Upload
trinhque
View
218
Download
0
Embed Size (px)
Citation preview
Veröffentlicht: [Datum eingeben]
Titel: Windows Server 2012 – Technische Daten
zur Virtualisierung
Modul 3: Erweiterbarkeit
Modulhandbuch Autor: David Coombes, Content Master
Microsoft Virtual Academy – Teilnehmerhandbuch ii
Die Informationen in diesem Dokument einschließlich der URLs und anderer Verweise auf Websites können sich ohne Ankündigung ändern. Die in den Beispielen verwendeten Namen von Firmen, Organisationen, Produkten, Domänennamen, E-Mail-Adressen, Logos, Personen, Orten und Ereignissen sind frei erfunden, soweit dies nicht anders angegeben ist. Jede Ähnlichkeit mit bestehenden Firmen, Organisationen, Produkten, Domänennamen, E-Mail-Adressen, Logos, Personen, Orten und Ereignissen ist rein zufällig und nicht beabsichtigt. Die Benutzer/innen sind verpflichtet, sich an alle anwendbaren Urheberrechtsgesetze zu halten. Unabhängig von der Anwendbarkeit der Urheberrechtsgesetze darf ohne ausdrückliche schriftliche Genehmigung der Microsoft Corporation kein Teil dieses Dokuments für irgendwelche Zwecke vervielfältigt, in einem Datenempfangssystem gespeichert oder darin eingelesen werden oder auf irgendeine Art und Weise oder durch irgendein Mittel (elektronisch, mechanisch, durch Fotokopieren, Aufzeichnen usw.) übertragen werden. Es ist möglich, dass Microsoft Rechte an Patenten bzw. angemeldeten Patenten, an Marken, Urheberrechten oder sonstigem geistigen Eigentum besitzt, die sich auf den fachlichen Inhalt dieses Dokuments beziehen. Die Bereitstellung dieses Dokuments bedeutet keine Gewährung von Lizenzrechten an diesen Patenten, Marken, Urheberrechten oder anderem geistigen Eigentum, ausgenommen, dies wurde explizit durch einen schriftlich festgehaltenen Lizenzvertrag mit der Microsoft Corporation vereinbart. ® 2012 Microsoft Corporation. Alle Rechte vorbehalten. Microsoft ist entweder eine eingetragene Marke oder eine Marke der Microsoft Corporation in den Vereinigten Staaten und/oder anderen Ländern. Die Namen tatsächlich existierender Unternehmen, die hierin erwähnt werden, sind unter Umständen Marken ihrer jeweiligen Eigentümer.
Microsoft Virtual Academy – Teilnehmerhandbuch iii
Inhalt
INHALT ......................................................................................................................................................................................................................... III
MODUL 3: ERWEITERBARKEIT .............................................................................................................................................................................. 5
Modulübersicht .................................................................................................................................................................................................... 5
LEKTION 1: EINFÜHRUNG ..................................................................................................................................................................................... 6
NETZWERKE UND DIE CLOUD ............................................................................................................................................................................. 7
HYPER-V-SWITCH – ÜBERSICHT ......................................................................................................................................................................... 8
LEKTION 2: ERWEITERBARER HYPER-V-SWITCH .......................................................................................................................................... 9
ERWEITERBARER HYPER-V-SWITCH – ÜBERSICHT ................................................................................................................................... 10
Grundsätze für das Design des erweiterbaren Hyper-V-Switches ......................................................................................... 10
SWITCHRICHTLINIEN VON WINDOWS SERVER 2012 ............................................................................................................................. 12
RICHTLINIEN FÜR DIE VERKEHRSISOLIERUNG UND DEN VERKEHRSFLUSS .................................................................................. 13
Port-ACL ................................................................................................................................................................................ 13 PVLAN .................................................................................................................................................................................... 14 Trunk-Modus .......................................................................................................................................................................... 14
RICHTLINIEN FÜR TRAFFIC SHAPING ............................................................................................................................................................. 15
QoS ......................................................................................................................................................................................... 15
SICHERHEITSRICHTLINIEN .................................................................................................................................................................................. 17
DHCP-Wächter ...................................................................................................................................................................... 17 IPsec-Taskabladung ............................................................................................................................................................... 18
LEISTUNGSRICHTLINIEN ...................................................................................................................................................................................... 19
SR-IOV ................................................................................................................................................................................... 19 Dynamische VMQ ................................................................................................................................................................... 20
