虛擬化已經(jīng)從測試實(shí)驗(yàn)室技術(shù)逐步轉(zhuǎn)變?yōu)閿?shù)據(jù)中心和虛擬桌面基礎(chǔ)結(jié)構(gòu)中的主流組件。 在此過程中，虛擬化偶爾會(huì)獲得“免罪金牌”，但還沒有同樣有效的 IT 實(shí)踐，能夠像應(yīng)用于實(shí)際的物理機(jī)一樣應(yīng)用于虛擬部署。 這是一個(gè)錯(cuò)誤。

如果您的預(yù)算不受限制，您是否會(huì)讓企業(yè)中的每個(gè)人訂購一兩套新系統(tǒng)并連接到網(wǎng)絡(luò)中？ 很可能不會(huì)。 當(dāng)虛擬化最初走上舞臺(tái)時(shí)，無限制、無管理的泛濫受到以下事實(shí)的制約：虛擬機(jī)監(jiān)控程序?qū)嶋H上是有成本的。 這在一定程度上可以防止基礎(chǔ)結(jié)構(gòu)中的虛擬機(jī)失去控制。 現(xiàn)在，情況發(fā)生了變化。

無論是 1 型還是 2 型虛擬機(jī)監(jiān)控程序，都出現(xiàn)了一些免費(fèi)的虛擬機(jī)監(jiān)控程序技術(shù)。 企業(yè)中的任何人，只要擁有 Windows 安裝介質(zhì)和一小段空閑時(shí)間，就能在您的網(wǎng)絡(luò)上建立起一個(gè)新系統(tǒng)。 如果虛擬機(jī)在部署時(shí)并未讓適當(dāng)?shù)膱F(tuán)隊(duì)成員知道，這就意味著新系統(tǒng)可能不幸成為新的零日漏洞的“天堂”，造成網(wǎng)絡(luò)中其他關(guān)鍵業(yè)務(wù)系統(tǒng)的宕機(jī)。

虛擬系統(tǒng)應(yīng)該得到充分認(rèn)識(shí)，也不能想當(dāng)然。 必須像對實(shí)際的物理系統(tǒng)一樣，對虛擬基礎(chǔ)結(jié)構(gòu)應(yīng)用同樣的最佳實(shí)踐。 在此，我們將討論 10 個(gè)重要的最佳實(shí)踐。您在處理虛擬系統(tǒng)時(shí)，應(yīng)該時(shí)刻牢記這些最佳實(shí)踐。

1. 理解虛擬化既有優(yōu)點(diǎn)也有缺點(diǎn)

遺憾的是，虛擬化已經(jīng)成為任何疑難雜癥的解決方案。 若要更快重建系統(tǒng)，請?zhí)摂M化； 若要使舊服務(wù)器再次煥發(fā)青春，請?zhí)摂M化； 當(dāng)然，對于很多角色，虛擬化的確能帶來幫助。 但是，在您將所有舊的物理系統(tǒng)遷移到虛擬系統(tǒng)之前，或者在您為特定的工作負(fù)載部署一批新的虛擬化服務(wù)器之前，一定要了解虛擬化在 CPU 利用率、內(nèi)存和磁盤方面的限制和實(shí)際問題。

例如，一臺(tái)給定主機(jī)上能夠有多少虛擬化的來賓？每個(gè)來賓要占用多少 CPU 或內(nèi)核、RAM 以及磁盤空間？ 您是否考慮了存儲(chǔ)要求？您是否像對待物理 SQL 服務(wù)器一樣，將系統(tǒng)、數(shù)據(jù)和日志存儲(chǔ)分開？ 您還需要考慮備份和恢復(fù)以及故障轉(zhuǎn)移。 事實(shí)上，用于虛擬系統(tǒng)的故障轉(zhuǎn)移技術(shù)有很多種，與用于物理系統(tǒng)的故障轉(zhuǎn)移一樣強(qiáng)大而靈活，甚至有過之而無不及。 它真正依賴的是主機(jī)的硬件和存儲(chǔ)，尤其是所使用的虛擬機(jī)監(jiān)控程序。

