17 02 2014
Partie 3: Configuration réseau d’un serveur Hyper-V Standalone
Cette fois, rentrons dans le vif du sujet avec un peu de configuration pratique d’un serveur Hyper-V en mode Standalone d’un Branch Office.
Dans cet article, nous verrons comment configurer le réseau d’un serveur Hyper-V Standalone, sans SCVMM. C’est typiquement le cas des serveurs de sites Branch Offices où un serveur Hyper-V permet d’utiliser quelques machines virtuelles avec les rôles classiques (RODC, File Server, Print Server, DHCP…) sur plusieurs réseaux séparés.
En général ces serveurs Hyper-V viennent en complément des infrastructures du datacenter afin de les seconder sur les sites distants, y compris lorsque le choix de l’hyperviseur principal dans le datacenter est VMware !
Note: cet article est le troisième article de la série Introduction aux réseaux sur Hyper-V et SCVMM 2012
Cas pratique
Afin d’alimenter l’exercice, je vous propose un petit cas pratique, représentatif pas mal d’entreprises.
Imaginons une entreprise avec un Head-Quarter implémenté à Genève, avec un datacenter à Genève également. Cette entreprise est implémentée régionalement avec une antenne à Lausanne et à Zurich. Chaque antenne compte environ 50 utilisateurs faisant principalement de la bureautique. La solution nécessite d’avoir:
- Un RODC + DNS pour l’authentification;
- Un serveur de fichiers et d’impressions sur les réseau des utilisateurs;
- Un serveur de comptabilité sur un réseau dédié, accessibles uniquement depuis certains postes de l’entreprise;
- Un serveur d’infrastructure qui comprend WSUS et le serveur DHCP.
- Le serveur Hyper-V doit pouvoir être backupé sur le réseau de backup sans réduire les performances réseau des VMs.
- Il n’y a qu’une seule carte réseau.
La figure 1 représente les réseaux logiques qu’il nous faut configurer:
Vert:
- Nom: Production;
- Pas de vLan (= vLan 0);
- Subnet 192.168.0.0/24;
Orange:
- Nom: Finances;
- vLan 20;
- Subnet 172.16.20.0/24
- Accès limité au seul poste dont l’adresse IP est 192.168.0.60.
Gris:
- Nom: Backup
- vLan 10;
- Subnet 192.168.10.0/24
- Bande passante limité à 100MB/s
Mise en application
Prérequis
Le serveur Hyper-V n’ayant qu’un seul port physique, il est impossible de séparer chaque vLan sur des cartes différentes. Il va donc falloir créer un seul switch virtuel et faire passer tous les sous-réseaux dessus. Pour cela, il faudra demander au technicien réseau de configurer le switch physique avec, sur le port de l’hyper-V, du vLan trunking.
Pour suivre l’exercice, je part du principe que vous avez:
- Un serveur Windows Server 2012 R2;
- Le rôle Hyper-V installé sur cette machine sans avoir configuré le switch virtuel;
- La (seule) carte réseau configurée avec son adresse IP définitive;
- Pas de switch virtuel.
vLan Trunking
Le vLan Trunking, qu’est-ce que c’est ? Nous y reviendrons dans la partie 10 de cette série dédié aux réseaux, mais rapidement…
…imaginez que chaque réseau a un numéro. Dans ce cas pratique, le réseau de production a le numéro 0, le réseau de backup a le numéro 10, et le réseau des finances a le numéro 20.
Ces réseaux sont complètement séparés les uns des autres, et un serveur connecté au réseau 10 ne peut pas discuter avec le serveur connecté sur le réseau 20.
Le vLan Trunking, permet de présenter tous ces réseaux complètement séparés sur le même port physique. C’est le numéro configuré sur votre carte réseau (physique ou virtuelle) qui permet de définir sur quel réseau vous êtes connectés. Un peu comme lorsque nous utilisons un talkie-walkie sur le canal 1, le canal 2, etc…
Création du switch virtuel
Pour la création du switch virtuel:
- Ouvrez la console Hyper-V Manager.
- Cliquez, dans le panneau Actions sur Virtual Switch Manager…
- Sélectionnez à gauche New virtual network switch.
