如何維護(hù)好虛擬化環(huán)境的健康與安全？

      1. 處理掉所有不再需要的舊服務(wù)

      既然利用虛擬化的目的在于減少能耗和冷卻所帶來的費用，那為什么還要將導(dǎo)致這些問題發(fā)生的根源繼續(xù)保留下去？

      抵制那些利用這些舊服務(wù)器來執(zhí)行其他功能的誘惑，因為這將與實現(xiàn)虛擬化的目標(biāo)背道而馳。將這些舊服務(wù)器插頭拔掉，從機架上拆除并請人拉走。雖然這么說，也許您還需要保留若干相對較新的服務(wù)器并在這些服務(wù)器上運行免費的虛擬化產(chǎn)品，以便于將其作為您新的虛擬主機的補充。

      2. 制定一個定期的工作計劃，以便于對您的虛擬主機進(jìn)行操作系統(tǒng)補丁更新。

      這個工作的重要性必須得到足夠的認(rèn)識。虛擬主機上運行著眾多的客戶。如果這些客戶由于一個未更新補丁的攻擊而受到損害，那么無論客戶本身是多么安全、以及多么及時地更新補丁，他們都會遭遇同樣的命運。

      對服務(wù)器及時更新補丁要比對客戶及時更新補丁更為麻煩，這是因為客戶通常必須被更新，而主機則必須被重啟。為了簡化該過程，可以使用自動補丁更新腳本程序或使用第三方應(yīng)用程序。

      同時，應(yīng)確保及時得到更新補丁的發(fā)布信息。并不是所有的供應(yīng)商都會按照一個固定的計劃發(fā)布補丁。訂閱更新補丁發(fā)布郵件，從而確保當(dāng)補丁發(fā)布時您能被及時通知，以便于您可以定期地對您的主機更新補丁。

      3. 時刻對VM蔓延提高警惕，并尋求各種方法在您的環(huán)境中阻止它。

      因為VM蔓延往往會在一段時期內(nèi)發(fā)生，這就使得防止VM蔓延成為一個并不輕松的任務(wù)。虛擬機（VM）并不是一個實際的物理存在，因此它們并不能被管理員輕松地創(chuàng)造。

      許多管理員都將VM視為可以應(yīng)需而創(chuàng)造的“免費”服務(wù)器。但是很不幸，VM并不是免費的。每一個VM都要占用主機的資源，VM越多，您主機的資源就會被占用得越多。

      如果VM蔓延這個問題不能得到有效的控制，它就會造成主機資源缺乏并成為嚴(yán)重影響您所有VM性能的瓶頸。因此，您將不得不另行購買更多的主機服務(wù)器和共享存儲器來解決這個問題，而這必將帶來額外的費用支出。

      除此之外，還有若干的選擇可以用于控制VM蔓延。其一就是執(zhí)行諸如Vkernel公司的資源回收系統(tǒng)，或使用 Vizioncore公司用于VMware的vFoglight產(chǎn)品，以創(chuàng)建針對資源使用情況的報告。微軟公司的Hyper-V 具有一些適用的資源回收標(biāo)準(zhǔn)，但是缺乏工具進(jìn)行有效的利用。

      另外一個選擇就是對創(chuàng)建VM的管理員進(jìn)行限制。制定一個正式的申請新VM的流程，這相對于允許數(shù)據(jù)中心中每一個管理員任意創(chuàng)建VM將更為有效。您可以要求每一個新VM申請都提出其正當(dāng)?shù)睦碛?，并對其進(jìn)行審核批準(zhǔn)，以便于使用戶考慮是否他們真正地需要創(chuàng)建這個新VM。

      4.　使用第三方的專門設(shè)計用于運行在虛擬環(huán)境中的備份產(chǎn)品。

      VMware的Consolidated Backup，是一款通過備份代理服務(wù)器而間接備份主機VM的產(chǎn)品。使用傳統(tǒng)方法來備份虛擬環(huán)境效率很低而且費時。對每一個VM安裝一個備份agent并通過Guest OS來對服務(wù)器進(jìn)行備份，這是一個極為耗費主機服務(wù)器資源的方法，并且對所有運行于該主機上的VM都無任何積極意義。

      當(dāng)然也有些替代方法，例如將它們的虛擬磁盤文件復(fù)制到其他的服務(wù)器或磁盤存儲裝置中。

      5.　使用各種內(nèi)置的虛擬性能管理工具，或使用第三方的設(shè)計用于管理虛擬環(huán)境的應(yīng)用程序。

      傳統(tǒng)的服務(wù)器管理工具和產(chǎn)品也許在虛擬環(huán)境中并不能有效地工作，因為它們不了解虛擬主機的基本程序管理層。由于這些產(chǎn)品并不是為在虛擬環(huán)境中工作的條件下而設(shè)計的，那么它對VM的性能的衡量也許并不精確。

