Windows Server 2016 Hyper-V: ปลอดภัยกว่า แต่ไม่เร็วกว่า

ด้วย Windows Server 2016 Microsoft ได้แนะนำรายการการปรับปรุง Hyper-V ที่มีความยาว นอกเหนือจากการใช้งานเพิ่มเติมเช่นการรองรับคอนเทนเนอร์การจำลองเสมือนแบบซ้อนและหน่วยความจำที่เพิ่มขึ้นและขีด จำกัด ของ vCPU แล้วคุณจะพบคุณสมบัติใหม่ ๆ มากมายรวมถึงจุดตรวจระดับการผลิตและความสามารถในการเพิ่มหน่วยความจำและอะแดปเตอร์เครือข่ายที่เพิ่มความสะดวกในการดูแลระบบ

แต่เป้าหมายหลักของ Microsoft ในการเปิดตัว Hyper-V ปี 2016 ดูเหมือนจะเป็นการปรับปรุงความปลอดภัย ในความเป็นจริงฉันอยากจะบอกว่าคุณลักษณะนักฆ่าใหม่ของ Hyper-V คือ VM ที่ได้รับการป้องกันซึ่งทำงานร่วมกับการเข้ารหัส BitLocker และบริการผู้พิทักษ์เพื่อให้แน่ใจว่าเครื่องเสมือนทำงานบนโฮสต์ที่ได้รับอนุญาตเท่านั้น

หากคุณลักษณะ Hyper-V 2016 อย่างใดอย่างหนึ่งจะผลักดันให้ฉันอัปเกรดคุณลักษณะนี้จะเป็นคุณลักษณะ VM ที่มีการป้องกัน แต่ความสามารถในการจัดสรรหน่วยความจำเพิ่มเติมให้กับ VMs เจนเนอเรชั่น 2 และความสามารถในการเพิ่มหน่วยความจำและอะแดปเตอร์เครือข่ายให้กับโฮสต์เวอร์ชวลไลเซชั่นก็เป็นเรื่องใหญ่เช่นกัน

Hyper-V 2016 พื้นที่หนึ่งอาจไม่ปรับปรุงคือประสิทธิภาพของ VM ในความเป็นจริงการทดสอบเกณฑ์มาตรฐาน Sandra ของฉันเกี่ยวกับเครื่องเสมือน Windows Server 2012 R2 บน Hyper-V 2012 R2 เทียบกับ Hyper-V 2016 แสดงให้เห็นถึงการถอยหลัง ฉันจะไม่เรียกผลลัพธ์เหล่านี้ว่าสรุปด้วยวิธีการใด ๆ แต่โปรดจำไว้ว่าเมื่อคุณเริ่มประเมิน Windows Server 2016 Hyper-V สำหรับปริมาณงานของคุณเอง

กระบวนการตั้งค่า Hyper-V

สำหรับวัตถุประสงค์ของการตรวจสอบนี้ฉันได้อัปเกรดเซิร์ฟเวอร์ Windows Server 2012 R2 ของที่มีอยู่เป็น Windows Server 2016 โดยส่วนใหญ่กระบวนการอัปเกรดเกือบจะเหมือนกับการติดตั้ง Windows Server 2012 R2 ความแตกต่างคือตัวช่วยสร้างการตั้งค่าจะแสดงข้อความเตือนที่แจ้งให้คุณทราบว่าไม่แนะนำให้อัปเกรด Windows Server และคุณควรทำการติดตั้งใหม่ทั้งหมด วิซาร์ดการตั้งค่าจะไม่หยุดคุณจากการอัปเกรดแบบแทนที่คุณต้องคลิกที่ปุ่มยืนยันเพื่อรับทราบข้อความเตือน

ฉันก้าวไปข้างหน้าด้วยกระบวนการอัปเกรด (แม้ว่าฉันจะทำการติดตั้งใหม่ทั้งหมดแล้วก็ตาม) เพราะฉันต้องการดูว่าจะเกิดอะไรขึ้น นอกจากนี้เซิร์ฟเวอร์ที่ฉันอัปเกรดกำลังเรียกใช้การติดตั้ง Windows Server 2012 R2 ทั้งหมด ฉันได้ติดตั้งบทบาท Hyper-V และสร้างเครื่องเสมือน แต่ฉันไม่ได้ติดตั้งซอฟต์แวร์เพิ่มเติมใด ๆ (นอกเหนือจากแพตช์ของ Microsoft) หรือเปิดใช้งานการตั้งค่าการกำหนดค่าที่ผิดปกติ

