Netzwerke in Hyper-V und vSphere aufbauen

Virtuelle Switches in VMware verstehen

Virtuellen Switches verbinden die virtuellen Netzwerkkarten der VMs über die physischen Netzwerkkarten der Hosts mit dem Netzwerk. Beim Einsatz von VMware geht es vor allem um Standard-Switches oder Distributed Switches.

Die Distributed Switches (vDS) lassen sich, einfach ausgedrückt mehreren Hosts zuweisen, während eine Standard-Switch in VMware nur für einen Host nutzbar ist. Für neuen Hosts müssen Sie auch immer eine neue Standard-Switch erstellen und konfigurieren. Das gilt auch für Portgruppen, VLANs und alle anderen Arten der Einstellung. vDS bieten die Möglichkeit diese Einstellungen zu zentralisieren.

Dazu müssen Sie wissen, dass jeder VMware vCenter-Server bis zu 128 vDS anbinden kann und jede vDS bis zu 500 Hosts unterstützt. Die grundsätzliche Funktion der beiden Switches ist identisch, beide verbinden VMs über mit dem physischen Netzwerk. Die Konfiguration und Verwaltung aller Switches, vor allem der Distributed Switches erfolgt über das vCenter. Sobald Sie einen neuen Host im Netzwerk installieren, können Sie diesem Host eine vDS zuweisen. Arbeiten Sie mit Standard-Switches, müssen Sie auf dem Host erst eine Switch erstellen und entsprechend konfigurieren.

Beim Einsatz von Distributed Switches müssen sich alle Hosts in einem Cluster befinden und mit VMware vCenter verwaltet werden. Unternehmen, die nicht auf vCenter setzen oder keinen Cluster betreiben, müssen daher auf Standard-Switches setzen. Die Protokolle RSPAN und ERSPAN, oder auch IPFIX Netflow 10 und SNMP v3 werden nur von Distributed Switches unterstützt. Die Konfiguration von vDS können Sie im vSphere Web-Client sichern und auf andere vCenter-Server übertragen.

Distributed Switches erstellen

Beim Erstellen der Switch legen Sie die Grundkonfiguration fest und welchen Kompatibilitätsgrad sie mit dieser vDS zur Verfügung stellen.

Ab VMware vSphere 5.5 wurden LACP (Link Aggregation Control Protocol), Single Root (SR) I/O Virtualization (SR-IOV) und Bridge Protocol Data Unit (BPDU)-Filter integriert. Distributed Switches unterstützen auch Private VLANs (PVLANs). Diese bieten eine Gruppierung von VLANs. Secondary PVLANs verfügen über eine eigene VLAN ID. Mehr dazu finden Sie auf der VMware-Seite.

Virtuelle Switches in Windows Server 2012 R2

Alle virtuellen Computer, die Sie erstellen, verwenden einen virtuellen Switch auf dem Windows Server 2012 R2-Computer. Dieser verbindet die virtuellen Computer mit den physischen Netzwerkkarten des Computers und erlaubt eine Kommunikation der Computer mit dem Rest des Netzwerks. Hier unterscheiden sich Windows Server 2012 R2 und VMware ESXi/vSphere nicht voneinander.

Für eine bessere Leistung im Netzwerk dürfen virtuelle Server in Windows Server 2012 R2 stärker auf Hardwarefunktionen von Netzwerkkarten zugreifen, was das Tempo enorm beschleunigen kann. In den Einstellungen von virtuellen Netzwerkkarten lässt sich die Netzwerkbandbreite von Servern eingrenzen und unerwünschte DHCP- oder Routerpakete lassen sich blockieren. Dies soll verhindern, dass virtuelle Server unerwünscht als DHCP-Server oder Router agieren und das Netzwerk beeinträchtigen.

