 2008 R2
Windows Server 2008 R2 和 Hyper-V 的系统需求
本节将介绍对于运行 Hyper-V™角色的 Windows Server® 2008 R2 服务器
所能支持的操作系统和最低系统需求。本文档的后续内容还将详细介
绍安装和配置过程。
支持的宿主机操作系统:
带 Hyper-V™的 Windows Server® 2008 R2 Standard Edition x64
带 Hyper-V™的 Windows Server® 2008 R2 Enterprise Edition x64
带 Hyper-V™的 Windows Server® 2008 R2 Datacenter Edition x64
注意
Standard Edition 不支持 Hyper-V™高可用性配置。
本文档并未涉及 Microsoft® Hyper-V™ Server R2,该版本可支持高可
用性配置。
Intel 处理器需求:
8
x64 架构处理器
支持 Hardware Execute Disable 功能
Intel® VT 硬件虚拟化功能
AMD 处理器需求:
x64 架构处理器
支持 Hardware Execute Disable 功能
AMD-V®硬件虚拟化功能
最低 CPU 速度:1.4 GHz
内存:最少 512 MB 内存
所需可用磁盘空间:10 GB 可用磁盘空间
注意
超过 16 GB 内存的计算机需更多磁盘空间保存分页和转储文件。
Hyper-V R2 主机限制
功能 Windows
Server® 2008
R2 Standard
Edition
Windows Server®
2008 R2
Enterprise Edition
Windows
Server® 2008 R2
Datacenter
Edition
支持的逻
辑处理器
数量
64 LP 64 LP 64 LP
物理内存
支持
最多 32 GB 最多 1 TB 最多 1 TB
虚拟机最
大数量
每逻辑核心最
多 8 个虚拟处
理器,或共
384 个虚拟
机,取较低者
每逻辑核心最多
8 个虚拟处理
器,或共 384 个
虚拟机,取较低
者
每逻辑核心最
多 8 个虚拟处
理器,或共 384
个虚拟机,取
较低者
VM 许可 每许可提供 1
个免费虚拟机
许可
每许可提供 4 个
免费虚拟机许可
无限制
注意
9
这些限制仅适用于 Hyper-V R2 角色,而非 Windows Server 操作系
统。
Hyper-V R2 来宾系统限制
x86 或 x64 操作系统
最多 4 颗逻辑处理器
每来宾系统最多 64 GB 内存
最多 4 个 IDE 设备
最多 4 个 SCSI 控制器,每控制器最多支持 64 个磁盘
最多 4 个传统(Legacy)网络适配器
最多 8 个虚拟(Synthetic)网络适配器
支持的操作系统 虚拟处理器数
量
1 2 4
Windows Server® 2008 R2 x x x
Windows Server® 2003 x86x64 w/ SP2 x x
Windows® 2000 Server & Advanced Server w/ SP4 x
Windows® HPC Server 2008 x x x
SUSE® Linux Enterprise Server 10 x86x64 w/ SP1/SP2 x
Red Hat® Enterprise Linux? x
Windows 7 x x x
Windows Vista® x86/x64 w/ SP1 x x
Windows® XP Pro x64 w/ SP2 & x86 w/ SP3 x x
Windows® XP Pro x86 w/ SP2 x
独立宿主机架构模式
Hyper-V 单宿主服务器架构
单宿主服务器架构模式如下图所示。该架构包含一台运行带 Hyper-V 的
Windows Server 2008 R2 宿主服务器,并运行了一定数量的来宾虚拟
机。这种模式可提供服务器整合,但无法提供高可用性。宿主服务器
存在单点故障可能,并且如果宿主服务器需要维护或重启动,要求必
须将虚拟机来宾系统置于保存状态或关闭状态。
10
独立宿主机存储架构
宿主服务器所用的存储系统的设计将对主机和来宾系统的性能产生巨
大影响。影响存储性能的因素非常复杂,涉及驱动器、接口、控制
器、缓存、协议、SAN、HBA、驱动程序,以及操作系统等多方面因
素。存储系统的整体性能通常是用最大吞吐率、每秒最多 IO 操作数量
(IOPS)以及延迟或响应时间等术语衡量的。虽然上述几方面因素都
很重要,但 IOPS 和延迟对服务器虚拟化是最重要的。
本节将介绍存储系统方面的不同考虑,并提供有关整体架构模式方面
的建议。
存储连通性
宿主服务器可通过三种不同方式访问特定磁盘或存储阵列:直接附加
存储、iSCSI 存储区域网络,以及光纤通道存储区域网络。
直接附加存储
直接附加存储通常是指在宿主服务器本身内部连接的硬盘驱动器,或
安装在专用存储阵列设备中,并直接通过 SCSI、SAS,或 eSATA 接口连
接到服务器的硬盘驱动器。宿主服务器通过使用内部的 SCSI、SAS,或
SATA 控制器卡,即可访问存储,并获得不同级别的 RAID。这样的存储
阵列通常只能被特定服务器使用。
iSCSI 存储区域网络
iSCSI 是一种日益流行开来的存储网络技术,可通过 SCSI 协议借助
TCP/IP 网络基础架构传输数据。iSCSI 使得我们可以使用标准的以太网
组件,例如网卡、交换机,以及路由器等创建出存储区域网络。典型
Windows Server 2008 with Hyper-V
Host Server
11
的 iSCSI SAN 在实施方面要比传统的光纤通道 SAN 更廉价。使用 iSCSI
架构的存储阵列通常属于中低端阵列设备,可被多台宿主服务器共享
使用。为了留有冗余,通常建议对 iSCSI 连接使用千兆以太网卡。
光纤通道存储区域网络
光纤通道存储区域网络可为存储阵列提供更高速度,更低延迟的访
问。此时宿主服务器需通过主机总线适配器(HBA),并借助交换机和
导向器级存储交换机(Director)连接到光纤通道 SAN。光纤通道 SAN
通常主要用于连接中高端存储阵列设备,并可提供大量不同功能,例
如 RAID、磁盘快照,以及多路径 IO 等。
建议
建议为单宿主服务器架构模式使用直接附加存储或 iSCSI SAN 存储。
为获得更好的性能或安全性,强烈建议为 iSCSI SAN 使用专用网卡和
交换机,并将其与 LAN 进行隔离。
驱动器类型
宿主服务器所用的硬盘驱动器或存储阵列所用的硬盘驱动器的类型对
存储系统的整体性能有着重大影响。对于硬盘驱动器,最主要的性能
因素是接口架构(例如 U320 SCSI、SAS、SATA)、硬盘盘片的转速
(7200、10k、15k RPM),以及以毫秒为单位的平均延迟。其他因
素,例如驱动器的缓存,以及对于本地命令队列(NCQ)等高级功能的
支持,也可一定程度上改善性能。
与存储连通性问题类似,对于宿主服务器的规模和来宾系统的性能,
高 IOPS 和低延迟往往要比最大吞吐率更重要。在选择驱动器时,就需
要尽可能选择高转速低延迟的产品。如果使用 15k RPM 的驱动器取代
10k RPM 的驱动器,每个驱动器的 IOPS 将有最多 35%的增幅。
请使用下列信息评估性价比。
SCSI SCSI 驱动器正在逐渐被 SATA、SAS,以及光纤通道驱动器所取代。并不
建议在新的宿主服务器上使用 SCSI 驱动器,然而现有服务器如果具有
U320 SCSI 驱动器,则也可提供出色的性能。
SATA SATA 驱动器是一种低成本,但相对性能较高的存储方式。SATA 驱动器
通常使用了 1.5 GB/s 和 3.0 GB/s 标准(SATA I 和 SATA II),通常转速为
12
7200 RPM,平均延迟约为 4 ms。另外还有少量 SATA I 驱动器转速可达
10k RPM,平均延迟为 2 ms,因此可提供非常低成本的存储解决方案。
SAS SAS 驱动器通常要比 SATA 驱动器更昂贵,但在吞吐率,以及更重要的
延迟方面可提供更出色的性能。SAS 驱动器通常转速为 10k 或 15k
RPM,平均延迟为 2-3 ms。
光纤通道
光纤通道驱动器通常最昂贵,而性能与 SAS 驱动器相差无几,但使用
了完全不同的接口。对于具体选择光纤通道或 SAS 驱动器,主要需通
过存储阵列的选择来确定。与 SAS 类似,光纤通道驱动器的转速通常
为 10k 和 15k RPM,平均延迟也相差不大。
如果使用光纤通道 SAN,请确保交换机和导向器级存储交换机
(Director)基础架构经过妥善规划,以胜任整合后服务器所产生的大
容量 I/O 操作。
建议
对于单宿主服务器模式,建议使用 7200 RPM 转速的 SATA 驱动器,
不过首选依然是 10k 或 15k RPM 的 SAS 驱动器。
磁盘冗余架构
强烈建议对所有 Hyper-V 宿主机的存储系统使用独立磁盘冗余阵列
(RAID)。按照定义,Hyper-V 主机需要运行并存储来自多个工作负载
的数据,因此有必要借助 RAID 确保磁盘故障后数据的可用性。另外,
如果经过妥善的选择和配置,RAID 阵列还可进一步提升整体性能。
RAID 1 RAID 1 属于磁盘镜像。有两块驱动器存储完全一致的信息,因此这两
块驱动器互为镜像。对于每个磁盘操作,系统必须将相同信息写入所
有磁盘。因为两次写操作会降低系统性能,因此往往可使用双工方
式,让每块镜像驱动器使用自己的主机适配器。虽然镜像方式可提供
最好的容错,但这种方式往往耗资不菲,因为磁盘空间中只有一半可
用于存储数据,另一半只能用于充当镜像。
RAID 5 这种配置也叫做带奇偶校验的条带卷,因此在中低端存储系统中比较
常见。RAID 5 可将大块数据拆分并保存到阵列中的多块磁盘上,同时
13
RAID 5 还会跨越 RAID 5 集中的所有磁盘写入奇偶校验信息,通过校验
信息即可获得数据冗余。数据和校验信息会妥善安置到整个磁盘阵列
中,因此这两类信息总是位于不同的磁盘上。由于奇偶校验算法本质
的影响,每次写请求会触发 3 个实际的磁盘写入操作,这样做会降低
性能。带奇偶校验的条带卷可提供比镜像磁盘(RAID 1)更好的性能,
然而如果条带中有一个成员丢失(例如一块磁盘故障),读取性能会
大幅度降低。RAID 5 是一种相对不太昂贵的方式,因为对磁盘存储空
间的使用效率比 RAID 1 更高。
RAID 10(RAID 1+0)
这种级别也叫做带条带的镜像。RAID 10 使用一套条带阵列的磁盘,随
后用另一套完全一致的条带阵列对其创建镜像。例如,可使用五块磁
盘创建一个条带阵列,然后使用另外五块磁盘组成的条带阵列对其创
建镜像。RAID 10 可提供磁盘条带所提供的高性能,同时可提供磁盘镜
像所提供的数据冗余。相比其他任何 RAID 级别,RAID 10 的读写操作
性能最好,但要使用的磁盘数量翻倍,因此也最昂贵。
RAID 50(RAID 5+0)
这是一种嵌套形式的 RAID 级别,同时提供了 RAID 0 的块级条带特性,
以及 RAID 5 的奇偶校验特性。这种配置可看作是包含多个 RAID 5 阵列
的 RAID 0 阵列。该级别可改善 RAID 5 的写入性能,并可提供比单一
RAID 级别更好的容错特性。该 RAID 级别的具体配置情况以及所用的磁
盘数量将决定实际的可用存储空间,以及性能。该 RAID 类型已经开始
变为一种常见的功能,很多低端存储设备也已开始提供。
其他 RAID 级别可以提供额外的数据冗余特性或性能的提升,这些级别
通常都属于一些专有系统。要了解有关这些类型 RAID 系统的详细信
息,请联系您的存储硬件供应商。
建议
对于任何宿主服务器架构模式,建议系统卷使用 RAID 1。
对于单宿主服务器架构模式的数据卷,建议使用 RAID 1 或 RAID
10。
对于虚拟化环境,通常不建议使用 RAID 5 和 50,因为写操作性能
先天不足。
存储控制器架构
14
存储控制器可以是服务器的扩展卡,例如 SCSI 或 SAS 控制器,或者也
