引言
在虚拟环境中,服务器端口虚拟化是一个关键技术,它允许多个虚拟机在同一物理服务器上共享单个物理端口。这通过将物理端口的 I/O 容量和带宽虚拟化来实现,从而允许虚拟机访问网络资源而无需直接与物理端口交互。服务器端口虚拟化提供了许多好处,包括:
- 提高资源利用率:通过共享物理端口,多个虚拟机可以同时访问网络,从而优化资源分配。
- 简化网络管理:端口虚拟化消除了物理端口与虚拟机之间的直接关系,简化了网络管理和配置。
- 增强安全性:通过虚拟化端口,虚拟机之间隔离,从而提高了安全性。
- 改善性能:端口虚拟化通过减少端口争用和提高 I/O 性能,来改善虚拟机的性能。
服务器端口虚拟化技术
有几种不同的服务器端口虚拟化技术可供选择,包括:
-
SR-IOV(单结论
服务器端口虚拟化在虚拟环境中提供了一系列优势,包括提高资源利用率、简化网络管理、增强安全性和改善性能。通过了解不同的端口虚拟化技术、部署步骤以及优势和劣势,企业可以有效地利用此技术来优化其虚拟环境并实现更高的效率和性能。
服务器虚拟化有哪几种方式?
服务器虚拟化主要分为三种:“一虚多”、“多虚一”和“多虚多”。
“一虚多”是一台服务器虚拟成多台服务器,即将一台物理服务器分割成多个相互独立、互不干扰
的虚拟环境。
“多虚一”就是多个独立的物理服务器虚拟为一个逻辑服务器,使多台服务器相互协作,处理同一
个业务。
“多虚多”的概念,就是将多台物理服务器虚拟成一台逻辑服务器,然后再将其划分为多个虚拟环
境,即多个业务在多台虚拟服务器上运行。
如何解决多个虚拟化同时管理的问题?
获取一个多平台的管理工具当你面对一个多虚拟化管理程序的环境时,你应该做的第一件事就是采用一个可以允许你集中管理多个环境的工具。
虽然现在有一些类似的工具,但是它们没有一个可以提供管理所有主流的虚拟化管理程序的完整全面的功能。
举例,Microsoft System Center Virtual Machine Manager 2012 R2,是可以管理Hyper-V、VMwarevSphere和Citrix XenServer的。
但是,因为该工具是Microsoft的一个产品,它提供的管理Hyper-V的功能要比管理vSphere或 XenServer的更好。
我的经验是多虚拟化管理程序的管理工具对于日常虚拟化管理是普遍接受。
当然,你可能现在不得不使用本机所带的管理工具(Hyper-V Manager、 vSphere Client)来应对基础设施级别的改变。
不管怎样多平台管理工具几乎是必不可少的,但是管理员需要注意现有功能和覆盖面的差距。
确保足够的培训适当的培训,对于您的多虚拟化管理程序的部署能够长期成功也是必不可少的。
不可否认的,在主流的虚拟化管理程序之间有很多相似之处,但是实际的管理过程是非常不同的。
这种情况下,你不能设想仅因为某些人是虚拟化方面的专家,他们就能够很直观的解决一个Microsoft 或Citrix的环境。
更重要的是,培训有助于确保精通厂商特定的最佳实践。
应用策略一致另一项建议是配置你的虚拟化管理程序的环境尽可能的使用一致的方式。
请记住,你的目标是使管理过程变得更简单。
实现这一目标的一种方式是采取类似的策略来配置各种虚拟化管理程序的部署(至少你要考虑到你的业务需求)。
理想情况下应该尽可能的保持一致性,以及管理员尽可能的精通如何在两个环境之间来回移动。
策略是否可以统一应用很大程度上取决于业务需求和你使用的多个虚拟化管理程序。
这样,你就可以采取一套共同的管理权限、虚拟机命名规则以及虚拟机生命周期管理策略。
制定一个长期的规划图你可以做的最重要的事情之一就是为你的虚拟化基础设施准备一个长期的规划图。
首先评估你当前使用一个多虚拟化管理程序环境的原因是什么。
从这儿,你就可以开始制定一个长期共存或者最终迁移的一个计划。
在有些情况下,这些可能需要你和软件厂商去讨论你的规划图如何与他们的相匹配。
主机虚拟化安全主要从哪行方面着手?
