主持人: 下面有请公司首席渠道系统顾问石峰先生,为我们带来题为虚拟化改变IT应用模式主题演讲。
石峰: 大家下午好!
我选了一个虚拟化安全性的幻灯片,大家如果有关其他的一些问题,等我把这个片子介绍完了也可以提出来,我给大家做一些虚拟化的安全性这方面有什么问题,以及跟现实结合起来,大家需要注意什么。
今天这个议题,先了解一下虚拟化环境和实际物理环境当中的一些体系结构的差异,比较一下两个体系结构差异之后的可信度,我们要相信什么东西,对什么东西进行一些优化和结合,最后会探讨一下Vmware虚拟化对硬件层次我们做的虚拟化需要考虑的一些安全方面的因素。我们怎么解决这个安全满足用户实际应用当中的要求。首先大家都是做IT的,现在能够发现到虚拟化现在实际上是一个非常热的潮流,因为不管是EMC的同事介绍存储虚拟化,网络虚拟化,其他应用方面的虚拟化,都有很多,当然Vmware是做X86平台上的虚拟化,为什么虚拟化很热呢?就是因为它的的确确给用户的应用带来了很多的效益。包括降低整个的应用成本,提高企业业务部署实施的灵活性,而且提高效率,节电降低成本,应用系统,改变、移动变得非常方便,虚拟化等于是继以前的网络、存储,等于又是一个新的亮点。
如果虚拟化的浪潮来了以后大家怎么应对它?所以说虚拟化对数据中心肯定会产生一些变化,因此大家一定会关心,特别是基于安全性这方面的考虑,包括还会有一些性能,是稳定性其他方面的一些考虑,因为这毕竟是一个新的东西,而且它会嫁接在你系统的硬件和操作系统之间,增加一个层次,自然会让大家产生一些担心,在安全性、稳定性、可靠性、性能这方面,所以这边我们就安全性这方面做一些探讨,了解一些在Vmware虚拟化技术这方面通过什么样的技术进行一些解决。
首先了解一下虚拟架构和物理架构的一些区别,以及这个平台系统对安全性的一些影响,以及你在何种程度上需要信任这个虚拟化平台,认为虚拟化平台确实能够满足企业应用的安全需求。
在传统物理环境下是怎么样的,是一个静态的体系结构,也就是说你的服务器、操作系统、应用软件系统,包括数据可能是一一对应,你不可能把硬件的操作系统,包括移动系统拆开了,但是这种结构是一种传统的结构,比较简单。两个系统之间进行隔离完全是通过硬件来实现。但是大家都知道这种环境由于是比较僵化的,所以说在平台资源利用率,以及业务部署和应用的灵活性方面都是比较差的。而且如果你要想管理你公用的存储网络设施,以及不同操作系统平台的情况下,难度非常大,没有统一的管理界面很难管理到计算中心所有的硬件体系结构,所以这个也是非常有限制。
但是在虚拟环境当中,在Vmware虚拟环境当中我们可以把很多的应用服务器转换成虚拟机,放在少量的,高性能的X86平台上做一个所谓服务器的整合,这样就变成了硬件和操作系统变成是一个1:N的对应关系了,而且每一个应用服务器之间是通过虚拟化管理平台,也就是所谓的虚拟化的核心程序进行隔离的,虚拟化的平台是嫁接在硬件和操作系统之间,等于把传统的操作系统和硬件紧耦合的东西打破了,增加一个层次变得比较复杂,通过这个平台的介入改变了传统硬件平台上比较僵化的结构,可以提高资源的利用率,可以提高将来应用服务器的移动性,提高整个IT架构的灵活性。同时管理起来更易于集中管理,包括对底下的硬件资源,对上面的主机资源各个方面进行统一的管理,也变得比较容易起来了。这是虚拟化和物理环境当中的差异。希望大家有一个了解。
物理环境和虚拟环境比较,安全性方面有什么不同,实际上不管是物理环境,还是虚拟环境,用户对安全性的要求肯定是一致的。所以我在建设一套系统的时候,它到底应该信任什么,相对来讲更信任什么,我们对用户来讲要对它整个的系统进行全面的安全评估,包括所有的硬件和软件,而且在评估的时候肯定我们都要存一个怀疑的态度,我先否定你,然后你证明你行,然后我再肯定你,通常是这种方式来做。
