Riduzione degli effetti di Endpoint Protection sulle prestazioni del server Hyper-V

Di recente, ho notato che uno dei miei laboratori di test Hyper-V aveva costantemente un Lunghezza coda disco di 5 o più letture/scritture su disco. Una lunghezza della coda del disco di uno o più significa che c'è un collo di bottiglia ogni volta che il server/l'applicazione tenta di accedere ai dischi. Nella maggior parte dei casi, il server/l'applicazione non fa nulla. Questo spiega perché vedrai delle pause nel tuo server/applicazione quando è bloccato in attesa. Poiché l'I/O del disco è il killer numero uno delle prestazioni delle VM, qualsiasi cosa per ridurlo è una buona cosa!

Questo post sul blog si concentrerà esclusivamente sulla riduzione dell'I/O del disco non necessario causato da Protezione degli endpoint (quando esso scansioni per virus e malware) in System Center Configuration Manager.

Riduzione degli effetti di Endpoint Protection sulle prestazioni del server Hyper-V in base alla lunghezza della coda del disco

Non molto tempo fa, ho scritto un post sul blog su come fare escludere i file VHD* a partire dal Protezione degli endpoint scansione, ma volevo fare di più, quindi ho cercato una guida che elencasse altre esclusioni. Mi sono imbattuto in questo articolo utile, Hyper-V: esclusioni antivirus per host Hyper-V, Su TechNet.

In questo post del blog ti mostrerò come implementare i suggerimenti di questo articolo per Protezione degli endpoint.

Sfondo

Nel mio laboratorio di prova, simile a qualsiasi altro tipo di server (fisico o virtuale), l'unità C:\ viene utilizzata solo per ospitare il sistema operativo (OS) (in questo caso RAID 1) e l'unità E:\ fisica è configurato come RAID 10, che ospita tutti i file VHD della mia VM. La mia unità D:\ è l'unità DVD.

Un aumento della lunghezza della coda del disco, nel mio caso, significava che le VM "si sentivano" lente. Se avessi guardato solo le VM non avrei mai saputo la vera ragione dietro questo problema. Invece, ho dovuto esaminare prima l'host Hyper-V per comprendere la vera natura del problema.

Il software antivirus (AV) ispeziona un file per verificare la presenza di tutti i virus e malware conosciuti. È questo processo di scansione che rallenta l'accesso di un'applicazione/server al file. Il software AV deve terminare la scansione prima di concedere l'accesso al file. Significa anche che più grande è il file, più tempo è necessario per la scansione di virus e malware.

I file VM (VSV, VHD, VHDX, VHDA e VHDXA) insieme a ISO sono enormi e quindi richiedono un po' di tempo per la scansione. Ciò può portare ad un aumento della lunghezza della coda del disco mentre il software AV è impegnato nella scansione di questi file, come è avvenuto nel mio laboratorio di prova. Il mio obiettivo era ridurre il sovraccarico della scansione dei file. L'ho fatto dicendo al mio software AV (Protezione degli endpoint) per saltare il controllo di virus e malware sui miei file VM e ISO.

Come ho indicato sopra, questo post sul blog non riguarda la riduzione Tutti I/O del disco, ma si concentrerà sulla riduzione dell'I/O del disco non necessario causato da Protezione degli endpoint (quando esso scansioni per virus e malware) in System Center Configuration Manager.

Esclusioni consigliate

Utilizzo delle esclusioni AV Hyper-V elencate nella Articoli TechNet pagina, implementerò il File, Directory e processo esclusioni consigliate per Protezione degli endpoint.

I tipi di file da escludere:

· VHD

· VHDX

· AVHD

· AVHDX

· VSV

· ISO

Esclusioni dal processo:

· Vmwp.exe

· Vmms.exe

Esclusioni dalla directory:

· %systemdrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots

· C:\ProgramData\Microsoft\Windows\Hyper-V

· C:\Utenti\Pubblica\Documenti\Hyper-V\Dischi rigidi virtuali

A mio parere, i tipi di file e le esclusioni di directory sono autoesplicativi, ma le esclusioni di processo non lo sono, quindi ecco una breve nota su entrambi i processi.

Vmwp.exe conosciuto anche come Processo del lavoratore della macchina virtuale è un componente dello stack di virtualizzazione. Ci sarà un VMWP.exe per ogni macchina virtuale in esecuzione. Questo exe si trova nella directory %windir%\system32\.

Vmms.exe è il Servizio di gestione della macchina virtuale. Questo è il servizio principale utilizzato per gestire le macchine virtuali Hyper-V. Questo exe si trova nella directory %windir%\system32\.

Di seguito possiamo vedere che vmwp.exe è elencato più volte in Sorvegliante delle risorse.

Riduzione degli effetti di Endpoint Protection sul monitoraggio risorse-prestazioni server Hyper-V 

Aggiungere le Esclusioni

Esclusioni di file

A partire dalle esclusioni di file, mi assicurerò che tutte le esclusioni di file consigliate vengano aggiunte a Protezione degli endpoint. Per istruzioni dettagliate, fare riferimento al mio post sul blog, Configuration Manager, Endpoint Protection e Hyper-V.

