服務器虛擬化管理問題與對策

摘要：服務器作為IT應用的核心平臺，如何在部署新應用服務的同時，又可以在縮減成本和提高效率上尋求一種平衡，服務器虛擬化技術為這一目標找到一個理想的解決方案。作為IT管理人員，對服務器虛擬化管理需要進一步深入了解。

關鍵詞：虛擬化 服務器虛擬化 風險 管理

虛擬化是指計算機元件在虛擬的基礎上而不是真實的基礎上運行。虛擬化技術可以擴大硬件的容量，簡化軟件的重新配置過程。CPU的虛擬化技術可以單CPU模擬多CPU并行，允許一個平臺同時運行多個操作系統，并且應用程序都可以在相互獨立的空間內運行而互不影響，從而顯著提高計算機的工作效率。

1 服務器虛擬化技術存在的問題

1.1 服務器虛擬化造成網絡架構改變會引起服務器使用的安全風險

對于用戶來說，要想充分了解各類服務器虛擬架構則是相當困難的，因為用戶不僅要知道虛擬的策略是什么，還要知道什么才是最適合自己環境的架構，哪些架構能夠適應存儲和網絡資源的虛擬需求以及這些架構會在多大程度上將自己與廠商的產品捆綁在一起。服務器虛擬化過程中變動最大的一環就是網絡架構的改變，網絡架構發生變化相應地會產生特殊的安全問題，采用虛擬化技術后，所有虛擬機會集中連接到同一臺虛擬交換機與外部網絡通訊，使得原來可以通過防火墻采取的防護措施就會失敗，如果有一臺虛擬機發生問題，安全問題就會通過網絡擴散到其他的虛擬機。

1.2 服務器虛擬化可能出現導致負載過重或系統服務器崩潰

服務器虛擬化后，每一臺服務器都將支持若干個重要的資源密集型應用程序，這些應用程序將會爭奪同一硬件服務器的帶寬、內存、處理器和存儲等資源，在這個過程中這些關鍵應用程序可能會遇到網絡瓶頸和性能問題，并且可能會引起服務器負載過重。多個系統整合在一臺服務器中，在節省資源的同時，也面臨一個嚴重的問題，即一旦服務器出現硬件故障，其上運行的多個系統都將停止運行。虛擬化的服務器合并程度越高，此風險越大。

1.3 虛擬機溢出將導致虛擬機失去安全系統的保護

管理程序設計過程中的安全隱患會傳染同臺物理主機上的虛擬機，這種現象被稱作“虛擬機溢出”。當虛擬機從所在管理程序的獨立環境中脫離出來時，黑客就可能進入虛擬機管理程序，從而成功避開虛擬機安全保護系統，對虛擬機產生危害。虛擬化并不是一個百分之百兼容的解決方案，它并不能和所有的應用程序或者所有硬件協調工作，大多數虛擬機都是模擬一個基本的pc環境，而不是讓應用程序直接訪問主機的硬件資源。

1.4 虛擬機遷移以及虛擬機間的通信將會大大增加服務器遭受滲透攻擊的機會

同一臺物理服務器上的多個虛擬機可以相互通訊，在通迅過程中會產生安全隱患，因為外部的網絡安全工具從防火墻到入侵檢測和防護系統再到異常行為監測器，都無法監測到物理服務器內部的流量。系統級的虛擬化技術有可能讓用戶在完全不知情的情況下被黑客入侵。有黑客在支持“Pacifica”虛擬化技術的AMD 處理系統上成功地演示了這種攻擊的可能性，并且被攻入的系統中所安裝的安全工具完全沒有察覺該攻擊。

2 服務器虛擬化管理措施

2.1 網絡架構改變后可能引起安全問題的對策

網絡架構改變引起的問題，在管理中最簡單也即是最有效的方式，就是安裝一些必要的防病毒軟件，在考慮應用程序與殺毒軟件的兼容性問題的前提下，在每一臺虛擬機器上都安裝防毒軟件或者安裝其他種類的殺毒軟件，這種方式簡單有效，并且在實際管理工作中得到廣泛應用。

