Windows Server 2016: Đột phá về bảo mật đám mây - Phần 1

Từ bộ chứa kiểu như Docker cho tới Nano Server, lưu trữ dựa trên phần mềm và những cải tiến mới về mạng, phiên bản Windows Server mới có nhiều tính năng tuyệt vời.

Như nhiều chuyên gia công nghệ kỳ vọng, phiên bản Windows Server 2016 mà Microsoft vừa tung ra cho nhà sản xuất hồi cuối tháng 9 vừa qua có rất nhiều tính năng mới. Nhiều tính năng rất "hợp thời" như Nano Server tựa như bộ chứa Docker, đã cho thấy Microsoft đang đặt trọng tâm hơn vào điện toán đám mây. Những tính năng khác như máy ảo Shielded VM cũng tiếp tục khẳng định Microsoft quan tâm nhiều hơn đến bảo mật, và kiến trúc hạ tầng dựa trên phần mềm mà hãng từng đề cập hồi năm 2012 cũng thể hiện rõ nét.

Phiên bản cuối cùng của Windows Server 2016 xuất hiện sau 5 phiên bản kỹ thuật trước đó (Technical Preview) cũng khiến giới công nghệ ngạc nhiên. Bài viết sẽ cho bạn thấy những tính năng chính, quan trọng của phiên bản chính thức này.

Chi tiết kỹ thuật của Windows Server 2016 
Có thể nói Windows Server 2016 có những thông số kỹ thuật rất "khủng", nhưng nếu so với bản cách đây 4 năm, thì những chỉ số này cũng hợp lý mà thôi, nhất là khả năng hỗ trợ cho bộ xử lý và bộ nhớ:
  • Hỗ trợ đến 24TB bộ nhớ vật lý cho mỗi máy chủ (so với 4TB của năm 2012).
  • Hỗ trợ đến 512 bộ xử lý logic (năm 2012 là 320).
  • Hỗ trợ bộ nhớ máy ảo đến 12TB (năm 2012 là 1TB).
  • Hỗ trợ 240 bộ xử lý ảo cho mỗi VM (năm 2012 là 64).
Theo Microsoft, những chi tiết kỹ thuật này có được là do nhu cầu nội bộ của hãng, mà cụ thể là nền tảng Azure, và vượt hơn nhiều nhu cầu thực sự của khách hàng bên ngoài, giúp Windows Server bắt kịp những hệ điều hành khác. Azure đang lớn mạnh, và vấn đề lớn nhất của Microsoft hiện tại không phải là xây dựng trung tâm dữ liệu hay khả năng về mạng, mà vấn đề thực sự của hãng nằm ở chip cho máy chủ.

Bộ chứa kiểu Docker
Bộ chứa (Container ) là bước tiến rất lớn đối với Microsoft vì điều này cho thấy hãng đang dần chấp nhận thế giới nguồn mở. Microsoft đã làm việc với Docker để hỗ trợ hoàn toàn cho hệ sinh thái Docker trong Windows Server 2016. Thậm chí, từ bản cập nhật Windows 10 Anniversary, Microsoft cũng đã đưa ra một tập tính năng tương tự. Bạn có thể cài đặt hỗ trợ Container sử dụng phương pháp chuẩn để kích hoạt tính năng Windows thông qua Control Panel hoặc thông qua dòng lệnh PowerShell như sau:

Install-WindowsFeature containers

Bạn cũng phải tải về và cài đặt engine Docker để có được mọi tính năng của bộ chứa này. Bạn có thể tham khảo chi tiết về bộ chứa mà Microsoft hỗ trợ trên trang MSDN chính thức của hãng.

Điều quan trọng là Microsoft hỗ trợ cả hai mô hình bộ chứa khác nhau: Windows Server Container và Hyper-V Container. Windows Server Container dựa trên quan điểm Docker chuẩn, chạy mỗi bộ chứa như là một ứng dụng riêng biệt bên trên hệ điều hành. Ngược lại, Hyper-V Container là những máy ảo hoàn toàn tách biệt nhau, mỗi máy là một kernel Windows riêng nhưng lại nhẹ hơn máy ảo (VM) truyền thống. Hyper-V Container rất phù hợp để tạo môi trường ảo hóa dạng lưới bên trong Hyper-V.