Mit Hyper-V Network Virtualization (HNV) können Sie einzelne virtuelle Netzwerke vom physischen Netzwerk trennen. Die virtuellen Server in diesen Netzwerken gehen davon aus in einem echten physischen Netzwerk zu laufen. Vor allem in großen Rechenzentren spielt Hyper-V Network Virtualization (HNV) eine wichtige Rolle. Allerdings profitieren auch kleinere Unternehmen von dieser Funktion. Einfach ausgedrückt, erweitert HNV die Funktionen von virtuellen Servern auf die Netzwerkkonfiguration. In einem physischen Netzwerk lassen sich mehrere virtuelle Netzwerke parallel einsetzen. Diese können den gleichen oder einen anderen IP-Adressraum verwenden.

Der Datenaustausch zwischen den Netzwerken lässt sich mit HNV-Gateways einrichten. Viele Hardware-Switches von Cisco arbeiten mit dieser Konfiguration ebenfalls zusammen. Auf diesem Weg lassen sich mehrere virtuelle Netzwerke zusammenfassen, sodass Server in diesem Netzwerk kommunizieren können.

In den virtuellen Switches von Hyper-V 2012 R2 ist die direkte Integration der Netzwerk-Virtualisierung integriert. HNV stellt keinen vorgelagerten NDIS-Filter mehr dar. Drittherstellerprodukte können auf diesem Weg direkt zugreifen und kommunizieren. Über diesen Weg arbeiten jetzt auch virtuelle Switches und die Network Virtualization Generic Routing Encapsulation (NVGRE) zusammen. Das heißt die Kommunikation zwischen virtuellen Netzwerkkarten und virtuellen Netzwerken ist jetzt deutlich einfacher und effizienter.

Hyper-V-Netzwerke optimal planen

Bei Leistungsproblemen von virtuellen Servern unter Hyper-V, liegt das Problem in vielen Fällen an langsamer Kommunikation mit dem Netzwerk. Microsoft empfiehlt, einen eigenen Netzwerkadapter auf jedem Hyper-V-Host für die Verwaltung des Servers selbst zu verwenden. Auch bei der Anbindung von Netzwerkspeicher, zum Beispiel NAS oder iSCSI, ist eine dedizierte Netzwerkkarte leistungssteigernd. Virtuelle Server, die nur wenig Netzwerkbandbreite benötigen, können Sie mit mehreren virtuellen Netzwerken zusammenfassen, bandbreitenintensive Anwendungen sollten dedizierte Netzwerkkarten und eigene externe Netzwerke erhalten.

Hyper-V unterstützt auch die Verwendung von VLANs bei Netzwerkswitches. Bei VLANs lassen sich Datenströme voneinander trennen um die Sicherheit und die Leistung zu erhöhen. Dadurch lässt sich zum Beispiel der Netzwerkverkehr für die Verwaltung des Servers vom Netzwerkverkehr der virtuellen Server trennen. In den Eigenschaften von Netzwerkkarten der Hyper-V-Hosts müssen Sie dazu in den erweiterten Einstellungen festlegen, mit welcher VLAN-ID im Netzwerk die Karte kommunizieren soll. Anschließend muss im Hyper-V-Manager die Netzwerkverbindung ausgewählt und ebenfalls die VLAN-ID eingegeben werden. Auch hier geben Sie die entsprechende VLAN-ID vor.

Microsoft empfiehlt beim Betrieb von Hyper-V in einem Cluster für die Kommunikation innerhalb des Clusters (Heartbeat) einen eigenen Adapter. Sie können für diesen Adapter das Protokoll E/A-Treiber für Verbindungsschicht-Topologieerkennung deaktivieren, das gilt auch für Antwort für Verbindungsschicht-Topologieerkennung. Das Protokoll Hyper-V erweiterbarer virtueller Switch können Administratoren für Clusternetzwerke im Heartbeat ebenfalls deaktivieren.

Haben Sie die physischen Netzwerkkarten des Computers einem virtuellen Switch zugeordnet, lassen sich diese den einzelnen virtuellen Computern zuweisen. Das erfolgt beim Erstellen der virtuellen Maschine oder nachträglich in den Einstellungen über den Bereich Netzwerkkarte.

