虛擬化已經(jīng)從一種需要解釋的異類技術(shù)演進(jìn)成為我們大多數(shù)人生活中必不可少的可行技術(shù)?；蛟S您早已將此技術(shù)應(yīng)用于質(zhì)量保證測(cè)試、開(kāi)發(fā)、Web 設(shè)計(jì)或培訓(xùn)等領(lǐng)域。也許您是嘗試新技術(shù)的前驅(qū)，通過(guò)部署虛擬基礎(chǔ)結(jié)構(gòu)，甚至部署使用 Amazon.com、Rackspace Inc. 或其他云計(jì)算供應(yīng)商提供的“云”虛擬化的基礎(chǔ)結(jié)構(gòu)，引領(lǐng)技術(shù)潮流。

無(wú)論您當(dāng)前是否正在使用虛擬化技術(shù)，只要您曾經(jīng)使用過(guò)，您無(wú)疑都會(huì)認(rèn)識(shí)到此種技術(shù)自身面臨著一些挑戰(zhàn)，正如維護(hù)物理硬件也處于兩難境地那樣。很多問(wèn)題是不同的，但也有一些問(wèn)題是相似的。

處理虛擬機(jī)監(jiān)控程序

您或許聽(tīng)說(shuō)過(guò)一度流行甚廣的“虛擬機(jī)監(jiān)控程序”(hypervisor) 一詞。它已經(jīng)成為虛擬化領(lǐng)域的一大熱門術(shù)語(yǔ)。但虛擬機(jī)監(jiān)控程序并非新鮮事物。只要我們使用過(guò)虛擬機(jī) (VM)，就必然使用過(guò)虛擬機(jī)監(jiān)控程序。事實(shí)上，IBM 早在上世紀(jì)七十年代就創(chuàng)造了“虛擬機(jī)監(jiān)控程序”一詞。

虛擬機(jī)監(jiān)控程序是一種軟件，它為在系統(tǒng)上“虛擬”運(yùn)行的來(lái)賓提供一套虛擬化硬件。它為來(lái)賓操作系統(tǒng)實(shí)現(xiàn)抽象的物理硬件。在過(guò)去幾年中，在 x86 平臺(tái)上運(yùn)行的“1 類虛擬機(jī)監(jiān)控程序”（包括 Microsoft Hyper-V 和 VMware ESX Server）得到了很大發(fā)展，這也導(dǎo)致產(chǎn)生一些混淆。大多數(shù)人使用的虛擬機(jī)監(jiān)控程序（特別是對(duì)于客戶端系統(tǒng)）被稱為“2 類虛擬機(jī)監(jiān)控程序”。兩種虛擬機(jī)監(jiān)控程序的差異何在？

1 類虛擬機(jī)監(jiān)控程序直接在主機(jī)硬件上運(yùn)行，而無(wú)需“主機(jī)操作系統(tǒng)”。Microsoft Hyper-V 和 VMware ESX Server 是 1 類虛擬機(jī)監(jiān)控程序的常見(jiàn)例子。

2 類虛擬機(jī)監(jiān)控程序需要運(yùn)行主機(jī)操作系統(tǒng)。通常，2 類虛擬機(jī)監(jiān)控程序主要作為用戶模式應(yīng)用程序在其主機(jī)操作系統(tǒng)上運(yùn)行。Microsoft Virtual PC 和 VMware Workstation 是 2 類虛擬機(jī)監(jiān)控程序的常見(jiàn)例子。

在大多數(shù)情況下，對(duì)于任何“始終運(yùn)行的”工作負(fù)載（例如，虛擬化 SQL 或文件服務(wù)器），您都希望使用 1 類虛擬機(jī)監(jiān)控程序。至少，1 類使用的資源要比 2 類少。但是，它可能需要用戶登錄才能啟動(dòng)（取決于主機(jī)），這對(duì)關(guān)鍵任務(wù)系統(tǒng)而言并非一個(gè)好的選擇。相反，2 類虛擬機(jī)監(jiān)控程序更加適用于“按需”虛擬機(jī)。這種類型的角色包括用于測(cè)試、應(yīng)用程序兼容性或安全訪問(wèn)的虛擬機(jī)。

