◆赵瑞峰 孟 莉

（陕西省军区 陕西 710061）

服务器虚拟化在综合信息服务中的应用

◆赵瑞峰 孟 莉

（陕西省军区 陕西 710061）

为缓解信息化建设中，软硬件资源不断增加导致的硬件投入占比大、值勤维护管理难、服务器待机能耗高等问题，本文提出了一种服务器虚拟化在综合信息服务中的应用方案，具体说明系统硬件设备、虚拟化软件、虚拟机的实现方法，验证虚拟化集群的高可用、可扩展、集中管理、资源集约等功能特性，并提出虚拟化系统安全防护应把握的重点环节。通过应用 vSphere对数据中心的虚拟化改造，优化了基础设施利用效率、提升了值勤维护水平，增强了系统综合信息服务能力。

服务器虚拟化；综合信息服务；vSphere；虚拟化系统安全防护

0 引言

当前信息化建设快速发展，越来越多的信息系统投入使用，这些系统在日常管理和业务处理中产生了巨大效能。但由于应用系统对环境要求的差异性，往往一个系统需配备一套硬件设施，这不仅导致硬件投入在系统建设中所占比重过高，而且软硬件资源的不断增加也导致值勤维护管理困难，以及专用系统使用频率低而服务器待机能耗高的问题。虚拟化技术允许在一台计算机上同时运行多个不同操作系统，从而为不同应用服务提供与硬件无关且彼此隔离的运行环境，避免了“一个系统一套设施”的现象。单主机虚拟化已广泛应用于软件测试、模拟练习等场景，被广大运维人员所熟悉。服务器虚拟化是通过统一管理工具，将系统部署、集中管理、性能监控、故障转移等融于一体的解决方案，可降低服务软件与基础硬件之间的耦合程度，减轻应用部署与维护难度，是提升信息中心运维管理与服务水平的有效途径。服务器虚拟化也是基础设施即服务（IaaS）模式云计算的核心技术，是政府及企业实现私有云的主流方案之一。对数据中心进行虚拟化改造能够优化基础设施利用效率、提升值勤维护水平，是增强综合信息服务能力的有益尝试。

1 系统组成

主流的虚拟化方案有 VMware、思杰 XEN、OpenStack、CloudStack、KVM、微软 Hyper-V等等，各方案在系统架构、部署规模、维护界面、授权费用方面均各具特色，其中VMware系列具有产品认可度高、应用广泛、稳定可靠、界面友好等优点。VMware虚拟化产品主要包括WorkStation、vSphere及vCloud，前者主要用于单主机虚拟化，后者是部署IaaS云的解决方案，本文选用vSphere实现虚拟化，实现了对8台服务器21个虚拟机的高效运维管理。

图1 系统组成图

系统主要由硬件设备、虚拟化软件、虚拟机三部分组成。

（1）硬件设备，包括物理服务器、网络存储设备、光交换机、网络交换机等。现在的服务器普遍支持 CPU虚拟化技术，可利用旧服务器。网络存储设备是组建高可用集群的基础，可选用区域存储网络（SAN）产品。根据接口不同，SAN设备分为FC-SAN和IP-SAN两种，选用FC-SAN时，需配套相应的光交换机。服务器均接入机房原有网络交换机。

（2）虚拟化软件，指 VMware vSphere套件，主要包括 ESXi系统、vCenter服务器和管理客户端。ESXi是一个简化的Linux系统和其上运行的虚拟监视器（hypervisor），系统代码经严格审核，能够提供对虚拟化的安全稳定支持。vCenter为虚拟化提供统一管理服务，可独立安装于物理或虚拟服务器，或采用VCSA（VMware vCenter Server Appliance)以模板形式实现快速部署。管理客户端用于登录ESXi或vCenter完成管理任务，当前主要使用vSphere Web Client浏览器模式，vSphere Client客户端不提供对最新版的支持。

（3）虚拟机，包括系统模板、虚拟服务器、维护终端等。系统模板预装了操作系统并完成参数配置，用于快速部署同类虚拟机，而不需要从头安装。虚拟服务器按需部署应用软件支持环境，运行各种业务服务程序提供信息服务。维护终端是安装了维护常用工具和文档资料的虚拟机，为值勤人员提供远程维护、测试环境。

