服务器虚拟化使得在一台服务器上同时执行多个 *** 作系统、提供服务成为可能,优化了企业内部资源,节省成本。
服务器虚拟化不只是服务器与储存厂商提出具体的数据保护方案,现在,网络安全设备厂商也陆续推出虚拟化的相关产品。我们将告诉你在安全防护上该注意的所有事项。
服务器虚拟化是IT基础架构得以资源共享、共享的作法,也是未来机房的重要元素之一,然而,在整个环境移转的过程中,稍有不慎就会造成危害。今天我们将告诉告诉你虚拟化在安全防护上应注意的事项。
全面检查虚拟机器的安全性做法
服务器虚拟化是构成未来新一代企业机房的重要元素之一,由于硬件效能的突飞猛进,使得在一台服务器上同时执行多个 *** 作系统、提供服务成为可能。然而,在整个环境移转的过程中,有许多安全上的问题也会随之产生,稍有不慎就会造成危害,而影响到日常的营运。
许多人认为「虚拟化是实体环境的应用延伸,对于虚拟机器的安全防护只需要采用现有的做法管理即可……」,这个观点从某些方面来说是正确的,但实际上两者之间仍有着诸多差异之处,如果未能及时正视这些差异,就有可能因此产生安全问题。
网络架构因虚拟化而产生质变
网络架构是服务器虚拟化的过程中,变动最大的一环,也是最有可能产生安全问题的关键所在。尚未移转到虚拟化之前,企业可以在前端的防火墙设备上订立出多个隔离区,针对不同功能的服务器个别套用合适的存取规则进行管理,假使日后有服务器不幸遭到攻击,危害通常也仅局限在单一个DMZ区之内,不容易对于所有运作中的服务器都造成影响。
虚拟化之后,所有的虚拟机器很可能就集中连接到同一台虚拟交换器(如VMwareESX/ESXi,微软的Hyper-V),或者由「虚拟──实体」网卡之间的桥接(如VMware Server/Workstation,微软的Virtual Server/PC),与外部网络进行通讯。在这种架构之下,原本可以透过防火墙采取阻隔的防护就会消失不见,届时只要一台虚拟机器发生问题,安全威胁就可以透过网络散布到其它的虚拟机器。
要解决上述问题的最简单做法,就是在每一台虚拟机器上都安装防毒软件,以及其它种类的杀毒软件。不过如此一来,却又可能衍生出一些管理上的疑虑,例如应用程序与杀毒软件之间的兼容性问题即同样可能在虚拟机器的环境下发生。
此外,虚拟机器安装杀毒软件后的运作效能,也值得企业加以注意,过去在一台实体主机上安装防毒软件,几十MB的内存使用量不会是太大的问题,但是在虚拟化的环境下,多台虚拟机器累积下来,就可能占用到相当可观的硬件资源,因此需要寻求其它做法加以因应解决,才能做好虚拟平台上的安全控管。
3PAR公司在2007年12月10日正式发布了3cV产品,3cV是指3PAR InServ存储服务器、HP刀片系统c-Class和VMware架构的联合解决方案。三家公司联合构建的完整公用计算产品能帮助用户将服务器、存储和运营成本降低一半,同时获得更大的存储敏捷性。其中,3PAR的InServ存储服务器是公用存储平台,拥有虚拟域和精简技术,用于公用计算的高度虚拟化分级存储阵列。为了整合工作量并创建虚拟化IT架构的组织,使用3PAR InServ来降低存储容量、存储管理和SAN架构方面的成本;HP刀片系统c-Class架构适用于各种规模的数据中心,它能最小化能耗和空间要求;VMware架构是适用于行业标准服务器的虚拟化套件,提供高效率、高可用性和动态管理,帮助建立快速响应的数据中心。
3PAR公司亚太区总经理Allan Doehler认为,3cV使用户能够简便地管理和扩展服务器和存储环境,帮助用户降低成本,减少数据中心对自然环境的影响。
首先,3cV将存储和服务器的成本降低了50%。HP刀片系统c-Class和3PAR InServ存储服务器的模块化结构,加上VMware架构和3PAR精简配置对存储利用率的提升,帮助用户以较少的投入获得最大回报。用户因此可以将存储和服务器的总成本降低50%或更多。VMware架构和3PAR的精简复制技术还能提高存储可用度和容灾水平。
