圖 1: 虛擬化架構
虛擬的服務器環(huán)境通過軟件包(管理程序)來給虛擬機分配硬件資源。廣義上來講,就是現(xiàn)在有一臺高利用率的服務器,而不是5臺每臺只有10%利用率的服務器�����。除了降低了使用的服務器數(shù)量以外��,虛擬化同時也增加了靈活性�。更多的虛擬機可根據(jù)需要在服務器上增加(或者移除),但不會引起服務的中斷和停止���?�?偠灾?���,服務器虛擬化把硬件和處理能力分離開來���,讓管理員可以獨立地管理和調整它們����。
虛擬化架構中五個必不可少的組件:
• 軟件(像VMware�����、Hyper-V或XenSource等虛擬化軟件)
• 服務器硬件(像Dell����、HP或IBM刀片服務器等標準的1U服務器硬件平臺)
• 存儲(聯(lián)網(wǎng)的��,并與NAS和SAN兼容的統(tǒng)一存儲)
• 交換機(1GE或10GE以太網(wǎng)�,可網(wǎng)管實現(xiàn)最佳的流量控制功能的交換機)
• 安全(可避免外來入侵或嚴重的流量中斷)
表 1. 特性/優(yōu)勢表
軟件(管理程序)
在管理程序領域有三個主要廠商:VMware��、Microsoft和Citrix�����。管理程序允許在相同的硬件平臺上運行多個虛擬機并且提供在每個虛擬操作系統(tǒng)與底層的CPU��、內存和IO資源之間的管理接口(像網(wǎng)絡及存儲設備)�。
在SMB環(huán)境中,免費但擴展性有限的管理程序使應用不會存在經(jīng)濟上的負擔�,并且通過許可證可升級的特性來實現(xiàn)未來的增長。高級的實例包括整體虛擬架構的規(guī)劃���、遷移���、管理及控制功能。第三方可提供一些軟件及硬件工具以確保穩(wěn)健的冗余性���、恢復時間和細粒度的恢復點�。
注意在這種情況下“免費”并不意味著“薄弱”,這一點很重要���。即使最低端的管理程序也適用于SMB客戶,并且實惠的解決方案可以構建用來解決業(yè)務連續(xù)性����、備份復原以及災難恢復的挑戰(zhàn)。
因為虛擬機可以打包成文件并且可離線拷貝用于簡單的容災恢復��,所以虛擬機經(jīng)常變革容災技術�。正如下圖所示:
圖 2. ReadyNAS復制
表 2:產(chǎn)品比較
大多數(shù)現(xiàn)行的操作系統(tǒng)和應用與定制的管理程序一起運行。如有疑問�,請與應用程序供應商確認。現(xiàn)行的管理程序軟件也包括從物理到虛擬(P2V)的有效工具���,從而簡化從物理服務器到虛擬機(VM)的初步轉換��。
智能的和價格可負擔得起的網(wǎng)絡存儲以及交換機產(chǎn)品可以與任何管理程序一起使用來改變小型企業(yè)的IT環(huán)境���。讓我們看一下完整的解決方案的細節(jié)。
服務器
鑒于舊的服務器日益增長的重要性����,最佳的解決方法包括升級到一個堅固的服務器硬件平臺以作為新的虛擬機的主機。頂級的管理程序供應商都可提供最小的硬件建議或硬件認證。即使管理程序包括內存管理特性����,一般情況下物理內存安裝的數(shù)量應該反映各種操作系統(tǒng)和將要虛擬化的應用結合的需求。如果有四臺獨立的服務器且每臺服務器需要2G的RAM���,那么虛擬主機服務器應該配置為8GB��。這可以避免內存的更換和以后性能上可能產(chǎn)生的問題���。
存儲
虛擬化實際的功能通過網(wǎng)絡存儲來增強。像高可用性(VMware HA)�、負載均衡(Hyper-V實時遷移)和現(xiàn)場恢復(VMware SRM)等特性都需要共享的網(wǎng)絡存儲。當存儲設備被集中管理時���,虛擬機可以連接到各自的容量����,然后在仍然運行的平臺之間遷移�����。自動的負載均衡�����,讓操作系統(tǒng)在基于策略設定的主機服務器之間移動,這樣可以實現(xiàn)負載均衡和硬件投資的最大化�。如果虛擬機崩潰,則只需要觸摸一個按鈕就可以在另外一臺主機上簡單地啟動�����。高可用性可以復制VM到另外一個位置并使用一個新的硬件平臺作為VMs的主機����,這樣就可以集成遠程主機進行災難恢復����。
統(tǒng)一的存儲系統(tǒng)允許最大的靈活性。通過存儲中的NAS和SAN功能���,文件服務器可以完全淘汰并直接轉移到NAS����,同時應用服務器可以通過選擇的協(xié)議(NFS���,iSCSI或兩者)轉換到VMs�。NETGEAR® ReadyNAS®統(tǒng)一的存儲系統(tǒng)經(jīng)過認證可與許多虛擬化供應商一起協(xié)同工作,從而確保兼容性和互相間的支持�。
盡管可靠性很重要,但許多中小企業(yè)都受到成本限制���。盡管兩個電源成本很高���,但ReadyNAS®系統(tǒng)仍具有現(xiàn)場可替換組件,則系統(tǒng)可以在現(xiàn)場快速地恢復�。
