Klonowanie maszyn wirtualnych poprzez izolowanie od sieci
Opublikowano: czerwiec 2016
Wirtualne laboratorium zarządzanie jest obszarem pojawiających się w cyklu tworzenia oprogramowania. Funkcja Lab Management programu Visual Studio jest to produkt w programie Visual Studio, które powoduje zarządzania wirtualne laboratorium deweloperów i testerów. Przy użyciu Lab Management programu Visual Studio, zespoły deweloperów mogą wykorzystywać technologii wirtualizacji w ich rozwoju i testowanie laboratoria, aby utworzyć złożonych środowisk wielowarstwowych z maszyn wirtualnych. Następnie można wdrożyć aplikację kompilacji i Uruchamianie testów w tych środowisk.
Jeden z motywacji dla przy użyciu wirtualizacji w tworzenia i testowania laboratoria jest utworzenie kopii identycznych lub klonów, maszyn wirtualnych wdrożonych przez skopiowanie tylko kilka plików. Klonowanie to przydatne w wielu scenariuszach. Na przykład dewelopera, kto chce kopię tester środowisko do odtworzenia problemu można utworzyć klon tego środowiska. W zespole testu każdy poszczególnych tester można sklonować kopię środowisko i następnie koordynować swoje działania testowania z pozostałych członków zespołu. Klonowanie zapewnia oszczędność czasu dla deweloperów i testerów, ponieważ nie mają regularnie zainstalować w każdego środowiska, które tworzą systemy operacyjne i innego oprogramowania.
Wymagania
- Enterprise programu Visual Studio Visual Studio Test Professional
Mimo że jest łatwy do sklonowania środowisku wirtualnym, ma skutków klonowanie, które należy wziąć pod uwagę. Maszyn w środowisku sklonowanym mieć tej samej nazwy komputera jako maszyn w środowisku oryginalnego. W niektórych przypadkach można nawet mają one taką samą adresów IP i adresów MAC. Może to spowodować albo w jednym z klony utraty połączenia sieciowego, lub w sieci przeznaczoną do jednego klonowanie docieranie do drugiego zamiast tego. Po pewnym czasie niepożądanych konsekwencji można wdrożyć aplikację w szczególności klonowanie, a następnie przeprowadzania testów na inny klonowanie.
Uwaga
Izolacja sieci można używać tylko w środowiskach SCVMM.Ta funkcja nie jest dostępna w środowiskach standardowych.
Funkcja Lab Management programu Visual Studio rozwiązuje te problemy i ułatwia bezpieczne klonowanie środowisk wirtualnych za pomocą mechanizmu sieci izolacji. W tym temacie opisano, jak izolacja sieci działa i porównuje klonowanie z i bez izolacji sieci. Pierwszy przykładzie opisano różne rodzaje konflikty, które mogą występować między klony w przypadku braku izolacja sieci. Kolejnych przykładów należy sprawdzić, czy wiele rozwiązań w celu uniknięcia konfliktów przy użyciu Lab Management programu Visual Studio.
Konfliktach sieciowych
Rysunek 1 przedstawia typowe środowiska wirtualnego, którą można utworzyć za pomocą funkcji Lab Management. To środowisko o nazwie oryginalne środowisko ma dwie maszyny wirtualne: serwer sieci web i serwera bazy danych. Te maszyn odpowiednio pełnią rolę serwerów sieci web i bazy danych w aplikacji sieci web trzywarstwowa. W tym przykładzie przyjęto założenie, że członek zespołu programistycznego utworzone to środowisko i wdrożenie nowszej kompilacji z aplikacją sieci web do niego. Przyjęto założenie, że migawka o nazwie nowszej kompilacji jest zajęty w tym środowisku po wdrożeniu kompilacji. Migawki jest w chwili stan środowiska. Można przywrócić i wznowić wykonywanie w tym stanie zapisanym w dowolnym momencie. Wartość zawiera nazwy komputera, adresy IP i adresy MAC dwóch maszyn wirtualnych w środowisku oryginalnego.
Oryginalne środowisko
Rysunek 2 przedstawia środowisku sklonowanym oprócz oryginalny. Po klonowanie, rozpoczęcie obu środowiskach następujące typy konfliktach sieciowych mogą być:
Występuje konflikt nazwy komputera
Konflikt adresów IP
Konflikt adresów MAC
Oryginalny i sklonowanym środowisk w typowych sieci
Wynik każdego z tych konfliktów zależy od kilku czynników: system operacyjny maszyny wirtualne, infrastrukturę sieci w laboratorium itd. W rysunek 2 Firma Microsoft przyjmuje, że czy statycznego adresu IP i statycznego adresu MAC zostały skonfigurowane w każdej maszyny wirtualnej oryginalnego środowiska. W związku z tym gdy środowisko zostało sklonować, sklonowanym maszyny wirtualne zostały tej samej adresów IP i MAC.
