袁龍超

摘要：通過虛擬化技術(shù)構(gòu)建報(bào)業(yè)集團(tuán)信息技術(shù)服務(wù)平臺(tái)，使各信息系統(tǒng)統(tǒng)一部署和運(yùn)行，做到系統(tǒng)間相互獨(dú)立、共享硬件資源，靈活、動(dòng)態(tài)地滿足業(yè)務(wù)發(fā)展的需要。本文對(duì)此平臺(tái)構(gòu)建和遷移過程中遇到的幾個(gè)關(guān)鍵性問題進(jìn)行分析并提出相應(yīng)對(duì)策。

Abstract： The information technology service platform of the newspaper group is constructed through virtualization technology， so that all information systems can be deployed and operated in a unified manner， the systems are independent and can share hardware resources， and meet the needs of business development flexibly and dynamically. This paper analyzes several key problems encountered in the process of platform construction and migration and proposes corresponding countermeasures.

關(guān)鍵詞：數(shù)據(jù)中心;服務(wù)器虛擬化與遷移;存儲(chǔ)虛擬化;網(wǎng)絡(luò)安全與管理

Key words： data center;server virtualization and migration;storage virtualization;network security and management

中圖分類號(hào)：TP309.2? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 文章編號(hào)：1006-4311（2018）36-0271-02

0? 引言

隨著媒體融合的深度發(fā)展，信息系統(tǒng)規(guī)?；?jīng)營勢(shì)在必行;尤其隨著集團(tuán)業(yè)務(wù)的高速發(fā)展，數(shù)據(jù)中心對(duì)各類業(yè)務(wù)系統(tǒng)的重要性愈加明顯，如OA、財(cái)務(wù)、廣告、新聞采編和ERP等系統(tǒng)。過去各項(xiàng)業(yè)務(wù)系統(tǒng)經(jīng)過不斷地更新?lián)Q代，每個(gè)系統(tǒng)都一個(gè)獨(dú)有的物理服務(wù)器，然而由于傳統(tǒng)數(shù)據(jù)中心建設(shè)模式是縱向結(jié)構(gòu)，服務(wù)器之間無法復(fù)用各類資源，只能通過堆加服務(wù)器來滿足業(yè)務(wù)要求，如此一來，由于服務(wù)器資源過多導(dǎo)致的問題越來越多，包括硬件利用率低下、運(yùn)行成本高、管理復(fù)雜等，久而久之，數(shù)據(jù)中心便無法在節(jié)約成本和快速響應(yīng)兩者之間掌握平衡。

采用虛擬化技術(shù)的數(shù)據(jù)中心能根據(jù)不同業(yè)務(wù)的資源消耗，自動(dòng)分配硬件資源，最大限度滿足集團(tuán)數(shù)據(jù)中心的高效率、高性價(jià)比和自動(dòng)化管理等要求。前提是審慎規(guī)劃虛擬化遷移方案，以避免引起服務(wù)中斷或數(shù)據(jù)丟失等各種復(fù)雜情況，否則將對(duì)集團(tuán)的各項(xiàng)業(yè)務(wù)造成不利影響。所以在設(shè)計(jì)虛擬化規(guī)劃和遷移方案時(shí)認(rèn)真考慮下列建議，確保遷移項(xiàng)目平穩(wěn)順利地進(jìn)行。

1? 穩(wěn)妥無縫的遷移舊系統(tǒng)

對(duì)于報(bào)業(yè)廣告、發(fā)行、財(cái)務(wù)等系統(tǒng)已使用了8-9年，雖功能目前基本滿足現(xiàn)實(shí)需求。但面臨著兩個(gè)難題：①系統(tǒng)安裝程序和文檔因時(shí)間太久資料不全;②服務(wù)器硬件因連續(xù)運(yùn)行多年面臨著隨時(shí)掛機(jī)的可能。如何用虛擬化遷移這些系統(tǒng)呢？

