下面的内容,是由微软全球技术中心工程师收集和整理的虚拟化技术资料集锦。基本上涵盖了学习和应用基于Hyper-V架构的虚拟化平台所需要掌握的知识和资料。非常的有价值。1.Hyper-V的安装部署
在Windows Server 2008 X64上面安装Hyper-V和添加任何一个Windows组件都一样,都是从System Manger里面添加role开始的。
进入 Server Manager 后,单击选中视图左窗口导航菜单中的"Roles",之后单击视图右窗口中的"Add Roles",以添加角色。
弹出 Roles 安装向导,点击 "Next"。
选择服务器角色界面中,勾选"Hyper-V",并点击"Next"。
创建虚拟网络,这里会显示出当前系统可供 Hyper-V 使用的网络连接。
通过向导收集完信息后,点击"Install"进行 Hyper-V 的安装。
安装过程结束后,向导会提示必须重启服务器,点击"Yes"重新启动服务器。安装完成后大家就可以去Hyper-V Manager中去进行虚拟机创建和管理工作了。
另外需要提醒大家的是我们在Windows Server 2008 RTM中集成的Hyper-V只是Beta版本,因为Window Server 2008是今年2月份RTM的,而Hyper-V的最终正式版是在今年6月时候推出的。所以大家需要去我们的网站上下载RTM版的Hyper-V进行安装。
下载地址如下:
https://www.doczj.com/doc/1c5568688.html,/downloads/details.aspx?FamilyId=F3AB3D4B-63C8-4424-A73 8-BADED34D24ED&displaylang=en
2. Hyper-V对硬件的兼容性
Hyper-V对于软件和硬件有一些requirement,其中比较主要的如下:
首先就是它只支持64位的windows server 2008,也就是说它不能装在X86位的windows
2008上.
其次, Hyper-V需要CPU支持虚拟化技术, 对应到不同的厂商就是Intel VT和AMD-V。
除此外,CPU还必须支持DPE(hardware-enabled Data Execution Prevention)技术, 这个是为了安全性,Intel系的CPU中管这个叫做XD(execute disable),AMD的里面叫做NX(No execute)
最后,当然需要你的机器拥有越多越好的内存。
也就是说假如您使用的是Intel的CPU,请确认它支持Intel-VT和XD,假如您使用的是AMD 的CPU,请确认它支持AMD-V和NX。其次请您确认您是否在机器的主板设置当中启用了以上功能(在BIOS里面,多数情况下,这两个功能叫做Hardware Assistant Virtualization
和Date Execution Protection)
对于其他的一些IO设备,对大多数设备来说,只要硬件设备能够在Windows Server 2008下工作,那么就肯定能够在虚拟机下工作。而对于诸如DAS, FC SAN, iSCSI SAN等共享存储设备的各种功能的支持,详细信息您可以参考:
https://www.doczj.com/doc/1c5568688.html,/josebda/archive/2008/02/06/storage-options-for-windows -server-2008-s-hyper-v.aspx
3.虚机的文件大小
Hyper-V和其他一些虚拟化产品,比如Virtual PC和Virtual Server一样都使用了VHD格式的虚拟磁盘文件。Microsoft Virtual Hard Disk(VHD)格式是用于提供统一产品支持系统的常用虚拟化文件格式,它为客户提供了更加完美的可管理性、安全性、可靠性和更高的成本效益。VHD虚拟磁盘文件的最大尺寸为2040 GB
您在Hyper-V当中可以建立三种类型的虚拟磁盘文件(VHD),第一种是动态磁盘,这种磁盘的大小会随着你写入的数据的增多而变大,直到达到您在新建它时所选定的磁盘大小;第
二种是固定磁盘,这种磁盘文件从一开始就被固定了大小,不管它里面实际被写入了多少数据;第三种就是差异磁盘,它能够建立其相对于某一个母盘的差异磁盘,适合快速大量建立虚拟机的场合。其中,第一种和第三种都能够达到节约磁盘空间的效果
4.利用模板来快速创建虚拟机
在实际生活和工作中我们经常需要批量建立虚机,这样的话如果我们还是按照前面那种方法创建虚机就会很麻烦,因为这样会很慢,而Hyper-V也为我们提供了差异磁盘技术来解决这个问题。利用这种技术我们可以先创建一个虚机系统,并进行相关的设置,如桌面等。然后以此系统为模板(严格来说是此虚机系统安装后的硬盘为母盘)建立差异磁盘,并将此差异磁盘指派给新的虚拟机来使用。当你使用新的虚拟机后,它仍会以母盘内系统来启动,但是此后在此系统内所进行的任何变动都会被保存在差异磁盘内,而不会改变母盘内的内容。这样不但能够快速地创建新的系统,而且节省了磁盘空间。而实际您使用这个虚拟硬盘的时候,它会在背后把您的母盘文件和这个差异文件连接在一起作为一个实际的硬盘使用。
简单步骤如下:
(1)在已经建立好母盘的情况下,在Hyper-V Manager 中,新建一个hard disk
(2)在下面这个画面当中选择第三个选项,这个选项的就是所谓的“差异磁盘技术“
在这里选择您新建硬盘文件的名字和存储位置:
然后您可以在下面的画面中选择您想要参照的母盘:
(3)在创建完虚拟硬盘文件后,我们可以新建虚机了
(4)然后在下面这个画面当中选择您刚刚建立的虚拟硬盘文件:
这样您建立好的虚机就是以你母盘为基础的,而且建立过程非常迅速。而您所说的快照方式(Snapshot)是用来保存虚拟机当前状态的,不是用在这个地方的。在实际使用过程中,一
般我们都会先创建一些母盘,然后将母盘设置成为只读,接下来供以后各个虚机建立时候参照。
5.产品架构,以及虚拟化的产品线:
一般来说在Hyper-V之前Windows平台常见的操作系统虚拟化技术一般分为两种架构。第一种就是下面的Type 2架构,它的特点是:Host物理机的硬件上是操作系统,操作系统上跑着VMM, VMM也就是Virtual Machine Monitor,作为这个架构当中的Virtualization Layer,其主要工作是创建和管理虚机,分配总体资源给各个虚机,并且保持各个虚机的独立性,大家也可以把它看作一个管理层。在VMM上面跑的就是各个Guest虚拟机。就是这样一个架构,这个架构有一个很大的问题,就是Guest虚机要穿越VMM和Host OS这两层来访问硬件资源,这样就损失了很多的性能,效率不高。采用这种架构的典型产品就是Java Virtual Machine以及.NET CLR Virtual Machine。
第二种架构就是Hybrid架构,下面是它的架构图,和Type 2架构不同的是,VMM和Host OS 是处于同一个层面上,也就是说VMM和OS同时跑在内核模式交替轮流地使用CPU。这种模式比Type2架构快很多,因为在Type2模式下VMM通常跑在用户模式当中,而Hybrid是跑在内核模式中。这样架构的典型产品就是面向桌面操作系统的VPC 2007和微软上一代面向服务器操作系统的Virtual Server 2005。
而我们推出的Hyper-V没有使用上面所说的两种架构,而是采用了一种全新的架构(下图):Type 1的架构,也就是Hypervisor架构。和以前的架构相比,它直接用VMM代替了Host OS. Host OS从这个架构当中彻底消失,将VMM这层直接做在硬件里面,所以Hyper-V要求CPU 必须支持虚拟化了吧。这种做法带来了虚拟机OS访问硬件的性能的直线提升。VMM这层在这个架构中就是我们说的Hypervisor, 它处于硬件和很多虚拟机之间,其主要目的是提供很多孤立的执行环境,这些执行环境被称之为分区(partition),每一个分区都被分配了自己独有的一套硬件资源:内存,CPU, IO设备,并且包含了Guest OS. 以Hyper-V为基础的虚拟化技术拥有最强劲的潜在性能。
大家可以来看一下Hyper-V内部比较详细的结构图:
在底层支持虚拟化的硬件之上,Hypervisor运行着,而在它之上,运行着很多独立的分区,大致可以把分区分成四种类型。
首先来看最左边的,也就是父分区,也就是控制和创建其他分区的root分区。我们来看看它的构成,在这个分区的内核模式下有longhorn server的内核,还有一个叫做VSP的东西,它的全称是Virtualization Service Provider,它负责和device driver直接对话,为每一个需求提供硬件服务,VSP可以将request直接通过驱动程序传入物理设备,也可以把它传给自己本地的服务去处理,比如一些文件系统,VSP在硬件设备如何工作中充当了关键的角色。以前的虚拟化产品都是通过模拟方式来让guest OS访问硬件的,但就像刚才所说的那样这样做在兼容性上是不错的,但是性能不强,而VSP不存在这个问题。而每个分区都有的VM BUS类似于电脑里的总线,用来在虚机之间传输发送的request和data。
