相信生產企業能夠清楚的看到���,隨著生產規模和業務的快速發展��,在IT基礎設施的投入和使用也不斷的增加�����,但同時也發現沒有進行有效整理的硬件效率也就越來越低�,很大程度上浪費了IT資源��。所以如何降低成本����、提高效率成為了很多生產企業深思的問題�����。重慶正���?萍加邢薰咀鳛閂Mware的合作伙伴����,并且是多年的虛擬化成熟方案的廠家��,今天就來分享一下VMware虛擬化方案在生產企業的完美部署��,從而降低成本��、提高效率�。
一�����、對涉及到各環節的業務進行分析
業務分析的目的是根據各環節的業務分析�����,找到切實有效的解決方法��。業務分析需要IT和業務部門的人員協同工作���,需要了解企業的戰略與業務規劃�,需要站在業務的角度��,以業務的語言對需求進行收集���、分析����,以確保解決方案的實施為企業帶來業務的收益����。這就需要IT人員對企業的業務環境����、業務運營流程���、所在行業的發展趨勢等方面的知識進行了解����,同時了解業務擴展性的需求��、數據安全保障的需求��、業務連續性的保障需求等方面�����,綜合考量一個業務系統的建設運營需求�����。比如企業手機辦公移動應用平臺��,作為信息化基礎平臺的一部分�,為公司員工提供了通過移動終端接入公司內部系統進行業務處理的能力������?傮w架構可分為安全接入認證網關���、展示層����、應用層和數據層�����,需要兼容IOS��、安卓和其他終端環境���。
二��、針對整個環境進行虛擬化設計
生產企業在虛擬化技術的實施下�����,一臺服務器可以被分割成數臺“虛擬”的機器���,每臺都能獨立運行自己的操作系統�����,從而避免了“一臺服務器���、一種應用”的孤島模式��。統計結果表明�����,在孤島模式下����,計算機資源的使用率只有不到25%�。有了虛擬化技術��,企業可以構建一個完全不同的基礎環境����,更有效地管理服務器�����。在同一服務器上運行不同操作系統和應用軟件的功能���,可以讓企業協調服務器的工作負擔�。如果一個虛擬系統有問題���,另一臺能立即替補�,繼續完成同一任務��。
一個應用系統的虛擬化的設計通常需要結合網絡����、系統����、數據庫���、安全性進行詳細設計��。
相對于網絡來說�����,比如手機辦公移動應用平臺選用了6臺服務器����,每臺服務器都配有4塊網卡��。這樣我們可以使用分布式虛擬交換機��,把所有的ESXI服務器網卡都接到分布式虛擬交換機上���,這樣我們可以進行全局的管理��,設置虛擬機網絡�����、存儲網絡和管理網絡等��,也為以后設置群集��、DRS設置�、高可用等打下了基礎�。
從系統上說�,Linux是基于互聯網開發并為云服務的��,企業在服務器層面部署Linux系統��,最大的好處是成本低��、性能高����,同時開源能幫助企業擺脫單一廠商的束縛���。在企業級服務器系統層面�,選擇紅帽和SUSE是比較穩妥的做法��,一方面是功能性����、穩定性有保證�����,另一方面則可以提供技術支持�,這對于企業后期運營來說會省去不少麻煩���。當然���,對于企業來說����,部署哪款Linux終歸要根據自己的實際情況及需求決定�����,沒有最好的�,只有最合適的����。針對手機辦公系統����,建議可以選擇紅帽和SUSE��。
從數據庫上說���,面對品種繁多的數據庫產品�����,正確的評估��、選型與數據庫技術本身同樣重要��。而通常��,數據庫廠商都會在性能清單和技術基準表中盡量展現產品最佳的一面�,對產品弱點卻避免提及或進行遮掩�,關于這一點��,業界已經是人盡皆知了�。其實在挑選和評估過程中���,首要目標是選擇一款能夠滿足甚至超過預定要求的技術或解決方案�。 其二只有在真實的環境中進行實際的比較測試才可以推斷出數據庫的預期性能及評估所需成本��。常用的方法包括平衡移植��,把原來的數據轉移到相同或類似硬件上的另一套數據庫����,然后以真實的客戶端連接這套測試對象���。又或是以數據產生器針對真實的數據模型���,建立出龐大的數據量����,再以客戶端連接作測試����。 比如針對手機辦公系統��,數據庫A價格便宜���、實施的成本也相對地低一些����。但要達到預期的服務水平�����,硬件和維護的成本卻要高很多����。相反��,數據庫B售價高些�、實施時的風險高一點所以最終成本也高很多�,但因為它的技術水平比較高�����,相對的硬件和維護成本就要低很多�����,這樣總體擁有成本就會低�����。結果是��,數據庫B的方案�,長遠來講反而更有利�����。
