如何打造最安全的服务器虚拟化环境

服务器虚拟化不只是服务器与储存厂商提出具体的数据保护方案，现在，网络安全设备厂商也陆续推出虚拟化的相关产品。我们将告诉你在安全防护上该注意的所有事项。

服务器虚拟化是IT基础架构得以资源共享、共享的作法，也是未来机房的重要元素之一，然而，在整个环境移转的过程中，稍有不慎就会造成危害。今天我们将告诉告诉你虚拟化在安全防护上应注意的事项。

全面检查虚拟机器的安全性做法

服务器虚拟化是构成未来新一代企业机房的重要元素之一，由于硬件效能的突飞猛进，使得在一台服务器上同时执行多个操作系统、提供服务成为可能。然而，在整个环境移转的过程中，有许多安全上的问题也会随之产生，稍有不慎就会造成危害，而影响到日常的营运。

许多人认为「虚拟化是实体环境的应用延伸，对于虚拟机器的安全防护只需要采用现有的做法管理即可……」，这个观点从某些方面来说是正确的，但实际上两者之间仍有着诸多差异之处，如果未能及时正视这些差异，就有可能因此产生安全问题。

网络架构因虚拟化而产生质变

网络架构是服务器虚拟化的过程中，变动最大的一环，也是最有可能产生安全问题的关键所在。尚未移转到虚拟化之前，企业可以在前端的防火墙设备上订立出多个隔离区，针对不同功能的服务器个别套用合适的存取规则进行管理，假使日后有服务器不幸遭到攻击，危害通常也仅局限在单一个DMZ区之内，不容易对于所有运作中的服务器都造成影响。

虚拟化之后，所有的虚拟机器很可能就集中连接到同一台虚拟交换器(如VMware ESX/ESXi，微软的Hyper-V)，或者由「虚拟──实体」网卡之间的桥接(如VMware Server/Workstation，微软的Virtual Server/PC)，与外部网络进行通讯。在这种架构之下，原本可以透过防火墙采取阻隔的防护就会消失不见，届时只要一台虚拟机器发生问题，安全威胁就可以透过网络散布到其它的虚拟机器。

要解决上述问题的最简单做法，就是在每一台虚拟机器上都安装防毒软件，以及其它种类的杀毒软件。不过如此一来，却又可能衍生出一些管理上的疑虑，例如应用程序与杀毒软件之间的兼容性问题即同样可能在虚拟机器的环境下发生。

此外，虚拟机器安装杀毒软件后的运作效能，也值得企业加以注意，过去在一台实体主机上安装防毒软件，几十MB的内存使用量不会是太大的问题，但是在虚拟化的环境下，多台虚拟机器累积下来，就可能占用到相当可观的硬件资源，因此需要寻求其它做法加以因应解决，才能做好虚拟平台上的安全控管。

