Уже в течение нескольких месяцев компания Microsoft не торопясь готовит к выпуску многообещающую версию Windows Server (условное название Windows Server 8). Редакторы журнала Windows IT Pro познакомились с Server 8 на сентябрьской конференции BUILD, проведенной Microsoft. В своем первом отзыве о новейшей операционной системе Windows Server Поль Тюрро дает общий обзор, Шон Дьюби рассматривает Active Directory, Джефф Джеймс сосредоточил внимание на хранении данных, а Майкл Оти рассказывает о виртуализации.
. Изменения одновременно пугают и волнуют, но они необходимы. Для практического знакомства с Server 8 обратитесь по адресу www.buildwindows.com и загрузите предварительную версию Windows Developer Preview.
Общий обзор
В течение последнего десятилетия инструменты управления сервером были рассчитаны в основном на отдельные серверы, а не на всю ИТ-инфраструктуру (то есть группы серверов). Одна из главных целей Windows Server — обеспечить централизованное управление серверной инфраструктурой внутри предприятия (или между предприятиями).
Компания Microsoft проектировала Server 8 совместно с Windows 8; у них одинаковый базовый код и одинаковые усовершенствования и технологии базовой платформы. Дата выпуска пока не объявлена, но можно предположить, что обе операционные системы появятся не позднее сентября 2012 года. Microsoft определила четыре ключевые области совершенствования Server 8: виртуализация, централизованное управление серверами, новейшие ресурсы и новая платформа приложений. Однако мой взгляд несколько иной.
Как я уже отмечал, на первом плане — централизованное управление серверами. В предыдущих версиях Windows Server компания представила две ключевые технологии, которые почти не используются потребителями: Server Core и PowerShell.
Администраторы не проявляют энтузиазма относительно Server Core по двум причинам: поддержка ограниченного набора ролей и функций (и невозможность преобразования в полную версию Server), а использование этого варианта затруднено из-за интерфейса на основе командной строки. Можно управлять сервером Server Core через административные инструменты дистанционно с других серверов или клиентских компьютеров, но функциональность этих инструментов неполна, а вручную соединять разные серверы довольно сложно. В Server 8 устранены ограничения Server Core. Новый компонент Server Manager полноценно функционирует в дистанционном режиме и обеспечивает одновременное управление несколькими серверами. Теперь Server Core (название Server Core, возможно, сохранится в Server 8) — просто режим, который можно включать и отключать «на ходу».
У PowerShell есть сторонники, но пока эта технология редко применяется администраторами и ИТ-специалистами в повседневной работе. В Server 8 оболочка PowerShell встроена непосредственно в Server Manager и другие административные инструменты Server 8. Пользователи получают расширяемую панель, на которой отображаются команды PowerShell, задействованные в ходе выполнения задач управления. В результате можно копировать и вставлять исходный текст для повторного использования в собственных сценариях автоматизации. Оболочка PowerShell стала проще, усовершенствован механизм автоматического завершения ввода команд. Наконец, количество встроенных команд PowerShell увеличилось с приблизительно 200 в Windows Server 2008 R2 до более чем 2300 в Server 8.
Server Manager преобразован в приложение в стиле интерфейса Metro, не имеющее ничего общего с предыдущей версией. Для него требуется большой экран с высоким разрешением. Консоль управления Microsoft Management Console (MMC) остается в Server 8 для совместимости со старыми интерфейсами, но, насколько мне известно, платформа не будет использоваться ни одним новым административным графическим интерфейсом Microsoft.
Слабое место Server Manager — внутренние экраны, к которым обращаются, когда требуется выполнить какое-нибудь реальное действие. Главное окно Server Manager очень удобное; оно играет роль приборной панели, одного взгляда на которую достаточно, чтобы получить представление об общем состоянии среды. Но если немного углубиться, пользовательский интерфейс становится монотонным, малопонятным и разделенным на странные функциональные блоки. Содержимое этих блоков часто взаимосвязано, но обнаружить и использовать его непросто. Актуальный пример — интерфейс NIC Teaming: необходимо выбрать объект в одном разделе (сервер), затем щелкнуть меню Tasks, связанном с другим разделом (для сетевых адаптеров), скрытым до тех пор, пока над ним не будет расположен курсор мыши.
