Данная статья описывает знакомство с третьей бета версией. Изменения в RC0 и финальном релизе наверняка будут, но думаю не страшно глобальные.
Все нововведения Windows Server 2008 можно условно разделить на два типа – технические, направленные на совершенствование продукта в рамках эволюционного развития серверной платформы, и бизнес-ориентированные, призванные обеспечить решение конкретных задач, укладывающихся в емкое понятие оптимизации IT-инфраструктуры. В настоящей статье мы затронем именно вторые, посредством которых Microsoft постаралась аккумулировать как свой опыт и видение развития индустрии, так и пожелания крупных заказчиков. Сюда относятся средства виртуализации, централизации доступа к приложениям на базе терминальных служб, поддержки функционирования удаленных офисов, обеспечения высокой доступности серверов и сервисов.
Виртуализация как данность
Средства виртуализации на уровне ядра ОС – Windows Server virtualization (WSv), по мнению Microsoft, позволят организациям, имеющим развитые центры обработки данных (ЦОД), существенно снизить стоимость IT-инфраструктуры, централизовать управление, повысить сетевую безопасность, надежность и доступность, а также значительно улучшить масштабируемость и контроль за расходами на аппаратуру. Проведенные компанией исследования показали, что практически все крупные заказчики в настоящий момент заинтересованы в консолидации серверов и стандартизации администрирования разнообразных аппаратных и программных платформ. Решением могут стать динамические ЦОД, в которых нагрузки на оборудование распределялись бы согласно текущим требованиям ПО – соответственно, перестанут простаивать избыточные мощности, а для приложений будет обеспечиваться высокая доступность. И в 80% случаев для этого начнут применяться технологии виртуализации и динамического управления ресурсами.
Пока в этой области работают лишь несколько поставщиков, и рынок окончательно не сложился. Microsoft с выходом Windows Server 2008 и WSv представляет собственную концепцию, подразумевающую использование мощных 64-битовых серверов с аппаратной поддержкой технологий виртуализации. В таких ЦОД отдельные серверы будут именно виртуализоваться (а не эмулироваться), а распределение ресурсов – выполняться в реальном времени за счет мониторинга всех актуальных параметров оборудования и ПО в соответствии с запрошенными услугами.
Для поддержания отказоустойчивости и высокой доступности созданной инфраструктуры виртуальных машин, вне зависимости от типа гостевой ОС, WSv предполагает использование отказоустойчивых кластеров, «живой миграции» (Live Migration), резервного копирования. Кластеризация может касаться как аппаратных серверов (хостов), на которых выполняются службы WSv, что гарантирует защиту от сбоев и высокую доступность виртуальных платформ (так называемые «виртуальные блейды»), так и гостевых ОС, что обеспечит доступность сервисов, исполняющихся в их среде, не требуя при этом дополнительных расходов на оборудование.
«Живая миграция» подразумевает перенесение действующих виртуальных машин с одного хоста на другой без потери данных (например, текущего состояния памяти) и производительности. Кроме того, доступны средства переноса ОС, исполняемой на физическом оборудовании, в виртуальный режим и обратно для динамического перераспределения ресурсов. Все описанные операции, а также мониторинг в реальном времени и автоматизация процессов управления ресурсами осуществляются с помощью отдельного продукта Virtual Machine Manager из семейства Microsoft System Center – он поддерживает как WSv, так и предыдущие решения на базе Microsoft Virtual Server 2005 R2.
Для обеспечения эффективного резервного копирования виртуальных машин в Windows Server 2008 специально доработана служба Volume Shadow Copy Service (VSS). Во-первых, резервирование файлов образов виртуальных дисков (Virtual Hard Drive, VHD) теперь можно осуществлять в «горячем» режиме, т. е. не прерывая функционирования соответствующих виртуальных машин. Во-вторых, можно создавать моментальные снимки (snapshots) VHD, подобные тому, как это делается для обычных файлов или баз данных Microsoft SQL Server 2005 в Windows Server 2003 или Windows Vista.
Все это позволит существенно снизить показатель TCO для инфраструктуры ЦОД за счет лучшей утилизации аппаратных ресурсов, их динамического перераспределения и обеспечения высокой доступности бизнес-приложений. Кроме того, поскольку полноценная поддержка виртуализации обеспечивается не только для Windows, но и для некоторых других систем (например, Linux на Xen-совместимом ядре), станет значительно легче централизованно управлять инфраструктурой гетерогенных и распределенных решений.