其次,3cV还将运营成本降低了50%,同时提高了业务的敏捷性。用户能随时根据需要来配置和改变服务器存储资源,通过VMware架构服务器的快速配置能力和VMware Vmotion与DRS的动态优化能力、HP虚拟连接和Insight Control管理软件、3PAR的快速配置和动态优化能力,用户可使用定制的存储服务,只需数分钟就能对物理服务器、虚拟主机和虚拟阵列进行配置和再配置。
另外,3cV还能降低对自然环境的影响,VMware架构的服务器整合功能可以节约70%的服务器占地面积,HP刀片系统能将服务器密度降低50%,同时节约30%的服务器用电,3PAR的InServ存储服务器能将容量密度提高一倍。(郭平)
1.本地搭建测试服务器-IIS如果读者现在正在设计网站,为了测试,要在自己的电脑上通过IP访问本地站点才能达到最佳的测试效果。因此会涉及安装IIS的相关内容。但是,Windows7系统默认是没有安装IIS管理工具的,需要调用IIS的安装程序进行安装。
(1)首先确认本地计算机是否安装IIS打开控制面板找到管理工具,如图4所示。确认管理工具列表里面没有IIS,然后进入IIS安装的步骤,如图5所示。1)首先,单击开始→控制面板。
2)在控制面板里找到并单击:程序和功能,如果你找不到的话,可以更改一个查看方式,如图6所示。3)打开后,会看到很多程序,这些都是系统安装的第三方程序,而要添加系统自带的功能程序,所以在左上角找到并单击:打开或关闭Windows功能,如图7所示。
4)系统会检索一会,很快就显示出来了,勾选就是系统已经打开的功能了,找到Internet信息服务,并在其前面的复选框打钩,这个钩是灰色的,是因为默认情况下Internet信息服务里面的功能并没有全部选择上的意思,当然,可以单击其前面的+号细看里面的各个子功能,如图8所示。5)单击“确定”按钮后,系统就会配置并添加该功能,如图9所示。6)完成之后是没有提示的,返回程序和功能界面。
下面来看看是否添加了该功能,如图10所示。
执行:开始→管理工具,找到Internet信息服务(IIS)管理器,就证明已经添加了该功能了。
配置IIS:
1)安装好了后,当然还要做些设置的,为了以后更方便使用,主要修改三个地方:
①网站名称。
②物理路径。
③端口。2)首先,我们打开IIS,如图11所示。边框的+号点开。找到:DefaultWebSite,单击右键。执行管理网站→高级设置,如图12所示。3)在高级设置里,网站名称和IP端口都是灰色的,无法更改。我们先来修改网站的物理路径吧,如图13所示。
4)选择好要设置的路径后,再确定,会返回上一层,如图14所示。5)现在再来修改网站名称,在DefaultWebSite处单击右键,选择:重命名。输入要用的名字,如图15所示。6)网站名称也可以是中文的,如图16所示。
7)最后,来修改IP地址和端口,先说明两点:
①网站的默认端口是:80,如果不是有特别要求的话,可以选择默认即可。
②IP地址,如果服务器是通过防火墙(或者路由器)直接发布到外网给客户访问的话,也是不用在这里设置IP地址都可以的。但我们现在是在内网测试,同事之间访问(即没有做商品映射)的,所以这里应该要设置一下IP地址。 *** 作,在网站名称那单击右键,选择:编辑绑定,如图17所示。8)然后选中并编辑(图18)。
9)编辑的内容不多,单击“全部未分配”右边的下拉三角形。并选择本地计算机的IP地址,在本例中为:1921680178,如图19所示。3.申请网站公网空间服务器给网站申请完地址和名称后,就需要为网站在网络上申请出相应的空间。网站是建立在网络服务器上的一组电脑文件,它需要占据一定的硬盘空间,这就是一个网站所需的网站空间。一般来说,一个企业网站的基本网页文件和网页大概需要100Mb空间,加上产品照片和各种介绍性页面,一般在500Mb以下。另外,企业需要存放反馈信息和备用文件的空间。所以企业网站总共需要500Mb~1000Mb的网站空间(即虚拟主机空间)。
