Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Virtualisasi server memungkinkan beberapa instans server berjalan bersamaan pada satu host fisik; namun instans server diisolasi satu sama lain. Setiap komputer virtual pada dasarnya beroperasi seolah-olah itu adalah satu-satunya server yang berjalan di komputer fisik.
Virtualisasi jaringan menyediakan kemampuan serupa, di mana beberapa jaringan virtual (berpotensi dengan alamat IP yang tumpang tindih) berjalan pada infrastruktur jaringan fisik yang sama dan setiap jaringan virtual beroperasi seolah-olah itu adalah satu-satunya jaringan virtual yang berjalan pada infrastruktur jaringan bersama. Gambar 1 menunjukkan hubungan ini.
Gambar 1: Virtualisasi server versus virtualisasi jaringan
Konsep Virtualisasi Jaringan Hyper-V
Dalam Hyper-V Network Virtualization (HNV), pelanggan atau penyewa didefinisikan sebagai "pemilik" dari sekumpulan subnet IP yang disebarkan di perusahaan atau pusat data. Pelanggan dapat menjadi perusahaan atau perusahaan dengan beberapa departemen atau unit bisnis di pusat data privat yang memerlukan isolasi jaringan, atau penyewa di pusat data publik yang dihosting oleh penyedia layanan. Setiap pelanggan dapat memiliki satu atau beberapa jaringan Virtual di pusat data, dan setiap jaringan virtual terdiri dari satu atau beberapa subnet Virtual.
Ada dua implementasi HNV yang akan tersedia di Windows Server 2016: HNVv1 dan HNVv2.
HNVv1
HNVv1 kompatibel dengan Windows Server 2012 R2 dan System Center 2012 R2 Virtual Machine Manager (VMM). Konfigurasi untuk HNVv1 bergantung pada manajemen WMI dan cmdlet Windows PowerShell (difasilitasi melalui System Center VMM) untuk menentukan pengaturan isolasi dan Alamat Pelanggan (CA) - jaringan virtual - ke pemetaan dan perutean Alamat Fisik (PA). Tidak ada fitur tambahan yang ditambahkan ke HNVv1 di Windows Server 2016 dan tidak ada fitur baru yang direncanakan.
- SET Teaming dan HNV V1 tidak kompatibel dengan platform.
o Untuk menggunakan gateway HA NVGRE, pengguna harus menggunakan tim LBFO atau Tidak ada tim. Or
o Gunakan gateway yang Disebarkan Pengontrol Jaringan dengan sakelar yang digabungkan SET.
HNVv2
Sejumlah besar fitur baru disertakan dalam HNVv2 yang diimplementasikan menggunakan ekstensi penerusan Azure Virtual Filtering Platform (VFP) di Hyper-V Switch. HNVv2 sepenuhnya terintegrasi dengan Microsoft Azure Stack yang mencakup Pengontrol Jaringan baru di Tumpukan Jaringan yang Ditentukan Perangkat Lunak (SDN). Kebijakan jaringan virtual didefinisikan melalui Microsoft Network Controller menggunakan RESTful NorthBound (NB) API dan di-plumbed ke Agen Host melalui beberapa Antarmuka SouthBound (SBI) termasuk OVSDB. Kebijakan program Agen Host dalam ekstensi VFP Hyper-V Switch tempatnya diberlakukan.
Important
Topik ini berfokus pada HNVv2.
Jaringan virtual
Setiap jaringan virtual terdiri dari satu atau beberapa subnet virtual. Jaringan virtual membentuk batas isolasi di mana komputer virtual dalam jaringan virtual hanya dapat berkomunikasi satu sama lain. Secara tradisional, isolasi ini diberlakukan menggunakan VLAN dengan rentang alamat IP terpisah dan Tag 802.1q atau ID VLAN. Tetapi dengan HNV, isolasi diberlakukan menggunakan enkapsulasi NVGRE atau VXLAN untuk membuat jaringan overlay dengan kemungkinan subnet IP yang tumpang tindih antara pelanggan atau penyewa.
Setiap jaringan virtual memiliki ID Domain Perutean (RDID) unik pada host. RDID ini kira-kira memetakan ke ID Sumber Daya untuk mengidentifikasi sumber daya REST jaringan virtual di Pengontrol Jaringan. Sumber daya REST jaringan virtual direferensikan menggunakan namespace Pengidentifikasi Sumber Daya Seragam (URI) dengan ID Sumber Daya yang ditambahkan.
