windows server 2012 技术白皮书 -...
TRANSCRIPT
Windows Server 2012 技术白皮书——网络 1
第1
Windows Server 2012 技术白皮书
网络
Windows Server 2012 技术白皮书——网络 2
第2
目录
解决 IT 专业人员面对的挑战 ........................................................................................................... 7
高效地管理私有云 ....................................................................................................................... 7
将私有云连接到公共云服务 ...................................................................................................... 7
将用户轻松连接到 IT 资源 ....................................................................................................... 8
Windows Server 2012:改进的网络功能 ............................................................................ 8
管理高可用,安全且高效的私有云 .................................................................................................. 9
可靠性 .................................................................................................................................................. 10
网卡捆绑技术 ............................................................................................................................. 10
技术描述 ............................................................................................................................. 10
网卡捆绑配置 ..................................................................................................................... 11
需求 ...................................................................................................................................... 12
总结 ...................................................................................................................................... 12
Hyper-V 复制 ............................................................................................................................ 12
需求 ...................................................................................................................................... 18
场景 ...................................................................................................................................... 19
总结 ...................................................................................................................................... 20
DHCP 服务器故障转移 ........................................................................................................... 20
技术描述 ............................................................................................................................. 20
需求 ...................................................................................................................................... 22
场景 ...................................................................................................................................... 22
总结 ...................................................................................................................................... 22
Windows Server 2012 技术白皮书——网络 3
第3
性能 ...................................................................................................................................................... 23
支持 SR-IOV 网络设备 ........................................................................................................... 23
技术描述 ............................................................................................................................. 23
需求 ...................................................................................................................................... 23
总结 ...................................................................................................................................... 24
动态虚拟机队列(D-VMQ) .................................................................................................. 24
技术描述 ............................................................................................................................. 24
需求 ...................................................................................................................................... 25
总结 ...................................................................................................................................... 25
加速网络 I/O ............................................................................................................................. 25
技术描述 ............................................................................................................................. 25
需求 ...................................................................................................................................... 27
总结 ...................................................................................................................................... 27
虚拟机的 IPsec 任务卸载 ....................................................................................................... 27
技术描述 ............................................................................................................................. 27
需求 ...................................................................................................................................... 28
总结 ...................................................................................................................................... 28
可管理性 .............................................................................................................................................. 29
Hyper-V 的资源计量 ............................................................................................................... 29
需求 ...................................................................................................................................... 31
总结 ...................................................................................................................................... 31
IP 地址管理 ................................................................................................................................ 31
Windows Server 2012 技术白皮书——网络 4
第4
技术描述 ............................................................................................................................. 32
需求 ...................................................................................................................................... 35
总结 ...................................................................................................................................... 35
安全性 .................................................................................................................................................. 36
DNSSEC ...................................................................................................................................... 36
技术描述 ............................................................................................................................. 36
总结 ...................................................................................................................................... 40
将私有云连接到公共云服务 ............................................................................................................. 41
Hyper-V 网络虚拟化 ............................................................................................................... 41
新增与该新的功能 ............................................................................................................. 42
技术描述 ............................................................................................................................. 43
需求 ...................................................................................................................................... 47
总结 ...................................................................................................................................... 47
Hyper-V 可扩展交换机 ........................................................................................................... 47
技术描述 ............................................................................................................................. 48
需求 ...................................................................................................................................... 50
总结 ...................................................................................................................................... 50
通过对 Hyper-V 可扩展交换机进行扩展获得新功能 ....................................................... 50
技术描述 ............................................................................................................................. 51
