Windows服務(wù)器2016的實(shí)質(zhì)是什么呢?首先,我們來(lái)簡(jiǎn)短地看一下有關(guān)聯(lián)的事情。服務(wù)器2016走的路線和以前一樣,新的Windows桌面操作系統(tǒng)出來(lái)后就會(huì)推出Windows服務(wù)器。這一次的桌面操作系統(tǒng)是Windows 10。服務(wù)器 2016的內(nèi)核和Windows 10 周年版的內(nèi)核基礎(chǔ)是一樣。如果在命令提示符下鍵入ver指令,得到的東西相同: Microsoft Windows[版本10.0.14393]。
這意味著如果安裝服務(wù)器2016時(shí)用的是桌面體驗(yàn)(Desktop Experience),服務(wù)器2016的開(kāi)始菜單就是Windows 10周年版的開(kāi)始菜單。
其次,微軟服務(wù)器2016的主要方向是支持云部署,無(wú)論是公有云還是或私有云。安全也得到關(guān)注,但這是不言而喻的。Windows服務(wù)器和Azure堆棧首席架構(gòu)師Jeffrey Snover表示: “Windows 服務(wù)器 2016用了大量來(lái)自Azure、云計(jì)算的創(chuàng)新,我們只是令創(chuàng)新主流化。和Windows NT的情況一樣,我們將高端技術(shù)大眾化,我們認(rèn)為我們?cè)谠朴?jì)算方面在做同樣的事情。”
Windows 服務(wù)器 2016意欲成為“大眾云”。這兩大方面的變化是明顯的。其一是Hyper-V虛擬機(jī)監(jiān)控程序,這個(gè)版本有極大的改進(jìn)。其二是對(duì)容器和Nano服務(wù)器的支持,Nano服務(wù)器是一款新的Windows服務(wù)器精簡(jiǎn)版。筆者將二者放在一起,因?yàn)樗鼈兊哪繕?biāo)相同:支持原生云應(yīng)用程序。
不過(guò)話又說(shuō)回來(lái):“大眾云”的意思和20年前的“大眾服務(wù)器”所指的東西是不同的。任何規(guī)模的企業(yè)都可以運(yùn)行服務(wù)器,而考慮運(yùn)行自己的私有云的企業(yè)則必須具有一定的規(guī)模。幾個(gè)位于兩個(gè)不同地點(diǎn)的數(shù)據(jù)中心Azure堆棧箱就可以搞定;一個(gè)數(shù)據(jù)中心是不夠的,因?yàn)槿狈Φ乩韽椥浴拇鳡柡虷PE在上個(gè)月在亞特蘭大微軟Ignite活動(dòng)上展出的箱子判斷,要這樣做不便宜。在一臺(tái)服務(wù)器上運(yùn)行Azure棧,只是概念驗(yàn)證的測(cè)試。
在微軟Ignite活動(dòng)上展出的Azure堆棧解決方案
在這種情況下,大眾是那些有能力也有意愿運(yùn)行自己的云的大型機(jī)構(gòu),或是我們其余的云消費(fèi)者。前者之一當(dāng)然是微軟自己,毫無(wú)疑問(wèn), 服務(wù)器2016的一部分功能是因?yàn)槲④浵M纳艫zure和Office 365而導(dǎo)致的。
這進(jìn)一步意味著服務(wù)器2016對(duì)于小規(guī)模用戶而言并沒(méi)有什么新東西。Snover談到“雪花服務(wù)器”( Snowflake server),他指的是服務(wù)器的傳統(tǒng)部署方法,安裝一次后就小心護(hù)養(yǎng)和維護(hù)。Snover表示,“如果用戶要的是‘雪花服務(wù)器’,那Windows 2016就棒極了。”不過(guò)他其實(shí)是在說(shuō)都是一樣的好(或一樣的槽糕)。創(chuàng)新是在別的地方。
更好的Hyper-V
業(yè)界對(duì)微軟的虛擬機(jī)監(jiān)控程序可以說(shuō)是毀譽(yù)參半。資深VMWare管理員對(duì)其傾向于貶抑,微軟在功能上奮起直追,而VMWare的工具通常比系統(tǒng)中心的虛擬機(jī)管理程序(Virtual Machine Manager)更好用。而另一方面,Hyper-V是操作系統(tǒng)免費(fèi)帶的,其技術(shù)發(fā)展迅速,與Windows的整合緊密,這是一定的。