Subnet virtual
Subnet virtual mengimplementasikan semantik subnet IP Layer 3 untuk komputer virtual dalam subnet virtual yang sama. Subnet virtual membentuk domain siaran (mirip dengan VLAN) dan isolasi diberlakukan dengan menggunakan bidang NVGRE Tenant Network ID (TNI) atau VXLAN Network Identifier (VNI).
Setiap subnet virtual milik satu jaringan virtual (RDID), dan diberi ID Subnet Virtual (VSID) unik menggunakan kunci TNI atau VNI di header paket yang dienkapsulasi. VSID harus unik dalam pusat data dan berada dalam rentang 4096 hingga 2^24-2.
Keuntungan utama dari jaringan virtual dan domain perutean adalah memungkinkan pelanggan untuk membawa topologi jaringan mereka sendiri (misalnya, subnet IP) ke cloud. Gambar 2 menunjukkan contoh di mana Contoso Corp memiliki dua jaringan terpisah, R&D Net dan Sales Net. Karena jaringan ini memiliki ID domain perutean yang berbeda, mereka tidak dapat berinteraksi satu sama lain. Artinya, Contoso R&D Net diisolasi dari Contoso Sales Net meskipun keduanya dimiliki oleh Contoso Corp. Contoso R&D Net berisi tiga subnet virtual. Perhatikan bahwa RDID dan VSID unik dalam pusat data.
Gambar 2: Jaringan pelanggan dan subnet virtual
Penerusan Lapisan 2
Pada Gambar 2, komputer virtual di VSID 5001 dapat memiliki paket mereka yang diteruskan ke komputer virtual yang juga ada di VSID 5001 melalui Hyper-V Switch. Paket masuk dari komputer virtual di VSID 5001 dikirim ke VPort tertentu pada Hyper-V Switch. Aturan Ingress (misalnya enkap) dan pemetaan (misalnya header enkapsulasi) diterapkan oleh Hyper-V Switch untuk paket ini. Paket kemudian diteruskan ke VPort yang berbeda pada Hyper-V Switch (jika komputer virtual tujuan dilampirkan ke host yang sama) atau ke sakelar Hyper-V yang berbeda pada host yang berbeda (jika komputer virtual tujuan terletak di host yang berbeda).
Perutean Lapisan 3
Demikian pula, komputer virtual di VSID 5001 dapat memiliki paket mereka yang dirutekan ke komputer virtual di VSID 5002 atau VSID 5003 oleh router terdistribusi HNV yang ada di setiap VSwitch host Hyper-V. Setelah mengirimkan paket ke sakelar Hyper-V, HNV memperbarui VSID paket masuk ke VSID komputer virtual tujuan. Ini hanya akan terjadi jika kedua VSID berada dalam RDID yang sama. Oleh karena itu, adaptor jaringan virtual dengan RDID1 tidak dapat mengirim paket ke adaptor jaringan virtual dengan RDID2 tanpa melintasi gateway.
Note
Dalam deskripsi alur paket di atas, istilah "komputer virtual" sebenarnya berarti adaptor jaringan virtual pada komputer virtual. Kasus umumnya adalah bahwa komputer virtual hanya memiliki satu adaptor jaringan virtual. Dalam hal ini, kata-kata "komputer virtual" dan "adaptor jaringan virtual" dapat secara konseptual berarti hal yang sama.
Setiap subnet virtual mendefinisikan subnet IP Layer 3 dan batas domain siaran Layer 2 (L2) yang mirip dengan VLAN. Ketika komputer virtual menyiarkan paket, HNV menggunakan Unicast Replication (UR) untuk membuat salinan paket asli dan mengganti IP tujuan dan MAC dengan alamat setiap VM yang berada di VSID yang sama.
Note
Ketika Windows Server 2016 dikirim, siaran dan multicast subnet akan diimplementasikan menggunakan replikasi unicast. Perutean multicast lintas subnet dan IGMP tidak didukung.
Selain menjadi domain siaran, VSID menyediakan isolasi. Adaptor jaringan virtual di HNV terhubung ke port sakelar Hyper-V yang akan menerapkan aturan ACL baik langsung ke port (sumber daya VIRTUALNetworkInterface REST) atau ke subnet virtual (VSID) yang merupakan bagiannya.
Port sakelar Hyper-V harus menerapkan aturan ACL. ACL ini dapat berupa ALLOW ALL, DENY ALL, atau lebih spesifik untuk hanya mengizinkan jenis lalu lintas tertentu berdasarkan pencocokan 5 tuple (IP Sumber, IP Tujuan, Port Sumber, Port Tujuan, Protokol).