#p#

虛擬化可以節(jié)省哪些資源？

顯而易見(jiàn)，虛擬化可以節(jié)省花費(fèi)在硬件上的資金，但事情并非這么簡(jiǎn)單。如果您有兩個(gè)可機(jī)架安裝的 1U 規(guī)格的服務(wù)器系統(tǒng)，您運(yùn)行這兩個(gè)相同的工作負(fù)載，將它們都加載在一個(gè) 1U 系統(tǒng)中，當(dāng)然可以節(jié)省前期的硬件成本，但其中還有奧妙。如果您使用這兩個(gè)相同的服務(wù)器系統(tǒng)，兩者可以在兩臺(tái)具有雙核 CPU、2GB RAM 和 160GB SATA 硬盤的 1U 服務(wù)器上正常運(yùn)行。

現(xiàn)在，您要將這兩個(gè)工作負(fù)載放在一臺(tái)具有相同硬件配置的服務(wù)器上運(yùn)行，則必須將資源平分。對(duì)于 2 類虛擬機(jī)監(jiān)控程序，您通常需要更多資源。

在規(guī)劃如何將工作負(fù)載從物理機(jī)整合到虛擬機(jī)時(shí)，要考慮到 CPU、RAM 和硬盤所需的成本。虛擬化整合通常稱為“垂直堆棧系統(tǒng)而不是水平堆棧系統(tǒng)”，因?yàn)槟鷮⑾龑?duì) OEM 提供的多個(gè) 物理系統(tǒng)的依賴。因而，您對(duì)單個(gè)系統(tǒng)的要求遠(yuǎn)高于虛擬化之前的要求。這會(huì)導(dǎo)致系統(tǒng)管理成本急劇攀升，而很多組織在倉(cāng)促采用虛擬化技術(shù)時(shí)并未考慮到這一成本。

#p#

虛擬化的成本有多高？

過(guò)去，好的虛擬化軟件需要花費(fèi)大量資金。隨著時(shí)間的推移，虛擬化市場(chǎng)的競(jìng)爭(zhēng)日趨激烈，您能夠以相當(dāng)?shù)偷某杀精@得眾多類型的虛擬化軟件。但是，大多數(shù)關(guān)鍵企業(yè)功能仍然需要花費(fèi)資金，包括主機(jī)操作系統(tǒng)或虛擬機(jī)監(jiān)控程序。

根據(jù)您打算在虛擬機(jī)上運(yùn)行的工作負(fù)載，您可能需要研究故障轉(zhuǎn)移。來(lái)賓操作系統(tǒng)偶爾會(huì)被破壞，主機(jī)硬件可能發(fā)生故障。虛擬化不會(huì)讓硬件變得更加可靠。它無(wú)助于降低故障機(jī)率。對(duì)于關(guān)鍵任務(wù)系統(tǒng)，您仍然 需要制定一個(gè)備份來(lái)賓操作系統(tǒng)的策略，無(wú)論是備份虛擬機(jī)容器本身（強(qiáng)烈建議）還是其中包含的文件系統(tǒng)。

即便您只要虛擬化一組來(lái)賓操作系統(tǒng)，以便在 2 類虛擬機(jī)監(jiān)控程序上進(jìn)行測(cè)試和開(kāi)發(fā)，您仍然需要分配足夠的 RAM，以同時(shí)運(yùn)行一個(gè)或多個(gè)來(lái)賓（在主機(jī)操作系統(tǒng)之上）。在虛擬化管理中，最容易被忽略的問(wèn)題是磁盤空間消耗。

我曾經(jīng)使用虛擬化進(jìn)行安全測(cè)試。我在虛擬機(jī)上運(yùn)行可能的攻擊，監(jiān)控其運(yùn)行，使用虛擬機(jī)監(jiān)控程序的撤消或快照功能來(lái)回滾到早期版本，未沒(méi)有出現(xiàn)任何問(wèn)題，因此只能重復(fù)不斷地進(jìn)行測(cè)試。連續(xù)不斷地重復(fù)進(jìn)行撤消更改的唯一后果是磁盤空間很快失去控制。最終結(jié)果可能是超出來(lái)賓操作系統(tǒng)中硬盤的實(shí)際容量。

我經(jīng)常使用的一個(gè)虛擬機(jī)有 50GB 的硬盤映像，而這次直到我嘗試移動(dòng)映像（包含六個(gè) VMware 快照）時(shí)，我才意識(shí)到映像大小嚴(yán)重超出控制，占用的磁盤遠(yuǎn)超出 125GB。

