Windows Server 2016 Hyper-V: מאובטח יותר, אך לא מהיר יותר

עם Windows Server 2016, מיקרוסופט הציגה רשימה ארוכה של שיפורים ב- Hyper-V. לצד תוספות פונקציונליות כמו תמיכה במכולה, וירטואליזציה מקוננת ומגבלות זיכרון ו- vCPU מוגברות, תמצאו מספר תכונות חדשות, כולל מחסומי ייצור ויכולת להוסיף חם זיכרון ומתאמי רשת, המקלים על הניהול.

אך נראה כי המטרה העיקרית של מיקרוסופט במהדורת Hyper-V לשנת 2016 הייתה לשפר את האבטחה. למעשה, הייתי מרחיק לכת ואומר שתכונת הרוצח החדשה של Hyper-V היא VMs מוגנות, שעובדות עם הצפנת BitLocker ושירות אפוטרופוס כדי להבטיח שמכונות וירטואליות פועלות רק על מארחים מורשים.

אם תכונה אחת של Hyper-V 2016 תדחוף אותי לשדרג, זו תהיה תכונת ה- VM המוגנת. אבל היכולת להקצות זיכרון נוסף למחשבי ה- VM2 מדור 2, והיכולת להוסיף חם זיכרון ומתאמי רשת למארחי וירטואליזציה, הם גם משיכות גדולות.

אזור אחד ב- Hyper-V 2016 עשוי שלא להשתפר הוא ביצועי ה- VM. למעשה, מבחני הביצועים שלי של סנדרה של מכונה וירטואלית של Windows Server 2012 R2 ב- Hyper-V 2012 R2 לעומת Hyper-V 2016 מצביעים על צעד אחורה. לא הייתי קורא לתוצאות אלה סופיות בשום אופן, אך זכור זאת כשתתחיל להעריך את Windows Server 2016 Hyper-V עבור עומסי העבודה שלך.

תהליך ההתקנה של Hyper-V

לצורך סקירה זו שדרגתי שרת Windows Server 2012 R2 קיים ל- Windows Server 2016. לרוב, תהליך השדרוג היה כמעט זהה לזה של התקנת Windows Server 2012 R2. ההבדל היה כי אשף ההתקנה מציג הודעת אזהרה המציינת כי שדרוגים של שרת Windows אינם מומלצים, ועליך לבצע התקנה נקייה. אשף ההתקנה לא ימנע ממך לבצע שדרוג במקום, אך עליך ללחוץ על כפתור אשר כדי לאשר את הודעת האזהרה.

התקדמתי בתהליך השדרוג (אם כי ביצעתי מאז כמה התקנות נקיות) כי רציתי לראות מה יקרה. חוץ מזה, השרת ששדרגתי הפעיל התקנה נקייה של Windows Server 2012 R2. התקנתי את התפקיד Hyper-V ויצרתי כמה מכונות וירטואליות, אך לא התקנתי שום תוכנה נוספת (מלבד תיקוני מיקרוסופט) ולא הפעלתי הגדרות תצורה חריגות.

תהליך השדרוג של Windows Server עבר בצורה חלקה מאוד. כל הגדרות מערכת ההפעלה הקיימות שלי נשמרו והמכונות הווירטואליות שלי נותרו פונקציונליות לאחר השדרוג. יתר על כן, מנהל ה- Hyper-V עדיין הרגיש מוכר לחלוטין. למרות שמיקרוסופט הציגה מספר תכונות Hyper-V חדשות ב- Windows Server 2016, מנהל ה- Hyper-V השתנה מעט מאוד. מנהלים עם ניסיון קודם ב- Hyper-V בטוח ירגישו ממש בבית בעת השימוש בגרסה החדשה.

שדרוגי אשכול Hyper-V מתגלגלים

למרות שביצעתי בתחילה שדרוג במקום של מארח Hyper-V יחיד, מיקרוסופט תומכת גם בשדרוגים מתגלגלים של פריסות Hyper-V מקובצות. פירוש הדבר שניתן להוסיף שרתים המריצים את Windows Server 2016 Hyper-V לאשכולות קיימים של Windows Server 2012 R2 Hyper-V ולמעשה לחקות את מארחי Windows Server 2012 R2 Hyper-V, ובכך לאפשר להם להשתתף באופן מלא באשכול. ניתן להעביר בשידור חי מכונות וירטואליות של Windows Server 2012 R2 Hyper-V לצמתים של Hyper-V של Windows Server 2016, ובכך לאפשר שדרוג מערכת הפעלה מקבוצת מבלי לקחת אף אחת מהמכונות הווירטואליות במצב לא מקוון.

