第二页
1. 控制虚拟机的增长速度
Arch Coal公司的首席信息官迈克尔.阿本尼负责公司内部的IT部门,他对虚拟机增长过快所带来的问题有自己的独到见解: 创建虚拟机只需几分钟的时间。但它们的确能很好地独立完成各项计算工作。 但你拥有的虚拟机越多,你所面临的安全风险就越高。因此你最好能对所有的虚拟机都保持追踪。
"我们先从简单的虚拟化测试和开发硬件入手,"迈克尔.阿本尼说道。 "继而转向小型的应用服务器, 然后逐步扩大直到成功。 我们必须明白盲目行事只会增加我们的风险。" Arch Coal公司目前拥有45台虚拟机,其中包括活动目录服务器和一些应用和网络服务器。
那么该如何控制服务器的增长速度呢? 有一个方法: 按照创建物理服务器的规则去创建虚拟服务器或虚拟机。 在Arch Coal公司,IT团队对创建新的虚拟机的审核十分严格:"无论是物理服务器还是虚拟机,要经历的审批流程就并没有什么不同,"Arch Coal的微软系统专家汤姆.卡特这样强调说。
本着这个目的,Arch Coal的IT部门通过变化控制委员会(由服务器、储存等不同部门的IT员工交叉组成)来批准或否决新的虚拟服务器申请。 这意味着应用小组的人无法再轻易搭建一个VMware服务器并开始创建虚拟机了,即使是取得了开发人员的同意。阿本尼表示。
VMware公司的VirtualCenter(虚拟化中心)管理工具与Vizioncore的工具能帮助IT部门对虚拟机的增长速度进行管理。
互联网数据中心的艾略特表示 "虚拟机的增长过快是一个很严重的问题,它会导致在管理、维护和供给等各个环节上的落后"。 同时,如果你无法有效的控制虚拟机的数量,那些出乎意料的管理问题也会造成成本激增。
2. 将现有的流程在虚拟机上加以应用
虚拟化最大的魅力或许就在于它的速度: 你可以在几分钟内就创建一个虚拟机,轻松的进行迁移,为你的商业部门提供最新的计算能力,几周的工作量缩短到一天时间里就能完成。 这种快速推进方式常能使人乐此不彼。 但在此之前你一定要慎重,要让虚拟化成为你现有IT流程的一部分,并且将安全预防问题放在第一位,艾略特说道。 你会逐渐发现更多令人头疼的管理问题。
"流程很重要,考虑虚拟化不仅要站在技术的角度,而且还要从流程出发。比方说,如果你是使用信息技术基础设施库(ITIL)来引导你的IT流程,那么你要事先考虑如何将虚拟化融入到整个流程框架里,"艾略特建议说。 如果你是使用其它IT最佳实践方法,也要考虑到虚拟化融合的问题。
赫夫给我们举了个例子: "如果你有一个服务器强化文件(指新服务器的安全和安装标准),你就应当在你的虚拟服务器上按照物理服务器的流程一一照搬"。
在Arch Coal公司,迈克尔.阿本尼的IT团队也是这么做的: "我们采用最佳实践来确保物理服务器的安全,并将此照搬到每一台虚拟机上,"阿本尼认为。 通过强化操作系统,在每一台虚拟机上运行防病毒软件,确保补丁管理的及时升级并保持虚拟服务器与物理服务器上的流程同步。
3. 从你现有的安全工具入手,时刻保持审慎的态度
你是否需要一套全新的安全与管理工具来保护你的虚拟化环境? 没有这个必要。从你现有的安全工具(诸如目前物理服务器和网络设备所用到的工具)入手,将它们运用到虚拟环境中的做法会更有意义,赫夫说道。 但你要给厂商一点压力,让他们告诉你该如何密切留意虚拟化的风险,以及如何与其它产品同步前进。
"在应用物理工具到虚拟化环境的安全问题上一直都有一种错误的认识"互联网数据中心的艾略特说道"市场上有些安全工具早就加入了虚拟化的概念。 这意味着你必须要给厂商更多的压力"。
"不要以为平台工具(比如VMware工具)对你来说已经足够"艾略特说道"你要把目光瞄向那些安全管理厂商。 给那些管理厂商多一点压力,让他们去多做一些,并为他们提供指引"。
马自达北美公司的首席信息官Jim DiMarzio就在他的企业中采用了这套战略。 如同Arch Coal公司一样,马自达北美公司在其虚拟服务器的核心上运行了VMware公司的ESX Server 3软件,并在最近增加了虚拟机的数量。 DiMarzio表示他希望在2008年3月前拥有150台虚拟机。他使用虚拟服务器来作为活动目录服务器、打印服务器、客户关系管理应用服务器和网络服务器 - 最后这项应用最具关键性,因为马自达使用这些网络应用来向其所有的经销商提供信息,DiMarzio说道。
为了保障这些虚拟机的安全,DiMarzio决定继续使用他现有的防火墙和安全产品,包括IBM公司的Tivoli Access Manager, 思科公司的防火墙工具(firewall tools),以及赛门铁克软件公司的入侵检测系统监控工具(IDS monitoring tools)。
在Arch Coal公司,阿本尼与他的团队也是坚持使用他们现有的安全工具,还有BlueLane 公司和虚拟化安全厂商Reflex Security公司的调研工具。"那些安全与变革厂商都在努力迎头赶上"阿本尼说道。
举例来说,BlueLane公司就宣称,他们的补丁仿真产品虚拟盾VirtualShield(针对VMware产品的虚拟设备版)甚至能在某些补丁没有及时更新的情况下保护虚拟机的安全,自动扫描潜在的问题,对问题区域进行升级并保护它远离远程威胁的侵害。
虚拟化安全厂商Reflex Security公司的Virtual Security Appliance (VSA)也是少数需要引起关注的产品之一,它对虚拟入侵检测系统(IDS)尤其有用,在虚拟机所在的物理服务器中为其添加了安全协议层。 这可以防止系统管理程序免遭攻击同时避免将来可能产生的麻烦。阿本尼的团队表示。
阿本尼表示他的IT团队也讨论了添加第二个内部防火墙来进一步隔离虚拟机的事宜,但他担心这会对虚拟化应用软件的使用造成影响。
互联网数据中心的艾略特表示还有一些其它的虚拟化安全工具值得IT管理部门去关注: 比如PlateSpin就是一款著名的从物理机到虚拟机的工作负载转换和管理工具; Vizioncore是一款文件层次备份工具; Akorri是一款绩效管理和工作负载平衡工具; 而最近被戴尔公司收购的存储厂商EqualLogic以其iSCSI储存区域网络(SAN)产品来优化虚拟化而闻名。
未完,请翻页
网友评论