รีวิว: Microsoft Windows Server 2016 เพิ่มความปลอดภัย รองรับคลาวด์

เป้าหมายการออกแบบ
ทีมงาน Windows Server ของ Microsoft กล่าวว่าพวกเขาได้ยินจากลูกค้าว่าพวกเขาถูกดึงไปในทิศทางที่แตกต่างกันเล็กน้อย ประการแรก ทุกคนกังวลว่าจะถูกแฮ็ก เมื่อสัปดาห์ที่แล้ว Yahoo ยืนยันว่าบัญชี 500 ล้านบัญชีถูกแฮ็กโดยสิ่งที่เรียกว่าผู้โจมตี “ที่ได้รับการสนับสนุนจากรัฐ” การละเมิดนี้รวมถึงชื่อ วันเกิด และคำถามท้าทายด้านความปลอดภัยทั้งที่เข้ารหัสและไม่ได้เข้ารหัส ซุปเปอร์.

ประการที่สอง Shadow IT เป็นปัญหาใหญ่ ปัญหาหนึ่งที่ทำให้คลาวด์แย่ลงไปอีก หากคุณในฐานะแผนกไอทีไม่ได้นำเสนอโซลูชันที่มีคุณภาพอย่างรวดเร็ว ผู้ใช้ทางธุรกิจของคุณก็แค่ไปซื้อบัตรเครดิตและลงชื่อสมัครใช้ Dropbox หรือบริการอื่นๆ แล้วเดินไปรอบๆ ตัวคุณ แน่นอน ไอทียังคงรับผิดชอบต่อความปลอดภัยของข้อมูลและอำนาจอธิปไตย แล้วมันทำงานอย่างไรกับความรับผิดชอบทั้งหมดและการควบคุมเพียงเล็กน้อย?

ประการที่สาม ไฮบริดคลาวด์มาถึงแล้วเมื่อองค์กรต่างๆ นำศูนย์ข้อมูลของบริษัทอื่นมาใช้งานอย่างน้อยส่วนหนึ่งของปริมาณงานการผลิต ดังนั้น ฝ่ายไอทีจึงต้องการเครื่องมือและระบบปฏิบัติการที่ทำให้ง่ายต่อการใช้ประโยชน์จากระบบคลาวด์เมื่อจำเป็น แต่ยังนำทรัพยากรออนไลน์มาใช้ในบ้านด้วยเมื่อมีเหตุผล หรือเมื่อเหตุผลในการปฏิบัติตามข้อกำหนด คุณไม่มีทางเลือกอื่น

เสาหลักทั้งหมดเหล่านี้ได้รับการแก้ไขในทางใดทางหนึ่งใน Windows Server 2016 การรักษาความปลอดภัยเป็นจุดสนใจหลัก และส่วนใหญ่ของการตรวจสอบนี้จะเน้นที่คุณลักษณะการต้านทานการละเมิดและการปรับปรุงความปลอดภัยสำหรับระบบปฏิบัติการพื้นฐาน Shadow IT ได้รับการแก้ไขแล้ว ด้วยการสนับสนุนคอนเทนเนอร์สำหรับร้าน DevOps เพื่อให้สามารถทำงานได้อย่างรวดเร็วด้วยโซลูชันแอปพลิเคชันแบบเปรียว (โดยส่วนตัวแล้วฉันคิดว่าเรื่องราวของคอนเทนเนอร์นั้นได้รับความสนใจมากเกินไป ดังนั้นฉันจะไม่พูดถึงเรื่องนี้มากนักในรีวิวนี้) ไฮบริดคลาวด์ยังคงดำเนินต่อไปบนกลองที่ Microsoft เล่นมาหลายปีแล้วและมีคีย์คลาวด์อยู่บ้าง การปรับปรุงระบบปฏิบัติการ โดยเฉพาะอย่างยิ่งเกี่ยวกับระบบเครือข่าย ซึ่งฉันจะพูดถึงในเชิงลึกที่นี่

สเปคแรงขึ้น
เราจะเริ่มต้นด้วยตัวเลขดิบ พูดตามตรงว่า Windows Server 2016 รองรับข้อกำหนดสูงสุดบางอย่างซึ่งดูแปลกไปเมื่อฉันเขียนสิ่งนี้ในปี 2559 แต่ในสี่ปีเราทุกคนจะหัวเราะเยาะว่าเราไร้เดียงสาเกี่ยวกับหน่วยความจำและความจุของโปรเซสเซอร์จำนวนมาก:

หน่วยความจำกายภาพสูงสุด 24TB ต่อเซิร์ฟเวอร์ (เทียบกับ 4TB ในปี 2555)
โปรเซสเซอร์ลอจิคัลสูงสุด 512 ตัว (320 ในปี 2555)
หน่วยความจำเครื่องเสมือนสูงสุด 12TB (1TB ในปี 2555)
โปรเซสเซอร์เสมือนสูงสุด 240 ตัวต่อ VM (64 ในปี 2012)
น่าสนใจ Microsoft บอกฉันว่าความต้องการสูงสุดเฉพาะเหล่านี้ถูกขับเคลื่อนโดยความต้องการภายในของ Azure มากกว่าความต้องการของลูกค้าภายนอกหรือการปิดช่องว่างระหว่าง Windows Server และระบบปฏิบัติการอื่นๆ Azure กำลังเติบโตในระดับที่ปัญหาที่ใหญ่ที่สุดของ Microsoft ไม่ได้อยู่ที่การสร้างศูนย์ข้อมูลหรือรับความจุของเครือข่าย แต่จริงๆ แล้วคือการรับชิปสำหรับเซิร์ฟเวอร์ ดังนั้นความต้องการระดับบนเหล่านี้ส่วนใหญ่เกิดจากการใช้ Windows Server เพื่อเรียกใช้บริการคลาวด์สาธารณะ

นวัตกรรมที่แท้จริง: Nano Server
บางทีคุณสมบัติที่ล้ำสมัยที่สุดของ Windows Server 2016 คือตัวเลือกการติดตั้งเซิร์ฟเวอร์นาโน Nano Server เป็นการรีแฟคตอริ่งที่สมบูรณ์ของฐานโค้ด Windows เพื่อขจัดการพึ่งพา องค์ประกอบของผู้ใช้และพื้นผิวการโจมตีจำนวนมาก ผลลัพธ์ที่มุ่งเป้าไปที่เซิร์ฟเวอร์ในสถานการณ์คลาวด์และพื้นที่จำกัดวัตถุประสงค์อื่นๆ คือ “ระบบปฏิบัติการที่เพียงพอ”

Nano Server ทำอะไรได้บ้าง?
ทำไม Nano Server ถึงเกิดขึ้น? เป้าหมายการออกแบบหลักประการหนึ่งคือการลดการรีบูต ทุกกิจกรรมของแพทช์วันอังคารดูเหมือนจะมาพร้อมกับการรีบูตที่จำเป็นของผู้ดูแล พูดง่ายๆ คือ การรีบูตส่งผลกระทบต่อธุรกิจของคุณด้วยเหตุผลสองประการ อย่างแรก ในโลกอุดมคติ ไม่จำเป็นต้องรีบูต แต่การรีบูตก็ใช้เวลานานเช่นกัน แอปพลิเคชันเซิร์ฟเวอร์บางตัวใช้เวลาในการปิดระบบ 10 นาที กำหนดค่าการอัปเดต รีบูต จากนั้นเปิด Windows หลังจากเซสชันการกำหนดค่าแพตช์อื่น 10 นาทีนี้อาจส่งผลกระทบอย่างมากต่อธุรกิจของคุณ

เป้าหมายการออกแบบอีกประการหนึ่งคือการลดขนาด Windows ลงอย่างมาก คุณทราบดีว่าการติดตั้ง Windows Server 2012 R2 เป็นเรื่องของหลายกิกะไบต์ การมีสิ่งเหล่านี้จำนวนมากในเครื่องเสมือนนั้นดีจากมุมมองของการพกพา แต่ยิ่งได้รูปภาพมากเท่าไหร่ การใช้งานและการจัดการก็ยากขึ้นเท่านั้น รูปภาพขนาดใหญ่ใช้เวลานานในการติดตั้งและกำหนดค่า ใช้แบนด์วิดท์เครือข่ายมากเกินไปในการย้ายจากที่หนึ่งไปยังอีกที่หนึ่ง และรูปภาพใช้พื้นที่ดิสก์มากเกินไป

หากเราสามารถรับอิมเมจ OS ที่มีขนาดเล็กลงได้ เราก็จะสามารถบรรลุความหนาแน่นของ VM ที่สูงขึ้นได้ ความหนาแน่นที่สูงขึ้นช่วยลดต้นทุนและเพิ่มส่วนต่าง ซึ่งเป็นที่ที่ดีสำหรับไอทีในยุคนี้

เมื่อคำนึงถึงทั้งหมดนี้ ทีมงาน Windows Server ได้ผ่านการปรับโครงสร้างใหม่ของ Windows ครั้งใหญ่ โดยฉีกบทบาทเซิร์ฟเวอร์และคุณสมบัติเสริม ลบ essenti

เป็นพันธมิตรกับอินเทอร์เฟซผู้ใช้ทั้งหมด ทำลายความเข้ากันได้ของแอปพลิเคชันแบบ 32 บิต และการดึงข้อมูลและซ่อนไว้ที่อื่น ผลลัพธ์ที่ได้คือระบบปฏิบัติการที่จัดเตรียมแอปพลิเคชันที่มีความหนาแน่นสูงขึ้นด้วยพื้นผิวการโจมตีที่ลดลงอย่างมากมายและอาการปวดหัวในการบริการที่น้อยลงมาก

บทบาทและหน้าที่ที่รองรับ
คุณสูญเสียอะไรในแง่ของการทำงานกับ Nano Server? นอกจาก GUI แล้ว คุณมีปริมาณงานที่รองรับน้อยลง ที่ RTM เซิร์ฟเวอร์นาโนจะสนับสนุน:

การรันเครื่องเสมือน Hyper-V เป็นโฮสต์
ขยายขนาดเซิร์ฟเวอร์ไฟล์
การจัดกลุ่ม
Internet Information Services เว็บเซิร์ฟเวอร์ของ Microsoft
DNS
Windows Defender
TPM SIL สำหรับการรักษาความปลอดภัยบนฮาร์ดแวร์ที่ได้รับการปรับปรุง
PowerShell การกำหนดค่าสถานะที่ต้องการ
.NET Core เฟรมเวิร์กแอปพลิเคชันที่ทรงพลังแต่น้ำหนักเบา
ASP.NET Core ชุดคำสั่งที่ลดลงสำหรับการเรียกใช้เว็บแอปพลิเคชันบน IIS
โดยเฉพาะอย่างยิ่ง Nano Server มาพร้อมกับการรองรับไดรเวอร์ Windows เต็มรูปแบบ ดังนั้นไฟล์ .INF ปกติและไฟล์ .SYS จะติดตั้งได้อย่างดีเพื่อรองรับฮาร์ดแวร์ใหม่ คุณยังได้รับตัวแทนสำหรับ System Center Virtual Machine Manager และ Operations Manager ดังนั้นในขณะที่คุณไม่สามารถเข้าสู่ระบบและจัดการ Nano Server ในเครื่องได้จริงๆ คุณสามารถทำสิ่งที่คุณต้องทำจากระยะไกลได้เกือบทั้งหมด

การจัดการเซิร์ฟเวอร์นาโน
หากคุณได้ปฏิบัติตามทิศทางเชิงกลยุทธ์ของ Microsoft เลย การไม่มี GUI ใน Nano Server จะไม่ทำให้คุณประหลาดใจ วิสัยทัศน์ของ บริษัท เกี่ยวกับเซิร์ฟเวอร์คือไม่ถือว่าเป็นเจ้าหญิง: หากมีคนประพฤติผิด คุณแค่ฆ่ามันและสร้างใหม่จากระยะไกล คุณไม่ได้เข้าสู่ระบบผ่าน GUI และพยายามชี้และคลิกวิธีการซ่อมแซม

อินเทอร์เฟซการจัดการหลักสำหรับ Nano Server คือ PowerShell ผ่านทาง PowerShell remoting หากคุณลงชื่อเข้าใช้ Nano Server ภายในคอนโซล คุณจะได้รับหน้าจอแบบข้อความที่ช่วยให้คุณสามารถกู้คืนจากข้อผิดพลาดทางเครือข่ายร้ายแรงที่ทำให้เซิร์ฟเวอร์หายไปจากการต่อสาย คุณสามารถรีเซ็ตอแด็ปเตอร์ เปลี่ยน IP และแก้ไข อีกสองสามสิ่งที่สามารถขัดขวางการจัดการระยะไกล นอกเหนือจากนั้น การจัดการจะทำผ่านเครื่องมือระยะไกลแบบรวมศูนย์ที่คุณมีในสภาพแวดล้อมของคุณเท่านั้น ไม่ว่าจะเป็น System Center, WMI-based, PowerShell หรืออย่างอื่น

คุณลักษณะใหม่ของ Nano Server ที่ไม่ได้อยู่ในตัวอย่างทางเทคนิคคือชุดเครื่องมือการจัดการเซิร์ฟเวอร์ ซึ่งเป็นแอปพลิเคชันการจัดการระยะไกลบนเว็บที่นำเสนอผ่าน Microsoft Azure ในการปรับใช้ คุณต้องติดตั้งเครื่องเสมือนที่ทำหน้าที่เป็นเกตเวย์ระหว่างเครือข่ายของคุณและแอป Azure คอนโซลบนเว็บจะโต้ตอบผ่านเครือข่ายกับเกตเวย์นี้ ซึ่งจะดำเนินการตามคำแนะนำการจัดการของคุณในเครือข่าย

ชุดเครื่องมือการจัดการเซิร์ฟเวอร์ประกอบด้วยการแทนที่แบบกราฟิกสำหรับเครื่องมือเฉพาะในเครื่อง เช่น ตัวจัดการงาน ตัวจัดการอุปกรณ์ เครื่องมือกำหนดค่าภายในเครื่องอื่นๆ สแน็ปอิน Microsoft Management Console (MMC) ที่ใช้กันทั่วไป Registry Editor ไฟร์วอลล์ Windows และอื่นๆ มันทำงานบน WMI และ PowerShell ดังนั้นจึงสามารถจัดการได้ไม่เพียงแค่ Nano Server แต่ยังรวมถึง Windows Server Core, เซิร์ฟเวอร์ที่มี Desktop Experience และจะกลับไปใช้ Windows Server 2012 และ 2012 R2 ด้วยซ้ำ ชุดเครื่องมือการจัดการเซิร์ฟเวอร์อยู่ในตัวอย่างสาธารณะและจะเปิดตัวอย่างเป็นทางการในปลายปีนี้