企业应用的微软虚拟技术保证

笔者在前几篇博文中简单地介绍了微软虚拟技术，从目前IT技术的发展看，虚拟化应用已经在企业信息化中占有越来越多的权重。微软虚拟技术不仅技术上先进，并有可持续发展和更新的能力，更重要的也是CTO们最关注的，其实是迁移到虚拟应用环境后，企业应用和数据的安全性能不能得到有效的保证。笔者之所以对微软虚拟化技术推崇，是因为看到了微软在保证技术的先进性，应用的兼容性之外，在安全性方面的努力。


Hyper-V作为微软虚拟化最核心和最底层的技术，可部署在Windows Server 2008及以后的微软服务器版本上面。Hyper-V在微内核的优势，是其它第三方的虚拟技术不具备的。微内核中包含了尽可能少的代码，在Hyper-V的管理程序中没有设备驱动程序（驱动程序运行于每一个独立的分区，虚拟机OS虽然在独立的分区中却能通过Hypervisor直接访问硬件）。通过这种方式，Hyper-V的安全隐患被微软降到了最低。在系统底层，Windows Server 2008的安全性已经得到业界的认可，而且微软安全中心的补丁主动推送方式，使系统漏洞的维护基本上可实现自动化。这和其它操作系统（Unix、Linux等）上第三方的虚拟化软件打系统补丁的高难度和高风险不可同日而语，同时因为微软的应用系统能得到最广泛的硬件和驱动厂商支持，所以升级的安全系数无疑是最高的。



在微软的虚拟技术中，Hyper-V只管CPU调度和内存管理，这和其它第三方的虚拟技术还要进行设备管理是不一样的，微软虚拟技术的设备管理通过VMbus来进行。VMbus是微软虚拟技术的安全核心，它负责了可能出现问题的命令和代码的执行。基于VMbus的高速内存总线构架使其安全性得以保证，每台虚拟机之间隔离的VMbus调用保证了每个分区、每个虚拟机之间完全隔开。换言之，运行于同一台的物理服务器上面多个虚拟机应用，如果某一个需要升级安装重启，或者是之上的其它应用程序崩溃需要虚拟机重启，都不会影响其它虚拟机的正常应用。这样的设计，对大型企业的高端服务器上的多虚拟机应用丰常重要！在系统设计方面，Hypervisor拥有自己的地址空间，与Guest的地址空间完全隔离，并且Hypervisor直接运行于Windows Server Core上，这样保证了虚拟化应用的高效，同时完全避免了安装于服务器的其它应用对于虚拟应用的干扰。



因为Windows系统的普及程度，企业应用时部署Windows Server普遍比较担心的是操作系统被攻击以及漏洞本身带来的隐患。从技术方面看，Windows Server并不比Linux、Unix等系统有更多的漏洞，但因为使用者众多，在这个平台的开发者数量也高于其它平台几个数量级，所以造成了Windows Server安全性相对较差的假象。随着Windows Server 2008的推出，在操作系统的安全性方面，微软已达到业界的认可，已经有象Nasdaq等将大型应用全部迁移到微软的服务器系统上。针对微软操作系统的攻击和病毒等，在Windows Server 2008上面只能停留在应用层，Server Core被很好的隔离开，Hypevisor直接运行于Server Core上面，使微软虚拟应用从最底层得到了安全保证！



经过实际的微软微虚化应用的部署和使用，笔者发现Windows Server平台上微软的虚拟应用优于其它所有第三方的虚拟应用，也并不比其它操作系统的虚拟应用性能差。因为微软在虚拟技术平台的安全性设计，我更看好微软虚拟应用在企业信息化中的前景。