Hyper-V – это технология аппаратной виртуализации Microsoft, впервые вышедшая в 2008-ом году для обеспечения серверной виртуализации и ставшая основой множества продуктов и компонентов Microsoft. Диапазон возможностей простирается от повышения безопасности до расширения возможностей разработчиков и обеспечения наиболее совместимой игровой консоли. Последние добавления в этот список включают песочницу Windows (Windows Sandbox), Windows Defender Application Guard, System Guard и расширенное обнаружение угроз (Advanced Thread Detection), изолированные контейнеры Hyper-V (Hyper-V Isolated Containers), платформу гипервизора Windows (WHP), подсистему Windows для Linux 2 (WSL 2). Дополнительно, приложения, использующие Hyper -V: Kubernetes для Windows и Docker Desktop.
Так как область виртуализации Windows расширяется, становясь интегрированной частью операционной системы, многие новые возможности операционной системы зависят от Hyper-V. Соответственно, это создает ошибки совместимости со множеством популярным сторонних продуктов, которые предоставляют собственные решения виртуализации, заставляя пользователей выбирать между приложениями и потерей функциональности операционной системы. В связи с этим Microsoft объединился с ключевыми производителями программного обеспечения, такими как VMware, VirtualBox и BlueStacks для предоставления решений, которые напрямую используют технологии виртуализации Microsoft, устраняя необходимость выбора.
Песочница Windows (Windows Sandbox).
Песочница Windows (Windows Sandbox) – это изолированное, временное окружение рабочего стола, в котором можно запускать программное обеспечение без страха оказать негативное влияние на персональный компьютер. Любое программное обеспечение, установленное в песочнице Windows, остается только в песочнице и не может повлиять на хост. После закрытия песочницы Windows все состояние, включая файлы, изменения реестра и установленное программное обеспечение мгновенно удаляются. Песочница Windows построена на тех же технологиях, которые разрабатывались для работы мульти-арендных сервисов Azure, таких как Azure Functions, а также предоставляет интеграцию с Windows 10 и поддержку для графических приложений.
Windows Defender Application Guard.
Windows Defender Application Guard (WDAG) – это возможность безопасности Windows 10, представленная в Fall Creators Update (версии 1709), которые защищают от нацеленных угроз при помощи технологий виртуализации Hyper-V. Также WDAG обеспечивает корпоративным пользователям Microsoft Edge и Internet Explorer (IE) защиту от уязвимостей ядра (Zero-day) за счет изоляции не доверенных сессий браузера от операционной системы хоста. Это позволяет команде информационной безопасности при помощи WDAG заблокировать корпоративные хосты, при этом, разрешив корпоративным пользователям просматривать в браузере некорпоративный контент.
Application Guard изолирует не доверенные сайты при помощи нового экземпляра Windows на аппаратном уровне.
Windows Defender System Guard.
Для защиты критических ресурсов, таких как стек аутентификации Windows, ключи единого входа (Single Sign-On), биометрический стек Windows Hello и Virtual Trusted Platform Module (Virtual TPM), а также системной прошивки (Firmware) и оборудование – они должны быть доверенными. Windows Defender System Guard реорганизует существующие возможности целостности системы Windows 10 и поверх них настраивает набор вложений в безопасность Windows. Это спроектировано и разработано для обеспечения следующих гарантий безопасности:
- Защита и поддержка целостности системы во время ее запуска.
- Проверка целостности системы, полностью поддерживающую локальную и удаленную проверку.
Windows Defender Advanced Threat Detection.
Обнаружение и остановка атак, которые вмешиваются через агентов в режиме ядра на уровне гипервизора – это критический компонент универсальной платформы защиты конечных устройств в Microsoft Defender Advanced Thread Protection (ATP). Глубокая интеграция Windows Defender Antivirus с аппаратными возможностями изоляции позволяют обнаруживать признаки подобных атак.
Изолированные Hyper-V контейнеры (Hyper-V Isolated Containers).
