第九章 通过 SMB 共享虚拟机

 

自 Windows Server 2012 起，微软引入了 SMB 3.0 的概念，通过 SMB 3.0，可以实现很多新的功能，包括我们介绍过的"SMB 多通道"，以及将虚拟机的存储安装在 SMB 3.0 的文件共享服务器上，实现另外一种高可用性。

相对于硬件存储而言，搭建 SMB 的文件共享服务器成本更为低廉。将虚拟机部署在 SMB 3.0 上，可以实现基本等同于 Hyper-V 故障转移群集的效果。

9.1 SMB 3.0 的特性

9.1.1 SMB 3.0 的部署和使用条件

SMB 3.0 是一项新技术，因此在带来新功能的同时，对部署环境和使用条件也有一定的限制。

部署一个常见的 Active Directory 域环境，对于域中的林和域的功能级别，SMB 3.0 并没有硬性要求。

使用 SMB 3.0 的客户端和服务器均必须支持 SMB 3.0。如 Windows Server 2012/2012 R2，Windows 8/8.1。

如果希望应用于 Hyper-V 主机，则 Hyper-V 角色和 SMB 3.0 角色不能同时存在于一台主机上，SMB 3.0 不支持环回的配置。

可以使用非微软的文件共享服务器，但必须同样支持 SMB 3.0。

 

9.1.2SMB 3.0 功能

SMB 3.0 相对于 Windows Server 2008 中存在的 SMB 2.0，增加了一些对于 Hyper-V 有用的功能：

SMB 透明的故障转移，在 SMB 2.0 中，如果管理员对 SMB 群集进行维护，则客户端会中断连接，用户必须重新连接才可以继续使用服务。而在 SMB 3.0 中，这一情况得到了改变。

SMB 多通道，该功能要求客户端和服务器双方都必须支持 SMB 3.0，但其实现的功能也是非常有用的，可以对客户端和服务器之间的流量在不同网卡之间分流、故障转移。

SMB 直通（RDMA），该功能只在 Windows Server 平台上使用，同样该功能要求客户端和服务器均需支持 SMB 3.0，同时需要主机拥有支持 RDMA 的网卡。

SMB 加密，在客户端和服务器均支持 SMB 3.0 的前提下，可以使用 SMB 3.0 加密功能。

     SMB PowerShell，在 Windows Server 2012 和 Windows8 起，开始引入 SMB PowerShell。需要注意的是，SMB PowerShell 仅支持 Windows Server 2012 以上的操作系统，之前的版本还需要使用 net.exe 或其他 API 进行管理。

9.2 部署 SMB 3.0

 

9.2.1 添加文件服务器角色

首先准备一台 Windows Server 2012 R2 的虚拟机，其 FQDN 为 fs.contoso.com。在生产环境中，为了保证良好的用户体验，可以使用物理机来实现。

第 1 步，依次打开"服务器管理器"→"添加角色和功能向导"，在"安装类型"对话框中勾选"基于角色或基于功能的安装"，如图 9-1 所示，点击"下一步"继续。


图 9-1 添加角色和功能

第 2 步，在"服务器选择"对话框，点选所需要添加角色的服务器，如图 9-2 所示，点击"下一步"继续。


图 9-2 选择需要添加角色的服务器

第 3 步，在"服务器角色"对话框，勾选"文件和 iSCSI 服务"下的"文件服务器"，如图 9-3 所示，点击"下一步"继续。



图 9-3 安装文件服务器角色

第 4 步，功能对话框不勾选任何选项，点击"下一步"进入到"确认"对话框，点击"安装"完成，如图 9-4 所示。



图 9-4 确认安装角色

如果使用 PowerShell 在 fs.contoso.com 本地进行安装，则可以以管理员方式运行 PowerShell，执行以下命令。

Install-WindowsFeature
File-Services,
FS-FileServer

如果使用 PowerShell 在远程服务器上安装，则可以使用如下命令。

Invoke-Command
-ComputerName
fs
-Command{Install-WindowsFeature
-Name
File-Services,
FS-

FileServer }

 

