簡介
虛擬伺服器技術是網際網路伺服器採用的節省伺服器硬體成本的一種技術,其主要套用於HTTP,FTP,EMAIL等多項服務,將一台伺服器的某項或者全部服務內容邏輯劃分為多個服務單位,對外表現為多個伺服器,從而可以充分利用伺服器硬體資源。
有時候單個伺服器無法滿足使用需求,或者即使單個伺服器能夠達到這個要求,但是其成本太高。所以使用虛擬伺服器來達到運用需求。
多個虛擬伺服器,可以通過軟體架設在同一個物理伺服器上,而每個虛擬伺服器又可以提供伺服器的所有功能,這樣相對來說每個虛擬伺服器的成本降低不少。
運行時由用戶遠程操作屬於自己的那一塊,而這一塊對任何用戶而言,就是一台“完整”的伺服器,與真實獨立的主機功能完全一樣,用戶一般在空間域名網路申請虛擬伺服器。用戶只需對自己的信息進行遠程維護,而無需對硬體、作業系統及通信線路進行維護。
技術特點
虛擬伺服器技術早期的用途是減少使用率不足的伺服器硬體,將處理任務集中到數量更少的機器上。自這些早期套用以來,它已經發展成一種多目的的解決方案,實現更高的可靠性、更好的管理、以及成為企業數據中心管理員不可或缺的工具。
按照非常簡化的定義,虛擬伺服器是僅僅利用軟體來模擬獨立計算機的行為和能力。伺服器虛擬化軟體棧集的底部是直接安裝在伺服器硬體上的普通作業系統。棧集的上部是處理重新定向和仿真的虛擬層,而重新定向和仿真構成了虛擬計算機。這兩部分合起來被叫做宿主機。宿主機提供大家熟悉的PC機BIOS(Basic Input/Output System,基本輸入/輸出系統)及ROM(Read-Only Memory ,唯讀記憶體)的全部工作,按照用戶的選擇,利用改變用戶定義的配製而生出很多獨立的PC機。
作為物理的伺服器,虛擬PC機只有安裝了作業系統才有用。安裝在虛擬宿主機上的作業系統稱做客OS(Operating System,作業系統)。安裝客OS非常簡便,只需從OS的安裝光碟上引導過來。這和PC機上安裝OS沒有區別。
一般來說,如果你不知道虛擬化是如何運轉的,這就是答案:就像一台PC機。事實上,在全Windows環境下,你很容易找不到北:是在看Windows宿主機OS,還是在看剛剛安裝的四個Windows客OS中的一個?你自己可能搞不清,但你的客OS及其應用程式是從來不會弄錯的。每個OS認為它擁有整個機器。在某種意義上,它擁有整個機器。
軟硬體
運行在虛擬伺服器上的作業系統和應用程式不直接控制記憶體、硬碟和網路連線埠等資源,而是由位於OS和應用程式之間的VM(虛擬機)截取與硬體互動的請求並在認為合適時對它們進行處理。
VMware公司的ESX Server虛擬化解決方案能合成整個硬體的配置,而它與基礎的硬體幾乎沒有關係。例如,宿主機可以最詳細地模擬SCSI(Small Computer System Interface,小型計算機系統接口)控制器的初始化過程,讓客OS相信即使不存在物理的SCSI控制器時,初始化也在被執行。
它能使IDE(Integrated Device Electronics,電子集成驅動控制器)磁碟機看上像SCSI(Small Computer System Interface,小型計算機系統接口)磁碟機,能將網路共享的磁碟機轉換成裝在本機內的存儲設備,將一個乙太網卡變成幾個網卡,並能在較老式的作業系統和它不支持的新式硬體(如光通道卡)之間生成網關。可以建立完全適合應用程式需要的屬於你自己的伺服器。