p2v能把現(xiàn)有運(yùn)行在物理服務(wù)器上的業(yè)務(wù)系統(tǒng)在線遷移到虛擬化平臺(tái)上，遷移的內(nèi)容包括操作系統(tǒng)、系統(tǒng)配置及驅(qū)動(dòng)、業(yè)務(wù)應(yīng)用及數(shù)據(jù)庫等全部的物理服務(wù)器的信息，自動(dòng)與現(xiàn)有的服務(wù)器進(jìn)行數(shù)據(jù)同步。在實(shí)際遷移中，為提高遷移的成功率，建議：①在遷移之前斷開網(wǎng)絡(luò)，用直通網(wǎng)線將要遷移的“源”服務(wù)器與“中間服務(wù)器”連接在一起。②暫?！霸础狈?wù)器的SQL Server服務(wù)、殺毒軟件，暫時(shí)關(guān)閉“源”與“中間服務(wù)器”的防火墻。③使用chkdsk命令，檢查“源”服務(wù)器每個(gè)分區(qū)是否錯(cuò)誤，并進(jìn)行修復(fù)。④移除“源”服務(wù)器上有一些與關(guān)鍵服務(wù)無關(guān)的數(shù)據(jù)，如安裝程序、鏡像等。⑤在轉(zhuǎn)換虛擬機(jī)后，需要對(duì)其進(jìn)行配置后優(yōu)化，并在目標(biāo)虛擬環(huán)境啟動(dòng)。⑥把源服務(wù)器下線，將虛擬后服務(wù)器的機(jī)器名、IP地址、MAC地址修改成源服務(wù)器的網(wǎng)絡(luò)參數(shù)并重啟服務(wù)器。⑦驗(yàn)證虛擬化的服務(wù)器各項(xiàng)服務(wù)是否正常。

2? 整體統(tǒng)一規(guī)劃存儲(chǔ)方案及規(guī)范存儲(chǔ)名稱

存儲(chǔ)是各種虛擬化應(yīng)用環(huán)境的關(guān)鍵元素，所以存儲(chǔ)設(shè)計(jì)一直都很重要，隨著虛擬化應(yīng)用規(guī)模與重要性的不斷提高，如需要支持更大工作負(fù)載、支持關(guān)鍵應(yīng)用、創(chuàng)建更大型集群時(shí)它的作用變得越來越重要，這主要體現(xiàn)一下幾個(gè)方面。虛擬化的很多高級(jí)特性都依賴于共享存儲(chǔ)，如HA、DRS、FT等都必須依賴于共享存儲(chǔ)。如果說服務(wù)器層面的設(shè)計(jì)決策可能影響虛擬化的質(zhì)量，而網(wǎng)絡(luò)與存儲(chǔ)的設(shè)計(jì)決策決定著整套虛擬化的成敗。只有做出合理選擇，才能創(chuàng)建一個(gè)高效的共享存儲(chǔ)設(shè)計(jì)，既能降低虛擬化環(huán)境的建設(shè)成本，又能提高效率、性能、可用性和靈活性。

在管理虛擬化數(shù)據(jù)中心時(shí)，為了后期的管理與使用方便，建議對(duì)數(shù)據(jù)中心的存儲(chǔ)進(jìn)行統(tǒng)一規(guī)范。命名的方式有多種，可以根據(jù)管理員習(xí)慣的統(tǒng)一規(guī)劃進(jìn)行命名，還要將本地存儲(chǔ)和共享儲(chǔ)分開命名。

3? 合理規(guī)劃虛擬機(jī)，防止泛濫

及時(shí)關(guān)閉注銷不需要的測(cè)試機(jī);虛擬化技術(shù)的出現(xiàn)有效降低了部署服務(wù)器的成本技術(shù)門檻，過去需要多個(gè)步驟的操作才可完成，現(xiàn)在只需點(diǎn)擊幾下鼠標(biāo)即可。然而同時(shí)其也面臨一些挑戰(zhàn)，比如需要?jiǎng)?chuàng)建更多的虛擬機(jī)，且這些虛擬機(jī)雖非必要卻需要管理，每在一個(gè)虛擬機(jī)在進(jìn)行過一項(xiàng)應(yīng)用測(cè)試，都必須嚴(yán)格依照相關(guān)規(guī)范標(biāo)準(zhǔn)操作，否則一旦忘記撤銷等，將會(huì)面臨系統(tǒng)出現(xiàn)網(wǎng)絡(luò)漏洞的問題，如此勢(shì)必會(huì)增加其面臨的安全風(fēng)險(xiǎn)。且某臺(tái)虛擬機(jī)出現(xiàn)問題后，還可能會(huì)影響到其它的虛擬機(jī)，進(jìn)而對(duì)整個(gè)網(wǎng)絡(luò)環(huán)境安全造成嚴(yán)重威脅。因此需要通過制定嚴(yán)格的分級(jí)管理平臺(tái)，角色定義。管理員可以擁有所有資源控制能力，將虛擬機(jī)的創(chuàng)建進(jìn)行分級(jí)化管理，這樣可以有效避免范圍內(nèi)出現(xiàn)的不安全性向其他區(qū)域擴(kuò)散。同時(shí)需要制定報(bào)業(yè)集團(tuán)服務(wù)器管理制度，禁止隨意創(chuàng)建模板或新虛擬機(jī)等操作;明確各個(gè)虛擬主機(jī)的責(zé)任人和巡檢制度。