DIAGNOSERICHTLINIEN ....................................................................................................................................................................................... 21
Portspiegelung........................................................................................................................................................................ 21 Ablaufverfolgung .................................................................................................................................................................... 21
VORTEILE DES ERWEITERBAREN SWITCHES ................................................................................................................................................ 22
LEKTION 3: HYPER-V-SWITCHERWEITERUNGEN ....................................................................................................................................... 24
SWITCHERWEITERUNGEN – EINFÜHRUNG .................................................................................................................................................. 25
ERFASSUNGSERWEITERUNGEN ........................................................................................................................................................................ 26
FILTERERWEITERUNGEN ...................................................................................................................................................................................... 27
WINDOWS-FILTERPLATTFORM-ERWEITERUNGEN ................................................................................................................................... 28
WEITERLEITUNGSERWEITERUNGEN ............................................................................................................................................................... 29
LEKTION 4: VERWALTEN DES ERWEITERBAREN HYPER-V-SWITCHES .............................................................................................. 30
VERWALTEN DER SWITCHERWEITERUNGEN MIT VMM ......................................................................................................................... 31
MANAGER FÜR VIRTUELLE SWITCHES ........................................................................................................................................................... 32
Microsoft Virtual Academy – Teilnehmerhandbuch iv
ERWEITERBARER HYPER-V-SWITCH – POWERSHELL ............................................................................................................................... 33
LEKTION 5: TOOLS FÜR DEN DATENVERKEHR UND ABLAUFVERFOLGUNG ................................................................................. 34
AUF VIRTUELLEN COMPUTERN BASIERENDE TOOLS FÜR DEN DATENVERKEHR ....................................................................... 35
DIAGNOSEABLAUFVERFOLGUNG .................................................................................................................................................................... 36
BEISPIEL EINER ETW-ABLAUFVERFOLGUNG DES ERWEITERBAREN SWITCHES ............................................................................ 37
BEISPIEL EINER VEREINHEITLICHTEN ABLAUFVERFOLGUNG DES ERWEITERBAREN SWITCHES ........................................... 38
Modul 3: Erweiterbarkeit
Microsoft Virtual Academy – Teilnehmerhandbuch 5
Modul 3: Erweiterbarkeit
Modulübersicht
In diesem Modul wird der neue erweiterbare virtuelle Hyper-V-Switch in Windows Server® 2012
vorgestellt. Das Modul beschreibt die Switcharchitektur, die Switcherweiterungen sowie das
Verwalten dieser Switcherweiterungen. Das Modul erläutert auch, wie die Architektur des
erweiterbaren virtuellen Hyper-V-Switches neue und verbesserte Optionen für die Tools für den
Datenverkehr und die Netzwerkablaufverfolgung ermöglicht.
Modul 3: Erweiterbarkeit
Microsoft Virtual Academy – Teilnehmerhandbuch 6
Lektion 1: Einführung
In dieser Lektion werden die Netzwerkanforderungen für die Cloud sowie die Hauptfunktionalität des
Hyper-V-Switches beschrieben.
Modul 3: Erweiterbarkeit
Microsoft Virtual Academy – Teilnehmerhandbuch 7
Netzwerke und die Cloud
Die Cloud stellt besondere Anforderungen an Netzwerke:
• Für die Cloud ist eine integrierte Sicherheit und ein integrierter Schutz erforderlich.
• Für die Cloud ist es erforderlich, dass Tools für den Datenverkehr cloudübergreifend
hinzugefügt werden können.
• Für die Cloud ist eine Vereinheitlichung der Verwaltungstools über die Cloud hinweg
erforderlich.
• Die Cloud verwischt den Unterschied zwischen physischen und virtuellen Netzwerken.
Modul 3: Erweiterbarkeit
Microsoft Virtual Academy – Teilnehmerhandbuch 8
Hyper-V-Switch – Übersicht
Beim virtuellen Hyper-V-Switch handelt es sich um einen Layer-2-Netzwerkswitch, der sämtlichen
Netzwerkverkehr zwischen folgenden Komponenten abwickelt:
Virtuelle Computer
Externe Netzwerke
Hyper-V-Host
Modul 3: Erweiterbarkeit
Microsoft Virtual Academy – Teilnehmerhandbuch 9
Lektion 2: Erweiterbarer Hyper-V-Switch
In dieser Lektion wird die Architektur des neuen erweiterbaren Hyper-V-Switches in Windows
Server 2012 beschrieben. Außerdem werden die Switchrichtlinien erläutert, die vom erweiterbaren
Switch unterstützt werden, und die Hauptvorteile des erweiterbaren Switches aufgelistet.
Modul 3: Erweiterbarkeit
Microsoft Virtual Academy – Teilnehmerhandbuch 10
Erweiterbarer Hyper-V-Switch – Übersicht
In Windows Server 2012 verwendet der virtuelle Hyper-V-Switch eine erweiterbare Architektur, die
programmatisch verwaltete und erweiterbare Funktionen enthält, um virtuelle Computer mit dem
physischen Netzwerk zu verbinden. Diese Switcharchitektur enthält eine Richtlinienerzwingung für
Sicherheits- und Isolierungsstufen sowie für Servicelevel. Diese Methode ermöglicht eine Anzahl
neuer und verbesserter Funktionen für Mandantenisolierung, Traffic Shaping, Schutz vor schädlichen
virtuellen Computern und vereinfachte Problembehandlung.
Grundsätze für das Design des erweiterbaren Hyper-V-Switches Die folgende Tabelle enthält die Grundsätze für das Design des erweiterbaren Hyper-V-Switches:
Grundsatz Vorteil
Switch soll erweiterbar, nicht ersetzbar sein Neue/hinzugefügte Funktionen ersetzen nicht
vorhandene Funktionen.
Austauschbarer Switch Erweiterungen verarbeiten den gesamten
Netzwerkverkehr, einschließlich des Verkehrs
zwischen virtuellen Computern.