Филиалы станут ближе
На упрощение управления распределенной IT-инфраструктурой, обеспечение бесперебойного функционирования удаленных офисов направлены еще несколько нововведений Windows Server 2008. Возникли они не на пустом месте, первый шаг в этом направлении был сделан в Windows Server 2003 R2 – там появились усовершенствованная служба Active Directory, файловая система с возможностями контроля контента и службой репликации DFS и пр. В Windows Server 2008 к ним добавились средства быстрого развертывания и администрирования, обеспечения безопасности, повышения эффективности работы по WAN-каналам.
Поддержка распределенных филиалов, их оперативное включение в общую IT-инфраструктуру и минимизация затрат на дальнейшее обеспечение их функционирования является важной задачей для динамично развивающихся компаний. На ее эффективное решение в Windows Server 2008 направлены новый мастер развертывания AD, контроллеры домена в режиме «только для чтения» (RODC), средства управления сервисами и разделения ролей.
В частности, RODC (в некотором смысле аналог хорошо забытого NT4 BDC) разработан специально для удаленных офисов, где необходимо обеспечить высокую безопасность при минимальных потребностях в администрировании и каналах связи. Такой домен обеспечивает функционирование без возможности внесения изменений в структуры AD, с однонаправленной репликацией – от «обычного» контроллера к RODC. Пожалуй, главное отличие RODC от схемы NT4 PDC/BDC состоит в том, что он не хранит паролей в своей базе, а лишь выступает в роли посредника, запрашивая их от «головного» контроллера, причем согласно политике Password Replication Policy. Это позволяет снизить риск взлома общей базы, и в любом случае угрозе будет подвержено только небольшое число учетных записей данного офиса.
Кроме того, для обеспечения безопасности контроллеров домена в Windows Server 2008 появилась роль локального администратора, позволяющая выполнять штатные операции по управлению сервером (установка драйверов, конфигурирование служб), но исключающая доступ к AD. Еще одно новое средство Windows Server 2008, которое особенно пригодится в удаленных офисах, где физическую защиту серверов зачастую обеспечить довольно проблематично, – технология BitLocker Drive Encryption, уже известная по Windows Vista.
Для снижения затрат на обслуживание, числа потенциальных угроз безопасности и аппаратных требований (что особенно актуально для филиалов и ЦОД) в Windows Server 2008 предлагается концепция Server Core. По сути, это минимальная инсталляция ОС, содержащая только необходимые для выбранной роли компоненты и службы и лишенная графической оболочки, – управлять ею можно либо удаленно посредством консоли MMC, либо локально через командную строку (в том числе и PowerShell). Это могут быть DHCP, DNS или файловый сервер, контроллер домена, хост WSv и т. д. В любом случае каждый сервис получит в свое распоряжение максимум ресурсов.
Актуальной для удаленного филиала остается и эффективность использования WAN-каналов, связывающих его с головным офисом организации. Ряд способов для оптимизации трафика в распределенных сетях Microsoft предложила еще в Windows Server 2003 R2: DFS и BITS, сжатие, кэширование и контроль за направлениями/контентом с применение ISA Server 2006, централизованные системы обновления на базе WSUS или SMS. В Windows Server 2008 дополнительные усовершенствования коснулись протоколов TCP/IP и SMB (Server Message Block) – их полное описание заняло бы слишком много места, поэтому укажем лишь наиболее интересные и важные из них.
Механизмы Receive Window Auto-Tuning и Compound TCP существенно переработанного TCP/IP-стека призваны обеспечить высокую пропускную способность сетей путем вычисления оптимального размера окна данных исходя из текущих характеристик канала – в некоторых случаях достигается пятикратное ускорение передачи больших файлов (свыше 500 MB) по гигабитовым соединениям. В низкокачественных сетях обеспечивается поддержка различных стандартных алгоритмов обнаружения потерь данных и их восстановления без повторной пересылки всего массива (RFC 2582, 2883, 3517, 4138). Изменен алгоритм обнаружения и восстановления «мертвых» маршрутизаторов и «черных дыр», упрощено управление QoS посредством групповых политик и т. д.