Bạn có thể quản lý cả Windows Server Container và Hyper-V Container thông qua các lệnh nội tại của Docker hoặc thông qua PowerShell như hình trên.

Các ảnh bộ chứa được tạo khác với một hệ điều hành cụ thể. Điều này có nghĩa là bạn sẽ cần một máy ảo Linux để chạy một ảnh bộ chứa Linux trên Windows. Còn Windows Server Container là một tính năng nhúng của Windows Server 2016, hoạt động với hệ sinh thái Docker. Microsoft cũng dùng GitHub để đăng tải các phiên bản Windows về các thành phần khác nhau của Docker và khuyến khích cộng đồng nhà phát triển cùng tham gia.

Nano Server

Nano Server là kết quả của quá trình tái dựng lại hầu như hoàn toàn mã nguồn hiện thời của Windows Server cũ, với mục tiêu cuối cùng là đạt được trạng thái hệ thống vận hành ở mức tối giản nhất có thể. Thực chất, Nano Server không có bất kỳ giao diện người dùng trực tiếp nào, ngoài một cửa sổ console mới tên là Emergency Management. Bạn sẽ phải quản lý các thành phần (instance) Nano từ xa, sử dụng hoặc là Windows PowerShell hoặc bộ Remote Server Administration Tools mới.

Tính năng của Nano Server  
Ngoài việc không hỗ trợ GUI, Nano Server hỗ trợ ít workload hơn và có những tính năng sau:
  • Chạy máy ảo Hyper-V làm host
  • Mở rộng cho máy chủ file
  • Hỗ trợ clustering
  • Làm Internet Information Services, máy chủ web Microsoft
  • DNS
  • Windows Defender
  • TPM LIL để cải thiện bảo mật cấp phần cứng
  • Cấu hình trạng thái cho PowerShell
  • .NET Core, là framework ứng dụng nhẹ, mạnh
  • ASP.NET Core, tập lệnh tinh giản để chạy các ứng dụng web bên trên IIS
Đáng chú ý là Nano Server hỗ trợ driver Windows đầy đủ, nên bạn dễ dàng cài đặt driver phần cứng mới bằng các file .INF và .SYS. Bạn cũng có được các agent về System Center Virtual Machine Manager và Operations Manager nên cho dù bạn không đăng nhập và quản lý Nano Server ngay tại hệ thống thì bạn vẫn có thể quản lý chúng từ xa.

Tại sao Nano Server lại xuất hiện? Một trong những mục tiêu thiết kế quan trọng là cắt giảm số lần khởi động lại toàn bộ hệ thống. Ngay cả các bản vá Tuesday định kỳ (phát hành vào ngày thứ Ba thứ hai mỗi tháng) của Microsoft cũng cần hệ thống khởi động lại. Nói đơn giản là việc khởi động lại luôn tác động đến doanh nghiệp, và trong một môi trường lý tưởng nhất điều đó lẽ ra không nên xảy ra. Đôi khi khởi động rất mất thời gian: vài máy chủ ứng dụng mất đến 10 phút để tắt, cấu hình cập nhật, khởi động và nạp lại Windows sau khi đã cập nhật bản vá. Chỉ 10 phút đó cũng đủ khiến nhiều ứng dụng ngưng trệ, ảnh hưởng tới hoạt động nào đó của doanh nghiệp .

Nano Server được xem là đột phá mới của Microsoft

Mục tiêu thiết kế tiếp theo là giảm dung lượng Windows. Bản Windows Server 2012 R2 đã tốn rất nhiều dung lượng, chiếm nhiều gigabyte ổ cứng. Một loạt máy chủ ảo sẽ còn chiếm nhiều dung lượng hơn nữa, khiến nhà quản trị khó quản lý hơn. Dung lượng lớn cũng khiến thời gian cài đặt và cấu hình lâu hơn, chiếm dụng băng thông nhiều hơn và khó khăn hơn trong việc di dời ảnh đĩa. Nếu ảnh hệ điều hành nhỏ hơn thì sẽ rất tiện lợi để làm những công việc trên. Đồng thời, bạn cũng có thể tạo mật độ VM cao hơn, giảm được chi phí và tăng năng suất.