4? 針對(duì)虛擬化平臺(tái)建立立體的網(wǎng)絡(luò)安全防護(hù)措施

傳統(tǒng)的一些安全風(fēng)險(xiǎn)并沒有因?yàn)樘摂M化的應(yīng)用而降低，而服務(wù)器虛擬化的產(chǎn)生，帶來了新的網(wǎng)絡(luò)環(huán)境：一臺(tái)物理服務(wù)器之上構(gòu)建了多臺(tái)虛擬機(jī)。新產(chǎn)生的網(wǎng)絡(luò)環(huán)境及新產(chǎn)生的虛擬機(jī)不受原安全防護(hù)系統(tǒng)的保護(hù)。服務(wù)器虛擬化的出現(xiàn)，需要進(jìn)一步擴(kuò)大了安全防護(hù)的范圍。

制度層面：①加強(qiáng)員工網(wǎng)絡(luò)安全培訓(xùn)，包括法律、集團(tuán)網(wǎng)絡(luò)安全規(guī)則制度、網(wǎng)絡(luò)安全基本知識(shí)、新技能等，提高員工網(wǎng)絡(luò)安全的警惕性和自覺性;②加強(qiáng)數(shù)據(jù)中心安全管理，嚴(yán)格執(zhí)行集團(tuán)信息安全防護(hù)制度;③定期開展虛擬化平臺(tái)系統(tǒng)安全加固，保證系統(tǒng)的安全性。技術(shù)層面：①針對(duì)虛擬化管理平臺(tái)組建專用物理管理網(wǎng)絡(luò)，且僅允許從專用網(wǎng)絡(luò)訪問虛擬化數(shù)據(jù)管理中心;②確保虛擬化主機(jī)Shell 和SSH處于禁用狀態(tài);對(duì)主機(jī)進(jìn)行管理訪問時(shí)無需使用的所有端口均處于關(guān)閉狀態(tài);③啟用虛擬機(jī)加密功能，加密不僅能保護(hù)虛擬機(jī)，而且還能保護(hù)虛擬機(jī)磁盤和其他文件;④在部署虛擬機(jī)時(shí)要按照基線模板以及安全漏洞掃描模板定期對(duì)虛擬機(jī)進(jìn)行掃描;⑤進(jìn)一步保證虛擬機(jī)安全，主要包括：虛擬機(jī)常規(guī)保護(hù)、使用模板來部署虛擬機(jī)、盡量少部署虛擬機(jī)控制臺(tái)、防止虛擬機(jī)取代資源。

虛擬化平臺(tái)安全性是一個(gè)系統(tǒng)性工程，要通過管理和技術(shù)雙管齊下才能保證虛擬化平臺(tái)安全。借用美國國家標(biāo)準(zhǔn)與技術(shù)研究組織的一句話，“一個(gè)有安全威脅的虛擬機(jī)往往會(huì)影響整個(gè)虛擬化架構(gòu)”。

5? 做好虛擬化平臺(tái)的防病毒措施

針對(duì)虛擬化系統(tǒng)，傳統(tǒng)方案是把防病毒軟件安裝在虛擬機(jī)上來保護(hù)虛擬化平臺(tái)的安全。但這樣的方案并不適用于虛擬化新型平臺(tái)，原因如下：①“防病毒風(fēng)暴”問題。直接部署在操作系統(tǒng)上的殺毒軟件在執(zhí)行文件反病毒掃描時(shí)，計(jì)算機(jī)的內(nèi)存和CPU消耗都會(huì)升高不少，如果大量虛擬機(jī)同時(shí)執(zhí)行文件反病毒掃描任務(wù)，會(huì)導(dǎo)致資源競(jìng)爭(zhēng)。②存在“防護(hù)間隙”問題。虛擬機(jī)一旦關(guān)機(jī)或暫停，傳統(tǒng)的防病毒軟件不再起任何作用，病毒庫更新延遲，當(dāng)虛擬機(jī)開始加載到啟動(dòng)后防病毒軟件啟動(dòng)這一段時(shí)間，虛擬機(jī)實(shí)際上處在一個(gè)無保護(hù)的狀態(tài)，存在保護(hù)間斷的問題。③管理效率低。傳統(tǒng)模式下要為每一臺(tái)虛擬機(jī)上安裝反病毒程序和病毒庫，也會(huì)占用大量的磁盤空間，降低了虛擬化的密度，同時(shí)在管理上也不方便。

