Windows Server 2016 Hyper-V: Lebih aman, tetapi tidak lebih cepat

Dengan Windows Server 2016, Microsoft telah memperkenalkan daftar panjang peningkatan Hyper-V. Bersama dengan tambahan fungsional seperti dukungan kontainer, virtualisasi bersarang, dan memori yang ditingkatkan dan batas vCPU, Anda akan menemukan sejumlah fitur baru, termasuk pos pemeriksaan tingkat produksi dan kemampuan untuk menambahkan memori dan adaptor jaringan, yang memudahkan administrasi.

Tetapi tujuan utama Microsoft dalam rilis Hyper-V 2016 tampaknya adalah meningkatkan keamanan. Sebenarnya, saya akan melangkah lebih jauh dengan mengatakan bahwa fitur pembunuh baru Hyper-V adalah VM terlindung, yang bekerja dengan enkripsi BitLocker dan layanan penjaga untuk memastikan bahwa mesin virtual hanya berjalan pada host resmi.

Jika satu fitur Hyper-V 2016 mendorong saya untuk meningkatkan, itu akan menjadi fitur VM terlindung. Tetapi kemampuan untuk mengalokasikan lebih banyak memori ke VM Generasi 2, dan kemampuan untuk menambahkan memori dan adaptor jaringan ke host virtualisasi, juga merupakan daya tarik yang besar.

Satu area Hyper-V 2016 mungkin tidak dapat meningkatkan kinerja VM. Faktanya, pengujian benchmark Sandra saya dari mesin virtual Windows Server 2012 R2 pada Hyper-V 2012 R2 versus Hyper-V 2016 menunjukkan langkah mundur. Saya tidak akan menyebut hasil ini definitif dengan cara apa pun, tetapi ingatlah saat Anda mulai mengevaluasi Windows Server 2016 Hyper-V untuk beban kerja Anda sendiri.

Proses penyiapan Hyper-V

Untuk keperluan tinjauan ini, saya memutakhirkan server Windows Server 2012 R2 yang ada ke Windows Server 2016. Untuk sebagian besar, proses pemutakhiran hampir identik dengan menginstal Windows Server 2012 R2. Perbedaannya adalah bahwa Setup Wizard menampilkan pesan peringatan yang memberi tahu Anda bahwa peningkatan Windows Server tidak disarankan, dan Anda harus melakukan penginstalan bersih. Wizard Pengaturan tidak akan menghentikan Anda untuk melakukan peningkatan di tempat, tetapi Anda harus mengklik tombol Konfirmasi untuk menerima pesan peringatan.

Saya bergerak maju dengan proses peningkatan (walaupun saya telah melakukan beberapa instalasi bersih) karena saya ingin melihat apa yang akan terjadi. Selain itu, server yang saya upgrade menjalankan penginstalan bersih Windows Server 2012 R2. Saya telah menginstal peran Hyper-V dan membuat beberapa mesin virtual, tetapi saya belum menginstal perangkat lunak tambahan (selain dari tambalan Microsoft) atau mengaktifkan pengaturan konfigurasi yang tidak normal.

Proses upgrade Windows Server berjalan dengan sangat lancar. Semua pengaturan sistem operasi saya yang ada dipertahankan, dan mesin virtual saya tetap berfungsi setelah peningkatan. Selain itu, Manajer Hyper-V masih merasa sangat familiar. Meskipun Microsoft telah memperkenalkan sejumlah fitur Hyper-V baru di Windows Server 2016, Manajer Hyper-V tidak banyak berubah. Administrator dengan pengalaman Hyper-V sebelumnya pasti akan merasa seperti di rumah sendiri saat menggunakan versi baru.

Menggulirkan upgrade cluster Hyper-V

Meskipun saya awalnya melakukan pemutakhiran di tempat dari satu host Hyper-V, Microsoft juga mendukung pemutakhiran bergulir dari penerapan Hyper-V berkerumun. Ini berarti bahwa server yang menjalankan Windows Server 2016 Hyper-V dapat ditambahkan ke cluster Windows Server 2012 R2 Hyper-V yang ada dan pada dasarnya meniru host Windows Server 2012 R2 Hyper-V, sehingga memungkinkan mereka untuk berpartisipasi penuh dalam cluster. Mesin virtual Windows Server 2012 R2 Hyper-V dapat langsung dimigrasi ke node Hyper-V Windows Server 2016, sehingga memungkinkan pemutakhiran sistem operasi cluster tanpa membuat mesin virtual menjadi offline.

