Einsatzmöglichkeiten und Managementtools von Hyper-V:
Verwaltungs-Cockpit für virtuelle Systeme

von Werner Veith (werner.veith@networkcomputing.de), Ralf Uwe Barth, Michael Korp

Share
14.01.2009

Mit der Virtualisierungsplattform »Hyper-V» will sich Microsoft auf einer Ebene mit Vmware und »XenServer« von Citrix stellen. Hyper-V gibt in unterschiedlichen Ausprägungen und mit verschiedenen Verwaltungsmöglichkeiten. Dadurch lässt sich die Lösung auch in größerem Stil einsetzen.

Mit dem »Hyper-V« hat Microsoft [1] ihr Portfolio für die Virtualisierung von Serversystemen erneuert. Um dezidiert auf die jeweiligen Anforderungen eingehen zu können, unterstützt die Lösung mehrere Einsatzszenerien: Einmal gibt es die Lösung in einer Version, die den Windows-Server 2008 [2] als Unterbau nutzt. Ein Download findet sich auf der Microsoft-Website [3]. Zum anderen bietet der Hersteller den frei verfügbaren »Hyper-V Server 2008 [4]« an. Sofern der Windows-Server 2008 als Grundlage verwendet wird, lässt sich Hyper-V sehr einfach aktivieren.

Die Architektur des Hyper-V besteht aus einer Verwaltungspartition, der Parent-Partition, und den Gästen in den Child-Partitionen.

Die Software unterstützt hierbei beide Varianten des Windows-Servers: den vollständigen Server mit grafischen Interface sowie dem Dot-Net-Framework und den abgespeckten »Windows Server Core«. Die Installation des Hyper-V erfolgt bei der Verwendung mit dem Windows-Server durch die Aktivierung der Hyper-V-Rolle. Hochverfügbarkeit wird nicht durch zusätzliche Software, sondern durch die in Windows vorhandenen Cluster-Dienste bereitgestellt. Virtuelle Maschinen lassen sich so einfach als Clusterressource einrichten und so hoch verfügbar machen.

Die Kernfunktionen des Hyper-V sind in allen drei Varianten identisch. Es handelt sich immer um eine Virtualisierungssoftware, die einen X86-Rechner virtuell nachbildet. So lassen sich Betriebssysteme und Applikationen ausführen, die einen X86-Rechner als Unterbau benötigen. Dabei werden sowohl 32-Bit-, wie auch 64-Bit-Instanzen unterstützt. Der Hyper-V selbst wiederum benötigt in jedem Fall eine 64-Bit-CPU mit integrierten Virtualisierungsfunktionen. Aus diesem Grund hat der »Virtual Server 2005 R2«, der Vorläufer des Hyper-V, auch weiterhin seine Berechtigung. Er begnügt sich mit 32-Bit Hardware und arbeitet auch mit Prozessoren ohne Virtualisierungsfunktionen in Hardware.

Die Architektur des Hyper-V

Die Lösung besteht aus zwei Modulen. Dem eigentlichen Hypervisor und einem Verwaltungsmodul, das in der Parent-Partition läuft. Der Hypervisor arbeitet als unterste Softwareschicht direkt auf der Hardware, dem physikalischem Host. Verglichen mit einem vollständigen Betriebssystem umfasst er nur die notwendigen Funktionen zur Verwaltung der Hardwareressourcen. Seine wesentliche Aufgabe besteht darin, sicherzustellen, dass die verfügbaren Hardwareressourcen wie der Arbeitsspeicher der jeweiligen Partition zugeordnet werden. Dies ist Vorraussetzung, damit die Ressourcen nur dieser Partition beziehungsweise VM (Virtual-Machine) zur Verfügung stehen.

Durch den »Virtual Machine Manager 2008« (VMM) lassen sich virtuelle und physikalische Systeme gemeinsam verwalten.

Alle weiteren Funktionen sind in die Parent-Partition eingebunden, die wiederum auf dem Hypervisor aufsetzt und mit diesem kommuniziert. Zu ihren Funktionen zählt die Verwaltung der virtuellen Maschinen (Child-Partitions) und der diesen zugewiesenen Ressourcen. Ferner gehören die Treiber für die angeschlossenen physischen Geräte zur Parent-Partition. Somit hat nur diese exklusiv Zugriff auf die auf dem Server installierte Hardware. Die benötigten Gerätetreiber für diese Hardware operieren somit ebenfalls im Kontext der Parent-Partition. Hyper-V macht aus Sicherheitsgründen keinen Gebrauch von fremden Gerätetreibern.

Alle Ein-/Ausgabe-Operationen kommunizieren ausschließlich über die Treiber der Parent-Partition mit den Geräten. Die virtuellen Maschinen, also die Child-Partitions, wiederum setzen ebenfalls auf dem Hypervisor auf. Zum Betrieb auf den Child-Partitionen kommen generell all jene Betriebssysteme in Frage, die einen X86-Rechner mit 32-Bit- oder 64-Bit-CPU benötigen wie die diversen Windows-Varianten und Linux-Derivate.

