Windows Server 中的 Hyper-V 網路虛擬化概觀
適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016、Azure Stack HCI,版本 21H2 和 20H2
在 Windows Server 和 Virtual Machine Manager 中,Microsoft 提供端對端網路虛擬化解決方案。 Microsoft 網路虛擬化解決方案由 5 個主要元件組成:
Windows Azure Pack for Windows Server 提供租用戶面向入口網站來建立虛擬網路,以及管理虛擬網路的管理入口網站。
Virtual Machine Manager (VMM) 提供網路網狀架構的集中式管理。
Microsoft 網路控制站 提供集中式、可程式化的自動化點,以管理、設定、監視及疑難排解資料中心內的虛擬和實體網路基礎結構。
Hyper-V 網路虛擬化提供虛擬化網路流量所需的基礎結構。
Hyper-V 網路虛擬化閘道提供虛擬和實體網路之間的連線。
本主題介紹概念,並說明 Windows Server 2016 中 Hyper-V 網路虛擬化 (整體網路虛擬化解決方案的一部分) 的主要優點和功能。 另外說明網路虛擬化為何有益於找尋企業工作負載合併以及「基礎架構即服務」(IaaS) 公用雲端提供者的私人雲端。
如需 Windows Server 2016 中網路虛擬化的詳細技術詳細資料,請參閱 Windows Server 2016 中的 Hyper-V 網路虛擬化技術詳細資料。
你的意思是
Hyper-V 網路虛擬化概觀 (Windows Server 2012 R2)
功能描述
Hyper-V 網路虛擬化為虛擬機器提供「虛擬網路」(稱為 VM 網路) 的方式,與伺服器虛擬 (Hypervisor) 為作業系統提供「虛擬機器」的方式類似。 網路虛擬化可分隔虛擬網路與實體網路基礎架構,並移除虛擬機器佈建 VLAN 與階層式 IP 位址指派的限制。 這種彈性讓客戶更容易移到 IaaS 雲端,也讓主機服務提供者與資料中心系統管理員有效管理其基礎架構,同時維持多重租用戶的必要隔離和安全性需求,以及支援重疊虛擬機器 IP 位址。
客戶想要順暢地將資料中心延伸到雲端。 不過目前想要順暢實作這類混合雲端架構,還是有技術上的挑戰。 客戶面臨的最大障礙之一,便是在雲端重複使用其現有網路拓撲 (子網路、IP 位址、網路服務等),以及如何橋接內部部署資源與其雲端資源。 Hyper-V 網路虛擬化提供的 VM 網路概念與基礎實體網路無關。 利用由一或多個虛擬子網路組成的 VM 網路概念,就可以將附加到虛擬網路之虛擬機器實體網路的實際位置與虛擬網路拓撲分開。 所以,客戶就能夠輕鬆地將虛擬子網路移到雲端,同時在雲端保留現有 IP 位址及拓撲,讓現有服務不需要知道子網路的實體位置,也能持續運作。 也就是說,Hyper-V 網路虛擬化有助於順暢進行混合雲端。
除了混合雲端之外,許多組織也會合併資料中心並建立私人雲端,在內部利用雲端架構的效率和延展性優點。 Hyper-V 網路虛擬化透過分隔實際實體網路拓撲與業務單位虛擬網路拓撲 (透過將其虛擬化),讓私人雲端能有較佳的彈性與效率。 這樣一來,業務單位就能夠輕鬆共用內部私人雲端,同時還能彼此隔離,並繼續保留現有的網路拓撲。 資料中心營運團隊能夠靈活部署,並動態將工作負載移到資料中心的任一處,不需中斷伺服器,進而提供較佳的營運效率以及整體上更有效率的資料中心。
對工作負載擁有者來說,主要的優點就是可以將工作負載「拓撲」移到雲端,不需要變更 IP 位址或重新撰寫應用程式。 例如,一般的三層 LOB 應用程式是由前端層、商務邏輯層和資料庫層所組成。 Hyper-V 網路虛擬化可透過原則,讓客戶將這三層全部或部分移到雲端,同時維持服務的路由拓撲 IP 位址 (也就是虛擬機器 IP 位址),而不需要變更應用程式。
對基礎架構擁有者來說,虛擬機器放置的額外彈性可將工作負載移到資料中心的任何位置,不需要變更虛擬機器或重新設定網路。 例如,Hyper-V 網路虛擬化可進行跨子網路即時移轉,這樣虛擬機器就能夠即時移轉到資料中心的任一處,不會中斷服務。 之前提到的即時移轉僅限相同子網路,也就是限制虛擬機器所在的位置。 跨子網路即時移轉可讓系統管理員根據動態資源需求和電源效率來合併工作負載,也可以進行基礎架構維護,不會中斷客戶工作負載執行時間。
實際應用
