Windows server2008Hyper-v企业解决方案

目前在大多数的企业中,升级到Windows server 2008是非常有必要,我们从以下几个方面来说明这个问题,在Windows server 2008中推出了一个全新的概念,就是HYPER—V,它给企业到底带来什么样的好处?我们先来算一笔账目:公司有10台服务器,每台机器按300W来计算的话,他一年的电费是300W*24(小时)*30(天)*12(月)相当2592度电,这还是一台,10台呢,如果每台是双电源51840(双电源10台机器1年的用电量),而我们用Windows server 2008可能最多三台服务器就可以我们完成10台机器的工作量,就是通过我们前面提到的Hyper-v来实现。

其二,我们在授权方面,Windows server 2008标准版是1+1,企业版是1+4,数据中心版是1+X,其中的1是母机,仅做为一个平台,如企业版你在上面装4个Windows server 2008都是合法授权的。也就是给我们企业减少成本。

以上Hyper-V设计的目的是为广泛的用户提供更为熟悉以及成本效益更高的虚拟化基础设施软件,这样可以降低运作成本、提高硬件利用率、优化基础设施并提高服务器的可用性。
                    

图A

一、系统要求:

1.于x64处理器,运行 x64版本的Windows Server 2008的标准,在Windows Server 2008企业或Windows Server 2008数据中心版。

2.硬件辅助虚拟化。这是在现有的处理器,包括一个虚拟化的选择工具体来说,英特尔(Inter VT)或AMD的虚拟化(AMD-V)。

3.NX的位元相容的CPU必须具备硬件和数据执行保护( DEP )必须启用。

4.内存应该是最低限度的2GB或更多。

二、Hyper-v架构特点

Hyper-V采用微内核的架构,兼顾了安全性和性能的要求。Hyper-V底层的Hypervisor运行在最高的特权级别下,微软将其称为ring -1(而Intel则将其称为root mode),而虚拟机的OS内核和驱动运行在ring 0,应用程序运行在ring 3下,这种架构就不需要采用复杂的BT(二进制特权指令翻译)技术,可以进一步提高安全性。

1、高效率的VMbus架构

由于Hyper-V底层的Hypervisor代码量很小,不包含任何第三方的驱动,非常精简,所以安全性更高。Hyper-V采用基于VMbus的高速内存总线架构,来自虚机的硬件请求(显卡、鼠标、磁盘、网络),可以直接经过VSC,通过VMbus总线发送到根分区的VSP,VSP调用对应的设备驱动,直接访问硬件,中间不需要Hypervisor的帮助。

这种架构效率很高,不再像以前的Virtual Server,每个硬件请求,都需要经过用户模式、内核模式的多次切换转移。更何况Hyper-V现在可以支持Virtual SMP,Windows Server 2008虚机最多可以支持4个虚拟CPU;而Windows Server 2003最多可以支持2个虚拟CPU。每个虚机最多可以使用64GB内存,而且还可以支持X64操作系统。

2、完美支持Linux系统

和很多朋友的想法不同,Hyper-V可以很好地支持Linux,我们可以安装支持Xen的Linux内核,这样Linux就可以知道自己运行在 Hyper-V之上,还可以安装专门为Linux设计的Integrated Components,里面包含磁盘和网络适配器的VMbus驱动,这样Linux虚机也能获得高性能。Novell SUSE Linux 10 SP1,其中的网卡驱动,其总线类型就是VMbus。

这对于采用Linux系统的企业来说,是一个福音,这样我们就可以把所有的服务器,包括Windows和Linux,全部统一到最新的Windows Server 2008平台下,可以充分利用Windows Server 2008带来的最新高级特性,而且还可以保留原来的Linux关键应用不会受到影响。

和之前的Virtual PC、Virtual Server类似,Hyper-V也是微软的一种虚拟化技术解决方案,但在各方面都取得了长足的发展。

从架构上讲Hyper-V只有“硬件-Hyper-V-虚拟机”三层,本身非常小巧,代码简单,且不包含任何第三方驱动,所以安全可靠、执行效率高,能充分利用硬件资源,使虚拟机系统性能更接近真实系统性能。

Hyper-v安装:

1、在windows 2008中安装Hyper-V

在windows 2008中启用Hyper-V,是通过配置角色进行的,要卸载,也是通过服务器管理器中,删除Hyper-V角色。

打开服务器管理器,点击添加角色-添加角色向导 勾选Hyper-V,点下一步 创建虚拟网络,选择要使用的网卡 安装过程其实很简单,选择一个你需要用的网卡,一般这里是虚拟网卡软件虚拟的网卡! 重启后,再运行,等待,然后显示角色添加成功 

