虛擬化平臺安全備份及運行監控技術

孫皓晨 喬曉敏 李大朋

（國網綠源水力發電公司太平灣發電廠 遼寧丹東 118000）

虛擬化是指最初在真實環境中運行的計算機系統或組件，這些系統或組件在虛擬處理環境中運行，并且可以在虛擬環境中實現與真實環境中相同的效果。常用的應用程序虛擬化技術包括服務器硬件虛擬化、用戶桌面虛擬化、軟件定義的存儲設備虛擬化、信息系統應用系統虛擬化和NSX網絡虛擬化［1］。

桌面虛擬化更適合今天的高科技公司。最初安裝在本地計算機上的桌面系統集成到支持數據中心，用于部署和管理，軟件更新和升級會更加便捷、高效。用戶可以使用先進的有線、無線網絡系統及加密VPN 傳輸方法隨時訪問業務桌面在場所和環境中，開展業務運營。桌面虛擬化技術的廣泛應用可以有效降低運營成本，顯著提高工作效率，實現真正的綠色計算。

1 技術背景

1.1 技術產生的背景

在高性能計算機中，應用的多樣性和復雜性決定了高性能體系結構的多階段和多階段異構開發。在實踐中，全面、多層次的異質性帶來了許多需要解決的問題，即發展困難、軟硬件支持、系統可靠性、應用可移植性、高效管理等。一個個緊迫的技術問題仍未解決。

虛擬編程技術不僅可以實現有效的異構資源集成，創造應用開發環境，提高計算效率和負載轉移，它也有助于提高系統的可靠性、容錯性和安全性。在高性能計算機系統中，應用具有廣闊的發展前景。

1.2 虛擬化備份技術的研究現狀

VMware 最初引入了虛擬化備份技術。由于虛擬化應用程序在商業和工業上的普及，主流備份產品通常支持基于VMware、Hyper-V、Citrix 和Xen 或KVM 的虛擬化。除了虛擬機映像之外，虛擬備份是虛擬數據備份最重要的基本手段。許多啟動虛擬化的用戶經常將虛擬機快照視為備份，這實際上是一個嚴重的錯誤，原因如下。

（1）快照永遠不能成為虛擬本地備份的解決方案。

（2）一旦圖像恢復到以前的狀態，就永遠無法恢復到當前狀態。

（3）一旦虛擬機磁盤文件損壞，快照也將無效。

（4）快照只能基于整個虛擬機映像進行恢復，不能恢復到文件或應用程序級別。

（5）快照只能用于幫助保護快速虛擬化恢復。

（6）并非所有虛擬機都可以使用快照，且并非所有虛擬機都可以使用備份。

（7）過多的快照可能會顯著影響虛擬機性能，若頻繁創建或刪除快照，虛擬機數據可能會損壞。

目前，備份虛擬化平臺有兩種常見的備份解決方案，一個沒有代理備份，另一個有代理（Agent）來操作系統備份。

1.3 虛擬功能監控技術研究現狀

從云計算的早期開始，對虛擬機的監控就一直是一個熱門話題。從云服務提供商的角度來看，它必須盡可能多地接收有關虛擬機（VM）運行的信息，以確保每個虛擬機的正常運行，這保證了整個云計算平臺的安全性和可靠性。從用戶的角度來看，還需要了解虛擬機的操作狀態。因此，對虛擬機的監控至關重要。

目前，虛擬機安全監控主要有兩種體系結構。第一種是基于虛擬機內窺鏡技術的監控體系結構，即監控單元位于虛擬機監控程序中，使用虛擬機內省技術發現其他虛擬機。第二種是基于虛擬安全主動監控體系結構技術，是用于主動安全監控的虛擬體系結構，在被監控的虛擬機中引入某些鉤子功能，并切換到獨立的虛擬安全［2］。關于虛擬機安全監控的應用，基于虛擬機安全監管的相關研究可分為兩類：內部監管和外部監管。內部控制是指將大型計算機加載到虛擬機，以記錄目標虛擬機的內部事件，并且核心單元的安全受到管理程序Hypervisor 來保護；外部監視指的是由Hypervisor捕獲目標虛擬機上的事件，以便在虛擬機外部檢測到它。

