服务器虚拟化安全优化五大策略

服务器虚拟化安全优化五大策略,第1张

服务器虚拟化技术成为当前数据中心的主流发展方向。服务器虚拟化技术提高了可用性,减少IT成本和支持未来的业务增长。然而,服务器虚拟化技术由此带给数据中心的服务器安全问题也不容忽视。 企业保护自己的虚拟服务器环境的安全是非常重要的,特别是虚拟化不仅已经在服务器中更普遍的应用,而且在存储、操作系统、台式电脑和网络资源等方面也在广泛应用。虚拟服务安全的主要问题,以及如何更好地控制这些问题,同时为虚拟化进一步向数据中心普及做好准备。 1、解除服务器虚拟化安全隐患之管理、责任和政策 管理虚拟化的主要问题是谁负责虚拟资源。与物理服务器不同,物理服务器由在这个物理区域的管理员直接负责,虚拟服务器的责任通常是不明确的。当涉及到虚拟化的时候,会出现如下问题:谁负责、谁应该拥有访问权、谁应该配置和保证这个环境的安全这个责任是应该由业务部门、服务器管理员还是一个集中的主管理员负责 当设法解决这些问题时,遵循的一个简单的规则是对待重要的虚拟服务器应该像对待物理服务器一样采取同样的控制措施。例如,如果你没有把你的SAP服务器的根口令提供给主要管理员以外的其他人,对于你的虚拟SAP服务器也要制定同样的规则。 应用安全虚拟解决方案定义和管理整个新的环境中的政策。当遇到虚拟安全的问题时,IT管理员需要制定正确的政策安全地保护自己的系统。然而,这些政策必须足够灵活以保证它们没有太多的限制。IT管理员需要询问使用当前的安全政策是否可以实现服务器虚拟化的全部好处。一个理想的解决方案是通过保证虚拟化不绕过现有的安全控制措施让用户保持对自己的基础设施的控制。这需要高水平的集中批准和控制。 2、解除服务器虚拟化安全隐患之遵守法规 随着一些虚拟服务器变成拥有极少控制的看不见的网络,就会出现遵守法规的问题。对于没有专门负责监视每一台主机内部虚拟机的全部互动情况的数据中心管理员来说,这是很成问题的。随着虚拟化继续向主流应用发展,有许多遵守法规的强制规定将不可避免地影响到虚拟化的应用。例如,这些遵守法规的强制规定之一是PCI-DSS(支付卡行业数据安全标准)。 在零售行业,定义信用卡处理的规定(PCI-DSS要求221)要求企业每台服务器仅执行一项功能。这使人们对这个规定有许多解释。有些零售商也许把这个规定解释为每台物理服务器仅执行一项任务。有些企业仅把这项规定严格地限制在部署虚拟服务器方面。由于标准含糊不清,单个的企业正在采取不同的方式使用虚拟化技术处理信用卡信息。这会暴露持卡人的数据和没有使用新的行业规定遵守法规,从而引起企业的风险。使用一个有经验的综合者解决这个问题。PCI安全标准委员会最近恢复了一个特别兴趣组,以澄清审计人员和用户在虚拟化方面遇到的一些问题。这个兴趣组将在2009年年底之前提供第一轮建议。 在处理服务器虚拟化的遵守法规的问题,企业需要理解自己的风险。建立一个安全的审计跟踪作为遵守内部和外部审计者规定的证明,实时报警和联合流程仍是虚拟环境优先考虑的事情。如果一家公司能够现实地处理自己的风险,它就很容易解决审计者担心的问题并且保证能够修复任何问题。 随着他们允许机构保持老式的服务、操作系统和应用程序,同时继续推进数据中心优化的努力,虚拟机将更加流行。因此,没有一个管理这些老式系统的撤销过程的明确的计划,就会存在风险并且会给企业带来新的重大安全风险。有一种推测认为,老式系统中使用的安全措施能够在虚拟化环境中提供同样的安全保护。企业把老式的安全措施当作安全系统是不安全的,不会以同样的方式发挥作用,从而使企业容易遭到安全攻击。 3、解除服务器虚拟化安全隐患之保证虚拟化安全并监视虚拟化 把服务器虚拟化推广到生产环境的一个重要挑战是保证平台的安全并且进行监视以便解决安全漏洞。与在裸机上运行的操作系统/应用程序不同,在一个虚拟化平台上运行的虚拟机是这个系统的活动部件。虚拟机管理员能够复制和把虚拟机镜像从一台服务器迁移到另一台服务器,在迁移中携带那个虚拟机、操作系统和支持的应用程序等全部内容。IT部门还能够在运行状态暂停、拷贝和把虚拟机从一台服务器迁移到另一台服务器。 当然,这种灵活性还会产生安全漏洞。随着虚拟机的不断的上线和下线,或者根据需要从一台服务器迁移到另一台服务器,安全控制措施需要反映这些变化。此外,随着虚拟机从一台服务器迁移到另一台服务器,这些虚拟机也许会为传统的防火墙检测不到的危险和攻击敞开大门。处理这种安全漏洞的一个理想的方法是利用高级记录事件管理技术。这使企业能够监视各种虚拟化基础设施组件以便检测虚拟化平台中将发生什么事情。这包括监视具体的事件、失败的登录和其它可以认为是违法政策的活动。