□ 張婧 關(guān)越 / 中國(guó)科學(xué)技術(shù)信息研究所 北京 100038

胡鐵軍 / 國(guó)家科技圖書(shū)文獻(xiàn)中心 北京 100038

服務(wù)器虛擬化技術(shù)在NSTL的應(yīng)用實(shí)踐

□ 張婧 關(guān)越 / 中國(guó)科學(xué)技術(shù)信息研究所 北京 100038

胡鐵軍 / 國(guó)家科技圖書(shū)文獻(xiàn)中心 北京 100038

隨著網(wǎng)絡(luò)化、數(shù)字化文獻(xiàn)信息量的不斷增長(zhǎng)，文獻(xiàn)信息服務(wù)機(jī)構(gòu)的數(shù)據(jù)中心一般都會(huì)擁有一定數(shù)量的服務(wù)器和至少TB級(jí)的存儲(chǔ)容量。如何利用更有效的技術(shù)手段以支撐數(shù)據(jù)中心未來(lái)業(yè)務(wù)的快速發(fā)展與高效管理，構(gòu)筑能夠更好地適應(yīng)業(yè)務(wù)信息系統(tǒng)的平臺(tái)，使IT系統(tǒng)真正成為提升業(yè)務(wù)能力的競(jìng)爭(zhēng)武器，是目前對(duì)IT系統(tǒng)進(jìn)行虛擬化規(guī)劃改造的主要目標(biāo)。本文介紹了NSTL利用服務(wù)器虛擬化技術(shù)開(kāi)展的具體應(yīng)用實(shí)踐。

虛擬化，數(shù)據(jù)中心，云計(jì)算，網(wǎng)絡(luò)

1 引言

服務(wù)器虛擬化技術(shù)旨在通過(guò)運(yùn)用虛擬化技術(shù)充分發(fā)揮服務(wù)器的硬件性能，為信息化業(yè)務(wù)的快速部署提供標(biāo)準(zhǔn)平臺(tái)，降低IT固定資產(chǎn)的運(yùn)營(yíng)成本，對(duì)服務(wù)器資源、計(jì)算資源、存儲(chǔ)資源進(jìn)行動(dòng)態(tài)分配，從而提高資源的利用率。如今虛擬化已成為數(shù)據(jù)中心變革的助推器，越來(lái)越受到人們的廣泛關(guān)注。

NSTL數(shù)據(jù)中心擁有近百臺(tái)應(yīng)用服務(wù)器，承載著文獻(xiàn)服務(wù)系統(tǒng)、數(shù)據(jù)加工、聯(lián)合聯(lián)機(jī)編目、文獻(xiàn)綜合等業(yè)務(wù)系統(tǒng)，數(shù)據(jù)量在逐年增長(zhǎng)。2012年，NSTL在業(yè)務(wù)體系中部署了虛擬化，利用虛擬化技術(shù)將資源池化，增加了業(yè)務(wù)部署的靈活性和便捷性，縮短了應(yīng)用部署周期，有效控制了設(shè)備采購(gòu)成本，解決了原有系統(tǒng)中資源分布與應(yīng)用需求不匹配及部署僵化的問(wèn)題，并逐步實(shí)現(xiàn)了業(yè)務(wù)系統(tǒng)整合和數(shù)據(jù)的集中統(tǒng)一備份，為下一步向云計(jì)算邁進(jìn)積累了寶貴經(jīng)驗(yàn)。

2 服務(wù)器虛擬化技術(shù)的優(yōu)勢(shì)

傳統(tǒng)服務(wù)器與應(yīng)用一對(duì)一的部署方式相對(duì)服務(wù)器虛擬化部署應(yīng)用在資源的有效利用及系統(tǒng)的管理維護(hù)上，前者存在很多難以解決的問(wèn)題，包括擴(kuò)展性、可用性、靈活性、應(yīng)用兼容性等問(wèn)題。而這些問(wèn)題在基于服務(wù)器虛擬化的基礎(chǔ)平臺(tái)系統(tǒng)部署規(guī)劃中能夠很方便地解決，并且效果十分明顯。在一個(gè)構(gòu)建了彈性資源池的服務(wù)器虛擬架構(gòu)中，用戶(hù)可以把資源看成是專(zhuān)屬于自己的，管理員則可在企業(yè)范圍內(nèi)管理和優(yōu)化整個(gè)資源。

