搜索
数据中心高级研修班©2009VMwareInc.Allrightsreserved第二章:虚拟化核心技术和安全第二章:虚拟化核心技术和安全数据中心高级研修班©2009VMwareInc.Allrightsreserved第二章:虚拟化核心技术和安全虚拟化的核心技术数据中心高级研修班第二章:虚拟化核心技术和安全VMotionVMotion是什么?•通过VMotion可以实现虚拟机的动态迁移,而服务不中断客户优势•零宕机时间:进行有计划的服务器维护和升级迁移工作负载,资源利用率最大化•服务器的持续可用性,完整的交易集成•支持FibreChannel和iSCSISAN环境以及NASx86ArchitectureHypervisorx86ArchitectureHypervisorVMotion迁移虚拟机SAN、iSCSI或NAS数据中心高级研修班第二章:虚拟化核心技术和安全StorageVMotion•虚拟机磁盘存储独立迁移–无需虚拟机停机–LUN独立–支持光纤通道SAN应用程序操作系统应用程序操作系统应用程序操作系统无中断:刷新到新阵列迁移到不同类别的存储器升级到新文件系统格式虚拟机粒度,LUN独立数据中心高级研修班第二章:虚拟化核心技术和安全分布式资源调度(DRS)功能•跨资源池动态调整计算资源•基于预定义的规则智能分配资源优势•使IT和业务优先级对应•动态提高系统管理效率•自动化的硬件维护动态负载均衡和连续智能优化,保证所有应用需要的的资源资源池ResourcePool业务需求BusinessDemand围绕业务进行组织和规划…而不是您的硬件!数据中心高级研修班第二章:虚拟化核心技术和安全负载分配规则设定一次,永远有效,自动执行易于添加更多的资源避免业务繁忙时段的过载DRS动态获得硬件资源动态添加硬件资源池CPU36GHz,Mem58GB优先级:高资源池CPU50GHz,Mem70GB优先级:高数据中心高级研修班第二章:虚拟化核心技术和安全分布式电源管理(DPM)资源池业务需求下电当整个群集需要资源减少时,整合所有负载到少数几台服务器上将不需要的服务器置于备用模式当负载增加时,DPM自动将处于备用状态的服务器唤醒在确保服务级别的同时,最大限度降低了数据中心服务器的耗电量虚拟机没有中断或停机数据中心高级研修班第二章:虚拟化核心技术和安全利用UpdateManager和DRS无中断地升级Hypervisor•UpdateManager升级整个DRS群集–DRS群集中的每个Hypervisor主机依次进入维护模式–虚拟机被VMotion到其他Hypervisor–Hypervisor升级并重启–虚拟机重新VMotion回来–下一台Hypervisor重复以上步骤VMotionVMotionUpdateManagerserver大批量地升级Hypervisor并且不影响任何应用的运行,虽然Hypervisor会重启,但确保虚拟机永不停机数据中心高级研修班第二章:虚拟化核心技术和安全UpdateManager•对Hypervisor和Microsoft及RHEL虚拟机的自动补丁管理–扫描和更新在线和非在线的虚拟机,以及在线的Hypervisor–补丁更新前先对虚拟机做快照,允许随时回退到补丁前状态UpdateManager不需手工跟踪补丁版本和更新情况使用标准或自定义的补丁列表,批量更新虚拟机补丁利用快照技术降低应用补丁的风险离线补丁技术可以避免网络上的干扰,还可以对模板应用补丁OFFLINE数据中心高级研修班第二章:虚拟化核心技术和安全描述用于ESX虚拟机的高性能集群文件系统优势•简化虚拟机的部署和管理•利用共享存储确保数据完整性•可运行多个ESX实例同时访问同一个虚拟机存储•支持基于虚拟化的分布式基础架构服务vStorageVMFSESXOSAPPOSAPPOSAPP数据存储虚拟磁盘20GB100GBLUN扩展10G的虚拟磁盘