分享:20個(gè)最基本的虛擬化技巧 |
發(fā)布時(shí)間: 2012/5/25 19:34:30 |
中國(guó)IDC評(píng)述網(wǎng)08月06日?qǐng)?bào)道:將數(shù)百個(gè)虛擬化技巧濃縮為20個(gè)本身就需要一些技巧,許多技巧從本質(zhì)上來(lái)講是通用的,每個(gè)虛擬化廠商都可以使用它們,但有些技巧只適用于VMware的產(chǎn)品,本文列舉的這20個(gè)技巧都是通過(guò)實(shí)踐后總結(jié)出來(lái)的。
1、為一次性系統(tǒng)使用虛擬機(jī)(VM)
VM是搭建蜜罐的最佳選擇,首先基于模板創(chuàng)建VM,然后實(shí)施隔離,這是研究生產(chǎn)系統(tǒng)所受威脅的最好方式,處理病毒或惡意軟件時(shí)禁用網(wǎng)絡(luò)接口,讓威脅停留在VM內(nèi),不影響其它系統(tǒng)(虛擬的或物理的),使用Windows VM時(shí),請(qǐng)關(guān)閉系統(tǒng)還原功能,確保文件被修改或破壞后,系統(tǒng)重啟時(shí)不會(huì)自動(dòng)進(jìn)行還原。
2、使用VM模板
虛擬機(jī)模板允許虛擬化管理員使用標(biāo)準(zhǔn)的操作系統(tǒng)鏡像快速部署新的虛擬機(jī),模板相當(dāng)于黃金鏡像,基于模板創(chuàng)建的虛擬機(jī)可以繼續(xù)安裝新的補(bǔ)丁,新的虛擬機(jī)可以再次轉(zhuǎn)換成模板。
3、VM宿主主機(jī)要求
虛擬主機(jī)必須使用64位多處理器,為VM準(zhǔn)備充足的RAM和磁盤空間,千兆網(wǎng)絡(luò)接口也是必需的,最好使用多網(wǎng)絡(luò)接口,為備份和虛擬機(jī)通信使用獨(dú)立的接口,大多數(shù)服務(wù)器都能滿足這些要求,如果使用舊服務(wù)器,確保處理器是64位,并且支持多處理器,RAM最小要能擴(kuò)容到8GB,8GB被認(rèn)為是構(gòu)建一個(gè)VM宿主主機(jī)的最低內(nèi)存限度。
4、密集配置虛擬磁盤
配置一個(gè)新的VM或?yàn)閂M創(chuàng)建一個(gè)新磁盤時(shí),如果虛擬化很重要或磁盤內(nèi)容經(jīng)常變化時(shí),使用密集配置,采用靜態(tài)的方法給虛擬磁盤分配空間,如果你創(chuàng)建一個(gè)30GB的虛擬磁盤,它就會(huì)占用30GB的存儲(chǔ)空間,與密集配置相對(duì)的是精簡(jiǎn)配置,即可以動(dòng)態(tài)擴(kuò)展虛擬磁盤大小,如果使用精簡(jiǎn)配置,創(chuàng)建虛擬磁盤時(shí)只占用最小空間,然后根據(jù)數(shù)據(jù)增長(zhǎng)的需要自動(dòng)擴(kuò)大,精簡(jiǎn)配置可以節(jié)省磁盤空間,但性能卻不好。因此,使用密集配置還是精簡(jiǎn)配置的原則是:如果你的虛擬磁盤需要最理想的性能,或數(shù)據(jù)寫入較頻繁,建議使用密集配置。
5、分散負(fù)擔(dān)較重的工作負(fù)載的磁盤鏡像
如果VM遭遇性能問(wèn)題,應(yīng)該將它們的磁盤鏡像隔離到不同的存儲(chǔ)位置,例如,數(shù)據(jù)庫(kù)如果和操作系統(tǒng)使用同一個(gè)虛擬磁盤就會(huì)有問(wèn)題,數(shù)據(jù)庫(kù)數(shù)據(jù)文件放在同一LUN的第二個(gè)磁盤上,日志文件放在同一LUN的第三個(gè)磁盤上,將操作系統(tǒng)虛擬磁盤放在不同的LUN上,將日志虛擬磁盤轉(zhuǎn)移到不包含其它操作系統(tǒng)或其它數(shù)據(jù)文件的LUN上,VM的性能將會(huì)顯著提高。