В продукте Windows Home Server было по крайней мере одно важное концептуальное новшество: благодаря технологии Drive Extender пользователи могли не обращать внимания на символы дисков и объединить локальную дисковую память, обращаясь к ней как к единому целому. Кроме того, с помощью Drive Extender просто обеспечить избыточность данных в массиве RAID, дублируя все файлы на втором физическом диске.
Идея Drive Extender была удачной, но реализацию нельзя назвать вполне готовой для применения в компаниях. После тестирования технологии на серверах для малого бизнеса нового поколения специалисты Microsoft убедились в ее недостаточной надежности и несовместимости со многими серверными приложениями. Поэтому от нее отказались, к досаде поклонников Windows Home Server, многие из которых проигнорировали выпуск второго поколения Windows Home Server 2011 (без Drive Extender).
Но вопреки кажущемуся безрассудству этого подхода, инженеры группы Server работали над собственными новаторскими решениями для хранения данных. Хотя на первый взгляд изменения концептуально схожи с Drive Extender, их реализация в Server 8 более надежна (подробнее об этом рассказано в разделе «Хранение данных», подготовленном Джеффом Джеймсом).
Поль Тюрро (thurrott@windowsitpro.com) — редактор новостей в Windows IT Pro. Готовит еженедельные выпуски для Windows IT Pro Update (www.windowsitpro.com/email) и ежедневные выпуски новостей Wininfo
Dynamic Access Control
Одна из самых серьезных задач в области безопасности в домене Windows, тесно связанная с хранением данных, — применить правильные параметры безопасности к файлам, хранящимся на томах NTFS (всем файлам, а не только известным пользователю). По данным Microsoft, несмотря на широкое распространение Microsoft Office SharePoint Server, серверы файлов остаются крупнейшим репозиторием данных в компаниях (80%). Периодические проверки соответствия нормативным актам — весьма дорогостоящие мероприятия. Их сложность усугубляется тем обстоятельством, что в современной файловой среде Windows Server существует разрыв между общей политикой информационной безопасности и ее реализацией на серверах файлов в домене. Каждый, кому приходилось заниматься администрированием сервера, знает, как трудно избежать исключений в среде с десятками, сотнями и даже тысячами индивидуально настраиваемых серверов файлов в соответствии с корпоративной политикой.
Windows Server 8 Dynamic Access Control — новый механизм авторизации для файловой системы, с помощью которого ИТ-специалисты могут определить центральные политики доступа к файлам на уровне домена, применяемые к каждому серверу файлов в домене. Dynamic Access Control обеспечивает «сеть безопасности» дополнительно к существующим разрешениям общих ресурсов и NTFS. Таким образом, приоритетная центральная политика будет действовать независимо от повседневных изменений в разрешениях общих ресурсов и NTFS.
Dynamic Access Control — первый пример использования заявок (claim) в базовой модели авторизации Windows (управление доступом). Заявка — это объявление об объекте, опубликованное доверенным поставщиком удостоверений. Заявки уже существуют как средство безопасности в Интернете, где являются основным элементом технологии федеративных удостоверений. При этом для обработки заявок используется служба Security Token Service (STS), например Active Directory Federation Services (AD FS), которая преобразует данные в маркерах Kerberos в заявки, пригодные для использования веб-службами.
В модели управления доступом Server 8 заявки представляют собой атрибуты Active Directory (AD), определенные для использования с централизованными политиками доступа. Можно назначать заявки как для пользователей (User.company==FTE), так и для устройств (Device.managed==true). Это легко сделать через Active Directory Administrative Center (ADAC), если на одном иерархическом уровне с доменом есть новый контейнер Claim Based Access. Такого рода доступ на основе заявок обеспечивает недоступный в прошлом уровень детализации и гибкости. Первоначально продукт носил название «управление доступом на основе заявок», но был переименован в Dynamic Access Control, так как новая система управления доступом не ограничивается одними заявками.
