2008年虚拟化趋势

作者：金真


（1）：桌面虚拟化

  根据Forrester的调研结果，全球已经有23%的企业用户拥有了两年以上的虚拟化实施经验，到2009年，预计超过一半的企业会达到这样一个经验水平。Forrester的分析师Frank Gillett表示，今天，已经有24%的服务器进行了虚拟化，到2008年，这一比例会增加到45%。

    虚拟化在席卷数据中心之后，将加速向桌面端渗透。这一技术不仅有助于用户缩减硬件升级采购成本，通过服务器集中部署来简化管理，而且也能为用户提供定制化的虚拟PC。不过，虚拟化也面临一些挑战，特别是在一台服务器上跑了很多虚拟机之后，I/O性能问题已经成为一大瓶颈。相信一旦I/O问题得到较好的解决，虚拟化无论是对于后台服务器还是前端应用都有莫大的裨益。当然，要想在这两大领域得到更深入的发展，虚拟化的安全性也必须得到进一步增强。

[img]http://image4.it168.com/2008/8/6/64d3c2e7-842d-4ded-bc2c-1fe07e24a24c.jpg[/img]


下一步：桌面虚拟化

    目前，在桌面虚拟化方面已经有几种方法，而且这几种方法比较来看都差不多。值得注意的是，一旦你决定采用其中一种方法，以后就很难再转换到别的平台上去，所以企业用户在实施之前一定要谨慎。思杰（Citrix）桌面产品营销集团的高级经理Sumit Dhawan认为，人们之所以要进行桌面虚拟化，最重要的一点还是看重它能节省成本，这一因素甚至比在数据中心虚拟化时还要突出。

    一些桌面虚拟化厂商如思杰、VMware、Virtual Iron和惠普公司都为用户提供了不少的方案。它们在中央服务器上虚拟出大量的虚拟桌面提供给出成千上万的用户使用，也可以提供大量的虚拟应用软件，以SaaS的方式让用户使用。SUN公司现在也已经加入了这一阵营，可以让用户在VMware的基础上，部署Solaris、Linux和瘦客户机的桌面系统。

    但有一些早期用户认为，成功部署桌面虚拟化的关键并不在于你选择哪一家公司的技术，而是要做好前期测试，从一个小规模的部门开始，循序渐进、有计划地进行规划和实施。

    Pentair Water Pool and Spa是一家全球领先的水处理设备供应商，其高级系统工程师Tony Arnett已经针对公司内部不同的用户群，测试了一年多的虚拟桌面。他针对每一个目标用户群，都根据他们的需求，提供了定制化的虚拟机。因为会计部门所需要的应用软件，甚至Windows操作系统的版本，和销售部门或制造部门都是不一样的。

    Arnett在三台高可用服务器上安装了VMware的ESX hypervisor和Virtual Desktop Infrastructure 3，并利用其中的工具来创建和管理虚拟机。最终用户则通过一个无盘的终端显示设备—— Wyse公司的V10L 瘦客户机——来连接到VMware Connection Server上面去。Connection Server通过公司的身份管理系统 Microsoft Active Directory来对用户访问虚拟机的需求进行管理。

    Arnett发现，如果前面十个用户的自动化部署非常顺利，那么后面再为100个用户提供服务就很容易了。Arnett起初为IT部门的10个员工提供了虚拟桌面，进行了几周时间的测试，后来又让另外10个技术支持人员进行了试用，每次试用完，他都把虚拟桌面删除掉，以节省资源。后来他还让制造和销售部门进行了测试，但他还没有完全准备好让整个公司都转向虚拟桌面。他表示，“就目前为止，这些测试还都在受控范围之内，这些桌面也运行得比较好。”对于这家拥有1400名员工的公司来说，已经有几个部门可以永久性地迁移到虚拟桌面上来。

瘦客户机的灵活性

    在Cincinnati Bell电信公司，Jeff Harvey 也开始规划向虚拟瘦客户端转化，初期配置的虚拟桌面是800个用户，最终他认为会达到3300个用户。在未来两个季度里，他会为750名客服中心的员工配备SUN公司的Sun Ray 瘦客户机。

    这些用户以前使用的是安装Windows 2000的PC，但随着微软Windows 2000技术支持服务合同即将到期，该公司不得不考虑转向其他新的平台，除非为每个人都买一台新的电脑。Jeff Harvey 告诉记者，“我们没有选择。”于是Cincinnati Bell选择通过VMware Virtual Infrastructure 3来提供虚拟的桌面系统，然后利用SUN公司的Virtual Desktop Infrastructure 来把微软的终端服务转变成瘦客户机模式。

