微軟在新的Hyper-V中一直在著重提出其在安全性方面的優(yōu)勢，而微軟或許也希望通過對(duì)安全性的闡述來帶出兩點(diǎn)：

1、微軟的Hyper-V是與眾不同的；

2、Hyper-V的微架構(gòu)相比其它“第三方的解決方案”是有特殊的安全性優(yōu)勢的。

確實(shí)，由于Hyper-V在微內(nèi)核上的優(yōu)勢：微內(nèi)核管理程序包含了盡可能少的代碼，在Hyper-V的管理程序中，你既看不到設(shè)備驅(qū)動(dòng)程序（驅(qū)動(dòng)程序是跑在每一個(gè)獨(dú)立的分區(qū)中，而虛擬機(jī)OS雖然在相互獨(dú)立的單獨(dú)分區(qū)內(nèi)但是卻能夠很好的通過Hypervisor直接訪問硬件），同時(shí)，Hyper-V也少見第三方代碼，因此，微軟成功的將Hyper-V的安全隱患降到了最低。

但這只是Hyper-V的安全性話題的其中一部分，微軟在保護(hù)Hyper-V上所投入的力量顯然是更為巨大的，且安全性，尤其是在與Windows Server緊密結(jié)合之后的安全性，正成為微軟與VMware、Xen Source這些第三方解決方案抗衡的重要砝碼。

微軟的Hyper-V的虛擬化前身來自于Virtual Server，這是一個(gè)建立在Ring0內(nèi)核模式和Ring3用戶模式下的傳統(tǒng)模式，宿主機(jī)的Windows和驅(qū)動(dòng)程序及VS底層驅(qū)動(dòng)都是在Ring0下，Virtual Server則是在Windows Server上的，通過IIS來進(jìn)行管理，與內(nèi)核進(jìn)行通信，但反觀虛擬機(jī)，其Virtual Server則運(yùn)行于一個(gè)高于WIndows的Ring1虛擬內(nèi)核模式上，特權(quán)低于Ring0，但是高于Ring3——問題在于很多特權(quán)指令很可能不能夠在Ring1上得到完善的支持，當(dāng)然，我記得微軟好像也有一種什么二進(jìn)制指令翻譯的技術(shù)進(jìn)行處理，但是這畢竟不是一個(gè)最“根本”的解決途徑。

在Hyper-V中，不再有宿主機(jī)和虛擬機(jī)之分，微軟帶來的新概念是：父分區(qū)和子分區(qū)，通過在硬件底層安裝Hypervisor，然后就在虛擬機(jī)上劃分多個(gè)分區(qū)，父分區(qū)和子分區(qū)雖然看起來可以對(duì)應(yīng)之前的宿主機(jī)和虛擬機(jī)，但是其地位已經(jīng)基本平等，他們的內(nèi)核都是運(yùn)行在Ring0上，應(yīng)用程序則運(yùn)行在Ring3用戶模式上，與VS最大的不同是，虛擬機(jī)的內(nèi)核不再運(yùn)行在Ring1之中，Hypervisor運(yùn)行的則更為底級(jí)，大致是運(yùn)行在CPU上的一個(gè)什么層上，微軟的命名也很有意思，叫Ring-1，從圖中我們看到，微軟虛擬化的功能和結(jié)構(gòu)已經(jīng)大大的復(fù)雜化和體系化（見下圖）。

好，現(xiàn)在我們已經(jīng)對(duì)Hyper-V的架構(gòu)有了一定的了解——從第三方的結(jié)構(gòu)上來看，Hypervisor有兩點(diǎn)安全性值得我們注意：第一，其不能滿足深度防御體系——這一點(diǎn)當(dāng)然是微軟一致推崇的；第二，Hypervisor直接運(yùn)行在硬件上，導(dǎo)致了特權(quán)的最大化，其風(fēng)險(xiǎn)可想而知，因此，Hyper-V既然是基于Hypervisor技術(shù)的，也就面臨了同樣的問題。

微軟的解決辦法是：在Hyper-V中只做內(nèi)存管理和CPU調(diào)度，其他的設(shè)備則通過關(guān)鍵的VMbus——這是一種穿越機(jī)制，通過VMbus進(jìn)入Ring0進(jìn)行轉(zhuǎn)接，從而構(gòu)建了一個(gè)微軟Hyper-V的三層架構(gòu)（當(dāng)然，就是那個(gè)深度防御體系）：調(diào)度CPU管理內(nèi)存的Hypervisor層、存儲(chǔ)/網(wǎng)絡(luò)堆棧和驅(qū)動(dòng)運(yùn)行的Ring0層以及Ring3層之中的虛擬設(shè)備/管理用API/虛擬機(jī)（見下圖）。

不知道有沒有人注意到：VMbus是其中的一個(gè)安全性的核心，他負(fù)責(zé)了那些可能會(huì)出現(xiàn)問題的命令和代碼的執(zhí)行——基于VMbus的高速內(nèi)存總線架構(gòu)是其安全性實(shí)現(xiàn)超越主要貢獻(xiàn)者，每臺(tái)虛擬機(jī)之間隔離的VMbus調(diào)用保證了每個(gè)分區(qū)，每個(gè)虛擬機(jī)之間完全的隔離開（或許我們可以說是“類物理機(jī)”？）

除此以外，我們還會(huì)看到，正如我在文章開頭所說，Hyper-V底層的Hypervisor代碼量很小，不帶有第三方驅(qū)動(dòng)，僅僅是負(fù)責(zé)兩件事情的非常精簡的架構(gòu)下——而且還是純粹的微軟的代碼（微軟自己聲稱不包含任何的bug），安全性能夠得到大大提升——只做最核心的，不做那些可能會(huì)出問題的，Hypervisor會(huì)出問題才怪？！

當(dāng)然，這并不是全部的內(nèi)容，微軟的工程師曾經(jīng)提到過有關(guān)Hpyer-V安全加固部分：首先，Hypervisor擁有自己的地址空間，與Guest的地址空間隔離；其次，Hypervisor可以運(yùn)行在Windows Server 2008上的Server Core上，這是僅僅支持命令行接口的一個(gè)最精簡的Windows Server，一個(gè)沒有GUI Shell但是可以運(yùn)行GUI程序的詭異系統(tǒng)。

利用Server Core安裝Hyper-V，好處很明顯：GUI Shell去掉后，性能更好，而代碼量最小之后，系統(tǒng)需要補(bǔ)丁的幾率也就越小——我覺得這點(diǎn)最關(guān)鍵，誰都知道，微軟的Windows絕對(duì)是補(bǔ)丁大王。

補(bǔ)：需要說明的是，子分區(qū)目前仍然要通過父分區(qū)來訪問硬件資源，當(dāng)子分區(qū)內(nèi)的操作系統(tǒng)需要訪問硬件的時(shí)候，由子分區(qū)內(nèi)的VSC(Virtualization Service Client)通過VMBUS將request發(fā)給父分區(qū)里面的VSP(Virtualization Service Provider)，然后由VSP去提供實(shí)際的硬件服務(wù)。通過這種方式來使用硬件，相對(duì)于使用硬件模擬的方法，其訪問性能有了大幅度的提高。