將服務器物理資源抽象成邏輯資源,讓一臺服務器變成幾臺甚至上百臺相互隔離的虛擬服務器,我們不再受限于物理上的界限,而是讓CPU、內存、磁盤、I/O等硬件變成可以動態管理的“資源池”,從而提高資源的利用率,簡化系統管理,實現服務器整合,讓IT對業務的變化更具適應力--------這就是服務器的虛擬化。

中文名

服務器虛擬化

性質

虛擬服務器

分類

一虛多、多虛一和多虛多

問題

缺乏虛擬化的總體規劃

定義

服務器虛擬化是將系統虛擬化技術應用于服務器上,可以將一個服務器虛擬成多個服務器使用。

當采用服務器虛擬化技術后,便可以在一臺物理服務器上虛擬出若干個虛擬服務器同時服務器虛擬化也為虛擬服務器提供了虛擬硬件設施,并提供良好的隔離性和安全性。服務器虛擬化通過虛擬化軟件向上提供對硬件設備的抽象和對虛擬服務器的管理。服務器虛擬化的實現方式主要有兩種。其中寄宿虛擬化是完全依賴于宿主操作系統,性能較低容易實現的方式:原生虛擬化則完全脫離了宿主操作系統,性能較高,且不易實現的方式。

由于這兩種實現方式的產生,衍生出虛擬化軟件的兩個專用術語其中虛擬機監視器負責對虛擬機提供硬件資源抽象.為客戶操作系統提供運行環境:虛擬化平臺則負責虛擬機的托管,直接運行在硬件之上,其實現直接受底層體系結構的約束。無論采用何種方式實現服務器虛擬化,它都具有多實例、隔離性、封裝性及高性能四個特性,以保證可以被有效地運用于實際環境中。

分類

服務器虛擬化的有多種劃分方式,可以根據虛擬化架構劃分為裸金屬/寄居,根據虛擬化層次硬件輔助虛擬化/軟件輔助虛擬化,根據虛擬化平臺劃分為全虛擬化/半虛擬化。[1]

安全風險

破壞了正常的網絡架構

采用服務器虛擬化技術,需要對原來的網絡架構進行一定的改動,建立新的網絡架構,以適應服務器虛擬化的要求。但是,網絡架構的改動打破了原來平衡的網絡架構系統,也就會產生一些危險系統安全的風險安全問題。比如:如果不使用服務器虛擬化技術,客戶可以把幾個隔離區設置在防火墻的設備上。這樣一來,一個隔離區就可以管理著一個服務器,服務器之間可以不同的管理原則,不同的服務器也就可以有不同的管理方法。這樣,當有一個服務器被外界攻擊時,其它的服務器就不會受到影響,可以正常運行。

但是,如果采用了服務器虛擬化技術,就需要把虛擬的服務器一起連接到同一個虛擬交換機上。通過虛擬交換機就把所有的虛擬的服務器同外部網絡聯系了起來。因為所有的虛擬的服務器都連接在同一個虛擬交換機上,這就造成了一方面原來設置的防火墻功能失去了防護作用,另一方面給所有的虛擬服務器增加了安全風險。當一個虛擬服務器遭受到攻擊或出現狀況時,其它的虛擬服務器也會受到影響。

可能致使系統服務器超載

服務器虛擬化雖然能產生若干個服務器供用戶使用,但是這些產生的服務器只是虛擬的,還需要借用物理服務器的硬件系統來進行各種應用程序的運行。各個虛擬服務器的應用程序非常多,這些應用程序一旦全部運行起來,就會大量占用物理服務器的內存、中央處理器、網絡等硬件系統,從而給物理服務器帶來沉重的運行負擔。如果有一天,所有的虛擬服務器都在運行大量的應用程序,就有可能使物理服務器負荷太大,從而出現服務器超載的現象。服務器超載到一定程度,就有可能造成各個虛擬服務器運行程序速度太慢,影響客戶的使用。更嚴重的還可能造成物理服務器系統崩潰,給客戶帶來無法估量的損失。

