一、 存儲性能下降以及I/O瓶頸
讓IT管理員非常郁悶的是,存儲性能增長速度相比于計算能力的增長,其明顯要慢得多。對于虛擬化而言,I/O瓶頸和緩慢的存儲性能成為頭號難題。“虛擬化可以讓你在單個物理硬盤上進行頻繁的操作,但這會產生大量的I/O流,所以會加大了磁盤的工作工作負載,并且緩存越來越難對性能進行提升,”Taneja Group高級分析師Jeff Boles表示,“虛擬化能夠讓我們完成比實際計算能力更多的工作。”
二、 更復雜的數據備份和災難恢復
這方面最大的錯誤之一就是試圖使用傳統備份方法來保護虛擬基礎設施。對于傳統備份,從硬件上的虛擬機數量來看,降級和備份性能并不只是線性降級。你想在夜晚保護這些虛擬服務器,而這無疑將制造一場備份爭奪戰。而當你試圖在這一臺物理服務器上同時進行10個備份,服務器內部的內存、CPU、網絡和存儲將出現激烈爭斗。
使問題更加復雜的是工作負載遷移工具(例如VMware的Storage vMotion),這些工具可以讓用戶在共享存儲位置之間遷移虛擬機磁盤文件,必須保持與這些隨時可能遷移的虛擬服務器相關的備份的有效進行,這又可能陷入其他瓶頸,真是讓人頭痛的問題。
三、虛擬桌面的I/O困境
虛擬桌面I/O工作負載正在嚴重“折磨”硬盤陣列。現在恐怕只有入門者還在運行個人工作站的傳統I/O工作負載,而大部分IT部門都在運行成千上萬個虛擬桌面,且是在單個存儲平臺進行,這造成了極大的I/O 混亂。
“他們在磁盤的不同位置進行順序I/O操作,從陣列角度來看,這無疑使簡單易用的順序I/O模式變成了討厭的隨機I/O模式,”固態存儲陣列制造商WhipTail Technologies公司James Candelaria表示。
這對于傳統存儲陣列是個嚴重的問題,因為很多公司沒有足夠的緩存來處理涌入的數據,這就會出現緩存故障,減慢系統速度。
四、 難以管理共享存儲
企業通常有很多不同的工作負載存儲在存儲系統中,對于管理員而言,存儲卷、每卷支持的工作負載、對每卷的要求以及什么占用容量之間并不存在明確的關聯性。
五、存儲基礎設施需要同時適應物理和虛擬環境
與備份和恢復困境相似,很多管理員表示很難將其存儲基礎設施適應于傳統和虛擬混合環境。
六、 為虛擬服務器選擇正確的網絡存儲存在困難
“如果選擇正確的話,網絡存儲可以帶來很多好處,你可以獲得更好的性能,更簡化的流程,”Boles表示,但是選擇正確的解決方案在很大程度上取決于企業的目標。
在普渡大學克蘭納特管理學院,IT部門的首要任務不是虛擬環境的24*7可用性,而是更快的恢復時間,如果系統崩潰的話,IT經理Jeff Ellow表示。
在不造成巨大性能損失的情況下,虛擬化存儲密集型服務器需要一定水平的存儲性能,而這是SAN無法實現的。很明顯適合普渡大學的是10千兆的 iSCSI,但是成本是個很大的問題。普渡大學最終選擇了LSI 6Gbps SAS 交換技術,該技術提供了故障轉移SAN的優勢以及端到端本地SAS 6Gbps數據路徑的性能,更重要的是,成本也在他們可以接受的水平。
安全問題不可忽視
一、單點故障風險
要考慮服務器硬件性能是否滿足需求。在一臺物理服務器上部署承載企業IT應用的多個虛擬服務器時,要提前做好應對物理硬件發生故障的準備,否則不能及時恢復將給企業帶來災難性的后果。
因此我們推薦同時使用另一臺物理服務器做鏡像備份和冗余設置,雖然增加了虛擬化成本,但當故障發生時,備用服務器能立刻上線運行,有效避免了服務器物理損傷而導致的全盤虛擬服務器崩潰。這也是大部分企業所采用的方法,畢竟誰也保證不了物理服務器永遠恒定。同時,對供電系統,防雷電干擾,散熱系統等等包括自然災害的相關因素都必需考慮到。
當然最好為每一臺虛擬機映射一個獨立的物理磁盤分區,以便將其從邏輯上隔離,起到互不干擾的效果。尤其針對大型企業的服務器集群。當某一塊物理硬件出現故障,其對應的應用應該能及時從這臺機器上動態遷移到別的機器上。這需要通過VMware、微軟等虛擬化平臺軟件實現,保證了應用服務不會異常中斷,提供了高可靠性,減少損失。
二、潛在攻擊威脅
對于訪問者而言虛擬服務器和物理服務器沒有區別,同樣面臨被人惡意攻擊的風險,一旦一臺有漏洞的虛擬機被攻陷,安全威脅就可以透過網絡散布到其它的虛擬機器,威脅整個虛擬機管理系統。
解決辦法要依賴于管理員,大多安全隱患就存在于虛擬機系統補丁的落后。更新系統補丁、應用程序補丁在內的補丁的及時性,對所允許運行的服務、開放的端口等等都應進行審慎的考量,每臺虛擬機的安全策略也應當針對不同的作用而有所區別。保護物理服務器的穩定安全,是安全防范工作的重中之重,畢竟物理服務器是虛擬服務器的根本。
網絡構架對安全的防護也很重要,體現在各虛擬機的網絡獨立性。通過VLAN和不同的lP網段的方式可以實現對各虛擬機的邏輯隔離,有相互通信需求的虛擬服務器可采用VPN的方式來進行網絡連接,保護它們之間網絡傳輸的安全。此外,管理員還要有明確的監控手段,如果不能了解各個虛擬機之間聯系,你將面對一個失控的虛擬服務器網絡。
三、病毒侵害
關于病毒的防護,通常的做法是將每一個獨立的虛擬機單獨安裝殺毒軟件以及防木馬工具等。但其總體占用的系統資源對服務器而言也是很可怕的,只怕沒等病毒入侵,光憑眾多殺毒軟件所帶來的系統冗余就給你的系統拖得疲憊不堪了。
現在有個好方法,就是寄希望于虛擬化平臺廠商與殺毒軟件廠商合作,專門開發出用于虛擬化平臺整合的殺毒軟件,相當于為每一臺虛擬機設置一臺安全檢查設備,去過濾進出這些虛擬機的所有流量,于是虛擬機器就不需要安裝任何的軟件便能得到保護。只是目前還沒有此類平臺的相關消息,相信隨著服務器虛擬化的普及發展,一切都會有的。
四、虛擬機的數據安全保護
究其根本,虛擬機只是存儲在實體硬盤的幾個文件,一旦有人取得存取硬盤的權限,就能將這些文件復制到其它裝置,泄露出去。因此在權限管理上應提出更高的要求,對共享文件也應進行加密處理。
每臺虛擬服務器,都必需實施相應的備份策略,對配置文件、虛擬機文件及其中的重要數據都要進行備份。需要做完善的備份計劃,包括完整備份、增量備份或差量備份方式。此外,將數據和備份數據保存至其它服務器是行之有效的安全保護方法,但是這也增加了成本和管理復雜度。
不管是任何技術,有其優異的一面就會有限制性的一面。但是隨著技術的不斷進步和發展,很多虛擬化過程中出現問題都會有其解決方法。
京公網安備 11010502049343號