徐永強

（山東省沂水縣融媒體中心 山東省沂水縣 276400）

1 引言

虛擬化技術(shù)主要是指在一臺物理機上可以運行多個虛擬機系統(tǒng)，從而可以保障在多個工作環(huán)境當(dāng)中使用一臺計算機資源，大大提高了資源的利用效率。虛擬化技術(shù)的應(yīng)用可以大幅度減少計算機資源設(shè)備的投入、減少電力能源的消耗、減少降溫冷卻資源的投入、減少設(shè)備的物理使用空間。但是處于虛擬環(huán)境下的服務(wù)器和虛擬桌面同樣會存在較為嚴(yán)重的計算機安全問題，病毒、蠕蟲、木馬程序、惡意軟件的入侵都會對虛擬服務(wù)器造成危害，甚至癱瘓。因此，對于虛擬環(huán)境下的服務(wù)器和虛擬桌面的安全性問題必須要考慮，提前做好相應(yīng)的虛擬機防病毒方案，從而有效保障虛擬機安全穩(wěn)定的運行。

同樣情況下，對于物理計算機都會要安裝相應(yīng)的防病毒軟件，從而可以抵御病毒的侵入，同時防病毒軟件可以定期在非工作時間內(nèi)進(jìn)行防病毒掃描，消除計算機可能存在的病毒侵入，同時也可以較少工作時間內(nèi)計算機資源的占用。當(dāng)這些業(yè)務(wù)被遷移到虛擬化環(huán)境中后，同一個物理服務(wù)器上的眾多虛擬機同時更新病毒特征庫或按需全盤掃描時，可能導(dǎo)致物理服務(wù)器CPU、內(nèi)存和磁盤I/O 出現(xiàn)尖峰，該時間內(nèi)虛擬機會處于忙碌狀態(tài)，無法提供正常服務(wù)，這就是所謂的“防病毒風(fēng)暴”，嚴(yán)重影響設(shè)備及系統(tǒng)的正常使用。針對這一情況，以往較為常見的做法是使其按需掃描調(diào)度隨機化，應(yīng)用效果不佳。因此針對沂水縣融媒體中心虛擬機系統(tǒng)的應(yīng)用情況，希望能建立一套有效的虛擬機防病毒方案，可以有效的防病毒同時感知Hypervisor 按需全盤掃描的自動調(diào)度系統(tǒng)。該虛擬機防病毒方案的應(yīng)用后，期望能降低虛擬化主機CPU、內(nèi)存和磁盤I/O 負(fù)載，避免“防病毒風(fēng)暴”。

2 基于虛擬機技術(shù)的融媒體共享平臺的構(gòu)建

把不同媒體資源進(jìn)行全面整合，構(gòu)建一個統(tǒng)一的媒體融合共享平臺，在該平臺上可以實現(xiàn)不同媒體間的媒體資源共享。同時在融媒體平臺的構(gòu)建當(dāng)中，必須考慮網(wǎng)絡(luò)之間數(shù)據(jù)安全的交換傳輸，實現(xiàn)媒體資源平臺的安全運行。山東省沂水縣融媒體中心深入整合資源，形成集約發(fā)展模式，為更好地引導(dǎo)群眾、服務(wù)群眾，構(gòu)建了基于虛擬機技術(shù)的媒體融合共享平臺。沂水縣融媒體中心共享平臺由三大部分組成，服務(wù)器平臺部分、交換網(wǎng)絡(luò)部分、集中存儲部分；有媒資電視專業(yè)網(wǎng)、廣播專業(yè)網(wǎng)、辦公網(wǎng)、新媒體專業(yè)網(wǎng)四大專業(yè)網(wǎng)；共享平臺與各專業(yè)網(wǎng)之間都設(shè)置安全防火墻，實現(xiàn)信息的安全傳輸。

2.1 服務(wù)器平臺分析

在沂水縣融媒體中心共享平臺當(dāng)中，物理服務(wù)器使用的是4 臺DELL8720 服務(wù)器。安裝時，服務(wù)器8 個千兆網(wǎng)口和2 個8Gb 單通道HBA 卡通過交換機與設(shè)備進(jìn)行連接；2 個2GB SD 卡用于安裝服務(wù)器的虛擬化軟件ESXi 系統(tǒng)。

融媒體中心共享平臺建設(shè)中，VMware esxi 5.5 用于支撐虛擬機作業(yè)；Vcenter5.5 主要用來管理虛擬系統(tǒng)，為用戶完成角色等操作；VMware vCenter Operations Manager 5.5 主要對運行的虛擬系統(tǒng)進(jìn)行實時監(jiān)控；vSphere Data Protection5.8 用于對虛擬機的備份；VCenter update Manager5.5 可以自動管理補丁，可以自動跟蹤和修補VMware vSphere 主機和虛擬機。