Modul 3: Erweiterbarkeit
Microsoft Virtual Academy – Teilnehmerhandbuch 11
First Class Citizen des Systems Die Erweiterungen des erweiterbaren Hyper-V-
Switches erhalten denselben Umfang an
Unterstützung und Diensten wie der Switch
selbst. Das bedeutet, dass Funktionen wie
Livemigration und Verschiebungen einfach
funktionieren; alle Erweiterungen arbeiten
zusammen.
Offenes und öffentliches API-Modell Der erweiterbare Hyper-V-Switch enthält eine
offene Plattform, die eine öffentliche API
verwendet, die auf der Microsoft Developer
Network- (MSDN®-)Website zum Herunterladen
zur Verfügung steht. Dies garantiert ein großes
Partnersystem für Erweiterungen.
Logozertifizierung und umfangreiches
Betriebssystem-Framework
Erweiterungen, die mithilfe der
Switcherweiterungs-API erstellt wurden, werden
vom Programm „Windows Hardware
Certification“ unterstützt, und dazugehörige Tools
zum Testen und Zertifizieren der Endprodukte
ermöglichen hochwertige Erweiterungen.
Vereinheitlichte Ablaufverfolgung über virtuellen
Switch
Mithilfe der vereinheitlichten Ablaufverfolgung im
erweiterbaren Hyper-V-Switch benötigen
Entwickler weniger Zeit für die Fehlerdiagnose.
Dies wiederum erhöht die Produktivität und senkt
die Supportkosten. Für IT-Spezialisten bedeutet
die Unterstützung der vereinheitlichten
Ablaufverfolgung kürzere Ausfallzeiten.
Modul 3: Erweiterbarkeit
Microsoft Virtual Academy – Teilnehmerhandbuch 12
Switchrichtlinien von Windows Server 2012
Der erweiterbare Hyper-V-Switch in Windows Server 2012 unterstützt eine Reihe von
Switchrichtlinien, die für Folgendes konzipiert wurden:
Isolierung des Datenverkehrs und Verwalten des Verkehrsflusses: Hierfür stehen Funktionen
wie Portzugriffssteuerungslisten (Port-ACLs), Private Virtual Local Area Networks (PVLANs)
und Switch-Trunk-Modus zur Verfügung.
Traffic Shaping und Bandbreitenverwaltung über Quality of Service- (QoS-)Funktionen
Verbessern der Sicherheit mithilfe neuer Funktionen, wie Dynamic Host Configuration
Protocol- (DHCP-)Wächter und verbessertes IPsec, wie z. B. neue Unterstützung für IPsec-
Taskabladung (IPsec Task Offload, IPsecTO)
Verbessern der Leistung mithilfe von dynamischen VM Queues (VMQs) und Single Route I/O
Virtualization (SR-IOV)
Erweitern der Systemdiagnose mithilfe der Portspiegelung und neuer unterstützter
Ablaufverfolgungsfunktionen
Hierbei handelt es sich ausschließlich um systemeigene Richtlinienbereiche, um die Funktionalität des
Switches zu erweitern.
Modul 3: Erweiterbarkeit
Microsoft Virtual Academy – Teilnehmerhandbuch 13
Richtlinien für die Verkehrsisolierung und den
Verkehrsfluss
Um den Verkehr zu isolieren und den Verkehrsfluss zu verwalten, enthält Windows Server 2012 die
folgenden Richtlinien:
• Port-ACL
• PVLAN
• Trunk-Modus
Port-ACL Jeder Switchport kann nun eine ACL enthalten. Die ACL kann auf einer IPv4- oder IPv6-Adresse oder
auf einer MAC-Adresse basieren. Darüber hinaus kann sie so konfiguriert werden, dass Verkehr
zugelassen oder abgelehnt wird.
Port-ACLs ermöglichen daher den Verkehr basierend auf virtuellem Quell- und Zielcomputer zu
blockieren und enthalten einen Mechanismus für die Netzwerkisolation. Port-ACLs ermöglichen auch
das Messen des Netzwerkverkehrs für einen virtuellen Port auf dem erweiterbaren Hyper-V-Switch.
Mithilfe der Port-ACLs können Sie die IP- oder MAC-Adressen messen, die mit einem virtuellen
Computer kommunizieren (bzw. nicht kommunizieren) können. Sie können beispielsweise Port-ACLs
Modul 3: Erweiterbarkeit
Microsoft Virtual Academy – Teilnehmerhandbuch 14
verwenden, um die Isolierung eines virtuellen Computers zu erzwingen, indem Sie die
Kommunikation nur mit dem Internet oder nur mit vordefinierten Adressen zulassen. Mithilfe der
Messfunktion können Sie den Netzwerkverkehr zu oder von einer bestimmten IP- oder MAC-Adresse
messen. Dies ermöglicht Ihnen, einen Bericht über den gesendeten oder empfangenen Datenverkehr
vom Internet oder von Netzwerkspeicherarrays zu erstellen.