可以是中高端存储阵列的某一组件。存储控制器在磁盘驱动器以及服
务器,或存储区域网络之间提供了所需的接口。可影响存储控制器性
能的设计因素包括接口或 HBA 类型、缓存数量,以及独立通道数量。
磁盘控制器或 HBA 接口
磁盘控制器接口决定了可用的驱动器类型,以及存储 I/O 的速度和延
迟。下表总结了最常见的磁盘控制器接口。
架构 吞吐率(理论最大值,Megabyte/sec)
iSCSI(千兆以太网) 125 MB/s
Fibre Channel(2 GFC) 212.5 MB/s
SATA(SATA II) 300 MB/s
SCSI(U320) 320 MB/s
SAS 375 MB/s
光纤通道(4 GFC) 425 MB/s
光纤通道(8 GFC) 850 MB/s
iSCSI(10 千兆以太网) 1250 MB/s
建议
单宿主服务器架构模式建议使用 SATA II 或 SAS,但首选是 SAS。
控制器缓存
在进行突发数据传输,或频繁需要相同数据时,可通过存储控制器缓
存将所需数据存储到缓存中,提升整体性能,因为缓存通常要比物理
磁盘 I/O 的速度快多个数量级。
建议
如果要比较类似的存储控制器,或选择不同存储控制器,请选择具
有大容量高速缓存的产品。
控制器通道
存储控制器所具有的内部和外部通道数量可极大影响整体存储性能。
15
多通道可提高并发读写 IO 操作(IOPS)的数量,尤其是在使用高级
RAID 阵列时。
建议
对于但宿主服务器架构模式,建议至少使用双通道存储控制器。其
中一个通道可用于系统分区的 RAID 1 系统,另一个通道可用于
RAID 10 数据分区。
请参考存储供应商的最佳实践,将 RAID 10 的镜像和条带分散到不
同通道上,以获得最佳性能。
注意
本节介绍了有关存储系统的考虑因素和建议,下一节将介绍服务器
整合方面的注意问题,例如处理器、内存,以及 I/O。
宿主服务器架构
宿主服务器架构是虚拟化基础架构中的重要一环,尤其是在整合率以
及成本分析方面。宿主服务器处理大数量整合候选者所产生的负载的
能力可增强整合率,并提供所需的成本收益。
典型的最佳组合是两路或四路服务器,使用多核处理器,并使用最高
或次高的 CPU 速度。
注意
有程序可帮助客户选择硬件,但并不能解决硬件的容量和配置问
题:Windows Server Catalog 包含了所有通过了 Windows Server 2008
R2 和 Hyper-V 认证的服务器、存储,以及其他硬件设备的信息。
Windows Server Catalog:
请访问 www.windowsservercatalog.com 。
单击“Certified Servers”。
然后单击“Hyper-V”(位于左下角)。
16
系统架构
宿主服务器的系统架构反映了服务器硬件本身的常规类别。例如机架
服务器、刀片服务器,以及大型对称多处理器服务器(SMP)。在选择
系统架构时,最主要的考虑因素是每台虚拟服务器宿主机必须包含多
个来宾系统,以及多个负载。处理器、内存、存储,以及网络容量都
是至关重要的,另外还有高 I/O 以及低延迟。因此一定要确保宿主服务
器对于上述每个因素都能提供足够的容量。
标准机架安装服务器
最常见的系统架构是标准机架安装服务器。通常这种服务器分为 2U 或
4U 型号,并且通常可包含 2-4 个 CPU 插槽,2-8 根 PCI-E 或 PCI-X 插
槽,以及 4-6 个硬盘位。机架安装服务器非常适合用作 Hyper-V 主机,
因为用很低的成本即可获得 2 路或 4 路 CPU 服务器,并可通过 NIC 和
HBA 插槽进行额外的扩展和缩放。
建议
对于任何类型的宿主服务器架构模式,都建议使用机架安装架构
的,基于 Intel 或 AMD 处理器的服务器。
刀片服务器
刀片服务器正在逐渐变得流行,并且由于增大了容量和服务器密度,
因此容量可以非常高。刀片服务器架构目前属于服务器制造商研发领
域的重点,因此该领域包含了很多创新。刀片服务器的不足之处在
于,不同制造商之间的标准和交互性之间存在局限,并且在某些情况
下,就算同一制造商也会更改自己刀片机箱的架构。
早前,对于第一代刀片服务器产品,在处理器和空间密度方面的优势
在扩展的成本,以及所能支持的网卡和 HBA 方面被大幅度抵消。
但最近,新出现的刀片架构使得一台服务器可包含 8-16 个处理器核
心,最多 64 GB 内存,并且更重要的是,可提供 6 个或更多 IO 接口,
因此相比老一代产品,将新型刀片服务器架构用于虚拟化环境,可减
缓很多以往存在的不足。
在每台宿主服务器上,支持所需数量来宾系统对网络和存储 I/O 提出的
要求也必须慎重考虑,以确保每台充当宿主服务器的刀片,以及刀片
机箱本身能够提供足够的支持。
17
在评估刀片服务器系统架构时,还需要考虑宿主服务器的架构。如果
计划使用 iSCSI 存储系统,则需要提供两块独立的专用网卡,以访问存
储和数据冗余。最后,还需要至少有两块网卡专用于网络 I/O。每台主
机所需网卡的数量很容易超过 4-6 块,甚至更多网卡,而通常大部分刀
片服务器根本无法支持这么多网卡。
警告
Microsoft 并不支持使用网卡捆绑(Teaming)软件,对此类第三
方技术的支持必须由相应的供应商提供。
建议
对于任何宿主服务器架构模式,都建议使用刀片服务器。但对于
网络和 I/O 需求必须谨慎分析,以确保每台刀片服务器以及刀片
机箱本身都可以处理所需的整体 I/O。
如果多个部门或业务组需要使用专用的 Hyper-V 主机,或小型主
机组,也建议使用刀片服务器。
大型 SMP 服务器
考虑到本文档的用途,大型 SMP 服务器可定义为具有 8 路或更多路
CPU 的服务器。在较高端的环境中,在 64 位硬件上运行的 Windows
Server 2008 R2 Datacenter Edition 系统最多可支持 64 个 CPU 插槽,以
及 2 TB 内存。很多此类非常高端的服务器还包含其他一些高级功能,
例如硬件分割、资源的热添加,以及热备组件等。此类规模的硬件甚
至可承载上百台虚拟机来宾操作系统。
虽然可提供非常出色的整合率,但大型 SMP 服务器通常要比上文介绍
的主流的 2 路或 4 路 CPU 服务器贵很多。一台完整的 32 路大型 SMP
服务器的成本很容易会超过 500,000 美元,相比来说 4 路主流服务器的
成本仅为 30,000 美元。
如果需要整合非常大数量的服务器,或组织具有运维大型“主机”级
别服务器的经验,或者已经将大型 SMP 硬件作为标准进行实施,则比
较适合使用大型 SMP 服务器或大型 SMP 服务器群集。
建议
只建议具有运维大型关键业务服务器的组织,或已经将此类硬件
18
作为标准化平台使用的组织使用大型 SMP 服务器。
处理器架构
带 Hyper-V 的 Windows Server 2008 R2 要求使用来自 Intel 或 AMD 的
x64 架构处理器,并且要求支持 HardwareExecute Disable(硬件执行禁
用)以及硬件虚拟化功能,例如 Intel VT 或 AMD-V。
Intel 和 AMD 都提供了非常广泛的处理器产品线,并适合用作宿主服务
器。这两个厂家之间的竞争非常激烈,并且在任何一个时间,总有一
家的产品比另一家具有更好的性能优势。但无论选择哪家制造商,都
有一些重要的性能因素需要考虑。
处理器核心的数量就是一个重要的性能因素。带 Hyper-V 的 Windows
Server 2008 R2 可充分利用多核心处理器,因此核心越多越好。另一个
重要因素是处理器的时钟速度,也就是处理器所包含的全部核心的运
行速度。这个特性很重要,因为所有来宾虚拟机也将使用相同速度运
行。在考虑整合率时,时钟速度也是一个重点,因为该因素决定了一
台宿主服务器所能承载的候选者的数量,以及这些来宾系统可运行的
速度。例如,为承载 20 个来宾系统的服务器选择 2 GHz 而非 3 GHz 处
理器,就意味着所有来宾系统的速度都无法超过 2 GHz。
从底层的细节来看,服务器的处理器架构的选择还将影响到处理器缓
存的类型和容量、内存控制器架构,以及总线/传输架构。对这些因素
进行详细的分析已超出了本文档的范围。
建议
所有 Hyper-V 宿主服务器架构都要求使用 x64 架构的处理器。如
果是在采购新服务器,我们建议您咨询服务器供应商,以确保所
选硬件足以胜任 Windows Server 2008 R2 和 Hyper-V,并且已通过
认证可用于 Windows Server 2008 R2 故障转移群集。对于新服务
器,我们建议选择每处理器所能支持最多数量核心的版本,并选
择可用的最快或第二快速的时钟速度。
内存架构
一旦系统架构和处理器架构已确定,对于内存架构,可用的选项将很
有限,因为内存架构通常是由制造商/系统/处理器等几个因素结合确定
的。内存架构的选择因素主要包括容量、速度,以及延迟。对于
19
Hyper-V,最重要的内存架构因素是内存容量。大部分整合后的负载
(也就是说多个不同的来宾虚拟机)往往需要至少 512 MB 到 1 GB,甚
至更多内存。因为大部分主流 4 路服务器通常只能有效支持 32-128 GB
内存,因此这一点更容易成为宿主服务器容量的主要影响因素。
内存的容量比内存的速度或延迟更重要。在确定最佳效率下的最大内
存容量后,如果在速度和延迟之间依然有选择,建议选择延迟更低的
内存。
建议
在确定系统和处理器架构后,我们建议对于宿主机系统,在保持
成本高效的情况下,直接添加最大容量的内存。通常来说,在某
个价格点下,升级到下一个 DIMM 容量(也就是说单根 2GB 升级
到单根 4GB)的成本甚至要高一倍,而在某些情况下,甚至可能
接近整台服务器的成本。我们建议按照这样的价格点将服务器装
满内存。举例来说,如果服务器有 8 根 IMM 插槽,而单根 4 GB
内存比单根 2GB 内存价格的一倍还要高,则建议使用单根 2 GB
内存将所有插槽插满,如果容量依然不足,则可考虑第二台宿主
服务器。
对于所有宿主服务器架构,建议至少提供 16 GB 内存。
网络架构
在宿主服务器的规划工作中,网络基础架构通常属于被忽略的一环,
这主要是因为现在的千兆以太网卡已经非常廉价,而大部分服务器至
少内建了两块。然而这个话题也非常重要,因为这一因素将直接影响
所选的宿主服务器架构模式。正如上文提到的,如果使用 iSCSI 存储架
构,就需要有专用网卡负责承载与存储有关的 I/O 通讯。千兆以太网是
一种高速传输网络,但包含大量来宾系统的宿主服务器可能需要超过
千兆的速度,因此就需要额外的网卡。因此建议每台宿主服务器分别
使用不同的网卡负责承载宿主机本身的网络 I/O 和管理通讯。
上文曾经提到过,每台宿主服务器可能都需要多块网卡,因此在大部
分情况下,这个因素将影响到刀片服务器的使用。最近市面上出现了
很多万兆以太网设备,并且和千兆以太网多年前的情况类似,售价也
在逐渐降低。要获得更高的整合率,万兆以太网卡的使用是一个重要
因素。
20
建议
在每台宿主服务器上使用双网卡以及多接口网卡。
其中一块网卡可专门用作宿主机的管理用途。
另一块或多块网卡可专用作来宾虚拟机(要获得最高整合率,可
考虑使用万兆网卡)。
另外可准备两块或更多网卡专用作 MPIO iSCSI 通讯。
在每台宿主服务器上至少准备一个专用网卡/接口用作来宾虚拟
机的网络 I/O。要获得最高整合率,可使用一块或多块万兆以太
网卡用作虚拟机的网络 I/O 通讯。
主机总线适配器架构
所有来宾虚拟机的磁盘存储实际上都是一个或多个保存在存储系统
中,可被宿主服务器使用的 VHD 文件。除了上文讨论过的系统、处理
器、内存,以及网络架构,宿主机的存储 I/O 是宿主服务器容量规划中
的最后一个重要组件。由于每台服务器运行了大量来宾系统,并且会
产生大量负载,因此 Hyper-V 的 I/O 操作将产生大量针对存储系统的读
取和写入 IOPS。
如果使用直接附加存储方式,建议按照上文的介绍,使用服务器内置
的 SATA II 或 SAS RAID 控制器。如果使用存储阵列和 SAN,则宿主服务
器需要具备主机总线适配器(HBA)。HBA 可为宿主服务器提供到存储