Ngoài ra, Microsoft cũng đưa ra vài tính năng và role tùy chọn cho máy chủ, loại bỏ hoàn toàn giao diện người dùng, bỏ hỗ trợ tương thích ứng dụng 32-bit. Một instance chỉ tiêu tốn không quá 512MB dung lượng lưu trữ và chiếm dụng bộ nhớ dưới 300MB, tùy vào cấu hình. Đây là sự khác biệt rất lớn đối với một instance dựa trên Nano để hoạt động như một máy ảo, giúp kiến trúc host gọn gàng, tinh giản nhất. Máy ảo VM Nano Azure cũng có thể tạo bằng mã script PowerShell của Microsoft. Hãng cũng hứa hẹn sẽ đơn giản hóa hơn nữa tiến trình tạo một USB khởi động trên Nano Server với một ứng dụng GUI sắp đến.

Nano Server không chỉ khởi động nhanh hơn mà còn tiêu tốn ít bộ nhớ và dung lượng đĩa hơn bất kỳ phiên bản Windows Server nào trước đây

Nhìn vào đặc tả kỹ thuật của Nano Server, về phương diện kỹ thuật trông rất ấn tượng và thú vị. Nhưng còn quá sớm để khẳng định Nano Server sẽ phổ biến. Vì thực sự, đây là giải pháp phù hợp cho doanh nghiệp lớn hơn, phù hợp với giải pháp điện toán đám mây tất cả trong một và điện toán hội tụ. Hoặc Nano Server phù hợp với doanh nghiệp khởi nghiệp nhỏ đã thuần thục về các quy trình liên quan đến DevOps và bộ chứa để họ có thể triển khai ứng dụng dễ dàng. Tuy vậy, quãng thời gian phía trước còn dài và chúng ta chưa thể biết được điều gì sẽ xảy ra, có thể hệ điều hành trong tương lai sẽ chỉ xoay quanh những máy ảo Nano Server.

Máy ảo Shielded

Một trong những tính năng về bảo mật mới trong Windows Server 2016 là mô hình máy ảo Shielded. Shielded VM sử dụng mã hóa VHD và một bộ lưu chứng thực tập trung để xác thực kích hoạt một VM chỉ khi nào VM đó khớp với danh sách ảnh đã xác nhận và chứng thực từ trước. Mỗi VM sử dụng một TPM (Trusted Platforn Module) ảo để kích hoạt mã hóa ổ cứng bằng BitLocker. Tính năng mã hóa này cũng mã hóa luôn cho cả quy trình di dời (migration) VM để ngăn ngừa tấn công man-in-the-middle. Dịch vụ bảo mật mới có tên Host Guardian Service đảm bảo cho host và VM luôn an toàn và dịch vụ này chạy trên một host vật lý khác. Nói tóm lại, máy ảo Shielded đơn giản là một máy ảo được mã hóa toàn phần.

Microsoft hỗ trợ hai chế độ chứng thực (attestation): admin trusted và TPM trusted. Ở chế độ admin trusted, VM được xác thực dựa trên thành viên có trong nhóm bảo mật AD, có cách thiết lập đơn giản hơn nhiều nhưng cũng ít an toàn hơn so với chế độ TPM trusted, là VM được xác thực dựa trên định danh TPM của chúng. Tuy vậy, chế độ TPM trusted cần phần cứng hỗ trợ chuẩn TPM 2.0; còn admin trusted là cách bảo mật phù hợp hơn với những hệ thống phần cứng cũ chưa hỗ trợ TPM 2.0.

