Виртуализация. 10 самых популярных советов по виртуализации
По мере совершенствования виртуализации как технологии, совершенствуются и рекомендации по ее применению. Если ваша виртуальная инфраструктура не справляется с задачами, проверьте, следует ли она советам из этого списка.
Уэс Миллер
Виртуализация превратилась из технологии для лабораторных тестовых сред в обыденный компонент центров данных и инфраструктур виртуальных рабочих столов. В процессе этого, виртуализация порой получала индульгенции и избегала применения к виртуальным развертываниям тех же стандартов эффективности ИТ-методик, которые применяются к настоящим компьютерам. Это неправильно.
Если б ваш бюджет был неограничен, разрешили бы вы каждому сотруднику своей организации заказать новый компьютер, а то и два и подключить все это к сети? Вероятно нет. Когда виртуализация впервые вышла на сцену, ее неограниченное и неуправляемое распространение сдерживалось тем, что приложения низкоуровневых оболочек требовали реальных затрат. Это предоставляло определенную защиту от неконтролируемых виртуальных машин в инфраструктурах. Теперь это не так.
Уже доступны несколько бесплатных технологий низкоуровневых оболочек, как для оболочек первого, так и второго типа. Любой сотрудник, у которого есть установочный носитель Windows и немного свободного времени, может теперь добавить к сети новую систему. Когда виртуальные машины развертываются без уведомления об этом соответствующих членов коллектива, новые системы могут стать настоящей приманкой для новых уязвимостей нулевого дня, а вслед за ними могут быть выведены из строя и другие системы в сети, имеющие ключевое значение для бизнеса.
Виртуальные системы не следует недооценивать или принимать как должное. К виртуальным инфраструктурам необходимо применять те же рекомендации, что и к физическим. В этой статье мы изложим 10 ключевых советов, которые всегда следует помнить при работе с виртуальными системами.
1. Осознавайте как преимущества, так и недостатки виртуализации
Увы, виртуализация сейчас стала решением для всех проблем. Для ускорения восстановления систем, виртуализуйте их. Чтобы модернизировать старые серверы, виртуализуйте их. Конечно, виртуализация может и должна играть немало ролей. Но перед переносом всех старых физических систем в виртуальные системы или развертыванием нового парка виртуализованных серверов для определенной рабочей нагрузки, следует убедиться в своем понимании реалий и ограничений виртуализации, в плане использования ЦПУ, памяти и дискового пространства.
Например, сколько виртуальных компьютеров можно разместить на конкретном физическом носителе и сколько процессоров или ядер, ОЗУ и дискового пространства будет занимать каждый из них? Учтены ли требования хранения – отдельное хранение системы, данных и журнала, как это было бы сделано в случае физического сервера SQL? Также необходимо принимать в расчет резервное копирование с восстановлением, а также отработку отказа. На деле, технологии отработки отказа для виртуальных систем во многом настолько же эффективны и гибки, как и отработка отказа для физических систем, возможно даже в большей мере. Реально это зависит от оборудования размещающей системы, дискового пространства и, в наибольшей степени, от используемой технологии низкоуровневой оболочки.
2. Помните, что узкие места производительности различаются у различных ролей системы
Точно так же, как и в случае с физическими серверами, при развертывании виртуальных систем необходимо учитывать, какую роль будет играть каждая из них. При создании серверов, в качестве серверов SQL, Exchange или IIS, используемые, в каждом из этих случаев, конфигурации не будут идентичны. Требования к ЦПУ, пространству на диске и хранению радикально отличаются. При определении конфигураций для виртуальных систем необходимо использовать тот же подход, что и при развертывании физических систем. В случае виртуальных гостевых компьютеров это означает, что стоит уделить время анализу имеющихся вариантов серверов и хранилищ, чтобы избежать перегрузки физического носителя слишком большим их числом, либо создания конфликтующих рабочих нагрузок, где возможны противоречия между ЦПУ и диском.
3. Внимание к управлению, установке исправлений и безопасности виртуальных систем не может быть чрезмерным
Две новых вирусных эпидемии вспыхнули только за прошлую неделю. Между тем, слишком многие виртуальные системы страдают от неустановки исправлений, установки их с запозданием, отсутствия адекватного управления или игнорирования их с точки зрения политики безопасности. Последние исследования указывают на то, что USB-устройства флэш-памяти несут немалую долю вины за распространение вирусов – в особенности адресных угроз. На практике, даже многие физические системы не снабжены нужными исправлениями и уязвимы. Виртуальные системы, особенно неконтролируемые системы, представляют еще большую угрозу. Возможность отмены изменений системы усугубляет проблему, делая ненамеренное удаление исправлений и цифровых подписей куда более простым, чем хотелось бы. Ограничьте распространение виртуальных машин и убедитесь, что все они входят в ваши инфраструктуры установки исправлений, управления и политики безопасности.
4. Без крайней необходимости, не обращайтесь с виртуальными системами иначе, чем с физическими
Предыдущий пункт уже должен был направить мысли читателей в данном направлении, но это стоит повторить особо. С виртуальными системами следует обращаться точно так же, как с физическими. На самом деле, если речь идет о неконтролируемых системах, их можно с тем же успехом считать враждебными. Они могут стать мостиком, для проникновения в сеть вредоносных программ.
