Klik hier voor deel 1, en hier voor de prestatietest.

Migratie van images

Er zijn meerdere redenen om VMs van de ene naar de andere server host te migreren, van load balancing naar het bij elkaar plaatsen van applicaties. Om de migratie van beide producten te vergelijken, hebben wij snapshots genomen van bestaande VM-guests en deze op nieuwe hypervisor hosts geplaatst.

VMware biedt een optionele tool voor live migratie, VMotion. Onze ervaring met VMotion is dat deze images in luttele seconden kan overbrengen van de ene naar de andere hypervisor. Microsoft heeft recent aangekondigd dat een verglijkbare functie voor Hyper-V niet eerder beschikbaar zal zijn dan 2010. Deze zware tekortkoming kunnen we om die reden niet afzetten tegenover het aanbod van ESX, en nemen we het niet mee.

Door snapshots van Hyper-V te gebruiken konden we live gegevens van de systeemstaat onder VM's met Windows Server 2008 of Novell SUSE Linux Enterprise 10.2 alsnog vastleggen.

Een geladen machine deed er luttele seconden over om de snapshot te maken. De functie kan gebruikt worden om een gebruiksstaat van een server terug te zetten, maar daar kleven wel consequenties aan. Zo worden de transactiestaten van applicaties bevroren en is de server daardoor korte tijd niet beschikbaar. Hierdoor kunnen gebruikers hinder ondervinden van het nemen van de snapshot, in de vorm van slechte prestaties van applicaties omdat deze niet bij de server kunnen. Daarbij komt dat het nog maar de vraag is of de snapshot van de systeemstaat, waar de image na rendering als instance wordt gedraaid op een andere machine, ondersteund wordt in de licentie van OS en/of applicatie. Microsoft heeft niet zo lang geleden de licenties moeten aanpassen om het mogelijk te maken VM-sessies van de verschillende Windows-incarnaties te migreren van de ene host naar de ander. Zelfs de huidige licentieregeling laat het niet zonder meer toe om VM's te verplaatsen, wat de staat ook is. Die staat kan bijvoorbeeld ook zijn dat een applicatie of bestand onderhoud nodig heeft nadat deze is opnieuw is ingesteld. Transactiestaten moeten zo nu en dan ook gecontroleerd worden.

De Virtualized Consolidated Backup (VCB)-functie wordt meegeleverd met de versie van Vmware Infrastructure Foundation die we hebben getest. Deze biedt volledige en incrementele backup van guest hosts, op schijf of tape. Het bestandssysteem wordt tijdens de backup naar de achtergrond verdrongen, zodat de boel gesynchroniseerd blijft, maar waardoor het ook mogelijk is dat VM- besturingssystemen of applicaties tijdelijk niet beschikbaar zijn tijdens het proces. VCB integreert volgens de leverancier met CommVault EMC, HP, Symantec, IBM/Tivoli en andere backupapplicaties, maar zo diep zijn we met onze tests niet gegaan.

ESX maakt een keus uit twee capturesystemen om VM-images te trekken: eentje die een VM-image aanmaakt van een live draaiende server, of eentje die een schijf neemt van een uitgeschakelde server en hier de diskstate van vangt. We hebben meerdere OS'en gecaptured, en moeten concluderen dat dit een simpel, goed werkend proces is.

Het volgen van VM's

VM's krijgen gedeelde hulpbronnen toebedeeld op het moment dat ze geboren worden, en ze hebben zich te houden aan de grenzen van die instellingen te houden. Als VM-sessies aan hun maximum zitten, of als ze constant mogen tappen van de hulpbronnen (oversubscription), dan moeten beheerders dit weten zodat de telefoon niet rood staat van klachten over slecht presterende applicaties.

Wij gebruikten SC-VMM's volgfuncties om gebruik van de CPU, het geheugen en de schijf bij te houden. Dit vergeleken we met de monitoringprestaties van VMwares VIC. Om een lange discussie samen te vatten: ze zijn bijna identiek. De belangrijke karakteristieken worden met beide omgevingen bijgehouden. VIC doet het beter als het gaat om het in de gaten houden van de toewijzing van capaciteit en het geven van signalen als ergens een grens wordt overschreden. Die grenzen worden binnen SC-VMM niet gevolgd, omdat hiervoor extra producten in de System Center-familie vereist zijn. VIC maakt het daarentegen mogelijk om grenzen te stellen voor zaken als CPU-gebruik, waarbij nul gebruik kan duiden op een gecrashte of gepiekte applicatie.

Met VirtualCenter Infrastructure Client is het mogelijk om notificaties in te stellen die worden getoond als aan bepaalde voorwaarden voldaan wordt. Dit kan zijn dat het een waarschuwing geeft als CPU, geheugen, netwerk- en/of schijfgebruik onder of boven bepaalde waardes gaan zitten, de staat van de machine verandert, of de VM niet meer reageert. Het systeem hanteert een kleurcode: groen, geel en rood. Bij groen is alles goed, geel is een waarschuwing en rood geeft een ernstig defect aan. De client maakt een log aan op het moment dat deze functie wordt aangesproken met een trigger. We konden daarbij kiezen tussen frequentie (door het aantal seconden aan te geven tussen logbestanden), of tolerantie (een percentage). We konden ook automatische reacties op gebeurtenissen instellen. Denk daarbij aan het sturen van een e-mail, een notificatieval, afdraaien van een bepaald script en aan/uitschakelen, uitstellen en herstarten van VM's.