2. 理解不同的系統(tǒng)角色有不同的性能瓶頸

在部署虛擬系統(tǒng)時(shí)，您必須像對待物理服務(wù)器一樣，考慮每個(gè)虛擬系統(tǒng)所承擔(dān)的角色。 在擴(kuò)展 SQL、Exchange 或 IIS 服務(wù)器群的規(guī)模時(shí)，您不應(yīng)對每臺(tái)服務(wù)器都使用完全相同的配置。 CPU、磁盤和存儲(chǔ)要求往往天差地別。 在評估虛擬系統(tǒng)的配置時(shí)，您需要采用與物理系統(tǒng)部署一樣的設(shè)計(jì)方法。 對于虛擬來賓，這意味著花時(shí)間去理解您的服務(wù)器和存儲(chǔ)選擇、過多來賓使主機(jī)超載，或者設(shè)置的沖突工作負(fù)載會(huì)造成 CPU 和磁盤沖突。

3. 無論如何重視虛擬系統(tǒng)的管理、打補(bǔ)丁和安全性，都不為過

在剛剛過去的一周中，爆發(fā)了兩種新型病毒。 事實(shí)上有太多的虛擬系統(tǒng)沒有打補(bǔ)丁、打補(bǔ)丁過晚、未能正確管理或在安全策略中被忽視。 最新的研究指出，大部分人認(rèn)為，USB 閃存驅(qū)動(dòng)器必須為病毒（尤其是有針對性的威脅）的傳播負(fù)責(zé)。 實(shí)際原因是有太多物理系統(tǒng)沒有打補(bǔ)丁，存在安全問題。 而虛擬系統(tǒng)，尤其是閑置系統(tǒng)，展現(xiàn)出的威脅甚至更大。 撤消系統(tǒng)變更的功能更是讓問題變本加厲，因?yàn)樗菀讋h除補(bǔ)丁和安全簽名了，即使這不是用戶的本意。 務(wù)必限制虛擬機(jī)的泛濫，并確保在打補(bǔ)丁、管理和安全策略基礎(chǔ)結(jié)構(gòu)中包含所有虛擬機(jī)。

4. 除非絕對必要，否則切勿將虛擬系統(tǒng)與物理系統(tǒng)區(qū)別對待

最后一點(diǎn)應(yīng)該已經(jīng)深入思想過程，但還是要重復(fù)提醒大家。 您不應(yīng)該將虛擬系統(tǒng)與物理系統(tǒng)區(qū)別對待。 事實(shí)上，對于閑置系統(tǒng)，您可能也希望將它們當(dāng)作敵人。 因?yàn)樗鼈兛赡艹蔀閻阂廛浖脕頋B透您的網(wǎng)絡(luò)的橋梁。

5. 及早備份，經(jīng)常備份

虛擬系統(tǒng)與物理系統(tǒng)一樣，應(yīng)該包含在您的備份計(jì)劃中。 您可以備份整個(gè)虛擬機(jī)，也可以備份其包含的數(shù)據(jù)。 后一種方法更靈活，更有價(jià)值。 備份整個(gè)虛擬機(jī)需要占用大量時(shí)間，但可以提供幾種快速恢復(fù)選項(xiàng)。 就像您保護(hù)關(guān)鍵的物理系統(tǒng)一樣，確保您也能夠快速、可靠地完成恢復(fù)操作。 備份系統(tǒng)而不進(jìn)行驗(yàn)證，這種情況也極其常見，其結(jié)果與不做備份沒有區(qū)別。

6. 謹(jǐn)慎使用“撤消”技術(shù)

虛擬技術(shù)中經(jīng)常包含“撤消”技術(shù)。 這項(xiàng)技術(shù)需要慎重使用， 因?yàn)檫@是導(dǎo)致所有虛擬系統(tǒng)需要執(zhí)行 IT 管理工作的另一個(gè)原因。 將磁盤狀態(tài)往回退一天或一周，實(shí)在是太容易了。 這可能會(huì)導(dǎo)致您剛剛緊急修補(bǔ)的任何漏洞再次暴露出來，成為感染網(wǎng)絡(luò)中其余部分的通道。

7. 了解您的故障轉(zhuǎn)移和規(guī)模擴(kuò)展戰(zhàn)略

虛擬化經(jīng)常被標(biāo)榜為實(shí)現(xiàn)完美的故障轉(zhuǎn)移和規(guī)模擴(kuò)展的手段。 這完全取決于您的主機(jī)硬件、虛擬機(jī)監(jiān)控程序、網(wǎng)絡(luò)和存儲(chǔ)系統(tǒng)。 您應(yīng)該與所有供應(yīng)商合作，了解您虛擬化的每個(gè)角色是否能隨著每個(gè)服務(wù)器來賓而擴(kuò)展。 您還需要了解其故障轉(zhuǎn)移的表現(xiàn)如何；尤其是在故障轉(zhuǎn)移期間，來賓有多長時(shí)間不能使用系統(tǒng)，以及在切換期間，它們的反應(yīng)和可用性是怎樣的。

