如何部署服务器级别的存储虚拟化
主机级别的方案中通常只是虚拟化直连主机的存储,当然也有一些可以部署在一个SAN环境中的多台存储子系统上。
早先的存储虚拟化产品常用于简化内部磁盘驱动器和服务器外部直连存储的空间分配,以及支持应用集群。Veritas Volume Manager和Foundation Suite就是首批这类解决方案,这类方案使得存储扩展,以及为应用程序和文件服务器提供空间更为简单快速。
随着存储需求的增长远远超过直连存储所能提供的范围,存储虚拟化逐渐成为存储阵列中的一种容量提供方式。而容量持续增长以及诸如iSCSI等小型IT组织负担得起的共享存储技术的出现又使得存储虚拟化技术也融合进基于网络的设备和运行在通用硬件的软件里。
不过现今的服务器和桌面虚拟化技术兴起给存储虚拟化技术带来了新的生机,而基于主机的存储虚拟化技术正在逐渐回归。服务器虚拟化平台必需要基于共享存储体系架构来实现一些关键特性,比如VMware的vMotion和Distributed Resource Schedule (DRS)。通过传统的SAN架构自然可以实现这种共享存储体系架构,不过越来越多的IT组织开始寻求更简单的方式来实现共享存储。基于主机的虚拟化技术就是方式之一。
诸如VMware之类的服务器虚拟化供应商认为存储是妨碍虚拟化技术大规模普及的瓶颈之一。这些Hypervisor供应商已经实现了处理器和内存资源的抽象,实现更好的控制并提高资源利用率,他们自然而然也会希望这样控制存储。不过将存储控制功能整合到主机服务器端,称之为“存储Hypervisor”时会带来一些潜在的问题。处理一些在虚拟服务器和虚拟桌面环境中至关重要的存储服务,诸如快照、克隆和自动精简配置时,会严重影响主机服务器的性能。
Virsto的解决方案
Virsto开发出了一款软件解决方案,安装在每台主机服务器上(无论是一台虚拟机或Hypervisor上的过滤驱动器)并在主存储上创建一个虚拟化层,称为Virsto存储池。其同时创建一个高性能磁盘或者固态存储区域,成为“vLog”。读操作会直接指向主存储,不过写操作会通过vLog进行,这会给请求的虚拟机或应用程序发回一个确认。然后vLog将这些写操作异步地分布写入主存储,从而减少对写性能的影响。该存储池可以容纳多至4层的存储方式,包括固态存储和各类型的磁盘驱动器。
和缓存的工作方式类似,vLog通过在存储前端降低耦合度改善了存储性能,降低了后端存储的延迟。其同时将前端主机的随机写操作变为顺序方式,实现后端存储的最佳性能。基于Virsto主机的存储虚拟化软件实现了以上这些功能。
虚拟存储设备
基于主机的存储虚拟化的另一项应用实例是虚拟存储设备(VSA)
VSA是运行在虚拟机上的存储控制器,其虚拟化统一集群中的主机所直接连接的存储。VSA提供一个主机使用的简易的存储共享体系架构,并支持高可用性、虚拟机迁移,并改善存储提供方式。对于很多企业,这种方式可以替代原本需要建立并管理传统SAN或NAS来支持虚拟服务器和桌面的体系架构。
vSphere Storage Appliance。VMware的vSphere Storage Appliance以一个虚拟机的方式运行,从在2个或3个节点集群中,每个ESX/ESXi主机所直连的DAS存储中,创建一个共享存储池。VMware VSA提供每个节点的RAID保护,并在同一集群的各个节点之间提供镜像保护。虽然从技术角度上看,VMware VSA是一个基于文件的体系架构,不过其亦为集群中每台主机提供数据块级别的存储虚拟化,并用户可以从这种部署方式中获取和基于数据块的共享存储一样的收益。
HP的LeftHand Virtual SAN Appliance。虽然和VMware VSA的功能类似,P4000 VSA软件可以支持每台主机直连DAS以外的方式。其还允许使用iSCSI或FC SAN等外部存储来创建共享存储池。这就意味着可以将如何可用的存储,本地存储或用于容灾的异地存储,转变为LeftHand存储节点。P4000t提供快照和自动精简配置,并且支持Hyper-V和VMware。
