篩選Hyper-V提供的虛擬機隔離選項
不管是出于什么原因,你都可能想要去控制虛擬機之間的通信。Hyper-V提供了很多可供選擇的虛擬機隔離選項。
你想從其他計算機中隔離一組計算機可能有幾個原因。其一是你可能想分開企業內部各業務部門之間的通信。舉個例子,你可能從來不希望HR的計算機與財務部門的計算機相互通信。在物理的IT數據中心中,分離不同業務部門之間的通信的一般方法是定義不同的VLAN。
現在的IT物理環境走向虛擬化,包括網絡虛擬化,有多個虛擬化廠商其中包括微軟,都提供不同的隔離選項。當你談論到虛擬你的物理基礎設施時,你會希望虛擬化軟件幫助你模擬物理到邏輯的環境以及幫助你配置隔離不同的業務部門提供不同的隔離選項。因為一個主機可以容納不同業務部門的虛擬機,所以虛擬機隔離是必須的。IT企業和云計算提供商都可以從Microsoft Hyper-V提供的隔離選項中受益。
Hyper-V虛擬交換機
Hyper-V提供三種類型的虛擬交換機:外部、內部和專有。這些虛擬交換機可以幫助隔離虛擬機間各自的流量。當虛擬機連接到內部虛擬交換機時,虛擬機之間可以相互通信,也可以與Hyper-V父分區進行通信。專有虛擬交換機只允許連接到專有虛擬交換機的虛擬機。如果你有一組需要彼此之間通信的計算機,您可以創建一個專有虛擬交換機,然后將虛擬機連接到專有虛擬交換機上。一個外部虛擬交換機允許局域網內的虛擬機互相通信。大多數情況下,虛擬化管理員都會把虛擬機配置在外部虛擬交換機上,所以虛擬機的流量可以在運行遠程Hyper-V服務器上的虛擬機和運行在局域網中的物理機上看到。在這種情況下,如果你需要為連接到一個Hyper-V虛擬交換機上的虛擬機配置隔離的話,你可以使用第二個隔離選項——為每一組虛擬機配置VLAN域。
VLAN
VLAN可以允許你隔離虛擬機流量。你可以在Hyper-V虛擬交換機和虛擬機上配置VLAN ID。當然,一個虛擬交換機只能配置一個VLAN ID。舉個例子,假如要隔離兩個業務部門(HR和財務),HR部門的虛擬機使用VLAN ID 2,財務部門的虛擬機使用VLAN ID 3。默認情況下,Hyper-V虛擬交換機是允許VLAN流量通過。換句話說,一個Hyper-V虛擬交換機已配置了Trunk模式就允許所有VLAN流量通過。它總是推薦配置多個VLAN而不是創建一個單獨的Hyper-V的虛擬交換機來實現隔離。Hyper-V支持最多配置4095個VLAN。由于VLAN有可擴展性的問題,所以你可以使用其他隔離選項比如PVLAN或者Hyper-V網絡虛擬化。
PVLAN
專有VLAN(PVLAN)是隔離運行在Windows Server 2012 或2012 R2 Hyper-V 主機上的虛擬機的另一種形式。雖然小型企業可以用劃分多個VLAN的方式來實現隔離虛擬機,但是對于一個多租戶的數據中心來說這并不是一個可行性選擇。VLAN有可擴展性的問題而且配置復雜。微軟設計了PVLAN特性來克服VLAN的限制。PVLAN通常會被云服務提供商采用,使用VLAN為不同用戶的虛擬機劃分多個隔離的虛擬網絡。盡管VLAN有可擴展性問題,但是在Hyper-V網絡虛擬化中通過配置每個租戶也是可以解決的。如果每個租戶只運行一個虛擬機的話,最簡單的解決方案就是使用PVLAN。
VSID (Hyper-V網絡虛擬化)
VSID,有時候被稱為虛擬子網ID,也是幫助配置隔離虛擬機的一個Hyper-V網絡虛擬化的組件。你可以從使用VLAN隔離或者Hyper-V網絡虛擬化隔離的方法中任選其一,但是不能同時使用。相對于VLAN只支持4095個虛擬網絡VLAN ID,而Hyper-V網絡虛擬化可以支持1600萬個虛擬網絡。如果你計劃使用VSID來隔離虛擬機,請確保你配置了Hyper-V網絡虛擬化所必需的其他組件,包括供應商地址、路由器域名、虛擬機網絡以及更多。如果有租戶在一個共享的IaaS云上有多個虛擬網絡,你必須要清楚,***的隔離選項就是使用Hyper-V網絡虛擬化而不是使用VLAN或PVLAN。如果在這樣的情況下你仍然需要去阻止一組虛擬機的網絡流量的話,那么你可以去配置端口訪問控制列表(port ACLs)。
Port ACLs
雖然端口ACL的功能只是用來允許或阻止遠程計算機到虛擬機的輸入和輸出的網絡流量,但它也是可以作為一個隔離選項來使用的。端口ACL可以和VLAN結合來使用。例如,要阻止在VLAN內的虛擬機之間的通信。這種情況下,你就可以去配置一個端口ACL規則去阻止虛擬機1到虛擬機2之間的通信。端口ACL只能用在Windows Server 2012或者之上的Hyper-V主機上。
Windows防火墻
你還可以配置Windows防火墻去阻止或允許一組虛擬機之間的輸入流量,但是只能操作系統級別上實現。由于Windows防火墻工作在虛擬機的操作系統上,那么Hyper-V主機就沒辦法控制在其之上的輸入或輸出的網絡流量。當然,仍有一些IT組織還在用Windows防火墻的隔離方式去阻止來自遠程計算機上無用的流量。