6、遵循物理機(jī)安全規(guī)則
虛擬機(jī)并不比物理機(jī)安全,因此應(yīng)該和物理機(jī)一樣,給虛擬機(jī)打補(bǔ)丁,服務(wù)包,更新和執(zhí)行保護(hù),在虛擬環(huán)境中,仍然需要防病毒軟件,反間諜軟件和防火墻,刪除或禁用未使用的服務(wù),只允許使用安全的協(xié)議進(jìn)出系統(tǒng),如果可能,最好使用所有服務(wù)的安全版本,如使用SSH,SCP,SFTP和HTTPS代替不安全的Telnet,RCP,F(xiàn)TP和HTTP。
7、盡可能使用SAN存儲(chǔ)
大型虛擬化不能沒(méi)有SAN存儲(chǔ),SAN通過(guò)主機(jī)總線適配器(HBA),光纖電纜和SAN交換機(jī)連接到你的系統(tǒng),它提供了快速的磁盤訪問(wèn)能力,適合數(shù)據(jù)庫(kù),日志和其它寫密集型應(yīng)用,SCSI磁盤性能比SATA磁盤要好,但價(jià)格也更貴,通常會(huì)同時(shí)使用,但針對(duì)不同需求,基于SCSI的SAN和基于SATA的SAN都會(huì)優(yōu)先于本地磁盤存儲(chǔ),因?yàn)樗鼈兪褂秒p光纖通道配置,可支持多種RAID,可以最大限度避免單點(diǎn)故障。
8、P2V轉(zhuǎn)換和服務(wù)可用性
將一個(gè)運(yùn)行中的物理系統(tǒng)轉(zhuǎn)換成虛擬機(jī)時(shí),禁用物理系統(tǒng)上的所有服務(wù)將會(huì)對(duì)文件系統(tǒng)的內(nèi)容產(chǎn)生巨大變化,數(shù)據(jù)庫(kù),主要服務(wù)和日志寫入文件系統(tǒng)會(huì)一直進(jìn)行,因此虛擬機(jī)和物理機(jī)會(huì)不一致,在轉(zhuǎn)換期間出現(xiàn)差異很正常,但必須保持在最低限度,如果你使用一個(gè)可引導(dǎo)盤將物理機(jī)轉(zhuǎn)換成虛擬機(jī),物理機(jī)的操作系統(tǒng)時(shí)靜態(tài)的,在轉(zhuǎn)換前不需要禁用任何服務(wù),這個(gè)方法速度快,效率高,但在轉(zhuǎn)換期間VM將不可用。
9、在VMware ESX/vSphere中,使用VMXNET 2型和3型網(wǎng)絡(luò)適配器
創(chuàng)建一個(gè)新的Windows VM或執(zhí)行物理到虛擬機(jī)轉(zhuǎn)換(P2V)時(shí),新VM的網(wǎng)絡(luò)接口驅(qū)動(dòng)將顯示為Flexible,AMDPCNET或E1000,除非VM的操作系統(tǒng)很老(Windows NT,Windows2000,Windows9x),或有其它不得已的理由要使用這些驅(qū)動(dòng),否則應(yīng)該將驅(qū)動(dòng)改為VMXNET2或VMXNET3,要切換到VMXNET驅(qū)動(dòng),需要移除現(xiàn)有網(wǎng)絡(luò)接口,使用新的接口代替,VMXNET2和VMXNET3驅(qū)動(dòng)將可以和物理副本匹敵,首先要從VM移除舊的驅(qū)動(dòng),步驟如下:
(1)打開命令提示符,執(zhí)行下面的命令
SETDEVMGR_SHOW_NONPRESENT_DEVICES=1.
