Virtualizace bez hranic. Ondřej Výšek Samostatný konzultant ondrejv@optimalizovane-it.cz

Virtualizace bez hranic Ondřej Výšek Samostatný konzultant ondrejv@optimalizovane-it.cz

Virtualization Trends Pro jaké účely jsou nasazovány nástroje pro virtualizaci rok 2009 Test and Development Production Application Servers Disaster Recovery Systems 29% 51% 64% 74% 74% 79% Production Databases Data/Storage Mgmt Systems Production Web Servers 21% 30% 50% 47% 47% 47% End-User Desktops 5% 45% Production Middleware Systems 26% 41% 0% 20% 40% 60% 80% Source: Virtualization and Management: Trends, Forecasts, and Recommendations; Enterprise Management Associates (EMA); April 2008

Architektura Hyper-V Parent Partition Child Partitions VM Worker Processes Aplikace WMI Provider VM Service Aplikace Aplikace Aplikace User Mode Windows Server 2008 Windows Server 2003, 2008 Non-Hypervisor Aware OS Windows Kernel IHV Drivers VMBus VSP Windows Kernel VMBus VSC Emulation Linux Kernel VMBus Linux VSC Kernel Mode Windows hypervisor Ring -1 Designed for Windows Server Hardware

Jak na správné řešení 1. Vyberte správný hardware 2. Vytvořte základ AD, DNS, DHCP 3. Jak vysokou dostupnost potřebujete? 4. Vytvořte kvalitní SAN pro HA / live migration 5. Naplánujte nasazení: bare metal, vhd, aplikace? 6. Konsolidujte správu fyzických a virtuálních strojů 7. Jak zálohovat a jak dlouho? Je DR zapotřebí? 8. Jak přistupujete do virtuální infrastruktury? 9. Nějaká omezení? Bude to mít dopad na uživatele? 10. Jak je infrastruktura zabezpečená?

Výzva: Nikdy nepoužívejte GUI pro nasazení produkčního prostředí

Server >> Datacenter >> Cloud

Jak na deployment 4. Kontrola přizpůsobení 3. Nasazení vlastního image 5. Mám připravený vlastní image?? 1. Sysprep OS 2. Capture image 2. Úprava sekvence úkolů v MDT 1. Nasazení standardního OS, vlastní přizpůsobení 3. Přidat image do WDS Server 4. Deploy image

Hyper-V a sítě

Typy síťových adaptérů Syntetický adaptér Žádné fyzické zařízení Komunikuje přes VMBus přímo k vmswitch.sys Nepodporuje PXE Boot Podstatně vyšší výkon oproti Emulovanému Ovladače pro Windows Server 2003 SP2 Windows Server 2008 Windows Server 2008 R2 Windows XP Windows Vista Windows 7 Linux (SLES 10, 11). RHEL 5.x Emulovaný adaptér Emulovaný fyzický čipset DEC21140 Komunikuje pomocí přerušení na vmwp.exe a pak vmswitch.sys Podporuje PXE Boot Ovladače téměř pro každý OS

Virtuální stroje Síťová architektura Application (Ports/Sockets etc ) TCP/IP (tcpip.sys) Synthetic Virtual NIC (netvscxxsys) Application (Ports/Sockets etc ) TCP/IP (tcpip.sys) Emulated Virtual NIC (dc21x4vm.sys) Application (Ports/Sockets etc ) TCP/IP (tcpip.sys) Host Virtual NIC (vmswitch.sys) Kernel Level IOCTLS Tcpip.sys<->NIC Driver Kernel Level IOCTLS Tcpip.sys<->NIC Driver Virtual Switch (vmswitch.sys) Kernel Level IOCTLS Vmswitch.sys<->NIC Driver Physical NIC (Intel/Broadcom etc ) Kernel Level IOCTLS Tcpip.sys<->NIC Driver Network Layer 2 Network Traffic MAC xx:xx:xx:xx:xx:xx <-> MAC xx:xx:xx:xx:xx:xx

Pozor na Teaming Není podporované Microsoftem KB968703: Microsoft Support Policy For NIC Teaming with Hyper-V Since Network Adapter Teaming is only provided by Hardware Vendors, Microsoft does not provide any support for this technology thru Microsoft Product Support Services. Hardware Offload by mělo být zakázané VMq, Chimney, IPSec Offload

Povolte VMQ Zdroje na internetu Intel FAQ: VLANs and VMDq on Intel Ethernet Adapters in Hyper-V Advanced Virtualization I/O Queuing Technologies/An Intel- Microsoft Perspective

Jumbo Frames Podpora Jumbo Frame Ethernet Frames >1,500 bytes Ad Hoc Standard je ~9k Výhody Umožňuje cca 6x vyšší využití paketu Lepší propustnost Nižší zátěž procesoru při přenosu velkých souborů Zajistěte, že všechny síťové segmenty mají Jumbo Frames povolené! Ping.exe l 9000 <src>

Vysoce výkonné Jednoduchá instalace Bezpečné Základní konfigurace Virtual Switch Virtual Machine Hyper-V Server Virtual Machine Physical Switch Virtual Machine

Vícevrstvé aplikace Public and Private Virtual Switch Virtual Machine Virtual Switch Hyper-V Server Virtual Machine Physical Switch Virtual Machine

Guest Routed NAT Spotřeba výkonu pro externí komunikaci External Virtual Switch Virtual Machine Private Virtual Switch Hyper-V Server Virtual Machine Physical Switch Virtual Machine