阵列的访问途径,而存储连通性是高可用性和高性能的一个重要实现
方式。
建议
对于单一宿主服务器架构模式,如果使用 iSCSI,建议使用至少一
块个光纤通道 HBA 或一块专用网卡。
如果使用光纤通道,可考虑使用 4 GFC 或 8 GFC HBA。
如果使用 iSCSI,在负载平衡中使用 MPIO 可获得最大吞吐率。
操作系统架构
21
操作系统版本
从支持和性能,以及整体成本的角度看,Hyper-V 主机操作系统的选择
非常重要。正如上文提到的,这种环境必须使用 x64 版本的 Windows
Server。
另外,在选择操作系统版本时,还需要考虑虚拟化的使用权力。某些
版本的 Windows Server 2008 R2(分别为 Standard、Enterprise,以及
Datacenter 版)包含“虚拟化使用权力”,该权力等同于运行特定数量
基于 Windows 的虚拟机的权利和许可。Windows Server® 2008 R2
Standard 版包含运行一台虚拟机的使用权力,Windows Server® 2008 R2
Enterprise Edition 包含最多运行四台虚拟机的使用权力。但这一权力并
没有限制宿主机可运行的来宾系统的数量,该权力意味着宿主机自带
运行四个 Windows 来宾系统的许可。要运行超过四个虚拟机,只需要
确保额外的每台虚拟机都具备有效的 Windows Server 许可即可。
Windows Server® 2008 R2 Datacenter Edition 包含不限数量的虚拟化使用
权力,因此可以在运行 Windows Server 2008 R2 Datacenter 版本的物理
服务器上运行尽可能多的来宾系统。
建议
建议为所有 Hyper-V 宿主机使用 Windows Server® 2008 R2
Enterprise 或 Windows Server® 2008 R2 Datacenter 版本系统。请
咨询销售代表,以便在确定宿主服务器的规模,并确定每台宿主
机需要运行的来宾系统的数量后,能够决定是否可通过使用
Datacenter 服务器获得最佳成本。
请参考 Microsoft 虚拟化许可。
Hyper-V 架构
虚拟机来宾
相比 Virtual Server 2005,Hyper-V 极大地扩充了来宾虚拟机的伸缩性。
在使用受支持的操作系统后,Hyper-V 来宾系统能够支持下列选项:
注意
对于每个计划使用下列设置的操作系统,请针对多处理器、大内存等
因素验证相应的支持级别。
22
因为 Hyper-V 可支持更大规模的来宾虚拟机,因此可被整合的负载也更
多,包括多处理器、多核心服务器、具有大容量磁盘和 IO 需求的服务
器等。
由于 Hyper-V 可支持更大规模的来宾系统,因此一般来说,一定要通过
谨慎决定,针对每台来宾系统只分配必须的资源。这样可以确保为其
他来宾系统或未来的需求留出足够的可用资源。例如,如果来宾系统
并不需要,就不建议让所有来宾系统使用全部的四颗逻辑处理器。类
似处理器、内存等的额外资源如果需要,还可以直接添加。
建议
请配置来宾系统只使用未达成预期性能所必需的资源,这样可以获得
最大整合率。
下图所示的是在具有四颗逻辑处理器、4 GB 内存,及多个 SCSI 控制器
和多个网络适配器,并运行 Windows Server 2008 的系统中配置了所需
资源的来宾虚拟机环境。在本例中来宾系统包含 IDE 引导磁盘(VHD)
以及四个 SCSI 直通磁盘,下文将详细介绍来宾系统的存储架构。
虚拟机的存储
卷和分区
与运行 Microsoft® SQL Server®或 Microsoft® Exchange Server 的服务器类
似,运行在 Windows Server 2008 R2 和 Hyper-V 宿主服务器中的来宾系
统可通过多种磁盘 I/O 性能优化技术中获益。请为操作系统分配专用的
高速 LUN,并建议将虚拟磁盘文件(.VHD)和虚拟机的配置文件放置
在不同的高速 LUN 中。取决于负载的性能需求,可能还需要将磁盘 I/O
拆分到不同物理通道中。对于有关磁盘 I/O 分类的建议,请参考应用程
Hyper-V Guest
SCSI Controller 0
Logical Processor 1 Logical Processor 2
4 GB RAM
Logical Processor 3 Logical Processor 4
IDE Controller 0
<available>
IDE Controller 0
Boot Disk (VHD)
IDE Controller 1
DVD Drive
IDE Controller 1
<available>
Disk 1 Pass-Through LUN 2
Disk 0 Pass-Through LUN 1
Disk 1 Pass-Through LUN 4
Disk 0 Pass-Through LUN 3
SCSI Controller 1
Network Adapter 0 – vSwitch 1
MAC: VLAN:
Network Adapter 1 – vSwitch 2
MAC: VLAN:
Windows Server 2008 Enterprise Edition x64
23
序的相关配置指南。
Hyper-V 还提供了使用直通磁盘的选项,该选项可为来宾系统提供到
LUN 的直接访问,而不再需要在宿主机中呈现所需磁盘。如果需要重
新分配存储,即可考虑该功能。例如,如果虚拟机的数据容量达到了
某一规模,需要重新映射 LUN 而不是复制数据时。此时,即可考虑直
通磁盘。
如果使用存储阵列,请向存储供应商咨询并确认存储系统相关的轨道
和扇区值,并使用 Diskpart.exe 工具验证磁盘轨道的扇区已经校准。在
大部分情况下当使用 Windows Server 2008 R2 时,并不需要这样做,但
最好能够与存储供应商进行确认。
建议
请为虚拟机来宾操作系统的 VHD 文件和数据卷使用不同的物理磁
盘和 LUN。
请结合每个来宾应用程序的磁盘优化指导拆分磁盘 I/O。
对所有宿主服务器的卷使用 NTFS 文件系统。
对于 Windows Server 2008 之前的操作系统,请对来宾磁盘进行
校准,具体方法可参考:http://support.microsoft.com/kb/929491
在来宾系统中,请定期整理碎片,执行预压缩操作,并压缩 VHD 文
件,同时在宿主机中为卷整理碎片,这样可确保获得更好的磁盘 I/O 性
能。如果只使用固定大小的 VHD,承载 VHD 文件的卷就不再需要在宿
主机中整理碎片,因为在创建 VHD 文件时已经预分配了磁盘扇区,并
且所有扇区都处于连续状态。
信息
主机上执行的碎片整理工作可通过内建的 Microsoft Windows®磁
盘碎片整理工具进行。有关 VHD 的碎片整理、预压缩,以及压缩
的详细指导,则可参考:
http://vscommunity.com/blogs/virtualzone/archive/2007/01/17/thre
e-steps-to-vhd-compaction-with-virtual-server-2005-r2-sp1.aspx
虚拟硬盘文件(VHD)
24
虚拟磁盘可将来宾系统的硬盘封装到一个 VHD 文件内部,并将其保存
在存储系统中,这样该文件即可被宿主服务器访问。请充分利用虚拟
磁盘提供的某些功能,例如磁盘的动态扩张、为磁盘创建快照的功
能,以及通过便携特性将磁盘移动到不同服务器等。虚拟磁盘文件有
三种。
动态扩展磁盘
动态扩展的虚拟磁盘可以提供存储数据所需的足够存储容量。在创建
磁盘时,这种.vhd 文件的体积通常很小,并随着磁盘中保存数据的增
多开始增大。但如果虚拟磁盘中的文件被删除,.vhd 文件的体积并不
会自动收缩,不过您可以在数据被删除后使用编辑虚拟磁盘向导压缩
磁盘,以减小文件体积。
固定大小磁盘
固定虚拟磁盘会在创建磁盘时创建与磁盘本身容量相同的.vhd 文件,
并提供相同大小的存储空间。随后无论存储多少数据,该.vhd 文件的
大小都是“固定”不变的。然而您可以使用编辑虚拟磁盘向导增大虚
拟磁盘的容量,这样同时会增大.vhd 文件的大小。通过在创建时分配
所需的完整容量,就不再需要从宿主机中进行碎片整理(但依然需要
在来宾系统中从 VHD 文件内部进行碎片整理)。
差异磁盘
差异虚拟磁盘提供的存储功能可供您针对父虚拟磁盘,在不修改该磁
盘内容的情况下对其内容进行修改。差异磁盘的.vhd 文件的大小会随
着磁盘中存储的改动内容逐渐增长。
建议
在生产环境中建议使用固定大小的磁盘,这样即可提供更好的性
能,并且更易于监控存储容量。使用固定大小磁盘可在创建磁盘
时直接分配全部所需的存储空间。
在 Hyper-V R2 中,动态扩展磁盘(包括快照/.AVHD 以及差异磁
盘)的性能已得到极大增强,因此也可用于生产环境。然而这样
做可能产生其他风险,例如存储容量超载,因此需要谨慎使用。
直通磁盘
Hyper-V 还可让虚拟机来宾系统直接访问附加到物理服务器上的本地磁
盘或 SAN LUN,而不需要在宿主服务器上呈现相应的卷。虚拟机来宾系
统可(利用磁盘的 GUID)直接访问磁盘,而不需要使用宿主机的文件
25
系统。但由于固定磁盘和直通磁盘之间的性能差异已经微乎其微,因
此完全可根据可管理性做决定。举例来说,如果卷上需要保存非常多
的数据(数百 GB),由于数据的复制需要花费大量时间,因此 VHD 的
便携性将被完全抵消。另外还需要注意备份机制,对于直通磁盘,只
能在来宾系统内对数据进行备份。
如果使用直通磁盘,就不再需要创建 VHD 文件,来宾系统将直接使用
LUN。因为不存在 VHD 文件,因此无法提供动态扩容或快照功能。
建议
只有在需要非常高的性能,以及可接受快照和便携性等高级特性
无法使用的情况下,才建议使用直通磁盘。因为直通磁盘和固定
磁盘之间的性能差异已经很微弱,因此很少有情况要求必须使用
直通磁盘。
磁盘访问方式
虚拟机来宾系统可通过三种机制访问存储系统:IDE、SCSI,以及
iSCSI。如果为来宾系统配置使用 IDE 或 SCSI 磁盘,则可选择使用 VHD
或直通磁盘配置方式,并利用任何连接到宿主服务器的存储系统
(即:宿主机上的磁盘直接附加存储、连接到宿主机的 SAN LUN,或连
接到宿主机的 iSCSI LUN)。
虽然下图分别进行了演示,但不同方式实际上可配合使用。
在下文每张示意图中,蓝色的磁盘都代表宿主机上挂载的存储设备,
其中保存了来宾系统使用的 VHD 文件。橙色的磁盘代表来宾系统使用
直通磁盘(借助 IDE 或 SCSI 虚拟控制器),或直接使用呈现在来宾系
统中的 iSCSI LUN 所访问的存储设备。
在这些示意图中,直接附加存储方式,例如 SAS、SCSI,或 SATA 磁盘
的使用方法如下:
26
在下图中,基于光纤通道 SAN 的存储设备使用方式如下:
注意
来宾系统只能通过 IDE 磁盘引导,而 Hyper-V 来宾系统的 BIOS 支
持 2 个 IDE 控制器,每个控制器可支持最多 2 个磁盘,因此每个
来宾系统最多可支持 4 个 IDE 磁盘。
Hyper-V 来宾系统最多支持 4 个 SCSI 控制器,每个控制器最多支
持 64 个磁盘,因此每个来宾系统最多可支持 256 个 SCSI 磁盘。
与 Virtual Server 2005 R2 不同,一旦来宾系统安装了 Hyper-V 集
成组件,通过 IDE 或 SCSI 方式连接的虚拟磁盘就没有性能差异。
建议
请使用 IDE 方式连接的磁盘作为引导磁盘,并添加一个 SCSI 控制
器,通过 SCSI 连接的磁盘作为来宾系统的数据卷。
在 Hyper-V R2 中,来宾系统的磁盘可通过虚拟 SCSI 控制器进行热
添加,因此请考虑在所有虚拟机中预创建 SCSI 控制器设备,以便
获得 VHD 的热添加特性。
Hyper-V 还可使用来宾系统的虚拟网卡直接连接到 iSCSI LUN,并利用
iSCSI 存储设备。但如果不借助第三方 iSCSI 发起程序,来宾系统无法直