9.2.2 添加共享文件夹

为了将 SMB 3.0 应用于 Hyper-V，还需要创建特定的共享文件夹方可使用。和普通的共享文件夹应用不同的是，Hyper-V 访问共享文件夹不是以"用户"的身份去进行访问，而是以"计算机"的身份进行访问，因此在配置共享文件夹时需要进行一些特殊的配置。第 1 步，依次点击"服务器管理器"→"文件和存储服务"→"共享"，如图 9-5 所示。


图 9-5 共享管理界面

第 2 步，在"共享"对话框，点击"任务"按钮，选择"新建共享"，启动"新建共享向导"。在"选择配置文件"对话框中，必须点选"SMB 共享-应用程序"，仅此配置文件适用于 Hyper-V，如图 9-6 所示，点击"下一步"继续。



图 9-6 创建"SMB 共享-应用程序"

第 3 步，在"共享位置"对话框，点选"按卷选择"按钮，选择 D 盘，如图 9-7 所示，点击"下一步"继续。


图 9-7 创建"共享位置"

第 4 步，在"共享名称"对话框，依次输入"共享名称"和"共享描述"，此处可以输入中文的名称和描述以方便识别。根据共享名称的不同，系统会自动在所选的 D 盘下创建"share\共享名称"目录，同时将其共享为"\\服务器名\共享名称"。如图 9-8 所示，点击"下一步"继续。


图 9-8 创建"共享名称"

第 5 步，在"其他设置"对话框，可以配置"启用基于存取的枚举"、"允许共享缓存"、 "加密数据访问"功能是否开启。由于所选共享配置文件以及本例未安装 BranchCache 功能的缘故，因此上两项功能无法使用，如图 9-9 所示，不勾选任何选项，直接点击"下一步" 继续。


图 9-9 创建"其他设置"

第 6 步，在"权限"对话框，需要配置能够访问该共享目录的安全权限和共享权限。点击"自定义权限"进入配置界面，如图 9-10 所示。


图 9-10 创建"其他设置"

第 7 步，在"高级安全设置"对话框，于默认的"权限"选项卡下，点击"添加"，如图 9-11 所示。


图 9-11 添加安全权限

第 8 步，点击"选择主体"按钮，于弹出的"选择用户、计算机、服务账户或组"对话框中选择"对象类型"，如图 9-12 所示。


图 9-12 选择对象类型

第 9 步，在"对象类型"对话框中，勾选"计算机"对象类型，点击"确定"返回上一级窗口，如图 9-13 所示。



图 9-13 选中"计算机"类型

第 10 步，在"选择用户、计算机、服务账户或组"对话框中，可以输入 hv2.contoso.com 的计算机名，如未进行过第 8-9 步的操作，则默认情况下无法选用计算机账户。点击"确定"，如图 9-14 所示。



图 9-14 添加计算机账户

第 11 步，返回至特定安全主体的权限配置页面，可以对 hv2.contoso.com 对该共享文件夹的访问权限进行设定。此处勾选"完全控制"，点击"确定"完成配置。如图 9-15 所示。



图 9-15 为计算机账户配置权限

第 12 步，依次对 hv3.contoso.com 和 hypervha.contoso.com(群集地址)添加相同的完全控制权限。原则上有多少台需要访问该目录的计算机，就需要添加多少个共享权限。如图 9-16 所示。


图 9-16 重复配置计算机安全权限

第 13 步，检查"共享"权限配置是否正确，依次对 hv3.contoso.com 和 hypervha.contoso.com(群集地址)添加相同的完全控制权限。原则上有多少台需要访问该目录的计算机，就需要添加多少个"共享"权限。如图 9-17 所示。


图 9-17 重复配置计算机安全权限

第 14 步，在"权限"对话框中，可以检查共享文件夹的安全权限配置是否正确。如图

9-18 所示，点击"下一步"继续。


图 9-18 检查安全权限的配置第 15 步，在"确认"对话框中，可以检查共享文件夹的整体配置是否正确。如图 9-19 所示，点击"创建"继续。


图 9-19 检查共享文件夹的整体配置

第 16 步，在"结果"对话框中，耐心等待共享文件夹的创建结束，如图 9-20 所示，点击"关闭"完成配置。


图 9-20 完成共享文件夹配置

第 17 步，回到"服务器管理器"，可以"共享"下看到已创建的文件夹。如图 9-21 所示。


图 9-21 在服务器管理器中的共享文件夹

第 18 步，在运行中输入\\fs
可以看到已创建的文件夹，右键点击该文件夹，选择"属性"，可以看到其安全权限的配置，后续的权限修改也可以在此进行。如图 9-22 所示。