- Sélectionnez à droite External puis cliquez sur Create Virtual Switch.
- Entrez « Network1 » comme nom du switch.
- Dans Connection type sélectionnez External network puis séectionnez votre carte réseau.
- Afin de conserver la configuration réseau du serveur Hyper-V, sélectionnez Allow management operating system to share this network adapter.
- Cliquez sur OK.
Si vous étiez connecté en remote desktop, la connection réseau risque d’être coupé quelques secondes, le temps pour Hyper-V de configurer le nouveau switch.
En Powershell:
1 2 3 4 5 6 |
#-- on récupère la carte réseau physique (c'est facile, il n'y en a qu'une), sinon n'hésitez pas à taper #-- Get-NetAdapter et choisir le bon adapter: $NetAdapter = Get-NetAdapter -Name Ethernet #-- Et on crée le virtual switch New-VMSwitch -Name "Network1" -NetAdapterName $NetAdapter -AllowManagementOS |
Vous noterez que les 8 étapes du mode graphique est condensé en…2 lignes powershell !
Par défaut, la carte virtuelle va prendre le nom du virtual switch créé. Dans mon exemple il s’agit de « Network1 ». Pourquoi ne pas la renommer plus sobrement en « Management » ? En powershell:
1 2 3 4 5 6 7 8 |
Rename-VMNetworkAdapter -Name Network1 -NewName Management #-- Pour vérifier le nom: Get-VMNetworkAdapter -ManagementOS Name IsManagementOs VMName SwitchName MacAddress Status IPAddresses ---- -------------- ------ ---------- ---------- ------ ----------- Management True Network1 AABBCCDDEEFF {Ok} |
En principe, à cette étape nous avons déjà notre réseau logique Vert:
- Un virtual switch;
- Par défaut le réseau de Production (pas de vLan);
- La carte virtuelle de management du serveur Hyper-V.
Réseau de Backup
Pour utiliser le réseau de backup, cette fois-ci, il va vraiment falloir mettre les mains dans Powershell !
Nous allons procéder en 3 étapes:
- Créer la carte virtuelle dédiée au backup;
- Configurer le vLan 10;
- Ajouter de la QoS.
D’abord la création d’une nouvelle carte virtuelle pour le serveur Hyper-V lui-même:
1 |
Add-VMNetworkAdapter -ManagementOS -Name "Backup" -SwitchName Network1 |
Le paramètre -ManagementOS permet de préciser que la carte virtuelle ne sera pas ajoutée à une machine virtuelle, mais à la partition de Management d’Hyper-V.
Si vous allez dans les connexions réseau sur votre serveur Hyper-V, vous allez retrouver la nouvelle carte réseau:
Comme vous pouvez le constater, à cette étape, pour un novice, rien ne différencie une carte virtuelle d’une carte physique. Elles se comportent de la même façon. Vous pouvez configurer l’adresse IP par les moyens classiques.
Maintenant il s’agit d’ajouter cette carte dans le bon vLan. Toujours en Powershell:
1 2 3 4 5 6 7 8 |
Get-VMNetworkAdapter -ManagementOS -Name "Backup" | Set-VMNetworkAdapterVlan -VlanId 10 -Access #-- Pour vérifier la prise en compte, vous pouvez taper: (Get-VMNetworkAdapter -ManagementOS -Name "Backup").VlanSetting VMName VMNetworkAdapterName Mode VlanList ------ -------------------- ---- -------- Backup Access 10 |
Le paramètre -Access permet d’indiquer que la carte n’accèdera qu’à un vLan, celui spécifié par le paramètre -VlanID.
Enfin, nous allons limiter la bande-passante à 100MB/s. Encore une fois en Powershell:
1 2 3 4 5 6 7 8 |
Get-VMNetworkAdapter -ManagementOS -Name "Backup" | Set-VMNetworkAdapter -MaximumBandwidth 100MB #-- Pour vérifier: (Get-VMNetworkAdapter -ManagementOS -Name "Backup").BandwidthSetting MinimumBandwidthAbsolute MinimumBandwidthWeight MaximumBandwidth ------------------------ ---------------------- ---------------- 0 0 104857600 |
La valeur du paramètre -MaximumBandwidth est en bit/s.