Новый IIS обещает быстро стать довольно популярным
SMB обновлен до версии 2.0 и в настоящий момент поддерживается Windows Vista и Windows Server 2008. Количество изменений в нем впечатляет – это и возможность отправки нескольких SMB-команд в одном пакете, и увеличенный буфер обмена, и снятие ограничения на количество одновременно открытых файлов на сервере, и внедрение технологий обнаружения сбоев и восстановления соединения. При использовании пары Windows Vista/Windows Server 2008 рост производительности при передаче данных может достигать 2–5 раз в локальных гигабитовых сетях, и 10–100 раз в WAN со временем задержки в канале порядка 100 мс.
Терминалы наступают
Однако даже грамотное развертывание распределенной IT-инфраструктуры иногда неспособно решить всех задач бизнеса. Например, в филиалах может понадобиться использование тяжелых приложений, требующих больших вычислительных ресурсов либо сложных в развертывании и сопровождении на клиентской стороне. Аналогичные проблемы возникают и при необходимости быстрого подключения партнеров к существующим бизнес-системам или при слиянии компаний, применяющих различные IT-инфраструктуру и ПО. Естественно, интеграция разнородных систем потребует значительных затрат и времени, равно как и создание локальных ЦОД.
В подобных случаях разумно обратиться к службам терминального доступа – Terminal Services (TS), которые стандартно присутствуют на серверной платформе Microsoft начиная с Windows 2000 Server. C тех пор они значительно развились, но если в Windows Server 2003 основные изменения в TS коснулись производительности и эффективного выделения ресурсов для каждой сессии, то в Windows Server 2008 разработчики сосредоточились на обеспечении высокой доступности в локальной сети, а также доступа внешних пользователей и их более комфортной работы в рамках сессии.
На решение этих вопросов нацелен целый ряд новых служб – TS Session Broker, TS Gateway, TS Web Access. Первая из них представляет собой более простую альтернативу Microsoft Network Load Balancing (NLB) для построения терминальных ферм. В отличие от NLB, TS Session Broker не ограничена количеством узлов, формирующих ферму, и к тому же она распределяет запросы интеллектуальнее, выбирая в каждом случае наименее загруженный узел. Кроме того, в задачи TS Session Broker входят контроль за простаивающими незавершенными терминальными сессиями на всех узлах и корректное подключение пользователей при восстановлении соединения – результатом будет оптимизация нагрузки на оборудование.
TS Gateway – средство публикации терминальных служб во внешних сетях, что снимает необходимость в предварительной организации VPN-канала между компьютером удаленного пользователя и локальной сетью. Эта служба функционирует на базе протокола HTTPS – в его пакеты новый клиент Remote Desktop Connection (RDP) 6.0 инкапсулирует свои запросы. Пограничный сервер TS Gateway дешифрует HTTPS-трафик и перенаправляет его (в зависимости от настроек) к TS Session Broker либо напрямую к терминальному серверу. Для обеспечения безопасности и контроля за подключениями в TS Gateway присутствуют средства Connection Authorization Policies (CAPs), Resource Authorization Policies (RAPs) и поддерживается Network Access Protection (NAP).
CAPs позволяет администраторам определять условия, необходимые для получения разрешения на соединение со службой TS Gateway, – это может быть, например, аутентификация пользователя посредством смарт-карты. В свою очередь RAPs предназначены для группирования терминальных ресурсов внутри сети и управления их доступностью для удаленных пользователей методами, аналогичными CAPs (специфические виды аутентификации, принадлежность к тем или иным группам и т. п.). NAP, сравнительно новая технология контроля безопасности при подключении к сетям на базе Windows Vista/Windows Server 2008, призвана гарантировать, что удаленный компьютер, с которого запросили соединение с TS Gateway, соответствует требованиям корпоративной безопасности, т. е. на нем функционируют все защитные механизмы, установлены последние обновления и т. п.
TS Web Access позволяет публиковать на Web-сайте отдельные приложения, которые будут выполняться в терминальном режиме. Пользователь, открыв соответствующую Web-страницу, выбирает нужную программу и запускает ее так же, как любую другую локальную, в обычном окне.
С точки зрения возможностей пользователя новые терминальные службы также претерпели важные изменения. Доработки протокола RDP в первую очередь коснулись обеспечения печати на локальных принтерах, а также поддержки прямого доступа к другим подключенным к клиентскому компьютеру устройствам вроде фото- и видеокамер, сканеров (Plug-and-Play Device Redirection). В терминальных сессиях стало возможным использование высоких разрешений экрана (до 4096×2048) и спецэффектов Aero, расширение клиентского окна на несколько мониторов, разделение полосы пропускания между вводом/выводом (обновление дисплея, сигналы с клавиатуры/мыши) и передачей данных (например, файлов или заданий на печать) и многое другое.