VHDDAS Disk
SAS / SCSI / SATA
DAS Disk
SAS / SCSI / SATA
Pass-Through
Disk
27
接通过虚拟网卡从 iSCSI LUN 进行引导。
在下图中使用了 iSCSI 存储设备。对于 iSCSI,还增加了第三种访问方
式,在这种方式中可使用来宾系统的网络连接直接访问 iSCSI。
注意
不要在宿主机上配置呈现 iSCSI LUN,然后又让其直接呈现到来宾
系统中,并被来宾系统通过 iSCSI LUN 进行访问。对于前一种情
况,iSCSI LUN 的访问是通过宿主机的网络连接进行的;而对于后
一种情况,对 iSCSI LUN 的访问是通过来宾系统的网络连接实现
的。下文将介绍这些方式。
建议
如果使用 iSCSI,请确保使用不同的物理和虚拟网络,包括相应的
线缆和交换设备访问 iSCSI 存储,这样才能获得可接受的性能。
如果使用在宿主机中呈现的 iSCSI LUN,这意味着需要使用专用的
物理网卡连接到 iSCSI 存储设设备。
请考虑在来宾和宿主机系统的网卡上使用巨型帧功能,这样可进
一步改善性能。
如果使用直接呈现在来宾系统中的 iSCSI LUN,这意味着需要使用专用
物理网卡连接到宿主机,并使用专用的虚拟交换器绑定到 iSCSI 物理网
卡,并在来宾系统中使用专用虚拟网卡绑定到 iSCSI 虚拟交换器。这样
做的最终结果是来宾系统有两块或更多虚拟网卡,其中一块配置为访
问 LAN,另一块或更多网卡用于访问 iSCSI。
iSCSI
iSCSI
iSCSI
VHDiSCSI LUN
iSCSI LUN
Pass-Through
Disk
iSCSI LUN
28
虚拟网络
在运行 Hyper-V 的服务器上可创建多个虚拟网络,以提供多种多样的连
接通道。例如,可以创建提供下列功能的网络:
仅用于虚拟机间的通讯,此类虚拟网络叫做私有网络。
用于宿主服务器和虚拟机之间的通讯,此类虚拟网络叫做内部
网络。
通过创建到宿主服务器上物理网络适配器的连接,在虚拟机和
物理网络之间的通讯,此类虚拟网络叫做外部网络。
可使用虚拟网络管理器添加、删除,以及修改虚拟网络。虚拟网络管
理器可从 Hyper-V 管理器控制台中访问,不同类型的网络如下所示。
在 Hyper-V 中创建外部网络时,将创建虚拟网络交换机,并将其绑定到
所选物理适配器上。随后会在父分区新建虚拟网络适配器,并将其链
接到虚拟网络交换机。通过使用虚拟网络适配器,即可将子分区绑定
到虚拟网络交换机。下图演示了这种结构。
Corporate LAN
Corporate LAN
Corporate LAN
Private Network(Guest
Communication
Only)
Internal Network(Guest + Host
Communication Only)
External Network(Guest + LAN
Communication)
29
除了上述场景,Hyper-V 还支持在虚拟网络交换机以及虚拟网络适配器
中使用 VLAN 和 VLAN ID。Hyper-V 可使用 802.1q VLAN 中继实现这一目
标。要使用该功能,必须在宿主机创建虚拟网络交换机,并将其绑定
到支持 802.1q VLAN tagging 的物理网络适配器。VLAN ID 可在两个位置
配置:
虚拟网络交换机本身,可设置父分区的虚拟网络适配器所使用
的 VLAN ID。
每个来宾系统的虚拟网络适配器,可设置来宾系统所使用的
VLAN ID。
下图演示了在宿主机总是用单一物理网卡,并将其连接到包含三个
VLAN(5、10、20)的 802.1q trunk 物理网络的范例。该范例的设计目
标是:
策划那个在 3 个 VLAN(5、10、20)的 802.1q trunk 连接到宿
主机的物理适配器。
创建了一个虚拟交换机,并将其绑定到物理适配器。
虚拟交换机的 VLAN ID 被配置为“5”,这样即可允许父分区的
虚拟网卡与 VLAN 5 通讯。
子分区#1 中虚拟网卡的 VLAN ID 被配置为“10”,这样即可使
其与 VLAN 10 通讯。
子分区#2 中虚拟网卡的 VLAN ID 被配置为“20”,这样即可使
其与 VLAN 20 通讯。
OS / Application
TCP/IP
Virtual NIC
Virtual Network SwitchPhysical NIC
OS / Application
TCP/IP
Virtual NIC
Physical Network
Parent Partition Child Partition
Hyper-V Host
Server
30
这种设计的预期结果是,只使用一个虚拟交换机,而父分区和两个子
分区只能与相应的 VLAN 通讯,无法互通。
安全考虑
按照设计,Microsoft Hyper-V 可将虚拟环境的攻击面尽可能减小。其中
Hypervisor 本身被隔离在微内核中,并且与所有第三方驱动相互独立。
Hyper-V 活动中的主机部分则被隔离在父分区中,独立于其他所有来宾
系统。父分区本身也是虚拟机,并且每个来宾虚拟机都在自己独立的
子分区中运作。
对于 Hyper-V 环境,有一些建议的安全最佳实践,同时还可结合物理服
务器的一些常见安全最佳实践:
考虑对宿主机和来宾系统使用 IPSec 域隔离。
保护好 Hyper-V 服务器以及管理员和用户之间的通讯安全。
主机操作系统配置
对于管理操作系统,可考虑使用 Server Core 安装模式。
使用最新安全更新,确保管理操作系统状态为最新。
为物理 Hyper-V 计算机的管理操作系统,使用独立网络和专用
网络适配器。
做好保管虚拟机资源文件的存储设备的保护工作。
使用 Windows Server 2008 安全遵从性管理工具包中提供的基准
安全设置建议加固管理操作系统。
对于安装在管理操作系统中的实时病毒扫描软件,配置其组件
排除 Hyper-V 资源。
OS / Application
TCP/IP
Virtual NIC
Virtual Network SwitchPhysical NIC
OS / Application
TCP/IP
Virtual NIC
VLAN 10
Physical Network
Parent Partition Child Partition #1
Hyper-V Host
Server
OS / Application
TCP/IP
Virtual NIC
VLAN 20
Child Partition #2
802.1q Trunk
(VLAN 5, 10, 20)
VLAN 5
31
不要用管理操作系统运行任何应用程序。
不要为虚拟机授予管理操作系统中的管理员权限。
通过虚拟机的安全级别确定管理操作系统的安全级别。
使用 Windows® BitLocker™驱动器加密功能保护资源(注意,
BitLocker 功能无法保护故障转移群集)。
虚拟机的配置
配置虚拟机使用固定大小的虚拟磁盘。
将虚拟磁盘和快照文件保存在安全的位置。
决定为虚拟机分配多少内存。
对资源的使用加以限制。
配置每个虚拟机的虚拟网络适配器连接到正确类型的虚拟网
络,以按需隔离网络通讯。
为虚拟机配置必要的存储设备。
根据所执行的服务器角色,使用 Windows Server 2008 安全遵从
性管理工具包中提供的基准安全设置建议加固每个虚拟机中运
行的操作系统。
根据服务器角色,按照需要为虚拟机配置反病毒、防火墙,以
及入侵检测软件。
确保虚拟机安装最新的安全更新,随后才让其进入生产环境。
确保虚拟机安装了集成服务。
网络配置
Hyper-V 服务器至少应有两块物理网卡,并可使用功能更多物理网卡将
不同的来宾虚拟机群相互隔离。
第一块网卡可用于管理主机分区,而其余网卡可被来宾虚拟机用于与
物理网络和存储设备通讯。使用不同的接口非常有必要,因为子分区
使用的网卡可能会超载,但此时管理员依然可以访问宿主机分区。
32
另外,包含机密数据的来宾虚拟机还可配置为只使用一块网卡访问物
理网络,随后可使用 VLAN 以及其他物理边界控制能够访问此类系统的
人,并且针对到额外物理网卡或虚拟网络的访问,管理员还可添加额
外的保护。
域隔离
在 Hyper-V 宿主机加入的域中,尤其是在使用基于 Kerberos 的身份验
证时,通过实施基于 IPSec 的域隔离可提供大量优势,同时只会造成很
小一部分通讯负载。管理员可以确保只有通过 Kerberos 身份验证的系
统才可以连接到 Hyper-V 宿主机。域隔离还可以拦截将恶意计算机连接
到内部网络并浏览和扫描服务器的行为。这种情况下入侵者如果视图
获取服务器列表,将一无所获,没有服务器会响应此类查询。
由于域隔离技术只能通过 IPSec 身份验证机制对系统进行隔离,因此对
系统整体性能产生的影响非常微弱。与服务器隔离方式不同,IPSec 并
不会加密实际的通讯数据。
一般来说,在虚拟网络内部,只要可行,就推荐尽量使用域隔离技
术,服务器隔离技术可以只应用给需要确保绝对安全的服务器。如果
无法从物理上将管理控制台与网络的其他部分隔离,则可配合 IPSec 策
略使用服务器隔离技术只将管理员的控制台链接到能够访问父分区的
管理网卡,以实现对 Hyper-V 宿主机的完整管理。
对性能的影响
在虚拟环境中,IPSec 的硬件加速效率并不高,因此无法将 IPSec
33
通讯的负载转嫁给硬件。
Hyper-V 建议的防火墙例外
下文将介绍正常使用 Hyper-V 所必须打开的端口,在为 Windows Server
2008 R2 服务器添加 Hyper-V 角色时,会自动打开这些端口。这些内容
不应通过组策略或本地设置进行更改,并且为了确保其他策略不会覆
盖设置,并导致重要的 Hyper-V 服务被关闭,这些配置可以永久添加到
安全策略中。
端口信息可参考 Windows Server 2008 Hyper-V Attack Surface
Reference.xlsx,该文件列出了 Hyper-V 角色所需的全部文件、服务,以
及端口。该表单文件可从下列地址下载:
http://download.microsoft.com/download/8/2/9/829bee7b-821b-4c4c-
8297-13762aa5c3e4/Windows%20Server%202008%20Hyper-
V%20Attack%20Surface%20Reference.xlsx
BitLocker 攻击者可能会在物理上接触到服务器,并访问物理驱动器中的服务器
数据,甚至只需要将 Microsoft Windows 预安装环境(Windows PE)光
盘放入光驱并引导计算机,即可不进行身份验证的情况下访问 NTFS 分
区。此时数据如果没有使用加密文件系统(EFS)或其他方式进行加
密,则所有文件都将泄漏。
解决这一问题的最佳方法是使用 Windows® BitLocker™驱动器加密功能
保护存储了 Hyper-V 系统文件和虚拟机的卷,这是一种基于硬件的卷加
密技术,内建于 Windows Server 2008 中。
对性能的影响
使用任何技术进行整卷加密都会为服务器增加一定的负荷。对于
这一话题尚无官方文档记载,但由产品组所作的测试显示,最糟
糕的情况下,打开 BitLocker 后性能会降低 8%,通常的降幅仅为
3-5%。请在添加 BitLocker 功能前后对性能进行测试,然后启用整
卷加密功能。
管理权限的委派
如果一台物理服务器被配置为支持多个操作系统实例,为了保护
34
Hyper-V 环境,谁能够获得针对哪个实例的管理特权这个问题就变得非
常重要。
授权管理器(Azman.msc)属于 Windows 基于角色的访问控制
(RBAC)框架的一部分,可用于对管理特权进行委派,这样用户即可
根据自己的角色定义和分配执行被委派的任务(操作)。其中默认作
用域只允许 Administrators 组成员获得创建和控制虚拟机的权限。
注意
如果使用了 Microsoft® System Center Virtual Machine Manager,
