基本介紹
- 外文名:Hyper-V
- 所屬:微軟
- 基於:hypervisor的技術
- 類似:Vmware和Citrix開源Xen
系統要求,設計目的,虛擬硬碟空間,架構特點,技術,流量監控,改進和變化,功能變換,實際部署,基本安裝,創建虛擬機,虛擬機系統,管理虛擬機,安全,在Server Core上安裝Hyper-V角色,Hyper-V服務的登錄憑證,阻止不必要的連線埠,Hyper-V默認配置,在父分區上使用BitLocker加密,不要使用內置管理員帳戶,在Hyper-V伺服器上安裝反病毒軟體,安裝最新的集成組件,不要在Hyper-V父分區上安裝套用,保護Hyper-V和虛擬機檔案,斷開沒在使用的虛擬機,啟用Windows防火牆阻止不必要的防火牆規則,保護快照/關卡檔案安全,加強虛擬機作業系統,啟用審計,認證,微軟官方認證 Hyper-V 諮詢工程師證書,
系統要求
1.Intel或者AMD64位處理器。
2.Windows Server 2008 R2及以上(伺服器操作系統);Windows 7及以上(桌面作業系統)。
3.硬體輔助虛擬化。這是在現有的處理器,包括一個虛擬化的選擇工具體來說,Intel vt或AMD-v( AMD-v,以前的代號為“ Pacifica ”的 ) 。
微軟虛擬化構架
微軟虛擬化構架4.CPU必須具備硬體的數據執行保護( DEP )功能,而且該功能必須啟動。
5.記憶體最低限度為2GB。
設計目的
虛擬硬碟空間
正式版Hyper-V控制台,版本有一定變化。在微軟的Hyper-V虛擬機創建過程中,最大虛擬硬碟可以達到2040GB,當然,即使創建2TB的硬碟,也不會立刻就占用2T的物理空間分配,給虛擬機安裝了一個2TB的硬碟,至少可以在虛榮心上相當的滿足。
架構特點
Hyper-V採用微核心的架構,兼顧了安全性和性能的要求。Hyper-V底層的Hypervisor運行在最高的特權級別下,微軟將其稱為ring -1(而Intel則將其稱為root mode),而虛擬機的OS核心和驅動運行在ring 0,應用程式運行在ring 3下,這種架構就不需要採用複雜的BT(二進制特權指令翻譯)技術,可以進一步提高安全性。
高效率的VMbus架構
由於Hyper-V底層的Hypervisor代碼量很小,不包含任何第三方的驅動,非常精簡,所以安全性更高。Hyper-V採用基於VMbus的高速記憶體匯流排架構,來自虛機的硬體請求(顯示卡、滑鼠、磁碟、網路),可以直接經過VSC,通過VMbus匯流排傳送到根分區的VSP,VSP調用對應的設備驅動,直接訪問硬體,中間不需要Hypervisor的幫助。
這種架構效率很高,不再像以前的Virtual Server,每個硬體請求,都需要經過用戶模式、核心模式的多次切換轉移。更何況Hyper-V現在可以支持Virtual SMP,Windows Server 2008虛機最多可以支持4個虛擬CPU;而Windows Server 2003最多可以支持2個虛擬CPU。每個虛機最多可以使用64GB記憶體,而且還可以支持X64作業系統。
完美支持Linux系統
這對於採用Linux系統的企業來說,是一個福音,這樣我們就可以把所有的伺服器,包括Windows和Linux,全部統一到最新的Windows Server 2008平台下,可以充分利用Windows Server 2008帶來的最新高級特性,而且還可以保留原來的Linux關鍵套用不會受到影響。
Hyper-V可以採用半虛擬化(Para-virtualization)和全虛擬化(Full-virtualization)兩種模擬方式創建虛擬機。半虛擬化方式要求虛擬機與物理主機的作業系統(通常是版本相同的Windows)相同,以使虛擬機達到高的性能;全虛擬化方式要求CPU支持全虛擬化功能(如Inter-VT或AMD-V),以便能夠創建使用不同的作業系統(如Linux和Mac OS)的虛擬機。
從架構上講Hyper-V只有“硬體-Hyper-V-虛擬機”三層,本身非常小巧,代碼簡單,且不包含任何第三方驅動,所以安全可靠、執行效率高,能充分利用硬體資源,使虛擬機系統性能更接近真實系統性能。