DataCore的SANsymphony-V。DataCore的解决方案是通过在一个虚拟机中部署其SANsymphony软件来整合其它各个VMware,Hyper-V或XEN主机的直连存储,形成共享存储池。SANsymphony-V可以和HP的解决方案那样虚拟化外部的网络存储,并且该软件可以在迁移到传统的共享存储体系架构时部署在外部服务器上。SANsymphony-V同时提供各类存储服务,譬如快照、自动精简配置、自动化分层和远程复制。
FalconStor的NSS Virtual Appliance。FalconStor的Network Storage Server Virtual Appliance(NSSVA)是该公司NASS硬件产品中唯一支持的VMware版本,用网络上其它主机的直连存储创建一个虚拟存储池。和DataCore和LeftHand的解决方案类似,该存储池可以扩展到网络上任何可用的iSCSI存储上。该NSS Virtual Appliance包括快照、自动精简配置、读/写缓存、远程复制和卷分层等存储功能。
基于主机的存储虚拟化解决方案是目前大多使用在虚拟化服务器和虚拟化桌面环境中,用以实现环境的高可用性特性,以及改善存储性能、利用率和管理效率。
目前业内主流的虚拟化方案主要有两个阵营的,第一个是第三方软件的,例如VMWare、思捷的,另一种是操作系统厂商提供的,例如Windows、redhat Liunx的,IBM很早以前在其小型机以上的服务器上就可以实现虚拟化功能了。至于国内的,目前我了解的,国内的服务器厂商大部分都是OEM VMWare的产品,只有一款叫做维纳斯的桌面虚拟化软件。从安全性角度来讲,我建议考虑国外的虚拟化软件。同时虚拟化是一个整体解决方案,它涉及到硬件(服务器、存储、网络交换)和软件还有信息安全等方面的内容,不单单是一套软件就能完成的。在做虚拟化工程的时候,首先要分析用户的业务需求,就是为什么要部署虚拟化,部署虚拟化能帮助用户解决哪些问题,用户实际需要的是服务器虚拟化还是桌面终端虚拟化,或者仅仅是一个虚拟桌面或者无盘站,这些搞清楚了以后,还要深入了解用户想花多少钱,做多少事,没钱,什么也做不成的!这些都确定以后,可以考虑硬件支撑和信息安全支撑方面的内容了。如果在这方面知识有限,无法准确界定边界范围的时候,可以求助厂商,在国内来讲,浪潮、曙光、联想都在说自己能够承载虚拟化技术,在选择厂商的时候,一定要深入了解厂商在用户当地的技术支持人员的技术实力,很多情况下,硬件服务器厂商确实是能够实现虚拟化支撑的,但是具体到技术上,理解较深或者技术水平较高的工程师都不在本地,无论是规划还是实施、维护,对于没有工程师的地方,都是灾难性的。
服务器虚拟化技术成为当前数据中心的主流发展方向。服务器虚拟化技术提高了可用性,减少IT成本和支持未来的业务增长。然而,服务器虚拟化技术由此带给数据中心的服务器安全问题也不容忽视。 企业保护自己的虚拟服务器环境的安全是非常重要的,特别是虚拟化不仅已经在服务器中更普遍的应用,而且在存储、操作系统、台式电脑和网络资源等方面也在广泛应用。虚拟服务安全的主要问题,以及如何更好地控制这些问题,同时为虚拟化进一步向数据中心普及做好准备。 1、解除服务器虚拟化安全隐患之管理、责任和政策 管理虚拟化的主要问题是谁负责虚拟资源。与物理服务器不同,物理服务器由在这个物理区域的管理员直接负责,虚拟服务器的责任通常是不明确的。当涉及到虚拟化的时候,会出现如下问题:谁负责、谁应该拥有访问权、谁应该配置和保证这个环境的安全这个责任是应该由业务部门、服务器管理员还是一个集中的主管理员负责 当设法解决这些问题时,遵循的一个简单的规则是对待重要的虚拟服务器应该像对待物理服务器一样采取同样的控制措施。例如,如果你没有把你的SAP服务器的根口令提供给主要管理员以外的其他人,对于你的虚拟SAP服务器也要制定同样的规则。 