在父分区的用户模式下有很多VM Work Processes,每一个process都代表了系统当中一个特定的虚机,它是跑在前面所说的虚拟栈里面的。另外还有VM Service,它提供了一套工具和后台服务,用来管理虚机以及work processes,在它上面就是我们所说的WMI接口,其实它是VM Service暴露的一组接口。我们可以利用它去编写编写自己的管理工具,使虚拟机相关的操作自动化。
然后看左边第二个分区,这个是一种子分区,应用程序跑在用户模式下,而这个分区虚机的内核模式下跑的是Windows 2008。它就是一个被启蒙的Guest OS,也就是说这个系统完全知道自己是跑在hyper-v上面的虚机,它访问硬件不需要用任何的模拟。我们看其内核模式
下还有一个VSC,它的全称是virtualization service client。它是一个跑在子分区里面的client组件,它能够通过消费VSP提供的服务来完成实际的工作。对每一个设备类型来说,都有一对VSP/VSC来完成对这种类型硬件的使用。举个例子来说,过程是这样的。首先虚机上面操作系统中的应用程序需要访问某设备中的文件系统,然后相关驱动程序通知VSC要访问硬件,然后VSC把相关的request通过VM BUS传给父分区里面的VSP,然后VSP提供相应硬件供应操作。是这样一个过程。
然后第三个分区,这是一种另外的子分区,在这个子分区里面跑的是没有被启蒙过的操作系统,比如一些早期windows操作系统和DOS, 它必须使用模拟来提供操作系统所能够明白的硬件环境,所以没有VSC组件跑在内核模式下。
最后第四个分区,这也是第三种子分区,它里面跑的根本不是windows的操作系统,而是一些Linux的操作系统。微软同样认识到有些顾客需要在hyper-v上跑其他的OS, 比如Linux,微软没有仅仅让Linux跑在模拟出来的硬件上,而是让一些合作伙伴来 build 面向Linux的VSC,争取有越来越多的Linux虚拟机也能够使用VSP/VSC的方式来更有效的访问硬件。
Hyper-V还有一个优势,就是它背后有一个很庞大的解决方案。微软为虚拟化技术提供了非常丰富和全面的产品线,从服务器虚拟化的Virtual Server, Hyper-V,到应用程序虚拟化的SoftGrid,到桌面虚拟化的VPC,再到用户界面虚拟化的Terminal Services,一应俱
全。所以微软能够为用户提供一套完整的虚拟化解决方案。
这里简单的提一下微软的其他虚拟化产品。操作系统的虚拟化包括了面向桌面操作系统的产品,也包括了面向服务器操作系统的产品,前者的代表是Virtual PC 2007,而后者的代表就是Virtual Server 2005以及我们这次推出的Hyper-V。
而应用程序的虚拟化,顾名思义,它虚拟的对象不再是操作系统仅仅是应用程序。在一个物理机器上面跑一个OS,然后在这个共享的操作系统上面跑很多虚拟化的应用程序。其相关产品就是微软的SoftGrid Application Virtualization。SoftGrid用它的流传输体系,将任何的Windows应用程序转换为动态服务,这些服务可以集成到Windows管理的Infrastructure当中,以便于用标准组策略的方法对这些服务进行设置和管理。从这点上看,SoftGrid和Server毫无关系,它只是将应用程序以及用户界面,还有运行应用程序所需要的一些环境设置都打包成了文件,这是一个无法忽视的崭新虚拟化技术。
还有一种虚拟化就是用户界面的虚拟化,它为某一个应用程序提供了多个用户界面,可以被不同用户所使用,其实用户界面下面跑的是同一个应用程序,这种架构一个例子就是Terminal Services。
除此之外,微软还为这些虚拟化技术的产品提供了统一的管理平台:System Center,不管是物理机,还是Hyper-V,VPC,Virtual Server的虚机,甚至是VMware的虚拟机都可以通过System Center的管理工具进行统一管理,并且彼此兼容。另外System Center还提供了
快速迁移的功能,也就是说,你可以通过简单的操作将一个虚拟机在各个物理机上进行快速的迁移,这就使得一些灾难恢复的工作变成更加的简单和快速。
6. Snapshot的特点,对虚机文件的影响:
SnapShot,就是所谓的虚机快照,我们能够为虚拟机抓取快照,其内部是通过Microsoft Volume Shadow Copy Service技术完成的。我们可以把某个虚机某个时刻的所有状态,包括其内存啊磁盘啊等全部抓取成一个镜像文件,在以后的任何时间,你就可以通过它来恢复当时的实际状态。就像把某个时间点上的所有东西状态定格为一个文件然后随时恢复回来一样。
创建snapshot后,原有的VHD文件就被停止写入数据了。在你抓取snapshot之后,所有对磁盘的更新都会被写入另一个AVHD文件,同时,还会对你抓取时候虚拟机的内存情况进行备份。也就是说,在你抓取Snapshot的时候,会做两件事情:第一,复制当时虚拟机内存的一份拷贝,这块占用磁盘一般不会太大,其次,新建一个AVHD文件进行差异备份,在这之后所有应该写入磁盘的数据都会被写入这个新的AVHD文件中,保持原有VHD或者AVHD
文件不变。每一次抓取snapshot都会做这两件事情。
详细的过程您也可以参照:
https://www.doczj.com/doc/1c5568688.html,/jamesone/archive/2008/05/02/hyper-v-and-snapshots-part -1.aspx
7. 从其他虚拟化软件升级到Hyper-V:
假如您从以前得一些虚拟化软件比如VPC 2007或者Virtual Server 2005升级到Hyper-V 的话,在大多情况下,您的VHD文件在这几种虚拟化产品中是互相兼容的。因为在这几个产品变迁当中,VHD这个特定的文件格式并没有更改。假如您将Virtual PC或者Virtual Server 下建立的VHD镜像拿到Hyper-V中去创建一个新的虚拟机,然后启动它,那是没有问题的。
这方面的详细信息请您参照:
https://www.doczj.com/doc/1c5568688.html,/jhoward/archive/2008/02/28/are-vhds-compatible-between -hyper-v-and-virtual-server-and-virtual-pc.aspx
不过这样做后您可能会发现有一些驱动认不出来,因为Virtual PC或者Virtual Server 的虚拟机中使用的驱动程序和Hyper-V当中不同。所以在您实际的升级过程中,可能需要您在Virtual PC或者Virtual Server下把VHD镜像中操作系统的集成驱动程序VM additions 卸载掉,然后在启动新虚拟机后插入Integration Services Setup Disk,并根据提示更新完HAL后进行Microsoft Hyper-V Integration Components的安装,这样才能认出所有的驱动程序并且正常使用。
您可以参考以下网页提供的大概过程:
https://www.doczj.com/doc/1c5568688.html,/howto/microsoft/windows-server/migrate-microsoft-virt ual-server-2005-r2-vm-to-windows-server-2008-hyper-v/
8.Hyper-V对比VMWare ESX等的比较:
Microsoft Hyper-V 和 VMware ESX Server都是Bare-Metal虚拟化的产品,他们最大的区别在于,Microsoft Hyper-V采用了微内核的结构,而ESX Server是一个单内核的产品。单内核的主要特点是硬件的驱动程序集中在Hypervisor一层,被Hypervisor上的所有的虚机所共同使用。当一个虚机的OS需要访问硬件时,它通过Hypervisor中的driver model 来访问,这种单内核的Hypervisor能够提供很好的性能,但是它在安全性和兼容性上存在缺陷。由于驱动程序和一些第三方代码跑在一个很敏感的区域内,这种模式继承式了拥有了一个很大的被攻击面。设想下某些不怀好意的代码被隐藏在驱动程序当中,然后跑在Hypervisor中,这会影响到所有的客户虚拟机,而且这是很难被发现的,因为对于实际被使用的虚机来说,Hypervisor这层是不可见的,所以无法通过一些病毒软件去监控它。另