Spezielle Anpassungen sorgen für Beschleunigung

Bei den Gästen gibt es zwei Typen: Es sind einmal die Gastsysteme, die durch spezielle Integrationskomponenten an den Hyper-V angepasst (enlightened) sind. Zum anderen gehören dazu jene Gäste, die keinerlei Kenntnisse darüber besitzen, dass sie im Rahmen des Hyper-V arbeiten. Festplatten- und Netzwerkzugriffe werden über einen speziellen Softwarebus, den »VMBus«, geschleust und dann über die normalen Gerätetreiber an die Hardware durchgereicht. Über den Vmbus erfolgt auch der Datenaustausch mit der Parent-Partition.

Erstellen einer Virtual-Machine im »Virtual Machine Manager 2008« (VMM)

Die spezielle Anpassung an die Umgebung des Hyper-V und die Einrichtung der Vmbus-Treiber erfolgt durch die Installation der »Integration Services«. Diese existieren für die neueren Betriebssysteme von Microsoft wie den Windows-Server 2003 R2, diverse Linux-Varianten und den Windows-Server 2008. Mit den Integrationskomponenten werden angepasste Treiber für synthetische I/O-Geräte am Vmbus installiert, so dass Netzwerk- und Plattenzugriffe eine vergleichbare Leistung zu physischen Servern erreichen. Alle anderen Gäste, die keine Anpassung (Enlightenment) für den Hyper-V und den Vmbus aufweisen, kommunizieren über emulierte Geräte mit ihrer Umwelt.

Sicherheitsaspekte des Hyper-V

Da der Hyper-V bei der Servervirtualisierung zum Träger vieler virtueller Maschinen wird, kommt der Absicherung des Systems eine enorme Bedeutung bei. Daher hat Microsoft beim Design des Hypervisors ein besonderes Augenmerk auf die Sicherheitsaspekte gelegt. Im Fehlerfall besteht die Gefahr, dass sich ein Angreifer des Hyper-V bemächtigt hat, alle virtuellen Maschinen kompromittiert. Dies gilt es also nach Möglichkeit zu vermeiden: ein wesentlicher Grund den Hypervisor schlank zu halten.

Nur die notwendigen Funktionen sind dort implementiert. Jeder weiterer Code wie auch Gerätetreiber sind auf die Parent-Partition ausgelagert. Bei den virtuellen Maschinen handelt es sich um Standard-Betriebssysteme, die auf einem physikalischem System Opfer eines Angreifers sein können. Deshalb müssen diese Systeme gegeneinander abgesichert sein. Dem Hypervisor obliegt daher auch die Aufgabe, diesen Schutz sicherzustellen. Daher vertrauen sich die parallelen virtuellen Maschinen per se nicht. Auch besteht keine direkte Verbindung zwischen den diesen. Jede Kommunikation miteinander, wie auch der Außenwelt, erfolgt über das angebundene Netzwerk.

Einzig die Parent-Partition genießt in dem Modell in gewisser Weise das Vertrauen aller anderen Partitionen. Denn sie übernimmt die Verwaltung der virtuellen Maschinen (Child-Partitions) und empfängt im begrenzten Maß Statusinformationen. Aber auch die Parent-Partition hat keinen direkten Zugriff auf Prozesse, Speicher oder Ressourcen einer virtuellen Maschine.

Verwaltungswerkzeuge und Einsatzszenerien

Die Kernfunktionen des Hyper-V sind in allen drei Varianten identisch. Unterschiede gibt es in den weiteren Funktionen, der Verwaltung und den Einsatzszenerien. Beim Einsatz des Hyper-V mit einem vollständigen Windows-Server steht dem Anwender auch dessen Verwaltungsinterface zur Verfügung. Die Administration der virtuellen Maschinen und des Hyper-V erfolgt dabei über den »Hyper-V Manager«. Dieser orientiert sich in der Bedienung und in der Ablauflogik an den von Windows bekannten Verfahren. Damit müssen die Anwender hier mit keinem neuen Interface beschäftigen.

Als zweite Möglichkeit arbeitet der Hyper-V mit dem Windows-Server-Core zusammen. Dieser ist eine auf die wichtigsten Kernfunktionen reduzierte Variante des Windows-Servers, die nur einige ausgewählte Rollen erlaubt. Der Server-Core umfasst dabei nur die Module, die zum Betrieb essenzieller Server-Applikationen benötigt werden. Nicht dazu gehören beispielsweise das Dot-Net-Framework und die »Microsoft Management Console« (MMC). Daher gibt es in der Server-Core-Variante auch keinen Hyper-V-Manager. Die Verwaltung muss hier also per Scripting oder Fernwartung erfolgen. Dies ist kein Nachteil, sondern in größeren Szenerien mit separatem Rechenzentrum ohnehin die Regel.