(2)再執(zhí)行
DEVMGMT.MSC.
(3)點(diǎn)擊“查看”*“顯示隱藏設(shè)備”,向下滾動(dòng)到“網(wǎng)絡(luò)適配器”,刪除顯示為灰色的設(shè)備。
10、SAN格式
為你的VM格式化SAN時(shí),使用最大的塊大小,以匹配LUN上已經(jīng)存在的最大虛擬磁盤文件,VMFS-3,VMFS的最新版本,對(duì)應(yīng)Linuxext3文件系統(tǒng),它們具有相同的功能和限制,VMFS-3單個(gè)文件最大大小是2TB,下面是VMware給出的塊大小和文件大小對(duì)比數(shù)據(jù)。
如果塊大小沒(méi)有選擇正確,文件系統(tǒng)會(huì)限制LUN上單個(gè)文件的最大大小,例如,一個(gè)300GB虛擬磁盤文件不能存在于塊大小為1MB的LUN上,會(huì)顯示空間不足的錯(cuò)誤消息,但事實(shí)上空間是足夠的,當(dāng)LUN以正確的塊大小格式化后,必須刪除數(shù)據(jù)再重新創(chuàng)建,LUN上的所有數(shù)據(jù)都將被銷毀。
11、模擬物理網(wǎng)絡(luò)設(shè)計(jì)虛擬網(wǎng)絡(luò)
從物理基礎(chǔ)設(shè)施遷移到虛擬基礎(chǔ)設(shè)施時(shí),虛擬環(huán)境的設(shè)計(jì)和布局應(yīng)模仿物理做法,企業(yè)級(jí)虛擬化軟件允許創(chuàng)建虛擬交換機(jī),虛擬局域網(wǎng)(VLANS)和私有網(wǎng)絡(luò)可以協(xié)助遷移,分析物理和邏輯網(wǎng)絡(luò)圖,復(fù)制所有通道和通信流。
12、安裝虛擬化工具/增強(qiáng)/客戶機(jī)插件
客戶機(jī)插件包括提高客戶機(jī)(VM)性能,鼠標(biāo)指針集成,顯示驅(qū)動(dòng)和客戶機(jī)到宿主主機(jī)的時(shí)間同步工具,客戶機(jī)增強(qiáng)存在于大多數(shù)現(xiàn)代操作系統(tǒng)中,這些工具不是必需的,但前端(控制臺(tái))VM性能和VM之間的可用性在有和沒(méi)有客戶機(jī)增強(qiáng)時(shí)是有很大差別的。
13、關(guān)閉VM屏保
虛擬機(jī)不需要屏幕保護(hù)程序,屏幕保護(hù)程序會(huì)消耗系統(tǒng)資源,因此要么關(guān)閉VM的屏保要么直接將它們卸載掉。
14、為宿主主機(jī)硬件安裝最新的BIOS
定期到制造商網(wǎng)站檢查系統(tǒng)BIOS更新,確保宿主主機(jī)硬件使用最新的BIOS,一般來(lái)說(shuō),BIOS更新很少,因此更新BIOS造成的停機(jī)時(shí)間也很短,BIOS更新一般會(huì)提供新功能,如虛擬化支持,支持新的設(shè)備和改善性能,但需要注意的是,在更新BIOS前記得用更新工具備份當(dāng)前的BIOS,不正確的更新或更新失敗會(huì)導(dǎo)致系統(tǒng)不可用,這時(shí)只能清除BIOS然后重裝。
15、為服務(wù)器到服務(wù)器通信創(chuàng)建專用網(wǎng)絡(luò)
創(chuàng)建一個(gè)專用網(wǎng)絡(luò)用于VM之間的通信,這種通信更快速和安全,對(duì)多層應(yīng)用程序而來(lái)這是完美的解決辦法,最終用戶很少直接訪問(wèn)后端數(shù)據(jù)庫(kù),因此這個(gè)方法是隔離數(shù)據(jù)庫(kù)的最佳方案。
16、如果可能,使用分區(qū)
