Администраторы hyper v что это
Знакомство с Hyper-V в Windows 10
Вы разработчик программного обеспечения, ИТ-специалист или просто увлекаетесь технологиями? Тогда вам наверняка приходится работать с несколькими операционными системами. Hyper-V позволяет запускать несколько операционных систем в виде виртуальных машин в Windows.
В частности, Hyper-V предоставляет возможность выполнять виртуализацию оборудования. Это означает, что каждая виртуальная машина работает на виртуальном оборудовании. Hyper-V позволяет создавать виртуальные жесткие диски, виртуальные коммутаторы и ряд других виртуальных устройств, каждое из которых можно добавить в виртуальную машину.
Причины использовать виртуализацию
Виртуализация позволяет выполнять следующие операции.
Запуск программного обеспечения, для которого требуются более старые версии Windows или операционные системы, отличные от Windows.
Эксперименты с другими операционными системами. Hyper-V существенно упрощает создание и удаление различных операционных систем.
Тестирование программного обеспечения в нескольких операционных системах с помощью нескольких виртуальных машин. Благодаря Hyper-V их можно запускать на настольном компьютере или ноутбуке. Эти виртуальные машины можно экспортировать, а затем импортировать в любую другую систему Hyper-V, включая Azure.
Требования к системе
Hyper-V доступен в 64-разрядных версиях Windows 10 Профессиональная, Корпоративная и для образовательных учреждений. Он недоступен в версии Домашняя.
Выполните обновление с выпуска Windows 10 Домашняя до выпуска Windows 10 Профессиональная, открыв раздел Параметры Обновление и безопасность Активация. Здесь вы можете посетить Магазин Windows и приобрести обновление.
Большинство компьютеров работают под управлением Hyper-V, однако каждая виртуальная машина работает под управлением полностью отдельной операционной системы. Как правило, на компьютере с 4 ГБ ОЗУ можно запустить одну или несколько виртуальных машин, однако для запуска дополнительных виртуальных машин либо установки и запуска ресурсоемкого ПО, такого как игры, видеоредакторы или программы для технического проектирования, потребуются дополнительные ресурсы.
Дополнительные сведения о требованиях Hyper-V к системе и о том, как проверить, будет ли Hyper-V работать на конкретном компьютере, см. в статье Справочник по требования к системе для Hyper-V.
Операционные системы, которые можно запустить на виртуальной машине
Hyper-V в Windows поддерживает много операционных систем на виртуальных машинах, в том числе различные выпуски Linux, FreeBSD и Windows.
Напоминаем, что необходимо иметь действующую лицензию на все операционные системы, используемые на виртуальной машине.
Дополнительные сведения об операционных системах, которые поддерживаются как гостевые в Hyper-V в Windows, см. в статьях Гостевые операционные системы, поддерживаемые в Windows и Гостевые операционные системы, поддерживаемые в Linux.
Различия между Hyper-V в Windows и Windows Server
Некоторые функции работают по-разному в Hyper-V для Windows и Windows Server.
Компоненты Hyper-V, доступные только в Windows Server:
Компоненты Hyper-V, доступные только в Windows 10:
Модель управления памятью отличается в Hyper-V в Windows. При управлении памятью Hyper-V на сервере предполагается, что на нем запущены только виртуальные машины. В Hyper-V для Windows при управлении памятью учитывается тот факт, что кроме виртуальных машин на большинстве клиентских компьютеров работает локальное программное обеспечение.
Ограничения
Программы, которые зависят от наличия определенного оборудования, не будут нормально работать на виртуальной машине. Например, это игры или приложения, которым нужны графические процессоры. С приложениями, использующими таймеры длительностью менее 10 мс, например приложениями для микширования музыки в режиме реального времени или приложениями, чувствительными к задержкам, также возможны проблемы.
Кроме того, если включен Hyper-V, проблемы могут возникать и с чувствительными к задержкам высокоточными приложениями, работающими в операционной системе сервера виртуальных машин. Это связано с тем, что при включенной виртуализации ОС сервера виртуальных машин тоже работает поверх уровня виртуализации Hyper-V, как и гостевые операционные системы. Однако отличие операционной системы сервера виртуальных машин от гостевых ОС заключается в том, что она имеет прямой доступ к оборудованию, что обеспечивает правильную работу приложений с особыми требованиями к оборудованию.
