孙皓晨 乔晓敏 李大朋

（国网绿源水力发电公司太平湾发电厂 辽宁丹东 118000）

虚拟化是指最初在真实环境中运行的计算机系统或组件，这些系统或组件在虚拟处理环境中运行，并且可以在虚拟环境中实现与真实环境中相同的效果。常用的应用程序虚拟化技术包括服务器硬件虚拟化、用户桌面虚拟化、软件定义的存储设备虚拟化、信息系统应用系统虚拟化和NSX网络虚拟化［1］。

桌面虚拟化更适合今天的高科技公司。最初安装在本地计算机上的桌面系统集成到支持数据中心，用于部署和管理，软件更新和升级会更加便捷、高效。用户可以使用先进的有线、无线网络系统及加密VPN 传输方法随时访问业务桌面在场所和环境中，开展业务运营。桌面虚拟化技术的广泛应用可以有效降低运营成本，显著提高工作效率，实现真正的绿色计算。

1 技术背景

1.1 技术产生的背景

在高性能计算机中，应用的多样性和复杂性决定了高性能体系结构的多阶段和多阶段异构开发。在实践中，全面、多层次的异质性带来了许多需要解决的问题，即发展困难、软硬件支持、系统可靠性、应用可移植性、高效管理等。一个个紧迫的技术问题仍未解决。

虚拟编程技术不仅可以实现有效的异构资源集成，创造应用开发环境，提高计算效率和负载转移，它也有助于提高系统的可靠性、容错性和安全性。在高性能计算机系统中，应用具有广阔的发展前景。

1.2 虚拟化备份技术的研究现状

VMware 最初引入了虚拟化备份技术。由于虚拟化应用程序在商业和工业上的普及，主流备份产品通常支持基于VMware、Hyper-V、Citrix 和Xen 或KVM 的虚拟化。除了虚拟机映像之外，虚拟备份是虚拟数据备份最重要的基本手段。许多启动虚拟化的用户经常将虚拟机快照视为备份，这实际上是一个严重的错误，原因如下。

（1）快照永远不能成为虚拟本地备份的解决方案。

（2）一旦图像恢复到以前的状态，就永远无法恢复到当前状态。

（3）一旦虚拟机磁盘文件损坏，快照也将无效。

（4）快照只能基于整个虚拟机映像进行恢复，不能恢复到文件或应用程序级别。

（5）快照只能用于帮助保护快速虚拟化恢复。

（6）并非所有虚拟机都可以使用快照，且并非所有虚拟机都可以使用备份。

（7）过多的快照可能会显著影响虚拟机性能，若频繁创建或删除快照，虚拟机数据可能会损坏。

目前，备份虚拟化平台有两种常见的备份解决方案，一个没有代理备份，另一个有代理（Agent）来操作系统备份。

1.3 虚拟功能监控技术研究现状

从云计算的早期开始，对虚拟机的监控就一直是一个热门话题。从云服务提供商的角度来看，它必须尽可能多地接收有关虚拟机（VM）运行的信息，以确保每个虚拟机的正常运行，这保证了整个云计算平台的安全性和可靠性。从用户的角度来看，还需要了解虚拟机的操作状态。因此，对虚拟机的监控至关重要。

目前，虚拟机安全监控主要有两种体系结构。第一种是基于虚拟机内窥镜技术的监控体系结构，即监控单元位于虚拟机监控程序中，使用虚拟机内省技术发现其他虚拟机。第二种是基于虚拟安全主动监控体系结构技术，是用于主动安全监控的虚拟体系结构，在被监控的虚拟机中引入某些钩子功能，并切换到独立的虚拟安全［2］。关于虚拟机安全监控的应用，基于虚拟机安全监管的相关研究可分为两类：内部监管和外部监管。内部控制是指将大型计算机加载到虚拟机，以记录目标虚拟机的内部事件，并且核心单元的安全受到管理程序Hypervisor 来保护；外部监视指的是由Hypervisor捕获目标虚拟机上的事件，以便在虚拟机外部检测到它。

