到目前為止，我們已經(jīng)在***版本的微軟Hyper-V方面作了相當深入的介紹：網(wǎng)絡(luò)功能方面的巨大變化、可擴展性方面的改進、NUMA管理、集群補丁以及虛擬機監(jiān)控。

　　現(xiàn)在不妨把注意力轉(zhuǎn)移到安全和災難恢復方面的改進，尤其是Bitlocker驅(qū)動器加密(BDE)和Hyper-V 復制(HVR)特性。

　　想確保不法分子沒有控制你的虛擬硬盤格式(VHDX)/虛擬機文件，第二個***方法就是對存儲這些文件的驅(qū)動器進行加密。***方法就是為你的數(shù)據(jù)中心采用妥善的物理安全措施。

　　在隨帶可信平臺模塊(TPM)芯片的服務(wù)器上使用BDE，以便對存儲虛擬機的驅(qū)動器進行加密，這會帶來非常小(1%-2%)的性能開銷，同時讓你吃下定心丸：就算磁盤被人拆下了，也無法讀取里面的數(shù)據(jù)。TPM芯片的管理在Windows 8和Server 2012中已得到了改進，因而有助于配置起來順暢得多。不過要留意：你無法在虛擬機里面使用BDE，只能在存儲VHDX的磁盤上使用BDE。采用集群共享卷(CSV)2.0格式化的共享式存儲區(qū)域網(wǎng)(SAN)卷現(xiàn)在可以用Bitlocker加以保護。

　　針對Hyper-V的其他安全建議與之前版本中仍然一樣：如果你不需要虛擬機許可，只在主機上運行管理和備份代理軟件，那就使用Server Core(現(xiàn)在容易得多，這歸因于GUI可以安裝，可用來初始配置服務(wù)器，然后予以清除)，或使用Hyper-V服務(wù)器;有一個單獨的網(wǎng)卡用于管理，使用管理員隔離機制，以確保主機管理員無法訪問虛擬機，或虛擬機管理員無法訪問主機;并且考慮為你的網(wǎng)絡(luò)使用IPSec(你的網(wǎng)卡中有相應的硬件支持)。微軟自己的內(nèi)部測試實驗室規(guī)定使用IPSec，因而實時遷移(Live Migration)以及Hyper-V的其他特性已接受了這方面的廣泛測試。

　　對Hyper-V管理員來說，大環(huán)境下的帳戶管理有點麻煩，因為他們常常必須是每一個主機上的本地管理員。Windows Server 2012添加了一個新的本地安全群組：Hyper-V管理員，這讓群組成員可以全面訪問Hyper-V的所有特性，不用為他們授予全面的本地管理員訪問權(quán)。

　　圖1：配置HVR非常簡單直觀。

　　為新特性庫增添的這項特性絕對讓中小企業(yè)最激動人心，因而讓災難恢復功能在中小企業(yè)的預算范圍之內(nèi)，而之前它們根本無法享用這種功能。#p#

　　Hyper-V 復制特性提供了將虛擬機從一個主機異步復制到另一個主機的功能，不需要共享式存儲或任何特殊硬件;復制關(guān)系的每一端可以是獨立主機或集群。主機不需要在同一個域里面，它們也不需要加入到域;復制的虛擬機可以是得到Hyper-V支持的任何操作系統(tǒng)。復制操作可以在普通的非對稱數(shù)字用戶線路(ADSL或)其他低速連接上進行，取決于每個虛擬機中變化的數(shù)據(jù)量以及你在復制幾個虛擬機。

　　可能會采用HVR的場景是分支機構(gòu)的虛擬機，它們通過復制回到總部來加以保護，以及IT服務(wù)提供商提供保護虛擬機這項額外服務(wù)的小公司。

　　想實施HVR，你需要確定主要主機和復制主機是不是在同一個網(wǎng)絡(luò)/域，或者確定防火墻是不是把兩者隔離開來。就同一域或可信域主機而言，你可以使用Kerberos驗證技術(shù)，這項技術(shù)任由復制流量處于未加密狀態(tài)。至于其他的所有場景，你需要實施驗證證書和流量加密。你可以將某些VHD/VHDX文件排除在復制對象之外，還可以選擇是否想要額外的復制點。默認情況下，僅僅保留虛擬機的“***”拷貝，你可以選擇保留額外的每小時恢復點，讓你可以在一段時間以后恢復虛擬機(比如在感染了惡意軟件之后)。復制時滯在5分鐘到15分鐘之間，具體取決于每次復制操作所需要的時間。