Quản lý Nano Server qua cửa sổ dòng lệnh PowerShell
Giao diện quản lý chính của Nano Server là PowerShell từ xa. Nếu bạn đăng nhập vào một Nano Server ngay tại host vật lý, bạn cũng sẽ chỉ có được màn hình dòng lệnh mà thôi và đa phần chỉ dùng trong trường hợp bạn muốn reset lại adapter mạng, thay đổi địa chỉ IP hay chỉnh sửa vài thứ gì đó khiến cho tính năng truy cập Nano Server từ xa bị trục trặc. Ngoài ra, việc quản lý và chạy Nano Server đều thông qua những công cụ tập trung hóa, từ xa, có thể là qua System Center, hay ứng dụng nền WMI hay PowerShell.

Một tính năng mới khác của Nano Server là bộ công cụ Server Management Tools, là bộ ứng dụng chạy trên nền web để quản lý từ xa, thông qua Microsoft Azure. Để thiết lập nó, bạn cần cài đặt một máy ảo hoạt động như là gateway giữa hệ thống mạng của bạn và ứng dụng Azure này. Console này sẽ tương tác với hệ thống mạng của bạn thông qua gateway này, gửi các lệnh quản lý đến Nano Server.

Server Management Tools cũng có giao diện đồ họa nhưng chỉ để quản lý các công cụ nội bộ của chúng, như Task Manager, Device Manager và các công cụ cấu hình khác như Registry Editor, Windows Firewall… Về cơ bản, bộ công cụ này cũng dựa trên WMI và PowerShell nên nó không những quản lý Nano Server mà còn quản lý cả Windows Server Core, Server with Desktop Experience và có thể tương thích được cả Windows Server 2012 và 2012 R2.

Tuy nhiên, hiện nay Microsoft mới chỉ đưa ra bản Server Management Tools thử nghiệm, và bản chính thức sẽ xuất hiện cuối năm nay.

Shielded VM được mã hóa dựa trên công nghệ mã hóa mà Microsoft mua lại BitLocker. Các VM này cũng được nhà quản trị quản lý bằng máy host an toàn, từ xa

Để tạo một VM Shielded, đầu tiên bạn tạo dữ liệu cần mã hóa, là các khóa được tạo trên một máy trạm tin cậy. Dữ liệu này gồm các thông tin quản trị, thông tin RDP và một catalog chữ ký để ngăn chặn malware khi VM Shielded được tạo. Dữ liệu này cũng ngăn ngừa không cho template tạo VM Shielded bị can thiệp. Và sau khi VM Shielded được tạo, mã hóa BitLocker và TPM mới được thiết lập cho VM. TPM của máy ảo không liên quan gì đến TPM phần cứng vật lý của máy host, vì TPM ảo có thể di dời với VM trong trường hợp bạn phải di dời máy ảo đi đâu đó.

Ánh xạ ổ đĩa
Microsoft đã từng hỗ trợ ánh xạ ảnh đĩa trong môi trường Hyper-V nhưng hãng còn hạn chế là chưa thể ánh xạ các ổ cứng máy ảo. Trong Windows Server 2016 đã khác, vì người dùng bây giờ có thể chọn ánh xạ toàn bộ ổ đĩa ở mức từng block dữ liệu. Hơn nữa, bạn có thể chọn đồng bộ theo dạng đồng bộ và bất đồng bộ. Chức năng này hoạt động tương hợp với một tính năng mà Microsoft gọi là "stretch cluster", nghĩa là hai hệ thống cùng nhóm lại với nhau nhưng về mặt vật lý là tách rời nhau.

Khả năng ánh xạ trong Windows Server 2016 có tên là Storage Replica, với mục đích là ngăn ngừa và phục hồi sau thảm hoạ. Phiên bản mới cũng hỗ trợ ánh xạ server-to-server và cluster-to-cluster. Trong chế độ đồng bộ đối xứng, cả hai hệ thống đều được bảo vệ chống ghi, luôn nhất quán dữ liệu khi một hệ thống gặp trục trặc.

 

  • 13/12/2016 04:00