Windows Server 2012 – Technische Daten zur Virtualisierungdownload.microsoft.com/.../Module_3-Extensibility.pdf · Modul 3: Erweiterbarkeit Microsoft Virtual Academy – Teilnehmerhandbuch

Veröffentlicht: [Datum eingeben]

Titel: Windows Server 2012 – Technische Daten

zur Virtualisierung

Modul 3: Erweiterbarkeit

Modulhandbuch Autor: David Coombes, Content Master

Microsoft Virtual Academy – Teilnehmerhandbuch ii

Die Informationen in diesem Dokument einschließlich der URLs und anderer Verweise auf Websites können sich ohne Ankündigung ändern. Die in den Beispielen verwendeten Namen von Firmen, Organisationen, Produkten, Domänennamen, E-Mail-Adressen, Logos, Personen, Orten und Ereignissen sind frei erfunden, soweit dies nicht anders angegeben ist. Jede Ähnlichkeit mit bestehenden Firmen, Organisationen, Produkten, Domänennamen, E-Mail-Adressen, Logos, Personen, Orten und Ereignissen ist rein zufällig und nicht beabsichtigt. Die Benutzer/innen sind verpflichtet, sich an alle anwendbaren Urheberrechtsgesetze zu halten. Unabhängig von der Anwendbarkeit der Urheberrechtsgesetze darf ohne ausdrückliche schriftliche Genehmigung der Microsoft Corporation kein Teil dieses Dokuments für irgendwelche Zwecke vervielfältigt, in einem Datenempfangssystem gespeichert oder darin eingelesen werden oder auf irgendeine Art und Weise oder durch irgendein Mittel (elektronisch, mechanisch, durch Fotokopieren, Aufzeichnen usw.) übertragen werden. Es ist möglich, dass Microsoft Rechte an Patenten bzw. angemeldeten Patenten, an Marken, Urheberrechten oder sonstigem geistigen Eigentum besitzt, die sich auf den fachlichen Inhalt dieses Dokuments beziehen. Die Bereitstellung dieses Dokuments bedeutet keine Gewährung von Lizenzrechten an diesen Patenten, Marken, Urheberrechten oder anderem geistigen Eigentum, ausgenommen, dies wurde explizit durch einen schriftlich festgehaltenen Lizenzvertrag mit der Microsoft Corporation vereinbart. ® 2012 Microsoft Corporation. Alle Rechte vorbehalten. Microsoft ist entweder eine eingetragene Marke oder eine Marke der Microsoft Corporation in den Vereinigten Staaten und/oder anderen Ländern. Die Namen tatsächlich existierender Unternehmen, die hierin erwähnt werden, sind unter Umständen Marken ihrer jeweiligen Eigentümer.

Microsoft Virtual Academy – Teilnehmerhandbuch iii

Inhalt

INHALT ......................................................................................................................................................................................................................... III

MODUL 3: ERWEITERBARKEIT .............................................................................................................................................................................. 5

Modulübersicht .................................................................................................................................................................................................... 5

LEKTION 1: EINFÜHRUNG ..................................................................................................................................................................................... 6

NETZWERKE UND DIE CLOUD ............................................................................................................................................................................. 7

HYPER-V-SWITCH – ÜBERSICHT ......................................................................................................................................................................... 8

LEKTION 2: ERWEITERBARER HYPER-V-SWITCH .......................................................................................................................................... 9

ERWEITERBARER HYPER-V-SWITCH – ÜBERSICHT ................................................................................................................................... 10

Grundsätze für das Design des erweiterbaren Hyper-V-Switches ......................................................................................... 10

SWITCHRICHTLINIEN VON WINDOWS SERVER 2012 ............................................................................................................................. 12

RICHTLINIEN FÜR DIE VERKEHRSISOLIERUNG UND DEN VERKEHRSFLUSS .................................................................................. 13

Port-ACL ................................................................................................................................................................................ 13 PVLAN .................................................................................................................................................................................... 14 Trunk-Modus .......................................................................................................................................................................... 14

RICHTLINIEN FÜR TRAFFIC SHAPING ............................................................................................................................................................. 15

QoS ......................................................................................................................................................................................... 15

SICHERHEITSRICHTLINIEN .................................................................................................................................................................................. 17

DHCP-Wächter ...................................................................................................................................................................... 17 IPsec-Taskabladung ............................................................................................................................................................... 18

LEISTUNGSRICHTLINIEN ...................................................................................................................................................................................... 19

SR-IOV ................................................................................................................................................................................... 19 Dynamische VMQ ................................................................................................................................................................... 20

DIAGNOSERICHTLINIEN ....................................................................................................................................................................................... 21

Portspiegelung........................................................................................................................................................................ 21 Ablaufverfolgung .................................................................................................................................................................... 21