Sie können mehrere Port-ACLs für einen virtuellen Port konfigurieren. Jede Port-ACL besteht aus
einer Quell- oder Zielnetzwerkadresse und enthält die Berechtigung Aktionen zu verweigern oder zu
messen. Die Messfunktion liefert auch Informationen über die Anzahl der Instanzen hinsichtlich des
Datenverkehrs, für den das Senden zu oder von einem virtuellen Computer von einer
eingeschränkten (verweigerten) Adresse versucht wurde.
PVLAN Die VLAN-Technologie wird traditionell zum Unterteilen eines Netzwerks und für die Isolierung von
Benutzern und Anwendungen verwendet, die eine gemeinsame physische Infrastruktur verwenden.
Windows Server 2012 unterstützt nun PVLANs, eine Methode für VLANs für die Isolierung von zwei
virtuellen Computern im selben VLAN.
Wenn ein virtueller Computer nicht mit anderen virtuellen Computern kommunizieren muss, können
Sie PVLANs zum Isolieren des virtuellen Computers von anderen virtuellen Computern im Netzwerk
verwenden. Wenn Sie jedem virtuellen Computer in einem PVLAN eine primäre und mindestens eine
sekundäre VLAN-ID zuweisen, können Sie für sekundäre PVLANs drei Modi aufrufen: Isoliert,
Promiscuous, Community Diese PVLAN-Modi bestimmen, mit welchen virtuellen Computern im PVLAN
ein virtueller Computer kommunizieren kann. Wenn Sie einen virtuellen Computer z. B. isolieren
möchten, aktivieren Sie den isolierten Modus.
Trunk-Modus Der Trunk-Modus ermöglicht das Senden des Datenverkehrs von mehreren VLANs an denselben
virtuellen Computer. Wenn Sie die Umleitung des Verkehrs von mehreren VLANs zu einem
Netzwerkadapter in einem virtuellen Computer aktivieren, kann der Datenverkehr von mehreren
VLANs konsolidiert werden, und ein virtueller Computer kann mit mehreren VLANs kommunizieren.
Modul 3: Erweiterbarkeit
Microsoft Virtual Academy – Teilnehmerhandbuch 15
Richtlinien für Traffic Shaping
Für Traffic Shaping und das Verwalten der Bandbreite enthält Windows Server 2012 die folgenden
Richtlinien:
• QoS
QoS QoS-Bandbreitenverwaltung für Traffic Shaping bietet zwei Möglichkeiten:
Einschränkung der Bandbreite: Dieser nur zum Senden verwendete Filter erzwingt die
maximale Bandbreite (auch als Ratenbegrenzung bezeichnet) und stand bereits in Windows
Server 2008 R2 zur Verfügung.
Minimale Bandbreite: Dies ist eine neue Funktion in Windows Server 2012.
Sie gewährleistet, dass der Port immer die angegebene Bandbreite erhält. Sie können QoS
entweder durch die absolute Bandbreite oder eine relative Gewichtung angeben. Wenn Sie
eine bestimmte Bandbreite für einen bestimmten Datenverkehrstyp angeben, können Sie mit
der minimalen Bandbreite eine vorhersehbare Netzwerkleistung für virtuelle Computer auf
einem Hyper-V-Server zur Verfügung stellen.
Modul 3: Erweiterbarkeit
Microsoft Virtual Academy – Teilnehmerhandbuch 16
Verwenden der absoluten minimalen Bandbreite
Wenn eine Überlastung auftritt und die erforderliche Netzwerkbandbreite die verfügbare Bandbreite
überschreitet, können Sie mit der minimalen Bandbreite gewährleisten, dass jeder
Netzwerkverkehrstyp mindestens seine zugewiesene Bandbreite erhält. Aus diesem Grund wird die
minimale Bandbreite auch als gerechte Verteilung bezeichnet. Diese Eigenschaft ist wichtig, wenn
mehrere Netzwerkverkehrstypen auf einem Netzwerkadapter zusammenlaufen.
Wenn keine Überlastung auftritt und die Bandbreite für den gesamten Netzwerkverkehr ausreicht,
kann jeder Netzwerkverkehrstyp seine zugewiesene Bandbreite überschreiten und soviel Bandbreite
verbrauchen, wie verfügbar ist. Durch diese Eigenschaft eignet sich die minimale Bandbreite für die
Verwendung der verfügbaren Bandbreite besser als die maximale Bandbreite.
Verwenden der relativen Gewichtung für die minimale Bandbreite
Wenn die Wichtigkeit der Arbeitsauslastungen in virtuellen Computern relativ ist, können Sie die
relative minimale Bandbreite wählen. Hier weisen Sie jedem virtuellen Computer eine Gewichtung zu,
wobei die wichtigeren virtuellen Computer eine höhere Gewichtung erhalten. Ermitteln Sie den
Bruchteil der Bandbreite, den Sie einem virtuellen Computer zuweisen, indem Sie die Gewichtung
des virtuellen Computers durch die Summe aller Gewichtungen der virtuellen Computer teilen, die
mit dem erweiterbaren Hyper-V-Switch verbunden sind. Die Gewichtung ist sinnvoll, wenn Sie in
einer Teamingsituation eine Netzwerkschnittstellenkarte (Network Interface Card, NIC) verlieren.
Der Hyper-V-Switch teilt den Verkehr daraufhin erneut entsprechend zu.
