Корпорация Microsoft выпустила серверную операционную систему Windows Server 2016, дополнив ее поддержкой контейнеров и новым изданием Nano Server. Windows Server 2016 разрабатывалась несколько лет и параллельно с совершенствованием ОС выходили ее предварительные версии. С 1 октября 2016 года доступна линейка продуктов Windows Server 2016, состоящая из шести изданий: WS 2016 Datacenter, Standard, Essentials, MultiPoint Premium Server, CAL, Windows Remote Desktop Services CAL 2016.
Одним из основных направлений при разработке Microsoft Server 2016 стала поддержка публичных и частных облаков. Многие инновации Windows Server 2016 заимствованы из Azure и доведены до уровня мейнстрима. В Windows Server 2016 также значительно усовершенствован гипервизор Hyper-V, появилась поддержка контейнеров и Nano Server – новая «урезанная» версия Windows Server. Цель все та же – нативная поддержка облачных приложений.
10 причин полюбить Windows Server 2016: безопасность (управление привилегиями/идентификационными данными, средства защиты), платформа для приложений (Nano Server, контейнеры), платформа для программно-определяемых дата-центров (вычисления, хранение данных, сетевые функции, RDS), управление (средства управления сервером, новая версия PowerShell).
По сути эта ОС напоминает Windows 10 в серверном исполнении. В Server 2016 используется то же ядро, что и в Windows 10 Anniversary, и, введя ver в командной строке, вы получите тот же ответ: Microsoft Windows [Version 10.0.14393]. В Windows Server 2016 — то же меню «Пуск», что и в Windows 10 Anniversary (при инсталляции с Desktop Experience).
Windows Server 2016, теперь с «рабочим столом» Windows 10.
Что интересного можно отметить? В списке Microsoft – более 40 новых средств, включая вложенную виртуализацию для контейнеров Hyper-V и развертывания хостов Hyper-V в Azure или других публичных облаках. Многие новые средства Hyper-V относятся к созданию и обслуживанию гостевых ВМ.
Можно «на лету» менять емкость виртуальных дисков, памяти, добавлять и удалять виртуальные сетевые карты. Виртуальным машинам можно предоставлять дискретный доступ к устройствам на шине PCIe, таким как контроллеры дисков. А кластер Windows Server 2012 R2 с Hyper-V можно обновить до Server 2016 без прерывания сервисов.
Конечно, некоторые решения не дешевы, а потому к категории массовых не относятся. Например, защищенная от аварий конфигурация с двумя разнесенными на разные площадки системами Azure Stack. Конечно, можно запустить Azure Stack и на одном сервере, но, скорее, с целью тестирования. Тем не менее, большинство изменений касаются самого широкого круга пользователей.
Многочисленным доработкам подвергся гипервизор Hyper-V. Можно выделить следующие изменения:
Новые функциональные возможности Hyper-V – самые востребованные и ожидаемые новшества Windows Server 2016 (по данным опроса SpiceWorks). Их отмечают более 30% респондентов.
В нем появилась и поддержка вложенной виртуализации (Nested virtualization), позволяющая запускать виртуальные машины на гипервизоре, который сам установлен в виртуальном окружении.
Вложенная виртуализация означает, что можно запустить Hyper-V в ВМ, являющейся гостевой на сервере Hyper-V, гостевом на сервере Hyper-V и т.д.
Такая возможность может быть актуальной для разработчиков и моделирования виртуальных инфраструктур, а также для более эффективного использования контейнерных приложений. Устранены и многие прежние ограничения.
Hyper-V в Server 2016 стал более масштабируемым.
Теперь Microsoft Hyper-V позволяет выделять виртуальной машине до 12 Тбайт ОЗУ (вместо одного) и до 240 виртуальных процессоров (вместо 64). Хост Hyper-V поддерживает ОЗУ до 24 Тбайт. Для снижения непроизводительных потерь и усиления безопасности на хосте Hyper-V можно запустить Nano Server. Для администрирования в этом случае можно использовать PowerShell и удаленный доступ.
В Windows Server 2016 дальнейшее развитие получили механизмы обеспечения безопасности. В частности, в отдельный контейнер Hyper-V под названием Virtual Security Module (VSM) помещены самые ценные системные данные, криптографические модули Windows Server 2016, компоненты, отвечающие за целостность ядра ОС, пароли и пр. Доступ к этим данным невозможен даже при компрометации системы.
Еще одно важное средство — виртуальный TPM (Trusted Platform Module), позволяющий задействовать в виртуальных машинах средства шифрования с использованием Bitlocker, и Credential Guard для безопасного хранения идентификационных данных. Применение Virtual TPM особенно актуально, например, при размещении ВМ в облаке.
Host Guardian Service – важный компонент обеспечения безопасности. Он работает в сочетании с другими компонентами Windows Server 2016 и обеспечивает высокий уровень защиты Shielded VM.
В плане безопасности интересным решением стали защищенные виртуальные машины — Shielded VM, но для их создания требуется Windows Server Datacenter и отдельный сервер со службой Host Guardian Service для хранения ключей и проверки прав ВМ на запуск на конкретной платформе.
Host Guardian Service используется для верификации запуска Shielded VM. А с помощью инструментария Guarded Fabric можно гибко сконфигурировать сетевую инфраструктуру и разбить ее на отдельные изолированные сетевые сегменты.
Технология Shielded VM позволяет создавать в облачной инфраструктуре защищенные виртуальные машины, доступ к которым может получить только их владелец. Администратору разрешено только включать и выключать такие виртуальные машины. Вмешиваться в их работу, читать данные, перехватывать трафик, менять их конфигурацию он не имеет права. Механизм Shielded VM может быть востребован хостинг-провайдерами, предоставляющими услуги аренды виртуальных серверов.
