Cómo habilitar la virtualización anidada en Hyper-V

La virtualización anidada en Hyper-V se ha consolidado como una función esencial para profesionales de TI, administradores de sistemas y entusiastas de la tecnología que buscan aprovechar al máximo sus infraestructuras virtuales. Acceder a la posibilidad de ejecutar hipervisores dentro de máquinas virtuales (VM) abre puertas a un sinfín de escenarios avanzados de prueba, desarrollo, capacitación y laboratorios, que antes requerían hardware específico adicional o inversiones considerables.

En este artículo, vamos a desgranar en detalle cómo habilitar la virtualización anidada en Hyper-V, repasando desde sus fundamentos y requisitos, hasta la configuración paso a paso, consideraciones de red y limitaciones, todo ello basándonos en fuentes actualizadas y relevantes. Si buscas montar entornos de pruebas complejos, simular infraestructuras completas o necesitas entender cómo aprovechar Hyper-V dentro de una VM, aquí tienes la guía definitiva para hacerlo posible, con explicaciones sencillas y consejos prácticos.

¿Qué es la virtualización anidada en Hyper-V?

La virtualización anidada es una característica avanzada que permite ejecutar un hipervisor, concretamente Hyper-V, dentro de una máquina virtual que a su vez corre sobre un host físico con Hyper-V. En palabras sencillas, es la habilidad de tener «máquinas virtuales dentro de máquinas virtuales», creando lo que podríamos llamar una estructura de muñecas rusas digitales (o un «VM inception» para los más peliculeros). Esta función fue incorporada por primera vez en Windows Server 2016 y Windows 10, extendiéndose a versiones posteriores, e incluso ampliando la compatibilidad con procesadores AMD en versiones más recientes como Windows Server 2022 y Windows 11.

La virtualización anidada está especialmente destinada a:

• Laboratorios de prueba y entornos de formación: permite simular arquitecturas de red complejas o escenarios de migración sin destinar hardware dedicado para cada servicio.
• Pruebas y desarrollo de software: facilita la recreación de entornos reales para testear aplicaciones y actualizaciones.
• Creación de nubes privadas y entornos pseudo-aislados: montar nubes privadas virtualizadas dentro de otras VMs, ideales para pruebas de despliegue automatizado de nubes.
• Ejecución de emuladores y contenedores avanzados: algunos servicios, como Windows Subsystem for Linux (WSL2) o contenedores con aislamiento Hyper-V, requieren virtualización anidada para funcionar correctamente en una VM.
• Reducción de costes: evita la compra de múltiples servidores físicos para la realización de pruebas y formación.

Ventajas principales de la virtualización anidada

Aparte de las posibilidades funcionales, hay otros beneficios asociados a la virtualización anidada:

• Flexibilidad total para laboratorios y pruebas de concepto. Permite montar entornos temporales o persistentes en cuestión de minutos.
• Ahorro de espacio y recursos físicos: elimina la necesidad de equipos adicionales para simular infraestructuras reales.
• Facilita la formación y la experimentación sin riesgos: se puede practicar en entornos aislados, sin poner en jaque la infraestructura de producción.
• Optimización de la inversión en hardware: maximiza el uso de los servidores físicos ya existentes.

Conceptos clave y requisitos para usar virtualización anidada

Antes de poner manos a la obra, es fundamental conocer los requisitos y limitaciones de la virtualización anidada en Hyper-V. Estos dependen principalmente de la versión del sistema operativo, la generación de la máquina virtual y el tipo de procesador del host físico.

Compatibilidad del sistema operativo y versión de Hyper-V

• Host físico compatible: El host que ejecuta Hyper-V debe estar sobre Windows Server 2016 o superior, o bien Windows 10 (versión Anniversary Update 1607 o posterior). Para entornos basados en AMD, es necesario contar como mínimo con Windows Server 2022 o Windows 11.
• Máquina virtual de nivel adecuado: La versión de la VM debe ser igual o superior a 8.0 para Intel, y a 9.3 para AMD (esto puedes comprobarlo y actualizarlo desde PowerShell con el comando Update-VMVersion -Name 'nombre_VM').
• Sistema operativo del huésped: Dentro de la VM, instala un sistema operativo que soporte a su vez Hyper-V (por ejemplo, Windows 10 Anniversary Update o posterior, o cualquier versión de Windows Server 2016 en adelante).

Requisitos de hardware y procesador

• Procesadores Intel (VT-x y EPT): Para hosts con CPU Intel, se requiere que éstas soporten las extensiones de virtualización VT-x (Intel Virtualization Technology) y EPT (Extended Page Tables).
• Procesadores AMD (AMD-V): En hardware AMD, es imprescindible que la CPU incluya soporte para AMD-V y que el sistema operativo host sea Windows Server 2022 o Windows 11, ya que versiones anteriores no permiten la virtualización anidada con AMD.
• Memoria RAM suficiente: Se recomienda contar con memoria suficiente para soportar tanto el sistema operativo host, como la VM «anfitrión» y sus máquinas virtuales anidadas. No olvides que las VMs anidadas no pueden aprovechar la memoria dinámica del host.

Consideraciones adicionales

• Firmware y BIOS: Asegúrate de que las opciones de virtualización (Intel VT-x, AMD-V) están activadas en el BIOS/UEFI del servidor físico.
• Configuración de red: La red debe estar configurada teniendo en cuenta las particularidades de las VM anidadas. Hay dos formas habituales de conectar las VMs internas: suplantación de dirección MAC y NAT.
• Sin memoria dinámica: La VM en la que se pretende activar la virtualización anidada no debe tener habilitada la memoria dinámica.

Limitaciones de la virtualización anidada en Hyper-V

Es importante conocer desde el principio qué no puedes hacer, o qué queda restringido, cuando utilizas esta funcionalidad:

• No se pueden aplicar puntos de control en caliente (checkpoints en VMs en ejecución) en la máquina virtual «anfitrión» que hospeda VM anidadas. Sin embargo, esto sí es posible dentro de las VMs anidadas.
• La migración en vivo (Live Migration) de la VM principal no está soportada.
• No se permite el redimensionamiento de memoria en ejecución.
• La memoria dinámica no está disponible en la VM principal cuando tiene habilitada la virtualización anidada.
• Las aplicaciones de virtualización que no sean Hyper-V (por ejemplo, VirtualBox o VMware Workstation) generalmente no son compatibles dentro de una VM de Hyper-V anidada.
• No apto para clústeres de conmutación por error ni para entornos extremadamente sensibles al rendimiento, debido a la sobrecarga de virtualización múltiple.

Cómo activar la virtualización anidada en Hyper-V paso a paso

Vamos a detallar el proceso de habilitación de esta función en un entorno estándar, siguiendo las mejores prácticas. A continuación se enumera cada paso, asegurando que puedes llevarlo a cabo, tanto en entornos de laboratorio como en escenarios reales.

1. Comprobar y preparar el entorno

• Verifica que tu host Hyper-V reúne los requisitos de hardware y software mencionados.
• Asegúrate de que la función de Hyper-V está instalada en el host físico y que tienes acceso de administrador.

2. Crear la máquina virtual «anfitriona»

• Crea una máquina virtual desde el Administrador de Hyper-V o usando PowerShell. Asigna suficiente RAM y CPU, y elige una imagen de sistema compatible (Windows 10/11, Windows Server 2016 en adelante).
• Apaga la VM si estuviera en marcha.

3. Actualizar la versión de la máquina virtual (si es necesario)

La versión de VM debe ser, como mínimo, la requerida para anidamiento (8.0 en Intel, 9.3 en AMD). Para actualizarla, utiliza en el host físico:

Update-VMVersion -Name "nombre_de_tu_VM"

4. Habilitar la virtualización anidada desde PowerShell

En el host físico con Hyper-V, abre una ventana de PowerShell con permisos de administrador y ejecuta:

Set-VMProcessor -VMName "nombre_de_tu_VM" -ExposeVirtualizationExtensions $true

Reemplaza nombre_de_tu_VM por el nombre de tu máquina virtual «anfitrión».

5. Configurar la red para la VM anidada

En este punto, existen dos formas principales de conectar las VMs anidadas a la red:

• Suplantación de dirección MAC (MAC Spoofing): Ideal cuando deseas que las VMs internas tengan acceso directo a la red física o virtual del host. Actívala así:

Set-VMNetworkAdapter -VMName "nombre_de_tu_VM" -MacAddressSpoofing On

• NAT (Traducción de direcciones de red): Si prefieres aislar la red interna de las VMs anidadas, crea un conmutador de tipo “Interno” y configura NAT en el host VM. Ejemplo:

New-VMSwitch -Name "NAT-Switch" -SwitchType Internal
New-NetNat -Name "NAT-net" -InternalIPInterfaceAddressPrefix "192.168.2.0/24"
Get-NetAdapter "vEthernet (NAT-Switch)" | New-NetIPAddress -IPAddress 192.168.2.1 -AddressFamily IPv4 -PrefixLength 24

Después, configura las VMs anidadas para usar como puerta de enlace la IP del adaptador NAT creado.

6. Iniciar la VM «anfitrión» y configurar Hyper-V en su interior

• Enciende la VM «anfitrión» y accede a ella.
• Instala la función de Hyper-V dentro de la propia VM. Puedes hacerlo desde el Administrador de Servidores o con PowerShell:

Install-WindowsFeature -Name Hyper-V -IncludeManagementTools -Restart

La máquina virtual se reiniciará y, tras arrancar de nuevo, Hyper-V estará disponible para crear VMs anidadas.

7. Crear VMs anidadas en el Hyper-V «secundario»

A partir de aquí, puedes utilizar el Manager de Hyper-V de la VM «anfitrión», las herramientas gráficas o PowerShell para crear máquinas virtuales anidadas que ahora podrán arrancar sin problemas.

Tutorial práctico: Habilitar virtualización anidada paso a paso (caso real)

Veamos el proceso resumido con comandos prácticos, ideal para cuando necesitas tener todo «a mano» o repasar los pasos clave.

1. 1. Obtén listado de máquinas virtuales en Hyper-V:

Get-VM

1. 1. Apaga la VM en la que quieres activar el anidamiento:

Stop-VM -Name 'nombre_VM'

1. 1. Actualiza la versión de la VM (si lo necesitas):

Update-VMVersion -Name 'nombre_VM'

1. 1. Activa la virtualización anidada:

Set-VMProcessor -VMName 'nombre_VM' -ExposeVirtualizationExtensions $true

1. 1. (Opcional) Activa la suplantación MAC para la red:

Set-VMNetworkAdapter -VMName 'nombre_VM' -MacAddressSpoofing On

1. 1. Enciende la VM e instala Hyper-V en su interior:

Install-WindowsFeature -Name Hyper-V -IncludeManagementTools -Restart

1. Crea nuevas VMs dentro del Hyper-V «anidado» con el método que prefieras.

Diferencias entre Intel y AMD en el anidamiento de Hyper-V

El soporte de virtualización anidada difiere entre procesadores Intel y AMD, especialmente respecto a las versiones del sistema operativo donde está disponible.

• Intel: Desde Windows Server 2016 y Windows 10 (Anniversary Update), puedes habilitar virtualización anidada siempre que la CPU soporte Intel VT-x y EPT. Es compatible tanto en estaciones de trabajo como servidores.
• AMD: Desde Windows Server 2022 y Windows 11, los procesadores AMD con AMD-V pueden usar virtualización anidada en Hyper-V. No funciona en versiones anteriores.

Importante: Asegúrate siempre de que el procesador y la versión del sistema operativo que utilizas cumplen con los requisitos. Si tienes dudas, revisa la documentación de tu CPU o ejecuta systeminfo en el host para ver las características de virtualización soportadas.

Opciones avanzadas de red para las VMs anidadas

La gestión de red en entornos anidados exige atención especial porque los paquetes deben pasar por varios niveles de virtualización. Aquí se detallan los dos métodos principales de conexión:

Suplantación de dirección MAC

Este método permite que las VMs anidadas sean visibles en la misma red física o virtual que el host. Es decir, las máquinas internas pueden recibir direcciones IP desde el servidor DHCP externo, lo que es muy útil cuando necesitas que «todas» tus VMs estén en la misma subred.