成功將資料中心虛擬化之後,IT 組織與 (提供並存或實體伺服器出租的) 託管提供者就可以開始提供更靈活的虛擬化基礎架構,更容易為客戶提供指定的伺服器執行個體。 這個新的服務類別稱為「基礎架構即服務」(IaaS)。 Windows Server 2016 提供所有必要的平台功能,讓企業客戶能夠建置私人雲端,並轉換到 IT 即服務的營運模式。 Windows Server 2016 也可以讓主機服務提供者建置公用雲端,並為其客戶提供 IaaS 解決方案。 結合 Virtual Machine Manager 和 Windows Azure Pack 來管理 Hyper-V 網路虛擬化原則時,Microsoft 提供功能強大的雲端解決方案。
Windows Server 2016 Hyper-V 網路虛擬化提供的網路虛擬化是以原則為基礎且透過軟體控制,可降低企業擴展專用 IaaS 雲端時面臨的額外管理負荷,並讓雲端主機服務提供者在管理虛擬機器時,能夠擁有較佳的彈性和延展性,以達成更高的資源使用率。
如果 IaaS 案例具有來自不同組織部門 (專用雲端) 或不同客戶 (託管雲端) 的虛擬機器,就需要安全隔離。 現今的解決方案是使用虛擬區域網路 (VLAN),但在這個案例中會有嚴重的缺點。
VLANs
目前大多數的組織都使用 VLAN 這個機制,來支援重複使用位址空間和隔離租用戶。 VLAN 會在乙太網路框架標頭中使用明確標記 (VLAN 識別碼),並依賴乙太網路交換器強制執行隔離,以及將流量限制在相同 VLAN 識別碼的網路節點中。 VLAN 的主要缺點如下:
增加了因為頻繁重新設定生產交換器 (由於虛擬機器或隔離界限在動態資料中心內移動) 而不小心中斷的風險。
因為有 4094 個 VLAN 的最大限制,而且一般交換器不支援超過 1000 個 VLAN 識別碼,所以延展性有限。
受限於單一 IP 子網路,進而限制單一 VLAN 內的節點數目,並限制根據實體位置來放置虛擬機器。 即使可以跨網站擴展 VLAN,整個 VLAN 還是必須位於相同子網路。
IP 位址指派
除了 VLAN 帶來的缺點之外,虛擬機器 IP 位址指派也會造成問題,包括:
資料中心網路基礎架構的實體位置決定了虛擬機器 IP 位址。 所以,服務工作負載通常必須變更 IP 位址,才能移到雲端。
例如防火牆規則、資源探索和目錄服務等原則,都繫結到 IP 位址。 變更 IP 位址必須更新所有相關原則。
虛擬機器部署及流量隔離在拓撲上相互依存。
資料中心網路系統管理員規劃資料中心的實體配置時,必須決定子網路的實體位置及路由方式。 這些決策是根據 IP 以及會影響潛在 IP 位址的乙太網路技術而定,而這些 IP 位址可讓虛擬機器在連接到資料中心特定機架的特定伺服器或刀鋒伺服器上執行。 在資料中心佈建並放置虛擬機器時,虛擬機器必須符合這些與 IP 位址有關的選擇及限制。 因此,結果通常是資料中心系統管理員將新的 IP 位址指派給虛擬機器。
這個需求的問題在於,除了要有位址之外,還必須有與 IP 位址相關聯的語意資訊。 例如,某個子網路可能包含特定服務或位於不同實體位置。 防火牆規則、存取控制原則及 IPsec 安全性關聯通常與 IP 位址關聯。 變更 IP 位址會強制要求虛擬機器擁有者調整所有根據原始 IP 位址所制定的原則。 許多企業無法負擔這種重新編號的額外負荷,因此選擇只將新的服務部署到雲端,放任舊版應用程式不管。
Hyper-V 網路虛擬化可分隔客戶虛擬機器的虛擬網路與實際網路基礎架構。 所以,客戶虛擬機器能夠維持原始 IP 位址,資料中心系統管理員也能在資料中心的任何位置佈建客戶虛擬機器,不需要重新設定實體 IP 位址或 VLAN 識別碼。 下一節摘要說明主要功能。
重要功能
以下是 Windows Server 2016 中的 Hyper-V 網路虛擬化主要功能及優點的清單:
靈活放置工作負載 – 重複使用網路隔離及 IP 位址,不需要 VLAN
Hyper-V 網路虛擬化可分隔客戶虛擬網路與主機服務提供者的實體網路基礎架構,這樣就能將工作負載放置在資料中心內部的任何位置。 放置虛擬機器工作負載時,不再受限於實體網路的 IP 位址指派或 VLAN 隔離需求,因為它會根據軟體所定義的多組織用戶共享虛擬原則,在 Hyper-V 主機內部強制執行。