任何已通过身份验证的请求都需要从虚拟机管理器控制台中配
置,而不再需要使用 AzMan。
关于 AzMan,有下列重要概念:
作用域:一系列需要共享相同授权策略的类似资源的集合,例
如一台虚拟机或一个虚拟网络。
角色:一种工作或职能类别,例如:Administrators、Self-
Service Users(Virtual Machine Manager 中)。
任务:一系列操作或其他任务的集合,例如:管理 Hyper-V 服
务器设置、创建虚拟机。
o 操作:操作属于任务的子组件,或可分配给不同的角
色。操作是一种用户所能执行的工作,例如:“启动虚
拟机”、“停止虚拟机”。对操作进行分组即可创建任
务,任务使得该角色能够执行特定的管理职能。
宿主机的规模和整合规划
要确定宿主机的规模,需要决定需要整合的负载总量(CPU、内存、磁
盘 I/O,以及网络 I/O 等),以及要整合的最大的特定负载。随后可设
计一套或多套标准的宿主服务器架构,并进行性能测试,以确定每种
不同宿主服务器架构在实际使用中的容量。每个标准宿主服务器的容
量可被拆分为待整合的负载,以确定所需的宿主服务器数量。这一工
作需要分别针对处理器、内存、磁盘 I/O,以及网络 I/O 等因素进行。
随后可使用这些数据,并将其与整合前服务器的数量进行比较,确定
整体整合率。
确定规模的方法最终获得的结果可能是一种或多种标准宿主服务器架
35
构,并且每种架构需要不同数量的服务器,这样才能将所有需要被虚
拟化的负载全部进行虚拟化。
在大部分情况下,宿主服务器的内存数量是影响服务器所能承载的来
宾系统数量的首要因素。另外,分配给每台来宾系统的内存数量还会
成为影响来宾操作系统性能的主要因素。好在现代服务器所用的内存
价格以及支持的最大内存容量在过去几年中已经得到了极大改善。因
此,本指南建议对于安装了大量内存的宿主服务器,可为生产用途的
每台来宾虚拟机分配至少 2 GB 内存。虽然还可以进一步获得更高的整
合率,但上述建议主要是为了尽量提高虚拟机的性能。
整合候选者的负载分析
在发现和评估阶段,还需要找出可成为整合候选者的物理服务器。所
有整合后选择需要经过一段时间的分析,以确定 CPU、内存、磁盘
I/O、网络 I/O 等资源的平均和峰值使用情况。这一负载分析工作对于
确定宿主机规模的工作非常重要,因为可用于确定宿主机架构必须能
够支持的负载总数,以及将要被整合的最大的特定负载,这样即可确
保负载的需求不会超过在单一虚拟机的物理限制(4 CPU 核心、64 GB
内存等)。若某负载的需求已超出单一虚拟机的限制,则在进行架构
更改,使其扩展到额外虚拟机之前,不应将其迁移到虚拟机中。
宿主服务器的架构模式
在确定来宾系统的可用规模时,请为宿主服务器本身保留一个 CPU 核
心、1 GB 内存、1 块网卡,以及 1 个 RAID 1 分区,并且该分区的容量
应为 20 GB,外加服务器内存总数对应的空间。举例来说,如果服务器
具有 32 GB 内存,那么操作系统分区的 RAID 1 卷就应固定为至少 52 GB
可用空间,以确保宿主机操作系统故障后有足够的空间保存内存转储
文件。宿主服务器的剩余容量都可被来宾虚拟机使用。
定义来宾的硬件配置文件
System Center Virtual Machine Manager 提供了硬件配置文件这一概念,
硬件配置文件是指用户定义的,来宾虚拟机硬件设置的集合,例如逻
辑处理器的数量,以及内存数量等。在新建虚拟机时,即可选择硬件
配置文件,以确保所有使用该配置文件的来宾虚拟机都可使用完全一
致的配置设置。
为了简化整合规划并确保一致性,建议使用三个来宾硬件配置文件,
36
详细信息如下。
对于每种整合,都建议你与这三个硬件配置文件中的一种进行组合。
通过将总的 CPU、内存,以及 I/O 容量进行拆分,即可针对每个硬件配
置文件计算在使用该配置文件的情况下,宿主服务器可包含的不同配
置的虚拟机数量。
对宿主机和来宾服务器架构进行性能评测
还应对服务器长时间满负荷使用 CPU、内存、磁盘 I/O,以及网络 I/O
等情况的性能进行评测。通过性能评测,即可针对规格公式获得更加
37
准确的数量,同时还可对任何可能存在的严重的组件或配置问题提供
早期预警。如果性能评测结果无法满足预期,还需要进一步检查所有
硬件、软件,以及配置。
对于一台或多台标准来宾系统,还可进行性能评测以确保来宾虚拟机
的实际性能与使用下一节列出的公式计算出的数量相匹配。
通过对宿主机和来宾系统的组合进行恰当的性能评测,即可确信虚拟
化基础架构的性能可以满足或超出预期。如果不能正确进行性能评
测,或无法准确确定计算方法和规模方法,最终可能影响到性能。
计算所需的宿主服务器数量
整合后选择的资源总需求
通过使用上文阶段中收集到的性能数据,即可确定每站点中所有整合
候选者的总资源需求。
总需求 ∑ 核心数量 速度 使用率
候选者
候选者
内存总需求 ∑
候选者 候选者
内存总数 内存使用率
网络 总需求 ∑ ∑ 每秒接收字节均值 每秒发送字节均值
网卡
网卡
候选者
候选者
磁盘 总需求 ∑ 平均磁盘读取 秒 平均磁盘写入 秒
候选者
候选者
宿主服务器资源
对于每个站点,还要选择宿主服务器架构模式及宿主机服务架构。通
过使用下列公式,即可将宿主服务器的资源按照整合候选者的资源需
求进行拆分。另外,还可将宿主服务器的资源按照硬件配置文件资源
38
进行拆分。
宿主服务器 资源可被来宾使用量
( 数量 每 的核心数量)
宿主服务器内存资源可被来宾使用量
宿主服务器内存总数
宿主服务器磁盘 可被来宾使用量 主机 评测 结果
宿主服务器网络 容量可被来宾使用量
宿主机 评测每秒字节均值
通过使用上述公式,所有算是中结果最大的值就等同于需要的宿主服
务器数量,该数值可用于确定该站点中所需的服务器数量。
System Center Virtual Machine Manager 2008 R2
System Center Virtual Machine Manager 组件
本节将简要介绍 System Center Virtual Machine Manager 的组件,以及
针对每个组件,在安装前需要考虑的基本信息。
System Center Virtual Machine Manager 服务器
System Center Virtual Machine Manager 服务器是 System Center Virtual
Machine Manager 部署环境的中心,通过该组件,System Center Virtual
Machine Manager 的所有其他组件才能相互交互和通讯。
System Center Virtual Machine Manager 服务器将运行 System Center
Virtual Machine Manager 服务,该服务可运行命令,传输文件,并可控
制与其他 System Center Virtual Machine Manager 组件,以及所有计算
机宿主以及 System Center Virtual Machine Manager 库服务器的通讯。
所有这些内容可称之为受管计算机,而 System Center Virtual Machine
Manager 服务会通过安装在每台受管计算机上的 System Center Virtual
Machine Manager 代理运行。
System Center Virtual Machine Manager 服务器还要连接到存储了所有
System Center Virtual Machine Manager 配置信息的 Microsoft SQL
39
Server® 2005 数据库。
默认情况下,System Center Virtual Machine Manager 服务器也属于库服
务器,该服务器可用于存储基于文件的资源,例如虚拟硬盘、虚拟软
盘、模板、PowerShell™脚本、无人值守应答文件、ISO 映像,以及
System Center Virtual Machine Manager 元数据,例如硬件和来宾操作系
统(OS)配置文件。
System Center Virtual Machine Manager 管理控制台
System Center Virtual Machine Manager 管理控制台可用于:
创建、部署,以及管理虚拟机和模板
监控和管理宿主机(Windows Server® 2008/Windows Server®
2008R2 Hyper-V™、Microsoft® Virtual Server 2005,以及由
VMware® Virtual Center 管理的 ESX 服务器)和库服务器
管理库对象和作业
管理全局配置设置
在安装 System Center Virtual Machine Manager 服务器后,就会安装
System Center Virtual Machine Manager 控制台。该控制台可安装到与
System Center Virtual Machine Manager 服务器相同的计算机,或不同计
算机上。所有可通过 System Center Virtual Machine Manager 管理控制
台使用的功能也可以通过 Windows PowerShell 中的 cmdlet 使用。
System Center Virtual Machine Manager 自助服务门户 v1
System Center Virtual Machine Manager 自助服务门户是一种可选的,基
于 Web 的组件,通过安装和配置该组件即可让最终用户在受控环境中
创建和管理自己的虚拟机。
重要
VMMSSP 2.0 并不是对原有的 VMM 2008 R2 自助服务门户的升
级,对于具体选择和部署哪种版本主要取决于用户的需求。
System Center Virtual Machine Manager 代理
System Center Virtual Machine Manager 代理可用于在虚拟机宿主机上管
理虚拟机,或让宿主机和库服务器与 System Center Virtual Machine
Manager 服务器互相通讯以及互传文件。
当虚拟机宿主机或库服务器加入受信任域,并使用 System Center
40
Virtual Machine Manager 管理控制台添加后,System Center Virtual
Machine Manager 会使用默认设置在受管计算机上自动安装代理。
如果宿主机位于外围网络,或没有加入受信任域,则首先必须在宿主
机上手工安装代理,随后才能将其加入 System Center Virtual Machine
Manager。
虚拟机宿主机
虚拟机宿主机是指承载一台或多台虚拟机的物理计算机。宿主机可通
过 System Center Virtual Machine Manager 管理控制台的添加宿主机向
导添加到 System Center Virtual Machine Manager。在将宿主机添加到
System Center Virtual Machine Manager 后,该宿主机的系统上会自动安
装代理。如果添加基于 Windows®的宿主机,System Center Virtual
Machine Manager 会自动安装或升级相应版本的 Virtual Server 或启用
Hyper-V 角色。
重要
为了管理运行 Windows Server® 2003 操作系统的 Virtual Server 宿
主机,还必须安装相应版本的 Windows 远程管理(WinRM)。
主机组
虚拟机宿主机可被整合成组,这样宿主机和虚拟机的监控和管理工作
可以更容易。主机组可按照最能满足用户组织需求的方式使用。
主机组最基本的功能是充当容器,将宿主机和虚拟机看作一个更有意
义的整体。主机组可用于:
为宿主机设置预留资源,供宿主机操作系统使用。
委派用作自助服务的宿主机。
委派哪些宿主机可以连接到存储区域网络(SAN)(这是一则
最佳实践)。
让虚拟机可以自动安置到主机组中最适合的宿主机上。
主机组属性的继承
