袁龍超

摘要：通過虛擬化技術(shù)構(gòu)建報業(yè)集團信息技術(shù)服務平臺，使各信息系統(tǒng)統(tǒng)一部署和運行，做到系統(tǒng)間相互獨立、共享硬件資源，靈活、動態(tài)地滿足業(yè)務發(fā)展的需要。本文對此平臺構(gòu)建和遷移過程中遇到的幾個關(guān)鍵性問題進行分析并提出相應對策。

Abstract： The information technology service platform of the newspaper group is constructed through virtualization technology， so that all information systems can be deployed and operated in a unified manner， the systems are independent and can share hardware resources， and meet the needs of business development flexibly and dynamically. This paper analyzes several key problems encountered in the process of platform construction and migration and proposes corresponding countermeasures.

關(guān)鍵詞：數(shù)據(jù)中心;服務器虛擬化與遷移;存儲虛擬化;網(wǎng)絡安全與管理

Key words： data center;server virtualization and migration;storage virtualization;network security and management

中圖分類號：TP309.2? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 文獻標識碼：A? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 文章編號：1006-4311（2018）36-0271-02

0? 引言

隨著媒體融合的深度發(fā)展，信息系統(tǒng)規(guī)?；?jīng)營勢在必行;尤其隨著集團業(yè)務的高速發(fā)展，數(shù)據(jù)中心對各類業(yè)務系統(tǒng)的重要性愈加明顯，如OA、財務、廣告、新聞采編和ERP等系統(tǒng)。過去各項業(yè)務系統(tǒng)經(jīng)過不斷地更新?lián)Q代，每個系統(tǒng)都一個獨有的物理服務器，然而由于傳統(tǒng)數(shù)據(jù)中心建設模式是縱向結(jié)構(gòu)，服務器之間無法復用各類資源，只能通過堆加服務器來滿足業(yè)務要求，如此一來，由于服務器資源過多導致的問題越來越多，包括硬件利用率低下、運行成本高、管理復雜等，久而久之，數(shù)據(jù)中心便無法在節(jié)約成本和快速響應兩者之間掌握平衡。

采用虛擬化技術(shù)的數(shù)據(jù)中心能根據(jù)不同業(yè)務的資源消耗，自動分配硬件資源，最大限度滿足集團數(shù)據(jù)中心的高效率、高性價比和自動化管理等要求。前提是審慎規(guī)劃虛擬化遷移方案，以避免引起服務中斷或數(shù)據(jù)丟失等各種復雜情況，否則將對集團的各項業(yè)務造成不利影響。所以在設計虛擬化規(guī)劃和遷移方案時認真考慮下列建議，確保遷移項目平穩(wěn)順利地進行。

1? 穩(wěn)妥無縫的遷移舊系統(tǒng)

對于報業(yè)廣告、發(fā)行、財務等系統(tǒng)已使用了8-9年，雖功能目前基本滿足現(xiàn)實需求。但面臨著兩個難題：①系統(tǒng)安裝程序和文檔因時間太久資料不全;②服務器硬件因連續(xù)運行多年面臨著隨時掛機的可能。如何用虛擬化遷移這些系統(tǒng)呢？

p2v能把現(xiàn)有運行在物理服務器上的業(yè)務系統(tǒng)在線遷移到虛擬化平臺上，遷移的內(nèi)容包括操作系統(tǒng)、系統(tǒng)配置及驅(qū)動、業(yè)務應用及數(shù)據(jù)庫等全部的物理服務器的信息，自動與現(xiàn)有的服務器進行數(shù)據(jù)同步。在實際遷移中，為提高遷移的成功率，建議：①在遷移之前斷開網(wǎng)絡，用直通網(wǎng)線將要遷移的“源”服務器與“中間服務器”連接在一起。②暫?！霸础狈掌鞯腟QL Server服務、殺毒軟件，暫時關(guān)閉“源”與“中間服務器”的防火墻。③使用chkdsk命令，檢查“源”服務器每個分區(qū)是否錯誤，并進行修復。④移除“源”服務器上有一些與關(guān)鍵服務無關(guān)的數(shù)據(jù)，如安裝程序、鏡像等。⑤在轉(zhuǎn)換虛擬機后，需要對其進行配置后優(yōu)化，并在目標虛擬環(huán)境啟動。⑥把源服務器下線，將虛擬后服務器的機器名、IP地址、MAC地址修改成源服務器的網(wǎng)絡參數(shù)并重啟服務器。⑦驗證虛擬化的服務器各項服務是否正常。