בתהליך כתיבת סקירה זו, פרסתי מקבץ של שלושה צומת של שרתי Windows Server 2012 Hyper-V, ואז הוספתי צומת Hyper-V של Windows Server 2016. הצלחתי להצטרף בהצלחה לצומת לאשכול ולחיות וירטואליות של ניידים קדימה ואחורה בין שתי גרסאות Hyper-V השונות. בקיצור, תהליך שדרוג האשכול המתגלגל עבד ללא דופי.

סיימתי את שדרוג האשכול במהלך אחר הצהריים, אך מיקרוסופט אכן מאפשרת קיום ארוך טווח בין גרסאות Hyper-V בתוך אשכול. דו קיום ארוך טווח בוודאי יהיה קל יותר כעת, לאחר שמיקרוסופט חידשה את מנהל ה- Hyper-V, כך שניתן להשתמש בו בו זמנית עם מספר גרסאות Hyper-V. ממנהל Hyper-V ב- Windows Server 2016, אתה יכול לנהל את Hyper-V גם ב- Windows Server 2012 וב- Windows Server 2012 R2.

חסרון אחד במנהל Hyper-V החדש: מכיוון שמיקרוסופט מספקת כעת עדכונים לשירותי השילוב של Hyper-V באמצעות תהליך ניהול התיקונים הרגיל, נראה כי האפשרות לפרוס את שירותי האינטגרציה הוסרה. התקנת שירותי אינטגרציה דרך Windows Update נשמעת כמו התקדמות, אך לא יזיק אם השיטה הישנה תהיה זמינה כגיבוי.

שים לב שברגע שכל צמתי האשכול שלך מריצים את Windows Server 2016 Hyper-V, ועדכנת את הרמה התפקודית של האשכול (פעולה ניהולית מכוונת שאתה מבצע באמצעות PowerShell), תאבד את היכולת להוסיף צמתים של Windows Server 2012 R2 ל- אֶשׁכּוֹל. לאחר עדכון הרמה הפונקציונלית של האשכול, אין דרך חזרה.

מכונות וירטואליות מוגנות

בעוד שעבודה רבה נעשתה לאורך השנים כדי להגן על מחשבי וירטואליזם מפני איומים חיצוניים, אך מכונות וירטואליות (כולל אלה בפלטפורמות מתחרות כמו VMware, Xen ו- KVM) נותרו חשופות לפשרה מצד מנהל נוכלים. שום דבר לא מונע ממנהל להעתיק VM שלם לכונן הבזק USB ולצאת איתו מהדלת. בטח, בעבר ניתן היה להצפין דיסקים קשיחים וירטואליים, אך מנהל מורשה יכול לבטל בקלות כל הצפנה ברמת ה- VM.

ב- Windows Server 2016 Hyper-V, מאפיין ה- VM המוגן מצפין את הדיסקים של המחשב הווירטואלי ומצבו באופן שמונע מאף אחד אחר מאשר מנהלי VM או דיירים לאתחל את ה- VM או לגשת לתוכנו. התכונה פועלת על ידי ניצול תכונה חדשה של Windows Server בשם Host Guardian Service, המחזיקה את המפתחות להצפנה ופענוח של מחשבים ניידים מוגנים.

שירות האפוטרופוס המארח בודק האם מארח Hyper-V מורשה או "מעיד" להריץ את המחשב הווירטואלי. זה נכון - מנהלי מערכת מסוגלים להגביל את מחשבי ה- VM המוגנים, ולכן הם יפעלו רק על מארחים ספציפיים שיעברו את מבחן האישור. המשמעות היא שאם מנהל נוכלים היה מעתיק מכשיר VM מוגן לכונן הבזק, העותק של VM יהיה חסר תועלת למנהל. ה- VM לא יוכל לרוץ מחוץ לארגון, ותוכנו לא יהיה נגיש מכיוון שהמפתחות הדרושים לפענוח ה- VM מוגנים על ידי שירות Guardian Host.

שירות האפוטרופוס המארח תומך בשני מצבי אישור שונים, הנקראים תעודה מהימנה על ידי מנהל ואישור מהימן TPM. תעודת מהימנות של מנהל מערכת היא הקלה ביותר לשני המצבים לפריסה, אך כמעט לא מאובטחת כמו תעודה מהימנה עם TPM. מארחים שמאמינים במנהלי מערכת מבוססים על חברות בקבוצת אבטחה ב- Active Directory, ואילו מארחים המהימנים ב- TPM מבוססים על זהות TPM ואף על בדיקת תקינות האתחול והקוד.

