Windows Server Insider Preview build 20206 est livré avec ces modifications

CoreNet: chemin de données et transports

• MsQuic – une implémentation open source du protocole de transport IETF QUIC alimente à la fois le traitement Web HTTP/3 et les transferts de fichiers SMB.

• Améliorations des performances UDP — UDP est en train de devenir un protocole très populaire transportant de plus en plus de trafic réseau. Avec le protocole QUIC construit sur UDP et la popularité croissante des protocoles de streaming et de jeu RTP et personnalisés (UDP), il est temps d'amener les performances d'UDP à un niveau comparable à celui de TCP. Dans Server vNext, nous incluons le changement de jeu Déchargement de segmentation UDP (USO). USO déplace la plupart du travail requis pour envoyer des paquets UDP de la CPU vers le matériel spécialisé de la carte réseau. En complément de l'USO dans Server vNext, nous incluons UDP Receive Side Coalescing (UDP RSC) qui fusionne les paquets et réduit l'utilisation du processeur pour le traitement UDP. Pour accompagner ces deux nouvelles améliorations, nous avons apporté des centaines d'améliorations au chemin de données UDP à la fois pour la transmission et la réception.

• Améliorations des performances TCP — Serveur vNext utilise TCP HyStart++ pour réduire la perte de paquets lors du démarrage de la connexion (en particulier dans les réseaux à haut débit) et SendTracker + ÉTAGÈRE pour réduire les Retransmit TimeOuts (RTO). Ces fonctionnalités sont activées par défaut dans la pile de transport et fournissent un flux de données réseau plus fluide avec de meilleures performances à haute vitesse.
• PktMon prise en charge dans TCPIP — L'outil de diagnostic réseau intercomposant pour Windows prend désormais en charge TCPIP, offrant une visibilité sur la pile de mise en réseau. PktMon peut être utilisé pour la capture de paquets, la détection de pertes de paquets, le filtrage et le comptage de paquets pour des scénarios de virtualisation, comme la mise en réseau de conteneurs et le SDN.

(Amélioré) RSC dans le vSwitch

Le RSC dans le vSwitch a été amélioré pour de meilleures performances. Publié pour la première fois dans Windows Server 2019, Receive Segment Coalescing (RSC) dans le vSwitch permet aux paquets d'être fusionnés et traités comme un segment plus grand lors de l'entrée dans le commutateur virtuel. Cela réduit considérablement les cycles CPU consommés pour traiter chaque octet (Cycles/octet).

Cependant, dans sa forme originale, une fois le trafic sorti du commutateur virtuel, il serait re-segmenté pour voyager à travers le VMBus. Dans Windows Server vNext, les segments resteront fusionnés sur l'ensemble du chemin de données jusqu'à ce qu'ils soient traités par l'application prévue. Cela améliore deux scénarios :

– Trafic d'un hôte externe, reçu par une carte réseau virtuelle

– Trafic d'une carte réseau virtuelle vers une autre carte réseau virtuelle sur le même hôte

Ces améliorations du RSC dans le vSwitch seront activées par défaut; aucune action n'est requise de votre part.

Prise en charge de l'équilibrage de charge Direct Server Return (DSR) pour les conteneurs et Kubernetes

DSR est une implémentation de la distribution de charge réseau asymétrique dans des systèmes à charge équilibrée, ce qui signifie que le trafic de requête et de réponse utilise un chemin réseau différent. L'utilisation de différents chemins réseau permet d'éviter des sauts supplémentaires et réduit la latence par laquelle non seulement les vitesses augmente le temps de réponse entre le client et le service, mais supprime également une charge supplémentaire de la charge balancier.

L'utilisation de DSR est un moyen transparent d'obtenir des performances réseau accrues pour vos applications avec peu ou pas de changements d'infrastructure. Plus d'information

Présentation des règles d'affinité/antiaffinité de machine virtuelle (rôle) avec le clustering de basculement

Dans le passé, nous nous appuyions sur la propriété de groupe AntiAffinityClassNames pour séparer les rôles, mais il n'y avait pas de prise en compte spécifique au site. S'il y avait un DC qui devait être sur un site et un DC qui devait être sur un autre site, ce n'était pas garanti. Il était également important de ne pas oublier de taper la chaîne AntiAffinityClassNames correcte pour chaque rôle.

Il existe ces applets de commande PowerShell :

• New-ClusterAffinityRule = Cela vous permet de créer une nouvelle Affinity ou AntiAffinityrule. Il existe quatre types de règles différents (-RuleType)

• DifferentFaultDomain = conserver les groupes sur différents domaines de pannes
• DifferentNode = garder les groupes sur des nœuds différents (la remarque peut être sur un domaine de panne différent ou identique)
• SameFaultDomain = garder les groupes sur le même domaine de panne
• SameNode = garder les groupes sur le même nœud

• Set-ClusterAffinityRule = Cela vous permet d'activer (par défaut) ou de désactiver une règle

• Add-ClusterGroupToAffinityRule = Ajouter un groupe à une règle existante

• Get-ClusterAffinityRule = Afficher toutes les règles ou des règles spécifiques

• Add-ClusterSharedVolumeToAffinityRule = Ceci est pour le stockage Affinity/AntiAffinity où les volumes partagés de cluster peuvent être ajoutés aux règles actuelles

• Remove-ClusterAffinityRule = Supprime une règle spécifique

• Remove-ClusterGroupFromAffinityRule = Supprime un groupe d'une règle spécifique

• Remove-ClusterSharedVolumeFromAffinityRule = Supprime un volume partagé de cluster spécifique d'une règle spécifique

• Move-ClusterGroup -IgnoreAffinityRule = Il ne s'agit pas d'une nouvelle applet de commande, mais vous permet de déplacer de force un groupe vers un nœud ou un domaine d'erreur qui serait autrement empêché. Dans PowerShell, Cluster Manager et Windows Admin Center, cela montrerait que le groupe est en violation comme rappel.

