让“篮子”更安全牢靠

　　实际上，用户在核心关键应用领域实施虚拟化的担忧主要来自两个方面：首先，在虚拟化系统上负载数据库，是否能达到核心关键应用的性能需求，这个前面已经有论述;其次，用户的担忧集中在“鸡蛋”和“篮子”的问题上，也就是虚拟化的安全可靠问题。因为虚拟化使得一个硬件平台上允许承载多个系统应用，好比多个鸡蛋集中到了一个篮子里，作为“蓝子”的硬件系统平台则无论在性能还是可靠性方面，都显得无比重要。

　　对此，2010年至强7500处理器面世时，英特尔就首次在X86平台上加入了小型机独有的20多条RAS特性(Reliability，Availability，Serviceability：可靠性、可用性、可维护性)，从而提供更好的数据一致性和系统可靠性支持。今年4月份推出的英特尔至强E7处理器家族，在至强7500基础上，又增加了一些新的RAS特性，以及包括加密加速新指令等在内的多项安全功能，帮助企业保护数据、应用和基础设施的安全性。这一系列RAS特性，使得至强E7服务器可以通过自动化的错误侦测、纠正与恢复机制，以及虚拟环境下在CPU和服务器之间进行动态负载分配的机制，来提高服务器的可靠性与数据安全性。如下图所示：

▲

　　在应用层面，VMware可以在局域网和广域网中实现虚拟机的自动故障切换，结合至强E7服务器的RAS特性，从而实现更高的可用性、容错和灾难恢复功能。比如，英特尔VT FlexMigration与VMware增强型VMotion相配合，提供企业级的实时迁移方案，可在英特尔X86架构服务器之间实现灵活的工作负载迁移。另外，通过VMware HA、VMware FT、VMware vCenter SRM等软件功能模块，进一步减少宕机、IT服务中断、数据丢失等现象的发生。

　　安全问题也一直是虚拟化、云计算应用所绕不开的，英特尔至强E7和VMwarevSphere 4.1采用了多种创新技术来应对。比如，英特尔VT技术通过将运行在共享基础架构上的工作负载实现“强度隔离”，从而保护数据与应用的一致性与私密性。VMware则把对虚拟机安全问题的研究方案集中在两个主要的vSphere组件上：VMsafe和vShield Zones。前者是一个应用程序通用接口组件，用于帮助第三方厂商创建虚拟化安全产品以更好地保护VMware ESX，而后者则是一个面向VMware管理员的安全工具。从本质上看，vShield Zones其实是一个用来保护虚拟机和分析虚拟网络流量的虚拟防火墙。

　　今天，vShield正在朝私有云端到端安全防护的方向发展，比如，其中vShield Edge用于保护虚拟数据中心的边缘，vShield App和Zones用于为内部各种应用建立安全分割，vShield Endpoint用于分流式反病毒处理，vShield Manager则用于集中式管理。

　　小结：未来云架构的基石

　　展望未来，IT正在向云架构转化，而无论是私有云、公有云或者是混合云，其基础都构建于虚拟化技术之上。与此同时，由于云架构往往需要在满足性能需求的同时，兼顾规模化运营的成本效益，因此云平台供应商会优先选择性价比高、且标准化的硬件平台，比如Google、Amazon等，都构建在经过虚拟化的X86服务器平台之上，以更灵活、更动态的方式为用户提供云服务。

　　从私有云角度来说，至强7500和至强E7的出现，将企业级x86服务器的性能、高可用、安全都提升到了一个新的层次，不仅可以取代传统昂贵的小型机，也可以通过虚拟化技术对各类应用进行整合，构建一个安全可靠、灵活扩展、经济高效的虚拟化数据中心。比如，以VMware为例，其VMware vCenter能管理的数据中心规模已经可以达到1000台x86物理主机和1万个虚拟机!