Развертывание централизованных политик доступа к файлам через Dynamic Access Control — процесс, состоящий из четырех этапов. Первый и, вероятно, самый трудный шаг — определить и классифицировать данные сервера файлов. Классификация назначается тегами NTFS и предусматривает использование на сервере операционной системы Server 8. Существует несколько методов назначения тегов. Данные можно снабжать тегами и классифицировать на основе приложений; с помощью сложного автоматического механизма, способного, например, выполнить поиск форматов социального страхования или слова «конфиденциально»; по папкам; назначать теги вручную в зависимости от владельца контента сервера файлов.
Пока идет процесс классификации, Information Security может строить централизованные политики доступа, применяемые к различным видам файлов. Эти политики гораздо более гибкие и конкретные, чем любые средства управления доступом, имевшиеся в Windows до сих пор; можно использовать условия доступа на основе выражений с поддержкой пользовательских заявок, заявок устройств и тегов файлов. Если политики применены, глубоко настраиваемый механизм исправления Access Denied направляет пользователя к определенному URL-адресу или формирует сообщение электронной почты, чтобы при необходимости скорректировать ситуацию.
После применения политики можно также определить централизованные политики аудита, применяемые к нескольким серверам файлов. Подобно политикам доступа, политики аудита определяются условиями аудита на основе выражений с поддержкой пользовательских заявок, заявок устройств и тегов файлов. А поскольку существует большой разрыв между первоначально задуманной политикой и ее практической реализацией, задействован встроенный механизм, функционирующий как результирующий набор политик (RSoP) групповой политики для тестирования целевых файловых серверов при моделировании неоднозначных ситуаций перед активацией политик.
Наконец, можно автоматически защитить определенные типы данных Microsoft Office с использованием служб Windows Rights Management Services (RMS) на основе тегов файлов. Для этой функциональности, составной части Dynamic Access Control, не требуется отдельного экземпляра служб Active Directory Rights Management Services (AD RMS). RMS обеспечивает защиту почти в реальном времени: спустя несколько секунд после назначения тегов документам. Благодаря возможностям расширения Dynamic Access Control удается распространить защиту RMS на документы, отличные от Office.
Функциональность столь высокого уровня требует серьезных изменений в различных компонентах Windows. AD необходимо обновить для распознавания заявок. Система NTFS обновлена для использования регулярных выражений в списках управления доступом (ACL) файловой системы, в дополнение к таким участникам информации, как пользователи и группы. Это очень ценно для администраторов, поскольку после перехода на Server 8 они немедленно получают преимущества дополнительной гибкости (даже если не заданы централизованные политики). Например, используя регулярные выражения, можно легко создавать и объединять группы способом AND; в предыдущих версиях допускалась только операция OR. Например, можно прямо указать, что для доступа к определенному набору файлов необходимо быть членом группы Full-Time Employees AND, членом группы Finance, не создавая вложенных групп (когда группа Finance вложена в группу Full-Time Employees, которая вложена группу Domain Users), как в существующей модели.
Изменения в базовой платформе проверки подлинности чрезвычайно важны для успешного функционирования Dynamic Access Control. Чтобы использовать заявки в новой модели управления доступом, не перекраивая проверку подлинности AD, заявки хранятся в поле Privilege Attribute Certificate (PAC) в билете Kerberos. Там же хранятся идентификатор SID пользователя и идентификаторы SID группового членства, поэтому извлечь сведения об утверждении будет, видимо, довольно просто. Недостаток такого подхода — в ограниченном размере PAC, и некоторые компании сталкиваются с проблемами «разбухания» маркеров, когда пользователь становится членом слишком многих групп. Конечно, повышенная гибкость Dynamic Access Control должна сократить количество групп, в которых пользователю можно оформлять членство.
Применение Dynamic Access Control в Server 8 ограничивается файловой системой NTFS. Как объяснил мне Роберт Делука, старший программный менеджер в компании Microsoft, в основу проектирования Server 8 были положены сценарии, и в первую очередь было важно предусмотреть сценарий централизованного управления доступом и соответствия законодательным актам. Работа началась с этого сценария, и по мере накопления опыта могут быть охвачены и другие области (например, проверка подлинности и авторизация на основе заявок).