这种技术还能够让机构详细地理解有权限的用户能够对单个虚拟机做什么。 由于虚拟机的设置和运行时间都比传统的物理服务器更短暂,这将引起额外的担心。这产生了一些风险情况。在这种情况中,虚拟机不可能上线进行安全扫描、升级和使用补丁。当发生故障的时候,找到故障原因也是很困难的,因为虚拟机不断地建立和撤销,快照和检查点经常退回重来。机构部署目前可用的软件管理解决方案管理离线虚拟机和物理服务器以避开这些安全问题是非常重要的。 由于数据中心的虚拟机数量比物理服务器的数量多,保证这些虚拟机避免遭到病毒攻击是比较复杂的。由于虚拟机数量更多,病毒能够成倍地传播,攻击的服务器数量要把纯物理服务器环境中攻击的服务器数量多。传统的网络管理工具看不到虚拟机与虚拟机之间的通讯。要在这种情况下提供帮助,不同物理服务器上的虚拟机池需要在自己的专用网络上相互沟通,能够完全访问共同身份识别和加密等安全功能。 虚拟机镜像将保留在文件中。结果,由于这些文件很容易复制,这就增加了风险。有一些可用的选择可以管理这些特殊问题。虚拟机镜像本身中的秘密数据不应该轻松地访问。最起码的是企业应该加密这些数据或者把这些数据存储到其它的存储位置(这可以是虚拟的或者物理的)。此外,加强管理来自网络的虚拟机镜像能够更严格进行控制,保证最低限度地访问这些镜像和增加身份识别。 4、解除服务器虚拟化安全隐患之虚拟机蔓延和移动 许多企业日益担心虚拟机蔓延问题。除了日益增加的管理复杂性和日益提高的数据中心成本之外,人们还日益担心缺少可用的控制措施避免业务部门经理自己创新大量新的虚拟服务器。使这种担心更加严重的是这些新的服务器也许是在没有保证适当管理和安全的情况下创建的。 与虚拟机蔓延和轻松地在物理服务器之间迁移虚拟机有关的一个重要问题是支持环境的可持续性。这个主要问题是不同的虚拟机工作量通常有不同的与存储、计算和网络有关的要求。控制这个风险需要明确地关联虚拟机工作量和适当的要素分类,以及确保维持必要的安全态势。 当考察软件管理解决方案的时候,企业有必要评估他们支持基于政策的向这个环境动态分配虚拟机的能力。这种能力通常称作“沙箱”。沙箱是隔离运行的应用程序的一种安全机制。沙箱经常用来执行没有经过测试的代码或者没有经过验证的第三方、供应商或用户的应用程序。这种方法通过阻止应用程序向沙箱外部写数据的方法来保证应用程序的安全,阻止进入系统的病毒和其它恶意活动进行破坏。 保持所有相关活动的审计记录也是非常重要的。一个有关正在运行的情况的漫游快照能够让管理员回去进行验证、优化和监视用户活动, 并且保持一个准确的快照。通过运行在同一个沙箱中的与遵守法规有关的应用程序,与其它更普通的应用程序隔离开,企业能够减少数据泄漏的风险。这允许企业保持一个适当的安全态势并且根据传统的数据分类按照政策隔离虚拟机。 为了减少虚拟机蔓延,企业应该利用一些时间培训管理员有关虚拟基础设施开发、管理和安全的知识。他们要求明确地理解虚拟化技术和虚拟化技术与传统的IT基础设施的区别。IT人员必须有正确的工具进行有效的管理。但是,IT人员还需要进行培训以正确地管理这个新的基础设施。 5、解除服务器虚拟化安全隐患之安全改进 机构能够继续改善他们的安全态势。下面是一些额外的建议: ·减少服务器关机时间。虚拟机能够在完全运行的时候进行备份,因此要确认你的系统在继续运行以保证实时备份。如果一个系统发生故障并且管理员执行了实时备份或定时快照,系统会很快恢复。如果恢复是必要的,那么,退回重来就像提取最新的快照一样简单。 ·改善IT效率。企业利用一个批准的黄金镜像能够实现增强的安全性和管理性。这个黄金镜像为一个桌面提供各种存储在防火墙后面的用户资料。这样做企业能够显著改善生产率,帮助改善IT运营。这种做法就是保证每一个使用的虚拟机都是根据经过批准的黄金镜像制作的,无论这些虚拟机用于开发、测试或者生产都是如此。 ·提高灵活性。为了向一切都是服务的模式的过渡,企业能够定义和应用合适的数据分类和分离。这还能够使企业更轻松和更自信地恰当地选择专有的和公共的云计算解决方案。这是因为虚拟化能够参考SOA让实施更方便地在云计算环境中管理和部署。 随着虚拟化继续推动数据中心的发展,采用超越物理环境的最佳安全做法、政策和解决方案并且像对待物理环境一样警惕地对待虚拟环境是非常重要的。理解你的企业的安全风险状况,应用适当水平的安全措施能够让你的企业从虚拟解决方案中获得巨大的好处,同时为未来的数据中心技术创新创造一个舞台。 以上五大服务器虚拟化安全优化策略,是完善服务器虚拟化的关键所在。朗思通普做为HP服务器铂金代理商,专业代理惠普服务器、惠普存储等商用产品与配件,提供HP服务器虚拟化配置、安装、优化等一站式解决方案。

