`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Что нового в Windows Server 2016 — новые возможности, которые вам обязательно стоит протестировать, часть 1

+55
голосов

В следующих двух статьях мы попробуем рассмотреть наиболее интересные и востребованные пользователями новинки в Windows Server 2016 Technical Preview 4. Надеемся, это поможет читателям сориентироваться в общей массе новинок в Windows Server 2016 и выполнить начальные шаги по знакомству с той или иной технологией. Поэтому данная статья содержит в себе не только описание функции или роли, но и команды и ссылки на документацию по практическому применению.

Встречайте ТОП 5 (из 10) новых функций — в данном случае сгруппированных по функциям виртуализации. А следующие ТОП 5 — будут посвящены системам хранения, кластеризации

Вложенная (nested) виртуализация

Вложенная виртуализация — это «побочный эффект» реализации контейнерных технологий в Windows Server 2016. Поскольку, с одной стороны, для контейнеров требуется аппаратная изоляция памяти на уровне процессора, а с другой стороны — контейнеры должны работать и в виртуальных машинах. Вот и «пришлось» реализовать полноценный доступ виртуальной машины к самим функциям виртуализации «железа».

Вложенная виртуализация (если не считать «контейнерного» применения) предназначена больше для лабораторного применения — возможность быстро развернуть в тестовой лаборатории требуемую сложную инфраструктуру на ограниченном количестве «железа», например, тестовая лаборатория с тем же System Center Virtual Machine Manager, для полного тестирования которого требуется не только фабрика управления, но и физические хосты, на которые будут развертываться этим SC VMM разные виртуальные машины и целые инфраструктуры — вот такими хостами и могут теперь выступать виртуальные машины с вложенной виртуализацией.

Также вложенная может успешно применяться в сценариях разработки и тестирования. В данном случае администраторам серверов для делегации полномочий девОпсам или самим разработчикам/тестировщикам, которым требуются для работы свои виртуальные машины, достаточно будет включить виртуализацию для отдельной виртуальной машины и предоставить доступ к ней, как виртуальному хосту, чем делегировать полномочия ко всему физическому хосту. Это позволит и ограничить выделение физических ресурсов для групп разработчиков рамками такой виртуальной машины-хоста, и улучшит безопасность использования как физического хоста, так и изолирует доступ к виртуальным машинам на хосте для разных групп пользователей, а также — упростит и ускорит настройку прав и разрешений.

Практическое развёртывание вложенной виртуализации на физическом хосте и внутри самой виртуальной машины не сильно отличаются от стандартных операций по работе с Hyper-V в Windows Server. Чтобы включить вложенную виртуализацию в виртуальной машине в Windows Server 2016 Technical Preview 4, требуется:

• Используя стандартные операции, установить роль Hyper-V в Windows Server 2016 Technical Preview 4.

• Создать виртуальную машину, которая будет использоваться для встроенной виртуализации, и в ее настройках:

o Отключить использование динамической памяти.

o Запись состояния виртуальной машины при выключении хоста и использование точек восстановления (Checkpoints).

o Разрешить подмену MAC-адресов (MAC Address Spoofing) для сетевых интерфейсов данной виртуальной машины.

o Объем ОЗУ для виртуальной машины со вложенной виртуализацией не может быть менее 4 ГБ.

• Установить в виртуальную машину Windows Server 2016 Technical Preview 4 (для вложенной виртуализации поддерживаются только версии ОС Windows Server 2016 Technical Preview 4 и выше как на хосте, так и в виртуальной машине).

• На физическом хосте в PowerShell выполнить команду Set-VMProcessor -VMName «VMName» -ExposeVirtualizationExtensions $true (где VMName — имя вашей виртуальной машины).

• Установить и настроить в сконфигурированной виртуальной машине роль Hyper-V, создавать виртуальные машины и использовать внутри виртуальной машины.

Как я уже писал выше — основное применение вложенной виртуализации — это тестовые лаборатории инфраструктуры и среды для разработки и тестирования ввиду некоторых ограничений, например — нельзя мигрировать виртуальную машину (Live/Quick Migration) с вложенными виртуальными машинами между физическими хостами или использовать динамическую память.

