到目前為止，我們已經(jīng)在最新版本的微軟Hyper-V方面作了相當(dāng)深入的介紹：網(wǎng)絡(luò)功能方面的巨大變化、可擴(kuò)展性方面的改進(jìn)、NUMA管理、集群補(bǔ)丁以及虛擬機(jī)監(jiān)控。

現(xiàn)在不妨把注意力轉(zhuǎn)移到安全和災(zāi)難恢復(fù)方面的改進(jìn)，尤其是Bitlocker驅(qū)動(dòng)器加密(BDE)和Hyper-V 復(fù)制(HVR)特性。

想確保不法分子沒有控制你的虛擬硬盤格式(VHDX)/虛擬機(jī)文件，第二個(gè)最佳方法就是對(duì)存儲(chǔ)這些文件的驅(qū)動(dòng)器進(jìn)行加密。最佳方法就是為你的數(shù)據(jù)中心采用妥善的物理安全措施。

在隨帶可信平臺(tái)模塊(TPM)芯片的服務(wù)器上使用BDE，以便對(duì)存儲(chǔ)虛擬機(jī)的驅(qū)動(dòng)器進(jìn)行加密，這會(huì)帶來非常小(1%-2%)的性能開銷，同時(shí)讓你吃下定心丸：就算磁盤被人拆下了，也無法讀取里面的數(shù)據(jù)。TPM芯片的管理在Windows 8和Server 2012中已得到了改進(jìn)，因而有助于配置起來順暢得多。不過要留意：你無法在虛擬機(jī)里面使用BDE，只能在存儲(chǔ)VHDX的磁盤上使用BDE。采用集群共享卷(CSV)2.0格式化的共享式存儲(chǔ)區(qū)域網(wǎng)(SAN)卷現(xiàn)在可以用Bitlocker加以保護(hù)。

針對(duì)Hyper-V的其他安全建議與之前版本中仍然一樣：如果你不需要虛擬機(jī)許可，只在主機(jī)上運(yùn)行管理和備份代理軟件，那就使用Server Core(現(xiàn)在容易得多，這歸因于GUI可以安裝，可用來初始配置服務(wù)器，然后予以清除)，或使用Hyper-V服務(wù)器;有一個(gè)單獨(dú)的網(wǎng)卡用于管理，使用管理員隔離機(jī)制，以確保主機(jī)管理員無法訪問虛擬機(jī)，或虛擬機(jī)管理員無法訪問主機(jī);并且考慮為你的網(wǎng)絡(luò)使用IPSec(你的網(wǎng)卡中有相應(yīng)的硬件支持)。微軟自己的內(nèi)部測(cè)試實(shí)驗(yàn)室規(guī)定使用IPSec，因而實(shí)時(shí)遷移(Live Migration)以及Hyper-V的其他特性已接受了這方面的廣泛測(cè)試。

對(duì)Hyper-V管理員來說，大環(huán)境下的帳戶管理有點(diǎn)麻煩，因?yàn)樗麄兂３１仨毷敲恳粋€(gè)主機(jī)上的本地管理員。Windows Server 2012添加了一個(gè)新的本地安全群組：Hyper-V管理員，這讓群組成員可以全面訪問Hyper-V的所有特性，不用為他們授予全面的本地管理員訪問權(quán)。

圖1：配置HVR非常簡(jiǎn)單直觀。

為新特性庫增添的這項(xiàng)特性絕對(duì)讓中小企業(yè)最激動(dòng)人心，因而讓災(zāi)難恢復(fù)功能在中小企業(yè)的預(yù)算范圍之內(nèi)，而之前它們根本無法享用這種功能。

Hyper-V 復(fù)制特性提供了將虛擬機(jī)從一個(gè)主機(jī)異步復(fù)制到另一個(gè)主機(jī)的功能，不需要共享式存儲(chǔ)或任何特殊硬件;復(fù)制關(guān)系的每一端可以是獨(dú)立主機(jī)或集群。主機(jī)不需要在同一個(gè)域里面，它們也不需要加入到域;復(fù)制的虛擬機(jī)可以是得到Hyper-V支持的任何操作系統(tǒng)。復(fù)制操作可以在普通的非對(duì)稱數(shù)字用戶線路(ADSL或)其他低速連接上進(jìn)行，取決于每個(gè)虛擬機(jī)中變化的數(shù)據(jù)量以及你在復(fù)制幾個(gè)虛擬機(jī)。

可能會(huì)采用HVR的場(chǎng)景是分支機(jī)構(gòu)的虛擬機(jī)，它們通過復(fù)制回到總部來加以保護(hù)，以及IT服務(wù)提供商提供保護(hù)虛擬機(jī)這項(xiàng)額外服務(wù)的小公司。

想實(shí)施HVR，你需要確定主要主機(jī)和復(fù)制主機(jī)是不是在同一個(gè)網(wǎng)絡(luò)/域，或者確定防火墻是不是把兩者隔離開來。就同一域或可信域主機(jī)而言，你可以使用Kerberos驗(yàn)證技術(shù)，這項(xiàng)技術(shù)任由復(fù)制流量處于未加密狀態(tài)。至于其他的所有場(chǎng)景，你需要實(shí)施驗(yàn)證證書和流量加密。你可以將某些VHD/VHDX文件排除在復(fù)制對(duì)象之外，還可以選擇是否想要額外的復(fù)制點(diǎn)。默認(rèn)情況下，僅僅保留虛擬機(jī)的“最新”拷貝，你可以選擇保留額外的每小時(shí)恢復(fù)點(diǎn)，讓你可以在一段時(shí)間以后恢復(fù)虛擬機(jī)(比如在感染了惡意軟件之后)。復(fù)制時(shí)滯在5分鐘到15分鐘之間，具體取決于每次復(fù)制操作所需要的時(shí)間。

