到目前為止，我們已經在最新版本的微軟Hyper-V方面作了相當深入的介紹：網絡功能方面的巨大變化、可擴展性方面的改進、NUMA管理、集群補丁以及虛擬機監控。

現在不妨把注意力轉移到安全和災難恢復方面的改進，尤其是Bitlocker驅動器加密(BDE)和Hyper-V 復制(HVR)特性。

想確保不法分子沒有控制你的虛擬硬盤格式(VHDX)/虛擬機文件，第二個最佳方法就是對存儲這些文件的驅動器進行加密。最佳方法就是為你的數據中心采用妥善的物理安全措施。

在隨帶可信平臺模塊(TPM)芯片的服務器上使用BDE，以便對存儲虛擬機的驅動器進行加密，這會帶來非常小(1%-2%)的性能開銷，同時讓你吃下定心丸：就算磁盤被人拆下了，也無法讀取里面的數據。TPM芯片的管理在Windows 8和Server 2012中已得到了改進，因而有助于配置起來順暢得多。不過要留意：你無法在虛擬機里面使用BDE，只能在存儲VHDX的磁盤上使用BDE。采用集群共享卷(CSV)2.0格式化的共享式存儲區域網(SAN)卷現在可以用Bitlocker加以保護。

針對Hyper-V的其他安全建議與之前版本中仍然一樣：如果你不需要虛擬機許可，只在主機上運行管理和備份代理軟件，那就使用Server Core(現在容易得多，這歸因于GUI可以安裝，可用來初始配置服務器，然后予以清除)，或使用Hyper-V服務器;有一個單獨的網卡用于管理，使用管理員隔離機制，以確保主機管理員無法訪問虛擬機，或虛擬機管理員無法訪問主機;并且考慮為你的網絡使用IPSec(你的網卡中有相應的硬件支持)。微軟自己的內部測試實驗室規定使用IPSec，因而實時遷移(Live Migration)以及Hyper-V的其他特性已接受了這方面的廣泛測試。

對Hyper-V管理員來說，大環境下的帳戶管理有點麻煩，因為他們常常必須是每一個主機上的本地管理員。Windows Server 2012添加了一個新的本地安全群組：Hyper-V管理員，這讓群組成員可以全面訪問Hyper-V的所有特性，不用為他們授予全面的本地管理員訪問權。

圖1：配置HVR非常簡單直觀。

為新特性庫增添的這項特性絕對讓中小企業最激動人心，因而讓災難恢復功能在中小企業的預算范圍之內，而之前它們根本無法享用這種功能。

Hyper-V 復制特性提供了將虛擬機從一個主機異步復制到另一個主機的功能，不需要共享式存儲或任何特殊硬件;復制關系的每一端可以是獨立主機或集群。主機不需要在同一個域里面，它們也不需要加入到域;復制的虛擬機可以是得到Hyper-V支持的任何操作系統。復制操作可以在普通的非對稱數字用戶線路(ADSL或)其他低速連接上進行，取決于每個虛擬機中變化的數據量以及你在復制幾個虛擬機。

可能會采用HVR的場景是分支機構的虛擬機，它們通過復制回到總部來加以保護，以及IT服務提供商提供保護虛擬機這項額外服務的小公司。

想實施HVR，你需要確定主要主機和復制主機是不是在同一個網絡/域，或者確定防火墻是不是把兩者隔離開來。就同一域或可信域主機而言，你可以使用Kerberos驗證技術，這項技術任由復制流量處于未加密狀態。至于其他的所有場景，你需要實施驗證證書和流量加密。你可以將某些VHD/VHDX文件排除在復制對象之外，還可以選擇是否想要額外的復制點。默認情況下，僅僅保留虛擬機的“最新”拷貝，你可以選擇保留額外的每小時恢復點，讓你可以在一段時間以后恢復虛擬機(比如在感染了惡意軟件之后)。復制時滯在5分鐘到15分鐘之間，具體取決于每次復制操作所需要的時間。

圖2：配置需要保存的額外復制點為你提供了一些靈活性，能夠在一段時間以后將虛擬機靈活地“恢復”到之前的點。

要注意：HVR是從一個主機到另一個主機的單一復制關系，你無法為了同一個虛擬機而把多個主機串聯起來，不過某個主機對不同的虛擬機來說既可以是主要主機，又可以是復制主機;根據你的環境需要，不同的虛擬機可以從一個主機復制到不同的主機。

要是任何一端將是Hyper-V集群的一部分，需要為該集群啟用Hyper-V Replica Broker角色。如果你運行帶事務日志的應用程序，還可以選擇啟用應用程序一致恢復點，這會在復制操作之前利用卷影復制服務(VSS)，讓應用程序暫時靜止，從而確保復制虛擬機里面的應用程序會成功地開始運行。

要是有足夠的帶寬可以使用，初始復制就會在網絡上進行，或立即進行，或以后在指定的時間進行，你還可以備份到外部介質上，然后轉移到復制站點。如果你在復制站點已經有了虛擬機的備份副本，還可以將它指定為初始配置的起始點。

HVR包括了必要的Windows防火墻例外規則，但是你需要手動啟用它們。在我自己測試安裝HVR的過程中，這是個異常簡單的過程;需要小心處理的部分就是在每一端設置X.509v3證書，但那是由于我在使用自簽名證書。在使用第三方證書的生產環境中，整個過程(初始復制除外)用不了10分鐘就能搞定。

一旦初始復制完成，你要做的第一步就是，在復制主機上進行Test Failover(測試故障切換)，這將啟動虛擬機(“–Test”將添加到其名稱中)，確保應用程序和服務正常運行。

如果你得到了充分的預警：某個站點即將受到影響，可以在首次關閉虛擬機后執行Planned Failover(計劃故障切換)，這將完成所有的復制，那樣沒有數據丟失。如果另一方面站點突然遇到了不測，你就得在復制服務器上執行故障切換，要是災難發生之前一些變化的數據沒有復制過去，數據就有可能丟失。另外，要是有Reverse Replication(逆向復制)，你還可以啟用這項特性，將虛擬機逆向復制到原始主機上。

圖3：配置好了另外的TCP/IP設置，等到虛擬機在復制站點開始運行，HVR會自動把這些IP地址注入到虛擬機。

HVR讓你可以為虛擬機配置不同的IP地址，以便在主要主機和復制主機上使用，但是沒有更改DNS記錄的內置機制，這項操作必須手動執行。要留意：雖然復制主機上的虛擬機并未運行，因而并不耗用處理器和網絡資源，但是如果你有許多虛擬機，就需要相應調整存儲空間的大小，因為它們的VHD(X)文件幾乎持續不斷地被寫入到存儲空間。

雖然HVR的這樣一些局限性對企業級環境來說是個重大障礙，但HVR提供了安裝簡單、易于管理的優點，因而使得它對中小企業來說再理想不過了。

原文來自：http://virtualizationreview.com/articles/2013/04/15/hyper-v-dive-6-security-dr.aspx