需求 ...................................................................................................................................... 54
总结 ...................................................................................................................................... 54
服务质量 ...................................................................................................................................... 55
Windows Server 2012 技术白皮书——网络 5
第5
解决企业与公共云托管供应商的需求 ........................................................................... 55
技术描述 ............................................................................................................................. 55
需求 ...................................................................................................................................... 58
总结 ...................................................................................................................................... 58
远程桌面协议(RDP)WAN 优化 ........................................................................................ 59
技术描述 ............................................................................................................................. 59
需求 ...................................................................................................................................... 60
总结 ...................................................................................................................................... 60
WebSocket 协议 ...................................................................................................................... 60
技术描述 ............................................................................................................................. 60
需求 ...................................................................................................................................... 61
总结 ...................................................................................................................................... 61
服务器名标识符(SNI) .......................................................................................................... 61
简化管理并改善 SSL 的可扩展能力 ............................................................................. 61
技术描述 ............................................................................................................................. 62
需求 ...................................................................................................................................... 62
总结 ...................................................................................................................................... 62
更轻松地将用户连接到 IT 资源 ..................................................................................................... 63
DirectAccess 与 VPN 的集成 .............................................................................................. 63
安全高效的远程访问 ......................................................................................................... 63
需求 ...................................................................................................................................... 67
总结 ...................................................................................................................................... 67
Windows Server 2012 技术白皮书——网络 6
第6
BranchCache 的改进 .............................................................................................................. 67
跨越 WAN 的工作生产力 .............................................................................................. 68
BranchCache 中的改进 .................................................................................................. 68
技术描述 ............................................................................................................................. 69
需求 ...................................................................................................................................... 71
场景 ...................................................................................................................................... 71
总结 ...................................................................................................................................... 71
结论 ...................................................................................................................................................... 72
© 2012 微软公司。保留所有权利。
Windows Server 2012 技术白皮书——网络 7
第7
解决 IT 专业人员面对的挑战
对于目前的业务前景起到促进作用的技术优势也影响着 IT 专业人员完成工作的方法。这些
技术包括私有云与公共云,移动办公,以及跨越 LAN、WAN、数据中心,分散在各地的
资产。
网络与网络资产的管理是一件复杂的任务,某种程度上类似电网的管理:目标是确保平滑的
传输---不过传输的内容分别是数据或电力,所有组件都必须妥善互联,并且客户能够在需
要的时候获得所需的服务。
在与企业客户长期的沟通中,微软发现了三个重要的网络问题,而 IT 专业人员在不远的将
来会将这些问题看作是自己面临的最大挑战。如何高效灵活的管理私有云,简单安全的扩展
私有云并充分利用公共云服务,以及如何轻松将不同位置的最终用户与 IT 资源连接在一起。
让我们分别简要介绍一下每个问题。
高效地管理私有云
确保私有云为业务提供价值的一个重要方面是,要确保私有云不会加重 IT 的管理负担。为
了实现这一点,网络平台必须具备下列特性:
高效的自动化,包含大量选项,可对重要的网络任务实现自动化,让私有云的部署与管
理更流畅。
灵活地按需要对私有云进行扩大和缩小,不受网络与存储资源,以及相关管理人员的制
约。
简易的整合能力,例如在原有硬件资源上运行更多负载,在同一套物理基础架构上对数
据与存储网络资源的聚合,并通过更多选项获得成本更低的存储阵列与交换机。
将私有云连接到公共云服务
为了从私有云中获得更大收益,组织需要寻找一种方法,通过由组织自身或第三方提供
的公共云服务对私有云的功能进行扩展。然而将私有云与公共云连接在一起,这还需要
用一种简单并且安全的方式实现。此时即可使用下列功能帮您实现目标:
高效率的多租户。虚拟化技术为您提供的帮助不仅仅能通过多租户环境对资源进行整合,
而且能为 IT 部门提供获得更高安全性的机会。例如对租户、业务应用程序,以及数据
进行隔离,最终即可用更简单更安全的方法将私有云的租户和资源与公共云服务连接在
一起。
使用公共云扩展数据中心。通过使用恰当的技术,公共云还可用于对私有云资源和过程
Windows Server 2012 技术白皮书——网络 8
第8
进行扩展,例如数据存储。
私有与公共云之间的无缝通讯。将私有与公共云的功能进行集成,这需要在两个环境之
间实现 IT 资源简易的通讯和连接。
将用户轻松连接到 IT 资源
今天有越来越多的组织分散在多个地理位置,通常还有很多移动办公的员工。在这样的情况
下,用户能够在不借助 IT 资源的帮助下实现快速连接就变得至关重要。为实现这个目标,
需要具备下列功能:
无论用户在什么地点,需要时总能使用到所有 IT 资产。用户与资产的物理位置,例如
数据库和私有云,应当不影响建立快速简单的连接。
每个用户都能够与所有云通讯。当然,根据组织的身份与安全策略,以及不同部门的需
求,这一点可以进行适当的限制。
Windows Server 2012:改进的网络功能
Windows Server 2008 R2 中包含了多个与网络有关的新功能,例如虚拟桌面基础架构
(VDI)部署、远程应用程序(RemoteApp)发布、点对点缓存优化、通过网络优化改善
通讯性能、通过技术手段避免重复的数据副本,以及 WAN 优化等。
Windows Server 2012 以这些高级特性为基础,再次增加了新的和改进的功能,有助于降
低网络复杂度,同时进一步降低成本,并简化管理任务。通过使用 Windows Server 2012,
IT 管理员将获得全面的工具,对网络过程与资源实现自动化,并进行整合。该系统提供的
功能可以更容易地将私有云与公共云服务连接在一起。而且 Windows Server 2012 提供
了更多更好的工具,供您将用户与 IT 资源与服务连接在一起,这种连接甚至可以跨越物理
边界,以及私有与公共云环境。
下文将深入介绍 Windows Server 2012 中能够实现更高效率更低成本网络管理的各项新
功能。
Windows Server 2012 技术白皮书——网络 9
第9
管理高可用,安全且高效的私有云
Windows Server 2012 包含的大量新增或改进功能可简化网络的管理,对资源进行整合,
并让任务实现自动化。此外这些功能还可以为管理员提供更低的成本和更高的灵活性,供管
理员面对分散在不同地理位置,不断变化和扩展着的网络环境。
本节将讨论下列功能:
可靠性
网卡捆绑技术
Hyper-V 复制
SMB 3.0 多通道与 SMB 3.0 客户端
动态主机配置协议(DHCP)故障转移
性能
单根 I/O 虚拟化(SR-IOV)
动态虚拟机队列
加速网络 I/O,包括接收端收缩与接收端扩张
IPsec 任务卸载
可管理性
IP 地址管理器(IPAM)
资源计量
安全性
域名系统安全扩展(DNSSEC)
Windows Server 2012 技术白皮书——网络 10
第1
可靠性
网卡捆绑技术
Windows Server 2012 可以为您的网络适配器提供容错机制,同时不需要购买额外的硬件
和软件。网卡捆绑就是这样一个内建功能,该功能可以让多个网卡捆绑在一起配合工作,如
果一块网卡故障,依然可以维持连接。该技术使得服务器能够容忍网络适配器错误和端口故
障,最多可容忍到连接的第一个交换网段。网卡捆绑还使得您可以将多个网络适配器的带宽
汇聚在一起,例如,四个千兆(1GB)网络适配器通过汇聚即可提供 4GB/秒的吞吐率。
内建 Windows 捆绑解决方案的优势在于,可用于所有供应商的网络适配器,因此不需要
担心有专利的解决方案可能导致的潜在问题,并能为各种类型的适配器提供通用的管理工具,
同时可以得到来自微软的全面支持。
技术描述
目前的所有网卡捆绑解决方案都有着类似的架构,如下图所示。
标准的网卡捆绑解决方案架构
网络适配器的捆绑涉及下列操作:
网卡捆绑配置。将一块或多块物理网络适配器连接到网卡捆绑解决方案的多路复用单元,
并为操作系统提供一个或多个虚拟适配器(捆绑后的网络适配器)。
通讯分发算法。有多种不同算法负责处理网络适配器之间的传入和传出通讯。通讯可以
根据源和目标地址以及端口的哈希值进行分发,或者根据虚拟机的来源端口进行分发,
正如下图所示。网卡捆绑解决方案还可以按照虚拟 LAN(VLAN)对通讯进行拆分,
因此应用程序可并发连接到不同的 VLAN。
Windows Server 2012 技术白皮书——网络 11
第1
虚拟机中的网卡捆绑配置
网卡捆绑配置
网卡捆绑功能使用了下列两种配置算法:
交换独立模式。该算法可让捆绑后的成员连接到不同交换机,因为交换机并不需要接口
成为主机的一部分。该模式不需要交换机参与到捆绑中。
交换依赖模式。该算法不需要交换机参与到捆绑中。在该模式下,所有捆绑的接口都连
接到同一个交换机。
对于交换依赖模式的网卡捆绑,还有两个常见的选择:
通用或静态捆绑(IEEE 802.3ad draft v1)。该模式需要在交换机和主机上进行配置,
以便区分哪条链路对应哪个捆绑。因为这是一种静态配置的解决方案,因此无法通过额
外的协议帮助您在交换机和主机上找出连接错误的线缆,或其他可能导致捆绑失败的错
误。通常来说,服务器级的交换机都支持这种模式。
动态捆绑(IEEE 802.1ax,链路汇聚控制协议[LACP])。该模式通常也被叫做 IEEE
802.3ad,因为是在 IEEE 802.3ad 颁布之前开发的,因此有时候也被叫做 IEEE
802.1ax。该方式需要使用 LACP 动态识别主机和特定交换机之间的链路。典型的服
务器级交换机通常支持 IEEE 802.1ax,但大部分都需要管理员在端口上启用 LACP。
在交换机上允许动态 IEEE 802.1ax 完整运作有可能带来安全上的问题。因此目前的大
部分交换机依然需要交换机管理员对交换机端口进行配置,允许成员加入捆绑关系。
无论哪种交换依赖模式,都会导致传入和传出的通讯接近汇聚后带宽的潜在极限。这是因为
捆绑关系中的链路池会被看成一个单一管线。
不兼容问题
网卡捆绑技术可兼容 Windows Server 2012 中的全部网络功能,但下列三个功能例外:
SR-IOV。
远程直接内存访问(RDMA)。
Windows Server 2012 技术白皮书——网络 12
第1
TCP Chimney 卸载。
对于 SR-IOV 以及 RDMA,数据将不通过网络栈直接传递给网络适配器。因此网络适配器
的捆绑将无法看到或传递发往捆绑关系中另一路径的数据。在目前的版本中,网卡捆绑还无
法支持 TCP Chimney 卸载。
需求
网卡捆绑功能需要满足下列需求:
Windows Server 2012。
至少一块网络适配器
如果有两个或更多网络适配器,速度必须相同。
如果希望实现带宽汇聚或故障转移保护,则需要两个或更多网络适配器。
如果希望为网络栈寻求 VLAN 隔离,需要一个或多个网络适配器。
总结
网卡捆绑使得您可以执行三个重要的任务:
用于对带宽进行汇聚。
用于防范由于网络组件故障导致的连接丢失。
用于对来自主机的通讯进行 VLAN 隔离。
该技术可适用于物理服务器与虚拟机。无论使用哪家供应商的网络适配器,您都可以使用该
功能并从微软获得完善的配置支持。
Windows 8 网卡捆绑技术可通过 Windows PowerShell 以及网卡捆绑配置界面进行管
理。无论 PowerShell 还是界面都可用于管理物理与虚拟服务器。界面还可同时管理物理
与虚拟服务器。
Hyper-V 复制
建设云环境,并让客户都迁往云端的主要原因之一是,在遇到故障后可以更快速更简单地恢
复。尽管每次遇到事故的成本越来越高,IT 管理员依然会由于复杂度与成本的问题拖延相
关解决方案的实施。
