马星光　刘仁权　李书珍　任化敏

文章编号：1672-5913(2009)10-0172-03

摘要：本文针对传统模式下计算机实验环境存在的实验时间和地点受限制、机房维护成本过高等问题，通过使用Hyper-V服务器虚拟化技术高效运行虚拟机、使用远程桌面等表示层虚拟化技术操作虚拟机和服务器，从而构建开放的实验环境。这一方法不但使实验场地在时空上得到了有效延伸，还大大提高了实验效率，降低了维护费用。

关键词：虚拟化；Hyper-V；虚拟机；TS网关；远程桌面

中图分类号：G642

文献标识码：B

1计算机实验环境现状

在计算机教学中，实验操作是对学生进行素质教育的一个重要手段。目前，各高校的计算机实验环境大都存在着一些问题。首先，学生的实验时间和地点往往局限于课堂和教学机房，实验操作往往无法长久保留，课后学生很难再现课堂的实验环境，自学的效果大受影响，也使一些长周期实验无法开展。其次，对于“计算机网络”等课程的实验，需要搭建适合团队操作的多用户网络环境，计算机之间的联接方式经常变化，通过物理手段实现起来成本较高。此外，实验条件要求越来越高，而设备更新、经费保障相对滞后，导致一些实验因设备性能不满足要求而无法进行。这些问题在很大程度上影响了实验教学的开展和学生实践创新能力的培养。

2虚拟化技术

当今迅速发展的虚拟化技术可以有效地解决上述问题。

虚拟化打破了物理结构之间的界线，可以高效利用硬件、软件、数据、网络、存储等计算资源。虚拟化有许多不同的类型，包括机器虚拟化、表示层虚拟化、应用程序虚拟化、存储虚拟化、网络虚拟化。

2.1服务器虚拟化

在当今的服务器虚拟化软件中，主要有微软的Virtual Server 2005和Hyper-V、VMWare的ESX Servers、思杰XenServer、KVM等。

微软于2008年6月发布了Hyper-V，它内置于Windows Server 2008操作系统中。在Hyper-V模型中，hypervisor层直接运行于服务器硬件之上，所有的子分区都通过hypervisor与硬件通信，每个子分区都有自己的操作系统，如图1所示。

由于Hyper-V与Windows Server 2008的紧密结合，运行效率高，因此我们将使用Hyper-V技术实现服务器虚拟化。

2.2虚拟化资源管理

微软System Center Virtual Machine Management(SCVMM)是虚拟化数据中心的综合管理解决方案，它能够统一管理虚拟服务器、虚拟机等资源，可加快虚拟机基础结构的建设。SCVMM能可靠地进行物理机到虚拟机的迁移(P2V)，并提供了管理控制台、虚拟机资源库及自助式创建虚拟机等功能。在SCVMM2008中，还可管理第三方的服务器虚拟化软件。

2.3表示层虚拟化

表示层虚拟化软件主要有微软的Windows远程桌面(包括终端服务)、Citrix Metaframe Presentation Server和Symantec PcAnywhere等。

“远程桌面”是Windows为了方便管理员维护计算机而推出的一项服务。管理员使用“远程桌面连接”程序连接到网络上开启了远程桌面功能的计算机，就像自己在该计算机前直接操作一样。

“终端服务”仅存在于Windows Server中，终端服务允许多用户(无论是否为管理员)同时登录到服务器上，互不干扰地操作服务器。

无论是远程桌面还是终端服务，均通过3389端口使用远程桌面协议(RDP)，但由于安全考虑，防火墙通常会阻挡该端口的连接。在Windows Server 2008中提供了“TS 网关”功能，它使用传输层安全性(TLS)隧道将RDP通信传输到443端口。TLS是安全套接字层(SSL)协议最新的、最安全的版本。TS网关封装RDP over HTTPS，建立安全的加密连接。由于多数网络会打开443端口来支持Internet连接，因此，TS网关实现了跨越防火墙的RDP连接。

3构建开放的计算机实验环境

为建成开放式、易管理、可弹性伸缩、安全的计算机实验环境，我们需要组建内部网络(内网)，通过内网防火墙将实验环境发布出来。这样，无论是在校园网还是在Internet上，均可操作内网服务器提供的实验环境，如图2所示。

3.1统一的资源管理和证书服务

Active Directory(AD)是一种基于Windows的目录服务，存储用户、计算机和组等资源信息并允许用户和其他计算机使用此信息。为了统一管理服务器资源和验证用户身份，应在内网配置AD域服务，该服务器即为域控制器(DC)。将内网中的其它服务器加入到该域中，并在AD中创建教师和学生帐号及相关的用户组。