2 具体实现

2.1 安装硬件设备

虚拟系统由8台物理服务器、1台网络存储设备、1台光交换机以及相应的网络交换机组成。物理服务器利用原有的联想RD450和曙光天阔I620r-H服务器，服务器安装FC HBA卡连接至Brocade 300光交换机。网络存储设备使用VNX5200 DPE光纤存储磁盘阵列，其主控通道与备用通道也连接至Brocade 300。磁阵共创建四个虚拟存储卷，分别为1T的重要服务存储卷、2T的数据库存储卷、2T的普通服务存储卷和2T的数据存储卷，这些存储卷均使用RAID 5模式。

2.2 配置虚拟化软件

虚拟化软件安装与配置过程如下：（1）为物理服务器安装VMware ESXi系统，ESXi提供了一个文本式的菜单界面DCUI来配置管理密码、网络地址、主机名等基本参数。（2）按VCSA向导安装vCenter，指定目标主机、vCenter密码、嵌入式部署模式、微型大小、数据存储位置、网络参数、SSO等信息。（3）安装浏览器插件，使用Web Client登录vCenter，可集中配置与管理物理主机和虚拟机。（4）创建数据中心，这是机房设施的逻辑集合，为其指定想要的名称即可。（5）创建集群，集群是具有高可用性及分布式资源调度的设备的集合，集群通常拥有共享的网络存储设备。（6）添加主机，指定物理服务器 IP地址、用户名、密码即可将ESXi主机加入vCenter实现集中管理。

2.3 部署虚拟机

利用模板功能，可实现同类服务器的快速分发。先创建Windows Server或Linux虚拟服务器，完成系统优化、常用服务和软件安装、安全配置等操作，后将系统转化为模板，即可快速部署虚拟服务器。以模板为基础，按照重要业务与普通业务分开、合并同类业务的原则部署应用服务。具体部署WWW、DNS、MAIL等公共服务，OA、HR、行政管理等业务服务，WORK1、WORK2等值勤维护终端，共计21台虚拟机。

3 功能特性

服务器虚拟化与传统独立服务器相比，具有了高可用、可扩展、集中管理、资源集约等功能。

3.1 高可用性

高可用性主要体现为故障转移与负载均衡。故障转移指单一节点故障不影响集群整体，如断开ESXi-1网络连接，虚拟机将自动迁移至ESXi-2运行，保证服务不间断运行。负载均衡指集群能根据负载动态调整虚拟机，如恢复ESXi-1网络连接后，集群将自动迁移部分虚拟机至ESXi-1运行。此外，即使常规重启，虚拟服务器因跳过了主板自检、内存检查、RAID引导等环节，较物理服务器动辄数分钟的重启时间快了很多，通常仅需30秒左右。

3.2 可扩展性

可扩展可伸缩功能主要体现为虚拟服务器及系统整体的性能可调整。虚拟服务器的性能可通过修改CPU、内存、硬盘等参数实现动态调整，按需扩展重要服务性能，减小低频系统开销，实现资源合理利用。系统整体性能可通过增加ESXi主机的数量不断扩展，且在需替换老旧主机时，只要从共享存储加载或拷贝相关文件到新主机即可，不需要从头配置应用服务器。

3.3 集中管理

vCenter的统一管理功能，除了上文提到的集中部署、模板分发、参数配置外，还具有快照恢复、性能监控等功能。快照恢复是虚拟服务器的“时间隧道”，可将故障系统迅速恢复到前期建立的快照，是运维人员最为欣喜的功能之一。性能监控指vCenter可记录并绘制虚拟机CPU、内存、网络等性能运行曲线，根据监控记录，管理员可了解服务器压力状况，适时优化资源配比保证服务水平。

3.4 资源集约

对资源的集约科学管理缓解了独立服务器重复投资与能耗增长等问题。虚拟化可减少物理服务器数量，避免一个系统占据一台服务器的现象，如本文使用8台物理主机运行21台虚拟服务器。对于低频次应用服务，通过减少资源分配缓解空载能耗，需要时可再次调整参数。

4 安全防护

云计算的安全性已成为信息安全领域的新热点，相应标准正在研讨中，其安全防护方法同样符合信息安全的基本原理，需要从物理、技术、管理等领域全面完善安全防护措施。虚拟化系统应符合组织总体安全策略，处于网络边界防护、入侵检测、安全审计框架内，此外还应注意把握虚拟化特有的一些安全环节。