VORTEILE DES ERWEITERBAREN SWITCHES ................................................................................................................................................ 22

LEKTION 3: HYPER-V-SWITCHERWEITERUNGEN ....................................................................................................................................... 24

SWITCHERWEITERUNGEN – EINFÜHRUNG .................................................................................................................................................. 25

ERFASSUNGSERWEITERUNGEN ........................................................................................................................................................................ 26

FILTERERWEITERUNGEN ...................................................................................................................................................................................... 27

WINDOWS-FILTERPLATTFORM-ERWEITERUNGEN ................................................................................................................................... 28

WEITERLEITUNGSERWEITERUNGEN ............................................................................................................................................................... 29

LEKTION 4: VERWALTEN DES ERWEITERBAREN HYPER-V-SWITCHES .............................................................................................. 30

VERWALTEN DER SWITCHERWEITERUNGEN MIT VMM ......................................................................................................................... 31

MANAGER FÜR VIRTUELLE SWITCHES ........................................................................................................................................................... 32

Microsoft Virtual Academy – Teilnehmerhandbuch iv

ERWEITERBARER HYPER-V-SWITCH – POWERSHELL ............................................................................................................................... 33

LEKTION 5: TOOLS FÜR DEN DATENVERKEHR UND ABLAUFVERFOLGUNG ................................................................................. 34

AUF VIRTUELLEN COMPUTERN BASIERENDE TOOLS FÜR DEN DATENVERKEHR ....................................................................... 35

DIAGNOSEABLAUFVERFOLGUNG .................................................................................................................................................................... 36

BEISPIEL EINER ETW-ABLAUFVERFOLGUNG DES ERWEITERBAREN SWITCHES ............................................................................ 37

BEISPIEL EINER VEREINHEITLICHTEN ABLAUFVERFOLGUNG DES ERWEITERBAREN SWITCHES ........................................... 38


Microsoft Virtual Academy – Teilnehmerhandbuch 5


Modulübersicht

In diesem Modul wird der neue erweiterbare virtuelle Hyper-V-Switch in Windows Server® 2012

vorgestellt. Das Modul beschreibt die Switcharchitektur, die Switcherweiterungen sowie das

Verwalten dieser Switcherweiterungen. Das Modul erläutert auch, wie die Architektur des

erweiterbaren virtuellen Hyper-V-Switches neue und verbesserte Optionen für die Tools für den

Datenverkehr und die Netzwerkablaufverfolgung ermöglicht.



Lektion 1: Einführung

In dieser Lektion werden die Netzwerkanforderungen für die Cloud sowie die Hauptfunktionalität des

Hyper-V-Switches beschrieben.



Netzwerke und die Cloud

Die Cloud stellt besondere Anforderungen an Netzwerke:

• Für die Cloud ist eine integrierte Sicherheit und ein integrierter Schutz erforderlich.

• Für die Cloud ist es erforderlich, dass Tools für den Datenverkehr cloudübergreifend

hinzugefügt werden können.

• Für die Cloud ist eine Vereinheitlichung der Verwaltungstools über die Cloud hinweg

erforderlich.

• Die Cloud verwischt den Unterschied zwischen physischen und virtuellen Netzwerken.



Hyper-V-Switch – Übersicht

Beim virtuellen Hyper-V-Switch handelt es sich um einen Layer-2-Netzwerkswitch, der sämtlichen

Netzwerkverkehr zwischen folgenden Komponenten abwickelt:

Virtuelle Computer

Externe Netzwerke

Hyper-V-Host



Lektion 2: Erweiterbarer Hyper-V-Switch

In dieser Lektion wird die Architektur des neuen erweiterbaren Hyper-V-Switches in Windows

Server 2012 beschrieben. Außerdem werden die Switchrichtlinien erläutert, die vom erweiterbaren

Switch unterstützt werden, und die Hauptvorteile des erweiterbaren Switches aufgelistet.



Erweiterbarer Hyper-V-Switch – Übersicht

In Windows Server 2012 verwendet der virtuelle Hyper-V-Switch eine erweiterbare Architektur, die

programmatisch verwaltete und erweiterbare Funktionen enthält, um virtuelle Computer mit dem

physischen Netzwerk zu verbinden. Diese Switcharchitektur enthält eine Richtlinienerzwingung für

Sicherheits- und Isolierungsstufen sowie für Servicelevel. Diese Methode ermöglicht eine Anzahl

neuer und verbesserter Funktionen für Mandantenisolierung, Traffic Shaping, Schutz vor schädlichen

virtuellen Computern und vereinfachte Problembehandlung.

Grundsätze für das Design des erweiterbaren Hyper-V-Switches Die folgende Tabelle enthält die Grundsätze für das Design des erweiterbaren Hyper-V-Switches:

Grundsatz Vorteil

Switch soll erweiterbar, nicht ersetzbar sein Neue/hinzugefügte Funktionen ersetzen nicht

vorhandene Funktionen.