　　圖2：配置需要保存的額外復制點為你提供了一些靈活性，能夠在一段時間以后將虛擬機靈活地“恢復”到之前的點。

　　要注意：HVR是從一個主機到另一個主機的單一復制關(guān)系，你無法為了同一個虛擬機而把多個主機串聯(lián)起來，不過某個主機對不同的虛擬機來說既可以是主要主機，又可以是復制主機;根據(jù)你的環(huán)境需要，不同的虛擬機可以從一個主機復制到不同的主機。

　　要是任何一端將是Hyper-V集群的一部分，需要為該集群啟用Hyper-V Replica Broker角色。如果你運行帶事務(wù)日志的應用程序，還可以選擇啟用應用程序一致恢復點，這會在復制操作之前利用卷影復制服務(wù)(VSS)，讓應用程序暫時靜止，從而確保復制虛擬機里面的應用程序會成功地開始運行。

　　要是有足夠的帶寬可以使用，初始復制就會在網(wǎng)絡(luò)上進行，或立即進行，或以后在指定的時間進行，你還可以備份到外部介質(zhì)上，然后轉(zhuǎn)移到復制站點。如果你在復制站點已經(jīng)有了虛擬機的備份副本，還可以將它指定為初始配置的起始點。#p#

　　HVR包括了必要的Windows防火墻例外規(guī)則，但是你需要手動啟用它們。在我自己測試安裝HVR的過程中，這是個異常簡單的過程;需要小心處理的部分就是在每一端設(shè)置X.509v3證書，但那是由于我在使用自簽名證書。在使用第三方證書的生產(chǎn)環(huán)境中，整個過程(初始復制除外)用不了10分鐘就能搞定。

　　一旦初始復制完成，你要做的***步就是，在復制主機上進行Test Failover(測試故障切換)，這將啟動虛擬機(“–Test”將添加到其名稱中)，確保應用程序和服務(wù)正常運行。

　　如果你得到了充分的預警：某個站點即將受到影響，可以在***關(guān)閉虛擬機后執(zhí)行Planned Failover(計劃故障切換)，這將完成所有的復制，那樣沒有數(shù)據(jù)丟失。如果另一方面站點突然遇到了不測，你就得在復制服務(wù)器上執(zhí)行故障切換，要是災難發(fā)生之前一些變化的數(shù)據(jù)沒有復制過去，數(shù)據(jù)就有可能丟失。另外，要是有Reverse Replication(逆向復制)，你還可以啟用這項特性，將虛擬機逆向復制到原始主機上。

　　圖3：配置好了另外的TCP/IP設(shè)置，等到虛擬機在復制站點開始運行，HVR會自動把這些IP地址注入到虛擬機。

　　HVR讓你可以為虛擬機配置不同的IP地址，以便在主要主機和復制主機上使用，但是沒有更改DNS記錄的內(nèi)置機制，這項操作必須手動執(zhí)行。要留意：雖然復制主機上的虛擬機并未運行，因而并不耗用處理器和網(wǎng)絡(luò)資源，但是如果你有許多虛擬機，就需要相應調(diào)整存儲空間的大小，因為它們的VHD(X)文件幾乎持續(xù)不斷地被寫入到存儲空間。

　　雖然HVR的這樣一些局限性對企業(yè)級環(huán)境來說是個重大障礙，但HVR提供了安裝簡單、易于管理的優(yōu)點，因而使得它對中小企業(yè)來說再理想不過了。

　　原文來自：http://virtualizationreview.com/articles/2013/04/15/hyper-v-dive-6-security-dr.aspx