但是同传统的角度上来讲,大家都知道硬件相对来讲比软件更可靠,即使现在不管是什么安全威胁主要是通过操作系统,通过网络,通过应用这种角度来侵害你的系统。但是从硬件的角度上来走的话,现在来讲是非常少见的,因此相对来讲硬件环境是比较可靠的。用户通常将比较相信硬件,包括比如说我的网卡,这些东西相对来说是比较稳定安全的。大家通常来讲对硬件的相信程度要比上面的操作系统、应用系统软件、网络要好很多。
反过来看虚拟化做的是什么?实际上虚拟化最根本的就是把底层的硬件通过虚拟化管理软件做成一个虚拟的硬件结构,所以说虚拟化的任务就是要求我们做出来的虚拟硬件要跟物理硬件是类似,就是具有物理硬件相同的可靠性、安全性,这样才能保证用户应用系统最基本的安全要求。所以说这一点我们做出来的东西必须使用户相信,我们的产品在虚拟化管理程序,以及虚拟机方面有足够的安全性。
什么是虚拟化管理程序?它实际上是一个很精尖的内核程序,它等于是提供了一个硬件管理和硬件资源分配调度的一个根本的核心程序,实际上是假设在整个硬件服务器之上的,我们可以简单理解成为一个BIOS的延伸,它是操作系统和硬件的一个接口,而虚拟化的平台实际上是把BIOS的功能延伸了,我们把硬件管理起来了以后,对硬件资源进行虚拟化,通过虚拟化这个技术把硬件的资源动态的调配起来,提供给上面的虚拟机和虚拟操作系统来使用整个的硬件来优化它。
所以说Vmware的虚拟化软件,我们的核心组建就叫做ESXServer,核心的虚拟化的这个产品,这个产品包含了三个大的组成部分,一个叫做虚拟机监视器,第二,就是我们的核心叫做VMkernel,任何一个现代的操作系统都是以它来进行的硬件管理。第三就是我们的服务控制台,也就是管理界面。如果大家要是了解Vmware公司产品最新的进展情况,大家都知道,传统的ESXServer是包含这三个部分,但是我们新的产品,有一个叫做ESXServeri的产品的话,我们已经把服务控制台这个功能,已经从内核产品当中拿掉了,这种安全性、可靠性更高,因为我们的服务控制台实际上是嫁接在我们内核之上的一个BIOS的意思。它主要是用于管理,但是我们新的产品出来以后,我们可以把这个抛掉了。
Vmware的虚拟化层具有比较强大的功能,它的体系结构比较复杂,肯定会引入一些新的安全问题,Vmware怎么来解决引入的复杂度所带来潜在的一些安全风险,我们来简单介绍一下。VmwareESXServer,这个核心是做的非常的精悍,代码不超过50万行,它实际占用的存储空间只有32兆,加在内存当中,根据底下硬件驱动各个方面的资源不同,可能40兆到50兆内存的空间,代码不小意味着我这个东西很精悍,精悍我漏洞就少,漏洞少的话意味着我的安全性比较高,同样代码精悍,对整个系统的占用就低,导致性能就比较高,传统的OS是所有的都管,要管所有的硬件、用户、文件、系统、应用程序,所以很庞大,那么在稳定性、安全性等等一些方面负载会比较大一些。Vmware的核心,我们所谓的Vmware是自己完全写的一个内核程序,虽然它复核传统的Uinx和Linux这种语义规范,但是它的内核不是一般人理解的Linux内核改动的,实际上是Vmware自己写的一个东西,所以这个东西是Vmware的知识产权,这个东西来讲是比较封闭的,像一般的开源的东西容易被黑客侵犯,这是自己专有的东西。