外一个问题就是稳定性,假设某个驱动程序当中存在bug,那么它将影响到所有的虚机。另外你还要求Hypervisor去支持所有的驱动程序,造成了这层体积较为庞大。所以单内核的Hypervisor一般被认为是胖Hypervisor。而我们的Hyper-V采用了微内核的结构,它是一个瘦Hypervisor。因为它里面没有驱动程序,所以在体积上Hyper-V更有优势,另外,由于微内核体积较小,所以运行的效率很高。驱动程序是跑在每一个分区里面的,每一个分区内的虚机OS都能够通过Hypervisor直接访问硬件,还使得每一个分区都相互独立,这样就拥有更好的安全性和稳定性。
除此之外,大多数虚拟化解决方案都是采用了硬件模拟来解决硬件访问的兼容性问题,但是也造成了很大的开销和性能损失。而我们的Hyper-V没有采用这样的做法,而是采用了Enlightenment(启蒙)技术。它能够对那些虚拟机操作系统进行启蒙,让它们明白自己是一个虚拟机,被启蒙过的虚拟机操作系统会记住虚拟化,所以他们可以不需要硬件模拟,而是通过VSP/VSC这套组件来进行的,当子分区内的操作系统需要访问硬件的时候,由子分区内的VSC(Virtualization Service Client)通过VMBUS将request发给父分区里面的VSP (Virtualization Service Provider),然后由VSP去提供实际的硬件服务。通过这种方式来使用硬件,相对于使用硬件模拟的方法,其访问性能有了大幅度的提高。
另外这种方式可以兼容大量的驱动程序,而不必像ESX Server一样为虚拟机开发专用的驱动程序。在大多数情况下,只要硬件设备能够在Windows Server 2008下工作,那么就肯定能够在虚拟机下工作。再加上Windows平台的驱动本来就比其他平台的驱动程序丰富,而ESX Server容易遇到兼容性方面的问题,所以在硬件兼容性支持上Hyper-V具有无可比拟的优势。
经过这几年的努力,微软为虚拟化技术提供了非常丰富和全面的产品线,从服务器虚拟化的Virtual Server, Hyper-V,到应用程序虚拟化的SoftGrid,到桌面虚拟化的VPC,再到用
户界面虚拟化的Terminal Services,一应俱全。而且为这些所有的产品提供了统一的管理平台:System Center,不管是物理机,还是Hyper-V,VPC,Virtual Server的虚机,甚至是VMware的虚拟机都可以通过System Center的管理工具进行统一管理,并且彼此兼容。另外微软还提供了自己的服务器操作系统和一些其他服务器产品(比如Exchange Server),能够做到在后台将虚拟化产品和其他服务器产品的联动支持和无缝连接,所以微软能够为用户提供一套完整的虚拟化解决方案。
最后Hyper-V相对于ESX Server,还有一个优势,就是使用成本。相对于ESX Server昂贵的授权费用,Hyper-V价格非常低廉,而且如果你购买了Windows Server 2008的话,Hyper-V 是免费附赠的,所以Hyper-V无疑是企业虚拟服务器的最佳选择。
9.在Hyper-V上跑LINUX
目前Hyper-V对Linux虚拟机的支持是这样的:由于Linux操作系统的版本众多,有社区开源的也有属于各个其他不同公司的,所以我们无法一个个测试。据我们的官方文档显示,目前经过了我们的测试,能够在Hyper-V上运行的Linux操作系统版本如下:
Linux Distributions (VMs configured with 1 virtual processor)
· Suse Linux Enterprise Server 10 with Service Pack 2 x86 Edition
· Suse Linux Enterprise Server 10 with Service Pack 2 x64 Edition
· Suse Linux Enterprise Server 10 with Service Pack 1 x86 Edition
· Suse Linux Enterprise Server 10 with Service Pack 1 x64 Edition
另外我们也曾经在Hyper-V上装过Fedora Core 8,具体安装过程,您可以参考以下作为例子:
https://www.doczj.com/doc/1c5568688.html,/virtual_pc_guy/archive/2007/12/31/installing-fedora-core-8-on-hyper-v.aspx
微软也为Linux虚拟机提供了集成的驱动程序组件,目前尽管我们没有对所有的Linux版本进行测试,但是理论上它可以支持任何Xen-enabled的Linux,您可以去进行尝试。这个集成驱动程序组件包括了一些Hyper-V虚拟机中网络设备,磁盘设备(IDE and SCSI)以及IO设备的驱动程序,还包括了集成的显卡鼠标驱动程序以及Hypercall adapter。使用它还可以大幅度的提高Linux虚拟机对硬件的访问性能,您可以去我们的网站上下载这个组件:https://www.doczj.com/doc/1c5568688.html,/
不过下载之前,您先需要在这个网站上进行注册,其具体的下载地址是:
https://https://www.doczj.com/doc/1c5568688.html,/Downloads/Downloads.aspx?SiteID=495
我们在https://www.doczj.com/doc/1c5568688.html,上还有一个论坛,您可以在这里面看到一些关于使用这个驱动组件的常见问题:
https://https://www.doczj.com/doc/1c5568688.html,/community/discussion/richui/default.aspx?SiteID=4 95
10.虚机P2V迁移
我们刚刚RTM的统一管理工具SCVMM2008支持P2V的功能,使用SCVMM2008,您可以将物理机快速地转换成虚拟机。您可以去以下地址下载评估版:
https://www.doczj.com/doc/1c5568688.html,/downloads/details.aspx?familyid=ed012990-6e86-4b43-984 2-da5c02ff1c83&displaylang=en&tm
SCVMM2008的详细介绍请参见:
https://www.doczj.com/doc/1c5568688.html,/systemcenter/virtualmachinemanager/en/us/default.aspx 11.Hyper-V对Exchange server 2007 的支持
微软在Server产品对Hyper-V支持上策略是以后让所有的Server产品都能够部署在Hyper -V host的虚拟机上。Exchange Server 2007也不例外,目前Hyper-V能够支持Microsoft
Exchange Server 2007 Service Pack 1 以及其后续版本。我们的测试结果显示在Hyper-V上Exchange Server 2007也有良好的性能和伸缩性。
关于这方面的详细文档您可以参照:
https://www.doczj.com/doc/1c5568688.html,/en-us/library/cc794548(EXCHG.80).aspx
12.Hyper-V对WSUS, WDS, MOSS 等的支持
Hyper-V支持Microsoft Windows Server Update Services 3.1 及其后续版本.
而WDS作为一个Server Role已经被包含在Windows Server 2008中,而在Windows Server 2003中它也是一个可选安装的组件。 Hyper-V本身当然支持Windows Server 2008或者2003的虚拟机。
另外, Hyper-V也会支持Microsoft Office SharePoint Server 2007 Service Pack 1和Windows SharePoint Services 3.0 Service Pack 1(及它们的后续版本)
关于Hyper-V对其他微软服务器产品支持的信息,请参见:
https://www.doczj.com/doc/1c5568688.html,/kb/957006
https://www.doczj.com/doc/1c5568688.html,/windowsserver2008/en/us/hyperv-app-support.aspx
本文出自“下里巴人的家”博客,谢绝转载!