Er zitten geen alarm- of triggerfuncties in SC-VMM, maar de omgeving biedt wel een beperkte set aan opties die het mogelijk maakt om specifieke virtuele machineste starten bij het booten van de server. Hyper-V kan de staat van de VM opslaan en de machine zelf parkeren, op het moment dat de server zelf een shutdown ondergaat.

Security kan wel iets beter

Beide hypervisors vertoonden beveiligingskuren op verschillende vlakken. Het eerste grote probleem is het feit dat beide platformen de images waarmee virtuele guests worden aangemaakt geen seriestempel of authenticatie meegeeft. Als het opslagdeel voor de image toegankelijk is, dan geeft alleen de metadata van het bestandssysteem (tijd, datum, aanpassing) aan of er met een VM gerommeld is.

Omdat geen van beide hypervisors een opslagplek heeft, moeten images opgeslagen worden op een plek die de beheerder heeft aangewezen. Het beste zou zijn als deze geauthenticeerd is via externe methoden, zoals MD5 Hashing, rudimentaire checksums of andere manieren om de inhoud te controleren. VMware bakt nog wel een identificatienummer in de inhoud ter registratie, maar niet ter authenticatie. Zowel ESX als Hyper-V maken gebruik van formats die als bestandssysteem eenvoudig te mounten zijn, en hackers met een beetje basiskennis en toegang tot het bestandssysteem kunnen zonder problemen aan de images sleutelen. Dit schreeuwt tenminste om een minimale repositorysysteem dat authenticatiegegevens of hashes vastlegt voor zelfs de standaardbundels.

We hebben gemerkt dat VirtualCenter in zijn Windowsomgeving geen sterke wachtwoorden afdwingt. VM's zijn zo mogelijk kwetsbaar voor eenvoudige dictionary-aanval.

De toegang tot Hyper-V beheerd met SC-VMM gaat via Active Directory en zijn wachtwoorden. Deze zijn uit zichzelf al sterker, en verschillende authenticatieschema's kunnen dit nog verder uitbreiden.

De authenticatieproducten van derden worden vrijwel geheel genegeerd. De gecontroleerde toegang tot beide hypervisors laat te wensen over, hoewel Windows Server 2008, die onder Hyper-V draait, zelf het een en ander aan authenticatie doet. Maar directe authenticatie voor Hyper-V en ESX ontbreekt.

VMware heeft een eenvoudige firewall toegevoegd aan de standaardinstellingen voor VM's. De Windows Firewall die in WS 2008 zit, moet de beveiliging voor Hyper-V voor zijn rekening nemen. We hebben geen pogingen ondernomen om de firewalls te kraken. We zouden de VM-guests kunnen afvoelen naar open poorten, en wellicht dat hier een aanvalsvector in zit.

Conclusie

Onze resultaten:

Hyper-V RTM 1.0 met Beta van SC-VMM 2008-10-07

Prijs: Hyper-V wordt geleverd met Windows Server 2008 Enterprise. SC-VMM zal, zo wordt verwacht, rond de 675 dollar gaan kosten

Voordelen: eenvoudige installatie, uitgebreide ondersteuning hardware

Nadelen: Beperkte ondersteuning OS'en, beheertools zijn te laat beschikbaar gekomen en zijn nog lang niet af, trager dan ESX

Cijfer: 3.5

VMware ESX 3.5.1 met VirtualCenter

Prijs: VMware Infrastructure 3.5 kost 2000 dollar voor de foundation-versie met VirtualCenter

Voordelen: Betere ondersteuning van OS'en, VMotion live-migratie, sneller met ondersteuning van SMP kernel

Nadelen: Hardware-ondersteuning iets minder uitgebreid dan bij Microsoft, zwakke wachtwoorden

Cijfer: 4.25

De lange historie die VMware heeft met virtualisatie maakt dat ESX een volwassen, bijzonder stabiel en bruikbaar product is. Onhandig van Microsoft is dat de producten druppelsgewijs binnen komen, met de releases van Hyper-V (zes maanden), LinuxIC (acht maanden) en SC-VMM (tien maanden) ruim na Windows Server 2008. Dit bemoeilijkt de uitrol van Hyper-V flink, juist in die omgevingen waar het voor bedoeld is. De ontiwkkelingskracht van Microsoft staat buiten kijf, maar het venijn in deze inhaalrace zal hem in deze explosieve markt blijven zitten in de technische details.

Uitgevoerd door Tom Henderson en Brendan Allen van NetworkWorld,

vertaling: Michiel van Blommestein

Bron Bron: Techworld