涉及虚拟化部署的项目往往包含了数据中心内的大量设备,从服务器、存储和网络到您的安全和管理软件。本文讲述虚拟化部署项目中的九大步骤,来规范整个安装过程。

  

  虚拟化方面的专家EricSiebert在他的文章:“VirtualizationDeployment:TheAssessmentandPlanningPhases”当中涉及了各种虚拟化的部署过程。下面我将对他描述的每一步进行展开和描述,另外也加入了额外的一些考虑和需要明确的问题。

  

  -建设虚拟环境。在这一步骤中,安装服务器,装载选定的虚拟化管理程序(例如ESXServer或是Hyper-V),安装中央管理平台(微软的SCVMM或VMware的vCenter),最后把虚拟主机添加到管理平台中。

  

  -配置虚拟环境。在这一步中,配置服务器的静态IP地址,纠正网络系统的参数,在有必要的情况下对VLAN进行配置。

  

  -虚拟环境的安全保障。在这一步中,对所有的虚拟主机设置一个复杂的登录密码,在WindowsAD服务器中添加组,然后把新增加的、经过认证的VMware管理员添加到这个组中,接下来把该组认证为VMwarevCenter的管理员并且删除域管理账户。如果您还有其他类型的一些用户需要对他们的虚拟机做管理(例如SQL管理员或是开发环境),请考虑增加额外的组和新的角色。

  