组织需要一种价格低廉并且可靠的业务持续性解决方案,帮助自己从故障中恢复。
虚拟化开创了一种全新的,高效率的可能性,帮助确保服务总是可用。Windows Server
Windows Server 2012 技术白皮书——网络 13
第1
2012 中包含的 Hyper-V 复制技术是一项内建功能,可对虚拟机提供异步复制,借此获得
业务连续性与灾难恢复。
技术描述
Hyper-V 复制是 Windows Server 2012 中的新功能。该技术可让您通过网络链路将
Hyper-V 虚拟机从主要站点的一台 Hyper-V 宿主机复制到复制站点的其他 Hyper-V 宿
主机,这一过程只需要少量用到存储阵列或其他软件复制技术。下图演示了从不同系统和群
集对虚拟机进行安全复制,通过广域网(WAN)复制到远程站点的过程。
通过 WAN 对不同系统与群集组成的虚拟机用更安全的方法复制到远程站点
Hyper-V 复制技术可追踪针对主要虚拟机进行的写入操作,随后将这些改动通过 WAN 复
制到复制服务器上。两台服务器之间的网络连接使用 HTTP 或 HTTPS 协议,并可支持集
成式,与基于证书的身份验证。
对于加密连接,必须选择基于证书的身份验证。Hyper-V 复制已经紧密集成到 Windows
故障转移群集技术中,在各种不同迁移场景中,可在主要与复制服务器之间提供近乎无缝的
复制。
Hyper-V 复制包含下列可对管理进行简化的工具:
包含微软管理控制台(MMC)Hyper-V 管理器以及故障转移群集管理器管理单元的
集成式用户界面。
可扩展的 Windows 管理规范(WMI)接口。
Windows Server 2012 技术白皮书——网络 14
第1
Windows PowerShell 命令行界面脚本功能。
需求
要使用 Hyper-V 复制,您需要两台物理计算机,并按照下列方法配置:
Windows Server 2012。
Hyper-V 服务器角色。
支持 Hyper-V 角色的硬件。
足够的存储空间,用于保存虚拟化负载使用的文件。根据复制的配置设置,在复制服务
器上还要有足够的额外存储空间。
在托管主要与复制服务器与站点的位置之间有足够的网络带宽。
在防火墙规则中允许主要与复制服务器和站点之间进行复制通讯。
如果要在加入群集的虚拟机中使用 Hyper-V 复制,还需要具备故障转移群集功能。
总结
您可以使用 Hyper-V 复制提供虚拟机级别的复制解决方案,用高效的方式通过网络链路将
数据复制到远程站点,这一过程可能需要略微使用存储阵列,或其他软件复制技术。Hyper-V
复制提供了一种出色的存储与负载解决方案,可通过基于 IP 的网络提供高效的,可预测的,
异步的复制,通常可复制到远程站点。该技术还使得 IT 管理人员可以轻松测试虚拟机的复
制,而无需担心影响持续的复制操作。如果主站点遇到故障,您可以在复制站点将复制的虚
拟机上线,快速恢复业务运作。Hyper-V 复制提供了一种虚拟机级别的,廉价可靠的,可
管理的复制解决方案,可紧密集成于 Windows Server 2012 的 Hyper-V 管理器以及故
障转移群集功能中。
服务器消息块 3.0
Windows Server 2012 中的服务器消息块 3.0 能为服务器与存储提供持续可用性,同时
不影响客户的可用性。该技术有下列优势:
存储与系统可适应计划内与计划外停机。
数据丢失的可能性大幅度降低。
获取与管理成本更低。
防范站点故障与灾难事故。
Windows Server 2012 技术白皮书——网络 15
第1
文件传输更快速,更可靠,效率更高。
成本更低,部署更简单,可用性更高
在老版本 Windows Server 中,存储区域网络(SAN)的购买和维护都非常昂贵,并且无
法轻易实现虚拟机或数据库的可移植性,同时还需要供应商提供的工具与专门的知识才能安
装设置。另一个问题在于,文件共享故障转移并不能透明实现,并且需要恢复时往往需要管
理员的介入。
客户希望存储能够持续可用,停机时间越少越好没有更好。在老版本 Windows Server 中,
故障的存储连接导致的应用程序故障中间的间隔时间通常为 60 秒甚至更久。Windows
Server 2012 的目标是将这一时间限制在 25 秒以内。
注意:默认情况下,Windows Server 2012 已经启用了 SMB 3.0。该功能取代了最早出
现在 Windows Server 2008 R2 以及 Windows Vista 中的 SMB2,并且在 Windows
Server 2008 R2 与 Windows 7 发布时该技术曾被升级到 SMB2.1。
技术描述
在 SMB 3.0 中,Windows Server 2012 提供了一系列新的文件服务器功能,可为 SQL
Server 以及 Hyper-V 等在文件共享中存储数据的服务器应用程序提供大量改进。
Windows Server 2012 中的 SMB 3.0 包含下列改进:
SMB 3.0 透明故障转移。您可以对文件服务器群集中的节点执行更简便的硬件或软件
维护,只要在节点间移动文件共享即可,不会对使用这些文件共享的服务器应用程序产
生任何干扰。此外,如果群集节点遇到硬件或软件故障问题,SMB 3.0 透明故障转移
群集使得文件共享能够故障转移到其他群集节点,同时不会对使用这些文件共享的服务
器应用程序产生任何干扰。
SMB 多通道。如果在 SMB 3.0 客户端与 SMB 3.0 服务器之间存在多个路径,则可
实现网络带宽的聚合以及网络容错。随后服务器应用程序即可充分利用所有可用的网络
带宽,并对网络故障提供更好的适应能力。
要使用 SMB 3.0 多通道,必须有一台计算机配置为文件服务器(SMB 3.0 服务器),
另一台配置为文件客户端(SMB 3.0 客户端)。通过下图所示的任何一种配置方式,SMB
3.0 可以自动监测并使用多个网络连接:
Windows Server 2012 技术白皮书——网络 16
第1
SMB 3.0 的多通道配置
通过下图所示的任何一种配置方式,SMB 3.0 可以自动监测并使用多个网络连接:
一块万兆网络适配器。每台计算机都配置为具备一个万兆网络接口。
两块千兆网络适配器捆绑。每台计算机都配置为具备两个千兆网络接口,并配置为
LBFO 组。每个 SMB3 客户端网络适配器需要使用捆绑后的接口与 SMB3 服务
器网络适配器通讯。
两块千兆网络适配器。每台计算机都配置为具备两个千兆网络接口。每个 SMB3
客户端网络适配器需要使用不同的子网与 SMB3 服务器网络适配器通讯。
两块万兆网络适配器。每台计算机都配置为具备两个万兆网络接口。每个 SMB3
客户端网络适配器需要使用不同的子网与 SMB3 服务器网络适配器通讯。
两个 Infiniband 网络适配器。每台计算机都配置为具备两个 IB 网络接口。每个
SMB3 客户端网络适配器需要使用不同的子网与 SMB3 服务器网络适配器通讯。
SMB 3.0 Direct。该技术使用了一种特殊类型的,支持 RDMA(远程直接内存访问)
功能的网络适配器,可提供高速低延时的性能,并且 CPU 占用率非常低。对于类似
Hyper-V 或 Microsoft SQL Server 等负载,该功能可让远程文件服务器获得与本地
存储相近的性能。
RDMA 提供了一种安全的方法,使得 DMA 引擎能够通过网络让两台计算机传输缓存
内容,如下图所示。
Windows Server 2012 技术白皮书——网络 17
第1
SMB 3.0 Direct 可以在两个支持 RDMA 的网卡之间直接传输缓存
针对服务器应用程序的 SMB 3.0 性能计数器。性能计数器可提供有关 I/O 大小、I/O
延迟、IOPS 等指标的详细信息。这也使得 SQL Server 数据库管理员或 Hyper-V 管
理员可以分析用于保存自己数据的 SMB 3.0 文件共享的性能。
SMB 3.0 性能优化。SMB 3.0 客户端与 SMB 3.0 服务器专门针对小型随机读写 I/O
进行了优化,这种特征在服务器应用程序中很常见,例如 SQL Server 在线事务处理
(OLTP)。此外,更大的最大传输单元(MTU)默认也被打开,对于大序列传输,该
功能可有效改善性能,例如在 SQL Server 数据仓库、数据库备份或还原,以及部署
或移动虚拟磁盘等应用中。
使用 Windows PowerShell 管理 SMB 3.0。通过使用 Windows PowerShell,您可
以在文件服务器上,用端对端方式,甚至在命令行下直接管理 SMB2。
SMB 3.0 远程文件存储。Hyper-V 现已可以将虚拟机文件(包括配置、虚拟磁盘文件,
以及快照)保存到使用了 SMB 3.0 协议的共享文件夹中。SQL Server 2008 R2 也开
始支持在使用 SMB 协议的共享文件夹中存储数据库与日志文件。
适用于 SMB 3.0 文件共享的卷影副本服务(VSS)。磁盘快照是使用非侵入式数据保
护的主要原因。非侵入式是由于 VSS 快照的创建需要数秒钟,而数据 I/O 可不受干
扰继续保持。 快照可用做恢复、备份,以及其他用途,如下图所示。在老版本 Windows
Server 中,VSS 只能用于本地磁盘。Windows Server 2012 使得 VSS 能够用于外
部文件共享。
Windows Server 2012 技术白皮书——网络 18
第1
VSS 快照示意图
SMB 3.0 扩展文件服务器。老版本 Windows Server 提供了主动/被动的解决方案。
文件共享,以及其中的存储,同一时间内只能在一个群集节点中上线。如果要使用多个
群集节点,客户必须使用多个文件服务器资源组。对特定共享的访问在同一时间内只能
由一个群集节点进行,因此特定群集节点对共享只能获得优先的网络带宽。但在
Windows Server 2012 中,共享的数据可被任何群集节点访问。
SMB 3.0 存储的可用性与性能。对于在共享存储上运行的虚拟化环境以及 SQL
Server,共享连接的可用性以及网络性能是整体应用程序可用性与性能的主要决定因素。
因为存在可用性与性能问题,基于 Windows 的文件存储在过去多年来采用率并不是
很高。在 Windows Server 2012 中,SMB 3.0 层可自动识别所有网络适配器,以及
通过这些适配器可获得的所有能够用于访问存储以及路由器的可用网络路径。这样既可
通过负载平衡提供更好的性能,并可防范网络适配器的故障。
需求
SMB 3.0 透明故障转移具备下列要求:
至少两节点,运行 Windows Server 2012 的故障转移群集。群集必须在验证向导中
通过了群集验证测试。
所有群集节点必须安装“持续可用性共享服务”角色服务。该角色服务提供了持续的存
储,使得文件服务器可以在故障转移之后尽快恢复。该技术还提供了一种仲裁服务,可
以帮助客户端在遇到计划外故障后更快速地重新连接到群集文件共享。
使用 Continuous Availability 属性创建文件共享。这是默认设置。
运行 Windows 8 或 Windows Server 2012 的客户端计算机。所有计算机必须包
含更新后支持持续可用性的 SMB 3.0 客户端。
注意:低版本客户端可连接到有持续可用性属性的文件共享,但这些客户端无法支持
SMB 3.0 透明故障转移。
Windows Server 2012 技术白皮书——网络 19
第1
SMB 3.0 多通道具备下列要求:
有至少两台运行 Windows Server 2012 的计算机。无需安装其他额外功能—该技术
默认即可使用。
建议使用下列网络配置:
一块万兆网络适配器。每台计算机都配置为具备一个万兆网络接口。
两块千兆网络适配器。每台计算机必须配置为具备两个千兆网络接口。每个 SMB
3.0 客户端网络适配器需要使用不同的子网与 SMB 3.0 服务器网络适配器通讯。
两块千兆网络适配器捆绑。每台计算机都配置为具备两个千兆网络接口,并配置为
LBFO 组。每个 SMB 3.0 客户端网络适配器与 SMB 3.0 服务器网络适配器需要
使用加入捆绑的接口与对方通讯。
两块万兆网络适配器。每台计算机必须配置为具备两个万兆网络接口。每个 SMB
3.0 客户端网络适配器需要使用不同的子网与 SMB 3.0 服务器网络适配器通讯。
两个 Infiniband 网络适配器。每台计算机必须配置为具备两个 Infiniband 网络
接口。每个 SMB 3.0 客户端网络适配器需要使用不同的子网与 SMB SMB2 服
务器网络适配器通讯。
SMB 3.0 Direct 具备下列要求:
有至少两台运行 Windows Server 2012 的计算机。无需安装其他额外功能—该技术
默认即可使用。
网络适配器必须支持 RDMA 功能。目前,这些网络适配器主要包含三种不同类型:
iWARP、Infiniband,以及 RDMA over Converged 以太网(RoCE)。
场景
Fernando 是一家大型金融服务公司的 IT 管理员。他的公司在数据中心内有大量文件服务
器群集,用于为不同应用程序,以及数千用户的文件提供支持。
Fernando 希望通过一种方法,在对文件服务器群集内的节点进行维护时,或者群集节点遇
到硬件故障的情况时,可以为应用程序和用户文件提供持续可用性。他还希望获得更好的网
络与 CPU 性能,同时增强面对网络故障的适应性。
Fernando 将他的服务器升级到 Windows Server 2012,并开始使用内建的 SMB 3.0 功
能。SMB 3.0 透明故障转移使得他能够在群集节点之间移动文件共享,但并不会对在这些
共享中存储了数据的服务器应用程序造成中断。SMB 3.0 多通道功能使得他的应用程序能
够充分利用所有可用网络带宽,同时增强了对潜在的网络故障的适应性。
这些改进,以及其他改进配合使用,满足了他对更好的网络与 CPU 性能等需求,同时可提
Windows Server 2012 技术白皮书——网络 20
第2
供持续可用性、便捷性,以及更低的成本。
总结
SMB 3.0 层可自动识别所有网络适配器,以及通过这些适配器可获得的所有能够用于访问
存储以及路由器的可用网络路径。这样既可通过负载平衡提供更好的性能,并可防范网络适
配器的故障。
通过使用 SMB 3.0 透明故障转移功能,您可以在群集节点之间移动文件共享,但并不会对
在这些共享中存储了数据的服务器应用程序造成中断。SMB 3.0 多通道功能使得您的应用
程序能够充分利用所有可用网络带宽,同时增强了对潜在的网络故障的适应性。
这些改进,以及其他改进配合使用,可满足您对更好的网络与 CPU 性能的需求,同时可提
供持续可用性、便捷性,以及更低的成本。
DHCP 服务器故障转移
Windows Server 2012 可支持互联网工程任务组(IETF)互联网草案 DHCP 故障转移技
术。通过该协议,DHCP 服务器故障转移功能使得两台 DHCP 服务器可以用近乎实时的
方式对租约信息进行同步,并能提供高可用的 DHCP 服务。如果一台服务器不可用,另一
台服务器将承担为同一子网内其他客户端提供服务的任务。您还可以通过负载平衡配置故障
转移,这样既可用两台 DHCP 服务器对客户端请求进行分摊。
技术描述
Windows Server 2012 中的 DHCP 故障转移功能可支持使用两台 DHCPv4 服务器。
管理员可以将 Windows Server 2012 DHCP 服务器部署为故障转移参与方,并可使用热
备模式或负载共享模式。
热备模式
在该模式下,两台服务器处于故障转移关系中,其中一台活跃服务器为作用域或子网中的所
有客户端提供 IP 地址和配置信息。(请注意,故障转移合作关系中的两台 DHCP 服务器
本身不需要位于同一个子网中。DHCP 服务可通过 DHCP 中继提供给其他子网。)如果主
要服务器变为不可用,辅助服务器就会开始接手。服务器的主要和辅助地位仅在子网的上下
文环境中有效,因此一个子网的主要服务器在另一个子网可能是辅助服务器。
由中央服务器或数据中心服务器充当待机备份服务器时,对于远程站点中 DHCP 客户端来
说属于本地的服务器最适合使用热备模式。在下图所示的这种辐条式部署环境中,让远程备
份服务器为客户端提供服务并不是一种好的做法,除非本地 DHCP 服务器变得不可用。
Windows Server 2012 技术白皮书——网络 21
第2
在辐条式环境中的热备 DHCP 故障转移
负载分享模式
在默认使用的负载共享模式下,两台服务器可以同时针对特定子网的客户端提供 IP 地址和
其他配置选项。(请注意,故障转移合作关系中的两台 DHCP 服务器本身不需要位于同一
个子网中。)客户端的请求会被进行负载平衡,并在两台服务器之间进行共享。该模式最适
合部署在故障转移合作关系中没台服务器都位于同一个物理站点的环境,例如下列两图所示
的环境。两台服务器可根据管理员所配置的负载分摊比例对 DHCP 客户端请求做出响应。
单一站点单一子网环境的负载共享 DHCP 故障转移。
Windows Server 2012 技术白皮书——网络 22
第2
单一站点多个子网环境的负载共享 DHCP 故障转移
需求
DHCP 故障转移要求具备下列前提条件:
软件。DHCP 故障转移要求两台运行 Windows Server 2012 的 DHCP 服务器。
服务器数量。在故障转移合作关系中,DHCP 故障转移需要部署在两台 DHCP 服务
器参与方之间。
时间同步。为了让 DHCP 故障转移顺利生效,故障转移合作关系的参与方时钟必须保
持同步。时间的同步可通过部署网络时间协议(NTP)或其他类似机制的服务器实现。
运行故障转移配置向导也可以对两台服务器的当前时间进行对比。如果时间差超过一分
钟,故障转移设置过程会显示关键错误信息,并告诉管理员如何同步时间。
场景
Grant 是一家中型制造业公司的网络管理员。他的公司有一间中央办公室,其中包含多个
子网以及大量客户端计算机。
Grant 需要确保网络服务与地址的可靠性。作为确保所有资源具备高可用性计划的一部分,
Grant 部署了两台运行 Windows Server 2012,并启用 DHCP 故障转移功能的 DHCP
服务器,服务器使用负载分享模式。客户端的租约请求可在两台服务器之间进行负载平衡,
每台服务器还可充当另一台服务器在硬件故障后的备份。
总结
通过使用 Windows Server 2012,您可以用负载分享关系部署 DHCP 故障转移。客户端
的租约请求可在两台服务器之间进行负载平衡,每台服务器还可充当另一台服务器在硬件故
障后的备份。
Windows Server 2012 提供的 DHCP 故障转移解决方案可供您用简单的方式部署高可
用性 DHCP 服务,同时购买成本和维护负担都低很多。
Windows Server 2012 技术白皮书——网络 23
第2
性能
支持 SR-IOV 网络设备
对于虚拟网络,一个主要目标是提供近乎原生的 I/O。Windows Server 2012 增加了将
SR-IOV 功能从物理设备直接分配给虚拟机的能力。这样虚拟机就可以绕过基于软件的
Hyper-V 虚拟交换机,直接访问网卡。最终 CPU 负担和延迟都将有所降低,同时吞吐率
会大幅提高。
技术描述
单根 I/O 虚拟化(SR-IOV)标准最早是由 PCI-SIG 提出的,这个特殊的兴趣组拥有并管
理着 PCI 规范,并将其发展成为开放的业界标准。SR-IOV 的工作需要相应系统芯片组支
持虚拟化技术,并能为中断与直接内存访问(DMA)提供映射,让支持 SR-IOV 的设备能
够直接分配给虚拟机。Windows Server 2012 中的 Hyper-V 可支持具备 SR-IOV 功能
的网络设备,并可让虚拟网络适配器的 SR-IOV 虚拟 Function 直接分配给虚拟机。这样
做可以提升网络吞吐率,降低网络延迟,同时降低宿主机 CPU 处理网络通讯所造成的负担。
下图演示了 Hyper-V 中的 SR-IOV 支持架构。
Hyper-V 对 SR-IOV 的支持
这样的配置可以提升网络吞吐率,降低网络延迟,同时降低宿主机 CPU 处理网络通讯所造
