Windows Server 2012的發(fā)布帶來很多新的特性，包括Hyper-V的可擴展虛擬交換機。和其它的虛擬交換機類似，它可以把虛機連接到物理網(wǎng)卡。Windows Server 2012提供的核心特點是交換機的可擴展性，允許第三方對其功能進行擴展。

可擴展虛擬交換機如何工作

Windows Server 2012 Hyper-V可擴展交換機通過由微軟或其第三方合作伙伴創(chuàng)建的擴展包(NDIS-Network Driver Interface Specification 過濾驅(qū)動)，跟交換機的驅(qū)動堆棧捆綁。這些交換機擴展包可以在虛擬網(wǎng)絡(luò)內(nèi)完成普通的網(wǎng)絡(luò)監(jiān)控和過濾動作。另外，交換機擴展套件通過向網(wǎng)絡(luò)管理工具發(fā)送或接受虛擬網(wǎng)絡(luò)流量，可以實現(xiàn)對虛擬網(wǎng)絡(luò)的監(jiān)控甚至是修改。這使得擴展套件不僅可以匯報虛擬網(wǎng)絡(luò)流量的狀態(tài)，而且扮演了防火墻或帶寬控制軟件的功能。

這種擴展性可以實現(xiàn)允許重要應(yīng)用訪問Hyper-V虛擬網(wǎng)絡(luò)，從而對Hyper-V管理員提供幫助。另外可以允許應(yīng)用直接訪問虛擬網(wǎng)絡(luò)。例如網(wǎng)絡(luò)分析、防病毒或反惡意訪問掃描、防火墻包過濾和帶寬控制等應(yīng)用(關(guān)于更多虛擬交換機擴展套件和如何創(chuàng)建驅(qū)動的內(nèi)容，微軟的網(wǎng)站有一部分關(guān)于Hyper-V虛擬交換機擴展驅(qū)動的內(nèi)容)。

去年的Microsoft TechEd峰會展出了幾款可以使用Hyper-V虛擬網(wǎng)絡(luò)功能的應(yīng)用：Cisco的Nexus 1000V for Windows 2012 Hyper-V、Inmon sFlow for Windows 2012 Hyper-V和NEC的OpenFlow for Windows 2012 Hyper-V 。

Windows 2012 Hyper-V無代理安全產(chǎn)品的工作原理

有一款獨特的產(chǎn)品是5nine Software公司的 Security Manager，宣稱是第一個用于Hyper-V的無代理安全解決方案。他們的產(chǎn)品通過Windows 2012 Hyper-V可擴展交換機為Hyper-V虛擬網(wǎng)絡(luò)同提供防火墻、反病毒和防惡意訪問以及入侵防護功能。

該公司期望Security Manager將替換Hyper-V虛擬架構(gòu)中現(xiàn)有的企業(yè)級防病毒方案。使用無代理防病毒軟件有這么幾個優(yōu)勢。虛機內(nèi)的無代理病毒掃描要比基于代理的方式速度快。在傳說中，5nine Software宣稱他們的增量型無代理反病毒掃描要比基于代理的產(chǎn)品速度快70%。他們的觀點是每臺虛機運行防病毒軟件時間的節(jié)省就相當于節(jié)省了資源。這種資源的節(jié)省也意味著虛擬性能不會受到防病毒掃描的影響，而且不會對用戶體驗有影響。通過無代理模式，可以避免“AV風暴”的影響，而且不需要維護代理和在多臺服務(wù)器上保持防病毒軟件簽名的更新。對企業(yè)而言借助無代理防病毒方式可以提高虛機的整合比率，潛在地節(jié)省了服務(wù)器硬件費用。

時間的節(jié)省是由于從未使用虛機的操作系統(tǒng),而是由Hyper-V宿主機替代，對虛機的虛擬磁盤文件進行防病毒的增量掃描。增量掃描過程只對從上次掃描之后虛擬磁盤發(fā)生改變的數(shù)據(jù)塊進行(不像虛機操作系統(tǒng)內(nèi)的防病毒代理會對所有改變的文件做掃描)。 

圖 1. 5nine Software的 Security Manager

5nine Software的 Security Manager對虛機工具進行一次增量掃描大約花費40s時間。

您還可以對進出每臺虛機的流量制定過濾規(guī)則。這就是通過交換機擴展包Security Manager完成了實時的虛擬網(wǎng)絡(luò)流量過濾、監(jiān)控和帶寬控制。您將看到通過對Hyper-V虛機部署集中控制的虛擬防火墻，我可以創(chuàng)建進出規(guī)則并監(jiān)控允許和拒絕訪問的流量。

前面我們介紹了可擴展虛擬交換機如何工作以及Windows 2012 Hyper-V無代理安全產(chǎn)品的工作原理。了解這些以后，在實施過程中，Hyper-V管理員還應(yīng)該注意一些事項。

Hyper-V管理員應(yīng)該考慮的三件事

我們看到Windows 2012 Hyper-V虛擬交換機現(xiàn)在可以提供擴展套件，以及相關(guān)的新產(chǎn)品如何創(chuàng)建，包括5nine Software的Security Manager for Hyper-V可以完成的工作。那么Hyper-V管理員應(yīng)該怎么行動來享受Windows 2012 Hyper-V可擴展交換機提供的新功能?

1.　重新評估傳統(tǒng)的安全產(chǎn)品：牢記從物理服務(wù)器到虛機遷移時，傳統(tǒng)的備份和安全產(chǎn)品可能會無法工作。

2.　考慮其它的方案：Hyper-V和可擴展交換機可以做一些以前不敢想象的事情。例如，假如您因為擔心對服務(wù)器性能的影響而沒有在物理服務(wù)器上使用防病毒產(chǎn)品。那么借助Hyper-V和類似5nine Software的Security Manager這樣的防病毒產(chǎn)品，您可以在不傷害性能的前提下對所有的服務(wù)器進行保護。類似的，您之前可能無法想象可以在數(shù)據(jù)中心的所有服務(wù)器之前運行共享的防火墻——現(xiàn)在通過Hyper-V和可擴展交換機也變得可行。

3.　測試和學(xué)習(xí)：隨著最新hypervisor及其新功能的發(fā)布(類似可擴展交換機的功能)，對于管理員是時候花一些時間測試和學(xué)習(xí)這些解決方案如何幫助他們改善虛擬架構(gòu)管理。如果不自己測試一下，這些功能的價值很難想象出來。