Note
Ekstensi Switch Hyper-V tidak akan berfungsi dengan HNVv2 di tumpukan Software Defined Networking (SDN) baru. HNVv2 diimplementasikan menggunakan ekstensi sakelar Azure Virtual Filtering Platform (VFP) yang tidak dapat digunakan bersama dengan ekstensi sakelar pihak ke-3 lainnya.
Beralih dan Perutean dalam Virtualisasi Jaringan Hyper-V
HNVv2 mengimplementasikan switching Layer 2 (L2) yang benar dan semantik perutean Layer 3 (L3) untuk bekerja sama seperti sakelar fisik atau router akan berfungsi. Ketika komputer virtual yang terhubung ke jaringan virtual HNV mencoba membangun koneksi dengan komputer virtual lain dalam subnet virtual (VSID) yang sama, pertama-tama perlu mempelajari alamat MAC CA dari komputer virtual jarak jauh. Jika ada entri ARP untuk alamat IP komputer virtual tujuan dalam tabel ARP komputer virtual sumber, alamat MAC dari entri ini digunakan. Jika entri tidak ada, komputer virtual sumber akan mengirim siaran ARP dengan permintaan alamat MAC yang sesuai dengan alamat IP komputer virtual tujuan yang akan dikembalikan. Sakelar Hyper-V akan mencegat permintaan ini dan mengirimkannya ke Agen Host. Agen Host akan melihat database lokalnya untuk alamat MAC yang sesuai untuk alamat IP komputer virtual tujuan yang diminta.
Note
Agen Host, yang bertindak sebagai server OVSDB, menggunakan varian skema VTEP untuk menyimpan pemetaan CA-PA, tabel MAC, dan sebagainya.
Jika alamat MAC tersedia, Agen Host menyuntikkan respons ARP dan mengirimkannya kembali ke komputer virtual. Setelah tumpukan jaringan komputer virtual memiliki semua informasi header L2 yang diperlukan, bingkai dikirim ke Port Hyper-V yang sesuai pada V-Switch. Secara internal, Hyper-V Switch menguji bingkai ini terhadap aturan pencocokan N-tuple yang ditetapkan ke V-Port dan menerapkan transformasi tertentu ke bingkai berdasarkan aturan ini. Yang paling penting, sekumpulan transformasi enkapsulasi diterapkan untuk membangun header enkapsulasi menggunakan NVGRE atau VXLAN, tergantung pada kebijakan yang ditentukan di Pengontrol Jaringan. Berdasarkan kebijakan yang diprogram oleh Agen Host, pemetaan CA-PA digunakan untuk menentukan alamat IP host Hyper-V tempat komputer virtual tujuan berada. Sakelar Hyper-V memastikan aturan perutean dan tag VLAN yang benar diterapkan ke paket luar sehingga mencapai alamat PA jarak jauh.
Jika komputer virtual yang terhubung ke jaringan virtual HNV ingin membuat koneksi dengan komputer virtual di subnet virtual (VSID) yang berbeda, paket perlu dirutekan. HNV mengasumsikan topologi bintang di mana hanya ada satu alamat IP di ruang CA yang digunakan sebagai next-hop untuk mencapai semua awalan IP (yang berarti satu rute/gateway default). Saat ini, ini memberlakukan batasan untuk satu rute default dan rute non-default tidak didukung.
Perutean Antar Subnet Virtual
Dalam jaringan fisik, subnet IP adalah domain Layer 2 (L2) di mana komputer (virtual dan fisik) dapat langsung berkomunikasi satu sama lain. Domain L2 adalah domain siaran tempat entri ARP (peta alamat IP:MAC) dipelajari melalui permintaan ARP yang disiarkan di semua antarmuka dan respons ARP dikirim kembali ke host yang meminta. Komputer menggunakan informasi MAC yang dipelajari dari respons ARP untuk sepenuhnya membangun bingkai L2 termasuk header Ethernet. Namun, jika alamat IP berada di subnet L3 yang berbeda, permintaan ARP tidak melewati batas L3 ini. Sebagai gantinya, antarmuka router L3 (gateway next-hop atau default) dengan alamat IP di subnet sumber harus menanggapi permintaan ARP ini dengan alamat MAC-nya sendiri.