按照微軟的虛擬化產品路線,微軟在將2008年第四季度,推出脫離Windows Server 2008 的、獨立的虛擬化產品Hyper-V Server。
技術
談到虛擬化技術想必大家現在並不陌生,在整個IT產業中,虛擬化已經成為關鍵字,從桌面系統到伺服器、從存儲系統到網路,虛擬化所能涉及的領域越來越廣泛。虛擬化並不是一個很新潮的技術,如x86虛擬化的歷史就可以追溯到上世紀九十年代,而IBM虛擬化技術已經有40年的歷史。虛擬化的初衷是為了解決“一種套用占用一台伺服器”模式所帶來的伺服器數量劇增,導致數據中心越來越複雜,管理難度增加,並且導致能耗和熱量的巨大增長等問題。早期的虛擬化產品完全基於軟體並且非常複雜,執行效率比較低下,並沒有得到廣泛的套用。Windows Server 2008是通過Hyper-V的虛擬化技術來實現虛擬化的。
HYPER-V
HYPER-V如今虛擬化技術已經得到了飛速的發展,主要的作業系統廠商和獨立軟體開發商都提供了虛擬化解決方案,同時,硬體上的支持使虛擬化執行效率大大提高,自2006年誕生第一顆支持虛擬化技術的處理器以來,目前在x86構架中絕大多數處理器都開始支持虛擬化技術。
流量監控
監控Hyper-V虛擬機的基本網路流量統計很簡單,但是由於Hyper-V中網路的虛擬化方式,執行實際的數據包捕獲就很難了。下面是多個選擇:
計數器
最基本的監控是給定VM的簡單頻寬利用率,這一點都不難。Hyper-V有四個基本的網路性能計數器群組,可以通過記錄和分析來了解Hyper-V本身和每個獨立虛擬機的網路流量。
網路接口
這個計數器設定描述Hyper-V中使用的物理網路設備。這種設定的計數器可用來查看Hyper-V中流入流出的流量作為一個整體運行得怎么樣。
Hyper-V虛擬交換機
可以統計Hyper-V虛擬機之間交換的流量。還有一個相似的計數器設定叫做Hyper-V虛擬交換機連線埠,用戶可以看到這個交換機上某個特定連線埠的數據統計。
Hyper-V遺留網路適配器和Hyper-V虛擬網路適配器
這兩個性能計數器設定提供特定虛擬機的網路活動詳細信息。這些計數器組中每一個的子設定都有一個VM易記的名字,還有其網路適配器的名字,加上VM和適配器的GUID,防止用戶使用Windows管理規範(WMI)查詢。
這兩個計數器設定的最大不同在於用戶監控的VM是否使用了集成服務。很明顯,用戶想要在任何可能的時候使用集成服務,並且使用虛擬網路適配器計數器。沒有集成服務運行的虛擬機需要使用遺留網路適配器計數器,儘管這會帶來一定的效能損失。
數據包捕獲
如果在一個Hyper-V實例中,用戶要監控所有來自或去向虛擬機的數據包級網路流量怎么辦?也就是說,要進行數據包檢查和網路捕獲。不幸的是,現在還沒有在Hyper-V本身中直接這么做的方法。虛擬網路適配器還沒有混合模式,某種程度上是為了增強安全性和VM間的獨立性,也是為了保護管理程式本身。
改進和變化
除了在構架上進行改進之外,Hyper-V還具有其它一些變化:Hyper-V基於64位系統:微軟的新一代虛擬化技術Hyper-V是基於64位系統的,我們知道,32位系統的記憶體定址空間只有4GB,在4GB的系統上再進行伺服器虛擬化在實際套用中沒有太大的實際意義。在支持大容量記憶體的64位伺服器系統中,套用Hyper-V虛擬出多個套用才有較大的現實意義。微軟上一代虛擬化產品Virtual Server和Virtual PC則是基於32位系統的。
硬體支持上大大提升:Hyper-V支持4顆虛擬處理器,支持64GB記憶體,並且支持x64作業系統;而Virtual Server只支持2個虛擬處理器,並且只能支持x86作業系統。並且在Hyper-V中還支持VLAN功能。支持Hyper-V伺服器虛擬化需要啟用了Intel-VT或AMD-V特性的x64系統。Hyper-V基於微核心Hypervisor架構,是輕量級的。Hyper-V中的設備共享架構,支持在虛擬機中使用兩類設備:合成設備和模擬設備。