Występuje konflikt nazwy komputera
Nazwa komputera jest przyjazna nazwa przypisana przez użytkownika w celu identyfikacji komputera w sieci. Dwa protokoły są zwykle używane do rozpoznania nazwy komputera na adres IP: NetBIOS i serwera nazw domen (DNS). Gdy dwa urządzenia, które mają taką samą nazwę komputera są uruchamiane w tym samym segmencie sieci, NetBIOS wykrywa konflikt nazw i ostrzega użytkownika. Zazwyczaj NetBIOS można wykryć konflikty tylko wtedy, gdy komputery są w tym samym segmencie sieci. Maszyn nie są w tym samym segmencie sieci lub ostrzeżenia są ignorowane, następny poziom konflikty występuje w systemie DNS. Usługa DNS jest centralne repozytorium dla komputerów można zarejestrować swoje nazwy. Gdy dwa urządzenia, które mają taką samą nazwę komputera próby zarejestrowania w systemie DNS, drugiego komputera może zastąpić wpisu utworzone przez pierwszego komputera. W takim przypadku rozpoczyna się pierwszego komputer nie jest dostępny za pośrednictwem rozpoznawania nazw.
Istnieją prostych sposobów uniknięcia lub rozwiązania konfliktów nazwy komputera. Zamiast tworzenia kopii identycznych w środowiskach, można dostosować każdego klonowanie zostaną utworzone za pomocą mechanizmu o nazwie sysprep. Sysprep jest częścią systemu operacyjnego Windows. W przypadku sklonować środowiska przy użyciu narzędzia sysprep, każda maszyna wirtualna środowiska pobiera unikatową nazwę komputera, adres IP i adres MAC, które są inne niż w środowisku oryginalnego. Jednak klony nie są identyczne więcej.
Wpływ dostępności w każdej klonowanie unikatową nazwę komputera, czy odbywa się za pośrednictwem sysprep lub ręcznej interwencji użytkownika, aby uniknąć konfliktów, zależy od oprogramowania, które jest zainstalowane na maszynie wirtualnej. Aby zrozumieć to, Przyjrzyj się przykładowi. Jeśli aplikacja została wdrożona na środowisko, web.config czy plik został utworzony na serwerze sieci web. W tym pliku, firma Microsoft zostały skonfigurowane nazwy komputera db-server jako część ciągu połączenia. Wstawka tego pliku jest następujący:
<?xml version="1.0"?>
<configuration>
<appSettings>
<add key="ConnectionString"
value="Persist Security Info=True;User ID=dbuser;
Password=password;Initial Catalog=Store;Data Source=db-server"/>
</appSettings>
</configuration>
Jeśli firma Microsoft zmienić nazwę komputera serwera bazy danych w środowisku sklonowanym, również zostały ręcznie zmienić web.config pliku w następujący sposób, aby zawierał nową nazwę (db-server2 jest nazwą komputera do maszyny wirtualnej w środowisku sklonowanym).
<?xml version="1.0"?>
<configuration>
<appSettings>
<add key="ConnectionString"
value="Persist Security Info=True;User ID=dbuser;
Password=password;Initial Catalog=Store;Data Source=db-server2"/>
</appSettings>
</configuration>
Ponadto programu SQL Server wymaga dodatkowych czynności po zmianie nazwy komputera. Fragment skrypty SQL, w tym celu jest następujący:
sp_dropserver db-server
sp_addserver db-server2, local
GO
W poprzednim przykładzie pokazano, jak aplikacja ma zostać skonfigurowane ponownie w przypadku zmiany nazwy komputera. Understandably ta procedura jest zależna od aplikacji. Jeśli aplikacja zapisuje nazwy komputera do wpisów w bazie danych, należy zmienić w podobny sposób tych wpisów. W niektórych przypadkach może być ponowne zainstalowanie aplikacji, po zmianie nazwy komputera. Wykonywanie takich reconfigurations i reinstallations jest wyraźnie się Chcieliśmy w celu uniknięcia przede wszystkim za pomocą klonowania. Wymaga to bardziej niezawodne rozwiązanie niezależny od aplikacji, które bezpiecznie umożliwić wielu klony współistnieć bez konfliktów nazwy komputera.