服务器虚拟化安全风险及防范措施 发表时间:2019-07-09T16:49:23.027Z 来源:《科学与技术》2019年第04期作者:郭金海[导读] 近年来,随着云计算技术的飞速发展,虚拟化技术已成为网络技术的发展趋势。虚拟化技术基本上集中了物理服务器的所有硬件、软件、数据、存储、网络资源,并按逻辑分配计算资源。长城汽车股份有限公司河北省汽车工程技术研究中心 071000 摘要:近年来,随着云计算技术的飞速发展,虚拟化技术已成为网络技术的发展趋势。虚拟化技术基本上集中了物理服务器的所有硬件、软件、数据、存储、网络资源,并按逻辑分配计算资源。它是实现动态架构和优化资源分配的解决方案。IBM将虚拟化定义为资源的 逻辑表示,以透明的方式提供抽象的底层资源,而不受物理约束。常用的虚拟化技术包括服务器虚拟化、软件虚拟化和基础设施虚拟化。一般来说,虚拟化是指服务器虚拟化,也称为系统虚拟化,它可以将物理硬件与操作系统分开,允许多个具有不同操作系统的虚拟服务器在同一物理服务器上独立并行运行,并使服务器的底部完成。将部门的物理资源进行抽象,形成逻辑资源池,为上层虚拟机提供标准接口。相应的硬件资源可以根据实际需要从资源池中转移,形成虚拟机。管理员可以根据实际情况调整或恢复资源,实现物理资源共享、资源动态管理、不同虚拟机之间相互独立的特点。 关键词:服务器;虚拟化安全;预防措施 1服务器虚拟化中常见的安全风险分析 1.1虚拟化项目最初不涉及信息安全 根据Gartner会议的调查数据,大约40%的虚拟化部署项目是在初始架构和规划阶段进行的,不涉及信息安全团队。通常,由于虚拟机易于备份和恢复,操作团队忽略了信息安全。事实上,虚拟化技术参数被引入到虚拟机管理器中,这不仅增加了安全风险的另一个维度,而且当出现安全问题时,位置分析往往比物理服务器的处理更重要。增加复杂性。 1.2底层虚拟化平台的隐患影响到所有托管虚拟机 物理服务器通过虚拟化平台进行虚拟化。与人类编写的任何软件一样,虚拟化平台不可避免地会包含可能被利用的嵌入式和未检测到的漏洞。近年来,vmware、kvm、xen等世界知名的虚拟化平台不断暴露出安全漏洞,而这种虚拟化攻击仍然是未知的。当黑客成功入侵虚拟机时,首先可以利用虚拟化平台的漏洞尝试控制虚拟化系统的底层进程,进行逃逸攻击,在主机服务器中执行恶意代码,导致主机服务器上的所有虚拟机都被黑客控制,obtain访问主机服务器网络的权限,并尝试获取证书、个人隐私和其他敏感度。 1.3将不同安全等级的虚拟机置于同一物理服务器,未进行有效隔离 为了节省成本和提高效率,业务软件系统服务器正朝着全虚拟化方向发展,其中包括更关键和更敏感的业务系统,这些系统需要部署在高安全性虚拟机中。当这些高安全级别的虚拟机与同一物理服务器上的低安全级别的虚拟机共存且未与网络完全隔离时,虚拟机的安全级别不仅相互影响,而且还受到低安全级别虚拟机的影响。 1.4缺乏对管理程序的安全访问控制 虚拟机管理器(VMM)是虚拟化技术的基础技术。它提供了虚拟机规划、部署、管理和虚拟基础设施优化等端到端功能,因此必须严格控制对VMM的访问。在网络配置中,如果没有适当的安全访问控制,入侵者可以通过IP地址直接连接到VMM,即使入侵者不能暴力破解VMM的登录密码,也可以发起DDOS(分布式拒绝服务)攻击。如果VMM资源耗尽,在VMM上运行的所有虚拟机也将崩溃。 1.5数据安全风险 在服务器虚拟化环境中,不同虚拟服务器的数据存储在共享的物理存储设备中。如果没有严格的数据隔离措施,数据跟踪将有泄漏敏感信息的风险。在虚拟化平台中,管理员可以轻松地创建、删除和迁移虚拟机。这些功能为平台管理和灾难恢复备份提供了便利。但是,这些操作将在系统中留下痕迹,因为在删除或迁移虚拟机之后,存储空间将在被回收并重新分配到其他虚拟机之后释放。很难确保敏感信息仍然存在,这也存在安全风险。 2服务器虚拟化的安全防范措施 2.1部署网络安全产品 为确保虚拟机能够安全稳定的运行,需要部署必要的网络安全产品。通过安装网络杀毒软件和恶意软件防护程序,能够有效防止虚拟机受到病毒入侵及恶意软件的攻击,并且要做到及时更新病毒库和恶意代码库。但需要考虑到宿主硬件的性能问题,避免由于运行在同一台物理服务器上的虚拟机同时运行杀毒软件,造成物理资源占用过载从而影响到正常运行的问题。部署网络防火墙,通过限制访问宿主服务器和虚拟机的IP地址和端口号,遵循最小权限访问原则,最大程度防止网络攻击,保证虚拟机运行环境的安全可靠。 2.2有效的补丁更新计划 在服务器虚拟化环境中,需要管理的虚拟机数量比传统模式时大幅增长,更新补丁的工作量也成倍增加,这就需要制定详尽的补丁管理计划表,来应对服务器虚拟化环境中繁重的更新补丁工作,以便有计划、分步骤的对所管理的虚拟机进行补丁更新。确保既能及时有效地对所有虚拟机更新补丁,又不会因大量虚拟机同时更新补丁而对宿主服务器造成资源占用负担。 2.3监测虚拟机间网络流量 安装网络流量监测产品,对多个点的虚拟网络流量进行采集,然后用网络性能监控管理系统对所采集的数据包进行深度分析。通过网络流量监测产品,对同一物理服务器内虚拟机间流量、不同物理服务器上虚拟机间流量和虚拟机到物理基础设施流量实现可视化管理,做到能够实时监控服务器及网内异常流量,第一时间找到问题流量源并解决问题。 2.4隔离不同安全等级的虚拟机 在虚拟化网络架构中部署虚拟安全网关,把虚拟化网络划分为内部区域和外部区域,所有虚拟业务都包含在内部区域,将不同安全等级的业务系统使用VLAN划分不同的安全域,在虚拟安全网关上配置虚拟机的网关,将网关指向核心交换机,所有宿主服务器的流量引至虚拟安全网关,实现虚拟机在不同安全域中的有效隔离。在同一个安全域中的所有虚拟机面临着同样的安全风险,所以需要把不同安全等级的虚拟机隔离在不同的安全域中,这样即使一个安全域受到攻击,也不会波及其它安全域。 2.5配置访问控制管理
-- Xxxxxx 虚拟化平台安全应急管理办法 2015-A
前言 为提高处置虚拟化平台安全突发事件的能力,形成科学、有效、反应迅速的应急工作机制,确保重要信息系统的运行安全和数据安全,最大限度地减轻平台安全突发事件的危害,维护企业正常的生产经营秩序,特制订本应急预案。 本预案由xxxxx科起草并归口管理。 本预案主要起草人:xxxxxxxxxxxx 本预案2015年12月30日首订发布。
虚拟化平台安全应急管理办法 1 范围 本办法适用于xxxxx厂虚拟化平台的网络故障、数据安全故障、系统故障等安全事件的应急处置工作。 2 规范性引用文件 无 3 术语和定义 3.1 虚拟化平台:是指基于虚拟化技术的信息系统运行平台,负责虚拟机的托管和管理。目前,大部分厂级信息系统运行在虚拟化平台上。 3.2 虚拟机:是指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。虚拟化平台上每个业务系统就是一个虚拟机。 4 职责 4.1 xxxxx科负责本办法的归口管理; 4.2 各部门负责根据本办法要求履行应急管理职责,完成职责范围内的各项应急管理工作。 5 管理内容和方法 5.1事故类型和危害程度分析 企业建设有信息中心机房,厂级虚拟化平台部署于机房内,平台与工控系统通过光纤直连,平台与办公网通过防火墙安全隔离。厂大部分重要信息系统运行在平台上,平台存在服务器、存储、交换机等基础物理设备故障的可能,以及光纤通信线路的中断的风险。另外,平台也存在被病毒感染和恶意攻击的可能,从而造成数据丢失或系统故障,对企业务系统正常运行造成一定影响。 5.2 组织机构及职责 5.2.1成立虚拟化平台安全应急领导小组。 组长:xxxxx科科长;
虚拟化平台安全防 护方案
1.虚拟化安全挑战及防护需求 虚拟化技术的应用,帮助企业实现了资源使用及管理的集约化,有效节省了系统的资源投入成本和管理维护成本,但虚拟化这种新技术的应用,也不可避免给企业的安全防护及运维管理带来新的风险及问题。 总结来说,虚拟化技术面临的最大风险及挑战主要来自于这样几个方面: 1.网络及逻辑边界的模糊化,原有的FW等网络安全防护技术失去意 义 虚拟化技术一个最大的特点就是资源的虚拟化和集中化,将原来分散在不同物理位置、不同网络区域的主机及应用资源集中到了一台或者几台虚拟化平台上,不同的虚拟化主机间的网络及逻辑边界越来越难于控制及防护,传统方式下的网络防火墙、网络入侵检测防护等技术都失去了应有的作用。 攻击者能够利用已有的一台虚拟主机使用权限,尝试对该虚拟平台和虚拟网络的其它虚拟主机进行访问、攻击甚至是嗅探等,因此必须经过基于主机的防火墙或者虚拟防火墙实现针对统一虚拟平台、虚拟网络下的虚拟主机之间的网络访问控制和隔离。 2.系统结构的变化导致新风险 虚拟化平台在传统的“网络-系统-应用”系统架构上增加了“Hypervisor及虚拟网络”层,由于不同的虚拟机主机往往承载于同