Как работает WSv
Ядром WSv является Windows Hypervisor, построенный на микроядерной архитектуре и взаимодействующий с аппаратными средствами виртуализации, присутствующими в современных наиболее распространенных платформах, – Intel VT и AMD Pacifica. Поддержка со стороны оборудования позволяет перейти от эмуляции аппаратной части виртуальной машины (трансляции адресов памяти, дисковых операций и т. п.) к работе непосредственно с физическими устройствами через «тонкую» прослойку гипервизора. Основная (Windows Server 2008) и гостевые операционные системы функционируют поверх гипервизора в особых разделах (partitions) – родительском и дочерних соответственно. Собственно говоря, все современные ОС можно разделить на два типа – WSv ready, т. е. имеющие специальные механизмы взаимодействия с гипервизором (пока к ним относятся Windows Server 2003, Windows Server 2008, Windows Vista, а также Linux-системы, адаптированные для Xen), и все прочие, которые будут работать в режиме эмуляции.
Основная ОС обеспечивает необходимые механизмы для управления всем стеком виртуальных систем любого типа, работающих в дочерних разделах, в том числе распределяет доступ к физическим устройствам взаимодействия с пользователем (клавиатура, мышь, видеоадаптеры). Для осуществления всех взаимодействий применяется канал кросс-коммуникаций, называемый VMBus, через который передаются запросы к устройствам ввода/вывода, дисковой, сетевой и видеоподсистемам. Непосредственно с основной ОС гостевые сообщаются только при использовании процессорных ресурсов и памяти.
Для обеспечения взаимодействия ОС, работающих в виртуальном режиме, с шиной VMBus, а также диспетчеризации запросов, поступающих через VMBus в родительский раздел к основной системе и далее к гипервизору, в технологии WSv предусмотрены концепции Virtualization Service Provider (VSP) и Virtualization Service Client (VSC). VSP находится в родительской системе (и является штатным сервисом Windows Server 2008) – по сути, это оконечный мультиплексор VMBus, транслирующий запросы через гипервизор к оборудованию. VSC представляет собой драйвер устройства для виртуальной ОС, работающий не с реальным оборудованием, а с VMBus. Такая архитектура позволяет вместо эмуляции аппаратного обеспечения использовать режим «синтетических устройств», которые могут на лету добавляться или переключаться на различные физические.
Таким образом, для WSv-совместимых ОС будут обеспечиваться не только высокая скорость функционирования и разнообразие периферийного оборудования, но и возможность «горячего» добавления процессоров, памяти, дисков, сетевых интерфейсов и т. п. Кроме того, ряд устройств виртуальных машин могут быть непосредственно привязаны к своим физическим прототипам, например SAN-хранилищам или отдельным жестким дискам. Следует также отметить технологию Memory Page Sharing, согласно которой основная ОС не будет дублировать идентичные страницы для разных виртуальных машин, что позволит оптимизировать утилизацию памяти в самом типичном случае – когда параллельно выполняется несколько одинаковых гостевых ОС.
TS RemoteApp представляет более эффективный подход к организации терминальной системы, состоящий в обеспечении доступа не ко всему рабочему столу, а лишь к окну конкретного приложения – раньше такие возможности предоставлялись только при использовании сторонних продуктов, таких как Citrix Presentation Server. Администратору достаточно с помощью специального мастера «опубликовать» любое установленное на терминальном сервере ПО как приложение TS RemoteApp, в результате чего для него будет сформирован специальный инсталляционный пакет (в котором, среди прочего, могут быть указаны координаты сервера-шлюза TS Gateway для удаленного подключения или TS Session Broker в случае применения терминальной фермы) – их развертывание на клиентских машинах посредством средств удаленной установки создаст соответствующую пиктограмму на рабочем столе или в меню «Пуск». В большинстве случаев пользователь не будет даже догадываться, выполняется ли приложение локально или удаленно, тем более что в его распоряжении останутся привычные локальные диски, съемные накопители, принтеры и т. п. Такой сценарий оптимален для быстрого развертывания новых бизнес-приложений и их централизованного сопровождения, поскольку не требует дополнительного обучения пользователей, организации поддержки на рабочих местах и модернизации их аппаратной части.
Автор Игорь Шаститко
Взято с itc.ua