（1）子网隔离。为虚拟化软件划分单独的子网地址，如配置ESXi、vCenter Server处于私有网络10.11.31.0/24，以隔离虚拟环境子网与信息服务子网间的逻辑访问，减轻虚拟化设施遭外网攻击的风险。

（2）边界防护。配置网络交换机ACL、vSphere虚拟防火墙、虚拟服务器系统防火墙等，过滤或限制对ESXi和虚拟服务器的访问流量，如仅允许信任主机连接 vCenter、虚拟服务器仅允许特定主机的远程访问等等。

（3）主机防护。虚拟服务器同样应安装主机防护软件，如防病毒系统、终端防护系统等。应当合理配置杀毒软件扫描策略，使其避开服务高峰且彼此间隔运行。防止因同时启动全盘查杀，导致服务性能严重下降，而造成的杀毒风暴。

（4）加密连接。对虚拟服务器的操作多使用远程控制方式，所使用的远程管理工具应当具有加密功能，确保更新到最新版本，还应当修改默认访问端口，如Windows常用的远程桌面协议（RDP）和Linux常用的SSH、VNC等工具。

（5）访问控制。对虚拟服务器的访问应当遵守指定的密码策略，密码强度应符合要求，且定期更换密码。采用单点登录（SSO）或域控制器时应严格执行密码策略，多个系统间不应使用同一密码，对密码的管理可使用Keepass等工具，多管理员时应指定主要负责人。

（6）安全审计。应定期对设备日志进行安全审计，特别是系统登录日志、入侵检测日志。因Windows对远程访问日志记录不全面，应当配置登录后自动运行的vbs或bat脚本，记录登录时间、源IP地址等信息。

（7）数据备份。快照功能是系统备份的有效措施，应定期对服务器进行快照备份，尤其重大变更前应先备份。同时还应遵守多方法备份原则，利用多种手段对操作系统、升级补丁、应用软件、业务数据、配置参数等数据进行完整备份。

（8）故障恢复。ESXi能够在故障恢复后自动启动虚拟机，应根据系统服务重要程度设置启动顺序与启动时延等参数。为检验系统可能存在的单点故障，应组织规模适度的灾难恢复模拟演练，切实提升系统生存能力。

（9）渗透测试。模拟攻击者入侵行为的渗透测试，能够揭示针对云计算的最新攻击矢量与系统脆弱性，是衡量安全防护真实水平的重要途径。应结合重大任务活动，邀请或接受渗透测试，分析积累攻击模式，加深对虚拟化系统安全防护的理解。

5 结束语

通过对信息中心的虚拟化改造，有利于保护既有设备投资，提升值勤运维水平，增强综合信息服务能力，是数据中心建设的重要趋势之一。本文采用的VMware vSphere技术趋于成熟，安装维护方便、操作使用友好、可行性高，且 vmdisk可直接导入大规模云计算方案，如vCloud或OpenStack等，是中小型信息中心向云计算过渡的合理方案之一。

[1]Kai Hwang,Geoffrey C.Fox,Jack J.Dongarra，武永卫译.云计算与分布式系统 从并行处理到物联网[M].北京:机械工业出版社，2015.

[2]张为名，赵立君，刘玮.物联网与云计算[M].北京:电子工业出版社，2012.

[3]赵志坤.服务器虚拟化在神东信息化建设中的应用[J].网络安全技术与应用，2016.

[4]王正.服务器虚拟化在企业数据中心的应用[J].网络安全技术与应用，2015.

[5]武佳宁.基于VMware vSphere的数据中心服务器虚拟化解决方案[J].微型电脑应用，2016.

[6]张玉清，王晓菲，刘雪峰，刘玲.云计算环境安全综述[J].软件学报，2016.

[7]宫月，李超，吴薇.虚拟化安全技术研究[J].信息网络安全，2016.

[8]VMware Inc.What's New in the VMware vSphere 6.0 Platform[EB/OL].http://www.vmware.com/content/dam/digital marketing/vmware/en/pdf/whitepaper/vsphere/vmw-white-pap er-vsphr-whats-new-6-0-pltfrm.pdf.