  -虚拟环境的构建。在这一步中,完成向虚拟架构中增加新的虚拟机,通过创建新的虚拟机和安装全新的操作系统,或者是借助于Vmware的ConverterEnterprise等工具(在第二部分有介绍),完成从物理机到虚拟机(P2V)的转化,以及从VMwareVirtualApplianceMarketplace中下载虚拟应用程序。请选择您P2V迁移的转换方式。

  

  -虚拟环境的监控。在这一步,至少您会希望可以通过基本的管理工具监控到新的虚拟化主机,这可以借助免费的ESXiServer和vSphereClient中提供的简单图形界面实现。进一步地,您可能还会希望使用一些由vCenter提供的高级性能管理监控。通过设置可以实现在发生性能问题时通知到指定的管理员。随着使用的深入,很可能您还会希望用到更加复杂的性能监控工具,如同我们在“管理工具的选择”中提到的那样。

  

  -虚拟环境的维护。在单台虚拟主机和一组虚拟机的环境中,维护是一个非常简单的工作。但是如果您的系统架构扩展了,就会用到维护工具。请不要跟虚拟环境监控的概念相混淆,在维护阶段最主要的工作就是补丁程序的管理。幸运的是,如果您采购的是VMwarevSphere,在所有的商业化版本中包含了UpdateManager。通过UpdateManager,您可以对现有ESX服务器的补丁升级做管理,包括可以涉及到一些操作系统和部分应用程序的补丁升级。如果您还使用了VMware的DRS(DistributedResourceScheduler)功能,那么ESXServer可以实现在用户不停机的情况下升级。

  

  -虚拟环境的备份。如同使用物理服务器一样,为虚拟服务器建设备份机制也是极其重要的。当您完成对物理服务器虚拟化的同时,有效的备份机制也需要在同一天建设完成。虽然虚拟机备份也可以通过已有的传统备份软件实现,但这并不是虚拟环境备份的最佳选择。通过采用为虚拟机定制的备份软件,它们可以掌握所有的虚拟机都在哪台物理主机上,然后可以识别出在什么时间需要把虚拟机迁移到新的主机上去。这些备份软件可以支持微软的VSS(VolumeShadowCopyService),确保应用程序的持续备份以及提供一些特殊的附加功能,诸如文件级和镜像级的备份,重复数据删除和数据复制等等。典型的虚拟化环境专用备份软件包括:VMware'sDataRecovery,VeeamSoftware'sBackup以及VizioncorevRanger。

  

  -虚拟环境的故障诊断。我们当然希望在新部署了虚拟化架构后不会遇到任何问题。但是如果问题发生了,我们需要关于虚拟化环境的文档和图表。而且还需要有所有设备——服务器、SAN、网络、存储和虚拟软件等——相关的,售后支持信息和联系人窗口。

  

  -培训和文档。尽管这最后一步在Siebert的文章中并没有提及,但是培训和文档也是完成成功部署的重要步骤之一。所有好的部署计划都应该包含针对公司中其他管理员的培训和关于新虚拟化架构以及日常管理任务的文档。虽然对于其他管理员而言,虚拟服务器可能用起来跟物理的区别不大。但是对于虚拟机的管理和故障诊断是完全不同于物理机的。因此,培训课程是必需的,以便于那些支持人员和主要的管理员可以理解他们面临的物理系统架构所发生的变化,以及在虚拟机环境中如何完成和之前相同的工作。

  

  避免虚拟化部署中的陷阱

  

  虽然说只要遵守基于以上的安装步骤而制定的安装计划,就可以避免在虚拟化部署中出现问题,但是还是有一些陷阱需要在安装时注意。下面让我们举例来说明一些类似的问题:

  

  -低估了虚拟化主机所需的内存数量。尽管您使用了VMware的内存过分配技术,但是很有可能生产环境中的虚拟化主机会用到所有安装的内存总量。很多用于生产环境中的虚拟化主机都安装了16GB甚至更大的内存。

  

  -低估了所需共享存储的存储空间。尽管新版的VMware提供了自动精简配置功能,可以帮助用户减少虚拟化对存储空间的占用情况,但是虚拟机会迅速地占用共享存储中的大量存储空间。如果可能的话,采用VMware的自动精简配置或者是通过SAN存储来降低硬盘空间的占用率。您还可以通过使用Vizioncore的vOptimizerPro工具来回收过分配的存储空间。