2、在Hyper-V 管理器中创建虚拟机

1.进入Hyper-V 管理界面

2. 从操作菜单进入 –> new –> virtual machine ->

3. 开始 创建新虚拟机 向导

a. 第一步,取名,并设置虚拟机文件位置

b. 分配给虚拟机的内存,这台用1G,所以输入1024(根据实际情况)

c. 指定要绑定的网卡

d. 选择安装使用的光盘iso,这里用的iso文件是windows sever 2008 64位企业,到此就差不多完成了,安装好系统就OK…..

到此虚拟机配置完毕!!

3、在虚拟机上安装系统

a.在Hyper-v管理器打开这台虚拟机,按了启动按钮启动

b.启动虚拟机,开始安装系统。跟真实机安装是一样的。

c.操作系统安装完后我们建议,点Action -> insert integration service setup disk这时,下面状态条会显示一个过程,然后显示安装成功,可以让你的机器更好管理和性能上的发挥。
 
这样基本的安装和管理就完成,但是在这里还要介绍他的几个功能。

四、性能:

经微软工程师和我们自己的测试,Hyper-v上的虚拟机的性能和真实机器的性能是一样。

在读取硬件上,因Hyper-v他在这一块的代码才几百K,前面有提到过VSP调用对应的设备驱动,直接访问硬件。

五、安全性和灾难恢复:

曾经有没有想过,你能及时地返回到以前的某个时间点,然后看看当时你的虚拟机是怎么样的?比如,在关键任务应用中安装预测产品补丁之前,你的虚拟机是怎样的?或者,由于在SQL update语句中遗漏了where语句,导致登陆窗口的密码意外溢出之前,虚拟机又是如何?

站在企业者的角度,成本预算的节俭就可以明显的体现出来了。曾经有个研究数字表明,如果公司停机一小时将平均损失$90,000,那么如果使用了Hyper-V快照功能,则可以帮助企业节省大约$2,000,000的成本。据我朋友介绍,在应用了Windows Sever 2008 Hper-V之后,单纯对Hyper-V一快照功能的应用,一个月就可以大约为公司节省至少5万元以上的投入成本,现在公司对Hyper-V已经有了越来越深入的应用,具体一年在成本预算上能为公司节省的费用应远不止50000*12这个数字。

作为无数虚拟机之父,TechTarget中国的特约虚拟化专家Anil Desai经常会有同样的感觉和想法。幸好,微软的Hyper-V提供了一个很有用的工具,帮你创建和应用虚拟机的即时状态浏览:快照功能。这个工具很好用,可以从Hyper-V 管理控制台创建虚拟机快照。

1、Hyper-V快照简介

为了完整地记录虚拟机的状态,你需要很多不同的信息。尽管你可以手动备份所有必需文件和设置,但这个过程极其枯燥而且容易出错。Hyper-V快照包含了虚拟机返回到之前某时间点所需的所有信息和数据。这包括:

虚拟机配置设置(.vmc文件内容)

虚拟网络设置

附属到虚拟机的所有虚拟硬盘(VHD)的当前状态

虚拟机已保存的状态信息(如果适用)

最让人欣慰的是,启用快照时你并不需要做什么特殊的任务。只要你有Hyper-V虚拟机,你就可以使用这个功能。

利用快照功能创建虚拟机剪贴簿(VM scrapbook)

虚拟机一旦创建完毕即可创建快照。通常,快照创建过程只需几秒钟,而且虚拟机不需暂停、停止或关闭。快照是由Hyper-V创建、执行的,它完全独立于运行在子分区的子操作系统的类型和性能。快照相关文件会自动储存到Hyper-V服务器设置的默认路径下。

在Hyper-V管理控制台你可以轻松地创建快照,只需右击虚拟机,选择“创建快照”即可。任何时刻你都可以创建快照,它会自动嵌入该虚拟机的即时状态浏览树结构中(见图1)。在快照属性中,你可以查看快照的详细信息。快照中储存的设置是只读的,除非你将它们应用到现有虚拟机。

图1.利用Hyper-V管理控制台查看虚拟机快照

请注意,Hyper-V快照与文件系统快照不是一回事,如微软的VSS(卷影复制服务)功能的快照。这两项技术使用了同样的术语,但是Hyper-V快照并不依赖于文件系统快照功能