Durch die Reduzierung des Windows-Servers auf den Server-Core werden nicht nur Ressourcen frei. Der Server ist damit auch sicherer und weniger anfällig bei Änderungen. Durch das Entfernen großer Codemodule können diese auch nicht mehr Ziele eines potenziellen Angriffs sein. Außerdem müssen diese auch nicht mit Patches versehen oder verwaltet werden. Daher ist der Einsatz des Hyper-V in Verbindung mit dem Server-Core in den meisten Fällen zu bevorzugen. Dieses Modell ist deshalb die von Microsoft empfohlene Variante. Spätestens beim Einsatz mehrerer Server im Rechenzentrumsbetrieb ist es eigentlich immer die bessere Wahl. Umgekehrt vereinfacht der Einsatz des Hyper-V mit einem vollständigen Windows-Servers dessen Verwaltung vom lokalen Serverarbeitsplatz aus.

Die dritte Variante des Hyper-V, der »Microsoft Hyper-V Server 2008«, ist frei verfügbar. Microsoft bietet ihn zum kostenlosen Download auf ihrer Webadresse an. Der Hyper-V-Server arbeitet direkt auf der Hardware ohne ein zusätzliches Betriebssystem. Nach wenigen Mausklicks ist die Installation abgeschlossen und kann der Anwender sich daran machen, virtuelle Maschinen einzurichten. Dadurch eignet sich der Hyper-V-Server gut für Evaluierungs- und Testumgebungen.

Der Hyper-V-Server bringt kein Betriebssystem mit. Deswegen beschränkt sich die lokale Konfiguration auf die Einstellungen für das Netzwerk und eine eventuell vorhandene Domäne. Alle weiteren Aufgaben führt der Administrator von einem anderen Rechner aus. Dabei kann es sich um einen Windows-Server oder aber um Vista mit Service-Pack 1 handeln. Dort muss jeweils der 2008 mit Hyper-V-Manager installiert sein. Genauso ist aber möglich, den Hyper-V-Server über den »System Center Virtual Machine Manager 2008« zu verwalten.

Die Verwaltung durch den System-Center-Virtual-Machine-Manager

Kommen mehrere Hyper-V zum Einsatz, wird die Administration über den Hyper-V-Manager sehr aufwändig. Hier muss der IT-Verwalter jede Hyper-V-Maschine getrennt verwalten. Stattdessen empfiehlt es sich, den »System Center Virtual Machine Manager 2008« (VMM) einzusetzen. Dieser stellt eine zentrale Verwaltungskonsole bereit. Über sie lassen sich alle virtuellen Maschinen, aber auch die physischen Hosts, gemeinsam verwalten. Auch Vmware-Installationen kann der System-Verwalter integrieren.

Daneben stellt der VMM auch noch eine Reihe von Funktionen bereit, die über das reine Erzeugen oder Verwalten virtueller Maschinen hinausgehen. So lassen sich beispielsweise Ressourcen-Pools bilden. Aus diesen werden dann die geschäftlichen Anforderungen mit den Applikationen und deren virtueller Maschinen bedient. Durch eine enge Integration des VMM mit dem »System Center Operations Manager 2007« lassen sich die physikalischen und virtuellen Server im Betrieb überwachen. Außerdem werden so wichtige Leistungsparameter erfasst. Diese kann dann der VMM zur Anpassung der virtuellen Serverlandschaft verwenden.

Fazit

Mit dem Hyper-V hat Microsoft nun ein Produkt im Angebot, welches in technischer Hinsicht den Vergleich mit den Konkurrenten nicht zu scheuen braucht. Was die Lizenzkosten anbelangt, ist der Hyper-V Bestandteil des Windows-Server. Zu dessen lizenzierten Umfang gehört nicht nur der Hyper-V. Je nach erworbener Editionen sind auch noch weitere Nutzungsrechte für den Windows-Server für den Betrieb von virtualisierten Instanzen enthalten. Mit dem Virtual-Machine-Manager 2008 steht außerdem ein Verwaltungstool bereit, das die virtuellen Maschinen des Hyper-V, des »Virtual Server 2005 R2« und auch von der Vmware-Infrastructure unter einen Hut bringt.

Ralf Uwe Barth, Produktmanager Virtualisierung bei Microsoft

Michael Korp, Technologieberater bei Microsoft

[1] http://www.microsoft.de
[2] http://www.microsoft.com/germany/windowsserver2008/virtualisierung.mspx
[3] http://www.microsoft.com/downloads/details.aspx?FamilyId=0FE4E411-8C88-48C2-8903-3FD9CBB10D05&displaylang=en
[4] http://www.microsoft.com/servers/hyper-v-server/default.mspx

Verwandte Artikel