      這個問題源于虛擬化的基本性質(zhì)?？蛻糁豢紤]其物理服務(wù)器及其對所有資源的獨有控制。例如，一個具有2GB RAM的客戶只簡單地看到了其2GB的RAM，但實際上主機服務(wù)器還在管理內(nèi)存，或許使用了諸如存儲頁面共享和Memory Ballooning等先進(jìn)技術(shù)來更為有效地使用內(nèi)存。另外，如果主機運行于物理內(nèi)存之外，該主機可能會使用虛擬交換文件，從而為其VM提供必須的內(nèi)存。

      這就是為什么了解虛擬層中發(fā)生了什么是如此的重要，而這恰恰是傳統(tǒng)性能工具所無法感知的。這也同樣適用于網(wǎng)絡(luò)，這是因為通常虛擬網(wǎng)絡(luò)也無法用傳統(tǒng)網(wǎng)絡(luò)管理工具進(jìn)行管理。但有許多適用的第三方應(yīng)用程序，這些程序?qū)ｉT設(shè)計用于工作在虛擬網(wǎng)絡(luò)中，可以監(jiān)控和保護(hù)虛擬開關(guān)及連接到他們的客戶機。

      6.　在虛擬環(huán)境中將安全設(shè)為最高優(yōu)先級，以防止對您虛擬主機未經(jīng)授權(quán)的訪問。

      這是一項需要恰當(dāng)衡量的日常性事務(wù)，它可以確保您的環(huán)境處于保護(hù)之下。其中包括了使用安全工具對主機進(jìn)行周期性掃描，以搜尋配置設(shè)置和可能降低您主機安全性的開放端口。

      有許多的免費安全掃描程序可用于Linux和Windows主機掃描。另外有許多虛擬化專用的安全應(yīng)用程序，諸如 Configuresoft公司的Compliance Checker和Tripwire公司用于VMware ESX主機的Config Check。您也可以通過監(jiān)控您主機服務(wù)器的日志文件，搜索任何與安全相關(guān)的事件，如未經(jīng)授權(quán)訪問的嘗試。

      7.　讓您的虛擬化管理員們得到恰當(dāng)?shù)呐嘤?xùn)，從而確保他們能夠勝任工作崗位。

      大多數(shù)虛擬主機系統(tǒng)管理員都是Windows或Linux系統(tǒng)管理員，他們擔(dān)當(dāng)著運行虛擬主機服務(wù)器的額外任務(wù)。虛擬主機與傳統(tǒng)操作系統(tǒng)不同，正確管理虛擬主機需要管理員具備一系列特殊技能。

      您也許能夠發(fā)現(xiàn)虛擬環(huán)境的安裝和設(shè)置相對簡單，但是當(dāng)您第一次遇到一個關(guān)鍵問題時，您就能發(fā)現(xiàn)原來管理員并不具備快速解決問題的正確知識或技能。虛擬環(huán)境中的問題往往影響巨大，這是因為問題一旦發(fā)生，就會影響眾多的VM，這就要求管理員能夠?qū)θ魏伟l(fā)生的問題都做到快速定位并妥善解決。

      這就需要對管理員進(jìn)行適當(dāng)?shù)呐嘤?xùn)。因此，確保您的管理員能夠得到他們所必需接受的培訓(xùn)，并且同時需確保他們能夠得到后續(xù)的培訓(xùn)，這是因為隨著新版本的發(fā)布，虛擬化軟件特點也在快速變化。

      8.　尋找更多的途徑，使您的虛擬化投資發(fā)揮杠桿作用。

      尋找各種機會對額外的物理服務(wù)器進(jìn)行虛擬化，因為虛擬服務(wù)器具有許多優(yōu)越性，例如快照。除了保留必須的防主機宕機能力，還要確虛擬主機已盡可能得到完全的利用。您必須想辦法使虛擬主機發(fā)揮至少70%的能力。如果低于這個使用率，那么您采用虛擬化的目的就并未實現(xiàn)，而虛擬化的目的就是在于使用服務(wù)器上所有可用的資源并將損耗減小到最低。

      如果您發(fā)現(xiàn)當(dāng)其他資源有余而某一資源過度使用時，您可以考慮為那個特定的資源增加容量。例如，如果您主機的CPU使用率小于50%，而內(nèi)存使用率則達(dá)到90%，您可以在條件允許的情況下添加更多的內(nèi)存，以便于您可以更加完全地利用其他的資源。

      當(dāng)完成虛擬化改造之后，你的工作并未結(jié)束。通過執(zhí)行上述的這些任務(wù)，您就能夠使投資回報實現(xiàn)最大化，同時還可以保證虛擬化環(huán)境的健康和安全。

（轉(zhuǎn)載）