一虚拟化平台服务器,即使2台完全独立的虚拟机主机,也可能由于虚拟平台自身(Hypervisor层)的某些缺陷及弱点(如虚拟平台本身的一些驱动漏洞),导致安全风险及攻击入侵在不同虚拟机主机之间扩散 同时,单台虚拟机的安全问题,也有可能影响整个虚拟化平台的安全;虚拟机间隔离不当,可非法访问其它VM,或者窃听VM间的通信,盗取敏感数据。 因此必须加强针对虚拟平台自身和虚拟机主机自身的安全防护。经过主机入侵检测防护系统,对虚拟平台和虚拟主机正在发生的攻击入侵行为进行实时监测及主动防护,防止虚拟平台和虚拟主机被恶意攻击及篡改. 3.资源的共享化,原有安全防护技术面临新挑战 针对虚拟化环境,一台服务器往往需要承载大量的客户端虚拟机系统,因此当所有的主机都同时进行病毒定义更新或扫描时,将形成的更新和扫描风暴势必成为一场灾难,因此如何有效降低虚拟化环境的病毒定义更新和扫描负载,直接影响到整个虚拟化平台的使用效率。因此,虚拟机服务器安全防护软件必须引入最新的虚拟机优化技术对虚拟化平台提供更完善、更可靠的保护。 2. 安全建设方案 2.1安全建设方案概述 虚拟化平台的虚拟网络安全:经过在虚拟机服务器主机上部署基
虚拟化技术及其应用上海市浦东科技信息中心程三艳摘编 虚拟化是一个广义的术语,在计算机方面通常是指计算元件在虚拟的基础上而不是真实的基础上运行。虚拟化技术的提出可扩大硬件的容量,简化软件的重新配置过程,模拟多CPU并行,允许一个平台同时运行多个操作系统,并且应用程序都可以在相互独立的空间内运行而互不影响,从而显著提高计算机的工作效率。 1、虚拟化技术的分类 1.1 从实现层次来分,虚拟化技术可以划分为:硬件虚拟化,操作系统虚拟化,应用程序虚拟化等。 硬件虚拟化,又叫做准虚拟化,就是用软件来虚拟一台标准电脑的硬件配置,如CPU、内存、硬盘、声显卡、光驱等,成为一台虚拟的裸机。 操作系统虚拟化,就是以原操作系统为母体样本,利用虚拟化软件克隆出多个新系统。 应用程序虚拟化,主要任务是虚拟操作系统,保证应用程序的正常运行虚拟系统的某些关键部分,如注册表等,轻量、小巧;还可以实现很多非绿色软件的移动使用,通过局域网方便快捷地分发到企业终端上,不用安装,直接使用,在应用范围和体验上超越绿色软件,大大降低了企业的IT成本。 1.2 以应用领域来划分,虚拟化技术可以划分为:服务器虚拟化、存储虚拟化、网络虚拟化、桌面虚拟化、CPU虚拟化、文件虚拟化等。 服务器虚拟化,应用了硬件虚拟化和操作系统虚拟化技术,在一台服务器运行安装多个操作系统,并且可以同时运行,就相当于多台服务器同时运行了,利用率大大提高。 存储虚拟化,是将一堆独立分布的硬盘虚拟的整合成一块硬盘,存储虚拟化的目的是方便管理和有效利用存储空间。 网络虚拟化,一般是指VPN,它将两个异地的局域网,虚拟成一个局域网,这样一些企业的OA、B/S软件,就可以像真实局域网一样进行电脑互访了。 桌面虚拟化,是在服务器上部署好桌面环境,传输到客户端电脑上,而客户端只采用瘦客户机的应用模式,即只安装操作系统,接受服务器传输来的虚拟桌面,用户看到的就像本地真实环境一样,所有的使用其实是对服务器上的桌面进行操作。 CPU虚拟化,是对硬件虚拟化方案的优化和加强。以前是用虚拟化软件把一个CPU虚拟成多个CPU,而CPU虚拟化直接从硬件层面实现,这样大大提高的性能。 文件虚拟化,是将分布在多台电脑的文件数据虚拟成一台电脑上的,这样以前找文件要去不同的机器上查找,而现在则像在一台电脑上操作一样。 2、虚拟化技术应用 虚拟化技术具有可以减少服务器的过度提供、提高设备利用率、减少IT的总体投资、增强提供IT环境的灵活性、可以共享资源等优点,但虚拟化技术在安全性能上较为薄弱,虚拟化设备是潜在恶意代码或者黑客的首选攻击对象。 目前常用的虚拟软件有VMware、Virtual PC以及微软在推的windows sever 2008中融入的Hyper-v1.0。自从全球经济危机开始,虚拟化技术被广大企业迅速应用,2009年也是虚拟化技术大潮兴起的一年。 2.1 虚拟化技术在高校信息化建设中的应用 高校信息化建设从20世纪90年代开始,已经经历了单机环境、C/S架构、B/S架构、SOA等多个发展阶段。目前,高校信息化建设已经涉及到高校的教学、科研、管理、生活、服务等相关领域,所需要的计算机平台、存储环境和网络环境多种多样,随之也带来了IT基础设施的资源利用率低和管理成本高等问题。将虚拟化技术应用到高校信息化建设中,既能提高高校信息基础设施的效率,也能提升信息化基础平台的可靠性和可维护性,降低IT相关管理成本。 使用存储虚拟化技术,将高校信息化基础设施中的所有存储资源整合为一个大的存储系统,通过统一存储数据和管理存储空间对外以透明的方式提供存储服务,根据应用系统对存储速率和访问要求的不同,提供不同的存取方式。
Xen,VMware ESXi,Hyper-V和KVM等虚拟化技术的原理解 析 XEN 与 VMware ESXi,Hyper-V 以及 KVM 特点比较: XEN 有简化虚拟模式,不需要设备驱动,能够保证每个虚拟用户系统相互独立,依赖于 service domains 来完成一些功能; Vmware ESXI 与 XEN 比较类似,包含设备驱动以及管理栈等基本要素,硬件支持依赖于 VMware 创建的驱动; Hyper-V 是基于 XEN 管理栈的修改; KVM 与XEN 方式不同,KVM 是以Linux 内核作为管理工具得。 虚拟机的体系结构 XEN 体系结构 图 3. XEN 体系结构图 一个XEN 虚拟机环境主要由以下几部分组成: XEN Hypervisor; Domain 0 —— Domain Management and Control(XEN DM&C); Domain U Guest(Dom U) 下图4 显示除了各部分之间的关系: 图 4. Xen 三部分组成之间关系图
XEN Hypervisor : XEN Hypervisor 是介于操作系统和硬件之间的一个软件描述层。它负责在各个虚拟机之间进行CPU 调度和内存分配。XEN Hypervisor 不仅抽象出虚拟机的硬件,同时还控制着各个虚拟机的执行。XEN Hypervisor 不会处理网络、存储设备、视频以及其他I/O. Domain 0: Domain 0 是一个修改过的Linux kernel,是唯一运行在Xen Hypervisor 之上的虚拟机,它拥有访问物理I/O 资源的权限,同时和系统上运行的其他虚拟机进行交互。Domain 0 需要在其它Domain 启动之前启动。 Domain U: 运行在Xen Hypervisor 上的所有半虚拟化(paravirtualized)虚拟机被称为“Domain U PV Guests”,其上运行着被修改过内核的操作系统,如Linux、Solaris、FreeBSD 等其它UNIX 操作系统。所有的全虚拟化虚拟机被称为“Domain U HVM Guests”,其上运行着不用修改内核的操作系统,如Windows 等。 2.Hyper-V 体系结构 图 5. Hyper-V 体系结构图 Hyper-V 是微软提出的一种系统管理程序虚拟化技术,采用微内核的架构,兼顾了安全性和性能的要求。Hyper-V 底层的Hypervisor 运行在最高的特权级别下,微软将其称为ring -1(而Intel 则将其称为root mode),而虚机的OS 内核和驱动运行在ring 0,应用程序运行在ring 3 下,这种架构就不需要采用复杂的BT(二进制特权指令翻译)技术,可以进一步提高安全性。从架构上讲Hyper-V 只有“硬件-Hyper-V-虚拟机”三层,本身非常小巧,代码简单,且不包含任何第三方驱动,所以安全可靠、执行效率高,能充分利用硬件资源,使虚拟机系统性能更接近真实系统性能。 Hyper-V 支持分区层面的隔离。分区是逻辑隔离单位,受虚拟机监控程序支持,并且操作系统在其中执行。Microsoft 虚拟机监控程序必须至少有一个父/ 根分区,用于运行64 位版本的Windows Server 2008 操作系统。虚拟化堆栈在父分区中运行,并且可以直接访问硬