Di jaringan Windows standar, administrator dapat membuat rute statis dan menetapkannya ke antarmuka jaringan. Selain itu, "gateway default" biasanya dikonfigurasi untuk menjadi alamat IP next-hop pada antarmuka tempat paket yang ditujukan untuk rute default (0.0.0.0/0) dikirim. Paket dikirim ke gateway default ini jika tidak ada rute tertentu. Ini biasanya router untuk jaringan fisik Anda. HNV menggunakan router bawaan yang merupakan bagian dari setiap host dan memiliki antarmuka di setiap VSID untuk membuat router terdistribusi untuk jaringan virtual.
Karena HNV mengasumsikan topologi bintang, router terdistribusi HNV bertindak sebagai gateway default tunggal untuk semua lalu lintas yang terjadi antara Subnet Virtual yang merupakan bagian dari jaringan VSID yang sama. Alamat yang digunakan sebagai gateway default ke alamat IP terendah di VSID dan ditetapkan ke router terdistribusi HNV. Router terdistribusi ini memungkinkan cara yang sangat efisien bagi semua lalu lintas di dalam Jaringan VSID untuk dirutekan dengan tepat karena setiap host dapat langsung merutekan lalu lintas ke host yang sesuai tanpa memerlukan perantara. Ini terutama berlaku ketika dua komputer virtual di Jaringan VM yang sama tetapi Subnet Virtual yang berbeda berada di host fisik yang sama. Seperti yang akan Anda lihat nanti di bagian ini, paket tidak perlu meninggalkan host fisik.
Perutean antar subnet PA
Berbeda dengan HNVv1 yang mengalokasikan satu alamat IP PA untuk setiap Subnet Virtual (VSID), HNVv2 sekarang menggunakan satu alamat IP PA per anggota tim NIC Switch-Embedded Teaming (SET). Penyebaran default mengasumsikan tim dua NIC dan menetapkan dua alamat IP PA per host. Satu host memiliki IP PA yang ditetapkan dari subnet logis Penyedia (PA) yang sama pada VLAN yang sama. Dua VM penyewa di subnet virtual yang sama mungkin memang terletak di dua host berbeda yang terhubung ke dua subnet logis penyedia yang berbeda. HNV akan membuat header IP luar untuk paket yang dienkapsulasi berdasarkan pemetaan CA-PA. Namun, ini bergantung pada tumpukan TCP/IP host ke ARP untuk gateway PA default dan kemudian membangun header Ethernet luar berdasarkan respons ARP. Biasanya, respons ARP ini berasal dari antarmuka SVI pada sakelar fisik atau router L3 tempat host terhubung. Oleh karena itu, HNV bergantung pada router L3 untuk merutekan paket yang dienkapsulasi antara subnet logis penyedia / VLAN.
Perutean Di Luar Virtual Network
Sebagian besar penyebaran pelanggan akan memerlukan komunikasi dari lingkungan HNV ke sumber daya yang bukan bagian dari lingkungan HNV. Gateway Virtualisasi Jaringan diperlukan untuk memungkinkan komunikasi antara kedua lingkungan. Infrastruktur yang memerlukan Gateway HNV mencakup Cloud Privat dan Hybrid Cloud. Pada dasarnya, gateway HNV diperlukan untuk perutean Lapisan 3 antara jaringan internal dan eksternal (termasuk NAT) atau antara situs dan/atau cloud yang berbeda (privat atau publik) yang menggunakan VPN IPSec atau terowongan GRE.
Gateway dapat datang dalam berbagai faktor bentuk fisik. Mereka dapat dibangun di Windows Server 2016, dimasukkan ke dalam sakelar Top of Rack (TOR) yang bertindak sebagai Gateway VXLAN, diakses melalui IP Virtual (VIP) yang diiklankan oleh load balancer, dimasukkan ke appliance jaringan lain yang ada, atau dapat menjadi appliance jaringan mandiri baru.
Untuk informasi selengkapnya tentang opsi Windows RAS Gateway, lihat RAS Gateway.
Enkapsulasi Paket
Setiap adaptor jaringan virtual di HNV dikaitkan dengan dua alamat IP:
Alamat Pelanggan (CA) Alamat IP yang ditetapkan oleh pelanggan, berdasarkan infrastruktur intranet mereka. Alamat ini memungkinkan pelanggan untuk bertukar lalu lintas jaringan dengan komputer virtual seolah-olah belum dipindahkan ke cloud publik atau privat. CA terlihat oleh komputer virtual dan dapat dijangkau oleh pelanggan.
Alamat Penyedia (PA) Alamat IP yang ditetapkan oleh penyedia hosting atau administrator pusat data berdasarkan infrastruktur jaringan fisik mereka. PA muncul dalam paket di jaringan yang ditukar dengan server yang menjalankan Hyper-V yang menghosting komputer virtual. PA terlihat di jaringan fisik, tetapi tidak ke komputer virtual.