成的负担。
需求
SR-IOV 网络需要具备下列需求:
支持 SR-IOV 的宿主机系统(例如 Intel VT-d2),包括芯片组对中断与 DMA 重映
Windows Server 2012 技术白皮书——网络 24
第2
射的支持,以及通过相应的固件支持启用并向操作系统描述平台的 SR-IOV 功能。
支持 SR-IOV 的网络适配器与驱动,管理用操作系统(运行了 Hyper-V 角色)与分
配了虚拟 Function 的每台虚拟机内的操作系统必须都支持。
请注意,SR-IOV 会导致虚拟机的通讯绕过 Hyper-V 虚拟交换机。如果设置有任何交换端
口策略,该虚拟机的 SRIOV 功能将会被取消。
总结
Windows Server 2012 对 SR-IOV 系统与网络设备的支持意味着,您可以将支持
SR-IOV 的网络适配器直接分配给虚拟机。这样有助于获得最大化网络吞吐率,同时降低网
络延迟,减少处理网络通讯所造成的 CPU 负担。
动态虚拟机队列(D-VMQ)
虚拟机队列(VMQ)使得宿主机的网络适配器可以绕过 DMA 数据包,直接参与到特定虚
拟机的内存栈中。每个虚拟机的设备缓冲会分配一个 VMQ,这样就避免了无谓地在虚拟交
换机中进行数据包复制和路由查询。更重要的是,VMQ 使得宿主机的单一网络适配器在虚
拟机看来能够成为多个网络适配器,这样每个虚拟机就有了自己的专用网络适配器。这种技
术可减少宿主机缓冲区中的数据,并改善 I/O 操作的整体性能。
技术描述
Windows Server 2008 R2:将网络数据包的路由与筛选工作卸载给网络适配器(通过基
于硬件的接收队列启用)以降低宿主机负担。
没有 VMQ 的网络 I/O 路径
虚拟机队列(VMQ)是一种硬件虚拟化技术,可用于高效地将网络通讯传输到虚拟化宿主
机的操作系统。支持 VMQ 的网卡可对传入的帧进行分类,并根据关联给虚拟机虚拟网卡
的队列,对接收队列进行路由。这些硬件队列可适应不同的 CPU,因此能够根据每个虚拟
机的网卡对接收进行扩展。从 Windows Server 2008 R2 开始,管理员能够配置可被
VMQ 用于处理中断的处理器的数量。如果不使用 VMQ,在网络通讯增加后,CPU 0 可
Windows Server 2012 技术白皮书——网络 25
第2
能将满载运行。在使用 VMQ 后,中断可以分散到更多处理器上。然而网络负载在不同时
间段可能各不相同。固定数量的处理器可能并不能对所有通讯起到改善作用。
Windows Server 2012 的新功能:Windows Server 2012 可用动态的方式将传入网络
通讯的处理工作分散到宿主机的处理器上(根据处理器的使用情况与网络负载)。在网络负
载较重时,动态 VMQ 可自动征用更多处理器。在网络负载较轻时,动态 VMQ 会释放这
些处理器。
带 VMQ 的网络 I/O 路径
需求
动态 VMQ 要求网卡硬件与驱动必须支持 NDIS 6.30。
总结
VMQ 可将网络通讯的中断分散给所有可用处理器。在 Windows Server 2012 中,动态
VMQ 功能使得系统可以通过相应的算法修改 CPU 与队列的相关性,而不需要删除/重建
队列。这样既可获得与网络负载相匹配的处理能力,提升网络性能。
加速网络 I/O
Windows Server 2012 可通过更低成本的基础架构与运维,满足最高要求的企业需求。该
系统可提供必要的高扩展能力以及更好的性能,以便在物理与虚拟环境中对低延迟应用程序
提供支持。
技术描述
Windows Server 2012 可通过下列收益,针对关键应用程序自动优化性能:
可预测。Windows Server 2012 能用可预测的方式对 I/O 的变化作出响应。
可扩展能力。Windows Server 2012 通过更高的每秒 I/O 数量(IOPS)可轻松降低
Windows Server 2012 技术白皮书——网络 26
第2
处理应用程序产生的延迟。
绝对低延迟。Windows Server 2012 减少了关键应用程序所必需的端到端事务处理的
数量。
Windows Server 2012 还通过接收端扩展(RSS)以及接收端汇聚(RSC)技术改善网络
性能。
接收端扩展
RSS 可将中断的监控工作分摊给多个处理器,这样就不需要由一个处理器处理全部的 I/O
中断,老版本 Windows Server 中通常都是这样做的。在处理器之间进行主动的负载平衡
需要追踪不同 CPU 的负载情况,然后按序对中断进行传输。
您可以选择哪些处理器负责处理 RSS 请求,包括超出 64K 的处理器,这样您就可以充分
利用某些包含大量逻辑处理器的,非常高端的计算机。
下图演示了在包含八个 RSS 队列的网络适配器上处理 RSS 的情况。
包含四个节点与八个队列的 RSS
RSS 可用于内建的网卡捆绑或负载平衡与故障转移群集(LBFO),并取消了老版本
Windows Server 中的一个局限,不再要求必须在硬件设备与 RSS 之间进行选择。RSS 还
可用于用户数据报协议(UDP)通讯,并可通过 WMI 以及 Windows PowerShell 进行
管理与调试。
接收端汇聚
Windows Server 2012 技术白皮书——网络 27
第2
RSC 通过降低处理大量网络 I/O 通讯时的 CPU 负担,改善了服务器的可扩展能力。为此
该技术可将多个传入数据包汇聚到一个较大的缓冲内,如下图所示。
接收端汇聚
在早期的测试中,RSC 可降低 CPU 使用率高达 20%。
需求
加速网络 I/O 功能要求具备下列需求:
Windows Server 2012。
支持上文所描述功能的网络适配器。
总结
通过使用 Windows Server 2012,您的服务器可充分利用操作系统在降低延迟方面的改进,
提供更高的每秒 I/O 数量,减少端到端事务的处理,在处理器之间主动进行负载平衡,并
且还能获得大量有关 RSS 的其他改进。这些改进有助于满足一些最高级应用程序的需求,
当用户通过本地或广域网访问物理或虚拟环境中的服务器和应用程序时,可获得更好的性能。
虚拟机的 IPsec 任务卸载
IPsec 可对部分或全部网络数据包内容进行身份验证或加密,保护网络通讯。Windows
Server 2012 中的 IPsec 任务卸载可充分利用服务器网卡的硬件功能,对 IPsec 处理任
务实现卸载。这样既可极大降低由于 IPsec 加密与解密造成的 CPU 负担。
在 Windows Server 2012 中,IPsec 任务卸载功能还可在虚拟机中使用。使用虚拟机的
客户,如果希望通过 IPsec 保护自己的网络通讯,即可充分利用服务器网卡所支持的 IPsec
硬件卸载功能,释放出 CPU 周期用于执行更重要的应用程序处理任务,并让每个数据包的
加密/解密操作可以通过硬件实现。
技术描述
相比不使用 IPsec 时的网络通讯,IPsec 的处理工作可谓是代价高昂。一般来说,软件层
面的加密与解密需要耗费大量 CPU 周期。硬件则可以更高效地执行数据包的加密与解密工
作。执行每个数据包操作所需的 IPsec 信息会包含在一个 Security Association(SA)中。
每个 IPsec 连接都需要具备 SA。同时对于每个连接,需要具备一对 SA,传输 SA 以及
接收 SA。在 Windows Server 2008 R2 中,第二版 IPsec Task Offload(IPsecTOv2)
通过扩展可支持硬件网卡中每个数据包加密/解密工作的 Security Association(SA)智能
卸载。通过网卡执行每个数据包的加解密运算,可降低 CPU 占用率,并提升网络吞吐率。
Windows Server 2012 技术白皮书——网络 28
第2
需求
IPsec 任务卸载要求具备支持的硬件网卡,并且驱动必须支持 NDIS 6.30。
总结
Windows Server 2012 将 IPsec 任务卸载功能扩展给了虚拟机。对于希望保护托管式云
环境,满足安全性与合规性要求的主机商,以及使用虚拟机,并且希望使用 IPsec 保护网
络通讯的客户,即可充分利用服务器网卡所包含的 IPsec 硬件卸载功能。Windows Server
2012 能为虚拟机提供最佳性能的 IPsec 解决方案。
Windows Server 2012 技术白皮书——网络 29
第2
可管理性
Hyper-V 的资源计量
您的计算资源始终是有限的。您需要知道不同负载对这些资源的使用方式—尽管负载已经
被虚拟化。在 Windows Server 2012 中,Hyper-V 包含了一种新的资源计量技术,可以
帮助您对虚拟机的负载使用情况进行记录和统计。通过使用资源计量,您可以对不同服务器
上资源的使用情况有更深入的了解。您可以使用这些数据执行容量规划,监控不同业务单元
或客户的资源消耗情况,甚至可以捕获统计负载所需运行成本时需要的数据。您也可以使用
这些信息进一步构建记账解决方案,这样您托管服务的用户就可以根据资源的使用情况付费。
资源使用量的指标
Windows Server 2012 提供了两种方法,供您获取客户对虚拟机资源使用情况的历史数据:
Windows PowerShell 中的 Hyper-V cmdlet,以及虚拟化 WMI 提供程序中新增的 API。
Hyper-V 可使用下表中列出的资源使用情况指标。
指标 单位 描述
平均 CPU 使用 MHz 虚拟机在特定时间段内的平均 CPU 用量。
平均内存使用 MB 虚拟机在特定时间段内的平均内存用量。
最小内存使用 MB 虚拟机在特定时间段内的最小内存用量。
最大内存使用 MB 虚拟机在特定时间段内的最大内存用量。
最大磁盘分配 MB 虚拟机在特定时间段内分配的磁盘空间容量最大值。
传入网络通讯 MB 虚拟机在特定时间段内的传入网络通讯总量。
传出网络通讯 MB 虚拟机在特定时间段内的传出网络通讯总量。
网络计量端口访问控制列表(ACL)的使用
企业需要为数据中心传入和传出的互联网通讯付费,但数据中心内部的通讯都是免费的。因
此提供商通常会针对互联网和内部网通讯进行区别对待,以便实现记账。为了对互联网和内
部网的通讯进行区分,提供商可以使用网络计量端口 ACL 对特定 IP 地址范围传入和传出
的网络通讯进行统计。
Windows Server 2012 技术白皮书——网络 30
第3
在多租户环境中统计虚拟机的使用
Windows Server 2012 中的 Hyper-V 可以让提供商构建多租户环境,在这样的环境中,
虚拟机可以通过更隔离,更安全的方式提供给多个客户,如下图所示。因为一个客户可能需
要多个虚拟机,因此对资源使用数据进行汇总就成为一项充满挑战的工作。然而 Windows
Server 2012 通过使用资源池这一 Hyper-V 功能令此任务大为简化。资源池是一种逻辑
容器,可将属于同一位客户的所有虚拟机的资源聚集在一起,并可对客户的资源使用总量进
行单点查询。
下图演示了在两租户环境中,Windows Server 2012 Hyper-V 的资源计量功能使用情况。
使用 Windows Server 2012 中的 Hyper-V 构建的两租户环境
下图演示了资源计量的基本模式。
资源用量计量的基本模式
在该模式中,托管供应商需要:
1. 为客户创建虚拟机,随后针对虚拟机启用资源计量功能一次。在多租户环境中,提供商
对每个资源池启用计量。随后 Hyper-V 即可追踪每个虚拟机的资源使用情况,直到该
虚拟机被删除。
2. 在每个记账周期的结尾时查询资源用量数据,如果需要即可使用该数据对客户收费。
3. 在每个收款周期结尾时重置统计数据,这样 Hyper-V 就会用一个新的收款周期重新统
计资源用量。
资源计量功能可用于所有 Hyper-V 操作。在 Hyper-V 宿主机之间移动虚拟机(例如使用
Windows Server 2012 技术白皮书——网络 31
第3
实时迁移,脱机迁移,或存储迁移)并不会影响所收集到的数据。
需求
要使用 Hyper-V 资源计量功能,您需要满足下列条件:
Windows Server 2012
Hyper-V 服务器角色
请注意,资源计量功能不支持下列情况:
通过虚拟光纤通道适配器访问的存储。
直接连接到虚拟机的物理磁盘(有时也叫做直通磁盘)。
配置有 OffloadWeight 的网络适配器。
注意:网络负载权重有助于确保有限的硬件资源可动态分配给正确的虚拟机。随着虚拟机在
数据中心内部进行移动,可以使用网络负载权重对虚拟机获得网络硬件卸载功能(例如
SR-IOV)的能力划分优先级。
总结
Windows Server 2012 Hyper-V 的资源计量功能使得您可以更容易追踪每位客户虚拟机
资源使用情况的历史记录。通过该技术所包含的资源池功能,Hyper-V 可以让供应商对多
租户环境中不同客户或业务单元所拥有的多个虚拟机的资源使用记录数据进行汇总。通过该
功能,即可执行容量规划或监控不同业务单元或客户的资源消耗情况。第三方独立软件供应
商(ISV)则可以使用该功能提供的数据构建更可靠的端到端收款解决方案。
IP 地址管理
Windows Server 2012 提供了 IP 地址管理(IPAM)功能,这是一种用于发现、监控、
审计,以及管理企业网络 IP 地址空间以及相关基础架构服务器的框架。IPAM 可提供下列
功能:
自动化的 IP 地址基础架构发现。
从电子表单或其他工具迁移 IP 地址数据。
自定义 IP 地址空间的显示、报表,以及管理。
审计服务器配置变动,并追踪 IP 地址的使用情况。
监控动态主机配置协议(DHCP)与域名系统(DNS)服务,并指定基于场景的管理。
Windows Server 2012 技术白皮书——网络 32
第3
其他突出的特色与功能包括:
无代理架构。
分布式部署。
远程管理,IPAM 控制台可以远程管理网络中的任何 IPAM 服务器实例。
Windows Server 2008、Windows Server 2008 R2、Windows Server 2008 R2 SP1,
以及 Windows Server 2012 基础架构服务器。
备份和还原,以及灾难恢复。
实时迁移。
Active Directory 集成。
内建可用性。
技术描述
IPAM 为您提供了两种主要架构可供选择:
分布式。在企业的每个站点部署一台 IPAM 服务器。这种部署模式主要适合用于降低
从中央 IMAP 服务器管理基础架构服务器时的网络延迟。
集中式。整个企业使用一台 IPAM 服务器。就算在分布式模式中也可以使用这种部署
方式。管理员通过一个控制台,即可查看、监控,并管理整个网络的 IP 地址空间,以
及相关的基础架构服务器。
分布式 IPAM 部署方法的范例如下图所示,其中包含一台 IPAM 服务器,位于企业总部,
每个分支办公室也有其他服务器。企业中不同 IMAP 服务器之间不需要进行通讯或共享数
据库。如果部署了多台 IPAM 服务器,您可以对每台 IMAP 服务器的发现范围进行定制,
或对受管理的服务器进行筛选。IPAM 服务器可以管理指定的域或位置,此外还可以使用第
二台 IPAM 服务器作为备份。
Windows Server 2012 技术白皮书——网络 33
第3
分布式 IMAP 架构范例
IPAM 监控
IPAM 会定期尝试联系您所指定的网络发现作用域范围内的域控制器、DNS,以及 DHCP
服务器,此外还可以手工添加网络策略服务器(NPS)。您必须选择这些服务器是否接受
IPAM 的管理或不接受管理。要接受 IPAM 的管理,服务器的安全设置与防火墙端口必须
通过配置允许 IPAM 服务器访问,以执行所需的监控与配置功能。您可以选择手工配置这
些选项,或使用组策略对象(GPO)对其进行自动化配置。如果您选择自动化方法,当服
务器被标记为受管理后,设置就会应用,如果标记为不受管理,设置会被删除。
IPAM 服务器会与受管服务器使用远程过程调用(RPC)或 WMI 接口进行通讯,如下图
所示。IPAM 对域控制器与 NPS 服务器的监控只是为了实现 IP 地址的追踪。 除了监控
功能,还可以使用 IPAM 配置各种 DHCP 服务器与作用域属性。同时对于 DNS 服务器,
还可提供区域状态监控功能,以及有限的配置功能。
IPAM 服务器的通讯
服务器发现
对于网络中的 DNS 以及 DHCP 服务器,IPAM 支持基于 Active Directory 的自动发现
功能。发现操作完全基于对发现作用域进行配置时所选择的域以及服务器角色。IPAM 可以
Windows Server 2012 技术白皮书——网络 34
第3
发现网络中的域控制器、DNS 服务器,以及 DHCP 服务器,并可根据所指定橘色的协议
事务确认其可用性。除了自动发现,IPAM 还支持将服务器手工添加到 IPAM 的服务器列
表中。
IPAM 服务器发现视图
受管服务器
将服务器的可管理状态配置为 Managed,代表着该服务器位于 IPAM 服务器的管理环境
中。通过受管服务器获取的数据可显示在 IPAM 的不同视图中。要收集的数据类型取决于
该服务器的角色。
非受管服务器
将服务器的可管理状态配置为 Unmanaged,代表着该服务器不在 IPAM 服务器的管理环
境中。IPAM 不会从这些服务器收集数据。
IPAM 安全组
IPAM 可以用独特的权限设置创建安全组,供您控制特定用户或组的访问级别。IPAM 安全
组可提供下列功能:
IPAM 用户。该组成员具有只读权限,可使用 IPAM 界面的所有视图,但 IP 地址追
踪视图除外。
IPAM MSM 管理员。多服务器管理(MSM)管理员组的成员可以读写受管理的基础
架构服务器(DHCP)以及执行其它常见 IPAM 任务。系统管理员通常都是这个组的
成员。
IPAM ASM 管理员。地址空间管理(ASM)管理员组的成员可以读写被管理的 IP 地
址空间,并执行其它常见 IPAM 任务。网络管理员通常都是这个组的成员。
IPAM IP 追踪管理员。IP 追踪管理员组是一个特殊组,具有查看网络中 IP 地址追踪
Windows Server 2012 技术白皮书——网络 35
第3
数据的权限。您可以使用这个组保护可能包含 IP 地址追踪数据的隐私信息。
IPAM 管理员。该组成员可以查看所有 IPAM 数据,并执行所有 IPAM 任务。
IPAM 数据收集任务
IPAM 会定期通过下列任务从受管服务器处收集数据,并显示到 IPAM 视图中,供您监控
与管理(您也可以使用任务计划程序修改这些任务):
服务器发现。自动发现您所选择的域中存在的域控制器、DHCP 服务器,以及 DNS 服
务器。
服务器配置。从 DHCP 与 DNS 服务器收集配置信息,显示在 IP 地址空间与服务器
管理功能中。
地址使用情况。从 DHCP 服务器收集 IP 地址空间使用数据,用于显示当前和历史使
用情况。
事件收集。收集 DHCP 与 IPAM 服务器的运作日志。此外还会从域控制器、NPS,
以及 DHCP 服务器收集事件用于进行 IP 地址追踪。
服务器可用性。从 DHCP 与 DNS 服务器收集服务状态信息。
服务监控。从 DNS 服务器收集区域状态事件。
地址过期。追踪 IP 地址的过期状态以及日志通知。
需求
该功能需要具备下列需求:
Windows Server 2012(在运行 IPAM 的服务器上)。
Windows Server 2008、Windows Server 2008 R2,以及 Windows Server 2012
(用于域控制器、DHCP 服务器、DNS 服务器,以及网络策略服务器[NPS]服务器)。
单一 Active Directory 林。
充当 IPAM 服务器的域成员服务器。IPAM 功能无法安装在 Active Directory 域控
制器上。
总结
Windows Server 2012 中的 IPAM 可降低管理 IP 地址空间所需的时间和负担。例如,
通过使用 IPAM 中集中化的架构功能,您就可以更容易地获取有关分支办公室中 IP 地址
