生产企业如何部署VMware虚拟化的解决方案

    相信生产企业能够清楚的看到，随着生产规模和业务的快速发展，在IT基础设施的投入和使用也不断的增加，但同时也发现没有进行有效整理的硬件效率也就越来 越低，很大程度上浪费了IT资源。所以如何降低成本、提高效率成为了很多生产企业深思的问题。重庆正睿科技有限公司作为VMware的合作伙伴，并且是多 年的虚拟化成熟方案的厂家，今天就来分享一下VMware虚拟化方案在生产企业的完美部署，从而降低成本、提高效率。

    一、对涉及到各环节的业务进行分析

    业务分析的目的是根据各环节的业务分析，找到切实有效的解决方法。业务分析需要IT和业务部门的人员协同工作，需要了解企业的战略与业务规划，需要站在业 务的角度，以业务的语言对需求进行收集、分析，以确保解决方案的实施为企业带来业务的收益。这就需要IT人员对企业的业务环境、业务运营流程、所在行业的 发展趋势等方面的知识进行了解，同时了解业务扩展性的需求、数据安全保障的需求、业务连续性的保障需求等方面，综合考量一个业务系统的建设运营需求。比如 企业手机办公移动应用平台，作为信息化基础平台的一部分，为公司员工提供了通过移动终端接入公司内部系统进行业务处理的能力。总体架构可分为安全接入认证 网关、展示层、应用层和数据层，需要兼容IOS、安卓和其他终端环境。

    二、针对整个环境进行虚拟化设计

    生产企业在虚拟化技术的实施下，一台服务器可以被分割成数台“虚拟”的机器，每台都能独立运行自己的操作系统，从而避免了“一台服务器、一种应用”的孤岛 模式。统计结果表明，在孤岛模式下，计算机资源的使用率只有不到25%。有了虚拟化技术，企业可以构建一个完全不同的基础环境，更有效地管理服务器。在同 一服务器上运行不同操作系统和应用软件的功能，可以让企业协调服务器的工作负担。如果一个虚拟系统有问题，另一台能立即替补，继续完成同一任务。

    一个应用系统的虚拟化的设计通常需要结合网络、系统、数据库、安全性进行详细设计。

    相对于网络来说，比如手机办公移动应用平台选用了6台服务器，每台服务器都配有4块网卡。这样我们可以使用分布式虚拟交换机，把所有的ESXI服务器网卡 都接到分布式虚拟交换机上，这样我们可以进行全局的管理，设置虚拟机网络、存储网络和管理网络等，也为以后设置群集、DRS设置、高可用等打下了基础。

    从系统上说，Linux是基于互联网开发并为云服务的，企业在服务器层面部署Linux系统，最大的好处是成本低、性能高，同时开源能帮助企业摆脱单一厂 商的束缚。在企业级服务器系统层面，选择红帽和SUSE是比较稳妥的做法，一方面是功能性、稳定性有保证，另一方面则可以提供技术支持，这对于企业后期运 营来说会省去不少麻烦。当然，对于企业来说，部署哪款Linux终归要根据自己的实际情况及需求决定，没有最好的，只有最合适的。针对手机办公系统，建议 可以选择红帽和SUSE。

    从数据库上说，面对品种繁多的数据库产品，正确的评估、选型与数据库技术本身同样重要。而通常，数据库厂商都会在性能清单和技术基准表中尽量展现产品最佳 的一面，对产品弱点却避免提及或进行遮掩，关于这一点，业界已经是人尽皆知了。其实在挑选和评估过程中，首要目标是选择一款能够满足甚至超过预定要求的技 术或解决方案。 其二只有在真实的环境中进行实际的比较测试才可以推断出数据库的预期性能及评估所需成本。常用的方法包括平衡移植，把原来的数据转移到相同或类似硬件上的 另一套数据库，然后以真实的客户端连接这套测试对象。又或是以数据产生器针对真实的数据模型，建立出庞大的数据量，再以客户端连接作测试。 比如针对手机办公系统，数据库A价格便宜、实施的成本也相对地低一些。但要达到预期的服务水平，硬件和维护的成本却要高很多。相反，数据库B售价高些、实 施时的风险高一点所以最终成本也高很多，但因为它的技术水平比较高，相对的硬件和维护成本就要低很多，这样总体拥有成本就会低。结果是，数据库B的方案， 长远来讲反而更有利。

