服務器虛擬化在綜合信息服務中的應用

◆趙瑞峰 孟 莉

（陜西省軍區 陜西 710061）

服務器虛擬化在綜合信息服務中的應用

◆趙瑞峰 孟 莉

（陜西省軍區 陜西 710061）

為緩解信息化建設中，軟硬件資源不斷增加導致的硬件投入占比大、值勤維護管理難、服務器待機能耗高等問題，本文提出了一種服務器虛擬化在綜合信息服務中的應用方案，具體說明系統硬件設備、虛擬化軟件、虛擬機的實現方法，驗證虛擬化集群的高可用、可擴展、集中管理、資源集約等功能特性，并提出虛擬化系統安全防護應把握的重點環節。通過應用 vSphere對數據中心的虛擬化改造，優化了基礎設施利用效率、提升了值勤維護水平，增強了系統綜合信息服務能力。

服務器虛擬化；綜合信息服務；vSphere；虛擬化系統安全防護

0 引言

當前信息化建設快速發展，越來越多的信息系統投入使用，這些系統在日常管理和業務處理中產生了巨大效能。但由于應用系統對環境要求的差異性，往往一個系統需配備一套硬件設施，這不僅導致硬件投入在系統建設中所占比重過高，而且軟硬件資源的不斷增加也導致值勤維護管理困難，以及專用系統使用頻率低而服務器待機能耗高的問題。虛擬化技術允許在一臺計算機上同時運行多個不同操作系統，從而為不同應用服務提供與硬件無關且彼此隔離的運行環境，避免了“一個系統一套設施”的現象。單主機虛擬化已廣泛應用于軟件測試、模擬練習等場景，被廣大運維人員所熟悉。服務器虛擬化是通過統一管理工具，將系統部署、集中管理、性能監控、故障轉移等融于一體的解決方案，可降低服務軟件與基礎硬件之間的耦合程度，減輕應用部署與維護難度，是提升信息中心運維管理與服務水平的有效途徑。服務器虛擬化也是基礎設施即服務（IaaS）模式云計算的核心技術，是政府及企業實現私有云的主流方案之一。對數據中心進行虛擬化改造能夠優化基礎設施利用效率、提升值勤維護水平，是增強綜合信息服務能力的有益嘗試。

1 系統組成

主流的虛擬化方案有 VMware、思杰 XEN、OpenStack、CloudStack、KVM、微軟 Hyper-V等等，各方案在系統架構、部署規模、維護界面、授權費用方面均各具特色，其中VMware系列具有產品認可度高、應用廣泛、穩定可靠、界面友好等優點。VMware虛擬化產品主要包括WorkStation、vSphere及vCloud，前者主要用于單主機虛擬化，后者是部署IaaS云的解決方案，本文選用vSphere實現虛擬化，實現了對8臺服務器21個虛擬機的高效運維管理。

圖1 系統組成圖

系統主要由硬件設備、虛擬化軟件、虛擬機三部分組成。

（1）硬件設備，包括物理服務器、網絡存儲設備、光交換機、網絡交換機等。現在的服務器普遍支持 CPU虛擬化技術，可利用舊服務器。網絡存儲設備是組建高可用集群的基礎，可選用區域存儲網絡（SAN）產品。根據接口不同，SAN設備分為FC-SAN和IP-SAN兩種，選用FC-SAN時，需配套相應的光交換機。服務器均接入機房原有網絡交換機。

（2）虛擬化軟件，指 VMware vSphere套件，主要包括 ESXi系統、vCenter服務器和管理客戶端。ESXi是一個簡化的Linux系統和其上運行的虛擬監視器（hypervisor），系統代碼經嚴格審核，能夠提供對虛擬化的安全穩定支持。vCenter為虛擬化提供統一管理服務，可獨立安裝于物理或虛擬服務器，或采用VCSA（VMware vCenter Server Appliance)以模板形式實現快速部署。管理客戶端用于登錄ESXi或vCenter完成管理任務，當前主要使用vSphere Web Client瀏覽器模式，vSphere Client客戶端不提供對最新版的支持。

（3）虛擬機，包括系統模板、虛擬服務器、維護終端等。系統模板預裝了操作系統并完成參數配置，用于快速部署同類虛擬機，而不需要從頭安裝。虛擬服務器按需部署應用軟件支持環境，運行各種業務服務程序提供信息服務。維護終端是安裝了維護常用工具和文檔資料的虛擬機，為值勤人員提供遠程維護、測試環境。

