IT領(lǐng)域的每個人基本上都聽說過服務(wù)器虛擬化,以及數(shù)據(jù)中心和企業(yè)客戶在媒體所鼓吹的驚人成就。大型公司在服務(wù)器擴(kuò)展、電源、發(fā)熱及技術(shù)支撐方面都面臨著大量的物流和財務(wù)的問題。服務(wù)器虛擬化可以解決這些問題,并且可以改變測試和開發(fā)環(huán)境,從而在根本上改變業(yè)務(wù)連續(xù)性和容災(zāi)的能力。但中小企業(yè)(SMB)市場的“數(shù)據(jù)中心”可能只是一個由少量服務(wù)器和一些舊的網(wǎng)絡(luò)部件組成的備份安排和非正式運行的IT機(jī)架。如此,是否也有類似的解決方案?
簡而言之,服務(wù)器虛擬化是在相同的硬件平臺上運行多個并行操作系統(tǒng)的能力。在大多數(shù)情況下,單個操作系統(tǒng)或單套應(yīng)用只能利用10%可用的處理能力及現(xiàn)行的硬件平臺資源。這浪費了大量的硬件投資。
圖 1: 虛擬化架構(gòu)
虛擬的服務(wù)器環(huán)境通過軟件包(管理程序)來給虛擬機(jī)分配硬件資源。廣義上來講,就是現(xiàn)在有一臺高利用率的服務(wù)器,而不是5臺每臺只有10%利用率的服務(wù)器。除了降低了使用的服務(wù)器數(shù)量以外,虛擬化同時也增加了靈活性。更多的虛擬機(jī)可根據(jù)需要在服務(wù)器上增加(或者移除),但不會引起服務(wù)的中斷和停止??偠灾?wù)器虛擬化把硬件和處理能力分離開來,讓管理員可以獨立地管理和調(diào)整它們。
虛擬化架構(gòu)中五個必不可少的組件:
• 軟件(像VMware、Hyper-V或XenSource等虛擬化軟件)
• 服務(wù)器硬件(像Dell、HP或IBM刀片服務(wù)器等標(biāo)準(zhǔn)的1U服務(wù)器硬件平臺)
• 存儲(聯(lián)網(wǎng)的,并與NAS和SAN兼容的統(tǒng)一存儲)
• 交換機(jī)(1GE或10GE以太網(wǎng),可網(wǎng)管實現(xiàn)最佳的流量控制功能的交換機(jī))
• 安全(可避免外來入侵或嚴(yán)重的流量中斷)
表 1. 特性/優(yōu)勢表
軟件(管理程序)
在管理程序領(lǐng)域有三個主要廠商:VMware、Microsoft和Citrix。管理程序允許在相同的硬件平臺上運行多個虛擬機(jī)并且提供在每個虛擬操作系統(tǒng)與底層的CPU、內(nèi)存和IO資源之間的管理接口(像網(wǎng)絡(luò)及存儲設(shè)備)。
在SMB環(huán)境中,免費但擴(kuò)展性有限的管理程序使應(yīng)用不會存在經(jīng)濟(jì)上的負(fù)擔(dān),并且通過許可證可升級的特性來實現(xiàn)未來的增長。高級的實例包括整體虛擬架構(gòu)的規(guī)劃、遷移、管理及控制功能。第三方可提供一些軟件及硬件工具以確保穩(wěn)健的冗余性、恢復(fù)時間和細(xì)粒度的恢復(fù)點。
注意在這種情況下“免費”并不意味著“薄弱”,這一點很重要。即使最低端的管理程序也適用于SMB客戶,并且實惠的解決方案可以構(gòu)建用來解決業(yè)務(wù)連續(xù)性、備份復(fù)原以及災(zāi)難恢復(fù)的挑戰(zhàn)。
因為虛擬機(jī)可以打包成文件并且可離線拷貝用于簡單的容災(zāi)恢復(fù),所以虛擬機(jī)經(jīng)常變革容災(zāi)技術(shù)。正如下圖所示:
圖 2. ReadyNAS復(fù)制
表 2: 產(chǎn)品比較
大多數(shù)現(xiàn)行的操作系統(tǒng)和應(yīng)用與定制的管理程序一起運行。如有疑問,請與應(yīng)用程序供應(yīng)商確認(rèn)。現(xiàn)行的管理程序軟件也包括從物理到虛擬(P2V)的有效工具,從而簡化從物理服務(wù)器到虛擬機(jī)(VM)的初步轉(zhuǎn)換。
