Windows Server 2016 Patrick van den Born Consultant 6 april 2017
Agenda Cloud Optimized Software Defined Security Licensing Nano Server Compute Shielded VM s De kleine lettertjes Containers Networking Credential Guard Azure Stack Storage Just Enough Administration Just in Time
CLOUD OPTIMIZED
Cloud Optimized Nano server Desktop Experience Grafische shell Management tools Mini shell Windows Server 2016 Desktop Experience Mini shell Windows Server 2016 Core Minimal OS Windows Server 2016 Nano
Cloud Optimized Nano Server Nano heeft een zeer kleine footprint Desktop Experience: ~10GB Server core: ~5GB Nano: ~460 MB Snelle deployment en (re)boots Scenario s van nano Cloud platform Hyper-V, Containers, Scale Out Born in the cloud applicaties DevOps gedachte
Cloud Optimized Nano Server 160 Boot Time (s) 140 135 120 100 80 85 82 84 60 40 20 9 0 2016 Nano 2016 Core 2016 Full 2012 R2 Core 2012 R2 Full Bron: https://blogs.technet.microsoft.com/nanoserver/2016/06/24/nano-server-boot-performance/
Cloud Optimized Nano Server Native Windows 2016 Drivers support Geen GUI drivers! Nano Server Roles: Clustering IIS Storage Compute (Hyper-V) Containers Defender
Cloud Optimized Nano Server
Cloud Optimized Nano Server
Cloud Optimized Nano Server Genereren van Nano Server deployment Import-Module -Global X:\NanoServer\NanoServerImageGenerator\NanoServerImageGenerator.psm1 New-NanoServerImage -MediaPath X:\ -BasePath D:\Data\NanoServer\Base -TargetPath D:\Data\NanoServer\PBO-FS01.vhdx -ComputerName PBO-FS01 -EnableRemoteManagementPort -DriverPath D:\Data\NanoServer\Drivers -AdministratorPassword (ConvertTo-SecureString -String "P@ssw0rd" -AsPlainText -Force) -DeploymentType Host -Edition Standard -DomainName pbo.lan -Storage -Defender
Cloud Optimized Nano Server
Cloud Optimized Nano Server
Cloud Optimized Containers A container image is a lightweight, stand-alone, executable package of a piece of software that includes everything needed to run it: code, runtime, system tools, system libraries, settings. Available for both Linux and Windows based apps, containerized software will always run the same, regardless of the environment. Containers isolate software from its surroundings, for example differences between development and staging environments and help reduce conflicts between teams running different software on the same infrastructure. Bron: https://www.docker.com/what-container Container 1 App Container 2 App Bin/Libs Bin/Libs OS - kernel Hardware
Cloud Optimized Bare Metal Besturingssysteem Apps Apps Fysieke server
Cloud Optimized Hardware virtualisatie Besturingssysteem Besturingssysteem Besturingssysteem Virtuele machine Virtuele machine Virtuele machine Hypervisor Fysieke server
Cloud Optimized Containers Container Container Container Besturingssysteem Virtuele machine Container Container Container Besturingssysteem Hypervisor Fysieke server
Cloud Optimized Windows en Hyper-V Containers Nested Container3 Container Container Basis OS Basis OS Hyper-V Hyper-V Container Container WS 2016 WS 2016 Basis OS VM VM Container1 Container2 Hyper-V Windows Server 2016 Fysieke server
Cloud Optimized - Azure Stack Azure Stack is Azure on-premises Het is geen Azure Pack 2.0 Verwachte GA na de zomer van 2017 Alleen gecertificeerde appliances
SOFTWARE DEFINED
Software Defined - Compute Hyper-V What s new Nested virtualization Hot add/remove of network adapters Hot add/remove of memory PowerShell Direct Production checkpoints (snapshots) Discrete device assignment (PCIe) LINUX Secure Boot Virtualized TPM Shared virtual harddisks