2 技術方案及原理

2.1 設計原理及理論依據

《國家電網公司信息系統非功能性需求規范（試行）》（國網新通〔2013〕第404號）規定了國家電網公司信息系統穩定性的標準。通過部署虛擬化平臺Vsphere6.5 enterprise plus，實現集群的高可用性對現有應用業務的集成，簡化運維環境，提高企業硬件利用率；通過部署虛擬機數據備份（VMware vSphere Data Protection Advanced，下文簡稱VDP），解決現有備份方式帶來的故障恢復時間較長的問題；通過部署Vmware環境性能運維監控（VMware vCenter Operations Manage，下文簡稱VCOPS），對虛擬平臺底層應用和虛擬機及所承載的硬件環境進行監控，使該成果具有全新靈活的業務支撐架構和擴展性，它可以適應不同信息定位平臺的規模和應用需求，提高企業冗余度和高可用性，縮短故障恢復時間［3］。

2.2 技術方案

針對虛擬化平臺的運維監控和安全備份，主要從3個方面進行創新改造。

（1）在存儲虛擬化方面。該創新成果對業務系統的存儲方面進行了兩次分割，重新改造存儲空間規劃，規劃成3個存儲池，每個存儲池擁有4.6T存儲空間，采用RAID5，并均各另備兩塊熱備盤，分別作為業務系統運行、虛擬機備份、虛擬監控3個功能池使用。虛擬存儲提供了集中管理高容量網絡存儲系統（如服務器）的能力，避免了托管擴展的問題。虛擬存儲技術使存儲資源管理更加靈活，集中管理和卸載不同類型的存儲，有效保護用戶以前的存儲投資。

（2）在虛擬化備份方面。該項目使用（VMware vSphere Data Protection Advanced，VDP）解決現有備份方法導致的長恢復時間問題。一般企業在應用虛擬化技術之前都是采用若干臺物理服務器與業務系統一一對應的關系，采用每天或者每周定期對逐句庫進行自動或手動備份，主要是為了避免丟失基本數據庫數據、各種物理平臺故障，或查找新的物理服務器、重新安裝操作系統、配置應用程序軟件，以及隨后導出和安裝以前在新應用程序中無處不在的數據庫備份，備份和恢復時間通常長達1d，最快也要半天的時間。當應用虛擬化平臺后，備份方式變得十分多樣，但大多都是采用虛擬自帶的快照功能。所謂的快照功能是使系統更容易恢復到以前的狀態，這樣防止因運維操作或業務系統故障或其他嚴重情況發生時，快照功能可以在第一時間彌補這一缺陷。但該功能有兩個明顯的弊端：一是只能恢復到快照發生的時間；二是快照所占的存儲空間特別大，一般不建議長時間保持快照，采用隨用隨照的方式，所以快照功能更加適合用于運維操作備份使用，而不建議作為系統日常備份工作用。

該項目使用VDP 虛擬備份方法，專用于備份虛擬主機實例包。使用時間策略，根據虛擬機的業務需求進行單獨備份，以同步讀寫數據并保存最新更改的副本。使用VDP 備份的優點包括以下幾點：第一，應用程序快速恢復，如果想立即在虛擬平臺上備份預覽文件，應用程序恢復時間可以在幾分鐘內完成；第二，無安裝因素，由于VDP 訪問基于存儲庫的基塊，這減少了管理連接并簡化了工作；第三，自動備份驗證，VDP可以驗證備份，以查看已備份的操作系統是否可以正常運行，以及應用程序可以正常運行。

（3）在虛擬化監控方面。該創新項目通過部署VCOPS，對虛擬平臺底層應用和虛擬機及所承載的硬件環境進行監控。VcOps 管理Vcenter 服務器和由Vcenter Server 管理的Vmware ESXi 或ESX 服務器，監控Vcenter Server、Vmware ESXi 服務器和存儲，以跟蹤ESXi上虛擬機的當前使用情況和存儲使用情況，并使用這些資源定義每個主機、虛擬機、存儲和網絡的特定條件。在Vcenter數據中心，VCOPS以工具欄的形式提供相關信息，可以在PDF或CSV中的任何位置引用。