Austauschbarer Switch Erweiterungen verarbeiten den gesamten

Netzwerkverkehr, einschließlich des Verkehrs

zwischen virtuellen Computern.



First Class Citizen des Systems Die Erweiterungen des erweiterbaren Hyper-V-

Switches erhalten denselben Umfang an

Unterstützung und Diensten wie der Switch

selbst. Das bedeutet, dass Funktionen wie

Livemigration und Verschiebungen einfach

funktionieren; alle Erweiterungen arbeiten

zusammen.

Offenes und öffentliches API-Modell Der erweiterbare Hyper-V-Switch enthält eine

offene Plattform, die eine öffentliche API

verwendet, die auf der Microsoft Developer

Network- (MSDN®-)Website zum Herunterladen

zur Verfügung steht. Dies garantiert ein großes

Partnersystem für Erweiterungen.

Logozertifizierung und umfangreiches

Betriebssystem-Framework

Erweiterungen, die mithilfe der

Switcherweiterungs-API erstellt wurden, werden

vom Programm „Windows Hardware

Certification“ unterstützt, und dazugehörige Tools

zum Testen und Zertifizieren der Endprodukte

ermöglichen hochwertige Erweiterungen.

Vereinheitlichte Ablaufverfolgung über virtuellen

Switch

Mithilfe der vereinheitlichten Ablaufverfolgung im

erweiterbaren Hyper-V-Switch benötigen

Entwickler weniger Zeit für die Fehlerdiagnose.

Dies wiederum erhöht die Produktivität und senkt

die Supportkosten. Für IT-Spezialisten bedeutet

die Unterstützung der vereinheitlichten

Ablaufverfolgung kürzere Ausfallzeiten.



Switchrichtlinien von Windows Server 2012

Der erweiterbare Hyper-V-Switch in Windows Server 2012 unterstützt eine Reihe von

Switchrichtlinien, die für Folgendes konzipiert wurden:

Isolierung des Datenverkehrs und Verwalten des Verkehrsflusses: Hierfür stehen Funktionen

wie Portzugriffssteuerungslisten (Port-ACLs), Private Virtual Local Area Networks (PVLANs)

und Switch-Trunk-Modus zur Verfügung.

Traffic Shaping und Bandbreitenverwaltung über Quality of Service- (QoS-)Funktionen

Verbessern der Sicherheit mithilfe neuer Funktionen, wie Dynamic Host Configuration

Protocol- (DHCP-)Wächter und verbessertes IPsec, wie z. B. neue Unterstützung für IPsec-

Taskabladung (IPsec Task Offload, IPsecTO)

Verbessern der Leistung mithilfe von dynamischen VM Queues (VMQs) und Single Route I/O

Virtualization (SR-IOV)

Erweitern der Systemdiagnose mithilfe der Portspiegelung und neuer unterstützter

Ablaufverfolgungsfunktionen

Hierbei handelt es sich ausschließlich um systemeigene Richtlinienbereiche, um die Funktionalität des

Switches zu erweitern.



Richtlinien für die Verkehrsisolierung und den

Verkehrsfluss

Um den Verkehr zu isolieren und den Verkehrsfluss zu verwalten, enthält Windows Server 2012 die

folgenden Richtlinien:

• Port-ACL

• PVLAN

• Trunk-Modus

Port-ACL Jeder Switchport kann nun eine ACL enthalten. Die ACL kann auf einer IPv4- oder IPv6-Adresse oder

auf einer MAC-Adresse basieren. Darüber hinaus kann sie so konfiguriert werden, dass Verkehr

zugelassen oder abgelehnt wird.

Port-ACLs ermöglichen daher den Verkehr basierend auf virtuellem Quell- und Zielcomputer zu

blockieren und enthalten einen Mechanismus für die Netzwerkisolation. Port-ACLs ermöglichen auch

das Messen des Netzwerkverkehrs für einen virtuellen Port auf dem erweiterbaren Hyper-V-Switch.

Mithilfe der Port-ACLs können Sie die IP- oder MAC-Adressen messen, die mit einem virtuellen

Computer kommunizieren (bzw. nicht kommunizieren) können. Sie können beispielsweise Port-ACLs



verwenden, um die Isolierung eines virtuellen Computers zu erzwingen, indem Sie die

Kommunikation nur mit dem Internet oder nur mit vordefinierten Adressen zulassen. Mithilfe der

Messfunktion können Sie den Netzwerkverkehr zu oder von einer bestimmten IP- oder MAC-Adresse

messen. Dies ermöglicht Ihnen, einen Bericht über den gesendeten oder empfangenen Datenverkehr

vom Internet oder von Netzwerkspeicherarrays zu erstellen.

