Virtualizace bez hranic Ondřej Výšek Samostatný konzultant ondrejv@optimalizovane-it.cz

Virtualization Trends “Pro jaké účely jsou nasazovány nástroje pro virtualizaci – rok 2009” Source: Virtualization and Management: Trends, Forecasts, and Recommendations; Enterprise Management Associates (EMA); April 2008

Non-Hypervisor Aware OS “Designed for Windows” Server Hardware Architektura Hyper-V Parent Partition Child Partitions VM Worker Processes Aplikace Windows Server 2003, 2008 VSC VMBus Windows Kernel Aplikace Aplikace Linux VSC VMBus Linux Kernel Aplikace User Mode WMI Provider VM Service Emulace již není vyžadována! Windows Server 2008 Non-Hypervisor Aware OS Windows Kernel VSP IHV Drivers Kernel Mode VMBus Emulation Windows hypervisor Ring -1 “Designed for Windows” Server Hardware

Jak na správné řešení Vyberte správný hardware Vytvořte základ AD, DNS, DHCP Jak vysokou dostupnost potřebujete? Vytvořte kvalitní SAN pro HA / live migration Naplánujte nasazení: bare metal, vhd, aplikace? Konsolidujte správu fyzických a virtuálních strojů Jak zálohovat a jak dlouho? Je DR zapotřebí? Jak přistupujete do virtuální infrastruktury? Nějaká omezení? Bude to mít dopad na uživatele? Jak je infrastruktura zabezpečená?

Nikdy nepoužívejte GUI pro nasazení produkčního prostředí Výzva: Nikdy nepoužívejte GUI pro nasazení produkčního prostředí

Server >> Datacenter >> Cloud Tradiční Datacenter Dobře „známá“, Stabilní & Bezpečená Zatížení <15% Virtualizovaný Datacenter Zatížení vzrůstá na >50% Snížení nákladů na správu Privátní Cloud Podstatné snížení nákladů na správu Interní pronájem Veřejný Cloud Kapacita na vyžádání Globální dostupnost

Jak na deployment MDT 2010 WDS 1. Sysprep OS 2. Capture image 4. Kontrola přizpůsobení 5. Mám připravený vlastní image?? 1. Nasazení standardního OS, vlastní přizpůsobení 2. Úprava sekvence úkolů v MDT 3. Nasazení vlastního image 1. Sysprep OS 2. Capture image 3. Přidat image do WDS Server 4. Deploy image MDT 2010 WDS

Hyper-V a sítě

Typy síťových adaptérů Syntetický adaptér Emulovaný adaptér Žádné fyzické zařízení Komunikuje přes VMBus přímo k vmswitch.sys Nepodporuje PXE Boot Podstatně vyšší výkon oproti Emulovanému Ovladače pro Windows Server 2003 SP2 Windows Server 2008 Windows Server 2008 R2 Windows XP Windows Vista Windows 7 Linux (SLES 10, 11). RHEL 5.x Emulovaný fyzický čipset DEC21140 Komunikuje pomocí přerušení na vmwp.exe a pak vmswitch.sys Podporuje PXE Boot Ovladače téměř pro každý OS

(Intel/Broadcom etc…) Síťová architektura Virtuální stroje Application (Ports/Sockets etc…) Application (Ports/Sockets etc…) Application (Ports/Sockets etc…) TCP/IP (tcpip.sys) TCP/IP (tcpip.sys) TCP/IP (tcpip.sys) Synthetic Virtual NIC (netvscXXsys) Emulated Virtual NIC (dc21x4vm.sys) Host Virtual NIC (vmswitch.sys) Kernel Level IOCTLS Tcpip.sys<->NIC Driver Kernel Level IOCTLS Tcpip.sys<->NIC Driver Kernel Level IOCTLS Vmswitch.sys<->NIC Driver Virtual Switch (vmswitch.sys) Physical NIC (Intel/Broadcom etc…) Kernel Level IOCTLS Tcpip.sys<->NIC Driver Network Layer 2 – Network Traffic… MAC xx:xx:xx:xx:xx:xx <-> MAC xx:xx:xx:xx:xx:xx