Hyper-V提供了對許多用戶作業系統的支持:Windows Server 2003 SP2、Novell SUSE Linux Enterprise Server 10 SP1、Windows VistaSP1 (x86)和Windows XP SP3 (x86)、windows XP SP2 (x64)。在剛剛發布的Hyper-V RC1代碼中還增加了對Windows 2000 Server SP4以及Windows 2000 Advanced Server SP4的支持。
功能變換
Windows Server 2012 中的 Hyper-V 在許多方面都做了改進。下表列出了此版本 Hyper-V 中最明顯的功能變化。有關這些變化以及此處未列出的其他功能變化的詳細信息,請參閱Hyper-V 中的新功能。
| 特性/功能 | 新功能或更新功能 | 摘要 |
|---|---|---|
客戶端 Hyper-V(Windows; 8 Release Preview 中的 Hyper-V) | 新功能 | 通過使用 Windows 桌面作業系統創建和運行 Hyper-V 虛擬機。 |
Windows PowerShell 的 Hyper-V 模組 | 新功能 | 使用 Windows PowerShell cmdlet 可創建和管理 Hyper-V 環境。 |
Hyper-V 副本 | 新功能 | 在存儲系統、群集和數據中心之間複製虛擬機可提供業務連續性和災難恢復的功能。 |
實時遷移 | 更新功能 | 在非群集和群集的虛擬機上執行實時遷移,並且同時執行一個以上的實時遷移。 |
顯著提高了規模和改進了復原能力 | 更新功能 | 使用比以前可能使用的明顯更大的計算和存儲資源。處理硬體錯誤能力的改進,增加了虛擬化環境的復原能力和穩定性。 |
存儲遷移 | 新功能 | 在不停機的情況下將運行中的虛擬機虛擬硬碟移到其他存儲位置。 |
虛擬光纖通道 | 新功能 | 從來賓作業系統內連線到光纖通道存儲。 |
虛擬硬碟格式 | 更新功能 | 創建高達 64 TB 的穩定、高性能的虛擬硬碟。 |
虛擬交換機 | 更新功能 | 如網路虛擬化這樣的新功能將支持多用戶管理,以及 Microsoft 夥伴可提供的擴展,從而添加監視、轉發和篩選數據包的功能。 |
現在就蒐集一些Hyper-V的常見問題,希望能對廣大的虛擬化技術愛好者有所幫助。
問題一:Hyper-V對硬體上有什麼要求?
答:Hyper-V從架構上看屬於裸金屬架構,裸金屬架構對硬體有一定要求,具體是:
1.CPU支持AMD-V或Intel-VT
2.CPU支持64位運算
3.CPU支持DEP技術
問題二:Hyper-V是Win2008的一個角色,如果Hyper-V必須依賴於Win2008作業系統系,那Hyper-V是否應該被理解為寄居架構?
答:Win2008上安裝了Hyper-V角色後,重新啟動計算機時會先載入hvboot.sys檔案,這個檔案就是Hypervisor層。Hyper-V依靠hvboot.sys控制硬體,因此應該是裸金屬架構。原來的Win2008作業系統將被Hyper-V視作計算機上的第一個虛擬機,也稱為父分區。
問題三:Hyper-V安裝後,我發現物理計算機的網卡配置都丟失了,這是怎么回事?
答:Hyper-V角色安裝後,如果我們選擇把Hyper-V的網路搭建在物理網卡上,那物理網卡將變成一個虛擬交換機。因此我們會發現物理網卡的原有配置都丟失了,這是正常現象,不用擔心。Hyper-V會自動創建一個虛擬網卡來繼承原物理網卡的配置,物理計算機可以正常使用網路。
問題四:Hyper-V最多可以跑多少個虛擬機?
答:Hyper-V安裝的虛擬機數量沒有限制,完全取決於物理機的性能和虛擬機的負載水平。
問題五:Hyper-V如何才能把物理機轉換為虛擬機?
答:要想實現從物理機到虛擬機的P2V轉換,必須藉助微軟的虛擬機管理軟體SCVMM,Hyper-V管理器中無法實現P2V轉換。
問題六:我在Hyper-V的虛擬機中安裝了Win2003作業系統,但在這個虛擬機作業系統上無法安裝Integrated Service,為什麼?
答:Integrated Service對虛擬機作業系統的版本有要求,Win2003作業系統必須安裝SP2補丁才可以安裝Integrated Service,XP也需要SP2以上補丁的支持,Vista則需要SP1以上補丁,Win2000需要SP4補丁。
問題七:Hyper-V的動態遷移和快速遷移有什麼區別?
答:快速遷移和動態遷移都可以把虛擬機從一個Hyper-V伺服器遷移到另一個Hyper-V伺服器,但快速遷移在遷移虛擬機時需要讓虛擬機停止網路服務,然後把虛擬機的記憶體數據從源伺服器遷移到目標伺服器,在遷移的過程中虛擬機無法繼續提供網路服務。動態遷移在遷移虛擬機的過程中,虛擬機仍然可以對外提供不間斷的網路服務,用戶感覺不到任何影響。
問題八:Hyper-V的動態遷移對存儲設備有什麼要求?
答:Hyper-V的動態遷移要求被遷移的虛擬機要安裝在群集共享卷上,群集共享卷需要ISCSI存儲設備的支持。
實際部署
介紹Windows2012Server 的虛擬桌面技術時曾經提到過,它的VDI可以基於虛擬機進行發布,微軟其實很早就在其系統集成了VPC(虛擬PC) 卻一直沒有引人關注,各方面的表現也差強人意,Hyper-V 在歷經幾次版本升級已經非常給力,不僅在其性能上大有提升,而且在現在又與其原生的桌面虛擬化融合,使我們可以更加靈活組合搭配套用環境,進行各種場景下的桌面交付。
基本安裝
1.在“伺服器管理器”中添加角色,列表中選擇“Hyper-V”
2.選擇搭建虛擬環境網路環境所要指定的映射網卡,關於此項設定以前有安裝調試過VMware Workstation 的朋友一定不會陌生...
3.關於虛擬機遷移時的身份驗證模式的設定,Hyper-V的定位是伺服器虛擬化,虛擬機遷移功能是必備的,在擴容、備份、集群組建時,遷移功能是非常有用的,而且在很多實際場景下我們會物理物理器遷移到虛擬機伺服器中,也有可能要對多台虛擬伺服器進行集群間的遷移,而且這種遷移是需要在工作狀態下保證業務不斷的前提下進行的。Hyper-V 在設計已經具備了相關的功能。
4.檔案存放位置,我們在Hyper-V中所創建的虛擬機都有對套用VHD 檔案(以及其他配置檔案)產生,這些檔案存放在什麼地方需要指定一個默認的路徑。提醒一下為了提高Hyper-V的存儲性能,存放虛擬機檔案所在磁碟組應該要高速的企業級設備上,在條件允許的情況下可以考慮SAS RAD 與 SSD 等;在硬體性能上保障大量並發讀寫時的可靠性。
5.Hyper-V角色功能已經添加完成,在伺服器管理器中展開“Hyper-V管理器”。
創建虛擬機
1.在“操作”選單中打開“新建”、“虛擬機”
2.為這台虛擬機命名、設定記憶體分配的大小、選擇橋接的網卡...創建虛擬機檔案的存放路徑設定...配置光碟機.(可以指定一個ISO 映射為光碟 )
虛擬機系統
1.選中這台機器滑鼠右鍵選單中選擇"連線", 我們將可以直接從視窗中控制這台機器了...
