虛擬化技術應用方案及在金融業的應用探討

王進++談宏偉

摘 要：虛擬化是一個抽象概念，指計算元件在虛擬的基礎上而不是真實的基礎上運行，它將物理硬件與操作系統分開，從而提供更高的資源利用率和靈活性。中國金融業信息化“十二五”發展規劃提出了推廣綠色信息技術，建設“低碳”金融的重要任務，商業銀行要實現這項任務，必須借助先進的虛擬化技術。該文根據金融機構應用場景來討論如何應用虛擬化技術解決傳統IT架構帶來的弊端，并探討了虛擬化技術應用存在的安全風險和防范策略。

關鍵詞：虛擬化 金融業 安全風險 應用方案

中圖分類號：TP391 文獻標識碼：A 文章編號：1672-3791（2017）01（b）-0013-02

1 虛擬化技術應用方案

傳統 IT 架構應用虛擬技術的整體方案，根據應用領域的不同分為以下4層。

1.1 存儲虛擬層

在這一層中應用存儲虛擬化技術將傳統存儲層中的存儲設備抽象成虛擬文件系統，實現服務器對存儲設備的無關性訪問，主要技術有RAID、SAN和NAS。RAID和SAN是將磁盤和磁帶組成存儲陣列，在存儲陣列上劃分邏輯卷，以虛擬硬盤形式供服務器訪問，兩者的區別在于RAID是基于主機的形式，存儲陣列是附屬服務器的設備，而SAN是基于網絡的形式，存儲陣列是通過專有的存儲網絡（FC，光纖通道）連接服務器。NAS同樣是基于網絡的形式，服務器訪問的是存儲陣列上已經建立好的虛擬文件系統。對存儲層進行虛擬化有效地解決了傳統IT架構中因存儲設備復雜面管理難的問題。

1.2 服務器虛擬層

這層虛擬化可以實現服務器整合、災難恢復功能，能搭建異構平臺系統研發和測試平臺。服務器整合將多個不同物理服務器上的信息轉移到不同的虛擬服務器上，然后將這些虛擬服務器同時運行在一臺單獨的物理服務器上，減少了運行多臺物理服務器的硬件和運營成本。

災難恢復是使用虛擬化技術（如VMontion）提供備份/恢復和負載動態遷移的功能，實現幾乎零宕機的實時遷移，保障業務連續性，將由系統故障等災難性事件帶來的威脅降低到最小。同時，虛擬化服務器可以被靈活地激活、重啟，能在限定的時間內創建重要服務器，也實現了經濟高效且具有更高管理性能的災難恢復解決方案。研發和測試平臺就是使用虛擬化技術在一臺物理服務器為研發和測試人員提供大量虛擬的服務器，提供多個操作系統環境，降低研發和測試的成本。另外，快速的服務器備份和恢復、開通和重裝為研發和測試人員提供了方便快捷的測試環境。

1.3 網絡虛擬層

網絡虛擬層使用VLAN技術將局域網劃分成相互隔離的邏輯子網，使用VPN技術通過廣域網將遠程的計算機接入內部網，形成一個虛擬的私有網絡，這樣有效地保障了網絡的安全性，網絡中傳輸的數據的保密性也得到了保障。

1.4 桌面虛擬層

桌面虛擬層將原來傳統IT架構中由PC提供用戶桌面的流程改成桌面虛擬化技術向用戶提供虛擬桌面，在服務器虛擬層提供大量虛擬計算機，這些虛擬計算機安裝不同的操作系統和不同的應用軟件，通過網絡以遠程桌面的形式呈現給用戶。桌面虛擬化有效地解決了因PC數量多帶來的維護困難和因PC保存數據帶來的數據安全短板等問題。

2 虛擬化技術在金融業的應用

金融業的IT基礎構架是十分龐大和復雜的，既有占地數萬平方米的大型數據中心和災備中心，也有只有幾臺個人電腦的小型辦事處。下面將根據金融機構應用場景來討論如何應用虛擬化技術解決傳統IT架構帶來的弊端。

2.1 支行柜臺、營業部和小型分理處

這類機構中PC的運維和管理、數據安全、網絡接入安全一直是重點管理的對象。對于PC的運維和管理難、數據安全和網絡接入安全無法保障的問題，可以使用桌面虛擬化和網絡虛擬化解決。桌面虛擬化和網絡虛擬化技術使得這類機構不再需要配備 PC，所有業務都通過VPN以遠程桌面的方式接入上級機構的服務器完成，業務數據同時保存在遠程的服務器上。

2.2 分支機構和運營中心

分支機構和運營中心一般擁有大量的桌面系統，會有自己的機房用于部署本地的基礎和應用服務器，同時會配備少量的 IT 支持人員。在這類機構中為各部門業務人員配備了大量的PC，大量的軟件部署加大了軟件更新、補丁和許可證管理的難度，大量的硬件也為資產管理帶來難題，這讓IT人員運維和管理的工作量很大。在這類機構中，可以同時應用服務器虛擬化、桌面虛擬化、網絡虛擬化解決存在的問題。桌面虛擬化提供了統一管理的桌面和桌面環境，能夠減少PC的數量，可以有效解決PC運維管理上存在的難題。服務器虛擬化實現多臺應用服務器整合，可以很好地提高利用率并降低成本，整合后的服務器還能實現熱備和動態遷移，同時，服務器虛擬化還提供了與硬件無關的虛擬機環境，能部署運行老應用系統。網絡虛擬化讓這類機構可以分部門、分業務使用VLAN劃分虛擬子網，可以使用VPN實現機構間的連接，從而很好地保障了網絡和信息安全。