กระบวนการอัปเกรด Windows Server เป็นไปอย่างราบรื่น การตั้งค่าระบบปฏิบัติการที่มีอยู่ทั้งหมดของฉันถูกเก็บรักษาไว้และเครื่องเสมือนของฉันยังคงทำงานได้หลังจากการอัปเกรด นอกจากนี้ Hyper-V Manager ยังรู้สึกคุ้นเคยอย่างสมบูรณ์ แม้ว่า Microsoft จะเปิดตัวคุณลักษณะ Hyper-V ใหม่ ๆ ใน Windows Server 2016 แต่ Hyper-V Manager มีการเปลี่ยนแปลงน้อยมาก ผู้ดูแลระบบที่มีประสบการณ์ Hyper-V มาก่อนจะต้องรู้สึกสบายใจเหมือนอยู่บ้านเมื่อใช้เวอร์ชันใหม่

การอัพเกรดคลัสเตอร์แบบโรลลิ่ง Hyper-V

แม้ว่าในตอนแรกฉันจะทำการอัปเกรดโฮสต์ Hyper-V ตัวเดียวแทน แต่ Microsoft ยังสนับสนุนการอัปเกรดแบบต่อเนื่องของการปรับใช้ Hyper-V แบบคลัสเตอร์ ซึ่งหมายความว่าสามารถเพิ่มเซิร์ฟเวอร์ที่ใช้ Windows Server 2016 Hyper-V ลงในคลัสเตอร์ Windows Server 2012 R2 Hyper-V ที่มีอยู่และเลียนแบบโฮสต์ Windows Server 2012 R2 Hyper-V เป็นหลักซึ่งจะช่วยให้สามารถมีส่วนร่วมในคลัสเตอร์ได้อย่างเต็มที่ เครื่องเสมือน Windows Server 2012 R2 Hyper-V สามารถถ่ายทอดสดไปยังโหนด Windows Server 2016 Hyper-V ได้ดังนั้นจึงทำให้สามารถอัปเกรดระบบปฏิบัติการคลัสเตอร์ได้โดยไม่ต้องใช้เครื่องเสมือนออฟไลน์

ในกระบวนการเขียนบทวิจารณ์นี้ฉันได้ปรับใช้คลัสเตอร์สามโหนดของเซิร์ฟเวอร์ Windows Server 2012 Hyper-V จากนั้นเพิ่มโหนด Windows Server 2016 Hyper-V ฉันสามารถรวมโหนดเข้ากับคลัสเตอร์ได้สำเร็จและถ่ายทอดสด VMs ไปมาระหว่าง Hyper-V สองเวอร์ชันที่แตกต่างกัน กล่าวโดยย่อคือกระบวนการอัปเกรดคลัสเตอร์แบบกลิ้งทำงานได้อย่างไม่มีที่ติ

ฉันอัปเกรดคลัสเตอร์เสร็จในช่วงบ่าย แต่ Microsoft อนุญาตให้มีการอยู่ร่วมกันในระยะยาวระหว่างเวอร์ชัน Hyper-V ภายในคลัสเตอร์ การอยู่ร่วมกันในระยะยาวจะง่ายขึ้นอย่างแน่นอนเมื่อ Microsoft ได้ปรับปรุง Hyper-V Manager ใหม่ดังนั้นจึงสามารถใช้งานได้พร้อมกันกับ Hyper-V หลายเวอร์ชัน จาก Hyper-V Manager ใน Windows Server 2016 คุณสามารถจัดการ Hyper-V บน Windows Server 2012 และ Windows Server 2012 R2 ได้เช่นกัน

ข้อเสียอย่างหนึ่งของ Hyper-V Manager ใหม่: เนื่องจาก Microsoft กำลังส่งมอบการอัปเดตให้กับ Hyper-V Integration Services ผ่านกระบวนการจัดการแพตช์ปกติตัวเลือกในการปรับใช้บริการรวมจึงดูเหมือนจะถูกลบออกไป การติดตั้งบริการรวมผ่าน Windows Update ดูเหมือนความคืบหน้า แต่จะไม่เจ็บที่จะมีวิธีการเดิมเป็นทางเลือก