8. 控制虛擬機(jī)的泛濫

這很重要，同時(shí)也是最難實(shí)現(xiàn)的。 有一些虛擬機(jī)監(jiān)控程序是完全免費(fèi)的；而且即使使用商用虛擬機(jī)監(jiān)控程序，“克隆”來賓也太容易了。 這將會(huì)導(dǎo)致多種問題：

• 安全性：新系統(tǒng)或錯(cuò)誤克隆的系統(tǒng)可能會(huì)導(dǎo)致安全配置錯(cuò)誤，或者導(dǎo)致與“克隆”的原始系統(tǒng)產(chǎn)生沖突。
• 管理：由克隆產(chǎn)生的沖突可能會(huì)導(dǎo)致系統(tǒng)未按策略管理、未打補(bǔ)丁，或者導(dǎo)致沖突或不穩(wěn)定。
• 法律：直到最近，Windows 仍然不能判斷它是否被虛擬化，更重要的是，不能判斷它是否已經(jīng)被悄悄地復(fù)制成一個(gè)新的來賓（一次或多次）。 由于容易復(fù)制以及對侵權(quán)的更放縱的態(tài)度，來賓的泛濫已經(jīng)成為一種極其常見的現(xiàn)象。 這是一種危險(xiǎn)的態(tài)度，至少應(yīng)該是您的 IT 組織從制度上杜絕的一種態(tài)度。

太容易克隆系統(tǒng)了。 確保您的 IT 組織了解不正當(dāng)復(fù)制來賓的風(fēng)險(xiǎn)。 部署虛擬機(jī)時(shí)，務(wù)必遵循與物理系統(tǒng)相同的政策。

9. 集中存儲(chǔ)

虛擬機(jī)泛濫的一個(gè)重要原因是整個(gè)企業(yè)中的主機(jī)四處分散。 如果您看到某位員工拿著外置硬盤和 CD 走到一臺(tái)物理服務(wù)器跟前，您就會(huì)想知道這位員工要干什么。 而對于虛擬系統(tǒng)，復(fù)制一兩份完整的來賓非常容易。 輕而易舉的復(fù)制成為虛擬機(jī)泛濫的一個(gè)重要原因。 這也會(huì)導(dǎo)致數(shù)據(jù)丟失。 如果您不能在物理上確保虛擬機(jī)的安全，則應(yīng)該對它們的虛擬或物理磁盤進(jìn)行加密，確保不丟失機(jī)密數(shù)據(jù)。 通過將虛擬主機(jī)和存儲(chǔ)系統(tǒng)放到一個(gè)集中的安全位置，您可以最大限度地降低泛濫以及數(shù)據(jù)丟失的可能性。

10. 了解您的安全范圍

無論是開發(fā)軟件，還是管理系統(tǒng)，安全性都應(yīng)該是您日常戰(zhàn)略的組成部分。 當(dāng)您考慮如何管理物理系統(tǒng)以及為其打補(bǔ)丁時(shí)，務(wù)必同時(shí)包含虛擬系統(tǒng)。 如果您部署了密碼策略，是否對虛擬系統(tǒng)也實(shí)施了同樣的策略？ 這里就存在風(fēng)險(xiǎn)，請確保您準(zhǔn)備好回答以下問題：如何控制虛擬系統(tǒng)，以便緩解其被克隆的風(fēng)險(xiǎn)。 除非虛擬機(jī)包含在您的 IT 管理計(jì)劃中，否則就應(yīng)該將虛擬機(jī)當(dāng)做敵人。 現(xiàn)在，由于安全威脅有可能跨越主機(jī)和來賓的界限進(jìn)行傳播，很多虛擬機(jī)監(jiān)控程序都提供了免費(fèi)版或試用版的防病毒軟件。

現(xiàn)狀與展望

未來，虛擬化在 IT 世界中有望變得更加重要。 您的最好做法是找出一種方法，使您現(xiàn)在就能使用并管理虛擬化，而不是放任自流，希望它能夠自己管好自己。 您需要對虛擬機(jī)和物理系統(tǒng)實(shí)施相同的策略。 請了解您的企業(yè)中何處使用了虛擬化，并且向團(tuán)隊(duì)成員指出區(qū)別對待虛擬機(jī)和物理系統(tǒng)可能帶來的風(fēng)險(xiǎn)。