范围使用情况的最新信息,以及分配给特定基础架构服务器的特定地址信息。这一方式使得
IT 专业人员可以在整个组织范围内,用最小的工作量追踪 IP 地址的分配与使用情况。
Windows Server 2012 技术白皮书——网络 36
第3
安全性
DNSSEC
域名系统安全扩展(DNSSEC)是对域名系统(DNS)进行的一个有益补充,有助于保护 DNS
通讯防范攻击。通过对每条 DNS 回应所附加的数字签名进行验证,解析方即可知道 DNS
数据的真实性,哪怕数据来自不可信的 DNS 服务器也没关系。
尤其是,DNSSEC 提供了来源权威、数据完整性,以及否定认证存在等机制。
Windows Server 2012 通过下列功能对 DNSSEC 的实施进行了扩展与简化:
支持最新标准。
Active Directory 集成。
简化的部署。
“设置后无需再关注”的操作体验。
技术描述
Windows Server 2012 增加了多个用于管理和实施 DNSSEC 的新功能。
支持最新标准。
Windows Server 2012 支持最新的 DNSSEC 标准,包括:
NSEC3 签名标准 RFC 5155,并可支持否定认证存在机制。
RSA/SHA-2 per RFC 5702。
Automated Trust Anchor Rollover 标准 RFC 5011。
简化的部署。
DNSSEC 的部署是一项阶段性工作,首先需要从对 DNS 区域进行签名开始。对区域签名
完毕后,可以保障 DNS 系统的稳定性,并且通过缓存解析程序可对 DNS 响应进行验证。
最终,Windows 7 与 Windows 8 客户端就可以通过缓存解析程序获得一套可信赖的回
应。
Windows Server 2012 可通过标准的 DNS 管理工具,包括 DNS 管理器以及 Windows
PowerShell 对 DNSSEC 进行签名与管理。
Windows Server 2012 技术白皮书——网络 37
第3
使用 DNS 管理器对区域进行签名
在使用 DNS 管理器对区域签名时,会出现一个向导,通过“推荐的设置”选项供您对区
域进行一键签名。
为区域配置 DNSSEC 签名
DNSSEC 签名的区域还可以通过 Windows PowerShell 实现完整的管理。
Active Directory 集成
Windows Server 2012 还可支持将 Active Directory 与 DNSSEC 集成。这其中包括:
密钥生成与复制。
DNSSEC 签名区域内的 DNS 动态更新。
通过 Acrive Directory 实现自动化的 Trust anchor distribution。
Windows Server 2012 技术白皮书——网络 38
第3
Active Directory 集成功能示意图
下文将介绍 Windows Server 2012 中 DNSSEC 的一些重要特性,这些功能使得您可以
在 Active Directory 环境中对 DNS 区域进行签名,并在缓存解析程序上对 DNS 响应进
行验证。
主要操作
在多主 DNS 环境中,例如企业中最常见的 Active Directory 环境中,每台操作主机服务
器对于其他所有操作主机服务器都是完全相同的。然而对于 DNSSEC 的特定区域,只能由
一台操作主机服务器执行密钥生成与密钥管理工作。Windows Server 2012 提供了
DNSSEC 密钥主机这一概念。任何承载区域主要副本的权威 DNS 服务器都可指定为密钥
操作主机,而如果承载了区域的主要副本,任何服务器都可以充当多个区域的密钥操作主机。
管理员需要选择充当密钥操作主机,负责特定区域密钥管理工作的 DNS 服务器。不同的
DNS 服务器还可以充当不同区域的密钥操作主机。密钥操作主机主要取决于特定区域的上
下文环境,并不能跨越多个服务器、区域、域,或林,成为全局服务器。当管理员开始针对
某一区域执行 DNSSEC 操作时,当前服务器会自动变为这个区域的密钥操作主机。如果有
必要,密钥操作主机角色还可以移动到其他 DNS 服务器,但前提是该服务器需要承载这
个区域的主要副本。DNSSEC 需要在密钥操作主机上配置,并负责该区域的密钥生成与密
钥管理工作。密钥操作主机会追踪过期的签名,并自动刷新即将过期的签名,这样既可确保
区域数据的持续可用。在密钥操作主机更新密钥时,Active Directory 会自动将这些更新
复制到所有其他域控制器。
密钥操作主机还要负责分发私钥以及区域签名信息。只有密钥操作主机才能借助或通过密钥
签名密钥(KSK)随意执行任何操作。密钥操作主机需要全力负责执行 KSK 与区域签名密
钥(ZSK)的撤销工作,并需要对子区域进行轮训,以确保签名的委派永远保持最新。被指
定为密钥操作主机的服务器必须保持在线以及高可用性,以确保提供不中断服务,借此进行
密钥签名操作。
Windows Server 2012 技术白皮书——网络 39
第3
Trust anchors
在加密算法领域中,Trust anchor 是一种权威实体,主要包含公钥与相关数据。在 DNSSEC
的术语中,Trust anchor 是一种经过配置的 DNSKEY 资源记录,或者也可以是 DNSKEY
资源记录的 DNS 资源记录哈希。解析程序需要使用该公钥或哈希作为构建已签名 DNS
响应的身份验证链的起点。特定已签名区域的 Trust anchor 必须在每个需要通过该签名区
域验证 DNS 数据的 DNS 解析程序上配置。
在配置过程中,如果承载该区域的 DNS 服务器是域控制器,您可以决定自动将该 Trust
anchors 发布到域中其他 DNS 服务器上。这也包含域控制器上承载的文件端区域。如果
密钥操作主机是独立服务器,没有集成于 Active Directory(例如是成员服务器),那么该
选项将不可用。
动态区域签名
通过使用 Windows Server 2012,DNS 服务器已经可以自动执行签名后任务,以往在老
版本 Windows 中,该操作只能手工进行。这个设计极大地降低了 DNSSEC 签名区域的
总体拥有成本。
Windows Server 2012 可自动处理下列签名后任务:
区域数据的自动签名。在通过 Active Directory 将密钥复制到 DNS 服务器后,每台
DNS 服务器上的区域数据会自动签名。更新的发送与接收会用未签名方式通过
Active Directory 复制实现。在收到未签名的更新后,每台权威服务器会生成必要的
DNSSEC 签名,以保护更新后的区域数据,随后将其添加到自己的区域副本中。
后台区域签名。在区域签名过程中,DNSSEC 签名的区域会维持在线状态,可随时接
受查询或更新。
动态更新。这些更新可在签名区域上进行,而任何 DNS 服务器只要是这个区域的权
威,就可以接受动态更新。
清理。在 Windows Server 2012 中,签名区域中老化数据的清理方式与未签名区域
完全相同。
密钥撤销
DNSSEC 密钥的寿命并非永久的,因此需要定期更换。密钥使用的时间越长,承受的风险
就越高。密钥的更替流程(也叫做密钥撤销)是操作 DNSSEC 签名区域必不可少的一部分。
Windows Server 2012 的 DNS 可支持自动化的密钥撤销管理,包括为 ZSK 与 ZSK 的
撤销提供并配置可支持的方法,并负责了真正执行密钥撤销的全过程。
DNSSEC trust anchors 的自动更新
为了对受 DNSSEC 保护的数据进行验证,可感知 DNSSEC 的解析程序必须了解该区域的
Windows Server 2012 技术白皮书——网络 40
第4
Trust anchor。Windows Server 2012 中的 DNS 提供了可感知 DNSSEC 的解析程序,
可对 Trust anchor 的变动进行轮训,并通过 RFC 5011 自动获取更新后的 Trust anchor
副本。
需求
该功能需要具备下列需求:
区域签名。为了实现在线区域签名,要求具备运行 Windows Server 2012 的权威
DNS 服务器。
Trust anchor 分发。需要有运行 Windows Server 2012 的 Active Directory 集成
权威 DNS 服务器负责对 Trust anchor 进行自动分发。在非权威,没有集成 Active
Directory 的 DNS 服务器上手工进行 Trust anchor 分发,如果区域使用 NSEC3
进行签名,或使用了 RSA/SHA-1 之外的其他签名算法,则依然要求具备 Windows
Server 2012。
签名区域的承载。如果区域使用 NSEC3 进行签名,或使用了 RSA/SHA-1 之外的其
他签名算法,则权威 DNS 服务器必须运行 Windows Server 2012。在 Windows
Server 2012 中,只读域控制器(RODC)可承载签名区域的辅助副本。
签名区域的验证。如果区域使用 NSEC3 进行签名,或使用了 RSA/SHA-1 之外的其
他签名算法,则解析 DNS 服务器必须运行 Windows Server 2012 才能对受到
DNSSEC 保护的响应进行验证。
客户端计算机。Windows 7 或 Windows 8。
总结
Windows Server 2012 通过支持联机签名以及自动密钥管理,简化了 DNSSEC 的配置与
管理。这些增加的功能使得企业客户能够更容易地保护自己的内部 DNS 基础架构,以及
外部 DNS 通讯,同时降低管理工作负担,并降低总体拥有成本。
Windows Server 2012 技术白皮书——网络 41
第4
将私有云连接到公共云服务
Windows Server 2012 通过下列新增和改进的功能在多租户环境,以及将私有云与公共云
连接在一起的环境中提供安全性、便利性,以及适用性:
Hyper-V 网络虚拟化,包括常规路由封装(GRE),以及 IP 地址重写。
Hyper-V 可扩展交换机,包括端口 ACL、PVLAN、ARP/ND 欺骗保护、DHCP Guard、
虚拟机 Trunk 模式,以及监控。
服务质量(QoS)。
RDP WAN 优化。
WebSocket 协议。
服务器名标识符(SNI)。
Hyper-V 网络虚拟化
在共享式网络中,对不同部门或客户的虚拟机进行隔离是一个极大的挑战。如果这些部门或
客户需要将整个虚拟机网络进行隔离,挑战就更加严峻。以往,主要是用 VLAN 对网络进
行隔离,但在大规模环境中这种做法非常难以管理。Hyper-V 网络虚拟化技术解决了这一
问题。通过该功能,您可以将共享式基础架构中不同业务单元或客户的网络通讯进行隔离,
同时并不需要使用 VLAN。Hyper-V 网络虚拟化技术还使得您可以在虚拟化基础架构中按
需移动虚拟机,同时可以保留原本的虚拟网络分配。最终,您甚至可以借助 Hyper-V 网络
虚拟化技术,用透明的方式将这些私有网络集成到其他站点已经存在的基础架构中。
通过使用 Hyper-V 网络虚拟化技术,您可以轻松地将任何虚拟机放置在任何节点上,无论
其 IP 地址是什么,这样多个虚拟机就可以具有自己的 IP 地址,这也使得客户使用原有的
内部虚拟机或物理服务器向私有云的过渡过程更容易。
Windows Server 2012 是一套更完善的虚拟化平台,并且远远超越了服务器本身,开始投
身到网络世界中。Windows Server 2012 可提供下列收益:
灵活性。在宿主机计算机、网络,以及数据中心之间移动虚拟机,无需安排停机,不会
影响用户,更不需要重新配置服务器。通过使用您原有的网络基础架构,创建无限数量
的虚拟网络,并在不影响服务的情况下对其重新安排,以获得最大化的效率。将位于全
球的虚拟机连接在一起,就好像他们位于同一个服务器机架上。 通过磁盘创建存储池,
并让存储遍布网络的每个角落。
稳定性。在获得云计算高效率的同时支持所需的服务级别协议(SLA),并提供专用服
务器与网络硬件所能提供的 QoS。通过对虚拟机进行持续的备份与复制,避免数据丢
Windows Server 2012 技术白皮书——网络 42
第4
失和停机,位于数据中心内,或遍布世界的所有虚拟机都能获得妥善保护。
强大。通过在一台服务器上最多支持 320 颗逻辑处理器,以及每个虚拟机最多支持 64
颗虚拟处理器,您可以获得更高级别的性能,并用更少的宿主机整合更多服务器。
可管理性。您可以用自己的 Active Directory 凭据登录到任何服务,无论服务位于本
地网络或云端。将您的域控制器搬往云端。针对特定虚拟机的网络用量进行监控并记账。
新增与该新的功能
Windows Server 2012 对 Hyper-V 网络虚拟化技术进行了极大的改进,可在改善性能的
同时简化配置与管理工作。下文列出了一些新增的功能与收益:
用更容易的方式让负载使用共享式 IaaS。客户可以在保留自己内部 IP 地址的同时将
负载迁往共享式 IaaS 云,IP 地址、域名系统(DNS)名称、安全策略,以及虚拟及
配置等相关选项的改动可以做到最少。
服务器与网络的管理自成一体。服务器负载的安置也得到了简化,因为负载的迁移与安
置可独立于底层物理网络配置。服务器管理员可以专注于服务与服务器的管理,而网络
管理员可以专注于整体网络基础架构与通讯的管理。
租户的隔离不再依赖 VLAN。在由软件定义的,基于策略的数据中心网络内,网络通
讯的隔离不再依赖 VLAN;相反,可以在 Hyper-V 宿主机内部根据多租户隔离策略
强制实现。如果拓扑主要是静态的,网络管理员依然可以使用 VLAN 对物理基础架构
的通讯进行管理。
灵活的负载安置与跨子网实时迁移都已成为可能。服务与负载可以在保留原有 IP 地址
的情况下,安置或迁移到数据中心内的任何服务器上,不会受制于物理 IP 子网层次结
构或 VLAN 配置。
网络得以简化,而服务器/网络资源的使用得以加强。物理网络基础架构中,VLAN 的
刻板与虚拟机的依赖性经常导致过度供应与使用率不高等问题。通过破除这种依赖性,
虚拟机负载安置方面灵活性的提高可简化网络的管理,改善服务器与网络资源的利用率。
网络虚拟化完全可兼容原有的基础架构与新出现的技术。Hyper-V 网络虚拟化技术可
以部署到今天的数据中心内,并且可完整兼容新出现的数据中心“平坦网络”技术,例
如通过多链路透明互联(TRILL,这是一项 IETF 标准)架构对以太网拓扑进行扩展。
使用了基于标准的方法。Hyper-V 网络虚拟化可使用原有的标准 IP 协议与通用路由
嵌套(GRE)头格式。
此外还能使用 Windows PowerShell/Windows 管理规范(WMI)。您可以使用
Windows PowerShell 轻松编写脚本,让管理任务自动化。
Windows Server 2012 技术白皮书——网络 43
第4
技术描述
Hyper-V 网络虚拟化对服务器虚拟化的概念进行了扩展,可在同一个物理网络中实现多个
虚拟网络,尤其是可以让不同网络使用重叠的 IP 地址。通过 Hyper-V 网络虚拟化,您可
以设置策略,对独立于物理基础架构的专用虚拟网络中的通讯进行隔离。下图演示了使用
Hyper-V 网络虚拟化技术对属于两个不同客户的网络进行隔离的方法。在该图中,蓝色和
红色虚拟机托管在同一个物理网络中,甚至可能在同一台物理服务器上。然而因为这些虚拟
机分属于蓝色和红色网络,虚拟机之间无法相互通讯,尽管这些虚拟机可能使用了同一个地
址空间中的 IP 地址。
使用 Hyper-V 网络虚拟化技术对属于两个不同客户的网络进行隔离
要使用 Hyper-V 网络虚拟化技术对网络进行虚拟化,每个虚拟机需要分配两个 IP 地址:
客户地址。这是客户根据自己原有的内部基础架构分配到的 IP 地址。该地址使得客户
能够与其他虚拟机交换网络通讯,就好像虚拟机并未迁往公共或私有云环境一样。客户
地址只能被客户自己的虚拟机看到和访问。
供应商地址。这是宿主机根据自己的物理网络基础架构分配的 IP 地址。供应商地址会
出现在与托管了虚拟机的 Hyper-V 宿主机通讯时所交换的数据包内。该地址可被物理
网络看到,但不能被虚拟机看到。
客户地址层可与客户的网络拓扑相一致,会被虚拟化,并与底层物理网络地址脱离关系,这
一点在实施上与供应商地址层是一致的。通过使用 Hyper-V 网络虚拟化技术,任何虚拟机
负载都可以不经修改,直接在任何运行了 Hyper-V 的 Windows Server 2012 服务器上
运行,并且服务器可位于任何物理子网,但前提是运行 Hyper-V 的服务器具有相应的策略
设置,可在两个地址之间进行映射。
这种方法可提供多种收益,包括跨子网实时迁移、托管供应商运行 IPv6 数据中心的同时客
Windows Server 2012 技术白皮书——网络 44
第4
户虚拟机继续使用 IPv4,反之亦然,此外还可以让多个客户使用相互重叠的 IP 地址范围。
但是通过使用相互独立的客户与供应商地址最大的优势可能在于,这种做法使得客户能够在
不需要进行任何额外配置的情况下,直接将自己的虚拟机迁往云端。
请考虑下图所示范例。
Blue Corp 与 Red Corp 都在将自己的基础架构迁往托管式云环境中。下图显示了相关的
虚拟与物理基础架构环境。
Blue Corp 与 Red Corp 的物理与虚拟网络基础架构
在迁往托管供应商的共享式云服务之前:
Blue Corp 在 10.1.1.1 这个 IP 地址上运行了一个 SQL Server 实例(名为 SQL),
并在 10.1.1.2 这个 IP 地址上运行了一台 Web 服务器(名为 WEB),该服务器需要
访问 SQL Server 处理数据库事务。
Red Corp 也有一个名为 SQL 的 SQL Server 实例,使用的 IP 地址是 10.1.1.1,
并且也有一台名为 WEB 的 Web 服务器,使用的 IP 地址是 10.1.1.2,同样需要访
问 SQL Server 处理数据库事务。
Blue Corp 与 Red Corp 都将自己的 SQL Servers 与 WEB 服务器迁往同一个托管供应
商的共享式 IaaS 环境,他们分别在 Hyper-V Host 1 上运行 SQL 虚拟机,在 Hyper-V
Host 2 上运行 WEB 虚拟机。所有虚拟机都使用了自己原有的内部 IP 地址(相应的客户
地址):
Blue Corp 的虚拟机客户地址为:SQL 为 10.1.1.1;WEB 为 10.1.1.2。
Red Corp 的虚拟机客户地址为:SQL 为 10.1.1.1;WEB 为 10.1.1.2。
这两家公司的虚拟机在交付时,托管供应商分配了下列供应商地址:
Blue Corp 的虚拟机供应商地址为:SQL 为 192.168.1.10;WEB 为 192.168.1.12。
Red Corp 的虚拟机供应商地址为:SQL 为 192.168.1.11;WEB 为 192.168.1.13。
托管供应商创建策略设置,为 Red Corp 提供隔离组,将 Red Corp 虚拟机的客户地址与
分配的供应商地址进行映射,同时为 Blue Corp 创建另一个隔离组,将 Blue Corp 虚拟
Windows Server 2012 技术白皮书——网络 45
第4
机的客户地址与分配的供应商地址进行映射。供应商将这些策略应用给 Hyper-V Host 1
与 Hyper-V Host 2。
当 Hyper-V Host 2 上的 Blue Corp WEB 需要访问 10.1.1.1 的 SQL Server 时,会发
生下列情况:
根据其策略设置,Hyper-V Host 2 会对数据包中的地址进行如下转换:
源:10.1.1.2(Blue Corp WEB 的客户地址)。
目标:10.1.1.1(Blue Corp SQL 的客户地址)。
上述地址会被转换为:
源:192.168.1.12(Blue Corp WEB 的供应商地址)。
目标:192.168.1.10(Blue Corp SQL 的供应商地址)。