Dynamic Access Control в Server 8 — не просто мощный компонент информационной безопасности и соответствия законодательным актам. Это фундамент для гибкой авторизации в будущих версиях Windows. ИТ-специалисты, обеспокоенные сохранностью своих рабочих мест, с удовлетворением отметят, что его внедрение будет крупным проектом, требующим много времени на реализацию.
Шон Дьюби (sdeuby@windowsitpro.com) — старший аналитик в компании Platform Vision с 25-летним стажем работы в области корпоративных информационных систем. Внештатный редактор Windows IT Pro, имеет звание MVP
Улучшения Active Directory
Active Directory (AD) — фундаментальный компонент системы Windows Server, и любые изменения в нем должны соответствовать требованиям, которые можно разделить на три категории. Первая группа требований относится ко всей экосистеме Windows Server, аутентификация и управление доступом в которой зависит от AD. AD применяется для Microsoft Exchange Server, System Center, Hyper-V, SQL Server и многих других продуктов Microsoft.
Вторая группа требований относится к владельцам службы AD — системным администраторам, которые собственно управляют распределенным приложением AD на контроллерах домена (DC). Хотя возможности управления заметно расширились за время существования AD, задача остается сложной. Как упростить общение с этим важнейшим, но запутанным компонентом инфраструктуры в ИТ-среде, сложность которой неизмеримо возросла по сравнению с тем временем, когда проектировалась служба каталогов?
Третья группа требований обращена буквально к миллионам пользователей во всем мире, работающим с AD прямо или косвенно для управления доступом к различным ресурсам в домене. Как будет изменяться устаревающая модель управления доступом пользователей/групп, чтобы обеспечить соответствие современным требованиям безопасности и законодательным актам, и расширяться в ногу с растущими потребностями завтрашнего дня? Натан Маггли из Microsoft замечает, что внесение изменений в Active Directory похоже на приготовление пиццы для миллиона людей: каждому нужно что-то свое.
В Windows Server 8 нет крупных изменений в AD. Нет базы данных службы каталогов на основе SQL Server, а на DC нельзя разместить более одного раздела домена. Зачем это делать, если можно создать еще один виртуальный DC? Вместо этого группа разработчиков сосредоточилась на трех основных целях, которые в разной степени затрагивают всех заинтересованных лиц. Во первых, AD нуждается в работоспособной виртуализации. Во вторых, развертывание AD должно быть простым. Наконец, управление AD также должно быть простым.
Эффективная виртуализация
Надежная виртуализация AD значительно облегчит задачу многим системным администраторам, так как, несмотря на простоту правил виртуализации AD, ответственность распределяется сразу между несколькими группами специалистов. Поэтому безопасность AD в виртуальном мире — не просто техническая проблема, это проблема организационная и человеческая. И последствия ошибки могут быть крайне тяжелыми, как показано в статье Microsoft «USN and USN Rollback», размещенной по адресу technet.microsoft.com/en-us/library/virtual_active_directory_domain_controller_virtualization_hyperv (WS.10).aspx.
До появления Server 8 источником проблем AD в виртуальной среде было отсутствие у распределенного по своей природе приложения AD сведений о специфических для виртуализации действиях, предпринимаемых ниже уровня хост-компьютера. В частности, можно сбить с толку AD и ввести опасное состояние, известное как «возврат USN» (USN rollback), при восстановлении виртуальной машины DC из моментального снимка или резервной копии образа. Причина в том, что у такого распределенного приложения, как AD, больше взаимозависимостей за пределами сервера, чем у приложения, одновременно запускаемого только на одном экземпляре. DC, восстановленный из резервной копии образа, появляется из прошлого как по волшебству, но такой способ оказывается неполным, поскольку состояние не распознается ни его партнерами, ни самим восстановленным DC.