Что нового в Windows Server 2016 Technical Preview 4 — возможности вложенной виртуализации в Hyper-V

Контейнеры

О теоретических предпосылках использования контейнеров я уже рассказывал в предыдущей статье , а более подробно о развертывания роли контейнеров и управлении ими будет рассказано в следующих статьях данного цикла статей, посвященных новинкам Windows Server 2016.

Но, если вы хотите начать знакомство с контейнерами уже сейчас, то на портале MSDN найдете краткое руководство по началу работы с контейнерами в Windows Server 2016.

Контейнеры могут быть использованы как непосредственно на физическом хосте, так и в виртуальной машине Hyper-V. Как и в предыдущем случае с вложенной виртуализацией — это улучшает изоляцию ресурсов, безопасность и делегирование полномочий для контейнеров, работающих в виртуальной машине.

Развертывание и настройка роли контейнеров выполняется при помощи скрипта PowerShell, который загружается с GIT-хаба Microsoft и который, кроме конфигурирования самой роли контейнеров, также, в зависимости от параметров запуска, загружает и регистрирует требуемые базовые образы для контейнеров, среду управления на платформе Docker и, если требуется, создает отдельную виртуальную машину для работы контейнеров.

Скрипт можно загрузить по адресу, а вся последовательность работы с данным скриптом в PowerShell (требуется запуск с правами администратора) для настройки контейнеров на физическом хосте следующая:

wget -uri https://aka.ms/tp4/Install-ContainerHost -OutFile C:\Install-ContainerHost.ps1 C:\Install-ContainerHost.ps1

Для конфигурирования новой виртуальной машины с контейнерами внутри команды будут выглядеть следующим образом:

wget -uri https://aka.ms/tp4/New-ContainerHost -OutFile c:\New-ContainerHost.ps1 C:\New-ContainerHost.ps1 –VmName <containerhost> -WindowsImage ServerDatacenterCore -Hyperv (где <containerhost> — имя новой виртуальной машины, которая будет использоваться для работы контейнеров)

Microsoft University 16 Nov 2015 — использование контейнеров в Windows Server 2016, часть 1

Microsoft University 16 Nov 2015 — использование контейнеров в Windows Server 2016, часть 2

 

Опция установки Нано (Nano Server) сервер

Вопреки бытующему мнению Nano Server — это не отдельная версия Windows Server 2016, а специальная опция установки, как и Server Core. Nano Server — результат еще более глубокой проработки ядра Windows Server 2016 с задачей сделать сбалансированную по функциональности, максимальной производительности, минимизации потребляемых аппаратных ресурсов и времени развертывания/старта инсталляцию Windows Server 2016. Еще одна особенность — Nano Server не имеет графического ядра и какой-либо рабочей среды пользователя (даже для администрирования) и всех соответствующих служб — только текстовую консоль для мониторинга состояния и настроек. Управляется такой сервер удаленно через интерфейс WinRM (например, командами PowerShell) или через соответствующие оснастки ролей, функция Remote Desktop также отсутствует у Nano Server (ввиду отсутствия все того же графического ядра). Как и в случае с контейнерами — данной теме будет посвящена отдельная статья, а здесь мы вкратце остановимся на сценариях использования и основных процедурах развертывания.

Nano Server — еще один строительный блок частных облаков и виртуализируемых датацентров. Будучи компактной версией в формате VHDX, Nano Server «просто копируется» на физический хост или как виртуальная машина и уже готов к работе. Установка ролей не требуется, поскольку роли, а также требуемые драйверы и приложения, «вшиваются» администратором на этапе подготовки VHDX образа Нано сервера. Будучи усеченной инсталляцией «большого» Windows Server 2016, Nano Server поддерживает только роли, которые могут потребовать «облачные» решения:

• Виртуализация Hyper-V.

• Поддержка отказоустойчивых и SoFS-кластеров.

• Службы файлового сервера, хранения данных и управления дисковыми хранилищами.

• Контейнеры.

• Веб сервер Microsoft IIS.

• DNS сервер.