15 принципов безопасности Hyper-V
Безопасность в наши дни – самое главное для IT-компаний. Прежде, чем внедрить новую технологию в производственную среду, IT-администраторы должны проработать вопрос безопасности и свести к минимуму угрозу атаки. В статье мы озвучим 15 ключевых пунктов, соблюдая которые Вы будете уверены, что Ваша виртуальная среда в безопасности и работает, как надо.
Установка роли Hyper-V в варианте установки Server Core
В целях безопасности рекомендуется всегда устанавливать роль Hyper-V в варианте установки Server Core вместо использования полной версии операционной системы Windows. Отсутствие графического интерфейса в Server Core уменьшает возможности для атаки. Клиентские файлы управления Hyper-V не устанавливаются, а это уменьшает возможности для файловых атак. Использование Server Core на физическом компьютере с Hyper-V предоставляет три основных преимущества в безопасности:
Полномочия (данные) для входа служб Hyper-V
Никогда не меняйте настройки безопасности по умолчанию для сервисов Hyper-V. Оповещения могут привести Hyper-V к прекращению работы. Изменение используемого контекста безопасности Hyper-V может дать возможность кому угодно контролировать весь гипервизор.
Блокировка ненужных портов
Нет необходимости настраивать какие-либо еще роли/службы на сервере Hyper-V. Установленные серверные приложения будут слушать статические порты. Всегда просматривайте порты, которые слушаются на сервере, и блокируйте их в случае необходимости.
Настройки Hyper-V по умолчанию
Всегда проверяйте настройки Hyper-V по умолчанию перед тем, как запустите его в рабочую среду. По умолчанию файлы виртуальных серверов будут храниться локально. Рекомендуется всегда менять место хранения на более защищенный диск.
Использование шифрования BitLocker в родительском разделе.
Т.к. BitLocker встроен в ОС Windows, рекомендуется запустить его для тех томов, где хранятся файлы Hyper-V и виртуальных серверов. Физическая защита на базе BitLocker присутствует даже в выключенном сервере.
Данные будут защищены, даже если диск украдут. BitLocker защищает данные и в случае использования атакующим разных ОС, а также при применении хакерского ПО для получения доступа к содержимому диска.
Примечание: Используйте BitLocker только для Hyper-V. Не используйте его на виртуальных серверах, т.к. на них BitLocker не поддерживается.
Не используйте встроенные аккаунты администратора
Не используйте локальный аккаунт администратора по умолчанию для управления виртуальными машинами и системой Hyper-V. Вместо этого создайте новую управляющую группу Active Directory и с помощью Менеджера авторизации делегируйте ей задачи по управлению виртуальными машинами.
Всегда ставьте антивирус на сервер
Установив антивирус, вы всегда будете уверены, что вредоносные действия будут перехвачены на уровне сервера Hyper-V. Также позаботьтесь о своевременном обновлении антивируса.
Всегда устанавливайте самые последние обновления компонентов интеграции
Компоненты для интеграции обеспечивают работу VMBUS и VSP/VSC, которые обеспечивают безопасное взаимодействие виртуальных машин и гипервизора. Компоненты эти обновляются с каждым новым релизом Hyper-V. Вам необходимо своевременно загружать последние версии компонентов с сайта Microsoft и обновлять все виртуальные машины.
Не устанавливайте никаких приложений в родительском разделе Hyper-V
Сервер Hyper-V должен использоваться только под задачи Hyper-V. Ненужные приложения на сервере могут вмешаться в процессы Hyper-V, что может быть небезопасно.
Защищайте файлы Hyper-V и файлы виртуальных машин
Файлы Hyper-V и виртуальных серверов должны быть под защитой. Поскольку эти данные хранятся в VHD файлах, любой, кто имеет доступ к VHD файлам, может их смонтировать и получить доступ и к содержимому.
Отключите машины, которые не используются
Не используйте машины, которые не несут никаких существенных функций. Если вы запустите какие-либо из серверов, убедитесь, что они отсоединены от коммутаторов Hyper-V, к которым подсоединены другие серверы. Любой, у кого есть доступ к неиспользуемым серверам, может вмешаться в производственную среду через сеть или каким-либо другим способом.
Всегда используйте Firewall и блокируйте ненужные функции
Как только Вы запускаете Hyper-V на сервере Windows, управляющий сервер дает брандмауэру права, необходимые для коммуникации Hyper-V. Убедитесь, что никаких лишних прав брандмауэру не дано.