智能的和價格可負(fù)擔(dān)得起的網(wǎng)絡(luò)存儲以及交換機(jī)產(chǎn)品可以與任何管理程序一起使用來改變小型企業(yè)的IT環(huán)境。讓我們看一下完整的解決方案的細(xì)節(jié)。
服務(wù)器
鑒于舊的服務(wù)器日益增長的重要性,最佳的解決方法包括升級到一個堅固的服務(wù)器硬件平臺以作為新的虛擬機(jī)的主機(jī)。頂級的管理程序供應(yīng)商都可提供最小的硬件建議或硬件認(rèn)證。即使管理程序包括內(nèi)存管理特性,一般情況下物理內(nèi)存安裝的數(shù)量應(yīng)該反映各種操作系統(tǒng)和將要虛擬化的應(yīng)用結(jié)合的需求。如果有四臺獨立的服務(wù)器且每臺服務(wù)器需要2G的RAM,那么虛擬主機(jī)服務(wù)器應(yīng)該配置為8GB。這可以避免內(nèi)存的更換和以后性能上可能產(chǎn)生的問題。
存儲
虛擬化實際的功能通過網(wǎng)絡(luò)存儲來增強(qiáng)。像高可用性(VMware HA)、負(fù)載均衡(Hyper-V實時遷移)和現(xiàn)場恢復(fù)(VMware SRM)等特性都需要共享的網(wǎng)絡(luò)存儲。當(dāng)存儲設(shè)備被集中管理時,虛擬機(jī)可以連接到各自的容量,然后在仍然運行的平臺之間遷移。自動的負(fù)載均衡,讓操作系統(tǒng)在基于策略設(shè)定的主機(jī)服務(wù)器之間移動,這樣可以實現(xiàn)負(fù)載均衡和硬件投資的最大化。如果虛擬機(jī)崩潰,則只需要觸摸一個按鈕就可以在另外一臺主機(jī)上簡單地啟動。高可用性可以復(fù)制VM到另外一個位置并使用一個新的硬件平臺作為VMs的主機(jī),這樣就可以集成遠(yuǎn)程主機(jī)進(jìn)行災(zāi)難恢復(fù)。
統(tǒng)一的存儲系統(tǒng)允許最大的靈活性。通過存儲中的NAS和SAN功能,文件服務(wù)器可以完全淘汰并直接轉(zhuǎn)移到NAS,同時應(yīng)用服務(wù)器可以通過選擇的協(xié)議(NFS,iSCSI或兩者)轉(zhuǎn)換到VMs。NETGEAR® ReadyNAS®統(tǒng)一的存儲系統(tǒng)經(jīng)過認(rèn)證可與許多虛擬化供應(yīng)商一起協(xié)同工作,從而確保兼容性和互相間的支持。
盡管可靠性很重要,但許多中小企業(yè)都受到成本限制。盡管兩個電源成本很高,但ReadyNAS®系統(tǒng)仍具有現(xiàn)場可替換組件,則系統(tǒng)可以在現(xiàn)場快速地恢復(fù)。
通過離線復(fù)制安裝Microsoft Hyper-V的一個極好示例,請參考Headlands資產(chǎn)管理成功案例。在這個案例中,客戶降低50%的物理服務(wù)器,同時替換老式高端存儲設(shè)備,這樣可以降低80%的資本、運營維護(hù)成本和機(jī)架空間。另外,客戶通過使用內(nèi)置的ReadyNAS®軟件無需額外的費用來實現(xiàn)離線災(zāi)難恢復(fù)解決方案。
交換
因為虛擬機(jī)(VM)需要訪問網(wǎng)絡(luò)資源來運行,所以網(wǎng)絡(luò)基礎(chǔ)架構(gòu)對虛擬環(huán)境是絕對關(guān)鍵的。在一個外部物理網(wǎng)絡(luò)上的交換基礎(chǔ)架構(gòu)必須足夠快來處理網(wǎng)絡(luò)流量的增長,同時必須足夠可靠和強(qiáng)大來管理流量、QoS及安全性以及能讓SMB客戶可以負(fù)擔(dān)得起。NETGEAR ProSafe網(wǎng)管交換機(jī)具有終生的保修期,并通過靈活和易于管理的軟件提供連接到物理服務(wù)器、客戶端、網(wǎng)絡(luò)存儲和其它資源的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)。
• 10GE的連接和鏈路聚合實現(xiàn)更高的吞吐量/性能
• 端口的故障轉(zhuǎn)移配置實現(xiàn)可靠性