• Para activarlo, ejecuta:

Set-VMNetworkAdapter -VMName 'nombre_VM' -MacAddressSpoofing On

• En la interfaz gráfica: entra en Ajustes de la VM > Adaptador de red > Funciones avanzadas, y marca Activar suplantación de dirección MAC.

Nota: No todos los entornos toleran múltiples direcciones MAC en un mismo adaptador (por ejemplo, redes corporativas con políticas restrictivas o algunas nubes públicas). Compruébalo antes para evitar problemas.

Red NAT (Traducción de direcciones de red)

Permite aislar las VMs anidadas detrás de un conmutador virtual interno, proporcionando salida a Internet y comunicación interna, pero sin exponer cada IP a la red principal. Es la opción recomendada cuando quieres simular múltiples redes o cuando la suplantación MAC no es viable (por ejemplo, en Azure o en laboratorios con restricciones de red).

Pasos habituales:

1. 1. Crea un nuevo conmutador virtual interno:

New-VMSwitch -Name "InternalNAT" -SwitchType Internal

1. 1. Identifica el nombre del adaptador de red creado:

Get-NetAdapter

1. 1. Asigna una dirección IP y máscara al adaptador:

Get-NetAdapter "vEthernet (InternalNAT)" | New-NetIPAddress -IPAddress 192.168.100.1 -PrefixLength 24

1. 1. Crea el objeto NAT:

New-NetNat -Name "InternalNATNet" -InternalIPInterfaceAddressPrefix 192.168.100.0/24

1. Configura las VMs anidadas para usar 192.168.100.1 como puerta de enlace. El DNS puede ser externo (por ejemplo, 8.8.8.8) o la propia puerta de enlace si tienes un DNS interno.

Virtualización anidada en entornos Cloud: el caso de Microsoft Azure

La llegada de la virtualización anidada a Azure ha supuesto una revolución para escenarios de recuperación ante desastres (DR), pruebas, o laboratorios remotos. La nube de Microsoft permite desplegar VMs que a su vez ejecutan Hyper-V y alojan otras VMs dentro del entorno virtualizado en la nube.

Paso a paso para desplegar Hyper-V anidado en Azure

1. 1. Crea una VM en Azure con Windows Server 2016 o superior, de la serie compatible con virtualización anidada (p. ej., D2s_v3). Configura los recursos y abre los puertos necesarios (RDP, puertos NAKIVO, etc.).
   2. Accede a la VM mediante RDP y asegúrate de que utiliza un perfil de red privado, activando descubrimiento y compartición de archivos.
   3. Instala la función Hyper-V desde PowerShell:

Install-WindowsFeature -Name Hyper-V -IncludeManagementTools -Restart

1. 1. Configura un conmutador virtual interno en Hyper-V dentro de la VM Azure:

New-VMSwitch -Name "InternalSwitchNAT" -SwitchType Internal

1. 1. Asigna IP al adaptador virtual creado:

Get-NetAdapter "vEthernet (InternalSwitchNAT)" | New-NetIPAddress -IPAddress 192.168.217.1 -PrefixLength 24

1. 1. Crea el objeto NAT para la red interna:

New-NetNat -Name "InternalNATnet" -InternalIPInterfaceAddressPrefix 192.168.217.0/24

1. Configura las reglas del cortafuegos (en Azure y en la propia VM) para permitir el tráfico necesario (puertos TCP para NAKIVO, ICMP, etc.).
2. Añade el host Hyper-V en Azure al inventario de tu sistema de backups/replicación (por ejemplo, NAKIVO Backup & Replication), asegurando la conectividad entre el sitio primario y Azure mediante las IPs y puertos abiertos.
3. Replica las máquinas virtuales desde el host físico al Hyper-V anidado en Azure. Configura las direcciones IP de red y mapeo para que las réplicas funcionen sin conflictos.
4. Prueba el failover y failback entre los entornos, asegurando la comunicación y la recuperación ante desastres.

Este modelo permite tener un «plan B» en la nube, con VMs listas para arrancar ante cualquier fallo del entorno local, sin las limitaciones que tienen las máquinas virtuales nativas de Azure (por ejemplo, restricciones en el tipo de disco/imagen o en el tamaño del disco virtual).