淺談報業數據中心虛擬化的注意事項

袁龍超

摘要：通過虛擬化技術構建報業集團信息技術服務平臺，使各信息系統統一部署和運行，做到系統間相互獨立、共享硬件資源，靈活、動態地滿足業務發展的需要。本文對此平臺構建和遷移過程中遇到的幾個關鍵性問題進行分析并提出相應對策。

Abstract： The information technology service platform of the newspaper group is constructed through virtualization technology， so that all information systems can be deployed and operated in a unified manner， the systems are independent and can share hardware resources， and meet the needs of business development flexibly and dynamically. This paper analyzes several key problems encountered in the process of platform construction and migration and proposes corresponding countermeasures.

關鍵詞：數據中心;服務器虛擬化與遷移;存儲虛擬化;網絡安全與管理

Key words： data center;server virtualization and migration;storage virtualization;network security and management

中圖分類號：TP309.2? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 文獻標識碼：A? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 文章編號：1006-4311（2018）36-0271-02

0? 引言

隨著媒體融合的深度發展，信息系統規模化經營勢在必行;尤其隨著集團業務的高速發展，數據中心對各類業務系統的重要性愈加明顯，如OA、財務、廣告、新聞采編和ERP等系統。過去各項業務系統經過不斷地更新換代，每個系統都一個獨有的物理服務器，然而由于傳統數據中心建設模式是縱向結構，服務器之間無法復用各類資源，只能通過堆加服務器來滿足業務要求，如此一來，由于服務器資源過多導致的問題越來越多，包括硬件利用率低下、運行成本高、管理復雜等，久而久之，數據中心便無法在節約成本和快速響應兩者之間掌握平衡。

采用虛擬化技術的數據中心能根據不同業務的資源消耗，自動分配硬件資源，最大限度滿足集團數據中心的高效率、高性價比和自動化管理等要求。前提是審慎規劃虛擬化遷移方案，以避免引起服務中斷或數據丟失等各種復雜情況，否則將對集團的各項業務造成不利影響。所以在設計虛擬化規劃和遷移方案時認真考慮下列建議，確保遷移項目平穩順利地進行。

1? 穩妥無縫的遷移舊系統

對于報業廣告、發行、財務等系統已使用了8-9年，雖功能目前基本滿足現實需求。但面臨著兩個難題：①系統安裝程序和文檔因時間太久資料不全;②服務器硬件因連續運行多年面臨著隨時掛機的可能。如何用虛擬化遷移這些系統呢？

p2v能把現有運行在物理服務器上的業務系統在線遷移到虛擬化平臺上，遷移的內容包括操作系統、系統配置及驅動、業務應用及數據庫等全部的物理服務器的信息，自動與現有的服務器進行數據同步。在實際遷移中，為提高遷移的成功率，建議：①在遷移之前斷開網絡，用直通網線將要遷移的“源”服務器與“中間服務器”連接在一起。②暫停“源”服務器的SQL Server服務、殺毒軟件，暫時關閉“源”與“中間服務器”的防火墻。③使用chkdsk命令，檢查“源”服務器每個分區是否錯誤，并進行修復。④移除“源”服務器上有一些與關鍵服務無關的數據，如安裝程序、鏡像等。⑤在轉換虛擬機后，需要對其進行配置后優化，并在目標虛擬環境啟動。⑥把源服務器下線，將虛擬后服務器的機器名、IP地址、MAC地址修改成源服務器的網絡參數并重啟服務器。⑦驗證虛擬化的服務器各項服務是否正常。