โปรดทราบว่าเมื่อโหนดคลัสเตอร์ทั้งหมดของคุณใช้ Windows Server 2016 Hyper-V และคุณได้อัปเดตระดับการทำงานของคลัสเตอร์แล้ว (การดำเนินการด้านการดูแลระบบโดยเจตนาที่คุณดำเนินการผ่าน PowerShell) คุณจะสูญเสียความสามารถในการเพิ่มโหนด Windows Server 2012 R2 ของ คลัสเตอร์ หลังจากที่คุณอัปเดตระดับการทำงานของคลัสเตอร์แล้วจะไม่มีการย้อนกลับ

เครื่องเสมือนที่มีการป้องกัน

ในขณะที่มีการทำงานมากมายในช่วงหลายปีที่ผ่านมาเพื่อปกป้อง VM จากภัยคุกคามภายนอกเครื่องเสมือน (รวมถึงแพลตฟอร์มที่แข่งขันกันเช่น VMware, Xen และ KVM) ยังคงเสี่ยงต่อการถูกบุกรุกโดยผู้ดูแลระบบที่โกง ไม่มีอะไรหยุดผู้ดูแลระบบจากการคัดลอก VM ทั้งหมดไปยังแฟลชไดรฟ์ USB และเดินออกจากประตูไปพร้อมกับมัน แน่นอนว่าก่อนหน้านี้สามารถเข้ารหัสฮาร์ดดิสก์เสมือนได้ แต่ผู้ดูแลระบบที่ได้รับอนุญาตสามารถยกเลิกการเข้ารหัสระดับ VM ได้อย่างง่ายดาย

ใน Windows Server 2016 Hyper-V คุณลักษณะ VM ที่มีการป้องกันจะเข้ารหัสดิสก์และสถานะของเครื่องเสมือนในลักษณะที่ป้องกันไม่ให้บุคคลอื่นที่ไม่ใช่ VM หรือผู้ดูแลระบบผู้เช่าบูต VM หรือเข้าถึงเนื้อหา คุณลักษณะนี้ทำงานโดยใช้ประโยชน์จากคุณลักษณะ Windows Server ใหม่ที่เรียกว่า Host Guardian Service ซึ่งเป็นกุญแจสำคัญในการเข้ารหัสและถอดรหัส VM ที่มีการป้องกัน

Host Guardian Service จะตรวจสอบว่าโฮสต์ Hyper-V ได้รับอนุญาตหรือ“ รับรอง” ให้เรียกใช้เครื่องเสมือนหรือไม่ ถูกต้องผู้ดูแลระบบสามารถ จำกัด VM ที่มีการป้องกันได้ดังนั้นพวกเขาจะทำงานบนโฮสต์เฉพาะที่ผ่านการทดสอบการรับรองเท่านั้น ซึ่งหมายความว่าหากผู้ดูแลระบบโกงคัดลอก VM ที่มีการป้องกันไปยังแฟลชไดรฟ์สำเนา VM จะไม่มีประโยชน์สำหรับผู้ดูแลระบบ VM จะไม่สามารถเรียกใช้ภายนอกองค์กรได้และเนื้อหาของมันจะไม่สามารถเข้าถึงได้เนื่องจากคีย์ที่จำเป็นในการถอดรหัส VM ได้รับการปกป้องโดย Host Guardian Service

บริการ Host Guardian รองรับโหมดการยืนยันสองโหมดที่แตกต่างกันเรียกว่าการรับรองที่เชื่อถือได้ของผู้ดูแลระบบและการรับรองที่เชื่อถือได้ของ TPM การรับรองที่เชื่อถือได้ของผู้ดูแลระบบเป็นโหมดทั้งสองที่ง่ายกว่าในการปรับใช้ แต่ไม่ปลอดภัยเกือบเท่ากับการรับรองที่เชื่อถือได้ของ TPM โฮสต์ที่เชื่อถือได้ของผู้ดูแลระบบจะขึ้นอยู่กับการเป็นสมาชิกกลุ่มความปลอดภัย Active Directory ในขณะที่โฮสต์ที่เชื่อถือได้ของ TPM จะขึ้นอยู่กับข้อมูลประจำตัวของ TPM และแม้แต่การตรวจสอบความสมบูรณ์ของการบูตและรหัส

