Minska effekterna av slutpunktsskydd på Hyper-V-serverprestanda

Nyligen märkte jag att ett av mina Hyper-V-testlabb konsekvent hade en Diskkölängd av 5 eller fler hårddiskar läser/skriver. En diskkölängd på en eller flera betyder att det finns en flaskhals varje gång servern/applikationen försöker komma åt skivorna. I de flesta fall gör servern/applikationen ingenting. Detta förklarar varför du kommer att se pauser i din server/applikation när den fastnar och väntar. Eftersom disk I/O är den främsta mördaren av VM -prestanda är allt bra för att minska det!

Det här blogginlägget kommer enbart att fokusera på att minska onödig disk -I/O som orsakas av Endpoint Skydd (när det genomsöker virus och skadlig kod) i System Center Configuration Manager.

Minska effekterna av slutpunktsskydd på Hyper-V Server Performance-First Disk Queue Length

För inte så länge sedan skrev jag ett blogginlägg om hur exkludera VHD* -filer från Endpoint Skydd skanna, men jag ville göra mer, så jag sökte efter en guide som listade andra undantag. Jag stötte på den här hjälpsamma artikeln, Hyper-V: Antivirusundantag för Hyper-V-värdar, på TechNet.

I det här blogginlägget kommer jag att visa dig hur du implementerar denna artikels förslag för Endpoint Skydd.

Bakgrund

I mitt testlabb, liknande alla andra servertyper (fysisk eller virtuell), används C: \ -enheten endast för att vara värd för operativsystemet (OS) (i detta fall RAID 1), och den fysiska E: \ -enheten är konfiguration som en RAID 10, som är värd för alla mina VM: s VHD -filer. Min D: \ -enhet är DVD -enheten.

En ökning av diskkölängden i mitt fall innebar att de virtuella datorerna "kändes" långsamma. Om jag bara tittade på de virtuella datorerna skulle jag aldrig veta den verkliga orsaken bakom detta problem. Istället var jag tvungen att titta på Hyper-V-värden först för att förstå problemets sanna natur.

Antivirusprogrammet (AV) inspekterar en fil för att kontrollera om alla kända virus och skadliga program finns. Det är denna skanningsprocess som saktar ner en applikations/servers åtkomst till filen. AV -programvaran måste avsluta sin skanning innan åtkomst till filen ges. Det betyder också att ju större filen är, desto längre tid tar det att söka efter virus och skadlig kod.

VM -filer (VSV, VHD, VHDX, VHDA och VHDXA) tillsammans med ISO är enorma och tar därför ett tag att skanna. Detta kan leda till en ökning av diskkölängderna medan AV -programvaran är upptagen med att skanna dessa filer, som var fallet i mitt testlabb. Mitt mål var att minska omkostnaderna för filskanning. Jag gjorde detta genom att berätta för min AV -programvara (Endpoint Skydd) för att hoppa över att leta efter virus och skadlig kod på mina VM -filer och ISO.

Som jag angav ovan handlar det här blogginlägget inte om att minska Allt disk I/O, men det kommer att fokusera på att minska onödig disk I/O orsakad av Endpoint Skydd (när det genomsöker virus och skadlig kod) i System Center Configuration Manager.

Rekommenderade undantag

Använda AV Hyper-V-undantag som anges på TechNet -artiklar sida kommer jag att implementera Fil, Katalog och Process undantag som rekommenderas för Endpoint Skydd.

De filtyper som ska uteslutas:

· VHD

· VHDX

· AVHD

· AVHDX

· VSV

· ISO

Processuteslutningar:

· Vmwp.exe

· Vmms.exe

Katalogundantag:

· %systemdrive% \ ProgramData \ Microsoft \ Windows \ Hyper-V \ Snapshots

· C: \ ProgramData \ Microsoft \ Windows \ Hyper-V

· C: \ Users \ Public \ Documents \ Hyper-V \ Virtual Hard Disks

Enligt min mening är filtyperna och kataloguteslutningarna självförklarande, men det är inte processuteslutningarna, så här är en kort anteckning om båda processerna.

Vmwp.exe också känd som Virtual Machine Worker Process är en del av virtualiseringsstacken. Det kommer att finnas en VMWP.exe för varje VM som körs. Denna exe finns i katalogen %windir% \ system32 \.

Vmms.exe är Virtual Machine Management Service. Detta är den huvudsakliga tjänsten som används för att hantera Hyper-V-datorer. Denna exe finns i katalogen %windir% \ system32 \.

Vi kan se nedan att vmwp.exe listas flera gånger i Resursövervakare.

Minska effekterna av slutpunktsskydd på Hyper-V Server Performance-Resource Monitor 

Lägg till undantag

Uteslutningar av filer

Från och med filundantag ser jag till att alla rekommenderade filundantag läggs till Endpoint Skydd. För detaljerade instruktioner, se mitt blogginlägg, Configuration Manager, Endpoint Protection och Hyper-V.

I slutändan ser fönstret för uteslutning av filer liknar skärmdumpen nedan.

Minska effekterna av slutpunktsskydd på Hyper-V Server Performance-File Exclusions 

När filstängningssteget är slutfört är det nu dags att utesluta de två processerna.

Process undantag

Börja med att öppna Configuration Manager konsol och expanderar Endpoint Skydd | Antimalware -policyer. Välj sedan Standardpolicy för klientantimalware och klicka på Egenskaper knapp.

Minska effekterna av slutpunktsskydd på Hyper-V Server Performance-Properties

I Standardpolicy för antimalware i fönstret, välj Uteslutningsinställningar nod. Klicka sedan på Uppsättning knapp för Uteslutna processer. I Processer textrutan, ange %windir% \ system32 \ vmwp.exe och klicka sedan på Lägg till knapp. Upprepa samma steg för vmms.exe. När du är klar klickar du på OK knappen för att stänga det öppna fönstret.

Dina processuteslutningar kommer att likna följande skärmdump:

Minska effekterna av slutpunktsskydd på Hyper-V Server Performance-Process Exclusions

Med det sista steget slutfört, Endpoint Skydd utesluter skanning av vmwp.exe och vmms.exe.

Katalogundantag

Det rekommenderas aldrig att installera något på OS -enheten. Istället bör du alltid ha en separat enhet för dina applikationer och filer. Hyper-V är inget undantag från denna regel. Därför bör du aldrig vara värd för dina virtuella datorer på din C: \ drive; detta inkluderar även VM -ögonblicksbilder.

Efter att ha granskat min server, även om jag inte lagrar något på C: \ -enheten, lagrar Hyper-V själv fortfarande några filer i de listade katalogerna. Som sådan kommer jag att utesluta var och en av dessa kataloger. Dessutom bör du lägga till några andra för att matcha din Hyper-V-serverkonfiguration. I mitt fall är E: \ VM \* där jag lagrar alla mina virtuella datorer, så jag kommer att utesluta den här katalogen. När mapparna (katalogerna) har lagts till i listan med undantag, Endpoint Skydd kommer inte längre att skanna dessa mappar efter virus.

Tillbaka i Standardpolicy för antimalware i fönstret, välj Uteslutningsinställningar nod. Klicka sedan på Uppsättning knapp för Uteslutna filer och mappar.

Minska effekterna av slutpunktsskydd på Hyper-V Server Performance-Exclusion-inställningar

Det första du kommer att märka är att det redan finns undantag listade.

Minska effekterna av slutpunktsskydd på Hyper-V Server Performance-redan listade undantag

I Filer och mappar textrutan, lägg till den katalog som du vill utesluta och klicka sedan på Lägg till knapp. I mitt exempel är det katalogen %systemdrive% \ ProgramData \ Microsoft \ Windows \ Hyper-V \ Snapshots.

Minska effekterna av slutpunktsskydd på Hyper-V Server Performance-Add

Upprepa denna process för de återstående mapparna som du vill utesluta och klicka till sist på OK att stänga alla öppna fönster. Dina resultat kommer att se ut som nedan.

Minska effekterna av slutpunktsskydd på Hyper-V Server Performance-File och Folder Exclusions

Nu när alla undantag (AV -filer, kataloger och processer) läggs till Endpoint Skydd, Jag vet att någon "långsamhet" från mina Hyper-V-servrar inte kommer att bero på Endpoint Skydd. Om mina Hyper-V-servrar verkar långsamma måste jag leta någon annanstans efter orsaken.

Om du tittar på skalan inom skärmdumpen nedan kommer du att märka att den nu är mellan 0-1 jämfört med 0-50 i den första skärmdumpen av detta blogginlägg! Diskkölängden är nu ~ 0,5 vilket är mycket bättre än innan jag uteslutit filer, kataloger och processer.

Jag vet att det finns många faktorer som påverkar diskkölängden men för tillfället är jag nöjd med mitt Hyper-V-labb.

Minska effekterna av slutpunktsskydd på Hyper-V Server Performance-Second Disk Queue Length

Om du har några frågor är du välkommen att kontakta mig @GarthMJ.

Se hur Right Click Tools förändrar hur system hanteras.

Öka produktiviteten direkt med vår begränsade, kostnadsfria Community Edition.

Kom igång med Right Click Tools idag:

Dela detta:

Support

  • Detta fält används för valideringsändamål och ska lämnas oförändrat.

Kontakt

  • Detta fält används för valideringsändamål och ska lämnas oförändrat.
sv_SESwedish