Windows Server Insider Preview build 20206 přichází s těmito změnami

CoreNet: Datové cesty a transporty

• MsQuic – open source implementace transportního protokolu IETF QUIC pohání webové zpracování HTTP/3 a přenosy souborů SMB.

• Zlepšení výkonu UDP — UDP se stává velmi oblíbeným protokolem, který přenáší stále více síťového provozu. S protokolem QUIC postaveným na UDP a rostoucí popularitou RTP a vlastních (UDP) streamovacích a herních protokolů je čas pozvednout výkon UDP na úroveň srovnatelnou s TCP. V Server vNext zahrnujeme změnu hry Snížení segmentace UDP (USO). USO přesouvá většinu práce potřebné k odesílání paketů UDP z CPU na specializovaný hardware NIC. Jako doplněk USO v Server vNext zahrnujeme UDP Receive Side Coalescing (UDP RSC), který spojuje pakety a snižuje využití CPU pro zpracování UDP. V souladu s těmito dvěma novými vylepšeními jsme provedli stovky vylepšení datové cesty UDP pro vysílání i příjem.

• Zlepšení výkonu TCP — Server používá vNext TCP HyStart++ ke snížení ztráty paketů při spouštění připojení (zejména ve vysokorychlostních sítích) a SendTracker + NOSIČ snížit prodlevy opětovného přenosu (RTO). Tyto funkce jsou ve výchozím nastavení povoleny v transportním zásobníku a poskytují plynulejší síťový datový tok s lepším výkonem při vysokých rychlostech.
• PktMon podpora v TCPIP — Nástroj pro diagnostiku sítě mezi komponentami pro Windows má nyní podporu TCPIP, která poskytuje přehled o síťovém zásobníku. PktMon lze použít pro zachycování paketů, detekci poklesu paketů, filtrování paketů a počítání pro virtualizační scénáře, jako jsou kontejnerové sítě a SDN.

(Vylepšené) RSC ve vSwitch

RSC ve vSwitch bylo vylepšeno pro lepší výkon. První vydání ve Windows Server 2019, Receive Segment Coalescing (RSC) ve vSwitch umožňuje sloučení paketů a jejich zpracování jako jeden větší segment při vstupu do virtuálního přepínače. To výrazně snižuje počet cyklů CPU spotřebovaných při zpracování každého bajtu (cykly/bajt).

Nicméně ve své původní podobě, jakmile provoz opustí virtuální přepínač, bude znovu segmentován pro cestování přes VMBus. V systému Windows Server vNext zůstanou segmenty sloučené v celé datové cestě, dokud je nezpracuje zamýšlená aplikace. To zlepšuje dva scénáře:

– Provoz z externího hostitele, přijatý virtuální kartou NIC

– Provoz z virtuální síťové karty na jinou virtuální síťovou kartu na stejném hostiteli

Tato vylepšení RSC ve vSwitch budou ve výchozím nastavení povolena; z vaší strany není vyžadována žádná akce.

Podpora vyrovnávání zátěže Direct Server Return (DSR) pro kontejnery a Kubernetes

DSR je implementace asymetrického rozložení zatížení sítě v systémech s vyváženým zatížením, což znamená, že provoz požadavků a odpovědí používá jinou síťovou cestu. Použití různých síťových cest pomáhá vyhnout se nadbytečným skokům a snižuje latenci, kterou nejen zrychluje zkracuje dobu odezvy mezi klientem a službou, ale také odstraňuje určitou zátěž navíc ze zátěže vyvažovačka.

Použití DSR je transparentní způsob, jak dosáhnout vyššího výkonu sítě pro vaše aplikace s malými nebo žádnými změnami infrastruktury. Více informací

Představujeme pravidla afinity/antiafinity virtuálního počítače (role) s clusteringem s podporou převzetí služeb při selhání

V minulosti jsme se spoléhali na skupinovou vlastnost AntiAffinityClassNames, abychom udrželi role oddělené, ale neexistovalo žádné povědomí o konkrétních stránkách. Pokud existuje DC, které musí být na jednom webu, a DC, které musí být na jiném webu, nebylo to zaručeno. Bylo také důležité nezapomenout zadat správný řetězec AntiAffinityClassNames pro každou roli.

Existují tyto rutiny PowerShell:

• New-ClusterAffinityRule = Toto vám umožňuje vytvořit nové pravidlo Affinity nebo AntiAffinityRule. Existují čtyři různé typy pravidel (-RuleType)

• DifferentFaultDomain = ponechat skupiny v různých doménách poruch
• DifferentNode = ponechat skupiny na různých uzlech (poznámka může být v jiné nebo stejné doméně poruchy)
• SameFaultDomain = ponechat skupiny ve stejné doméně poruch
• SameNode = ponechat skupiny na stejném uzlu

• Set-ClusterAffinityRule = Umožňuje povolit (výchozí) nebo zakázat pravidlo

• Add-ClusterGroupToAffinityRule = Přidat skupinu do existujícího pravidla

• Get-ClusterAffinityRule = Zobrazit všechna nebo konkrétní pravidla

• Add-ClusterSharedVolumeToAffinityRule = Toto je pro úložiště Affinity/AntiAffinity, kde lze k aktuálním pravidlům přidat sdílené svazky clusteru

• Remove-ClusterAffinityRule = Odebere konkrétní pravidlo

• Remove-ClusterGroupFromAffinityRule = Odebere skupinu z konkrétního pravidla

• Remove-ClusterSharedVolumeFromAffinityRule = Odebere konkrétní sdílený svazek clusteru z konkrétního pravidla

• Move-ClusterGroup -IgnoreAffinityRule = Toto není nová rutina, ale umožňuje vám násilně přesunout skupinu do uzlu nebo domény poruchy, které by jinak bylo zabráněno. V prostředí PowerShell, Cluster Manager a Windows Admin Center by se jako připomenutí ukázalo, že skupina porušuje zásady.

Nyní můžete držet věci pohromadě nebo odděleně. Při přesouvání role objekt afinity zajišťuje, že ji lze přesunout. Objekt také hledá další objekty a ověřuje je také, včetně disků, takže můžete mít afinita úložiště s virtuálními stroji (nebo rolemi) a sdílenými svazky klastru (příbuznost úložiště), pokud požadovaný. Role můžete přidat k násobkům, jako jsou například řadiče domény. Pravidlo AntiAffinity můžete nastavit tak, aby řadiče domény zůstaly v jiné doméně poruch. Poté můžete nastavit pravidlo spřažení pro každý z řadičů domény pro jejich konkrétní jednotku CSV, aby mohli zůstat pohromadě. Pokud máte virtuální počítače SQL Server, které musí být na každém webu s konkrétním řadičem domény, můžete mezi každým SQL a jejich příslušným řadičem domény nastavit pravidlo spřažení se stejnou doménou poruch. Protože se nyní jedná o objekt clusteru, pokud byste se pokusili přesunout virtuální počítač SQL z jednoho webu na jiný, zkontroluje všechny objekty clusteru, které jsou s ním spojené. Vidí, že došlo ke spárování s DC na stejném místě. Poté vidí, že DC má pravidlo a ověří je. Vidí, že DC nemůže být ve stejné doméně poruch jako ostatní DC, takže přesun není povolen.

K dispozici jsou vestavěné přepisy, takže v případě potřeby můžete vynutit pohyb. V případě potřeby můžete pravidla také snadno zakázat/povolit, ve srovnání s AntiAffinityClassNames s ClusterEnforcedAffinity, kde jste museli vlastnost odstranit, abyste ji mohli přesunout a objevit. Také jsme přidali funkci v Drain, kde pokud se musí přesunout do jiné domény a existuje pravidlo AntiAffinity, které tomu brání, pravidlo obcházíme. Jakákoli porušení pravidel jsou odhalena v Cluster Admin i Windows Admin Center pro vaši kontrolu.

Flexibilní BitLocker Protector pro Failover Clustery

BitLocker je pro Failover Clustering k dispozici již nějakou dobu. Požadavkem bylo, že všechny uzly clusteru musí být ve stejné doméně, protože klíč BitLocker je svázán s objektem CNO (Cluster Name Object). V případě okrajových clusterů, clusterů pracovních skupin a clusterů s více doménami však služba Active Directory nemusí být přítomna. Bez Active Directory neexistuje CNO. Tyto scénáře clusteru neměly žádné zabezpečení v klidu dat. Počínaje tímto programem Windows Server Insiders jsme představili náš vlastní klíč BitLocker uložený lokálně (zašifrovaný) pro použití v clusteru. Tento dodatečný klíč bude vytvořen pouze v případě, že jsou seskupené jednotky po vytvoření clusteru chráněny nástrojem BitLocker.

Nové testy sítě pro ověření klastru

Konfigurace sítí jsou stále složitější. Byla přidána nová sada testů Cluster Validation, které pomáhají ověřit, zda jsou konfigurace správně nastaveny. Tyto testy zahrnují:

• Vypsat pořadí metrik sítě (verze ovladače)
• Ověřit konfiguraci sítě clusteru (konfigurace virtuálního přepínače)
• Varování o ověření konfigurace IP
• Úspěch síťové komunikace
• Přepnout vestavěné týmové konfigurace (symetrie, vNIC, pNIC)
• Ověřte úspěšnost konfigurace brány Windows Firewall
• QOS (PFC a ETS) byly nakonfigurovány

(Poznámka k nastavení QOS výše: To neznamená, že tato nastavení jsou platná, pouze jsou implementována. Tato nastavení se musí shodovat s konfigurací vaší fyzické sítě a jako takové nemůžeme ověřit, zda jsou nastaveny na příslušné hodnoty)

Obrazy kontejneru jádra serveru jsou o 20 procent menší

V tom, co by mělo být významnou výhrou pro jakýkoli pracovní postup, který stahuje obrazy kontejnerů Windows, byla velikost stahovaného obrazu kontejneru Insider Windows Server Core snížena o 20 %. Toho bylo dosaženo optimalizací sady předkompilovaných nativních bitových kopií .NET zahrnutých do bitové kopie kontejneru Server Core. Pokud používáte .NET Framework s kontejnery Windows, včetně prostředí Windows PowerShell, použijte a Obrázek .NET Framework, který bude obsahovat další předkompilované nativní obrazy .NET pro zachování výkonu pro tyto scénáře a zároveň bude těžit z menší velikosti.

Co je nového v protokolu SMB

SMB nyní podporuje šifrování AES-256, což ještě více zvyšuje laťku zabezpečení. Zvýšený výkon je také při použití šifrování SMB nebo podepisování pomocí SMB Direct se síťovými kartami s podporou RDMA. SMB má nyní také možnost provádět kompresi pro zlepšení výkonu sítě.

Přehled ochrany osobních údajů