CA mempertahankan topologi jaringan pelanggan, yang divirtualisasi dan dipisahkan dari topologi dan alamat jaringan fisik yang mendasar yang sebenarnya, seperti yang diimplementasikan oleh PAs. Diagram berikut menunjukkan hubungan konseptual antara CA komputer virtual dan PAs infrastruktur jaringan sebagai akibat dari virtualisasi jaringan.
Gambar 6: Diagram konseptual virtualisasi jaringan melalui infrastruktur fisik
Dalam diagram, komputer virtual pelanggan mengirim paket data di ruang CA, yang melintasi infrastruktur jaringan fisik melalui jaringan virtual mereka sendiri, atau "terowongan". Dalam contoh di atas, terowongan dapat dianggap sebagai "amplop" di sekitar paket data Contoso dan Fabrikam dengan label pengiriman hijau (alamat PA) untuk dikirimkan dari host sumber di sebelah kiri ke host tujuan di sebelah kanan. Kuncinya adalah bagaimana host menentukan "alamat pengiriman" (PA) yang sesuai dengan Contoso dan CA Fabrikam, bagaimana "amplop" diletakkan di sekitar paket, dan bagaimana host tujuan dapat membongkar paket dan mengirimkan ke komputer virtual tujuan Contoso dan Fabrikam dengan benar.
Analogi sederhana ini menyoroti aspek utama virtualisasi jaringan:
Setiap CA komputer virtual dipetakan ke PA host fisik. Mungkin ada beberapa CA yang terkait dengan PA yang sama.
Komputer virtual mengirim paket data di ruang CA, yang dimasukkan ke dalam "amplop" dengan sumber PA dan pasangan tujuan berdasarkan pemetaan.
Pemetaan CA-PA harus memungkinkan host membedakan paket untuk komputer virtual pelanggan yang berbeda.
Akibatnya, mekanisme untuk memvirtualisasi jaringan adalah dengan memvirtualisasi alamat jaringan yang digunakan oleh komputer virtual. Pengontrol jaringan bertanggung jawab atas pemetaan alamat, dan agen host mempertahankan database pemetaan menggunakan skema MS_VTEP. Bagian berikutnya menjelaskan mekanisme virtualisasi alamat yang sebenarnya.
Virtualisasi jaringan melalui virtualisasi alamat
HNV menerapkan jaringan penyewa overlay menggunakan Network Virtualization Generic Routing Encapsulation (NVGRE) atau Virtual eXtensible Local Area Network (VXLAN). VXLAN adalah default.
Jaringan Area Lokal yang Dapat Diperluas Virtual (VXLAN)
Protokol Virtual eXtensible Local Area Network (VXLAN) (RFC 7348) telah diadopsi secara luas di market place, dengan dukungan dari vendor seperti Cisco, Brocade, Arista, Dell, HP dan lainnya. Protokol VXLAN menggunakan UDP sebagai transportasi. Port tujuan UDP yang ditetapkan IANA untuk VXLAN adalah 4789 dan port sumber UDP harus menjadi hash informasi dari paket dalam yang akan digunakan untuk penyebaran ECMP. Setelah header UDP, header VXLAN ditambahkan ke paket yang menyertakan bidang 4 byte yang dipesan diikuti oleh bidang 3 byte untuk Pengidentifikasi Jaringan VXLAN (VNI) - VSID - diikuti oleh bidang 1 byte cadangan lainnya. Setelah header VXLAN, bingkai CA L2 asli (tanpa bingkai Ethernet CA FCS) ditambahkan.
Enkapsulasi Perutean Generik (NVGRE)
Mekanisme virtualisasi jaringan ini menggunakan Enkapsulasi Perutean Generik (NVGRE) sebagai bagian dari header terowongan. Di NVGRE, paket komputer virtual dienkapsulasi di dalam paket lain. Header paket baru ini memiliki alamat IP PA sumber dan tujuan yang sesuai selain ID Subnet Virtual, yang disimpan di bidang Kunci header GRE, seperti yang ditunjukkan pada Gambar 7.
Gambar 7: Virtualisasi jaringan - Enkaplasi NVGRE
ID Subnet Virtual memungkinkan host mengidentifikasi komputer virtual pelanggan untuk paket tertentu, meskipun PA dan CA pada paket dapat tumpang tindih. Ini memungkinkan semua komputer virtual pada host yang sama untuk berbagi satu PA, seperti yang ditunjukkan pada Gambar 7.