想建立一个网站,就要选择适合自身条件的网站空间。目前主流的有4种网站空间选择形式。
1)购买个人服务器:服务器空间大小可根据需要增减服务器硬盘空间,然后选择好ISP商,将服务器接入Internet,将网页内容上传到服务器中,这样就可以访问网站了。服务器管理一般有两种办法,即服务器托管和专线接入维护。
2)租用专用服务器:就是建立一个专用的服务器,该服务器只为用户使用,用户有完全的管理权和控制权。中小企业用户适合于这种vps服务器,但个人用户一般不适合这种服务,因为其费用很高。
3)使用虚拟主机:这种技术的目的是让多个用户共用一个服务器,但是对于每一个用户而言,感觉不到其他用户的存在。在此情况下该服务器要为每一个用户建立一个域名、一个IP地址、一定大小的硬盘空间、各自独立的服务。这一技术参考了 *** 作系统中虚拟内存的思想,使得有限的资源可以满足较多的需求,且使需求各自独立,互不影响。由于这种方式中多个用户共同使用一个服务器,所以价格是租用专用服务器的十几分之一,而且可以让用户有很大的管理权和控制权。可以建立邮件系统的(数量上有限制)个人FTP、>
4)免费网站空间:这种服务是免费的。用户加入该ISP后,该ISP商会为用户提供相应的免费服务,不过权限会受到很大限制,很多 *** 作都不能够使用。
用户可以根据需要来选择正确的方式。如果想架构>
下面以阿里云为例讲解怎么购买网络主机空间。
在地址栏输入:>
选择好后可以看到服务器具体参数(图22、图23)。
确认购买此款主机,单击立即购买。进入网络付款的状态。网络付款方式可以选择支付宝和各家银行的网银等方式进行网站。
网站空间成功拿到以后,如何把文件传上去。让网页文件正确的显示在远程主机上。这个一般使用FTP上传方式实现。
4.使用FTP工具上传网页购买了虚拟主机后,可以从主机商那边获得主机空间的FTP地址、用户名和密码。通过FTP地址和密码,就可以开始上传网站了。FTP上传工具可使用FlashFXP工具。下载解压后并打开后,出现界面如图24所示:选择菜单上的“站点”->“站点管理器”,如图25所示:单击“新建站点”按钮,在新出的窗口输入网站名称,如输入“我的网站”,单击“确定”按钮,如图26所示。建立新站点后,下一步需要做的是输入“IP地址”“用户名称”“密码”,其他设置不需要填写,如图27所示,然后单击“连接”按钮。IP地址、用户名称、密码正确的话,就可以连接到网站空间了,参考如图28所示:
传送完毕后可以再浏览器上进行页面刷新,即可看到打开的页面或者进行内容更新的页面。
图4
图5
图6
图7
图8
图9
图10
图11
图12
图13
图14
图15
图16
图17
图18
图19
图20
图21
图22
图23
图24
图25
图26
图27
图28
0我觉得你的应用场景不需要使用虚拟化/容器技术。1Linux必须重装的场景我只遇到过一次,那次是服务器的root权限被攻破了,为保证安全马上下线重装系统。其余场景都是可以修好的。如果不会修,那么主机出问题了你同样要重装。
2docker不能安装windows;OpenStack在这种应用场景下完全没必要,而且你折腾OpenStack的时间可能要比你在虚拟机的时间还长。在虚拟化方面,我推荐用KVM,直接使用qemu命令行即可;容器可以选用docker。
3如何访问的问题……看题主不想需要问这种问题的啊。在云计算发展初期,虚拟桌面是典型的云计算应用,它能够在“云”中为用户提供远程的计算机桌面服务。服务提供者在数据中心服务器上运行用户所需的 *** 作系统和应用软件,然后用桌面显示协议将 *** 作系统桌面视图以图像的方式传送到用户端设备上。同时,服务器对用户端的输入进行处理,并随时更新桌面视图的内容。