虛擬化架構(gòu)的優(yōu)勢(shì)可以讓IT部門(mén)達(dá)成以下目標(biāo)：

（1）實(shí)現(xiàn)TCO（Total cost of ownership）的節(jié)省

通過(guò)整合多個(gè)物理服務(wù)器到一個(gè)物理服務(wù)器，降低約40%的軟硬件成本；每個(gè)服務(wù)器的平均利用率從5%-15%提高到60%-80%。

（2）提高運(yùn)維效率

將所有服務(wù)器的資源整合統(tǒng)一進(jìn)行管理，并按需自動(dòng)進(jìn)行動(dòng)態(tài)資源調(diào)配，無(wú)中斷的按需擴(kuò)容，不再擔(dān)心舊系統(tǒng)的兼容性、維護(hù)和升級(jí)等一系列問(wèn)題，業(yè)務(wù)連續(xù)性也會(huì)得到極大的保證。

（3）減少硬件支出

虛擬化技術(shù)可以將剩余的計(jì)算資源整合到一起再加以利用，硬件支出可以相對(duì)減少。

（4）滿(mǎn)足不同應(yīng)用對(duì)系統(tǒng)資源的不同要求

采用虛擬架構(gòu)后，由于每個(gè)虛擬機(jī)所需使用的系統(tǒng)資源都是由虛擬架構(gòu)軟件統(tǒng)一進(jìn)行調(diào)配，這種調(diào)配可以在虛擬機(jī)運(yùn)行過(guò)程中在線(xiàn)實(shí)時(shí)地發(fā)揮作用，使得任何一個(gè)應(yīng)用都可以有充分保證的資源來(lái)穩(wěn)定運(yùn)行。同時(shí)，某些應(yīng)用在此時(shí)用不到的資源又可以被其他更需要資源的應(yīng)用臨時(shí)借用過(guò)去，最大限度地提高系統(tǒng)資源的利用率。

圖1 虛擬化環(huán)境結(jié)構(gòu)示意圖

圖2 虛擬節(jié)點(diǎn)集群?jiǎn)卧翪PU、內(nèi)存、存儲(chǔ)性能圖表

3 NSTL虛擬化應(yīng)用的特點(diǎn)

NSTL虛擬化環(huán)境由應(yīng)用生產(chǎn)服務(wù)器（ESXi Server物理機(jī)）、虛擬數(shù)據(jù)中心管理服務(wù)器（vCenter物理機(jī)）、SAN存儲(chǔ)陣列、運(yùn)維網(wǎng)關(guān)堡壘機(jī)和若干物理交換機(jī)構(gòu)成。每臺(tái)物理服務(wù)器安裝有VMware vSphereESXi裸機(jī)虛擬化管理程序，配置了8個(gè)千兆網(wǎng)口，分別用于虛擬機(jī)的業(yè)務(wù)應(yīng)用網(wǎng)絡(luò)、ESXi服務(wù)器的管理網(wǎng)絡(luò)、vMotion心跳網(wǎng)絡(luò)及容錯(cuò)日志記錄網(wǎng)絡(luò)。每臺(tái)服務(wù)器通過(guò)HBA卡與存儲(chǔ)形成了冗余FC SAN環(huán)境。同時(shí)，還基于iSCSI協(xié)議，通過(guò)專(zhuān)用IP網(wǎng)絡(luò)形成了IPSAN環(huán)境，以增加虛擬化環(huán)境的靈活性和擴(kuò)展性。另外，考慮到虛擬化環(huán)境中每個(gè)虛擬機(jī)的操作安全，在虛擬化環(huán)境網(wǎng)絡(luò)中還部署了一臺(tái)“運(yùn)維網(wǎng)關(guān)”，實(shí)現(xiàn)對(duì)虛擬化環(huán)境虛擬服務(wù)器的訪問(wèn)審計(jì)和運(yùn)維安全管理。虛擬化環(huán)境結(jié)構(gòu)示意圖參見(jiàn)圖1。