应用安全虚拟解决方案定义和管理整个新的环境中的政策。当遇到虚拟安全的问题时,IT管理员需要制定正确的政策安全地保护自己的系统。然而,这些政策必须足够灵活以保证它们没有太多的限制。IT管理员需要询问使用当前的安全政策是否可以实现服务器虚拟化的全部好处。一个理想的解决方案是通过保证虚拟化不绕过现有的安全控制措施让用户保持对自己的基础设施的控制。这需要高水平的集中批准和控制。 2、解除服务器虚拟化安全隐患之遵守法规 随着一些虚拟服务器变成拥有极少控制的看不见的网络,就会出现遵守法规的问题。对于没有专门负责监视每一台主机内部虚拟机的全部互动情况的数据中心管理员来说,这是很成问题的。随着虚拟化继续向主流应用发展,有许多遵守法规的强制规定将不可避免地影响到虚拟化的应用。例如,这些遵守法规的强制规定之一是PCI-DSS(支付卡行业数据安全标准)。 在零售行业,定义信用卡处理的规定(PCI-DSS要求221)要求企业每台服务器仅执行一项功能。这使人们对这个规定有许多解释。有些零售商也许把这个规定解释为每台物理服务器仅执行一项任务。有些企业仅把这项规定严格地限制在部署虚拟服务器方面。由于标准含糊不清,单个的企业正在采取不同的方式使用虚拟化技术处理信用卡信息。这会暴露持卡人的数据和没有使用新的行业规定遵守法规,从而引起企业的风险。使用一个有经验的综合者解决这个问题。PCI安全标准委员会最近恢复了一个特别兴趣组,以澄清审计人员和用户在虚拟化方面遇到的一些问题。这个兴趣组将在2009年年底之前提供第一轮建议。 在处理服务器虚拟化的遵守法规的问题,企业需要理解自己的风险。建立一个安全的审计跟踪作为遵守内部和外部审计者规定的证明,实时报警和联合流程仍是虚拟环境优先考虑的事情。如果一家公司能够现实地处理自己的风险,它就很容易解决审计者担心的问题并且保证能够修复任何问题。 随着他们允许机构保持老式的服务、操作系统和应用程序,同时继续推进数据中心优化的努力,虚拟机将更加流行。因此,没有一个管理这些老式系统的撤销过程的明确的计划,就会存在风险并且会给企业带来新的重大安全风险。有一种推测认为,老式系统中使用的安全措施能够在虚拟化环境中提供同样的安全保护。企业把老式的安全措施当作安全系统是不安全的,不会以同样的方式发挥作用,从而使企业容易遭到安全攻击。 3、解除服务器虚拟化安全隐患之保证虚拟化安全并监视虚拟化 把服务器虚拟化推广到生产环境的一个重要挑战是保证平台的安全并且进行监视以便解决安全漏洞。与在裸机上运行的操作系统/应用程序不同,在一个虚拟化平台上运行的虚拟机是这个系统的活动部件。虚拟机管理员能够复制和把虚拟机镜像从一台服务器迁移到另一台服务器,在迁移中携带那个虚拟机、操作系统和支持的应用程序等全部内容。IT部门还能够在运行状态暂停、拷贝和把虚拟机从一台服务器迁移到另一台服务器。 当然,这种灵活性还会产生安全漏洞。随着虚拟机的不断的上线和下线,或者根据需要从一台服务器迁移到另一台服务器,安全控制措施需要反映这些变化。此外,随着虚拟机从一台服务器迁移到另一台服务器,这些虚拟机也许会为传统的防火墙检测不到的危险和攻击敞开大门。处理这种安全漏洞的一个理想的方法是利用高级记录事件管理技术。这使企业能够监视各种虚拟化基础设施组件以便检测虚拟化平台中将发生什么事情。这包括监视具体的事件、失败的登录和其它可以认为是违法政策的活动。这种技术还能够让机构详细地理解有权限的用户能够对单个虚拟机做什么。 由于虚拟机的设置和运行时间都比传统的物理服务器更短暂,这将引起额外的担心。这产生了一些风险情况。在这种情况中,虚拟机不可能上线进行安全扫描、升级和使用补丁。当发生故障的时候,找到故障原因也是很困难的,因为虚拟机不断地建立和撤销,快照和检查点经常退回重来。机构部署目前可用的软件管理解决方案管理离线虚拟机和物理服务器以避开这些安全问题是非常重要的。 由于数据中心的虚拟机数量比物理服务器的数量多,保证这些虚拟机避免遭到病毒攻击是比较复杂的。由于虚拟机数量更多,病毒能够成倍地传播,攻击的服务器数量要把纯物理服务器环境中攻击的服务器数量多。