Возможность подключения виртуального дисплея к ВМ средствами администрирования Hyper-V в Shielded VM также заблокирована. Как же исправить ВМ, если что-то пошло не так, и она не запускается? На этот случая Microsoft предлагает хитрое решение – запуск такой ВМ внутри другой Shielded VM. При создании Shielded VM нужно также учитывать, что требования к системным ресурсам у них повышенные.
Улучшенный PowerShell обеспечивает более легкий и всесторонний контроль над средами, что значительно повышает уровень безопасности системы. Также одной из ключевых функций безопасности является разграничение прав доступа при администрировании.
В Windows Server 2016 также появилось средство под названием Just Enough Administration (JEA). Это означает, что администраторы могут логиниться под временными аккаунтами, ограниченными определенными ролями. То есть администратор, войдя в систему с зараженного вирусом ПК, большого вреда не причинит. Windows Credential Guard также ограничивает возможный ущерб от вредоносных программ при таком сценарии. А временные права администрирования (Just in Time Administration) можно предоставить с помощью Microsoft Identity Manager Privileged Access Manager.
Как известно, в Window Server 2012 помощью Storage Spaces можно создавать отказоустойчивые пулы памяти на дисках SAS, подключенных к серверу без помощи традиционной SAN (Storage Area Network). Storage Spaces Direct дает возможность напрямую подключать к кластеру Server 2016 накопители SAS, SATA или SSD. Это можно использовать для создания программно-конфигурируемых систем хранения (Software-Defined Storage, SDS).
Storage Spaces Direct можно использовать для прямого подключения накопителей.
Появилась возможность динамического управления пропускной способностью виртуальных дисков Storage Quality of Service (QoS). Применять политики Storage QoS можно как к дисковой подсистеме отдельной виртуальной машины, так и к группе ВМ.
Storage Replica реализует блочную синхронную репликацию между сконфигурированными серверами с использованием протокола SMB 3.1.1.
С помощью инструментария Storage Replica администраторы могут реплицировать данные между удаленными серверами, кластерными системами и центрами обработки данных, повышая тем самым их катастрофоустойчивость и предотвращая потери на уровне файловой системы.
Для поддержки SDN (Software Defined Networking) в Server 2016 добавлена роль Network Controller. Сетевой контроллер предназначен для управления в Hyper-V виртуальными коммутаторами, балансировщиками нагрузки, правилами межсетевых экранов и виртуальными шлюзами. Поддерживаются также VXLAN (Virtual Extensible Local Area Network).
Nano Server – это еще более компактный вариант Server Core. Его удобно использовать как хост-систему для развертывания виртуальных машин, использовать в качестве сервера DNS или IIS, для запуска приложений в контейнерах.
Улучшения в уровне обслуживания: меньше уязвимостей, меньше перезагрузок.
По данным Microsoft, у Nano Server на 93% меньше размер VHD, он требует на 80% меньше перезагрузок. Такую систему можно применять для различных специальных функций и задач. Причем Nano Server работает как на физическом сервере, так и в ВМ. GUI у него нет – только инструменты Sysinternals.
Nano Server удобно также использовать в инфраструктуре Microsoft Cloud Platform для поддержки облачных служб и обслуживания приложений, функционирующих в виртуальном окружении, контейнерах или на физических серверах. Его можно применять для развертывания вычислительных кластеров и построения горизонтально-масштабируемых файловых хранилищ.
Благодаря своей компактности и эффективному использованию ресурсов Nano Server обеспечивает более высокую плотность ВМ, то есть на одном физическом хосте можно разместить больше экземпляров ОС, что сокращает расходы на ИТ-инфраструктуру.
Важное отличие Windows Server 2016 от предыдущих версий серверных операционных систем Microsoft — поддержка технологий контейнеров. Контейнеры Windows Server — часть открытого проекта Docker. Они позволяют запускать приложения в изолированных средах на разных платформах, оперативно развертывать и перемещать их между серверами.
В Windows поддерживаются контейнеры двух видов — контейнеры Windows Server и контейнеры Hyper-V. Облегченные серверные контейнеры не требуют лицензии Windows. Контейнеры Windows Server функционируют подобно контейнерам Docker для платформы Linux. Они используют общее ядро операционной системы, что делает их более компактными и гибкими, чем обычные виртуальные машины.
У каждого контейнера Hyper-V своя копия ядра Windows Server, и изоляцию осуществляет не операционная система, а гипервизор.
Контейнеры Windows Server делят ресурсы ОС, но ведут себя как независимые экземпляры операционной системы. Однако в среде ОС Windows Server нельзя запустить контейнер Linux и наоборот. Для запуска контейнера его образ берется из репозитория (публичного или частного) и при необходимости модифицируется.
Контейнер Docker, работающий в Windows Server 2016.
Контейнеры Hyper-V изолированы средствами виртуализации, имеют свою копию ядра Windows, а в версии Standard лицензия для них не нужна. У таких контейнеров более высокий уровень изоляции, сравнимый с виртуальными машинами. Данный подход более требователен к ресурсам сервера, но повышает стабильность работы серверной ОС и надежность функционирования контейнеров.
Управляются оба вида контейнеров одинаково. Управление контейнерами Windows Server и Hyper-V может осуществляться как средствами PowerShell и WMI, так и при помощи инструментов Docker. Последние предоставляют единую среду администрирования и позволяют управлять контейнерными приложениями в среде Windows Server или Linux.
