虛擬化已經從測試實驗室技術逐步轉變?yōu)閿祿行暮吞摂M桌面基礎結構中的主流組件。 在此過程中，虛擬化偶爾會獲得“免罪金牌”，但還沒有同樣有效的 IT 實踐，能夠像應用于實際的物理機一樣應用于虛擬部署。 這是一個錯誤。

如果您的預算不受限制，您是否會讓企業(yè)中的每個人訂購一兩套新系統(tǒng)并連接到網絡中？ 很可能不會。 當虛擬化最初走上舞臺時，無限制、無管理的泛濫受到以下事實的制約：虛擬機監(jiān)控程序實際上是有成本的。 這在一定程度上可以防止基礎結構中的虛擬機失去控制。 現在，情況發(fā)生了變化。

無論是 1 型還是 2 型虛擬機監(jiān)控程序，都出現了一些免費的虛擬機監(jiān)控程序技術。 企業(yè)中的任何人，只要擁有 Windows 安裝介質和一小段空閑時間，就能在您的網絡上建立起一個新系統(tǒng)。 如果虛擬機在部署時并未讓適當的團隊成員知道，這就意味著新系統(tǒng)可能不幸成為新的零日漏洞的“天堂”，造成網絡中其他關鍵業(yè)務系統(tǒng)的宕機。

虛擬系統(tǒng)應該得到充分認識，也不能想當然。 必須像對實際的物理系統(tǒng)一樣，對虛擬基礎結構應用同樣的最佳實踐。 在此，我們將討論 10 個重要的最佳實踐。您在處理虛擬系統(tǒng)時，應該時刻牢記這些最佳實踐。

1. 理解虛擬化既有優(yōu)點也有缺點

遺憾的是，虛擬化已經成為任何疑難雜癥的解決方案。 若要更快重建系統(tǒng)，請?zhí)摂M化； 若要使舊服務器再次煥發(fā)青春，請?zhí)摂M化； 當然，對于很多角色，虛擬化的確能帶來幫助。 但是，在您將所有舊的物理系統(tǒng)遷移到虛擬系統(tǒng)之前，或者在您為特定的工作負載部署一批新的虛擬化服務器之前，一定要了解虛擬化在 CPU 利用率、內存和磁盤方面的限制和實際問題。

例如，一臺給定主機上能夠有多少虛擬化的來賓？每個來賓要占用多少 CPU 或內核、RAM 以及磁盤空間？ 您是否考慮了存儲要求？您是否像對待物理 SQL 服務器一樣，將系統(tǒng)、數據和日志存儲分開？ 您還需要考慮備份和恢復以及故障轉移。 事實上，用于虛擬系統(tǒng)的故障轉移技術有很多種，與用于物理系統(tǒng)的故障轉移一樣強大而靈活，甚至有過之而無不及。 它真正依賴的是主機的硬件和存儲，尤其是所使用的虛擬機監(jiān)控程序。

2. 理解不同的系統(tǒng)角色有不同的性能瓶頸

在部署虛擬系統(tǒng)時，您必須像對待物理服務器一樣，考慮每個虛擬系統(tǒng)所承擔的角色。 在擴展 SQL、Exchange 或 IIS 服務器群的規(guī)模時，您不應對每臺服務器都使用完全相同的配置。 CPU、磁盤和存儲要求往往天差地別。 在評估虛擬系統(tǒng)的配置時，您需要采用與物理系統(tǒng)部署一樣的設計方法。 對于虛擬來賓，這意味著花時間去理解您的服務器和存儲選擇、過多來賓使主機超載，或者設置的沖突工作負載會造成 CPU 和磁盤沖突。

3. 無論如何重視虛擬系統(tǒng)的管理、打補丁和安全性，都不為過

在剛剛過去的一周中，爆發(fā)了兩種新型病毒。 事實上有太多的虛擬系統(tǒng)沒有打補丁、打補丁過晚、未能正確管理或在安全策略中被忽視。 最新的研究指出，大部分人認為，USB 閃存驅動器必須為病毒（尤其是有針對性的威脅）的傳播負責。 實際原因是有太多物理系統(tǒng)沒有打補丁，存在安全問題。 而虛擬系統(tǒng)，尤其是閑置系統(tǒng)，展現出的威脅甚至更大。 撤消系統(tǒng)變更的功能更是讓問題變本加厲，因為它太容易刪除補丁和安全簽名了，即使這不是用戶的本意。 務必限制虛擬機的泛濫，并確保在打補丁、管理和安全策略基礎結構中包含所有虛擬機。

4. 除非絕對必要，否則切勿將虛擬系統(tǒng)與物理系統(tǒng)區(qū)別對待

最后一點應該已經深入思想過程，但還是要重復提醒大家。 您不應該將虛擬系統(tǒng)與物理系統(tǒng)區(qū)別對待。 事實上，對于閑置系統(tǒng)，您可能也希望將它們當作敵人。 因為它們可能成為惡意軟件用來滲透您的網絡的橋梁。