นอกเหนือจากกระบวนการกำหนดค่าที่ซับซ้อนมากขึ้นการยืนยันที่เชื่อถือได้ของ TPM ยังมีข้อกำหนดฮาร์ดแวร์บางประการ โฮสต์ที่ได้รับการป้องกันต้องรองรับ TPM 2.0 และ UEFI 2.3.1 หรือสูงกว่า ในทางตรงกันข้ามการรับรองที่เชื่อถือได้ของผู้ดูแลระบบไม่มีข้อกำหนดฮาร์ดแวร์ที่สำคัญนอกเหนือจากที่จำเป็นสำหรับการใช้งาน Hyper-V

แม้ว่าความครอบคลุมของสื่อส่วนใหญ่เกี่ยวกับการรักษาความปลอดภัย Hyper-V 2016 จะมุ่งเน้นไปที่ VM ที่มีการป้องกัน แต่ Microsoft ก็ได้แนะนำการปรับปรุงความปลอดภัยอื่น ๆ ตัวอย่างเช่นตอนนี้ Hyper-V รองรับ Secure Boot สำหรับ Linux VM บางตัว จากข้อมูลของ Microsoft เวอร์ชัน Linux ที่รองรับ ได้แก่ Ubuntu 14.04 และใหม่กว่า, Suse Linux Enterprise Server 12 ขึ้นไป, Red Hat Enterprise Linux 7.0 ขึ้นไปและ CentOS 7.0 ขึ้นไป

การปรับปรุงความปลอดภัยที่สำคัญอีกประการหนึ่งคือการสนับสนุนการเข้ารหัสดิสก์ระบบปฏิบัติการที่ใช้ BitLocker ในเครื่องเสมือนรุ่นที่ 1 การปรับปรุงความปลอดภัยโดยเฉพาะนี้ไม่ได้รับความสนใจจากสื่อมวลชนมากนัก แต่มีความสำคัญเนื่องจากจำนวน VM รุ่นที่ 1 ที่ทำงานในสภาพแวดล้อมการผลิต ท้ายที่สุดแล้ว VMs เจนเนอเรชั่น 2 ได้รับการสนับสนุนสำหรับใช้กับระบบปฏิบัติการแขกบางระบบเท่านั้น แม้ว่ารายการระบบปฏิบัติการของแขกที่รองรับจะเติบโตขึ้นในช่วงหลายปีที่ผ่านมา แต่การปรับใช้ Linux บางตัวที่สามารถทำงานบน VMs เจนเนอเรชั่น 2 ยังคงทำงานบน VMs เจนเนอเรชั่น 1 เพียงเพราะไม่สามารถเปลี่ยนเวอร์ชันของ VM ได้

คอนเทนเนอร์ Windows

หนึ่งในคุณสมบัติหลักที่นำมาใช้ใน Windows Server 2016 คือคอนเทนเนอร์ซึ่งมีสองประเภท คอนเทนเนอร์ Windows Server แชร์เคอร์เนล OS กับโฮสต์ (และคอนเทนเนอร์อื่น ๆ ที่อาจทำงานบนโฮสต์) ในขณะที่คอนเทนเนอร์ Hyper-V ใช้ไฮเปอร์ไวเซอร์และระบบปฏิบัติการสำหรับแขกที่มีน้ำหนักเบา (Windows Server Core หรือ Nano Server) เพื่อให้มีระดับที่สูงขึ้น ของการแยก คิดว่าคอนเทนเนอร์ Hyper-V เป็นเครื่องเสมือนน้ำหนักเบา

จนถึงปัจจุบันฉันได้ใช้เวลาทดลองกับคอนเทนเนอร์ทั้งสองประเภท การประเมินของฉัน: แม้ว่าคอนเทนเนอร์ดูเหมือนจะทำงานได้ตามที่โฆษณาไว้ แต่ก็มีช่วงการเรียนรู้ที่สูงชันที่เกี่ยวข้องกับการใช้ภาชนะเหล่านี้ ต้องสร้างและจัดการคอนเทนเนอร์ที่บรรทัดคำสั่ง (ตรงข้ามกับการใช้ Hyper-V Manager) ผ่านไวยากรณ์คำสั่ง Docker ซึ่งแตกต่างจากสภาพแวดล้อมบรรทัดคำสั่งอื่น ๆ เช่น PowerShell

ฉันคิดว่าคอนเทนเนอร์จะพิสูจน์ได้ว่าเกี่ยวข้องกับผู้ดูแลระบบ Windows แต่ฉันขอแนะนำอย่างยิ่งให้ใช้เวลาในสภาพแวดล้อมของห้องปฏิบัติการทำความคุ้นเคยกับ Docker และความแตกต่างมากมายก่อนที่จะปรับใช้คอนเทนเนอร์ในการผลิต

คำถามเกี่ยวกับประสิทธิภาพ

ในความพยายามที่จะทดสอบประสิทธิภาพของ Windows Server 2016 ฉันได้นำเซิร์ฟเวอร์ใหม่มาออนไลน์โดยเรียกใช้การติดตั้ง Windows Server 2012 R2 Hyper-V ใหม่ทั้งหมด เซิร์ฟเวอร์นี้มาพร้อมกับฮาร์ดแวร์ที่มีอายุต่ำ แต่เนื่องจากเป้าหมายคือการตรวจสอบประสิทธิภาพที่สัมพันธ์กันฮาร์ดแวร์ที่ล้ำสมัยไม่จำเป็นจริงๆ

ด้วยเซิร์ฟเวอร์ Windows Server 2012 R2 Hyper-V ใหม่ทางออนไลน์ฉันได้สร้างเครื่องเสมือนรุ่นที่ 2 ที่ใช้ Windows Server 2012 R2 ทั้งระบบปฏิบัติการโฮสต์และแขกได้รับการแก้ไขอย่างสมบูรณ์และ VM ทดสอบของฉันเป็นเครื่องเสมือนเพียงเครื่องเดียวที่มีอยู่ในโฮสต์

เมื่อระบบปฏิบัติการแขกใหม่เปิดใช้งานฉันได้ติดตั้ง Sandra 2016 ในเครื่องเสมือนเพื่อเปรียบเทียบประสิทธิภาพของเครื่องเสมือน ฉันสนใจประสิทธิภาพของ CPU หน่วยเก็บข้อมูลหน่วยความจำและเครือข่ายเป็นหลัก 

ด้วยชุดเมตริกพื้นฐานในมือฉันจึงอัปเกรดโฮสต์ Hyper-V เป็น Windows Server 2016 Microsoft ไม่สนับสนุนการอัปเกรดแบบแทนที่ แต่ฉันเลือกที่จะดำเนินการอย่างใดอย่างหนึ่งแทนที่จะเป็นการติดตั้งใหม่ทั้งหมดเพื่อรักษาสภาพแวดล้อมการทดสอบให้สอดคล้องกัน เป็นไปได้ในการทดสอบทั้งหมด

เมื่อการอัปเกรดเสร็จสิ้นฉันบูต VM ซึ่งยังคงใช้งาน Windows Server 2012 R2 ต่อไปฉันพยายามอัปเกรด Hyper-V Integration Services บน VM แต่ Microsoft ได้ลบตัวเลือกนี้ออกด้วยตนเอง ขณะนี้บริการการรวมจะถูกส่งผ่าน Windows Update

หลังจากแพตช์ Windows Server 2016 Hyper-V Host อย่างสมบูรณ์ฉันทำการทดสอบเกณฑ์มาตรฐานซ้ำอีกครั้งเพื่อดูว่า Hyper-V เวอร์ชันใหม่จะให้ประสิทธิภาพที่เพิ่มขึ้นหรือไม่ ในความเป็นจริงตรงกันข้ามพิสูจน์แล้วว่าเป็นความจริง VM ของฉันมีประสิทธิภาพลดลงอย่างมาก