2 具體實現

2.1 安裝硬件設備

虛擬系統由8臺物理服務器、1臺網絡存儲設備、1臺光交換機以及相應的網絡交換機組成。物理服務器利用原有的聯想RD450和曙光天闊I620r-H服務器，服務器安裝FC HBA卡連接至Brocade 300光交換機。網絡存儲設備使用VNX5200 DPE光纖存儲磁盤陣列，其主控通道與備用通道也連接至Brocade 300。磁陣共創建四個虛擬存儲卷，分別為1T的重要服務存儲卷、2T的數據庫存儲卷、2T的普通服務存儲卷和2T的數據存儲卷，這些存儲卷均使用RAID 5模式。

2.2 配置虛擬化軟件

虛擬化軟件安裝與配置過程如下：（1）為物理服務器安裝VMware ESXi系統，ESXi提供了一個文本式的菜單界面DCUI來配置管理密碼、網絡地址、主機名等基本參數。（2）按VCSA向導安裝vCenter，指定目標主機、vCenter密碼、嵌入式部署模式、微型大小、數據存儲位置、網絡參數、SSO等信息。（3）安裝瀏覽器插件，使用Web Client登錄vCenter，可集中配置與管理物理主機和虛擬機。（4）創建數據中心，這是機房設施的邏輯集合，為其指定想要的名稱即可。（5）創建集群，集群是具有高可用性及分布式資源調度的設備的集合，集群通常擁有共享的網絡存儲設備。（6）添加主機，指定物理服務器 IP地址、用戶名、密碼即可將ESXi主機加入vCenter實現集中管理。

2.3 部署虛擬機

利用模板功能，可實現同類服務器的快速分發。先創建Windows Server或Linux虛擬服務器，完成系統優化、常用服務和軟件安裝、安全配置等操作，后將系統轉化為模板，即可快速部署虛擬服務器。以模板為基礎，按照重要業務與普通業務分開、合并同類業務的原則部署應用服務。具體部署WWW、DNS、MAIL等公共服務，OA、HR、行政管理等業務服務，WORK1、WORK2等值勤維護終端，共計21臺虛擬機。

3 功能特性

服務器虛擬化與傳統獨立服務器相比，具有了高可用、可擴展、集中管理、資源集約等功能。

3.1 高可用性

高可用性主要體現為故障轉移與負載均衡。故障轉移指單一節點故障不影響集群整體，如斷開ESXi-1網絡連接，虛擬機將自動遷移至ESXi-2運行，保證服務不間斷運行。負載均衡指集群能根據負載動態調整虛擬機，如恢復ESXi-1網絡連接后，集群將自動遷移部分虛擬機至ESXi-1運行。此外，即使常規重啟，虛擬服務器因跳過了主板自檢、內存檢查、RAID引導等環節，較物理服務器動輒數分鐘的重啟時間快了很多，通常僅需30秒左右。

3.2 可擴展性

可擴展可伸縮功能主要體現為虛擬服務器及系統整體的性能可調整。虛擬服務器的性能可通過修改CPU、內存、硬盤等參數實現動態調整，按需擴展重要服務性能，減小低頻系統開銷，實現資源合理利用。系統整體性能可通過增加ESXi主機的數量不斷擴展，且在需替換老舊主機時，只要從共享存儲加載或拷貝相關文件到新主機即可，不需要從頭配置應用服務器。

3.3 集中管理

vCenter的統一管理功能，除了上文提到的集中部署、模板分發、參數配置外，還具有快照恢復、性能監控等功能。快照恢復是虛擬服務器的“時間隧道”，可將故障系統迅速恢復到前期建立的快照，是運維人員最為欣喜的功能之一。性能監控指vCenter可記錄并繪制虛擬機CPU、內存、網絡等性能運行曲線，根據監控記錄，管理員可了解服務器壓力狀況，適時優化資源配比保證服務水平。

3.4 資源集約

對資源的集約科學管理緩解了獨立服務器重復投資與能耗增長等問題。虛擬化可減少物理服務器數量，避免一個系統占據一臺服務器的現象，如本文使用8臺物理主機運行21臺虛擬服務器。對于低頻次應用服務，通過減少資源分配緩解空載能耗，需要時可再次調整參數。

4 安全防護

云計算的安全性已成為信息安全領域的新熱點，相應標準正在研討中，其安全防護方法同樣符合信息安全的基本原理，需要從物理、技術、管理等領域全面完善安全防護措施。虛擬化系統應符合組織總體安全策略，處于網絡邊界防護、入侵檢測、安全審計框架內，此外還應注意把握虛擬化特有的一些安全環節。