Maintenant, vous pouvez garder les choses ensemble ou séparément. Lors du déplacement d'un rôle, l'objet d'affinité garantit qu'il peut être déplacé. L'objet recherche également d'autres objets et les vérifie également, y compris les disques, afin que vous puissiez avoir affinité de stockage avec les machines virtuelles (ou rôles) et les volumes partagés de cluster (affinité de stockage) si voulu. Vous pouvez ajouter des rôles à des multiples tels que des contrôleurs de domaine, par exemple. Vous pouvez définir une règle AntiAffinity afin que les contrôleurs de domaine restent dans un domaine de pannes différent. Vous pouvez ensuite définir une règle d'affinité pour chacun des contrôleurs de domaine sur leur lecteur CSV spécifique afin qu'ils puissent rester ensemble. Si vous avez des machines virtuelles SQL Server qui doivent être sur chaque site avec un contrôleur de domaine spécifique, vous pouvez définir une règle d'affinité du même domaine de pannes entre chaque SQL et leur contrôleur de domaine respectif. Comme il s'agit désormais d'un objet cluster, si vous essayez de déplacer une machine virtuelle SQL d'un site à un autre, il vérifie tous les objets cluster qui lui sont associés. Il voit qu'il y a un appariement avec le DC dans le même site. Il voit ensuite que le DC a une règle et la vérifie. Il voit que le DC ne peut pas être dans le même domaine de pannes que l'autre DC, donc le déplacement est refusé.

Il y a des remplacements intégrés pour que vous puissiez forcer un mouvement si nécessaire. Vous pouvez également facilement désactiver/activer les règles si vous le souhaitez, par rapport à AntiAffinityClassNames avec ClusterEnforcedAffinity où vous deviez supprimer la propriété pour la faire bouger et apparaître. Nous avons également ajouté une fonctionnalité dans Drain où s'il doit se déplacer vers un autre domaine et qu'une règle AntiAffinity l'empêche, nous contournerons la règle. Toutes les violations de règles sont exposées à la fois dans l'administration du cluster et dans le centre d'administration Windows pour votre examen.

Protecteur BitLocker flexible pour les clusters de basculement

BitLocker est disponible pour le clustering de basculement depuis un certain temps. L'exigence était que les nœuds de cluster doivent tous être dans le même domaine car la clé BitLocker est liée à l'objet de nom de cluster (CNO). Cependant, pour les clusters à la périphérie, les clusters de groupe de travail et les clusters multidomaines, Active Directory peut ne pas être présent. Sans Active Directory, il n'y a pas de CNO. Ces scénarios de cluster n'avaient aucune sécurité de données au repos. À partir de ce Windows Server Insiders, nous avons introduit notre propre clé BitLocker stockée localement (cryptée) pour le cluster à utiliser. Cette clé supplémentaire ne sera créée que lorsque les lecteurs en cluster sont protégés par BitLocker après la création du cluster.

Nouveaux tests réseau de validation de cluster

Les configurations réseau continuent de devenir de plus en plus complexes. Un nouvel ensemble de tests de validation de cluster a été ajouté pour aider à valider que les configurations sont correctement définies. Ces tests comprennent :

• Lister l'ordre des métriques de réseau (version de pilote)
• Valider la configuration du réseau du cluster (configuration du commutateur virtuel)
• Valider l'avertissement de configuration IP
• Succès de la communication réseau
• Switch Embedded Teaming Configurations (symétrie, vNIC, pNIC)
• Valider la réussite de la configuration du pare-feu Windows
• QOS (PFC et ETS) ont été configurés

(Remarque concernant les paramètres QOS ci-dessus: cela n'implique pas que ces paramètres sont valides, mais simplement que les paramètres sont implémentés. Ces paramètres doivent correspondre à la configuration de votre réseau physique et en tant que tels, nous ne pouvons pas valider qu'ils sont définis sur les valeurs appropriées)

Les images Server Core Container sont 20 % plus petites

Dans ce qui devrait être une victoire significative pour tout flux de travail qui extrait des images de conteneurs Windows, la taille de téléchargement de l'image Insider du conteneur Windows Server Core a été réduite de 20 %. Ceci a été réalisé en optimisant l'ensemble d'images natives précompilées .NET incluses dans l'image de conteneur Server Core. Si vous utilisez .NET Framework avec des conteneurs Windows, y compris Windows PowerShell, utilisez un Image .NET Framework, qui inclura des images natives .NET précompilées supplémentaires pour maintenir les performances pour ces scénarios, tout en bénéficiant également d'une taille réduite.

Quoi de neuf avec le protocole SMB

Rehaussant encore plus la barre de sécurité, SMB prend désormais en charge le cryptage AES-256. Les performances sont également améliorées lors de l'utilisation du cryptage SMB ou de la signature avec SMB Direct avec des cartes réseau compatibles RDMA. SMB a désormais également la possibilité d'effectuer une compression pour améliorer les performances du réseau.

Aperçu de la confidentialité