Dalam proses penulisan ulasan ini, saya menerapkan cluster tiga node server Windows Server 2012 Hyper-V, lalu menambahkan node Windows Server 2016 Hyper-V. Saya berhasil bergabung dengan node ke cluster dan melakukan migrasi VM secara langsung antara dua versi Hyper-V yang berbeda. Singkatnya, proses peningkatan klaster bergulir bekerja dengan sempurna.

Saya menyelesaikan peningkatan klaster saya di sore hari, tetapi Microsoft mengizinkan koeksistensi jangka panjang antara versi Hyper-V dalam klaster. Koeksistensi jangka panjang pasti akan lebih mudah sekarang karena Microsoft telah mengubah Manajer Hyper-V, sehingga dapat digunakan secara bersamaan dengan beberapa versi Hyper-V. Dari Hyper-V Manager di Windows Server 2016, Anda juga dapat mengelola Hyper-V di Windows Server 2012 dan Windows Server 2012 R2.

Satu kelemahan Manajer Hyper-V baru: Karena Microsoft sekarang mengirimkan pembaruan ke Layanan Integrasi Hyper-V melalui proses manajemen tambalan normal, opsi untuk menerapkan layanan integrasi tampaknya telah dihapus. Menginstal layanan integrasi melalui Pembaruan Windows terdengar seperti kemajuan, tetapi tidak ada salahnya jika metode lama tersedia sebagai fallback.

Perhatikan bahwa setelah semua node cluster Anda menjalankan Windows Server 2016 Hyper-V, dan Anda telah memperbarui tingkat fungsional cluster (tindakan administratif yang disengaja yang Anda jalankan melalui PowerShell), Anda akan kehilangan kemampuan untuk menambahkan node Windows Server 2012 R2 ke gugus. Setelah Anda memperbarui tingkat fungsional cluster, tidak ada jalan untuk mundur.

Mesin virtual terlindung

Sementara banyak pekerjaan telah dilakukan selama bertahun-tahun untuk melindungi VM dari ancaman luar, mesin virtual (termasuk yang berada di platform yang bersaing seperti VMware, Xen, dan KVM) tetap rentan untuk disusupi oleh administrator nakal. Tidak ada yang menghentikan admin untuk menyalin seluruh VM ke USB flash drive dan berjalan keluar dengan itu. Tentu, sebelumnya enkripsi hard disk virtual dapat dilakukan, tetapi administrator resmi dapat dengan mudah membatalkan enkripsi level VM apa pun.

Di Windows Server 2016 Hyper-V, fitur VM terlindung mengenkripsi disk dan status mesin virtual dengan cara yang mencegah siapa pun selain VM atau admin penyewa untuk mem-boot VM atau mengakses kontennya. Fitur ini bekerja dengan memanfaatkan fitur Windows Server baru yang disebut Host Guardian Service, yang memegang kunci untuk mengenkripsi dan mendekripsi VM yang dilindungi.

Layanan Host Guardian memeriksa untuk melihat apakah host Hyper-V diotorisasi atau "dibuktikan" untuk menjalankan mesin virtual. Benar — admin dapat membatasi VM terlindung, jadi mereka hanya akan berjalan di host tertentu yang lulus uji pengesahan. Ini berarti bahwa jika admin jahat menyalin VM terlindung ke flash drive, salinan VM tersebut tidak akan berguna bagi admin. VM tidak akan dapat berjalan di luar organisasi, dan kontennya tidak dapat diakses karena kunci yang diperlukan untuk mendekripsi VM dilindungi oleh Host Guardian Service.

Host Guardian Service mendukung dua mode pengesahan yang berbeda, yang disebut pengesahan tepercaya admin dan pengesahan tepercaya TPM. Pengesahan tepercaya admin adalah yang lebih mudah dari dua mode untuk diterapkan, tetapi tidak seaman pengesahan tepercaya TPM. Host tepercaya admin didasarkan pada keanggotaan grup keamanan Direktori Aktif, sedangkan host tepercaya TPM didasarkan pada identitas TPM dan bahkan pemeriksaan integritas kode dan booting.