Конфигурирование контейнеров в Windows Server 2016. Контейнеры Hyper-V могут использоваться для запуска приложений с повышенными требованиями к информационной безопасности.
Хороший вариант для развертывания контейнеров — Nano Server. Однако нужно помнить, что Nano Server – это урезанная Windows. Если IIS, например, в нем работает, то .NET Framework – уже нет (только кросс-платформенная .NET Core). Не все приложения в настоящее время совместимы с Nano Server.
Образы Docker в Nano Server могут быть очень компактными.
Контейнеры Docker в Windows — пока что на начальном этапе. Потребуется время, чтобы администраторы их освоили, а разработчики – довели до ума. Microsoft понадобится также пополнить соответствующими опциями имеющийся инструментарий вроде Visual Studio.
В Windows Server 2016 реализовано и множество других новшеств. Система получила новый механизм скачивания и раздачи обновлений, функционирующий по принципу P2P-протокола BitTorrent, поддержку протокола SSH. Windows Server 2016 поставляется с Windows Management Framework 5.1 и новой версией PowerShell, использующей .NET Framework 4.6.
Обновленный Windows PowerShell позволяет оперировать еще большим количеством командлетов (cmdlets), которые выполняют различные задачи управления. В частности, PowerShell 5 предлагает командлеты для управления локальными пользователями и группами и командлет Get-ComputerInfo для получения подробной информации о системе.
Нововведения коснулись и служб Active Directory. Теперь можно использовать смарт-карты для аттестационных ключей. Доменные службы Active Directory обеспечивают еще более высокий уровень безопасности при идентификации корпоративных и персональных устройств.
Планы перехода организаций на Windows Server 2016 (по данным опроса SpiceWorks, проведенного в ноябре 2015 года).
Появился новый формат файлов конфигурации виртуальных машин (.VMCX и .VMRS) с более высокой степенью защиты от сбоев на уровне хранилища, была добавлена возможность безопасной загрузки гостевых операционных систем Linux и поддержка OpenGL и OpenCL службой удаленных рабочих столов Remote Desktop Service (RDS).
Механизм обновления ОС хостов кластера без его остановки (Cluster Operating System Rolling Upgrade) дает возможность с нулевым временем простоя обновить кластер последовательным апдейтом отдельных его узлов.
В состав Windows Server 2016 включен также инструментарий IP Address Management (IPAM), позволяющий упростить управление IP-адресами. Конечно, обо всех новшествах новой ОС в одной статье рассказать невозможно. Это лишь весьма поверхностный «первый взгляд».
Сколько всего изданий у Windows Server 2016? Хороший вопрос. Выше говорилось о шести. Есть издания Standard и Datacenter, различающиеся схемами лицензирования. Standard включает лицензии только для двух ВМ или контейнеров Hyper-V под Windows Server, в то время как в Datacenter количество ВМ не ограничивается. Версия Datacenter потребуется для работы с некоторыми новыми средствами, включая Storage Spaces Direct, Storage Replica, Shielded Virtual Machine и ряд сетевых функций. Стоит версия Standard от 882 долл. для 16 ядер. Datacenter обойдется минимум в 6155 долл.
Функциональные отличия изданий Datacenter и Standard в Windows Server 2016.
Ниже представлены функции, которые есть только в редакции Windows Server 2016 Datacenter:
Nano Server лицензируется как средство Windows Server, но требует лицензии Software Assurance вместо базовой и отдельно не продается. Есть еще бесплатная Windows Hyper-V Server, используемая только как хост Hyper-V, а также версия Windows Server Essentials для малого бизнеса — до 25 пользователей и 50 устройств, для которой не нужны лицензии CAL (Client Access Licenses). Essentials стоит 501 долл., но существуют более дешевые OEM-версии. OEM-версии Windows Server Foundation больше не поставляются.
Назначение изданий Windows Server 2016 и модели лицензирования.
Есть еще пара специальных изданий: Windows Storage Server для систем хранения и Multipoint Premium Server, в основном для удаленных десктопов в сфере образования. Версии Standard и Datacenter по умолчанию инсталлируются без GUI (опция Server Core).
По умолчанию процедура установки Windows Server 2016 выполняется без GUI.
Резюмируя, можно отметить, что Windows Server 2016 предоставляет много возможностей для полноценного развертывания и функционирования ИТ-инфраструктуры в облаке. Новая ОС облегчает возможность доступа и идентификации служб и приложений организации в том случае, если они размещены и в облаке, и на физических серверах. Серверная платформа Microsoft активно развивается в соответствии с тенденциями развития индустрии и предпочтениями бизнеса. Работа проделана немалая, система развивается в правильном направлении. Проверить работу Windows Server 2016 можно, взяв виртуальный VPS сервер на бесплатный тестовый период в 3 дня.
Одним из основных направлений при разработке Microsoft Server 2016 стала поддержка публичных и частных облаков. Многие инновации Windows Server 2016 заимствованы из Azure и доведены до уровня мейнстрима. В Windows Server 2016 также значительно усовершенствован гипервизор Hyper-V, появилась поддержка контейнеров и Nano Server – новая «урезанная» версия Windows Server. Цель все та же – нативная поддержка облачных приложений.
10 причин полюбить Windows Server 2016: безопасность (управление привилегиями/идентификационными данными, средства защиты), платформа для приложений (Nano Server, контейнеры), платформа для программно-определяемых дата-центров (вычисления, хранение данных, сетевые функции, RDS), управление (средства управления сервером, новая версия PowerShell).