Первые 4 роли и являются основными компонентами инфраструктуры частного облака, о которой было рассказано в предыдущей статье . Служба отказоустойчивой кластеризации обеспечивает безотказную работу физических хостов Hyper-V с клиентскими виртуальными машинами, а SoFS и файловые/дисковые службы — работу Software Defined Storage, контейнеры — позволяют сделать выделение и изоляцию ресурсов для задач более простыми. И это все позволяет сделать Nano Server.

Сам рабочий образ Nano Server не устанавливается, как в случае с Windows Server 2016 Core Server или Full Installation, а «собирается» с помощью все того же PowerShell. Процесс «сборки» требуемой вам конфигурации Nano Server в Windows Server 2016 Technical Preview 4 достаточно прост:

• Скопировать содержимое папки NanoServer с установочного диска Windows Server 2016 на локальный диск.

• Зарегистрировать командой Import-Module NanoServerImageGenerator.psm1 в PowerShell модуль по управлению NanoServer (файл NanoServerImageGenerator.psm1 находится в скопированной папке).

• Используя команду New-NanoServerImage и соответствующие ключи — создать требуемый образ Nano Server, добавив в него необходимые драйверы, службы и роли.

После чего полученный VHDX образ Nano Server достаточно добавить как виртуальную машину (если в образ добавлены драйверы для Hyper-V) или зарегистрировать при помощи утилиты bcdboot.exe (если это образ для физического сервера).

Microsoft University 18 Nov 2015 — развертывание NanoServer в Windows Server 2016

Улучшенный PowerShell и прямое управление виртуальными машинами/контейнерами

Как следует из предыдущих разделов данной статьи, PowerShell является важным инструментом в управлении различными службами и ролями Windows Server 2016. При этом количество объектов управления, требующими работу с ними именно через PowerShell, существенно возрастает, поскольку к виртуальным машинам на физическом хосте добавляются еще и контейнеры, а при удаленном управлении — экземпляры Nano Server.

Чтобы облегчить подключение к виртуальным машинам и контейнерам в новом PowerShell реализована функция PowerShell Direct. Данная функция обеспечивает администраторам прямое подключение к интерфейсу WinRM виртуальной машины или контейнера в обход сетевых интерфейсов — через шину виртуализации (по этому принципу работает и утилита подключения к виртуальным машинам Hyper-V Connect). Таким образом, для управления виртуальной машиной или контейнером достаточно просто использовать команду PowerShell для удаленного подключения Enter-PSSession (или аналогичные), для которой в ключах указывается не имя сервера, к которому требуется подключиться удаленно, а имя виртуальной машины (как она называется на виртуальном хосте) или контейнера или, соответственно, их ID. Например:

Enter-PSSession -VMname VM_DC01 -Credential

Enter-PSSession -ContainerName WEBProdContainer -RunAsAdministrator

Поскольку работа PowerShell Direct распространяется на все командлеты, работающие с удаленными сессиями в PowerShell, например, Invoke-Command, то подход PowerShell Direct позволяет отлично автоматизировать массовое выполнение операций над всеми виртуальными машинами на хосте, не зависимо, есть ли к ним сетевой доступ и знает ли администратор их адреса/имена — что очень полезно для динамически меняющегося окружения виртуальных машин и контейнеров. Например, данный скрипт запросит у администратора учетную запись на подключение к виртуальной машине (чтобы не запрашивать каждый раз), получит список всех виртуальных машин на хосте и установит во всех виртуальных машинах роль Web Server:

$acc = Get-Credential

Get-VM | ? { Invoke-Command -VMName $_.Name -Credential $acc -ScriptBlock { Install-WindowsFeature -Name Web-Server -IncludeManagementTools } }

Device Guard и Host Guardian Service: защита и шифрование хостов и Виртуальных Машин

Использование Hyper-V в частных облаках и в датацентрах хостинг-провайдеров и рост требований пользователей облаков к защите своих виртуальных машин от возможных проблем с безопасностью в датацентре, вмешательству администраторов датацентров или государственных служб требуют новых подходов к безопасности ЦОД и виртуальных машин в них. Для различных сценариев обеспечения безопасности виртуальных машин от подобных угроз в Windows Server 2016 реализовано несколько уровней защиты виртуальных машин.