2 技术方案及原理

2.1 设计原理及理论依据

《国家电网公司信息系统非功能性需求规范（试行）》（国网新通〔2013〕第404号）规定了国家电网公司信息系统稳定性的标准。通过部署虚拟化平台Vsphere6.5 enterprise plus，实现集群的高可用性对现有应用业务的集成，简化运维环境，提高企业硬件利用率；通过部署虚拟机数据备份（VMware vSphere Data Protection Advanced，下文简称VDP），解决现有备份方式带来的故障恢复时间较长的问题；通过部署Vmware环境性能运维监控（VMware vCenter Operations Manage，下文简称VCOPS），对虚拟平台底层应用和虚拟机及所承载的硬件环境进行监控，使该成果具有全新灵活的业务支撑架构和扩展性，它可以适应不同信息定位平台的规模和应用需求，提高企业冗余度和高可用性，缩短故障恢复时间［3］。

2.2 技术方案

针对虚拟化平台的运维监控和安全备份，主要从3个方面进行创新改造。

（1）在存储虚拟化方面。该创新成果对业务系统的存储方面进行了两次分割，重新改造存储空间规划，规划成3个存储池，每个存储池拥有4.6T存储空间，采用RAID5，并均各另备两块热备盘，分别作为业务系统运行、虚拟机备份、虚拟监控3个功能池使用。虚拟存储提供了集中管理高容量网络存储系统（如服务器）的能力，避免了托管扩展的问题。虚拟存储技术使存储资源管理更加灵活，集中管理和卸载不同类型的存储，有效保护用户以前的存储投资。

（2）在虚拟化备份方面。该项目使用（VMware vSphere Data Protection Advanced，VDP）解决现有备份方法导致的长恢复时间问题。一般企业在应用虚拟化技术之前都是采用若干台物理服务器与业务系统一一对应的关系，采用每天或者每周定期对逐句库进行自动或手动备份，主要是为了避免丢失基本数据库数据、各种物理平台故障，或查找新的物理服务器、重新安装操作系统、配置应用程序软件，以及随后导出和安装以前在新应用程序中无处不在的数据库备份，备份和恢复时间通常长达1d，最快也要半天的时间。当应用虚拟化平台后，备份方式变得十分多样，但大多都是采用虚拟自带的快照功能。所谓的快照功能是使系统更容易恢复到以前的状态，这样防止因运维操作或业务系统故障或其他严重情况发生时，快照功能可以在第一时间弥补这一缺陷。但该功能有两个明显的弊端：一是只能恢复到快照发生的时间；二是快照所占的存储空间特别大，一般不建议长时间保持快照，采用随用随照的方式，所以快照功能更加适合用于运维操作备份使用，而不建议作为系统日常备份工作用。

该项目使用VDP 虚拟备份方法，专用于备份虚拟主机实例包。使用时间策略，根据虚拟机的业务需求进行单独备份，以同步读写数据并保存最新更改的副本。使用VDP 备份的优点包括以下几点：第一，应用程序快速恢复，如果想立即在虚拟平台上备份预览文件，应用程序恢复时间可以在几分钟内完成；第二，无安装因素，由于VDP 访问基于存储库的基块，这减少了管理连接并简化了工作；第三，自动备份验证，VDP可以验证备份，以查看已备份的操作系统是否可以正常运行，以及应用程序可以正常运行。

（3）在虚拟化监控方面。该创新项目通过部署VCOPS，对虚拟平台底层应用和虚拟机及所承载的硬件环境进行监控。VcOps 管理Vcenter 服务器和由Vcenter Server 管理的Vmware ESXi 或ESX 服务器，监控Vcenter Server、Vmware ESXi 服务器和存储，以跟踪ESXi上虚拟机的当前使用情况和存储使用情况，并使用这些资源定义每个主机、虚拟机、存储和网络的特定条件。在Vcenter数据中心，VCOPS以工具栏的形式提供相关信息，可以在PDF或CSV中的任何位置引用。

3 核心技术与创新点

（1）简化虚拟化平台运维管理，简化平台运维监控。该项目创新地采用B/S 架构的管理操作环境，降低了运维管理端的门口，提高管理平台对运维计算机的兼容性，使运维不再局限单一的装有客户端的PC，而是面向广泛的运维范围。创新地划分3个功能分明的存储池的同时，又能保证3 个存储池之间的互相迁移，使其既能满足功能划分的需求，又能实现数据的整合与智能迁移［4］。

（2）为虚拟机创建自动备份机制，以在几分钟内减少备份和恢复时间。该项目创新地创建VDP 虚拟备份平台，将虚拟机备份实现完整备份、增量备份的时间策略管理，压缩了备份数据在存储空间的占用，并将传统的业务系统故障恢复时间从天级降至分钟级，甚至对于仅需增量备份恢复的虚拟机，它的恢复时间不足1min，在保证数据安全性的同时，显著提高了交易系统的连续性和稳定性，并减轻了手动备份的压力。

（3）创建虚拟化底层硬件及虚拟环境监控，实现虚拟资源分配的智能分析。该项目创新地应用Vmware Vcops智能性能监控与容量管理，可以从虚拟环境的任何级别的任何对象（从自定义虚拟机和磁盘到集群和数据中心）收集、存储和分析数据，然后提供性能分析和容量管理报告，并会智能提出资源分配建议，及时调整相应的磁盘、CPU、内存等，以确保虚拟机发挥最大的利用价值。

4 虚拟化平台安全问题措施及技术应用

4.1 数据加密

数据加密技术是一种高科技技术，利用这种技术，能够有效防止数据被盗取问题发生，也可以有效管理数据存储的安全性。开发人员在前端客户端采用SSL加密方式，用于避免虚假网站和网络钓鱼等各种不同类型安全风险产生；而在系统后端则采用数据加密技术，可以有效预防数据被黑客篡改的问题发生。在虚拟服务平台的数据安全管理中，合理保证数据存储的安全性和稳定性尤为重要，合理有效地将数据加密技术应用于数据存储管理，可以合理保证数据的安全性和数据的检索效率。基于传统技术的数据加密的应用，可以合理地改变数据的结构特征，但对数据发现和剖析的不同阶段有不利影响。因此，在利用加密技术过程中，要尽可能地通过关键词检索形式进行加密，而检索方法建议采用精确匹配或者是模糊搜索方法等。

4.2 虚拟化平台技术应用

虚拟化安全技术是其最重要的关键技术之一，虚拟化安全措施的关键点如下。

（1）数据分离技术：通过NAS数据共享及安全保护机制，实现虚拟系统数据与用户数据的实时分离存储及按需分级备份，确保虚拟系统与用户数据相互之间互不干扰。

（2）保护虚拟机：在同一服务平台上操作多个虚拟机时，必须对虚拟机数据实施保护，物理硬件在应用层是一种共享资源，不同虚拟机之间的通道是被屏蔽的。对于内存和存储模块等硬件配置，也需要保护技术。

（3）封堵虚拟机系统漏洞：在IaaS云服务基础设施的支持下，该系统可以作为一个虚拟机安全检查系统，检查系统漏洞并根据检查结果动态升级补丁，从而确保虚拟机安全得到合理的维护。

（4）虚拟机安全管理：虚拟云基础设施建设的一个重要用途是促进负载平衡和在线维护。云服务平台有动态迁移服务，在迁移过程中，虚拟机的顺利运行很重要。除虚拟机检测外，定义转移触发阈值和验证转移节点的合法性是避免转移过程中的网络攻击的必要措施。要合理分析虚拟化平台的安全风险，有针对性地制定合理、高效的防护措施，这样有益于祛除虚拟化平台隐藏的安全风险，让虚拟化平台发挥最大化价值。

5 应用范围及效果

该技术可承载与企业的重要业务数据存储，所有存储设备均采用SAN 网络架构，与业务网络采用隔离运行，可确保数据安全，同时，存储可以防止使用企业带宽。虚拟备份平台VDP 已对企业底层虚拟平台及所有在运虚拟机实现策略备份，经调试，完整备份时间为10min 左右，增量备份时间约为5min［5］。虚拟监控平台Vcops已经对虚拟环境和虚拟机进行了实时监控和仪表智能分析，为运维人员运行监控提供了智能分析决策。

IT基础设施虚拟化技术是一项应用前景广阔的技术，它对改善能源企业的IT 基础设施具有重要意义：提高资源利用率，降低管理成本，提高企业应用程序的灵活性和可扩展性，并提高资源交付的效率［6］。企业利用虚拟技术实现关键应用系统监控及数据备份的技术，成功探索虚拟技术在提高运维效率、提升数据安全及节约资产成本的方面起到的作用。经过已投运1年之久的实际论证，该创新成果对企业业务系统管理及数据安全防护具有确认的显著的优势。

6 成果用途和特点

这项技术用于企业系统的设计和数据存储，技术中的虚拟备份系统VDP和虚拟监控Vcops应用于对企业业务系统虚拟机、存储及虚拟环境和集群主机硬件的监控，并对使用情况进行智能分析，对资源分配提供智能优化调整建议。该技术经过投运使用后，具有如下的特点。

（1）简化数据备份过程，减少故障恢复时间。在本技术应用以前，业务系统运行方式为一台服务器对应一个业务系统，如果需要备份，需要另外配置一台完全相同服务器，采用冷备或者热备的方式运行，数据备份均为人工完全备份，占用服务器资源十分巨大，且易造成业务数据丢失、人工备份不及时、空间重复占用较大等问题。该创新成果应用后，备份方式可根据策略选择日、周、月等自动备份，而且仅在第一次采用完全备份，之后，只备份额外的内容，节省大量存储空间，备份文件会自动替换。项目应用之前，对于实体主机业务数据的故障恢复至少需要占用1d以上的时间，但该创新成果应用后，交易系统可以通过虚拟机备份文件进行恢复，时间可以控制在几分钟内。

（2）实现虚拟监控，智能分析运行状态。该创新成果将这个虚拟化平台的虚拟环境和底层承载硬件进行了统一平台的数据收集，引入Vcops 虚拟平台监控机制。Vcops 平台采用人机交互式图形界面与B/S 运维架构，针对性能优化、容量优化、故障排除、CPU、内存、磁盘争用及警示提供直观统一的界面，可以保证运维人员直观、准确地判断系统运行情况。并且Vcops 平台可以智能收集各虚拟机运行所占资源进行日志收集，智能给出各虚拟机当前健康状态，并对所分配的内存、CPU、磁盘空间等资源情况给予智能调整建议。Vcops平台还可以针对虚拟机、底层硬件等各不同方面的运行生成相应运维报告，方便运维工作汇报和管理使用。当前，Vcops已成功与VDP和虚拟化平台Vcenter管理平台实现信息交互联动。

（3）中央存储管理提高数据存储的安全性。该技术将企业所有业务数据进行了统一的存储，建立了3个存储池，分别作为业务数据、备份、监控3 个功能使用，且存储池之间可以互相迁移，每两个池都有完全承载所有数据存储的能力，为设备提供了停机检修的机会。每个存储池均采用raid 5+2 配置，提高了设备容错率和数据安全性。另外，该创新成果搭建了基于光纤交换机的SAN 网络，避免了数据存储对业务带宽的占用，也提高了数据的安全性。

7 结语

目前，虚拟化平台发展迅速，但与此同时，越来越多的安全问题已经成为网络安全领域亟待解决的关键问题。尽管大型虚拟化平台有很多优势，但云计算的发展是基于其安全性的不断提高，在虚拟化平台上出现安全问题的情况下，很难实施初始安全解决方案。主要的虚拟化平台需要认识到它们目前面临的各种安全风险，并根据漏洞的类型提出适当的对策。在未来，分布式计算及云计算正在推广的今天，更随着大二层敏捷网络的推广应用，IT 基础设施虚拟化为企业推广智能电网技术奠定了坚实的基础，具有广泛的推广价值。