Note: Bien entendu, il serait plus judicieux d’utiliser des poids réseau pour les cartes. Avec les systèmes de poids, la carte de backup pourrait utiliser la totalité de la bande-passante non utilisée pendant les backups, sans impacter les machines virtuelles. Cependant, pour l’exercice, il est plus facile de comprendre avec une limitation de bande-passante. Nous reviendrons en détail sur les différentes possibilités de QoS dans une prochaine partie.
A partir de là, nous avons, en plus du réseau Vert, le réseau Gris dédié aux backups. Il ne reste plus qu’à configurer la carte réseau de la machine virtuelle Finance.
Configuration de la VM Finance avec des ACL
Pour cette machine virtuelle, nous devons procéder en 2 étapes:
- Configuration du vLan 20;
- Configuration de l’ACL.
Pour configurer le vLan de cette machine virtuelle, vous pouvez utiliser la commande powershell que nous avons utilisé pour la carte virtuelle de backup. Vous pouvez aussi utiliser, cette fois, la console Hyper-V Manager.
- Ouvrez la console Hyper-V Manager.
- Sélectionnez la VM Finance.
- Dans le panneau Action, cliquez sur Settings…
- Sélectionnez la carte réseau virtuelle Network Adapter.
- Pour ajouter le vLan 20, cliquez sur Enable virtual LAN identification sous VLAN ID.
- Entrez le numéro 20 pour le vlan ID 20.
- Cliquez sur OK.
Il ne nous reste plus qu’à configurer l’ACL proposée, c’est à dire de limiter les connexions extérieurs à une seule adresse IP « 192.168.0.60 ». Cette opération ne peut-être effectuée qu’en Powershell:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 |
#-- D'abord on bloque toutes les connexions entrantes: Get-VMNetworkAdapter -VMName Finance | Add-VMNetworkAdapterAcl -Direction Inbound -RemoteIpAddress ANY -Action Deny #-- On autorise uniquement notre IP de confiance: Get-VMNetworkAdapter -VMName Finance | Add-VMNetworkAdapterAcl -Direction Both -RemoteIpAddress 192.168.0.60 -Action Allow #-- Pour vérifier: Get-VMNetworkAdapter -VMName Finance | Get-VMNetworkAdapterAcl VMName: Finance VMId: ee270466-ae53-46d6-a58f-717c9de841ae AdapterName: Network Adapter AdapterId: Microsoft:EE270466-AE53-46D6-A58F-717C9DE841AE\C6BFD22F-77F3-4DE2-BB11-4BE59B0C1A17 Direction Address Action --------- ------- ------ Inbound Remote 0.0.0.0/0 Deny Inbound Remote 192.168.0.60 Allow Inbound Remote ::/0 Deny Outbound Remote 192.168.0.60 Allow |
Bien entendu, le paramètre -RemoteIPAddress peut prendre un subnet à la place d’une IP seule, ce qui simplifie l’administration. Par exemple, nous pourrions ajouter le réseau de confiance 10.0.20.0/24 en remoteIPAddress.
Voilà, nous avons configuré toute la partie réseau imposée pour notre Branch Office !
Next step
Dans la prochaine partie, nous ferons le point sur le teaming réseau sous Hyper-V, les différents modes disponibles, et comment les configurer sous Hyper-V et sous SCVMM.
Partie 2: Les réseaux convergés sous Hyper-V Partie 4: Introduction du teaming de cartes sur Hyper-V
[…] Introduction à la Fabric Networking de SCVMM 2012 Partie 2: Les réseaux convergés sous Hyper-V Partie 3: Configuration réseau d’un serveur Hyper-V Standalone Partie 4: Introduction du teaming de cartes réseau sous Hyper-V 2012 et SCVMM 2012 Partie 5: […]
[…] Dans le prochain article, nous verrons comment configurer le réseau d’un serveur Hyper-V Standalone, sans SCVMM. C’est typiquement le cas des serveurs de sites Branch Offices où un serveur Hyper-V permet d’utiliser quelques machines virtuelles avec les rôles classiques (RODC, File Server, Print Server, DHCP…) sur plusieurs réseaux séparés. […]