3.1 虛擬數(shù)據(jù)中心管理

VMware vCenter提供了功能較完善的圖形化的管理界面，可同時(shí)支持物理主機(jī)和虛擬機(jī)的管理。僅部署一臺(tái)vCenter Server就能夠?qū)崿F(xiàn)所有虛擬機(jī)的日常管理工作，包括各虛擬機(jī)控制管理、CPU內(nèi)存管理、用戶(hù)管理、存儲(chǔ)管理、網(wǎng)絡(luò)管理、日志收集、性能分析、故障診斷、權(quán)限管理、在線(xiàn)維護(hù)等。NSTL虛擬機(jī)CPU、內(nèi)存、存儲(chǔ)容量使用分析參見(jiàn)圖2。

VMware vCenter還提供了富有彈性的資源池管理特性，每個(gè)資源池內(nèi)的虛擬服務(wù)器可專(zhuān)屬使用該資源池內(nèi)的資源而不被資源池以外的虛擬服務(wù)器所影響。利用這一特性并結(jié)合NSTL自身業(yè)務(wù)系統(tǒng)的需求，我們創(chuàng)建了面向業(yè)務(wù)屬性具有層次結(jié)構(gòu)的共享資源池，使共享資源池內(nèi)的虛擬服務(wù)器能夠按照不同的策略和業(yè)務(wù)負(fù)載情況動(dòng)態(tài)地獲得計(jì)算資源。通過(guò)制定相關(guān)的資源分配策略，也使得在資源池內(nèi)的虛擬服務(wù)器增加或減少CPU和Memory資源變得更加靈活。實(shí)踐表明，部署虛擬化架構(gòu)一定要合理地利用資源池特性，才能有效地提高計(jì)算資源的效率和使用率。NSTL資源池劃分參加圖3。

3.2 虛擬化的計(jì)算資源

虛擬化環(huán)境主體初期采用了2臺(tái)vSphereESXi的物理服務(wù)器作為動(dòng)態(tài)的虛擬化架構(gòu)基礎(chǔ)。VMware vSphereESXi是一個(gè)強(qiáng)健的經(jīng)過(guò)生產(chǎn)驗(yàn)證的裸機(jī)虛擬化管理程序，它直接安裝在物理服務(wù)器上，統(tǒng)一管理物理服務(wù)器上可用的CPU、內(nèi)存、網(wǎng)卡、存儲(chǔ)等資源。每臺(tái)物理機(jī)最大可支持64個(gè)虛擬機(jī)（理論值），這些虛擬機(jī)可共享物理機(jī)的處理器、內(nèi)存、存儲(chǔ)和網(wǎng)絡(luò)資源，靈活地將資源調(diào)配給虛擬機(jī)，提高了硬件利用率。按照NSTL實(shí)際業(yè)務(wù)負(fù)載情況和應(yīng)用部署需要，單臺(tái)ESXi物理服務(wù)器的虛擬機(jī)服務(wù)器部署能力可達(dá)到16：1，可最大化地利用計(jì)算資源。