另外我们的VMkernl本身,对的接口几乎完全是评比的,只是对Vmware的管理工具进行开放,包括网络的端口,通过各种途径切入它的方式已经降到了最低。另外一点每一个虚拟机运行在我们内核之上的虚拟机,跟它之间是实现完全的隔离,也就是说不管是用户还是黑客,他是想通过虚拟机切入到我们内核这条路的话,实际上我们已经堵死了。从内核的角度上来讲我们已经做到至少在业界当中来讲,我们的内核是最可靠的。
下面看一下硬件,硬件是用户比较信任的,我们在虚拟化平台当中对硬件是怎么来做的。首先我们所谓的VMM这个东西,就是虚拟机监视器,它完全模拟了一整台的一个物理硬件,也就是说物理硬件四大资源,处理器、内存、磁盘、网络,我们都通过这个VMM进行模拟,然后可以嫁接在我们内核之上,对整个这台机器进行统一安全性的管理,通过我们一些独特的技术,包括和硬件厂商配合起来的话,包括英特尔,AMD,可以实现在虚拟机达到非常高的安全性,在硬件层次上实现跟物理环境类似的安全性。
具体说明虚拟机监视器,它虽然是一个软件层,它虚拟是整个的一台物理的计算机,它每一个虚拟机十个以上的底层都有一个VMM,VMM它实际上虚拟了所有不仅包括刚才前面四个CPU、内存、存储和网络,包括主机的主版,都已经进行了虚拟化,所以这方面它做虚拟化以后,对上层的操作系统,对上层的应用软件来讲有它完全不知道它底层这台机器是一台虚拟机。
在处理器这方面也是,VMM可以给大家提供正常虚拟的CPU,在有些情况下我们还可以通过一些参数的设置,可以评比一些物理CPU的一些独特的东西,实现一些通用性,这样可以帮助虚拟机在不同的平台当中迁移的时候实现透明化,更加使虚拟架构的灵活性得到体现。
另外就是我们为了提高一些性能,并不是说所有的虚拟机上面应用CPU指令都需要通过我们虚拟化层转换,在非特权指令整个虚拟CPU指令代码是直接访问到物理CPU的,只有当一些特权指令,比如说对一些IO访问等等情况下才通过虚拟层进行转换。对于内容的虚拟化,每一台虚拟机的内存都通过我们的VMM和内核的配合,对于虚拟机来讲都是完全独立的,也就是说它内存的地址都是从零开始,而且一旦一个物理内存被划归所使用虚拟机的情况下,它整个的内存会轻零,以前其他的系统在使用过这些内存的数据,完全不会被新的使用虚拟机所看到。因此,不存在任何内容的泄露。所以内存的管理我们已经通过这种技术,保证它不会因为虚拟化带来一些潜在的威胁。
硬盘也是这样的,虽然说虚拟硬盘已经在磁盘存储上变成了一个文件,但是这个文件本身的情况下是完全对虚拟机的空间是隔离的,而且一旦这个磁盘空间,从一个虚拟机划分到另外一个虚拟机,Vmware我们的系统都会对这些磁盘空间,磁盘块都会写零,让它清空,这样不会在添加和删除的时候不会导致磁盘数据的泄露,所以在内存和硬盘这方面我们也做了一些类似于硬件方面得到的安全保证。
大家再看一下网络这方面Vmware是怎么做的,Vmware在自己的虚拟化层次当中有专门的虚拟化的网络,也就是说我们虚拟网卡实际上并不直接的和物理网卡是一一对应的,我们在物理网卡和虚拟网卡之间有我们一条虚拟的交换机,虚拟网卡是连接到我们某一个虚拟交换机上,而虚拟交换机是连接到具体的物理网卡,这样首先提供很大的灵活性,从这个图当中就可以看到,我们如果说虚拟机彼此之间要进行内部通讯的情况下,我们可以通过内部的虚拟交换机,不连接物理网卡,可以看到我们左边这三台物理虚拟机,我们可以通过一台虚拟交换机连接虚拟网络,然后通过物理网络进行对外访问,我们在一个物理环境当中通过防火墙的服务器,我们在一台物理机上就可以实现多台机器实现的安全的一个体系架构。可以得到通过我们的虚拟网络这种技术得到更高的一些安全措施。