Наоборот, «ориентированная на виртуализацию» технология AD в Server 8 гарантирует, что виртуальный DC обнаружит применение мгновенных снимков или копирование VDC. Для обнаружения изменений используется идентификатор поколения виртуальной машины (gen ID). В результате изменения будут обнаружены и AD защищена либо приняты корректирующие меры. Для этого необходимо внести изменения в Hyper-V, и компания Microsoft будет работать с другими поставщиками продуктов виртуализации, чтобы такая технология появилась и в их гипервизорах. Сделать это в их интересах, так как иначе Microsoft будет обладать конкурентным преимуществом за счет Hyper-V.
Клонирование контроллера домена
Вторая цель — добиться простоты развертывания AD — стала возможной благодаря технологии gen ID, с помощью которой не составляет труда безопасно клонировать виртуальные DC Server 8. С точки зрения администратора, процесс прост: нужно скопировать/вставить/переименовать файл диска vhd исходного виртуального DC, чтобы получить второй экземпляр диска, переместить его в папку назначения, воспользоваться Hyper-V Manager или Virtual Machine Manager для создания новой виртуальной машины и связать скопированный VHD с новой виртуальной машиной. После этого достаточно запустить ее. Конечно, незаметно для пользователя происходит и много других событий.
Простые обновления и DCPROMO
Помимо возможности клонирования контроллеров VDC, полностью переработан и стал гораздо проще процесс обновления и развертывания. В Server 8 AD можно обновить домены и лес от текущей версии AD к версии Server 8 целиком из Server Manager. В отличие от предшествующих версий не обязательно регистрироваться на различных контроллерах домена с разными наборами учетных данных, искать верную версию ADPREP, запускать ее с параметром /FORESTPREP в лесу, запускать с /DOMAINPREP в каждом домене и выбирать время для обновления SYSVOL. Все эти действия осуществляются автоматически. Желающие могут выполнить часть этапов обновления самостоятельно. Процесс DCPROMO также упрощен и располагает мощными встроенными функциями диагностики, так как эта область — одна из тех, по поводу которых служба технической поддержки Microsoft получает больше всего обращений.
Усовершенствования в администрировании
Третья цель Server 8 AD — простота управления. В соответствии с идеей распространения PowerShell по всей операционной системе, теперь можно выполнить почти любую административную задачу в AD с использованием PowerShell. Охват административных задач в PowerShell увеличился с 200 до более чем 2300 команд. Теперь администраторам проще найти специальную команду, вместо того чтобы составлять сценарий из нескольких команд.
Любопытно, что, несмотря на активное использование PowerShell для других действий с AD, у корзины AD (полезное дополнение Windows Server 2008 R2, доступное только через PowerShell) появился графический интерфейс. Лично я — сторонник графического интерфейса корзины; если по ошибке удаляешь учетную запись или группу, никому не хочется тратить время на поиск синтаксиса PowerShell для ее восстановления.
Кроме того, в административном центре Server 8 Active Directory Administrative Center (ADAC) есть расположенное внизу новое окно PowerShell History Viewer. По умолчанию оно скрыто, но его можно раскрыть, чтобы увидеть, какие команды PowerShell выполняются в результате действий администраторов в ADAC. Наблюдая за их потоком, можно изучить синтаксис относящихся к AD команд PowerShell. Не составляет труда скопировать команды и вставить в собственный сценарий либо объединить команды в задачи с помощью функции Tasks в этом окне. Журнал сохраняется после завершения сеанса ADAC, поэтому можно вернуться на несколько лет назад и отыскать синтаксис конкретной команды, запускавшейся ранее. У ADAC тоже есть ограничения, поэтому сохраняется известная консоль Active Directory Users and Computers (ADUC), но она не усовершенствована. Перефразируя известное выражение: «ADUC умер! Да здравствует ADAC!»
Active Directory — встроенная активация продуктов
Еще одна полезная функция, цель которой — упростить управление: для активации продуктов вместо отдельной инфраструктуры используется AD. Для связи с клиентами применяется LDAP вместо RPC, и никаких данных в каталог не записывается. Пока не удается избавиться от службы управления ключами (KMS); она по-прежнему необходима для лицензий нижнего уровня (то есть всех продуктов, производящихся в настоящее время).