在調好虛擬硬體的配置後,用戶把伺服器磁碟映像保存到檔案中,對其他的客系統而言它可以當做樣板用。其他用戶能通過拷貝該檔案將虛擬伺服器備份。複製該檔案就能創建新的伺服器,而拷貝Windows需要重新激活和相應的許可證,或者把已有的伺服器移到不同的物理硬體上。
虛擬伺服器安全
虛擬伺服器並不具有物理伺服器內置的諸多安全保障機制。儘管現在入侵虛擬伺服器已經成為一件非常困難的事情,但是從虛擬伺服器當中成功竊取數據也並不會令人感到驚訝。
儘管虛擬化環境存在單點故障和安全漏洞等可能性,但是從另一方面來說其縮小了需要保護的虛擬伺服器設備範圍。藉助於虛擬化技術提供的整合特性,企業的虛擬伺服器硬體設備規模不斷縮小,這種趨勢可以幫助減少一些和網路及電力供應相關的高可用性需求。
虛擬伺服器技術使用更加小型化的不間斷電源線路和發電機以保證電力的持續供應,減少物理網路接口數量能夠降低網路受到攻擊的風險,甚至可以在處於活動狀態的連線埠上增加監控。儘管這種方式能夠減少和硬體相關的安全問題,但是不幸的是,虛擬伺服器會對軟體資源造成很大的威脅。用戶能夠輕鬆創建並部署虛擬伺服器和網路,在某些情況當中甚至不需要得到提前批准。
當然,如果認為僅僅依靠一台惡意虛擬伺服器或者虛擬伺服器交換機就能夠造成整個基礎架構全部癱瘓,這種想法是十分牽強的。然而,如果一個未經註冊的系統進入到受控制的基礎架構之後,它的存在對於基礎架構的穩定性來說確實造成了威脅。惡意系統將會成為虛擬伺服器數據中心防護鎧甲上的一道裂紋,這種情況正在變得越來越普遍,因為在虛擬伺服器環境當中部署新系統並不會面臨物理硬體開銷等種種限制。過去,在虛擬伺服器項目開始之前需要提前申請資金購買物理伺服器,最後這個過程居然成為一種防禦惡意部署的安全保障措施。
對於虛擬伺服器環境來說,只需要簡單點擊幾次滑鼠就可以創建大量的虛擬伺服器,之前成本方面的限制不復存在。保護基礎架構需要首先了解其中包含哪些組件,但是完成這項工作正在變得越來越困難。每台新增加的虛擬伺服器都有可能成為數據中心盔甲上的一個可能裂紋。限制虛擬伺服器環境用戶許可權以及制定審計報告是防止部署惡意系統的最佳方式。
伴隨虛擬伺服器技術所產生的、傳統硬體環境並不會遇到的另外一種安全問題就是數據竊取。過去,數據竊賊在嘗試獲取虛擬伺服器的敏感數據之前都需要花費一段時間來破解作業系統的安全防護機制。這是因為通常竊賊並沒有其他可用方式:他們只能通過物理方式訪問硬體或者複製數據,而硬體通常被放置在封閉的環境當中,使用攝像頭和保全進行監控,而虛擬伺服器數據和軟體由作業系統進行加密和保護。登入虛擬伺服器作業系統之後竊取數據是一種更加具有挑戰性的方式,如果有人想要訪問這些受保護的數據,還有可能觸發監控告警,並且其訪問信息也將會被記錄下來。
而當虛擬伺服器技術出現之後,虛擬伺服器不再是硬體設備,而是位於虛擬伺服器存儲設備當中的一系列檔案集合。和任何其他類型檔案一樣,我們可以複製虛擬伺服器作業系統當中的任何數據,並且不會影響原始虛擬伺服器的正常運行。這種特性不是bug,而是用來幫助部署虛擬伺服器的全新特性。將虛擬伺服器的所有檔案複製之後,可以對其進行重命名之後再次開機,或者轉移到其他站點用於災難恢復。不幸的是,這種可移植性帶來了新的隱患。儘管虛擬伺服器檔案的體積非常龐大並且不容易移動或者複製,但也並非完全不能實現的。
