Hyper-V是微軟提出的一種系統(tǒng)管理程序虛擬化技術(shù)，該技術(shù)的設(shè)計目的是為更為廣泛的用戶提供更加熟悉的、成本效益更高的虛擬化基礎(chǔ)設(shè)施軟件。

和之前的Virtual PC、Virtual Server類似，Hyper-V也是微軟的一種虛擬化技術(shù)解決方案，但相比于之前的解決方案，該方案在各方面都取得了突飛猛進的發(fā)展，從架構(gòu)上來講只有"硬件－Hyper-V－虛擬機"三層，而且Hyper-V本身非常小巧，代碼簡單，且不包含任何第三方驅(qū)動，所以安全可靠、執(zhí)行效率高，能夠充分利用硬件資源，使虛擬機系統(tǒng)性能更接近于真實系統(tǒng)的性能。

在新的Hyper-V中微軟一直強調(diào)提出其安全性方面的優(yōu)勢，或許微軟希望通過對安全性的闡述強調(diào)以下兩點：

1、微軟的Hyper-V是與眾不同的；

2、微軟Hyper-V的微架構(gòu)相比與其它"第三方的解決方案"是有特殊安全性優(yōu)勢的。

的確，微軟Hyper-V在微內(nèi)核方面就已經(jīng)顯示了它所具有的極大優(yōu)勢。Hyper-V的微內(nèi)核管理程序包含了盡可能少的代碼，在Hyper-V的管理程序中，驅(qū)動程序是跑在每一個獨立的分區(qū)之中的，在這里，我們并不能看不到設(shè)備驅(qū)動程序，是因為虛擬主機OS雖然在相互獨立的單獨分區(qū)內(nèi)，但是卻能夠很好地通過Hypervisor直接訪問硬件。

同時，Hyper-V本身內(nèi)部也很少含有第三方代碼，它所有的代碼都是一個純粹的微軟代碼，而且代碼性能非常好，所以里面不存在任何BUG，所以說微軟非常成功地將Hyper-V的安全隱患降到了最低。但這也只是Hyper-V安全性話題中的一部分而已，很顯然，微軟在保護Hyper-V上投入了更為巨大的力量，而且這些力量產(chǎn)生了更為有效的作用，Hyper-V具有了其他任何同類產(chǎn)品無法比擬的安全性，特別是在與Windows Server緊密結(jié)合之后，其安全性又得到了極大的提高。而所有這一切也成了微軟與VMware、Xen Source這些第三方解決方案抗衡的重要砝碼。

另外，我們知道微軟Hyper-V的前身來自于Virtual Server，這是一個建立在Ring0內(nèi)核模式和Ring3用戶模式下的傳統(tǒng)模式。宿主機的Windows和驅(qū)動程序及VS底層驅(qū)動都是在Ring0下，Virtual Server則是在Windows Server上的，它通過IIS來進行管理，與內(nèi)核進行通信。但是，對于虛擬機來講，其Virtual Server則是運行于一個高于Windows的Ring1虛擬內(nèi)核模式上，特權(quán)低于Ring0，高于Ring3--問題在于很多特權(quán)指令很可能不能夠在Ring1上得到完善的支持，當然，我記得微軟好像也有一種二進制指令翻譯的技術(shù)對此進行處理，但是這畢竟不是一個最"根本"的解決途徑。

在Hyper-V中，不再有宿主機和虛擬機之分，微軟帶來的新概念是：父分區(qū)和子分區(qū)。先在硬件底層安裝Hypervisor，然后在虛擬機上劃分多個分區(qū)。雖然父分區(qū)和子分區(qū)可以對應(yīng)之前的宿主機和虛擬機，但是它們基本上擁有了平等的地位，它們的內(nèi)核都是運行在Ring0上，應(yīng)用程序運行在Ring3用戶模式上。與VS最大的不同是，虛擬機的內(nèi)核不再運行在Ring1之中，Hypervisor則運行在更底層上，大致是運行在CPU上的一個層上，從圖中我們可以看到，微軟虛擬化的功能和結(jié)構(gòu)已經(jīng)大大復(fù)雜化和體系化。