    这样做使得该公司还赢得到了灵活性。Harvey 说，“不同的部门有不同的需求。我们为什么一定要给他们配置相同的电脑呢？”

    通过SUN VDI，他可以让很多员工继续使用以前的应用软件，比如运行在Windows 2000 或2003上的Lotus Notes ，而无须迫使他们升级到更高的Windows XP版本。另一方面，软件测试人员则可以获得安装了Vista的虚拟机，这样他们在测试新软件时可以对Vista的兼容性进行验证。虽然现在Cincinnati Bell大多数员工都转向了Windows XP，但Harvey认为在未来会有一些Vista的用户。虚拟桌面给他提供了适应不同版本操作系统的灵活性。

    Arnett 和Harvey都认为虚拟桌面之所以能节省成本，其根源在于可以实现自动化的IT资源配置。而且由于软件是集中部署，非常容易升级、管理。

    据IDC的研究报告《Thin Computing ROI: The Untold Story》，瘦客户机本身的平均价格是300美元，但每个用户要为运行软件的服务器分摊200美元的成本（假设每台5000美元的服务器分给20个人使用）。也就是说，这样算下来，虚拟桌面的成本和一台新PC的价格没有多大差别，除非你从长期运营的角度来考虑。IDC认为，瘦客户机真正能实现节约的地方在于：配置和管理成本减少了93%，日常维护需求减少了72%。

    Harvey表示，低成本是Cincinnati Bell选择桌面虚拟化的一大重要因素。现在他还急需要解决的一大问题是怎么为那些高级用户如工程设计人员，提供更具客户化的定制桌面。他希望更多桌面虚拟化技术的出现可以帮助解决这个问题。

（2）：I/O虚拟化


    在数据中心，根据应用的不同，每台服务器可承载的虚拟机的保守数量大约是4-6个。对于有些应用，你甚至可以在一台服务器上运行7个以上的虚拟机，使服务器的利用率达到80%。但问题在于，这么多虚拟服务器会对硬件服务器的I/O性能产生很大的压力。而这也许还只是网络方面的流量，如果考虑到数据以块形式从其他应用或后端数据库进行加载，I/O瓶颈就更加突出。这无疑会导致CPU经常处于等待数据的闲置状态，与虚拟化提高服务器利用率的初衷背道而驰。

    针对这一问题的解决办法是对服务器I/O进行虚拟化。也就是说，把传统上固定、静态的I/O通道、HBA卡、网卡转化成动态的资源池——可以根据虚拟服务器的需要进行扩展和缩减。

[img]http://image4.it168.com/2008/8/6/f820e318-415e-4fce-8b0b-c218553a4d5a.jpg[/img]


    现在市场上已经出现了两种方案。Xsigo的做法是把I/O流量卸载到一个专门的设备上进行处理，但需要把服务器上标准的HBA卡和网卡换成Xsigo的专用卡，并购买Xsigo的设备，起始价高达3万美元。

    Xsigo的设备可以产生多达16个可用的I/O通道，满足FC、以太网络的数据传输需求，它还能对负载进行监控，为需要更多I/O的虚拟机分配更多的带宽。对I/O进行虚拟化可以在不同虚拟机的工作负载之间取得平衡，让I/O密集型应用和其他偶然需要大I/O流量的应用得以和平共处。这种方法还减少了数据中心里的网络线缆数量，让IT人员可以采购体积更小、更节能、网络端口更少的服务器。

    Oracle前任总裁Ray Lane是Xsigo的股东之一，他表示，对I/O进行虚拟化使得数据中心效率更高，让不同虚拟机的I/O需求实现平衡。“不具灵活性的架构会继续导致较低的资源利用率，浪费性能、空间和散热资源。”

    另一种对I/O进行虚拟化的方法是基于标准HBA或网卡进行的，且无须增加额外的设备。PCI-SIG 提出了SR-IOV 标准，可以为未来的网卡和HBA卡提供虚拟的高速万兆以太网（10-Gbps Ethernet）。

    一块非SR-IOV 标准的网卡会指派给一台虚拟机或一台物理服务器上的一组虚拟机来使用，代表的是一种固定的静态容量资源，比如说1 Gbps。而Neterion公司的符合SR-IOV 标准的X3100系列适配器则可以产生多达16个I/O通道，然后根据需求动态地分配给不同的虚拟机。