Vmware的物理的网络和网卡,实际上在我们设计当中把安全性考虑的更多一些,因为往往安全的漏洞在网络上面比其他的硬件漏洞大得多,我们在虚拟网卡,虚拟交换机这方面的设置,有很多在物理环境当中不具备的一些条件,比如说我们可以禁止被虚拟机使用的混杂模式,大家都知道在物理网卡当中,往往我是一个广波的,或者是一个多波的环境来讲,每一个IP地址都会接收到相应的数据,而且要进行处理,这种处理有可能让一些黑客和木马病毒抓住机会深入到你这个系统当中,虚拟网卡我们完全禁止多波或者广波,只有单波的数据包才被我的虚拟网卡拿到,在虚拟网络这个层次来屏蔽掉这种所谓的多波和广波的信息,只跟我虚拟机进行通讯的数据包才进行连接,这是一种方式。另外我们可以禁止虚拟机客户操作系统,伪造IP地址来传送,比如说有一些黑客、病毒或者软件,它控制了一台虚拟机了以后,可能利用这台虚拟机通过改变自己的IP地址冒充其他的机器进行一些非法的活动,但是在物理环境当中可能需要一些其他的方式来阻止这种可能,但是在Vmware的虚拟化网络情况下,我们就具备这种选项,可以拒绝以别的IP地址来访问其他主机的这种行为。
第三点,我们也可以禁止改变地址,因为大家知道mac可以通过系统,或者通过一些应用软件对它进行改变,这种改变会导致其他漏洞的出现,所以在这几个方面Vmware都有一些相应的措施来防止这种现象的发生。
另外就是虚拟交换机,整个系统管理员包括用户,不用考虑虚拟的地址和现实当中的(英文)是不是有冲突,因为整个虚拟化的网络网卡,虚拟网卡的地址都是Vmware自己申请的,第一不会跟外接冲突,另外我们虚拟交换机对它自己的NSA的网卡都是了解的,因此我们可以针对具体每一个虚拟化的网卡进行一些相关安全的防范措施。另外虚拟网卡是支持标准的功能,可以实施相应的一些网络隔离,配合物理环境当中的情况,我们来做一些隔离。
最后一点,就是我们虚拟化网络都是在第二层的网络技术,不会对第三层以上的网包进行改动,所以大家不必担心。总而言之,Vmware通自己一些化的技术,特别是在网络方面给系统管理人提供比较强大的网络安全功能,可以大大消除由于虚拟化给带来的一些额外的一些安全的担心。真正要想了解虚拟化对安全性有最终的影响,首先要了解一下虚拟化到底是怎么做的,虚拟化能够提供什么样的安全防范措施,也要了解虚拟化它有了这个中间层,它会带来的一些潜在的收益和风险,因为这些由于时间原因我不可能细化去讨论,大家将来如果有兴趣,第一可以去参考一些Vmware我们关于安全方面的一些技术白皮书,有时间也可以在底下进行详细的讨论。另外一点在Vmware进行虚拟化系统的设计和实施的过程当中,我们也有很多的最佳做法,帮助用户解决一些可能潜在发展的一些安全问题。
所以说这样的话从结论上来讲,从本质上来讲虚拟架构并没有降低企业的安全性,而且在某种方面如果大家设计好的情况下完全是不输给在物理环境当中设计的整个系统架构。加上虚拟化本身带来很多商业的优势,在成本、管理以及这方面的好处,所以说虚拟化给大家带来了真正的优势、好处,实际上已经被很多业界的不管是用户还是技术人员,都已经认可了。当今Vmware已经成为信息化技术的领头羊,无论是技术的领先程度和市场占有率上都具有领先的优势,已经被广大的用户和业界所认可了。因此,Vmware大家都知道,这几年涨的也非常快,这也是大家对它认可的一个体现。
我今天就介绍这么简单。
提问: 一台上面跑了四个虚拟机,如果其中一个或者多个Vmware出现问题的时候对其他Vmware的影响,第二,如果我的ESXServer出现问题,比如说假死状态,在上面跑Vmware有什么影响?
