在數(shù)據(jù)中心中實(shí)施虛擬化將帶來(lái)新的安全性挑戰(zhàn)，從虛擬機(jī)蔓延問(wèn)題到管理程序漏洞不盡相同。但是，虛擬化還能夠通過(guò)配置管理和補(bǔ)丁程序升級(jí)的方式提供一些令人驚訝的安全性和合規(guī)性好處。有幾個(gè)工具在虛擬化環(huán)境中可以簡(jiǎn)化配置管理流程和補(bǔ)丁程序升級(jí)。

管理程序的配置管理流程

需關(guān)注的第一個(gè)方面是管理程序平臺(tái)本身。VMware本來(lái)就具有內(nèi)置在vSphere中被稱(chēng)為Host Profiles的顆粒配置管理功能，它可用于開(kāi)發(fā)ESX和EXSi管理程序服務(wù)器的模板。管理員們可以在vCenter控制臺(tái)內(nèi)配置一個(gè)ESX或ESXi的安全構(gòu)建，還可實(shí)現(xiàn)預(yù)留內(nèi)存、網(wǎng)絡(luò)控制以及本地安全設(shè)置等功能。一旦定義了安全構(gòu)建，就可使用Host Profiles掃描其他的系統(tǒng)，并與這個(gè)“黃金標(biāo)準(zhǔn)”進(jìn)行比較，從而生成對(duì)審核者有幫助的合規(guī)性報(bào)告。Host Profiles還可用于實(shí)現(xiàn)管理程序配置匹配標(biāo)準(zhǔn)的自動(dòng)化，從而大大簡(jiǎn)化了虛擬化管理員們更多費(fèi)時(shí)任務(wù)之一。

但是，使用Host Profiles有兩個(gè)重要的附加說(shuō)明。首先，Host Profiles只能配置ESX和ESXi的最新版本，它不支持目前眾多企業(yè)仍然使用的ESX和ESXi 3.x版的配置。其次，為了確實(shí)配置服務(wù)器，它們必須被置于“維護(hù)模式”，這就意味著應(yīng)用變更時(shí)在那個(gè)系統(tǒng)上的所有虛擬機(jī)都將遷移至其他主機(jī)。這可能是一個(gè)重要的操作，并需在定義的變更窗口內(nèi)進(jìn)行相關(guān)計(jì)劃。

虛擬機(jī)的配置管理流程

對(duì)于大多數(shù)的組織來(lái)說(shuō)，他們都花費(fèi)了相當(dāng)數(shù)量的時(shí)間和精力用于虛擬機(jī)的補(bǔ)丁程序升級(jí)和配置。幸運(yùn)的是，包括VMware vSphere、微軟Hyper-V以及Citrix Xen在內(nèi)的所有主流虛擬化平臺(tái)都提供了某種形式的虛擬機(jī)模板創(chuàng)建和部署能力。在VMware vSphere中，可使用一個(gè)非引導(dǎo)主鏡像模板來(lái)配置新虛擬機(jī)。有三種不同的創(chuàng)建模板方法：

1.“轉(zhuǎn)換現(xiàn)有虛擬機(jī)”涉及一個(gè)現(xiàn)有虛擬機(jī)，并將其轉(zhuǎn)換為非引導(dǎo)主鏡像的操作。

2.“克隆虛擬機(jī)至模板”涉及一個(gè)現(xiàn)有的虛擬機(jī)，但將使用的虛擬機(jī)副本作為非引導(dǎo)主鏡像。

3.“克隆現(xiàn)有模板”指復(fù)制現(xiàn)有的模板鏡像。

所有這些操作都可以進(jìn)行日志記錄，所以當(dāng)查看創(chuàng)建或克隆的模板日志時(shí)，安全和審核團(tuán)隊(duì)可以進(jìn)行跟蹤。

一旦你有了一個(gè)創(chuàng)建的模板，你可以使用該模板進(jìn)行三項(xiàng)操作：

1.“克隆模板”可以允許你制作模板副本。請(qǐng)注意，模板可進(jìn)行熱克隆或冷克隆，意即當(dāng)虛擬機(jī)啟動(dòng)運(yùn)行時(shí)（熱）或關(guān)閉（冷）時(shí)可執(zhí)行克隆操作。

2.“轉(zhuǎn)換至虛擬機(jī)”可用于更新補(bǔ)丁程序模板。一個(gè)模板必須轉(zhuǎn)換為虛擬機(jī)，虛擬機(jī)設(shè)置可改變，或者可打開(kāi)虛擬機(jī)升級(jí)補(bǔ)丁程序，然后你就可以再次進(jìn)行模板創(chuàng)建流程。

3.“從該模板部署虛擬機(jī)”是基于模板鏡像用于部署標(biāo)準(zhǔn)化虛擬機(jī)的功能。

微軟公司的系統(tǒng)中心虛擬機(jī)管理器（SCVMM）和Citrix XenCenter也有類(lèi)似的模板創(chuàng)建和管理工具。

虛擬化補(bǔ)丁程序管理

補(bǔ)丁程序升級(jí)是另外一個(gè)可在虛擬環(huán)境中簡(jiǎn)化的關(guān)鍵操作。管理程序需要用于下載和安裝補(bǔ)丁程序的專(zhuān)用工具，例如VMware vSphere 更新管理器（VUM）。對(duì)于虛擬機(jī)的補(bǔ)丁程序升級(jí)，可使用諸如Shavlik NetChk平臺(tái)的VUM或商用補(bǔ)丁程序升級(jí)工具來(lái)為運(yùn)行或脫機(jī)的虛擬機(jī)升級(jí)補(bǔ)丁程序，從而賦予管理員們更大的靈活性和粒度進(jìn)行補(bǔ)丁程序升級(jí)工作的安排和部署。

另外，一些企業(yè)建立傳統(tǒng)補(bǔ)丁程序升級(jí)平臺(tái)和使用諸如微軟公司W(wǎng)indows Server Update Services（WSUS）這樣的工具，作為虛擬化環(huán)境中的專(zhuān)用虛擬機(jī)。此舉通過(guò)對(duì)虛擬機(jī)使用專(zhuān)用補(bǔ)丁程序升級(jí)工具和允許更簡(jiǎn)單的分布式補(bǔ)丁程序升級(jí)提高了性能和整體補(bǔ)丁程序升級(jí)效率。

一個(gè)簡(jiǎn)單的配置和補(bǔ)丁程序管理流程使用模板和克隆，具體如下：

1.定義一個(gè)用于操作系統(tǒng)和應(yīng)用程序的健全配置標(biāo)準(zhǔn)（使用供應(yīng)商提供的指導(dǎo)、互聯(lián)網(wǎng)安全中心或其他）。

2.創(chuàng)建符合配置標(biāo)準(zhǔn)的虛擬機(jī)實(shí)例，然后將其轉(zhuǎn)換為模板。

3.使用VUM或其他補(bǔ)丁程序管理工具來(lái)為管理程序和虛擬機(jī)（在線或離線）升級(jí)補(bǔ)丁程序。確定對(duì)模板升級(jí)補(bǔ)丁程序，首先它通常需要將模板轉(zhuǎn)換為虛擬機(jī)，然后在升級(jí)補(bǔ)丁程序后將它們轉(zhuǎn)換回模板。

通過(guò)使用合適的工具和精心創(chuàng)建配置和升級(jí)虛擬系統(tǒng)的流程，管理員們可能會(huì)發(fā)現(xiàn)與補(bǔ)丁程序和配置管理相關(guān)的乏味任務(wù)少了幾許難以承受之重。