Network Load Balancing (NLB) em máquinas virtuais no Windows Server 2008 R2

Ao correr o NLB numa máquina virtual (Guest) no Windows Server 2008 R2 Hyper-V é necessário ter atenção a algumas definições de configurações específicas no host Hyper-V antes de configurar o NLB.

No Hyper-V, o host VM impede actualizações dinâmicas de endereço MAC como uma camada extra de segurança no datacenter.  Isso ocorre porque a máquina virtual pode ter direitos de administrador, no entanto, não pode ser confiável no data center, por exemplo, quando a hospedagem de VM é fornecida por uma empresa de hospedagem independente. Neste cenário, é preciso certificar de que uma VM não causa um ataque de divulgação DOS ou informações contra outra VM. Se uma máquina virtual é capaz de simular o seu endereço MAC, ele pode falsificar os endereços MAC de outras VMs (spoofing) e impacto sobre outras VMs nesse host. Os switches físicos têm protecções semelhantes e cabe ao administrador permitir a protecção ou não.

Se não habilitar a falsificação de endereço MAC antes da configuração do NLB sobre a máquina virtual, pode potencialmente ter problemas com o cluster de NLB.

Ao habilitar a configuração do NLB em modo unicast no Hyper-V com falsificação de endereço MAC desactivado, pode encontrar alguns dos seguintes sintomas:

• Ao configurar inicialmente o NLB perderá conectividade de rede sobre o NLB que foi configurado no adaptador de rede.
• Haverá um evento de erro NLB no log de eventos do Windows, afirmando que o adaptador de rede não oferece suporte a actualizações dinâmicas do MAC address.
•  Após a reinicialização do servidor, o NLB parece estar ligado ao adaptador de rede, mas o VIP do cluster não tenha sido adicionado ao adaptador de rede.
• O endereço MAC do cluster continuará a ser o endereço MAC original associado com o adaptador de rede antes de configurar o NLB.

  NOTA Utilize o CMD > ipconfig /all para ver o endereço MAC.  Deve começar com “02-BF-***”

• Se ignorar todos os sintomas anteriores e adicionar manualmente o VIP pode começar a ter um conflito de IP se houver outros nós no cluster que tenham o mesmo VIP.

Com isto, para permitir que clientes VM corram NLB, precisa definir a propriedade VM para “Enable spoofing of MAC Address“.

Para habilitar a falsificação de endereços MAC (Spoofing), Abra a console de gestão do Hyper-V.  Verifique se a máquina virtual está desligada, abra as propriedades da máquina virtual. Seleccione o adaptador de rede para o NLB e marque “Enable spoofing of MAC Address” e clique em OK.  Em seguida, inicie a máquina virtual.