Konflikt adresów IP
Adres Internet Protocol (IP) służy do maszyn do komunikowania się ze sobą w sieci TCP. Adresy IP są przypisywane statycznie lub dynamicznie przez serwer DHCP w sieci. Każdy interfejs sieci połączonych na maszynie ma adres IP. Jeśli maszyny wirtualnej, która jest skonfigurowana przy użyciu statycznego adresu IP jest sklonować, a następnie umieścić w tej samej sieci jako oryginalny maszyny wirtualnej, występuje konflikt adresu IP, oprócz konflikt nazw komputerów. Można ręcznie usunąć konflikt, zmieniając adres IP jednego z klony. Jeszcze raz wpływu zmiany adresu IP jest zależna od jak statyczny adres IP jest używany przez aplikacje, które są zainstalowane na maszynie wirtualnej.
Po ponownym uruchomieniu sklonować maszyny wirtualnej, która jest skonfigurowana z dynamicznego adresu IP, występuje konflikt sieci krótkim czasie. Po pierwszym maszyny wirtualnej jest sklonować, drugi maszynę wirtualną do nawiązania połączenia z siecią wykrywa konflikt i poprawia się przez odnawianie adresu IP. Podobne krótkim konflikt istnieje za każdym razem, gdy sklonowanym środowiska zostaną przywrócone migawki, który został przełączony w środowisku oryginalnego. Te okresy konfliktu zwykle nie są wystarczająco długi, aby mieć wpływ na aplikację.
Konflikt adresów MAC
Adres kontroli dostępu do nośnika (MAC) jest przypisany do każdego interfejsu sieciowego na maszynie adres. W przypadku komputerów fizycznych jest on przypisany do każdego interfejsu sieciowego przez producenta karty. W przypadku maszyn wirtualnych, istnieją dwie metody do przypisywania adresów MAC: statyczne lub dynamiczne komputerów Macintosh. Można określić określony adres MAC dla karty sieciowej maszyny wirtualnej. Ta metoda jest wywoływana statycznych komputerów Macintosh. Lub można pozwolić hypervisor dynamicznie przypisać adres MAC. Ta metoda jest wywoływana dynamiczne komputerów Macintosh. Dynamiczne adresy MAC są przypisywane przez funkcji Hyper-V z puli adresów MAC przy każdym uruchomieniu maszyny wirtualnej. Każdy host ma schemat do generowania adresów MAC tak, aby nie wchodzą w konflikt z maszyn wirtualnych na inny host.
Użycie statycznych adresów MAC dla maszyn wirtualnych w środowisku oryginalnego maszyn wirtualnych w środowisku sklonowanym ma tej samej adresów MAC. Powoduje to szybkie udzielanie MAC powoduje konflikt. Zduplikowany adres MAC jest utrudnione wykrywania, ponieważ nie są one zawsze zgłoszone przez maszyny. Nawet wtedy, gdy są one zgłoszone, takich wiadomości są rejestrowane w Podglądzie zdarzeń systemu Windows. Użytkownikowi końcowemu istnieją dwie możliwe skutków zduplikowany adres MAC. W wyniku jest utrata łączności sieciowej na jeden lub oba klony. Inny konsekwencji jest, że pakietów sieciowych skierowane do jednego komputera może nawiązać połączenie z innego komputera zamiast tego. Jeśli oryginalnego komputera i jego klonowanie tej samej adresów MAC, adresy IP są również takie same. Nawet jeśli protokół DHCP służy do uzyskiwania dynamiczne adresy IP, serwera DHCP przypisze je tej samej adresów IP zgodnie z ich adresy MAC są takie same.
W pewnym stopniu Aby uniknąć konfliktów MAC przy użyciu dynamicznych adresów MAC. Jednak sklonowanym środowiska po przywróceniu do migawki, który został przełączony w środowisku oryginalnego, cały stan tych maszyn wirtualnych jest uznawany ponownie w tym adresy MAC. Powoduje to jeszcze raz w konflikcie MAC i takie same problemy opisane wcześniej istnieje ponownego uruchomienia sklonowanym maszyny wirtualnej. Ponowne uruchamianie środowiska sklonowanym powoduje hypervisor zwolnić i odnowić adresy MAC z wartościami z własnej zakresu.