AD证书服务(AD CS)用于颁发和管理使用公钥技术的软件安全系统中的证书。我们使用AD CS来创建证书颁发机构(CA)，用以接收证书申请、验证申请中的信息和申请者的身份、颁发证书、吊销证书以及发布信息，为TS网关加密传输提供证书支持。

3.2配置Hyper-V服务器

Hyper-V是x64版本的Windows Server 2008的角色，仅支持x64架构，因此只能安装在x64处理器和x64操作系统上。Hyper-V要求CPU支持虚拟化技术，比如Intel VT或AMD-V。CPU还要支持数据执行保护(DEP)，如Intel XD或AMD NX。近一两年的服务器基本上都能满足硬件要求。CPU虚拟化和DEP的设置位于BIOS中，在安装Hyper-V前要先启用它们。

由于多台虚拟机同时运行时需要硬盘有较快的读写速度，服务器最好使用高速SAS硬盘组成的RAID5或外部磁盘阵列。如果实验环境中同时运行的虚拟机数量较多，单台服务器的性能无法满足时，可增加Hyper-V服务器的数量。

通过服务器管理器安装Hyper-V角色后，首先使用“虚拟网络管理器”创建“外部”类型的虚拟网络，虚拟机将通过这个网络进行通信。为不影响服务器自身的网络连接，服务器至少有2块网卡，虚拟网络选择服务器未使用的那块。为使虚拟机能够自动获取IP地址，内网中应启用DHCP服务。

为方便不同的教师登录使用Hyper-V管理器，可在服务器管理器中安装“终端服务器”角色。其中，网络级身份验证是一种新的身份验证方法，在建立远程桌面连接并出现登录屏幕之前完成用户身份验证，有助于保护远程计算机免受恶意攻击。但由于在Windows Server 2008和Vista之前的操作系统不支持这种身份验证，为增强适用性，终端服务器应选择“不需要网络级身份验证”。

3.3部署虚拟机

为完成多种网络环境的实验，减少学生安装系统的时间，应事先安装好各种操作系统的虚拟机，不同操作系统的内存使用建议如表1所示。如果需要使用数据库等功能，还要适当增加内存数量。

为实现虚拟机的快速部署，可采用“母盘+差异磁盘”的形式。当使用基于差异磁盘的虚拟机时，它仍以母盘来启动系统，但在此系统内进行的所有操作均被保存在差异磁盘内，而不会改变母盘中的内容。这样不但可以快速创建新的虚拟机，而且节省了磁盘空间。

3.3.1创建表中各个操作系统的母盘

(1) 通过Hyper-V管理器创建和管理虚拟机，使用固定大小的虚拟磁盘，以提高读写性能。

(2) 使用ISO光盘镜像安装操作系统，方便日后添加系统组件。

(3) 应使用统一的命名规范，如W2008EntSp1X64、W2008StdSp1X86、VistaSp1X86、XPsp3X86等。

(4) 除教师使用的管理员帐号外，在虚拟机中再为学生设置管理员用户名和密码，并配置为下一次登录时必须更改密码，确保每个虚拟机除教师外，只有使用者可操作，保护其实验过程。

(5) 安装虚拟机的集成服务，以实现在“虚拟机连接”和“远程桌面会话”中鼠标等设备的正常使用。

(6) 启用远程桌面，并在虚拟机自身防火墙中开放远程桌面的TCP 3389端口。

(7) 为确保其他依据母盘派生出来的系统与母盘之间具有不同的SID，应使用系统中自带的SYSPREP工具删除母盘中SID，这样就可使派生出的系统在第一次启动后自动生成新SID。

3.3.2创建实验用虚拟机

(1) 在母盘的基础上创建差异磁盘。

(2) 根据学生数量复制多份差异磁盘文件，并按统一命名规范重命名。

(3) 创建多个虚拟机，使用上面已经创建的差异磁盘作为虚拟机的存储空间。

(4) 在Hyper-V中为新建的虚拟机创建快照，以便日后将虚拟机快速恢复到初始状态，实现虚拟机的重复使用。

3.4配置SCVMM服务器

在Windows Server 2008服务器上安装支持Hyper-V的SCVMM2008，可统一管理域内多台Hyper-V服务器、虚拟机，并依照服务器上的库资源和模板快速部署虚拟机。同时它还提供了“自助门户”网站，可通过IE来完成相关操作。SCVMM2008的工作界面如图3所示。