Eine weitere Einstellung ist E/A-Virtualisierung mit Einzelstamm. Hierbei handelt es sich ebenfalls um physische Funktionen von Netzwerkkarten, die auch in Hyper-V funktioniert. Netzwerkkarten, die diese Funktion unterstützen, stellen für virtualisierte Umgebungen implementierte E/A-Kanäle zur Verfügung, mit denen sich die Karte gegenüber virtualisierten Servern wie mehrere Netzwerkkarten verhält. SR-IOV ist vor allem bei E/A-intensiven Anwendungen interessant.

Erstellen und konfigurieren von virtuellen Switches

Zunächst erstellen Sie für die einzelnen physischen Netzwerkkarten im Computer jeweils einen virtuellen Switch durch die Auswahl von Neuer virtueller Switch und dem Klick auf die Schaltfläche Virtuellen Switch erstellen. Im neuen Fenster wählen Sie die physische Netzwerkkarte aus, die Sie dem Switch zuweisen wollen, und legen fest, welche Art von Netzwerk Sie dem Switch zuordnen:

Extern -- Dieses Netzwerk ermöglicht dem virtuellen Computer eine Kommunikation mit dem Netzwerk und zwischen virtuellen Computern auf dem Host. Sie können im Hyper-V-Manager immer nur ein externes Netzwerk pro verfügbarer Netzwerkkarte erstellen, aber mehrere virtuelle Computer können sich dieses externes Netzwerk und damit die Geschwindigkeit der Karte teilen.

Intern -- Diese Netzwerke erlauben eine Kommunikation der virtuellen Computer untereinander auf dem physischen Host. Die Computer können nicht mit dem Netzwerk kommunizieren, außer mit dem Hyper-V-Host selbst und den anderen virtuellen Computer. Dafür ist für diese Verbindung keine Netzwerkkarte erforderlich, da die Verbindung virtuell stattfindet.

Privat -- Diese Netzwerke erlauben eine Kommunikation zwischen den einzelnen virtuellen Computern auf dem Host. Die Kommunikation mit dem Host selbst ist bei diesem Netzwerk nicht möglich.

Haben Sie mehrere Netzwerkkarten im Hyper-V-Host verbaut, können Sie mehrere virtuelle Switches auf Basis dieser Karten erstellen. Für die virtuellen Switches können Sie das NIC-Teaming aktivieren und dann in den virtuellen Servern NIC-Teams erstellen.

Interessant sind unterhalb der Einstellungen für die Netzwerkkarten noch die beiden Bereiche Hardwarebeschleunigung und Erweiterte Features. Bei der Hardwarebeschleunigung können Sie den virtuellen Computern erlauben, bestimmte Berechnungen direkt an die physische Netzwerkkarte weiter zu geben.

Innerhalb der erweiterten Features finden Sie die beiden neuen Einstellungen DHCP-Wächter und Routerwächter. Die Einstellungen sollen verhindern, dass virtuelle Server unkontrolliert als DHCP-Server oder als Router zu agieren. Außerdem erlauben Sie an dieser Stelle, ob die virtuelle Netzwerkkarte als Mitglied eines NIC-Teams konfiguriert werden kann.

MAC-Adressen optimal für Hyper-V konfigurieren

Wichtig sind die Einstellungen für virtuelle MAC-Adressen in den Einstellungen der virtuellen Netzwerkkarten. Hier müssen Sie bezüglich der Livemigration und vor allem der Aktivierung des Betriebssystems auf jeden Fall Einstellungen vornehmen, da Sie ansonsten ständig die Server neu aktivieren müssen. Außerdem spielen diese Einstellungen vor allem in NLB-Clustern mit Exchange Server und auch für SharePoint Server eine sehr wichtige Rolle.

