[经管营销]虚拟化：管理你看不见的钱.doc

目 录 虚拟化：管理你看不见的钱 1 虚拟服务器并不总是那么安全 6 虚拟化六大安全问题 解决克不容缓 10 服务器虚拟化安全注意事项 13 虚拟化挑战传统安全概念 19 虚拟化急需跨过“安全”这道槛 21 如何确保虚拟服务器环境的安全 26 如何解决VMware虚拟环境的数据保护难题 28 虚拟化：管理你看不见的钱 　　虚拟化究竟是用户需求，还是技术需求？虚拟化是不是厂商为了推动市场销售而刻意炒作的一个概念？对于虚拟化，是应该继续观望，还是应该更加积极一些？ 　　芯片虚拟化 　　当闪光灯纷纷聚焦在VMware、微软、Citrix、Parallels的时候，英特尔硬件辅助虚拟化常常被忽略了，实际上硬件辅助虚拟化才是真正的幕后英雄。 　　没有硬件辅助虚拟化，虚拟化软件架构在操作系统之上，透过操作系统调用底层的硬件资源，不仅效率不高，而且存在着0级指令的冲突。据VMware大中国区技术总监张振伦介绍，VMware通过软件的方式可以解决所谓0级指令冲突，但是随着英特尔等处理器厂商提供了硬件辅助虚拟化的技术，从硬件层面解决了0级指令冲突的问题，虚拟化软件直接架构在处理器层面，直接调用底层资源，而不是通过操作系统，相反，操作系统构建在虚拟化软件之上。因此，采用虚拟化软件直接解决了多操作系统环境的问题。因此，硬件辅助虚拟化技术对虚拟化业务应用发挥了至关重要的作用。 　　据英特尔解决方案部中国大区技术部经理梁岩介绍，英特尔硬件辅助虚拟化技术，也就是Intel VT技术，主要由三部分技术组成：VTx、VTd和VTc。其中，VTx是处理器技术，提供内存以及虚拟机的硬件隔离，所涉及的技术有页表管理以及地址空间的保护。VTd是处理有关芯片组的技术，它提供一些针对虚拟机的特殊应用，如支持某些特定的虚拟机应用跨过处理器I/O管理程序，直接调用I/O资源，从而提高效率，通过直接连接I/O带来近乎完美的I/O性能。VTc是针对网络提供的管理，它可以在一个物理网卡上，建立针对虚拟机的设备队列。据了解，在英特尔提供的网卡中，将虚拟机数据分类管理的功能，从处理器转移到了网卡上，从而解放了CPU，提高网络的效率。 　　虚拟化是技术需求 　　虚拟化技术并不是用户需求的产物，因此虚拟化技术并不针对用户特定的应用需求，也不是用来解决业务的需求。 　　虚拟化技术更多是为了解决处理器资源效率不高的问题。据有关数据统计，服务器处理器资源效率不高，其平均使用率不足30%。在一次高性能计算用户研讨会上，某行业用户坦言，其计算集群的节点，处理器效率很低，大量计算资源得不到充分的利用。在交流中，英特尔某技术支持经理坦言，推动虚拟化技术对于英特尔而言并不会带来更多的好处，因为虚拟化技术不能够带来更多的处理器的销售，还会减少处理器的用量。英特尔为什么推动虚拟化技术，还是因为它代表了用户的利益。 　　就目前的情况看，虚拟化的应用主要集中在整合、提高CPU利用率、 提高系统稳定性、绿色节能、灵活配置开发、提高系统的可管理性、多操作系统环境的支持、老旧系统的应用迁移、减少软件采购和维护成本以及节省数据中心机房空间等几个方面，从技术上看主要集中在整合、P-V和VMotion等几个工具软件上。根据我们的调查，在这些应用中，整合以及提高CPU利用率最为用户看好，但是与此同时，对于虚拟化软件所带来的安全风险，以及所导致管理复杂性增加最让用户感到担心。某发电企业用户指出，采用虚拟化技术，更多的应用被移植到虚拟机上进行，虽然可以更好地利用计算资源，但是对于划分虚拟机的虚拟化软件本身的安全性表示十分担心，就如同把所有的鸡蛋放到了一个篮子里，其坚固性令人放心不下。 　　安全性的技术把握 　　讨论虚拟化的安全性，要把虚拟层（Hypervisor），或称为虚拟化层的安全性与虚拟机的安全性区分开来。HA也好，VMotion也好，都是用来保护虚拟机的安全性，并不针对虚拟化层。 　　对于虚拟层的安全性，梁岩指出，虚拟化层，更准确的说是Hypervisor，作为CPU与OS之间的一层平台，其功能其实比较简单，基本就是一个“翻译”的工作，它不像OS那样复杂，因此出错的可能性非常低，Hypervisor的可靠性不用过多担心。 　　据张振伦介绍， VMware的ESXi Server，其大小仅为32M，它剥离了Services Console，也就是涉及管理和控制一些功能，ESXi将这些管理和控制的功能剥离出来。张振伦表示，之所以剥离这些功能，最主要的原因是因为VMware发现，Services Console比较复杂，经常会涉及补丁和更新，由此导致一些不安全的因素。通过Services Console，ESXi Server的功能更加简单。VMware公司首席渠道系统顾问石峰对此有一个比喻：剥离了Services Cons