  

  -虚拟化的速度远远超过培训和文档收集的速度。对一台物理服务器完成虚拟化是很容易的,可以在几分钟内完成,但是培训资深管理员和升级文档的时间要比虚拟化本身长得多。所以一定要避免同时对所有的物理环境做虚拟化,然后面临漫长的虚拟机故障诊断过程。以及对某些未经应用程序管理员许可的应用做虚拟化。

  

  -过度分配。在初始化安装的时候,很容易出现虚拟机过度分配的问题,因为创建一个新虚拟机的过程看起来如此简单。和物理服务器的管理一样,我们应该仅分配那些业务所需的虚拟机。每一台新的虚拟机会占用额外的服务器资源以及带来附加的操作系统许可购买费用。

  

  -缺少测试。对于应用在虚拟机上的测试非常的简单,只需要做从物理机到VMwareWorkstation虚拟机的迁移,然后在虚拟机里验证结果。在我的经验看来,99%的应用可以在虚拟机上工作,但是请密切关注那些图像处理密集型的应用(例如运行计算机辅助设计CAD等在虚拟桌面),或者是需要购买额外软件许可的应用软件。当验证完软件的兼容性之后,还需要考虑虚拟机架构的支持能力:能否满足应用程序的计算需求以及提供和物理服务器同等的性能表现。

  

1、整合资源完成资源整合是服务器虚拟化的主要工作,在信息时代,各行各业在发展过程中,产生的数据呈现爆炸式增长,如何实现对这些数据和资源的综合利用,是各大行业亟需解决的问题。计算机服务器虚拟化技术的研发和应用,为实现资源整合提供技术支持和应用平台。尤其是近年来,云计算技术的不断普及,集中化资源管理愈发先进,为云技术的发展和推广提供了条件,目前各大企业对计算机硬件资源的利用率不足20%,资源浪费现象依然非常严重,通过服务器虚拟化技术可在原应用保持不变的基础上,集中在某一计算机服务器中,可促使企业的物力资源调利用率大大提升,从而降低了各项硬件的投入,节约了成本。

2、低能耗在信息时代,技术革新的重中之重,也是降低资源消耗的主要途径,云计算技术备受推广,在IT界大量推广云计算技术。计算机服务器虚拟化是提升资源利用率的主要途径,也可以对能耗进行合理的管理。虚拟化技术则可以模拟出不同场景,从而实现对计算机系统中各种硬件及软件进行全面系统的检查,发现问题立即显示在界面上,提醒相关人员及时处理,从而达到降低能耗,实现绿色发展的目的。 

3、降低运营成本在信息化服务商不断经营转型的背景下,集约化对成本控制提出了更高的要求,投资愈发精细化,而企业实现IT化运行的关键自傲与集中对数据中心的投资,此项内容主要涉及到两方面内容;①计算机硬件和许可服务支持的投资。②计算机系统运维承的成本投资,通过计算机服务器虚拟化技术,能充分发挥服务器应的性能。

4、应用更加平坦化通过服务器虚拟化技术可促使计算机服务器应用平台更加平坦化和透明化,在信息时代,数据中心平台逐年增加,计算机服务器的应用愈发复杂,不同平台在具体运行过程中,需要充分考虑不同操作系统和中间件的层面问题。通过服务器虚拟化技术可有效解决此类问题,将应用和硬件平台相互隔离,实现了跨越平台的限制。