Hyper-V服務(wù)器2016規(guī)模擴(kuò)展上比以前的版本好
供應(yīng)商說(shuō)對(duì)手的東西是沒(méi)人相信的,但微軟Hyper-V限版的幻燈片(上圖)還是值得一看,至少可以看到Windows 服務(wù)器 2012 R2限版的比較。例如,現(xiàn)在單個(gè)VM的RAM配置從1 TB提高到 12 TB,虛擬處理器個(gè)數(shù)則從64提升到240。Hyper-V主機(jī)支持的RAM從4 TB升到24 TB。想法很明確:虛擬系統(tǒng)在規(guī)格上不能讓步。
Nano服務(wù)器可以作Hyper-V主機(jī)用,從而減少操作系統(tǒng)開(kāi)銷和提高安全性。Nano服務(wù)器不支持交互式登錄,只支持PowerShell或其他遠(yuǎn)程管理工具。
還有別的新東西嗎?微軟列出了40多個(gè)新功能,其中最大的功能興許是嵌套虛擬化,這對(duì)Hyper-V容器(見(jiàn)下文)和Azure或其他公共云上的Hyper-V主機(jī)都頗為重要。
另一個(gè)重要功能是虛擬TPM(可信平臺(tái)模塊,英文Trusted Platform Module的縮寫(xiě)),TPM可實(shí)現(xiàn)VM(虛擬機(jī))里諸如BitLocker加密和證書(shū)監(jiān)護(hù)(在系統(tǒng)保護(hù)的VM里儲(chǔ)存憑證)等功能。
用戶現(xiàn)在可以在運(yùn)行時(shí)調(diào)整虛擬驅(qū)動(dòng)器的大小、調(diào)整內(nèi)存大小和無(wú)需停機(jī)既可以添加或刪除虛擬網(wǎng)卡。滾動(dòng)集群升級(jí)(Rolling Cluster Upgrade)意味著用戶無(wú)需終止服務(wù)即可升級(jí)運(yùn)行Hyper-V 服務(wù)器 2016的Windows 服務(wù)器 2012 R2集群。
新安全特性
微軟在推廣服務(wù)器2016時(shí)曾拿虛擬化的弱點(diǎn)說(shuō)事,因?yàn)楣粽吖ハ軻M主機(jī)后很容易騷擾VM或從VM竊取數(shù)據(jù)。服務(wù)器 2016因此引入了屏蔽VM。設(shè)置屏蔽VM同時(shí)需要Windows服務(wù)器數(shù)據(jù)中心版和一個(gè)運(yùn)行主機(jī)監(jiān)護(hù)服務(wù)的獨(dú)立服務(wù)器,主機(jī)監(jiān)護(hù)服務(wù)起保護(hù)安全密鑰的作用并檢查VM是否被允許在其所M安裝的硬件上運(yùn)行。
主機(jī)監(jiān)護(hù)服務(wù)用于驗(yàn)證屏蔽VM是否可以運(yùn)行
Hyper-V管理工具可連接到虛擬機(jī)的虛擬顯示上,這被視為安全弱點(diǎn),因此在屏蔽VM上被屏蔽了。這會(huì)導(dǎo)致一個(gè)問(wèn)題:屏蔽VM不能啟動(dòng)時(shí)如何修復(fù)。微軟的解決方案包括在另一個(gè)屏蔽VM里運(yùn)行壞掉的VM。不過(guò)該問(wèn)題也說(shuō)明在做是否運(yùn)行屏蔽VM的決定時(shí)切忌草率。如果出現(xiàn)災(zāi)難性的錯(cuò)誤,要恢復(fù)是近乎不可能的事。
另一個(gè)問(wèn)題是,屏蔽VM的采用將受到系統(tǒng)需求和管理開(kāi)銷的限制。事情并非點(diǎn)擊一下“選用屏蔽VM”就完事了。
Windows 服務(wù)器 2016還引入了一種僅夠管理(Just Enough Administration,縮寫(xiě)為JEA)的功能,JEA意味著管理員可以登錄一個(gè)臨時(shí)賬戶完成局限于預(yù)定角色的管理工作。早期的報(bào)告顯示,要正確使用JEA困難不小,不過(guò)與域管理員在修復(fù)系統(tǒng)時(shí)要登錄或許已經(jīng)受到惡意軟件感染的桌面系統(tǒng)的方法比較,JEA肯定是前進(jìn)了一步。Windows 10引入了Windows憑據(jù)監(jiān)護(hù),其目的也是為了挫敗在這種情況下運(yùn)行的惡意軟件。
