虛擬化:十大虛擬化最佳作法
隨著虛擬化逐漸成熟並發展為一項技術,其應用的最佳作法也成為一門學問。如果您的虛擬基礎結構不符合要求,請檢查這份核對清單。
Wes Miller
虛擬化已經從測試實驗室技術,發展為資料中心的主流元件以及虛擬桌面基礎結構。在發展過程當中,虛擬化偶爾才會接到一張「免死金牌」,而且運用在虛擬部署的 IT 作法,總是不如實體機器。其實這是個誤會。
即使您沒有預算上限,您也會讓貴公司的每個人各自訂購一兩部全新的系統,把它們連上網嗎?大概不會吧。虛擬化首度問世時,由於它有 Hypervisor 應用方面的成本,因此無法毫無限制和毫無管理的快速擴增。而這也為它提供一道防線來對抗基礎結構中的惡意虛擬機器。但是現在情況不同了。
現在您可以在市面上找到好幾種適合第 1 類和第 2 類 Hypervisor 使用的免費 Hypervisor 技術。貴公司中任何人只要有 Windows 安裝媒體以及一點點的閒暇時間,就可以在網路上建立一個新系統。如果虛擬機器是在適當小組成員未知的情況下部署,這就表示新系統可能會成為不受歡迎的誘餌,讓新的零時差漏洞有機可乘,拖垮網路上的其他營運關鍵系統。
虛擬系統絕對不容小覷,也不能視為理所當然。虛擬基礎結構的最佳作法,必須與實體系統一樣。以下我們就要討論 10 種使用虛擬機器時必須切記的重要最佳作法。
1. 了解虛擬化的優缺點。
虛擬化已經成為解決大小麻煩必用的招術了,這點相當不妙。想要更快速的重建系統,就虛擬化吧。想要讓老舊的伺服器煥然一新,也是虛擬化吧。當然,有許多角色是虛擬化的確可以、也應該扮演的。但是,在您將所有老舊的實體系統移轉到虛擬系統之前,或者部署一群新的虛擬化伺服器負責特定的工作量之前,必須先了解虛擬化在 CPU 使用率、記憶體和磁碟方面的限制和實際情況。
舉個例說,指定主機上可以有多少虛擬化來賓?每個虛擬化來賓會耗用多少 CPU 或核心、RAM 和磁碟空間?您有考量儲存需求嗎?就像處理實體 SQL 伺服器一樣,也把系統、資料和記錄的儲存分開嗎? 不只如此,您還要考量備份復原以及容錯移轉。而事實是,虛擬系統的容錯移轉技術在很多方面,與實體系統的容錯移轉一樣強大靈活,甚至有過之而無不及。它所仰賴的是主機硬體、存放區以及 — 而且大部分是 — 目前所用的 Hypervisor 技術。
2. 了解各個系統角色的各個效能瓶頸
部署虛擬機器時,必須考量每一部虛擬系統所扮演的角色,這一點與部署實體伺服器一樣。在建立 SQL、Exchange 或 IIS 伺服器時,每一部伺服器所用的設定不會完全相同。它們在 CPU、磁碟和存放區的需求根本就是南轅北轍。在檢查虛擬系統的設定時,必須採取與部署實體系統時所用的設計方法。這對於虛擬來賓來說表示要花時間了解您的伺服器和存放區選項,使主機因為來賓過多而負擔過重,或者設定 CPU 和磁碟不一致的矛盾工作量。
3. 必須妥善安排虛擬系統管理、修補和安全性的優先順序。
光是在過去一週內,就爆發兩起病毒入侵事件。從安全性原則的觀點來看,有太多虛擬系統沒有修補、修補過慢、沒有妥善管理,或是根本不受重視。最近研究結果把矛頭指向 USB 快閃磁碟機,認為它必須為病毒 (尤其是鎖定目標的威脅) 蔓延負責。另外,也有太多的實體系統沒有修補而且不夠安全。而虛擬系統 (尤其是惡意系統) 所產生的威脅,甚至大過實體系統。另外,復原系統變更的能力使問題更是雪上加霜,因為要移除修補程式和安全性簽章實在太容易了 — 甚至一不小心就會移除。因此您一定要限制虛擬機器的暴增,而且一定要將所有的虛擬機器全部納入修補、管理和安全性原則基礎結構中。
4. 除非絕對必要,否則虛擬系統和實體系統不可有任何差別待遇
我在前面已經提過了,不過再說一次也無妨。虛擬系統和實體系統一定要一視同仁。說到惡意系統,其實將它視為敵人也不為過。因為它們很可能就是惡意程式碼用來滲透您網路的橋樑。
5. 及早備份,經常備份