下面是最大程度地減小虛擬化的影響/成本的一些最佳實(shí)踐：

◇ 如果您在具有“撤消”功能的 2 類虛擬機(jī)監(jiān)控程序上使用 Windows 客戶端操作系統(tǒng)，則無(wú)論如何都要禁用 Windows 系統(tǒng)還原。否則，每次當(dāng)您對(duì)系統(tǒng)進(jìn)行更改時(shí)，占用的磁盤空間都會(huì)增長(zhǎng)。

◇ 如果您執(zhí)行步驟 1，請(qǐng)嚴(yán)格界定在什么時(shí)候要?jiǎng)?chuàng)建撤消點(diǎn)。

◇ 如果您在進(jìn)行安全/攻擊測(cè)試，請(qǐng)不要 依賴 Windows 回滾到更早的時(shí)間點(diǎn)。請(qǐng)使用虛擬機(jī)監(jiān)控程序的撤消功能，因?yàn)樗ǔ２粫?huì)受到與還原點(diǎn)相同的影響。

◇ 在運(yùn)行來(lái)賓操作系統(tǒng)時(shí)，只使用必需的最少資源。

◇ 確保分配足夠的 RAM，避免客戶端操作系統(tǒng)不斷將數(shù)據(jù)從 RAM 交換到磁盤。這樣會(huì)減慢主機(jī)和 所有來(lái)賓的運(yùn)行速度。

◇ 在內(nèi)部對(duì)來(lái)賓進(jìn)行碎片整理，然后在外部對(duì)其進(jìn)行碎片整理（請(qǐng)參見(jiàn)下面關(guān)于碎片整理的部分）。這兩項(xiàng)操作應(yīng)定期執(zhí)行。

#p#

虛擬機(jī)的廣泛應(yīng)用

正如您所看到的那樣，管理虛擬機(jī)很快成為一大難題。虛擬機(jī)易于復(fù)制可能是一大優(yōu)點(diǎn)，但也會(huì)導(dǎo)致很大的問(wèn)題，包括在管理和保護(hù)來(lái)賓、跟蹤 Windows（Windows Vista 之前的操作系統(tǒng)，在 Windows Vista 中，新的密鑰管理功能實(shí)際上在這方面很有好處）的操作系統(tǒng)許可證、確保商業(yè)機(jī)密不會(huì)泄露等方面。對(duì)于居心不良的員工而言，通過(guò) USB 閃存驅(qū)動(dòng)器或 USB 硬盤驅(qū)動(dòng)器惡意復(fù)制虛擬機(jī)要遠(yuǎn)比嘗試惡意復(fù)制整個(gè)桌面系統(tǒng)簡(jiǎn)單得多。

在精通技術(shù)的群體（了解虛擬化內(nèi)部原理的人員）中，虛擬機(jī)廣泛應(yīng)用所引起的問(wèn)題尤為顯著。通常，虛擬機(jī)在客戶端來(lái)賓中使用更加普遍，而不是在虛擬化服務(wù)器來(lái)賓中。

#p#

系統(tǒng)管理

所有公司都開(kāi)始重視幫助用戶重新獲得對(duì)虛擬化系統(tǒng)的控制。一直以來(lái)，Microsoft 和 VMware 對(duì)于系統(tǒng)管理的重視程度始終超過(guò)虛擬化本身的價(jià)值。系統(tǒng)管理很重要，因?yàn)槟](méi)有擺脫系統(tǒng)，而只是虛擬化系統(tǒng)。

許多系統(tǒng)管理產(chǎn)品在虛擬機(jī)上的運(yùn)行非常出色，但需要一些新功能來(lái)實(shí)現(xiàn)虛擬化系統(tǒng)的更智能化的管理，包括喚醒和更新來(lái)賓，如果沒(méi)有這些功能，將無(wú)法進(jìn)行更新。在這個(gè)零時(shí)差攻擊的時(shí)代，此類功能至關(guān)重要。您最不愿意看到的一種情況是：使用頻率較低的虛擬機(jī)成為企業(yè)網(wǎng)絡(luò)上的本地僵尸網(wǎng)絡(luò)代理。

系統(tǒng)管理方法必須考慮到您有主機(jī)和來(lái)賓，確保對(duì)它們進(jìn)行相應(yīng)的更新并明晰各自的角色。您最不希望出現(xiàn)的一種情況是：設(shè)計(jì)欠佳的修補(bǔ)程序管理解決方案更新您的虛擬機(jī)監(jiān)控程序，在工作時(shí)間進(jìn)行更新，停止系統(tǒng)運(yùn)行以進(jìn)行重新啟動(dòng)，導(dǎo)致四個(gè)關(guān)鍵任務(wù)的來(lái)賓服務(wù)器中斷運(yùn)行。