如需了解更多,请访问蛙云官网wayuncn

专业领域十余载,倾情奉献

一次沟通,终生陪伴

在过去十年间,存储管理凭借自身的发展逐渐成为一门学科,不仅由于存储数据量的大幅增长的驱动,而且也由于促进共享存储的存储网络协议的增强。 同时,虚拟化也成为服务器和PC优化的最重要的技术。在这种环境下,共享存储成为一些功能不可或缺的前提,如非中断的虚拟机迁移。 不过,虚拟化在服务器和支持它的存储间增加了另一层的复杂性。在虚拟化和存储间的这一层抽象意味着将存储相关的概念如RAID组和LUN转换为虚拟对象如VMDK和虚拟硬盘是个挑战。因此,为了有效的为虚拟环境提供存储,存储管理员必须采用新的方法。 挑战 虚拟化产生了新的运营难题。因为许多虚拟机可能同时存在于一个存储LUN上,虚拟服务器的I/O配置和桌面有时变得更加随机和不可预测。通过使用诸如VMware公司的Storage vMotion和微软公司的Hyper-V Live Migration的特性来使虚拟机在存储基础设施间迁移时,当前的系统管理程序的功能可以保证大量的I/O。另外在虚拟机被拷贝、克隆和在存储间复制时,虚拟化对于存储的利用也会产生很严重的影响。 在考虑虚拟化和存储时,我们必须审视许多大型企业已建立起的运营架构。随着IT基础设施的不断发展,各部分的技术逐渐划分为不同学科,包括存储、网络、服务器和数据库等。过去,也许存储管理员还可以只处理自己的业务,而不必太多关心基础设施的其它部分的运作。如今,虚拟化改变了这种状况,使得我们必须将这些不同的学科整合,而不能再像过去那样。 选择战略 虚拟环境下的存储管理需要满足两个基本的指标:容量和性能。尽管这两者在非虚拟化环境下也会提及,但在虚拟存储设计时会主要考虑性能,因为它会更多的影响虚拟基础设施的运营。在非虚拟化环境下,对于一个LUN缓慢的响应时间只会影响到单个主机;对于一个承载多个虚拟机的较大的LUN,缓慢的响应可能引起更广泛的影响。在虚拟桌面环境(VDI)下尤其如此。对于存储管理员,有许多策略需要考虑。 使用硬件加速和API 许多厂商(包括最大的六家存储厂商:戴尔,EMC,惠普,日立数据系统,IBM和NetApp)如今都支持虚拟I/O的硬件加速。这是通过在系统管理程序中的应用编程接口(API)实现的,如阵列集成的vStorage API (VAAI)。VAAI将一些负载较重的工作从虚拟层卸载,而让存储阵列使用最适合的方式来执行这些关键操作,如次LUN级锁定,批量拷贝和数据清零。最近,VMware增加了精简盘空间回收特性,使得系统管理程序可以从精简配置的LUN中释放存储空间,而无需直接写数据到这些被删除的数据块。 将存储管理的工作卸载到磁盘阵列有诸多好处。首先,它减轻了虚拟层的工作负载,减少了CPU的负担以及存储网络中的数据流。其次,它让存储阵列来对I/O密集型的操作执行优化和优先级操作,而这些最适合于在阵列内部实现。作为领先的虚拟机监控器厂商,VMware已开发出大量的API,包括数据保护的vStorage API(VADP)和存储感知vStorage API。VASA在部署可扩展的存储环境中日益重要,它为虚拟机监控器提供了存储LUN的配置信息,如复制和性能度量标准等。 为性能而配置 在虚拟环境下执行I/O时,性能是最重要的。通常情况下,虚拟环境产生更多的随机工作负载,使得优化I/O工作负载的工作对于存储更加困难。以下的一些技术可以保证性能得到优化,包括: 宽条带 此技术将磁盘I/O尽量分布到多个物理磁盘之上。宽条带技术可以通过大型RAID组(需要注意磁盘失效后的重构时间)或者将多个RAID组连接成存储池来实现。此技术同时适用于基于文件或基于块的存储平台。 动态分层 如同其它的存储环境,虚拟服务器同样存在产生大量I/O负载的I/O“热点”。热点区域很难预测,因此支持动态分层的平台提供了一种手段,以确保最“热”的数据驻留在最快的盘上。这种技术对于许多从一个母版映像克隆的虚拟机特别有用。 使用精简配置 在虚拟环境下,由于虚拟机易于创建,存储的增长很容易失去控制。在即时需求的环境下尤其如此。精简配置确保了只有在数据由主机写往磁盘时,磁盘空间才真正的被占用,而不是为每一个虚拟机预留指定的空间。此特性可以在虚拟层实现,绝大多数的存储平台也支持这一功能。 使用厂商插件 几乎所有的企业级和中端存储平台都可为集中化的管理工具如VMware vCenter提供插件。这为虚拟化和存储系统提供了统一的视图,在许多情况下可以在vCenter控制台上直接配置存储。对于那些没有专门存储团队的企业,这可以大量减少IT管理员的工作。 为虚拟服务器而建的存储 一些新兴的存储厂商已经推出了特别为虚拟服务器环境设计的硬件和软件存储解决方案。其中包括Atlantis Computing,SolidFire,Tintri和Virsto软件公司。简而言之,这些产品被设计用来解决我们在这里描述的问题,包括随机I/O 的挑战。 使自动化 为动态变化的虚拟环境优化容量和性能可能是一件相当耗时的工作。随着虚拟环境的扩展和成熟,我们需要将手工优化的过程更多的变为自动化。虚拟机厂商开始在它们的产品中包含一些功能以允许一些半自动化特性,以减少管理员的负担,持续的优化存储环境。在vSphere 5中,VMware推出了存储动态资源调度(SDRS)功能,可提供某种程度的存储分配的自动化。SDRS提供自动的VMDK初始放置位置,自动的迁移虚拟机以满足容量,性能以及亲和规则的要求,可以保证例如高I/O的虚拟化被放置于单独的硬件上。 随着虚拟环境的扩展以及部署中更趋向于服务化,自动化的存储管理成为必需。存储厂商已经在市场中推出了提供存储供应API的新产品,以直接支持虚拟服务器自动化。 别忘了备份 备份经常认为与存储管理没有多大关系。不过,在高可用的存储环境中,它至关重要。在虚拟基础设施中,传统的备份解决方案对于备份和恢复数据并非十分有效,我们需要使用一些其它的技术来优化备份和恢复的流程。 在基于数据块存储的部署中,传统的备份使用主机本身来备份数据。这是因为存储阵列并不知道数据在LUN上的格式。主机将文件放置在LUN上,然后备份软件依赖于主机提供的文件流来备份。 在所有的虚拟化平台中,虚拟机被存储为一个或多个文件,即使是使用块级存储阵列。这使得备份过程更为简单,因为只需要简单的备份组成虚拟机的文件即可。 一些虚拟机厂商,如VMware,提供API以允许第三方软件看到虚拟机内部改变的块数据,这提供了一种非常有效的手段,我们只需备份自上次备份起变化的文件。所有的虚拟机厂商都提供虚拟机快照功能。尽管在某些情况下会导致“宕机一致”备份。由代理软件协同,通过将主机文件系统静默,可以创建出具一致性的快照。 存储工具将不断演进 存储仍将是部署可扩展虚拟基础设施的一个重要特性。随着环境的扩展和成熟,存储管理员需要利用一些工具和技术如自动化和虚拟化软件,使得他们可以迎接更加集成的IT世界的挑战。

