虚拟化技术自诞生之日起,即被IT业界广泛肯定,但在虚拟化被广泛认同并高呼虚拟化时代来临的今天,我们看到除了部分系统的集中使用外,仍然是“吆喝的响,卖的少”,人们疑虑集中在“鸡蛋与蓝子”的讨论上,也就是虚拟机的安全问题。
鸡蛋与篮子 虚拟普及的拦路石 虚拟化技术自诞生之日起,即被IT业界广泛肯定,但在虚拟化被广泛认同并高呼虚拟化时代来临的今天,我们看到除了部分系统的集中使用外,仍然是“吆喝的响,卖的少”,人们疑虑集中在“鸡蛋与蓝子”的讨论上,也就是虚拟机的安全问题。
安全问题其实自计算机诞生之日起就一直存在,比如数据安全、系统安全、应用安全、人文安全等等,而我们可以通过应用RAID、双机、负载均衡、安全策略等技术来改善安全环境,其中备份,系统分散冗余都是安全的重要措施。而虚拟化技术的出现,恰恰是系统集中部署于一个平台上,也就是多个鸡蛋在一个篮子里,大家难免把目光的焦点都集中在虚拟化技术与安全的对立面上,自然系统平台这个“蓝子”就表现得无比重要;那为什么不能把虚拟化技术与安全措施结合,使用户在大幅提高投资回报率的同时,得到更高的可靠性呢?
浪潮的研究发现,在系统安全的方面,大多数客户认为服务器的双机热备方案是一个最好的选择,对于建立一个稳定、可靠的信息系统是非常重要的。如果系统中没有什么重要应用,当然不用采用双机系统。如果应用停止五钟都会影响工作,那么双机热备就是必须的。其实许多客户认为每一个上线运转的应用都是非常重要的,有部署双机的需求,而传统的双机热备方案复杂的配置过程、昂贵的设备投资往往让客户望而却步,但是在此种情况下,客户之能忍痛割爱,舍而求其次。
浪潮虚拟双机,破解鸡蛋篮子难题 做为服务器业界领先厂商的浪潮,一直致力于虚拟化方案的研究和推广,安全问题自然也是困扰浪潮在该方向前进速度的一个制约因素,业界虚拟化技术的领先者亦都将解决解决虚拟机的安全问题作为一个主要课题;因此浪潮从系统厂商的角度出发,以研究客户的应用为基础,致力于利用虚拟化技术与系统应用策略的整合应用,使虚拟化技术成为安全的一个有效组成部分而非制约因素,来实现”利用虚拟化技术以最小化的成本实现客户应用安全最大化”的目标。为此浪潮选择在IDF大会上与大家一起分享这一业界领先的厂商级服务器系统虚拟化安全解决方案。
浪潮本次展示的方案是虚拟化技术结合双机热备技术的一个应用方案,简单而言,就是利用虚拟化技术在一台物理机器上创建多个虚拟机,与多个运转不同应用的物理机实现双机热备,从而达到一对多的系统安全热备方案,同时亦可实现对创建在不同物理机上的虚拟机之间的虚拟机热备方案。
图1 演示方案逻辑图本次展示的方案中,使用了一台配置6刀片的浪潮NX660D 刀片服务器作为物理机,分为三台一组,共计两组来分别运行windows与linux操作系统及应用;在两台浪潮四路服务器NF560D2 与NF520D2两台物理机上分别创建6个虚拟机,每台服务器中创建的三个虚拟机与NX660D刀片服务器中三个刀片进行一对一热备;通过外置的数据共享存储来实现业务的连续性;其他创建的虚拟机分别执行不同的任务,如图1所示。
其配置结构如图2所示,心跳线使用千兆网卡直接使用网线连接配置成私有网络。刀片和服务器通过网线连接到共享存储浪潮AS300上。
外网和内网同时监测的好处是避免了心跳线的单点故障,从而不会导致因心跳线故障而带来的误切换。当主机通过“心跳监测”一旦监测到主机出现故障时,备机将在线接管故障主机的所有工作包括在RAID 共享存储上的数据,不会中断正常的网络服务。共享存储自带RAID 控制器,能实现RAID0,1,5 等RAID 级别,用户可以选择适当的级别RAID 提高共享存储中数据的可用性和性能。