2.3 數據中心

金融業數據中心和災備中心一般有占地數千平方米的機房，其中配備了大量服務器，部署了大量的應用系統，使用了海量的存儲設備，同時也配備了大量的 IT支持和開發人員。數據中心里大量采用基于光纖的外置存儲和磁帶庫的方式存儲數據，但這些存儲設備由不同廠家生產，型號性能不一，這給使用和管理帶來了復雜性。可以通過在SAN中添加虛擬化引擎實現基于網絡的存儲虛擬化，有效地降低管理的復雜度，虛擬出來的存儲資源與存儲硬件設備的相關性很低，為計算機提供的是統一的資源格式和類型，服務器不需要考慮存儲設備的兼容性。各種存儲設備硬件的差別也可以不用關心，只要是虛擬化存儲系統所支持的硬件設備就可以使用。

3 虛擬化技術應用存在安全風險

3.1 主機容災風險

使用虛擬技術進行服務器整合后，在節省資源的同時，也面臨一個嚴重的問題，即一旦服務器出現硬件故障，其上運行的多個系統都將停止運行。虛擬服務器規劃不科學，虛擬機的濫用問題會嚴重影響物理主機的CPU、內存和網絡資源，使服務器負載過重，從而引起虛擬應用的中斷或物理主機的崩潰。虛擬化的服務器合并程度越高，此類風險越大。

3.2 網絡安全風險

進行虛擬化后，原有網絡架構的網絡邊界消失，將服務器安全和網絡安全進行部分融合，如將原來部署在資金子網的和辦公子網的服務器整合在一起，可能使不能訪問資金子網辦公的用戶能訪問資金子網。傳統模式下安全防護產品可以探測到每臺服務器通過網絡傳輸的數據，從而發現服務器受到的攻擊，在虛擬化后，虛擬機間的網絡流量不被外部網絡感知，安全防護產品無法探測到異常行為，當一臺虛擬機因受到攻擊后發生問題時，安全威脅就會通過網絡蔓延至其他的虛擬服務器。

4 虛擬化技術風險防范策略研究

4.1 部署基于端點的安全防護

網絡架構改變引起的問題，在管理中最簡單也最有效的方式，就是在虛擬后的每個端點實施安全防護措施。如使用VMware vShield在VMM層檢測每臺虛擬機的數據和行為，提高敏感數據的可見性和控制力。vShield還可以創建邏輯隔離，通過隔離虛擬機，提高管理層功能的有效性與廣泛性，降低虛擬機的溢出，更好地阻止出現不合理的虛擬或物理設定。

4.2 科學規劃虛擬設備負載

虛擬服務器負載過重，要通過不間斷地監視服務器利用率來進行容量大小、負載能力的分析，根據使用的量得出高峰期運營的時間與資源需求來創建合理使用的工作平臺。

主機容災風險方面，可以引入虛擬服務器間的雙機熱備和負載動遷移，保障業務的容災能力，可使用專門的容錯服務器硬件，軟件實現方式有VMontion、EverRun FT提供的解決方案。

4.3 加強配置管理

合并后的基礎設施需要更嚴格的控制和操作實踐來防止非預期停運現象，需要加強配置管理，要確認系統、硬件或者軟件的配置，管理配置變化，并在整個產品生命周期中記錄配置。

5 虛擬化技術應用性能優化

虛擬化帶來了很多好處，整個IT架構基礎設施的利用將大大提高。虛擬機大量使用和增加帶來的是存儲空間使用的直線增加；桌面虛擬機的使用使得原來存放在客戶機磁盤上的文件現在也以磁盤映像的形式出現在存儲陣列上，數據量大增，同樣給網絡帶寬帶來巨大的壓力。從存儲和網絡入手，能很好地優化虛擬化技術應用性能。

5.1 重復數據刪除

虛擬機使用磁盤鏡像作為存儲介質，而同一種操作系統的系統文件幾乎都相同，虛擬機使用統一的虛擬硬件，甚至驅動程序都一模一樣，大量的虛擬機都需要相同的OS鏡像，造成了大量的冗余數據。通過重復數據刪除，可以消除大量重復的虛擬機鏡像中的數據塊，能大幅減少存儲數據量，節省數量可觀的存儲空間，從而減小了存儲系統容量以及網絡帶寬的壓力。

5.2 廣域網加速

桌面虛擬機使用戶都是通過網絡以遠程桌面登錄虛擬機，大量的網絡訪問給網絡帶來的壓力很大，網絡帶寬不夠使呈現給用戶的桌面視覺效果不佳，會降低用戶體驗。同時，虛擬化后，大量的服務器集中在數據中心，也會加大網絡流量。通過廣域網加速等基礎設備的建設，加大網絡吞吐量，提供更佳的用戶體驗。

參考文獻

[1] 崔倩楠.基于云計算環境的虛擬化資源平臺研究與評價[D].北京郵電大學，2011.

[2] 蔚趙春，凌鴻.商業銀行虛擬化技術應用研究[J].金融理論與實踐，2012（8）：25-29.