WS2012 Hyper-V可扩展交换机实现多租户隔离 确保云安全

日期: 2013-06-08 来源:TechTarget中国

  Windows Server 2012中全新的Hyper-V可扩展交换机是创建安全的云环境,支持多租户隔离的关键。Windows Server 2012中的Hyper-V可扩展交换机包含了一系列新增和改进的功能,主要涉及租户隔离、通讯塑型、保护防范恶意虚拟机,以及轻松排错等多个领域。可扩展交换机还可由第三方开发插件扩展,模拟硬件交换机的全部功能,并能支持更复杂的虚拟化环境解决方案。

  老版本Hyper-V可供您创建与物理二层以太网交换机类似的虚拟网络交换机,实施复杂的虚拟网络环境。您可以创建外部虚拟网络,为虚拟机提供到外部服务器与客户端的连接,并可创建内部网络,让同一宿主机上的虚拟机之间,以及虚拟机与宿主机之间进行通讯,或者可以创建专用虚拟网络(PVLAN),可用于在同一宿主机上的不同虚拟机之间进行隔离,让虚拟机只能通过外部网络通讯。

  Hyper-V可扩展交换机简化了虚拟网络的创建,可通过多种方式为您提供极大的灵活性,供您设计虚拟化基础架构。例如,您可以配置虚拟机内的来宾操作系统使用一块虚拟网络适配器,并将其关联给指定的可扩展交换机,或者配置多个虚拟网络适配器(每个关联给不同的交换机),但您不能将同一个交换机连接到不同的网络适配器。

  然而这里的改进在于,Hyper-V 虚拟交换机可以通过多种不同方式进行扩展。首先,您可以给虚拟交换机的驱动堆栈中安装自定义的网络驱动器程序接口规范(NDIS)筛选器驱动(也被称为扩展)。例如,您可以创建一个扩展,对发到可扩展交换机的端口的数据包进行捕获、筛选,或转发。尤其是可扩展交换机使得您使用下列类型的扩展:

  捕获扩展,可捕获数据包,借此监控网络通讯,但不能修改或丢弃数据包

  筛选扩展,类似捕获扩展,但可以注入和丢弃数据包

  转发扩展,可供您修改数据包路由,并与物理网络基础架构进行集成

  其次,您可以借助内建的 Wfplwfs.sys 筛选扩展使用 Windows Filtering Platform(WFP)的功能,对可扩展交换机数据路径上的数据包进行拦截。例如,您可以使用这种方法在虚拟化环境中执行数据包检查。

  Hyper-V可扩展交换机有三种不同类型的扩展功能,这些功能主要可被微软合作伙伴与独立软件供应商(ISV)用于更新自己原有的网络监控、管理,以及安全软件产品,使得这些产品不仅可以用于物理宿主机,还可用于任何虚拟化环境中部署的、通过Windows Server 2012中的Hyper-V 创建的虚拟机。此外,通过添加扩展的方式对 Hyper-V网络功能进行扩展,这也使得您可以用更简单的方法为 Hyper-V 添加新功能,而无需替换或升级交换机。您还可以使用管理Hyper-V 其他网络功能时相同的工具管理这些扩展,主要是 Hyper-V 管理器控制台、PowerShell,以及 Windows 管理规范(WMI)。并且因为这些扩展已经集成到原生的 Hyper-V 网络框架中,因此可以自动配合其他功能使用,例如实时迁移。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