Budapest Sysadmin Meetup 2015.09.23. Szervervirtualizáció és fürtözés újdonságok a WS16 TP3-ban Gál Tamás v-tgal@microsoft.com Datacenter Technical Specialist Microsoft Magyarország
Biztonság és izoláció
Mi, azaz a fabric, storage, server, network, stb. adminok Adathalászat, ellopott jelszó, belső incidensek Az adminnál van a királyság kulcsa > pl. Atyaúristenz csoport, tulajdonjog, host/vm függés Az emelt jogosultságokkal jár igazán jól a támadó Felesleges kompromisszumokra kényszerülünk Nem lehet meghatározni igazán a károkat Nem pesszimisták vagyunk, ez a reális valóság Új megközelítés szükséges A privilégiumok mértékének limitálása A rések detektálása és automatikus betömése Természetesen mindez a megelőzést kiegészítve
Jelenleg méretes kihívásokkal küszködünk
A Microsoft megközelítése Shilded VM: A virtuális gép adatai és állapota védett az ellenőrzés, a lopás és az illetéktelen bevatkozások ellen, amelyek egy malware-től vagy egy admintól ( ) egyaránt érkezhet.
Védett virtuális gépek 1. Felépíthetünk egy külön infrastuktúrát a védett hostokhoz és virtuális gépekhez. 2. A bérlőink létrehozhatnak új védett gépeket, vagy konvertálhatják működés közben a meglévőket védetté, például az Azure Pack portálon keresztül is. 3. A bérlők képesek exportálni a virtuális gépeket, és jogosultságot adni a szolgáltatónak ezekhez, megtartva pl. a titkosítást. 4. A bérlők képesek VMM sablonokból is védett gépeket építeni a nulláról kezdve, úgy, hogy pl. a gépnevek és a jelszavak biztonságos körülmények között születnek, és nem elérhetőek a szolgáltató számára. 5. A szolgáltató vagy az admin képes pl. Live Migration-nel mozgatni a védett gépeket a legális hostok között. 6. A szolgáltató vagy az admin képes a virtuális gépeket menteni, pillanatképet készíteni, vagy visszaállítani a normál módszerekkel.
Legfőképp a hosterek számára Attestation Protocol
Tipikusan a nagyvállalatok számára Attestation Protocol
Windows Server és System Center
Biztonság és izoláció Magas rendelkezésre állás
Rolling upgrade Könnyű lesz a fürttagokat frissíteni 1. 2. 3. 4. Update-ClusterFunctionalLevel 5. 10 32 10 23
Hibrid felhő A publikus felhő elérhetősége jól jöhet a privát felhőnkben is Az Azure blob storage-ban tárolva Azure Witness Geocluster harmadik site nélkül Cluster Mikor fontos? Megosztott tároló nélküli fürt Guest cluster vs Azure VM-ek Site1 Site2
Software-Defined Storage Virtual Storage Array DAS tárolók és helyi lemezek replikációja / szinkronizációja a node-ok között A SoFS fürtök így megosztott tároló nélkül működhetnek! Megbízható Kisebb költségű Nincs SPOF Akár a complex SAN infrastruktúra helyett Csökkentett költség a külső storage házak és kábelezés nélkül Hyper-converged modell (compute + storage együtt)
Egy újdonság tökéletesítése VHDX átméretezés A guest clusterek megosztott lemeze immár átméretezhető online is Hyper-V Replica és Hyper-V Replica-val is használható Host szintű mentés plusz a hostok szintjén is menthető, nemcsak a guest VM-eken belül! Shared VHDX
Védelem A beteg fürttagok automatikusan karanténba kerülnek és kiesnek a fürtből A billegő fürttagok okozta zavar kivédése Rugalmasság Mindez akkor ha egy órán belül 3x zakkanak meg VM-ek mozognak, mintha drain módba kerülne a host Ellenőrzés Max a fürttagok 25%-a kerülhet egyidőben karanténba És minimum 2 órát töltenek pihenéssel
Biztonság és izoláció Vegyes felvágott
Akár 1 db Hyper-V-vel is 1. Beágyazott virtualizáció 2. Statikus memória online változtatása 3. Virtuális NIC-ek online hozzáadása / elvétele (Windows / Linux egyaránt) 4. VSS alapú produkciós pillanatképek 5. Azonnali ReFS lemezműveletek 6. Hyper-V érzékeny gyári antimalware szoftver
Akár 1 db Hyper-V-vel is 7. Hyper-V Backup fejlesztések 8. Linux Secure Boot 9. Nano Server kompatibilitás 10. Konténerizáció kompatibilitás 11. PowerShell Direct 12. VM verziók 13. VM driverek vs MU 14. Hyper-V Replica lemez hozzáadás utólag Update-VMConfigurationVersion
Budapest Sysadmin Meetup 2015.09.23. Szervervirtualizáció és fürtözés újdonságok a WS16 TP3-ban Gál Tamás v-tgal@microsoft.com Datacenter Technical Specialist Microsoft Magyarország