Обеспечение снимков и контрольных точек
Снимок является образом виртуальной машины на определённый момент времени, к которому Вы позже можете вернуть машину. Рекомендуется хранить снимки и контрольные точки, которые Вы создаете, вместе со связанными с ними VHD-файлами в безопасном месте.
Усиливайте ОС виртуальных серверов
Используйте один и тот же шаблон усиленной ОС для всех виртуальных машин для обеспечения одинакового уровня безопасности. Также убедитесь, что работает антивирус и отключены ненужные компоненты.
Сайт ARNY.RU
Hyper-V Server настройка и управление — мой опыт по созданию серверов виртуализации, их архивированию и все связанные с этим моменты.
Почему Hyper-V Server?
Hyper-V Server 2012 R2 или 2016 (далее HVS) vs Hyper-V в составе полноценной ОС. Плюсы очевидны:
Минус HVS следует за плюсами, один большой минус:
Потрудиться конечно придется, как же без этого?
Железо
Крайне желательно покупать специализированное серверное железо.
Очень хорошо, что появились такие компании как ittelo.ru и полноценный сервер можно приобрести по цене двух новых стационаров.
Сейчас таких компаний уже несколько, их несложно найти в поисковике и линейка предлагаемых б/у серверов довольно широкая, на любой кошелёк.
Можно купить недорого на Avito, но уже без гарантии.
Конфигурацию 1 CPU (4 ядра, HT) и 8Gb памяти можно взять за разумный минимум.
Сетевые карты желательно выбирать такие, которые поддерживают виртуализацию аппаратно (SR-IOV), подробнее здесь. Включается данная опция либо в BIOS материнской платы, либо включена по умолчанию. Поддержка на уровне ПО активируется при создании виртуального коммутатора, нужно отметить специальный чекбокс. В свойствах сетевой также нужно включить чекбокс на закладке Аппаратное ускорение:
Схема работы следующая:
SR-IOV есть у всех новых серверов и у некоторых старых, но проверка наличия этой функции по модели сервера до покупки никогда не будет лишней.
В интернете много информации о некорректной работе данной функции на ряде оборудования. Пропадает сеть и другие баги. Кто-то действительно решает установкой специализированных драйверов, кто-то отключает SR-IOV. Со временем всё отладят, функция нужная и полезная. Честно говоря, по данной опции знаний у меня пока немного.
CPU+RAM
HDD и SSD
При программном RAID получается вместо защиты от падения ещё 1 дополнительная сложность и плоскость отказа. Лучше уж тогда обычные диски и резервное копирование с возможностью bare metal recovery. Посыпался диск? Ну и ладно, мы к такой ситуации готовы, восстанавливаем из архива.
Вторая беда программных BIOS-RAID это то, что они жёстко привязаны к платформе, значит если материнская плата сервера выйдет из строя (вздутые конденсаторы, перегрев моста и так далее), то быстро восстановить работоспособность хоть в каком-то виде будет довольно сложной задачей.
Минус RAID в HVS:
Тут поможет установка агента Zabbix, если конечно же Zabbix развёрнут в сети.
Поднял тестовый HVS 2012 R2, скачал последний агент zabbix (версии 3.2), закинул на HVS через встроенную шару в папку zabbix на диске C файлы установки, установил x64 версию агента:
Успешная установка, служба работает:
Затем нужно подправить конфигурационный файл zabbix_agentd.win.conf, указать куда будет записываться лог (по умолчанию в корень C), адрес сервера (по умолчанию Server=127.0.0.1) и тестовый сервер Zabbix «из коробки» нормально подцепил агента:
Ну а уже через Zabbix мониторим состояние RAID или отдельных дисков, если RAID не используется. Осталось проверить на боевом сервере в продакшене (уже вряд ли проверю, так как переквалифицировался в управдомы в сетевика-затейника).