Host Routed NAT Není doporučeno pro produkční provoz Skvělé pro lab nebo demo Funguje s WiFi síťovkami Internal Virtual Switch Virtual Machine Hyper-V Server Virtual Machine Physical Switch Virtual Machine

Zabezpečení Hyper-V

Útoky ve zirtualizaci Parent Partition Guest Partitions Provided by: Virtualization Stack Windows WMI Provider VMMS Service VM Worker Processes Guest Applications Hyper-V ISV Hackers Server Core Windows Kernel VID Device Drivers Virtualization Service Providers (VSPs) Virtualization Service Clients (VSCs) VMBus OS Kernel Enlightenments Windows hypervisor Server Hardware

Hyper-V Security Hardening (1/4) Hypervisor má vlastní adresní prostor Adresy hosta!= adresy Hypervisoru Není možný 3rd party kód v Hypervisorsor Parent je Trusted Computig Base Omezený počet kanálů z hosta do Hypervisoru Není možné něco jako IOCTL

Hyper-V Security Hardening (2/4) Komunikace mezi hosty přes hypervisor není možná Žádná sdílená paměť mezi hosty Host OS nikdy přímo neovlivňují hardware I/O

Hyper-V Security Hypervisor Hardening (3/4) Address space layout randomization (ALSR) Stack guard cookies (/GS) Hardware No execute bit (NX)(DEP) Code pages marked read only Memory guard pages Omezené možnosti řízení výjimek Kód Hypervisoru je podepsaný

Hyper-V Security Hardening (4/4) Hypervisor a Parent komponenty vytvořeny pomocí SDL Security Development Lifecycle Threat modeling Static Analysis Fuzz testing Penetration testing

Nyní a budoucnost Hyper-V R2 Hyper-V R2 SP1

Virtualizace v R2 Windows Server 2008 R2 s Hyper-V Windows Hyper-V server 2008 R2 Core Parking TimeCoalescing Podpora clusteringu Cluster Shared Volumes Rozšířená podpora hardware

Core Parking

Slučování časovačů - Coalescing Coalescing je založeno na kombinaci několika technik: Fyzická přerušení ukončují globální časovače Zarovnání jednotlivých časovačů na frekvenci fyzických časovačů Un-coalesced Timer Events 15.6ms 15.6ms 15.6ms Windows Vista VM 1 Timer Delivery VM 2 Timer Delivery VM3 Timer Delivery Coalesced Timer Events Windows 7 / Server 2008 R2

Live Migration #1 požadavek zákazníků Přesunutí virtuálního stroje ze serveru na server bez ztráty funkčnosti Možné nové scénáře využití Load balancing VM pomocí policy

Live Migration Live Migration pomocí Cluster Manager Live Migration pomocí Virtual Machine Manager Posun z Quick na Live Migration: Omezení guest OS?: Ne Vyžadované změny ve VMs?: Ne Zásahy do Storage infrastruktury: Ne Zásahy do síťové infrastruktury: Ne Windows Server 2008 R2 Hyper-V: Ano

Live Migration Vytvoření VM na cílovém serveru Kopie paměťových stránek přes síť Finálnípřesun stavu Pozastavení VM Přesunutí připojení na storage na cílový server Host 1 Host 2 Sdílený Storage

Configuration State Live Migration v akci Memory Memory

Migrace & Storage Windows Server 2008 R2 Hyper-V Cluster Shared Volume (CSV) CSV umožňuje jeden prostor pro ukládání sdílených souborů; Všechny Windows Server 2008 R2 servery vidí identický svazek Jednoduché nasazení; Používá NTFS Není potřeba modifikovat SANs Vytvoření jednoho velkého úložiště Již žádné problémy s písmenky Stávající nástroje fungují

Cluster Shared Volumes Všechny servery vidí stejné úložiště

Dynamic Memory in Windows Server 2008 R2 SP1 Co to je? Rozšíření paměťové správy pro Hyper-V Umožňuje dynamicky zvětšovat a zmenšovat množství přidělené paměti pro virtuální stroje Dostupné jako vlastnost ve Windows Server 2008 R2 SP1 VM1 VM2 VM3 VM4 Výhody? Lepší konsolidace s předvídatelným výkonem Lepší škálovatelnost Nejedná se o overcommit Paměť není sdílená T1 T2 T2

Dynamic Memory

Systémové požadavky Požadavky na parent: Windows Server 2008 R2 SP1 Microsoft Hyper-V Server 2008 R2 SP1 Guest musí umožňovat hot add memory: Windows Server 2003, 2008 & 2008 R2 Pouze edice Enterprise a Datacenter Editions 32-bit & 64-bit Windows Vista a Windows 7 Pouze edice Enterprise a Ultimate 32-bit & 64-bit

Dynamic Memory Zajišťuje: VMWP Guest Applications OS Microsoft Hyper-V Dynamic Memory Components VMMS Memory Balancer Memory Balancer Interface GMO Memory Manager DM VDEV/VSP User Mode Windows Kernel VID DM VSC Windows Kernel Kernel Mode VMBus VMBus Hypervisor

IC / IS pro non Windows ICs obsaženy v 2.6.32 SMP obsaženy v 2.6.33 2009 2010 2011 V2.0 R2 Support Storage Networking V2.1 SMP Time Sync Shutdown

Q / A