中国IDC圈4月28日报道: 虚拟化的浪潮正席卷中国大地。如果你最近整合并虚拟化了物理服务器,你可能会认为数据中心极大地提升了性能。理想情况下,可能是这种情况。不过,在完成虚拟化后,还有一些事情需要引起注意,如备份及预防虚拟机的蔓延,其目的是为了保障虚拟环境保持健康和安全。在本文中,笔者将阐述在架构中完成虚拟化项目后需要完成的八大特别任务。
首先,你应当清除所有不再需要的陈旧的物理服务器。因为你部署虚拟化的原因之一就是减少电力和降温成本,所以还保留着这些制造问题的根源有什么用呢?要拒绝将这些设备用作其它用途的诱惑,因为这与虚拟化的目的格格不入。因此,请拔下其插头,让其寿终正寝吧。
第二,制定一个合理的时间表以便于经常为虚拟机打补丁。这项措施的重要性已经不言而喻,可以说怎么强调都不过分。虚拟机运行着很多客户机,如果虚拟机由于未打补丁的漏洞受到了损害,那么无论客户机的安全措施如何到位,也不管它们的补丁怎样健全,也无法逃脱同样的命运。
为服务器打补丁要比为客户机打补丁更为麻烦,因为正常情况下,客户机需要更新(也就是VM 工具),而且主机需要重新启动。为了让此过程更为简易,笔者建议采用自动化的补丁脚本或使用第三方的应用程序。
此外,要关注补丁发布的时间。并不是所有的厂商都有一个固定的补丁时间表。建议订阅相关厂商的邮件更新,这样在有补丁可用时,你便可以在第一时间为主机打上补丁。
第三,警惕虚拟机的蔓延,并找一些预防此事发生的方法。没有什么简单的任务,因为这种工作要在较长的一段时期内发生和发展。由于虚拟机不象物理机那样有可见的硬件设备,所以单位的其它管理员都有可能轻松创建之。许多管理员认为只要自己需要就可以自由的创建虚拟机。
要知道,虚拟机并不是真正免费的。每一个虚拟机都消耗主机资源,单位拥有的虚拟机越多,主机上的资源被耗费的就越多。如果不控制虚拟机的蔓延,就会导致主机资源的匮乏和可严重影响所有虚拟机的瓶颈问题。由此带来的后果是,你可能最终要购买更多的服务器并添加更多的共享存储器,其成本可想而知。
有一些方法可以预防虚拟机的蔓延。其中之一就是实施一种“退让”系统,如国外的产品有Vizioncore的vFoglight等产品,它可以为VMware创建资源使用情况的报告。微软的Hyper-V拥有一些“退让”系统的尺度,不过却缺乏使之发挥作用的工具。
另外一种选择是限制谁可以创建虚拟机。设计一种正规的建立新虚拟机的请求程序是一个好注意,这与准许数据中心的每一个管理员都可随意创建虚拟机相比是一个更为有效的方法。单位应当要求创建新虚拟机的验证机制,并建立许可程序,这样用户就会考虑是否真得需要创建一个新的虚拟机。
第四,通常情况下,用传统的方法备份虚拟环境不但效率低而且耗时。每一个虚拟机上安装备份代理并且通过客户机操作系统备份服务器不但极大地耗费服务器资源,而且可以影响运行在主机上的所有虚拟机。笔者推荐实施那种专门用于虚拟环境的第三方的备份产品,如VMware的Consolidated Backup,它可以充当一个备份代理服务器,间接地备份主机上的虚拟机。当然,还有其它的方法可以备份虚拟机,如将其虚拟磁盘文件复制或备份到其它服务器或磁盘存储设备上。
第五,传统的服务器管理工具和产品在虚拟环境中可能无法有效地工作,因为它们可能并不清楚底层的虚拟主机的管理程序层。由此造成的结果是,虚拟机的性能尺度可能并不准确,因为这些产品并不是为虚拟环境而设计的。
这个问题源于虚拟化的基本属性。客户机认为自己是一个物理服务器,它可以独占主机的所有资源。例如,一个拥有3GB内存的客户机看到了3GB的内存,但事实上服务器管理着内存,并可能用高级管理技术,如内存页共享和内存转移(memory ballooning)技术来更有效地使用内存。此外,如果主机的物理内存不足,它可能开始使用虚拟交换文件以便于为其虚拟机提供必要的内存。
总之,作为管理人员要知道,虚拟化层发生着什么,而传统的性能工具对此却一无所知。笔者建议使用内置的虚拟性能和管理工具,或者可实施某种专为管理虚拟环境而设计的第三方应用程序。这个原则也适用于网络互联,因为传统的网络管理工具通常无法管理虚拟网络。现在有一些第三方的应用程序专门工作在虚拟网络中,这些工具可以监视并保护虚拟交换机以及连接到其上的客户机。
第六,安全是重视防止对虚拟机的未授权访问的虚拟环境中最为重要的事情。这是一件不能有丝毫懈怠的工作,它要求采取恰当的措施来确保环境得到保护。这包括经常用安全工具扫描主机查找可能削弱主机安全的配置和开放端口。
现在有大量的免费的安全扫描器可用于扫描Llinux和Windows主机。此外,还有许多专门的虚拟化安全应用程序,如用于WMware ESX主机的Configcheck等。用户应当监视服务器的日志文件,查看任何可能指明未授权访问企图的安全相关事件。
第七,多数