AD FS — еще один шаг к интеграции с Active Directory
Службы Active Directory Federation Services (AD FS) более тесно интегрированы с основными компонентами сервера по сравнению с предшествующими версиями. В Server 8 службы AD FS устанавливаются как роль в Server Manager вместо загружаемой надстройки. Пока не сделан гораздо более значительный архитектурный шаг к превращению в компонент AD, но развитие идет в верном направлении. После добавления заявок в маркер Kerberos, AD FS может извлекать эти заявки из маркера, а также использовать статические заявки устройств (например, какому подразделению принадлежит ноутбук).
Active Directory становится проще
В Server 8 AD появилось несколько очень полезных улучшений в виртуализации, развертывании и управлении, цель которых — облегчить работу тысяч ИТ-специалистов, не являющихся экспертами по AD. Эти улучшения помогут «уменьшить трение при развертывании» Windows Server, по выражению Джеффри Сновера. А многочисленные мелкие изменения в AD служат основой для разнообразных новых функций операционной системы. Начинается подготовка полноценной бета-версии, и будет интересно понаблюдать, какие корректировки произойдут в одном из наиболее широко распространенных программных продуктов Microsoft для компаний.
Шон Дьюби (sdeuby@windowsitpro.com) — старший аналитик в компании Platform Vision с 25-летним стажем работы в области корпоративных информационных систем. Внештатный редактор Windows IT Pro, имеет звание MVP
Хранение данных
В Windows Server 8 имеется множество совершенно новых решений для хранения данных, а также большое число улучшений в существующих функциях. Я сосредоточусь на следующих: пулах и томах накопителей, изменениях в утилите CHKDSK и дедупликации данных.
Пулы и тома накопителей
Многие компании используют огромное количество устройств хранения данных разнообразных типов и размеров. В этих условиях задача поиска удобного способа управления и выделения памяти всегда была очень сложной. Специалисты Microsoft надеются упростить ее с помощью пулов и томов накопителей, двух новых концепций абстрагирования хранилищ памяти, применяемых в Server 8.
Пулы накопителей можно представить как единицы агрегации памяти, упрощающие администрирование и изоляцию. Тома накопителей обеспечивают производительные, гибкие виртуальные диски и упрощенное предоставление памяти.
Например, можно использовать тома хранения данных для агрегирования отдельных устройств памяти в одну единицу хранения, а затем предоставлять и делить это пространство хранения данных любым удобным способом. Это отличный метод выделения хранилищ данных виртуальным машинам, что существенно упрощает управление разнообразными типами памяти. Пулы и тома накопителей можно масштабировать от малого и среднего бизнеса до крупных компаний, что позволит поднять гибкость на новый уровень.
Возвращение CHKDSK
Утилита CHKDSK существует в различных формах со времен появления MS-DOS и успела отравить жизнь многим системным администраторам. На больших томах процесс CHKDSK иногда занимал несколько часов, что нарушало любые планы самых организованных ИТ-специалистов. Кажется, компания Microsoft наконец-то услышала коллективный вопль миллионов ИТ-специалистов при появлении страшного сообщения CHKDSK; в Server 8 появились наконец улучшения CHKDSK.
Главное новшество — проверка CHKDSK разделена на два этапа: «оперативную» проверку и регистрацию ошибок, в ходе которой CHKDSK ищет дефекты томов в фоновом режиме, и значительно укороченный «автономный» этап устранения ошибок в данных накопителя.
На семинаре Windows Server 8 Reviewers Workshop Матт Гарсон, старший менеджер программы Microsoft по хранению данных и файловым системам, убедительно продемонстрировал экономию времени новой утилитой CHKDSK по сравнению со старой версией: проверка 300 млн файлов с помощью старой CHKDSK могла бы занять 350 минут, но в новой версии то же число файлов проверено менее чем за 8 секунд. Это поразительное увеличение скорости показывает, что Microsoft не только занимается яркими новыми функциями Server 8, но и устраняет некоторые недостатки Windows Server, которые вызывали недовольство системных администраторов на протяжении многих лет.
