自 Windows Server 2012 起,微软引入了 SMB 3.0 的概念,通过 SMB 3.0,可以实现很多新的功能,包括我们介绍过的"SMB 多通道",以及将虚拟机的存储安装在 SMB 3.0 的文件共享服务器上,实现另外一种高可用性。
相对于硬件存储而言,搭建 SMB 的文件共享服务器成本更为低廉。将虚拟机部署在 SMB 3.0 上,可以实现基本等同于 Hyper-V 故障转移群集的效果。
9.1 SMB 3.0 的特性
9.1.1 SMB 3.0 的部署和使用条件
SMB 3.0 是一项新技术,因此在带来新功能的同时,对部署环境和使用条件也有一定的限制。
- 部署一个常见的 Active Directory 域环境,对于域中的林和域的功能级别,SMB 3.0 并没有硬性要求。
- 使用 SMB 3.0 的客户端和服务器均必须支持 SMB 3.0。如 Windows Server 2012/2012 R2,Windows 8/8.1。
- 如果希望应用于 Hyper-V 主机,则 Hyper-V 角色和 SMB 3.0 角色不能同时存在于一台主机上,SMB 3.0 不支持环回的配置。
- 可以使用非微软的文件共享服务器,但必须同样支持 SMB 3.0。
9.1.2SMB 3.0 功能
SMB 3.0 相对于 Windows Server 2008 中存在的 SMB 2.0,增加了一些对于 Hyper-V 有用的功能:
- SMB 透明的故障转移,在 SMB 2.0 中,如果管理员对 SMB 群集进行维护,则客户端会中断连接,用户必须重新连接才可以继续使用服务。而在 SMB 3.0 中,这一情况得到了改变。
- SMB 多通道,该功能要求客户端和服务器双方都必须支持 SMB 3.0,但其实现的功能也是非常有用的,可以对客户端和服务器之间的流量在不同网卡之间分流、故障转移。
- SMB 直通(RDMA),该功能只在 Windows Server 平台上使用,同样该功能要求客户端和服务器均需支持 SMB 3.0,同时需要主机拥有支持 RDMA 的网卡。
- SMB 加密,在客户端和服务器均支持 SMB 3.0 的前提下,可以使用 SMB 3.0 加密功能。
SMB PowerShell,在 Windows Server 2012 和 Windows8 起,开始引入 SMB PowerShell。需要注意的是,SMB PowerShell 仅支持 Windows Server 2012 以上的操作系统,之前的版本还需要使用 net.exe 或其他 API 进行管理。
9.2 部署 SMB 3.0
9.2.1 添加文件服务器角色
首先准备一台 Windows Server 2012 R2 的虚拟机,其 FQDN 为 fs.contoso.com。在生产环境中,为了保证良好的用户体验,可以使用物理机来实现。
第 1 步,依次打开"服务器管理器"→"添加角色和功能向导",在"安装类型"对话框中勾选"基于角色或基于功能的安装",如图 9-1 所示,点击"下一步"继续。
图 9-1 添加角色和功能
第 2 步,在"服务器选择"对话框,点选所需要添加角色的服务器,如图 9-2 所示,点击"下一步"继续。
图 9-2 选择需要添加角色的服务器
第 3 步,在"服务器角色"对话框,勾选"文件和 iSCSI 服务"下的"文件服务器",如图 9-3 所示,点击"下一步"继续。
图 9-3 安装文件服务器角色
第 4 步,功能对话框不勾选任何选项,点击"下一步"进入到"确认"对话框,点击"安装"完成,如图 9-4 所示。
图 9-4 确认安装角色
如果使用 PowerShell 在 fs.contoso.com 本地进行安装,则可以以管理员方式运行 PowerShell,执行以下命令。
Install-WindowsFeature File-Services, FS-FileServer
如果使用 PowerShell 在远程服务器上安装,则可以使用如下命令。
Invoke-Command -ComputerName fs -Command{Install-WindowsFeature -Name File-Services, FS-
FileServer }
9.2.2 添加共享文件夹
为了将 SMB 3.0 应用于 Hyper-V,还需要创建特定的共享文件夹方可使用。和普通的共享文件夹应用不同的是,Hyper-V 访问共享文件夹不是以"用户"的身份去进行访问,而是以"计算机"的身份进行访问,因此在配置共享文件夹时需要进行一些特殊的配置。第 1 步,依次点击"服务器管理器"→"文件和存储服务"→"共享",如图 9-5 所示。
图 9-5 共享管理界面
第 2 步,在"共享"对话框,点击"任务"按钮,选择"新建共享",启动"新建共享向导"。在"选择配置文件"对话框中,必须点选"SMB 共享-应用程序",仅此配置文件适用于 Hyper-V,如图 9-6 所示,点击"下一步"继续。
图 9-6 创建"SMB 共享-应用程序"
第 3 步,在"共享位置"对话框,点选"按卷选择"按钮,选择 D 盘,如图 9-7 所示,点击"下一步"继续。
图 9-7 创建"共享位置"
第 4 步,在"共享名称"对话框,依次输入"共享名称"和"共享描述",此处可以输入中文的名称和描述以方便识别。根据共享名称的不同,系统会自动在所选的 D 盘下创建"share共享名称"目录,同时将其共享为"\服务器名共享名称"。如图 9-8 所示,点击"下一步"继续。
图 9-8 创建"共享名称"
第 5 步,在"其他设置"对话框,可以配置"启用基于存取的枚举"、"允许共享缓存"、 "加密数据访问"功能是否开启。由于所选共享配置文件以及本例未安装 BranchCache 功能的缘故,因此上两项功能无法使用,如图 9-9 所示,不勾选任何选项,直接点击"下一步" 继续。
图 9-9 创建"其他设置"
第 6 步,在"权限"对话框,需要配置能够访问该共享目录的安全权限和共享权限。点击"自定义权限"进入配置界面,如图 9-10 所示。
图 9-10 创建"其他设置"
第 7 步,在"高级安全设置"对话框,于默认的"权限"选项卡下,点击"添加",如图 9-11 所示。
图 9-11 添加安全权限
第 8 步,点击"选择主体"按钮,于弹出的"选择用户、计算机、服务账户或组"对话框中选择"对象类型",如图 9-12 所示。
图 9-12 选择对象类型
第 9 步,在"对象类型"对话框中,勾选"计算机"对象类型,点击"确定"返回上一级窗口,如图 9-13 所示。
图 9-13 选中"计算机"类型
第 10 步,在"选择用户、计算机、服务账户或组"对话框中,可以输入 hv2.contoso.com 的计算机名,如未进行过第 8-9 步的操作,则默认情况下无法选用计算机账户。点击"确定",如图 9-14 所示。
图 9-14 添加计算机账户
第 11 步,返回至特定安全主体的权限配置页面,可以对 hv2.contoso.com 对该共享文件夹的访问权限进行设定。此处勾选"完全控制",点击"确定"完成配置。如图 9-15 所示。
图 9-15 为计算机账户配置权限
第 12 步,依次对 hv3.contoso.com 和 hypervha.contoso.com(群集地址)添加相同的完全控制权限。原则上有多少台需要访问该目录的计算机,就需要添加多少个共享权限。如图 9-16 所示。
图 9-16 重复配置计算机安全权限
第 13 步,检查"共享"权限配置是否正确,依次对 hv3.contoso.com 和 hypervha.contoso.com(群集地址)添加相同的完全控制权限。原则上有多少台需要访问该目录的计算机,就需要添加多少个"共享"权限。如图 9-17 所示。
图 9-17 重复配置计算机安全权限
第 14 步,在"权限"对话框中,可以检查共享文件夹的安全权限配置是否正确。如图
9-18 所示,点击"下一步"继续。
图 9-18 检查安全权限的配置第 15 步,在"确认"对话框中,可以检查共享文件夹的整体配置是否正确。如图 9-19 所示,点击"创建"继续。
图 9-19 检查共享文件夹的整体配置
第 16 步,在"结果"对话框中,耐心等待共享文件夹的创建结束,如图 9-20 所示,点击"关闭"完成配置。
图 9-20 完成共享文件夹配置
第 17 步,回到"服务器管理器",可以"共享"下看到已创建的文件夹。如图 9-21 所示。
图 9-21 在服务器管理器中的共享文件夹