Selain proses konfigurasinya yang lebih kompleks, pengesahan tepercaya TPM memiliki beberapa persyaratan perangkat keras. Host yang dilindungi harus mendukung TPM 2.0 dan UEFI 2.3.1 atau lebih tinggi. Sebaliknya, pengesahan tepercaya admin tidak memiliki persyaratan perangkat keras yang signifikan selain yang diperlukan untuk menjalankan Hyper-V.

Meskipun sebagian besar liputan media yang berkaitan dengan keamanan Hyper-V 2016 berfokus pada VM terlindung, Microsoft telah memperkenalkan peningkatan keamanan lainnya. Misalnya, Hyper-V sekarang mendukung Boot Aman untuk beberapa VM Linux. Menurut Microsoft, versi Linux yang didukung termasuk Ubuntu 14.04 dan yang lebih baru, Suse Linux Enterprise Server 12 dan yang lebih baru, Red Hat Enterprise Linux 7.0 dan yang lebih baru, dan CentOS 7.0 dan yang lebih baru.

Peningkatan keamanan signifikan lainnya adalah dukungan enkripsi disk OS berbasis BitLocker di mesin virtual Generasi 1. Peningkatan keamanan khusus ini belum mendapatkan banyak perhatian dari pers, tetapi signifikan karena jumlah VM Generasi 1 yang berjalan di lingkungan produksi. Bagaimanapun, VM Generasi 2 hanya didukung untuk digunakan dengan sistem operasi tamu tertentu. Meskipun daftar sistem operasi tamu yang didukung telah bertambah selama bertahun-tahun, beberapa penerapan Linux yang dapat dijalankan pada VM Generasi 2 terus beroperasi pada VM Generasi 1, hanya karena ketidakmampuan untuk mengubah versi VM.

Wadah Windows

Salah satu fitur utama yang diperkenalkan di Windows Server 2016 adalah container, yang terdiri dari dua jenis. Wadah Windows Server berbagi kernel OS dengan host (dan wadah lain yang mungkin berjalan di host), sementara wadah Hyper-V menggunakan hypervisor dan OS tamu ringan (Windows Server Core atau Nano Server) untuk memberikan level yang lebih tinggi. isolasi. Pikirkan wadah Hyper-V sebagai mesin virtual ringan.

Sampai saat ini, saya telah menghabiskan waktu bereksperimen dengan kedua jenis wadah tersebut. Penilaian saya: Meskipun container tampak berfungsi seperti yang diiklankan, ada kurva pembelajaran yang curam terkait dengan penggunaannya. Penampung harus dibuat dan dikelola di baris perintah (sebagai lawan menggunakan Manajer Hyper-V) melalui sintaks perintah Docker, yang sangat berbeda dari lingkungan baris perintah lain seperti PowerShell.

Saya pikir kontainer akan terbukti relevan dengan admin Windows, tetapi saya sangat menyarankan menghabiskan waktu di lingkungan lab untuk membiasakan diri dengan Docker dan banyak nuansanya sebelum menerapkan kontainer dalam produksi.

Pertanyaan kinerja

Dalam upaya untuk menguji kinerja Windows Server 2016, saya membawa server baru online, menjalankan penginstalan bersih Windows Server 2012 R2 Hyper-V. Server ini dilengkapi dengan perangkat keras kelas bawah dan tua, tetapi karena tujuannya adalah untuk memeriksa kinerja relatif, perangkat keras mutakhir tidak terlalu diperlukan.

Dengan server Windows Server 2012 R2 Hyper-V online yang baru, saya membuat mesin virtual Generasi 2 yang menjalankan Windows Server 2012 R2. Baik host maupun sistem operasi tamu telah sepenuhnya ditambal, dan VM pengujian saya adalah satu-satunya mesin virtual yang ada di host.

Setelah OS tamu baru aktif dan berjalan, saya menginstal Sandra 2016 di mesin virtual untuk mengukur kinerja mesin virtual. Saya terutama tertarik pada CPU, penyimpanan, memori, dan kinerja jaringan. 