Дедупликация данных
Требования в физическому объему хранилищ памяти растут экспоненциально, и один из способов сэкономить место — воспользоваться такими технологиями, как дедупликация данных, применяемая в Server 8 для уменьшения размеров хранилищ данных. Принцип ее действия следующий: предположим, у нас имеются десятки файлов виртуальных жестких дисков (VHD). Многие файлы, хранящиеся в этих VHD, — точные копии друг друга, например Microsoft Paint. В ходе дедупликации данных удаляются все копии Microsoft Paint из всех VHD, кроме одного. Все избыточные данные помещаются в отдельное хранилище в System Volume Information (SVI), а вместо них вставляется маркер, указывающий на файл-шаблон. Представьте, что метод применяется к тысячам (если не миллионам) файлов во всей сети хранения файлов, и экономия места на носителях станет очевидна.
Я выполнил лабораторную работу по Windows 8 на семинаре Reviewers Workshop, чтобы протестировать дедупликацию. Большое впечатление производит применение технологии по сети на отдельных компьютерах Server 8 и Windows 8. Время копирования файлов значительно сокращается. Эта превосходная функция должна существенно повысить эффективность использования сети.
Джефф Джеймс (jjames@windowsitpro.com) — старший редактор журналов Windows IT Pro и SQL Server Magazine. Специализируется на виртуализации и терминальных службах
Виртуализация
Очевидно, что улучшения в управлении многочисленными серверами Windows Server 8, автоматизации PowerShell, Active Directory (AD) и хранении данных значительны. Однако самыми крупными могут оказаться изменения в новом механизме виртуализации Hyper-V 3.0. На недавно проведенном компанией Microsoft семинаре Windows Server 8 Reviewers Workshop Джефф Вулси, главный менеджер программ по виртуализации Windows в подразделении Windows Server and Cloud, представил новые функции в следующей версии платформы виртуализации Hyper-V. Открывая семинар, Джеффри Сновер, главный инженер и ведущий архитектор подразделения Windows Server, сделал смелое заявление, что в третьем выпуске найдено верное решение. Это безусловно так для будущей версии Hyper-V 3.0 в составе Server 8: технологическое отставание от VMware vSphere наконец устранено.
Масштабируемость Hyper-V 3.0
Отставание Hyper-V от VMware по масштабируемости осталось в прошлом. Версия Hyper-V 3.0 соответствует всем критериям масштабируемости, которые раньше были доступны лишь VMware. Узлы Hyper-V 3.0 поддерживают до 160 логических процессоров (логический процессор — ядро или гиперпоток) и до 2 Тбайт оперативной памяти. На гостевой стороне виртуальной машины Hyper-V 3.0 поддерживает до 32 виртуальных процессоров с 512 Гбайт оперативной памяти на одну VM. Среди менее заметных изменений — поддержка доступа к неоднородной памяти (NUMA) для гостевых систем. Архитектура NUMA важна для расширения масштабируемости по мере увеличения числа хост-процессоров.
Несколько одновременных динамических миграций и динамическая миграция хранилищ данных
Вероятно, более важное новшество, чем простое расширение масштабируемости, — изменения в динамической миграции и появление динамической миграции хранилищ данных. Компонент динамической миграции реализован в Hyper-V 2.0 в составе Windows Server 2008 R2. Он играл важную роль в функциональности Hyper-V, но явно уступал компоненту VMotion в vSphere. В Hyper-V можно было выполнять одновременно лишь одну динамическую миграцию, а в ESX Server — сразу несколько. Кроме того, в vSphere была аналогичная функция, Storage VMotion, для перемещения хранилища данных виртуальной машины в новое место без простоев. С выходом Hyper-V 3.0 отставание в обеих областях устранено. Hyper-V 3.0 поддерживает неограниченное число одновременных динамических миграций. Кроме того, в Hyper-V 3.0 появилась полноценная возможность динамической миграции хранилища данных, в ходе которой файлы виртуальной машины (конфигурации, виртуального диска, моментальных снимков) перемещаются в различные хранилища без перерывов в соединении конечного пользователя с гостевой виртуальной машиной.