图 9-22 检查共享文件夹配置

9.3 在 SMB 3.0 上创建虚拟机

9.3.1 创建虚拟机

完成共享文件夹的创建后，可以使用被允许的 Hyper-V 主机将虚拟机创建在该共享文件夹上。

第 1 步，远程登录 hv2.contoso.com，打开"Hyper-V 管理器"，如图 9-23 所示。


图 9-23 远程的登录 hv2.contoso.com

第 2 步，通过"新建虚拟机向导"创建虚拟机，在"指定名称和位置"对话框，修改虚拟机的存储位置为上一阶段创建的共享文件夹："\\fs\Hyper-V
存储共享\"，如图 9-24 所示，点击"下一步"继续。


图 9-24 修改虚拟机存储位置。

第 3 步，依次进行其他配置，完成虚拟机的创建。如图 9-25 所示。


图 9-25 修改虚拟机存储位置。

第 4 步，在"Hyper-V 管理器"中，右键点击该虚拟机，选择"设置"，可以检查该虚拟机的硬盘驱动器设置，能够发现其保存位置也确实在共享文件夹上。如图 9-26 所示。


图 9-26 检查虚拟机存储位置。

9.3.2 SMB3.0 上创建虚拟机的局限性

以上完成了在 SMB3.0 上创建虚拟机的操作，然而需要注意的是，如果仅仅是完成了以上操作，则只能登陆相应的 Hyper-V 主机，方可在共享文件夹上创建虚拟机。如登陆 hv2.contoso.com 后，只能在 hv2.contoso.com 上创建虚拟机，而无法使用"Hyper-V管理器" 在 hv3.contoso.com 上创建虚拟机。例如，在 hv1.contoso.com 上打开"Hyper-V 管理器"，为 hv2.contoso.com 创建基于共享文件的虚拟机，则会出现如下错误提示，如图 9-27 共享文件夹上创建虚拟机的局限性。

图 9-27 所示。

9.4 权限委派

9.4.1 委派的意义

为了解决 SMB3.0 上创建虚拟机的局限性，需要引入一个新的概念"委派"。"委派"在Windows Server 中拥有久远的历史。其解决的是集中管理的问题，当只有少数的服务器时，服务器管理员可以远程登录到每一台服务器上，发起相应的操作，服务器和服务器之间通过用户密码或其他凭据进行正常的通信。如图 1 所示 9-28 所示。



图 9-28 无需使用委派的场景。

由于 Windows Server 默认只信任"自己"所发起的一些操作。当有人"代表"它进行操作时，默认是不成功的，这也就解释了默认情况下无法使用"Hyper-V 管理器"为其他 Hyper-V 主机创建虚拟机的问题，如图 9-29 所示。


图 9-29 不委派导致失败的场景。

然而当所需要管理的计算机越来越多时，每次都要登录到相应的计算机去操作显然不现实。此时就需要使用"委派"来解决这个问题，"委派"就好比一个声明，又可以理解为"领导"对"员工"工作的具体指派："我允许你访问 a 资源和 b 资源，我允许 b 主机访问 c 资源和 d 资源"。委派是域内使用的一种策略，其策略实施不需要被委派方的回应。当实施委派后，就可以进行类似 hv1.contoso.com 上的"Hyper-V 管理器"操作 hv2.contoso.com 或 hv3.contoso.com 这种操作了，如图 9-30 所示。


图 9-30 委派的场景。

9.4.2 委派的分类

委派分为两种方式，分别是"委派"和"约束委派"，顾名思义，委派就是将所有权限都委派给某一台计算机，而约束委派则是将某个或某几个应用的权限委派给某一台计算机。相对而言，约束委派的安全性要更好一些。但操作也稍微复杂一些。本例将以约束委派进行示例进行讲解。

9.4.3 委派的配置

本例要实现的最终目标是，可以在 hv1.contoso.com 上用 "Hyper-V 管理器 " 在 hv2.contoso.com、hv3.contoso.com 以及 hypervha.contoso.com(群集地址)上创建虚拟机。