בנוסף לתהליך התצורה המורכב יותר שלו, לאישור מהימן TPM יש כמה דרישות חומרה. מארחים מוגנים חייבים לתמוך ב- TPM 2.0 וב- UEFI 2.3.1 ומעלה. לעומת זאת, לאישור מהימן מנהל אין דרישות חומרה משמעותיות מעבר לדרישות הדרושות להפעלת Hyper-V.

למרות שרוב הכיסוי התקשורתי הנוגע לאבטחת Hyper-V 2016 התמקד ב VMs מוגנים, מיקרוסופט הציגה שיפורי אבטחה אחרים. לדוגמה, Hyper-V תומך כעת באתחול מאובטח עבור מחשבי VM מסוימים של לינוקס. על פי מיקרוסופט, גרסאות הלינוקס הנתמכות כוללות את אובונטו 14.04 ואילך, Suse Linux Enterprise Server 12 ואילך, Red Hat Enterprise Linux 7.0 ואילך, ו- CentOS 7.0 ואילך.

שיפור אבטחה משמעותי נוסף הוא תמיכה בהצפנת דיסק מערכת הפעלה מבוססת BitLocker במכונות וירטואליות מדור 1. שיפור האבטחה הספציפי הזה לא זכה לתשומת לב רבה מצד העיתונות, אך הוא משמעותי בגלל מספר מחשבי ה- VM מדור 1 הפועלים בסביבות ייצור. אחרי הכל, מחשבים וירטואליים מדור 2 נתמכים רק לשימוש עם מערכות הפעלה ספציפיות לאורחים. למרות שרשימת מערכות ההפעלה האורחות הנתמכות גדלה עם השנים, כמה פריסות לינוקס שיכולות להעלות על הדעת על מחשבי VM 2 מדור 2 ממשיכות לפעול על מחשבי VM מדור 1, פשוט בגלל חוסר היכולת לשנות את גרסת ה- VM.

מכולות חלונות

אחת התכונות העיקריות שהוצגו ב- Windows Server 2016 היא מיכלים, מהם שני סוגים. מכולות של Windows Server חולקות ליבת מערכת הפעלה עם המארח (וכל מכולות אחרות שעשויות לרוץ על המארח), בעוד שמכולות Hyper-V משתמשות ב- hypervisor ובמערכת הפעלה אורחת קלה (Windows Server Core או Nano Server) כדי לספק רמה גבוהה יותר של בידוד. חשוב על מכולות Hyper-V כמכונות וירטואליות קלות משקל.

עד היום הקדשתי זמן להתנסות בשני סוגי המכולות. ההערכה שלי: למרות שנראה כי מכולות עובדות כפי שפורסם, אך עקומת למידה תלולה קשורה לשימוש בהן. יש ליצור ולנהל מכולות בשורת הפקודה (בניגוד לשימוש ב- Hyper-V Manager) באמצעות תחביר הפקודה Docker, השונה מאוד מסביבות שורת פקודה אחרות כגון PowerShell.

אני חושב שמכולות יתבררו כרלוונטיות למנהלי חלונות, אך אני ממליץ בחום להשקיע זמן בסביבת מעבדה ולהתרגל לדוקר ולרוב הניואנסים שלו לפני פריסת מכולות בייצור.

שאלות ביצועים

בניסיון לבדוק את הביצועים של Windows Server 2016, הבאתי שרת חדש לרשת, כשהוא מריץ התקנה נקייה של Windows Server 2012 R2 Hyper-V. שרת זה היה מצויד בחומרה מתקדמת ומזדקנת, אך בהתחשב במטרה לבדוק ביצועים יחסית, חומרה משוכללת לא הייתה ממש הכרחית.

עם שרת Windows Server 2012 R2 Hyper-V החדש באופן מקוון, יצרתי מכונה וירטואלית מדור 2 שמריצה את Windows Server 2012 R2. הן המארח והן מערכות ההפעלה האורחות תוקנו במלואן, ו- VM לבדיקה שלי היה המחשב הווירטואלי היחיד שנמצא במארח.

מרגע שמערכת ההפעלה האורחת החדשה הופעלה, התקנתי את סנדרה 2016 במכונה הווירטואלית כדי להתייחס לביצועי המכונה הווירטואלית. התעניינתי בעיקר בביצועי מעבד, אחסון, זיכרון וביצועים ברשת. 