添加新的虚拟磁盘增加VMFS卷可扩大数据存储扩展8G的虚拟磁盘20GB数据存储不改变增加VMFS卷可扩大数据存储40GB数据中心高级研修班第二章:虚拟化核心技术和安全描述通过分配比实际购买容量更多的存储容量,来实现更高的存储利用率优势•简化了管理•延长了应用程序正常运行时间•提高了存储利用率vStorageThinProvisioningESXOSAPPOSAPPOSAPP数据存储虚拟磁盘20GB40GB20GB20GB60GB20GB100GB厚精简精简40GB100GB数据中心高级研修班第二章:虚拟化核心技术和安全vHA功能•当服务器故障时,自动重新启动虚拟机优势•经济有效的适用于所有应用的高可用•不需要独占的stand-by硬件•没有集群软件的成本和复杂性经济有效的适用于所有应用的高可用解决方案X数据中心高级研修班第二章:虚拟化核心技术和安全FaultTolerance(FT)在不同的主机上同步运行相同的虚拟机出现硬件故障时,所有虚拟机均可实现零停机时间、零数据损失故障切换零停机时间、零数据损失无需复杂的群集或专用硬件所有应用程序和操作系统通用的单一机制VDCOS操作系统应用程序操作系统应用程序操作系统应用程序数据中心高级研修班第二章:虚拟化核心技术和安全操作系统应用程序DataRecovery虚拟机的无代理、基于磁盘的备份和恢复虚拟机或文件级别的恢复增量备份和消除重复数据以节约磁盘空间为虚拟机提供快速、简单和完整的数据保护通过vCenter实现集中式管理经济高效的存储管理消除重复数据存储设备Hypervisor操作系统应用程序操作系统应用程序数据中心高级研修班第二章:虚拟化核心技术和安全描述为供应商提供的编程界面。由VCB演变的新一代产品优势•支持虚拟机的增量、差异和完整映像备份和恢复•为Windows和Linux虚拟机提供文件级备份支持•提供不会对ESX造成负载的高效备份用于数据保护的vStorageAPI数据中心高级研修班第二章:虚拟化核心技术和安全vNetwork分布式交换机聚合数据中心级别虚拟网络简化的设置和更改轻松地进行故障排除、监视和调试支持第三方虚拟环境的透明管理操作系统应用程序操作系统应用程序操作系统应用程序操作系统应用程序操作系统应用程序操作系统应用程序操作系统应用程序操作系统应用程序操作系统应用程序VDCOSvNetwork分布式交换机虚拟交换机虚拟交换机虚拟交换机CiscoNexus1000V数据中心高级研修班第二章:虚拟化核心技术和安全vShieldZones•安全遵从性vShieldZonesvShieldZonesVDCOSVDCOSDMZ数据中心高级研修班第二章:虚拟化核心技术和安全保护引擎VirtualDataCenterOSVMsafe•API通过检查与管理程序一起使用的虚拟组件来保护虚拟机•将保护引擎与恶意软件隔离•广泛的覆盖范围,包括虚拟机CPU、内存、存储器和网络应用程序操作系统数据中心高级研修班第二章:虚拟化核心技术和安全vApp—自我描述的应用系统可实现自动化SLA管理数据中心高级研修班第二章:虚拟化核心技术和安全纵向扩展应用系统以实现有保证的QoS可扩展虚拟机热添加CPU内存热添加和删除存储设备网络设备热扩展虚拟磁盘以零停机时间横向扩展虚拟机64GB4个CPU255GB8个CPU操作系统应用程序数据中心高级研修班第二章:虚拟化核心技术和安全P2VConverter•说明•VMwareConverter自动将物理机、其他格式的虚拟机和第三方映像格式转换为VMware虚拟机。•优势•简化升级到VMwareInfrastructure的过程。