Wykrywanie i rozpoznawanie form konflikty, które mamy opisane i ręcznie naprawienie systemu operacyjnego i/lub aplikacji, aby kontynuować pracę po rozwiązania, jest istotny, czasochłonne i podatne na błąd często użytkownicy wirtualne laboratorium zarządzania. W wielu przypadkach któregokolwiek z tych parametrów zmiana na środowiska wirtualnego wystarczająco spowodować utratę reprodukcję usterkę lub podobny problem ze środowiskiem produkcyjnym. Zasada instalowania aplikacji jeden raz w środowisku wirtualnym i obaw klonowanie tego środowisko do tworzenia wielu kopii identycznych wymaga bardziej wyszukane metody niż oczekiwano zwykłych użytkowników czy.
Izolacja sieci
Do tej pory zostały określone dwa wymagania. Pierwszy wymagane jest, że maszyn wirtualnych w środowisku sklonowanym musi mieć tej samej nazwy komputera, adresy IP i adresy MAC jak oryginalne środowisko. Jednak w tym samym czasie klony te muszą być niezależnie adresach z poza środowiskiem. Jest to konieczne, na przykład innej osobie na połączenie do wszystkich klony z komputerach stacjonarnych do wdrożone na serwerze klon określonej aplikacji lub dla testów do uruchomienia na określone klonowanie. Prowadzi to do drugiego wymagań, czyli maszyn wirtualnych w środowisku sklonowanym również musi mieć nazw unikatowych komputerów, adresy IP i adresy MAC, które są inne niż w środowisku oryginalnego. Logiczny sposobem osiągnięcia obu tych wymagań jest dla każdego maszyna wirtualna ma dwa interfejsy: interfejs prywatny, dla którego nazwa komputera, adres IP i adres MAC są takie same, w każdym klon; i publiczny interfejs, dla którego wartości te są unikatowe w każdym klonowanie.
Aby uniknąć konfliktów sieci dla interfejsów prywatnych, muszą mieć dostęp do sieci prywatnej w każdej klonowanie. Prywatne sieci jest sieci wirtualnej, która jest ograniczona do tylko maszyn wirtualnych w środowisku. Ponieważ ta sieć nie jest dostępna poza granice środowisku, nie było możliwości konfliktów, nawet jeśli tej samej nazwy komputera, adresy IP i adresy MAC są używane w innym klonowanie. Ułatwień dostępu z zewnątrz środowiska wszystkich interfejsów publicznych musi być połączony z siecią publiczną wspólne. Sieci publicznej lub sieci laboratorium jest sieci, na którym maszyn wirtualnych środowisk pozwala na interakcję z klientami i innych komputerów w laboratorium.
Rysunek 3 pokazuje jak prywatne i publiczne interfejsy sieciowe konflikty.
Izolacja sieci w Lab Management programu Visual Studio
Lab Management programu Visual Studio implementuje izolacja sieci w środowiskach SCVMM wprowadzając dwa interfejsy sieciowe w każdej maszynie wirtualnej. Jeden z tych interfejsów sieciowych jest prywatny interfejs podłączony do sieci prywatnej, a drugi jest publiczny interfejs podłączony do sieci publicznej.
Oprogramowanie Lab Management, wraz z programem agenta zainstalowana na każdej maszynie wirtualnej zapewnia mogą współistnieć oryginalne środowisko i środowisko sklonowanym bez konfliktów.
Prywatny interfejsów w sieci prywatnej
Następujący opis przedstawiono podsumowanie jak nazwy komputerów, adresy IP i adresy MAC są przypisane prywatnych interfejsów środowiska.
Nazwy komputerów: nazw komputerów w sieci prywatnej są rozpoznawane za pomocą NetBIOS i nie wymaga żadnych dodatkowych obsługi przez oprogramowanie Lab Management. Aplikacje, które są skonfigurowane do pracy z nazw NetBIOS komputerów będzie działać zgodnie z oczekiwaniami w każdym klonowanie. W naszym przykładzie komputera serwera sieci web odwołuje się do komputera serwera bazy danych przy użyciu jego nazwy. Te nazwy są takie same, w środowiskach oryginalny i sklonowanym. Plik web.config nie ma, dlatego można zmienić w środowisku sklonowanym.
