資源描述:
《虛擬化:管理你看不見(jiàn)的錢(qián)》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫(kù)。
1、目錄虛擬化:管理你看不見(jiàn)的錢(qián)1虛擬服務(wù)器并不總是那么安全6虛擬化六大安全問(wèn)題解決克不容緩10服務(wù)器虛擬化安全注意事項(xiàng)13虛擬化挑戰(zhàn)傳統(tǒng)安全概念19虛擬化急需跨過(guò)“安全”這道檻21如何確保虛擬服務(wù)器環(huán)境的安全26如何解決VMware虛擬環(huán)境的數(shù)據(jù)保護(hù)難題2831虛擬化:管理你看不見(jiàn)的錢(qián) 虛擬化究竟是用戶需求,還是技術(shù)需求?虛擬化是不是廠商為了推動(dòng)市場(chǎng)銷售而刻意炒作的一個(gè)概念?對(duì)于虛擬化,是應(yīng)該繼續(xù)觀望,還是應(yīng)該更加積極一些? 芯片虛擬化 當(dāng)閃光燈紛紛聚焦在VMware、微軟、Citrix、Parallels的時(shí)候,英特爾硬件輔助虛擬化常常
2、被忽略了,實(shí)際上硬件輔助虛擬化才是真正的幕后英雄。 沒(méi)有硬件輔助虛擬化,虛擬化軟件架構(gòu)在操作系統(tǒng)之上,透過(guò)操作系統(tǒng)調(diào)用底層的硬件資源,不僅效率不高,而且存在著0級(jí)指令的沖突。據(jù)VMware大中國(guó)區(qū)技術(shù)總監(jiān)張振倫介紹,VMware通過(guò)軟件的方式可以解決所謂0級(jí)指令沖突,但是隨著英特爾等處理器廠商提供了硬件輔助虛擬化的技術(shù),從硬件層面解決了0級(jí)指令沖突的問(wèn)題,虛擬化軟件直接架構(gòu)在處理器層面,直接調(diào)用底層資源,而不是通過(guò)操作系統(tǒng),相反,操作系統(tǒng)構(gòu)建在虛擬化軟件之上。因此,采用虛擬化軟件直接解決了多操作系統(tǒng)環(huán)境的問(wèn)題。因此,硬件輔助虛擬化技術(shù)對(duì)虛擬化
3、業(yè)務(wù)應(yīng)用發(fā)揮了至關(guān)重要的作用?! ?jù)英特爾解決方案部中國(guó)大區(qū)技術(shù)部經(jīng)理梁巖介紹,英特爾硬件輔助虛擬化技術(shù),也就是IntelVT技術(shù),主要由三部分技術(shù)組成:VTx、VTd和VTc。其中,VTx是處理器技術(shù),提供內(nèi)存以及虛擬機(jī)的硬件隔離,所涉及的技術(shù)有頁(yè)表管理以及地址空間的保護(hù)。VTd是處理有關(guān)芯片組的技術(shù),它提供一些針對(duì)虛擬機(jī)的特殊應(yīng)用,如支持某些特定的虛擬機(jī)應(yīng)用跨過(guò)處理器I/O管理程序,直接調(diào)用I/O資源,從而提高效率,通過(guò)直接連接I/O帶來(lái)近乎完美的I/O性能。VTc是針對(duì)網(wǎng)絡(luò)提供的管理,它可以在一個(gè)物理網(wǎng)卡上,建立針對(duì)虛擬機(jī)的設(shè)備隊(duì)列。據(jù)了