当 Hyper-V Host 1 收到数据包后,根据其策略设置,Hyper-V 网络虚拟化技术会将
数据包中的地址做如下转换:
源:192.168.1.12(Blue Corp WEB 的供应商地址)。
目标:192.168.1.10(Blue Corp SQL 的供应商地址)。
在 Hyper-V 将数据包发往 Blue Corp SQL 虚拟机之前,则会将地址重新转回为:
源:10.1.1.2(Blue Corp WEB 的客户地址)。
目标:10.1.1.1(Blue Corp SQL 的客户地址)。
当 Hyper-V Host 1 上的 Blue Corp SQL 虚拟机响应查询时,会发生下列情况:
根据其策略设置,Hyper-V Host 1 会对数据包中的地址进行如下转换:
源:10.1.1.1(Blue Corp SQL 的客户地址)。
目标:10.1.1.2(Blue Corp WEB 的客户地址)。
上述地址会被转换为:
源:192.168.1.10(Blue Corp SQL 的供应商地址)。
目标:192.168.1.12(Blue Corp WEB 的供应商地址)。
当 Hyper-V Host 2 收到数据包后,根据其策略设置,Hyper-V 网络虚拟化技术会将
数据包中的地址做如下转换:
源:192.168.1.10(Blue Corp SQL 的供应商地址)。
目标:192.168.1.12(Blue Corp WEB 的供应商地址)。
Windows Server 2012 技术白皮书——网络 46
第4
在将数据包发往 Blue Corp WEB 虚拟机之前,会对地址做下列转换:
源:10.1.1.1(Blue Corp SQL 的客户地址)。
目标:10.1.1.2(Blue Corp WEB 的客户地址)。
在使用 Red Corp 隔离组设置的 Red Corp WEB 与 SQL 虚拟机之间,也进行着类似的
过程。通过使用 Hyper-V 网络虚拟化技术,Red Corp 与 Blue Corp 的虚拟机可以像原
先在内部那样进行交互,但绝对无法互通,尽管它们使用了相同的 IP 地址。通过使用独立
的客户与供应商地址进行隔离,使用 Hyper-V 宿主机的策略设置,并针对传入与传出虚拟
机的通讯在客户与供应商地址之间使用地址转换技术,这两套服务器即可实现隔离。
Hyper-V 网络虚拟化的设置与维护需要使用策略管理服务器,该功能可集成在管理虚拟机
的工具中。
IP 地址重写
IP 地址重写技术可修改虚拟机数据包的客户 IP 地址,随后才将其发往物理网络,这一过
程如下图所示。
IP 地址重写技术范例
IP 地址重写可提供更好的性能,因为该技术完全可兼容现有的 Windows 网络卸载技术,
例如虚拟机队列(VMQ)。该技术还意味着不再需要升级原有的网络适配器、交换机,或其
他网络设备。
通用路由嵌套(GRE)
通过使用 GRE,虚拟机的所有数据包都可以使用新的头部信息进行嵌套,随后再发出。GRE
可提供更好的网络扩展能力,因为特定宿主机上的所有虚拟机可以共享同一个供应商 IP 地
址,这一过程如下图所示。
Windows Server 2012 技术白皮书——网络 47
第4
通用路由嵌套示意图
需求
Hyper-V 网络虚拟化技术要求使用 Windows Server 2012 以及 Hyper-V 服务器角色。
总结
Hyper-V 网络虚拟化技术可供您通过自定义的策略对私有云中的网络通讯进行塑型,而无
须依赖复杂的 VLAN。通过网络虚拟化技术,不同客户可分享同一套物理网络基础架构,
但整个环境更安全,并且可以为自己托管的服务选择 IP 地址,使其与自己的私有网络更好
地集成在一起。最终,Hyper-V 网络虚拟化技术使得您能够更高效地使用基础架构,因为
当您可以随意在数据中心内部移动客户负载时,您就可以做出更积极主动的整合战略。
Hyper-V 可扩展交换机
Windows Server 2012 通过新增的 Hyper-V 可扩展交换机,为使用共享式基础架构即服
务(IaaS)环境的客户提供了更好的多租户安全特性。Hyper-V 可扩展交换机是一种二层
虚拟网络交换机,可提供编程式管理与扩展功能,并能将虚拟机连接到物理网络,如下图所
示。
Windows Server 2012 技术白皮书——网络 48
第4
Hyper-V 可扩展交换机
技术描述
Windows Server 2012 通过下列功能为多租户环境提供隔离与安全保护:
通过私有虚拟 LAN(PVLAN)提供多租户虚拟机隔离。
保护防范地址解析协议/邻居发现(ARP/ND)投毒(也叫做仿冒)。
保护防范动态主机配置协议(DHCP)仿冒与 DHCP Guard。
虚拟端口 ACL。
将传统 VLAN 封装到虚拟机内部的能力。
监控。
Windows PowerShell/Windows 管理规范(WMI)。
通过 PVLAN 实现虚拟机隔离
Windows Server 2012 提供了对 PVLAN 的支持,该功能可在同一 VLAN 的两个虚拟机
之间提供隔离。
如果一台虚拟机不需要与另一台虚拟机通讯,您就可以使用 PVLAN 将其与您数据中心内
的其他虚拟机隔离。为此,您需要在 PVLAN 中为每台虚拟机分配一个主要 VLAN ID,以
及一个或多个辅助 VLAN ID。您可以让辅助 PVLAN 使用下列三个模式中的任何一种,如
下表所示。
Windows Server 2012 技术白皮书——网络 49
第4
PVLAN 模
式
描述
隔离 隔离的端口无法在第二层相互交换数据包。
混合 混合的端口只能与使用相同主要 VLAN ID 的其他端口交换数据包。
通讯 VLAN ID 相同的通讯端口可在第二层与其他端口交换数据包。
这些 PVLAN 模式决定了在 PVLAN 中,此虚拟机可与其他哪些虚拟机通讯。 如果您希
望隔离虚拟机,那么就可以使用隔离模式。
ARP/ND 仿冒保护
Hyper-V 可扩展交换机可保护防范恶意虚拟机从其他虚拟机处通过 ARP 仿冒(也叫做
IPv4 ARP 投毒)偷取 IP 地址。通过这种类型的中间人攻击,恶意虚拟机可以发送假冒的
ARP 信息,其中包含自己的 MAC 地址与自己想要拥有的 IP 地址。随后,其他不明真相
的虚拟机就会将原本需要发往此 IP 地址的网络通讯发往这台恶意虚拟机所使用的 MAC
地址,而非原本的目标地址。
对于 IPv6,Windows Server 2012 提供了名为 ND 仿冒的类似技术。
DHCP Guard 保护
在 DHCP 环境中,恶意 DHCP 服务器可能会拦截客户端 DHCP 请求,并提供错误的地
址信息。恶意 DHCP 服务器可能会导致通讯被路由到能对所有通讯进行窃听的恶意中介,
随后才将其转发到合法目的地。为了保护防范这种类型的中间人攻击,Hyper-V 管理员可
以 指 定哪 些 Hyper-V 可 扩 展交 换 机端 口能 够允 许 DHCP 服 务器 连接 。 来自 其他
Hyper-V 可扩展交换机端口的 DHCP 服务器通讯都会被自动丢弃。Hyper-V 可扩展交换
机可以保护防范恶意 DHCP 服务器,防止其提供可能导致通讯被错误路由的 IP 地址。
虚拟端口 ACL
端口 ACL(访问控制列表)针对 Hyper-V 可扩展交换机的虚拟端口,提供了一种用于实
现网络隔离,以及网络通讯计量的机制。通过使用端口 ACL,您可以对可以(或无法)与
虚拟机通讯的 IP 地址或 MAC 地址进行计量。例如,您可以使用端口 ACL 对虚拟机进
行强制隔离,使其只能与互联网,或与定义的一系列地址通讯。
通过使用计量功能,即可对从特定 IP 地址或 MAC 地址发出或接收的通讯进行计量,这
样即可对通过互联网或网络存储阵列发出和接收的通讯创建报表。
对于同一个虚拟端口,可以配置多个端口 ACL。每个端口 ACL 都包含源与目标网络地址,
以及允许或禁止或计量等操作指令。计量功能还可提供有关虚拟机尝试从受限(“拒绝”)地
Windows Server 2012 技术白皮书——网络 50
第5
址发送或接收通讯的实例数量信息。
到虚拟机的封装模式
通过使用 Hyper-V 可扩展交换机的封装模式,来自多个 VLAN 的通讯可以重定向到虚拟
机中一个网络适配器上,并且虚拟机也可以有针对性地只从一个 VLAN 接收通讯。这样来
自不同 VLAN 的通讯即可进行整合,虚拟机还可对多个 VLAN 进行监听。该功能有助帮
您对网络通讯进行塑型,并在数据中心内强制实施多租户安全。
监控
很多物理交换机可以监控来自特定端口,流向交换机所连接的指定虚拟机的通讯。Hyper-V
可扩展交换机提供了端口监控功能,可供管理员指定要监控的虚拟端口,以及被监控端口到
哪个虚拟端口的通讯需要进行进一步处理。例如,安全健康虚拟机可以对交换机上所连接的
其他虚拟机的通讯流进行模式判断,寻找可疑迹象。此外,通过监控绑定给特定交换机端口
的通讯,管理员还可以诊断网络连接问题。
Windows PowerShell/WMI
与 Windows Server 2012 中的所有功能一样,您可以使用 Windows PowerShell
cmdlet 通过 Hyper-V 可扩展交换机构建命令行工具或自动化脚本,实现安全、配置、监
控,以及排错等目的。这些 cmdlet 还可以远程运行。Windows PowerShell 通过改进,
还可让第三方构建自己的工具,管理 Hyper-V 可扩展交换机。
需求
Hyper-V 可 扩 展 交 换 机 的 扩 展 能 力 完 全 内 建 于 Hyper-V 服 务 器 角 色 , 需 要 具 备
Windows Server 2012。
总结
Windows Server 2012 中的 Hyper-V 可扩展交换机提供了大量新功能,能为多租户环境
提供隔离与安全保护。例如,托管供应商可以使用端口 ACL 对不同客户的网络实现全面隔
离,但这并不需要设置并维护 VLAN。
Hyper-V 可扩展交换机还提供了保护,可防范 ARP 仿冒与欺诈,保护防范 DHCP 仿冒,
可支持 VLAN 封装模式,并可通过端口监控功能监控虚拟机的网络通讯。并且与
Windows Server 2012 中大部分其他新增和改进的功能类似,Hyper-V 可扩展交换机通
过支持 Windows PowerShell 以及 WMI,通过命令行与自动化脚本提供了更好的可管理
能力,并可提供全面的日志功能。
通过对 Hyper-V 可扩展交换机进行扩展获得新功能
Windows Server 2012 技术白皮书——网络 51
第5
很多企业需要对虚拟交换机功能进行扩展,在虚拟环境中使用自己专用的插件。当 IT 专业
人员安装虚拟交换机时,他们需要的实际上是某类可以获得与物理网络相同特性的功能,例
如添加防火墙、入侵检测系统,以及网络通讯监控工具。然而,此处面对的挑战是,必须能
通过简单易行的方法为虚拟交换机添加虚拟化装置、扩展,以及其他功能与特性。大部分虚
拟交换机技术以闭合系统为基础构建而来,因此企业开发人员和第三方供应商很难有针对性
地开发解决方案,同时在虚拟交换机中的安装新功能的步骤也很难做到快速简单。
Hyper-V 可扩展交换机改变了这一切。通过使用 Hyper-V 可扩展交换机,IT 专业人员可
以更容易地给自己的虚拟机与虚拟网络添加更多功能。同时企业内部的开发人员与第三方供
应商有了一个开放的平台,可以创建解决方案,对交换机的基本功能进行扩充。如果您正在
负责制定企业的 IT 采购决策,您肯定需要知道,您选择的虚拟化平台不应将您锁定到只能
使用少量可兼容功能、设备,或技术的环境中。
在 Windows Server 2012 中,Hyper-V 可扩展交换机提供了新的扩展潜能。
技术描述
Windows Server 2012 中的 Hyper-V 可扩展交换机是一种二层虚拟网络交换机,可提供
编程式管理与扩展功能,并能将虚拟机连接到物理网络。Hyper-V 可扩展交换机是一套开
放平台,可供不同供应商开发扩展,扩展的编写可以使用标准的 Windows API 框架。扩
展的实用性通过 Windows 标准框架得以加强,并且第三方开发的工作量也有所降低,这
一切都可得到 Windows 硬件质量实验室(WHQL)认证项目的支持。您可以使用
Windows PowerShell、用编程的方法借助 WMI,或使用 Hyper-V 管理器用户界面,直
接管理 Hyper-V 可扩展交换机及其扩展。
本节将专注于针对第三方扩展的开放式可扩展能力与可管理能力。
可扩展能力
Windows Server 2012 中 Hyper-V 可扩展交换机的架构是一种开放式框架,可允许第三
方为虚拟交换机添加新的功能,例如监控、转发,以及筛选。
扩展的实施需要用到网络设备接口规范(NDIS)筛选器驱动,以及 Windows 筛选平台
(WFP) callout 驱动。对 Windows 网络功能进行扩展的这两个公开的 Windows 平
台分别是:
NDIS 筛选器驱动主要用于在 Windows 中监控或修改网络数据包。NDIS 筛选器最
早出现于 NDIS 6.0 规范中。
WFP callout 驱动最早出现在 Windows Vista 以及 Windows Server 2008 中,可
供独立软件供应商(ISV)创建驱动,对 TCP/IP 数据包进行筛选和修改,监控或授权
连接,对 IP 安全(IPsec)技术保护的通讯进行筛选,以及筛选远程过程调用(RPC)。
对 TCP/IP 数据包进行筛选和修改使得您可以用前所未有的方式访问 TCP/IP 数据包
Windows Server 2012 技术白皮书——网络 52
第5
处理路径。在这个路径上,您可以先于其他所有处理工作,查看或修改传出与传入的数
据包。通过在不同层面上绕过 TCP/IP 处理路径,您可以更容易地创建防火墙、反病
毒软件、诊断软件,以及其他类型的应用程序与服务。详细信息请参阅 Windows 筛
选平台。
扩展程序可用于扩展或取代交换过程的下列三个阶段:
Ingress 筛选
目标查询与转发
Egress 筛选
此外,通过对扩展进行监控,您还可以收集在交换的不同层面上对通讯进行监控所获得的统
计数据。在 Hyper-V 可扩展交换机的 ingress 与 egress 阶段,还可支持多个监控与筛
选扩展。每个交换机实例只能使用一个转发扩展实例,该实例会覆盖 Hyper-V 可扩展交换
机的默认交换功能。
下表列出了不同类型的 Hyper-V 可扩展交换机。
扩展 用途 可能的范例 扩展组件
网络数据包检查 检查网络数据包,但不修改。 sFlow 与 网 络
监控 NDIS 筛选器驱动
网络数据包筛选 注入,修改,并丢弃网络数
据包。
安全性 NDIS 筛选器驱动
网络转发 可绕过默认转发的第三方转
发。
OpenFlow、虚
拟 以 太 网 端 口
聚合(VEPA),
以 及 专 利 网 络
设备
NDIS 筛选器驱动
防火墙/入侵检测 筛 选 并 修 改 TCP/IP 数 据
包,监控或授权连接,筛选
受到 IPsec 保护的通讯,筛
选 RPC
虚 拟 防 火 墙 与
连接监控 WFP Callout 驱动
Hyper-V 可扩展交换机提供了一套开放的交换 API,可用于对适用于 Hyper-V 的交换机
和管理产品进行增强。
Windows Server 2012 中 Hyper-V 可扩展交换机的架构是一种开放式框架,可允许第三
方为虚拟交换机添加新的功能。下图演示了 Hyper-V 可扩展交换机与扩展模型的架构。
Windows Server 2012 技术白皮书——网络 53
第5
Hyper-V 可扩展交换机的架构
Hyper-V 可扩展交换机一些功能的扩展能力如下:
扩展监控。此外,通过对扩展进行监控,您还可以收集在交换的不同层面上对通讯进行
监控所获得的统计数据。在 Hyper-V 可扩展交换机的 ingress 与 egress 阶段,还
可支持多个监控与筛选扩展。
扩展的惟一性。在一台计算机的可扩展交换机不同实例中,扩展的状态/配置是独一无
二的。
扩展可以了解虚拟机的生命周期。虚拟机的活动周期与物理服务器非常类似,根据其核
心负载的不同,在日间与夜间的不同时段有不同的峰值。 扩展可根据您虚拟机中所运
行负载的周期,了解网络通讯的流动情况,并据此对虚拟网络进行优化,获得更好的性
能。
扩展可针对状态的改动进行投票。扩展可通过实施监控、安全,以及其他功能进一步改
善 Hyper-V 可扩展交换机的性能、可管理性,以及诊断能力。通过识别有害的状态改
动,并在实际发生前将其阻止,扩展可帮您确保系统的安全性与可靠性。
同一交换机上多个扩展。多个扩展可在同一个 Hyper-V 可扩展交换机上共存。
可管理性
通过使用 Hyper-V 可扩展交换机内建的下列管理功能,您还可对 Hyper-V 可扩展交换机
网络进行排错,并解决问题:
Windows PowerShell 与脚本支持。Windows Server 2012 为 Hyper-V 可扩展交
换机提供了 Windows PowerShell cmdlet,可供您构建命令行工具或自动化脚本,实
现安全、配置、监控,以及排错等目的。Windows PowerShell 通过改进,还可让第
Windows Server 2012 技术白皮书——网络 54
第5
三方构建自己的工具,管理 Hyper-V 可扩展交换机。
统一的追踪与更好的诊断。Hyper-V 可扩展交换机包含统一追踪功能,可提供两种不
同程度的排错。在第一层,Windows 事件追踪(ETW)功能提供程序使得 Hyper-V 可
扩展交换机能够通过 Hyper-V 可扩展交换机与扩展追踪允许的数据包事件,使得确定
问题发生位置的工作变得更容易。第二层则可捕获数据包,实现完整的事件与通讯数据
包追踪。
需求
Hyper-V 可 扩 展 交 换 机 的 扩 展 能 力 完 全 内 建 于 Hyper-V 服 务 器 角 色 , 需 要 具 备
Windows Server 2012。
总结
Hyper-V 可扩展交换机是一套开放式平台,因此第三方供应商可以通过插件提供更多额外
功能,例如通讯监控、防火墙筛选,以及交换转发。这些插件的管理可以统一通过 Windows
PowerShell cmdlet 与 WMI 脚本进行。
通过提供下列功能,Hyper-V 可扩展交换机能让您用更简单的方式实施并管理虚拟化数据
中心:
支持插件的开放式平台。Hyper-V 可扩展交换机是一套开放式平台,可将插件放在虚
拟交换机的任何通讯之间,包括虚拟机到虚拟机通讯。扩展可提供通讯监控、防火墙筛
选,以及交换转发等功能。为了推动整个生态系统,在 Hyper-V 可扩展交换机正式发
布时,将有多家合作伙伴发布自己的扩展。Hyper-V 不会遇到“仅限一个交换机”的
解决方案。
核心服务都是免费的。核心服务也可用于扩展。例如,所有扩展默认都能支持实时迁移,
无需特殊开发或额外的服务。
Windows 的可靠性与质量。扩展可以获得高级别的可靠性与质量保障,这一切都来
源于强大的 Windows 平台与 Windows 徽标认证项目所提出的高标准。
统一管理。通过 Windows PowerShell cmdlet 以及 WMI 脚本,扩展的管理工作已
集成在 Windows 的管理中。一劳永逸的管理。
更简单的维护支持。统一追踪意味着在遇到问题时,诊断工作可以更快更简单。更少的
停机时间进一步提升了服务的可用性。
实时迁移支持。Hyper-V 可扩展交换机完全支持让扩展参与到 Hyper-V 的实时迁移
工作中。
Hyper-V 可扩展交换机使得第三方供应商可以随意开发自定义的解决方案,用于处理
Windows Server 2012 技术白皮书——网络 55
第5
Windows Server 2012 虚拟网络中的各种网络通讯。例如,这些解决方案可用于模拟供应
商的物理交换机及其策略,并可对通讯进行监控与分析。
服务质量
网络 QoS 是一套业界广泛采用的标准与机制,主要为了确保关键应用程序能获得高质量的