Ponieważ nie istnieje żaden serwer DNS w sieci prywatnej, musimy adresu sytuacji, gdy w pełni kwalifikowane nazwy domeny (FQDN) są używane przez maszyny wirtualne w celu odwoływania się do siebie zamiast nazwy NetBIOS. Na przykład jeśli plik web.config określonego serwera bazy danych jako server.lab.contoso.com bazy danych, następnie rozdzielczość o takiej nazwie z adresem IP nie będzie możliwe bez DNS w sieci prywatnej. Aby rozwiązać ten problem, agent laboratorium uruchamiania na maszynie wirtualnej dodaje wpisów, które odpowiadają z maszynami wirtualnymi o tym samym środowisku w pliku hostów. Pliku hosts to inny sposób wskazującą system operacyjny, że nazwa musi być rozpoznana z określonego adresu IP. W naszym przykładzie pliku hosts na serwerze sieci web będzie miał następujący wpis:
192.168.23.2 db-server.lab.contoso.com
Adresów IP: statycznego adresu IP z 192.168.23.1 - 255 zakresu jest przypisane do interfejsu sieci prywatnej każdej maszyny wirtualnej. Na przykład prywatny interfejs serwera sieci web pobiera 192.168.23.1 i 192.168.23.2 pobiera interfejs prywatny serwera bazy danych. Lab Management powoduje, że serwer sieci web i serwerów bazy danych pobrać tej samej statycznych adresów IP w każdym klonowanie. W związku z tym nawet jeśli plik web.config na serwerze sieci web jest skonfigurowany adres IP serwera bazy danych, nie ma zostać skonfigurowane ponownie w środowisku sklonowanym. W dowolnym środowisku skonfigurowanego w usłudze sieciowej izolacji prywatnych interfejsów uzyskać adresu IP z tego samego zakresu, rozpoczynając od 192.168.23.1. Maksymalna liczba potrzebnych do tego zakresu adresów jest taka sama jak maksymalną liczbę maszyn wirtualnych w środowisku. Ponieważ to zbiór adresów IP jest nie obsługuje routingu z zewnątrz sieci prywatnej, jest bezpieczne korzystać z wielu wstępnie zdefiniowanych, tak długo, jak ten sam zakresu nie jest używany w sieci publicznej.
Adresów MAC: losowe statycznego adresu MAC jest przypisany do interfejsu sieci prywatnej każdej maszyny wirtualnej w środowisku izolowanym sieci. W naszym przykładzie interfejs prywatny w oryginalnego serwera sieci web znajduje się adres MAC, takich jak 00-15-5D-07-57-01. Zarządzanie laboratorium zapewnia, że ten serwer sieci web pobiera ten sam adres MAC w środowisku sklonowanym także. Ponieważ ten zestaw adresów MAC nie są wzajemnie obsługują routing z zewnątrz sieci prywatnej, jest bezpieczne w użyciu losowy adres, dopóki nie znajdują się w zakresie funkcja hypervisor używa na tym hoście.
Interfejsy publiczne w sieci publicznej
Następujący opis przedstawiono podsumowanie jak nazwy komputerów, adresy IP i adresy MAC są przypisane do interfejsów publicznych środowiska.
Nazwy komputerów: nie chcemy NetBIOS do rozpoznania nazwy komputerów w sieci publicznej, ponieważ spowoduje to spowodowałoby konflikt nazw komputerów. Aby tego uniknąć, Lab Management spowoduje wyłączenie emisje NetBIOS na interfejsie publicznym każdej maszyny wirtualnej. Podobnie jak w NetBIOS, firma Microsoft nie powinien maszyny wirtualne, aby zarejestrować nazwy NetBIOS komputera w systemie DNS. Zarządzanie laboratorium wyłącza rejestrację DNS także dla każdego interfejsu publicznego. W przypadku braku NetBIOS i domyślnego rejestracji DNS nadal chcemy, aby maszyny wirtualne, aby mieć unikatowych nazw, które mogą być używane w sieci publicznej. Zarządzanie laboratorium generuje unikatowy aliasu w imieniu każdej maszyny wirtualnej i który rejestruje jako rekord "" w systemie DNS. W naszym przykładzie serwera sieci web w środowisku oryginalny może być zarejestrowany przy użyciu nazwy unikatowego aliasu, podobny VSLM-195ea870-34d87df83883add23-47ab86ff.lab.contoso.com. Tym samym serwerze sieci web w środowisku sklonowanym jest zarejestrowany przy użyciu inną nazwę, która może wyglądać VSLM-87ead667a-8787adde877919aaa-2001874d0.lab.contoso.com.
Adresów IP: interfejsu sieci publicznej na każdej maszynie wirtualnej jest skonfigurowany do uzyskiwania dynamicznego adresu IP z serwera DHCP. Gwarantuje to, że maszyn wirtualnych w środowiskach oryginalny i sklonowanym unikatowych adresów IP. Na przykład serwer sieci web w środowisku oryginalnego można uzyskać informacji o adresie IP 172.52.20.140, a tym samym serwerze sieci web w środowisku sklonowanym można uzyskać informacji o adresie IP 172.52.20.205.