Pozor na Teaming Není podporované Microsoftem KB968703: Microsoft Support Policy For NIC Teaming with Hyper-V “Since Network Adapter Teaming is only provided by Hardware Vendors, Microsoft does not provide any support for this technology thru Microsoft Product Support Services. “ Hardware Offload by mělo být zakázané VMq, Chimney, IPSec Offload

Povolte VMQ Zdroje na internetu Intel FAQ: VLANs and VMDq on Intel® Ethernet Adapters in Hyper-V Advanced Virtualization I/O Queuing Technologies/An Intel-Microsoft Perspective

Jumbo Frames Podpora Jumbo Frame Výhody 4/12/2017 5:04 PM Jumbo Frames Podpora Jumbo Frame Ethernet Frames >1,500 bytes Ad Hoc Standard je ~9k Výhody Umožňuje cca 6x vyšší využití paketu Lepší propustnost Nižší zátěž procesoru při přenosu velkých souborů Zajistěte, že všechny síťové segmenty mají Jumbo Frames povolené! Ping.exe –l 9000 <src> © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Základní konfigurace Vysoce výkonné Jednoduchá instalace Bezpečné Virtual Machine Hyper-V Server Virtual Switch Physical Switch

Public and Private Vícevrstvé aplikace Hyper-V Server Virtual Switch Virtual Machine Virtual Switch Hyper-V Server IIS Frontend Virtual Switch Physical Switch SQL Backend

Guest Routed NAT Spotřeba výkonu pro externí komunikaci Hyper-V Server Virtual Machine External Virtual Switch Hyper-V Server Private Virtual Switch Physical Switch

Host Routed NAT Není doporučeno pro produkční provoz Skvělé pro lab nebo demo Funguje s WiFi síťovkami Virtual Machine Hyper-V Server Internal Virtual Switch Physical Switch

Zabezpečení Hyper-V

Útoky ve zirtualizaci Parent Partition Guest Partitions Provided by: Virtualization Stack VM Worker Processes VMMS Service WMI Provider Windows Hyper-V Guest Applications ISV Hackers Virtualization Service Clients (VSCs) Virtualization Service Clients (VSCs) OS Kernel Windows Kernel Server Core Device Drivers VID Virtualization Service Providers (VSPs) VMBus Enlightenments Enlightenments VMBus Windows hypervisor Server Hardware

Hyper-V Security Hardening (1/4) Hypervisor má vlastní adresní prostor Adresy hosta != adresy Hypervisoru Není možný 3rd party kód v Hypervisorsor Parent je Trusted Computig Base Omezený počet kanálů z hosta do Hypervisoru Není možné něco jako “IOCTL”

Hyper-V Security Hardening (2/4) Komunikace mezi hosty přes hypervisor není možná Žádná sdílená paměť mezi hosty Host OS nikdy přímo neovlivňují hardware I/O

Hyper-V Security Hardening (3/4) Hypervisor Address space layout randomization (ALSR) Stack guard cookies (/GS) Hardware No eXecute bit (NX)(DEP) Code pages marked read only Memory guard pages Omezené možnosti řízení výjimek Kód Hypervisoru je podepsaný

Hyper-V Security Hardening (4/4) Hypervisor a Parent komponenty vytvořeny pomocí SDL Security Development Lifecycle Threat modeling Static Analysis Fuzz testing Penetration testing

Nyní a budoucnost Hyper-V R2 Hyper-V R2 SP1

Virtualizace v R2 Windows Server 2008 R2 s Hyper-V Windows Hyper-V server 2008 R2 Core Parking TimeCoalescing Podpora clusteringu Cluster Shared Volumes Rozšířená podpora hardware

Core Parking

Slučování časovačů - Coalescing Coalescing je založeno na kombinaci několika technik: Fyzická přerušení ukončují globální časovače Zarovnání jednotlivých časovačů na frekvenci fyzických časovačů Un-coalesced Timer Events 15.6ms Windows Vista Coalesced Timer Events Windows 7 / Server 2008 R2 VM 1 Timer Delivery VM 2 Timer Delivery VM3 Timer Delivery