Im Bereich MAC-Adresse lässt sich der dynamische MAC-Bereich festlegen, den die virtuellen Netzwerkkarten der Server erhalten. Für virtuelle Server lassen sich aber auch statische MAC-Adressen festlegen. Das ist wichtig bei einem Betrieb in einem Cluster. Verschieben Sie virtuelle Server zwischen den Clusterknoten, ändern sich beim Neustart die MAC-Adressen, da jeder Knoten seinen eigenen Pool hat.

Das kann Probleme mit der Windows-Aktivierung geben, sowie mit Netzwerklastenausgleichs-Clustern. Jeder Hyper-V-Host hat einen eigenen Pool aus dynamischen MAC-Adressen. Eine solche Änderung wirkt sich an vielen Stellen aus. Es kann sein, dass Sie das Betriebssystem neu aktivieren müssen oder ein virtueller NLB-Cluster funktioniert nicht mehr. Aus diesem Grund ist es sehr empfehlenswert, die statische Zuordnung von MAC-Adressen zu aktivieren. Sie finden diese Einstellung in den erweiterten Features im Bereich Netzwerkkarte der einzelnen virtuellen Server im Hyper-V-Manager.

Mit SCVMM vNext arbeiten

Bestandteil des Nachfolgers von Windows Server 2012 R2 wird der neue Network-Controller-Rollendienst. Dieser erlaubt die zentrale Verwaltung, Überwachung und auch Konfiguration von Netzwerkgeräten über Windows-Server. Der Network Controller soll für Netzwerke die gleichen Funktionen bieten, wie IP-Adressmanagement als Rollendienst für die Verwaltung von IP-Adressen im Netzwerk, mit dem Unterschied, dass der Network Controller auch Geräte von Drittherstellern zentral verwalten kann.

Außerdem lassen sich auch Clouddienste wie Microsoft Azure anbinden und zentrale, zusammen mit lokalen (On-Premise) Netzwerken verwalten. Neben Hardware-Geräten lassen sich mit dem Network Controller auch Softarebasierte Netzwerkdienste verwalten, nicht nur auf Basis von Windows Server vNext, sondern auch auf Basis von Windows Server 2012 R2.

Besonders eng arbeitet der neue Network Controller in Windows 10 Server mit Hyper-V-Hosts und VMs zusammen, die mit System Center Virtual Machine Manager vNext verwaltet werden. Microsoft stellt, neben den Technical Previews für Windows Server vNext und Windows 10, auch die Technical Preview von System Center Virtual Machine Manager vNext zur Verfügung.

Sie können in der Technical Preview von SCVMM vNext logische Switches erstellen und mit allen Einstellungen zu Servern mit Windows Server vNext zuweisen. Auch Profile und Klassifizierungen können Sie verwenden. Allerdings haben in der Vorabversion nur die Bandbreiteneinstellungen eine Funktion. Sobald weitere Testversionen zur Verfügung stehen, sollen sich diese auch an Network Controller anbinden lassen und durch diesen steuerbar und überwachbar sein.

Eine weitere Neuerung in SCVMM vNext besteht darin, dass die virtuellen Netzwerkadapter besser konfiguriert werden können. Später funktioniert das auch zusammen mit dem Network Controller-Dienst. Sie können jetzt zum Beispiel mehrere virtuelle Netzwerkadapter bereits bei der Bereitstellung von virtuellen Servern zur Verfügung stellen. Administratoren können jetzt auch in den Vorlagen für virtuelle Server den Netzwerkadapter benennen. Das funktioniert ähnlich zu Consistent Device Naming (CDN) in physischen Netzwerkadaptern. Dazu muss aber der virtuelle Server als Generation 2-VM erstellt und mit Windows Server vNext installiert werden.

In SCVMM vNext können Sie logische Netzwerk, MAC-Adress-Pools, VM-Netzwerke und IP-Adresspools dazu verwenden um Netzwerkkonfigurationen für VMs zu erstellen und zentral zu verwalten. Auch hier spielt Network Controller eine wichtige Rolle, da er die Steuerung und Überwachung übernehmen kann. (hal)