Windows Server 2016: n kanssa Microsoft on ottanut käyttöön pitkän luettelon Hyper-V: n parannuksista. Toiminnallisten lisäysten, kuten säilötuki, sisäkkäinen virtualisointi, lisääntyneet muistin ja vCPU-rajoitusten lisäksi löydät useita uusia ominaisuuksia, kuten tuotantotason tarkistuspisteet sekä mahdollisuuden lisätä muistia ja verkkosovittimia, jotka helpottavat hallintaa.
Mutta Microsoftin ensisijainen tavoite vuoden 2016 Hyper-V-julkaisussa näyttää olleen turvallisuuden parantaminen. Itse asiassa menen niin pitkälle, että sanoisin, että Hyper-V: n uusi tappajaominaisuus on suojatut virtuaalikoneet, jotka toimivat BitLocker-salauksen ja vartijapalvelun kanssa varmistaakseen, että virtuaalikoneet toimivat vain valtuutetuilla isännillä.
Jos yksi Hyper-V 2016 -ominaisuus pakottaisi minua päivittämään, se olisi suojattu VM-ominaisuus. Mutta kyky kohdistaa enemmän muistia 2. sukupolven virtuaalikoneisiin ja kyky lisätä muistia ja verkkosovittimia virtualisointi-isäntiin ovat myös suuria haittoja.
Yksi alue Hyper-V 2016 ei ehkä parane, on VM: n suorituskyky. Itse asiassa Sandra-vertailutestini Windows Server 2012 R2 -tietokoneesta Hyper-V 2012 R2: lla verrattuna Hyper-V 2016: een osoittavat askelta taaksepäin. En kutsu näitä tuloksia lopullisiksi millään tavalla, mutta pidä se mielessä, kun aloitat Windows Server 2016 Hyper-V: n arvioinnin omien kuormittesi suhteen.
Hyper-V-asennusprosessi
Tätä tarkistusta varten päivitin olemassa olevan Windows Server 2012 R2 -palvelimen Windows Server 2016: ksi. Suurimmaksi osaksi päivitysprosessi oli melkein identtinen Windows Server 2012 R2: n asennuksen kanssa. Ero oli siinä, että ohjattu asennustoiminto näyttää varoitusviestin, jossa kerrotaan, että Windows Server -päivityksiä ei suositella, ja sinun tulee suorittaa puhdas asennus. Ohjattu asennustoiminto ei estä sinua suorittamasta päivitystä paikan päällä, mutta sinun on napsautettava Vahvista-painiketta vahvistaaksesi varoitusviestin.
Edistyin päivitysprosessin kanssa (vaikka olen sittemmin suorittanut useita puhtaita asennuksia), koska halusin nähdä, mitä tapahtuisi. Lisäksi päivitetyllä palvelimella oli puhdas Windows Server 2012 R2 -asennus. Olin asentanut Hyper-V-roolin ja luonut joitain virtuaalikoneita, mutta en ollut asentanut mitään ylimääräisiä ohjelmistoja (lukuun ottamatta Microsoftin korjaustiedostoja) tai ottanut käyttöön epänormaaleja kokoonpanoasetuksia.
Windows Server -päivitysprosessi sujui hyvin sujuvasti. Kaikki nykyiset käyttöjärjestelmän asetukset säilytettiin, ja virtuaalikoneeni pysyivät toiminnassa päivityksen jälkeen. Lisäksi Hyper-V Manager tunsi silti olevan täysin tuttu. Vaikka Microsoft on ottanut käyttöön useita uusia Hyper-V-ominaisuuksia Windows Server 2016: ssa, Hyper-V Manager on muuttunut hyvin vähän. Järjestelmänvalvojat, joilla on aikaisempi Hyper-V-kokemus, tuntevat olonsa kotoisaksi käyttäessään uutta versiota.
Hyper-V-klusteripäivitykset
Vaikka tein alun perin päivityksen yhdelle Hyper-V-isännälle, Microsoft tukee myös klusteroitujen Hyper-V-käyttöönottojen päivitettäviä päivityksiä. Tämä tarkoittaa, että palvelimet, joissa on Windows Server 2016 Hyper-V, voidaan lisätä olemassa oleviin Windows Server 2012 R2 Hyper-V-klustereihin ja jäljitellä olennaisesti Windows Server 2012 R2 Hyper-V -isäntiä, jolloin ne voivat osallistua täysimääräisesti klusteriin. Windows Server 2012 R2 Hyper-V-virtuaalikoneet voidaan reaaliaikaisesti siirtää Windows Server 2016 Hyper-V -solmuihin, mikä mahdollistaa klusterin käyttöjärjestelmän päivityksen ottamatta mitään virtuaalikoneita offline-tilaan.