 1、前期规划

 

    在规划与实施虚拟化的数据中心时,推荐最小使用三台主机、2台存储,如图2所示。每台主机推荐4个网卡、至少2个CPU、64~128GB内存,存储、网络交换机与服务器之间都需要有冗余连接,在选择2台存储时,如果都是FC或SAS的存储,则可以在两台分别存放虚拟机,并在另一台存储存放备份;如果1台是FC或SAS存储,1台是iSCSI存储,则将虚拟机存储在FC或SAS存储,另一台做备份。

    2、使用vSphere时

 

    在使用vSphere的时候,为虚拟化数据中心配置HA,并启用DRS、DPM功能,在大多数的数据中心中,当负载较重时,群集中的每台主机都会开启运行;而当负载较轻时,DRS会迁移虚拟机、集中到某2台主机中,而DPM则会将暂时不用的主机进入“待机”状态,这样会减少能源的消耗。当负载变重时会依次打开待机的主机,并在主机间调整虚拟机。

 

    3、部署好之后

 

    在部署好vCenter Server、ESXi后,最好部署VDP(Sphere Data Protection)或VDPA(vSphere Data Protection Advanced)备份装置,备份数据中有重要应用的虚拟机,如果备份空间满足需要则备份所有虚拟机,在选择备份位置时,要选择与虚拟机不在同一位置的备份设备。例如,如果虚拟机运行在FC或SAS存储上,则可以将备份位置选择另一存储。当没有多余的存储时,可以将数据备份在某台服务器的本地硬盘空间。在我们实施虚拟化项目时,都会购置新的存储。在实施虚拟化项目后,可以使用的数据中心原来的存储做备份使用。如果数据中心没有多余存储,可以用节省下来的服务器做网络存储,或者使用服务器的本地硬盘提供的共享文件夹用做存储位置,这些都是折衷的办法。

 

    4、注意环节

 

    当数据中心中虚拟机数量较多、应用较多时,需要选择vCenter Operations Manager,用于动态监控vSphere数据中心。vCenter Operations Manager 从虚拟环境每个级别的每个对象(从单个虚拟机和磁盘驱动器到整个群集和数据中心)收集性能数据,它存储并分析这些数据,而且使用该分析提供关于虚拟环境中任意位置的问题或潜在问题的实时信息。

虚拟化技术是通过软件或硬件对物理资源进行抽象,创建虚拟资源的技术。

虚拟化技术是一种计算和信息技术范畴的关键概念,其定义涵盖了多个层面和应用领域。在广义上,虚拟化技术是通过软件或硬件对物理资源进行抽象,以创建虚拟资源的技术。这一定义反映了虚拟化技术的核心思想和方法。具体来说,虚拟化技术的主要定义包括以下几个方面:

1、资源抽象:虚拟化技术的核心概念之一是资源抽象,即将物理资源(如服务器、存储、网络等)的底层特性和功能进行抽象,以创建虚拟资源的上层表示。这种抽象使得多个虚拟资源可以在同一物理资源上并存,从而更有效地利用硬件。

2、隔离和隔离性:虚拟化技术还包括资源隔离,确保不同虚拟资源之间的相互独立性和安全性。这使得虚拟化环境中的一个虚拟资源不会影响到其他虚拟资源,提高了系统的可靠性和安全性。

3、多重实例:虚拟化技术允许在同一物理资源上创建多个虚拟实例。这意味着可以同时运行多个操作系统、应用程序或服务,而它们彼此独立运行,互不干扰。

4、性能管理:虚拟化技术还包括性能管理,使系统管理员能够动态分配资源,以满足不同虚拟资源的需求。这有助于提高资源利用率,确保高效的资源分配。

5、灵活性和可移植性:通过虚拟化技术,虚拟资源可以轻松迁移到不同的硬件平台或云环境中,实现了应用程序和数据的灵活性和可移植性。

虚拟化技术的应用领域

1、服务器虚拟化:服务器虚拟化是最常见的虚拟化形式,它允许在一台物理服务器上创建多个虚拟机实例。这提高了服务器资源的利用率,减少了硬件成本,简化了管理,并提供了灵活性,使多个操作系统和应用程序能够在同一硬件平台上运行。

2、存储虚拟化:存储虚拟化将多个存储设备抽象为单一的存储池,使数据管理更加便捷。这有助于数据备份、容量扩展、数据迁移和数据恢复,提高了存储资源的可用性和可管理性。

3、网络虚拟化:网络虚拟化允许创建虚拟网络,将物理网络资源分隔为多个逻辑网络。这有助于网络隔离、流量管理、安全性和应用程序性能优化。网络功能虚拟化(NFV)是网络虚拟化的一个重要分支,用于虚拟化网络功能设备,如防火墙、路由器和负载均衡器。

4、桌面虚拟化:桌面虚拟化允许将用户的桌面环境虚拟化,用户可以从任何设备访问其个人桌面。这提供了灵活性、安全性和中央管理,适用于企业和教育机构。

DABAN RP主题是一个优秀的主题,极致后台体验,无插件,集成会员系统
网站模板库 » 服务器虚拟化安全优化五大策略

0条评论

发表评论

提供最优质的资源集合

立即查看 了解详情