    再从安全性上说，虚拟化是以客居方式运行的操作系统，其特有的安全威胁有：虚拟机镜像无论在静止还是运行状态都有被窃取或篡改脆弱漏洞的可能，对应的解决 方案是在任何时候对虚拟机镜像进行加密，但这又会导致性能问题。在安全性要求高或有法规要求的环境下，(加密的)性能成本是值得的；另一个问题是不同等级 的数据(或虚拟机储存着不同等级的数据)可能交错混杂在同一台物理机器中，在PCI(这里指PCI-DSS，支付卡行业数据安全标准)条款中，我们称之为 混合实施模式。解决方案是建议组合使用虚拟局域网、防火墙、入侵检测/入侵防护系统(IDS/IPS)来保证虚拟机隔离以支持混合实施模式。另外还可以使 用数据分类和基于策略的管理(例如，DLP数据泄露保护)来预防数据混杂。在云计算环境中，某一最低安全保护的租户，其安全性可能成为多租户虚拟环境中所 有租户共有的安全性。在本例中，针对手机办公系统所在的6台虚机，做了基于虚拟机隔离和策略的保护来实现应用的安全。

    三、项目实施阶段

    在实施方案前，需要进行评估和测试：

    1、安装VMWare ESXI 5.0

    我们只需要简单地按照安装向导的指示，下一步下一步就可以了，系统安装完成约需30分钟。之后可以在其上分配资源，安装各种操作系统的虚机。

    2、安装VMWare VCENTER 5.0

    软件的安装过程很简单，全部采用默认方式进行安装。安装过程中需要的输入软件许可序列号，这个序列号可以从VMWare公司的官方网站上免费申请。

    3、安装VMware VCENTER  Conveter5.0

    为了简化系统迁移的步骤，我们同样将VMware  VCENTER  Conveter5.0安装在服务器上。

    软件的安装过程很简单，全部采用默认方式进行安装即可。它能够帮助用户简化物理机到虚拟机以及虚拟机格式之间的转换过程以及导入微软的VirtualPC和Virtual Server 生成的镜像文件。

    4、安装VMware DATA  RECOVERY

    VMware DATA  RECOVERY支持快速备份到磁盘，而且更重要的是，它支持快速和完全的恢复，从而能够预防虚拟环境中的数据丢失。

    5、简单性能评测

    由于条件限制，我们无法进行正规的服务器性能压力测试，只能对服务器的几项主要性能（CPU、内存、文件系统）进行一个简单的性能对比测试。测试结果表 明，迁移后虚拟机系统的主要性能指标，已经全面超过了原有实体物理系统的性能指标。当然，我们也注意到，在文件系统的测试中，虚拟系统的CPU占用率约为 50%，比实体物理系统的39%高出11%。这也证明如果不能解决好系统I/O虚拟化的问题，虚拟系统就无法真正完全地替代实体物理系统。不过我们相信， 随着技术的进步，这一天很快就会到来了。

    经过长达4个月的系统选型、评估、测试，我们确认方案可行。并且对VSPHERE HA群集、DRS和FT高级容错功能进行测试，接下来的项目具体实施就是水到渠成了。我们平均每周迁移2套老应用到虚拟系统上，然后进行1周的观察，如果 未发生异常情况，则可以确定系统迁移成功。全部系统的迁移和测试验证预期在2个月内完成。