現在可以將 IP 位址重疊但來自不同客戶的虛擬機器部署在相同主機伺服器上,不需要繁複的 VLAN 設定,也不會違反 IP 位址階層。 這樣可以簡化將客戶工作負載轉移到共用 IaaS 託管提供者的過程,讓客戶不需要進行修改 (包括維持虛擬機器 IP 位址不變),就能夠移動這些工作負載。 對託管提供者來說,支援想要將現有網路位址空間延伸到共用 IaaS 資料中心的眾多客戶,是一項複雜的作業,因為其中涉及針對每個客戶設定和維護隔離的 VLAN,以確保潛在的重疊位址空間能夠共存。 利用 Hyper-V 網路虛擬化比較容易支援重疊位址,託管提供者必須重新設定的網路也比較少。
此外,維護及更新實體基礎架構時,不會停用客戶工作負載。 利用 Hyper-V 網路虛擬化,就可以移轉特定主機、機架、子網路、VLAN 或整個叢集上的虛擬機器,不需要變更實體 IP 位址或大規模的重新設定。
更容易將工作負載移到共用的 IaaS 雲端
利用 Hyper-V 網路虛擬化,就不需要變更 IP 位址及虛擬機器設定。 這樣可讓 IT 組織更輕鬆地將工作負載從資料中心移到共用的 IaaS 託管提供者,將重新設定工作負載或基礎架構工具及原則的必要性降到最低。 如果兩個資料中心之間有連線,IT 系統管理員還可以繼續使用工具,不需要予以重新設定。
跨子網路即時移轉
即時移轉虛擬機器工作負載一直都侷限於相同 IP 子網路或 VLAN,因為如果要跨子網路,就必須變更虛擬機器的客體作業系統 IP 位址。 這樣變更位址會中斷現有通訊,並中斷虛擬機器上執行的服務。 利用 Hyper-V 網路虛擬化,就可以將工作負載從某個子網路中執行 Windows Server 2016 的伺服器,即時移轉到不同子網路中執行 Windows Server 2016 的伺服器上,不需要變更工作負載 IP 位址。 Hyper-V 網路虛擬化可確保與所移轉的虛擬機器有進行中通訊的主機,都能更新並同步化因即時移轉而變更的虛擬機器位置。
讓分隔的伺服器及網路網管更容易管理
伺服器工作負載放置已經簡化,因為工作負載的移轉和放置與基礎實體網路設定無關。 伺服器系統管理員可以著重於管理服務及伺服器,而網路系統管理員可以著重於整體網路基礎架構及流量管理。 這樣可讓資料中心伺服器系統管理員部署和移轉虛擬機器,不需要變更虛擬機器的 IP 位址。 因為 Hyper-V 網路虛擬化放置虛擬機器時,不會考慮網路拓撲,網路系統管理員也不需要進行可能會變更隔離界限的放置動作,所以會降低額外負荷。
簡化網路並改善伺服器/網路資源使用率
VLAN 的嚴格度和虛擬機器在實體網路基礎結構上放置的相依性,會導致過度佈建和使用率過低。 中斷相依性之後,增加的虛擬機器工作負載放置彈性就可以簡化網路管理,並改善伺服器與網路資源使用率。 請注意,Hyper-V 網路虛擬化支援實體資料中心的 VLAN。 例如,資料中心可能想讓所有 Hyper-V 網路虛擬化流量集中在特定 VLAN。
與現有基礎架構和新興技術相容
Hyper-V 網路虛擬化可以部署於現今的資料中心,也可以和新興資料中心的「平面網路」技術相容。
例如,Windows Server 2016 中的 HNV 支援 VXLAN 封裝格式和 Open vSwitch 資料庫管理通訊協定 (OVSDB) 作為 SouthBound 介面 (SBI)。
提供互通性與生態系統整備
Hyper-V 網路虛擬化可支援適合與現有資源通訊的多種設定,例如跨內部部署連線、存放區域網路 (SAN)、非虛擬化資源存取等。 Microsoft 致力與生態系統夥伴合作,來支援並增強 Hyper-V 網路虛擬化在效能、延展性及管理能力等方面的體驗。
以原則為基礎的組態
Windows Server 2016 中的網路虛擬化原則是透過 Microsoft 網路控制站設定的。 網路控制站具有 RESTful 北行 API 和 Windows PowerShell 介面來設定原則。 如需 Microsoft 網路控制卡的詳細資訊,請參閱 網路控制卡。
軟體需求
使用 Microsoft 網路控制站的 Hyper-V 網路虛擬化需要 Windows Server 2016 和 Hyper-V 角色。
另請參閱
如需深入了解 Windows Server 2016 中的 Hyper-V 網路虛擬化,請參閱下列連結:
| Content type | 參考資料 |
|---|---|
| 社群資源 | - 私人雲端架構部落格 - 詢問問題:cloudnetfb@microsoft.com |
| RFC | - VXLAN - RFC 7348 |
| 相關技術 | - 網路控制卡 - Hyper-V 網路虛擬化概觀 (Windows Server 2012 R2) |