第 18 步,在运行中输入\fs 可以看到已创建的文件夹,右键点击该文件夹,选择"属性",可以看到其安全权限的配置,后续的权限修改也可以在此进行。如图 9-22 所示。
图 9-22 检查共享文件夹配置
9.3 在 SMB 3.0 上创建虚拟机
9.3.1 创建虚拟机
完成共享文件夹的创建后,可以使用被允许的 Hyper-V 主机将虚拟机创建在该共享文件夹上。
第 1 步,远程登录 hv2.contoso.com,打开"Hyper-V 管理器",如图 9-23 所示。
图 9-23 远程的登录 hv2.contoso.com
第 2 步,通过"新建虚拟机向导"创建虚拟机,在"指定名称和位置"对话框,修改虚拟机的存储位置为上一阶段创建的共享文件夹:"\fsHyper-V 存储共享",如图 9-24 所示,点击"下一步"继续。
图 9-24 修改虚拟机存储位置。
第 3 步,依次进行其他配置,完成虚拟机的创建。如图 9-25 所示。
图 9-25 修改虚拟机存储位置。
第 4 步,在"Hyper-V 管理器"中,右键点击该虚拟机,选择"设置",可以检查该虚拟机的硬盘驱动器设置,能够发现其保存位置也确实在共享文件夹上。如图 9-26 所示。
图 9-26 检查虚拟机存储位置。
9.3.2 SMB3.0 上创建虚拟机的局限性
以上完成了在 SMB3.0 上创建虚拟机的操作,然而需要注意的是,如果仅仅是完成了以上操作,则只能登陆相应的 Hyper-V 主机,方可在共享文件夹上创建虚拟机。如登陆 hv2.contoso.com 后,只能在 hv2.contoso.com 上创建虚拟机,而无法使用"Hyper-V管理器" 在 hv3.contoso.com 上创建虚拟机。例如,在 hv1.contoso.com 上打开"Hyper-V 管理器",为 hv2.contoso.com 创建基于共享文件的虚拟机,则会出现如下错误提示,如图 9-27 共享文件夹上创建虚拟机的局限性。
图 9-27 所示。
9.4 权限委派
9.4.1 委派的意义
为了解决 SMB3.0 上创建虚拟机的局限性,需要引入一个新的概念"委派"。"委派"在Windows Server 中拥有久远的历史。其解决的是集中管理的问题,当只有少数的服务器时,服务器管理员可以远程登录到每一台服务器上,发起相应的操作,服务器和服务器之间通过用户密码或其他凭据进行正常的通信。如图 1 所示 9-28 所示。
图 9-28 无需使用委派的场景。
由于 Windows Server 默认只信任"自己"所发起的一些操作。当有人"代表"它进行操作时,默认是不成功的,这也就解释了默认情况下无法使用"Hyper-V 管理器"为其他 Hyper-V 主机创建虚拟机的问题,如图 9-29 所示。
图 9-29 不委派导致失败的场景。
然而当所需要管理的计算机越来越多时,每次都要登录到相应的计算机去操作显然不现实。此时就需要使用"委派"来解决这个问题,"委派"就好比一个声明,又可以理解为"领导"对"员工"工作的具体指派:"我允许你访问 a 资源和 b 资源,我允许 b 主机访问 c 资源和 d 资源"。委派是域内使用的一种策略,其策略实施不需要被委派方的回应。当实施委派后,就可以进行类似 hv1.contoso.com 上的"Hyper-V 管理器"操作 hv2.contoso.com 或 hv3.contoso.com 这种操作了,如图 9-30 所示。
图 9-30 委派的场景。
9.4.2 委派的分类
委派分为两种方式,分别是"委派"和"约束委派",顾名思义,委派就是将所有权限都委派给某一台计算机,而约束委派则是将某个或某几个应用的权限委派给某一台计算机。相对而言,约束委派的安全性要更好一些。但操作也稍微复杂一些。本例将以约束委派进行示例进行讲解。
9.4.3 委派的配置
本例要实现的最终目标是,可以在 hv1.contoso.com 上用 "Hyper-V 管理器 " 在 hv2.contoso.com、hv3.contoso.com 以及 hypervha.contoso.com(群集地址)上创建虚拟机。
委派的前提是需要操作计算机处于域环境中,对于非域环境的计算机,无法使用委派功能。