2? 整體統(tǒng)一規(guī)劃存儲方案及規(guī)范存儲名稱

存儲是各種虛擬化應用環(huán)境的關(guān)鍵元素，所以存儲設計一直都很重要，隨著虛擬化應用規(guī)模與重要性的不斷提高，如需要支持更大工作負載、支持關(guān)鍵應用、創(chuàng)建更大型集群時它的作用變得越來越重要，這主要體現(xiàn)一下幾個方面。虛擬化的很多高級特性都依賴于共享存儲，如HA、DRS、FT等都必須依賴于共享存儲。如果說服務器層面的設計決策可能影響虛擬化的質(zhì)量，而網(wǎng)絡與存儲的設計決策決定著整套虛擬化的成敗。只有做出合理選擇，才能創(chuàng)建一個高效的共享存儲設計，既能降低虛擬化環(huán)境的建設成本，又能提高效率、性能、可用性和靈活性。

在管理虛擬化數(shù)據(jù)中心時，為了后期的管理與使用方便，建議對數(shù)據(jù)中心的存儲進行統(tǒng)一規(guī)范。命名的方式有多種，可以根據(jù)管理員習慣的統(tǒng)一規(guī)劃進行命名，還要將本地存儲和共享儲分開命名。

3? 合理規(guī)劃虛擬機，防止泛濫

及時關(guān)閉注銷不需要的測試機;虛擬化技術(shù)的出現(xiàn)有效降低了部署服務器的成本技術(shù)門檻，過去需要多個步驟的操作才可完成，現(xiàn)在只需點擊幾下鼠標即可。然而同時其也面臨一些挑戰(zhàn)，比如需要創(chuàng)建更多的虛擬機，且這些虛擬機雖非必要卻需要管理，每在一個虛擬機在進行過一項應用測試，都必須嚴格依照相關(guān)規(guī)范標準操作，否則一旦忘記撤銷等，將會面臨系統(tǒng)出現(xiàn)網(wǎng)絡漏洞的問題，如此勢必會增加其面臨的安全風險。且某臺虛擬機出現(xiàn)問題后，還可能會影響到其它的虛擬機，進而對整個網(wǎng)絡環(huán)境安全造成嚴重威脅。因此需要通過制定嚴格的分級管理平臺，角色定義。管理員可以擁有所有資源控制能力，將虛擬機的創(chuàng)建進行分級化管理，這樣可以有效避免范圍內(nèi)出現(xiàn)的不安全性向其他區(qū)域擴散。同時需要制定報業(yè)集團服務器管理制度，禁止隨意創(chuàng)建模板或新虛擬機等操作;明確各個虛擬主機的責任人和巡檢制度。

4? 針對虛擬化平臺建立立體的網(wǎng)絡安全防護措施

傳統(tǒng)的一些安全風險并沒有因為虛擬化的應用而降低，而服務器虛擬化的產(chǎn)生，帶來了新的網(wǎng)絡環(huán)境：一臺物理服務器之上構(gòu)建了多臺虛擬機。新產(chǎn)生的網(wǎng)絡環(huán)境及新產(chǎn)生的虛擬機不受原安全防護系統(tǒng)的保護。服務器虛擬化的出現(xiàn)，需要進一步擴大了安全防護的范圍。

制度層面：①加強員工網(wǎng)絡安全培訓，包括法律、集團網(wǎng)絡安全規(guī)則制度、網(wǎng)絡安全基本知識、新技能等，提高員工網(wǎng)絡安全的警惕性和自覺性;②加強數(shù)據(jù)中心安全管理，嚴格執(zhí)行集團信息安全防護制度;③定期開展虛擬化平臺系統(tǒng)安全加固，保證系統(tǒng)的安全性。技術(shù)層面：①針對虛擬化管理平臺組建專用物理管理網(wǎng)絡，且僅允許從專用網(wǎng)絡訪問虛擬化數(shù)據(jù)管理中心;②確保虛擬化主機Shell 和SSH處于禁用狀態(tài);對主機進行管理訪問時無需使用的所有端口均處于關(guān)閉狀態(tài);③啟用虛擬機加密功能，加密不僅能保護虛擬機，而且還能保護虛擬機磁盤和其他文件;④在部署虛擬機時要按照基線模板以及安全漏洞掃描模板定期對虛擬機進行掃描;⑤進一步保證虛擬機安全，主要包括：虛擬機常規(guī)保護、使用模板來部署虛擬機、盡量少部署虛擬機控制臺、防止虛擬機取代資源。

虛擬化平臺安全性是一個系統(tǒng)性工程，要通過管理和技術(shù)雙管齊下才能保證虛擬化平臺安全。借用美國國家標準與技術(shù)研究組織的一句話，“一個有安全威脅的虛擬機往往會影響整個虛擬化架構(gòu)”。