    “对于一个大型的数据库备份来说，1 Gbps 已经不够了，”Neterion CEO Dave Zabrowski表示，“我们正试图把需要的容量整合成一个单一的资源池。”在大多数情况下，这16个通道会同时服务多个虚拟机。

    VMware的ESX hypervisor已经包含Neterion 10-Gbps Xframe适配器的驱动，从而允许在ESX虚拟机和Neterion网卡之间进行分配流量。目前Neterion的产品已经在富士通、HP、IBM和SUN的服务器中得到采用。

与安全厂商合作

    VMware后来还公布了VMsafe API 接口，让第三方安全厂商可以借此构建产品来对hypervisor进行监控和保护，以使其免受类似威胁。目前已经有20家软件厂商在使用VMsafe API研发虚拟化安全产品。

    Apani Networks是其中一家，该公司正想办法让其原适用于企业内部网的EpiForce产品拓展到运行虚拟机的服务器上去。EpiForce可以对网络进行细分，并为每一个细分段设置不同等级的安全区域。通过检查用户权限，对虚拟机流出的敏感数据进行加密等，EpiForce还可以让虚拟机达到更高的安全水平。

    该公司技术总裁George Tehrani说，Apani 还在努力增强EpiForce的动态灵活性，以使虚拟机在创建时就能被分配到合适的安全区域中去。通过VMware VMsafe API，Apani可以让Virtual Infrastructure 3能够分配EpiForce安全策略，并和其他管理功能一起进行升级。“VMsafe统一了管理控制台，这样在管理虚拟机时，既省时间，也省成本。”据了解，过去是有一个Infrastructure 3控制台和一个安全控制台，而现在所有功能都只是通过Infrastructure 3来管理。

    Symantec的一位资深工程师Bruce McCorkendale也认为，VMware的安全API确实有意义。他正在使用VMsafe API 来将其产品拓展到虚拟机中去。他表示，构建安全产品来监控hypervisor使得安全软件厂商比入侵者拥有“更高级别的特权。”虽然在权限保护上，公司网络是相对有限的：任何担任管理员或通过欺骗手段获得这一权限的人都有机会进入。但Hypervisor则有些类似于瞭望塔中的哨兵：在有人看到他之前先发现对方。

[img]http://image4.it168.com/2008/8/6/1da38fdf-bae7-4988-8b70-2ab53a3186a4.jpg[/img]


可信计算

    XenSource的拥有者Citrix公司现在还没有跟VMsafe类似的计划，但它的hypervisor——Xen——包含了源自IBM虚拟化技术的安全特性。IBM研究中心推出了名叫sHype的hypervisor 安全套件，并把它贡献给了Xen开源社区；sHype会被嵌入到Xen和Citrix的产品中去。

    据介绍，一个装有sHype的hypervisor 知道哪些虚拟机是可信任的，可以和其他虚拟机分享数据，也知道哪些虚拟机是不可信任的。sHype监控虚拟机的各个组件，把他们正确的配置信息记录下来，就象“一个独特的指纹”一样，然后会监控发生的任何变化。只要这些配置保持一致，它就是一个可信任的资源。

    如果由于有人入侵或其他原因，导致一个正在运行的虚拟机突然产生了一个新的服务功能，sHype就会侦测到对配置信息的修改，并把它的状态标识为不可信任。相同的规则也可以用在客操作系统上，因为操作系统也是经常受入侵攻击的地方。

    “我们使用可信计算技术来测量处于运行过程中的各部分的完整性，”IBM研究中心高级经理Ron Perez说。Hypervisor会被告知哪些虚拟机在启动时，相互之间是可信任的，而且会继续监控它们，以确保这些虚拟机中的每一个都保持可信状态。

    在一个管理控制台中，sHype会用同一种颜色把那些可以相互通信的虚拟机标识出来。Perez说，“一个蓝色的虚拟机可以和另一个蓝色的机器进行通信，但它绝不可以和一个红色的机器进行通信。”这一方法能够在虚拟机之间提供非常强的安全隔离性。

受教了，谢谢虫子了。

02424327539沈阳基石电饼档全国批发供应电饼档厂家

*** 作者被禁止或删除 内容自动屏蔽 ***

虚拟的可用性和必要性在中国能否短期的推开。是决定技术好坏的标准。

好，顶了