第 1 步,使用域管理员账号登录域控制器,打开"Active Directory 用户和计算机",在相应的 OU 下找到需要操作的计算机账户,本例中专门创建了一个 OU"物理主机",默认情况下,所有计算机账户位于"Computers"下。如图 9-31 所示。
图 9-31 打开"Active Directory 用户和计算机"
第 2 步,右键点击需要委派的计算机账户,选择"属性",如图 9-32 所示。
图 9-32 选择计算机账户的属性
第 3 步,在"属性"对话框中,切换至"委派"选项卡,如图 9-33 所示。此处有三个选项:
- 不信任此计算机来委派:默认值,表示不启用委派。
- 信任此计算机来委派任何服务(仅 Kerberos):即"委派",表示该计算机拥有"代表"其他计算机的所有权限。相对而言,使用"委派"所需的鼠标点击操作较少,但因为安全风险的缘故,不建议轻易使用。
- 仅信任此计算机来委派指定的服务:即"约束委派",表示该计算机可以对部分指定的应用或服务拥有"代表"的权限。
图 9-33 委派选项卡
第 4 步,点击"仅信任此计算机来委派指定的服务",默认点选"仅使用 Kerberos"。点击右下角的"添加"按钮。如图 9-34 所示。
图 9-34 指定"仅信任此计算机来委派指定的服务"
第 5 步,点击"用户或计算机",在弹出的"选择用户或计算机"对话框中,输入 hv2 或 hv2.contoso.com(需要委派的第一台 Hyper-V 主机),如图 9-35 所示,点击"确定"。
图 9-35 指定需委派的计算机
第 6 步,在弹出的"添加服务"对话框中,可以选择需要添加的各类服务,按下"Ctrl" 键可进行复选。本例中选择 cifs 即可。即表示允许 hv1.contoso.com 对 hv2.contoso.com 进行 cifs(Common Internet File System 通用 Internet 文件系统,即微软自家的 SMB 共享)的相应访问操作。如图 9-36 所示,点击"确定"。
图 9-36 委派 cifs 服务
第 7 步,除了 hv2.contoso.com 外,还需要依次添加 hv3.contoso.com 和
hypervha.contoso.com 的相应委派权限,以及需要访问的文件共享服务器(fs.contoso.com)的相应委派权限,如图 9-37 所示,点击"确定"完成约束委派的设置。
图 9-37 依次添加所有涉及的服务
第 8 步,在生产中,为了后期操作方便,而不局限于只能在 hv1.contoso.com 上管理,可以依次对其他所涉及的 Hyper-V 主机委派相应的权限,如图 9-38 所示。
图 9-38 依次对所有涉及的 Hyper-V 主机进行相同操作
第 9 步,在"Active Directory 用户和计算机"上完成委派后,策略可能不会即时生效,如遇这种情况,需要重启所涉及的 Hyper-V 主机,并刷新组策略方可生效。
委派生效后,即可解决未配置委派时,无法用"Hyper-V 管理器"远端创建和维护虚拟机的问题。
9.4.4 委派的其他作用
在微软的虚拟化和私有云中,委派还有另外两个重要的作用,通过委派"Hyper-V Replica Service"和"Microsoft Virtual System Migration Service",可以为虚拟化环境带来"实时迁移" 和"Hyper-V 副本"两项重要的功能。配置如图 9-39 所示,如果未正确配置委派,则这两项功能无法使用,和配置 cifs 的委派同理,该操作需要在所有涉及的 Hyper-V 主机上设置。
图 9-39 配置委派 Hyper-V 副本和实时迁移功能
9.5 小结
本章通过创建 SMB 文件共享和委派,实现了使用"Hyper-V 管理器"将虚拟机创建在共享文件夹上的操作。在 SMB 上创建虚拟机是一种廉价的高可用解决方案,无需企业拥有独立的硬件存储,配置方面也非常简单。通过 SMB 文件共享,可以实现接下来将要介绍的共享实时迁移。
而委派这项操作,尽管并非实时迁移的必要准备条件。但未配置"Microsoft Virtual System Migration Service"委派的情况下,就必须登录到目标主机上进行操作,这将会极大的降低工作效率。因此实际的生产活动当中,委派可以说是一项必备条件。