传统的网络管理工具看不到虚拟机与虚拟机之间的通讯。要在这种情况下提供帮助,不同物理服务器上的虚拟机池需要在自己的专用网络上相互沟通,能够完全访问共同身份识别和加密等安全功能。 虚拟机镜像将保留在文件中。结果,由于这些文件很容易复制,这就增加了风险。有一些可用的选择可以管理这些特殊问题。虚拟机镜像本身中的秘密数据不应该轻松地访问。最起码的是企业应该加密这些数据或者把这些数据存储到其它的存储位置(这可以是虚拟的或者物理的)。此外,加强管理来自网络的虚拟机镜像能够更严格进行控制,保证最低限度地访问这些镜像和增加身份识别。 4、解除服务器虚拟化安全隐患之虚拟机蔓延和移动 许多企业日益担心虚拟机蔓延问题。除了日益增加的管理复杂性和日益提高的数据中心成本之外,人们还日益担心缺少可用的控制措施避免业务部门经理自己创新大量新的虚拟服务器。使这种担心更加严重的是这些新的服务器也许是在没有保证适当管理和安全的情况下创建的。 与虚拟机蔓延和轻松地在物理服务器之间迁移虚拟机有关的一个重要问题是支持环境的可持续性。这个主要问题是不同的虚拟机工作量通常有不同的与存储、计算和网络有关的要求。控制这个风险需要明确地关联虚拟机工作量和适当的要素分类,以及确保维持必要的安全态势。 当考察软件管理解决方案的时候,企业有必要评估他们支持基于政策的向这个环境动态分配虚拟机的能力。这种能力通常称作“沙箱”。沙箱是隔离运行的应用程序的一种安全机制。沙箱经常用来执行没有经过测试的代码或者没有经过验证的第三方、供应商或用户的应用程序。这种方法通过阻止应用程序向沙箱外部写数据的方法来保证应用程序的安全,阻止进入系统的病毒和其它恶意活动进行破坏。 保持所有相关活动的审计记录也是非常重要的。一个有关正在运行的情况的漫游快照能够让管理员回去进行验证、优化和监视用户活动, 并且保持一个准确的快照。通过运行在同一个沙箱中的与遵守法规有关的应用程序,与其它更普通的应用程序隔离开,企业能够减少数据泄漏的风险。这允许企业保持一个适当的安全态势并且根据传统的数据分类按照政策隔离虚拟机。 为了减少虚拟机蔓延,企业应该利用一些时间培训管理员有关虚拟基础设施开发、管理和安全的知识。他们要求明确地理解虚拟化技术和虚拟化技术与传统的IT基础设施的区别。IT人员必须有正确的工具进行有效的管理。但是,IT人员还需要进行培训以正确地管理这个新的基础设施。 5、解除服务器虚拟化安全隐患之安全改进 机构能够继续改善他们的安全态势。下面是一些额外的建议: ·减少服务器关机时间。虚拟机能够在完全运行的时候进行备份,因此要确认你的系统在继续运行以保证实时备份。如果一个系统发生故障并且管理员执行了实时备份或定时快照,系统会很快恢复。如果恢复是必要的,那么,退回重来就像提取最新的快照一样简单。 ·改善IT效率。企业利用一个批准的黄金镜像能够实现增强的安全性和管理性。这个黄金镜像为一个桌面提供各种存储在防火墙后面的用户资料。这样做企业能够显著改善生产率,帮助改善IT运营。这种做法就是保证每一个使用的虚拟机都是根据经过批准的黄金镜像制作的,无论这些虚拟机用于开发、测试或者生产都是如此。 ·提高灵活性。为了向一切都是服务的模式的过渡,企业能够定义和应用合适的数据分类和分离。这还能够使企业更轻松和更自信地恰当地选择专有的和公共的云计算解决方案。这是因为虚拟化能够参考SOA让实施更方便地在云计算环境中管理和部署。 随着虚拟化继续推动数据中心的发展,采用超越物理环境的最佳安全做法、政策和解决方案并且像对待物理环境一样警惕地对待虚拟环境是非常重要的。理解你的企业的安全风险状况,应用适当水平的安全措施能够让你的企业从虚拟解决方案中获得巨大的好处,同时为未来的数据中心技术创新创造一个舞台。 以上五大服务器虚拟化安全优化策略,是完善服务器虚拟化的关键所在。朗思通普做为HP服务器铂金代理商,专业代理惠普服务器、惠普存储等商用产品与配件,提供HP服务器虚拟化配置、安装、优化等一站式解决方案。
0条评论