3 核心技術與創新點

（1）簡化虛擬化平臺運維管理，簡化平臺運維監控。該項目創新地采用B/S 架構的管理操作環境，降低了運維管理端的門口，提高管理平臺對運維計算機的兼容性，使運維不再局限單一的裝有客戶端的PC，而是面向廣泛的運維范圍。創新地劃分3個功能分明的存儲池的同時，又能保證3 個存儲池之間的互相遷移，使其既能滿足功能劃分的需求，又能實現數據的整合與智能遷移［4］。

（2）為虛擬機創建自動備份機制，以在幾分鐘內減少備份和恢復時間。該項目創新地創建VDP 虛擬備份平臺，將虛擬機備份實現完整備份、增量備份的時間策略管理，壓縮了備份數據在存儲空間的占用，并將傳統的業務系統故障恢復時間從天級降至分鐘級，甚至對于僅需增量備份恢復的虛擬機，它的恢復時間不足1min，在保證數據安全性的同時，顯著提高了交易系統的連續性和穩定性，并減輕了手動備份的壓力。

（3）創建虛擬化底層硬件及虛擬環境監控，實現虛擬資源分配的智能分析。該項目創新地應用Vmware Vcops智能性能監控與容量管理，可以從虛擬環境的任何級別的任何對象（從自定義虛擬機和磁盤到集群和數據中心）收集、存儲和分析數據，然后提供性能分析和容量管理報告，并會智能提出資源分配建議，及時調整相應的磁盤、CPU、內存等，以確保虛擬機發揮最大的利用價值。

4 虛擬化平臺安全問題措施及技術應用

4.1 數據加密

數據加密技術是一種高科技技術，利用這種技術，能夠有效防止數據被盜取問題發生，也可以有效管理數據存儲的安全性。開發人員在前端客戶端采用SSL加密方式，用于避免虛假網站和網絡釣魚等各種不同類型安全風險產生；而在系統后端則采用數據加密技術，可以有效預防數據被黑客篡改的問題發生。在虛擬服務平臺的數據安全管理中，合理保證數據存儲的安全性和穩定性尤為重要，合理有效地將數據加密技術應用于數據存儲管理，可以合理保證數據的安全性和數據的檢索效率。基于傳統技術的數據加密的應用，可以合理地改變數據的結構特征，但對數據發現和剖析的不同階段有不利影響。因此，在利用加密技術過程中，要盡可能地通過關鍵詞檢索形式進行加密，而檢索方法建議采用精確匹配或者是模糊搜索方法等。

4.2 虛擬化平臺技術應用

虛擬化安全技術是其最重要的關鍵技術之一，虛擬化安全措施的關鍵點如下。

（1）數據分離技術：通過NAS數據共享及安全保護機制，實現虛擬系統數據與用戶數據的實時分離存儲及按需分級備份，確保虛擬系統與用戶數據相互之間互不干擾。

（2）保護虛擬機：在同一服務平臺上操作多個虛擬機時，必須對虛擬機數據實施保護，物理硬件在應用層是一種共享資源，不同虛擬機之間的通道是被屏蔽的。對于內存和存儲模塊等硬件配置，也需要保護技術。

（3）封堵虛擬機系統漏洞：在IaaS云服務基礎設施的支持下，該系統可以作為一個虛擬機安全檢查系統，檢查系統漏洞并根據檢查結果動態升級補丁，從而確保虛擬機安全得到合理的維護。

（4）虛擬機安全管理：虛擬云基礎設施建設的一個重要用途是促進負載平衡和在線維護。云服務平臺有動態遷移服務，在遷移過程中，虛擬機的順利運行很重要。除虛擬機檢測外，定義轉移觸發閾值和驗證轉移節點的合法性是避免轉移過程中的網絡攻擊的必要措施。要合理分析虛擬化平臺的安全風險，有針對性地制定合理、高效的防護措施，這樣有益于祛除虛擬化平臺隱藏的安全風險，讓虛擬化平臺發揮最大化價值。

5 應用范圍及效果

該技術可承載與企業的重要業務數據存儲，所有存儲設備均采用SAN 網絡架構，與業務網絡采用隔離運行，可確保數據安全，同時，存儲可以防止使用企業帶寬。虛擬備份平臺VDP 已對企業底層虛擬平臺及所有在運虛擬機實現策略備份，經調試，完整備份時間為10min 左右，增量備份時間約為5min［5］。虛擬監控平臺Vcops已經對虛擬環境和虛擬機進行了實時監控和儀表智能分析，為運維人員運行監控提供了智能分析決策。