Berbagi PA berdampak besar pada skalabilitas jaringan. Jumlah alamat IP dan MAC yang perlu dipelajari oleh infrastruktur jaringan dapat dikurangi secara substansial. Misalnya, jika setiap host akhir memiliki rata-rata 30 komputer virtual, jumlah alamat IP dan MAC yang perlu dipelajari oleh infrastruktur jaringan dikurangi dengan faktor 30.ID Subnet Virtual yang disematkan dalam paket juga memungkinkan korelasi paket yang mudah dengan pelanggan aktual.
Skema berbagi PA untuk Windows Server 2012 R2 adalah satu PA per VSID per host. Untuk Windows Server 2016, skemanya adalah satu PA per anggota tim NIC.
Dengan Windows Server 2016 dan yang lebih baru, HNV sepenuhnya mendukung NVGRE dan VXLAN di luar kotak; tidak memerlukan peningkatan atau pembelian perangkat keras jaringan baru seperti NIC (adaptor jaringan), sakelar, atau router. Ini karena paket-paket ini pada kawat adalah paket IP reguler di ruang PA, yang kompatibel dengan infrastruktur jaringan saat ini. Namun, untuk mendapatkan performa terbaik, gunakan NIC yang didukung dengan driver terbaru yang mendukung offload tugas.
Contoh penyebaran multi-penyewa
Diagram berikut menunjukkan contoh penyebaran dua pelanggan yang terletak di pusat data cloud dengan hubungan CA-PA yang ditentukan oleh kebijakan jaringan.
Gambar 8: Contoh penyebaran multi-penyewa
Pertimbangkan contoh dalam Gambar 8. Sebelum pindah ke layanan IaaS bersama penyedia hosting:
Contoso Corp menjalankan SQL Server (bernama SQL) di alamat IP 10.1.1.11 dan server web (bernama Web) di alamat IP 10.1.1.12, yang menggunakan SQL Server-nya untuk transaksi database.
Fabrikam Corp menjalankan SQL Server, juga bernama SQL dan menetapkan alamat IP 10.1.1.11, dan server web, juga bernama Web dan juga di alamat IP 10.1.1.12, yang menggunakan SQL Server-nya untuk transaksi database.
Kami akan berasumsi bahwa penyedia layanan hosting sebelumnya telah membuat jaringan logis penyedia (PA) melalui Pengontrol Jaringan agar sesuai dengan topologi jaringan fisik mereka. Pengontrol Jaringan mengalokasikan dua alamat IP PA dari awalan IP subnet logis tempat host terhubung. Pengontrol jaringan juga menunjukkan tag VLAN yang sesuai untuk menerapkan alamat IP.
Dengan menggunakan Network Controller, Contoso Corp dan Fabrikam Corp kemudian membuat jaringan virtual dan subnet mereka yang didukung oleh jaringan logis penyedia (PA) yang ditentukan oleh penyedia layanan hosting. Contoso Corp dan Fabrikam Corp memindahkan SQL Server dan server web mereka masing-masing ke layanan IaaS bersama penyedia hosting yang sama di mana, kebetulan, mereka menjalankan komputer virtual SQL pada komputer virtual Hyper-V Host 1 dan Web (IIS7) pada Hyper-V Host 2. Semua komputer virtual mempertahankan alamat IP intranet asli mereka (CA mereka).
Kedua perusahaan diberi ID Subnet Virtual (VSID) berikut oleh Pengontrol Jaringan seperti yang ditunjukkan di bawah ini. Agen Host pada setiap host Hyper-V menerima alamat IP PA yang dialokasikan dari Pengontrol Jaringan dan membuat dua vNIC host PA di kompartemen jaringan non-default. Antarmuka jaringan ditetapkan ke masing-masing vNIC host ini di mana alamat IP PA ditetapkan seperti yang ditunjukkan di bawah ini:
Komputer virtual Contoso Corp VSID dan PAs : VSID adalah 5001, SQL PA adalah 192.168.1.10, Web PA adalah 192.168.2.20
Komputer virtual Fabrikam Corp VSID dan PAs: VSID adalah 6001, SQL PA adalah 192.168.1.10, Web PA adalah 192.168.2.20
Pengontrol Jaringan memangkas semua kebijakan jaringan (termasuk pemetaan CA-PA) ke Agen Host SDN yang akan mempertahankan kebijakan di penyimpanan persisten (dalam tabel database OVSDB).