2? 整體統一規劃存儲方案及規范存儲名稱

存儲是各種虛擬化應用環境的關鍵元素，所以存儲設計一直都很重要，隨著虛擬化應用規模與重要性的不斷提高，如需要支持更大工作負載、支持關鍵應用、創建更大型集群時它的作用變得越來越重要，這主要體現一下幾個方面。虛擬化的很多高級特性都依賴于共享存儲，如HA、DRS、FT等都必須依賴于共享存儲。如果說服務器層面的設計決策可能影響虛擬化的質量，而網絡與存儲的設計決策決定著整套虛擬化的成敗。只有做出合理選擇，才能創建一個高效的共享存儲設計，既能降低虛擬化環境的建設成本，又能提高效率、性能、可用性和靈活性。

在管理虛擬化數據中心時，為了后期的管理與使用方便，建議對數據中心的存儲進行統一規范。命名的方式有多種，可以根據管理員習慣的統一規劃進行命名，還要將本地存儲和共享儲分開命名。

3? 合理規劃虛擬機，防止泛濫

及時關閉注銷不需要的測試機;虛擬化技術的出現有效降低了部署服務器的成本技術門檻，過去需要多個步驟的操作才可完成，現在只需點擊幾下鼠標即可。然而同時其也面臨一些挑戰，比如需要創建更多的虛擬機，且這些虛擬機雖非必要卻需要管理，每在一個虛擬機在進行過一項應用測試，都必須嚴格依照相關規范標準操作，否則一旦忘記撤銷等，將會面臨系統出現網絡漏洞的問題，如此勢必會增加其面臨的安全風險。且某臺虛擬機出現問題后，還可能會影響到其它的虛擬機，進而對整個網絡環境安全造成嚴重威脅。因此需要通過制定嚴格的分級管理平臺，角色定義。管理員可以擁有所有資源控制能力，將虛擬機的創建進行分級化管理，這樣可以有效避免范圍內出現的不安全性向其他區域擴散。同時需要制定報業集團服務器管理制度，禁止隨意創建模板或新虛擬機等操作;明確各個虛擬主機的責任人和巡檢制度。

4? 針對虛擬化平臺建立立體的網絡安全防護措施

傳統的一些安全風險并沒有因為虛擬化的應用而降低，而服務器虛擬化的產生，帶來了新的網絡環境：一臺物理服務器之上構建了多臺虛擬機。新產生的網絡環境及新產生的虛擬機不受原安全防護系統的保護。服務器虛擬化的出現，需要進一步擴大了安全防護的范圍。

制度層面：①加強員工網絡安全培訓，包括法律、集團網絡安全規則制度、網絡安全基本知識、新技能等，提高員工網絡安全的警惕性和自覺性;②加強數據中心安全管理，嚴格執行集團信息安全防護制度;③定期開展虛擬化平臺系統安全加固，保證系統的安全性。技術層面：①針對虛擬化管理平臺組建專用物理管理網絡，且僅允許從專用網絡訪問虛擬化數據管理中心;②確保虛擬化主機Shell 和SSH處于禁用狀態;對主機進行管理訪問時無需使用的所有端口均處于關閉狀態;③啟用虛擬機加密功能，加密不僅能保護虛擬機，而且還能保護虛擬機磁盤和其他文件;④在部署虛擬機時要按照基線模板以及安全漏洞掃描模板定期對虛擬機進行掃描;⑤進一步保證虛擬機安全，主要包括：虛擬機常規保護、使用模板來部署虛擬機、盡量少部署虛擬機控制臺、防止虛擬機取代資源。

虛擬化平臺安全性是一個系統性工程，要通過管理和技術雙管齊下才能保證虛擬化平臺安全。借用美國國家標準與技術研究組織的一句話，“一個有安全威脅的虛擬機往往會影響整個虛擬化架構”。