4、解,在英特爾提供的網(wǎng)卡中,將虛擬機(jī)數(shù)據(jù)分類管理的功能,從處理器轉(zhuǎn)移到了網(wǎng)卡上,從而解放了CPU,提高網(wǎng)絡(luò)的效率?! √摂M化是技術(shù)需求 虛擬化技術(shù)并不是用戶需求的產(chǎn)物,因此虛擬化技術(shù)并不針對(duì)用戶特定的應(yīng)用需求,也不是用來(lái)解決業(yè)務(wù)的需求。31 虛擬化技術(shù)更多是為了解決處理器資源效率不高的問(wèn)題。據(jù)有關(guān)數(shù)據(jù)統(tǒng)計(jì),服務(wù)器處理器資源效率不高,其平均使用率不足30%。在一次高性能計(jì)算用戶研討會(huì)上,某行業(yè)用戶坦言,其計(jì)算集群的節(jié)點(diǎn),處理器效率很低,大量計(jì)算資源得不到充分的利用。在交流中,英特爾某技術(shù)支持經(jīng)理坦言,推動(dòng)虛擬化技術(shù)對(duì)于英特爾而言并不會(huì)帶來(lái)更多的
5、好處,因?yàn)樘摂M化技術(shù)不能夠帶來(lái)更多的處理器的銷售,還會(huì)減少處理器的用量。英特爾為什么推動(dòng)虛擬化技術(shù),還是因?yàn)樗砹擞脩舻睦?。 就目前的情況看,虛擬化的應(yīng)用主要集中在整合、提高CPU利用率、提高系統(tǒng)穩(wěn)定性、綠色節(jié)能、靈活配置開(kāi)發(fā)、提高系統(tǒng)的可管理性、多操作系統(tǒng)環(huán)境的支持、老舊系統(tǒng)的應(yīng)用遷移、減少軟件采購(gòu)和維護(hù)成本以及節(jié)省數(shù)據(jù)中心機(jī)房空間等幾個(gè)方面,從技術(shù)上看主要集中在整合、P-V和VMotion等幾個(gè)工具軟件上。根據(jù)我們的調(diào)查,在這些應(yīng)用中,整合以及提高CPU利用率最為用戶看好,但是與此同時(shí),對(duì)于虛擬化軟件所帶來(lái)的安全風(fēng)險(xiǎn),以及所導(dǎo)致管理復(fù)
6、雜性增加最讓用戶感到擔(dān)心。某發(fā)電企業(yè)用戶指出,采用虛擬化技術(shù),更多的應(yīng)用被移植到虛擬機(jī)上進(jìn)行,雖然可以更好地利用計(jì)算資源,但是對(duì)于劃分虛擬機(jī)的虛擬化軟件本身的安全性表示十分擔(dān)心,就如同把所有的雞蛋放到了一個(gè)籃子里,其堅(jiān)固性令人放心不下?! “踩缘募夹g(shù)把握 討論虛擬化的安全性,要把虛擬層(Hypervisor),或稱為虛擬化層的安全性與虛擬機(jī)的安全性區(qū)分開(kāi)來(lái)。HA也好,VMotion也好,都是用來(lái)保護(hù)虛擬機(jī)的安全性,并不針對(duì)虛擬化層。 對(duì)于虛擬層的安全性,梁巖指出,虛擬化層,更準(zhǔn)確的說(shuō)是Hypervisor,作為CPU與OS之間的一層平臺(tái),
7、其功能其實(shí)比較簡(jiǎn)單,基本就是一個(gè)“翻譯”的工作,它不像OS那樣復(fù)雜,因此出錯(cuò)的可能性非常低,Hypervisor的可靠性不用過(guò)多擔(dān)心?! ?jù)張振倫介紹,VMware的ESXiServer,其大小僅為32M,它剝離了ServicesConsole,也就是涉及管理和控制一些功能,ESXi將這些管理和控制的功能剝離出來(lái)。張振倫表示,之所以剝離這些功能,最主要的原因是因?yàn)閂Mware發(fā)現(xiàn),ServicesConsole比較復(fù)雜,經(jīng)常會(huì)涉及補(bǔ)丁和更新,由此導(dǎo)致一些不安全的因素。通過(guò)ServicesConsole,ESXiServer的功能更加簡(jiǎn)單。VMw
8、are公司首席渠道系統(tǒng)顧問(wèn)石峰對(duì)此有一個(gè)比喻:剝離了ServicesConsole之后,虛擬層就從一架波音777飛機(jī)隱身為一架隱形戰(zhàn)機(jī),遭受攻擊的可能