委派的前提是需要操作计算机处于域环境中，对于非域环境的计算机，无法使用委派功能。

第 1 步，使用域管理员账号登录域控制器，打开"Active Directory 用户和计算机"，在相应的 OU 下找到需要操作的计算机账户，本例中专门创建了一个 OU"物理主机"，默认情况下，所有计算机账户位于"Computers"下。如图 9-31 所示。



图 9-31 打开"Active Directory 用户和计算机"

第 2 步，右键点击需要委派的计算机账户，选择"属性"，如图 9-32 所示。



图 9-32 选择计算机账户的属性

第 3 步，在"属性"对话框中，切换至"委派"选项卡，如图 9-33 所示。此处有三个选项：

不信任此计算机来委派：默认值，表示不启用委派。

信任此计算机来委派任何服务（仅 Kerberos）：即"委派"，表示该计算机拥有"代表"其他计算机的所有权限。相对而言，使用"委派"所需的鼠标点击操作较少，但因为安全风险的缘故，不建议轻易使用。

仅信任此计算机来委派指定的服务：即"约束委派"，表示该计算机可以对部分指定的应用或服务拥有"代表"的权限。



图 9-33 委派选项卡

第 4 步，点击"仅信任此计算机来委派指定的服务"，默认点选"仅使用 Kerberos"。点击右下角的"添加"按钮。如图 9-34 所示。



图 9-34 指定"仅信任此计算机来委派指定的服务"

第 5 步，点击"用户或计算机"，在弹出的"选择用户或计算机"对话框中，输入 hv2 或 hv2.contoso.com（需要委派的第一台 Hyper-V 主机），如图 9-35 所示，点击"确定"。



图 9-35 指定需委派的计算机

第 6 步，在弹出的"添加服务"对话框中，可以选择需要添加的各类服务，按下"Ctrl" 键可进行复选。本例中选择 cifs 即可。即表示允许 hv1.contoso.com 对 hv2.contoso.com 进行 cifs（Common Internet File System 通用 Internet 文件系统，即微软自家的 SMB 共享）的相应访问操作。如图 9-36 所示，点击"确定"。



图 9-36 委派 cifs 服务

第 7 步，除了 hv2.contoso.com 外，还需要依次添加 hv3.contoso.com 和

hypervha.contoso.com 的相应委派权限，以及需要访问的文件共享服务器（fs.contoso.com）的相应委派权限，如图 9-37 所示，点击"确定"完成约束委派的设置。


图 9-37 依次添加所有涉及的服务

第 8 步，在生产中，为了后期操作方便，而不局限于只能在 hv1.contoso.com 上管理，可以依次对其他所涉及的 Hyper-V 主机委派相应的权限，如图 9-38 所示。



图 9-38 依次对所有涉及的 Hyper-V 主机进行相同操作

第 9 步，在"Active Directory 用户和计算机"上完成委派后，策略可能不会即时生效，如遇这种情况，需要重启所涉及的 Hyper-V 主机，并刷新组策略方可生效。

委派生效后，即可解决未配置委派时，无法用"Hyper-V 管理器"远端创建和维护虚拟机的问题。

9.4.4 委派的其他作用

在微软的虚拟化和私有云中，委派还有另外两个重要的作用，通过委派"Hyper-V Replica Service"和"Microsoft Virtual System Migration Service"，可以为虚拟化环境带来"实时迁移" 和"Hyper-V 副本"两项重要的功能。配置如图 9-39 所示，如果未正确配置委派，则这两项功能无法使用，和配置 cifs 的委派同理，该操作需要在所有涉及的 Hyper-V 主机上设置。


图 9-39 配置委派 Hyper-V 副本和实时迁移功能

9.5 小结

本章通过创建 SMB 文件共享和委派，实现了使用"Hyper-V 管理器"将虚拟机创建在共享文件夹上的操作。在 SMB 上创建虚拟机是一种廉价的高可用解决方案，无需企业拥有独立的硬件存储，配置方面也非常简单。通过 SMB 文件共享，可以实现接下来将要介绍的共享实时迁移。

而委派这项操作，尽管并非实时迁移的必要准备条件。但未配置"Microsoft Virtual System Migration Service"委派的情况下，就必须登录到目标主机上进行操作，这将会极大的降低工作效率。因此实际的生产活动当中，委派可以说是一项必备条件。