Sie können mehrere Port-ACLs für einen virtuellen Port konfigurieren. Jede Port-ACL besteht aus

einer Quell- oder Zielnetzwerkadresse und enthält die Berechtigung Aktionen zu verweigern oder zu

messen. Die Messfunktion liefert auch Informationen über die Anzahl der Instanzen hinsichtlich des

Datenverkehrs, für den das Senden zu oder von einem virtuellen Computer von einer

eingeschränkten (verweigerten) Adresse versucht wurde.

PVLAN Die VLAN-Technologie wird traditionell zum Unterteilen eines Netzwerks und für die Isolierung von

Benutzern und Anwendungen verwendet, die eine gemeinsame physische Infrastruktur verwenden.

Windows Server 2012 unterstützt nun PVLANs, eine Methode für VLANs für die Isolierung von zwei

virtuellen Computern im selben VLAN.

Wenn ein virtueller Computer nicht mit anderen virtuellen Computern kommunizieren muss, können

Sie PVLANs zum Isolieren des virtuellen Computers von anderen virtuellen Computern im Netzwerk

verwenden. Wenn Sie jedem virtuellen Computer in einem PVLAN eine primäre und mindestens eine

sekundäre VLAN-ID zuweisen, können Sie für sekundäre PVLANs drei Modi aufrufen: Isoliert,

Promiscuous, Community Diese PVLAN-Modi bestimmen, mit welchen virtuellen Computern im PVLAN

ein virtueller Computer kommunizieren kann. Wenn Sie einen virtuellen Computer z. B. isolieren

möchten, aktivieren Sie den isolierten Modus.

Trunk-Modus Der Trunk-Modus ermöglicht das Senden des Datenverkehrs von mehreren VLANs an denselben

virtuellen Computer. Wenn Sie die Umleitung des Verkehrs von mehreren VLANs zu einem

Netzwerkadapter in einem virtuellen Computer aktivieren, kann der Datenverkehr von mehreren

VLANs konsolidiert werden, und ein virtueller Computer kann mit mehreren VLANs kommunizieren.



Richtlinien für Traffic Shaping

Für Traffic Shaping und das Verwalten der Bandbreite enthält Windows Server 2012 die folgenden

Richtlinien:

• QoS

QoS QoS-Bandbreitenverwaltung für Traffic Shaping bietet zwei Möglichkeiten:

Einschränkung der Bandbreite: Dieser nur zum Senden verwendete Filter erzwingt die

maximale Bandbreite (auch als Ratenbegrenzung bezeichnet) und stand bereits in Windows

Server 2008 R2 zur Verfügung.

Minimale Bandbreite: Dies ist eine neue Funktion in Windows Server 2012.

Sie gewährleistet, dass der Port immer die angegebene Bandbreite erhält. Sie können QoS

entweder durch die absolute Bandbreite oder eine relative Gewichtung angeben. Wenn Sie

eine bestimmte Bandbreite für einen bestimmten Datenverkehrstyp angeben, können Sie mit

der minimalen Bandbreite eine vorhersehbare Netzwerkleistung für virtuelle Computer auf

einem Hyper-V-Server zur Verfügung stellen.



Verwenden der absoluten minimalen Bandbreite

Wenn eine Überlastung auftritt und die erforderliche Netzwerkbandbreite die verfügbare Bandbreite

überschreitet, können Sie mit der minimalen Bandbreite gewährleisten, dass jeder

Netzwerkverkehrstyp mindestens seine zugewiesene Bandbreite erhält. Aus diesem Grund wird die

minimale Bandbreite auch als gerechte Verteilung bezeichnet. Diese Eigenschaft ist wichtig, wenn

mehrere Netzwerkverkehrstypen auf einem Netzwerkadapter zusammenlaufen.

Wenn keine Überlastung auftritt und die Bandbreite für den gesamten Netzwerkverkehr ausreicht,

kann jeder Netzwerkverkehrstyp seine zugewiesene Bandbreite überschreiten und soviel Bandbreite

verbrauchen, wie verfügbar ist. Durch diese Eigenschaft eignet sich die minimale Bandbreite für die

Verwendung der verfügbaren Bandbreite besser als die maximale Bandbreite.

Verwenden der relativen Gewichtung für die minimale Bandbreite

Wenn die Wichtigkeit der Arbeitsauslastungen in virtuellen Computern relativ ist, können Sie die

relative minimale Bandbreite wählen. Hier weisen Sie jedem virtuellen Computer eine Gewichtung zu,

wobei die wichtigeren virtuellen Computer eine höhere Gewichtung erhalten. Ermitteln Sie den

Bruchteil der Bandbreite, den Sie einem virtuellen Computer zuweisen, indem Sie die Gewichtung

des virtuellen Computers durch die Summe aller Gewichtungen der virtuellen Computer teilen, die

mit dem erweiterbaren Hyper-V-Switch verbunden sind. Die Gewichtung ist sinnvoll, wenn Sie in

einer Teamingsituation eine Netzwerkschnittstellenkarte (Network Interface Card, NIC) verlieren.

Der Hyper-V-Switch teilt den Verkehr daraufhin erneut entsprechend zu.



Sicherheitsrichtlinien

Zum Verbessern der Netzwerksicherheit enthält Windows Server 2012 die folgenden Richtlinien:

• DHCP-Wächter

• IPsec-Taskabladung

DHCP-Wächter Der DHCP-Wächter verhindert, dass ein bestimmter virtueller Computer als DHCP-Server fungiert.

Der DHCP-Wächter verwirft alle Pakete, die der virtuelle Computer versucht zu senden und die den

virtuellen Computer als DHCP-Server identifizieren würden.

In einer DHCP-Umgebung kann ein gefährlicher DHCP-Server die Client-DHCP-Anfragen abfangen

und falsche Adressinformationen liefern. Der gefährliche DHCP-Server kann den Verkehr an

schädliche dazwischengeschaltete Computer leiten, die den gesamten Datenverkehr ausspionieren,

bevor er an den rechtmäßigen Zielcomputer weitergeleitet wird. Mithilfe des DHCP-Wächters können

Sie sich vor diesem speziellen Typ des Man-in-the-Middle-Angriffs schützen, indem Sie angeben,

welche virtuellen Switchports mit DHCP-Servern verbunden sein dürfen.



IPsec-Taskabladung IPsec ist ein CPU-intensives Protokoll, und IPsecTO wird zum Abladen der IPsec-Verarbeitung auf

unterstützte NICs verwendet. Da Windows Server 2012 IpsecTOv2 unterstützt, erstreckt sich diese

Abladung nun auch auf virtuelle Computer die vom Hyper-V-Switch verwaltet wird. Solange der

Hyper-V-Host unterstützte NICs enthält, können die virtuellen NICs, die ein virtueller Computer

verwendet, die Vorteile von IPsecTO über den Hyper-V-Switch nutzen. Für den virtuellen Computer

sieht es so aus, als ob eine echte, physische von IPsecTO unterstützte NIC verwendet wird.



Leistungsrichtlinien

Zum Verbessern der Netzwerkleistung enthält Windows Server 2012 die folgenden Richtlinien:

• SR-IOV

• Dynamische VMQ

SR-IOV SR-IOV, auch als Direkte E/A bezeichnet, arbeitet in Verbindung mit der Systemchipsatz-

Unterstützung für Virtualisierungstechnologien, die eine erneute Zuordnung der Unterbrechungen

und des direkten Speicherzugriffs (Direct Memory Access, DMA) sowie die direkte Zuweisung von

Geräten mit SR-IOV-Funktion zu einem virtuellen Computer ermöglichen. Hyper-V in Windows Server

2012 unterstützt Netzwerkgeräte mit SR-IOV-Funktion und ermöglicht das direkte Zuweisen einer

virtuellen SR-IOV-Funktion eines physischen Netzwerkadapters zu einem virtuellen Computer.

Dies erhöht den Netzwerkdurchsatz und verringert gleichzeitig die Netzwerklatenz sowie den für die

Verarbeitung des Netzwerkverkehrs erforderlichen Mehraufwand für Zentralprozessoren.



SR-IOV umgeht den virtuellen Switch und eignet sich daher in Situationen, in denen die Rohleistung

Priorität hat und switchbasierte Richtlinien nicht erforderlich sind. Wenn Sie jedoch SR-IOV auf einem

Kanal verwenden und eine Richtlinie im virtuellen Switch aktiviert ist, trennt Hyper-V den direkten

Pfad und kehrt zu einem Softwarepfad über den virtuellen Switch zurück, um die

Richtlinienerzwingung sicherzustellen.

Um SR-IOV zu aktivieren, müssen Sie ein Kontrollkästchen in Hyper-V-Manager beim Erstellen des

Switches und beim Erstellen des virtuellen Computers aktivieren. Sie können SR-IOV auch mit

Windows PowerShell™-Cmdlets aktivieren und konfigurieren: VMSwitch, VMNetworkAdapter und

NetAdapterSriov.

Dynamische VMQ VMQs werden zum erneuten Zuweisen verfügbarer Prozessorwarteschlangen verwendet, wobei die

aktuellen Netzwerkanforderungen der virtuellen Computer berücksichtigt werden. Dynamische VMQs

in Windows Server 2012 sind eine Erweiterung der statischen VMQs, die in Windows Server 2008 R2

verwendet wurden. Bei geringerem Datenverkehr wird mit den dynamischen VMQs ein Kern

verwendet. Wenn der Verkehrsfluss jedoch steigt, fügt der Hyper-V-Host Kerne hinzu, bis alle

verfügbaren Kerne hinzugefügt wurden. Bei statischen VMQs hingegen werden bei der Zuweisung

von vier Kernen zum virtuellen Switch für den Datenverkehr, immer vier Kerne verwendet,

ungeachtet dessen, wie viel oder wenig Datenverkehr vorhanden ist.



Diagnoserichtlinien

Zum Verbessern der Netzwerkdiagnose enthält Windows Server 2012 die folgenden Richtlinien:

• Portspiegelung • Ablaufverfolgung

Portspiegelung Mithilfe der Portspiegelung wird der Datenverkehr von einem virtuellen Port auf einen anderen kopiert. Dies ist für virtuelle Computer sinnvoll, auf denen eine Eindringversuchserkennung und Tools für den Eindringschutz ausgeführt werden. Die Portspiegelung eignet sich auch für die Problembehandlung.

Sie können die zu überwachenden virtuellen Ports sowie den Port angeben, an den der überwachte Datenverkehr zur weiteren Verarbeitung gesendet werden soll. Beispielsweise kann ein virtueller Computer, der die Sicherheit überwacht, nach anomalen Mustern im Datenverkehr zwischen anderen bestimmten virtuellen Computern auf dem Switch suchen. Des Weiteren können Sie Netzwerkverbindungsprobleme diagnostizieren, indem Sie den für einen bestimmten virtuellen Switchport gebundenen Verkehr überwachen.

Ablaufverfolgung Die neuen und verbesserten Ablaufverfolgungsfunktionen werden in Lektion 5 dieses Moduls behandelt.



Vorteile des erweiterbaren Switches

Die erweiterbare Architektur des virtuellen Hyper-V-Switches in Windows Server 2012 bietet viele

Vorteile:

Plug-in-Framework für Erweiterungen, die eine bekannte API verwenden: Wenn neue

Funktionen erforderlich sind, muss der Switch nicht ersetzt, sondern kann erweitert werden.

Erweiterungen können eingesteckt werden, um die entsprechende Funktion zur Verfügung zu

stellen, ohne dass der gesamte Switch neu geschrieben werden muss. Erweiterungen werden

entweder mit Windows® Filter Platform (WFP) oder Network Driver Interface Specification

(NDIS) codiert. Hierbei handelt es sich um dasselbe Programmierungsmodell, das seit über

zehn Jahren zum Erstellen von Netzwerkfiltern und -treibern zur Verfügung gestellt wird.

Für Entwickler bedeutet dies, dass sie sofort arbeiten können, ohne eine neue

Entwicklungsumgebung kennenlernen zu müssen.

Für Erweiterungen unterstützte Dienste: Alle wesentlichen NIC-Abladetechnologien

werden für Switcherweiterungen unterstützt, einschließlich Prüfsumme, IPsecTO, Large Send

Offload (LSO), Receive Segment Coalescing (RSC), Receive Side Scaling (RSS) und SR-IOV.

Switcherweiterungen wirken sich in keiner Weise auf die Zuverlässigkeit der Livemigration aus.



Integrierte Verwaltung über Windows PowerShell/WMI: Der erweiterbare Switch kann

mithilfe der Windows PowerShell-Cmdlets und der Befehle von Windows Management

Instrumentation (WMI) verwaltet werden.

Qualitativ bessere Plug-ins: Weil eine standardmäßige Windows-Umgebungsentwicklung

verwendet wird, können Entwickler hochwertige Erweiterungen einfach erstellen. Auf diese

Weise erstellte Erweiterungen werden deshalb vom Windows Hardware Certification Kit (HCK)

unterstützt.



Lektion 3: Hyper-V-Switcherweiterungen

In dieser Lektion wird die Architektur der Hyper-V-Switcherweiterung sowie die drei Klassen der

Erweiterungen beschrieben: Erfassen, Filtern und Weiterleiten.



Switcherweiterungen – Einführung

Der erweiterbare Hyper-V-Switch ermöglicht es NDIS-Filtertreibern (auch erweiterbare Hyper-V-

Switcherweiterungen genannt) eine Bindung innerhalb des Treiberstapels des erweiterbaren Switches

herzustellen. Somit können Erweiterungen Pakete überwachen, ändern und an erweiterbare

Switchports weiterleiten. Dies ermöglicht den Erweiterungen auch, Pakete zu verwerfen, umzuleiten

oder auf Ports zu erstellen, die von den Hyper-V-Partitionen verwendet werden.