由於虛擬伺服器複製的數據並不是處在活動狀態,因此虛擬伺服器可以輕鬆下載並複製到可插拔的USB設備當中,之後使用這些檔案構建新的虛擬機。儘管竊賊需要使用額外許可權才能夠訪問虛擬伺服器環境,但是並不需要全部的管理員許可權。虛擬伺服器技術使得竊取整台虛擬伺服器甚至整個數據中心變為可能。竊賊不再需要物理訪問許可權就能夠竊取虛擬伺服器或者破壞現有的安全防護機制。
虛擬伺服器是一系列檔案的集合,這意味著除了複製這些檔案之外,某些用戶還可以刪除它們。不論是故意的——比如員工惡意報復;或者是異常的應用程式進程——比如失控的快照,在這些操作面前你的虛擬伺服器都是十分脆弱的。VMware和其他廠商都擁有多種機制來保護和恢複數據,但是本質上,你的虛擬伺服器仍然是一些可以被輕易刪除的檔案集合。
虛擬伺服器的數據竊取和破壞等情況可能出現在多種IT系統當中,不論是基於硬體還是軟體的。然而,如果虛擬伺服器位於硬體環境當中,就存在一種受制於虛擬伺服器數量和蔓延的天然防護機制,為數據提供安全保障。而對於虛擬伺服器環境來說,這些防護機制當中的大多數都不復存在。事實上,我們錯誤利用的很多工具和特性都有可能導致數據竊取和數據丟失事件的發生。虛擬伺服器技術並不會在短時間內消失,因此要求IT部門從不同的角度來重新思考系統的冗餘性、可用性和安全性。
保證虛擬伺服器的安全性,避免運行中斷不僅包括確保有恰當的備份、防火牆及密碼。保證虛擬伺服器的安全性,不但要有簡單的策略、規程、管理,還涉及需要識別並解決彼此環環相扣的方方面面。對(物理以及虛擬)系統的保護包括兩個關鍵階段:初始設計以及運維管理。
虛擬伺服器系統運行出現中斷嚴重程度千差萬別。當虛擬伺服器組織意識到系統可能而且將會發生中斷時就會採取相關措施。儘管我們希望並試圖避免虛擬伺服器系統出現中斷或者出現故障,但虛擬伺服器卻無法完全避免。儘管無法避免所有的虛擬伺服器中斷問題,但我們能夠限制虛擬伺服器出現頻率以及中斷持續時間。人們通常以數字9的個數來衡量虛擬伺服器系統的可用性,例如,虛擬伺服器系統的可用性是99%或者99.9999%。兩者之間主要的區別不只是增加更多的虛擬伺服器技術,每增加一個9都需要付出更多的代價。取決於環境,支付的費用可能從數千美元到數十萬美元不等,因此理解可用性對虛擬伺服器組織意味著什麼是很重要的。
虛擬伺服器系統可用性達到99%,乍聽起來虛擬伺服器給人的印象很不錯,但當一整年的虛擬伺服器可用性為99%時,你會發現有一些問題。
在瀏覽虛擬伺服器宕機時間時,請記住指的是虛擬伺服器非計畫宕機。如果虛擬伺服器宕機發生在周末,那么在一年當中虛擬伺服器宕機3.65天聽起來沒任何問題,但實際上更可能出現的情況是虛擬伺服器宕機發生在業務最繁忙、系統不能出現業務中斷的時候。墨菲定律在當今仍舊發揮著重要作用。
儘管虛擬伺服器可用性達到6個9非常理想,但虛擬伺服器付出的成本卻不一定划算。無法簡單地計算可用性從2個9達到6個9需要付出多少成本,因為需要考慮很多變數。該過程可能涉及雙重的虛擬伺服器、存儲架構、網路、電力供應乃至冗餘的數據中心。既然涉及如此眾多的虛擬伺服器變數,那么虛擬伺服器組織如何找到合理的虛擬伺服器安全架構呢?
虛擬伺服器安全性中的一個重要方面是保持系統的可用性。無論是由於拒絕虛擬伺服器攻擊還是虛擬伺服器系統運行中斷導致用戶無法訪問系統,對用戶來說沒什麼區別。在當今的環境中,虛擬伺服器化以及整合使得組織能夠高效地解決用戶需求。不足之處是越來越多的系統依賴越來越少的虛擬伺服器硬體,這使得硬體變得比以往更關鍵。
虛擬伺服器冗餘設計存在挑戰,在虛擬伺服器冗餘設計中考慮虛擬伺服器安全性是數據中心的基本方法論,這涉及到多種虛擬伺服器技術。更多的時候虛擬伺服器安全性被束之高閣,關注的焦點通常是虛擬伺服器冗餘。虛擬伺服器冗餘涉及方方面面,如果並非所有因素都就緒,那么你可能無法達到你所希望的保護等級。
例如,理解虛擬伺服器基礎設施的供電需求需要在眾多階段予以解決是非常重要的。
虛擬伺服器設備冗餘電力供應往往是保護硬體出現故障的起點。理想情況下,虛擬伺服器電力供應後端與冗餘的UPS以及發電機相連,這類虛擬伺服器冗餘的電力基礎設施是基礎設施達到最高級別可用性的一個關鍵因素。然而,如果虛擬伺服器基礎設施仍舊包括單點故障,比如單個發電機,那么發電機將成為安全脆弱點。
用戶需要使用網路連線套用於虛擬伺服器系統。虛擬伺服器具備冗餘的網路連線是個起點,但如果連線的是同一台虛擬伺服器那就談不上虛擬伺服器冗餘了。或者連線的是不同的虛擬伺服器,但虛擬伺服器連線的是同一個電源。即使基礎設施實現了合理的虛擬伺服器冗餘,IDS或者防火牆實現了冗餘了嗎?共享的IDS或者防火牆系統是一個瓶頸以及可能的脆弱點。
即使虛擬伺服器組織擁有虛擬伺服器冗餘數據中心,在嘗試進行故障切換時也可能會發現缺少核心組件。儘管很多容錯站點包括了虛擬伺服器常見組件,比如AD或者NTP伺服器,但有IDS或者得到恰當升級的虛擬伺服器防火牆嗎?切換所有的虛擬伺服器系統包括審計以及日誌伺服器是不可能的。我們往往能夠理解存在限制,但需要將相應的風險記錄在案並進行管理。
虛擬伺服器可用性是安全保護傘的一個重要方面,不單單是一組配置。虛擬伺服器可用性與識別單點故障並予以解決有關—最糟糕的情況是記錄在案並進行虛擬伺服器管理。虛擬伺服器冗餘層能夠提供幫助,但當虛擬伺服器單點故障被利用時虛擬伺服器冗餘就被打破了。只是購買可用性等級更高的虛擬伺服器、軟體包或者硬體設備並非冗餘或實現虛擬伺服器安全的解決方案。
虛擬伺服器的管理
概述
再高效的存儲配置和維護也並非易事,而虛擬伺服器環境下的存儲管理更是一個挑戰。加上存儲陣列掛到物理伺服器(主機)上,虛擬化管理程式做虛擬化並協調分配物理資源到各個虛擬機(VM),對於物理存儲組件來講,虛擬機使用虛擬存儲資源的能力變得尤為複雜。
不使用特殊工具的情況下,為運行在帶有直連式存儲(DAS)的物理機上的某個特定應用程式診斷和識別存儲性能問題的根本原因,是一個相對簡單的任務,但在虛擬化環境下根本不是這樣。在某主機上運行著某虛擬機,該虛擬機與其他虛擬機訪問某一SAN上同一存儲池,而這個SAN為搭載虛擬化管理程式的其他類似的主機提供著存儲。解決這樣一個VM上運行的某應用程式的性能問題,就需要利用高效的管理工具。虛擬機存儲管理複雜性的罪魁禍首是虛擬伺服器和應用程式訪問抽象共享物理資源的大量組合,以及其他各種遷移組件,包括從提供若干路徑的多路徑選擇,到支持動態存儲分層即將數據塊打亂在不同存儲層的附加存儲。
虛擬伺服器的管理要素
第一:是支持VAAI(vStorage APIs for Array Integration,虛擬存儲器陣列集成套用接口)或者ODX(Open Diagnostic Data Exchange,基於診斷的開放數據互動)接口。虛擬伺服器存儲系統至少要認識虛擬機平台,這樣運行起來也更為有效率一些,使用這樣的技術將降低不少主機端的負載。