IT基礎設施虛擬化技術是一項應用前景廣闊的技術，它對改善能源企業的IT 基礎設施具有重要意義：提高資源利用率，降低管理成本，提高企業應用程序的靈活性和可擴展性，并提高資源交付的效率［6］。企業利用虛擬技術實現關鍵應用系統監控及數據備份的技術，成功探索虛擬技術在提高運維效率、提升數據安全及節約資產成本的方面起到的作用。經過已投運1年之久的實際論證，該創新成果對企業業務系統管理及數據安全防護具有確認的顯著的優勢。

6 成果用途和特點

這項技術用于企業系統的設計和數據存儲，技術中的虛擬備份系統VDP和虛擬監控Vcops應用于對企業業務系統虛擬機、存儲及虛擬環境和集群主機硬件的監控，并對使用情況進行智能分析，對資源分配提供智能優化調整建議。該技術經過投運使用后，具有如下的特點。

（1）簡化數據備份過程，減少故障恢復時間。在本技術應用以前，業務系統運行方式為一臺服務器對應一個業務系統，如果需要備份，需要另外配置一臺完全相同服務器，采用冷備或者熱備的方式運行，數據備份均為人工完全備份，占用服務器資源十分巨大，且易造成業務數據丟失、人工備份不及時、空間重復占用較大等問題。該創新成果應用后，備份方式可根據策略選擇日、周、月等自動備份，而且僅在第一次采用完全備份，之后，只備份額外的內容，節省大量存儲空間，備份文件會自動替換。項目應用之前，對于實體主機業務數據的故障恢復至少需要占用1d以上的時間，但該創新成果應用后，交易系統可以通過虛擬機備份文件進行恢復，時間可以控制在幾分鐘內。

（2）實現虛擬監控，智能分析運行狀態。該創新成果將這個虛擬化平臺的虛擬環境和底層承載硬件進行了統一平臺的數據收集，引入Vcops 虛擬平臺監控機制。Vcops 平臺采用人機交互式圖形界面與B/S 運維架構，針對性能優化、容量優化、故障排除、CPU、內存、磁盤爭用及警示提供直觀統一的界面，可以保證運維人員直觀、準確地判斷系統運行情況。并且Vcops 平臺可以智能收集各虛擬機運行所占資源進行日志收集，智能給出各虛擬機當前健康狀態，并對所分配的內存、CPU、磁盤空間等資源情況給予智能調整建議。Vcops平臺還可以針對虛擬機、底層硬件等各不同方面的運行生成相應運維報告，方便運維工作匯報和管理使用。當前，Vcops已成功與VDP和虛擬化平臺Vcenter管理平臺實現信息交互聯動。

（3）中央存儲管理提高數據存儲的安全性。該技術將企業所有業務數據進行了統一的存儲，建立了3個存儲池，分別作為業務數據、備份、監控3 個功能使用，且存儲池之間可以互相遷移，每兩個池都有完全承載所有數據存儲的能力，為設備提供了停機檢修的機會。每個存儲池均采用raid 5+2 配置，提高了設備容錯率和數據安全性。另外，該創新成果搭建了基于光纖交換機的SAN 網絡，避免了數據存儲對業務帶寬的占用，也提高了數據的安全性。

7 結語

目前，虛擬化平臺發展迅速，但與此同時，越來越多的安全問題已經成為網絡安全領域亟待解決的關鍵問題。盡管大型虛擬化平臺有很多優勢，但云計算的發展是基于其安全性的不斷提高，在虛擬化平臺上出現安全問題的情況下，很難實施初始安全解決方案。主要的虛擬化平臺需要認識到它們目前面臨的各種安全風險，并根據漏洞的類型提出適當的對策。在未來，分布式計算及云計算正在推廣的今天，更隨著大二層敏捷網絡的推廣應用，IT 基礎設施虛擬化為企業推廣智能電網技術奠定了堅實的基礎，具有廣泛的推廣價值。