Sie können Richtlinien zu Erweiterungen hinzufügen, die angewendet werden, um Datenverkehr über

einen individuellen erweiterbaren Switchport oder den Switch selbst zu paketieren. Somit kann die

Erweiterung das Senden eines Pakets zulassen oder ablehnen.

Switcherweiterungen sind in drei Klassen aufgeteilt:

Erfassungserweiterungen

Filtererweiterungen

Weiterleitungserweiterungen



Erfassungserweiterungen

Die Erfassungserweiterungen untersuchen den Datenverkehr und erzeugen zur Berichterstellung

neuen Datenverkehr, können den Datenverkehr selbst aber nicht verändern.

Es können mehrere Erfassungserweiterungen vorhanden sein. Mithilfe des Managers für virtuelle

Switches oder mithilfe von PowerShell können Sie Erweiterungen innerhalb der Erfassungsklasse neu

sortieren.

Beachten Sie, dass Erfassungserweiterungen weder Pakete ändern noch Pakete verwerfen.



Filtererweiterungen

Filtererweiterungen können Pakete analysieren, verwerfen, ändern und einfügen. Diese Klasse kann

dieselben Funktionen wie eine Erfassungserweiterung ausführen und Pakete ändern, verwerfen und

neue Pakete einfügen, um eine vollständige Filterung zu ermöglichen.



Windows-Filterplattform-Erweiterungen

WFP-Erweiterungen können Pakete auf dieselbe Weise wie Filtererweiterungen analysieren,

verwerfen, ändern und einfügen. WFP-Erweiterungen werden von Microsoft geschrieben und von der

Windows-Firewall verwendet. Jedoch handelt es sich bei WFP um einen API-Standardsatz, der von

jedem Firewall-Filter verwendet werden kann. Sie können jedes WFP-Plug-in (von Microsoft oder

einem Drittanbieter) mit der Filterweiterung verwenden.

Es können sich mehrere WFP-Erweiterungen auf demselben Switch befinden.



Weiterleitungserweiterungen

Weiterleitungserweiterungen leiten den Datenverkehr weiter, indem sie das oder die Ziele der

einzelnen Pakete definieren. Diese Funktion ermöglicht das Ermitteln der Zielroutingtabelle sowie das

Verwalten der VLANs, die an die Weiterleitungserweiterung delegiert werden. Dies wiederum

ermöglicht das Neukonfigurieren des virtuellen Hyper-V-Switches, um dieselben Funktionen wie die

eines Switches von Drittanbietern zur Verfügung zu stellen. Viele Switchhersteller entwickeln

mittlerweile Switcherweiterungen, um softwarebasierte Switches mit denselben Funktionen wie

physische Switches anzubieten.

Weiterleitungserweiterungen ermöglichen daher, dass die systemeigene Grundfunktionalität

des virtuellen Switches von Microsoft bei Bedarf erweitert und verbessert werden kann.

Neben dem Weiterleiten des Datenverkehrs können Weiterleitungserweiterungen den Datenverkehr

auch erfassen und filtern.

Pro Switchinstanz ist nur eine Weiterleitungserweiterung möglich.



Lektion 4: Verwalten des erweiterbaren

Hyper-V-Switches

In dieser Lektion wird das Verwalten des erweiterbaren Hyper-V-Switches beschrieben. Hier erfahren

Sie, wie Sie mit Microsoft® System Center Virtual Machine Manager (VMM), dem Manager für

virtuelle Switches und Windows PowerShell den Switch und die Switcherweiterungen verwalten.



Verwalten der Switcherweiterungen mit VMM

Sie können Switcherweiterungen von Drittanbietern mit System Center 2012 SP1 VMM verwalten.

Die Funktionalität wird von VMM, dem VMM-Agent und dem VMM-Dienst zur Verfügung gestellt.

Die logische VMM-Switchkomponente enthält einen zentralen Speicherort, wo Administratoren die

verwendeten Erweiterungen sowie die für diese Erweiterungen verfügbaren Portprofile definieren.

VMM verteilt anschließend die Erweiterungen bei Bedarf an die Hosts und gewährleistet, dass die

Ports einheitlich konfiguriert werden, um ein konsistentes Verhalten des virtuellen Computers zu

erzielen.

Hersteller können ihre eigenen Plug-ins für den VMM-Dienst entwickeln. Mithilfe ihrer eigenen

Verwaltungskonsolentools können Sie anschließend ihre Erweiterungen innerhalb der VMM-Konsole

verwalten.



Manager für virtuelle Switches

Der Manager für virtuelle Switches im Hyper-V-Manager stellt eine Benutzeroberfläche für die

Verwaltung von Switcherweiterungen bereit. Filter können innerhalb jeder Klasse (Erfassen und

Filtern) sortiert werden, sodass die sequenzielle Verarbeitung der Pakete auf geplanten und logische

Weise stattfindet.

