Programmēšana

Windows Server 2016 Hyper-V: drošāk, bet ne ātrāk

Ar Windows Server 2016 korporācija Microsoft ir ieviesusi garu Hyper-V uzlabojumu sarakstu. Kopā ar funkcionāliem papildinājumiem, piemēram, konteineru atbalstu, ligzdotu virtualizāciju, kā arī palielinātu atmiņas un vCPU ierobežojumu, jūs atradīsit vairākas jaunas funkcijas, tostarp ražošanas līmeņa kontrolpunktus un iespēju ātri pievienot atmiņu un tīkla adapterus, kas atvieglo administrēšanu.

Bet Microsoft galvenais mērķis 2016. gada Hyper-V laidienā, šķiet, bija uzlabot drošību. Patiesībā es gribētu teikt, ka Hyper-V jaunā slepkavas funkcija ir pasargāti VM, kas darbojas ar BitLocker šifrēšanu un aizbildņu pakalpojumu, lai nodrošinātu, ka virtuālās mašīnas darbojas tikai ar atļautiem resursdatoriem.

Ja viena Hyper-V 2016 funkcija mudinātu mani jaunināt, tā būtu aizsargātā VM funkcija. Bet spēja piešķirt vairāk atmiņas 2. paaudzes virtuālajām mašīnām un spēja karsti pievienot atmiņu un tīkla adapterus virtualizācijas resursdatoriem ir arī lielas priekšrocības.

Viena Hyper-V 2016 joma, iespējams, neuzlabosies, ir VM veiktspēja. Faktiski mani Sandra etalona testi ar Windows Server 2012 R2 virtuālo mašīnu Hyper-V 2012 R2 un Hyper-V 2016 norāda uz soli atpakaļ. Es nekādā gadījumā nesauktu šos rezultātus par galīgiem, taču paturiet to prātā, kad sākat novērtēt Windows Server 2016 Hyper-V savas slodzes.

Hyper-V iestatīšanas process

Šajā pārskatā es jaunināju esošu Windows Server 2012 R2 serveri uz Windows Server 2016. Lielākoties jaunināšanas process bija gandrīz identisks procesam, kas tika instalēts Windows Server 2012 R2. Atšķirība bija tāda, ka iestatīšanas vednis parāda brīdinājuma ziņojumu, kurā teikts, ka Windows Server jaunināšana nav ieteicama, un jums jāveic tīra instalēšana. Iestatīšanas vednis netraucēs veikt jaunināšanu uz vietas, taču jums ir jānoklikšķina uz pogas Apstiprināt, lai apstiprinātu brīdinājuma ziņojumu.

Es devos uz priekšu ar jaunināšanas procesu (lai gan kopš tā laika esmu veicis vairākas tīras instalācijas), jo es gribēju redzēt, kas notiks. Turklāt serverī, kuru es jaunināju, darbojās tīra Windows Server 2012 R2 instalācija. Es biju instalējis Hyper-V lomu un izveidojis dažas virtuālās mašīnas, taču nebiju instalējis nevienu papildu programmatūru (izņemot Microsoft ielāpus) vai iespējojis neparastus konfigurācijas iestatījumus.

Windows Server jaunināšanas process noritēja ļoti gludi. Visi mani esošie operētājsistēmas iestatījumi tika saglabāti, un pēc jaunināšanas manas virtuālās mašīnas palika funkcionālas. Turklāt Hyper-V vadītājs joprojām jutās pilnīgi pazīstams. Lai gan Microsoft sistēmā Windows Server 2016 ir ieviesis vairākas jaunas Hyper-V funkcijas, Hyper-V Manager ir mainījies ļoti maz. Administratori ar iepriekšēju Hyper-V pieredzi, lietojot jauno versiju, noteikti jutīsies kā mājās.

Ritošie Hyper-V kopu jauninājumi

Lai gan sākotnēji es veicu viena Hyper-V resursdatora jaunināšanu uz vietas, Microsoft atbalsta arī grupētu Hyper-V izvietojumu jauninājumus. Tas nozīmē, ka serverus, kuros darbojas sistēma Windows Server 2016 Hyper-V, var pievienot esošajiem Windows Server 2012 R2 Hyper-V klasteriem un būtībā atdarināt Windows Server 2012 R2 Hyper-V resursdatorus, tādējādi ļaujot tiem pilnībā piedalīties klasterī. Windows Server 2012 R2 Hyper-V virtuālās mašīnas var tiešraidē migrēt uz Windows Server 2016 Hyper-V mezgliem, tādējādi nodrošinot klastera operētājsistēmas jaunināšanu, nevienu no virtuālajām mašīnām neliekot bezsaistē.

Rakstot šo pārskatu, es izvietoju Windows Server 2012 Hyper-V serveru trīs mezglu kopu, pēc tam pievienoju Windows Server 2016 Hyper-V mezglu. Es varēju veiksmīgi pievienoties mezglam kopai un tiešraidē migrēt VM uz priekšu un atpakaļ starp divām dažādām Hyper-V versijām. Īsāk sakot, ritošā klastera jaunināšanas process darbojās nevainojami.

Es pabeidzu klastera jaunināšanu pēcpusdienā, taču Microsoft ļauj ilgstoši līdzāspastāvēt starp Hyper-V versijām klasterī. Ilgtermiņa līdzāspastāvēšana noteikti būs vieglāka tagad, kad Microsoft ir atjaunojis Hyper-V pārvaldnieku, tāpēc to var izmantot vienlaikus ar vairākām Hyper-V versijām. Izmantojot Hyper-V pārvaldnieku sistēmā Windows Server 2016, varat pārvaldīt Hyper-V arī Windows Server 2012 un Windows Server 2012 R2.

Viens no jaunā Hyper-V pārvaldnieka trūkumiem: Tā kā Microsoft tagad piegādā atjauninājumus Hyper-V integrācijas pakalpojumiem, izmantojot parasto ielāpu pārvaldības procesu, šķiet, ka integrācijas pakalpojumu izvietošanas iespēja ir noņemta. Integrācijas pakalpojumu instalēšana, izmantojot Windows Update, izklausās pēc progresa, taču nekaitētu, ja vecā metode būtu pieejama kā rezerves.

Ņemiet vērā, ka, tiklīdz visos jūsu klastera mezglos darbojas sistēma Windows Server 2016 Hyper-V, un esat atjauninājis klastera funkcionālo līmeni (apzināta administratīvā darbība, kuru veicat, izmantojot PowerShell), zaudēsit iespēju pievienot Windows Server 2012 R2 mezglus kopa. Pēc klastera funkcionālā līmeņa atjaunināšanas vairs nevarēs atgriezties.

Aizsargātas virtuālās mašīnas

Lai gan gadu gaitā ir paveikts daudz darba, lai aizsargātu VM no ārējiem draudiem, virtuālās mašīnas (ieskaitot tādas, kas atrodas konkurējošās platformās, piemēram, VMware, Xen un KVM), joprojām ir neaizsargātas pret negodīgu administratoru kompromisiem. Nekas neliedz administratoram kopēt visu VM uz USB zibatmiņas disku un iet ar to pa durvīm. Protams, iepriekš bija iespējams šifrēt virtuālos cietos diskus, taču pilnvarots administrators var viegli atsaukt jebkuru VM līmeņa šifrēšanu.

Operētājsistēmā Windows Server 2016 Hyper-V aizsargātā VM funkcija šifrē virtuālās mašīnas diskus un stāvokli tādā veidā, kas neļauj citiem, izņemot VM vai nomnieku administratoriem, palaist VM vai piekļūt tā saturam. Šis līdzeklis darbojas, izmantojot jauno Windows Server funkciju, ko sauc par Host Guardian Service, kurā ir aizsargātu VM šifrēšanas un atšifrēšanas atslēgas.

Host Guardian dienests pārbauda, ​​vai Hyper-V resursdators ir pilnvarots vai “atestēts” darbināt virtuālo mašīnu. Tā ir taisnība - administratori var ierobežot pasargātus VM, tāpēc tie darbosies tikai noteiktos resursdatoros, kuri iztur atestācijas testu. Tas nozīmē, ka, ja negodīgi administrators kopētu aizsargātu VM uz zibatmiņas disku, VM kopija administratoram būtu bezjēdzīga. VM nevarētu darboties ārpus organizācijas, un tā saturs nebūtu pieejams, jo VM atšifrēšanai nepieciešamās atslēgas aizsargā resursdatora aizbildņa dienests.

Pakalpojums Host Guardian atbalsta divus dažādus atestācijas režīmus, kurus sauc par administratora uzticamu un TPM uzticamu atestāciju. Abiem režīmiem ir vieglāk izvietot administratora uzticamu atestāciju, taču ne tuvu tā nav tik droša kā TPM uzticama atestācija. Administratoram uzticamo resursdatoru pamatā ir dalība Active Directory drošības grupā, turpretim TPM uzticamie resursdatori ir balstīti uz TPM identitāti un pat sāknēšanas un koda integritātes pārbaudēm.