• VLAN實現(xiàn)隔離備份NAS或SAN流量
• 網(wǎng)絡(luò)流量管理實現(xiàn)總體性能的提升
安全
任何新技術(shù)總是帶來新的威脅和與之相關(guān)的安全性問題。虛擬化也不例外。在2007年10月,Gartner預(yù)測直到2009年60%的虛擬機(jī)將比對應(yīng)的物理設(shè)備更不安全。以下是虛擬化所面臨的主要安全威脅:
• 虛擬化特定攻擊
• 傳統(tǒng)的威脅
• 管理的職責(zé)
• VM無計劃地擴(kuò)展
• 虛擬機(jī)的細(xì)分
大多數(shù)公司對以上所列的一部分威脅有更多的處理經(jīng)驗,而且都是傳統(tǒng)的威脅。正如許多面向VM的威脅仍然通過傳統(tǒng)的方法(例如垃圾郵件及惡意網(wǎng)頁)進(jìn)入網(wǎng)絡(luò)那樣,這也正是保護(hù)虛擬環(huán)境安全的一個好的開端。多年來,服務(wù)器和最終用戶的PC都經(jīng)受到大量在線威脅的攻擊。
全球每年都生成數(shù)以百萬計獨特的惡意程序。這些惡意程序通過網(wǎng)頁和垃圾郵件來“推”上用戶的桌面電腦。因為虛擬機(jī)在本質(zhì)上是“實際”設(shè)備的但不具有物理部分的機(jī)器,所以這些威脅對于虛擬機(jī)和物理設(shè)備一樣都是易受到攻擊的。大多數(shù)的威脅并不區(qū)分虛擬機(jī)及物理設(shè)備。不管是否虛擬機(jī),垃圾郵件都會攻擊郵件服務(wù)器。
虛擬機(jī)通過執(zhí)行病毒代碼從而被病毒感染。此時不僅VM本身有風(fēng)險,而且管理程序和在上面運行管理程序的所有機(jī)器都有風(fēng)險。一旦管理程序本身受到攻擊,則將失去所有的東西。 訪客VM上的所有數(shù)據(jù)和應(yīng)用都處在危險之中。一直以來,訪客VM都很在意這些攻擊。
圖 3. 受攻擊的管理程序和VMs
比以往的任何時候都更需要遵循傳統(tǒng)的安全措施和策略。反病毒軟件必須在每臺VM上部署,特別是在主機(jī)系統(tǒng)本身。需要為每個虛擬資源清晰地定義訪問權(quán)限。最好的是在網(wǎng)關(guān)上部署分層的網(wǎng)關(guān)安全解決方案。入侵保護(hù)系統(tǒng)可以阻止基于非惡意軟件的攻擊,如SQL注入。反垃圾郵件及網(wǎng)頁過濾可以防止用戶暴露于網(wǎng)頁及郵件中攜帶的惡意軟件。對于那些設(shè)法繞過這層的惡意軟件,網(wǎng)關(guān)的反惡意軟件掃描可以在惡意軟件到達(dá)服務(wù)器或最終用戶設(shè)備之前檢測并移除相應(yīng)的文件。
無論環(huán)境是完全地或部分地從物理的向虛擬的遷移,從惡意活動中保存資源仍然是最重要的。尋找產(chǎn)品,能減少IT周期并且涵蓋內(nèi)部和外部威脅(惡意軟件、病毒、木馬、垃圾 郵件和非法的URL)。如果仍然受到傳統(tǒng)安全風(fēng)險的威脅,那么簡化你的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)就沒有任何的意義。
NETGEAR ProSecure安全網(wǎng)關(guān)保護(hù)網(wǎng)絡(luò)免受來自不同廠商的數(shù)以百萬計的內(nèi)部和外部的安全威脅。欲想了解成功的案例,請閱讀零售商J Peterman和他們通過NETGEAR交換、存儲和安全產(chǎn)品構(gòu)建成功案例的經(jīng)驗。
通過使用適當(dāng)規(guī)模和合理價格的產(chǎn)品及服務(wù),SMB也可以實現(xiàn)與大公司相同的虛擬化。大型公司傳統(tǒng)上為小型企業(yè)提供低端產(chǎn)品時,都會存在產(chǎn)品薄弱或比預(yù)想更多的不相關(guān)的利益沖突。只有NETGEAR能同時提供產(chǎn)品及作為合作伙伴來提供這些關(guān)鍵組件:服務(wù)器、軟件、存儲、交換及安全性。