到目前为止，咱们已经在***版别的微软Hyper-V方面作了适当深化的介绍：网络功用方面的巨大改变、可扩展性方面的改善、NUMA办理、集群补丁以及虚拟机监控。

　　现在无妨把注意力转移到安全和灾祸康复方面的改善，尤其是Bitlocker驱动器加密(BDE)和Hyper-V 仿制(HVR)特性。

　　想保证不法分子没有操控你的虚拟硬盘格局(VHDX)/虚拟机文件，第二个***办法便是对存储这些文件的驱动器进行加密。***办法便是为你的数据中心选用妥善的物理安全措施。

　　在随带可信渠道模块(TPM)芯片的服务器上运用BDE，以便对存储虚拟机的驱动器进行加密，这会带来十分小(1%-2%)的功用开支，一起让你吃下定心丸：就算磁盘被人拆下了，也无法读取里边的数据。TPM芯片的办理在Windows 8和Server 2012中已得到了改善，因此有助于装备起来顺利得多。不过要留心：你无法在虚拟机里边运用BDE，只能在存储VHDX的磁盘上运用BDE。选用集群同享卷(CSV)2.0格局化的同享式存储区域网(SAN)卷现在能够用Bitlocker加以维护。

　　针对Hyper-V的其他安全主张与之前版别中依然相同：假如你不需求虚拟机答应，只在主机上运转办理和备份署理软件，那就运用Server Core(现在简略得多，这归因于GUI能够装置，可用来初始装备服务器，然后予以铲除)，或运用Hyper-V服务器;有一个独自的网卡用于办理，运用办理员阻隔机制，以保证主机办理员无法拜访虚拟机，或虚拟机办理员无法拜访主机;而且考虑为你的网络运用IPSec(你的网卡中有相应的硬件支撑)。微软自己的内部测验实验室规矩运用IPSec，因此实时搬迁(Live Migration)以及Hyper-V的其他特性已接受了这方面的广泛测验。

　　对Hyper-V办理员来说，大环境下的帐户办理有点费事，由于他们常常有必要是每一个主机上的本地办理员。Windows Server 2012添加了一个新的本地安全群组：Hyper-V办理员，这让群组成员能够全面拜访Hyper-V的一切特性，不用为他们颁发全面的本地办理员拜访权。

　　图1：装备HVR十分简略直观。

　　为新特性库增加的这项特性肯定让中小企业最激动人心，因此让灾祸康复功用在中小企业的预算规模之内，而之前它们底子无法享受这种功用。#p#

　　Hyper-V 仿制特性供给了将虚拟机从一个主机异步仿制到另一个主机的功用，不需求同享式存储或任何特别硬件;仿制联系的每一端可所以独立主机或集群。主机不需求在同一个域里边，它们也不需求加入到域;仿制的虚拟机可所以得到Hyper-V支撑的任何操作系统。仿制操作能够在一般的非对称数字用户线路(ADSL或)其他低速衔接上进行，取决于每个虚拟机中改变的数据量以及你在仿制几个虚拟机。

　　或许会选用HVR的场景是分支机构的虚拟机，它们经过仿制回到总部来加以维护，以及IT服务供给商供给维护虚拟机这项额定服务的小公司。

　　想施行HVR，你需求确认首要主机和仿制主机是不是在同一个网络/域，或许确认防火墙是不是把两者阻隔开来。就同一域或可信域主机而言，你能够运用Kerberos验证技能，这项技能任由仿制流量处于未加密状况。至于其他的一切场景，你需求施行验证证书和流量加密。你能够将某些VHD/VHDX文件扫除在仿制目标之外，还能够挑选是否想要额定的仿制点。默许情况下，只是保存虚拟机的“***”仿制，你能够挑选保存额定的每小时康复点，让你能够在一段时刻今后康复虚拟机(比如在感染了歹意软件之后)。仿制时滞在5分钟到15分钟之间，详细取决于每次仿制操作所需求的时刻。

　　图2：装备需求保存的额定仿制点为你供给了一些灵敏性，能够在一段时刻今后将虚拟机灵敏地“康复”到之前的点。

　　要注意：HVR是从一个主机到另一个主机的单一仿制联系，你无法为了同一个虚拟机而把多个主机串联起来，不过某个主机对不同的虚拟机来说既可所以首要主机，又可所以仿制主机;依据你的环境需求，不同的虚拟机能够从一个主机仿制到不同的主机。

　　要是任何一端将是Hyper-V集群的一部分，需求为该集群启用Hyper-V Replica Broker人物。假如你运转带业务日志的应用程序，还能够挑选启用应用程序共同康复点，这会在仿制操作之前运用卷影仿制服务(VSS)，让应用程序暂时停止，然后保证仿制虚拟机里边的应用程序会成功地开端运转。

　　要是有满足的带宽能够运用，初始仿制就会在网络上进行，或当即进行，或今后在指定的时刻进行，你还能够备份到外部介质上，然后转移到仿制站点。假如你在仿制站点已经有了虚拟机的备份副本，还能够将它指定为初始装备的起始点。#p#

　　HVR包含了必要的Windows防火墙破例规矩，可是你需求手动启用它们。在我自己测验装置HVR的进程中，这是个反常简略的进程;需求当心处理的部分便是在每一端设置X.509v3证书，但那是由于我在运用自签名证书。在运用第三方证书的出产环境中，整个进程(初始仿制在外)用不了10分钟就能搞定。

　　一旦初始仿制完结，你要做的***步便是，在仿制主机上进行Test Failover(测验毛病切换)，这将发动虚拟机(“–Test”将添加到其称号中)，保证应用程序和服务正常运转。

　　假如你得到了充沛的预警：某个站点行将受到影响，能够在***封闭虚拟机后履行Planned Failover(方案毛病切换)，这将完结一切的仿制，那样没有数据丢掉。假如另一方面站点忽然遇到了意外，你就得在仿制服务器上履行毛病切换，要是灾祸产生之前一些改变的数据没有仿制曩昔，数据就有或许丢掉。别的，要是有Reverse Replication(逆向仿制)，你还能够启用这项特性，将虚拟机逆向仿制到原始主机上。

　　图3：装备好了别的的TCP/IP设置，比及虚拟机在仿制站点开端运转，HVR会主动把这些IP地址注入到虚拟机。

　　HVR让你能够为虚拟机装备不同的IP地址，以便在首要主机和仿制主机上运用，可是没有更改DNS记载的内置机制，这项操作有必要手动履行。要留心：尽管仿制主机上的虚拟机并未运转，因此并不耗用处理器和网络资源，可是假如你有许多虚拟机，就需求相应调整存储空间的巨细，由于它们的VHD(X)文件简直继续不断地被写入到存储空间。

　　尽管HVR的这样一些局限性对企业级环境来说是个严重妨碍，但HVR供给了装置简略、易于办理的长处，因此使得它对中小企业来说再抱负不过了。

　　原文来自：http://virtualizationreview.com/articles/2013/04/15/hyper-v-dive-6-security-dr.aspx