HVS 2016 vs HVS 2012 R2
Отличие HVS 2012 R2 от 2016 по CPU
Изучая системные требования для обоих ОС нетрудно увидеть, что HVS 2016 требует наличие SLAT (Second Level Address Translation). SLAT позволяет виртуализовать страницы памяти и отдать их под прямой контроль гостевой системы, не затрагивая гипервизор, что конечно же быстрее и надёжнее. Вот сами требования:
SLAT имеет различные версии реализации:
В то время как HVS 2012 R2 требует только DEP (Data Execution Prevention):
Nested Virtualization
Проверка поддержки виртуализации
Процессорами AMD не пользуюсь, поддержку для процессора Intel проще всего проверить по модели на ark.intel.com, SLAT будет в разделе Advanced Technologies как Intel® VT-x with Extended Page Tables (EPT):
Много утилит для проверки, большинство из них врёт или имеет ограничения. Лучше всего использовать Coreinfo с ключом -v:
Сама MS рекомендует проверять поддержку с помощью Systeminfo.exe, информация о поддержке нужных функций находится в самом низу вывода команды или сокращенно:
Если гипервизор уже установлен и работоспособен, то информация выводится не будет:
Поэтому такая проверка подойдёт для Windows с GUI и без роли Hyper-V, для HVS она бесполезна.
По итогам:
Если же установить HVS 2016 на сервер без SLAT, то он нормально установится и даже можно будет создавать виртуальные машины, но стартовать они не смогут.
Установка
Тут всё просто. Единственный на момент образ HVS 2012 R2 выложен в свободном доступе на MS. Ну и рядом там же HVS 2016. Придется завести учетную запись в MS для скачивания. Наверное можно закачать где-то ещё через торрент, но мне по душе скачивать с первоисточника, если есть возможность, исключает вероятность adware и другие шутки.
Начальная настройка
Для начала нужно выполнить первоначальную настройку через sconfig:
Что ещё есть на самом HVS?
Присутствует стандартный инструментарий командной строки и конечно же PS.
Встроенный фаервол считаю в общем случае лучше не выключать. С другой стороны его работа не бесплатна, он задействует ресурсы HVS при фильтрации пакетов.
В данном примере реализации выключаю потому, что:
Отключение IPv6
После перезагрузки IPv6 будет отключён на всех интерфейсах.
Администрирование
Administration Host
Подробнее о RSAT:
Подробнее о Server Manager:
HVS и AH в одной подсети, в одной рабочей группе
Когда мы добавим HVS в Server Manager на AH, то увидим:
Почему так происходит? Потому, что автоматически компьютеры доверяют друг-другу в домене, а в рабочей группе такое доверие нужно прописать вручную.
Но даже в таком недонастроенном состоянии уже есть возможность удаленно управлять компьютером (из меню, выпадающего по правой кнопке), включая как минимум:
WinRM
Итак, настраиваем WinRM. Параметры WinRM по умолчанию:
Нужно добавить оба компьютера в TrustedHosts друг-другу. Синтаксис тут будет такой:
И после создать файловую шару, куда будут заливаться образы установочных дисков для виртуалок и другие шары для работы:
На что обратить внимание
HVS и AH в одном домене
Проблем нет, идеальный вариант, дополнительная настройка не нужна.
HVS и AH в разных доменах
HVS и AH в разных сетях, соединённых каким-то подключением (скорее VPN), каждый в своей рабочей группе
На что обратить внимание
Чтобы не ловить баги на ровном месте, имена пользователей лучше всегда задавать на латинице;
Проверка
Но работа возможна с добавлением параметра /override.
Итак, запускаю проверку со своего домашнего компьютера:
В выводе скрипта вижу ошибку и солюшен:
Оснастка Hyper-V сразу нормально начинает функционировать, а Управление дисками пишет «Сервер RPC недоступен». Эта ситуация уже была и описана в разделе HVS и AH в одной подсети, в одной рабочей группе. Выключил файрвол на домашнем компьютере, да, Управление дисками работает. Но выключать/включать каждый раз не хочется, полностью выключать тоже не хочется.
Брандмауэр
Во-первых, видно, что запрещаются только неразрешенные входящие соединения:
Стало быть запрос приходит на удалённый компьютер, он отвечает и входящий пакет блокируется. Далее, моё VPN подключение находится в Общем профиле:
HVS и AH в разных сетях, соединённых каким-то подключением, HVS в домене
AH как виртуальная машина на HVS
Настройка HVS через Server Manager
Пароль Администратора
Политики HVS
Политики у HVS есть. Добраться до них непросто, так как на HVS нет mmc:
На AH открываем mmc, Добавить или удалить оснастку->Редактор объектов групповой политики->Обзор->Другой компьютер, вводим имя сервера HVS:
Ну и собственно вот оно. Если сравнивать с политиками на обычном компьютере, то видно, что на HVS политики сильно урезаны:
Настройка Hyper-V
Устанавливаем на AH компоненту для удаленного управления Hyper-V, если AH с серверной ОС:
и RSAT, если AH с десктопной ОС.