2.展開的視窗中我們可以像平常操作VM 的虛擬機一樣對這台Hyper-V虛擬機進行完全控制。
3.Hyper-V的虛擬機會從之前設定ISO 光碟引導,一步步的完成系統的安裝與配置;
管理虛擬機
Hyper-V 的定位更多偏向於伺服器虛擬化,我們除了系統部署配置外,在正常運行的情況下,一般無需長期直接在這個控制台連線到虛擬機上進行操作,為系統保留更多的資源。只要伺服器配置強勁,我們可以在Hyper-V創建更多的虛擬桌面會話主機或伺服器,用於發布和後台服務,Hyper-V的管理器就如同一台隱形的機櫃,機櫃中放置中一組各式的伺服器,平常沒什麼大問題時都可以利用3389遠程桌面連線來調試伺服器。
安全
安全是當今IT組織最關心的問題之一。以下盤點了15個Hyper-V安全最佳實踐:
在Server Core上安裝Hyper-V角色
作為安全最佳實踐,記住,要在Server Core作業系統上安裝Hyper-V角色,而不是使用完整版本的Windows作業系統。因為Server Coer沒有GUI,因此將攻擊面降到了最低;沒有Hyper-V管理客戶端檔案,減少了檔案攻擊面。在Hyper-V物理伺服器上使用Server Core主要有下面三大安全優勢:
1. 最小化管理作業系統的攻擊面。
2. 減少電腦痕跡。
3. 改善了系統運行時間,因為有更少的組件需要Windows更新。
Hyper-V服務的登錄憑證
千萬不要改變Hyper-V伺服器的默認安全上下文。報警可能會導致Hyper-V停止運行。改變Hyper-V伺服器的上下文還可能允許其他人控制整個hypervisor。
阻止不必要的連線埠
Hyper-V伺服器上的其他角色/服務不需要實現。安裝客戶端/伺服器套用將導致靜態連線埠監聽。時常檢查Hyper-V伺服器上的連線埠監聽,並按需阻止。
Hyper-V默認配置
在生產環境中部署前,一定要檢查Hyper-V的默認配置。默認情況下,Hyper-V將虛擬機檔案存儲在本地驅動器上。
在父分區上使用BitLocker加密
BitLocker是內置在Windows作業系統中的,建議對Hyper-V和虛擬機檔案的存儲卷啟用BitLocker。即使在伺服器關閉後,BitLocker保護仍有效。
即使磁碟被偷,上面的數據仍受保護。BitLocker還能防止攻擊者使用不同的作業系統或運行軟體黑客攻擊來訪問磁碟內容。
注意:只在Hyper-V管理作業系統中使用BitLocker驅動器加密。不要在虛擬機上運行BitLocker驅動器加密。BitLocker驅動器加密是不受虛擬機支持的。
不要使用內置管理員帳戶
不應該使用默認的本地管理員賬戶來管理Hyper-V和虛擬機。相反,創建新的活動目錄組,使用授權管理器管理虛擬機任務。
在Hyper-V伺服器上安裝反病毒軟體
安裝防毒軟體捕獲Hyper-V伺服器上的惡意活動。還必須配置防病毒工具定期接收更新。
安裝最新的集成組件
不要在Hyper-V父分區上安裝套用
千萬不要在Hyper-V伺服器上安裝應用程式。Hyper-V伺服器只用來支持Hyper-V活動。在Hyper-V伺服器上安裝不必要的套用會影響Hyper-V進程,產生安全威脅。
保護Hyper-V和虛擬機檔案
你必須保護Hyper-V和虛擬機檔案。因為虛擬機內容存儲在VHD檔案中,任何訪問該VHD檔案的人都能掛載VHD檔案並訪問其內容。
斷開沒在使用的虛擬機
在部署虛擬機時,避免為其分配非真正的業務功能。如果你安裝了這類虛擬機,並且其他虛擬機共同連到某個Hyper-V虛擬交換機上,你必須將其斷開。任何訪問非功能性虛擬機的人可以通過網路或其他方式對生產環境進行訪問。
啟用Windows防火牆阻止不必要的防火牆規則
在Windows伺服器上啟用Hyper-V角色時,伺服器管理器還將啟用所需的Hyper-V防火牆規則來保護通信安全。你必須確保Hyper-V伺服器上沒有啟用其他的防火牆規則。檢查Hyper-V伺服器上的Windows防火牆,阻止不必要的防火請規則。
保護快照/關卡檔案安全
快照是某個“時間點”的虛擬機狀態。建議將你所創建的所有快照/關卡檔案與其相關的VHD檔案存儲在一個安全的位置。
加強虛擬機作業系統
你必須從基本作業系統映像模板部署虛擬機,這樣你就可以確保所有虛擬機部署的安全基線。你還必須確保在作業系統中安裝了防病毒產品,另外禁用任何不必要的組件。
啟用審計
檔案系統安全可防止對關鍵虛擬機VHD檔案的非法訪問。啟用對象訪問審計可以幫助檢查潛在的危險活動。
認證
微軟官方認證 Hyper-V 諮詢工程師證書
免費學習微軟虛擬學院MVA 課程,即可領取微軟官方認證 Hyper-V 諮詢工程師證書。在活動期間內,學員只要全部完成指定8門課程並通過自測,即可獲得,證書每月評定並頒發一次!
微軟官方認證 Hyper-V 諮詢工程師證書
微軟官方認證 Hyper-V 諮詢工程師證書