虛擬化已經從測試實驗室技術逐步轉變為數據中心和虛擬桌面基礎結構中的主流組件。 在此過程中，虛擬化偶爾會獲得“免罪金牌”，但還沒有同樣有效的 IT 實踐，能夠像應用于實際的物理機一樣應用于虛擬部署。 這是一個錯誤。

如果您的預算不受限制，您是否會讓企業中的每個人訂購一兩套新系統并連接到網絡中？ 很可能不會。 當虛擬化最初走上舞臺時，無限制、無管理的泛濫受到以下事實的制約：虛擬機監控程序實際上是有成本的。 這在一定程度上可以防止基礎結構中的虛擬機失去控制。 現在，情況發生了變化。

無論是 1 型還是 2 型虛擬機監控程序，都出現了一些免費的虛擬機監控程序技術。 企業中的任何人，只要擁有 Windows 安裝介質和一小段空閑時間，就能在您的網絡上建立起一個新系統。 如果虛擬機在部署時并未讓適當的團隊成員知道，這就意味著新系統可能不幸成為新的零日漏洞的“天堂”，造成網絡中其他關鍵業務系統的宕機。

虛擬系統應該得到充分認識，也不能想當然。 必須像對實際的物理系統一樣，對虛擬基礎結構應用同樣的最佳實踐。 在此，我們將討論 10 個重要的最佳實踐。您在處理虛擬系統時，應該時刻牢記這些最佳實踐。

1. 理解虛擬化既有優點也有缺點

遺憾的是，虛擬化已經成為任何疑難雜癥的解決方案。 若要更快重建系統，請虛擬化； 若要使舊服務器再次煥發青春，請虛擬化； 當然，對于很多角色，虛擬化的確能帶來幫助。 但是，在您將所有舊的物理系統遷移到虛擬系統之前，或者在您為特定的工作負載部署一批新的虛擬化服務器之前，一定要了解虛擬化在 CPU 利用率、內存和磁盤方面的限制和實際問題。

例如，一臺給定主機上能夠有多少虛擬化的來賓？每個來賓要占用多少 CPU 或內核、RAM 以及磁盤空間？ 您是否考慮了存儲要求？您是否像對待物理 SQL 服務器一樣，將系統、數據和日志存儲分開？ 您還需要考慮備份和恢復以及故障轉移。 事實上，用于虛擬系統的故障轉移技術有很多種，與用于物理系統的故障轉移一樣強大而靈活，甚至有過之而無不及。 它真正依賴的是主機的硬件和存儲，尤其是所使用的虛擬機監控程序。

2. 理解不同的系統角色有不同的性能瓶頸

在部署虛擬系統時，您必須像對待物理服務器一樣，考慮每個虛擬系統所承擔的角色。 在擴展 SQL、Exchange 或 IIS 服務器群的規模時，您不應對每臺服務器都使用完全相同的配置。 CPU、磁盤和存儲要求往往天差地別。 在評估虛擬系統的配置時，您需要采用與物理系統部署一樣的設計方法。 對于虛擬來賓，這意味著花時間去理解您的服務器和存儲選擇、過多來賓使主機超載，或者設置的沖突工作負載會造成 CPU 和磁盤沖突。

3. 無論如何重視虛擬系統的管理、打補丁和安全性，都不為過

在剛剛過去的一周中，爆發了兩種新型病毒。 事實上有太多的虛擬系統沒有打補丁、打補丁過晚、未能正確管理或在安全策略中被忽視。 最新的研究指出，大部分人認為，USB 閃存驅動器必須為病毒（尤其是有針對性的威脅）的傳播負責。 實際原因是有太多物理系統沒有打補丁，存在安全問題。 而虛擬系統，尤其是閑置系統，展現出的威脅甚至更大。 撤消系統變更的功能更是讓問題變本加厲，因為它太容易刪除補丁和安全簽名了，即使這不是用戶的本意。 務必限制虛擬機的泛濫，并確保在打補丁、管理和安全策略基礎結構中包含所有虛擬機。

4. 除非絕對必要，否則切勿將虛擬系統與物理系統區別對待

最后一點應該已經深入思想過程，但還是要重復提醒大家。 您不應該將虛擬系統與物理系統區別對待。 事實上，對于閑置系統，您可能也希望將它們當作敵人。 因為它們可能成為惡意軟件用來滲透您的網絡的橋梁。

