實時遷移是Hyper-V管理中的日常操作之一。作為Hyper-V管理員，對Hyper-V部署進行恰當?shù)嘏渲靡源_保為虛擬機實施遷移提供一個安全環(huán)境是十分重要的。

你需要做出的最重要的一個決定就是選擇認證協(xié)議，以確保虛擬機實時遷移的安全性。微軟提供了Kerberos和憑據(jù)安全支持提供程序(CredSSP)兩種選擇。微軟推薦在所有可能的情況下盡量使用Kerberos(使用限制性的授權(quán))。Kerberos比CredSSP更加安全，并且不受CredSSP認證的單跳限制。

因為CredSSP協(xié)議沒有Kerberos安全性高，并且單跳限制會帶來很多邏輯上的挑戰(zhàn)。你可能會想知道為什么微軟仍然將其作為一個選項。

只有當Hyper-V服務(wù)器被加入到域中之后才能進行實施遷移。在大多數(shù)情況下，需要支持實時遷移的Hyper-V服務(wù)器都是通用活動目錄(AD)森林的成員。在這種情況下，你應(yīng)該使用基于Kerberos的認證，Kerberos可以很好的用于通用域、甚至通用AD森林中的服務(wù)器認證。

如果Hyper-V服務(wù)器如果沒有位于一個通用AD森林中，那么將毫無意義。微軟設(shè)計的Windows Server 2012和Windows Server 2012 R2允許按照需求進行實時遷移。比如，你可以將一臺虛擬機從一個單獨Hyper-V服務(wù)器實時遷移到Hyper-V集群上。類似地，你也可以將一臺虛擬機從一個主機集群實時遷移到另外一個集群上。

在這些情況中，Hyper-V服務(wù)器有可能不屬于某個通用森林。比如，你可能需要將一臺虛擬機從開發(fā)環(huán)境森林遷移到生產(chǎn)環(huán)境森林。這種情況下，需要盡可能的使用Kerberos認證。但是，只有在森林間存在信任關(guān)系時Kerberos才能發(fā)揮作用(外部信任不行)。如果不存在森林間的信任關(guān)系，則只能使用CredSSP。

在任何可能的情況下都需要避免使用CredSSP。CredSSP會將憑證傳送到遠程電腦上以完成認證過程。問題是如果這些遠程電腦被挾持，那么這些憑證也會被挾持。根據(jù)微軟的定義，這些憑證可以用來獲取遠程會話的控制權(quán)。

隔離和加強虛擬機實施遷移流量安全

另外一種可以提升實施遷移安全的方式是為實時遷移使用專用網(wǎng)絡(luò)。這樣做可以提供一系列好處。首先，使用專用網(wǎng)絡(luò)可以改善實時遷移的性能 表現(xiàn)，因為實時遷移流量不會和其他類型的網(wǎng)絡(luò)流量形成競爭。其次，實施遷移過程會更加安全，因為實施遷移不會暴露到非專用網(wǎng)段當中。

當你在運行Windows Server 2012或者2012 R2 Hyper-V的服務(wù)器上配置實施遷移時，你可以使用任何的可用網(wǎng)絡(luò)或者任何IP地址進行實施遷移。

如果你選擇使用專用網(wǎng)絡(luò)進行實施遷移，那么網(wǎng)絡(luò)應(yīng)該擁有專用IP地址段。比如，以192.168.1.0/16格式輸入的網(wǎng)絡(luò)。

你能做的另外一件是輸入特定Hyper-V主機的IP地址。當你輸入一個地址后(不論是網(wǎng)絡(luò)地址還是主機地址)，都會賦予Hyper-V權(quán)限從某個特定源地址接受進入的實時遷移流量。顯而易見的是，你不想有人將惡意虛擬機實時遷移到Hyper-V主機上。所以， 你應(yīng)該劃分出信任的Hyper-V服務(wù)器IP地址，來接受它們的實時遷移流量。

如你所見，當為Hyper-V部署虛擬機安全實時遷移時，有許多安全方面的***實踐需要考慮。作為***實踐，你需要盡可能的使用Kerberos認證，但是為了防止Kerberos認證被濫用，還需要使用受限制的授權(quán)。我還推薦為虛擬機實時遷移使用專用網(wǎng)絡(luò)和指明被允許加入實時遷移流程的單獨主機。