圖2：配置需要保存的額外復(fù)制點(diǎn)為你提供了一些靈活性，能夠在一段時(shí)間以后將虛擬機(jī)靈活地“恢復(fù)”到之前的點(diǎn)。

要注意：HVR是從一個(gè)主機(jī)到另一個(gè)主機(jī)的單一復(fù)制關(guān)系，你無法為了同一個(gè)虛擬機(jī)而把多個(gè)主機(jī)串聯(lián)起來，不過某個(gè)主機(jī)對(duì)不同的虛擬機(jī)來說既可以是主要主機(jī)，又可以是復(fù)制主機(jī);根據(jù)你的環(huán)境需要，不同的虛擬機(jī)可以從一個(gè)主機(jī)復(fù)制到不同的主機(jī)。

要是任何一端將是Hyper-V集群的一部分，需要為該集群?jiǎn)⒂肏yper-V Replica Broker角色。如果你運(yùn)行帶事務(wù)日志的應(yīng)用程序，還可以選擇啟用應(yīng)用程序一致恢復(fù)點(diǎn)，這會(huì)在復(fù)制操作之前利用卷影復(fù)制服務(wù)(VSS)，讓應(yīng)用程序暫時(shí)靜止，從而確保復(fù)制虛擬機(jī)里面的應(yīng)用程序會(huì)成功地開始運(yùn)行。

要是有足夠的帶寬可以使用，初始復(fù)制就會(huì)在網(wǎng)絡(luò)上進(jìn)行，或立即進(jìn)行，或以后在指定的時(shí)間進(jìn)行，你還可以備份到外部介質(zhì)上，然后轉(zhuǎn)移到復(fù)制站點(diǎn)。如果你在復(fù)制站點(diǎn)已經(jīng)有了虛擬機(jī)的備份副本，還可以將它指定為初始配置的起始點(diǎn)。

HVR包括了必要的Windows防火墻例外規(guī)則，但是你需要手動(dòng)啟用它們。在我自己測(cè)試安裝HVR的過程中，這是個(gè)異常簡(jiǎn)單的過程;需要小心處理的部分就是在每一端設(shè)置X.509v3證書，但那是由于我在使用自簽名證書。在使用第三方證書的生產(chǎn)環(huán)境中，整個(gè)過程(初始復(fù)制除外)用不了10分鐘就能搞定。

一旦初始復(fù)制完成，你要做的第一步就是，在復(fù)制主機(jī)上進(jìn)行Test Failover(測(cè)試故障切換)，這將啟動(dòng)虛擬機(jī)(“–Test”將添加到其名稱中)，確保應(yīng)用程序和服務(wù)正常運(yùn)行。

如果你得到了充分的預(yù)警：某個(gè)站點(diǎn)即將受到影響，可以在首次關(guān)閉虛擬機(jī)后執(zhí)行Planned Failover(計(jì)劃故障切換)，這將完成所有的復(fù)制，那樣沒有數(shù)據(jù)丟失。如果另一方面站點(diǎn)突然遇到了不測(cè)，你就得在復(fù)制服務(wù)器上執(zhí)行故障切換，要是災(zāi)難發(fā)生之前一些變化的數(shù)據(jù)沒有復(fù)制過去，數(shù)據(jù)就有可能丟失。另外，要是有Reverse Replication(逆向復(fù)制)，你還可以啟用這項(xiàng)特性，將虛擬機(jī)逆向復(fù)制到原始主機(jī)上。

圖3：配置好了另外的TCP/IP設(shè)置，等到虛擬機(jī)在復(fù)制站點(diǎn)開始運(yùn)行，HVR會(huì)自動(dòng)把這些IP地址注入到虛擬機(jī)。

HVR讓你可以為虛擬機(jī)配置不同的IP地址，以便在主要主機(jī)和復(fù)制主機(jī)上使用，但是沒有更改DNS記錄的內(nèi)置機(jī)制，這項(xiàng)操作必須手動(dòng)執(zhí)行。要留意：雖然復(fù)制主機(jī)上的虛擬機(jī)并未運(yùn)行，因而并不耗用處理器和網(wǎng)絡(luò)資源，但是如果你有許多虛擬機(jī)，就需要相應(yīng)調(diào)整存儲(chǔ)空間的大小，因?yàn)樗鼈兊腣HD(X)文件幾乎持續(xù)不斷地被寫入到存儲(chǔ)空間。

雖然HVR的這樣一些局限性對(duì)企業(yè)級(jí)環(huán)境來說是個(gè)重大障礙，但HVR提供了安裝簡(jiǎn)單、易于管理的優(yōu)點(diǎn)，因而使得它對(duì)中小企業(yè)來說再理想不過了。

原文來自：http://virtualizationreview.com/articles/2013/04/15/hyper-v-dive-6-security-dr.aspx