5? 做好虛擬化平臺的防病毒措施

針對虛擬化系統，傳統方案是把防病毒軟件安裝在虛擬機上來保護虛擬化平臺的安全。但這樣的方案并不適用于虛擬化新型平臺，原因如下：①“防病毒風暴”問題。直接部署在操作系統上的殺毒軟件在執行文件反病毒掃描時，計算機的內存和CPU消耗都會升高不少，如果大量虛擬機同時執行文件反病毒掃描任務，會導致資源競爭。②存在“防護間隙”問題。虛擬機一旦關機或暫停，傳統的防病毒軟件不再起任何作用，病毒庫更新延遲，當虛擬機開始加載到啟動后防病毒軟件啟動這一段時間，虛擬機實際上處在一個無保護的狀態，存在保護間斷的問題。③管理效率低。傳統模式下要為每一臺虛擬機上安裝反病毒程序和病毒庫，也會占用大量的磁盤空間，降低了虛擬化的密度，同時在管理上也不方便。

目前針對虛擬化平臺的防病毒主要有無代理或輕代理的反病毒技術。無代理反病毒就是直接在虛擬化管理平臺中部署vshield后，即可在ESXI主機中開啟endpoint反病毒插件，無需為每個虛擬機安裝殺毒客戶端。虛擬化的無代理反病毒的優勢很明顯：①解決了防病毒風暴問題，當大批量虛擬機需要防病毒掃描時，主要掃描負載壓力集中在SVM虛擬機上，顯著降低各虛擬機的資源負擔;②無代理反病毒運維方式更為簡單，無需在每個虛擬機上安裝客戶端程序。SVM上提供集中式的病毒庫引擎，供所有虛擬機使用;③支持虛擬機vmotion技術，虛擬機發生漂移，保護也隨之跟進。

6? 定期對存儲行進行空間手動回收

在虛擬化平臺上，應用中大多數采用精簡置備的模式進行分配空間，這種方式只使用該磁盤最初所需要的存儲空間。如果以后需要更多空間，則它可以增長到為其分配的最大容量。如：在創建windows2008虛機的時候，指定的是80G的空間，但是由于使用了thin的方式，可能實際上只分配了20GB的空間。但后來隨著windows2008文件越來越多，雖然我們再刪了10GB的空間，以為在ESXi存儲上這10GB空間被釋放了，其實不是的，這10GB空間還是真正劃分給了windows2008虛機。所以，我們會發現雖然在創建虛機的時候使用thin的方式，但到后來后端存儲空間還是消耗的很快。頻繁將虛擬機在存儲上來回遷移也會造成類似的結果。

vSphere 5.5 &6.0及之前的版本雖然具有空間回收操作，但還是手動回收。vSphere 6.5開始引入了新的文件系統VMFS6，支持自動unmap。對于vSphere6.0以前的版本，我們可以通過定期手動執行空間回收命令了。通過VC控制中心打開ESXI主機的SSH功能，用超級終端登錄ESXI主機，運行 esxcli storage vmfs unmap-l 卷名g 啟動存儲的手動空間回收功能。

報業數據中心通過服務器、存儲、網絡整體虛擬化將各種信息資源進行整合和優化，實現近乎零宕機的硬件維護，減少數據安全隱患，確保系統的高可用性和硬件的高擴展性，提高運維效率。但同時也帶來了新的信息安全威脅。只有認真分析虛擬化平臺帶來的安全威脅，針對新的安全威脅進行安全防護，才能保證我們整個虛擬化環境的安全。本文梳理了數據中心虛擬化的注意事項，分析了虛擬化平臺帶來的新的安全威脅，通過管理和技術結合，科學的解決了虛擬化平臺帶來的安全隱患，保障了整個虛擬化平臺部署遷移和安全性。

參考文獻：

[1]林龍.虛擬化平臺的安全風險及其防范策略[J].信息通信，2018-4.

[2]宮月，李超，吳薇.虛擬化安全技術研究[J].信息網絡安全，2016-9.

[3]汪來富，金華敏，沈軍.虛擬化安全防護關鍵技術研究[J].電信科學，2014-12.

[4]梁平.高校圖書館服務器虛擬化建設中需要注意的若干細節[J].工程技術，2012-10.

[5]陳鵬.虛擬化數據中心安全問題分析[J].通訊世界，2018-3.