Хранилище файлов Hyper-V и разрешения
Введение
Hyper-V использует другой подход к хранению файлов виртуальной машины, чем Virtual Server 2005 R2. Расположение по умолчанию другое, подход к хранению другой, и файлы конфигурации другие. Что это означает для опытного администратора Virtual Server 2005 R2? Это означает, что вам нужно будет начать с чистого листа и узнать, как все это работает. Итак, давайте погрузимся.
Служба СВДС
Чтобы разрешить все изменения хранилища файлов и доступа, Hyper-V использует новый тип SID, добавленный в Windows Server 2008, называемый SID службы, для управления доступом к файлам виртуальной машины. Виртуальная машина получает идентификатор GUID при создании, и для виртуальной машины создается соответствующий уникальный идентификатор безопасности службы с использованием комбинации идентификатора безопасности службы «NT VIRTUAL MACHINE» и идентификатора VMGUID.
Пример: «ВИРТУАЛЬНАЯ МАШИНА NT C64FB013-6D92-4B9B-B106-690182B00FFA»
Если вы посмотрите на файлы виртуальной машины, вы увидите, что разрешения показывают запись для VMGUID с назначенными разрешениями безопасности, это SID службы, назначенный виртуальной машине. Назовем SID этой службы VMSID.
Вы можете использовать iCACLS для установки и просмотра разрешений на файлы:
icacls «C:ProgramdataMicrosoftWindowsHyper-VVirtual Machines C64FB013-6D92-4B9B-B106-690182B00FFA.xml» /grant «NT VIRTUAL MACHINE C64FB013-6D92-4B9B-B106-690182B00FFA»:(F ) /л
На рисунке ниже показан пример разрешений, назначенных VMSID для виртуального жесткого диска.
фигура 1
Если VMSID когда-либо будет удален из разрешений безопасности файла, который составляет виртуальную машину, взяв в качестве примера виртуальный жесткий диск, виртуальная машина не сможет включиться.
Также создается специальная группа Virtual Machines, содержащая все виртуальные машины Service SIDS, зарегистрированные на сервере Hyper-V .
Расположение файлов по умолчанию
Hyper-V состоит из следующих расположений конфигурации файлов по умолчанию для хранения файлов виртуальных машин:
- Место хранения виртуального жесткого диска по умолчанию — C:UsersPublicDocumentsHyper-VVirtual Hard Disks.
- Место хранения виртуальной машины по умолчанию — C:ProgramDataMicrosoftWindowsHyper-V.
Их можно изменить с помощью параметра «Настройки Hyper-V» в MMC диспетчера Hyper-V, как показано ниже:
фигура 2
Когда Hyper-V установлен, эти папки создаются. Папка Virtual Hard Disks изначально пуста, но папка расположения хранилища виртуальной машины по умолчанию содержит две подпапки:
- Виртуальные машины — хранит файлы конфигурации виртуальной машины.
- Снимки — хранит файлы моментальных снимков виртуальной машины.
Вы можете использовать расположение по умолчанию или указать другой путь для хранения файлов виртуальной машины при создании виртуальной машины с помощью мастера. Ваш выбор приводит к различным действиям, предпринимаемым с точки зрения безопасности файлов.
Давайте обсудим два сценария расположения по умолчанию и указание другого места хранения.
Сценарий 1: Использование местоположений по умолчанию
Если вы используете расположения по умолчанию во время создания виртуальной машины с помощью мастера создания новой виртуальной машины, происходит следующее.
- GUID создается и назначается виртуальной машине, а VMSID создается для использования разрешений. Термин VMGUID будет использоваться для обозначения GUID виртуальных машин в этой статье.
- Виртуальный жесткий диск (VHD) для виртуальной машины размещается в каталоге C:UsersPublicDocumentsHyper-VVirtual Hard Disks с использованием указанного вами имени файла.
- Разрешения безопасности виртуального жесткого диска изменены, чтобы добавить VMSID с доступом для чтения и записи к виртуальному жесткому диску.
- Файл конфигурации XML — имя файла, состоящее из VMGUID с расширением XML, создается в папке C:ProgramDataMicrosoftWindowsHyper-V.
- В каталоге C:ProgramDataMicrosoftWindowsHyper-VVirtual Machines создается подпапка, состоящая из VMGUID в качестве имени папки, и назначаются следующие разрешения. Эта папка используется для хранения сохраненных файлов состояния (VSV и BIN).
а. Группе виртуальных машин назначаются следующие специальные разрешения, которые наследуются для папки и вложенных папок.
я. Список папок / чтение данных
II. Чтение атрибутов
III. Чтение расширенных атрибутов
IV. Создавать файлы/записывать данные
v. Создание папок / добавление данных
ви. Читать
б. VMSID назначается и получает специальные разрешения Полный доступ только для папки.