Adresów MAC: w celu uniknięcia konfliktów MAC, może zostać skonfigurowany interfejs sieci publicznej na każdej maszynie wirtualnej może uzyskać dynamiczne adresy MAC z funkcji hypervisor. To spowoduje upewnij się, że z komputerem z serwerem sieci web w naszym przykładzie pobiera inny adres MAC w środowiskach oryginalny i sklonowanym. Jednak zgodnie z opisem wcześniej, migawką w środowisku oryginalnego po przywróceniu sklonowanym środowiska, adres MAC i IP sklonowanym maszyny wirtualnej założyć tej samej wartości jak oryginalny. Na przykład środowisko sklonowanym po przywróceniu najnowsza wersja tworzenia migawki, adres IP serwera sieci web staje się 10.86.51.61 (patrz rysunek 3), który ma taką samą wartość, tak jak oryginalne środowisko. W tym celu z adres MAC, jak również. Konflikt adresów IP jest tymczasowe do czasu odnowienia przez protokół DHCP, konflikt adresów MAC istnieje, aż do ponownego uruchomienia maszyny wirtualne. Z powodu ograniczeń za pomocą przypisywany dynamicznie adres MAC z hypervisor interfejsów publicznych nie jest możliwe rozwiązania.
Aby rozwiązać ten problem, zarządzanie laboratorium korzysta z puli adresów MAC. Unikatowy adres MAC z tej puli są przypisane do interfejsów publicznych maszyn wirtualnych. Zawsze, gdy środowisko sklonowanym zostaną przywrócone migawki, zarządzanie laboratorium zmienia adresów MAC automatycznie w celu uniknięcia konfliktów. Aby dowiedzieć się, jak to działa, należy wziąć pod uwagę czy serwera sieci web w środowisku oryginalnego adresu MAC jest 1D-D8-B7-1C-00-05 i że adresu MAC serwera sieci web w środowisku sklonowanym jest 1D-D8-B7-1C-00-07. Przywróceniu sklonowanym środowisko do migawką w środowisku oryginalnego adresu MAC serwera sieci web staje się 1D-D8-B7-1C-00-05 za chwilę. Zarządzanie laboratorium zmienia takim do 1D-D8-B7-1C-00-07 w celu uniknięcia konfliktów sieci.
Typowe interakcji z izolacja sieci
Następnie omówimy będzie, co się stanie, gdy dwie maszyn wirtualnych w środowisku komunikują się ze sobą:
Hosty pliku do rozpoznania nazwy komputera lub serwer sieci Web używa NetBIOS "db-server" adres IP db-serverprzez interfejs prywatny (192.168.23.2).
Serwer sieci Web komunikuje się z db-server pod tym adresem IP.
Jeśli klient poza środowiskiem do komunikacji z serwerem sieci web w środowisku sklonowanym, wykonywana jest następująca procedura:
Klient pyta oprogramowania Lab Management uzyskać nazwę serwera sieci web w środowisku sklonowanym unikatowego aliasu.
Oprogramowanie do zarządzania laboratorium odpowiada unikatowego aliasu.
Serwer DNS rozpoznaje nazwę aliasu unikatowy adres IP serwera sieci web — publiczny interfejs (10.86.51.63).
Klient komunikuje się z serwerem sieci web pod tym adresem IP.
Alternatywnych metod do izolacji sieci
Za pomocą interfejsów dwóch nie jest jedynym podejście do izolacji sieci. Bardzo podobne podejście jest używanie dwukierunkowego translatora adresów sieciowych. Translator adresów Sieciowych jest wspólne podejście do tworzenia sieci prywatnej urządzeń, które muszą komunikować się z urządzeniami w sieci publicznej. Mimo że komunikacji w typowych NAT zawsze muszą pochodzić z sieci prywatnej, dwukierunkowego Translator adresów Sieciowych (lub dwukierunkowy NAT) powoduje to krok do przodu i umożliwia komunikację zainicjowane przez komputery w sieci prywatnej lub przez osoby w sieci publicznej.
Aby można było wykorzystać izolacja sieci za pomocą tej metody, serwer NAT dwukierunkowy musi zostać wprowadzone w środowisku. Jest to zazwyczaj wykonywane przez dodanie środowiska, które właśnie spełnia roli serwera NAT dwukierunkowego specjalnych maszyny wirtualnej. Po utworzeniu izolowanym środowisku sieci prywatne i publiczne adresy IP maszyny wirtualne są przypisywane w taki sam sposób, jak w ujęciu dwa interfejsy. Jednak zamiast przypisywania publiczny adres IP do karty sieciowej na maszynie wirtualnej, mapowania są przechowywane w tabeli NAT na serwerze NAT. dwukierunkowy.