Далее создаем внешний виртуальный коммутатор, включаем на нем SR-IOV. Опция доступна только если есть поддержка со стороны железа. Выключить эту опцию потом нельзя, только через удаление существующего и создание нового виртуального коммутатора.
Для машин 2 поколения Hyper-V поддерживаются ОС:
Полную информацию можно посмотреть здесь (прокрутить страницу вниз до Содержание раздела и там выбрать нужную ветку).
Обмен файлами
Всё неплохо воркает через встроенные шары. Когда подключение к интернету высокоскоростное, то залить дистрибутивы не составляет проблемы:
Настройка виртуальных машин
А вот если контроллером домена является одна из виртуалок, Синхронизацию времени с ней нужно выключить.
Включаем SR-IOV в свойствах синтетической сетевой, если есть поддержка со стороны железа. Возможно придётся поставить специализированные драйвера.
Пробрасывание внутрь виртуальных машин USB-устройств (у меня это ключи 1С) осуществляется с помощью программы USB Over Network.
Удаленное управление
Схемы для удалённого управления всего 2:
Про проброс портов подробнее. Вопрос безопасности. Поскольку порты открыты в интернет и присоединиться может каждый желающий, рекомендую следующее:
Кому этого мало, могут обратить внимание на такие срeдства как: Cyberarms IDS и различные скрипты по ограничению количества попыток входа в систему.
Архивирование Acronis
Без архивирования вся проделанная работа ничего не стоит. Первый блин это Acronis Advanced Backup. Варианта тут два:
Разница в количестве лицензий, поэтому выбираю вариант 1. А на AH в этом случае ставится хранилище и менеджмент.
Полностью ознакомиться с документом можно на сайте Acronis’а, либо скачав с моего Google Drive.
Плюс то, что архивирование на уровне гипервизора дает различные схемы по архивированию.
Есть много путей как настроить архивирование, это 1 из вариантов, не самый лучший.
Архивирование HVBackup
Архивация машин с гипервизора, установленного в обычной ОС с GUI при помощи HVBackup была рассмотрена в отдельной заметке.
.Net Framework 3.5
Первое, что нужно сделать установить на машину с HVS .Net Framework 3.5 для Core режима. По умолчанию он не установлен и более того установочного пакета нет в установленной ОС.
Скриншот сделан с другой машины, не HVS, но смысл тот же самый. Поэтому подготавливаем флешку с дистрибутивом и запихиваем в сервер. Букву нового диска удобно посмотреть в Server Manager:
После чего указываем путь к флешке:
WoW64
После чего копируем папку с HVBackup на сервер, там же создаём скрипт backup-vm.cmd:
Скрипт взят с домашней страницы HVBackup, сейчас проект уже в архиве.
Планировщик
На домашней странице HVBackup есть примеры добавления заданий через командную строку. Гораздо удобнее настроить планировщик через Server Manager:
И проверить тестовым запуском:
Очень важно отметить работу с лог файлом.
С помощью этого файла можно контролировать работу задания по архивации не только после завершения задания, но в момент выполнения:
Ещё один момент, если задание уже запущено в Планировщике, то его отмена через Планировщик останавливает работу скрипта, но не останавливает работу HVBackup.exe и все машины будут заархивированы как и положено.
И последнее, задания в Планировщике лучше лучше настроить от отдельного пользователя, которого специально создать под эти цели, тогда после плановой или внеплановой смены своего пароля, спустя недели так 2-3, вдруг не обнаружится, что все задания отвалились.
Восстановление
Возникает проблема, у машины нет прав на работу с файлом диска после перезаписи. Нужно эти права добавить вручную. Так вот просто взять и добавить права конкретной машине не получится, можно можно использовать утилиту MS Icacls.
Смотрим Virtual machine ID машины в папке, где машина лежит:
Он же является и SID для машины, копируем его и вводим команду:
Для русской версии Windows будет:
Смотрим права на файл диска, нужные права на месте:
Всё, машина нормально стартует. Вывод: не оставлять снимок машины, тем более дерево снимков, на длительный срок и заменять при восстановлении только файл диска, иначе работы по смене прав прибавится.
Заключение
Приведенная схема использования стала реальной схемой в продакшене на нескольких серверах.