石峰: 首先你说的虚拟机出现问题有什么,作为一个虚拟化平台最重要的一个特点,就是它的隔离性一定要做的非常好,也就是说任何一台虚拟机无论是它的虚拟硬件,操作系统还是它的应用数据出现任何问题的话,绝对不能影响任何其他虚拟机的运行,这一点刚才在前面介绍了,我们通过对CPU内存、硬盘以及网络隔离的技术,把已经能够保证任何一个虚拟机它自己出现问题的情况下不会影响其他的虚拟机。这是第一点。第二点,您讲的如果我ESXServer硬件服务器如果出现问题的情况会有什么样的解决方案,Vmware我们有自己的一个叫做HA的一个功能,这个HA的功能,我们现在可以监控到,如果一台ESXServer服务器当机,整个系统是架构在我们一个的架构当中,我们可以通过当中其他的ESXServer,把这台ESXServer上面的虚拟机重新启动,也就等于不用人工的干预,可以把这台ESXServer有三台虚拟机的话,可以动态在其他的ESXServer上面来启动,保证你中断的时间是最短的。这是一个。第二点,我们还可以监控每一个ESXServer虚拟机操作系统的运行状态,比如说你运行是一个Windows的操作系统,Windows操作系统出现蓝屏,死机我们可以监控得到,而且让这台虚拟机重新启动。只要系统管理员设置好了以后这些工作都可以做,所以在这方面我们现有的产品能够做到,第一,自动化的重新的启动你这台应用服务器,虚拟机就是几个文件,读取文件,启动这个文件的速度要比你硬件重新启动的速度要快很多。所以通常来讲我们的HA在重起这台机器所花费的时间要比物理环境所花费的时间要多。
提问: 刚才讲到ESXServer,我以前用过,我是把它架构在Windows上,我想了解一下ESXServer,比如说我买了一个硬件的服务器,我什么操作功能都没有,这个ESX怎么部署上去,跟Linux有什么样的关系?
石峰: 这是虚拟化的两大技术,刚才您谈到的是传统的,这个就是架构在一个数字操作系统之上的,这种产品只适用于一些小环境个人做一些开发、测试、演示,它通常来讲不能部署在企业生产环境当中的,架构在操作系统Windows和Linux本身就不是很稳定的系统,如果把整个应用系统架构在一个沙滩上的话,这个大厦肯定会不安全,因此像传统这种产品的话,无论是Vmware的,包括微软的,或者是其他类似的产品,真正应用在生产当中的就是ESXServer,就是基础架构,基础架构是什么意思呢?就是这个东西是直接装在硬件平台上的,就是一台服务器来了,什么都不装,先装Vmware的ESXServer,它是一个非常短小精悍的内核,只占32兆的磁盘空间,占到内存的话不超过50兆,非常短小精悍。我们就是把管理工作交给我们的集中管理平台就可以了,我们功能相对来讲是比较单一和简单,真正可以做到企业级的应用平台当中来。
因为大家都知道在真正一旦进入生产的情况下,用户想的是什么,性能是第一吗?不是第一,钱是第一吗?不是第一,第一是稳定可靠。也就是说一旦上了生产的东西绝对不能随时出现蓝屏,绝对运行一两个月以后性能下降,重新启动机器,这都是企业级应用绝对不能容忍的,所以一个内核和系统你要想上生产的话稳定性是第一位的,所谓Vmware在这方面做的是非常强的。我们现在美国一个很大的客户,大概用了一千多套系统,他最长的用了四年多,这台机器从来没有重新启动过一次,如果你要采用Windows、Linux系统完全是不可能想象的。Vmware我们现在所推广所有的虚拟化解决方案完全是基于虚拟架构这个东西,传统基于主机的这些东西,都是针对一些个人、中小的用户。包括我今天介绍的这些东西都是ESXServer。
提问: 我不知道在Vmware平台上,你们对客户的建议上,比如说我个人的,我装了一台Windows,拷贝一个文件装到另外一个文件上,这个对客户有什么建议?