圖3 NSTL資源池劃分

3.3 虛擬化的存儲(chǔ)資源

存儲(chǔ)是服務(wù)器不可或缺的重要組成部分，為了充分利用虛擬化軟件的各項(xiàng)增強(qiáng)功能，NSTL在虛擬化環(huán)境中采用的是FC/IPSAN的集中存儲(chǔ)融合方式：即需要高性能IO和穩(wěn)定吞吐的業(yè)務(wù)優(yōu)先通過(guò)FC SAN使用存儲(chǔ)資源，而IO需求較少、存儲(chǔ)量較大的業(yè)務(wù)使用IPSAN獲得較多存儲(chǔ)資源分配。為了滿(mǎn)足在線(xiàn)業(yè)務(wù)系統(tǒng)的需要，充分利用VMware虛擬架構(gòu)中虛擬機(jī)可動(dòng)態(tài)在線(xiàn)遷移的特性，配置冗余的交換機(jī)組成共享的SAN存儲(chǔ)架構(gòu)，可以最大化地發(fā)揮虛擬架構(gòu)的優(yōu)勢(shì)，實(shí)現(xiàn)動(dòng)態(tài)的資源管理（VMware DRS），為以后的容災(zāi)提供擴(kuò)展性打下基礎(chǔ)。

初期建設(shè)可用存儲(chǔ)空間共30TB，每個(gè)虛擬服務(wù)器的存儲(chǔ)資源標(biāo)配為500G，標(biāo)準(zhǔn)空間部署模式為T(mén)hin Provisioning精簡(jiǎn)置備。利用vCenter提供的可用存儲(chǔ)空間統(tǒng)計(jì)功能，當(dāng)虛擬機(jī)需要更多數(shù)據(jù)存儲(chǔ)空間時(shí)，可以隨時(shí)進(jìn)行擴(kuò)容，而當(dāng)前的操作系統(tǒng)基本都支持在線(xiàn)存儲(chǔ)容量擴(kuò)容無(wú)須重啟。

在虛擬化環(huán)境存儲(chǔ)架構(gòu)中，我們還基于NSTL業(yè)務(wù)應(yīng)用的情況，充分考慮了以下因素：

（1）存儲(chǔ)架構(gòu)的訪問(wèn)路徑冗余、IOPS與吞吐量的需求；

（2）每個(gè)ESXi服務(wù)器內(nèi)虛擬機(jī)并發(fā)IO隊(duì)列長(zhǎng)度與HBA適配卡設(shè)置保持一致；

（3）根據(jù)應(yīng)用需要設(shè)置LUN的RAID結(jié)構(gòu)，對(duì)于隨機(jī)讀寫(xiě)的數(shù)據(jù)庫(kù)如Oracle、SQL數(shù)據(jù)庫(kù)，則在LUN級(jí)別采用RAID10結(jié)構(gòu)；對(duì)于數(shù)據(jù)庫(kù)日志通常為連續(xù)寫(xiě)或恢復(fù)時(shí)連續(xù)讀，則在LUN級(jí)別采用RAID5結(jié)構(gòu)。

（4）對(duì)于IO密集型的應(yīng)用盡量采用單獨(dú)的VMFS存儲(chǔ)，避免在存儲(chǔ)端與其他應(yīng)用產(chǎn)生IO爭(zhēng)用。

（5）多個(gè)虛擬機(jī)共用一個(gè)數(shù)據(jù)存儲(chǔ)或者多個(gè)主機(jī)共享一個(gè)數(shù)據(jù)存儲(chǔ)時(shí)，可以啟用存儲(chǔ)隊(duì)列QoS，確保核心應(yīng)用的延時(shí)在可控范圍和對(duì)數(shù)據(jù)存儲(chǔ)讀寫(xiě)的優(yōu)先級(jí)。

（6）對(duì)于ALUA磁盤(pán)陣列（非雙活磁盤(pán)陣列），為了防止多路徑讀寫(xiě)沖突，在多路徑策略選擇時(shí)設(shè)置為MRU（最近使用策略），該策略可以保證只有在某個(gè)路徑故障時(shí)才啟用另一個(gè)存儲(chǔ)處理器連接LUN。

通過(guò)“服務(wù)器群－SAN網(wǎng)絡(luò)－存儲(chǔ)池”的存儲(chǔ)架構(gòu)為虛擬化應(yīng)用平臺(tái)提供存儲(chǔ)資源，有效提高了存儲(chǔ)利用率，簡(jiǎn)化了管理和維護(hù)的工作量，提升了虛擬化環(huán)境的擴(kuò)展性和可靠性。