目前針對(duì)虛擬化平臺(tái)的防病毒主要有無代理或輕代理的反病毒技術(shù)。無代理反病毒就是直接在虛擬化管理平臺(tái)中部署vshield后，即可在ESXI主機(jī)中開啟endpoint反病毒插件，無需為每個(gè)虛擬機(jī)安裝殺毒客戶端。虛擬化的無代理反病毒的優(yōu)勢(shì)很明顯：①解決了防病毒風(fēng)暴問題，當(dāng)大批量虛擬機(jī)需要防病毒掃描時(shí)，主要掃描負(fù)載壓力集中在SVM虛擬機(jī)上，顯著降低各虛擬機(jī)的資源負(fù)擔(dān);②無代理反病毒運(yùn)維方式更為簡單，無需在每個(gè)虛擬機(jī)上安裝客戶端程序。SVM上提供集中式的病毒庫引擎，供所有虛擬機(jī)使用;③支持虛擬機(jī)vmotion技術(shù)，虛擬機(jī)發(fā)生漂移，保護(hù)也隨之跟進(jìn)。

6? 定期對(duì)存儲(chǔ)行進(jìn)行空間手動(dòng)回收

在虛擬化平臺(tái)上，應(yīng)用中大多數(shù)采用精簡置備的模式進(jìn)行分配空間，這種方式只使用該磁盤最初所需要的存儲(chǔ)空間。如果以后需要更多空間，則它可以增長到為其分配的最大容量。如：在創(chuàng)建windows2008虛機(jī)的時(shí)候，指定的是80G的空間，但是由于使用了thin的方式，可能實(shí)際上只分配了20GB的空間。但后來隨著windows2008文件越來越多，雖然我們?cè)賱h了10GB的空間，以為在ESXi存儲(chǔ)上這10GB空間被釋放了，其實(shí)不是的，這10GB空間還是真正劃分給了windows2008虛機(jī)。所以，我們會(huì)發(fā)現(xiàn)雖然在創(chuàng)建虛機(jī)的時(shí)候使用thin的方式，但到后來后端存儲(chǔ)空間還是消耗的很快。頻繁將虛擬機(jī)在存儲(chǔ)上來回遷移也會(huì)造成類似的結(jié)果。

vSphere 5.5 &6.0及之前的版本雖然具有空間回收操作，但還是手動(dòng)回收。vSphere 6.5開始引入了新的文件系統(tǒng)VMFS6，支持自動(dòng)unmap。對(duì)于vSphere6.0以前的版本，我們可以通過定期手動(dòng)執(zhí)行空間回收命令了。通過VC控制中心打開ESXI主機(jī)的SSH功能，用超級(jí)終端登錄ESXI主機(jī)，運(yùn)行 esxcli storage vmfs unmap-l 卷名g 啟動(dòng)存儲(chǔ)的手動(dòng)空間回收功能。

報(bào)業(yè)數(shù)據(jù)中心通過服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)整體虛擬化將各種信息資源進(jìn)行整合和優(yōu)化，實(shí)現(xiàn)近乎零宕機(jī)的硬件維護(hù)，減少數(shù)據(jù)安全隱患，確保系統(tǒng)的高可用性和硬件的高擴(kuò)展性，提高運(yùn)維效率。但同時(shí)也帶來了新的信息安全威脅。只有認(rèn)真分析虛擬化平臺(tái)帶來的安全威脅，針對(duì)新的安全威脅進(jìn)行安全防護(hù)，才能保證我們整個(gè)虛擬化環(huán)境的安全。本文梳理了數(shù)據(jù)中心虛擬化的注意事項(xiàng)，分析了虛擬化平臺(tái)帶來的新的安全威脅，通過管理和技術(shù)結(jié)合，科學(xué)的解決了虛擬化平臺(tái)帶來的安全隱患，保障了整個(gè)虛擬化平臺(tái)部署遷移和安全性。

參考文獻(xiàn)：

[1]林龍.虛擬化平臺(tái)的安全風(fēng)險(xiǎn)及其防范策略[J].信息通信，2018-4.

[2]宮月，李超，吳薇.虛擬化安全技術(shù)研究[J].信息網(wǎng)絡(luò)安全，2016-9.

[3]汪來富，金華敏，沈軍.虛擬化安全防護(hù)關(guān)鍵技術(shù)研究[J].電信科學(xué)，2014-12.

[4]梁平.高校圖書館服務(wù)器虛擬化建設(shè)中需要注意的若干細(xì)節(jié)[J].工程技術(shù)，2012-10.

[5]陳鵬.虛擬化數(shù)據(jù)中心安全問題分析[J].通訊世界，2018-3.