《云计算虚拟化技术与应用》教学大纲 学时:62 代码: 适用专业: 制定: 审核: 批准: 一、课程的地位、性质和任务 本课程是云计算技术、计算机网络技术、计算机应用技术等专业的一门专业核心课程,主要讲授虚拟化技术发展史、虚拟化技术分类、虚拟化架构特性并对目前主流的虚拟化技术都有涉及,重点讲授虚拟化技术在服务器、桌面及网络上的应用。通过本课程的学习,使学生掌握虚拟化的基本知识,掌握虚拟化的基本原理和方法。能够对目前主流的虚拟化产品进行熟练的使用、部署及维护,并培养学生团结协作、严守规范、严肃认真的工作作风和吃苦耐劳、爱岗敬业等职业素养。 二、课程教学基本要求 1.了解虚拟化的基本概念及发展情况、虚拟化的技术分类及虚拟化的基本技术架构等知识。 2. 了解服务器虚拟化、存储虚拟化和网络虚拟化的基本概念及基础架构原理,了解市场主流虚拟化技术及产品。 3. 了解VMware ESXi的基本概念并熟练掌握VMware ESXi的安装、配置的基本方法与技术;了解VMware ESXi的重要功能并掌握VMware ESXi虚拟机的创建、定制技术。 4. 了解XenServer的功能特性、虚拟基础架构及XenServer系统架构,掌握XenServer服务器和XenCenter管理平台的安装、配置以及创建虚拟机环境的基本方法与技术。 5. 了解Microsoft Hyper-V的功能特性及系统架构,掌握安装Microsoft Hyper-V服务器角色以及创建、定制虚拟机环境的基本方法与技术。 6. 了解KVM的应用前景及基本功能,掌握KVM环境构建、硬件系统维护、KVM服务器安装及虚拟机维护的基本方法与技术。 7. 了解Docker的功能特性及系统架构,掌握Docker的使用技术,包括Docker的安装与卸载、Docker镜像与容器以及Docker Hub的应用技术等。 8. 掌握虚拟机服务器的部署,包括虚拟服务器的配置、工具的部署、虚拟服务器调优、虚拟服务器安全性、虚拟机备份、虚拟机业务迁移及物理机转虚拟机的方法及技术。 9. 了解虚拟化终端的类型及其特点、熟悉常见共享桌面的种类。了解主流虚拟桌面的产品及其厂商,掌握VMware View虚拟桌面的部署步骤过程。 10. 掌握虚拟专用网络VPN的部署与使用方法,包括硬件VPN和软件VPN;掌握虚拟局域网(VLAN)的部署与使用方法,包括标准VLAN、VMware VLAN和混合VLAN;掌握虚拟存储设备的配置与应用,包括IP-SAN在vSphere平台的挂载方法。 11. 掌握虚拟化架构规划的需求分析及设计选型的一般方法,能够针对具体的项目需求给出虚拟化架构规划实施方案。
最近在实战Xen中,xen和kvm,是开源免费的虚拟化软件;vmware是付费的虚拟化软件;hyper-v 比较特别,是微软windows 2008 R2附带的虚拟化组件,如果你买了足够的授权,hyper-v(包括hyper-v 2008 core)都可以免费使用。 如果是vmware或hyper-v虚拟windows系统,不管是虚拟化软件本身,还是其中的子系统,都要支付许可费用。 如果是vmware或hyper-v虚拟linux,虚拟化软件本身要支付许可费用,子系统可以用linux来节省成本。 如果是xen或kvm虚拟windows,其中的子系统要支付许可费用。 如果是xen或kvm虚拟linux,那么虚拟化软件本身和其中的子系统无需产生任何费用。 从性能上来讲,虚拟windows,如果都能得到厂商的支持,那么,性能优化可以不用担心。这几款软件全都能达到主系统至少80%以上的性能(磁盘,CPU,网络,内存),这时建议使用hyper-v来虚拟windows,微软自身的产品,虚拟windows是绝对有优势的。 如果是虚拟linux,建议首先使用xen,支持linux的半虚拟化,可以直接使用主系统的cpu和磁盘及网络资源,达到较少的虚拟化调度操作,可以达到非常高的性能,但xen操作复杂,维护成本较高。其次我们推荐kvm来虚拟linux,linux本身支持kvm的virtio技术,可以达到少量的虚拟化调度操作,得到较高的系统性能。不推荐使用hyper-v来虚拟linux,太多的不兼容性导致linux基本无法在hyper-v 上跑。 如果以上产品我们不打算买厂商支持,其中vmware和hyper-v,是不建议使用的,主要是授权问题。 这时就剩下kvm和xen了,如果虚拟windows,建议使用kvm,我们可以从redhat那里免费拿到针对windows优化过的磁盘和网络的驱动程序,可以达到较高的性能(几乎与hyper-v性能持平)。而xen的windows优化驱动不是那么容易就能拿到的(由于redhat以后不支持xen了,看看novell是否放水了,呵呵,就开放程度上来讲,redhat要好于novell)。 综上所述, 在有授权的情况下,虚拟windows,建议使用hyper-v 在有授权的情况下,虚拟linux,建议使用xen,如考虑到需要降低管理维护和学习成本,建议使用kvm。 在没有授权的情况下,虚拟windows,建议使用KVM 在没有授权的情况下,虚拟linux,建议使用xen,如考虑到需要降低管理维护和学习成本,建议使用kv
网络虚拟化介绍及应用实例 技术背景 随着社会生产力的不断发展,用户需求不断发展提高,市场也不断发展变化,谁能真正掌握市场迎合用户,谁就能够占领先机提高自己的核心竞争力。企业运营中关键资讯传递的畅通可以帮助企业充分利用关键资源,供应链、渠道管理,了解市场抓住商机,从而帮助企业维持甚至提高其竞争地位。作为网络数据存储和流通中心的企业数据中心,很显然拥有企业资讯流通最核心的地位,越来越受到企业的重视。当前各个企业/行业的基础网络已经基本完成,随着“大集中”思路越来越深入人心,各企业、行业越来越迫切的需要在原来的基础网络上新建自己的数据中心。数据中心设施的整合已经成为行业内的一个主要发展趋势,利用数据中心,企业不但能集中资源和信息加强资讯的流通以及新技术的采用,还可以改善对外服务水平提高企业的市场竞争力。一个好的数据中心在具有上述好处之外甚至还可以降低拥有成本。 1.虚拟化简介 在数据大集中的趋势下,数据中心的服务器规模越来越庞大。随着服务器规模的成倍增加,硬件成本也水涨船高,同时管理众多的服务器的维护成本也随着增加。为了降低数据中心的硬件成本和管理难度,对大量的服务器进行整合成了必然的趋势。通过整合,可以将多种业务集成在同一台服务器上,直接减少服务器的数量,有效的降低服务器硬件成本和管理难度。 服务器整合带来了巨大的经济效益,同时也带来了一个难题:多种业务集成在一台服务器上,安全如何保证?而且不同的业务对服务器资源也有不同的需求,如何保证各个业务资源的正常运作?为了解决这些问题,虚拟化应运而生了。虚拟化指用多个物理实体创建一个逻辑实体,或者用一个物理实体创建多个逻辑实体。实体可以是计算、存储、网络或应用资源。虚拟化的实质就是“隔离”—
虚拟化与云安全解决方案 目录 一、项目概述 (2) 1.项目背景 (2) 2.需求分析 (2) 二、总体方案设计 (2) 1.体系架构 (2) 2.方案简述 (3) 三、无代理终端安全解决方案 (4) 1.方案说明 (4) 2.主要优势 (4) 3.产品介绍 (6) 四、网络安全解决方案 (7) 1.方案说明 (7) 2.主要优势 (8) 3.产品介绍 (8) 五、主要/应用安全解决方案 (11) 1.方案说明 (11) 2.主要优势 (12) 3.产品介绍 (12) 六、数据安全解决方案 (15) 1.方案说明 (15) 2.主要优势 (16) 3.产品介绍 (16) 七、附录 (18) 1.vShield产品家族各组件功能比较 (18) 威睿信息技术(中国)有限公司
一、项目概述 1. 项目背景 //// 此处插入项目情况 2. 需求分析 XXXX数据中心部署了大量的x86服务器,承担着为各个业务部门提供基础设施服务的角色。随着业务的快速发展,数据中心在空间占用、能源消耗和运维管理方面的压力越来越大。采购与维护成本也有较大的增长。在没有采用虚拟化技术的情况下,资源调配很不灵活,硬件资源的总体利用率不高,存在较大的浪费。 为了应对上述问题,XXXX开始实施基础架构革新,引入虚拟化与云计算技术,先后将非核心应用与核心应用迁移到了VMware的虚拟化平台,有效降低了成本,提高了资源利用率和可用性,运维效率也得到了较大提升,缓解了信息化建设所面对的诸多压力。 在取得显著效益的同时,现有的基础架构在安全性方面又出现了新的挑战,传统的安全防护手段价格昂贵,对虚拟化平台不具感知能力,使用不够灵活,管理难度大,不能很好地满足新架构的需要,为了更好地满足业务发展的需要,急需采用更有针对性的虚拟化与云安全解决方案来保障虚拟化与云计算平台的安全性问题。 针对用户在安全方面的需求,VMware提供了专为虚拟化与云计算平台所设计的整体安全解决方案,全面涵盖了终端安全,网络安全与数据安全,该方案可以与现有的基础架构紧密集成,简单易用,灵活高效,是目前业界最佳的云安全解决方案。 二、总体方案设计 1. 体系架构 VMware云安全解决方案由vShield产品家族构成,主要包括vShield Edge,vShield App,vShield Data Security和vShield Endpoint四个组成部分,统一通过vShield Manager进行集中管理,与vCenter Server的管理界面集成。这些产品组件均可以部署在VMware的虚拟化平台之上,安装简便,使用灵活,易于维护和管理。
