程彦博
相较前些年,近年来云计算开始在我国各个行业落地,诸多企业开始更广泛地使用虚拟化技术,来实现数据中心的云化。然而,在企业数据中心迈向云端的同时,更多的安全威胁和传统安全防护体系力不从心,成为令企业信息化管理者头疼的问题。近日,记者了解到了广东中烟工业有限责任公司(下文简称广东中烟)在数据中心云化后采用的安全防护解决方案,为相关企业提供借鉴。
广东中烟成立于2003年,负责广东卷烟工业的生产经营和管理,下设广州卷烟二厂、梅州卷烟厂、韶关卷烟厂、湛江卷烟厂,共有5000多名员工。作为国内信息化建设领先的省级烟草工业公司,广东中烟早在2012年底就利用虚拟化技术向内部业务部门提供了云计算应用平台。然而,各项应用上线运行一年之后,云数据中心系统管理中的两大性能问题越来越突出,严重阻碍了广东中烟信息化应用对业务的支撑。
性能瓶颈的源头
据广东中烟工程师李先生介绍,公司采用VMware的解决方案建设云数据中心的初衷就是提高IT基础设施的利用率,提升投资回报率。然而,在上线之后,随着业务和虚拟机的增多,防病毒体系成为了云数据中心的性能瓶颈,让投资回报率降低,有违云计算的理念。总结起来,广东中烟云数据中心遇到的性能瓶颈主要有两个。
性能瓶颈一:磁盘I/O风暴,导致虚拟机运行缓慢。
据长期监控所得到的IT运维数据分析显示,一到办公繁忙的时间段,部署在云中心的业务系统访问速度会明显下降。此时,登录到云中心管理平台进行检查,会发现ESXi主机的存储I/O次数会明显大幅增加。经过虚拟化厂家及云中心运维工程师的深入分析,发现导致云中心出现磁盘I/O风暴的源头就是部署在各个虚拟机上的传统防病毒客户端。由于传统防病毒客户端并不是针对虚拟化环境设计,因此在实时病毒扫描时,会产生大量的磁盘I/O访问操作。当操作超过了ESXi主机能够支撑的阈值时,便会导致磁盘请求大量堆积,进而形成磁盘风暴,最终导致虚拟机变得异常缓慢。
性能瓶颈二:防病毒软件扫描耗时过长,影响业务正常运作。
当业务系统在物理机环境运行时,所有计算资源独立,传统防病毒软件在执行预设任务“全盘扫描”时,能够在第二天上班前顺利完成,不影响业务正常运作。但当业务迁移至云中心时,物理机的资源由多个虚拟机分享,执行全盘扫描时就会根据虚拟机的优先级分配资源。这就导致了优先级较低的虚拟机需要花费更多的时间来完成该任务,影响了用户第二天的正常使用。
面对以上棘手的难题,李先生认为:“现有的传统防毒软件,由于它们并不是专为虚拟化环境设计的,如果把其部署在云中心,会对云中心的各种计算资源带来巨大的压力,并影响业务的正常运行,甚至导致虚拟化环境崩溃。显然,传统的防病毒软件已经不能再适用新环境下的需求。经过多次的讨论之后,虚拟化势在必行。为此,我们需要考虑借助专门在虚拟化平台上研发的安全解决方案,来改善遇到的上述安全问题,应对日新月异的威胁攻击。”
应用无代理防护
为了确保云中心发展的可持续性,同时避免病毒对数据、应用和网络带来威胁,广东中烟开始广泛寻找最佳的解决方案。一次偶然的机会,广东中烟了解到趋势科技Deep Security与VMware兼容度极高,它能够利用VMware发布的vShield EndPoint安全接口在VMware ESXi平台上提供“无代理”防护方案,直接把防护客户端部署在虚拟化平台ESXi上,能够有效地解决之前遇到的各种问题。经过与趋势科技技术顾问的深入交流和反复测试,广东中烟最终决定使用趋势科技Deep Security作为其云中心的安全保障,以此推动虚拟化进程的建设。
据介绍,在实施阶段Deep Security无代理功能相对于传统防病毒产品表现出优异的性能和管理优势,很好的解决了磁盘I/O风暴、全盘扫描耗时过长等虚拟化特有的安全难题。随着广东中烟虚拟化应用范畴的不断扩展,Deep Security无代理技术已经完全避免了磁盘I/O风暴的产生,使得云中心在办公忙时的业务访问不再缓慢,充分展示了云中心低成本、高效能、易管理的建设价值。
由此,趋势科技Deep Security完全满足了广东中烟的安全防护需求,并解决了云数据中心的性能瓶颈。它让管理员不必再为性能忐忑不安。对此,李先生表示:“安全是一个整体,物理机和虚拟机都需要防恶意软件的保护,但是虚拟化安全解决方案必须专为共享资源环境设计,绝不能因为安全而耗尽性能。在实施Deep Security后,我们可以放心地把云技术延伸至虚拟桌面等创新应用中,并对下一阶段的云业务拓展和大数据应用前景更有信心。”