Ketika komputer virtual Web Contoso Corp (10.1.1.12) pada Hyper-V Host 2 membuat koneksi TCP ke SQL Server pada 10.1.1.11, hal berikut ini terjadi:
VM ARP untuk alamat MAC tujuan 10.1.1.11
Ekstensi VFP di vSwitch mencegat paket ini dan mengirimkannya ke Agen Host SDN
Agen Host SDN melihat penyimpanan kebijakannya untuk alamat MAC untuk 10.1.1.11
Jika MAC ditemukan, Agen Host menyuntikkan respons ARP kembali ke VM
Jika MAC tidak ditemukan, tidak ada respons yang dikirim dan entri ARP di VM untuk 10.1.1.11 ditandai tidak dapat dijangkau.
VM sekarang membuat paket TCP dengan Ethernet CA dan header IP yang benar dan mengirimkannya ke vSwitch
Ekstensi penerusan VFP dalam vSwitch memproses paket ini melalui lapisan VFP (dijelaskan di bawah) yang ditetapkan ke port vSwitch sumber tempat paket diterima dan membuat entri alur baru dalam tabel alur terpadu VFP
Mesin VFP melakukan pencocokan aturan atau pencarian tabel alur untuk setiap lapisan (misalnya lapisan jaringan virtual) berdasarkan header IP dan Ethernet.
Aturan yang cocok dalam lapisan jaringan virtual mereferensikan ruang pemetaan CA-PA dan melakukan enkapsulasi.
Jenis enkapsulasi (baik VXLAN atau NVGRE) ditentukan dalam lapisan VNet bersama dengan VSID.
Dalam kasus enkapsulasi VXLAN, header UDP luar dibangun dengan VSID 5001 di header VXLAN. Header IP luar dibangun dengan alamat PA sumber dan tujuan yang ditetapkan ke Hyper-V Host 2 (192.168.2.20) dan Hyper-V Host 1 (192.168.1.10) masing-masing berdasarkan penyimpanan kebijakan Agen Host SDN.
Paket ini kemudian mengalir ke lapisan perutean PA di VFP.
Lapisan perutean PA di VFP akan mereferensikan kompartemen jaringan yang digunakan untuk lalu lintas PA-space dan ID VLAN dan menggunakan tumpukan TCP/IP host untuk meneruskan paket PA ke Hyper-V Host 1 dengan benar.
Setelah menerima paket yang dienkapsulasi, Hyper-V Host 1 menerima paket di kompartemen jaringan PA dan meneruskannya ke vSwitch.
VFP memproses paket melalui lapisan VFP-nya dan membuat entri alur baru dalam tabel alur terpadu VFP.
Mesin VFP cocok dengan aturan masuk di lapisan jaringan virtual dan menghapus header Ethernet, IP, dan VXLAN paket enkapsulasi luar.
Mesin VFP kemudian meneruskan paket ke port vSwitch tempat VM tujuan terhubung.
Proses serupa untuk lalu lintas antara Web Fabrikam Corp dan komputer virtual SQL menggunakan pengaturan kebijakan HNV untuk Fabrikam Corp. Akibatnya, dengan mesin virtual HNV, Fabrikam Corp dan Contoso Corp berinteraksi seolah-olah mereka berada di intranet asli mereka. Mereka tidak pernah dapat berinteraksi satu sama lain, meskipun mereka menggunakan alamat IP yang sama.
Alamat terpisah (CA dan CA), pengaturan kebijakan host Hyper-V, dan terjemahan alamat antara CA dan PA untuk lalu lintas komputer virtual masuk dan keluar mengisolasi set server ini menggunakan Kunci NVGRE atau VNID VLXAN. Selain itu, pemetaan virtualisasi dan transformasi memisahkan arsitektur jaringan virtual dari infrastruktur jaringan fisik. Meskipun Contoso SQL dan Web dan Fabrikam SQL dan Web berada di subnet IP CA mereka sendiri (10.1.1/24), penyebaran fisik mereka terjadi pada dua host di subnet PA yang berbeda, masing-masing 192.168.1/24 dan 192.168.2/24. Implikasinya adalah bahwa provisi komputer virtual lintas subnet dan migrasi langsung menjadi mungkin dengan HNV.