石峰: 这个问题是非常好的,非常实际,从原则上来讲Vmware是对上层虚拟机的操作系统,是没有任何的要求,你必须符合上面的操作系统应用软件厂商的的规定,有些用户说了,比如说我有一台笔记本电脑,我买了以后,比如说IBM的笔记本电脑,上面就预装了WindowsXP,我要把这台电脑放到虚拟化平台上来,我面临着一个问题,这个问题Vmware是没有办法解决的,这个必须是微软来解决,这一点Vmware是无能为力的,但是有一点我可以跟你们介绍一下,现在随着虚拟化趋势越来越普及,原来软件厂商不仅仅是微软,包括其他一些操作系统厂商,包括上面的数据库等等很多硬件厂商,都开始针对虚拟化条件下的需求。比如拿微软举例子,微软Windows Server2003用的是很普遍的,那么微软的2003目前的政策是什么政策?是不是说你在Vmware的虚拟化平台上装几个Windows2003的虚拟机你就一定要买相应的多少个许可呢?看情况,不是这么回事儿。
如果说你在一台我们虚拟化硬件主机上,大家知道微软授权是一个许可对硬件授权的,这台服务器如果你买的是Windows Server2003的标准版,上面要用四个虚拟机,你要装四个Windows Server2003虚拟机的话,微软说对不起,你是非法的,你必须买四套才是合法的。但是你说不对,我买的不是(英文),我买的是企业版,一个企业版的许可它是合法装四台虚拟机的,如果你在这台硬件上装四个虚拟机,你只要买一个(英文)就可以装了,对于那些买版本的Windows Server2003的用户,你在这个硬件上装多少个虚拟机都是合法的。这就是微软目前的政策。所以如果您这边有什么需求是一定要去参考相应的软件厂商的许可证政策,保证你的许可是一个合法的。Vmware对此只能是提供一些信息给你们,Vmware是无能为力的。
提问: 咱们说的Vmware安装的时候是通过一个U盘去安装,这个是怎么搭建起来的,安装方式有没有其他的方式。
石峰: 刚才您看到的可能是我们的3I,是我们新出的一个产品,实际上这个3I,就是我们的一个内核,32兆的内核,这个东西我们在做β测试的时候,我们是通过分发给大家测试的时候,是这个东西可以捎带一个U盘上,这个服务器能够启动U盘就可以了,但是我们去年12月底我们把NAS这个产品,我们把这个产品分成两大类来做,一类是内嵌式的,这些东西主要是针对服务器厂商,戴尔、IBM、HP这些服务器厂商,我们把这个代码的内核的东西给他们,然后他们直接放在硬件的这里,不同的服务器可能嵌入的不同,启动以后可以选择Vmware的虚拟化可以启动这个虚拟平台,这是一种方式。另一种方式就是普通的用户直接去买,我就想买软件,这种情况我们叫做可安装的ESX3I,这个产品是一个可以下载的,大概是200多兆的软件包,这个软件包我们目前只支持安装在内置硬盘上,所以您刚才提到的U盘,我们是在进行β测试当时的一个做法,现在成为一个正确可卖产品的时候不是这样的。
如果你到戴尔、HP这些服务器厂商他们已经有相应的产品列表了,注释的这个产品是什么型号,可以找服务器厂商来相应的选购。大家对虚拟化,尤其是我们的产品非常的感兴趣,大家都希望装一装,测一测,但是大家不要忘了,这个产品的定位在哪里,我们定位是企业级应用,我们主要是支持服务器,不是支持台式机和笔记本电脑的。因此我们软件的产品主要支持的是符合英特尔服务器的,通常来讲笔记本电脑、台式机这种主版的芯片,包括硬盘和控制器,我们现在对这种盘的支持介质都不支持,我们现在只支持英特尔,以及这些服务器的千兆以太网卡。如果你要想试这个软件产品,一定要到Vmware的网站上面下载它的兼容性列表,一定要在这个列表之内我们才能完全支持。