Modul 3: Erweiterbarkeit
Microsoft Virtual Academy – Teilnehmerhandbuch 17
Sicherheitsrichtlinien
Zum Verbessern der Netzwerksicherheit enthält Windows Server 2012 die folgenden Richtlinien:
• DHCP-Wächter
• IPsec-Taskabladung
DHCP-Wächter Der DHCP-Wächter verhindert, dass ein bestimmter virtueller Computer als DHCP-Server fungiert.
Der DHCP-Wächter verwirft alle Pakete, die der virtuelle Computer versucht zu senden und die den
virtuellen Computer als DHCP-Server identifizieren würden.
In einer DHCP-Umgebung kann ein gefährlicher DHCP-Server die Client-DHCP-Anfragen abfangen
und falsche Adressinformationen liefern. Der gefährliche DHCP-Server kann den Verkehr an
schädliche dazwischengeschaltete Computer leiten, die den gesamten Datenverkehr ausspionieren,
bevor er an den rechtmäßigen Zielcomputer weitergeleitet wird. Mithilfe des DHCP-Wächters können
Sie sich vor diesem speziellen Typ des Man-in-the-Middle-Angriffs schützen, indem Sie angeben,
welche virtuellen Switchports mit DHCP-Servern verbunden sein dürfen.
Modul 3: Erweiterbarkeit
Microsoft Virtual Academy – Teilnehmerhandbuch 18
IPsec-Taskabladung IPsec ist ein CPU-intensives Protokoll, und IPsecTO wird zum Abladen der IPsec-Verarbeitung auf
unterstützte NICs verwendet. Da Windows Server 2012 IpsecTOv2 unterstützt, erstreckt sich diese
Abladung nun auch auf virtuelle Computer die vom Hyper-V-Switch verwaltet wird. Solange der
Hyper-V-Host unterstützte NICs enthält, können die virtuellen NICs, die ein virtueller Computer
verwendet, die Vorteile von IPsecTO über den Hyper-V-Switch nutzen. Für den virtuellen Computer
sieht es so aus, als ob eine echte, physische von IPsecTO unterstützte NIC verwendet wird.
Modul 3: Erweiterbarkeit
Microsoft Virtual Academy – Teilnehmerhandbuch 19
Leistungsrichtlinien
Zum Verbessern der Netzwerkleistung enthält Windows Server 2012 die folgenden Richtlinien:
• SR-IOV
• Dynamische VMQ
SR-IOV SR-IOV, auch als Direkte E/A bezeichnet, arbeitet in Verbindung mit der Systemchipsatz-
Unterstützung für Virtualisierungstechnologien, die eine erneute Zuordnung der Unterbrechungen
und des direkten Speicherzugriffs (Direct Memory Access, DMA) sowie die direkte Zuweisung von
Geräten mit SR-IOV-Funktion zu einem virtuellen Computer ermöglichen. Hyper-V in Windows Server
2012 unterstützt Netzwerkgeräte mit SR-IOV-Funktion und ermöglicht das direkte Zuweisen einer
virtuellen SR-IOV-Funktion eines physischen Netzwerkadapters zu einem virtuellen Computer.
Dies erhöht den Netzwerkdurchsatz und verringert gleichzeitig die Netzwerklatenz sowie den für die
Verarbeitung des Netzwerkverkehrs erforderlichen Mehraufwand für Zentralprozessoren.
Modul 3: Erweiterbarkeit
Microsoft Virtual Academy – Teilnehmerhandbuch 20
SR-IOV umgeht den virtuellen Switch und eignet sich daher in Situationen, in denen die Rohleistung
Priorität hat und switchbasierte Richtlinien nicht erforderlich sind. Wenn Sie jedoch SR-IOV auf einem
Kanal verwenden und eine Richtlinie im virtuellen Switch aktiviert ist, trennt Hyper-V den direkten
Pfad und kehrt zu einem Softwarepfad über den virtuellen Switch zurück, um die
Richtlinienerzwingung sicherzustellen.
Um SR-IOV zu aktivieren, müssen Sie ein Kontrollkästchen in Hyper-V-Manager beim Erstellen des
Switches und beim Erstellen des virtuellen Computers aktivieren. Sie können SR-IOV auch mit
Windows PowerShell™-Cmdlets aktivieren und konfigurieren: VMSwitch, VMNetworkAdapter und
NetAdapterSriov.
Dynamische VMQ VMQs werden zum erneuten Zuweisen verfügbarer Prozessorwarteschlangen verwendet, wobei die
aktuellen Netzwerkanforderungen der virtuellen Computer berücksichtigt werden. Dynamische VMQs
in Windows Server 2012 sind eine Erweiterung der statischen VMQs, die in Windows Server 2008 R2
verwendet wurden. Bei geringerem Datenverkehr wird mit den dynamischen VMQs ein Kern
verwendet. Wenn der Verkehrsfluss jedoch steigt, fügt der Hyper-V-Host Kerne hinzu, bis alle
verfügbaren Kerne hinzugefügt wurden. Bei statischen VMQs hingegen werden bei der Zuweisung
von vier Kernen zum virtuellen Switch für den Datenverkehr, immer vier Kerne verwendet,
ungeachtet dessen, wie viel oder wenig Datenverkehr vorhanden ist.
