微軟在新的Hyper-V中一直在著重提出其在安全性方面的優(yōu)勢，而微軟或許也希望通過對安全性的闡述來帶出兩點：

1、微軟的Hyper-V是與眾不同的；

2、Hyper-V的微架構相比其它“第三方的解決方案”是有特殊的安全性優(yōu)勢的。

確實，由于Hyper-V在微內核上的優(yōu)勢：微內核管理程序包含了盡可能少的代碼，在Hyper-V的管理程序中，你既看不到設備驅動程序（驅動程序是跑在每一個獨立的分區(qū)中，而虛擬機OS雖然在相互獨立的單獨分區(qū)內但是卻能夠很好的通過Hypervisor直接訪問硬件），同時，Hyper-V也少見第三方代碼，因此，微軟成功的將Hyper-V的安全隱患降到了最低。

但這只是Hyper-V的安全性話題的其中一部分，微軟在保護Hyper-V上所投入的力量顯然是更為巨大的，且安全性，尤其是在與Windows Server緊密結合之后的安全性，正成為微軟與VMware、Xen Source這些第三方解決方案抗衡的重要砝碼。

微軟的Hyper-V的虛擬化前身來自于Virtual Server，這是一個建立在Ring0內核模式和Ring3用戶模式下的傳統(tǒng)模式，宿主機的Windows和驅動程序及VS底層驅動都是在Ring0下，Virtual Server則是在Windows Server上的，通過IIS來進行管理，與內核進行通信，但反觀虛擬機，其Virtual Server則運行于一個高于WIndows的Ring1虛擬內核模式上，特權低于Ring0，但是高于Ring3——問題在于很多特權指令很可能不能夠在Ring1上得到完善的支持，當然，我記得微軟好像也有一種什么二進制指令翻譯的技術進行處理，但是這畢竟不是一個最“根本”的解決途徑。

在Hyper-V中，不再有宿主機和虛擬機之分，微軟帶來的新概念是：父分區(qū)和子分區(qū)，通過在硬件底層安裝Hypervisor，然后就在虛擬機上劃分多個分區(qū)，父分區(qū)和子分區(qū)雖然看起來可以對應之前的宿主機和虛擬機，但是其地位已經(jīng)基本平等，他們的內核都是運行在Ring0上，應用程序則運行在Ring3用戶模式上，與VS最大的不同是，虛擬機的內核不再運行在Ring1之中，Hypervisor運行的則更為底級，大致是運行在CPU上的一個什么層上，微軟的命名也很有意思，叫Ring-1，從圖中我們看到，微軟虛擬化的功能和結構已經(jīng)大大的復雜化和體系化（見下圖）。

好，現(xiàn)在我們已經(jīng)對Hyper-V的架構有了一定的了解——從第三方的結構上來看，Hypervisor有兩點安全性值得我們注意：第一，其不能滿足深度防御體系——這一點當然是微軟一致推崇的；第二，Hypervisor直接運行在硬件上，導致了特權的最大化，其風險可想而知，因此，Hyper-V既然是基于Hypervisor技術的，也就面臨了同樣的問題。

微軟的解決辦法是：在Hyper-V中只做內存管理和CPU調度，其他的設備則通過關鍵的VMbus——這是一種穿越機制，通過VMbus進入Ring0進行轉接，從而構建了一個微軟Hyper-V的三層架構（當然，就是那個深度防御體系）：調度CPU管理內存的Hypervisor層、存儲/網(wǎng)絡堆棧和驅動運行的Ring0層以及Ring3層之中的虛擬設備/管理用API/虛擬機（見下圖）。

不知道有沒有人注意到：VMbus是其中的一個安全性的核心，他負責了那些可能會出現(xiàn)問題的命令和代碼的執(zhí)行——基于VMbus的高速內存總線架構是其安全性實現(xiàn)超越主要貢獻者，每臺虛擬機之間隔離的VMbus調用保證了每個分區(qū)，每個虛擬機之間完全的隔離開（或許我們可以說是“類物理機”？）

除此以外，我們還會看到，正如我在文章開頭所說，Hyper-V底層的Hypervisor代碼量很小，不帶有第三方驅動，僅僅是負責兩件事情的非常精簡的架構下——而且還是純粹的微軟的代碼（微軟自己聲稱不包含任何的bug），安全性能夠得到大大提升——只做最核心的，不做那些可能會出問題的，Hypervisor會出問題才怪？！

當然，這并不是全部的內容，微軟的工程師曾經(jīng)提到過有關Hpyer-V安全加固部分：首先，Hypervisor擁有自己的地址空間，與Guest的地址空間隔離；其次，Hypervisor可以運行在Windows Server 2008上的Server Core上，這是僅僅支持命令行接口的一個最精簡的Windows Server，一個沒有GUI Shell但是可以運行GUI程序的詭異系統(tǒng)。

利用Server Core安裝Hyper-V，好處很明顯：GUI Shell去掉后，性能更好，而代碼量最小之后，系統(tǒng)需要補丁的幾率也就越小——我覺得這點最關鍵，誰都知道，微軟的Windows絕對是補丁大王。

補：需要說明的是，子分區(qū)目前仍然要通過父分區(qū)來訪問硬件資源，當子分區(qū)內的操作系統(tǒng)需要訪問硬件的時候，由子分區(qū)內的VSC(Virtualization Service Client)通過VMBUS將request發(fā)給父分區(qū)里面的VSP(Virtualization Service Provider)，然后由VSP去提供實際的硬件服務。通過這種方式來使用硬件，相對于使用硬件模擬的方法，其訪問性能有了大幅度的提高。