Das Ziel der Verwaltung von Switcherweiterungen besteht darin, eine einheitliche Verwaltung für

physische und virtuelle Switches zu erzielen.



Erweiterbarer Hyper-V-Switch – PowerShell

Mithilfe der neuen Windows PowerShell-Cmdlets in Hyper-V können Sie virtuelle Switches und

Switcherweiterungen von der Befehlszeile aus verwalten:

Get-vmSwitch: Hiermit listen Sie alle konfigurierten virtuellen Switches auf.

Get-vmSwitchExtension: Hiermit listen Sie die Switcherweiterungen auf, die zurzeit an eine

Instanz eines erweiterbaren Switches gebunden sind.

Enable-vmSwitchExtension: Hiermit aktivieren Sie eine benannte Switcherweiterung für

eine Instanz eines erweiterbaren Switches.

Disable-vmSwitchExtension: Hiermit deaktivieren Sie eine benannte Switcherweiterung für

eine Instanz eines erweiterbaren Switches.



Lektion 5: Tools für den Datenverkehr und

Ablaufverfolgung

In dieser Lektion wird die Verwendung der auf einem virtuellen Computer basierenden Tools für den

Datenverkehr beschrieben. Außerdem werden die Diagnoseoptionen für die Ablaufverfolgung

beschrieben, die über den erweiterbaren Hyper-V-Switch in Windows Server 2012 zur Verfügung

stehen.



Auf virtuellen Computern basierende Tools für den

Datenverkehr

Die Tools für den Datenverkehr innerhalb von virtuellen Computern werden auf verschiedene Weise

unterstützt:

Die Datenverkehrstools können innerhalb eines virtuellen Computers als Switcherweiterung

oder als Dienst auf dem Hyper-V-Host ausgeführt werden.

Mithilfe der Portspiegelung kann der Datenverkehr überwacht und auf einen virtuellen

Computer kopiert werden, auf dem die entsprechenden Tools für die Analyse des

Datenverkehrs ausgeführt werden.

Der Datenverkehr kann auf einem virtuellen Computer gebündelt werden, bevor er an die

anderen virtuellen Computer verteilt wird.

Mit einer Erfassungserweiterung kann der Datenverkehr für einen bestimmten Dienst

wiedergegeben werden.

Mit einer Erweiterung kann der Datenverkehr an ein bestimmtes Ziel weitergereicht werden.



Diagnoseablaufverfolgung

Vor Windows Server 2012 stand eine Ereignisablaufverfolgung im Netzwerkstapel zur Verfügung,

jedoch wurde diese nicht über den virtuellen Switch verwaltet. Mit Windows Server 2012 und den

Switcherweiterungen kann die Ereignisablaufverfolgung über den Switch aktiviert werden.

Neben den Event Tracing for Windows- (ETW-)Ablaufverfolgungen wurde mit Windows Server 2012

eine vereinheitlichte Ablaufverfolgung im virtuellen Switch integriert. Dies erleichtert das Aktivieren

der Ablaufverfolgung und das Verfolgen von bestimmten Paketen und Pakettypen.



Beispiel einer ETW-Ablaufverfolgung des

erweiterbaren Switches

In diesem Beispiel wird der Befehl netsh verwendet, um eine ETW-Standardablaufverfolgung über

den erweiterbaren Hyper-V-Switch zu starten.

Nachdem der Datenverkehr generiert wurde, verwenden Sie den Befehl netsh trace stop, um die

Ablaufverfolgung zu beenden. Anschließend können Sie die Ergebnisdatei mit der Erweiterung *.etl in

der Ereignisanzeige oder im Netzwerkmonitor anzeigen.



Beispiel einer vereinheitlichten Ablaufverfolgung des

erweiterbaren Switches

In diesem Beispiel wird der Befehl netsh verwendet, um eine vereinheitliche Ablaufverfolgung über

den erweiterbaren Hyper-V-Switch zu starten. Bei diesem Befehl werden die Parameter capture und

capturetype zum ETW-Standardbefehl hinzugefügt. Mithilfe dieser Parameter geben Sie an, dass die

Pakete über den Switch erfasst werden sollen.

Nachdem der Datenverkehr generiert wurde, nachdem z. B. ein Netzwerkproblem reproduziert

wurde, verwenden Sie den Befehl netsh trace stop, um die Ablaufverfolgung zu beenden.

Anschließend können Sie die Ergebnisdatei mit der Erweiterung *.etl in der Ereignisanzeige oder

im Netzwerkmonitor anzeigen.

Documents

Windows Server 2012 – Technische Daten zur Virtualisierungdownload.microsoft.com/.../Module_3-Extensibility.pdf · Modul 3: Erweiterbarkeit Microsoft Virtual Academy – Teilnehmerhandbuch