Hyper-V从Windows Server 2008到Windows Server 2012,一直到Windows Server 2016,促进了私有云和公有云两方面的进步和领先的市场地位。
之前很早翻译过Windows Server 2016的Hyper-V的简介,现在在TP中已经看到对应的功能了。
添加新硬件中,已经不见Legacy Network Adapter了,做了整合。而启动支持UEFI,支持更多的功能并提供更好的安全性。
而为了在多租户或者托管云、公有云等场景保护虚拟机,Hyper-V支持安全引导(可针对Windows,可支持Linux)和可信平台计算模块TPM。由于众所周知的原因,TPM在国内受到严格限制,而很多Azure服务例如IoT Hub等,也是需要和支持TPM的,微软正在规划TPM 2.0,希望能达成一致。
为了避免虚拟机被导出或者迁移到存在安全风险的地方,可以利用TPM对虚拟机的状态和迁移流量进行加密。并且可以更进一步,启用“防护虚拟机”。
防护虚拟机和利用TPM做的虚拟机保护还是有一些差异的:
|
能力 |
二代虚拟机加密支持 |
二代虚拟机被防护 |
|
Secure Boot |
支持,可配置 |
支持,强制 |
|
vTPM |
支持,可配置 |
支持,强制 |
|
Encrypt VM state and live migration traffic |
支持,可配置 |
支持,强制 |
|
Integration components |
Configurable by fabric admin |
Certain integration components blocked (e.g. data exchange, PowerShell Direct) |
|
虚机连接 (Console), HID 设备 (如鼠标键盘) |
开启,不能被关闭 |
关闭,可开启 |
|
串口 |
支持 |
关闭,可开启 |
|
调试器调试虚机进程 |
支持 |
关闭,可开启 |
具体可参考“Shielded VMs and Guarded Fabric Deployment Guide for Windows Server 2016 TP5_8_19.docx”
处理器方面,支持虚拟机在异构CPU物理主机间迁移,支持使用NUMA架构在虚拟化层上分组vCPU和内存,并于Socket关联,以获得更好的性能。
要使用“神盾局虚拟机”(哈哈,Shielded 受防护虚拟机),需要启用BitLocker,AD DS的命令行工具,增强存储等系统功能。
之前提到的生产检查点(类似快照),可以利用备份技术,仅保留数据而不保留应用信息。更多的新特性,有待发布后的进一步研究。