Dengan seperangkat metrik dasar di tangan, saya memutakhirkan host Hyper-V ke Windows Server 2016. Microsoft tidak menyarankan pemutakhiran di tempat, tetapi saya memilih untuk melakukan satu daripada pemasangan bersih demi menjaga lingkungan pengujian saya tetap konsisten seperti mungkin di semua tes.

Saat pemutakhiran selesai, saya mem-boot VM, yang masih menjalankan Windows Server 2012 R2. Selanjutnya, saya mencoba untuk meningkatkan Layanan Integrasi Hyper-V pada VM, tetapi Microsoft telah menghapus opsi untuk melakukan ini secara manual. Layanan Integrasi sekarang dikirimkan melalui Pembaruan Windows.

Setelah sepenuhnya menambal Host Windows Server 2016 Hyper-V, saya mengulangi tes benchmark dalam upaya untuk melihat apakah versi baru Hyper-V akan menghasilkan peningkatan kinerja. Nyatanya, yang terjadi justru sebaliknya. VM saya mengalami penurunan performa yang signifikan.

Untuk pengujian terakhir saya, saya melakukan upgrade di tempat dari sistem operasi tamu ke Windows Server 2016. Saya sepenuhnya menambal OS tamu baru dan mengulangi pengujian benchmark saya untuk terakhir kalinya. Kali ini, kinerja VM saya sebagian besar meningkat, tetapi tidak cukup ke level VM Windows Server 2012 R2 asli yang berjalan pada host Windows Server 2012 R2, dan beberapa pengujian menunjukkan bahwa kinerja semakin berkurang.

Saya telah membuat daftar metrik yang saya tolok ukur dan hasilnya di bawah ini.

Tes Sandra 2016 Host Windows Server 2012 R2 dan VM Windows Server 2012 R2 Host Windows Server 2016 dan VM Windows Server 2012 R2 Host Windows Server 2016 dan VM Windows Server 2016

Aritmatika prosesor (kinerja asli agregat)

27,73 GOPS

20,82 GOPS

26.31 GOPS

Bandwidth kriptografi

435 MBps

390 MBps

400 MBps

Bandwidth intercore prosesor

2,12 GBps

2,08 GBps

2 GBps

Disk fisik (skor drive)

975,76 MBps

831.9 MBps

897 MBps

Sistem file I / O (skor perangkat)

242 IOPS

238 IOPS

195 IOPS

Bandwidth memori (kinerja memori agregat)

10,58 GBps

10 GBps

10 GBps

Throughput transaksi memori

3 MTPS

3 MTPS

2.92 MTPS

LAN jaringan (bandwidth data)

7,56 MBps

7,21 MBps

7,16 MBps

Seperti yang Anda lihat, menurut pengujian Sandra saya, VM Windows Server 2012 R2 tidak bekerja dengan baik pada Windows Server 2016 Hyper-V seperti pada versi Hyper-V sebelumnya. Saya menjalankan setiap tolok ukur beberapa kali (saat host menganggur) dalam upaya untuk memastikan metrik saya akurat. Kinerja mesin virtual meningkat saat OS tamu ditingkatkan ke Windows Server 2016, tetapi tidak ke tingkat tamu Windows Server 2012 R2 yang berjalan di Windows Server 2012 R2 Hyper-V.

Secara alami, Anda harus mengambil hasil patokan ini (dan lainnya) dengan sebutir garam. Tolok ukur tidak selalu mencerminkan kenyataan, dan temuan ini hanya mewakili satu rangkaian pengujian pada satu konfigurasi perangkat keras. Selain itu, saya bersedia memberikan Microsoft keuntungan dari keraguan karena metrik ditangkap pada host yang telah ditingkatkan dari versi Windows Server sebelumnya, daripada host yang menjalankan instalasi bersih.

Satu-satunya pengujian yang berarti dari kinerja Windows Server 2016 Hyper-V adalah beban kerja Anda yang sebenarnya pada perangkat keras Anda yang sebenarnya. Berdasarkan hasil tes Sandra, Anda pasti ingin melihat performa Hyper-V 2016 dengan cermat.