在虛擬主機和虛擬機上運行反病毒掃描是應(yīng)該做的事情。不在于反病毒掃描是否提供了有價值的防護，而是由于反病毒程序嚴重影響了系統(tǒng)的性能。幸運的是，你可以優(yōu)化反病毒程序來減少它消耗的主機資源。本文中，作者Rob McShinsky介紹反病毒軟件作用于主機和虛擬機的關(guān)鍵點。上文介紹了對虛擬主機反病毒掃描的考慮，下面看看虛擬方面的考慮。

對虛擬機反病毒掃描的考慮

對于任何虛擬主機，在虛擬機上運行反病毒的架構(gòu)都是一個很大的缺陷。反病毒程序同時在多個虛擬機上進行掃描，有使主機資源池用盡的可能。

在你部署反病毒產(chǎn)品到虛擬機之前，權(quán)衡以下的考慮：

◇ 掃描時間。按計劃的反病毒掃描也會影響主機資源的飽和。如果很少量的虛擬機運行很占用CPU的掃描是可以的。但是假如在一臺擁有8個CPU核心的主機中，當20臺虛擬機同時使用它們50%的CPU，問題就會出現(xiàn)。在我的經(jīng)驗中，20臺虛擬機最高的CPU使用只出現(xiàn)在反病毒掃描中。很明顯，反病毒廠商必須允許用戶隨機掃描的時間來減小主機CPU飽和的可能。

◇ 其它的掃描。按訪問掃描和快速掃描同樣很耗費資源。通常，對于完全掃描有具體的排除項設(shè)置和可供調(diào)整的地方。但是對這類掃描只有很少或者沒有可調(diào)整的設(shè)置。類似于完全掃描，按訪問掃描應(yīng)該具有調(diào)整例如排除項這類設(shè)置的能力。另一面，快速掃描有時在一個新的病毒庫到達后開始。我曾經(jīng)使用過一款反病毒程序，當我對完全掃描和按訪問掃描都進行調(diào)整后，只有快速掃描嚴重拖慢了主機服務(wù)器。這種情況下，我被迫通過修改每臺主機的注冊表來禁止快速掃描。因此，當挑選反病毒軟件的時候，要注意這些掃描的選項。

◇ 程序以及病毒庫升級。一款好的反病毒軟件允許用戶選擇自動或者手動升級。病毒庫升級同樣應(yīng)該允許隨機分布。你也許需要立刻升級你的病毒庫。所以反病毒軟件的設(shè)計需要靈活。
當你已經(jīng)應(yīng)用了反病毒軟件，下面是優(yōu)化它在虛擬機中性能的方法。

◇ 內(nèi)存。這里是反病毒軟件的戰(zhàn)場。越低的內(nèi)存使用對虛擬機也越好。如果缺少有效的動態(tài)內(nèi)存分布，一切額外的分配給虛擬機們的內(nèi)存都會降低總體的虛擬機對主機的比例，并且減少虛擬壞境的開銷節(jié)省。

◇ CPU。同樣，越低的CPU使用越好。不論對虛擬還是實體的系統(tǒng)都是如此。但是由于是在一個共享的主機資源環(huán)境中，對虛擬機額外的CPU使用是非常嚴重的。尋找那些能夠設(shè)置CPU最大使用率或掃描進程優(yōu)先級的反病毒廠商。比如，一個使用滑動條來調(diào)整CPU使用的廠商。

◇  Disk I/O。顯然，文件掃描增加磁盤I/O。與增加的CPU和內(nèi)存使用相結(jié)合，當多個虛擬機掃描他們的文件時，一個磁盤子系統(tǒng)的資源會被備受壓力。隨機反病毒掃描，加上合適的排除項，可以保證最小化磁盤資源飽和。

在共享資源的環(huán)境中，即使很小的虛擬機資源增加也會極大的影響到主機。有些問題已經(jīng)在物理服務(wù)器中經(jīng)歷了很多年了。但是這些問題在例如虛擬主機服務(wù)器這種共享資源環(huán)境中會成級的放大。

添加反病毒軟件來增強虛擬環(huán)境的安全不應(yīng)該以犧牲性能為代價。但是反病毒產(chǎn)品需要進一步的創(chuàng)新來適應(yīng)虛擬化和云架構(gòu)。