עם קבוצה בסיסית של מדדים ביד, שדרגתי את מארח Hyper-V ל- Windows Server 2016. מיקרוסופט מרתיעה משדרוגים במקום, אך בחרתי לבצע התקנה אחת ולא במקום נקי, כדי לשמור על סביבת הבדיקה שלי עקבית כמו אפשרי בכל הבדיקות.

לאחר סיום השדרוג, אתחל את ה- VM, שעדיין פועל בו Windows Server 2012 R2. לאחר מכן, ניסיתי לשדרג את שירותי השילוב של Hyper-V ב- VM, אך מיקרוסופט הסירה את האפשרות לעשות זאת באופן ידני. שירותי האינטגרציה מועברים כעת באמצעות Windows Update.

לאחר תיקוני מלא של Windows Server 2016 Hyper-V Host, חזרתי על מבחני המבחן במטרה לראות האם הגרסה החדשה של Hyper-V תניב רווחי ביצועים כלשהם. למעשה, ההפך התגלה כנכון. ה- VM שלי ראה ירידה משמעותית בביצועים.

לצורך הבדיקה הסופית שלי, ביצעתי שדרוג במקום של מערכת ההפעלה האורחת ל- Windows Server 2016. תיקנתי את מערכת ההפעלה החדשה של האורחים וחזרתי על בדיקות המבחן שלי בפעם האחרונה. הפעם, ביצועי ה- VM שלי השתפרו במידה רבה, אך לא ממש ברמה של ה- Windows Server 2012 R2 VM המקורי הפועל על מארח Windows Server 2012 R2, וכמה בדיקות ראו שהביצועים פחתו עוד יותר.

פירטתי את המדדים שמידטתי עליהם ואת התוצאות למטה.

מבחן סנדרה 2016 Windows Server 2012 R2 מארח ו- Windows Server 2012 R2 VM Windows Server 2016 Host ו- Windows Server 2012 R2 VM מארח Windows Server 2016 ו- Windows Server 2016 VM

חשבון מעבד (ביצועים מקוריים מקוריים)

27.73 GOPS

20.82 GOPS

26.31 GOPS

רוחב פס של קריפטוגרפיה

435 מגה לשניות

390 מגה לשניות

400 מגה לשנייה

רוחב פס של קו מעבד

2.12 GBps

2.08 GBps

2 GBps

דיסקים פיזיים (ציון כונן)

975.76 מגה לשנייה

831.9 מגה לשנייה

897 מגה לשנייה

קלט / פלט של מערכת הקבצים (ציון מכשיר)

242 IOPS

238 IOPS

195 IOPS

רוחב פס זיכרון (ביצועי זיכרון מצטברים)

10.58 GBps

10 GBps

10 GBps

תפוקת עסקות זיכרון

3 MTPS

3 MTPS

2.92 MTPS

LAN רשת (רוחב פס נתונים)

7.56 מגה לשניות

7.21 מגה לשניות

7.16 מגה לשניות

כפי שאתה יכול לראות, על פי בדיקות סנדרה שלי, ה- Windows Server 2012 R2 VM לא ביצע ביצועים טובים ב- Windows Server 2016 Hyper-V כמו שהיה בגרסת Hyper-V הקודמת. ניהלתי כל אמת מידה מספר פעמים (בזמן שהמארח לא היה פעיל) בניסיון לוודא שהמדדים שלי מדויקים. ביצועי המכונה הווירטואלית השתפרו כאשר שודרג מערכת ההפעלה האורחת ל- Windows Server 2016, אך לא לרמת האורח של Windows Server 2012 R2 הפועל ב- Windows Server 2012 R2 Hyper-V.

באופן טבעי, עליכם לקחת תוצאות אלו (וכל תוצאות אחרות) עם גרגר מלח. אמות מידה לא תמיד משקפות את המציאות, וממצאים אלה מייצגים רק קבוצת בדיקות אחת בתצורת חומרה אחת. יתר על כן, אני מוכן לתת למיקרוסופט את היתרון של ספק מכיוון שהמדדים נלכדו על מארח ששודרג מגירסת Windows Server קודמת, ולא על מארח שמריץ התקנה נקייה.

הבדיקה המשמעותית היחידה שלך לביצועי Hyper-V של Windows Server 2016 תהיה עומסי העבודה שלך בפועל על החומרה שלך. בהתחשב בתוצאות מבחני סנדרה, תרצה לצפות מקרוב בביצועי Hyper-V 2016.