Kroki dla dwóch maszyn wirtualnych w środowisku na komunikację ze sobą przy użyciu podejście NAT dwukierunkowy są identyczne jak w dwóch podejście interfejsów:
Hosty pliku do rozpoznania nazwy komputera lub serwer sieci Web używa NetBIOS db-server adres IP db-serverprzez interfejs prywatny (192.168.23.2).
Serwer sieci Web komunikuje się z db-server pod tym adresem IP.
Kroki, gdy klient poza środowiskiem ma do komunikacji z serwerem sieci web w środowisku sklonowanym różnią się nieznacznie i są następujące:
Dzięki wdrożeniu podejście NAT, oprogramowanie klienckie kwerend Lab Management, można uzyskać unikatowy aliasu serwera sieci web w środowisku sklonowanym. (Lab Management programu visual Studio nie implementuje podejście NAT).
Oprogramowanie do zarządzania laboratorium odpowiada unikatowego aliasu.
Serwer DNS rozpoznaje unikatowego aliasu publiczny adres IP serwera sieci web (10.86.51.63).
Ten adres IP faktycznie mapuje interfejs na serwerze NAT dwukierunkowy. Klient komunikuje się z serwera NAT dwukierunkowy podczas zakładając, że komunikuje się z serwerem sieci web.
Serwer NAT pobiera mapowania przechowywane w tabelach jego konfiguracji i tłumaczy publiczny adres IP (10.86.51.63) prywatny adres IP (192.168.23.1).
Serwer NAT przesyła wiadomość od klienta w sieci prywatnej do 192.168.23.1, który jest adres IP serwera sieci web.
Zaletą tej metody w ujęciu dwa interfejsy jest maszyn wirtualnych w środowisku nie można zmodyfikować w jakikolwiek sposób. Nie istnieje potrzeba wprowadzenie interfejsu sieciowego dodatkowe w każdej maszynie wirtualnej. Niektóre aplikacje do dzielenia mogą działać wprowadzające interfejs sieci dodatkowe do maszyny wirtualnej.
Inną zaletą tej metody jest, że cały logikę osiągnięcia izolacja sieci jest umieszczana wewnątrz dodatkowe maszyny wirtualnej. Nie, nie musisz mieć agenta w każdym maszyn wirtualnych. Punkt kontrolny dodatkowe routingu wszystkie pakiety przez maszynę wirtualną dodatkowe zawiera także do obsługi bardziej zaawansowanych funkcji izolacji sieciowych, takich jak:
Tylko limit ogrodzenia: nie zezwala na pakietów sieciowych zainicjowane przez klientów poza środowiskiem nawiązać połączenie maszyn wirtualnych w środowisku.
Limit tylko z konkretnym porcie wyjątkami: nie zezwala na pakietów sieciowych zainicjowane przez klientów poza środowiskiem do osiągnięcia maszyn wirtualnych w środowisku, chyba że są one przeznaczone do określonego portu.
Te funkcje można łatwo zaimplementować w ujęciu NAT dwukierunkowy przez wprowadzenie zapory na serwerze NAT.. Zwrot podstawowe podejście NAT dwukierunkowy jest, że niektóre aplikacje nie działają przez translatora adresów sieciowych. Na przykład DCOM i .NET komunikacji zdalnej protokołów, które są powszechnie używane w aplikacji systemu Windows, nie będą działać klienta i serwera są oddzielone serwera NAT. Jest z tego powodu, że Lab Management programu Visual Studio używa podejście liczbą interfejsów. Inną wadą NAT 2 sposób podejścia jest wymaga dodatkowych maszyny wirtualnej w każdego środowiska, które wprowadza dodatkowe obciążenie podczas tworzenia lub innych operacji w środowiskach wirtualnych.
Inne konflikty
Mają do tej pory, opisano jak nazwa komputera, adres IP i konfliktów adresów MAC może zostać zlikwidowane poprzez izolacja sieci. Gdy środowiska są sklonować, występują konflikty, które może być fakt, jak również inne formy. Zawsze, gdy jest zależności składnik zewnętrzny, który jest poza środowiskiem wirtualnym, na istnieje możliwość konfliktu podczas jest sklonować tego środowiska. W tej sekcji szukamy w dwóch typowych przypadkach, gdy takich konfliktów może być fakt.