Hyper -V играет важную роль в возможностях контейнерной разработки на Windows 10. Контейнеры Windows требуют плотной связи между версией операционной системы контейнера и хоста, на котором они запущены. Hyper-V используется для инкапсуляции контейнеров на Windows 10 внутрь прозрачной, легковесной виртуальной машины. В разговорной речи данную возможность называют «Hyper-V Isolated Containers». Эти контейнеры запускаются в виртуальной машине, которая специально оптимизирована для быстродействия и эффективности использования ресурсов хоста. Изолированные Hyper-V контейнеры позволяют разработчикам вести разработку на множестве дистрибутивов Linux и Windows одновременно, а также управлять контейнерами при помощи привычных инструментов (таких как Docker).
Платформа гипервизора Windows (Windows Hypervisor Platform).
Платформа гипервизора Windows (WHP) добавляет расширенный интерфейс разработки приложений (API) пользовательского режима для сторонних стеков виртуализации и приложений, что позволяет создавать и управлять разделами на уровне гипервизора, настраивать привязку памяти для раздела, а также создавать и управлять работой виртуальных процессоров. Основное назначение – это сосуществование стороннего программного обеспечения (такого как VMware) с Hyper-V и прочими возможностями на базе Hyper-V. Безопасность на базе виртуализации (Virtualization-Based Security, VBS) – это одна из последних технологий, которая возможна благодаря этому сосуществованию.
WHP предоставляет API, похожий на платформу (Framework), которую предоставляет KVM на Linux и гипервизор macOS, и на данный момент опирается на QEMU и VMware.
Подсистема Windows для Linux 2 (Windows Subsystem for Linux 2).
Подсистема Windows для Linux 2 (WSL 2) – это новейшая версия архитектуры, которая позволяет подсистеме Windows для Linux запускать исполняемые файлы ELF64 на Windows. Это обновление возможностей включает в себя увеличенную производительность файловой системы, а также полную совместимость системных вызовов. Новые архитектурные изменения влияют на то, как исполняемые файлы взаимодействуют с Windows и аппаратным обеспечением компьютера, но предоставляют те же пользовательские возможности, что и WSL 1 (на данный момент широко распространенная версия). Основное отличие архитектуры WSL 2 заключается в настоящем ядре Linux, запущенном внутри виртуальной машины. Независимые дистрибутивы Linux могут быть запущены как в WSL 1, так и в WSL 2, могут быть обновлены (Upgrade) или понижены (Downgrade) в любое время, а также запущены в WSL 1 и WSL 2 одновременно.
Поддержка Kubernetes для Windows.
Kubernetes начал официально поддерживать Windows Server в производственной среде, начиная с релиза Kubernetes версии 1.14 (в марте 2019 года). Приложения на базе Windows составляют большую часть рабочих нагрузок во множестве организаций. Контейнеры Windows предоставляют современный путь для приложений Windows чтобы использовать процессы DevOps и изначально облачные подходы. По факту Kubernetes стал стандартом для управления контейнерами; данная поддержка позволяет широкой экосистеме приложений Windows не только использовать возможности Kubernetes, но и широкую, бесшовную и постоянно растущую экосистемы вокруг него. Организации, вкладывающие одновременно в приложения на базе Windows и Linux, больше не нуждаются в отдельных оркестраторах для управления рабочими нагрузками, что в результате приводит к увеличению операционной эффективности развертываний. Разработка, обеспечившая данный релиз опиралась на открытый исходный код и лучшие подходы сообщества, которые и добавили контейнеры Windows Server в Windows Server 2016.
Данные компоненты и инструменты позволяют технологии Microsoft Hyper-V представлять новые пути обеспечения пользовательских возможностей. Песочница Windows (Windows Sandbox), Windows Defender Application Guard, System Guard и Advanced Thread Detection, изолированные Hyper-V контейнеры (Hyper-V Isolated-Containers), Windows Hypervisor Platform (WHP) и подсистема Windows для Linux (WSL 2) – это все новые компоненты Hyper-V, которые обеспечивают гибкость и безопасность Windows. Управление приложениями с использованием Hyper-V, такое как Kubernetes для Windows и Docker Desktop также показывает приверженность Microsoft к потребностям клиентов.
P.S. Тем, кто не знаком с возможностями Hyper-V, я рекомендую начать свое знакомство со статьи «Архитектура Hyper-V» и группы веб-кастов посвященной Hyper-V в Windows 10:
Комментариев нет:
Отправить комментарий