Modul 3: Erweiterbarkeit
Microsoft Virtual Academy – Teilnehmerhandbuch 21
Diagnoserichtlinien
Zum Verbessern der Netzwerkdiagnose enthält Windows Server 2012 die folgenden Richtlinien:
• Portspiegelung • Ablaufverfolgung
Portspiegelung Mithilfe der Portspiegelung wird der Datenverkehr von einem virtuellen Port auf einen anderen kopiert. Dies ist für virtuelle Computer sinnvoll, auf denen eine Eindringversuchserkennung und Tools für den Eindringschutz ausgeführt werden. Die Portspiegelung eignet sich auch für die Problembehandlung.
Sie können die zu überwachenden virtuellen Ports sowie den Port angeben, an den der überwachte Datenverkehr zur weiteren Verarbeitung gesendet werden soll. Beispielsweise kann ein virtueller Computer, der die Sicherheit überwacht, nach anomalen Mustern im Datenverkehr zwischen anderen bestimmten virtuellen Computern auf dem Switch suchen. Des Weiteren können Sie Netzwerkverbindungsprobleme diagnostizieren, indem Sie den für einen bestimmten virtuellen Switchport gebundenen Verkehr überwachen.
Ablaufverfolgung Die neuen und verbesserten Ablaufverfolgungsfunktionen werden in Lektion 5 dieses Moduls behandelt.
Modul 3: Erweiterbarkeit
Microsoft Virtual Academy – Teilnehmerhandbuch 22
Vorteile des erweiterbaren Switches
Die erweiterbare Architektur des virtuellen Hyper-V-Switches in Windows Server 2012 bietet viele
Vorteile:
Plug-in-Framework für Erweiterungen, die eine bekannte API verwenden: Wenn neue
Funktionen erforderlich sind, muss der Switch nicht ersetzt, sondern kann erweitert werden.
Erweiterungen können eingesteckt werden, um die entsprechende Funktion zur Verfügung zu
stellen, ohne dass der gesamte Switch neu geschrieben werden muss. Erweiterungen werden
entweder mit Windows® Filter Platform (WFP) oder Network Driver Interface Specification
(NDIS) codiert. Hierbei handelt es sich um dasselbe Programmierungsmodell, das seit über
zehn Jahren zum Erstellen von Netzwerkfiltern und -treibern zur Verfügung gestellt wird.
Für Entwickler bedeutet dies, dass sie sofort arbeiten können, ohne eine neue
Entwicklungsumgebung kennenlernen zu müssen.
Für Erweiterungen unterstützte Dienste: Alle wesentlichen NIC-Abladetechnologien
werden für Switcherweiterungen unterstützt, einschließlich Prüfsumme, IPsecTO, Large Send
Offload (LSO), Receive Segment Coalescing (RSC), Receive Side Scaling (RSS) und SR-IOV.
Switcherweiterungen wirken sich in keiner Weise auf die Zuverlässigkeit der Livemigration aus.
Modul 3: Erweiterbarkeit
Microsoft Virtual Academy – Teilnehmerhandbuch 23
Integrierte Verwaltung über Windows PowerShell/WMI: Der erweiterbare Switch kann
mithilfe der Windows PowerShell-Cmdlets und der Befehle von Windows Management
Instrumentation (WMI) verwaltet werden.
Qualitativ bessere Plug-ins: Weil eine standardmäßige Windows-Umgebungsentwicklung
verwendet wird, können Entwickler hochwertige Erweiterungen einfach erstellen. Auf diese
Weise erstellte Erweiterungen werden deshalb vom Windows Hardware Certification Kit (HCK)
unterstützt.
Modul 3: Erweiterbarkeit
Microsoft Virtual Academy – Teilnehmerhandbuch 24
Lektion 3: Hyper-V-Switcherweiterungen
In dieser Lektion wird die Architektur der Hyper-V-Switcherweiterung sowie die drei Klassen der
Erweiterungen beschrieben: Erfassen, Filtern und Weiterleiten.
Modul 3: Erweiterbarkeit
Microsoft Virtual Academy – Teilnehmerhandbuch 25
Switcherweiterungen – Einführung
Der erweiterbare Hyper-V-Switch ermöglicht es NDIS-Filtertreibern (auch erweiterbare Hyper-V-
Switcherweiterungen genannt) eine Bindung innerhalb des Treiberstapels des erweiterbaren Switches
herzustellen. Somit können Erweiterungen Pakete überwachen, ändern und an erweiterbare
Switchports weiterleiten. Dies ermöglicht den Erweiterungen auch, Pakete zu verwerfen, umzuleiten
oder auf Ports zu erstellen, die von den Hyper-V-Partitionen verwendet werden.
Sie können Richtlinien zu Erweiterungen hinzufügen, die angewendet werden, um Datenverkehr über
einen individuellen erweiterbaren Switchport oder den Switch selbst zu paketieren. Somit kann die
Erweiterung das Senden eines Pakets zulassen oder ablehnen.
Switcherweiterungen sind in drei Klassen aufgeteilt:
Erfassungserweiterungen
Filtererweiterungen
Weiterleitungserweiterungen
Modul 3: Erweiterbarkeit
Microsoft Virtual Academy – Teilnehmerhandbuch 26
Erfassungserweiterungen
Die Erfassungserweiterungen untersuchen den Datenverkehr und erzeugen zur Berichterstellung
neuen Datenverkehr, können den Datenverkehr selbst aber nicht verändern.
Es können mehrere Erfassungserweiterungen vorhanden sein. Mithilfe des Managers für virtuelle
Switches oder mithilfe von PowerShell können Sie Erweiterungen innerhalb der Erfassungsklasse neu
sortieren.
Beachten Sie, dass Erfassungserweiterungen weder Pakete ändern noch Pakete verwerfen.
Modul 3: Erweiterbarkeit
Microsoft Virtual Academy – Teilnehmerhandbuch 27
Filtererweiterungen
Filtererweiterungen können Pakete analysieren, verwerfen, ändern und einfügen. Diese Klasse kann
dieselben Funktionen wie eine Erfassungserweiterung ausführen und Pakete ändern, verwerfen und
neue Pakete einfügen, um eine vollständige Filterung zu ermöglichen.
Modul 3: Erweiterbarkeit
Microsoft Virtual Academy – Teilnehmerhandbuch 28
Windows-Filterplattform-Erweiterungen
WFP-Erweiterungen können Pakete auf dieselbe Weise wie Filtererweiterungen analysieren,
verwerfen, ändern und einfügen. WFP-Erweiterungen werden von Microsoft geschrieben und von der
Windows-Firewall verwendet. Jedoch handelt es sich bei WFP um einen API-Standardsatz, der von
jedem Firewall-Filter verwendet werden kann. Sie können jedes WFP-Plug-in (von Microsoft oder
einem Drittanbieter) mit der Filterweiterung verwenden.
Es können sich mehrere WFP-Erweiterungen auf demselben Switch befinden.
Modul 3: Erweiterbarkeit
Microsoft Virtual Academy – Teilnehmerhandbuch 29
Weiterleitungserweiterungen
Weiterleitungserweiterungen leiten den Datenverkehr weiter, indem sie das oder die Ziele der
einzelnen Pakete definieren. Diese Funktion ermöglicht das Ermitteln der Zielroutingtabelle sowie das
Verwalten der VLANs, die an die Weiterleitungserweiterung delegiert werden. Dies wiederum
ermöglicht das Neukonfigurieren des virtuellen Hyper-V-Switches, um dieselben Funktionen wie die
eines Switches von Drittanbietern zur Verfügung zu stellen. Viele Switchhersteller entwickeln
mittlerweile Switcherweiterungen, um softwarebasierte Switches mit denselben Funktionen wie
physische Switches anzubieten.
Weiterleitungserweiterungen ermöglichen daher, dass die systemeigene Grundfunktionalität
des virtuellen Switches von Microsoft bei Bedarf erweitert und verbessert werden kann.
Neben dem Weiterleiten des Datenverkehrs können Weiterleitungserweiterungen den Datenverkehr
auch erfassen und filtern.
Pro Switchinstanz ist nur eine Weiterleitungserweiterung möglich.
Modul 3: Erweiterbarkeit
Microsoft Virtual Academy – Teilnehmerhandbuch 30
Lektion 4: Verwalten des erweiterbaren
Hyper-V-Switches
In dieser Lektion wird das Verwalten des erweiterbaren Hyper-V-Switches beschrieben. Hier erfahren
Sie, wie Sie mit Microsoft® System Center Virtual Machine Manager (VMM), dem Manager für
virtuelle Switches und Windows PowerShell den Switch und die Switcherweiterungen verwalten.
Modul 3: Erweiterbarkeit
Microsoft Virtual Academy – Teilnehmerhandbuch 31
Verwalten der Switcherweiterungen mit VMM
Sie können Switcherweiterungen von Drittanbietern mit System Center 2012 SP1 VMM verwalten.
Die Funktionalität wird von VMM, dem VMM-Agent und dem VMM-Dienst zur Verfügung gestellt.
Die logische VMM-Switchkomponente enthält einen zentralen Speicherort, wo Administratoren die
verwendeten Erweiterungen sowie die für diese Erweiterungen verfügbaren Portprofile definieren.
VMM verteilt anschließend die Erweiterungen bei Bedarf an die Hosts und gewährleistet, dass die
Ports einheitlich konfiguriert werden, um ein konsistentes Verhalten des virtuellen Computers zu
erzielen.
Hersteller können ihre eigenen Plug-ins für den VMM-Dienst entwickeln. Mithilfe ihrer eigenen
Verwaltungskonsolentools können Sie anschließend ihre Erweiterungen innerhalb der VMM-Konsole
verwalten.
Modul 3: Erweiterbarkeit
Microsoft Virtual Academy – Teilnehmerhandbuch 32
Manager für virtuelle Switches
Der Manager für virtuelle Switches im Hyper-V-Manager stellt eine Benutzeroberfläche für die
Verwaltung von Switcherweiterungen bereit. Filter können innerhalb jeder Klasse (Erfassen und
Filtern) sortiert werden, sodass die sequenzielle Verarbeitung der Pakete auf geplanten und logische
Weise stattfindet.
Das Ziel der Verwaltung von Switcherweiterungen besteht darin, eine einheitliche Verwaltung für
physische und virtuelle Switches zu erzielen.
Modul 3: Erweiterbarkeit
Microsoft Virtual Academy – Teilnehmerhandbuch 33
Erweiterbarer Hyper-V-Switch – PowerShell
Mithilfe der neuen Windows PowerShell-Cmdlets in Hyper-V können Sie virtuelle Switches und
Switcherweiterungen von der Befehlszeile aus verwalten:
Get-vmSwitch: Hiermit listen Sie alle konfigurierten virtuellen Switches auf.
Get-vmSwitchExtension: Hiermit listen Sie die Switcherweiterungen auf, die zurzeit an eine
Instanz eines erweiterbaren Switches gebunden sind.
Enable-vmSwitchExtension: Hiermit aktivieren Sie eine benannte Switcherweiterung für
eine Instanz eines erweiterbaren Switches.
Disable-vmSwitchExtension: Hiermit deaktivieren Sie eine benannte Switcherweiterung für
eine Instanz eines erweiterbaren Switches.
Modul 3: Erweiterbarkeit
Microsoft Virtual Academy – Teilnehmerhandbuch 34
Lektion 5: Tools für den Datenverkehr und
Ablaufverfolgung
In dieser Lektion wird die Verwendung der auf einem virtuellen Computer basierenden Tools für den
Datenverkehr beschrieben. Außerdem werden die Diagnoseoptionen für die Ablaufverfolgung
beschrieben, die über den erweiterbaren Hyper-V-Switch in Windows Server 2012 zur Verfügung
stehen.
Modul 3: Erweiterbarkeit
Microsoft Virtual Academy – Teilnehmerhandbuch 35
Auf virtuellen Computern basierende Tools für den
Datenverkehr
Die Tools für den Datenverkehr innerhalb von virtuellen Computern werden auf verschiedene Weise
unterstützt:
Die Datenverkehrstools können innerhalb eines virtuellen Computers als Switcherweiterung
oder als Dienst auf dem Hyper-V-Host ausgeführt werden.
Mithilfe der Portspiegelung kann der Datenverkehr überwacht und auf einen virtuellen
Computer kopiert werden, auf dem die entsprechenden Tools für die Analyse des
Datenverkehrs ausgeführt werden.
Der Datenverkehr kann auf einem virtuellen Computer gebündelt werden, bevor er an die
anderen virtuellen Computer verteilt wird.
Mit einer Erfassungserweiterung kann der Datenverkehr für einen bestimmten Dienst
wiedergegeben werden.
Mit einer Erweiterung kann der Datenverkehr an ein bestimmtes Ziel weitergereicht werden.
Modul 3: Erweiterbarkeit
Microsoft Virtual Academy – Teilnehmerhandbuch 36
Diagnoseablaufverfolgung
Vor Windows Server 2012 stand eine Ereignisablaufverfolgung im Netzwerkstapel zur Verfügung,
jedoch wurde diese nicht über den virtuellen Switch verwaltet. Mit Windows Server 2012 und den
Switcherweiterungen kann die Ereignisablaufverfolgung über den Switch aktiviert werden.
Neben den Event Tracing for Windows- (ETW-)Ablaufverfolgungen wurde mit Windows Server 2012
eine vereinheitlichte Ablaufverfolgung im virtuellen Switch integriert. Dies erleichtert das Aktivieren
der Ablaufverfolgung und das Verfolgen von bestimmten Paketen und Pakettypen.
Modul 3: Erweiterbarkeit
Microsoft Virtual Academy – Teilnehmerhandbuch 37
Beispiel einer ETW-Ablaufverfolgung des
erweiterbaren Switches
In diesem Beispiel wird der Befehl netsh verwendet, um eine ETW-Standardablaufverfolgung über
den erweiterbaren Hyper-V-Switch zu starten.
Nachdem der Datenverkehr generiert wurde, verwenden Sie den Befehl netsh trace stop, um die
Ablaufverfolgung zu beenden. Anschließend können Sie die Ergebnisdatei mit der Erweiterung *.etl in
der Ereignisanzeige oder im Netzwerkmonitor anzeigen.
Modul 3: Erweiterbarkeit
Microsoft Virtual Academy – Teilnehmerhandbuch 38
Beispiel einer vereinheitlichten Ablaufverfolgung des
erweiterbaren Switches
In diesem Beispiel wird der Befehl netsh verwendet, um eine vereinheitliche Ablaufverfolgung über
den erweiterbaren Hyper-V-Switch zu starten. Bei diesem Befehl werden die Parameter capture und
capturetype zum ETW-Standardbefehl hinzugefügt. Mithilfe dieser Parameter geben Sie an, dass die
Pakete über den Switch erfasst werden sollen.
Nachdem der Datenverkehr generiert wurde, nachdem z. B. ein Netzwerkproblem reproduziert
wurde, verwenden Sie den Befehl netsh trace stop, um die Ablaufverfolgung zu beenden.
Anschließend können Sie die Ergebnisdatei mit der Erweiterung *.etl in der Ereignisanzeige oder
im Netzwerkmonitor anzeigen.