Kirjoittaessani tätä arvostelua otin käyttöön Windows Server 2012 Hyper-V -palvelinten kolmen solmun klusterin ja lisäsin sitten Windows Server 2016 Hyper-V-solmun. Pystyin liittymään solmuun klusteriin onnistuneesti ja siirtämään live-virtuaalikoneita edestakaisin kahden eri Hyper-V-version välillä. Lyhyesti sanottuna liikkuvan klusterin päivitysprosessi toimi moitteettomasti.
Suoritin klusteripäivityksen iltapäivällä, mutta Microsoft sallii Hyper-V-versioiden pitkän aikavälin rinnakkaiselon klusterissa. Pitkäaikainen rinnakkaiselo on varmasti helpompaa nyt, kun Microsoft on uudistanut Hyper-V Managerin, joten sitä voidaan käyttää samanaikaisesti useiden Hyper-V-versioiden kanssa. Hyper-V Managerista Windows Server 2016: ssa voit hallita Hyper-V: tä myös Windows Server 2012: ssa ja Windows Server 2012 R2: ssa.
Yksi haittapuoli uudelle Hyper-V Managerille: Koska Microsoft toimittaa nyt päivityksiä Hyper-V-integraatiopalveluille normaalin korjaustiedostojen hallintaprosessin kautta, integraatiopalvelujen käyttöönotto näyttää olevan poistettu. Integraatiopalvelujen asentaminen Windows Updaten kautta kuulostaa edistymiseltä, mutta ei haittaa, että vanha menetelmä on käytettävissä varalla.
Huomaa, että kun kaikki klusterisolmut käyttävät Windows Server 2016 Hyper-V: tä ja olet päivittänyt klusterin toiminnallisen tason (tarkoituksellinen hallinnollinen toimenpide, jonka suoritat PowerShellin kautta), menetät kyvyn lisätä Windows Server 2012 R2-solmuja klusteri. Kun olet päivittänyt klusterin toiminnallisen tason, paluuta ei ole enää mahdollista.
Suojatut virtuaalikoneet
Vaikka vuosien varrella on tehty paljon työtä suojaamaan virtuaalikoneita ulkopuolisilta uhilta, virtuaalikoneet (mukaan lukien kilpailevien alustojen, kuten VMware, Xen ja KVM, koneet) ovat edelleen alttiita roistovaltioiden järjestelmänvalvojille. Mikään ei estä järjestelmänvalvojaa kopioimasta koko virtuaalikone USB-muistitikulle ja kävelemästä ulos ovesta sen kanssa. Toki, aiemmin oli mahdollista salata virtuaaliset kiintolevyt, mutta valtuutettu järjestelmänvalvoja voi helposti kumota minkä tahansa VM-tason salauksen.
Windows Server 2016 Hyper-V: ssä suojattu virtuaalikone-ominaisuus salaa virtuaalikoneen levyt ja tilan tavalla, joka estää muita kuin virtuaalikoneen tai vuokralaisen järjestelmänvalvojia käynnistämästä virtuaalikonetta tai käyttämästä sen sisältöä. Ominaisuus toimii hyödyntämällä uutta Windows Server -ominaisuutta nimeltä Host Guardian Service, jolla on avaimet suojattujen virtuaalikoneiden salaamiseen ja salauksen purkamiseen.
Host Guardian -palvelu tarkistaa, onko Hyper-V-isäntä valtuutettu tai "todistettu" virtuaalikoneen suorittamiseen. Aivan oikein - järjestelmänvalvojat voivat rajoittaa suojattuja virtuaalikoneita, joten ne toimivat vain tietyillä isännöillä, jotka läpäisevät todistustestin. Tämä tarkoittaa, että jos väärennetty järjestelmänvalvoja kopioisi suojatun virtuaalikoneen flash-asemaan, virtuaalikoneen kopio olisi hyödytön järjestelmänvalvojalle. Virtuaalikone ei pystyisi ajamaan organisaation ulkopuolella, eikä sen sisältöä olisi saatavilla, koska virtuaalikoneen salauksen purkamiseen tarvittavat avaimet on suojattu Host Guardian -palvelulla.
Host Guardian -palvelu tukee kahta erilaista todentamistilaa, joita kutsutaan järjestelmänvalvojien varmentamiseksi ja TPM-luotettaviksi todistuksiksi. Järjestelmänvalvojan luotettava todistus on helpompi ottaa käyttöön kahdesta tilasta, mutta ei läheskään yhtä turvallinen kuin TPM-luotettu todistus. Järjestelmänvalvojaluotetut isännät perustuvat Active Directory -suojaryhmän jäsenyyteen, kun taas TPM-luotetut isännät perustuvat TPM-identiteettiin ja jopa käynnistys- ja koodin eheystarkistuksiin.