1.1 H3C CAS虚拟化平台架构 H3C公司依托强大的研发实力、广泛的市场应用和技术理解,以客户需求为导向,为企业新一代云计算数据中心基础架构提供一体化的云计算平台解决方案,帮助用户实现快速、可靠的虚拟化数据中心和云业务应用部署。H3CCAS 云平台云计算解决方案包含统一的计算资源池、统一的网络资源池、统一的存储资源池,并提供了一体化的监控和部署工具进行统一的虚拟化与云业务管理,通过简洁的管理界面,轻松地统一管理数据中心内所有的物理资源和虚拟资源,不仅能提高管理员的管控能力、简化日常例行工作,更可降低IT环境的复杂度和管理成本。 CAS云计算管理平台 服务器虚拟化、存储虚拟化和网络虚拟化只是构成云计算基础设施的硬件资源池,在云计算环境中,最重要的一点是实现资源池的自动化,避免人力对于基础设施的过多干预。H3C CAS( Cloud Automation System )通过自动化的管理平台和手段,帮助用户实现对云硬件资源和业务流程的快速部署与自动化维护和管理。 H3C CAS云计算管理平台由三个组件构成: CVK Cloud Virtualization Kernel ,虚拟化内核平台 运行在基础设施层和上层客户操作系统之间的虚拟化内核软件。针对上层客户操作系统对底层硬件资源的访问,CVK用于屏蔽底层异构硬件之间的差异性,消除上层客户操作系统对硬件设备以及驱动的依赖,同时增强了虚拟化运行环境中的硬件兼容性、高可靠性、高可用性、可扩展性、性能优化等功能。 CVM Cloud Virtualization Manager ,虚拟化管理系统 主要实现对数据中心内的计算、网络和存储等硬件资源的软件虚拟化管理,对上层应用提供自动化服务。其业务范围包括:虚拟计算、虚拟网络、虚拟存储、高可用性(HA)、动态资源调度(DRS、虚拟机容灾与备份、虚拟机模板管理、集群文件系统、虚拟交换机策略等。 CIC: Cloud Intelligenee Center ,云业务管理中心
Win2008虚拟化实战之启用Hyper-V功能 2009-7-28 来源:本站原创作者:佚名【大中小】点击:次 1.1 安装KB950050和KB951636补丁 要在Windows Server 2008中启用正式版的Hyper-V功能,需要安装Microsoft 提供的KB950050和KB951636补丁。在Windows Server 2008正式版光盘中提供的Hyper-V 只是一个测试版。安装KB950050与KB951636补丁,与启用Hyper-V功能并不冲突,如果你在安装补丁之前已经启用了Hyper-V功能,则在更新该补丁后,Hyper-V功能将会升级为正式版。如果先安装了KB950050与KB951636补丁,则在添加Hyper-V角色时,将会添加正式版的Hyper-V。本文将按照先安装KB950050与KB951636补丁,然后再添加Hyper-V 角色的顺序,介绍启用Hyper-V功能的方法。 首先,分别从 https://www.doczj.com/doc/1c5568688.html,/downloads/details.aspx?FamilyID=6f69d661-5b91-4e5e-a6c0-210e629e1c42&displaylang=zh-cn 和 https://www.doczj.com/doc/1c5568688.html,/downloads/details.aspx?familyid=6C7AE2A5-ACDD-4A03-B371 -26F20AECD2D6&displaylang=zh-cn 下载KB950050与KB951636补丁,然后在Windows Server 2008(X64版本)安装该补丁,主要步骤如下: (1)运行下载的"Windows 6.0-KB950050-x64"补丁,如图1所示。
虚拟化技术介绍及应用 1 虚拟化技术简介 目前虚拟化技术深入人心,从服务器到桌面都呈现出一片繁荣的景象,由此相信多数人都不会怀疑虚拟技术的可用性和研究其的必要性。通俗说来,虚拟化就是把物理资源转变为逻辑上可以管理的资源,以打破物理结构间的壁垒。虚拟化技术就其本质而言属于一种资源管理技术,它将硬件、软件、网络、存储等硬件设备隔离开来,使用户能更合理更充分的控制与管理各种资源。 1.1 术语介绍 1).宿主机,即虚拟机管理器所在的系统 2).客户机,即运行在虚拟化管理器之上的系统 3).VMM, Virtual Machine Monitor. 虚拟机监视器 4).hypervisor,也称为虚拟机管理系统(包含VMM) 2 虚拟化技术历史 IBM 早在 20 世纪 60 年代开发 System/360?Model 67 大型机时就认识到了虚 拟化的重要性。Model 67 通过 VMM(Virtual Machine Monitor)对所有的硬件接口都进行了虚拟化。但在x86平台上的虚拟化技术起步较晚,但随着x86平台CPU性能越来越强健,在市场上的应用越来越广泛,x86平台下的虚拟化技术同样得到了快速发展,特别是支持虚拟化技术的芯片辅助技术(即CPU虚拟化技术)出现以后,x86平台一直以来对虚拟化支持不佳的形象发生了很大改变,x86 平台已经成为了虚拟化技术发挥作用的重要平台之一。 虚拟化技术的发展大概经历了下面两个阶段。 初级阶段:在虚拟化早期,人们采用模拟软件技术模拟出计算机硬件和软件。模拟层与操作系统对话,而操作系统与计算机硬件对话。在模拟层中安装的操作系统并不知道自己是被安装在模拟环境下的,你可以按照常规的方法安装操作系统。这种虚拟化需要付出很大的性能代价。 高级阶段:随着虚拟技术发展的不断深化,虚拟化被带到了一个更高的级别。在模拟层(负责被虚拟机器的指令翻译)和硬件之间,不需要任何主机操作系统运行硬件上的虚拟机。虚拟机监控器直接运行在硬件上。由此虚拟化变得更加高效。 3 虚拟化技术原理 我们首先简要介绍一下虚拟化技术及其涉及的元素。虚拟化解决方案的底部是要进行虚拟化的机器。这台机器可能直接支持虚拟化,也可能不会直接支持虚拟化;那么就需要系统管理程序层的支持。系统管理程序,或称为 VMM,可以看作是平台硬件和操作系统的抽象化。在某些情况中,这个系统管理程序就是一个操作系统;此时,它就称为主机操作系统。
全面分析微软虚拟化技术Hyper-V 毫无疑问,在业界,微软Microsoft是当之无愧的软件霸主,不仅仅在操作系统上占据巨大的市场份额,更在数据库、迁入式移动计算、搜索引擎等各个方面都具有很强的影响力,在各个领域都不容忽视。由于低估微软在产品创新和销售执行方面的能力,众多的企业在与微软的竞争中遭遇挫折。 微软进入虚拟化领域已经很有一段时间了(微软在2003年收购了推出了Virtual PC 软件的Connectix公司,并在其后推出了Virtual Server服务器虚拟化软件),在Hpyer-V推出之前,微软在虚拟化领域尤其是服务器虚拟化领域可说是略显不自信,与竞争对手VMware的频频新品相比,Virtual PC和Virtual Server的发布和宣传都十分低调,毕竟,VMware/Xen等产品凭借出色的性能已经占据了大半江山。而现在,随着Hyper-V的正式推出,企业级虚拟化领域极可能会引起一场风暴,市场格局有可能迅速改变。 为什么微软的Hyper-V会具有这样的能力呢? 注:什么是虚拟化? Hyper-V是一个Hypervisor(系统管理程序),开发代号为Viridian,它主要作用就是管理、调度虚拟机的创建和运行,并提供硬件资源的虚拟化。Hyper-V是微软伴随Windows Server 2008最新推出的服务器虚拟化解决方案,在Windows Server 2008发布的时候,集成了一个Beta版本的Hyper-V,微软承诺在180天之内会提供正式版的Hyper-V。Window Server 2008是4月份发布的,180天就是不到6个月,因此微软会在9月到10月之间发布正式版的Hyper-V,而目前已经到了RTM阶段,可以正常使用了。 Hyper-V跟微软自家的Virtual PC、Virtual Server等产品相比,有着很显著的区别,和竞争对手VMware Server/ESX Server也有很大不同:Hyper-V在构架上绝对是一个突破性的进展!