Papildus sarežģītākajam konfigurācijas procesam TPM uzticamā atestācijā ir dažas aparatūras prasības. Apsargātiem saimniekiem ir jāatbalsta TPM 2.0 un UEFI 2.3.1 vai jaunākas versijas. Turpretī administratora uzticamai atestācijai nav būtisku aparatūras prasību, izņemot tās, kas nepieciešamas Hyper-V darbināšanai.

Lai gan lielākā daļa plašsaziņas līdzekļu pārklājuma, kas attiecas uz Hyper-V 2016 drošību, ir vērsta uz pasargātiem VM, Microsoft ir ieviesis citus drošības uzlabojumus. Piemēram, Hyper-V tagad atbalsta drošu sāknēšanu dažiem Linux VM. Pēc Microsoft domām, atbalstītās Linux versijas ietver Ubuntu 14.04 un jaunākas versijas, Suse Linux Enterprise Server 12 un jaunākas versijas, Red Hat Enterprise Linux 7.0 un jaunākas versijas un CentOS 7.0 un jaunākas versijas.

Vēl viens nozīmīgs drošības uzlabojums ir BitLocker balstītas OS diska šifrēšanas atbalsts 1. paaudzes virtuālajās mašīnās. Šis konkrētais drošības uzlabojums nav guvis lielu uzmanību no preses, taču tas ir nozīmīgs, ņemot vērā 1. paaudzes VM skaitu, kas darbojas ražošanas vidēs. Galu galā 2. paaudzes VM tiek atbalstīti lietošanai tikai ar noteiktām viesu operētājsistēmām. Lai gan atbalstīto viesu operētājsistēmu saraksts gadu gaitā ir pieaudzis, dažas Linux izvietošanas iespējas, kuras, domājams, varētu darboties ar 2. paaudzes VM, turpina darboties arī 1. paaudzes VM, vienkārši tāpēc, ka nav iespējams mainīt VM versiju.

Windows konteineri

Viena no galvenajām funkcijām, kas ieviesta sistēmā Windows Server 2016, ir konteineri, kuru ir divi veidi. Windows Server konteineri koplieto OS kodolu ar resursdatoru (un visiem citiem konteineriem, kas, iespējams, darbojas resursdatorā), savukārt Hyper-V konteineri izmanto hipervizoru un vieglu viesu OS (Windows Server Core vai Nano Server), lai nodrošinātu augstāku līmeni izolācija. Padomājiet par Hyper-V konteineriem kā par vieglām virtuālām mašīnām.

Līdz šim es kādu laiku esmu pavadījis eksperimentus ar abiem konteineru veidiem. Mans vērtējums: Lai gan konteineri, šķiet, darbojas kā reklamēti, ar to izmantošanu ir saistīta lēna mācīšanās līkne. Konteineri ir jāizveido un jāpārvalda komandrindā (atšķirībā no Hyper-V Manager izmantošanas), izmantojot Docker komandu sintaksi, kas ļoti atšķiras no citām komandrindas vidēm, piemēram, PowerShell.

Es domāju, ka konteineri izrādīsies aktuāli Windows administratoriem, taču es ļoti iesaku pavadīt laiku laboratorijas vidē, pirms tiek izmantoti konteineri ražošanā, lai pierastu pie Docker un tā daudzajām niansēm.

Jautājumi par sniegumu

Cenšoties pārbaudīt Windows Server 2016 veiktspēju, es tiešsaistē ievedu jaunu serveri, palaižot tīru Windows Server 2012 R2 Hyper-V instalēšanu. Šis serveris bija aprīkots ar zemas klases, novecojošu aparatūru, taču, ņemot vērā mērķi, lai pārbaudītu relatīvo veiktspēju, mūsdienīga aparatūra patiesībā nebija nepieciešama.

Izmantojot jauno Windows Server 2012 R2 Hyper-V serveri tiešsaistē, es izveidoju 2. paaudzes virtuālo mašīnu, kurā darbojas sistēma Windows Server 2012 R2. Gan resursdatora, gan viesa operētājsistēmas tika pilnībā ielāpītas, un mans testa VM bija vienīgā virtuālā mašīna, kas atradās resursdatorā.

Kad jaunā viesu OS bija izveidota un darbojusies, es virtuālajā mašīnā instalēju Sandra 2016, lai salīdzinātu virtuālās mašīnas veiktspēju. Mani galvenokārt interesēja CPU, atmiņa, atmiņa un tīkla veiktspēja.