Live Migration #1 požadavek zákazníků 4/12/2017 5:04 PM Live Migration #1 požadavek zákazníků Přesunutí virtuálního stroje ze serveru na server bez ztráty funkčnosti Možné nové scénáře využití Load balancing VM pomocí policy © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Live Migration Live Migration pomocí Cluster Manager 4/12/2017 5:04 PM Live Migration Live Migration pomocí Cluster Manager Live Migration pomocí Virtual Machine Manager Posun z Quick na Live Migration: Omezení guest OS?: Ne Vyžadované změny ve VMs ?: Ne Zásahy do Storage infrastruktury: Ne Zásahy do síťové infrastruktury: Ne Windows Server 2008 R2 Hyper-V: Ano © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Live Migration Vytvoření VM na cílovém serveru 4/12/2017 5:04 PM Live Migration Vytvoření VM na cílovém serveru Kopie paměťových stránek přes síť Finálnípřesun stavu Pozastavení VM Přesunutí připojení na storage na cílový server Host 1 Host 2 Sdílený Storage MICROSOFT CONFIDENTIAL © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Live Migration Memory Internals Worker process na zdrojovém serveru vytváří “dirty bitmap” stránek paměti Prochází přes stránky paměti, odesílá je na cílový worker process Zaregistruje modify-notifications na tránkách paměti, umožňuje další změny paměti Zdrojový VM je stále aktivní a může modifikovat paměť Opakuje na nových paměťových stránkách Zastavuje se v případě: Všechny stránky odeslány Proběhlo 10x

Live Migration v akci Memory Memory Server 1 Server 2 Configuration State State Server 1 Server 2

Migrace & Storage Windows Server 2008 R2 Hyper-V 4/12/2017 5:04 PM Migrace & Storage Windows Server 2008 R2 Hyper-V Cluster Shared Volume (CSV) CSV umožňuje jeden prostor pro ukládání sdílených souborů; Všechny Windows Server 2008 R2 servery vidí identický svazek Jednoduché nasazení; Používá NTFS Není potřeba modifikovat SANs Vytvoření jednoho velkého úložiště Již žádné problémy s písmenky Stávající nástroje fungují © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Cluster Shared Volumes 4/12/2017 5:04 PM Cluster Shared Volumes Všechny servery „vidí“ stejné úložiště © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Dynamic Memory in Windows Server 2008 R2 SP1 Co to je? „Rozšíření paměťové správy pro Hyper-V“ Umožňuje dynamicky zvětšovat a zmenšovat množství přidělené paměti pro virtuální stroje Dostupné jako vlastnost ve Windows Server 2008 R2 SP1 Výhody? Lepší konsolidace s předvídatelným výkonem Lepší škálovatelnost Nejedná se o overcommit Paměť není sdílená VM1 VM2 VM3 VM4 T1 T2 T2

4/12/2017 5:04 PM Dynamic Memory © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Systémové požadavky Požadavky na parent: Windows Server 2008 R2 SP1 Microsoft Hyper-V Server 2008 R2 SP1 Guest musí umožňovat hot add memory: Windows Server 2003, 2008 & 2008 R2 Pouze edice Enterprise a Datacenter Editions 32-bit & 64-bit Windows Vista a Windows 7 Pouze edice Enterprise a Ultimate

Dynamic Memory User Mode Kernel Mode Guest Applications Hypervisor Zajišťuje: OS Guest Applications Microsoft Hyper-V VMWP Dynamic Memory Components Memory Balancer Interface DM VDEV/VSP User Mode VMMS Memory Balancer GMO Memory Manager Windows Kernel Windows Kernel Kernel Mode DM VSC VID VMBus VMBus Hypervisor

IC / IS pro non Windows ICs obsaženy v 2.6.32 SMP obsaženy v 2.6.33 2011 2010 2009 V2.1 SMP Time Sync Shutdown V2.0 R2 Support Storage Networking

Q / A