您還需要通過(guò)與以前相同的方式實(shí)現(xiàn)這些系統(tǒng)的還原。這是因?yàn)榧词瓜到y(tǒng)已經(jīng)過(guò)虛擬化，也有可能因注冊(cè)表?yè)p壞或整個(gè)虛擬機(jī)損壞而導(dǎo)致系統(tǒng)崩潰。與當(dāng)前物理系統(tǒng)相同，虛擬系統(tǒng)也需要同樣的備份。

另外要注意的是您的虛擬機(jī)監(jiān)控程序是否執(zhí)行撤消功能。在考慮修補(bǔ)程序管理時(shí)，要牢記這一點(diǎn)。您很可能在周二安裝修補(bǔ)程序，在周三更新來(lái)賓，將其回滾到周一的撤消點(diǎn)，其結(jié)果是在理論上“受保護(hù)”的時(shí)間內(nèi)遭受零時(shí)差攻擊。這是一個(gè)很大的問(wèn)題，因?yàn)槌废夹g(shù)的工作方式是通過(guò)虛擬機(jī)監(jiān)控程序?qū)⒄麄€(gè)磁盤回滾到較早的時(shí)間點(diǎn)，這意味著您將失去任何 Windows 和應(yīng)用程序修補(bǔ)程序，以及所有的反病毒簽名。

#p#

安全軟件

除了撤消功能之外，您需要為虛擬來(lái)賓提供與物理機(jī)相同的安全保護(hù)以及其他保護(hù)功能。在入站威脅方面，虛擬機(jī)與物理機(jī)同樣易受攻擊，這一點(diǎn)沒(méi)有任何區(qū)別。

但有一個(gè)問(wèn)題非常關(guān)鍵：非關(guān)鍵虛擬機(jī)（并不是始終運(yùn)行）安裝修補(bǔ)程序和反病毒更新通常會(huì)有延遲。因此，它們會(huì)成為零時(shí)差攻擊的一個(gè)無(wú)法跟蹤的很大目標(biāo)。正因如此，您必須確保使用一種能夠充分考慮上述問(wèn)題并可以修復(fù)虛擬系統(tǒng)的成熟系統(tǒng)管理解決方案。

出站威脅的情況又有所不同了。虛擬機(jī)可能是盜竊知識(shí)產(chǎn)權(quán)的通道。應(yīng)該明白，在不受控制的主機(jī)上運(yùn)行的虛擬機(jī)可能產(chǎn)生數(shù)據(jù)漏洞，這一點(diǎn)非常重要。首先，如果虛擬環(huán)境可以輕松復(fù)制，則會(huì)出現(xiàn)問(wèn)題，特別是在您必須遵守有關(guān)控制數(shù)據(jù)訪問(wèn)的任何法規(guī)遵從要求的情況下，正如我在 2008 年的一篇文章中討論的那樣 (http://technet.microsoft.com/magazine/2008.06.desktopfiles)。

其次，您可能還記得我在關(guān)于 RMS 和 IRM 的文章 (http://technet.microsoft.com/magazine/2008.11.desktopfiles) 中曾經(jīng)說(shuō)過(guò)，這些控制方法依賴于操作系統(tǒng)來(lái)防止屏幕捕獲和打印等。然而，這些控制方法并未延伸到虛擬機(jī)監(jiān)控程序，這意味著如果受 RMS 保護(hù)的內(nèi)容顯示在來(lái)賓操作系統(tǒng)上，則主機(jī)操作系統(tǒng)仍然可以打印各個(gè)屏幕截圖或創(chuàng)建屏幕的視頻捕獲。

雖然在技術(shù)上不是模擬，但它并非完全不同于“模擬漏洞”。我不知道有任何方法可以防止 DRM 控制的內(nèi)容受到此種方式的攻擊。事實(shí)上，即使您可以做到，您仍然必須面對(duì)防止用戶使用照相機(jī)或攝像機(jī)執(zhí)行相同“攻擊”的問(wèn)題。