虛擬系統與實際系統一樣,都必須納入您的備份規則內。您可以備份整台虛擬機器,也可以備份它所含的資料。後者可能更有幫助,而且更有彈性。因為備份整台虛擬機器非常耗費時間,也不容易快速復原。因此就像您保護重要的實體系統一樣,您一定要確保自己具備快速可靠的復原能力。另外,有些系統常常備份,卻沒有驗證,而這也等於沒有備份。
6. 小心使用任何「復原」技術
虛擬技術常常包含「復原」技術。使用這項技術時,請務必小心謹慎。這也是我們一定要將所有虛擬系統納入 IT 監管工作的另一個原因。因為要將磁碟還原一天或一週前的狀態,實在是太容易了。這可能會把您剛剛急著修補的漏洞再度公開,而成為感染網路其餘部分的閘道。
7. 了解您的容錯移轉和擴充策略
虛擬化經常被標榜為可達成完美擴充和容錯移轉的工具。其實這完全要根據您的主機硬體、Hypervisor、網路和存放區而定。您應該與所有廠商共同了解您所虛擬化的每一個角色在每一個伺服器來賓的擴充能力。同時也必須知道它的容錯移轉能力,尤其是來賓在容錯移轉期間可能無法運作的時間長短,以及它們在切換期間的回應能力和可用性。
8. 控制虛擬機器的暴增
這是最重要,也是最難做到的一點。市面上完全免費的 Hypervisor 就有好幾個,甚至還能找到商用的 Hypervisor,因此要「複製」來賓實在太容易了。這可能會導致以下幾個問題:
- 安全性: 新系統或錯誤複製的系統,都可能使系統受到不當保護,或者使系統和它「複製」的原始系統發生衝突。
- 管理:發生複製衝突可能會使系統無法根據原則加以管理、無法修補,因而導致衝突或不穩定的狀況。
- **法律:**Windows 直至最近都無法判斷它是經過虛擬化,還是更重要的,它已經被悄悄的複製為新來賓了 (複製一次或多次)。由於複製容易,再加上對盜版行為的態度比以前更加放任,使得來賓暴增已成為屢見不鮮的現象。這種態度非常危險, IT 公司至少要利用制度加以制止。
由於複製系統實在過於容易,因此請確保您的 IT 公司了解不當複製來賓的風險。請務必根據實體系統所採用的原則,部署新的虛擬機器。
9. 集中存放
造成虛擬機器暴增,主要是因為實際散佈於貴公司內部的主機。如果您看到一位員工手上拿著外接式硬碟和 CD 走向實體伺服器,可能就要心生懷疑了。在使用虛擬系統時,要把一個 (或兩個) 來賓整個複製起來簡直易如反掌,而容易複製正是虛擬機器暴增的主因。除此之外,也可能會導致資料遺失。如果您無法確實保護虛擬機器,最好能將這些機器的虛擬或實體磁碟加密,以確保不會有遺失機密資料的情況發生。您可以把虛擬機器主機和存放區集中放在安全的位置,盡可能降低暴增和資料遺失的可能性。
10. 了解您的安全性防線
無論您要開發軟體還是管理系統,都應該把安全性當作日常策略的一部分。在您思索如何管理和修補實體系統時,請務必把虛擬系統也一併列入考量。您在部署密碼原則時,是否有強制應用在虛擬系統上呢?風險無所不在 — 您必須做好準備,了解如何管理虛擬系統,以降低它們被複製的風險。除非虛擬機器被列在 IT 監管計劃中,否則必須把它們視為敵人。由於安全性威脅有可能在主機與來賓之間流竄,因此現在許多 Hypervisor 都包含免費版或試用版的防毒軟體。
現在與未來
虛擬化保證未來會成為比現在更重要的 IT 元件。因此與其對它視而不見,希冀它好自為之,不如找出與它和平共存的方法。您必須在虛擬機器強制套用與實體系統同樣的原則,並且了解貴公司將虛擬化應用在哪些方面,同時對小組成員強調,若不將虛擬機器與實體系統一視同仁的話,勢必會帶來哪些風險。
.jpg)
Wes Miller* 在位於德州奧斯汀的 CoreTrace (CoreTrace.com) 擔任產品管理主管。他之前任職於 Winternals Software,並且曾在 Microsoft 擔任專案經理一職。您可以透過 wm@getwired.com 與 Miller 連絡。*