По сути эта ОС напоминает Windows 10 в серверном исполнении. В Server 2016 используется то же ядро, что и в Windows 10 Anniversary, и, введя ver в командной строке, вы получите тот же ответ: Microsoft Windows [Version 10.0.14393]. В Windows Server 2016 — то же меню «Пуск», что и в Windows 10 Anniversary (при инсталляции с Desktop Experience).
Windows Server 2016, теперь с «рабочим столом» Windows 10.
Что интересного можно отметить? В списке Microsoft – более 40 новых средств, включая вложенную виртуализацию для контейнеров Hyper-V и развертывания хостов Hyper-V в Azure или других публичных облаках. Многие новые средства Hyper-V относятся к созданию и обслуживанию гостевых ВМ.
Можно «на лету» менять емкость виртуальных дисков, памяти, добавлять и удалять виртуальные сетевые карты. Виртуальным машинам можно предоставлять дискретный доступ к устройствам на шине PCIe, таким как контроллеры дисков. А кластер Windows Server 2012 R2 с Hyper-V можно обновить до Server 2016 без прерывания сервисов.
Конечно, некоторые решения не дешевы, а потому к категории массовых не относятся. Например, защищенная от аварий конфигурация с двумя разнесенными на разные площадки системами Azure Stack. Конечно, можно запустить Azure Stack и на одном сервере, но, скорее, с целью тестирования. Тем не менее, большинство изменений касаются самого широкого круга пользователей.
Обновленный гипервизор
Многочисленным доработкам подвергся гипервизор Hyper-V. Можно выделить следующие изменения:
- Клиент Hyper-V поддерживает Windows 10.
- Совместимость с Connected Standby.
- Назначение дискретного устройства.
- Мониторинг активности виртуальных машин для оптимизации использования системных ресурсов (RCT).
- Использование альтернативных аккаунтов при подключении к другой системе Windows Server 2016.
- Обновленный протокол управления и другие улучшения.
Новые функциональные возможности Hyper-V – самые востребованные и ожидаемые новшества Windows Server 2016 (по данным опроса SpiceWorks). Их отмечают более 30% респондентов.
В нем появилась и поддержка вложенной виртуализации (Nested virtualization), позволяющая запускать виртуальные машины на гипервизоре, который сам установлен в виртуальном окружении.
Вложенная виртуализация означает, что можно запустить Hyper-V в ВМ, являющейся гостевой на сервере Hyper-V, гостевом на сервере Hyper-V и т.д.
Такая возможность может быть актуальной для разработчиков и моделирования виртуальных инфраструктур, а также для более эффективного использования контейнерных приложений. Устранены и многие прежние ограничения.
Hyper-V в Server 2016 стал более масштабируемым.
Теперь Microsoft Hyper-V позволяет выделять виртуальной машине до 12 Тбайт ОЗУ (вместо одного) и до 240 виртуальных процессоров (вместо 64). Хост Hyper-V поддерживает ОЗУ до 24 Тбайт. Для снижения непроизводительных потерь и усиления безопасности на хосте Hyper-V можно запустить Nano Server. Для администрирования в этом случае можно использовать PowerShell и удаленный доступ.
Безопасность
В Windows Server 2016 дальнейшее развитие получили механизмы обеспечения безопасности. В частности, в отдельный контейнер Hyper-V под названием Virtual Security Module (VSM) помещены самые ценные системные данные, криптографические модули Windows Server 2016, компоненты, отвечающие за целостность ядра ОС, пароли и пр. Доступ к этим данным невозможен даже при компрометации системы.
Еще одно важное средство — виртуальный TPM (Trusted Platform Module), позволяющий задействовать в виртуальных машинах средства шифрования с использованием Bitlocker, и Credential Guard для безопасного хранения идентификационных данных. Применение Virtual TPM особенно актуально, например, при размещении ВМ в облаке.
Host Guardian Service – важный компонент обеспечения безопасности. Он работает в сочетании с другими компонентами Windows Server 2016 и обеспечивает высокий уровень защиты Shielded VM.
В плане безопасности интересным решением стали защищенные виртуальные машины — Shielded VM, но для их создания требуется Windows Server Datacenter и отдельный сервер со службой Host Guardian Service для хранения ключей и проверки прав ВМ на запуск на конкретной платформе.
Host Guardian Service используется для верификации запуска Shielded VM. А с помощью инструментария Guarded Fabric можно гибко сконфигурировать сетевую инфраструктуру и разбить ее на отдельные изолированные сетевые сегменты.
Технология Shielded VM позволяет создавать в облачной инфраструктуре защищенные виртуальные машины, доступ к которым может получить только их владелец. Администратору разрешено только включать и выключать такие виртуальные машины. Вмешиваться в их работу, читать данные, перехватывать трафик, менять их конфигурацию он не имеет права. Механизм Shielded VM может быть востребован хостинг-провайдерами, предоставляющими услуги аренды виртуальных серверов.
Возможность подключения виртуального дисплея к ВМ средствами администрирования Hyper-V в Shielded VM также заблокирована. Как же исправить ВМ, если что-то пошло не так, и она не запускается? На этот случая Microsoft предлагает хитрое решение – запуск такой ВМ внутри другой Shielded VM. При создании Shielded VM нужно также учитывать, что требования к системным ресурсам у них повышенные.
Улучшенный PowerShell обеспечивает более легкий и всесторонний контроль над средами, что значительно повышает уровень безопасности системы. Также одной из ключевых функций безопасности является разграничение прав доступа при администрировании.