在沂水縣融媒體中心共享平臺的建設(shè)當(dāng)中，應(yīng)用服務(wù)器是根據(jù)應(yīng)用需求虛擬進(jìn)行合理部署。基于工作需要，在共享平臺當(dāng)中，應(yīng)用采用虛擬化技術(shù)將中心的4 臺物理服務(wù)器虛擬部署了13 臺Windows2008 操作系統(tǒng)虛擬服務(wù)器，從而可以有效的對中心全部媒體資源進(jìn)行共享應(yīng)用、對共享平臺的系統(tǒng)和數(shù)據(jù)進(jìn)行管理。13 臺虛擬服務(wù)器當(dāng)中，有2 臺轉(zhuǎn)碼服務(wù)器，分析對應(yīng)兩臺不同的物理服務(wù)器上，可以高效進(jìn)行轉(zhuǎn)碼作業(yè)；有2 臺Dirwatch 服務(wù)器，分別部署在另外兩臺物理機上，對共享平臺所有媒體共享素材進(jìn)行全自動掃描入庫并進(jìn)行實時更新作業(yè)；有1 臺數(shù)據(jù)庫服務(wù)器，對數(shù)據(jù)進(jìn)行存儲；有1 強系統(tǒng)管理服務(wù)器，對系統(tǒng)進(jìn)行管理；有1 臺信息發(fā)布服務(wù)器，用于共享平臺的信息發(fā)布；有1 強收錄服務(wù)器，收錄相應(yīng)的信息資源；有1 臺通稿服務(wù)器，對通稿進(jìn)行處理；有1 臺媒資備份服務(wù)器；有1 強互聯(lián)網(wǎng)抓站服務(wù)器；有1 強防病毒服務(wù)器，用于平臺的防病毒方案的應(yīng)用與管理；有1 強FTP 服務(wù)器。

2.2 交換網(wǎng)絡(luò)分析

（1）應(yīng)用系統(tǒng)與平臺服務(wù)器之間部署兩臺交換機。交換機全部采用IRF 結(jié)構(gòu)，在每臺服務(wù)器物理機上有8 個千兆網(wǎng)口與之進(jìn)行聯(lián)接。5 個千兆口通過鏈路聚合，實現(xiàn)交換機與應(yīng)用系統(tǒng)之間的高帶寬聯(lián)接和端口冗余，另3 個千兆口綁定在服務(wù)器平臺的系統(tǒng)管理中。

（2）服務(wù)器與統(tǒng)一存儲之間部署四臺交換機。交換機全部采用IRF 結(jié)構(gòu)，每臺服務(wù)器物理機有8 個千兆網(wǎng)口分別與兩臺交換機互聯(lián)。

2.3 平臺存儲分析

通過分析及相關(guān)數(shù)據(jù)計算，沂水縣融媒體中心共享平臺選用EMC VMX5500 系列產(chǎn)品作為該中心融媒體共享平臺的集中存儲，整個存儲配置兩個雙活企業(yè)級控制器、兩個主備NAS 服務(wù)控制器，系統(tǒng)緩存48GB，二級緩存100GB，二級緩存100GB、配置8 個8Gb 光纖通道主機端口、4 個10Gb 光纖NAS 通道主機端口。

3 虛擬機防病毒方案在融媒體平臺中的應(yīng)用

3.1 虛擬機防病毒方案的提出

沂水縣融媒體中心針對中心融媒體平臺的復(fù)雜程度以及相應(yīng)的工作需求，從保障融媒體平臺各系統(tǒng)安全穩(wěn)定運行的前提下，基于運行效率的考慮，提出了以下的虛擬機防病毒方案，方案如下所述。

3.1.1 物理服務(wù)器、客戶端以及虛擬化平臺防病毒統(tǒng)一集中管理和安全架構(gòu)方案

方案一：設(shè)計構(gòu)建了物理服務(wù)器、客戶端以及虛擬化平臺防病毒的統(tǒng)一集中管理和安全架構(gòu)方案。在該虛擬機防病毒方案當(dāng)中，對虛擬化平臺安全管理產(chǎn)品與物理服務(wù)器、終端客戶端安全管理產(chǎn)品進(jìn)行統(tǒng)一集中管理，采取相同的管理控制中心，在同一個管理平臺上同時對不同的服務(wù)器組或單臺系統(tǒng)進(jìn)行管理控制，來實現(xiàn)不同的升級、防護(hù)、檢測、管理策略，從而可以有效簡化管理操作、方便管理。

3.1.2 各虛擬化平臺的統(tǒng)一集中管理和安全架構(gòu)方案

方案一：設(shè)計構(gòu)建了各虛擬化平臺的統(tǒng)一集中管理和安全架構(gòu)方案。在該虛擬機防病毒方案當(dāng)中，對VMWARE 虛擬化平臺、HYPER-V 虛擬化平臺、CITRIX 應(yīng)用虛擬化及桌面虛擬化全部都進(jìn)行統(tǒng)一集中管理，采用統(tǒng)一的跨虛擬化平臺管理控制中心進(jìn)行操作。在同一個管理平臺上對不同的不同虛擬化平臺下的虛擬機組、群集或單臺虛擬機進(jìn)行作業(yè)，從而來實現(xiàn)相同或不同的病毒庫升級、病毒檢測、管理策略等操作，從而可以有效簡化管理操作，方便管理。

