HGS ：VM 之盾

云服務(wù)在運行中一直讓人不是很放心，尤其企業(yè)級用戶單位，寧肯固守物理服務(wù)器心里才踏實。為此，在Windows Server 2016中將虛擬機(jī)（VM）加上了“盾牌”，即將VM上的虛擬硬盤通過虛擬TPM芯片進(jìn)行加密，同時在客戶OS上采用BitLocker，對VM加密可以在線進(jìn)行，但禁止對VM進(jìn)行內(nèi)存式代碼訪問。

此項功能名稱是HGS(Host Guardian Service)，專門對虛擬機(jī)執(zhí)行加密，運行在特定的AD林層，具有兩種模式：一種是簡易型ATA（Admintrusted attestation）模式，宿主機(jī)來自組內(nèi)，HGS配置為僅對組內(nèi)成員的VM有效；第二種是HTA（Hardware- trusted attestation）模式，它要求為HGS 提供HSM（分層存儲管理），每部宿主機(jī)都具有TPM 2.0芯片并符合UEFI 2.3.1規(guī)范，顯然，此硬件模式提供了更大安全度。

HRP以及Linux 安全型引導(dǎo)

宿主機(jī)資源保護(hù)HRP（Host Resource Protection）最直接的目的就是為了保護(hù)好云操作平臺Azure，對其攻擊往往來自VM，攻擊手段就是耗盡其資源。HRP通過VM訪問方式判定其行為是否存在嫌疑，如有嫌疑則阻止其訪問，以確保常規(guī)機(jī)器對服務(wù)的調(diào)用。此時有一項附加功能就是在第二代VM上支持客戶端Linux安全性系統(tǒng)引導(dǎo)，它主要作用是臨時繞過硬件保護(hù)。

數(shù)據(jù)存儲更有彈性

在Windows Server 2016中的Hyper-V呈現(xiàn)出多樣化的存儲方式，除了原有的MPIO (iSCSI 和 host 總線適配器)，主機(jī)與不同層級（SAN或 Scale-Out File Server）之間SMB 3.0所提供的多條路徑，乃至Windows Server 2012 R2以來重定向IO所提供的機(jī)器群網(wǎng)間充沛的存儲流量；而且Windows Server 2016提供了所謂第三層存儲彈性，旨在解決以往VM存儲失敗所導(dǎo)致的客戶端OS的意外崩潰問題，此時Hyper-V 會將VM及時轉(zhuǎn)移，避免災(zāi)害。

有人將這種VM存儲失敗所造成的故障比喻為“心搏”，對此Windows Server 2016的處理方式是：首先讓VM停下來，然后將群資源轉(zhuǎn)移到其它主機(jī)后再讓VM啟動，再去引導(dǎo)客戶端OS，并逐一恢復(fù)之前運行的各項服務(wù)。系統(tǒng)“心搏”誘因往往是在傳輸層錯誤引起，比如交換機(jī)故障或者人為的線纜破壞。

在Windows Server 2016中當(dāng)VM發(fā)生超時后，Hyper-V集群并不會立即陷入失敗狀態(tài)，此時主機(jī)會進(jìn)入一種隔離狀態(tài)，VM會進(jìn)入一種不受監(jiān)控的狀態(tài)，即VM會繼續(xù)運行在孤立的主機(jī)上，在4分鐘內(nèi)（默認(rèn)設(shè)置）如果節(jié)點恢復(fù)響應(yīng)那么一直未停運的VM則返回正常狀態(tài)，否則就會失敗。另一方面，若宿主機(jī)發(fā)生異常也會被隔離，此即意味著該機(jī)不會再與VM聯(lián)系，此時所有VM都會保持或遷徙到正常宿主機(jī)上，服務(wù)將會減少，以便管理員找出癥結(jié)所在。

在Windows Server 2012 R2中，允許客戶集群在常規(guī)集群存儲中采用VHDX文件，但在VHDX共享方面非常有限，對此在Windows Server 2016有了明顯改進(jìn)，主要表現(xiàn)為：基于客戶集群的宿主機(jī)備份以及VHDX文件共享不必需要采用客戶式備份代理，共享VHDX文件可以在線調(diào)整大小。在Windows Server 2016系統(tǒng)中還出現(xiàn)了一種新的文件系統(tǒng)名為ReFS，其存儲結(jié)構(gòu)為S2D（Stoarge Spaces Direct）。ReFS一項重要功能就是加快生成VHDX文件。此 外，Windows Server 2016提供的針對客戶OS 所運行的PowerShell Direct，可替代網(wǎng)絡(luò)訪問，從而大大簡化發(fā)布、配置和管理工作。當(dāng)然，Windows Server 2016乃 至Windows 10及其Hyper-V，都要求宿主機(jī)的處理器具有SLAT技術(shù)，也就是Intel所說的EPT(Extended Page Tables)，AMD所謂的RVI (Rapid Virtualization Indexing)。