再從安全性上說��,虛擬化是以客居方式運行的操作系統���,其特有的安全威脅有:虛擬機鏡像無論在靜止還是運行狀態都有被竊取或篡改脆弱漏洞的可能�,對應的解決方案是在任何時候對虛擬機鏡像進行加密���,但這又會導致性能問題���。在安全性要求高或有法規要求的環境下���,(加密的)性能成本是值得的�����;另一個問題是不同等級的數據(或虛擬機儲存著不同等級的數據)可能交錯混雜在同一臺物理機器中���,在PCI(這里指PCI-DSS�����,支付卡行業數據安全標準)條款中�����,我們稱之為混合實施模式��。解決方案是建議組合使用虛擬局域網��、防火墻����、入侵檢測/入侵防護系統(IDS/IPS)來保證虛擬機隔離以支持混合實施模式��。另外還可以使用數據分類和基于策略的管理(例如��,DLP數據泄露保護)來預防數據混雜���。在云計算環境中����,某一最低安全保護的租戶�����,其安全性可能成為多租戶虛擬環境中所有租戶共有的安全性�����。在本例中��,針對手機辦公系統所在的6臺虛機��,做了基于虛擬機隔離和策略的保護來實現應用的安全�����。
三��、項目實施階段
在實施方案前��,需要進行評估和測試:
1����、安裝VMWare ESXI 5.0
我們只需要簡單地按照安裝向導的指示���,下一步下一步就可以了����,系統安裝完成約需30分鐘����。之后可以在其上分配資源���,安裝各種操作系統的虛機���。
2�、安裝VMWare VCENTER 5.0
軟件的安裝過程很簡單��,全部采用默認方式進行安裝�����。安裝過程中需要的輸入軟件許可序列號��,這個序列號可以從VMWare公司的官方網站上免費申請���。
3�����、安裝VMware VCENTER Conveter5.0
為了簡化系統遷移的步驟���,我們同樣將VMware VCENTER Conveter5.0安裝在服務器上�����。
軟件的安裝過程很簡單�����,全部采用默認方式進行安裝即可��。它能夠幫助用戶簡化物理機到虛擬機以及虛擬機格式之間的轉換過程以及導入微軟的VirtualPC和Virtual Server 生成的鏡像文件���。
4��、安裝VMware DATA RECOVERY
VMware DATA RECOVERY支持快速備份到磁盤�����,而且更重要的是����,它支持快速和完全的恢復���,從而能夠預防虛擬環境中的數據丟失����。
5�����、簡單性能評測
由于條件限制���,我們無法進行正規的服務器性能壓力測試�,只能對服務器的幾項主要性能(CPU����、內存�、文件系統)進行一個簡單的性能對比測試�����。測試結果表明�����,遷移后虛擬機系統的主要性能指標�,已經全面超過了原有實體物理系統的性能指標��。當然�,我們也注意到���,在文件系統的測試中����,虛擬系統的CPU占用率約為50%�����,比實體物理系統的39%高出11%���。這也證明如果不能解決好系統I/O虛擬化的問題�,虛擬系統就無法真正完全地替代實體物理系統��。不過我們相信��,隨著技術的進步����,這一天很快就會到來了���。
經過長達4個月的系統選型���、評估��、測試�,我們確認方案可行����。并且對VSPHERE HA群集�����、DRS和FT高級容錯功能進行測試�����,接下來的項目具體實施就是水到渠成了�。我們平均每周遷移2套老應用到虛擬系統上�,然后進行1周的觀察��,如果未發生異常情況�����,則可以確定系統遷移成功���。全部系統的遷移和測試驗證預期在2個月內完成�。
四�、企業需對成本和效益分析
通過部署實施手機辦公系統的虛擬化��,我們獲得了相當多的收獲�。
1����、降低了服務器的硬件采購成本�。該系統共有6臺物理服務器�,二期過保后報廢�,我們實際新采購服務器2臺��,其中2臺正睿ZI22S5-14988HV服務器,1臺作為虛擬化應用整合平臺�,另一臺臺作為數據庫平臺����。這樣我們為公司少購買了4臺服務器�����。這樣可以減少硬件采購成本���?紤]到購買VMWare虛擬化軟件的采購成本�����,實際為公司節約更多的成本支出��。
2��、降低了系統管理成本�,停用原來的6臺服務器后��,每年節約的各項服務器管理成本和軟件許可費用����,也是一筆不小的數字����。
3��、還提高了業務系統的服務器可用性�����。在實施虛擬化技術之前����,如果服務器發生硬件故障��,通常要停用1-2天的時間�����,來進行硬件更換�����。而在虛擬化環境下�����,如果運行虛擬系統的服務器發生硬件故障�,我們只需要將備份好的虛擬服務器的配置文件和虛擬硬盤鏡像文件還原到新的服務器上��,并恢復最近一次數據備份��,就可以恢復業務系統的正常使用���。這個時間���,通常是在4個小時以內的���。如果使用VMWare VMotion功能��,則可以把這個時間縮減到幾分鐘甚至幾秒鐘���!