致使虛擬機失去安全保護

服務器虛擬化后,每個虛擬機都會被裝上自己的管理程序,供客戶操作和使用虛擬服務器。但是不是所有的管理程序都是完美無缺,沒有安全漏洞的。管理程序在設計中都有可能會產生一些安全漏洞和缺陷。而這些安全漏洞和缺陷則有可能成為電腦黑客的攻擊服務器的著手點。他們通過這些安全漏洞和缺陷會順利地進入服務器,進行一些非法操作。更重要的是,一臺虛擬機管理程序的安全漏洞和缺陷會傳染給其它虛擬機。當一臺虛擬機因安全漏洞和缺陷遭受黑客攻擊時,其它的虛擬機也會受到影響,致使虛擬機失去安全保護。

服務器被攻擊的機會大大增加

連接于同一臺物理服務器的所有服務器虛擬機是能相互聯系的。在相互聯系的過程中,就有可能產生一些安全風險,致使服務器遭受黑客的攻擊。而且,黑客不需要對所有的服務器虛擬機逐個進行攻擊,只需要對其中的一臺虛擬機進行攻擊。只要攻下一臺虛擬機,其它的虛擬機就可以被攻下。因為,所有的虛擬機都是相互聯系的。所以說,服務器虛擬化后被攻擊的機會大大增加了。

虛擬機補丁帶來的安全風險

每個虛擬機都有著自己的管理系統,而這些管理系統是經常需要及時安裝最新補丁以防止被攻擊。但是,一個物理服務器可以帶許多個虛擬機,每個虛擬機就是一臺服務器,都需要安裝補丁,工作量太大。這就給虛擬機的補丁安裝帶來麻煩,會大大影響補丁的安裝速度,使虛擬機不能夠及時安裝不斷,從而帶來安全隱患。另外,一些客戶會通過一些技術手段保留個別虛擬機用于虛擬機的災難恢復。但是,保留的虛擬機很可能沒有及時安裝新的補丁,從而會給災難恢復的虛擬機帶來運行的安全風險。

集成方案

1、一站式全面解決方案

所謂一站式,就是解決方案提供商要提供從項目前期規劃、中期實施到后期維護三個階段的全程解決方案,讓客戶可以在項目的任何階段都享受到廠商級的高效支持。具體來說:第一,在項目前期規劃階段,方案提供商必須幫助客戶完成整體技術規劃、軟件硬件成本核算、可行性分析等多項目任務;第二,在中期實施階段,方案提供商要提供從硬件平臺建設、軟件系統部署、網絡系統調試,到存儲系統安裝等所有的技術服務;第三,在后期維護階段,方案提供商要提供硬件設備保修、軟件技術支持、虛擬系統培訓等多項專業服務,讓客戶輕松自如地建好、用好、管好虛擬系統。

2、端到端服務支持

所謂端到端,就是解決方案提供商要提供單一的服務界面,形成客戶端、服務端兩個業務端口的技術與業務的對接,讓客戶享受到最簡捷的技術支持服務。

具體來說:第一,在科學性方面,方案提供商必須具有成熟的方案,并且可以全面承擔起虛擬化系統的軟件、硬件、網絡、存儲等所有項目的技術支持重任;第二,在服務理念方面,方案提供商需要遵循簡化IT的理念,努力讓客戶的IT系統不斷簡化;第三,在服務措施方面,方案提供商要聚合各個廠商的技術力量,為客戶提供從技術架構、基礎平臺,到虛擬系統等多個層面的技術支持。第四,在服務跨度方面,方案提供商需要遵循幫教結合的原則,為客戶提供最為專業且全面的技術培訓服務,讓客戶可以逐漸地由技術的被動接受者轉變為主動創新者,讓客戶輕松自如地維護虛擬系統。

整合

梳理信息系統,完成信息收集

首先,掌握現有業務系統對應的應用服務器軟、硬件配置,硬件配置主要包括服務器CPU型號及數量、內存容量、本地磁盤大??;軟件配置主要包括安裝的操作系統、Web服務器、中間件版本以及網絡配置(包括IP地址、網關、DNS服務器)。同時還需要注意軟件許可問題,需要向軟件供應商了解遷移至虛擬機后如何重新注冊軟件許可證。最終形成信息系統的配置管理數據庫CMDB。

其次,通過監控應用服務器的資源使用情況,了解應用服務器的現有配置對業務系統運營的支持能力。通??梢岳帽O控系統例如Zoho公司的ApplicationManager應用監控幫助我們實現對服務器性能信息的實時監控,為評估業務系統的硬件需求奠定基礎。