สำหรับการทดสอบครั้งสุดท้ายของฉันฉันได้ทำการอัปเกรดระบบปฏิบัติการแขกเป็น Windows Server 2016 แทนฉันได้ติดตั้งระบบปฏิบัติการของแขกใหม่อย่างสมบูรณ์และทำการทดสอบเกณฑ์มาตรฐานซ้ำอีกครั้งเป็นครั้งสุดท้าย คราวนี้ประสิทธิภาพ VM ของฉันดีขึ้นมาก แต่ยังไม่ถึงระดับของ Windows Server 2012 R2 VM ดั้งเดิมที่ทำงานบนโฮสต์ Windows Server 2012 R2 และการทดสอบบางอย่างพบว่าประสิทธิภาพลดลงอีก

ฉันได้แสดงรายการเมตริกที่ฉันเปรียบเทียบและผลลัพธ์ด้านล่าง

การทดสอบ Sandra 2016 Windows Server 2012 R2 Host และ Windows Server 2012 R2 VM Windows Server 2016 Host และ Windows Server 2012 R2 VM Windows Server 2016 Host และ Windows Server 2016 VM

เลขคณิตของโปรเซสเซอร์ (ประสิทธิภาพโดยรวม)

27.73 GOPS

20.82 GOPS

26.31 GOPS

แบนด์วิดท์การเข้ารหัส

435 MBps

390 MBps

400 MBps

แบนด์วิดท์ intercore ของโปรเซสเซอร์

2.12 กิกะไบต์

2.08 กิกะไบต์

2 GBps

ฟิสิคัลดิสก์ (คะแนนไดรฟ์)

975.76 MBps

831.9 ลบ

897 เมกะไบต์ต่อวินาที

I / O ระบบไฟล์ (คะแนนอุปกรณ์)

242 IOPS

238 IOPS

195 IOPS

แบนด์วิดท์หน่วยความจำ (ประสิทธิภาพหน่วยความจำรวม)

10.58 GBps

10 GBps

10 GBps

ทรูพุตของธุรกรรมหน่วยความจำ

3 MTPS

3 MTPS

2.92 MTPS

LAN เครือข่าย (แบนด์วิดท์ข้อมูล)

7.56 เมกะไบต์ต่อวินาที

7.21 MBps

7.16 MBps

อย่างที่คุณเห็นจากการทดสอบ Sandra ของฉัน Windows Server 2012 R2 VM ทำงานได้ไม่ดีบน Windows Server 2016 Hyper-V เหมือนที่เคยทำใน Hyper-V เวอร์ชันก่อนหน้า ฉันใช้เกณฑ์มาตรฐานแต่ละครั้งหลายครั้ง (ในขณะที่โฮสต์ไม่ได้ใช้งาน) เพื่อให้แน่ใจว่าเมตริกของฉันถูกต้อง ประสิทธิภาพของเครื่องเสมือนได้รับการปรับปรุงเมื่อระบบปฏิบัติการของแขกได้รับการอัปเกรดเป็น Windows Server 2016 แต่ไม่ถึงระดับของผู้เยี่ยมชม Windows Server 2012 R2 ที่ทำงานบน Windows Server 2012 R2 Hyper-V

ตามปกติแล้วคุณควรใช้ผลการทดสอบมาตรฐานเหล่านี้ (และอื่น ๆ ) กับเกลือหนึ่งเม็ด เกณฑ์มาตรฐานไม่ได้สะท้อนถึงความเป็นจริงเสมอไปและการค้นพบนี้แสดงถึงการทดสอบเพียงชุดเดียวในการกำหนดค่าฮาร์ดแวร์เดียว นอกจากนี้ฉันยินดีที่จะให้ประโยชน์แก่ Microsoft หากมีข้อสงสัยเนื่องจากเมตริกถูกจับบนโฮสต์ที่ได้รับการอัปเกรดจาก Windows Server เวอร์ชันก่อนหน้าแทนที่จะเป็นโฮสต์ที่เรียกใช้การติดตั้งใหม่ทั้งหมด

การทดสอบประสิทธิภาพ Hyper-V ของ Windows Server 2016 ที่มีความหมายเพียงอย่างเดียวคือปริมาณงานจริงของคุณบนฮาร์ดแวร์จริงของคุณ จากผลการทดสอบของ Sandra คุณจะต้องติดตามชมประสิทธิภาพของ Hyper-V 2016 อย่างใกล้ชิด