2、快照和撤销盘

快照很大程度上替代了在Microsoft Virtual PC和Microsoft Virtual Server中撤销盘(undo disks)的概念。没有Hyper-V时,你会在启动虚拟机之前启用撤销盘。然后,当虚拟机停止或关闭后,你可以决定是否保存,要么永远的保留这些改变,要么完全放弃这些改变。

Hyper-V中的快照有同样的功能,但是用了不同的术语和操作。Hyper-V模式的主要好处是它可以让管理员快速简易地创建改变关系结构、可以返回到任何时刻。而且,它解决了与虚拟机配置改变相关的潜在问题(例如,如果虚拟网络或内存设置改变),以及VHD较多的虚拟机可能存在的问题。

3、应用快照

当你应用快照时,当前的虚拟机配置会被完全覆盖。记住,这包括所有附属VHD的内容。因为这个操作是永久性的,所以,最好在应用原来的快照之前先创建一个新快照。以便今后还可以再返回到当前状态。另外,如果虚拟机原来的状态是关闭的,那么虚拟机返回后也会是处于关闭状态。当返回到某一快照时,任何依赖于次快照的其它快照都会被移除,因为它们已经失效。

4、 快照转移(Snapshot Transferring):输入和输出虚拟机

虚拟机快照就像一本包含小孩照片的重要相册一样,在移动虚拟机时你可能希望随时携带你的虚拟机快照。最简单的方法是利用Hyper-V的Export命令。你也可以在终端服务器上使用Import命令恢复虚拟机,以及所有相关文件和设置。这两个操作都可以通过脚本或Hyper-V管理控制台执行。

5、 Hyper-V快照的最佳用法

通常,你应该在做任何可能有风险的更改之前,为虚拟机创建快照。例如,如果你要应用OS更新或补丁,但又希望可以轻松地撤销它们,那么就在应用之前创建一个快照。同样,当你想更改虚拟机配置设置或关键的子操作系统服务时,先为虚拟机创建快照。

快照并不是在任何情况下都适用。首先,快照不能取代备份。你仍应该遵循虚拟机备份的最佳做法(用脚本或虚拟化工具进行手动备份)。只要恰当,一定要利用子操作系统的功能。例如,如果你要做一个关键的数据库更改,那么从虚拟机内做一个标准的数据库备份。记住,有些类型的应用和服务可能不太适合返回过去状态。微软的Active Directory需要注意,这个复制的数据库依赖于时间戳(time stamps)和连续变更日志文件,以便使变更保持一致。

尽管如此,如果使用得当,快照真的很有价值。

六、配置Hyper-V虚拟网络

任何虚拟化环境里,网络都是最关键的几个考虑事项之一,因此需要大量的规划与测试。如果你选择部署微软的Hyper-V技术,可以使用Hyper-V Manager或Microsoft System Center Virtual Machine Manager(MSCVMM)管理Hyper-V主机和子机网络。

在本文中,介绍如何使用VLAN(虚拟局域网)trunk(端口汇聚)为Hyper-V环境配置虚拟网络。我将讲到Windows Server 2008 R2 beta,因为它的一些功能将在2009或2010年的最终R2版本里出现。

1、使用VLAN trunk的虚拟网络映射

在虚拟环境规划网络时,第一个考虑事项是哪个网络能用于虚拟机。对于Hyper-V,这个讨论的关键在于规划端口的虚拟网络提供到子虚拟机的连通性。这 个必需的虚拟网络能直接在主机上配置,或通过Hyper-V manager或MSCVMM远程进行配置。图1显示了我所在的配置:

图1

Hyper-V Manager的主要工具是Virtual Network Manager。 在图1的例子中,我命名新虚拟网络为BRIDGE。BRIDGE是配置好的,可以与宿主在Broadcom端口的外部网络上的子虚拟机交互。你所创建的虚 拟网络能配置成内部网络或者专有网络地址转换(NAT)网络。这个网络配置在子虚拟机上表现也一样。在配置过程中,用户可以从你所创建的虚拟网络上选择。

虚拟网络的配置识别物理端口的映射到虚拟网络的名称,不过不需要识别地址空间。在所有虚拟环境中,都需要802.1Q标记端口或trunk提供对不同网 络的访问。在物理交换器上的VLAN trunk,如Cisco交换机,通过像VLAN Trunking Protocol(VTP)这样的协议使多个网络可用。

Hyper-V在分配VLAN到虚拟网络提供了灵活性。如果使用Hyper-V Manager,每台虚拟机相同的虚拟网络能分配到多个VLAN Trunk。如果使用MSCVMM,整个虚拟网络能配置成共享相同的VLAN trunk。图2显示了一个主机端口准备好拥有一个网络标记或Trunk分配给所有的子连接:

使用任一管理工具,当一个独立的VLAN分配给主机操作系统时,Hyper-V允许管理操作系统流量像子操作系统流量堆栈在相同的端口上。

2、 使用VLAN trunks配置端口

与其他虚拟化平台比较,映射端口到Hyper-V角色里没有多大不同,通用规则是端口越多越好。表1显示了一个简单的端口映射和其配置:

 

这是一个相对简单的配置,证明了在可能时,子流量应该配置在单独的端口上而不是主机操作系统上。不过,特别的网络,如隔离区DMZ可能需要一种不同的方法来配置。

有个策略是在这些网络上为虚拟机建立一个专门的主机,这就可以与hypervisor隔离开来。这样敏感的网络也可以配置成不与其他VLAN trunk共享的专门端口。这使得端口数量更多,但比添加额外的主机硬件更节省成本。Hyper-V也允许子虚拟机流量与主机操作系统共享相同的端口,这 可能适合小型环境或低整合率的环境。

3、使用Hyper-V Integration Services获取驱动支持

Windows Server 2008本身有Hyper-V驱动支持。其他的操作系统需要在子操作系统上安装Integration Services。对于用MSCVMM管理的系统来说,通过Virtual Guest Services达到相同的功能。没有这个驱动设置,其他子虚拟机在默认配置下不能浏览Hyper-V网络。

Hyper-V允许一台子机分配到与所有受支持的操作系统协调工作的虚拟端口上。Hyper-V Manager称这类型网络端口为遗留网络适配器,而MSCVMM称其为仿真网络适配器。这两种管理工具都通过虚拟网络提供了相同的连通性选择。假定操作 系统使用Virtual Guest Services更新,子虚拟机目录的首选网络端口是标准网络适配器。MSCVMM将其作为合成网络适配器。

4、使用MAC地址准备子网络

当配置子网络时,取决于你用Hyper-V Manager还是MSCVMM,子虚拟机分配给一个遗留或仿真虚拟端口。先前我提到一台子机能分配给一个VLAN trunk,而不是整个虚拟网络分配给MSCVMM里的一个trunk。对于拥有少量Hyper-V主机的小型环境来说更是如此。在这样的情况下,使用 MSCVMM太过浪费。

不过在Hyper-V Manager里,一个子机能分配给VLAN,并为其分配一个MAC地址。图3显示一台分配给VLAN的子机:

我建议在Hyper-V或其他任何平台上不要输入MAC地址,使用默认的网络配置就成。默认网络配置创建一个MAC地址,使系统更容易被识别为Hyper-V虚拟机。在一些P2V或V2V迁移场景下,MAC地址可能需要更改。

Windows Server 2008本身的网络模式可用,并且不使用遗留或仿真端口。其他的操作系统,如Windows Server 2003、XP和Vista在允许安装Integration Services或Virtual Guest Services之前需要修正。一般来说,需要最新最主要的服务包以便成功安装,能允许子机不使用遗留或仿真适配器访问网络。

我们前面讲了很多,微软现在给企业更多的是一个解决方案,有人会问,如果我的物理机坏了,是不是所有的虚拟机也会出现全部断机,微软给的解决方案是结合SCVMM来管理所有的虚拟机,就算我们的物理机出现故障,通过SCVMM可以无限时的切换,保证所有的服务正常运行,SCVMM还可以实现P2V和V2V,P2V就是把物理机的环境迁移到虚拟机,V2V就是虚拟机迁移到虚拟机,从而来搞好IT管理人员的工作效率和服务质量。

这只是Windows server 2008中的一个服务,当然还有很多有关加强安全性和性能方面的角色和功能,如全新TCP/IP的设计、组策略中的QOS来优化网络、BitLocker™ 驱动加密来实现整个硬盘的数据安全性、网络接入保护如下图所示。

只读域控制器:

特征

  
只读的Active Directory数据库 ,保证可读写AD的安全

只有允许的用户密码存储在RODC,按需存储密码,加强对密码安全性的管理

单向复制

角色分离

在无法保证实际的安全的时候,增加远程域控制器的安全性能 。就算有人把服务器偷走,只需要在可读写域控制器重设被RODC缓存过的密码。

支持

ADFS,DNS, DHCP, FRS V1, DFSR (FRS V2), Group Policy, IAS/VPN, DFS, SMS, ADSI queries, MOM