提问: 我想了解一下Vmware的价格。 石峰: 价格这个东西其实Vmware的价格,你要真正到Vmware的网站上好多地方都可以看得到,Vmware我们内部有很严格的规定,作为技术人员,工程师是不能够任何的,我只能给大家介绍一下价格体系是什么样的,我们的ESXServer这个产品价格体系是什么样的,你到任何一个地方去买一个ESXServer没有这个产品,那么Vmware是怎么卖的呢?它是一个打包产品来卖的东西,也就是说我们我们会有四个产品包,第一个就是刚才我们提到的ESXServer3I,这个就是内核很小的一个东西。其他的我们叫做VI,有标准版,有基础版,企业版,三个档次,这三个档次都是包含了ESXServer,什么HA,DRS这些功能,根据把不同的功能打包以后分成三个类型你去购买,一个是跟硬件怎么匹配的?非常简单,你买一个许可,不管你买标准版,企业版,还是基础版,你只要买一个许可意味着你可以使两个物理CPU,你这台服务器是双CPU的一台服务器的话,你就买一套就行了,物理服务器我们是按照许可来卖,不是按内核来卖的,啊如果你是双核、四核依然都算两核。
提问: 上面跑多少虚拟机有限制吗? 石峰: 有两种限制,第一,我们目前一个ESXServer上,我们在理论上测试最终的结果是可以跑128台虚拟机,ESXServer软件的上限是128台,另外从硬件的角度上来讲,我们如果正常的情况下,跑的是Server版的操作系统,通常来讲一个CPU核的上限不要超过8台,如果你是一个双核的CPU,你有四个核,上面不要跑32台虚拟机,如果你跑的是台式机,跑XP,或者跑比较简单的台式机的操作,我们理论上限是每个核不要超过11个。
提问: 现在有一个对数据的安全问题,比如说我装一个虚拟机,可能某天这个需体及它崩掉了,怎么把这个数据快速的给恢复出来。
石峰: 这个问题非常好,其实虚拟化环境当中一个很大的优势,就是它恢复的速度要比物理环境快很多。虚拟环境最关键的一点它实际上是把一台物理机器给它数据化,原来一台机器从硬件到操作系统,到应用,到里面的数据是紧耦合在一起,比如说我想在一分钟之内,我想复制出来一模一样的一台机器很难。虚拟机从软件数据都是几个数据文件,如果有两个正常数据备份的情况下,可以把它从硬件开始都上面的数据都能够备份下来,而且我们虚拟机有这种技术,有快照的技术,可以把它保存起来,一旦虚拟机崩溃的情况下,你要想恢复这台虚拟机,无非就是把以前的快照拷贝过来就恢复了。虚拟机就是几个文件,把它拷到你的移动硬盘上随时带着走,这台机器死了拷贝过来就可以了。非常简单。
虚拟机比物理机好在哪里,就是它的备份和恢复的程度要好很多。虚拟机我们有两种方式,一种是按照整个的文件夹都给复制做备份,只要把这个文件夹都给拷贝过来,不仅是你的文件,你的整个操作系统,你应用软件的配置都是一样的。这个本身恢复是非常容易的,是非常容易的。但是你机器上必须要装Vmware的虚拟化平台。如果虚拟文件坏掉的情况下我们肯定有自己的一些工具来帮助你解决问题。
主持人:一下午时间我们听了六个演讲,虽然今天下午的论坛到此结束了,我们希望大家继续利用我们的网站和平台,我们的论坛继续延续我们这次论坛,延续我们的话题。最后大家以热烈的掌声感谢石峰老师带来精彩的演讲,我们的论坛到此结束。 (下午会议结束)