（1）子網隔離。為虛擬化軟件劃分單獨的子網地址，如配置ESXi、vCenter Server處于私有網絡10.11.31.0/24，以隔離虛擬環境子網與信息服務子網間的邏輯訪問，減輕虛擬化設施遭外網攻擊的風險。

（2）邊界防護。配置網絡交換機ACL、vSphere虛擬防火墻、虛擬服務器系統防火墻等，過濾或限制對ESXi和虛擬服務器的訪問流量，如僅允許信任主機連接 vCenter、虛擬服務器僅允許特定主機的遠程訪問等等。

（3）主機防護。虛擬服務器同樣應安裝主機防護軟件，如防病毒系統、終端防護系統等。應當合理配置殺毒軟件掃描策略，使其避開服務高峰且彼此間隔運行。防止因同時啟動全盤查殺，導致服務性能嚴重下降，而造成的殺毒風暴。

（4）加密連接。對虛擬服務器的操作多使用遠程控制方式，所使用的遠程管理工具應當具有加密功能，確保更新到最新版本，還應當修改默認訪問端口，如Windows常用的遠程桌面協議（RDP）和Linux常用的SSH、VNC等工具。

（5）訪問控制。對虛擬服務器的訪問應當遵守指定的密碼策略，密碼強度應符合要求，且定期更換密碼。采用單點登錄（SSO）或域控制器時應嚴格執行密碼策略，多個系統間不應使用同一密碼，對密碼的管理可使用Keepass等工具，多管理員時應指定主要負責人。

（6）安全審計。應定期對設備日志進行安全審計，特別是系統登錄日志、入侵檢測日志。因Windows對遠程訪問日志記錄不全面，應當配置登錄后自動運行的vbs或bat腳本，記錄登錄時間、源IP地址等信息。

（7）數據備份?？煺展δ苁窍到y備份的有效措施，應定期對服務器進行快照備份，尤其重大變更前應先備份。同時還應遵守多方法備份原則，利用多種手段對操作系統、升級補丁、應用軟件、業務數據、配置參數等數據進行完整備份。

（8）故障恢復。ESXi能夠在故障恢復后自動啟動虛擬機，應根據系統服務重要程度設置啟動順序與啟動時延等參數。為檢驗系統可能存在的單點故障，應組織規模適度的災難恢復模擬演練，切實提升系統生存能力。

（9）滲透測試。模擬攻擊者入侵行為的滲透測試，能夠揭示針對云計算的最新攻擊矢量與系統脆弱性，是衡量安全防護真實水平的重要途徑。應結合重大任務活動，邀請或接受滲透測試，分析積累攻擊模式，加深對虛擬化系統安全防護的理解。

5 結束語

通過對信息中心的虛擬化改造，有利于保護既有設備投資，提升值勤運維水平，增強綜合信息服務能力，是數據中心建設的重要趨勢之一。本文采用的VMware vSphere技術趨于成熟，安裝維護方便、操作使用友好、可行性高，且 vmdisk可直接導入大規模云計算方案，如vCloud或OpenStack等，是中小型信息中心向云計算過渡的合理方案之一。

[1]Kai Hwang,Geoffrey C.Fox,Jack J.Dongarra，武永衛譯.云計算與分布式系統 從并行處理到物聯網[M].北京:機械工業出版社，2015.

[2]張為名，趙立君，劉瑋.物聯網與云計算[M].北京:電子工業出版社，2012.

[3]趙志坤.服務器虛擬化在神東信息化建設中的應用[J].網絡安全技術與應用，2016.

[4]王正.服務器虛擬化在企業數據中心的應用[J].網絡安全技術與應用，2015.

[5]武佳寧.基于VMware vSphere的數據中心服務器虛擬化解決方案[J].微型電腦應用，2016.

[6]張玉清，王曉菲，劉雪峰，劉玲.云計算環境安全綜述[J].軟件學報，2016.

[7]宮月，李超，吳薇.虛擬化安全技術研究[J].信息網絡安全，2016.

[8]VMware Inc.What's New in the VMware vSphere 6.0 Platform[EB/OL].http://www.vmware.com/content/dam/digital marketing/vmware/en/pdf/whitepaper/vsphere/vmw-white-pap er-vsphr-whats-new-6-0-pltfrm.pdf.