第二:找一些快閃記憶體盤和傳統磁碟混合的存儲。對於大多數虛擬伺服器存儲系統,尤其是新興存儲公司,通常的設計都考慮到了快閃記憶體,例如增加10%的存儲會帶來四倍的性能收益等。因此,在使用一些快閃記憶體後將大量的提升性能。
第三:了解虛擬伺服器存儲系統其它方面的功能,例如像複製功能尤其是快照這樣的功能。在當前虛擬伺服器和存儲系統平台下,幾乎沒有存儲會允許基於每個虛擬機的快照。當使用快照或者複製功能的時候,用戶需要謹慎的將存儲卷指定給一些虛擬機,這樣在做快照或者複製操作的時候就不必擔心增加的負載給其它不在乎的虛擬伺服器造成的影響。
虛擬伺服器的改善方法
以下方面可以改善虛擬機的存儲系統性能。
•IOPS
簡單來說,虛擬伺服器存儲調優的學問就是進入的IOPS(Input/Output Operations Per Second,每秒輸入/輸出操作)和流出的IOPS。每個LUN(Logical Unit Number,邏輯單元號)中的驅動器每秒能夠提供一定數量的I/O,伺服器和存儲之間的通道亦具備一定的吞吐量,而應用程式則會要求更多。
•應用程式
雖然存儲和虛擬化管理員有許多工具來炮製更多的I/O,但通常他們在降低I/O需求方面能做的事情都非常有限。同樣,許多IT經理更樂於花精力在建設多如雜草的數據中心基礎架構上,而完全忽略了其中運行著的應用程式。
•利用現有存儲
改善存儲性能的方式之一是確保你使用到已有的絕大部分存儲。有一部分特性你可能都沒用到,也可能有些特性能夠降低成本。
•VAAI或ODX
VMware的VAAI允許vSphere hypervisor將部分存儲相關的工作交給存儲完成。
套用範圍
該技術可為廣大中小型企業或初次建立網站的企業節省大量人力物力及一系列繁瑣的工作,是企業發布信息較好的方式。具有投資小、建站速度快、安全可靠、無須軟體配置及投資,無須擁有技術支持等特點。
虛擬伺服器提供的服務內容如下:
•存儲空間
•IP位址,並且支持多個域名指向同一個IP位址
•檔案傳輸
•網頁製作
全天候的隨時服務和優質的訪問速度
選擇提供商的注意事項
•硬體設施情況
虛擬伺服器提供商的所擁有的虛擬伺服器機房,是什麼規模的數據中心。是否有足夠機房線路的頻寬,虛擬伺服器網站聯線的速度是否同時滿足他所有虛擬伺服器客戶的流量頻寬。
•架設網站數量
通常一個虛擬伺服器能夠架設上百至千個網站,若網站數量越多,就是共享同台伺服器的人就越多;相比較而言資源就比較吃緊。一般與機器的CPU,記憶體等有關。IIS一般為10000/每伺服器連線數。
•IP訪問問題
如果企業網站用戶將面向的是國內的話,要考慮的問題這家公司的虛擬伺服器上的IP位址在國內是否可以順利訪問到。如果你買的訪問不到,還要退款等比較麻煩,比如一些國外的虛擬伺服器租用商在國外是很不錯的虛擬伺服器商,但他的IP在國內訪問不完全,這樣的虛擬伺服器可千萬別購買。
•穩定性問題
虛擬伺服器穩定性包括伺服器與公司兩方面的穩定。要多留意看網站的許可證號,ISP或IDC的許可證號:ISP與IDC牌照不是一般公司能申請到的,只有那些很有實力與信譽的服務商經過嚴格審核才能獲得。另外,頻寬資源、電力系統、空調系統、安全系統、是否是自建機房等等這些因素,這些種種問題都必須認真考慮。
•流量與售後問題
一般來說,虛擬伺服器供應商提供的流量比較充足。很多的商家打著不限流量,不限CPU,不限IIS的旗號進行促銷。但是,基礎運營商尚且對流量進行限制,服務商如何保證這一承諾?由於建站時大都缺少專業的技術人員,因此在出現故障後都希望能夠及時得修復,7×24小時技術支持服務也就變得非常重要,如果沒有提供這樣服務的虛擬伺服器可以忽略不考慮。