Nad dnešními moderními hypervizorovými systémy lze dělat mnoho skvělých věcí, které představují skvělý způsob řešení obchodních problémů a technických výzev. Jednou z opravdu skvělých věcí, které můžete dělat s dnešními hypervisory, jako je VMware vSphere, je, že můžete konfigurovat vnořenou virtualizaci. To otevírá mnoho různých možností testování a provozování hypervizorů uvnitř VMware vSphere.

Běžným případem použití, který mnozí našli pro provozování vnořené virtualizace uvnitř VMware vSphere, je provozování hypervizoru Hyper-V společnosti Microsoft pro účely testování a učení.

V tomto příspěvku se podíváme na konfiguraci vnořených virtuálních počítačů Hyper-V na serveru VMware ESXi a zjistíme, jak to lze nakonfigurovat pro použití v laboratorním nebo jiném prostředí.

Co je vnořená virtualizace

Než se ponoříme do toho, jak nakonfigurovat VMware vSphere, aby umožňovala vnořenou virtualizaci Hyper-V uvnitř serveru ESXi, podívejme se, co přesně vnořená virtualizace je. Když uvažujeme o vnořené virtualizaci, mluvíme o spuštění hypervizoru uvnitř hypervizoru. To znamená, že můžete provozovat hypervizory typu 1, jako je VMware vSphere ESXi a Hyper-V, uvnitř virtuálního počítače nad, v tomto případě, VMware vSphere ESXi.

Hypervizor běžící ve virtuálním počítači nad serverem VMware vSphere ESXi jednoduše považuje hardware virtuálního počítače za svůj fyzický hostitelský hardware, na kterém může spouštět hostované virtuální počítače. To umožňuje některé velmi zajímavé scénáře při použití prostředí VMware vSphere k hostování jiných hypervizorů, jako je Microsoft Hyper-V.

Důležitým bodem v souvislosti s VMware vSphere je, že vnořená virtualizace jiných hypervizorů, jako je Hyper-V, uvnitř virtuálního počítače vSphere není podporovaným scénářem. Nejde jen o jiné hypervisory mimo VMware vSphere. Dokonce ani provoz ESXi vnořeného uvnitř fyzického prostředí hostitele ESXi není podporován. Společnost VMware na to oficiálně upozorňuje v článku KB Support for running ESXi/ESX as a nested virtualization solution (2009916).

Následující konfigurace jsou technicky možné při běhu VMware ESXi uvnitř jiných hypervizorových produktů VMware, ale nejsou podporovány. Patří sem následující konfigurace.

• VMware ESXi/ESX běžící v prostředí VMware Workstation nebo VMware Fusion
• VMware ESXi/ESX běžící v prostředí VMware ESXi/ESX
• VMware ESXi/ESX běžící v jiných hypervizorových řešeních třetích stran

Na provoz Hyper-V se samozřejmě vztahuje stejný typ výhrady podpory. Existuje pouze jedna situace, kdy je vnořená virtualizace podporována, a tou je vnořené zařízení vSAN Witness.

Mimo tento podporovaný případ použití se zařízením vSAN Witness není vnořená virtualizace pro produkční prostředí podporována. Jinými slovy, pokud narazíte na problémy při použití vnořené virtualizace, jste s podporou odkázáni sami na sebe.

Pokud rozumíte scénáři podpory s vnořenou virtualizací, je to skvělá funkce, kterou můžete využít pro jiné účely. Lze ji velmi efektivně využít pro laboratorní prostředí, vývoj, testování a další podobné typy scénářů.

Proč provozovat Hyper-V uvnitř VMware

Proč byste chtěli provozovat hypervisor uvnitř jiného hypervisoru? Přesněji řečeno, proč byste chtěli provozovat Hyper-V uvnitř virtuálního počítače VMware ESXi? Jak již bylo uvedeno, nejedná se o podporovanou konfiguraci pro produkční použití. Spuštění Hyper-V uvnitř VMware poskytuje mnoho velkých výhod. Podívejme se na následující:

• Laboratorní prostředí
• Není potřeba žádný další hardware ani síťové vybavení
• Snadné poskytování a rušení hostitelů Hyper-V