Monimutkaisemman kokoonpanoprosessin lisäksi TPM-luotettavalla todistuksella on joitain laitteistovaatimuksia. Vartioitujen isäntien on tuettava TPM 2.0: ta ja UEFI 2.3.1: ää tai uudempaa. Sitä vastoin järjestelmänvalvojan luotettavalla todistuksella ei ole merkittäviä laitteistovaatimuksia lukuun ottamatta niitä, joita tarvitaan Hyper-V: n suorittamiseen.
Vaikka suurin osa Hyper-V 2016 -turvallisuuteen liittyvistä tiedotusvälineistä on keskittynyt suojattuihin virtuaalikoneisiin, Microsoft on ottanut käyttöön muita suojausparannuksia. Esimerkiksi Hyper-V tukee nyt suojattua käynnistystä joillekin Linux-virtuaalikoneille. Microsoftin mukaan tuetut Linux-versiot sisältävät Ubuntu 14.04 ja uudemmat, Suse Linux Enterprise Server 12 ja uudemmat, Red Hat Enterprise Linux 7.0 ja uudemmat sekä CentOS 7.0 ja uudemmat.
Toinen merkittävä tietoturvan parannus on BitLocker-pohjaisen käyttöjärjestelmän levysalauksen tuki 1. sukupolven virtuaalikoneissa. Tämä erityinen tietoturvan parannus ei ole saanut lehdistöltä paljon huomiota, mutta se on merkittävä tuotantoympäristöissä toimivien 1. sukupolven virtuaalikoneiden määrän vuoksi. Loppujen lopuksi 2. sukupolven virtuaalikoneita tuetaan vain käytettäväksi tiettyjen vieraskäyttöjärjestelmien kanssa. Vaikka tuettujen vieraskäyttöjärjestelmien luettelo on kasvanut vuosien varrella, jotkut Linux-asennukset, jotka voidaan ajatella mahdollistavan 2. sukupolven virtuaalikoneilla, jatkavat toimintaan 1. sukupolven virtuaalikoneissa, yksinkertaisesti siksi, että virtuaalikoneen versiota ei voida muuttaa.
Windows-kontit
Yksi Windows Server 2016: n tärkeimmistä ominaisuuksista on säilöt, joita on kahta tyyppiä. Windows Server -säilöt jakavat käyttöjärjestelmän ytimen isännän (ja kaikkien muiden isännällä mahdollisesti toimivien säilöjen) kanssa, kun taas Hyper-V-säilöt käyttävät hypervisoria ja kevyttä vieras-käyttöjärjestelmää (Windows Server Core tai Nano Server) korkeamman tason tarjoamiseksi eristyneisyydestä. Ajattele Hyper-V-kontteja kevyinä virtuaalikoneina.
Tähän mennessä olen viettänyt jonkin aikaa kokeilemalla molempia konttityyppejä. Arviointini: Vaikka kontit näyttävät toimivan mainostetusti, niiden käyttöön liittyy jyrkkä oppimiskäyrä. Säilöt on luotava ja hallittava komentorivillä (toisin kuin Hyper-V Managerin käyttäminen) Docker-komentosyntaksin kautta, joka eroaa suuresti muista komentoriviympäristöistä, kuten PowerShellistä.
Luulen, että kontit osoittautuvat merkityksellisiksi Windowsin järjestelmänvalvojille, mutta suosittelen lämpimästi viettämään aikaa laboratorioympäristössä tottuaksesi Dockeriin ja sen moniin vivahteisiin ennen konttien käyttöönottoa tuotannossa.
Suorituskysymykset
Testataksesi Windows Server 2016: n suorituskykyä, toin uuden palvelimen online-tilaan ja suoritin Windows Server 2012 R2 Hyper-V -puhtaan asennuksen. Tämä palvelin oli varustettu matalalla, ikääntyvällä laitteistolla, mutta koska tavoitteena oli tarkistaa suhteellinen suorituskyky, huippuluokan laitteisto ei ollut oikeastaan tarpeen.
Uuden Windows Server 2012 R2 Hyper-V -palvelimen kanssa online-tilassa loin 2. sukupolven virtuaalikoneen, jossa on Windows Server 2012 R2. Sekä isäntä- että vieras-käyttöjärjestelmät oli täysin korjattu, ja testi VM oli ainoa virtuaalikone läsnä isännässä.
