使用NIC创建子网隔离Hyper-V的网络流量

申请免费试用、咨询电话：400-8352-114

当来咨询的客户表达他们对Hyper-V的兴趣时，我建议在他们预算范围内购买尽可能多的网络接口卡（NIC）。一般地，如果是出于通过光纤通道存储区域网络集中存储的目的，我建议为每台服务器至少配备四个NIC。如果客户端使用iSCSI SAN，我建议至少使用六个NIC。不过为每台服务器配备10个NIC也是很平常的。

原因在于许多Hyper-V服务器管理员需要进行由额外NIC造成的网络隔离。管理员也喜欢能在存储和生产网络连接之间进行连接聚合。不过虽然Hyper-V能支持虚拟局域网（VLAN）聚合，这是种支持多个拥有一个以上交换机的VLAN的方式，这种设置的挑战更多在于政治上，而不是技术上。

一般来说，当VLAN聚合到Hyper-V服务器，网络管理责任就落在虚拟化管理员身上了。网络管理员忽视了这种责任是常见的，安全经历很担心，因为一组“非专家”（例如虚拟管理员）现在对他们不太精通的环境负有责任。

此外，当多个VLAN聚合在一起，潜在的管理错误会增加。随着更多服务器管理员尝试整合多个子网，因此，安全区域问题会上升。

另外，使用子网隔离网络流量，不仅按照微软的建议指南分配NIC到不同的子网，也能预防半途而废。微软的故障转移集群服务对于频率延迟尤其苛刻，当服务器不能及时发送或响应集群频率，或导致资源或集群故障。通过使用集群本身的链接隔离集群频率，就能避免这种情况。

为了证明我的观点，下面是如何正确隔离网络连接的实例。我的一位客户购买了两台Hyper-V服务器，跨三个子网部署虚拟机：

● 子网A是生产网络，包括传统的办公室服务器，如Exchange、SQL和文件服务器；

● 子网B是一个运营网络，用于业务线服务器，业务关键组需要少量额外的网络保护；

● 子网C包括测试和开发者的分段沙盒。　　

要正确连接子网，需要以下六个NIC：

● 一个NIC专用于到Hyper-V服务器的管理流量。热迁移流量也通过这个接口。

● 一个接口卡用于集群的频率连接。这个连接宿主在本身的子网里，并且确保网络堵塞不会导致集群故障。

● 两个NIC通过多路径I/O设置连到iSCSI SAN。

● 两个网络卡作为绑定连接，进行物理连接，并在逻辑上配置到网络IOS，以通过VLAN流量到子网A、B和C。　　

这是种可接受的配置，因为在其区域里隔离了每个通信类型。例如，iSCSI流量通过使用隔离的路径通过存储网络。这种设置确保生产网络连接不会影响到服务器硬盘驱动的访问。

为管理流量创建隔离的连接，另一方面完成了两件事情。第一，从物理上隔离了来自Hyper-V管理流量的虚拟机流量，这样更安全。同时，防止虚拟机过度消耗网络连接，阻碍服务器管理。

最后两个NIC旨在网络聚集。这种配置在IT博客里进行广泛深入地讨论，。我在这系列文章的第一部分“Hyper-V NIC聚合”中已经解释过。注意，微软虚拟网络交换机协议可能阻止一些NIC聚合驱动启用。在尝试Hyper-V NIC聚合之前检查服务器厂商支持表。

我这个客户聚合了这三种生产VLAN到相同的成对接口。尽管流量低，Hyper-V主机服务器的数量相对较小，系统管理员通过独立的接口隔离每个VLAN流量，而不是聚合它们。

原因在于他们想预防错误。

有时，Hyper-V的VLAN向导很难操作。首先，你必须创建和分配正确的参数给Virtual Network Manager里的虚拟交换机。接下来，确保正确的物理接口连接到正确的虚拟交换机。由于Hyper-V的管理向导缺乏单窗口物理界面，就很容易犯错。

由于Hyper-V或思科的路由协议使用VLAN存在数据泄露问题，在VLAN指尖使用虚拟机的接口存在很大风险。因此，他们最多使用10个NIC通道。

在本系列最后一部分钟，我将解释创建虚拟交换机的过程。