Laboratorní prostředí

To je pravděpodobně nejběžnější případ použití pro poskytování hostitele Hyper-V uvnitř virtuálního počítače VMware. Vnořená virtualizace umožňuje velmi snadno poskytovat laboratorní prostředí, dev, testovací a další možné případy použití. Laboratoře Hyper-V lze použít pro:

• Učení
• Testování softwaru
• POC’ing Hyper-V pro různé části infrastruktury nebo jako náhrada
• Napodobení prostředí Hyper-V v jiné části infrastruktury
• Testování oprav

V mnoha malých až středně velkých prostředích může být k dispozici pouze prostředí VMware vSphere a žádní hostitelé Hyper-V. Pokud se správci chtějí dostat k hostiteli Hyper-V, aby se učili a rozvíjeli své dovednosti mimo hypervizor VMware ESXi, poskytují možnosti vnořené virtualizace, které se nacházejí v prostředí VMware vSphere, ideální způsob, jak zajistit hostitele Hyper-V uvnitř prostředí VMware vSphere.

Není potřeba žádný další hardware ani síťové vybavení

Díky této možnosti vnoření Hyper-V uvnitř prostředí VMware vSphere není potřeba shánět další hardware pro laboratorní prostředí nebo svého druhu POC. To vše lze zajistit uvnitř prostředí vSphere. Robustní možnosti virtuálních sítí, které se nacházejí uvnitř vSphere, také umožňují zajistit všechny specializované sítě, které budete potřebovat, pokud se rozhodnete zajistit cluster Hyper-V. Může jít například o sítě Live Migration, Storage a Cluster. Pomocí skupin portů virtuálních přepínačů můžete snadno simulovat konfigurace, kterých byste jinak dosáhli pomocí fyzického síťového vybavení.

Snadné poskytování a rušení hostitelů Hyper-V

Tato výhoda není specifická pro vnořenou virtualizaci, ale spíše pro virtualizaci VMware vSphere obecně. VMware má velmi bohaté sady automatizačních nástrojů včetně PowerCLI. To umožňuje snadno roztočit a zničit virtuální počítače podle potřeby. Automatizovat lze celé laboratorní konstrukce pro provisioning a deprovisioning. To slouží k ještě větší užitečnosti vnořené virtualizace díky snadným možnostem automatizace infrastruktury.

Požadavky na vnořené virtuální počítače Hyper-V na serveru VMware ESXi

Jakmile se rozhodnete využít vnořenou virtualizaci, můžete jednoduše vytvořit nový virtuální počítač v prostředí vSphere ESXi a začít načítat virtuální počítač Hyper-V? No, ne tak docela, nicméně tento proces je stále velmi snadný, když se zamyslíte nad obrovskou složitostí, která je nutná pod „kapotou“, aby vnořená virtualizace skutečně fungovala. V souvislosti s požadavky na provozování vnořených virtuálních počítačů Hyper-V na serveru VMware ESXi je třeba vzít v úvahu skutečně dvě hlavní oblasti. Patří sem:

• Vystavení hardwarově asistované virtualizace hostovanému operačnímu systému
• Povolení vysílání podvržených adres MAC

Podívejme se na každou z nich a jejich význam pro provozování vnořených virtuálních počítačů Hyper-V na serveru VMware ESXi Server.

Vystavení hardwarově podporované virtualizace hostovanému operačnímu systému

Tento první požadavek zjistíte jako naprosto nezbytný. Jedná se o nastavení pod nastavením jednotlivých virtuálních počítačů, které používáte pro umístění instalace Hyper-V. Upravte nastavení vnořeného virtuálního počítače Hyper-V, rozbalte položku CPU a umístěte zaškrtávací políčko vedle položky Expose hardware-assisted virtualization to the guest OS.

Povolení hardwarově asistované virtualizace ve VMware pro virtuální počítač Hyper-V

Co se stane, pokud tento příznak pro hardwarově asistovanou virtualizaci ve VMware pro virtuální počítač Hyper-V nepovolíte? Při pouhé instalaci operačního systému Windows Server se nezobrazí žádná chyba, protože bude fungovat jako instalace jakéhokoli jiného virtuálního počítače. Když se však dostanete do bodu instalace role Hyper-V, zobrazí se chyba, pokud toto nastavení není pro virtuální počítač povoleno. Všimněte si níže uvedené chyby: „Hyper-V nelze nainstalovat: Procesor nemá požadované virtualizační schopnosti“.

Podotýkám, že tento příznak musí být nastaven buď při instalaci Hyper-V Core, nebo při instalaci role Hyper-V v systému Windows Server s nainstalovanou aplikací Desktop Experience. Tato schopnost je vyžadována při jakékoli vnořené instalaci role Hyper-V uvnitř prostředí VMware vSphere.

Chybná instalace role Hyper-V, když na virtuálním počítači VMware není nastaven příznak hardwarové virtualizace

Tento příznak můžete také nastavit pomocí části kódu PowerCLI, který umožňuje snadno nastavit příznak na zadaném virtuálním počítači.

$vmName = ‚MyHyperVVM‘

$vm = Get-VM -Name $vmName

$spec = New-Object VMware.Vim.VirtualMachineConfigSpec

$spec.nestedHVEnabled = $true

$vm.ExtensionData.ReconfigVM($spec)

Enabling Promiscuous Mode and MAC Address Forged Transmits

Pokud konfigurujete vnořenou instalaci Hyper-V uvnitř VMware vSphere, budete s největší pravděpodobností chtít mít možnost nejen nainstalovat server s rolí Hyper-V, ale také spustit vnořený virtuální počítač Hyper-V nad vnořeným serverem Hyper-V, který provozujete.

Možná vám nezáleží na tom, abyste měli možnost síťového připojení k virtuálnímu počítači Hyper-V, nicméně možná budete chtít mít možnost navázat skutečné síťové připojení k vnořenému virtuálnímu počítači spuštěnému nad vnořeným hostitelem Hyper-V ve virtuálním počítači VMware.

Pokud chcete mít tuto funkci, je třeba provést několik nastavení konfigurace sítě na přepínači VMware vSwitch, ke kterému je vnořený hostitel Hyper-V připojen.

Možná to budete muset udělat, protože od vydání VMware vSphere 6.7 došlo k novému pokroku v technologii VMware vSwitch a vnořené virtualizace. Před vydáním VMware vSphere ESXi 6.7 společnost VMware neimplementovala učení MAC na přepínači vSwitch, jako je tomu u skutečného fyzického přepínače. Týkalo se to buď standardního přepínače vSphere, nebo distribuovaného přepínače vSphere.

Protože tomu tak bylo u přepínače VMware vSwitch před verzí vSphere 6.7, když virtuální přepínač obdrží pakety, které nemají adresu MAC shodnou s adresou MAC pNIC vmnic vnořeného hostitele hypervizoru (v případě vnořeného hostitele ESXi), pakety budou zahozeny.

Chcete-li toto omezení obejít, je třeba na přepínači vSwitch povolit dvě nastavení, a to promiskuitní režim a falešné přenosy.

Konfigurace promiskuitního režimu a falešných přenosů na přepínači VMware vSwitch

Co vSphere 6.7 a vyšší? Před vydáním vSphere ESX 6.7 začala společnost VMware pracovat v oblasti vnořené virtualizace a funkce učení MAC ve vztahu k virtuálním přepínačům. Byl vydán „MAC Learning Fling“, který zavedl funkci učení MAC, abyste nemuseli povolovat promiskuitní režim a kované nastavení přenosu.

Toto nastavení bylo zavedeno s vydáním VMware vSphere 6.7 ESXi.

Jaké jsou požadavky nové funkce MAC Learning v ESXi 6.7?“

Je několik požadavků, které je třeba mít zavedené, abyste mohli využívat novou funkci MAC Learning v prostředí vSphere 6.7.

Jaké jsou požadavky nové funkce MAC Learning v ESXi 6.7? Jsou to následující:

• Upgrade serveru vCenter Server a serverů ESXi na verzi vSphere 6.7
• Zprovoznění distribuovaného přepínače vSphere (vDS)
• Upgrade vDS na nejnovější verzi (6.7).6)
• Správa na základě skupiny portů vSphere Distributed Switch
• Správa pomocí rozhraní vSphere API

Jedna věc, kterou je třeba poznamenat, nová funkce MAC Learning s vSphere 6.7 a vDS 6.6 vSwitch není ve výchozím nastavení povolena. Budete muset příznaky vhodně nastavit pomocí rozhraní API.

Pro usnadnění tohoto procesu napsal William Lam, Staff Solution Architecture, několik funkcí PowerCLI, které velmi usnadňují kontrolu stavu MAC Learning a nastavení MAC Learning v prostředí vSphere. Williamův skript PowerCLI si můžete stáhnout z jeho úložiště Github zde:

https://github.com/lamw/vghetto-scripts/blob/master/powershell/MacLearn.ps1

Příklad výstupu funkce Get-MacLearn kontrolující skupinu portů distribuovaného přepínače vSphere vypadá následovně. Všimněte si polí:

• MacLearning
• NewAllowPrimiscuous
• NewForged Transmits
• NewMacChanges
• Limit
• LimitPolicy

Takto bude vypadat skupina portů vDS 6.7 vSwitch s výchozím nastavením.

Kontrola stavu MAC Learning na přepínači vSphere 6.7 vDS

Pro vnořené instalace ESXi, a tím i pro virtuální počítače Hyper-V běžící uvnitř hypervizoru vSphere ESXi, chcete nastavit následující nastavení:

• MAC Learning: true
• Promiscuous mode: False
• Forged Transmit: Změny MAC: True
• MAC Changes:
• Limit: 4096 (můžete nastavit nebo ponechat výchozí hodnotu)
• Limit Policy: (můžete nastavit nebo ponechat výchozí hodnotu)

Výše uvedená doporučení lze nastavit pomocí následujícího kódu PowerCLI:

• Set-MacLearn -DVPortgroupName @(„DPG-Servers“) -EnableMacLearn $true -EnablePromiscuous $false -EnableForgedTransmit $true -EnableMacChange $false

Jak nyní očekáváme, jak jste si všimli výše, nastavení režimu Promiscuous je nakonfigurováno na False. I když je povoleno učení MAC, nastavení Forged Transmit je stále nastaveno na True.

Funkce MAC Learning obsažená v prostředí vSphere 6.7 umožňuje vyhnout se některým bezpečnostním důsledkům provozování vnořeného virtuálního počítače uvnitř prostředí vSphere 6.7 tím, že zabraňuje nutnosti povolit promiskuitní režim.

Můžete zálohovat vnořená prostředí?

Přestože provozování vnořené virtualizace podporuje pouze VMware vSphere pro zařízení vSAN Witness, pokud provozujete vnořené virtuální počítače Hyper-V uvnitř VMware vSphere ESXi, můžete si vnořené prostředí zálohovat. Lze to provést?

Ano, určitě.

Pomocí moderního zálohovacího řešení, jako je například sada Vembu BDR Suite, můžete zálohovat nejen produkční prostředí VMware vSphere nebo Microsoft Hyper-V, ale také všechny vnořené instalace ESXi nebo Hyper-V, které můžete mít v prostředí.

Zabalení

Vnořené virtuální počítače Hyper-V na serveru VMware ESXi vám poskytují možnost hrát si s Hyper-V, i když máte pouze prostředí VMware vSphere. Jak bylo ukázáno, existuje mnoho skvělých případů použití vnořené virtualizace. Patří sem učení, testování softwaru, POC’ing a záplatování hostitelů Hyper-V.

Jakkoli je vnořená virtualizace ve VMware vSphere výkonná, mohli byste očekávat, že proces jejího umožnění bude nesmírně obtížný. Při zajišťování virtuálního počítače VMware vSphere, který bude obsahovat instalaci Hyper-V, však vyžaduje pouze několik úkonů z vaší strany. Patří sem vystavení příznaku hardwarově podporované virtualizace na virtuálním procesoru virtuálního počítače Hyper-V a také implementace promiskuitního režimu nebo učení MAC pro připojení všech vnořených virtuálních počítačů Hyper-V k síti.

Všechny vnořené virtuální počítače Hyper-V na serveru VMware ESXi jsou mimořádně výkonnou možností a umožňují vyzkoušet a naučit se Hyper-V bez fyzického vybavení pro provoz hypervizoru Hyper-V.

Sledujte naše kanály na Twitteru a Facebooku, kde najdete nové verze, aktualizace, zasvěcené příspěvky a další informace.