图2 方案配置图如图3所描述的那样,NF560D和NX660D 都通过网线与共享存储(浪潮 As300Storage)连接。在NX660D刀片服务器上,每一个刀片都安装了Windows server 2003系统作为物理主机运行主要的业务。在NF560D2上利用虚拟化技术在服务器上同时分出多个VPE(虚拟主机环境),每个VPE同样是运行Windows server 2003系统。同时将存储AS300中的一个LUN (LUN1)同时分给其中一个刀片,如Blade1 和 NF560D2上一个虚拟主机VPE1 ,这样做的目的是为了保证双机的存储数据共享。
图3 虚拟机互备示意图这里的双机热备份是刀片(NX660D)中的每个刀片为物理主机(Primary Server),另一台服务器(NF560D2)中的多个虚拟主机环境(VPE)作为备份机(Standby Server),在系统正常情况下,工作机为应用系统提供服务,备份机(VPE)监视工作机的运行情况(工作机同时也在检测备份机是否正常),当工作机出现异常,不能支持应用系统运营时,备份机(VM1)主动接管(Take Over)工作机的工作,继续支持关键应用服务,保证系统不间断的运行(Non-Stop)。
实现的功能: 服务器电源故障时,能实现自动切换
服务器的硬盘、CPU、RAM 发生故障时,实现自动切换
网络连接发生故障时(如网卡、网线故障),实现自动切换
操作系统、数据库或应用程序发生故障时,应能实现自动切换
提供手动切换功能,使系统管理员可以在主机负载过大时或其它适
当的时候,实现手动切换。
安全完成切换多次。
在这个演示方案中不但实现了Linux 系统下的虚拟双机技术,而且还有windows 下的虚拟双机技术。由于虚拟化技术的产生、发展,改变了传统的双机模式,不再需要两台对等的物理机做双机,可以采用虚拟化技术,用虚拟机跟物理机做双机,也可以很好的解决同类问题;采用虚拟机加物理机的方案,在某些系统资源过剩的环境下,可以充分利用这些空歇的资源,做到充分利用这些资源,这是虚拟化的一个益处所在。采用虚拟机跟物理机的双机方案,由于一台物理机器上可以安装多个虚拟机,不但充分利用了现有资源,而且从某种意义上来说降低了成本,并且也能达到实际环境的要求,做到最小成本的无间断服务。
虚拟双机 价值无限 浪潮虚拟双机方案,打破了安全与投资回报不可兼得的“鸡蛋篮子”悖论,具有极大的客户价值。
创新思路,将虚拟化技术与安全策略结合,充分发掘虚拟化技术在安全应用方面的价值点,迅速拿出应用解决方案,使客户的投资基本不增加的情况下,信息化应用系统安全性的到全面保障。
驱动价值,本方案与传统的双机方案不同的地方在于:传统的双机是在两台物理服务器之间进行双机配置,而本方案是在将多台物理主机与另外一台物理主机上运行的虚拟机进行双机配置,从而实现虚拟主机对物理主机的双机配置,大大节约客户硬件资源,还有浪潮虚拟双机部署维护十分简单,轻点鼠标就可完成。
这对于想提高现有系统的安全等级,又想节省投资的客户来说是个好消息,这个方案不需要改变现有的系统架构,更不需要系统迁移等高难度工作,较少投资,简单易行。
点评 虚拟化本身所具有的巨大价值,决定了其走入寻常客户只是时间问题。现在虚拟化“叫好不叫座”主要是客户的认知问题,虽然在07年包括在Intel在内中国厂商都在大力推广,但是由于缺乏解决方案及切身体验,客户“耳听为虚“,无法”眼见为实”,具有浓重的观望情绪。浪潮作为一个服务器厂商,大力推广虚拟化解决方案,进行客户体验活动,不仅切中问题要害,也符合其自身的企业定位,应该具有良好的前景。