В Windows Server 2016 также появилось средство под названием Just Enough Administration (JEA). Это означает, что администраторы могут логиниться под временными аккаунтами, ограниченными определенными ролями. То есть администратор, войдя в систему с зараженного вирусом ПК, большого вреда не причинит. Windows Credential Guard также ограничивает возможный ущерб от вредоносных программ при таком сценарии. А временные права администрирования (Just in Time Administration) можно предоставить с помощью Microsoft Identity Manager Privileged Access Manager.
Хранение данных и сети – Software Defined
Как известно, в Window Server 2012 помощью Storage Spaces можно создавать отказоустойчивые пулы памяти на дисках SAS, подключенных к серверу без помощи традиционной SAN (Storage Area Network). Storage Spaces Direct дает возможность напрямую подключать к кластеру Server 2016 накопители SAS, SATA или SSD. Это можно использовать для создания программно-конфигурируемых систем хранения (Software-Defined Storage, SDS).
Storage Spaces Direct можно использовать для прямого подключения накопителей.
Появилась возможность динамического управления пропускной способностью виртуальных дисков Storage Quality of Service (QoS). Применять политики Storage QoS можно как к дисковой подсистеме отдельной виртуальной машины, так и к группе ВМ.
С помощью инструментария Storage Replica администраторы могут реплицировать данные между удаленными серверами, кластерными системами и центрами обработки данных, повышая тем самым их катастрофоустойчивость и предотвращая потери на уровне файловой системы.
Для поддержки SDN (Software Defined Networking) в Server 2016 добавлена роль Network Controller. Сетевой контроллер предназначен для управления в Hyper-V виртуальными коммутаторами, балансировщиками нагрузки, правилами межсетевых экранов и виртуальными шлюзами. Поддерживаются также VXLAN (Virtual Extensible Local Area Network).
Nano Server
Nano Server – это еще более компактный вариант Server Core. Его удобно использовать как хост-систему для развертывания виртуальных машин, использовать в качестве сервера DNS или IIS, для запуска приложений в контейнерах.
Улучшения в уровне обслуживания: меньше уязвимостей, меньше перезагрузок.
По данным Microsoft, у Nano Server на 93% меньше размер VHD, он требует на 80% меньше перезагрузок. Такую систему можно применять для различных специальных функций и задач. Причем Nano Server работает как на физическом сервере, так и в ВМ. GUI у него нет – только инструменты Sysinternals.
Nano Server удобно также использовать в инфраструктуре Microsoft Cloud Platform для поддержки облачных служб и обслуживания приложений, функционирующих в виртуальном окружении, контейнерах или на физических серверах. Его можно применять для развертывания вычислительных кластеров и построения горизонтально-масштабируемых файловых хранилищ.
Благодаря своей компактности и эффективному использованию ресурсов Nano Server обеспечивает более высокую плотность ВМ, то есть на одном физическом хосте можно разместить больше экземпляров ОС, что сокращает расходы на ИТ-инфраструктуру.
Контейнеры
Важное отличие Windows Server 2016 от предыдущих версий серверных операционных систем Microsoft — поддержка технологий контейнеров. Контейнеры Windows Server — часть открытого проекта Docker. Они позволяют запускать приложения в изолированных средах на разных платформах, оперативно развертывать и перемещать их между серверами.
В Windows поддерживаются контейнеры двух видов — контейнеры Windows Server и контейнеры Hyper-V. Облегченные серверные контейнеры не требуют лицензии Windows. Контейнеры Windows Server функционируют подобно контейнерам Docker для платформы Linux. Они используют общее ядро операционной системы, что делает их более компактными и гибкими, чем обычные виртуальные машины.
У каждого контейнера Hyper-V своя копия ядра Windows Server, и изоляцию осуществляет не операционная система, а гипервизор.
Контейнеры Windows Server делят ресурсы ОС, но ведут себя как независимые экземпляры операционной системы. Однако в среде ОС Windows Server нельзя запустить контейнер Linux и наоборот. Для запуска контейнера его образ берется из репозитория (публичного или частного) и при необходимости модифицируется.
Контейнер Docker, работающий в Windows Server 2016.
Контейнеры Hyper-V изолированы средствами виртуализации, имеют свою копию ядра Windows, а в версии Standard лицензия для них не нужна. У таких контейнеров более высокий уровень изоляции, сравнимый с виртуальными машинами. Данный подход более требователен к ресурсам сервера, но повышает стабильность работы серверной ОС и надежность функционирования контейнеров.
Управляются оба вида контейнеров одинаково. Управление контейнерами Windows Server и Hyper-V может осуществляться как средствами PowerShell и WMI, так и при помощи инструментов Docker. Последние предоставляют единую среду администрирования и позволяют управлять контейнерными приложениями в среде Windows Server или Linux.
Конфигурирование контейнеров в Windows Server 2016. Контейнеры Hyper-V могут использоваться для запуска приложений с повышенными требованиями к информационной безопасности.
Хороший вариант для развертывания контейнеров — Nano Server. Однако нужно помнить, что Nano Server – это урезанная Windows. Если IIS, например, в нем работает, то .NET Framework – уже нет (только кросс-платформенная .NET Core). Не все приложения в настоящее время совместимы с Nano Server.
Образы Docker в Nano Server могут быть очень компактными.
Контейнеры Docker в Windows — пока что на начальном этапе. Потребуется время, чтобы администраторы их освоили, а разработчики – довели до ума. Microsoft понадобится также пополнить соответствующими опциями имеющийся инструментарий вроде Visual Studio.
