应用:虚拟化实战之如何监控虚拟环境
当前有一个必须要面对的问题:很多虚拟工作环境管理员缺少对系统安全、资源需求和虚拟机监控等方面的工作的足够重视,这些工作都是虚拟化工作环境中需要考虑的。但是对这些问题的忽视都将会带来安全违规、虚拟机性能问题和系统宕机的后果。监控虚拟化工作环境对维持系统正常运行非常必要。本文介绍如何保护虚拟环境的安全、部署和监控虚拟化工作环境。
保护虚拟化工作环境的安全
部署虚拟工作环境时,管理员经常忘记花时间来合理地保护这个工作环境的安全性,这是一个非常重要的问题。其实就Hypervisor来讲,很多还是比较安全的,但还有可以继续改进的空间。另外,导致Hypervisor变得不安全非常容易,比如修改默认设置或者配置错误。因为在虚拟化工作环境中,一台物理服务器上运行很多虚拟服务器,物理服务器上的安全问题可以直接影响到运行在主机上的所有虚拟服务器的安全,所以安全问题就很容易被扩大化。
传统的安全问题解决方案并不能完全适用于虚拟化工作环境,仍然有一些特定的问题需要考虑。因此就有必要花费一定的时间弄明白虚拟工作环境中的安全问题,对构成虚拟工作环境的所有组件(包括主机、虚拟机、网络和管理服务器)配置所推荐的安全设置。
保护主机服务器确实是无论如何强调都不为过。想象一下,主机服务器就像是城堡,保护城堡里面的东西--虚拟机。如果攻击者攻破了城堡的防护措施,就可以随意地获得里面的任何东西。所以有必要尽可能地保证城堡的防护措施足够安全,当然也不要忘记在护城河里面放足水,提高防护措施。为此,很多第三方商家提供安全产品,尤其是监控和保护虚拟机、主机和虚拟网络的安全产品。
由于不断增长的安全风险和一些导致虚拟机不安全的错误认识的存在,很多安全管理员管理虚拟主机时非常谨慎。花时间向公司的安全部门解释在虚拟工作环境中安全性所起到的作用。另外列出进一步保护主机和虚拟机采取措施的额外步骤。在他们知道虚拟化环境中的安全的重要性之后,就会非常乐意地配合工作。
部署虚拟化工作环境
实际上虚拟机的创建非常容易,但是一旦虚拟机扩张起来就会带来大量问题。其中虚拟环境中最大的一个问题就是虚拟机蔓延或者说是虚拟环境中虚拟机不可控的增长。说到这里,Star Trek的追随者们应该能够回想起来在流行的"The Trouble with Tribbles"中可爱的外星人以很快的速度复制,以至于超过了宇宙飞船上的食物供应。虚拟机蔓延也非常类似,在没有认真考虑虚拟机所消耗主机资源的情况下,随意创建虚拟机。因此宿主服务器很快就难以负载这些虚拟机。
为了应对虚拟机蔓延这个问题,可以使用部署一些特定的产品,这些产品可以支持扣款,也可以对虚拟环境中资源使用创建报告。另外,限制授权可以创建虚拟机的用户数量,构建请求新虚拟机的证实流程可以阻止虚拟机蔓延和不可监控。需要考虑任何创建虚拟机请求的合法性,建立一个许可流程迫使用户在需要创建虚拟机时再次考虑是否确实有这个必要。最后,创建资源池用来辅助限制主机服务器上供新虚拟机使用的资源数量。
尽早控制虚拟机蔓延非常重要,尽量在该问题出现之前。要不然就有可能耗尽所有的主机资源,并且会产生降低虚拟机性能的瓶颈问题。IT支持者需要意识到虚拟机并不是免费的,无论其配置如何,都可能会带来连带的费用。严格控制虚拟化工作环境是限制主机服务器上虚拟机不必要增长的关键所在。
监控虚拟化工作环境
监控虚拟工作环境对于保持其正常运行和承担功能非常重要。通常情况下,问题可能不太明显,一个很好的监控系统可以对需要解决的问题发出报警。在虚拟化工作环境中,由于相当多的虚拟机运行在一个主机上,并且所有的虚拟机竞争使用主机资源,所以一个很小的问题就有可能带来很大的影响。所以重视监控问题非常重要,如果没有监控,就不可能注意到虚拟工作环境所试图警告的问题,原因是根本就没有重视。
其中有几项内容是需要监控的,如性能、服务器硬件和虚拟化特定软件的警报和事件。主机硬件故障可以中断虚拟工作环境,尽管当前有不少相关技术(如高可靠性和故障容错)旨在最小化系统故障宕机时间。了解风扇、驱动和内存模块何时出现问题,可以立即采取措施最小化对工作环境的中断。
在虚拟化工作环境中,因为会有很多虚拟机竞争主机资源的现象,并且一个瓶颈问题可以很大程度上影响到虚拟机性能,所以监控主机和虚拟机的性能非常必要。资源瓶颈通常情况下并不明显,监控主机性能可以辅助标识潜在需要纠正的瓶颈问题。监控虚拟机性能的时候,需要依赖一些工具。这些工具就是设计用在虚拟化工作环境中的,因为很多操作系统工具,如Windows性能监控,并不适用于虚拟层,并且对于特定的计数器和度量可能会产生不正确的结果。
引发性能问题的根源通常都不是很明显,但是会对虚拟机和主机服务器产生一连串的影响。因此应该在虚拟工作环境中配置监控系统,深度理解所报告的用来主动消除瓶颈和问题的规格和数据。另外,也可以考虑一下很多第三方商家所提供的监控和报告工具。这些工具和内置在虚拟化产品中的工具相比非常强大,并且在很大程度上可以增强监控能力。(来源:计世网)