子主机组可从父组继承主机的保留设置和角色的委派,然而属性的继
承在下列两个功能中的作用结果有所不同:
主机预留。如果更改了父主机组的主机预留设置,管理员可以
41
决定是否将主机预留设置的改动应用给子组中的主机。如果启
用继承,子组的主机预留设置将会被覆盖。
角色委派。如果父主机组使用了虚拟角色委派,那么其每个子
主机组都将自动从父级继承这些设置。
组隔离
主机组还可用于隔离一台或多台主机。举例来说,如果某台宿主机上
承载了包含关键业务应用程序的来宾虚拟机,那么这台主机就需要放
置到自己的主机组中,以便将其隔离。通过这种方式,管理员即可确
保只有允许的用户才会被委派权限,并且该宿主机可针对最大可用性
设置主机预留资源。
System Center Virtual Machine Manager 库服务器
每台 System Center Virtual Machine Manager 库服务器都包含了可被
System Center Virtual Machine Manager 用于创建和配置虚拟机的资源的
编录。库中包含的文件需要存储到库共享中,其中可包含基于文件的
资源,例如虚拟硬盘、虚拟软盘、ISO 映像,以及脚本。
重要
在安装完成后,默认的库服务器和库共享将无法被移动。因此在
进行安装时要慎重考虑放置位置。
另外库服务器还可包含虚拟机模板、硬件配置文件,以及来宾操作系
统配置文件,这些文件可用于创建虚拟机,并存储不使用的虚拟机。
库组
在创建好库服务器后,还可以创建库组,以方便用能够满足用户需求
的方式管理库服务器。
作为最佳实践,建议让库服务器与使用这些资源的主机组保持匹配,
尤其是在库服务器需要通过 SAN 连接的情况下。通过这种方式即可知
道为了获得 SAN 的文件传输优势,需要使用哪些主机和库服务器。
System Center Virtual Machine Manager 服务器安置
对于大部分 System Center Virtual Machine Manager 环境,一台 System
Center Virtual Machine Manager 服务器就已足够。但是在后期随着环境
的增长,System Center Virtual Machine Manager 环境还可通过添加更多
虚拟机宿主机以及库服务器的方式进行扩展。只使用一台 System
Center Virtual Machine Manager 服务器以及一个数据库,可以确保整个
42
虚拟化环境可实现集中管理,然而使用多台 System Center Virtual
Machine Manager 服务器则能更好的满足下列情形:
如果部署和测试环境需要独立于生产用途的虚拟化环境
如果虚拟化环境增长,或计划增长,超出了最大支持 400 台宿
主机以及 8000 台虚拟机的支持限制后
如果业务需求要求提供多台 System Center Virtual Machine Manager 服
务器,则需要考虑下列因素:
每台 System Center Virtual Machine Manager 服务器必须安装在
不同计算机上,并使用不同的 System Center Virtual Machine
Manager 数据库。
无法支持将文件从一个 System Center Virtual Machine Manager
环境移动到另一个环境。
支持的主机和虚拟机数量
经过测试,在最大规模的推荐硬件配置下,System Center Virtual
Machine Manager 可支持的宿主机和虚拟机的最大数量为 400 台宿主
机,以及 8000 台虚拟机。这些是实践经验,而非硬性限制,取决于用
户需求或容错需求,具体数字可能有所增减。
宿主机上可运行的虚拟机的数量主要取决于宿主机和虚拟机的配置。
网络的考虑
从网络的角度来说,对于 System Center Virtual Machine Manager,主要
需考虑:
连通性
带宽
网络通讯
连通性
请确保用户环境中存在的任何防火墙不会拦截 System Center Virtual
Machine Manager 组件之间的必要通讯。
在安装 System Center Virtual Machine Manager 时,可以指定 System
Center Virtual Machine Manager 服务器用于宿主机和库服务器代理通讯
以及文件传输的端口。默认情况下,这些端口分别为 22(SFTP)、
80,以及 443。
带宽
43
使用 System Center Virtual Machine Manager 创建和管理虚拟机可能需
要通过网络传输数 GB 的文件,例如在执行 P2V 迁移,或将虚拟机从一
台宿主机移动到另一台宿主机,或从模板部署新虚拟机时。
作为最佳实践,请将 System Center Virtual Machine Manager 配置中的
所有计算机至少使用百兆全双工以太网进行连接。如果使用千兆以太
网连接,为了进一步改善性能,还建议使用更强大的处理器。
若要将 System Center Virtual Machine Manager 扩展到数据中心之外,
例如扩展到远程或分支办公室,则请:
考虑在远程位置添加 System Center Virtual Machine Manager 库
服务器,这样即可方便远程位置访问虚拟机或模板,以及 ISO
映像。
避免跨慢速或不可靠的 WAN 链路传输文件。
网络通讯
System Center Virtual Machine Manager 会对库、宿主机,以及虚拟机定
期执行刷新操作。在非常大型的虚拟化环境中,就必须考虑到该操作
造成的网络通讯。
如果使用光纤通道或 Internet 小型计算机系统接口(iSCSI)SAN,通过
SAN 传输代替网络传输即可将对网络的影响降低。如果执行 SAN 传
输,包含虚拟机的 LUN 会被从源重映射到目标计算机(而不需要通过
网络执行文件传输)。因此 SAN 传输速度更快,并且与要传输的文件
大小完全无关。如果使用 iSCSI,则需考虑通过 System Center Virtual
Machine Manager 使用 iSCSI 连接产生的网络通讯。
存储的考虑
System Center Virtual Machine Manager 支持各种类型的直接附加存储
(DAS)以及光纤通道和 iSCSI SAN。System Center Virtual Machine
Manager 还可在光纤通道 SAN 上支持 N_Port ID Virtualization
(NPIV)。NPIV 可借助主机总线适配器(HBA)技术,通过从底层物
理端口进行抽象的方式在宿主机上创建虚拟 HBA 端口,这样一个 HBA
端口即可充当多个逻辑端口使用,每个逻辑端口具有自己的标识符。
随后每台虚拟机即可连接到自己的虚拟 HBA 端口,并处于一个使用完
全不同的全球通用名(WWN)的独立区域中。
使用 System Center Virtual Machine Manager 进行 SAN 传输
44
System Center Virtual Machine Manager 可在源和目标计算机之间执行下
列类型的 SAN 传输:
从虚拟机宿主机的 System Center Virtual Machine Manager 库中
保存虚拟机
从 System Center Virtual Machine Manager 库向宿主机部署虚拟
机
从一台宿主机向另一台迁移虚拟机
如果执行 SAN 传输,包含该虚拟机的 LUN 将会从源计算机重映射到目
标计算机,而不需要通过网络传输文件。因此,SAN 传输的速度要比
标准的网络传输更快,并且速度与文件的大小完全无关。
如果可进行 SAN 传输,System Center Virtual Machine Manager 将自动
使用该功能。但这一行为也可以修改,强制让 System Center Virtual
Machine Manager 使用网络传输的方式进行。
在使用 System Center Virtual Machine Manager 进行 SAN 文件传输之
前,必须执行下列配置操作:
1. 安装虚拟磁盘服务(VDS)1.1,这是 Windows Server 2003 R2
的一个组件,在充当源和目标的计算机上都需要安装。
2. 仅在 System Center Virtual Machine Manager 服务器上安装
VDS 硬件提供程序。
3. 安装针对 iSCSI SAN 的 iSCSI 发起程序。
4. 为光纤通道 SAN 安装多路径 I/O(MPIO)驱动,就算只使用
了一个 HBA 端口也需要安装。
在使用 System Center Virtual Machine Manager 在 Windows Server
2008/Hyper-V 宿主机上执行 SAN 文件传输之前,还需完成下列配置:
1. 安装针对 iSCSI SAN 的 iSCSI 发起程序。
2. 为光纤通道 SAN 安装多路径 I/O(MPIO)驱动,就算只使用
了一个 HBA 端口也需要安装。
System Center Virtual Machine Manager 2008 R2 使用 SAN 实现快
速交付
某些 SAN 提供了将包含 VHD 的 LUN 进行克隆的功能,可将克隆后的内
容呈现在宿主机中。为使用 System Center Virtual Machine Manager 执
行操作系统定制和 IC 安装,System Center Virtual Machine Manager R2
为 new-VM cmdlet 提供了无需进行网络复制的 UseLocalVirtualHardDisk
45
参数。您可以创建一个模板,在其中包含操作系统应答文件以及到未
被使用的傀儡 VHD 的引用,该功能只能用于 Windows PowerShell™下。
下文列举了一个脚本范例:
Get-VMMServer -ComputerName "VMMServer1.Contoso.com"
$JobGroupID = [Guid]::NewGuid().ToString()
$Template = Get-Template | where {$_.Name -eq MyTemplate"}
$VMHost = Get-VMHost | where {$_.Name -eq "VMHost.Contoso.com"}
Move-VirtualHardDisk -IDE -BUS 0 -LUN 0 -Path "L:\OS.VHD" -JobGroup
$JobGroupID
New-VM -Name "VM Name" -Path "L:\" -Template $Template -VMHost
$VMHost -JobGroup -$JobGroupID -UseLocalVirtualHardDisks
安全方面的考虑
常规安全考虑
在规划 System Center Virtual Machine Manager 的部署时需考虑下列信
息:
如果使用多个 Active Directory 林,必须具备双向信任关系才能
安装 System Center Virtual Machine Manager 组件。
默认情况下,虚拟机将运行在计算机标准帐户的安全上下文
中。为了提高安全性,可指定具有较低特权级别的帐户。
如果使用 SQL Server 的远程实例,该实例必须运行于除
LocalSystem 外的其他帐户下。
在连接到虚拟机时,自助服务用户可能会被要求提供凭据。为
避免这一要求,请将宿主机的名称添加到安全设置或 Microsoft®
Internet Explorer®的本地 Intranet 站点中。
在添加虚拟机宿主机或库服务器时,System Center Virtual
Machine Manager 会将 System Center Virtual Machine Manager
服务器的计算机帐户设置为受管计算机的本地 Administrator 帐