Kun uusi vieras-käyttöjärjestelmä oli käyttövalmis, asensin Sandra 2016: n virtuaalikoneeseen vertaamaan virtuaalikoneen suorituskykyä. Minua kiinnosti ensisijaisesti prosessori, tallennus, muisti ja verkon suorituskyky.
Käyttäessäni perusjoukkoa, päivitin Hyper-V-isännän Windows Server 2016: ksi. Microsoft ei kannata päivittää paikallaan, mutta päätin suorittaa yhden eikä puhtaan asennuksen, jotta testiympäristöni olisi yhtä yhtenäinen kuin mahdollista kaikissa testeissä.
Kun päivitys oli valmis, käynnistin virtuaalikoneen, jossa vielä oli käytössä Windows Server 2012 R2. Seuraavaksi yritin päivittää Hyper-V-integraatiopalvelut virtuaalikoneella, mutta Microsoft on poistanut vaihtoehdon tehdä tämä manuaalisesti. Integraatiopalvelut toimitetaan nyt Windows Update -palvelun kautta.
Korjattuani Windows Server 2016 Hyper-V -isännän täydellisesti, toistan vertailutestit yrittäessäni selvittää, tuottaako Hyper-V: n uusi versio suorituskykyä. Itse asiassa päinvastainen osoittautui totta. VM: ssäni suorituskyky laski merkittävästi.
Viimeisessä testissäni suoritin vieraskäyttöjärjestelmän päivityksen Windows Server 2016: een. Korjain täysin uuden vieras käyttöjärjestelmän ja toistan vertailutestini viimeisen kerran. Tällä kertaa virtuaalikoneeni suorituskyky parani suurelta osin, mutta ei aivan alkuperäisen Windows Server 2012 R2: n virtuaalikoneen tasolla, joka toimi Windows Server 2012 R2 -isännässä, ja muutaman testin mukaan suorituskyky heikkeni edelleen.
Alla on lueteltu vertailemani mittarit ja tulokset.
| Sandra 2016 -testi | Windows Server 2012 R2 Host ja Windows Server 2012 R2 VM | Windows Server 2016 Host ja Windows Server 2012 R2 virtuaalikone | Windows Server 2016 Host ja Windows Server 2016 VM |
|---|---|---|---|
Suorittimen aritmeettinen (yhdistetty natiivi suorituskyky) | 27.73 GOPS | 20.82 GOPS | 26.31 GOPS |
Salauskaistanleveys | 435 Mt / s | 390 MBps | 400 Mt / s |
Prosessorin välisen kaistanleveys | 2,12 Gt / s | 2,08 Gt / s | 2 Gt / s |
Fyysiset levyt (aseman pisteet) | 975,76 MBps | 831.9 MBps | 897 Mt / s |
Tiedostojärjestelmän I / O (laitteen pisteet) | 242 IOPS | 238 IOPS | 195 IOPS |
Muistin kaistanleveys (koko muistin suorituskyky) | 10,58 Gt / s | 10 Gt / s | 10 Gt / s |
Muistitransaktioteho | 3 MTPS | 3 MTPS | 2,92 MTPS |
Verkon LAN (datan kaistanleveys) | 7,56 MBps | 7,21 MBps | 7,16 MBps |
Kuten näette, Sandra-testini mukaan Windows Server 2012 R2 VM ei toiminut yhtä hyvin Windows Server 2016 Hyper-V: ssä kuin edellisessä Hyper-V-versiossa. Juoksin jokaista vertailuarvoa useita kertoja (kun isäntä oli tyhjäkäynnillä) varmistaakseni, että mittarit olivat tarkkoja. Virtuaalikoneen suorituskyky parani, kun vieras käyttöjärjestelmä päivitettiin Windows Server 2016: ksi, mutta ei Windows Server 2012 R2 -käyttäjän tasolle, joka suoritettiin Windows Server 2012 R2 Hyper-V: ssä.
Luonnollisesti sinun tulisi ottaa nämä (ja muut) vertailutulokset suolarakeella. Vertailuarvot eivät aina kuvasta todellisuutta, ja nämä havainnot edustavat vain yhtä testisarjaa yhdessä laitteistokokoonpanossa. Lisäksi olen valmis antamaan Microsoftille epäilyn edun, koska tiedot on tallennettu isännälle, joka on päivitetty edellisestä Windows Server -versiosta, eikä puhtaan asennuksen suorittavaan isäntään.
Ainoa mielekäs testi Windows Server 2016 Hyper-V -suorituskyvystä on todellisen laitteesi todelliset työmäärät. Sandra-testien tulosten perusteella sinun kannattaa seurata Hyper-V 2016: n suorituskykyä tarkasti.