其次，微軟Hyper-V的安全因素還包括其完善的隔離機制，微軟Hyper-V所有的虛擬化設(shè)備之間都不是經(jīng)過共享的，每一個Parent Partition與Child Partition之間的VMbus調(diào)用全部都是經(jīng)過隔離的。不管是網(wǎng)絡(luò)，還是硬盤，還是其他的設(shè)備，每臺主機之間都是經(jīng)過隔離的子分區(qū)。每一個虛擬機之間都是通通看不到對方的（在你沒有設(shè)置任何共享的情況下）。所以在這樣的條件下，每個安全應(yīng)用都能各自獨立而安全的運行。

通過以上的解釋，我們對Hyper-V的架構(gòu)有了一定的了解--從第三方的結(jié)構(gòu)上來看，Hypervisor有兩點安全性值得我們注意：

第一，其不能滿足深度防御體系--這一點也是微軟一致推崇的；第二，Hypervisor直接運行在硬件上，這就導(dǎo)致了特權(quán)的最大化，其風(fēng)險可想而知，Hyper-V既然是基于Hypervisor技術(shù)的，也就面臨著同樣的問題。對于這兩個方面的問題，微軟的解決辦法是：在Hyper-V中只做內(nèi)存管理和CPU調(diào)度，其他的設(shè)備通過關(guān)鍵的VMbus--這是一種穿越機制，通過VMbus進入Ring0進行轉(zhuǎn)接，從而構(gòu)建了一個微軟Hyper-V的三層架構(gòu)（當然，就是那個深度防御體系）：調(diào)度CPU管理內(nèi)存的Hypervisor層、存儲/網(wǎng)絡(luò)堆棧和驅(qū)動運行的Ring0層以及Ring3層之中的虛擬設(shè)備/管理用API/虛擬機。

不知道有沒有人注意到：VMbus是其中的一個安全性核心，它負責(zé)了那些可能會出現(xiàn)問題的命令和代碼的執(zhí)行--基于VMbus的高速內(nèi)存總線架構(gòu)是其安全性實現(xiàn)超越的主要貢獻者，每臺虛擬機之間隔離的VMbus調(diào)用保證了每個分區(qū)、每個虛擬機之間完全的隔離開（或許我們可以說是"類物理機"）。

除此以外，正如我在文章開頭所說，Hyper-V底層的Hypervisor代碼量很小，不帶有第三方驅(qū)動，它所有的僅僅是負責(zé)兩件事情的非常精簡的架構(gòu)--而且還是純粹的微軟的代碼（微軟自己聲稱不包含任何bug），安全性能夠得到大大提升--只做最核心的，不做那些可能會出問題的，Hypervisor會出問題才怪？！

當然，這并不是全部內(nèi)容，微軟的工程師曾經(jīng)提到過有關(guān)Hpyer-V安全加固部分的內(nèi)容：

首先，Hypervisor擁有自己的地址空間，它與Guest的地址空間隔離；其次，Hypervisor可以運行在Windows Server 2008的Server Core上，這是一個僅僅支持命令行接口的、最精簡的Windows Server，也是一個沒有GUI Shell但是可以運行GUI程序的詭異系統(tǒng)。還有一點是，利用Server Core安裝Hyper-V的好處很明顯：去掉GUI Shell后，它的性能更好了。同時，代碼量越小，系統(tǒng)需要補丁的幾率也就越小--我覺得這點是最關(guān)鍵的，誰都知道，微軟的Windows絕對是補丁大王。

補：需要說明的是，目前，子分區(qū)仍然要通過父分區(qū)來訪問硬件資源，當子分區(qū)內(nèi)的操作系統(tǒng)需要訪問硬件的時候，由子分區(qū)內(nèi)的VSC(Virtualization Service Client)通過VMBUS將request發(fā)給父分區(qū)里的VSP(Virtualization Service Provider)，然后由VSP提供實際的硬件服務(wù)。通過這種方式來使用硬件，相對于使用了硬件模擬的方法，其訪問性能就有了大幅度的提高。

【編輯推薦】

1. 從桌面到IDC 微軟聯(lián)手思杰推虛擬化新舉措
2. 微軟：VMware過分夸大了VDI成本優(yōu)勢
3. 微軟發(fā)布支持紅帽Linux的Hyper-V驅(qū)動