简单来说虚拟化是将硬件资源整合成一个虚拟的硬件资源池，是硬件资源的利用率更高，而且是其管理跟有效；

由两部分组成：一个管理端，一个底层的平台；

WMware的Wsphere 管理端为Vcenter；底层平台为ESXi；

RedHat的RHEV管理为RHEV-M ，底层平台为RHEV-H；

将几个物理其装上虚拟化平台，然后利用管理端整合和管理，这样就将几个物理机虚拟成了一个虚拟池；这个过程就是虚拟话咯！呵呵···

在 Win10 上的 VMware 连接远程服务器上的 VMware，需要遵循以下步骤：

确保已经安装了 VMware Workstation 或 VMware Player，并且已经启动了 VMware。

在 VMware 中，创建一个新的虚拟机，并选择“使用 ISO 映像文件安装操作系统”。

选择远程服务器上的 VMware 服务器，并输入远程服务器的用户名和密码。

在远程服务器上，启动 VMware 服务器，并创建一个新的虚拟机，与远程服务器上的虚拟机一样。

在远程服务器上，将新创建的虚拟机连接到 VMware 服务器。

在 Win10 上的 VMware 中，选择“文件”>“新建虚拟机”，并选择“使用 ISO 映像文件安装操作系统”。

选择远程服务器上的 VMware 服务器，并输入远程服务器的用户名和密码。

在远程服务器上，启动新创建的虚拟机，并安装操作系统。

在 Win10 上的 VMware 中，选择新创建的虚拟机，并选择“连接”。

在远程服务器上，启动新创建的虚拟机，并安装操作系统。

在 Win10 上的 VMware 中，选择新创建的虚拟机，并选择“文件”>“另存为”，保存虚拟机的设置。

在远程服务器上，停止新创建的虚拟机，并删除虚拟机。

在 Win10 上的 VMware 中，选择新创建的虚拟机，并选择“启动此虚拟机”。

现在，您已经成功连接了远程服务器上的 VMware，并可以在 Win10 上的 VMware 中运行远程服务器上的虚拟机。

随着硬件支撑服务器虚拟化的提升，托管VMware虚拟机VM）变得很容易。但是连同内存、CPU以及调度的限制，托管多少虚拟机算是多呢？

我们询问了三位IT专家关于他们见到的每台主机上的VMware虚拟机数量，以及这些VMware虚拟机的工作效率如何。虽然一个服务器主机塞满500台以上的VMware虚拟机，有时少即是多。风险、利用率以及内存等成为了决定性因素。

虚拟化并不仅仅是将尽可能多的服务器合并到一起，事实上它需要做一些实际的事情。你将带有1MB内存的虚拟机和其他两个VMware虚拟机共享一个内核，但是这一点毫无意义，因为计算机性能也随之降低。在其他问题之中，多于三个虚拟机共享一个内核可引发调度难题。然而这并不意味着合并虚拟机是微不足道的。一个高端服务器使用15内核的Intel Xeon E7处理器可相比于60个可用的内核。理想化的，实际上可托管180个VMware虚拟机。有足够的内存和I/O来支撑这个负载，这是从实际出发得出的。 系统管理员说：“我们有扩展虚拟机基础设施，在8个主机上放置256GB的内存和快速CPU。在NetApp中我们也有支持10Gbps连通性以及256GB闪存的网络文件系统（NFS）。使用VMware虚拟机 ESXi 5X，我们可以在每个节点运行最多24个VMware虚拟机，通常每台主机有15台VMware虚拟机。所以我们看到CPU利用率不足3%-5%，RAM利用率为7%-11%。”

我们能够在一台服务器主机上放置48台甚至更多的VMware虚拟机，几乎很少看到服务器能力下降。但是低的利用率很容易使我们产生推出新项目的想法。当服务器主机能力下降的情况出现时，我们会将VMware虚拟机分配以促进自动故障转移。不需要移除任何VMware虚拟机就能够为服务器主机修改漏洞以及升级。

VMware虚拟机在很大成分上是Web服务器，尽管我们有交互式登陆机器（Windows 和Linux）和MySQL数据库，对于数字运算应用的虚拟机来说没有太密集型的计算。

硬件升级的过程中，当我们转移至新设备时将125个VMware虚拟机放到两个节点上。甚至是将两个节点的整个内存分裂开。VMware虚拟机基础设施仍然不会成为负担。 在虚拟桌面技术设施（VDI）环境中，我曾看到一个服务器上有150-200台VMware虚拟机虚拟机。大部分的大型VMware虚拟机依靠于四插座的机架服务器。在VDI环境下，根据工作量有不同的合并率。

我也看见过一台服务器上有大约80台VMware虚拟机，因为那个公司想要深度合并；这涉及到管理上的问题。深度合并之后一台服务器主机上的许多VMware虚拟机也都工作良好，但是真正的问题是风险：企业想冒着一台主机上放置80个VMware虚拟机这样的风险么？万一服务器衰退了会发生什么？企业能否承受一下失去80台VMware虚拟机的风险？ IT操作经理说：“我看到的最多的是一台服务器主机上有31台VMware虚拟机，在Cisco UCS 刀片服务器上使用Microsoft Hyper-V进行虚拟化，可提供256GB RAM 两个8核Intel E5-2665 CPU。存储器是光纤连接EMC SAN内含SSD缓存。”

自从我们在RAM、CPU、或者是I/O利用率上越来越接近天花板，服务器主机上有31个VMware虚拟机已经不是界限，我们在想做的事情上有更多的灵活性。一些VMware虚拟机是高效利用的，而一些VMware虚拟机利用率却很低。我们可以在修复漏洞以及重启时，在6个UCS主机之间转移工作量。