•物理机•第三方映像格式•其他虚拟机格式虚拟机P2VConverter数据中心高级研修班第二章:虚拟化核心技术和安全虚拟数据中心的可靠性存储站点组件服务器避免计划内停机最大限度地减少计划外停机网络冗余、多路径StorageVMotionVMotion+DRS维护模式网卡和HBA绑定DataRecovery、VMwareReady™数据保护合作伙伴HAFaultToleranceSiteRecoveryManager数据中心高级研修班第二章:虚拟化核心技术和安全受保护站点恢复站点vCenterSiteRecoveryManagervCenterSiteRecoveryManager数据存储组阵列复制数据存储组SiteRecoveryManager概览数据中心高级研修班第二章:虚拟化核心技术和安全SiteRecoveryManager核心功能对灾难恢复的集中管理–从单一管理点创建、测试、更新和执行恢复计划–与VirtualCenter紧密集成灾难恢复自动化–预先构建恢复流程–自动测试恢复计划–自动执行恢复流程简化的设置和集成–分配和管理恢复资源–与领先供应商的存储复制系统轻松集成存储设备服务器虚拟机HypervisorHypervisorHypervisorHypervisorvCenterSiteRecoveryManager数据中心高级研修班第二章:虚拟化核心技术和安全©2009VMwareInc.Allrightsreserved虚拟化的安全数据中心高级研修班第二章:虚拟化核心技术和安全第二章:虚拟化核心技术和安全虚拟化安全策略自我描述、自我配置的安全性虚拟化的独特优势安全性虚拟化.OVF安全的虚拟机管理程序体系结构平台安全强化功能安全的开发生命周期平台安全性针对部署和配置的说明性指导集成到企业的现有策略、流程和工具中安全的操作数据中心高级研修班第二章:虚拟化核心技术和安全体系结构:服务器虚拟化类型托管虚拟化裸机虚拟化VMwareWorkstationVMwareServerVMwarePlayerVMwareFusionVMwareESX主机OS改变安全配置文件可在客户虚拟机可信时采用即使客户虚拟机不一定可信时也可采用数据中心高级研修班第二章:虚拟化核心技术和安全第二章:虚拟化核心技术和安全体系结构:设计为隔离方式oryVMwareInfrastructure3体系结构的安全性设计和内存•虚拟机不具有完全的CPU访问权•内存隔离通过硬件实施•内存页在由虚拟机使用前一律清零虚拟网络•不存在链接虚拟交换机的代码•虚拟交换机不会受到学习型或桥接型攻击虚拟存储•虚拟机只能看到虚拟SCSI设备,而看不到实际存储•由VMFS使用SCSI文件锁强制实施虚拟机对虚拟磁盘的独占访问数据中心高级研修班第二章:虚拟化核心技术和安全ESX虚拟机管理程序:坚实可靠的基础MSFT/Xen体系结构VMware体系结构精简自定义内核更少补丁程序更少攻击针对VMware优化的驱动程序更为稳定直接驱动程序模型更高的I/O吞吐量大型通用操作系统频繁添加补丁更多攻击通用的第三方驱动程序欠稳定间接驱动程序模型负载时I/O性能下降DriversDriversVirtualMachineVirtualMachineDriversVirtualMachine驱动程序驱动程序虚拟机虚拟机驱动程序虚拟机驱动程序驱动程序虚拟机驱动程序驱动程序虚拟机Dom0(Linux)或父级虚拟机(Windows)数据中心高级研修班第二章:虚拟化核心技术和安全安全实现瘦Hypervisor-ESXi•紧凑的100MB占用空间–更少补丁程序–更小的受攻击面•无需通用管理操作系统–服务器上不运行任意码–不易受常见威胁影响–唯一不受操作系统影响的专门针对虚拟化的设计ESXi数据中心高级研修班第二章:虚拟化核心技术和安全第二章:虚拟化核心技术和安全安全实现•平台安全强化•完善的内存保护功能–ASLR–随机确定核心内核模块在内存中的加载位置–NX/XD–将内存的可写区域标记为不可执行•内核完整性–数字签名–确保模块、驱动程序和应用程序在由VMkernel加载时的完整性和真实性–模块签名–使ESX具备识别模块、驱动程序或应用程序的提供者以及它