#p#

磁盤碎片整理

虛擬機(jī)上的磁盤碎片整理是一個(gè)獨(dú)特的挑戰(zhàn)，有以下幾個(gè)原因：

◇ 您通常進(jìn)行兩個(gè)級(jí)別的磁盤碎片整理，第一是在虛擬化磁盤容器本身內(nèi)部進(jìn)行的磁盤碎片整理（每個(gè)來(lái)賓在其客戶端看到的磁盤碎片整理），我將其稱為“主要磁盤碎片整理”；第二是對(duì)包含虛擬化磁盤（跨主機(jī)操作系統(tǒng)的各個(gè)磁盤）的實(shí)際文件進(jìn)行的磁盤碎片整理，也稱為“輔助磁盤碎片整理”。

◇ 使用某些虛擬化產(chǎn)品時(shí)，起初只需要最小的磁盤大小，但會(huì)“按需”增長(zhǎng)，它們可能導(dǎo)致進(jìn)行輔助磁盤碎片整理。

◇ 撤消操作不僅會(huì)很快導(dǎo)致磁盤膨脹，還會(huì)導(dǎo)致進(jìn)行大規(guī)模的輔助磁盤碎片整理，因?yàn)樗鼤?huì)消耗更多的主機(jī)操作系統(tǒng)磁盤空間，每個(gè)來(lái)賓都會(huì)開(kāi)始爭(zhēng)奪可用的扇區(qū)。

◇ 隨著磁盤按需增長(zhǎng)，當(dāng)需求減少時(shí)，大多數(shù)卻不具備縮減的能力。如果您分配了 40GB 磁盤空間，開(kāi)始僅使用 10GB，但隨后增加到需要 35GB，則磁盤將不會(huì)自行還原，這意味著您會(huì)有一個(gè)大型文件，進(jìn)行輔助磁盤碎片整理的可能性要高得多。

虛擬磁盤容量很大，其更改、縮減或增長(zhǎng)速度快，易受兩種類型的磁盤碎片整理的影響，這些因素意味著您對(duì)虛擬磁盤的維護(hù)應(yīng)該比物理系統(tǒng)更加認(rèn)真。

以下是保護(hù)文件的一種方法：

◇ 最大程度減少任何撤消技術(shù)的使用，因?yàn)樗鼤?huì)導(dǎo)致所有磁盤文件的過(guò)度增加，不便于在來(lái)賓中進(jìn)行碎片整理，盡管主機(jī)可對(duì)包含虛擬磁盤的文件進(jìn)行磁盤碎片整理。

◇ 從一開(kāi)始就在來(lái)賓上使用功能良好的碎片整理產(chǎn)品，并定期運(yùn)行該產(chǎn)品。

◇ 如果您使用按需磁盤擴(kuò)展技術(shù)：

a. 按以下方式使用 Sysinternals sdelete.exe 實(shí)用程序：sdelete –c drive_letter，其中 drive_letter 是您要清零的卷。例如，sdelete –c C: 可在碎片整理后將所有未使用磁盤清零。

b. 使用任何虛擬磁盤縮減技術(shù)（如果您的供應(yīng)商提供），將虛擬磁盤容器減少到最小大小。

◇ 對(duì)包含虛擬機(jī)的主機(jī)操作系統(tǒng)卷進(jìn)行磁盤碎片整理。

很多人不重視磁盤碎片整理。我在 2007 年發(fā)布的關(guān)于磁盤碎片整理的文章 (technet.microsoft.com/magazinebeta/2007.11.desktopfiles) 收到了大量讀者郵件，這些郵件證明大家通常對(duì)這個(gè)主題存在誤解，但不應(yīng)該忽略它，即便對(duì)于虛擬化系統(tǒng)。

隨著虛擬化技術(shù)的重要性和使用的持續(xù)增加，我們很容易跟隨使用虛擬化技術(shù)的潮流，而不了解其成本以及意想不到的固有復(fù)雜性。本文應(yīng)該有助于您了解在遷移到或使用虛擬化技術(shù)需要考慮一些額外成本。

作者簡(jiǎn)介：Wes Miller 在位于德克薩斯州奧斯汀市的 CoreTrace ( CoreTrace.com ) 擔(dān)任產(chǎn)品管理主管。他之前任職于 Winternals Software，并且曾在 Microsoft 擔(dān)任項(xiàng)目經(jīng)理一職。您可通過(guò)以下電子郵件與 Miller 聯(lián)系： technet@getwired.com 。

原文地址

本文來(lái)源：微軟TechNet中文站