通過離線復制安裝Microsoft Hyper-V的一個極好示例,請參考Headlands資產(chǎn)管理成功案例�����。在這個案例中��,客戶降低50%的物理服務器����,同時替換老式高端存儲設備,這樣可以降低80%的資本����、運營維護成本和機架空間。另外�,客戶通過使用內置的ReadyNAS®軟件無需額外的費用來實現(xiàn)離線災難恢復解決方案�。
交換
因為虛擬機(VM)需要訪問網(wǎng)絡資源來運行�,所以網(wǎng)絡基礎架構對虛擬環(huán)境是絕對關鍵的。在一個外部物理網(wǎng)絡上的交換基礎架構必須足夠快來處理網(wǎng)絡流量的增長�����,同時必須足夠可靠和強大來管理流量����、QoS及安全性以及能讓SMB客戶可以負擔得起。NETGEAR ProSafe網(wǎng)管交換機具有終生的保修期����,并通過靈活和易于管理的軟件提供連接到物理服務器��、客戶端�����、網(wǎng)絡存儲和其它資源的網(wǎng)絡基礎架構��。
• 10GE的連接和鏈路聚合實現(xiàn)更高的吞吐量/性能
• 端口的故障轉移配置實現(xiàn)可靠性
• VLAN實現(xiàn)隔離備份NAS或SAN流量
• 網(wǎng)絡流量管理實現(xiàn)總體性能的提升
安全
任何新技術總是帶來新的威脅和與之相關的安全性問題���。虛擬化也不例外��。在2007年10月�����,Gartner預測直到2009年60%的虛擬機將比對應的物理設備更不安全�����。以下是虛擬化所面臨的主要安全威脅:
• 虛擬化特定攻擊
• 傳統(tǒng)的威脅
• 管理的職責
• VM無計劃地擴展
• 虛擬機的細分
大多數(shù)公司對以上所列的一部分威脅有更多的處理經(jīng)驗��,而且都是傳統(tǒng)的威脅���。正如許多面向VM的威脅仍然通過傳統(tǒng)的方法(例如垃圾郵件及惡意網(wǎng)頁)進入網(wǎng)絡那樣��,這也正是保護虛擬環(huán)境安全的一個好的開端����。多年來����,服務器和最終用戶的PC都經(jīng)受到大量在線威脅的攻擊。
全球每年都生成數(shù)以百萬計獨特的惡意程序�����。這些惡意程序通過網(wǎng)頁和垃圾郵件來“推”上用戶的桌面電腦。因為虛擬機在本質上是“實際”設備的但不具有物理部分的機器�����,所以這些威脅對于虛擬機和物理設備一樣都是易受到攻擊的�。大多數(shù)的威脅并不區(qū)分虛擬機及物理設備。不管是否虛擬機�,垃圾郵件都會攻擊郵件服務器。
虛擬機通過執(zhí)行病毒代碼從而被病毒感染���。此時不僅VM本身有風險�,而且管理程序和在上面運行管理程序的所有機器都有風險���。一旦管理程序本身受到攻擊�,則將失去所有的東西��。訪客VM上的所有數(shù)據(jù)和應用都處在危險之中���。一直以來,訪客VM都很在意這些攻擊�。
圖 3. 受攻擊的管理程序和VMs
比以往的任何時候都更需要遵循傳統(tǒng)的安全措施和策略。反病毒軟件必須在每臺VM上部署�,特別是在主機系統(tǒng)本身����。需要為每個虛擬資源清晰地定義訪問權限�����。最好的是在網(wǎng)關上部署分層的網(wǎng)關安全解決方案����。入侵保護系統(tǒng)可以阻止基于非惡意軟件的攻擊,如SQL注入��。反垃圾郵件及網(wǎng)頁過濾可以防止用戶暴露于網(wǎng)頁及郵件中攜帶的惡意軟件���。對于那些設法繞過這層的惡意軟件�����,網(wǎng)關的反惡意軟件掃描可以在惡意軟件到達服務器或最終用戶設備之前檢測并移除相應的文件���。
無論環(huán)境是完全地或部分地從物理的向虛擬的遷移,從惡意活動中保存資源仍然是最重要的��。尋找產(chǎn)品,能減少IT周期并且涵蓋內部和外部威脅(惡意軟件����、病毒、木馬�、垃圾郵件和非法的URL)。如果仍然受到傳統(tǒng)安全風險的威脅���,那么簡化你的網(wǎng)絡基礎架構就沒有任何的意義�。
NETGEAR ProSecure安全網(wǎng)關保護網(wǎng)絡免受來自不同廠商的數(shù)以百萬計的內部和外部的安全威脅����。欲想了解成功的案例,請閱讀零售商J Peterman和他們通過NETGEAR交換��、存儲和安全產(chǎn)品構建成功案例的經(jīng)驗��。
通過使用適當規(guī)模和合理價格的產(chǎn)品及服務���,SMB也可以實現(xiàn)與大公司相同的虛擬化�����。大型公司傳統(tǒng)上為小型企業(yè)提供低端產(chǎn)品時,都會存在產(chǎn)品薄弱或比預想更多的不相關的利益沖突。只有NETGEAR能同時提供產(chǎn)品及作為合作伙伴來提供這些關鍵組件:服務器�、軟件、存儲���、交換及安全性�����。
想了解更多關于這方面的信息或聯(lián)系NETGEAR經(jīng)銷商���,請訪問www.netgear.com.cn。