5. 及早備份，經常備份

虛擬系統與物理系統一樣，應該包含在您的備份計劃中。 您可以備份整個虛擬機，也可以備份其包含的數據。 后一種方法更靈活，更有價值。 備份整個虛擬機需要占用大量時間，但可以提供幾種快速恢復選項。 就像您保護關鍵的物理系統一樣，確保您也能夠快速、可靠地完成恢復操作。 備份系統而不進行驗證，這種情況也極其常見，其結果與不做備份沒有區別。

6. 謹慎使用“撤消”技術

虛擬技術中經常包含“撤消”技術。 這項技術需要慎重使用， 因為這是導致所有虛擬系統需要執行 IT 管理工作的另一個原因。 將磁盤狀態往回退一天或一周，實在是太容易了。 這可能會導致您剛剛緊急修補的任何漏洞再次暴露出來，成為感染網絡中其余部分的通道。

7. 了解您的故障轉移和規模擴展戰略

虛擬化經常被標榜為實現完美的故障轉移和規模擴展的手段。 這完全取決于您的主機硬件、虛擬機監控程序、網絡和存儲系統。 您應該與所有供應商合作，了解您虛擬化的每個角色是否能隨著每個服務器來賓而擴展。 您還需要了解其故障轉移的表現如何；尤其是在故障轉移期間，來賓有多長時間不能使用系統，以及在切換期間，它們的反應和可用性是怎樣的。

8. 控制虛擬機的泛濫

這很重要，同時也是最難實現的。 有一些虛擬機監控程序是完全免費的；而且即使使用商用虛擬機監控程序，“克隆”來賓也太容易了。 這將會導致多種問題：

• 安全性：新系統或錯誤克隆的系統可能會導致安全配置錯誤，或者導致與“克隆”的原始系統產生沖突。
• 管理：由克隆產生的沖突可能會導致系統未按策略管理、未打補丁，或者導致沖突或不穩定。
• 法律：直到最近，Windows 仍然不能判斷它是否被虛擬化，更重要的是，不能判斷它是否已經被悄悄地復制成一個新的來賓（一次或多次）。 由于容易復制以及對侵權的更放縱的態度，來賓的泛濫已經成為一種極其常見的現象。 這是一種危險的態度，至少應該是您的 IT 組織從制度上杜絕的一種態度。

太容易克隆系統了。 確保您的 IT 組織了解不正當復制來賓的風險。 部署虛擬機時，務必遵循與物理系統相同的政策。

9. 集中存儲

虛擬機泛濫的一個重要原因是整個企業中的主機四處分散。 如果您看到某位員工拿著外置硬盤和 CD 走到一臺物理服務器跟前，您就會想知道這位員工要干什么。 而對于虛擬系統，復制一兩份完整的來賓非常容易。 輕而易舉的復制成為虛擬機泛濫的一個重要原因。 這也會導致數據丟失。 如果您不能在物理上確保虛擬機的安全，則應該對它們的虛擬或物理磁盤進行加密，確保不丟失機密數據。 通過將虛擬主機和存儲系統放到一個集中的安全位置，您可以最大限度地降低泛濫以及數據丟失的可能性。

10. 了解您的安全范圍

無論是開發軟件，還是管理系統，安全性都應該是您日常戰略的組成部分。 當您考慮如何管理物理系統以及為其打補丁時，務必同時包含虛擬系統。 如果您部署了密碼策略，是否對虛擬系統也實施了同樣的策略？ 這里就存在風險，請確保您準備好回答以下問題：如何控制虛擬系統，以便緩解其被克隆的風險。 除非虛擬機包含在您的 IT 管理計劃中，否則就應該將虛擬機當做敵人。 現在，由于安全威脅有可能跨越主機和來賓的界限進行傳播，很多虛擬機監控程序都提供了免費版或試用版的防病毒軟件。

現狀與展望

未來，虛擬化在 IT 世界中有望變得更加重要。 您的最好做法是找出一種方法，使您現在就能使用并管理虛擬化，而不是放任自流，希望它能夠自己管好自己。 您需要對虛擬機和物理系統實施相同的策略。 請了解您的企業中何處使用了虛擬化，并且向團隊成員指出區別對待虛擬機和物理系統可能帶來的風險。