户。请确保组策略的组限制策略不会将该帐户删除,否则
System Center Virtual Machine Manager 将无法正常使用。
安全漏洞
为避免常见安全漏洞,请考虑下列内容:
作为最佳实践和实际经验,在安装 System Center Virtual
Machine Manager 组件时请避免使用默认端口。
46
宿主机操作系统中运行的防火墙和反病毒软件并不能保护来宾
虚拟机。为获得更好的保护,除了宿主机系统,请在来宾虚拟
机操作系统中安装此类产品。
对宿主机文件系统的访问进行限制。库共享的访问控制列表
(ACL)应只包含 System Center Virtual Machine Manager
Administrators、System Center Virtual Machine Manager 服务器
的计算机帐户,以及自助服务用户(如果有的话)。
如果添加了虚拟机宿主机或库服务器,System Center Virtual
Machine Manager 会在受管计算机上远程安装 System Center
Virtual Machine Manager 代理。该操作会打开一系列 DCOM 端
口,并需要使用服务器消息控制块(SMB)协议。如果用户担
心这一行为,还可在宿主机上手工安装 System Center Virtual
Machine Manager 代理,然后从 System Center Virtual Machine
Manager 管理员控制台远程断开,并只使用 Microsoft Windows®
远程管理(WinRM)端口(默认为 80)和后台智能传输服务
(BITS)端口(默认为 443)。
要在宿主机上创建和管理虚拟机,管理员需要分配适当的角
色,但并不需要本地管理员特权。
监控和报表
System Center Virtual Machine Manager 的监控功能是通过 Server
Virtualization Management Pack for System Center Operations Manager
2007 实现的。在查看和使用报表之前,还必须安装 Operations
Manager 并部署 Server Virtualization Management Pack。报表的生成是
通过 Operations Manager 进行的,但可直接在 System Center Virtual
Machine Manager 管理控制台的报表视图中打开。
另外,还必须在每台待监控的计算机中安装 Operations Manager 2007
代理。
在规划虚拟化环境时有一个报表非常有用:Virtualization Candidates 报
表。该报表可用于确定适合转移到虚拟机中的物理计算机候选者。
Virtualization Candidates 报表还可用于找出利用率低的服务器,并且可
显示出针对 CPU、内存,以及磁盘使用等一系列常用性能计数器的平
均值,另外还可显示相关的硬件配置信息,例如处理器速度、处理器
数量,以及内存数量。该报表还可限制为仅显示满足特定 CPU 和内存
需求的计算机,并且可对结果进行排序。
47
Server Virtualization Management Pack 可发现下列对象:
System Center Virtual Machine Manager 受管虚拟机
System Center Virtual Machine Manager 代理
System Center Virtual Machine Manager 受管宿主机
System Center Virtual Machine Manager 主机组
System Center Virtual Machine Manager 引擎服务器
System Center Virtual Machine Manager 库服务器
System Center Virtual Machine Manager 数据库
System Center Virtual Machine Manager 自助服务服务器
System Center Virtual Machine Manager 自助服务网站
System Center Virtual Machine Manager 管理组
Virtual Server 2005 R2
虚拟机
虚拟机计算机
物理到虚拟迁移工作的规划
如果候选者的操作系统支持,System Center Virtual Machine Manager 是
将物理负载迁移到虚拟机中的首选方法。在 System Center Virtual
Machine Manager 中提供了 P2V 转换功能,可将物理计算机的功能完
整,或近似完整地复制到虚拟机中。在 P2V 转换过程中,目标计算机
物理硬盘的磁盘映像会被创建并格式化为虚拟磁盘(vhd 文件),并用
于新虚拟机中。新的虚拟机将于原物理计算机具有完全一致的身份。
在受支持的操作系统上,System Center Virtual Machine Manager 可执行
脱机或联机的 P2V 迁移(Windows 2000 只能进行脱机迁移)。联机转
换依赖卷影复制服务(VSS),因此源计算机在转换过程中并不需要重
启动。在脱机转换过程中,源计算机需要重启动到 Windows®预安装环
境(Windows PE)中,随后才能为物理磁盘创建映像。
下表列出了对于不同操作系统,System Center Virtual Machine Manager
2008 R2 可支持的联机和脱机 P2V 迁移选项:
操作系统 P2V
脱机
P2V
联机
V2V
Windows Server® 2008 /启用 Hyper-V
角色的 Windows Server® 2008 R2
否 否 否
Windows Server® 2008 /未启用 Hyper-V 是 是 是
48
角色的 Windows Server® 2008 R2
Windows Server® 2003 SP1 或以上 是 是 是
Windows Server® 2003 x64 Edition 是 是 是
Windows® 2000 Server SP4 是 否 是
Windows® XP SP2 或以上 是 是 是
Windows® XP x64 Edition 是 是 是
Windows Vista® 是 是 是
Windows Vista® x64 是 是 是
Windows® 7 是 是 是
Windows® 7 x64 是 是 是
如果有整合候选者运行了 Microsoft Windows NT® 4.0 或其他操作系统,
或 Service Pack 版本无法获得 System Center Virtual Machine Manager 支
持,则需要使用 Microsoft Virtual Server 2005 Migration Toolkit(VSMT)
或第三方工具为这些服务器进行迁移。
迁移需求
在开始使用 System Center Virtual Machine Manager 进行 P2V 转换之
前,请查阅下列需求和局限:
宿主服务器需求。P2V 转换要求目标虚拟机宿主机必须是运行
Hyper-V 或 Virtual Server 2005 R2 SP1 的服务器。
联机或脱机 P2V 转换。在脱机 P2V 转换中,源计算机需要重启
动到 Windows PE 中才能对物理磁盘创建映像。在联机转换中则
使用了 VSS,计算机不需要重启动即可进行迁移。
脱机 P2V 的内存需求。脱机 P2V 转换要求源计算机至少有 512
MB 物理内存,并且需要提供额外的存储和网络驱动,这样
WinPE 才能对源计算机创建映像。
更新需求(如果需要的话)。P2V 转换可能要求将额外的文件
添加到 System Center Virtual Machine Manager 内部路径缓存
中,在这种情况下:
o 使用向导提供的信息确定所需的更新。
o 获取补丁文件,并将其复制到 System Center Virtual
Machine Manager 服务器的 Patch Import 目录。
o 单击再次检查以继续运行向导。
坏扇区将不被传输。在 P2V 转换中,磁盘上的坏扇区将无法传
输。为避免数据丢失,在迁移之前请在源计算机上运行磁盘维
护工具(例如 chkdsk)。
49
迁移前的考虑
为了在进行 P2V 迁移的过程中获得最大成功率,还需要考虑一些额外
的问题。下文将介绍这些内容。
测试
执行 P2V 迁移的方法应在隔离的实验室环境中进行彻底测试和记录,
随后才能在生产环境中进行迁移。请确保迁移工作的下列操作都进行
了彻底测试和记录:
迁移前的服务器准备。运行 chkdsk 和 defrag,并执行应用程序
测试诊断,测试并记录整个流程,以确保 P2V 候选者计算机正
常运行。
System Center Virtual Machine Manager 配置。确保 System
Center Virtual Machine Manager 产品使用了推荐的配置和安置方
式,并能满足用户需求。
灾难恢复。准备好事故规划,以便将失败的 P2V 转换结果进行
恢复,或在迁移后遇到意料外事件后将服务还原到原始硬件。
P2V 工具的使用。某些 P2V 场景可能包含了无法直接被 System
Center Virtual Machine Manager 支持的操作系统,此时就只能使
用 VSMT 或第三方工具进行 P2V 迁移。
迁移顺序
首先从数据中心内部开始,而 P2V 候选者可提供最佳成功机会。这样
的方式有助于建立信心,并让负责虚拟化的团队在处理远程站点,以
及分支办公室等挑战性更大的场所之前充分熟悉整个流程。
在考虑远程站点和分支办公室时,请确认所需硬件和服务器角色均已
就位,并工作正常,随后才考虑向相关位置派遣虚拟化团队。另外请
确保项目规划留出了充足的时间,以便让团队成员能够按时到达远程
站点。
业务连续性
虽然 P2V 迁移并不会损坏源计算机的数据,但也需要谨慎,以确保虚
拟化候选者所承载的应用程序可以在迁移遇到问题时正确恢复。另外
请确保虚拟化团队充分了解,并能执行任何由用户所记录的应用程序
的灾难恢复操作步骤,并在开始迁移之前对源计算机进行完整备份。
在迁移完成后,请将被迁移物理服务器放在原位一段时间作为冷备
份。一般来说,两周时间就足够了。如果在特定时间段内由于重度活
动导致意料外的性能问题,则有必要等待更长时间。
50
用户接受度测试
在将迁移后的虚拟机放入生产环境之前,请确保负责进行用户接受度
测试,并借此确定迁移是否成功的人员就位。在某些情况下,可能需
要执行 P2V 迁移,并在迁移完成后让服务依然在原始服务器中保留一
段时间,直到执行完用户接受度测试(UAT)。
对于复杂、重要,或包含敏感应用程序的情况,可能需要执行 P2V 迁
移,将被迁移的虚拟机放入隔离的实验室环境,并执行必要的验证。
如果虚拟化候选者是域控制器,如果服务器无法立刻上线,则还需要
注意 USN 回滚到导致的风险。
交流规划
如果有明确要求,用户可能建立了维护窗口以进行 P2V 迁移。请与用
户沟通,以明确特定服务或应用程序的所有用户,并提前充分讨论迁
移工作的规划。例如:
如果要对 Active Directory 域控制器进行虚拟化,就需要与站点
中的所有用于预先通知。如果可能,请确认有备用的 Active
Directory 站点,并且备用站点可正常使用,同时要迁移的站点
不是其他位置的备用站点。
对于业务线(LOB)应用程序,请确保受影响组织的所有用户和
股东都事先获得了通知。
对于其他服务,例如文件和打印,请通知所有使用该服务器上
服务的用户。
请确保向网络运营中心和技术支持部门告知迁移规划,这样与迁移有
关的问题才能被快速解决。
System Center Virtual Machine Manager 自助服务门
户 2.0(VMMSSP)
VMMSSP 的组件
本节将简要介绍 VMMSSP 的组件,以及每个组件的基本信息。
VMMSSP 网站