性能。通过采用 QoS 机制,您可以更高效地使用原有资源,并确保无需对网络或基础架构
进行扩展,即可获得所需的服务级别。
QoS 的目标是为有需求的应用程序提供差异化的服务交付,确保其获得有保障的充足带宽、
可控的延迟,并降低数据丢失的可能性。
Windows Server 2012 通过为虚拟机或服务预留最小带宽,扩展了 QoS 的能力。该功能
对于托管公司非常重要,因为这样的公司往往需要更精确地符合服务级别协议(SLA)的要
求,为客户提供有保障的最小网络带宽。对于使用共享硬件运行虚拟化的服务负载,并且希
望获得可预测网络性能的企业,该功能同样重要。
解决企业与公共云托管供应商的需求
公共云托管供应商希望在运行 Hyper-V 的服务器上为客户提供托管服务,同时依然需要保
障 SLA 所规定的性能级别。他们希望在共享式基础架构中,对于 CPU、存储,以及网络
等资源,一位客户不会影响或拖累其它客户。企业也有类似的需求。他们希望在运行
Hyper-V 的服务器上运行多个应用程序服务器,并且希望确保每个应用程序服务器都能提
供可预测的性能。以往由于缺乏性能预测机制,管理员不得不在完全可胜任的服务器上放置
数量较少的虚拟机,或者完全不敢涉足虚拟化技术,因此他们需要花更多资金购买物理设备
与基础架构。
此外,今天的大部分托管供应商与企业都为特定类型的负载使用专用网络适配器以及专用网
络,例如存储或实时迁移,借此希望在运行 Hyper-V 的服务器上实现网络性能的隔离。虽
然这样的部署战略非常适合使用千兆以太网(GbE)网络适配器的环境,但对于使用万兆以
太网适配器的环境,则显得有些不够实际。这不仅是因为在大部分环境中,一块万兆以太网
适配器(或为了实现高可用性安装两块)已经能够为运行 Hyper-V 的服务器上的所有负载
提供充足的带宽,而且万兆以太网适配器与交换机本身就要比千兆网络设备更加昂贵。为了
更好地利用万兆以太网设备,运行 Hyper-V 的服务器需要用新的方式管理带宽。
技术描述
Windows Server 2012 提供了全新的 QoS 带宽管理功能,使得托管供应商与企业能够用
可预测的性能为运行 Hyper-V 的服务器上的虚拟机提供服务。Windows Server 2012 支
持带宽限制功能,并可支持 bandwidth cap。 Windows Server 2012 还能充分利用支持
数据中心桥接(DCB)功能的硬件,将不同类型的网络通讯汇聚到一块网络适配器上,同
Windows Server 2012 技术白皮书——网络 56
第5
时可保证每类服务的服务级别。通过使用 Windows PowerShell,您可以用手工或自动化
脚本的方式配置所有这些新功能,对一组服务器进行管理,并且不需要考虑这些服务器是加
入域的,独立的,或者毫无依存性的。
速率限制
在 Windows Server 2008 R2 中,QoS 支持实施最大带宽机制。这种做法也叫做速率限
制。请考虑一台运行 Hyper-V 的典型服务器,该服务器上有四种类型的网络通讯,共用同
一块万兆以太网适配器:
虚拟机。虚拟机与其它服务器上资源之间的通讯。
存储。发往和来自存储设备的通讯。
实时迁移。运行 Hyper-V 的服务器之间对虚拟机进行实时迁移所产生的通讯。
群集心跳检测信号。发往或来自 CSV(群集中节点简的相互通讯)的通讯。
如果虚拟机数据被限制速率为 3Gbps,那么在任何时候,虚拟机的数据传输速率总数就不
能超过 3Gbps,哪怕其它类型的网络通讯根本用不完剩余的 7Gbps 带宽。然而这也意味
着其它类型的通讯可能会导致虚拟机数据通讯的可用带宽会降至无法接受的级别,这主要取
决于其它通讯所定义的带宽最大值。
最小带宽
Windows Server 2012 中的 QoS 引入了全新的带宽管理功能:最小带宽。与设置上限的
最大带宽功能相比,最小带宽功能决定的是带宽的下限。该功能确保了特定类型的网络通讯
所能获得的带宽数量最小值。下图演示了对于四种类型的网络通讯,在三个不同时段内最小
带宽机制的工作原理:T1、T2,以及 T3。
为服务分配最小带宽
在上图中,左侧表格显示了特定类型网络通讯所需的带宽最小值的配置情况。例如,存储被
配置为在任何时间,至少可以使用 40% 的带宽(对于万兆网络适配器,即 4Gbps)。右
Windows Server 2012 技术白皮书——网络 57
第5
侧表格显示了在 T1、T2,以及 T3 阶段,每类网络通讯实际获得的带宽数量。在本例中,
三个时段内存储分别实际获得了 5Gbps、4Gbps,以及 6Gbps 带宽。
最小带宽功能的特征可总结如下:
在汇聚的过程中,如果所需的网络带宽超出了可用带宽上限(例如上图中的 T2 时段
内),则最小带宽机制可确保每类网络通讯都能获得分配给自己的足额带宽。因此最小
带宽机制也叫做公平共享机制。对于需要将多种不同类型的网络通讯汇聚到一个网络适
配器的情况,这一特征非常重要。
如果没有拥堵—也就是说,有足够的带宽可以满足所有网络通讯的需求(例如上图中
的 T1 与 T3 时段)—则每类网络通讯都可以超出自己的配额,消耗尽可能多的带宽。
这一特征使得在使用可用带宽的时候,最小带宽总是能够优先域最大带宽得到处理。
Windows Server 2012 通过两种不同机制强制实施最小带宽:一种是通过 Windows 中
新增的数据包调度程序,另一种是使用支持数据中心桥接(DCB)技术的网络适配器。在
这两种情况下,都需要首先对网络通讯进行分类。Windows 可以自行对数据包进行分类,
或者为网络适配器提供相应指令,供其分类。分类将在 Windows 中产生多种通讯流,特
定数据包只能属于一种通讯流。
例如,实时迁移连接使用一个通讯流,服务器与客户端之间的文件传输使用一个通讯流,远
程桌面连接使用一个通讯流。根据带宽策略的配置,对于每种通讯流配置的最小带宽,无论
Windows 中的数据包调度或网络适配器的内建机制在作用上可以是等价的,或一种高过一
种。
这两种方式各自有着不同的优势:
软件解决方案完全以 Windows Server 2012 新增的数据包调度程序为基础,可提供
更具粒度的分类。如果很多通讯流需要强制实施最小带宽,这是唯一可用的方法。一种
典型的范例是,一台运行 Hyper-V 的服务器托管了很多虚拟机,每台虚拟机都被分类
为不同的通讯流。
硬件解决方案需要依赖网络适配器对 DCB 的支持,所支持的通讯流则少很多。然而
这种方式可对无法被网络栈所分类的网络通讯进行分类。 典型的场景包括支持 iSCSI
卸载的 Converged Network Adapter(CNA),这样的环境中,iSCSI 通讯会饶过网
络栈,直接由 CAN 进行处理和传输。因为网络栈的数据包调度程序无法处理此类卸
载的通讯,因此这种环境下只能使用 DCB 实施最小带宽。
您可以在同一台服务器上同时使用这两种方法。例如,一台运行 Hyper-V 的服务器有两个
物理网络适配器:一块绑定给虚拟交换机,为虚拟机提供数据,另一块负责处理宿主机服务
器的其他所有通讯。您可以在 Hyper-V 中启用基于软件的最小带宽机制,以确保虚拟机之
间可以公平共享带宽,同时在第二块网络适配器上启用基于硬件的最小带宽机制,以确保宿
主机服务器不同类型的网络通讯可公平共享带宽。
Windows Server 2012 技术白皮书——网络 58
第5
很多配置选项都要使用运行 Hyper-V 的服务器上的网络适配器。下图演示了一个范例。
在 Hyper-V 中将物理网络适配器分配给服务与虚拟机
在本例中,Hyper-V 直接对存储使用了专用网络适配器,并将实时迁移与管理通讯通过
Hyper-V 可扩展交换机进行了路由。
我们不建议您对特定类型的网络通讯同时启用这两种机制。例如,请考虑将实时迁移与存储
通讯配置为使用 Hyper-V 服务器上第二块网络适配器的情况。如果您已经配置网络适配器
使用 DCB 为实时迁移与存储通讯分配带宽,那么就不应该在 Windows 中配置数据包调
度程序做相同的操作,反之亦然。对于同一类型的网络通讯同时启用这两种机制,会导致出
现预料外结果。
配置并管理 QoS
在 Windows Server 2012 中,您可以通过 Windows PowerShell 动态管理 QoS 策略
与设置。新增的 QoS cmdlet 同时支持 Windows Server 2008 R2 中支持的 QoS 功能
—例如最大带宽以及优先级标签—同时也能支持 Windows Server 2012 的新功能,例如
最小带宽。
需求
最小带宽 QoS 可通过下列两种方法强制实施:
第一种方法依赖 Windows Server 2012 中内建的软件,没有其他需求。
第二种方法需要硬件的辅助,要求网络适配器支持 DCB 功能。
总结
通过充分利用 Windows Server 2012 中对 QoS 的改进,您可以为虚拟机配置最小和最
大带宽级别。您也可以充分利用吞吐率更高的万兆以太网适配器,同时根据不同适配器的负
载类型配置不同的带宽设置。
Windows Server 2012 技术白皮书——网络 59
第5
通过使用 Windows Server 2012,您可以更好地控制带宽、延迟,以及数据丢失。您还可
以使用 Windows PowerShell 对 QoS 功能的大部分管理任务实现自动化,减轻工作量并
减少工作时间。
QoS 使得您能够为托管客户提供有保障的最小服务级别,同时不需要付出高昂的成本,也
不需要对网络或基础架构进行扩展。该功能还使得您能够省略管理 QoS 带宽支持时所要进
行的复杂操作。
远程桌面协议(RDP)WAN 优化
Windows Server 2012 中针对 RDP 的改进可通过广域网(WAN)为不同设备的用户提
供更可靠的网络连接,例如 PC、笔记本、平板,以及手机。 您可以在任何地点使用任何
设备访问您的桌面与应用程序,而无须遭受传统 WAN 连接不可避免的延迟和中断。
技术描述
对于今天的现代化办公,客户需要频繁从分支办公室、家庭,或旅馆中使用低带宽网络进行
连接。为了支持通过 WAN 实现的虚拟桌面基础架构(VDI)、远程桌面服务会话,或
RemoteApp 会话,远程桌面服务必须能够适应不同的网络条件,并快速做出响应。
Windows Server 2012 与 Windows 8 中的 RDP 通过这对低带宽高延迟网络进行优化,
解决了这些问题。为实现这一目的,RDP 包含了下列改进:
用户数据报协议(UDP)。RDP 可智能地选择使用 TCP 或 UDP 进行传输,这主要
取决于内容类型与连接质量。在计算机上启用远程桌面后,会自动在 Windows 防火
墙中启用 UDP 的 3389 端口。为了进一步改善性能,请确认该端口在您网络中已经
启用。
转发错误修正(FEC)。RDP 还可支持 FEC。 服务器用更高效的方式在网络上传输冗
余数据,以便在数据包丢失,甚至网络中断时可以快速恢复,而无须重新传输。
网络自动检测。RDP 可通过测量延迟、最大带宽,以及丢包率等方式检测端到端网络
的速度,随后根据可用带宽酌情调整连接类型与数据传输。
动态传输检测。RDP 使用动态传输检测机制选择最适合的客户端通讯传输方式。系统
会首先使用 UDP 作为传输机制。如果失败,则会启动切换到 TCP,通过最适宜的传
输方式获得最佳用户体验。
拥堵控制。RDP 通过拥堵控制机制防范丢包,并能在传输间隙快速恢复,还能避免进
一步的延迟。这样即可确保维护必要的客户端数据流,通过 RDP 连接提供更加无缝的
体验。
RDP 会使用来自网络自动检测与拥堵控制机制获得的信息调整传出的数据,借此改善整体
Windows Server 2012 技术白皮书——网络 60
第6
用户体验。
需求
为了充分利用 RDP WAN 优化,您需要满足下列条件:
Windows Server 2012
总结
Windows Server 2012 中有关 RDP 的改进可对 WAN 链路进行优化,为用户提供更无
缝的体验。内建的 RDP WAN 优化机制可通过 FEC、网络自动检测、传输检测、拥堵控
制,以及其他技术,充分适应不同的网络条件,为远程用户提供更出色的体验。
WebSocket 协议
Web 应用程序正在变得愈加的数据密集,并且交互性更强,数据需要在浏览器中通过更加
持续的方式,从服务器应用程序流动到异步 JavaScript 与 XML(AJAX)客户端应用程序。
股票行情、新闻更新、实时聊天,以及协作类应用程序都是这种实时数据流的典型应用。
对于用户,实时数据似乎总是可用的,并且可以自动出现在浏览器中。对于开发人员,提供
此类数据的机制则由于超文本传输协议(HTTP)请求/响应机制缺乏灵活性的天整本质而存
在很大局限。
为了解决这一问题,Windows Server 2012 开始支持 WebSocket 协议,这是一种开放
的,基于标准的网络协议,定义了对数据使用实时双向加密传输的方法。
通过 WebSocket 协议,客户端与服务器之间的双向通讯机制得以改进,因此对于数据密
集型,以及交互程度高的 Web 应用程序可提供更好的整体性能。
技术描述
WebSocket 协议可在客户端与服务器之间提供加密的,实时双向通讯。客户端可以是运行
JavaScript 应用程序的浏览器,或者基于 Windows 的应用程序,甚至可以是运行在其他
平台上的应用程序,例如移动设备。Windows Server 2012 中的 WebSocket 协议功能
可支持 IIS 8.0、ASP.NET 4.5,以及 Windows Communication Foundation(WCF),
并可使用原生的或受管的编程 API 编写服务器端 WebSocket 协议应用程序。
Windows Server 2012 技术白皮书——网络 61
第6
建立 WebSocket 连接
如下图所示,WebSocket 连接的建立也需要使用 HTTP 握手。
数据在底层将通过 TCP 连接使用二进制或 UTF8 消息的方式发送。连接可穿透防火墙和
代理,但为了获得最佳效果,建议通过 SSL 建立隧道。
建立 WebSocket 连接
详细信息请阅读 http://tools.ietf.org/html/draft-ietf-hybi-thewebsocketprotocol-10
“WebSocket 协议”一节。
需求
WebSocket 协议需要满足下列条件:
Windows Server 2012
IIS 8.0
ASP.NET 4.5
总结
通过使用 Windows Server 2012 中新增的 WebSocket 协议功能,您可以为自己的
ASP.NET 4.5 应用程序添加加密的,实时双向客户端-服务器通讯机制,这有助于改善数据
密集型,以及交互型强的 Web 应用程序的整体性能。
服务器名标识符(SNI)
通过使用 Windows Server 2012 中新增的名为服务器名称标识符(SNI)的新功能,管
理员可以更容易地创建并管理安全网站。通过使用 SNI,主机名可用作第三级信息,用于
快速区分网络端点,避免为每个安全网站使用专用 IP 地址的做法。
简化管理并改善 SSL 的可扩展能力
Windows Server 2012 技术白皮书——网络 62
第6
IIS 8.0 对 SNI 标准的支持可让多个受到 SSL 保护的网站共享同一个公网 IP 地址。支持
SNI 的浏览器(包括大部分最新浏览器)可以将主机名作为 SSL 协商流程的一部分进行发
送,因此不再需要让每个安全网站都是用专用 IP 地址。为了提供更好的 SSL 可扩展能力,
Windows Server 2012 提供了一种新的证书存储机制,在设计上可支持一台服务器上保存
数千个 SSL 证书。通过将这两个功能结合在一起,网站托管供应商与企业即可通过 Web
场托管更多受到 SSL 保护的网站,同时使用更少数量的服务器与 IP 地址。
技术描述
SNI 是一种开放的扩展,属于对 SSL 与传输层安全(TLS)协议的扩展,浏览器和 Web 服
务器需要使用这种协议对服务器进行身份验证,并对通讯进行加密。通过使用 SNI,浏览
器可以使用主机名标识自己需要通讯的 Web 服务器,而不再需要通过 IP 地址与端口。
大部分新式浏览器已经支持 SNI 标准,包括 Windows Vista 或 Windows 7 上运行的
Internet Explorer versions 7、8,以及 9。
Windows Server 2012 提供了一种名为 Web Hosting 的全新证书存储机制,可供您保
存与网站以及应用程序有关的 SSL 证书。Web Hosting 证书存储在设计上通过扩展可支
持数千个证书。
需求
SNI 要求满足下列要求:
Windows Server 2012
SSL 证书
总结
通过使用 SNI,Windows Server 2012 可供您在数千个受到 SSL 保护的网站间共享同一
个 IP 地址和服务器。此外通过全新的 Web Hosting 证书存储,您可以通过扩展性的改
进获得更多收益,在一台服务器上保存数千个 SSL 证书。这些特性极大增强了安全网站的
密度,并可降低托管成本。作为一项额外的收益,您还可以让您的 IPv4 地址空间利用率更
高。
Windows Server 2012 技术白皮书——网络 63
第6
更轻松地将用户连接到 IT 资源
Windows Server 2012 为 IT 专业人员提供了工具和功能,可用更简单更高效的方法将远
程用户连接到各种资源与服务。尤其是本文将重点介绍下列远程访问功能与特性:
DirectAccess 与 VPN 的集成,包括 RRAS
BranchCache
DirectAccess 与 VPN 的集成
Windows Server 2012 提供了一种易于部署的集成式远程访问解决方案。员工可以在远程
工作时访问企业网络中的资源,而 IT 管理员可以管理位于内部网络之外的企业计算机。
Windows Server 2012 通过集成两个激动人心的远程访问技术实现了这一点:通过
DirectAccess 提供自动化的透明连接,并通过传统的 VPN 提供兼容性。
安全高效的远程访问
越来越多的员工开始远程工作,尽管远离办公室,但他们依然需要维持高级别的生产力。这
一需求使得远程用户对企业网络的远程访问方式的安全性提出了更多要求。
DirectAccess
DirectAccess 使得远程用户能够用更安全的方式访问内部资源,但并不需要借助 VPN 即
可保障生产力。Windows Server 2012 中有关 DirectAccess 的改进包括更简化的部署步
骤、支持新的部署场景、更流畅的管理体验,以及更高的可扩展性与性能。
在计算机连接到互联网之后,DirectAccess 即可用透明的方式将客户端计算机连接到企业
内部网络,这一切甚至可以在用户登录之前完成,如下图所示。
DirectAccess 连接架构
DirectAccess 还 使 得 管 理 员 能 够 轻 松 监 控 连 接 , 并 可 远 程 管 理 连 接 到 互 联 网 的
DirectAccess 客户端计算机。
Windows Server 2012 技术白皮书——网络 64
第6
路由与远程访问服务
对于非受管计算机,以及运行老版本操作系统,不支持通过 DirectAccess 进行连接的计算
机,路由与远程访问服务(RRAS)提供了传统的客户端 VPN 连接。此外,RRAS 的站点
到站点 VPN 功能还可在 VPN 服务器之间提供连接,如下图所示。
集成了远程访问的 VPN 连接架构
Windows Server 2012 中的远程访问已将 DirectAccess 与 RRAS VPN 集成在一起。管
理员可以在远程访问管理控制台中使用同一套配置向导对 DirectAccess 与 VPN 进行配
置。此外还可以使用原本的 RRAS 管理控制台配置 RRAS 的其他功能。新的角色使得您
可以用轻松的办法将 Windows 7 RRAS 与 DirectAccess 环境进行迁移,并获得大量新