Другие возможности
В Windows Server 2016 реализовано и множество других новшеств. Система получила новый механизм скачивания и раздачи обновлений, функционирующий по принципу P2P-протокола BitTorrent, поддержку протокола SSH. Windows Server 2016 поставляется с Windows Management Framework 5.1 и новой версией PowerShell, использующей .NET Framework 4.6.
Обновленный Windows PowerShell позволяет оперировать еще большим количеством командлетов (cmdlets), которые выполняют различные задачи управления. В частности, PowerShell 5 предлагает командлеты для управления локальными пользователями и группами и командлет Get-ComputerInfo для получения подробной информации о системе.
Нововведения коснулись и служб Active Directory. Теперь можно использовать смарт-карты для аттестационных ключей. Доменные службы Active Directory обеспечивают еще более высокий уровень безопасности при идентификации корпоративных и персональных устройств.
Планы перехода организаций на Windows Server 2016 (по данным опроса SpiceWorks, проведенного в ноябре 2015 года).
Появился новый формат файлов конфигурации виртуальных машин (.VMCX и .VMRS) с более высокой степенью защиты от сбоев на уровне хранилища, была добавлена возможность безопасной загрузки гостевых операционных систем Linux и поддержка OpenGL и OpenCL службой удаленных рабочих столов Remote Desktop Service (RDS).
Механизм обновления ОС хостов кластера без его остановки (Cluster Operating System Rolling Upgrade) дает возможность с нулевым временем простоя обновить кластер последовательным апдейтом отдельных его узлов.
В состав Windows Server 2016 включен также инструментарий IP Address Management (IPAM), позволяющий упростить управление IP-адресами. Конечно, обо всех новшествах новой ОС в одной статье рассказать невозможно. Это лишь весьма поверхностный «первый взгляд».
Издания Windows Server 2016
Сколько всего изданий у Windows Server 2016? Хороший вопрос. Выше говорилось о шести. Есть издания Standard и Datacenter, различающиеся схемами лицензирования. Standard включает лицензии только для двух ВМ или контейнеров Hyper-V под Windows Server, в то время как в Datacenter количество ВМ не ограничивается. Версия Datacenter потребуется для работы с некоторыми новыми средствами, включая Storage Spaces Direct, Storage Replica, Shielded Virtual Machine и ряд сетевых функций. Стоит версия Standard от 882 долл. для 16 ядер. Datacenter обойдется минимум в 6155 долл.
Функциональные отличия изданий Datacenter и Standard в Windows Server 2016.
Ниже представлены функции, которые есть только в редакции Windows Server 2016 Datacenter:
- Storage Spaces Direct — расширение технологии Storage Spaces для создания высокодоступных кластерных хранилищ;
- Storage Replica — технология блочной репликации данных между хранилищами;
- Shielded Virtual Machines — технология защиты содержимого виртуальных машин Hyper-V;
- Host Guardian Service — серверная роль, предназначенная для поддержки защищенных виртуальных машин (Shielded VM) и предотвращения несанкционированного доступа к ним;
- Network Fabric — централизованный мониторинг и управление сетевой инфраструктурой;
- Microsoft Azure Stack — поддержка SDN-стека для построения гибридных решений.
Nano Server лицензируется как средство Windows Server, но требует лицензии Software Assurance вместо базовой и отдельно не продается. Есть еще бесплатная Windows Hyper-V Server, используемая только как хост Hyper-V, а также версия Windows Server Essentials для малого бизнеса — до 25 пользователей и 50 устройств, для которой не нужны лицензии CAL (Client Access Licenses). Essentials стоит 501 долл., но существуют более дешевые OEM-версии. OEM-версии Windows Server Foundation больше не поставляются.
Назначение изданий Windows Server 2016 и модели лицензирования.
Есть еще пара специальных изданий: Windows Storage Server для систем хранения и Multipoint Premium Server, в основном для удаленных десктопов в сфере образования. Версии Standard и Datacenter по умолчанию инсталлируются без GUI (опция Server Core).
По умолчанию процедура установки Windows Server 2016 выполняется без GUI.
Резюмируя, можно отметить, что Windows Server 2016 предоставляет много возможностей для полноценного развертывания и функционирования ИТ-инфраструктуры в облаке. Новая ОС облегчает возможность доступа и идентификации служб и приложений организации в том случае, если они размещены и в облаке, и на физических серверах. Серверная платформа Microsoft активно развивается в соответствии с тенденциями развития индустрии и предпочтениями бизнеса. Работа проделана немалая, система развивается в правильном направлении. Проверить работу Windows Server 2016 можно, взяв виртуальный VPS сервер на бесплатный тестовый период в 3 дня.
Поделиться с друзьями
Комментарии (26)
third112
21.10.2016 15:50в отдельный контейнер Hyper-V под названием Virtual Security Module (VSM) помещены самые ценные системные данные, криптографические модули Windows Server 2016, компоненты, отвечающие за целостность ядра ОС, пароли и пр. Доступ к этим данным невозможен даже при компрометации системы.
Эту часть ОС нельзя откатить?
third112
21.10.2016 15:53Проверить работу Windows Server 2016 можно, взяв виртуальный VPS сервер на бесплатный тестовый период в 3 дня.
Очень маленький срок. За это время ничего толком не проверить.
lieff
21.10.2016 17:01Хотелось бы тестов, в сравнении с другими ос и более старыми виндами. Что то типа таких https://github.com/jmguazzo/TestPostgresqlPerf только побольше.
third112
21.10.2016 23:02В плане безопасности интересным решением стали защищенные виртуальные машины
В сетке можно найти мнения, что всякая VM защищает от вирусов и троянов, и мнения, что не защищает, что большинству вирусов крайне просто заразить хост. В этой ОС такие особые ВМ, которые защищают, или у всех ВМ защитное свойство?