In definitiva, la finestra di esclusione dei file sarà simile allo screenshot qui sotto.

Riduzione degli effetti di Endpoint Protection sulle prestazioni dei server Hyper-V-Esclusioni di file 

Una volta completata la fase di esclusione dei file, è ora il momento di escludere i due processi.

Esclusioni di processo

Inizia aprendo il Configuration Manager console ed espansione Protezione degli endpoint | Politiche antimalware. Quindi, seleziona il Criterio antimalware client predefinito e clicca su Proprietà pulsante.

Riduzione degli effetti di Endpoint Protection sulle prestazioni del server Hyper-V-Proprietà

Nel Politica antimalware predefinita finestra, selezionare Impostazioni di esclusione nodo. Quindi fare clic su Impostato pulsante per Processi esclusi. Nel Processi casella di testo, immettere %windir%\system32\vmwp.exe e quindi fare clic su Aggiungere pulsante. Ripetere lo stesso passaggio per vmms.exe. Una volta completato clicca su ok pulsante per chiudere la finestra aperta.

Le esclusioni del processo saranno simili allo screenshot seguente:

Riduzione degli effetti di Endpoint Protection sulle esclusioni dei processi e delle prestazioni del server Hyper-V

Con l'ultimo passaggio completato, Protezione degli endpoint escluderà la scansione di vmwp.exe e vmms.exe.

Esclusioni dalla directory

Non è mai consigliabile installare nulla sull'unità del sistema operativo. Invece dovresti sempre avere un'unità separata per le tue applicazioni e i tuoi file. Hyper-V non fa eccezione a questa regola. Pertanto non dovresti mai ospitare le tue VM sul tuo disco C:\; questo include anche gli snapshot delle VM.

Dopo aver esaminato il mio server, anche se non memorizzo nulla sull'unità C:\, Hyper-V stesso memorizza ancora alcuni file nelle directory elencate. Pertanto, escluderò ciascuna di queste directory. Inoltre, dovresti aggiungerne altri da abbinare alla configurazione del tuo server Hyper-V. Nel mio caso, E:\VM\* è dove conservo tutte le mie VM, quindi escluderò questa directory. Una volta aggiunte le cartelle (directory) all'elenco delle esclusioni, Protezione degli endpoint non eseguirà più la scansione di queste cartelle alla ricerca di virus.

Di nuovo in Politica antimalware predefinita finestra, selezionare Impostazioni di esclusione nodo. Quindi fare clic su Impostato pulsante per File e cartelle esclusi.

Riduzione degli effetti di Endpoint Protection sulle impostazioni di esclusione delle prestazioni del server Hyper-V

La prima cosa che noterai è che ci sono già delle esclusioni elencate.

Riduzione degli effetti di Endpoint Protection sulle prestazioni del server Hyper-V - Esclusioni già elencate

Nel File e cartelle casella di testo, aggiungere la directory che si desidera escludere e quindi fare clic su Aggiungere pulsante. Nel mio esempio, è la directory %systemdrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots.

Riduzione degli effetti di Endpoint Protection su Hyper-V Server Performance-Add

Ripetere questo processo per le restanti cartelle che si desidera escludere e infine fare clic su ok per chiudere tutte le finestre aperte. I tuoi risultati saranno simili a quelli qui sotto.

Riduzione degli effetti di Endpoint Protection sulle prestazioni del server Hyper-V: esclusioni di file e cartelle

Ora che tutte le esclusioni (file AV, directory e processi) sono state aggiunte a Protezione degli endpoint, so che qualsiasi "lentezza" da parte dei miei server Hyper-V non sarà il risultato di Protezione degli endpoint. Se i miei server Hyper-V sembrano lenti, dovrò cercare altrove la causa.

Guardando la scala all'interno dello screenshot qui sotto noterai che ora è tra 0-1 rispetto a 0-50 nel primo screenshot di questo post del blog! La lunghezza della coda del disco è ora ~0,5, il che è molto meglio di prima che escludessi file, directory e processi.

So che ci sono molti fattori che influenzano la lunghezza della coda del disco ma, per ora, sono soddisfatto del mio laboratorio Hyper-V.

Riduzione degli effetti di Endpoint Protection sulle prestazioni del server Hyper-V-lunghezza della coda del secondo disco

Se avete domande, non esitate a contattarmi @GarthMJ.

Scopri come Right Click Tools sta cambiando il modo in cui vengono gestiti i sistemi.

Aumenta immediatamente la produttività con la nostra Community Edition limitata e gratuita.

Inizia oggi con Right Click Tools:

Condividi questo:

Supporto

  • Questo campo serve per la convalida e dovrebbe essere lasciato inalterato.

Contatti

  • Questo campo serve per la convalida e dovrebbe essere lasciato inalterato.
it_ITItalian