3.5配置TS网关

首先在CA服务器上为TS网关使用完全限定域名(FQDN)申请用于Web服务器身份验证的证书，并将其安装在TS网关服务器的“证书(本地计算机)个人”文件夹下。在Windows Server 2008服务器上安装“TS网关”角色服务，并为“SSL加密”选择上述证书。在授权策略中，将教师用户组和学生用户组设置为允许通过TS网关连接。在终端服务资源授权策略(TS RAP)中设置为允许用户连接到网络上的任何计算机。

3.6配置防火墙

在内网防火墙和校园网防火墙上开放到TS网关服务器的443端口，以便校园网内外的计算机均可通过TS网关远程登录到内网的服务器和虚拟机上。

如果希望防火墙核查客户端与TS网关之间的通信，可将防火墙配置为SSL桥接设备，以提高TS网关服务器的安全性。作为SSL桥接设备的防火墙接收并终止用户到防火墙之间的SSL会话、检查数据包后再重新建立防火墙到TS网关的SSL会话。这样，防火墙就可以过滤掉有安全威胁的通信。

4使用开放的虚拟实验环境

4.1设置“远程桌面连接”程序

为了教师和学生的计算机能够通过TS网关连接到内网，这些客户端必须信任TS网关服务器证书，该客户端才能安全地发送用户密码和登录凭据完成身份验证。因此，客户端要先将CA的证书安装在受信任根证书颁发机构存储中。

在“远程桌面连接”程序的高级选项中设置TS网关地址(即申请证书时使用的FQDN)，如图4所示。将要登录的远程计算机名设置为机器名、内网IP或可被TS网关解析为内网IP的FQDN。通过身份验证后，客户机就连接到TS网关的TCP443端口，TS网关则连接到目标计算机的TCP3389端口，从而实现了外网计算机跨越防火墙的访问。

4.2教师操作

在实验开始前，教师登录到服务器，通过Hyper-V管理器启动需要运行的虚拟机，并在学生实验的过程中为某些特定的状态创建快照，或帮助学生将虚拟机恢复到某一状态的快照。在全部实验结束后，再将虚拟机恢复到最初的快照，以便下一批学生使用。

4.3学生操作

开始实验后，学生从教师那里获取实验所用虚拟机的机器名、用户名和口令，远程登录进入后即可进行各项实验。如需暂停，则直接断开远程连接，虚拟机依旧在服务器上运行。再次连接后即可继续实验。不同的虚拟机也可以象物理机一样互相访问。

学生操作Windows Server虚拟机时如需指导，教师可登录到该生的虚拟机，使用远程桌面的任务管理器的远程控制功能，与学生实时交互。如果学生使用桌面系统如XP或VISTA出现问题，则可使用远程协助功能获得教师的指导。同学之间也可借助这种方式协作完成实验。

5总结

运用虚拟化技术构建的开放式计算机实验环境具有很多优点：

(1) 实现了全时空的开放。实验不再受时间和空间的限制，实验场地得到了有效延伸，学生可以在校园内外任何连接网络的计算机上进行实验。

(2) 服务器得以高效利用，节约经费、减少消耗。原来要几十台学生机组成的环境现只需几台服务器就可实现，购置、升级、日常维护、耗电等费用都会大幅降低。原来因学生机性能不够而无法开展的实验现也可正常进行。

(3) 提高实验效率。运用快照功能既可实现完全相同条件下的重复试验，又可迅速恢复到某一状态，节省了教师和学生大量的简单劳动，学生可集中精力研究实验对象本身的特性和规律。

(4) 具有很好的协作性。教师与学生、学生与学生之间可方便实现远程指导、合作实验、协同研究等。

(5) 促进了学生创新意识和创新能力的培养。全新的实验环境为学生开展创新活动营造了良好的条件。学生可以开展综合性实验和创新型实验，摆脱了原有设备条件的约束，可在更深、更广的领域内探索。

运用虚拟化技术构建的开放式计算机实验环境发展前景会更加广阔。

参考文献：

[1] 硅谷动力. 微软:将虚拟化技术应用于Dynamic IT[EB/OL]. [2008-01-29]. http://server.ctocio.com.cn/comment/85/7794585. shtml.

[2] TechTarget中国. 获得认可,专家探讨微软Hyper-V的虚拟化架构[EB/OL].[2008-07-22].http://product.ccidnet.com/ art/19309/20080721/1514203_1.html.

[3] Microsoft. 虚拟化管理[EB/OL].http://www.microsoft.com/china/virtualization/products/management/default.mspx.

[4] 冯长江,阎建生,赵月飞. 电子实验网络化教学手段建设[J]. 实验技术与管理,2002(19):50-52.