Arsitektur Virtualisasi Jaringan Hyper-V
Di Windows Server 2016, HNVv2 diimplementasikan menggunakan Azure Virtual Filtering Platform (VFP) yang merupakan ekstensi pemfilteran NDIS dalam Sakelar Hyper-V. Konsep utama VFP adalah mesin alur Match-Action dengan API internal yang diekspos ke Agen Host SDN untuk kebijakan jaringan pemrograman. Agen Host SDN sendiri menerima kebijakan jaringan dari Pengontrol Jaringan melalui saluran komunikasi OVSDB dan WCF SouthBound. Tidak hanya kebijakan jaringan virtual (misalnya pemetaan CA-PA) yang diprogram menggunakan VFP tetapi kebijakan tambahan seperti ACL, QoS, dan sebagainya.
Hierarki objek untuk ekstensi penerusan vSwitch dan VFP adalah sebagai berikut:
vSwitch
Manajemen NIC Eksternal
Offload Perangkat Keras NIC
Aturan Penerusan Global
Port
Lapisan penerusan keluar untuk penyematan rambut
Daftar spasi untuk pemetaan dan kumpulan NAT
Tabel Alur Terpadu
Lapisan VFP
Tabel alur
Group
Rule
- Aturan dapat mereferensikan spasi
Di VFP, lapisan dibuat per jenis kebijakan (misalnya, Virtual Network) dan merupakan sekumpulan tabel aturan/alur umum. Ini tidak memiliki fungsionalitas intrinsik sampai aturan tertentu ditetapkan ke lapisan tersebut untuk menerapkan fungsionalitas tersebut. Setiap lapisan diberi prioritas dan lapisan ditetapkan ke port dengan prioritas naik. Aturan diatur ke dalam grup terutama berdasarkan arahan dan keluarga alamat IP. Grup juga diberi prioritas dan paling banyak, satu aturan dari grup dapat cocok dengan alur tertentu.
Logika penerusan untuk vSwitch dengan ekstensi VFP adalah sebagai berikut:
Pemrosesan ingress (masuk dari sudut pandang paket yang masuk ke port)
Forwarding
Pemrosesan keluar (keluar dari sudut pandang paket yang meninggalkan port)
VFP mendukung penerusan MAC dalam untuk jenis enkapsulasi NVGRE dan VXLAN serta penerusan berbasis MAC VLAN luar.
Ekstensi VFP memiliki jalur lambat dan jalur cepat untuk traversal paket. Paket pertama dalam alur harus melintasi semua grup aturan di setiap lapisan dan melakukan pencarian aturan yang merupakan operasi mahal. Namun, setelah alur terdaftar dalam tabel alur terpadu dengan daftar tindakan (berdasarkan aturan yang cocok) semua paket berikutnya akan diproses berdasarkan entri tabel alur terpadu.
Kebijakan HNV diprogram oleh agen host. Setiap adaptor jaringan komputer virtual dikonfigurasi dengan alamat IPv4. Ini adalah CA yang akan digunakan oleh komputer virtual untuk berkomunikasi satu sama lain, dan mereka dibawa dalam paket IP dari komputer virtual. HNV merangkum bingkai CA dalam bingkai PA berdasarkan kebijakan virtualisasi jaringan yang disimpan dalam database agen host.
Gambar 9: Arsitektur HNV
Summary
Pusat data berbasis cloud dapat memberikan banyak manfaat seperti peningkatan skalabilitas dan pemanfaatan sumber daya yang lebih baik. Untuk mewujudkan manfaat potensial ini membutuhkan teknologi yang pada dasarnya mengatasi masalah skalabilitas multi-penyewa di lingkungan dinamis. HNV dirancang untuk mengatasi masalah ini dan juga meningkatkan efisiensi operasional pusat data dengan memisahkan topologi jaringan virtual untuk topologi jaringan fisik. Dibangun berdasarkan standar yang ada, HNV berjalan di pusat data saat ini dan beroperasi dengan infrastruktur VXLAN Anda yang ada. Pelanggan dengan HNV sekarang dapat mengonsolidasikan pusat data mereka ke cloud privat atau memperluas pusat data mereka dengan lancar ke lingkungan penyedia server hosting dengan cloud hibrid.
Lihat juga
Untuk mempelajari selengkapnya tentang HNVv2, lihat tautan berikut:
| Jenis konten | References |
|---|---|
| Sumber Daya Komunitas |
-
Blog Arsitektur Cloud Privat - Ajukan pertanyaan: cloudnetfb@microsoft.com |
| RFC |
-
Draf RFC NVGRE - VXLAN - RFC 7348 |
| Teknologi Terkait | - Untuk detail teknis Virtualisasi Jaringan Hyper-V di Windows Server 2012 R2 , lihat detail teknis Virtualisasi Jaringan Hyper-V - Pengontrol Jaringan |