    四、企业需对成本和效益分析

    通过部署实施手机办公系统的虚拟化，我们获得了相当多的收获。

    1、降低了服务器的硬件采购成本。该系统共有6台物理服务器，二期过保后报废，我们实际新采购服务器2台，其中2台正睿ZI22S5-14988HV服务器,1台作为虚拟化应用整合平台，另一台台作为数据库平台。这样我们为公司少购买了4台服务器。这样可以减少硬件采购成本。考虑到购买VMWare虚拟化软件的采购成本，实际为公司节约更多的成本支出。

    2、降低了系统管理成本，停用原来的6台服务器后，每年节约的各项服务器管理成本和软件许可费用，也是一笔不小的数字。

    3、还提高了业务系统的服务器可用性。在实施虚拟化技术之前，如果服务器发生硬件故障，通常要停用1-2天的时间，来进行硬件更换。而在虚拟化环境下，如 果运行虚拟系统的服务器发生硬件故障，我们只需要将备份好的虚拟服务器的配置文件和虚拟硬盘镜像文件还原到新的服务器上，并恢复最近一次数据备份，就可以 恢复业务系统的正常使用。这个时间，通常是在4个小时以内的。如果使用VMWare VMotion功能，则可以把这个时间缩减到几分钟甚至几秒钟！

    最后提高了老业务系统的系统性能和降低了系统开发部署的成本。在系统整体迁移完成后，经过实际测试，所有迁移到虚拟系统的业务应用性能，较迁移之前，有了 一定程度的提高。所以说，硬件技术上的进步，已经能够在一定程度上弥补虚拟化技术带来的应用系统的性能损耗。VMwareVirtual Enterprise产品在快照管理方面的强大功能，还大大缩短了我们在新应用系统开发和部署实施之前的测试时间。由于一项误操作，就需要花费数小时甚至 1整天的时间来重建系统的日子，已经一去不复返了。

    五、风险与安全

    存在的风险须知：

    1、服务器虚拟化过程中变动最大的一环就是网络架构的改变，网络架构发生变化相应地会产生特殊的安全问题.采用虚拟化技术后，所有虚拟机会集中连接到同一 台或某几台虚拟交换机与外部网络通讯，使得原来可以通过防火墙采取的防护措施就会失败，如果有一台虚拟机发生问题，安全问题就会通过网络扩散到其他的虚拟 机。

    2、服务器虚拟化可能导致虚拟化主机自身负载过重或系统服务器崩溃，因为服务器虚拟化后，每一台服务器都将支持若干个重要的资源密集型应用程序，这些应用 程序将会争夺同一硬件服务器的带宽、内存、处理器和存储等资源，在这个过程中这些关键应用程序可能会遇到网络瓶颈和性能问题，并且可能会引起服务器负载过 重。服务器虚拟化后的物理服务器崩溃是更严重的一种安全问题，因为服务器崩溃，所有的应用都会中断，它比常规环境中一台服务器崩溃引起一个应用中断带来的 问题要严重得多。

    3、黑客攻击、虚拟机溢出和虚拟机跳跃、虚拟机被盗都将会导致虚拟环境的安全风险 。最后虚拟机迁移和虚拟机间的通信将会大大增加服务器遭受渗透攻击的机会。

温馨小贴士：选择一个优质的解决方案的商家至关重要。

    安全策略应对：

    1、监视主机和虚拟机上的事件日志和安全事件，妥善保存，以备审计。

    2、最低权限原则：基于RBAC管理授权；确保个人的责任明确；如VMware VCenter。

    3、IT管理者需要针对虚拟机制定专门的审核策略和流程，对虚拟机进行审核、追踪和监控,防止虚拟机漏洞蔓延。

    4、监控工具的应用：目的是对虚拟化的管理活动具有可见性。监控导致虚拟机状态变化的管理操作、检测出未经授权试图拷贝或“克隆”虚拟机的行为、监控和限制虚拟化“蔓延”。

    六、对整个生产企业方案的总结

    对于生产企业在虚拟化部署完成后，还需要进行持续和优化和维护，一般来说，Vmware会提供专业的售后服务，但作为企业来说，依然需要IT人员不断的实践并管理好它