Software Defined - Compute Rolling Hyper-V Cluster upgrade Mixed OS mode Nieuwe features niet beschikbaar Beperken tot migratie periode (advies: 1 maand)
Software Defined - Networking Consistent met Azure netwerk features Load balancer Network Controller is onderdeel van Windows BYO address space VXLAN (nieuw) en NVGRE Distributed Firewall Virtual Subnet Virtual Subnet 10.7.1.0/24 10.7.2.0/24 Virtual Network 10.7.0.0/16 Virtual Subnet 10.7.3.0/24
Software Defined - Storage Storage Spaces Direct Storage Replica
Software Defined Storage Spaces Direct Interne storage Hoog beschikbaar NVMe voor performance SATA voor lagere kosten Ethernet/RDMA Gecertificeerde hardware Cache drives Capacity drives SSD SSD HPE ProLiant DL380 Gen9
Software Defined Storage Spaces Direct Hyperconverged VM VM VM VM VM VM SSD SSD SSD SSD SSD SSD Storage pool 2 tot 16 nodes 400+ schijven
Software Defined Storage Spaces Direct SSD SSD NVMe NVMe NVMe NVMe SSD SSD SSD SSD SSD SSD Hybrid All-Flash NVMe+SSD+
Software Defined Storage Replica Block level replicatie Synchroon of asynchroon SMBv3 Replicatie Use cases: Stretched cluster Cluster-to-cluster Server-to-server Storage site A (a)sync Storage site B
SECURITY
Security Shielded Virtual Machines Bescherming van virtuele machines tegen beheerders
Security Shielded Virtual Machines
Security Shielded Virtual Machines Aanvallen van buitenaf Phishing Malware Achterlopen van security patches Pass the hash/ticket Gehackte accounts met teveel rechten Service accounts met teveel rechten Cached credentials Mimikatz
Security Shielded Virtual Machines
Security Shielded Virtual Machines Shielded VMs Bitlocker encryptie door toevoeging van vtpm Geen directe toegang tot het VM console Controle over de host waarop de VMs opgestart mogen worden (Guarded Fabric) Host Guardian Service Attestation Key protection Service Guest OS: Windows 8/2012 of hoger
Security Shielded Virtual Machines 1. Admin start Shielded VM1 8. Host start VM1 met decryptiesleutel Shielded VM1 2. Host stuurt informatie met verzoek tot attestation Host guardian Attestation service Shielded VM2 4. Attestation certificate wordt naar de host verstuurd 3. Host wordt gevalideerd Guarded host 5. Host doet een verzoek voor de sleutel om VM1 te unlocken. Attestation certificate wordt meegestuurd 7. Decryptie sleutel voor VM1 wordt opgestuurd Key protection service 6. Sleutel verzoek wordt gevalideerd Host guardian service cluster
Security Shielded Virtual Machines - Doel De VM s en data van klanten kunnen worden beschermd tegen datacenter beheerders. De workloads kunnen in de cloud draaien terwijl aan regelgeving en compliancy wordt voldaan. Er kan een scheiding tussen Hyper-V beheeders en gevoelige VM-workloads worden afgedwongen. Use cases: Enterpise private cloud, public cloud, branch offices, compliancy.
Security - overige Credential Guard Voorkomt Pass the Hash en Pass the Ticket aanval LSA wordt in een gevirtualiseerde laag opgeslagen Just Enough Administration (JEA) Gelimiteerde set van adminstatieve acties Just in Time (JIT) Aanvragen en goedkeuren beheertoegang voor een bepaalde periode JEA + JIT = gelimiteerd in tijd en mogelijkheid
LICENSING
Licensing Feature verschil tussen standard en datacenter Dit was in 2012 R2 niet zo! Per core licentie model
Vragen Twitter: @pvdnborn Blog: patrickvandenborn.blogspot.nl www.pqr.com info@pqr.nl @PQRnl