最后,梳理信息系統之間的關聯關系,隨著信息系統的數量越來越多,信息系統之間的關聯關系也變得越來越復雜。通過建立業務視圖梳理業務系統之間的關聯關系,并找出對應的配置信息,避免因為服務器虛擬化整合破壞信息系統之間的關聯關系。

制定測試計劃,開展遷移測試

首先,如果原有的機架和塔式服務器的使用年限較長,硬件配置相差較大,那么建議新購刀片服務器取代原有的服務器。主流廠商IBM、HP以及Cisco的刀片服務器在電源使用效率、制冷以及硬件配置方面具有巨大優勢,能夠滿足虛擬化管理程序hypervisor對硬件的要求,為實現高可用性、分布式資源調度掃清了障礙。通常虛擬化平臺對服務器的內存要求較高,建議在采購刀片服務器時盡可能配置較多數量的內存,這樣可以在一臺物理服務器上運行更多的虛擬機。眼下,三大刀片服務器對內存的支持都達到了512GB以上,有的甚至達到了2TB。

其次,vSphere是目前使用最為廣泛的虛擬化管理平臺,目前最新的版本為vSphere5。如果使用vSphere5,需要注意的是其不同的軟件版本所支持的虛擬CPU(vCPU)和虛擬內存(vRAM)是不同的。例如,如果信息系統對計算能力要求相當高,那可能要考慮采用vSphere5的企業增強版,每臺虛擬機支持32路的vCPU。另外,每顆物理CPU所支持的vRAM的數量不容忽略。例如,vSphere5企業版,每顆物理CPU支持的vRAM為64GB。如果一片刀片服務器配置了4顆CPU,那么在使用vSphere5企業版的情況下,最多可以使用的物理內存為256GB。

最后,確定將采用的服務器虛擬化整合方式。采用P2V方式,物理服務器與虛擬服務器之間是一一對應關系,完成虛擬化整合后,對配置進行的更改通常也較小。但是P2V不能解決軟件版本升級問題,也容易導致服務器數量的蔓延。采用新建虛擬機方式,可以首先基于最新的操作系統、Web服務器、中間件版本構建虛擬機,然后按照重新部署應用的方式完成信息系統的部署。這種方法的優勢在于在可以基于同一種應用類型在一臺虛擬機上部署多個業務應用,同時完成軟件版本的升級。

但是采用新建虛擬機的方式往往難度較大,需要確定應用的部署配置并將業務系統的關聯關系考慮在內,還要進行大量的應用部署測試等工作。如果企業自己具有信息系統開發團隊,而且開發工作也是在企業內部完成的,那么建議采用新建虛擬機的方式。如果信息系統是由外部開發商所開發且不能提供良好的遷移技術支持,那么為降低虛擬化整合的風險,P2V可能是唯一的可行方式。。

進行虛擬化整合,完成服務器整合

完成遷移測試,根據遷移測試結果,我們就可以編制相應的虛擬化整合計劃了:明確虛擬化整合涉及哪些信息系統,將采用什么方式進行整合,需要對哪些配置信息進行修改,虛擬化整合工作將在什么時間進行,相關的部門與人員有哪些。為確保遷移成功,避免遷移失敗,需要在完成遷移后進行業務測試并制定回退計劃。

虛擬化整合計劃經信息化主管領導審批同意后,就可以在非業務工作時間開展遷移工作了。虛擬化整合工作仍然要以信息系統作為處理單元,明確信息系統內部需要進行的配置變更以及為保證該系統正常工作在外部需要做出的其他配置更改。以通過互聯網訪問、向公眾提供查詢的某信息系統為例,我們將其中間件從物理服務器遷移至新建的虛擬機,在應用服務器的IP地址發生變更的情況下,通常需要修改內部域名服務器與IP地址之間的對應關系,確保原有的域名解析為現有的IP地址。與之關聯的信息系統也要做出相應的IP地址配置調整,以確保它們之間的關聯關系沒有被破壞。

兩大難題

虛擬化技術是柄雙刃劍:一方面企業可以據此實現敏捷生產、精益運營和高效災備,另一方面虛擬化管理方法論、工具集和可參考最佳實踐的缺失,會讓企業深陷糟糕虛擬化管理的泥沼不能自拔。

