實(shí)時(shí)遷移是Hyper-V管理中的日常操作之一。作為Hyper-V管理員，對(duì)Hyper-V部署進(jìn)行恰當(dāng)?shù)嘏渲靡源_保為虛擬機(jī)實(shí)施遷移提供一個(gè)安全環(huán)境是十分重要的。

你需要做出的最重要的一個(gè)決定就是選擇認(rèn)證協(xié)議，以確保虛擬機(jī)實(shí)時(shí)遷移的安全性。微軟提供了Kerberos和憑據(jù)安全支持提供程序(CredSSP)兩種選擇。微軟推薦在所有可能的情況下盡量使用Kerberos(使用限制性的授權(quán))。Kerberos比CredSSP更加安全，并且不受CredSSP認(rèn)證的單跳限制。

因?yàn)镃redSSP協(xié)議沒(méi)有Kerberos安全性高，并且單跳限制會(huì)帶來(lái)很多邏輯上的挑戰(zhàn)。你可能會(huì)想知道為什么微軟仍然將其作為一個(gè)選項(xiàng)。

只有當(dāng)Hyper-V服務(wù)器被加入到域中之后才能進(jìn)行實(shí)施遷移。在大多數(shù)情況下，需要支持實(shí)時(shí)遷移的Hyper-V服務(wù)器都是通用活動(dòng)目錄(AD)森林的成員。在這種情況下，你應(yīng)該使用基于Kerberos的認(rèn)證，Kerberos可以很好的用于通用域、甚至通用AD森林中的服務(wù)器認(rèn)證。

如果Hyper-V服務(wù)器如果沒(méi)有位于一個(gè)通用AD森林中，那么將毫無(wú)意義。微軟設(shè)計(jì)的Windows Server 2012和Windows Server 2012 R2允許按照需求進(jìn)行實(shí)時(shí)遷移。比如，你可以將一臺(tái)虛擬機(jī)從一個(gè)單獨(dú)Hyper-V服務(wù)器實(shí)時(shí)遷移到Hyper-V集群上。類(lèi)似地，你也可以將一臺(tái)虛擬機(jī)從一個(gè)主機(jī)集群實(shí)時(shí)遷移到另外一個(gè)集群上。

在這些情況中，Hyper-V服務(wù)器有可能不屬于某個(gè)通用森林。比如，你可能需要將一臺(tái)虛擬機(jī)從開(kāi)發(fā)環(huán)境森林遷移到生產(chǎn)環(huán)境森林。這種情況下，需要盡可能的使用Kerberos認(rèn)證。但是，只有在森林間存在信任關(guān)系時(shí)Kerberos才能發(fā)揮作用(外部信任不行)。如果不存在森林間的信任關(guān)系，則只能使用CredSSP。

在任何可能的情況下都需要避免使用CredSSP。CredSSP會(huì)將憑證傳送到遠(yuǎn)程電腦上以完成認(rèn)證過(guò)程。問(wèn)題是如果這些遠(yuǎn)程電腦被挾持，那么這些憑證也會(huì)被挾持。根據(jù)微軟的定義，這些憑證可以用來(lái)獲取遠(yuǎn)程會(huì)話(huà)的控制權(quán)。

隔離和加強(qiáng)虛擬機(jī)實(shí)施遷移流量安全

另外一種可以提升實(shí)施遷移安全的方式是為實(shí)時(shí)遷移使用專(zhuān)用網(wǎng)絡(luò)。這樣做可以提供一系列好處。首先，使用專(zhuān)用網(wǎng)絡(luò)可以改善實(shí)時(shí)遷移的性能 表現(xiàn)，因?yàn)閷?shí)時(shí)遷移流量不會(huì)和其他類(lèi)型的網(wǎng)絡(luò)流量形成競(jìng)爭(zhēng)。其次，實(shí)施遷移過(guò)程會(huì)更加安全，因?yàn)閷?shí)施遷移不會(huì)暴露到非專(zhuān)用網(wǎng)段當(dāng)中。

當(dāng)你在運(yùn)行Windows Server 2012或者2012 R2 Hyper-V的服務(wù)器上配置實(shí)施遷移時(shí)，你可以使用任何的可用網(wǎng)絡(luò)或者任何IP地址進(jìn)行實(shí)施遷移。

如果你選擇使用專(zhuān)用網(wǎng)絡(luò)進(jìn)行實(shí)施遷移，那么網(wǎng)絡(luò)應(yīng)該擁有專(zhuān)用IP地址段。比如，以192.168.1.0/16格式輸入的網(wǎng)絡(luò)。

你能做的另外一件是輸入特定Hyper-V主機(jī)的IP地址。當(dāng)你輸入一個(gè)地址后(不論是網(wǎng)絡(luò)地址還是主機(jī)地址)，都會(huì)賦予Hyper-V權(quán)限從某個(gè)特定源地址接受進(jìn)入的實(shí)時(shí)遷移流量。顯而易見(jiàn)的是，你不想有人將惡意虛擬機(jī)實(shí)時(shí)遷移到Hyper-V主機(jī)上。所以， 你應(yīng)該劃分出信任的Hyper-V服務(wù)器IP地址，來(lái)接受它們的實(shí)時(shí)遷移流量。

如你所見(jiàn)，當(dāng)為Hyper-V部署虛擬機(jī)安全實(shí)時(shí)遷移時(shí)，有許多安全方面的***實(shí)踐需要考慮。作為***實(shí)踐，你需要盡可能的使用Kerberos認(rèn)證，但是為了防止Kerberos認(rèn)證被濫用，還需要使用受限制的授權(quán)。我還推薦為虛擬機(jī)實(shí)時(shí)遷移使用專(zhuān)用網(wǎng)絡(luò)和指明被允許加入實(shí)時(shí)遷移流程的單獨(dú)主機(jī)。