这是一种基于 Web 的组件,可为自助服务门户提供用户界面。通过
VMMSSP 网站,用户可以执行不同任务,例如在自助服务门户中合并
基础架构资产、扩展虚拟机操作、创建业务单元和基础架构请求、验
证并审批请求,以及交付虚拟机(借助自助服务门户交付功能)。用
51
户还可以使用 VMMSSP 网站查看与这些任务有关的信息。
VMMSSP 数据库
需要有 SQL Server 数据库存储有关配资产配置的信息、有关业务单元和
请求的信息,以及已经向不同业务单元交付过什么内容的相关信息。
该数据库还将存储 XML,这种文件用编码后的方式保存了默认和自定
义的虚拟机操作,以及其他与自助服务门户有关的配置信息。
VMMSSP 服务器
需要由这种 Windows 服务运行用户通过 VMMSSP 网站提价的默认的,
以及定制的虚拟机操作。该服务使用了 Windows Communication
Foundation(WCF)TCP 端点监听客户端通讯,并承载了 Windows
Workflow Foundation(WF)运行时环境。通过使用 WF,该服务器即可
运行组成了虚拟机操作的任务序列。要优化服务器组件的性能,则可
以使用自助服务门户中可用的参数,或直接在配置文件中进行。这些
参数控制了可同时运行的操作数量。
硬件需求 下表列出了最小和建议的硬件需求。
硬件组件 最小 建议
内存 2 GB 4 GB
可用磁盘空间 50 GB 50 GB
软件需求
在安装自助服务门户之前,请在计算机上安装并配置下列软件。
软件 注释
操作系统:Windows
Server® 2008 R2
可支持 Windows Server 2008 R2 Enterprise
Edition 以及 Windows Server 2008 R2
Datacenter Edition。
Windows Server
Internet 信息服务
(IIS)7.0
必须添加 Web 服务器角色(IIS),然后安装
下列角色服务:
IIS 6 元数据兼容性
静态内容
默认文档
52
ASP.NET
.NET 扩展
ISAPI 扩展
ISAPI 筛选器
请求筛选
使用集成式 Windows 身份验证(NTLM 或
Kerberos),关闭匿名身份验证。详细信息请
参考 IIS 文档中的配置 Windows 身份验证。
使用 IIS v6.0 兼容性模式。
Microsoft .NET
Framework 3.5 SP1
Windows
PowerShell™ 2.0
重要 如果扩展脚本要求特定 Windows
PowerShell 管理单元,请在安装工具包服务
器组件时一起安装。
注意 如果 Windows PowerShell 执行策略被设
置为 Restricted,安装向导会将其改为
AllSigned。
Microsoft 消息队列 也叫做 MSMQ。
VMM 2008 R2 管理控
制台
SQL Server 2008 可支持 SQL Server 2008 Enterprise(64 位)以
及 SQL Server 2008 Standard(64 位)版本。
VMMSSP 架构模式
单服务器架构
单服务器架构模式如下图所示。该架构包含一台运行 Windows
Server2008 R2(物理或虚拟机)的宿主服务器,并安装了 SCVMM
2008 R2 管理员控制台、SQL Server 2008,以及 SSP 组件。
53
该模式适合测试和开发环境,以及小型分支办公室。
三服务器架构
三服务器架构模式如下图所示。该架构包含三台运行 Windows Server
2008 R2(物理或虚拟机)的服务器,并安装了 SCVMM 2008 R2 管理员
控制台,并在第一台服务器上安装服务器组件,在第二台服务器上安
装 SQL Server 2008,在第三台服务器上安装 SSP Web 组件。
54
该模式适合需要进行扩展的大型环境。
安全方面的考虑
要提高自主服务门户环境的安全性,可考虑下列任务:
理解并在自助服务门户中规划默认和自定义用户角色。
规划并准备服务帐户。
理解在不同自助服务组件间建立通讯通道所需的端口和协议。
加固运行 VMMSSP 网站组件的 Web 服务器。
SSP 用户角色帐户和组
自助服务门户提供了四个默认用户角色,您还可以创建自定义的用户
角色。自助服务门户使用 Windows 身份验证技术,因此可以使用
Active Directory 用户帐户和安全组充当这些用户角色。请对安全组和用
户角色之间的映射进行妥善规划,尤其是要确认将被添加到 DCIT
Admin 这一内建用户角色的安全组和用户帐户。该角色的成员将成为
超级管理员,他们可以执行 VMMSSP 网站所提供的全部功能。您可以
在运行安装向导时向 DCIT Admin 角色添加成员,或者也可以在随后配
置自助服务门户时添加。
55
服务帐户
如果使用域帐户,并且您的域组策略对象(GPO)将默认密码过期策略
设置为必须的,则还需要根据计划修改该服务帐户的密码,或者配置
该帐户,让密码从不过期。
防火墙例外
如果在想要安装自助服务门户的计算机上配置了 Windows 防火墙,则
需确保在打算使用自助服务门户的计算机上添加了防火墙端口例外。
要配置其他防火墙,请参考防火墙制造商提供的说明书。
加固自助服务门户网站
安装 VMMSSP 网站组件可在 IIS 中为自助服务门户创建相应的 Web 站
点。本节将介绍用于加固自助服务门户网站的一些建议。
为自助服务门户配置 SSL
要加密客户端和 VMMSSP 网站组件之间的通讯,需要在 Web 服务器上
配置 SSL。取决于门户的使用方式,您可以用下列任何一种方式获取
SSL 所需的加密证书:
如果网站位于组织内部,不需要外部访问,则可以从组织现有的公
钥基础架构(PKI)获得证书。
如果用户可以从互联网访问自助服务门户,Microsoft 建议从证书颁
发机构获取证书。
如果在使用 IIS 7.0,可参考 IIS 文档中使用安全套接字层(SSL)加密通
讯一节获得详细信息。
禁用不需要的 ISAPI 程序
在安装 VMMSSP 网站组件时,IIS 会添加针对常见扩展,例
如.soap、.xoml,以及.asmx 的默认 ISAPI 筛选器和程序。为避免不必要
地暴露到任何潜在安全风险中,建议禁用网站组件不需要的程序。
下表列出了 VMMSSP 网站组件所需的 ISAPI 程序。
OPTIONSVerbHandler
PageHandlerFactory-ISAPI-2.0
PageHandlerFactory-ISAPI-2.0-64
TRACEVerbHandler
WebServiceHandlerFactory-ISAPI-2.0
56
WebServiceHandlerFactory-ISAPI-2.0-64
StaticFile
AXD-ISAPI-2.0
AXD-ISAPI-2.0-64
将介绍如何在 IIS 7.0 中禁用 ISAPI 程序。
重要
为避免对其他 Web 站点产生误操作,请确保只更新针对自助服
务门户 IIS Web 站点的程序柄。
要为自助服务门户禁用 ISAPI 程序
1. 在 Web 服务器的管理工具菜单中打开 Internet 信息服务(IIS)管理
器。
2. 展开“站点”,定位到针对自助服务门户配置的 IIS 站点。
3. 在功能视图窗格下的“IIS”选项中,打开“处理程序映射”。
4. 对于每个没有列在上表中的程序,选中相应程序,单击“删除”,
然后单击“是”。
监控和报表
VMMSSP 仪表板
Microsoft® System Center Virtual Machine Manager 自助服务门户
(VMMSSP)仪表板是一个基于 Windows® SharePoint® Services 的应用
程序,可在一个 Web 页面上提供针对一系列自助服务门户状态信息的
视图。用户可以饼图、折线图,Dundas gauges 图表的方式查看数据。
VMMSSP 仪表板通过对基础架构、资源、虚拟机,以及逆向计费数据
提供集中的视图,进一步扩展了 Virtual Machine Manager 2008 R2 自助
服务门户 2.0 的功能。对于上述每种领域,该仪表板还可提供详细的状
态信息。VMMSSP 仪表板可为 IT 经理提供制定决策所需的信息,可降
低服务成本,还可改善数据中心的整体效率。
由于该仪表板内建在 Windows SharePoint Services 中,因此用户可以脱
离自助服务门户直接访问。
57
58
参考资源
下文列出了其他可用于加速构建服务器虚拟化实践,并促进成功参与的
参考资源。
Microsoft 解决方案加速器
Microsoft 提供了一系列工具和指导,帮助您解决部署、规划,以及运作
方面的 IT 问题。这些资源都是免费的,并可获得完善支持。
Microsoft 评估和规划(MAP)工具包
下载这一基于网络的清单和评估工具,以确定 Windows Server 2008 R2
Hyper-V 和应用程序虚拟化技术的虚拟化候选者。如果您的客户目前在使
用 VMware 产品,该工具包还提供了 VMware 发现功能,可识别 VMware
下运行的已被虚拟化,但可使用 System Center Virtual Machine Manager
进行管理,或可迁移到 Hyper-V 的服务器。
详细信息:http://technet.microsoft.com/en-
us/solutionaccelerators/dd537570.aspx?SA_CE=VIRT-MAP-WEB-SAT-2009-
07-13
Offline Virtual Machine Servicing Tool 2.1 Offline Virtual Machine Servicing Tool 2.1 提供了免费,但已通过测试的指
导,以及其他自动化工具,可帮助您确保脱机虚拟机保持状态最新,以
确保不会在 IT 基础架构中产生漏洞。该工具结合了 Windows Workflow
编程模型以及 Windows PowerShell™接口,可自动将一组虚拟机联机,使
用最新的安全更新对其进行维护,并使其重新返回脱机状态。
详细信息:http://technet.microsoft.com/en-
us/library/cc501231.aspx?SA_CE=OVMST21-Release-VIRTPROD-2009-12-07
虚拟化基础架构规划和设计指南
通过虚拟化基础架构规划和设计指南中提供的规划指导,您的虚拟化基
础架构设计工作将变得更合理。其中每个指南涵盖特定的虚拟化基础架
构技术或场景,可通过一系列可用选项提供重要架构决策,并可对设计
决策进行验证,以确保解决方案可满足业务和 IT 股东的需求。
详细信息:http://technet.microsoft.com/en-
us/solutionaccelerators/ee395429.aspx
59
Microsoft.com 除了上述资源,请访问 http://www.microsoft.com 以了解有关交付
Microsoft 服务器虚拟化技术的更多资源。
© 2010 Microsoft Corporation.保留所有权利。MICROSOFT 机密。本文档
所包含的信息仅代表 Microsoft Corporation 在发布该文档时的观点,并可
能在不事先通知的情况下随时更改。本文档及其内容照原样提供,不包
含任何形式的担保,也不应视作 Microsoft 方的承诺,同时 Microsoft 无
法保证所提供信息的准确性。本文档所包含的信息代表 Microsoft 就其内
容的当前观点。对于本文档所包含的信息,MICROSOFT 不做任何明示、
暗含,或法定的担保。
本文档中若存在对于其他公司产品的描述,仅是为了向您提供便利。任
何此类提及不应视作是赞同,也不会得到 Microsoft 的支持。Microsoft 无
法保证此类信息的准确性,且此类产品可能也会有所改动。另外,此类
描述主要是为了以摘要的形式帮助您理解,而不属于考虑周到的新闻报
道。对于这些产品的权威描述,请联系相应的制造商。