随着虚拟化技术不断向前发展,许多单位面临着实施虚拟化的诱人理由,如服务器的整合、更快的硬件、使用上的简单、灵活的快照技术等。
这都使得虚拟化更加引人注目。
在有些机构中,虚拟化已经成为其架构中的重要组成部分。
在这里,技术再次走在了最佳的安全方法的前面。
随着机构对灾难恢复和业务连续性的重视,特别是在金融界,虚拟环境正变得越来越普遍。
我们应该关注这种繁荣背后的隐忧。
使用虚拟化环境时存在的缺陷1.如果主机受到破坏,那么主要的主机所管理的客户端服务器有可能被攻克。
2.如果虚拟网络受到破坏,那么客户端也会受到损害。
3.需要保障客户端共享和主机共享的安全,因为这些共享有可被不法之徒利用其漏洞。
4.如果主机有问题,那么所有的虚拟机都会产生问题。
5.虚拟机被认为是二级主机,它们具有类似的特性,并以与物理机的类似的方式运行。
在以后的几年中,虚拟机和物理机之间的不同点将会逐渐减少。
6.在涉及到虚拟领域时,最少特权技术并没有得到应有的重视,甚至遭到了遗忘。
这项技术可以减少攻击面,并且应当在物理的和类似的虚拟化环境中采用这项技术。
保障虚拟服务器环境安全的措施1.升级你的操作系统和应用程序,这应当在所有的虚拟机和主机上进行。
主机应用程序应当少之又少,仅应当安装所需要的程序。
2.在不同的虚拟机之间,用防火墙进行隔离和防护,并确保只能处理经许可的协议。
3.使每一台虚拟机与其它的虚拟机和主机相隔离。
尽可能地在所有方面都进行隔离。
4.在所有的主机和虚拟机上安装和更新反病毒机制,因为虚拟机如同物理机器一样易受病毒和蠕虫的感染。
5.在主机和虚拟机之间使用IPSEC或强化加密,因为虚拟机之间、虚拟机与主机之间的通信可能被嗅探和破坏。
虽然厂商们在想方设法改变这种状况,但在笔者完成此文时,这仍是一真实的威胁。
企业仍需要最佳的方法来对机器之间的通信实施加密。
6.不要从主机浏览互联网,间谍软件和恶意软件所造成的感染仍有可能危害主机。
记住,主机管理着虚拟机,发生在虚拟机上的问题会导致严重的问题和潜在的“宕机”时间、服务的丧失等。
7.在主机上保障管理员和管理员组账户的安全,因为未授权用户对特权账户的访问能导致严重的安全损害。
调查发现,主机上的管理员(根)账户不如虚拟机上的账户安全。
记住,你的安全性是由最弱的登录点决定的。
8.强化主机操作系统,并终止和禁用不必要的服务。
保持操作系统的精简,可以减少被攻击的机会。
9.关闭不使用的虚拟机。
如果你不需要一种虚拟机,就不要运行它。
10.将虚拟机整合到企业的安全策略中。
11.保证主机的安全,确保在虚拟机离线时,非授权用户无法破坏虚拟机文件。
12.采用可隔离虚拟机管理程序的方案,这些系统可以进一步隔离和更好地保障虚拟环境的安全。
13.确保主机驱动程序的更新和升级,这会保障你的硬件以最优的速度运行,而且软件的更新可极大地减少漏洞利用和拒绝服务攻击的机会。
14.要禁用虚拟机中未用的端口。
如果虚拟机环境并不利用端口技术,就应当禁用它。
15.监视主机和虚拟主机上的事件日志和安全事件。
这些日志应当妥善保存,用于日后的安全审计。
16.限制并减少硬件资源的共享。
从某种意义上讲,安全与硬件资源共享,如同鱼与熊掌,不可兼得。
在资源被虚拟机轮流共享时,除发生数据泄漏外,拒绝服务攻击也将是家常便饭。
17.在可能的情况下,保证网络接口卡专用于每一个虚拟机。
这里再次减轻了资源共享问题,并且虚拟机的通信也得到了隔离。
18.投资购买可满足特定目的并且支持虚拟机的硬件。
不支持虚拟机的硬件会产生潜在的安全问题。
19.分区可产生磁盘边界,它可用于分离每一个虚拟机并可在其专用的分区上保障安全性。
如果一个虚拟机超出了正常的限制,专用分区会限制它对其它虚拟机的影响。
20.要保证如果不需要互联的话,虚拟机不能彼此连接。
前面我们已经说过网络隔离的重要性。
要进行虚拟机之间的通信,可以使用一个在不同网络地址上的独立网络接口卡,这要比将虚拟机之间的通信直接推向暴露的网络要安全得多。
正走向虚拟机,对于基于虚拟机服务器的设备尤其如此。
如果这是一种可以启用的特性,那么,正确的实施NAC将为你带来更长远的安全性。
22.严格管理对虚拟机特别是对主机的远程访问可以使暴露的可能性更少。
23.记住,主机代表着单个失效点,备份和连续性要求可以有助于减少这种风险。
24.避免共享IP地址,这又是一个共享资源而造成问题和漏洞的典型实例。
业界已经开始认识到,虚拟化安全并不是像我们看待物理安全那样简单。
这项技术带来了新的需要解决的挑战。
结论虚拟化安全是一项必须的投资。
如果一个单位觉得其成本太高,那么笔者建议它最好不要采用虚拟化,可坚持使用物理机器,但后者也需要安全保障。