2.2 避免服務器過載、崩潰引起關鍵應用中斷問題的對策

過載與崩潰造成的管理問題，通常需要仔細分析原因，一般通過不間斷的監視服務器利用率來進行容量大小分析，分析后可以根據使用的量得出高峰期運營的時間與資源需求來創建合理使用的工作平臺，創建一個穩定的工作負荷量。市場上容錯服務器硬件價格較貴，造價成本偏高，如果使用單位經濟狀況好，可以使用這個軟件來輔助管理工作，可以很好的起到管理作用，這類軟件將容錯服務器中的思想通過軟件的方式得以實現，如EverRun FT軟件，可以將該軟件安裝在兩個地理位置不同的服務器上，同時在兩個x86服務器上運行，并且可以創建一個虛擬的Windows環境，如果其中一個服務器宕機，就不會對應用程序產生任何影響。

2.3 阻止虛擬機溢出引起安全問題的對策

如果想避免出現虛擬機因為溢出造成的風險，在管理中可以考慮防火墻設置，防火墻在應用程序中可以起到阻止溢出風險，通過隔離虛擬機我們可以實行脫機操作，降低風險，以保存虛擬環境，此方法應該比較普遍，在可操作性方面具有優勢。例如3.4防止虛擬機遷移以及虛擬機間的通信帶來的安全風險，我們通常是提高虛擬環境安全性來降低風險，例如使用VMsafe項目中提供的在hypervisor層和監測層運行的安全API監測虛擬環境中的所有操作項目，并且對安全措施進行嚴格執行。VShield則允許企業在VMware環境中創建邏輯隔離，可以很好的減少并消滅隔離問題，同時提高管理層功能有效性與廣泛性，這樣能更好的降低虛擬機的溢出，更好的阻止出現不符合遵從性的虛擬或物理設定。

2.4 建立一套虛擬機的管理制度

中國有句俗語叫“無規矩不成方圓”，強調了“規矩”的重要性。在IT領域，“規矩”同樣重要，那就是我們常說的標準。目前，虛擬化技術的標準化工作還處在一個非常初期的階段。在日常管理中還要加強對新開虛擬機的審核，做好虛擬機的備案工作，避免虛擬機的盲目擴張，及時關閉停止使用的虛擬服務器。如果推出了虛擬機，但是忘記了并且失去了對這些虛擬服務器的跟蹤，無疑會造成虛擬機的蔓延和資源浪費。還有一種可能是創建了可訪問敏感數據的服務器而沒有人監視，由此產生安全問題。因此建立一套虛擬機的管理制度是行之有效的方法。

3 服務器虛擬化管理工具備用

為了在提高虛擬化管理水平的同時實現高管理性和高可用性，需要提供一系列服務器虛擬化解決方案管理工具套件：

分區和虛擬機管理工具：提供簡化創立新分區和虛擬機的工具；

虛擬化和配置工具：在每個分區產品中提供傳統的配置和監控能力。把這些功能全部集成到一個公共的接口中，從而更容易分配數據中心中每個服務器上每個分區內運行的工作負載；

工作負載管理軟件：提供完全自動和基于目標的資源調度能力，進一步提高跨數據中心中多個系統和多操作系統的工作負載管理及優化調度能力；

容量規劃工具：由于服務器虛擬化有獨特的靈活性，容量規劃工具必須兼容服務器上被監控的靈活技術的類型；

高可用性和容災軟件：高可用性和高容災軟件產品與服務器虛擬化解決方案管理套件集成，使系統更加容易了解工作負載的位置并移動他們，已提高資源使用效率和故障響應速度。

總之，隨著虛擬化繼續推動數據中心的發展，虛擬化在IT世界中有望變得更加重要，采用超越物理環境的最佳安全做法、政策和解決方案，并且像對待物理環境一樣謹慎地對待虛擬環境是非常重要的。理解你的企業的安全風險狀況，應用適當水平的安全措施能夠讓你的企業從虛擬解決方案中獲得巨大的好處，同時為未來的數據中心的技術創新提供新的舞臺。

參考文獻：

[1]劉榮發.服務器虛擬化技術[J].圖書館數字化.

[2]服務器中的應用[J].現代圖書情報技術，2007(4).

[3]泮春蓮李梅.服務器的虛擬化走入應用市場.[J].計算機界，2006.

[4]馬琳，羅鐵堅，宋進殼等.一種基于Web的虛擬機[J].計算機工程，2005（5）.

[5]戰巧玲.基于網絡的遠程虛擬實驗室構建[J].IT技術論壇，2008（4）.