VitalKoshalew
22.10.2016 01:58С 1 октября 2016 года доступна линейка продуктов Windows Server 2016, состоящая из шести изданий: WS 2016 Datacenter, Standard, Essentials, MultiPoint Premium Server, CAL, Windows Remote Desktop Services CAL 2016.
Что, простите? Не всё, что в прайс-листе — издания.
VitalKoshalew
22.10.2016 10:12+2Для начала по лицензированию:
Облегченные серверные контейнеры не требуют лицензии Windows.
Стоит уточнить: не требуют дополнительных лицензий. Хост лицензироваться должен.
Контейнеры Hyper-V изолированы средствами виртуализации, имеют свою копию ядра Windows, а в версии Standard лицензия для них не нужна.
Microsoft с вами не согласен:
«Standard Edition provides rights for up to two OSEs or Hyper-V containers
when all physical cores in the server are licensed.» Windows Server 2016
Licensing Datasheet
Собственно, вы сами же ниже это перевели:
«Standard включает лицензии только для двух ВМ или контейнеров Hyper-V под Windows Server, в то время как в Datacenter количество ВМ не ограничивается.»
Ниже представлены функции, которые есть только в редакции Windows Server 2016 Datacenter:
Host Guardian Service — серверная роль, предназначенная для поддержки защищенных виртуальных машин (Shielded VM) и предотвращения несанкционированного доступа к ним;
Microsoft с вами опять не согласен.
Network Fabric — централизованный мониторинг и управление сетевой инфраструктурой;
Да они весь SDN перелицензировали, даже то, что было в 2012 R2 бесплатно. Интересно, что они будут с компонентами SDN в Hyper-V Server 2016 делать — запрещать использовать?
Microsoft Azure Stack — поддержка SDN-стека для построения гибридных решений.
Это вы про продукт который может быть выйдет в 2017 году для нескольких моделей серверов от 3 брендов? Нет пока никакого Microsoft Azure Stack, и лицензирования, соответственно.
Применение Virtual TPM особенно актуально, например, при размещении ВМ в облаке.
Вы имеете в виду в публичном облаке? И как именно отдельно взятый Virtual TPM в этом случае поможет? Microsoft вот об этом прямым тестом говорит: «Great idea, except that doesn’t work.»
Shielded VM
Пока официально не production-ready.
А с помощью инструментария Guarded Fabric можно гибко сконфигурировать сетевую инфраструктуру и разбить ее на отдельные изолированные сетевые сегменты.
Никакого отношения к сети Guarded Fabric не имеет: «guarded fabric: This is the collective term used to describe a fabric of Hyper-V hosts and their Host Guardian Service that has the ability to manage and run shielded VMs.»
При создании Shielded VM нужно также учитывать, что требования к системным ресурсам у них повышенные.
Можно источник? То есть понятно, что Bitlocker немного нагружает процессор, но его и в обычных VM всегда можно было использовать.
Улучшенный PowerShell обеспечивает более легкий и всесторонний контроль над средами, что значительно повышает уровень безопасности системы.
Учитывая, что вышел он для всех версий, начиная с Windows Server 2008 R2, причислять его к новинкам именно Windows Server 2016 можно только из маркетинговых соображений (что, правда, делает сама Microsoft).
То же касается и JEA.
Как известно, в Window Server 2012 помощью Storage Spaces можно создавать отказоустойчивые пулы памяти на дисках SAS, подключенных к серверу без помощи традиционной SAN (Storage Area Network). Storage Spaces Direct дает возможность напрямую подключать к кластеру Server 2016 накопители SAS, SATA или SSD. Это можно использовать для создания программно-конфигурируемых систем хранения (Software-Defined Storage, SDS).
Не зная о чём речь, понять что-то из этого абзаца сложно, мне кажется.
SAS (как раз в формате SAS SAN!) нужен был только для кластеризации, а так и SATA отлично работает.
S2D же — технология гиперконвергенции, позволяющая, в первую очередь, строить кластеры серверов виртуализации по принципу share nothing: несколько копий данных разбросаны на локальных дисках (в том числе SATA и NVMe) серверов, синхронизирующихся по сети, без SAS (или любых других) SAN.
Улучшения в уровне обслуживания: меньше уязвимостей, меньше перезагрузок.
По данным Microsoft, у Nano Server на 93% меньше размер VHD, он требует на 80% меньше перезагрузок.
Это уже малоактуально: маркетологам нужно было срочно одной из «новинок» объявить rolling release, чтоб как у конкурентов. Им отдали на съедение то, чего не жалко — новый Nano Server. Теперь он будет обновляться всем подряд, с обязательной ручной переустановкой 1-1,5 раз в год. Кроме Continuous Deployment, честно говоря, сложно представить где ещё его теперь можно применить. А жаль, отличная была разработка.
Причем Nano Server работает как на физическом сервере, так и в ВМ. GUI у него нет – только инструменты Sysinternals.
Я бы не назвал урезанный пакет диагностических утилит от Руссиновича основным средством управления Nano Server. Управление у него — через штатный PowerShell (в том числе и локальный — добавили в релиз).
Windows Server 2016 поставляется с Windows Management Framework 5.1
Так не успели же доделать к релизу, с 5.0 выпустили.
поддержку протокола SSH
И близко ещё не готово.
Механизм обновления ОС хостов кластера без его остановки (Cluster Operating System Rolling Upgrade) дает возможность с нулевым временем простоя обновить кластер последовательным апдейтом отдельных его узлов.