Ņemot vērā sākotnējo metriku kopu, es jaunināju Hyper-V resursdatoru uz Windows Server 2016. Microsoft attur jauninājumus uz vietas, taču es izvēlējos veikt vienu, nevis tīru instalēšanu, lai saglabātu testa vidi tikpat konsekventu kā iespējams visos testos.

Kad jaunināšana bija pabeigta, es palaidu VM, kurā joprojām darbojās sistēma Windows Server 2012 R2. Pēc tam es mēģināju jaunināt Hyper-V integrācijas pakalpojumus VM, taču Microsoft ir atcēlis iespēju to izdarīt manuāli. Integrācijas pakalpojumi tagad tiek piegādāti, izmantojot Windows Update.

Pēc Windows Server 2016 Hyper-V resursdatora pilnīgas ielāpīšanas es atkārtoju etalona testus, cenšoties noskaidrot, vai jaunā Hyper-V versija nesniegs veiktspējas pieaugumu. Patiesībā izrādījās pretējais. Mans VM redzēja ievērojamu veiktspējas samazināšanos.

Lai veiktu pēdējo pārbaudi, es veicu viesu operētājsistēmas jaunināšanu uz Windows Server 2016. Es pilnībā aizlāpīju jauno viesu OS un pēdējo reizi atkārtoju etalona testus. Šoreiz mana VM veiktspēja lielā mērā uzlabojās, bet ne gluži līdz sākotnējā Windows Server 2012 R2 VM, kas darbojas Windows Server 2012 R2 resursdatorā, līmenim, un dažos testos veiktspēja vēl vairāk samazinājās.

Tālāk esmu uzskaitījis metriku, kuru es salīdzināju, un rezultātus.

Sandra 2016. gada testsWindows Server 2012 R2 resursdators un Windows Server 2012 R2 VMWindows Server 2016 resursdators un Windows Server 2012 R2 VMWindows Server 2016 resursdators un Windows Server 2016 VM

Procesora aritmētika (kopējā vietējā veiktspēja)

27.73 GOPS

20.82 GOPS

26.31 GOPS

Kriptogrāfijas joslas platums

435 MBps

390 MBps

400 MB / s

Procesora starpdatu joslas platums

2,12 GBps

2.08 GBps

2 GBps

Fiziskie diski (diska rādītājs)

975,76 MBps

831.9 MBps

897 MBps

Failu sistēmas I / O (ierīces rādītājs)

242 IOPS

238 IOPS

195 IOPS

Atmiņas joslas platums (kopējā atmiņas veiktspēja)

10,58 GBps

10 GBps

10 GBps

Atmiņas darījumu caurlaidspēja

3 MTPS

3 MTPS

2,92 MTPS

Tīkla LAN (datu joslas platums)

7,56 MBps

7,21 MBps

7,16 MBps

Kā redzat, saskaņā ar maniem Sandra testiem Windows Server 2012 R2 VM operētājsistēmā Windows Server 2016 Hyper-V nedarbojās tikpat labi kā iepriekšējā Hyper-V versijā. Katru etalonu es vadīju vairākas reizes (kamēr saimnieks nedarbojās), cenšoties pārliecināties, ka mana metrika ir pareiza. Virtuālās mašīnas veiktspēja uzlabojās, kad viesa OS tika jaunināta uz Windows Server 2016, bet ne uz Windows Server 2012 R2 viesa līmeni, kas darbojas operētājsistēmā Windows Server 2012 R2 Hyper-V.

Protams, jums vajadzētu ņemt šos (un citus) etalona rezultātus ar sāls graudu. Etaloni ne vienmēr atspoguļo realitāti, un šie atklājumi atspoguļo tikai vienu testu kopu vienā aparatūras konfigurācijā. Turklāt es esmu gatavs dot Microsoft šaubu priekšrocības, jo metrika tika uztverta resursdatorā, kas tika jaunināts no iepriekšējās Windows Server versijas, nevis resursdatorā, kurā darbojas tīra instalācija.

Vienīgais nozīmīgais Windows Server 2016 Hyper-V veiktspējas pārbaudījums būs faktiskās aparatūras faktiskās slodzes. Ņemot vērā Sandra testu rezultātus, jūs vēlēsities uzmanīgi skatīties Hyper-V 2016 veiktspēju.

$config[zx-auto] not found$config[zx-overlay] not found