Powoduje konflikt z usługi Active Directory
Jest typowe dla komputerów z systemem Windows i aplikacji polega na usługi Active Directory (AD) dla usług katalogowych lub dla uwierzytelniania i autoryzacji użytkowników. Centralne zarządzanie komputerami systemu Windows za pomocą zasad grupy usług AD jest bardzo typową metodą. W naszym przykładzie załóżmy, że serwera sieci web a serwerem bazy danych w środowisku oryginalny jest przyłączony do domeny zarządzane przez usługi AD. AD znajduje się poza środowiskiem. Jeśli firma Microsoft klon to środowisko, teraz mamy dwie identyczne klony serwera sieci web. jednak istnieje tylko jeden wpis w AD. To jest wyraźnie niepożądanych i może spowodować problemy z kilku. Na przykład jeśli jeden z klony serwera sieci web jest odłączony od domeny przez akcję użytkownika, inne klon jest odłączony także. Zmiany wprowadzone w jednym środowisku przypadkowo wpływa na inne środowiska.
Aby uniknąć konfliktów usługi Active Directory, serwer AD musi znajdować się na maszynie wirtualnej w środowisku. Serwer AD nie może mieć relacji zaufania z innych katalogów poza środowiskiem.
Istnieją dodatkowe informacje dotyczące konfigurowania usługi AD w środowisku izolowanym sieci. Najpierw AD maszyny wirtualnej nie być połączony z siecią publiczną. W ujęciu dwa interfejsy oznacza to, AD maszyna wirtualna nie może mieć publiczny interfejs. W ujęciu dwukierunkowy NAT oznacza to, tabeli NAT nie może mieć mapowanie AD maszyny wirtualnej.
Drugi AD jest w lesie niezależne, musi istnieć w środowisku serwera DNS. Inne maszyn wirtualnych w środowisku muszą mieć tego serwera DNS w sieci prywatnej do odpowiedniego komunikacji z usługą Active Directory. Na przykład maszyny wirtualnej może nie móc do dołączenia do domeny w prywatnej AD, chyba że poprawnie skonfigurowano ustawienie serwera DNS na interfejsie prywatnym.
Podczas konfigurowania środowiska obejmują AD maszyny wirtualnej, Lab Management programu Visual Studio tworzy rozłączanie reklama z sieci publicznej i konfigurowanie prywatnych interfejsów maszyn wirtualnych za pomocą ustawienia DNS.
Może to być sytuacje, w których nie jest możliwe do obsługi usługi AD w środowisku. Na przykład może się to zdarzyć po aplikacji w rozwoju na potrzeby firmy AD integrację z innymi istniejących aplikacji firmowych. Nie ma żadnych znanych rozwiązanie umożliwiające bezpieczne klonowanie środowisk w przypadku maszyn jest przyłączony do domeny poza środowiskiem.
Powoduje konflikt z bazy danych
Innym typowym zastosowaniu środowisk wirtualnych obejmuje obsługujących bazę danych aplikacji poza środowiskiem. Jest to wykonywane zwykle, gdy baza danych jest wystarczający, i gdy nie jest praktyczne sklonować bazy danych o każdego środowiska. Przyczyną może również być aplikacji w opracowaniu klienta sieci web proste, który współdziała z bazy danych, który znajduje się w innym miejscu. W takich przypadkach gdy dwie identyczne klony komunikują się z bazą danych, serwer bazy danych nie może odróżnić tożsamość dwóch klientów.
Podsumowanie
Możliwość tworzenia identyczne klony środowisk wirtualnych jest istotne dla kilka scenariuszy zarządzania wirtualne laboratorium. Po utworzeniu identycznych klony istnieją nazwy komputera, adresu IP i konfliktów adresów MAC. Proste techniki, takich jak zmiana nazwy komputerów lub adresy IP, aby rozwiązać te konflikty zwykle wymagają ponownej konfiguracji lub ponownej instalacji aplikacji i skutecznie pokonać zamiar tworzenia klony identyczne. Izolacja sieci rozwiązuje ten problem umożliwia tworzenie i uruchamianie dwóch klony jednocześnie.
Kolejne kroki
Plan możesz SCVMM środowiska: Dowiedz się więcej o tym, kiedy należy używać różnych opcji dla środowisk SCVMM, takich jak przy użyciu uruchomione maszyny wirtualne, przechowywane maszyny wirtualne, szablony, przechowywane w środowiskach i sieci izolacji. Zobacz Wskazówki dotyczące tworzenia środowisk SCVMM i zarządzania nimi.
Tworzenie środowiska izolowane sieci: używać tego tematu, jeśli można przystąpić do tworzenia w środowisku izolowanym sieci. Zobacz Tworzenie środowiska izolowanego od sieci i korzystanie z niego.