微軟的身份管理器訪問(wèn)權(quán)限管理器(Identity Manager Privileged Access Manager)可以啟動(dòng)另一個(gè)功能,微軟稱之為即時(shí)管理(Just in Time Administration),也就是暫時(shí)授予管理權(quán)限。
諸如此類的功能僅僅是第一步。功能只有容易配置才會(huì)被廣泛采用。
存儲(chǔ)和網(wǎng)絡(luò)
Windows服務(wù)器2016引入了存儲(chǔ)空間(Storage Spaces),用戶可以利用存儲(chǔ)空間在連接到服務(wù)器集群的SAS磁盤(pán)上創(chuàng)建一個(gè)彈性存儲(chǔ)池,無(wú)需支付傳統(tǒng)SAN(存儲(chǔ)區(qū)域網(wǎng)絡(luò))的開(kāi)銷。直接存儲(chǔ)空間(Storage Spaces Direct)則砍掉了幾項(xiàng),用戶可以利用直連的集群上SAS、SATA或SSD驅(qū)動(dòng)器托管VM。
服務(wù)器2016的軟件定義網(wǎng)絡(luò)得到改善,加了網(wǎng)絡(luò)控制器服務(wù)器,作用是管理Hyper-V虛擬交換機(jī)、負(fù)載平衡器、防火墻規(guī)則和虛擬網(wǎng)關(guān)。另外,服務(wù)器2016還支持VXLAN(虛擬擴(kuò)展局域網(wǎng))標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)由VMware、Arista網(wǎng)絡(luò)和思科創(chuàng)立,其應(yīng)用廣泛。
直接存儲(chǔ)空間(Storage Spaces Direct)使用直連驅(qū)動(dòng)器
Docker出現(xiàn)在Windows服務(wù)器里
Windows 服務(wù)器對(duì)容器的支持是Windows 服務(wù)器 2016的一項(xiàng)意義深遠(yuǎn)的新功能。據(jù)Azure首席技術(shù)官M(fèi)ark Russinovich介紹,打造該功能花了兩年,功能需要一些新的Windows內(nèi)核基元。微軟為容器管理在Docker引擎上也做了貢獻(xiàn),容器管理因而可在 Windows上運(yùn)行。
Windows容器有兩個(gè)版本。服務(wù)器容器是輕量級(jí)的,不消費(fèi)Windows許可證。Hyper-V容器利用虛擬化被高度隔離,并擁有自己的Windows內(nèi)核副本,在以標(biāo)準(zhǔn)版版運(yùn)行時(shí)消費(fèi)許可證。但二者的管理方式是一樣的。用戶從存儲(chǔ)庫(kù)(公有或私有的)下載容器鏡像,根據(jù)需要對(duì)其進(jìn)行修改并部署。容器共享操作系統(tǒng)資源,但對(duì)應(yīng)用程序而言,容器運(yùn)作和專用的操作系統(tǒng)實(shí)例一樣。
在Windows 服務(wù)器 2016上運(yùn)行的Docker容器
筆者為了寫(xiě)此篇文章在服務(wù)器2016上成功運(yùn)行了Docker容器,不過(guò),服務(wù)器2016的發(fā)布版本需要打補(bǔ)丁才能運(yùn)行。但很顯然,以這種方式來(lái)部署應(yīng)用程序、或是部署分成Microservices的應(yīng)用程序都是很不錯(cuò)的,原因是該方法屬輕量級(jí)、適合自動(dòng)化及可以創(chuàng)建用戶所想要的正確環(huán)境。
Nano服務(wù)器基礎(chǔ)鏡像的使用對(duì)容器而言是再理想不過(guò)的,因?yàn)檫@可以進(jìn)一步降低系統(tǒng)開(kāi)銷。興許甚至可以說(shuō),只有Nano服務(wù)器才適合Windows服務(wù)器容器;基于服務(wù)器內(nèi)核的容器往往要大得多。Nano服務(wù)器的引入是必需的,而不僅僅是個(gè)聰明的點(diǎn)子。
Nano服務(wù)器只有Windows服務(wù)器的子集,此為不利的一面;它可以運(yùn)行IIS,但不能運(yùn)行完整版.NET Framework,只能運(yùn)行名為.NETCore的跨平臺(tái)版。目前與Nano服務(wù)器兼容的應(yīng)用程序不多。
