Hyper-V 2012 VLAN Problem

[wernbert 10]

Hallo Leute!

Ich habe folgendes Problem:

Wir sind gerade am Zentralisieren unserer zentralen IT und der  IT der Tochetrfirma in einem Rechenzentrum.

Da wir nur die Infrastruktur für das Tochetrunternehmen stellen und keinen Support etc übernehmen wird dies eine Art Multi-Mandatenhosting.

Sprich es muss gewährleistet werden dass die Admins der Tochterfirma nicht auf die Hyper-V Hosts etc zugreifen können.

 

Jetzt ist heute die erste Hardware gekommen und steh vor folgendem Problem:

Ich muss für die Tochterfirma ca 6 Netze am Hyper-V abbilden. Das ganze kommt von der Firewall mittels VLAN-Tag daher.

Sprich ich muss auf einer NIC (4 Physikalische Ports) 6 Netze unterbringen (die 4 phys. Ports haben einen NIC-Team auf den Switch)

 

WIE kann ich es jetzt bewerkstelligen dass ich auf einem vSwitch der bereits eine physikalische NIC gebunden hat noch weitere vSwitch mit VLAN draufbringe.

 

das ganze sollte dann so ausschauen

 

 

Phsy. NIC-TEAM - vswitch 1 (VLAN 10)

                           - vswitch 2 (VLAN 11)

                           - vswitch 3 (VLAN 12)

usw..

 

Geht das mittels VMM? weil nur mit Hypr-V geht dies nicht!

 

Vielen Dank für eure Hilfe...

[Dunkelmann 96]

Moin,

 

grundsätzlich geht das Ganze auch ohne VMM. Ich würde allerdings den Einsatz von VMM erwägen. Insbesondere wenn die Admins der Tochter ihre Systeme autonom bereitstellen und verwalten sollen.

 

Die VLANs werden nicht am Team oder am virtuellen Switch, sondern in den Eigenschaften der virtuellen Netzwerkkarten eingerichtet.

[wernbert 10]

Danke für die Info!

Gibts hier eine andere Möglichkeit das ganze VLAN Management zu verwalten?

Problem besteht eher darin, wenn einer der Admins das VLAN Tag aus der NIC-Konfig entfernt dass er dann mit herumprobieren in eines unserer Netze kommen könnte.

 

Wie machen dass z.b grosser Hoster die mehrere Hundert VM's am Hyper-V laufen haben?

[Dunkelmann 96]

Moin,
 
ich kann nicht für große Hoster sprechen - nur für eine umfangreichere mittelständische IT.
 

Danke für die Info!
Gibts hier eine andere Möglichkeit das ganze VLAN Management zu verwalten?
Problem besteht eher darin, wenn einer der Admins das VLAN Tag aus der NIC-Konfig entfernt dass er dann mit herumprobieren in eines unserer Netze kommen könnte.

Über den VMM natürlich ;)
Der interne oder externe Kunde bekommt einen definierten Satz an VM-Netzwerken aus denen er sich bedienen kann. Hinter den VM Netzwerken verbirgt sich die Infrastruktur (Standorte, VLANs, Subnetze, QoS usw.).
Im Prinzip wird dem Kunden eine abstrahierte Umgebung aus vordefinierten Objekten und Ressourcenpools präsentiert. Aus dieser Sammlung von Pools und Objekten kann er sich seine VMs zusammenbauen.
Im konkreten Fall bedeutet das: Hat er keine Berechtigung für ein VLAN, kommt er nicht rein. Es sollte jedoch am VM Team kein native VLAN konfiguriert sein. Das könnte u.U. ein Sicherheitsproblem werden.
 

Wie machen dass z.b grosser Hoster die mehrere Hundert VM's am Hyper-V laufen haben?

Nativ gibt es seit Server 2012, die Möglichkeit ip rewrite oder GRE anstelle von VLANs zu nutzen.

Zusätzlich kann der Hyper-V Switch um drittanbieter Module erweitert werden (z.b. Cisco Nexus)

 

Für andere Angriffsvektoren werden die Hoster - hoffentlich - auch geeignete Schutzmechanismen haben.

bearbeitet 6. November 2013 von Dunkelmann

[Necron 71]

Die Netzwerkvirtualisierung unter Windows Server 2012 oder Windows Server 2012 R2 verwendet standardmäßig NVGRE. Man kann über die PowerShell auf IP Rewrite umstellen oder in der VMM DB dies anpassen. Aber IP Rewrite macht aus meiner Sicht bei der Netzwerkvirtualisierung recht wenig Sinn.

 

Falls du mit dem Gedanken Richtung Netzwerkvirtualisierung spielst, dann setze direkt auf Windows Server 2012 R2 und System Center 2012 R2 VMM.