Первый, Device Guard — это защита ядра физического хоста и учетных записей администратора от стороннего вмешательства, вредоносного ПО, базируется на комбинации UEFI boot и технологии Virtual Secure Mode (VSM), которая, фактически, обеспечивает запуск всех средств аутентификации и авторизации (lsass.exe) в изолированной от основной ОС среде контейнера (режим Credential Guard). Кроме того, VSM обеспечивает режим безопасной разгрузки, а также позволяет администраторам определить правила проверки, применяемые к стартующим компонентам операционной системы (kernel code integrity rules) и приложений (code integrity). Device Guard и Virtual Security Mode рекомендуется к применению не только для использования на защищенных виртуальных хостах, но и на любом защищенном сервере или клиентском ПК (Virtual Security Mode также доступен и для пользователей Windows 10 Enterprise). Подробная инструкция по развертыванию и настройке Device Guard находится на портале Microsoft TechNet.

Второй — это непосредственно режим шифрования и изоляции виртуальной машины Shielded Virtual Machine (Shielded VM), который базируется на механизме Virtual TPM (vTPM) и сертификатах. Будучи включенным для виртуальной машины, он позволяет администраторам Shielded VM шифровать данные виртуальной машины с использованием BitLocker (не требуется аппаратный TPM для работы vTPM), при этом шифруются не только данные виртуальных дисков, но и сохраненного состояния/миграции такой виртуальной машины. Также режим изоляции предусматривает дополнительную защиту соединений с виртуальной машиной на уровне Hyper-V Bus, что позволяет сделать невозможным подключение к консоли виртуальной машины со стороны администратора виртуального хоста. Но такая защищенная виртуальная машина может быть подвержена угрозам со стороны физического хоста, если он скомпрометирован на уровне ядра ОС либо действиями системного администратора. Чтобы не допустить такой компрометации, как раз и используется Device Guard с Virtual Secure Mode, о котором рассказано выше. А чтобы виртуальная машина, стартуя на том или ином виртуальном хосте, могла «убедиться», что хост защищен, как требуется — для этого существует следующий уровень защиты — Host Guardian Service.

Итак, третий уровень защиты — Host Guardian Service (HGS) — обеспечивает сторонний сервис проверки политик безопасности виртуальных хостов и их соответствия требованиям виртуальной машины. Политики проверки могут полагаться как на аппаратную составляющую, так и на административное доверие (менее безопасное).

Инфраструктура службы Host Guardian Service также развертываются изолированно на отказоустойчивом кластере в домене Активного Каталога, который является отдельным от основного Активного Каталога фабрики (в котором работают виртуальные хосты и находятся учетные записи их администраторов) защищенным каталогом с минимальным количеством администраторов.

После развертывания инфраструктуры Host Guardian Service физические серверы-виртуальные хосты фабрики виртуальных машин добавляются в службу HGS через участие в соответствующих группах безопасности (административное доверие) или команды PowerShell (в случае аппаратного доверия с TPM).

Также существует несколько сценариев создания или публикации защищенной виртуальной машины на хостах, находящихся под контролем Host Guardian Service — создание и конфигурирование виртуальной машины на отдельном виртуальном хосте с дальнейшим переносом на защищенный хост HGS, автоматизированное создание защищенной виртуальной машины в System Center Virtual Machine Manager 2016 или в среде частного облака под управлением Windows Azure Pack.

Полная документация по развертыванию и управлению Hosted Guardian Service и Shielded VM также доступна на портале Microsoft TechNet в виде отдельных документов — развертывание в режиме аппаратного доверия, административного доверия и управление средой HGS.

Продолжение обзора новых возможностей Windows Server 2016 Technical Preview 4, которые стоит начать тестировать и оценивать для скорейшего внедрения в вашей инфраструктуре — в следующей статье. Читайте о таких функциях и службах, как:

• Синхронная репликация томов Storage Replica.

• Распределенный/эластичный (Stretch) кластер.

• Storage Space Direct.

• Политики качества обслуживания для хранилищ (Storage QoS).

• Служба управление сетью SDN (Network Controller).

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

+55
голосов

Напечатать Отправить другу

Читайте также

 

Ukraine

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT