不管是出于什么原因，你都可能想要去控制虛擬機之間的通信。Hyper-V提供了很多可供選擇的虛擬機隔離選項。

你想從其他計算機中隔離一組計算機可能有幾個原因。其一是你可能想分開企業(yè)內(nèi)部各業(yè)務部門之間的通信。舉個例子，你可能從來不希望HR的計算機與財務部門的計算機相互通信。在物理的IT數(shù)據(jù)中心中，分離不同業(yè)務部門之間的通信的一般方法是定義不同的VLAN。

現(xiàn)在的IT物理環(huán)境走向虛擬化，包括網(wǎng)絡虛擬化，有多個虛擬化廠商其中包括微軟，都提供不同的隔離選項。當你談論到虛擬你的物理基礎設施時，你會希望虛擬化軟件幫助你模擬物理到邏輯的環(huán)境以及幫助你配置隔離不同的業(yè)務部門提供不同的隔離選項。因為一個主機可以容納不同業(yè)務部門的虛擬機，所以虛擬機隔離是必須的。IT企業(yè)和云計算提供商都可以從Microsoft Hyper-V提供的隔離選項中受益。

Hyper-V虛擬交換機

Hyper-V提供三種類型的虛擬交換機：外部、內(nèi)部和專有。這些虛擬交換機可以幫助隔離虛擬機間各自的流量。當虛擬機連接到內(nèi)部虛擬交換機時，虛擬機之間可以相互通信，也可以與Hyper-V父分區(qū)進行通信。專有虛擬交換機只允許連接到專有虛擬交換機的虛擬機。如果你有一組需要彼此之間通信的計算機,您可以創(chuàng)建一個專有虛擬交換機，然后將虛擬機連接到專有虛擬交換機上。一個外部虛擬交換機允許局域網(wǎng)內(nèi)的虛擬機互相通信。大多數(shù)情況下，虛擬化管理員都會把虛擬機配置在外部虛擬交換機上，所以虛擬機的流量可以在運行遠程Hyper-V服務器上的虛擬機和運行在局域網(wǎng)中的物理機上看到。在這種情況下，如果你需要為連接到一個Hyper-V虛擬交換機上的虛擬機配置隔離的話，你可以使用第二個隔離選項——為每一組虛擬機配置VLAN域。

VLAN

VLAN可以允許你隔離虛擬機流量。你可以在Hyper-V虛擬交換機和虛擬機上配置VLAN ID。當然，一個虛擬交換機只能配置一個VLAN ID。舉個例子，假如要隔離兩個業(yè)務部門(HR和財務)，HR部門的虛擬機使用VLAN ID 2，財務部門的虛擬機使用VLAN ID 3。默認情況下，Hyper-V虛擬交換機是允許VLAN流量通過。換句話說，一個Hyper-V虛擬交換機已配置了Trunk模式就允許所有VLAN流量通過。它總是推薦配置多個VLAN而不是創(chuàng)建一個單獨的Hyper-V的虛擬交換機來實現(xiàn)隔離。Hyper-V支持最多配置4095個VLAN。由于VLAN有可擴展性的問題，所以你可以使用其他隔離選項比如PVLAN或者Hyper-V網(wǎng)絡虛擬化。

PVLAN

專有VLAN(PVLAN)是隔離運行在Windows Server 2012 或2012 R2 Hyper-V 主機上的虛擬機的另一種形式。雖然小型企業(yè)可以用劃分多個VLAN的方式來實現(xiàn)隔離虛擬機，但是對于一個多租戶的數(shù)據(jù)中心來說這并不是一個可行性選擇。VLAN有可擴展性的問題而且配置復雜。微軟設計了PVLAN特性來克服VLAN的限制。PVLAN通常會被云服務提供商采用，使用VLAN為不同用戶的虛擬機劃分多個隔離的虛擬網(wǎng)絡。盡管VLAN有可擴展性問題，但是在Hyper-V網(wǎng)絡虛擬化中通過配置每個租戶也是可以解決的。如果每個租戶只運行一個虛擬機的話，最簡單的解決方案就是使用PVLAN。

VSID (Hyper-V網(wǎng)絡虛擬化)

VSID，有時候被稱為虛擬子網(wǎng)ID，也是幫助配置隔離虛擬機的一個Hyper-V網(wǎng)絡虛擬化的組件。你可以從使用VLAN隔離或者Hyper-V網(wǎng)絡虛擬化隔離的方法中任選其一，但是不能同時使用。相對于VLAN只支持4095個虛擬網(wǎng)絡VLAN ID，而Hyper-V網(wǎng)絡虛擬化可以支持1600萬個虛擬網(wǎng)絡。如果你計劃使用VSID來隔離虛擬機，請確保你配置了Hyper-V網(wǎng)絡虛擬化所必需的其他組件，包括供應商地址、路由器域名、虛擬機網(wǎng)絡以及更多。如果有租戶在一個共享的IaaS云上有多個虛擬網(wǎng)絡，你必須要清楚，***的隔離選項就是使用Hyper-V網(wǎng)絡虛擬化而不是使用VLAN或PVLAN。如果在這樣的情況下你仍然需要去阻止一組虛擬機的網(wǎng)絡流量的話，那么你可以去配置端口訪問控制列表(port ACLs)。

Port ACLs

雖然端口ACL的功能只是用來允許或阻止遠程計算機到虛擬機的輸入和輸出的網(wǎng)絡流量，但它也是可以作為一個隔離選項來使用的。端口ACL可以和VLAN結(jié)合來使用。例如，要阻止在VLAN內(nèi)的虛擬機之間的通信。這種情況下，你就可以去配置一個端口ACL規(guī)則去阻止虛擬機1到虛擬機2之間的通信。端口ACL只能用在Windows Server 2012或者之上的Hyper-V主機上。

Windows防火墻

你還可以配置Windows防火墻去阻止或允許一組虛擬機之間的輸入流量，但是只能操作系統(tǒng)級別上實現(xiàn)。由于Windows防火墻工作在虛擬機的操作系統(tǒng)上，那么Hyper-V主機就沒辦法控制在其之上的輸入或輸出的網(wǎng)絡流量。當然，仍有一些IT組織還在用Windows防火墻的隔離方式去阻止來自遠程計算機上無用的流量。