的功能与改进。
跨边界连接
Windows Server 2012 提供了一种面对云进行高度优化过的操作系统。远程访问中的
VPN 站点到站点功能可在企业与托管服务供应商之间提供跨边界连接。跨边界连接使得组
织能够连接到托管式云网络中的私有子网。此外还可以在地理位置分散的企业位置之间建立
连接。通过跨边界连接能力,您可以使用原有的网络设备直接连接到托管供应商,此时可使
用复合业界标准的互联网密钥交换版本 2(IKEv2)以及 IP 安全(IPsec)协议。
下图演示了在 Windows Server 2012 中使用这两种方式实现跨边界连接的方法。
跨边界连接范例
下文列出了 Contoso 与 Woodgrove 实现上图所示跨边界连接环境所需要执行的步骤。
Windows Server 2012 技术白皮书——网络 65
第6
1. Contoso.com 与 Woodgrove.com 将自己的某些企业基础架构迁往托管式云环境。
2. 托管供应商为每个组织提供了私有云。
3. 在托管的云环境中,运行 Windows Server 2012 的虚拟机被配置为远程访问服务器,
并运行站点到站点 VPN 功能。
4. 在每个托管的私有云中,部署了由两台或更多远程访问服务器组成的群集,以便提供高
可用性与故障转移。
5. Contoso.com 有两个分支办公室位置。在每个位置,都部署了一台运行 Windows
Server 2012 的远程访问服务器,以便提供跨边界连接解决方案,连接到托管云环境
以及其他分支办公室。
6. Woodgrove.com 可使用原有的路由器连接到托管云,因为 Windows Server 2012
中的跨边界连接功能完全兼容 IKEv2 与 IPsec 标准。
改进的管理体验
通过使用新的远程访问管理控制台,您可以在一个位置配置、管理、监控多台 DirectAccess
与 VPN 远程访问服务器。该控制台提供的仪表板为您提供了有关服务器与客户端活动的
信息。要获得更具体的信息,还可以创建更详细的报表。运行状态可为指定的服务器组件提
供完善的监控信息。事件日志与追踪功能则可帮助您对具体问题进行诊断。通过使用客户端
监控,您还可以查看所连接用户和计算机的详细信息,甚至可以监控客户端正在访问哪些资
源。账务数据可以记录到本地数据库或远程身份验证拨号用户服务(RADIUS)服务器中。
除了远程访问管里控制台,您还可以通过 Windows PowerShell 命令行工具和自动化的脚
本实现远程访问的安装、配置、管理、监控,以及排错。
在客户端计算机上,用户可以访问网络连接助手(NCA)应用程序,查看简明扼要的
DirectAccess 连接状态信息,此外还有链接可访问企业帮助资源、诊断工具,以及排错信
息。如果 DirectAccess 配置了 OTP 身份验证,则用户还可以使用一次性密码(OTP)凭
据。
易于部署
Windows Server 2012 中改进的安装与配置设计使得您能够快速轻松地安装出工作环境,
无须更改您的内部网络基础架构。在简单环境中,您可以无需配置证书基础架构直接部署
DirectAccess。通过只使用 Active Directory 凭据,DirectAccess 客户端还可以自行进
行身份验证,不再需要计算机证书。此外,对于 IP-HTTPS 以及网络位置服务器的身份验
证,您可以选择使用 DirectAccess 自动创建的自签名证书。
为了进一步简化部署,Windows Server 2012 中的 DirectAccess 支持访问仅支持 IPv4
的内部服务器。部署 DirectAccess 不再要求必须具备 IPv6 基础架构。
Windows Server 2012 技术白皮书——网络 66
第6
新增和改善的部署场景
Windows Server 2012 中的远程访问还包含其他改进,例如原本在 Windows Server
2008 R2 中需要手工配置的多个场景的集成式部署。此外还有强制隧道(将所有通讯通过
DirectAccess 连 接 发 送 )、 网 络 访 问 保 护 ( NAP ) 合 规 性 、 位 于 不 同 地 理 位 置 的
DirectAccess 客户端支持定位最近的远程访问服务器,以及将 DirectAccess 部署为仅限
远程管理时使用。
通过使用 Windows Server 2012,您可以对包含两个网络适配器的网络边缘服务器,或位
于边缘设备后的服务器配置 DirectAccess,甚至还可以为只包含一块网络适配器,位于防
火墙或网络地址转换(NAT)设备后的服务器配置该功能。使用单一适配器的能力使您可以
为 DirectAccess 环境设置专用的公网 IPv4 地址。通过这样的配置,客户端即可使用
IP-HTTPS 连接到 DirectAccess 服务器。
在 Windows Server 2012 中,您可以在多站点环境中配置远程访问服务器,使得不同地
理位置的用户能够连接到距离自己最近的接入点。您还可以使用外部的全局负载平衡器对整
个多站点环境的通讯进行分摊和平衡。
Windows Server 2008 R2 中的 DirectAccess 提供标准的客户端 IPsec 身份验证机制,
以及需要使用智能卡的双因素身份验证机制。Windows Server 2012 中的 DirectAccess
则额外增加了对使用 OTP 的双因素身份验证机制的支持,但这需要由第三方供应商提供使
用 OTP 解决方案的能力。
对于双因素智能卡身份验证,Windows Server 2012 还支持 Windows 8 中包含的,基
于可信平台模块(TPM)的虚拟智能卡功能的支持。客户端计算机的 TPM 可充当双因素
身份验证中所需的虚拟智能卡,因此可降低与智能卡部署有关的管理负担和成本。
Windows Server 2012 还支持让计算机通过互联网加入域,并远程接收域设置。通过使用
该功能,远程办公室新计算机的部署以及 DirectAccess 客户端设置的供应可以变得更简单。
您可以配置运行 Windows 8、Windows 7,以及 Windows Server 2008 R2 的计算机
充当 DirectAccess 客户端。运行 Windows 8 的客户端可以使用 DirectAccess 的全部
功能,并且在从位于代理服务器之后,需要身份验证的环境进行连接时可以获得更好的体验。
没有运行 Windows 8 的客户端则存在下列局限:
需要下载并安装 DirectAccess Connectivity Assistant 工具。
需要使用计算机证书才能进行身份验证。
在多站点环境中,需要配置为总是通过同一个接入点连接。
可扩展性的改进
远程访问包含了一系列可扩展性方面的改进,例如通过更高性能支持更多用户,同时成本更
Windows Server 2012 技术白皮书——网络 67
第6
低。
您可以用远程访问服务器创建群集,以实现负载平衡,高可用性,以及故障转移。群集
的通讯可使用 Windows 网络负载平衡(NLB)或第三方负载平衡器进行负载平衡。
群集中服务器的提案价和删除对进行中的连接的影响更小。
远程访问服务器角色充分利用了单根 I/O 虚拟化(SR-IOV)技术,可在运行虚拟机的
同时改善 I/O 性能。此外,远程访问通过支持 IPsec 硬件卸载功能改善了服务器宿主
机的整体可扩展能力,很多服务器接口卡都能支持该功能,主要负责执行数据包的硬件
加密与解密操作。
IP-HTTPS 中的优化改善了 IPsec 提供程序的加密功能。这些优化举措与安全套接字
层(SSL)加密需求的取消,进一步提升了可扩展能力与性能。
需求
该功能需要具备下列需求:
Windows Server 2012 , 加 入 Active Directory 域 服 务 (AD DS) 域 ( 用 于
DirectAccess)。
远程访问角色。
客户端计算机运行 Windows 7 或后续版本(用于 DirectAccess)。
总结
通过 DirectAccess 与远程访问的新功能与改进,您可以更容易地为用户提供更安全的远程
访问连接,并对连接的监控与排错创建日志和报表。Windows Server 2012 中的新功能可
支持在地理位置分散的多个地点进行部署,通过高可用高性能的虚拟化环境改善了整体可扩
展能力。
BranchCache 的改进
在 Windows Server 2012 中,BranchCache 具备更流畅的部署过程,并且通过改善可
为 BranchCache 内容服务器与远程客户端计算机之间通过 WAN 链路访问进行带宽优
化。该功能使得远程客户端计算机可以用更安全,更高效,更可扩展的方式访问数据,运行
应用程序。
通过使用 BranchCache,用户在借助 WAN 访问文件和应用程序时能获得与通过 LAN
访问资源近乎一致的性能与体验。
Windows Server 2012 技术白皮书——网络 68
第6
跨越 WAN 的工作生产力
最近出现的将内容服务器移动到外部位置的趋势意味着,这些服务器在大部分情况下都需要
通过 WAN 连接为远程用户提供内容。对于 WAN 连接额外的压力可能会增加网络成本,
而缓慢的应用程序响应与内容交付速度还将进一步降低用户生产力。
BranchCache 提供的解决方案可满足 IT 与业务的此类需求。该技术可让分支办公室的客
户端用更高效率识别、下载,并共享数据,甚至可通过 WAN 连接进行。
在 Windows 8 与 Windows Server 2012 中,通过改进,BranchCache 具备更流畅的
部署过程,并且通过改善可为 BranchCache 内容服务器与远程客户端计算机之间通过
WAN 链路访问进行带宽优化。该功能使得远程客户端计算机可以用更安全,更高效,更可
扩展的方式访问数据,运行应用程序。
BranchCache 中的改进
Windows Server 2012 中的 BranchCache 功能通过下列改进,可供您在更大规模的分
支办公室中部署 BranchCache:
多台托管式缓存服务器的部署。Windows Server 2012 可对托管式缓存服务器进行扩
展,适合各种规模的办公室,因此您可以按照需要,在一个位置部署尽可能多的托管式
缓存服务器。
改善了数据库性能。BranchCache 现已能够使用可扩展存储引擎(ESE),该技术也驱
动着 Microsoft Exchange Server。这样一台托管式缓存服务器即可在使用相同硬件
的情况下满足更多用户的需求。同时该技术也使得托管式缓存服务器能存储更多数据
(数 TB 计),对于为更多用户提供更高性能,这一点非常重要。
由于新增的工具和简化的部署模型,BranchCache 的效率更高,实施操作更简单,并
且价格更低廉:
BranchCache 不再需要到每个办公室进行配置。部署过程更流畅,因为不再需要为每
个位置创建独立的组策略对象(GPO)。一个 GPO 即可包含在任何规模的组织中部署
BranchCache 所需的全部设置,无论是小企业或大企业,都可包含在内。
客户端计算机可自动配置。客户端默认可通过组策略配置为分布式缓存模式,然而客户
端会尝试搜索托管式缓存服务器,一旦找到这样的服务器,客户端就会自动将自己配制
为托管式缓存模式。
缓存数据可加密保存,托管式缓存服务器不再需要服务器证书。BranchCache 的安全
性改进包含数据加密以及其他技术,这些改进在无需公钥基础架构或其他驱动器加密技
术的情况下,可提供更高数据安全性。
BranchCache 提供的工具可操作数据,并在远程位置提前预加载内容。现在您可以将
Windows Server 2012 技术白皮书——网络 69
第6
内容推送到分支办公室,因此在第一个用户首次请求时,内容就已经可用。这样您就可
以在 WAN 使用率低的时候进行内容分发工作。
BranchCache 已经深入集成于 Windows 文件服务器。BranchCache 可使用
Windows 文件服务器精湛的技术将文件拆分为小块,同时可实现副本消除。这一特性
极大增强了在独立文件中查找副本的效果,最终可进一步节约带宽。BranchCache 还
可承受大型文件中少量内容的改动。
文件的拆分计算只需要进行一次,并且可以离线进行。当运行 Windows 8 的客户端
计算机从运行 Windows Server 2012,并使用了全新的磁盘副本消除技术的文件服务
器或 Web 服务器下载内容时,BranchCache 并不需要计算如何对内容进行拆分,因
为文件服务器和 Web 服务器已经进行过这些计算。内容信息的计算可离线进行,甚
至可在 BranchCache 客户端请求文件之前进行。这样既可提供更高性能与更明显的
带宽节约,因为内容信息已经准备好接受第一个客户端发出请求,而计算工作也早已进
行完成。
BranchCache 现已可以通过 Windows PowerShell 与 WMI 进行管理。这使得脚
本和远程管理工作可用于 BranchCache 内容服务器、托管式缓存服务器,以及客户
端计算机。
技术描述
为了优化 WAN 带宽,BranchCache 可从您的内容服务器下载内容,并将其缓存在办公
室位置,这样既可让分支办公室的客户端直接从本地访问内容。
当一个客户端下载内容一次后,请求相同内容的其他客户端计算机就不再需要通过 WAN
连接从内容服务器反复下载。相反,这些客户端会从远程的内容服务器处收到一个名为内容
信息的标示符。客户端使用内容信息在本地办公室查找所需内容。该内容可能缓存在
Windows 服务器或其他客户端计算机上,这主要取决于所部署的 BranchCache 模式。
下图演示了整个过程。
Windows Server 2012 技术白皮书——网络 70
第7
客户端与内容服务器使用内容信息结构确定并传输内容
BranchCache 的模式
BranchCache 可配置为下列两种模式之一:托管式缓存模式,或分布式缓存模式。
如果分支办公室位置有运行 Windows 的服务器,即可配置 BranchCache 客户端使用托
管式缓存模式。这台分支服务器也叫做托管式缓存服务器,可以在本地存储请求过,并且从
主办公室服务器上下载过的数据。
对于没有服务器可部署托管式缓存服务器的办公室,还可以配置 BranchCache 客户端使
用分布式缓存模式。在该模式下,支持 BranchCache 的客户端计算机可以下载内容,并
在本地办公室共享给其他客户端。
BranchCache 内容服务器
在部署 BranchCache 时,您可以使用三种不同类型的内容服务器:
文件服务器。支持的文件服务器包括运行 Windows Server 2012 或 Windows
Server 2008 R2,并且安装有文件服务服务器角色以及 BranchCache for Network
Files 角色服务的计算机。这些文件服务器使用 SMB 协议交换信息。在完成文件服务
器的安装后,您必须共享文件夹,并使用组策略或本地计算机策略启用 BranchCache,
同时针对共享文件夹启用哈希生成。
Web 服务器。支持的 Web 服务器包括运行 Windows Server 2012 或 Windows
Server 2008 R2,安装有 Web 服务器(Internet Information Systems [IIS] 8.0)
服务器角色,并且使用 HTTP 或安全 HTTP(HTTPS)的计算机。此外,Web 服务
器必须安装 BranchCache 功能。
应用程序服务器。支持的应用程序服务器包括运行 Windows Server 2012 或
Windows Server 2008 R2,同时安装并启用了后台智能传输(BITS)功能的计算机。
此外,应用程序服务器必须安装 BranchCache 功能。
BranchCache 的安全性
BranchCache 在设计上就以安全为中心,可轻松融入您网络中原有的安全架构中,而不需
要任何额外的设备,或额外并且复杂的安全配置。BranchCache 会将缓存的内容以及内容
信息加密存储,并不允许对缓存中的文件进行未经授权的访问。BranchCache 可在保障安
全性的同时提供更快速的加密通讯(HTTPS 或 IPsec)。
BranchCache 是非侵入式的,不会影响任何 Windows 身份认证或验证过程。在部署
BranchCache 后,身份验证过程依然需要使用域凭据进行,而访问控制列表(ACL)的权
威性不会受到任何影响。此外,其他配置的行为也完全和没有部署 BranchCache 时完全
一致。
BranchCache 的安全模型基于内容服务器上内容信息的创建。这些元数据要比内容的实际
Windows Server 2012 技术白皮书——网络 71
第7
体积小很多,其中保存了大量哈希数据。
在创建好内容信息后,会被用于 BranchCache 的信息交换工作中,但交换的并不是文件
的实际内容,并且这个交换过程可支持各种协议(HTTP、HTTPS,以及 SMB)。
需求
BranchCache 要求满足下列需求:
一台或多台运行 Windows Server 2012 的内容服务器。
运行 Windows 8 的客户端计算机。
可选一台或多台运行 Windows Server 2012 的托管式缓存服务器。
在内容服务器与办公室位置之间具备网络连接,例如虚拟专用网络(VPN)或
DirectAccess 连接。
场景
Julia 是一家大型保险公司总部的 IT 管理员,该公司总部位于俄亥俄州 Columbus。该公
司在北美有五个分支办公室—其中三个大型办公室规模大,人员增幅快,另外有两个小型
办公室只有少量远程员工。Julia 希望尽可能将更多资源整合到主办公室,同时依然为远程
用户通过 WAN 提供快速无缝的文件访问。通过使用 Windows Server 2012,她部署了
BranchCache,并在三个大型站点放置了多台使用托管式缓存模式的内容服务器。因为两
个小型办公室没有专用服务器,因此这些位置的远程用户可以使用分布式缓存模式。
由于性能更好,并且通过一个 GPO 即可针对所有位置实现简单的配置,因此 Julia 可以
更容易接纳新员工的到来。此外,在所有分支办公室的用户都可以用便利的方式访问企业总
部的文件,并且可以获得更高性能与更好的安全性。
总结
BranchCache 能为使用 WAN 连接的远程用户提供更便利的文件与数据访问,同时不再
需要给每个分支办公室部署昂贵的存储系统。
Windows Server 2012 使得您可以快速部署 BranchCache,并且可以在大型远程位置部
署多台托管式缓存模式的缓存服务器。对于小型办公室,您可以启用分布式缓存模式,这样
即可帮助这些位置的远程用户优化文件的访问。此外,由于可扩展性能更好,并且通过一个
GPO 即可针对所有位置实现简单的配置,因此您可以更容易接纳新员工的到来。分支办公
室用户有了独一无二的缓存基础架构与带宽优化技术,因此可保障生产力;而管理员则能从
更好的扩展性,以及更简化的部署与管理中获益。
Windows Server 2012 技术白皮书——网络 72
第7
结论
Windows Server 2012 使得整个网络的管理工作简化到就像管理一台服务器,无需增加成
本即可为您提供容纳多台服务器的更高可靠性与可扩展能力。Windows Server 2012 可以
自动对存储、服务器,以及网络故障进行转移,确保文件服务总是可用,将可察觉停机时间
降到最低。此外通过提供高可用服务器以及网络存储,以及对高延迟低带宽网络及网络拥堵
问题的适应性,还可帮助远程用户更容易地连接到企业资源。
简而言之,Windows Server 2012 中新增和改进的功能通过更灵活,更简单的整合功能,
可以帮助您更灵活地管理私有云环境。同时可以帮您将私有云与公共云服务连接在一起,实
现更高效的多租户环境,以及更无缝的通讯。最后还可以帮您更容易地将用于与 IT 资源连
接在一起,并能忽略用户地理位置的差异。