袁龙超
摘要:通过虚拟化技术构建报业集团信息技术服务平台,使各信息系统统一部署和运行,做到系统间相互独立、共享硬件资源,灵活、动态地满足业务发展的需要。本文对此平台构建和迁移过程中遇到的几个关键性问题进行分析并提出相应对策。
Abstract: The information technology service platform of the newspaper group is constructed through virtualization technology, so that all information systems can be deployed and operated in a unified manner, the systems are independent and can share hardware resources, and meet the needs of business development flexibly and dynamically. This paper analyzes several key problems encountered in the process of platform construction and migration and proposes corresponding countermeasures.
關键词:数据中心;服务器虚拟化与迁移;存储虚拟化;网络安全与管理
Key words: data center;server virtualization and migration;storage virtualization;network security and management
中图分类号:TP309.2 文献标识码:A 文章编号:1006-4311(2018)36-0271-02
0 引言
随着媒体融合的深度发展,信息系统规模化经营势在必行;尤其随着集团业务的高速发展,数据中心对各类业务系统的重要性愈加明显,如OA、财务、广告、新闻采编和ERP等系统。过去各项业务系统经过不断地更新换代,每个系统都一个独有的物理服务器,然而由于传统数据中心建设模式是纵向结构,服务器之间无法复用各类资源,只能通过堆加服务器来满足业务要求,如此一来,由于服务器资源过多导致的问题越来越多,包括硬件利用率低下、运行成本高、管理复杂等,久而久之,数据中心便无法在节约成本和快速响应两者之间掌握平衡。
采用虚拟化技术的数据中心能根据不同业务的资源消耗,自动分配硬件资源,最大限度满足集团数据中心的高效率、高性价比和自动化管理等要求。前提是审慎规划虚拟化迁移方案,以避免引起服务中断或数据丢失等各种复杂情况,否则将对集团的各项业务造成不利影响。所以在设计虚拟化规划和迁移方案时认真考虑下列建议,确保迁移项目平稳顺利地进行。
1 稳妥无缝的迁移旧系统
对于报业广告、发行、财务等系统已使用了8-9年,虽功能目前基本满足现实需求。但面临着两个难题:①系统安装程序和文档因时间太久资料不全;②服务器硬件因连续运行多年面临着随时挂机的可能。如何用虚拟化迁移这些系统呢?
p2v能把现有运行在物理服务器上的业务系统在线迁移到虚拟化平台上,迁移的内容包括操作系统、系统配置及驱动、业务应用及数据库等全部的物理服务器的信息,自动与现有的服务器进行数据同步。在实际迁移中,为提高迁移的成功率,建议:①在迁移之前断开网络,用直通网线将要迁移的“源”服务器与“中间服务器”连接在一起。②暂停“源”服务器的SQL Server服务、杀毒软件,暂时关闭“源”与“中间服务器”的防火墙。③使用chkdsk命令,检查“源”服务器每个分区是否错误,并进行修复。④移除“源”服务器上有一些与关键服务无关的数据,如安装程序、镜像等。⑤在转换虚拟机后,需要对其进行配置后优化,并在目标虚拟环境启动。⑥把源服务器下线,将虚拟后服务器的机器名、IP地址、MAC地址修改成源服务器的网络参数并重启服务器。⑦验证虚拟化的服务器各项服务是否正常。
2 整体统一规划存储方案及规范存储名称
存储是各种虚拟化应用环境的关键元素,所以存储设计一直都很重要,随着虚拟化应用规模与重要性的不断提高,如需要支持更大工作负载、支持关键应用、创建更大型集群时它的作用变得越来越重要,这主要体现一下几个方面。虚拟化的很多高级特性都依赖于共享存储,如HA、DRS、FT等都必须依赖于共享存储。如果说服务器层面的设计决策可能影响虚拟化的质量,而网络与存储的设计决策决定着整套虚拟化的成败。只有做出合理选择,才能创建一个高效的共享存储设计,既能降低虚拟化环境的建设成本,又能提高效率、性能、可用性和灵活性。
在管理虚拟化数据中心时,为了后期的管理与使用方便,建议对数据中心的存储进行统一规范。命名的方式有多种,可以根据管理员习惯的统一规划进行命名,还要将本地存储和共享储分开命名。
3 合理规划虚拟机,防止泛滥
及时关闭注销不需要的测试机;虚拟化技术的出现有效降低了部署服务器的成本技术门槛,过去需要多个步骤的操作才可完成,现在只需点击几下鼠标即可。然而同时其也面临一些挑战,比如需要创建更多的虚拟机,且这些虚拟机虽非必要却需要管理,每在一个虚拟机在进行过一项应用测试,都必须严格依照相关规范标准操作,否则一旦忘记撤销等,将会面临系统出现网络漏洞的问题,如此势必会增加其面临的安全风险。且某台虚拟机出现问题后,还可能会影响到其它的虚拟机,进而对整个网络环境安全造成严重威胁。因此需要通过制定严格的分级管理平台,角色定义。管理员可以拥有所有资源控制能力,将虚拟机的创建进行分级化管理,这样可以有效避免范围内出现的不安全性向其他区域扩散。同时需要制定报业集团服务器管理制度,禁止随意创建模板或新虚拟机等操作;明确各个虚拟主机的责任人和巡检制度。