5. Выполняйте резервное копирование пораньше и почаще
Виртуальные системы, точно так же, как и физические, следует включать в действующий режим резервного копирования. Копировать можно целые виртуальные машины или содержащиеся на них данные. Второй подход может быть гораздо более полезен и гораздо более гибок. Резервное копирование целых виртуальных машин отнимает существенное время и ограничивает возможности по быстрому восстановлению. Точно как и в случае защиты ключевых для работы физических систем, убедитесь в наличии возможности быстрого и надежного восстановления. Слишком часто резервное копирование систем выполняется без проверки, что и приводит к отсутствию резервной копии на деле.
6. Будьте осторожны при использовании любых технологий «отмены»
Виртуальные технологии часто включают технологию «отмены». Используйте ее очень осторожно. Это еще одна причина, по которой следует убедиться, что все виртуальные системы включены в систему ИТ-управления. Откатить диск назад на день или неделю более чем просто. Это может заново открыть уязвимость, которая только что была поспешно исправлена, и создать брешь, через которую будет инфицирована оставшаяся часть сети.
7. Разбирайтесь в принятых стратегиях отработки отказа и масштабирования
Виртуализацию часто превозносят как средство достижения идеальной отработки отказа и идеального масштабирования. Это целиком зависит от оборудования размещающей системы, низкоуровневой оболочки, сети и хранилища. Следует проработать этот вопрос со всеми своими поставщиками, чтобы знать, как каждая виртуализованная роль будет масштабироваться при том или ином числе гостевых серверов. Также необходимо знать, насколько хорошо она выполняет отработку при отказе; а именно, насколько долго гостевые системы могут при этом оставаться недоступны и каковы будут их скорость отклика с доступностью при переключении.
8. Контролируйте распространение виртуальных машин
Это очень важный совет, но один из самых сложных в следовании ему. Ряд низкоуровневых оболочек совершенно бесплатен и даже в случае коммерчески распространяемой низкоуровневой оболочки, «клонировать» гостевую систему чересчур просто. Это может привести к множеству проблем:
- **Проблемы безопасности: ** Создание новых систем или их клонирование с ошибками может привести к появлению недостаточно защищенных систем или конфликтам с оригиналом «клона».
- Проблемы управления: Конфликты, вызываемые клонированием, могут привести к появлению систем, которые не управляются в соответствии с существующей политикой, не получили исправлений и, как следствие, вызывают конфликты или нестабильную работу.
- Проблемы с законом: До недавнего времени, Windows не всегда могла определить, что подвергается виртуализации или, что более важно, что она по-тихому продублирована как новая гостевая система (один раз или многократно). Очень часто простота дублирования и попустительское отношение к пиратству приводили к размножению гостевых систем. Это опасное отношение и ИТ-организация должна препятствовать ему, как минимум, на уровне политики.
Клонировать системы слишком легко. Убедитесь, что ваша ИТ-организация осведомлена о рисках, связанных с необоснованным дублированием гостевых систем. Развертывайте новые виртуальные машины только в соответствии с политиками, принятыми для физических систем.
9. Централизуйте свое хранилище
Ведущей причиной неконтролируемого размножения виртуальных машин является физическая разбросанность размещающих их компьютеров по организации. Если сотрудник подходит к физическому серверу с внешним жестким диском и компакт-диском, может возникнуть вопрос, что он здесь делает. В случае виртуальных систем, скопировать целую гостевую систему (или две) чересчур легко. Эта простота дублирования является ключевой причиной размножения виртуальных машин. Это также может привести к потере данных. Если физическая безопасность виртуальных машин не обеспечена, их виртуальные или физические диски должны быть зашифрованы, чтобы предотвратить потерю конфиденциальных данных. Централизованное размещение носителей виртуальных машин и хранилищ в безопасных местах может минимизировать как размножение виртуальных систем, так и угрозу потери данных.
10. Знайте свой периметр безопасности
Разрабатываете ли вы программное обеспечение или управляете системами, безопасность должна быть частью вашей повседневной схемы действий. Думая о том, как управлять своими физическими системами и устанавливать на них исправления, всегда переносите свои выводы и на виртуальные системы. Если развертываются политики паролей, должны ли и виртуальные системы следовать им? Опасность рядом – убедитесь, что представляете, как будут управляться виртуальные системы, так что риск их клонирования может быть снижен. Виртуальные машины, не охваченные планом ИТ-управления, необходимо считать враждебными. Многие низкоуровневые оболочки теперь включают бесплатные или ознакомительные версии антивирусных программ, поскольку угрозы безопасности потенциально могут пересекать границу между размещающими и гостевыми системами.
Наше настоящее и будущее
Виртуализация обещает стать еще более значительным компонентом ИТ в будущем. Лучшее, что можно сделать – это найти способ работать с нею и управлять ею сейчас, а не игнорировать ее и надеяться, что все образуется само собой. Виртуальные компьютеры должны следовать тем же политикам, которые используются для физических систем. Знайте, где ваша организация использует виртуализацию и разъясните своей команде, как опасно обращаться с виртуальными системами иначе, чем с физическими.
Уэс Миллер (Wes Miller)* — директор по управлению продуктами компании CoreTrace (CoreTrace.com) в Остине, штат Техас. Ранее Уэс работал в компании Winternals Software, а также в корпорации Майкрософт в должности руководителя программы. Связаться с Миллером можно по адресу at wm@getwired.com.*