3.4 擬化的網(wǎng)絡(luò)架構(gòu)

虛擬化平臺(tái)網(wǎng)絡(luò)構(gòu)建在NSTL千兆城域網(wǎng)內(nèi)，基于已有業(yè)務(wù)考慮，將它劃分成了管理網(wǎng)絡(luò)、VMotion實(shí)時(shí)遷移網(wǎng)絡(luò)、容錯(cuò)日志記錄網(wǎng)絡(luò)和業(yè)務(wù)應(yīng)用四個(gè)獨(dú)立網(wǎng)絡(luò)，業(yè)務(wù)應(yīng)用網(wǎng)絡(luò)又包含了前臺(tái)業(yè)務(wù)和后臺(tái)業(yè)務(wù)。其網(wǎng)絡(luò)架構(gòu)具有以下特點(diǎn)：

（1）管理網(wǎng)絡(luò)、前臺(tái)業(yè)務(wù)應(yīng)用網(wǎng)絡(luò)和后臺(tái)業(yè)務(wù)應(yīng)用網(wǎng)絡(luò)各自獨(dú)立。

（2）前臺(tái)與后臺(tái)業(yè)務(wù)應(yīng)用網(wǎng)絡(luò)安全控制策略差異化。

（3）每個(gè)虛擬交換機(jī)配置兩個(gè)上行鏈路物理網(wǎng)絡(luò)端口，冗余策略遵循在不同PCI插槽的物理網(wǎng)卡之間配置。

（4）物理交換網(wǎng)絡(luò)進(jìn)行冗余設(shè)置，避免單點(diǎn)故障。

（5）對(duì)多個(gè)端口捆綁做負(fù)載均衡，滿(mǎn)足大吞吐量和高并發(fā)網(wǎng)絡(luò)帶寬使用要求。

（6）虛擬交換機(jī)端口啟用802.1q的VLAN標(biāo)記，按業(yè)務(wù)需求創(chuàng)建專(zhuān)有VLAN。

通過(guò)上述網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)方式，虛擬化環(huán)境能夠靈活地為NSTL城域網(wǎng)用戶(hù)提供虛擬化資源服務(wù)，既能滿(mǎn)足NSTL前臺(tái)業(yè)務(wù)，也能滿(mǎn)足后臺(tái)業(yè)務(wù)的應(yīng)用部署需求，且在NSTL網(wǎng)絡(luò)安全策略的保護(hù)范圍之內(nèi)。ESXi服務(wù)器網(wǎng)絡(luò)示意圖參見(jiàn)圖4。

圖4 ESXi服務(wù)器網(wǎng)絡(luò)示意圖

圖5 安全審計(jì)系統(tǒng)

4 虛擬化環(huán)境中的運(yùn)維安全

虛擬化環(huán)境中的運(yùn)維管理比單臺(tái)服務(wù)器的維護(hù)管理復(fù)雜度要大得多，涉及了系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)庫(kù)、中間件等多種應(yīng)用，涉及的運(yùn)維人員也分散在不同的部門(mén)，其維護(hù)的操作也是多樣化的，可以是Telnet、SSH、http、https、FTP、遠(yuǎn)程桌面、KVM終端維護(hù)等。對(duì)于X86系統(tǒng)每臺(tái)虛擬服務(wù)器還需要考慮防病毒和系統(tǒng)補(bǔ)丁等問(wèn)題。因而，做到對(duì)虛擬化服務(wù)器中各類(lèi)設(shè)施的安全監(jiān)控和對(duì)操作行為的審計(jì)，避免出現(xiàn)問(wèn)題卻無(wú)法追溯的情況發(fā)生，是實(shí)施虛擬化建設(shè)值得關(guān)注的問(wèn)題。

4.1 運(yùn)維審計(jì)

為了降低運(yùn)維風(fēng)險(xiǎn)， NSTL在實(shí)際應(yīng)用中采用了運(yùn)維堡壘機(jī)對(duì)虛擬化中的各類(lèi)主機(jī)、應(yīng)用系統(tǒng)實(shí)行訪問(wèn)控制和運(yùn)維操作審計(jì)。起著操作網(wǎng)關(guān)作用的運(yùn)維堡壘機(jī)能實(shí)現(xiàn)對(duì)人員、設(shè)備、操作行為等諸多要素的統(tǒng)籌管理和策略定義。因此，建立一個(gè)具有完備控制和審計(jì)功能的管理系統(tǒng)可為虛擬化業(yè)務(wù)提供安全保障。安全審計(jì)系統(tǒng)示意圖見(jiàn)圖5。

運(yùn)維堡壘機(jī)采用“操作網(wǎng)關(guān)”的模式實(shí)現(xiàn)集中管理。這種部署模式的優(yōu)點(diǎn)是在部署過(guò)程中無(wú)需在被管理設(shè)備上安裝任何代理程序或插件，也不需要調(diào)整設(shè)備之間原有的網(wǎng)絡(luò)架構(gòu)，對(duì)用戶(hù)當(dāng)前的運(yùn)維環(huán)境幾乎不會(huì)造成任何影響。用戶(hù)使用唯一的帳號(hào)登錄到運(yùn)維操作管理系統(tǒng)中，系統(tǒng)會(huì)根據(jù)預(yù)先設(shè)置好的訪問(wèn)控制規(guī)則，提示用戶(hù)選擇可以訪問(wèn)的目標(biāo)設(shè)備和相應(yīng)系統(tǒng)帳號(hào)，用戶(hù)選擇后自動(dòng)登錄到目標(biāo)設(shè)備。運(yùn)維堡壘機(jī)同時(shí)記錄了用戶(hù)的全部操作過(guò)程，可對(duì)操作過(guò)程進(jìn)行回放。通過(guò)部署運(yùn)維節(jié)點(diǎn)機(jī)達(dá)到了以下目的：

（1）實(shí)現(xiàn)單點(diǎn)登錄

全部運(yùn)維人員集中通過(guò)運(yùn)維管理系統(tǒng)來(lái)管理后臺(tái)的服務(wù)器、網(wǎng)絡(luò)設(shè)備等資源，同時(shí)對(duì)運(yùn)維人員進(jìn)行統(tǒng)一的身份認(rèn)證。

（2）實(shí)現(xiàn)統(tǒng)一授權(quán)

統(tǒng)一部署訪問(wèn)控制和權(quán)限控制等策略，保證操作者對(duì)后臺(tái)資源的合法使用，同時(shí)實(shí)現(xiàn)對(duì)高危操作過(guò)程的事中監(jiān)控和實(shí)時(shí)告警。

（3）快速定位問(wèn)題

對(duì)操作人員原始的操作過(guò)程進(jìn)行完整的記錄，并提供靈活的查詢(xún)搜索機(jī)制，從而在操作故障發(fā)生時(shí)，快速地定位故障的原因，還原操作的現(xiàn)場(chǎng)。

（4）簡(jiǎn)化密碼管理

實(shí)現(xiàn)賬號(hào)密碼的集中管理，在簡(jiǎn)化密碼管理的同時(shí)提高賬號(hào)密碼的安全性，滿(mǎn)足等級(jí)保護(hù)安全要求。

4.2 病毒防護(hù)措施

計(jì)算機(jī)病毒對(duì)應(yīng)用系統(tǒng)的危害極大，常見(jiàn)的傳播途徑一種是通過(guò)存儲(chǔ)介質(zhì)進(jìn)行傳播，另一種是通過(guò)網(wǎng)絡(luò)惡意傳播。對(duì)此，NSTL在部署虛擬化環(huán)境時(shí)也從多個(gè)維度采取了安全防護(hù)措施。

（1）首先基于業(yè)務(wù)配置了兩個(gè)網(wǎng)絡(luò)既前臺(tái)網(wǎng)絡(luò)與后臺(tái)網(wǎng)絡(luò)，將這兩個(gè)網(wǎng)絡(luò)的設(shè)備分別連接到不同的物理接入交換機(jī)上，依托NSTL城域網(wǎng)對(duì)于前后臺(tái)網(wǎng)絡(luò)的安全策略，實(shí)現(xiàn)基本的網(wǎng)絡(luò)安全保障。再將前后臺(tái)網(wǎng)絡(luò)分別劃分各自的VLAN，而對(duì)于運(yùn)行在虛擬化環(huán)境中的虛擬機(jī)還可再進(jìn)行邏輯上的劃分，通過(guò)VLAN間的訪問(wèn)策略進(jìn)行本地的安全控制。

（2）VMware Tools是一個(gè)驅(qū)動(dòng)程序和實(shí)用程序的集合，每臺(tái)虛擬服務(wù)器上都安裝了Vmtools工具，利用Vmtools禁止兩臺(tái)虛擬機(jī)之間的文件共享，以及相互間的復(fù)制和粘貼等操作，在一定程度上可降低病毒傳播的風(fēng)險(xiǎn)。

（3）預(yù)先配置好操作系統(tǒng)模板，安裝專(zhuān)業(yè)殺毒軟件并定期更新這些模板的補(bǔ)丁和病毒庫(kù)，以降低系統(tǒng)風(fēng)險(xiǎn)，實(shí)現(xiàn)應(yīng)用的快速部署。

（4）利用Esxi服務(wù)器的內(nèi)置防火墻策略對(duì)虛擬化環(huán)境中的關(guān)鍵服務(wù)通信進(jìn)行監(jiān)控，控制入站和出站連接。

（5）利用運(yùn)維網(wǎng)關(guān)的代理審計(jì)功能對(duì)虛擬機(jī)文件傳輸實(shí)現(xiàn)安全控制。

隨著網(wǎng)絡(luò)安全問(wèn)題的日趨嚴(yán)重及新型安全風(fēng)險(xiǎn)的出現(xiàn)，需要持續(xù)關(guān)注虛擬化環(huán)境的網(wǎng)絡(luò)安全問(wèn)題，在規(guī)避傳統(tǒng)網(wǎng)絡(luò)安全問(wèn)題的同時(shí)，還應(yīng)對(duì)未來(lái)網(wǎng)絡(luò)安全可能出現(xiàn)的風(fēng)險(xiǎn)未雨綢繆，以增強(qiáng)虛擬化環(huán)境的安全防護(hù)能力，保障虛擬化平臺(tái)的穩(wěn)定運(yùn)行和應(yīng)用安全。

5 服務(wù)器虛擬化技術(shù)在NSTL應(yīng)用的思考

服務(wù)器虛擬化技術(shù)有各種優(yōu)點(diǎn)，但是在實(shí)際應(yīng)用中也存在著運(yùn)維難度高、應(yīng)用對(duì)虛擬化服務(wù)器的適應(yīng)性、虛擬層升級(jí)帶來(lái)的應(yīng)用維護(hù)的復(fù)雜度等諸多問(wèn)題。比如：

(1) 虛擬機(jī)的模板在制作過(guò)程中如果激活了操作系統(tǒng)，當(dāng)從模板部署虛擬機(jī)后，新產(chǎn)生的系統(tǒng)仍然為激活狀態(tài)，從而導(dǎo)致存在不符合軟件正版化的風(fēng)險(xiǎn)。

(2) 隨著時(shí)間的推移，需要不斷更新虛擬硬件驅(qū)動(dòng)、操作系統(tǒng)補(bǔ)丁和病毒庫(kù)，從而導(dǎo)致所有虛擬機(jī)和模板需要運(yùn)維人員和應(yīng)用人員共同參與處理，增加復(fù)雜性。

(3) 某些商業(yè)化應(yīng)用軟件需要廠商根據(jù)硬件環(huán)境生成運(yùn)行許可，由此會(huì)導(dǎo)致虛擬化的功能特性無(wú)法實(shí)現(xiàn)。

(4) 管理手段相對(duì)滯后，傳統(tǒng)數(shù)據(jù)安全技術(shù)尚不能完全適應(yīng)虛擬化環(huán)境，導(dǎo)致數(shù)據(jù)安全保護(hù)手段與虛擬機(jī)環(huán)境不匹配，可能影響到數(shù)據(jù)安全。

以上羅列了一些在實(shí)踐中碰到的實(shí)際情況，有些是傳統(tǒng)管理方面對(duì)虛擬化新技術(shù)帶來(lái)變革的不適應(yīng)，有些也確實(shí)是虛擬化技術(shù)產(chǎn)生的需要應(yīng)對(duì)的新局面。因此，還需要在實(shí)踐中不斷地總結(jié)和完善。

6 結(jié)語(yǔ)

目前，NSTL 雖已實(shí)現(xiàn)基于虛擬化環(huán)境的在線(xiàn)業(yè)務(wù)系統(tǒng)的各種應(yīng)用服務(wù)，但仍有許多工作尚待完善。虛擬化環(huán)境有別于傳統(tǒng)的物理服務(wù)器環(huán)境，維護(hù)人員對(duì)虛擬化環(huán)境中的虛擬設(shè)備和運(yùn)維管理中的角色等存在認(rèn)知差別，只有準(zhǔn)確把握各個(gè)角色職責(zé)，逐步規(guī)范管理流程和制度，才能使虛擬化應(yīng)用在使用和管理上更加高效便捷。同時(shí)，虛擬化平臺(tái)的投入使用，也給以往的IT運(yùn)維習(xí)慣帶來(lái)了很大的挑戰(zhàn)。NSTL必須積極應(yīng)對(duì)這種挑戰(zhàn)，通過(guò)技術(shù)手段、管理制度、人員培訓(xùn)等保障虛擬化平臺(tái)持久、穩(wěn)定運(yùn)行，從而實(shí)現(xiàn)部署虛擬化平臺(tái)的階段性目標(biāo)。

[1]魯松.計(jì)算機(jī)虛擬化技術(shù)及應(yīng)用[M].北京:機(jī)械工業(yè)出版社,2008:32-48.

[2] NSTL數(shù)字業(yè)務(wù)服務(wù)平臺(tái)備份體系系統(tǒng)設(shè)計(jì)方案，2011

[3]虛擬化是實(shí)現(xiàn)數(shù)據(jù)中心云計(jì)算的基礎(chǔ)[EB/OL].[2013-03-02].http://www.jifang360.com/news/2010816/n73639209.html.

The Application of Server Virtualization Technology in NSTL

Zhang Jing, Guan Yue / Institute of Scientiflc and Technical Information of China, Beijing, 100038
Hu Tiejun / National Science and Technology Library, Beijing, 100038

With the rapid growth of networking and digital information.,In general, its data center has numerous servers and at least terabytes of storage. Accordingly, it will be the main objective of virtualization planning of IT systems, which is about how to use more effective techniques to support rapid development and efflcient management of data center in the future. That is for establishing a platform that well adapts business information systems, and makes IT systems become real competitive tools for enhancing business level. This article describes the concrete practice of NSTL in using server virtualization technology.

Virtualization, Data center, Cloud computing, Network

10.3772/j.issn.1673—2286.2013.11.011

張婧，高級(jí)工程師。研究方向：計(jì)算機(jī)網(wǎng)絡(luò)安全等。E-mail:zhangj@istic.ac.cn

關(guān)越，系統(tǒng)管理員。研究方向：網(wǎng)絡(luò)安全、虛擬化技術(shù)。E-mail:guany@istic.ac.cn

胡鐵軍，研究員。研究方向：計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)與管理、文獻(xiàn)信息基礎(chǔ)理論研究與建設(shè)。E-mail：hutj@nstl.gov.cn

2013-05-30）