最后提高了老業務系統的系統性能和降低了系統開發部署的成本����。在系統整體遷移完成后�����,經過實際測試����,所有遷移到虛擬系統的業務應用性能����,較遷移之前�����,有了一定程度的提高�。所以說��,硬件技術上的進步��,已經能夠在一定程度上彌補虛擬化技術帶來的應用系統的性能損耗����。VMwareVirtual Enterprise產品在快照管理方面的強大功能���,還大大縮短了我們在新應用系統開發和部署實施之前的測試時間���。由于一項誤操作�����,就需要花費數小時甚至1整天的時間來重建系統的日子�����,已經一去不復返了���。
五��、風險與安全
存在的風險須知:
1��、服務器虛擬化過程中變動最大的一環就是網絡架構的改變�����,網絡架構發生變化相應地會產生特殊的安全問題.采用虛擬化技術后��,所有虛擬機會集中連接到同一臺或某幾臺虛擬交換機與外部網絡通訊�����,使得原來可以通過防火墻采取的防護措施就會失敗�����,如果有一臺虛擬機發生問題�����,安全問題就會通過網絡擴散到其他的虛擬機�����。
2�、服務器虛擬化可能導致虛擬化主機自身負載過重或系統服務器崩潰���,因為服務器虛擬化后�����,每一臺服務器都將支持若干個重要的資源密集型應用程序��,這些應用程序將會爭奪同一硬件服務器的帶寬��、內存�、處理器和存儲等資源��,在這個過程中這些關鍵應用程序可能會遇到網絡瓶頸和性能問題��,并且可能會引起服務器負載過重�。服務器虛擬化后的物理服務器崩潰是更嚴重的一種安全問題�,因為服務器崩潰�����,所有的應用都會中斷�����,它比常規環境中一臺服務器崩潰引起一個應用中斷帶來的問題要嚴重得多�����。
3����、黑客攻擊�����、虛擬機溢出和虛擬機跳躍�����、虛擬機被盜都將會導致虛擬環境的安全風險 ����。最后虛擬機遷移和虛擬機間的通信將會大大增加服務器遭受滲透攻擊的機會�����。
溫馨小貼士:選擇一個優質的解決方案的商家至關重要���。
安全策略應對:
1����、監視主機和虛擬機上的事件日志和安全事件�����,妥善保存�����,以備審計�。
2�、最低權限原則:基于RBAC管理授權����;確保個人的責任明確���;如VMware VCenter�����。
3��、IT管理者需要針對虛擬機制定專門的審核策略和流程���,對虛擬機進行審核�����、追蹤和監控,防止虛擬機漏洞蔓延��。
4����、監控工具的應用:目的是對虛擬化的管理活動具有可見性���。監控導致虛擬機狀態變化的管理操作����、檢測出未經授權試圖拷貝或“克隆”虛擬機的行為����、監控和限制虛擬化“蔓延”���。
六�����、對整個生產企業方案的總結
對于生產企業在虛擬化部署完成后���,還需要進行持續和優化和維護���,一般來說�,Vmware會提供專業的售后服務�����,但作為企業來說�,依然需要IT人員不斷的實踐并管理好它���。