Тут стоит уточнить, что речь идёт об обновлении с 2012 R2 до 2016. Обычная cluster-aware установка обновлений давно существует.
В состав Windows Server 2016 включен также инструментарий IP Address Management (IPAM), позволяющий упростить управление IP-адресами.
В каком смысле «включен»? Он там с 2012 года. Обновили немного, да.
Серверная платформа Microsoft активно развивается в соответствии с тенденциями развития индустрии и предпочтениями бизнеса. Работа проделана немалая, система развивается в правильном направлении.
Смотря какого бизнеса… Хостинг-провайдерам, конечно, чем больше функций из Azure доступно будет, тем лучше. А для обычного бизнеса новинок почти нет, так же как и в Windows 10. Релиз сырой выкинули (только неудаляемого spooler-а в Server Core и не хватало!), в «лучших» традициях советской сдачи объектов к празднику, многое не успели доделать. Бросили все силы на «модный» Docker, всё остальное развитие замедлилось.
Sergey-S-Kovalev
23.10.2016 16:23Была надежда, но контроля над обновлениями, как было до 2012R2 больше нет, все как в Win10, зашел в раздел обновлений — тут же они начали ставиться, в каком количестве и в какой последовательности, уже не выбрать.
Часы активности на серверной системе это вообще феерический бред. Да, они там побольше чем на десктопной версии, но они там всеравно есть. Окна для перезагрузки в продакшене, конечно есть, они в определенные дни и время, а не как хотят мелкомягкие — в определенный промежуток каждый день.
Ну и как показывает опыт — ждем R2.
klerik
24.10.2016 12:47кажется мне, что при таких ценах — все начнут смотреть на что угодно, только не на HyperV
VitalKoshalew
26.10.2016 20:34Простите, каких ценах? Windows одинаково лицензируется вне зависимости от типа гипервизора (точнее, за уход с VMware даже дают скидки), а Hyper-V — полностью бесплатен.
klerik
26.10.2016 22:29Подскажите мне, может я не так понял.
Я понял так, что на версию Standart — я смогу поставить только 2 виртуальные машины?
NoOne
28.10.2016 19:52+1Если вы ставите бесплатный Hyper-V Server, запускать вы можете сколько угодно любых ОС (в т.ч. Linux/FreeBSD). Но, естественно, Windows Server должны быть покрыты лицензией. И вот лицензия Standard покрывает до 2 виртуальных сред. Купили еще одну — можно ставить еще 2 Windows Server Standard.
Можно установить вместо бесплатного Hyper-V Server платный Windows Server Standard с лицензией, там поднять роль Hyper-V и запустить без дополнительных плат еще 2 виртуалки с Windows Server Standard. Если «добавить» туда еще одну лицензию Windows Server Standard, то можно добавить еще 2 виртуалки. И т.д.VitalKoshalew
28.10.2016 23:33Всё верно, но надо иметь в виду, что ставить Windows Server Standard в качестве сервера виртуализации вместо Hyper-V Server смысла достаточно мало, никакие другие функции на него возлагать нельзя:
For customers that want to have a lightly virtualized environment, Windows Server 2012 R2 Standard edition is the right edition to use. Windows Server 2012 R2 Standard edition will entitle you to run one instance in the physical OSE and two instances in the virtual OSE with each license. If all of the allowed instances are running then the instance in the physical can only be used to manage the virtual instances.
Это цитата из "Licensing Windows Server 2012 R2 for use with virtualization technologies", для 2016 я подобного документа пока не видел, но не думаю, что данное ограничение снимут.
MakarkinPRO
А планируются ли статьи: Как развернуть офис на сервер, который в облаке, на клиентских машинах ставить Rasberry PI (вроде как самый дешевый вариант) + SIP клиент (скорей всего на тонком клиенте). И чтобы это все работало безопасно и стабильно)?
ps: такое решение для небольшого офиса. Заплатили «вот сюда», и купли «вот это» оборудование = профит офис готов.
ru_vds
Спасибо за комментарий, подумаем над этим.
daggert
Дико извиняюсь, а почему распберька, а не простецкий тонкий клиент?
MakarkinPRO
цена)
DenMMM
Тестировал вторую вишенку с RDP (rpitc): мягко говоря не очень. ПО кривое, работать можно если только в режиме 1366x768 с текстом — медленно жуть. Геморр с заказом корпуса, пригодного для монтажа позади моника (нашел только 0110-M-P на eBay).
Из доступного выбрал промышленные ПК на n2830. Хоть разъемы юзеры не отломают. :)
Ждем подходящих решений на Atom Z.
daggert
Цены только не радуют (: Было-бы в районе 3к рублей…
DenMMM
Тогда только тонкие клиенты из Китая на ARM. :)
MakarkinPRO
не рекламы ради, что думаете? http://winterminal.com/ru/
DenMMM
WTWare наверное хорошо, но ARM как ни крути оченца медленно…
Да и конструктив решения мне не нравится: питание через сопливый microUSB, крепить не пойми как, кабель HDMI=>DVI надобно специально заказывать (есть не дорогие 0.5м).
DenMMM
Когда выпилят SecureBoot из BIOS и определятся с наличием вентилятора, можно будет присмотреться к Beelink Z83.
Вопрос срока службы таких приставок…
DenMMM
А вообще с этой модой на облака народ забыл, что работа не сервере обходится дороже по железу. Даже когда часть этого «железа» предоставляет хостер.
Экономить тут можно только на стоимости эксплуатации, т.к. проще поддерживать терминальник/VDS вместо [зоо]парка ПК.