以Vertex制藥為例。從最近的一次統計獲知,Vertex制藥共有224臺物理VMwareESX主機,分為110個邏輯服務器。而且在我們訪談的中途,Vertex的高級IT工程師ChrisPray就又從業務部門收到了增設16個邏輯服務器的服務請求?!耙罉嫿ㄌ摂M主機只是第一步,遷移數百TB生產數據才叫棘手,”Chris說道,“這就是一場不停追趕的游戲,虛擬化規模擴大,實施虛擬化服務的策略和流程也隨之擴展,直到你無法控制。在Vertex是這樣,在我以前雇主那兒也是如此?!?/span>

再來說密歇根州Ionia市的Independent銀行。據其IT總監PeteGraves的介紹,眼下Independent銀行共有約500臺物理和虛擬主機,其當下目標是于2011年末實現80%的服務器虛擬化?!捌鋵嵨覀兿脒_到90%”,Graves說道,“因此我們一直在密切討論如何實現這個目標,包括什么必須做,什么一定不能做?!?/span>

“我們制定一些參考基準以幫助我們判斷哪些設備必須要虛擬化,而另外的可以虛擬化也可暫保持現狀。然后我們統計必須要虛擬化的設備規模,并制定遷移計劃和相關進度控制目標,”Graves說道。同時他還表示,虛擬化管理策略是不斷變化的,“從來不可能按計劃完成目標,因為我們總是根據新的發現不斷改進目標,并隨之改變行動方案,“他補充道。

從這兩例我們可知,虛擬化管理有兩大棘手之處:如何保持恒定的部署速度,以及如何管理不可見的資源。

實際代表性作品

XenServer是思杰公司(Citrix)推出的一款服務器虛擬化系統,強調一下是服務器“虛擬化系統”而不是“軟件”,與傳統虛擬機類軟件不同的是它無需底層原生操作系統的支持,也就是說XenServer本身就具備了操作系統的功能,是能直接安裝在服務器上引導啟動并運行的,XenServer目前最新版本為5.6.100-SP2,支持多達128G內存,對2008R2及LinuxServer都提供了良好的支持,XenServer本身沒有圖形界面,為了方便Windows用戶的易用,Citrix提供了XenCenter通過圖形化的控制界面,用戶可以非常直觀的管理和監控XenServer服務器的工作。

vSphere是VMware公司推出一套服務器虛擬化解決方案,目前的最新版本為5.0。vSphere5中的核心組件為VMwareESXi5.0.0(取代原ESX),ESXi與Citrix的XenServer相似,它是一款可以獨立安裝和運行在祼機上的系統,因此與他我們以往見過的VMwareWorkstation軟件不同的是它不再依存于宿主操作系統之上。

在ESXi安裝好以后,我們可以通過vSphereClient遠程連接控制,在ESXi服務器上創建多個VM(虛擬機),在為這些虛擬機安裝好Linux/WindowsServer系統使之成為能提供各種網絡應用服務的虛擬服務器,ESXi也是從內核級支持硬件虛擬化,運行于其中的虛擬服務器在性能與穩定性上不亞于普通的硬件服務器,而且更易于管理維護。

軟件

1、CitrixXenServer

CitrixXenServerTM作為一種開放的、功能強大的服務器虛擬化解決方案,可將靜態的、復雜的數據中心環境轉變成更為動態的、更易于管理的交付中心,從而大大降低數據中心成本。XenServer是市場上唯一一款免費的、經云驗證的企業級虛擬化基礎架構解決方案,可實現實時遷移和集中管理多節點等重要功能。

2、WindowsServer2008Hyper-V

Hyper-V采用微內核的架構,兼顧了安全性和性能的要求。Hyper-V底層的Hypervisor運行在最高的特權級別下,微軟將其稱為ring-1(而Intel則將其稱為rootmode),而虛擬機的OS內核和驅動運行在ring0,應用程序運行在ring3下,這種架構就不需要采用復雜的BT(二進制特權指令翻譯)技術,可以進一步提高安全性。

3、VMwareESXServer

VMwareESXServer為適用于任何系統環境的企業級的虛擬計算機軟件。大型機級別的架構提供了空前的性能和操作控制。它能提供完全動態的資源可測量控制,適合各種要求嚴格的應用程序的需要,同時可以實現服務器部署整合,為企業未來成長所需擴展空間。