Специалисты Microsoft внесли в свой продукт одну особенность, которой нет в vSphere. В Hyper-V 3.0 предусмотрена возможность выполнять динамическую миграцию и динамическую миграцию хранилища данных без общего хранилища на сервере. Снятие этого условия обеспечивает выгоды динамической миграции для небольших и средних компаний, которые не могут приобрести системы SAN. Возможность выполнить динамическую миграцию без общего хранилища отличает Hyper-V от vSphere и, несомненно, очень привлекательна для потребителей, особенно из сферы малого бизнеса, пока не приступивших к виртуализации.
VHDX, ODX, Virtual Fibre Channel и загрузка из SAN
Еще одно важное усовершенствование Hyper-V 3.0 — новый формат виртуального диска, именуемый VHDX. Благодаря новому формату VHDX устраняется ограничение старого формата VHD на 2 Тбайт, а максимальный размер виртуального диска увеличивается до 16 Тбайт на один VHDX. Кроме того, новый формат обеспечивает повышенную производительность и поддержку блоков более крупного размера.
Еще один компонент Hyper-V 3.0 — Offloaded Date Transfer (ODX), благодаря которому можно задействовать преимущества подсистемы общего хранилища данных на сервере. При копировании файлов в ODX-совместимой сети хранения данных (SAN) операционная система перекладывает все задачи по пересылке данных на SAN, что позволяет существенно повысить скорость копирования при нулевой или минимальной нагрузке на процессор. Специальной кнопки ODX нет, работа выполняется на сервере, а подсистема хранения данных должна быть совместима со спецификацией ODX.
Компании, использующие сети хранения данных с технологией Fibre Channel, по достоинству оценят виртуальную технологию Fibre Channel в гостевых системах Hyper-V. Каждая гостевая система Hyper-V 3.0 может иметь до четырех виртуальных HBA-адаптеров Fibre Channel. Виртуальные HBA-адаптеры отображаются в виртуальных машинах как устройства, подобно виртуальным сетевым платам и другим виртуальным устройствам. Виртуальные машины Hyper-V 3.0 также можно запускать из iSCSI SAN.
Расширяемый виртуальный коммутатор и группирование сетевых адаптеров
Наряду с обширными изменениями в вычислительных возможностях и механизмах хранения данных Hyper-V, компания Microsoft значительно улучшила сетевые функции продукта. В частности, обновлен виртуальный коммутатор, встроенный в гипервизор Hyper-V и наделенный рядом новых возможностей, в том числе многоадресной передачей и гарантией минимальной и максимальной полосы пропускания. Кроме того, виртуальный коммутатор стал расширяемым. Компания Microsoft предоставляет API-интерфейс для сбора, фильтрации и пересылки расширений. Чтобы повысить качество расширений виртуального коммутатора, компания Microsoft внедряет программу присуждения логотипа виртуального коммутатора Hyper-V.
Еще одно запоздалое улучшение, которое будет частью Server 8, — встроенная функция группирования сетевых адаптеров в операционной системе. В VMware ESX Server эта возможность уже существует. До появления Server 8 группировать в Windows можно было только специализированные сетевые адаптеры Broadcom и Intel. Новая технология применяется к сетевым адаптерам самых разных поставщиков и обеспечивает балансировку нагрузки и отработку отказов.
Магическое число 3
Как отметил Джеффри Сновер, три, похоже, волшебное число для Microsoft, по крайней мере для Hyper-V. С выходом Hyper-V 3.0 технология виртуализации Microsoft достигает уровня VMware vSphere. Компании, только приступающие к виртуализации или недовольные повышением цены VMware, обнаружат, что Hyper-V — очень экономичная и чрезвычайно конкурентоспособная альтернатива.
Майкл Оти (motey@windowsitpro.com) — технический директор Windows IT Pro и SQL Server Magazine, автор Microsoft SQL Server 2008 New Features (Osborne/McGraw-Hill)