虚拟桌面的应用具有很多优势。例如它能够提供随时随地访问的能力,支持多样化的接入设备选择,降低软硬件的管理和维护成本,强化用户的数据安全等,这使得虚拟桌面具有广阔的应用前景。
方法/步骤
主流桌面虚拟化技术方案:
用户对于类似虚拟桌面的体验并不陌生,其前身可以追溯到Microsoft在其 *** 作系统产品中提供的终端服务和远程桌面,但是它们在实际应用中存在着不足。例如之前的终端服务只能够对应用进行 *** 作,而远程桌面则不支持桌面的共享。虚拟化技术的发展使虚拟桌面获得了长足的发展,当前虚拟桌面解决方案主要分为VDI(Virtual Desktop Infrastructure)和SV(Session Virtualization)两大类。
基于VDI的虚拟桌面解决方案的原理是在服务器侧为每个用户准备其专用的虚拟机并在其中部署用户所需的 *** 作系统和各种应用,然后通过桌面显示协议将完整的虚拟机桌面交付给远程的用户,因此,这类解决方案的基础是服务器虚拟化。 服务器虚拟化主要有完全虚拟化和部分虚拟化两种方法:完全虚拟化能够为虚拟机中的 *** 作系统提供一个与物理硬件完全相同的虚拟硬件环境;部分虚拟化则需要在修改 *** 作系统后再将其部署进虚拟机中。 两种方法相比,部分虚拟化通常具有更好的性能,但是它对虚拟机中 *** 作系统的修改增加了开发难度并影响 *** 作系统兼容性,特别是Windows系列 *** 作系统是当前用户使用最为普遍的桌面 *** 作系统,而其闭源特性导致它很难部署在基于部分虚拟化技术的虚拟机中。 因此,基于VDI的虚拟桌面解决方案通常采用完全虚拟化技术构建用户专属的虚拟机,并在其上部署桌面版Windows用于提供服务,但也有部分方案对Linux桌面提供支持。
如何快速了解桌面虚拟化技术
3
基于SV的虚拟桌面解决方案原理是将应用软件统一安装在远程服务器上,用户通过和服务器建立的会话对服务器桌面及相关应用进行访问和 *** 作,而不同用户之间的会话是彼此隔离的。 这类解决方案是在 *** 作系统事件(例如键盘敲击、鼠标点击、视频显示更新等)层和应用软件层之间插入虚拟化层,从而削弱两个层次之间的紧耦合关系,使得应用的运行不再局限于本地 *** 作系统事件的驱使。其实,这种方式在早先的服务器版Windows中已有支持,但是在之前的应用中,用户环境被固定在特定服务器上,导致服务器不能够根据负载情况调整资源配给。另外,之前的应用场景主要是会话型业务,具有局限性,例如不支持双向语音、对视频传输支持较差等,而且服务器和用户端之间的通信具有不安全性。 因此,新型的基于SV的虚拟桌面解决方案主要是在Windows提供的终端服务能力的基础上对虚拟桌面的功能、性能、用户体验等方面进行改进。
如何快速了解桌面虚拟化技术
4
在用户体验、服务器性能要求、硬件资源占用、用户支持扩展性、方案实施复杂度、管理难度、桌面交付兼容性等方面的对比,SV比VDI的解决方案对比都是占优的。 采用基于VDI的解决方案,用户能够获得一个完整的桌面 *** 作系统环境,与传统的本地计算机的使用体验十分接近。在这类解决方案中,用户虚拟桌面能够实现性能和安全的隔离,并拥有服务器虚拟化技术带来的其他优势,但是这类解决方案需要在服务器侧部署服务器虚拟化及其管理软件,对计算和存储资源要求很高,成本高昂,部署和管理较为复杂,因此,基于VDI的虚拟桌面比较适用于对桌面功能需求完善及个性化要求很高的用户。 采用基于SV的解决方案,应用软件可以像传统方式一样安装和部署到服务器上,然后同时提供给多个用户使用,具有较低的资源需求,部署和管理非常简单,也可以和服务器虚拟化技术相结合,架构灵活,对计算和存储资源的要求很低,显著降低成本。但在系统个性化上较弱,依赖于管理员定制的应用程序。
5
成本和复杂性对比:VDI与SV
基于VDI的虚拟桌面解决方案需要为用户提供专属的虚拟机,并主要提供闭源Windows *** 作系统的桌面。因此,当前支撑VDI虚拟桌面的虚拟机普遍基于完全虚拟化技术,例如VMware的ESX虚拟机、Microsoft的Hyper-V虚拟机、RedHat集成在Linux内核之中的KVM虚拟机以及Citrix采用完全虚拟化的Xen虚拟机等。
基于SV的虚拟桌面解决方案直接利用Windows的多用户环境,使各用户能够同时在同一服务器上获得属于自己的应用。犹豫Windows本身属于闭源的 *** 作系统,在闭源的 *** 作系统之上将 *** 作系统虚拟化成多个相互隔离的 *** 作空间,技术难度较大,门槛很高,当前只有主流的Citrix、NComputing和Microsoft发布的产品可以在SV技术上获得较好的用户体验,其核心是对用于传输视图内容的桌面显示协议进行优化,降低资源消耗。
6
桌面显示协议:
桌面显示协议是影响虚拟桌面用户体验的关键,当前主流的显示协议包括HDX(Citrix)、PCoIP(Vmware)、UXP(NComputing)、RDP(Microsoft)、SPICE(Redhat)等,并被不同的厂商所支持。
传输带宽要求的高低直接影响了远程服务访问的流畅性。HDX采用具有极高处理性能和数据压缩比的压缩算法,极大地降低了对网络带宽的需求。图像展示体验反映了虚拟桌面视图的图像数据的组织形式和传输顺序。UXP采用了与HDX相同的数据压缩技术,但在算法上次于HDX,虽然压缩比没有HDX高,但其视觉体验上已经非常精细。PCoIP采用分层渐进的方式在用户侧显示桌面图像,即首先传送给用户一个完整但是比较模糊的图像,在此基础上逐步精化,相比其他厂商采用的分行扫描等方式,具有更好的视觉体验。
双向音频支持需要协议能够同时传输上下行的用户音频数据(例如语音聊天),而当前的PCoIP对于用户侧语音上传的支持尚存缺陷。视频播放是检测传输协议的重要指标之一,因为虚拟桌面视图内容以方式进行传输,所以视频播放时的每一帧画面在解码后都将转为从而导致数据量的剧增。为了避免网络拥塞,HDX、PCoIP与UXP采用压缩协议缩减数据规模但会造成较小的画面质量损失,而SPICE则能够感知用户端设备的处理能力,自适应地将视频解码工作放在用户端进行,依赖于瘦客户机或本地PC的性能,SPICE协议本身无法做视频压缩处理。
用户外设支持能够考查显示协议是否具备有效支持服务器侧与各类用户侧外设实现交互的能力,HDX和RDP对外设的支持比较齐备(例如支持串口、并口等设备),而UXP、PCoIP和SPICE当前只实现了对USB设备的支持。传输安全性是各个协议都很关注的问题,早期的RDP不支持传输加密,但在新的版本中有了改进。
桌面显示协议是各厂商产品竞争的焦点,其中,RDP、HDX与UXP拥有较长的研发历史,PCoIP和SPICE相对较新但也日渐成熟,特别是SPICE作为一个开源协议,在社区的推动下发展尤其迅速。
目前国内所有虚拟化桌面厂商都是基于免费开源的KVM服务器虚拟化技术基础上开发的,没有核心的技术,依赖于国外开源软件的技术,本质还是基于VDI的服务器虚拟化。
7
总结:
虚拟桌面技术已经比较成熟,不同厂商的产品各具特色:Citrix不断地追求用户体验的提升;NComputing是唯一提供软件、协议与云终端的整体解决方案,拥有极高的性价比;VMware具有先进的底层服务器虚拟化架构;Microsoft拥有在 *** 作系统领域的主导地位;Red Hat的开源策略使得其产品具有较低的成本。 当前尚没有哪家厂商的产品能够适用于所有应用场景,因此在应用和部署虚拟桌面解决方案时,必须结合实际需求选择合适的技术和产品,特别是对于一些特殊的用户外设,通常需要定制解决方案。
END
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)