3.2 虛擬機防病毒方案的應(yīng)用

沂水縣融媒體中心進(jìn)行技術(shù)及相應(yīng)參數(shù)對比分析，結(jié)合該融媒體共享平臺的實況，確定采用McAfee 公司ePO4.5 版本的防病毒應(yīng)用軟件。定制配置McAfee Management for Optimized Virtual Environments（MOVE）AntiVirus，較好適用于虛擬桌面和服務(wù)器，其獨特設(shè)計旨在減少傳統(tǒng)終端安全保護(hù)的管理工作量，但仍能提供企業(yè)成功發(fā)展所必需的防護(hù)和性能，該防病毒應(yīng)用軟件的應(yīng)用可以有效保障沂水縣融媒體中心融媒體共享平臺的安全性，降低病毒掃描的運營費用，安全性和經(jīng)濟性都較好。

選擇一個跨多種供應(yīng)商平臺的高效解決方案或適用于VMware vShield 的無代理調(diào)整選項。無論采用哪種方式，都能獲取靈活的頂級安全防護(hù)，同時兼顧高性能。為了實現(xiàn)主動保護(hù)，該軟件整合了實時威脅智能感知系統(tǒng)，并對物理和虛擬基礎(chǔ)設(shè)施統(tǒng)一進(jìn)行安全管理。

MOVE AntiVirus 通過以下方式應(yīng)對這些挑戰(zhàn)：

（1）優(yōu)化虛擬環(huán)境安全防護(hù)：MOVE AntiVirus 通過優(yōu)化和降低McAfee VirusScan Enterprise 的負(fù)載處理功能，確保您獲得更高的運營回報，同時通過進(jìn)一步縮小掃描范圍以及根據(jù)管理程序的整體負(fù)載進(jìn)行掃描，最大限度地降低對虛擬服務(wù)器性能的影響。

（2）實現(xiàn)所有主要管理程序安全防護(hù)標(biāo)準(zhǔn)化：在開始部署虛擬機時，MOVE AntiVirus 都能靈活地為所有主要管理程序提供一致的安全防護(hù)。

（3）確保實現(xiàn)最佳安全管理，成功營造虛擬環(huán)境：利用和優(yōu)化虛擬環(huán)境中現(xiàn)有的McAfee VirusScan Enterprise 保護(hù)，借助McAfee ePolicy Orchestrator (McAfee ePO)控制臺進(jìn)行安全管理和提升效率。確保安全策略保持不變，哪怕虛擬環(huán)境中的虛擬機進(jìn)行了遷移。

MOVE AntiVirus 優(yōu)勢分析：減輕惡意軟件掃描的負(fù)擔(dān)，獲取即時保護(hù)，同時對內(nèi)存和處理過程的影響極小；防范防病毒風(fēng)暴，從多種選項中受益，包括實時掃描、計劃掃描和選擇性掃描；支持所有主流的虛擬機監(jiān)控程序；最大限度地減少設(shè)置和更新，借助專門的增強型虛擬設(shè)備優(yōu)化您的時間；攔截未知的零日威脅通過McAfee Global Threat Intelligence 充分利用實時文件分析；添加入侵和Web 防護(hù)，實現(xiàn)桌面防火墻、內(nèi)存和Web 應(yīng)用程序保護(hù)（內(nèi)置）；充分利用McAfee ePolicy Orchestrator (McAfee ePO)軟件，可以快速查看、控制和報告各個終端的情況。

4 總結(jié)

山東省沂水縣融媒體中心深入整合資源，形成集約發(fā)展模式，為更好地引導(dǎo)群眾、服務(wù)群眾，構(gòu)建了基于虛擬機技術(shù)的媒體融合共享平臺。在融媒體共享平臺的構(gòu)建當(dāng)中，必須考慮網(wǎng)絡(luò)之間數(shù)據(jù)安全的交換傳輸，實現(xiàn)媒體資源平臺的安全運行。本文以沂水縣融媒體中心融媒體共享平臺為實際案例，對該中心基于虛擬機技術(shù)融媒體共享平臺的構(gòu)建情況進(jìn)行了詳細(xì)分析，有針對性的布置了McAfee 公司ePO4.5 版本的防病毒應(yīng)用軟件來進(jìn)行虛擬機防病毒方案，實際應(yīng)用效果表明，該虛擬機防病毒方案有效的提高了融媒體中心數(shù)據(jù)提取的速度和安全性，同時維護(hù)成本較低，有效保障了融媒體中心日常工作的開展。該論文可以為同類型縣級融媒體中心融媒體共享平臺虛擬機防病毒方案的應(yīng)用提供技術(shù)參考。