服务器 频道

Hyper-V 3.0评测:安全性与灾难恢复

        【IT168 评论】在之前的文章中,我们已经了解了微软Hyper-V最新版本的一系列相关内容,其中包括联网功能、扩展性增强、NUMA管理、集群补丁安装以及虚拟机监控等方面的巨大变化。现在让我们将目光转向安全性与灾难恢复方面的改善,特别是Bitlocker Drive Encryption(简称BDE)与Hyper-V Replica。

  要确保攻击者邪恶的魔爪远离我们的VHDX/VM文件,为其存储驱动器配备加密机制可以说是安全性位居第二的理想方案——顺带一提,位列第一的方案是保障数据中心的物理安全。

  在配备可信平台模块(简称TPM)芯片的服务器上利用BDE对保存虚拟机信息的驱动器进行加密只会带来非常低的性能损失幅度(1%到2%),但却能为我们带来高枕无忧的安全保障——即使是被替换掉,其中的内容也将无法读取。TPM芯片管理在Windows 8与Server 2012中都得到了加强,其配置也变得更为顺畅。请注意,我们无法在虚拟机环境中使用BDE,而只能将其用在保存有虚拟机VHDX文件的驱动器上。利用集群共享分卷(简称CSV)2.0格式化的共享SAN分卷现在也能受到Bitlocker的保护。

  Hyper-V的其它安全建议仍然与早期版本相同:使用Server Core(由于提供了GUI安装选项,我们现在可以轻松完成服务器的初始配置,然后再将其移除)或者在不需要虚拟机许可的情况下使用Hyper-V服务器,并只在主机端运行管理及备份代理;为管理设定单独的网卡,利用管理员隔离制度确保主管管理员无法访问虚拟机、反之亦然;考虑在网络中使用IPSec(搭配与网卡相兼容的合适硬件)。微软公司自家的内部测试实验室为IPSec的使用提供了授权,因此Live Migration及其它一些Hyper-V功能都被证明能与其进行良好协作。

  在大型环境下的账户管理对于Hyper-V管理员可言确实有点麻烦,因为他们往往不得不在每台单独的主机上扮演本地管理员角色。Windows Server 2012添加了一个新的本地安全组,即Hyper-V管理员,允许组成员在不具备本地管理员全部访问权限的前提下使用所有Hyper-V功能。

Hyper-V 3.0评测(一)
Hyper-V Replica(简称HVR)配置非常简单

  除了一大堆新特性之外,接下来要说的只能是最令中小企业用户兴奋的附加改进了。DR功能第一次能够以低成本姿态为我们所用,这在过去是完全无法想象的。

  Hyper-V Replica为用户提供在不同主机之间进行异步虚拟机复制的能力,我们不需要共享任何存储资源或任何特殊硬件,而且复制关系的两端既可以是独立主机、也可以是集群整体。两端主机不需要处于同一域中,甚至不需要是域的组成部分;而作为复制对象的虚拟机可采用任何受到Hyper-V支持的操作系统。复制工作可以通过常见的ADSL链路或者其它速度较慢的连接方式进行,这取决于各虚拟机之间存在的数据差异程度与我们打算复制的虚拟机数量。

  常见的HVR适用对象包括根据总部信息状态进行数据调整的分支公司虚拟机、IT服务供应商为其虚拟机提供额外服务的小型企业等等。

0
相关文章