基于Nano服務(wù)器的Docker鏡像文件較小
Windows上的Docker仍處于起步階段, Windows管理員和開(kāi)發(fā)人員需要時(shí)間適用。時(shí)下的情況有些令人困惑,Docker在Linux上已近完善,幾乎所有的文檔和示例都是針對(duì)Linux的。而且,微軟需要面向Docker部署選項(xiàng)擴(kuò)展諸如Visual Studio等工具。
但Windows上的Docker技術(shù)風(fēng)頭強(qiáng)勁,其用途不僅僅局限于以各種規(guī)模安裝的Windows服務(wù)器的一項(xiàng)功能。
安裝和版本
Windows 服務(wù)器 2016的默認(rèn)設(shè)置無(wú)圖形界面
Windows 服務(wù)器 2016有多少個(gè)版本呢?很難給出一個(gè)直接的答案。首先是標(biāo)準(zhǔn)版和數(shù)據(jù)中心版,二者的區(qū)別主要是許可證。標(biāo)準(zhǔn)版只包括2個(gè)VM或運(yùn)行Windows服務(wù)器Hyper-V容器的許可證,數(shù)據(jù)中心版許可證可運(yùn)行無(wú)限個(gè)VM。此外,有些新功能需要數(shù)據(jù)中心版的支持,包括直接存儲(chǔ)空間、存儲(chǔ)副本、屏蔽虛擬機(jī)和高級(jí)網(wǎng)絡(luò)。標(biāo)準(zhǔn)版16核(最低)許可證起價(jià)為882美元,數(shù)據(jù)中心版起價(jià)為6155美元。
Nano服務(wù)器也是Windows服務(wù)器的一個(gè)版本,但不可直接購(gòu)買。它是Windows服務(wù)器的一個(gè)功能,需要在購(gòu)買Windows服務(wù)器時(shí)購(gòu)買購(gòu)買軟件保障,不能僅購(gòu)買基本許可證。微軟表示,這是因?yàn)橹挥挟?dāng)前分支業(yè)務(wù)(Current Branch for Business)服務(wù)模式提供Nano服務(wù)器,該模式意味著持續(xù)更新。
另一個(gè)版本是Windows Hyper-V服務(wù)器,是個(gè)免費(fèi)版本,只授權(quán)給Hyper-V主機(jī)和針對(duì)25用戶和50個(gè)設(shè)備的小企業(yè)提供的Windows服務(wù)器精華版(Windows Server Essentials),這些小企業(yè)無(wú)需CAL(客戶端訪問(wèn)許可證)。精華版標(biāo)價(jià)501美元,不過(guò)OEM協(xié)議可以更便宜。唯OEM的 Windows 服務(wù)器 Foundation已經(jīng)停售。
在其他各種專業(yè)版里,Windows存儲(chǔ)服務(wù)器只能捆綁在一個(gè)存儲(chǔ)設(shè)備上,多點(diǎn)高端服務(wù)器版則主要用于教育領(lǐng)域的的遠(yuǎn)程桌面。
標(biāo)準(zhǔn)版和數(shù)據(jù)中心版的默認(rèn)安裝均無(wú)圖形界面,安裝名為服務(wù)器內(nèi)核(Server Core)的安裝選項(xiàng)。
是微軟最重大的發(fā)布嗎?
Snover在發(fā)布前的的新聞通氣會(huì)上向在場(chǎng)的記者們保證,服務(wù)器 2016是微軟至今為止最重大的發(fā)布。他說(shuō)的是否屬實(shí)則取決于每個(gè)人的需要是否與微軟的目標(biāo)一致。安全上的提升有用,但是配置難,即是說(shuō)只有大機(jī)構(gòu)才可能會(huì)從中受益。就數(shù)據(jù)中心而言,討人喜歡的東西不少,包括直接存儲(chǔ)空間、改進(jìn)的軟件定義網(wǎng)絡(luò)以及最重要的容器支持和Hyper-V改進(jìn)。小一點(diǎn)的企業(yè)可能覺(jué)得其中的多數(shù)對(duì)他們都不適用,除了容器支持這一條,容器支持是件大事,周圍的生態(tài)系統(tǒng)成熟后,“即刻部署容器”這種選項(xiàng)對(duì)于許多類型的應(yīng)用程序部署都有它的吸引力。