5? 做好虛擬化平臺的防病毒措施

針對虛擬化系統(tǒng)，傳統(tǒng)方案是把防病毒軟件安裝在虛擬機上來保護虛擬化平臺的安全。但這樣的方案并不適用于虛擬化新型平臺，原因如下：①“防病毒風暴”問題。直接部署在操作系統(tǒng)上的殺毒軟件在執(zhí)行文件反病毒掃描時，計算機的內(nèi)存和CPU消耗都會升高不少，如果大量虛擬機同時執(zhí)行文件反病毒掃描任務，會導致資源競爭。②存在“防護間隙”問題。虛擬機一旦關(guān)機或暫停，傳統(tǒng)的防病毒軟件不再起任何作用，病毒庫更新延遲，當虛擬機開始加載到啟動后防病毒軟件啟動這一段時間，虛擬機實際上處在一個無保護的狀態(tài)，存在保護間斷的問題。③管理效率低。傳統(tǒng)模式下要為每一臺虛擬機上安裝反病毒程序和病毒庫，也會占用大量的磁盤空間，降低了虛擬化的密度，同時在管理上也不方便。

目前針對虛擬化平臺的防病毒主要有無代理或輕代理的反病毒技術(shù)。無代理反病毒就是直接在虛擬化管理平臺中部署vshield后，即可在ESXI主機中開啟endpoint反病毒插件，無需為每個虛擬機安裝殺毒客戶端。虛擬化的無代理反病毒的優(yōu)勢很明顯：①解決了防病毒風暴問題，當大批量虛擬機需要防病毒掃描時，主要掃描負載壓力集中在SVM虛擬機上，顯著降低各虛擬機的資源負擔;②無代理反病毒運維方式更為簡單，無需在每個虛擬機上安裝客戶端程序。SVM上提供集中式的病毒庫引擎，供所有虛擬機使用;③支持虛擬機vmotion技術(shù)，虛擬機發(fā)生漂移，保護也隨之跟進。

6? 定期對存儲行進行空間手動回收

在虛擬化平臺上，應用中大多數(shù)采用精簡置備的模式進行分配空間，這種方式只使用該磁盤最初所需要的存儲空間。如果以后需要更多空間，則它可以增長到為其分配的最大容量。如：在創(chuàng)建windows2008虛機的時候，指定的是80G的空間，但是由于使用了thin的方式，可能實際上只分配了20GB的空間。但后來隨著windows2008文件越來越多，雖然我們再刪了10GB的空間，以為在ESXi存儲上這10GB空間被釋放了，其實不是的，這10GB空間還是真正劃分給了windows2008虛機。所以，我們會發(fā)現(xiàn)雖然在創(chuàng)建虛機的時候使用thin的方式，但到后來后端存儲空間還是消耗的很快。頻繁將虛擬機在存儲上來回遷移也會造成類似的結(jié)果。

vSphere 5.5 &6.0及之前的版本雖然具有空間回收操作，但還是手動回收。vSphere 6.5開始引入了新的文件系統(tǒng)VMFS6，支持自動unmap。對于vSphere6.0以前的版本，我們可以通過定期手動執(zhí)行空間回收命令了。通過VC控制中心打開ESXI主機的SSH功能，用超級終端登錄ESXI主機，運行 esxcli storage vmfs unmap-l 卷名g 啟動存儲的手動空間回收功能。

報業(yè)數(shù)據(jù)中心通過服務器、存儲、網(wǎng)絡整體虛擬化將各種信息資源進行整合和優(yōu)化，實現(xiàn)近乎零宕機的硬件維護，減少數(shù)據(jù)安全隱患，確保系統(tǒng)的高可用性和硬件的高擴展性，提高運維效率。但同時也帶來了新的信息安全威脅。只有認真分析虛擬化平臺帶來的安全威脅，針對新的安全威脅進行安全防護，才能保證我們整個虛擬化環(huán)境的安全。本文梳理了數(shù)據(jù)中心虛擬化的注意事項，分析了虛擬化平臺帶來的新的安全威脅，通過管理和技術(shù)結(jié)合，科學的解決了虛擬化平臺帶來的安全隱患，保障了整個虛擬化平臺部署遷移和安全性。

參考文獻：

[1]林龍.虛擬化平臺的安全風險及其防范策略[J].信息通信，2018-4.

[2]宮月，李超，吳薇.虛擬化安全技術(shù)研究[J].信息網(wǎng)絡安全，2016-9.

[3]汪來富，金華敏，沈軍.虛擬化安全防護關(guān)鍵技術(shù)研究[J].電信科學，2014-12.

[4]梁平.高校圖書館服務器虛擬化建設中需要注意的若干細節(jié)[J].工程技術(shù)，2012-10.

[5]陳鵬.虛擬化數(shù)據(jù)中心安全問題分析[J].通訊世界，2018-3.