5. 及早備份，經常備份

虛擬系統(tǒng)與物理系統(tǒng)一樣，應該包含在您的備份計劃中。 您可以備份整個虛擬機，也可以備份其包含的數據。 后一種方法更靈活，更有價值。 備份整個虛擬機需要占用大量時間，但可以提供幾種快速恢復選項。 就像您保護關鍵的物理系統(tǒng)一樣，確保您也能夠快速、可靠地完成恢復操作。 備份系統(tǒng)而不進行驗證，這種情況也極其常見，其結果與不做備份沒有區(qū)別。

6. 謹慎使用“撤消”技術

虛擬技術中經常包含“撤消”技術。 這項技術需要慎重使用， 因為這是導致所有虛擬系統(tǒng)需要執(zhí)行 IT 管理工作的另一個原因。 將磁盤狀態(tài)往回退一天或一周，實在是太容易了。 這可能會導致您剛剛緊急修補的任何漏洞再次暴露出來，成為感染網絡中其余部分的通道。

7. 了解您的故障轉移和規(guī)模擴展戰(zhàn)略

虛擬化經常被標榜為實現完美的故障轉移和規(guī)模擴展的手段。 這完全取決于您的主機硬件、虛擬機監(jiān)控程序、網絡和存儲系統(tǒng)。 您應該與所有供應商合作，了解您虛擬化的每個角色是否能隨著每個服務器來賓而擴展。 您還需要了解其故障轉移的表現如何；尤其是在故障轉移期間，來賓有多長時間不能使用系統(tǒng)，以及在切換期間，它們的反應和可用性是怎樣的。

8. 控制虛擬機的泛濫

這很重要，同時也是最難實現的。 有一些虛擬機監(jiān)控程序是完全免費的；而且即使使用商用虛擬機監(jiān)控程序，“克隆”來賓也太容易了。 這將會導致多種問題：

• 安全性：新系統(tǒng)或錯誤克隆的系統(tǒng)可能會導致安全配置錯誤，或者導致與“克隆”的原始系統(tǒng)產生沖突。
• 管理：由克隆產生的沖突可能會導致系統(tǒng)未按策略管理、未打補丁，或者導致沖突或不穩(wěn)定。
• 法律：直到最近，Windows 仍然不能判斷它是否被虛擬化，更重要的是，不能判斷它是否已經被悄悄地復制成一個新的來賓（一次或多次）。 由于容易復制以及對侵權的更放縱的態(tài)度，來賓的泛濫已經成為一種極其常見的現象。 這是一種危險的態(tài)度，至少應該是您的 IT 組織從制度上杜絕的一種態(tài)度。

太容易克隆系統(tǒng)了。 確保您的 IT 組織了解不正當復制來賓的風險。 部署虛擬機時，務必遵循與物理系統(tǒng)相同的政策。

9. 集中存儲

虛擬機泛濫的一個重要原因是整個企業(yè)中的主機四處分散。 如果您看到某位員工拿著外置硬盤和 CD 走到一臺物理服務器跟前，您就會想知道這位員工要干什么。 而對于虛擬系統(tǒng)，復制一兩份完整的來賓非常容易。 輕而易舉的復制成為虛擬機泛濫的一個重要原因。 這也會導致數據丟失。 如果您不能在物理上確保虛擬機的安全，則應該對它們的虛擬或物理磁盤進行加密，確保不丟失機密數據。 通過將虛擬主機和存儲系統(tǒng)放到一個集中的安全位置，您可以最大限度地降低泛濫以及數據丟失的可能性。

10. 了解您的安全范圍

無論是開發(fā)軟件，還是管理系統(tǒng)，安全性都應該是您日常戰(zhàn)略的組成部分。 當您考慮如何管理物理系統(tǒng)以及為其打補丁時，務必同時包含虛擬系統(tǒng)。 如果您部署了密碼策略，是否對虛擬系統(tǒng)也實施了同樣的策略？ 這里就存在風險，請確保您準備好回答以下問題：如何控制虛擬系統(tǒng)，以便緩解其被克隆的風險。 除非虛擬機包含在您的 IT 管理計劃中，否則就應該將虛擬機當做敵人。 現在，由于安全威脅有可能跨越主機和來賓的界限進行傳播，很多虛擬機監(jiān)控程序都提供了免費版或試用版的防病毒軟件。

現狀與展望

未來，虛擬化在 IT 世界中有望變得更加重要。 您的最好做法是找出一種方法，使您現在就能使用并管理虛擬化，而不是放任自流，希望它能夠自己管好自己。 您需要對虛擬機和物理系統(tǒng)實施相同的策略。 請了解您的企業(yè)中何處使用了虛擬化，并且向團隊成員指出區(qū)別對待虛擬機和物理系統(tǒng)可能帶來的風險。

原文地址

本文來源：微軟TechNet中文站