4 针对虚拟化平台建立立体的网络安全防护措施
传统的一些安全风险并没有因为虚拟化的应用而降低,而服务器虚拟化的产生,带来了新的网络环境:一台物理服务器之上构建了多台虚拟机。新产生的网络环境及新产生的虚拟机不受原安全防护系统的保护。服务器虚拟化的出现,需要进一步扩大了安全防护的范围。
制度层面:①加强员工网络安全培训,包括法律、集团网络安全规则制度、网络安全基本知识、新技能等,提高员工网络安全的警惕性和自觉性;②加强数据中心安全管理,严格执行集团信息安全防护制度;③定期开展虚拟化平台系统安全加固,保证系统的安全性。技术层面:①针对虚拟化管理平台组建专用物理管理网络,且仅允许从专用网络访问虚拟化数据管理中心;②确保虚拟化主机Shell 和SSH处于禁用状态;对主机进行管理访问时无需使用的所有端口均处于关闭状态;③启用虚拟机加密功能,加密不仅能保护虚拟机,而且还能保护虚拟机磁盘和其他文件;④在部署虚拟机时要按照基线模板以及安全漏洞扫描模板定期对虚拟机进行扫描;⑤进一步保证虚拟机安全,主要包括:虚拟机常规保护、使用模板来部署虚拟机、尽量少部署虚拟机控制台、防止虚拟机取代资源。
虚拟化平台安全性是一个系统性工程,要通过管理和技术双管齐下才能保证虚拟化平台安全。借用美国国家标准与技术研究组织的一句话,“一个有安全威胁的虚拟机往往会影响整个虚拟化架构”。
5 做好虚拟化平台的防病毒措施
针对虚拟化系统,传统方案是把防病毒软件安装在虚拟机上来保护虚拟化平台的安全。但这样的方案并不适用于虚拟化新型平台,原因如下:①“防病毒风暴”问题。直接部署在操作系统上的杀毒软件在执行文件反病毒扫描时,计算机的内存和CPU消耗都会升高不少,如果大量虚拟机同时执行文件反病毒扫描任务,会导致资源竞争。②存在“防护间隙”问题。虚拟机一旦关机或暂停,传统的防病毒软件不再起任何作用,病毒库更新延迟,当虚拟机开始加载到启动后防病毒软件启动这一段时间,虚拟机实际上处在一个无保护的状态,存在保护间断的问题。③管理效率低。传统模式下要为每一台虚拟机上安装反病毒程序和病毒库,也会占用大量的磁盘空间,降低了虚拟化的密度,同时在管理上也不方便。
目前针对虚拟化平台的防病毒主要有无代理或轻代理的反病毒技术。无代理反病毒就是直接在虚拟化管理平台中部署vshield后,即可在ESXI主机中开启endpoint反病毒插件,无需为每个虚拟机安装杀毒客户端。虚拟化的无代理反病毒的优势很明显:①解决了防病毒风暴问题,当大批量虚拟机需要防病毒扫描时,主要扫描负载压力集中在SVM虚拟机上,显著降低各虚拟机的资源负担;②无代理反病毒运维方式更为简单,无需在每个虚拟机上安装客户端程序。SVM上提供集中式的病毒库引擎,供所有虚拟机使用;③支持虚拟机vmotion技术,虚拟机发生漂移,保护也随之跟进。
6 定期对存储行进行空间手动回收
在虚拟化平台上,应用中大多数采用精简置备的模式进行分配空间,这种方式只使用该磁盘最初所需要的存储空间。如果以后需要更多空间,则它可以增长到为其分配的最大容量。如:在创建windows2008虚机的时候,指定的是80G的空间,但是由于使用了thin的方式,可能实际上只分配了20GB的空间。但后来随着windows2008文件越来越多,虽然我们再删了10GB的空间,以为在ESXi存储上这10GB空间被释放了,其实不是的,这10GB空间还是真正划分给了windows2008虚机。所以,我们会发现虽然在创建虚机的时候使用thin的方式,但到后来后端存储空间还是消耗的很快。频繁将虚拟机在存储上来回迁移也会造成类似的结果。
vSphere 5.5 &6.0及之前的版本虽然具有空间回收操作,但还是手动回收。vSphere 6.5开始引入了新的文件系统VMFS6,支持自动unmap。对于vSphere6.0以前的版本,我们可以通过定期手动执行空间回收命令了。通过VC控制中心打开ESXI主机的SSH功能,用超级终端登录ESXI主机,运行 esxcli storage vmfs unmap-l 卷名g 啟动存储的手动空间回收功能。
报业数据中心通过服务器、存储、网络整体虚拟化将各种信息资源进行整合和优化,实现近乎零宕机的硬件维护,减少数据安全隐患,确保系统的高可用性和硬件的高扩展性,提高运维效率。但同时也带来了新的信息安全威胁。只有认真分析虚拟化平台带来的安全威胁,针对新的安全威胁进行安全防护,才能保证我们整个虚拟化环境的安全。本文梳理了数据中心虚拟化的注意事项,分析了虚拟化平台带来的新的安全威胁,通过管理和技术结合,科学的解决了虚拟化平台带来的安全隐患,保障了整个虚拟化平台部署迁移和安全性。
参考文献:
[1]林龙.虚拟化平台的安全风险及其防范策略[J].信息通信,2018-4.
[2]宫月,李超,吴薇.虚拟化安全技术研究[J].信息网络安全,2016-9.
[3]汪来富,金华敏,沈军.虚拟化安全防护关键技术研究[J].电信科学,2014-12.
[4]梁平.高校图书馆服务器虚拟化建设中需要注意的若干细节[J].工程技术,2012-10.
[5]陈鹏.虚拟化数据中心安全问题分析[J].通讯世界,2018-3.