下面是目前人们最担心的服务器虚拟化的五大安全问题: 1.管理失败和责任 MacDonald说,虚拟服务器的主要问题是责任。与物理服务器不同,物理服务器是数据中心或者IT经理直接负责的,而虚拟服务器经常被人们遗忘。应该要求业务部门配置虚拟机并且保证其安全吗?IT经理应该更接近物理主机吗?一个集中的主系统管理员应该负责一个企业的全部虚拟化资产吗? MacDonald说,人们不理解这个问题:当你增加虚拟服务器的时候,除了应用程序、操作系统和硬件之外,你又增加了另一层技术。你必须要保证它的安全。 2.补丁与管理 缺少责任可能出现的最明显的风险是跟不上为企业的每一个虚拟机使用补丁、维护和保证安全的不断的、劳动密集型的流程。与虚拟机所处的物理服务器不同,物理服务器是由 IT经理推出和配置的,IT经理还安装了最新的补丁。而虚拟机是由几个星期或者几个月之前创建、设置和使用补丁的服务器镜像创建的。 MacDonald说,大多数企业都保持少量的通用的“黄金”镜像,从这些镜像推出或者重新推出用于许多用途的新的虚拟机。但是,在经过辛苦的设置支持具体的应用程序或者业务需求之后,大多数企业会把数十个或者数百个服务器镜像存储在DVD或者硬盘上。 MacDonald说,你可以对虚拟机拍一个快照,把这个虚拟机写入硬盘,这样,你下一次就不用创建同样的虚拟机,并且可以利用这个虚拟机进行灾难恢复。在需要时,就推出在离线库中存储的许多虚拟机中的一个虚拟机即可。但是,大部分虚拟机都没有最新的杀毒软件特征和补丁。有些人在推出虚拟机的时候应该对虚拟机进行检查。但是,有些人经常不检查,通常也没有进行检查的方法。 微软和VMware都用自己的基本基础设施产品提供了补丁管理的时间表。这两家公司都需要把磁盘镜像存储在库中,以便定期地发布,这样它们就能够使用补丁。 然而,对于拥有数百个虚拟机镜像的库的企业来说,这是一个繁重的流程。这个流程没有解决正在运行的虚拟机的补丁状态问题,或者在几个星期或者几个月的时间里安装新的病毒特征的问题。当然,VMware、惠普和许多新兴企业现在都使用管理产品设法帮助IT实现大都数工作的自动化。 3.可见性和遵守法规 虚拟服务器的设计至少在数据中心中应该是可见的。虚拟机需要的所有的存储、带宽、地面空间或者电力都来自于虚拟机所处的物理服务器。数据中心管理员如果没有监视每一个主机中的虚拟机之间的全部联系记录,这些虚拟机就变成了一个几乎失控的看不见的网络。
XXX 服务器虚拟化安全解决方案
文档修订记录
目录 1.环境概述 (4) 2.面临安全威胁 (4) 2.1.针对操作系统漏洞的攻击 (4) 2.2.针对应用的攻击 (4) 2.3.虚拟化带来新的威胁 (4) 2.4.统一管理和审计 (5) 3.安全防护需求 (6) 4.安全防护方案 (6) 4.1.架构设计 (7) 4.2.方案部署 (10) 4.3.功能模块 (10) 5.和传统防护方案的区别 (14) 6.方案价值 (15)
1.环境概述 XXX目前对部分应用系统进行了虚拟化,情况概述如下: 4台物理服务器,每台服务器采用4个6核CPU 每一个虚拟服务器采用3核CPU标准配置 总共有32台虚拟服务器 2.面临安全威胁 2.1. 针对操作系统漏洞的攻击 海事局目前的虚拟服务器都安装Windows Server操作系统,众所周知,微软操作系统每年都会发现大量的漏洞,利用这些漏洞: 大量的蠕虫病毒、木马攻击感染,导致系统异常或者是不能正常运行 黑客利用漏洞进行攻击,窃取机密资料或者是导致系统异常 由于服务器应用系统的重要性,通常来讲对于发现的漏洞都没有进行及时的修复,补丁的安装都需要经过严格的测试之后才能够进行部署,但是在实际修复的这段时间内,服务器就会面临大量利用漏洞的攻击。 2.2. 针对应用的攻击 虚拟服务器操作系统上面构建各种各样的应用及服务,类似Web服务、邮件服务、数据库服务以及一些自己构建的应用系统,这些应用系统都是由大量代码构成的,通常这些服务也都有大量的代码级漏洞,这些漏洞由于被黑客或者是商业间谍等破坏分子利用,窃取应用系统上面的机密数据,或者是导致应用不能正常对外提供服务。 2.3. 虚拟化带来新的威胁 当对物理服务器进行虚拟化之后,除了物理服务器所面临的来自恶意程序、
XXX职业技术学院学年第学期Array《云计算虚拟化技术与应用》课程考试试卷(A) 使用班级: (A (B (C (D 2、 (A (B (C (D 3、( (A (B (C (D 4、 (A (B (C (D 5、架构的核心是 A 。 (A)Xen Hypervisor (B)XenMotion (C)Domain0 (D)Linux操作系统核心 6、(多项选择)下列选项适合描述Type1架构的是 ACD 。 (A)服务器的CPU必须支持虚拟化 (B)HostOS是其中重要的组成部分 (C)虚拟机操作系统访问硬件的性能的大大提升 (D)Hypervisor是其中的核心,处于虚拟机和硬件之间
7、(多项选择)统管理员要在服务器上安装KVM服务的前提条件是 ABC 。 (A)检查CPU是否支持虚拟技术 (B)BIOS中开启Virtual Technolege支持 (C)Linux版本为64位 (D)Linux版本为32位 8、 (A)virt-manager (B)vrit-manger (C)virtual shell (D)vmanager 9、 (A (B (C (D 10、 (A (B (C (D 11、 (A) 12、( (A (B (C (D 13、( (A (B (C (D 14、(单项选择)链接克隆桌面池中,view Composer规定每个桌面池时所支持链接克隆虚拟机最大的数量为 A ? (A)512 (B)1024 (C)128 (D)256 15、(多项选择)基于IPSec的VPN解决方案能够解决以下哪些问题 ABC ? (A)数据源身份认证 (B)数据保密 (C)自动的密钥管理和安全关联管理 (D)增强防火墙安全性
1.虚拟化安全挑战及防护需求 虚拟化技术的应用,帮助企业实现了资源使用及管理的集约化,有效节省了系统 的资源投入成本和管理维护成本,但虚拟化这种新技术的应用,也不可避免给企业的 安全防护及运维管理带来新的风险及问题。 总结来说,虚拟化技术面临的最大风险及挑战主要来自于这样几个方面: 1.网络及逻辑边界的模糊化,原有的 FW 等网络安全防护技术失去意义 虚拟化技术一个最大的特点就是资源的虚拟化和集中化,将原来分散在不同物理位置、不同网络区域的主机及应用资源集中到了一台或者几台虚拟化平台上,不同的虚拟 化主机间的网络及逻辑边界越来越难于控制及防护,传统方式下的网络防火墙、网络入 侵检测防护等技术都失去了应有的作用。 攻击者可以利用已有的一台虚拟主机使用权限,尝试对该虚拟平台和虚拟网络的 其他虚拟主机进行访问、攻击甚至是嗅探等,因此必须通过基于主机的防火墙或者虚拟 防火墙实现针对统一虚拟平台、虚拟网络下的虚拟主机之间的网络访问控制和隔离。 2.系统结构的变化导致新风险 虚拟化平台在传统的“网络 - 系统 - 应用”系统架构上增加了“ Hypervisor及虚拟网络”层,由于不同的虚拟机主机往往承载于同一虚拟化平台服务器,即使 2 台完全独立的虚拟机主机,也可能由于虚拟平台自身(Hypervisor 层)的某些缺陷及弱点(如虚拟平台本身的一些驱动漏洞),导致安全风险及攻击入侵在不同虚拟机主机之间扩散 同时,单台虚拟机的安全问题,也有可能影响整个虚拟化平台的安全;虚拟机间隔离不当,可非法访问其它 VM,或者窃听 VM间的通信,盗取敏感数据。 因此必须加强针对虚拟平台自身和虚拟机主机自身的安全防护。通过主机入侵检测防护系统,对虚拟平台和虚拟主机正在发生的攻击入侵行为进行实时监测及主动防护, 防止虚拟平台和虚拟主机被恶意攻击及篡改 . 3.资源的共享化,原有安全防护技术面临新挑战 针对虚拟化环境,一台服务器往往需要承载大量的客户端虚拟机系统,因此当所有的主机都同时进行病毒定义更新或扫描时,将形成的更新和扫描风暴势必成为一场