使用分區(qū)提供更好的靈活性和性能,更好地使用資源,分區(qū)不需要特殊的硬件,Linux系統(tǒng)需要新的Open VZ內(nèi)核開啟真實(shí)分區(qū),在功能上類似于分區(qū),chroot jails提供了一個(gè)更簡(jiǎn)單,低侵入性的選擇,也就是所謂的操作系統(tǒng)級(jí)虛擬化,分區(qū)隔離用戶空間實(shí)例,應(yīng)用程序運(yùn)行在共享內(nèi)核環(huán)境中,應(yīng)用程序行為好像它運(yùn)行在一個(gè)專用系統(tǒng)上一樣。
17、保持主機(jī)系統(tǒng)應(yīng)用了最新的補(bǔ)丁
確保VM打上最新補(bǔ)丁和更新,大部分虛擬系統(tǒng)的威脅發(fā)生在宿主主機(jī)一級(jí),黑客的首要目標(biāo)就是那些未打補(bǔ)丁的宿主主機(jī),因此讓你的主機(jī)系統(tǒng)保持定期更新很重要,一旦宿主主機(jī)遭到入侵,就意味著它托管的VM也赤裸裸地暴露在黑客面前。
18、在發(fā)生重大變化之前快照或克隆VM
任何事物總是會(huì)不斷發(fā)生變化的,VM也不例外,但和物理系統(tǒng)比起來(lái),VM在應(yīng)對(duì)變化方面有許多優(yōu)勢(shì),在對(duì)VM做出任何重大改變之前,可以通過(guò)快照或克隆保存VM當(dāng)前的狀態(tài),在大型環(huán)境中不是所有VM都需要這么做,但對(duì)那些關(guān)鍵VM,這種方法可以替代標(biāo)準(zhǔn)備份,好處是恢復(fù)起來(lái)也比標(biāo)準(zhǔn)恢復(fù)要快。傳統(tǒng)的克隆方法是關(guān)閉VM,將包含VM的整個(gè)目錄簡(jiǎn)單地復(fù)制一份,例如:
#cp-RpUbuntu_10.04SUbuntu_10.04S_Backup
這個(gè)命令復(fù)制整個(gè)Ubuntu_10.04目錄及它下面的內(nèi)容,并保留原始權(quán)限,因此可以精確地恢復(fù)VM到原始的狀態(tài)。
19、移除VM時(shí)移除VM磁盤鏡像
刪除不必要的VM時(shí),如果沒(méi)有刪除虛擬磁盤鏡像,將會(huì)出現(xiàn)很多孤兒虛擬磁盤文件,磁盤空間將會(huì)出現(xiàn)混亂,從這里下載一個(gè)VMware Powershell腳本定期掃描孤兒虛擬磁盤文件。
20、客戶機(jī)和宿主主機(jī)時(shí)間同步
時(shí)間同步,時(shí)間偏移和網(wǎng)絡(luò)時(shí)間是系統(tǒng)和虛擬管理員最頭痛的問(wèn)題,網(wǎng)絡(luò)時(shí)間協(xié)議(NTP)通過(guò)第三方獨(dú)立源解決了系統(tǒng)時(shí)間同步問(wèn)題,客戶機(jī)和宿主主機(jī)同步的方式很多,如安裝允許時(shí)間同步的客戶機(jī)插件(點(diǎn)擊“安裝虛擬化工具*增強(qiáng)*客戶機(jī)插件”),但同步也可以在客戶機(jī)操作系統(tǒng)級(jí)執(zhí)行,下面的例子顯示了如何執(zhí)行客戶機(jī)(Linux)到宿主主機(jī)(Xen)同步。
#echo0>/proc/sys/xen/independent_wallclock
修改/etc/sysctl.conf文件,添加下面的內(nèi)容:
xen.independent_wallclock=0
此外,已經(jīng)安裝VMware客戶機(jī)工具的VMware客戶機(jī)就具有時(shí)間同步選項(xiàng)了。 本文出自:億恩科技【1tcdy.com】 服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |