刍议高校数据中心虚拟化建设面临的安全问题

【摘要】随着信息技术的高速发展，虚拟化技术的应用也不断成熟，高校数据中心建设也逐渐涉及到这一方面。通过虚拟化技术，可以提升硬件的使用效能、简化服务器管理模式、实现服务器数据快速恢复、降低总体运营费用等等，而给IT基础架构的部署、运营、管理带来变革。但在该项技术的实际运用过程中，也存在一定安全风险，需要我们谨慎对待。

【关键词】数据虚拟化；高校

一、数据中心虚拟化的基本概念

随着信息技术的飞速发展，数字化校园乃至智慧校园是高校信息化建设的必然趋势，学校规模的扩大和管理要求的提高迫切需要综合、高效、实用的信息系统支撑。作为整合学校各类信息资源的有效手段，数据中心的建设是高校信息化建设发展的必然趋势。作为信息处理的综合系统，数据中心的建立不仅可以消除信息孤岛现象，还有助于提高数据的安全性、易用性和可靠性，作为信息化建设中的公共基础设施，数据中心为其他信息化系统提供了全方位的支撑，能够有效促进高校信息化水平的不断提高。

由于校园信息化建设与应用涉及了网络应用、事务管理、周边模块等多个子系统，需要一个部署简便、联通快捷、便于扩展的硬件平台。在大多数情况下，硬件系统在整个数字化校园建设的资金投入中占据相当大的比重。因此，在规划数字化校园系统硬件平台时，必须合理考虑硬件设备的选型，在满足应用系统需求以及未来一段时间内系统扩展需求的情况下，尽可能避免潜在的资源浪费。如果在解决这一问题上继续沿用传统的思维模式，往往会引出服务器的增加、部署、互通互联等问题，有限空间内物理设备数量的不断增长、巨大的布线压力、设备运行及运行环境的高耗能、频繁部署应用程序引发的兼容性与维护等问题都将长期困扰高校信息化建设的进程。随着虚拟化技术的不断发展和日益完善，越来越多的高校在数字校园建设中开始采用虚拟化技术对服务器进行整合，简化资源管理方式、提高数据的能效和资源利用率，提升服务器的利用率，减少宕机时间，降低总体运营费用，保持业务的连续性等。因此，虚拟化技术以已成为当前各高校信息化建设中最为令人关注的技术领域之一，数据中心的虚拟化建设也是题中应有之义。

数据中心的虚拟化建设作为一种新的模式，主要是在思路上以平台建设为核心，在手段上注重于资源及其相关应用的管理和控制，最终目的是为使用者提供快捷、简便、优质的服务。数据中心虚拟化建设涵盖了信息化平台建设的多个方面，包括服务器虚拟化、存储虚拟化和虚拟化环境安全等。

二、数据中心虚拟化的实际应用

1.服务器虚拟化——对物理服务器资源进行整合，实现高效利用

信息技术的快速发展，使各种应用如办公系统、邮件系统、财务系统、科技管理系统等等均对现有数据中心的硬件资源产生了巨大的压力。如果将用不同技术开发的网站及系统应用放置在一台服务器上，相互之间容易互相冲突。与此相对应，数据中心中的某些独立服务器的利用率不高，而这些利用率不高的服务器造成资源闲置浪费又占据了机房空间，为避免冲突又不能投入其他应用，对信息化建设发展非常不利。

通过虚拟化技术，实现了需要不同运行环境的业务系统在同一台物理服务器中进行部署的可能性，令物理服务器的物理资源能得到更充分的共享利用，减少了物理服务器的数量。服务器虚拟化的核心观点就是整合，将所有虚拟化的服务器作为一个资源池进行管理，因此在同一个资源池内的操作，无论是迁移还是平衡负载，都不会出现服务中断的情况，网络管理员只需要登录单一的管理控制台即可管理及监控全局网络环境中的虚拟环境。

具体来说，就是将服务器物理资源抽象成逻辑资源，让1台服务器变成几台甚至上百台相互隔离的虚拟服务器，或者让几台服务器变成1台服务器来用，不受物理上的界限限制，让CPU、内存、磁盘、I/O等硬件变成可以动态管理的“资源池”，从而提高资源的利用率，简化系统管理，实现服务器整合，让IT对业务的变化更具适应力。例如网站发布、办公系统、防病毒系统等集中部署在同一台服务器后，服务器硬件资源将可被上述系统充分利用，系统管理员只需集中确保该服务器硬件正常，即可基本保证业务系统硬件环境正常。

同时，业务系统在运行过程中可能存在业务变更、地点迁移、系统升级等各种迫使应用有潜在中断服务可能性的维护管理工作。由于虚拟服务器的应用系统具有可复制性，即在多个虚拟服务器上建立同样的服务，还可以在不停机、不中断服务的状态下，迁移至另一台物理服务器上，在出现问题时，极短时间即可恢复服务，这无疑为确保业务系统可用性和服务连续性提供了一种有效手段。

2.应用层虚拟化——降低设备管理难度，提升工作效能

通过虚拟化技术，数据中心的硬件部署工作大大简化。在实际操作中，通过应用虚拟化，具体应用程序与操作系统脱开关联，为应用程序提供了一个相对独立、虚拟的运行环境。在此环境中，不仅包括应用程序的必备文件，还包括它所需要的运行环境。从本质上说，应用虚拟化是把具体应用对底层系统和硬件的依赖抽象出来，从根本伤解决了版本不兼容的问题。同时，通过使用虚拟机模板可以避免重复的安装和配置工作，可重复使用的虚拟机映像使得部署新服务器工作变得方便快捷。创建一台新的虚拟机的工作变得极为简单，只需选择合适的虚拟机模板，通过短短几分钟时间，便可完成一台服务器的部署工作。

3.存储虚拟化——简化操作程序，方便数据恢复

在数据中心的虚拟化过程中，将实际的物理存储实体与存储的逻辑表示分离开来，应用服务器只与分配给它们的逻辑卷（或称虚拟卷）打交道，虚拟化的存储资源就像是一个巨大的“存储池”，用户无需接触具体的磁盘、磁带，也不必关心的数据存放在哪个具体的存储设备中，极大的简化了使用者的操作程序。而逻辑卷与服务器之间的映射关系，是由服务器的卷管理软件、存储子系统的控制器及存储网络SAN的专用装置等负责管理。

在灾难保护方面，网络应用系统故障包括误操作、数据丢失、应用系统损坏、黑客破坏等等。数据应用保护要求在发生任意一种事故时，都能快速地恢复到最近的正常工作点。通常采用的容灾策略有：应用日志恢复、磁带备份、阵列快照等，这些措施虽能实现一定的保护，但在程序和时间上都难以令人满意。相比之下，虚拟服务器是与硬件无关的独立体系，在虚拟机完成部署后，虚拟机软件将业务系统独立生成一个对应的虚拟机文件，任何一台物理服务器，均可通过读取该虚拟机文件，实现相应业务系统的恢复。

实现数据中心的虚拟化后，虚拟机软件将整个系统，包括硬件配置、操作系统以及应用等以文件的方式保存在普通的存储介质中，并且可以通过自定义时间间隔执行一次快照的方式不断更新虚拟机文件，乃至复制多个副本。一旦虚拟服务器由于中毒、被黑或人为操作不当而导致操作系统不稳定甚至宕机，无须重新进行系统部署，只需复制克隆与业务系统环境相对应的虚拟化文件，即可迅速恢复业务系统应用环境的运行，配合生产数据备份，可以在短时间内实现业务恢复。

三、数据中心虚拟化应注意的问题

1.数据中心虚拟化不等于网络系统应用集成

虽然在硬件层面上，数据中心在建设过程中，服务器虚拟化技术通过将硬件层抽象化，在主机上同时运行多个虚拟机，将分散的应用系统在硬件层面上进行了整合，但并未改变各业务平台在独立的系统环境中运行的状态。虚拟主机将整个系统，包括硬件配置、操作系统及应用程序等封装成一个文件，每一个虚拟机都与同在一台主机上的其他虚拟机相隔离。虚拟环境下的各个业务系统对应独立的虚拟硬件资源环境，各系统仍然保留原有的应用架构。因此，从实际应用的角度来看，业务应用系统仍然保持分散部署、分散运行的状态，并未改变技术架构标准不统一、运行环境复杂、系统间信息“孤岛”现象明显，并非完全意义上的应用系统整合。

2.数据中心虚拟化后物理主机的安全问题更加突出

虚拟化之后，承载数据中心任务的多个虚拟机运行在同一台服务器主机上，意味着“多个鸡蛋放在同一个篮子里”，虽然提高了服务器资源的利用效率，但同时也增加了因单台服务故障导致更大损失的可能性。一旦物理主机存在漏洞或者受到攻击，所有运行在这台主机上的虚拟机都将面临安全威胁。另外，虚拟化后每一台物理主机上都会运行多个应用程序来对外提供服务。这些应用程序将会争夺同一台硬件服务器的处理器、内存、带宽和存储等资源，在这个过程中一些关键的应用程序可能会遇到网络瓶颈和性能问题，严重时会因服务器负载过重而导致系统崩溃。

3.承载虚拟化任务的服务器对网络传输有较高要求

虽然在数据中心的虚拟化过程中，应用与存储服务器的虚拟化提升了服务器利用率，从总体上降低了成本、减少了能源消耗，实现了服务器资源的高效率应用，提升的费效比。但是，同时运行多个虚拟机的物理主机的业务吞吐量会极大增加，使得单位区域网络的带宽需求可能比非虚拟化条件下增长十多倍甚至数十倍。虚拟化之前的服务器由于利用率低下，吞吐带宽很低，业务流量经过不断汇聚后只有在网络核心有一定的带宽需求；而服务器虚拟化之后使得单台服务器吞吐量大幅上升，在网络接入层的带宽需求已经接近传统网络环境的骨干网络带宽消耗，同时由于密集流量对网络的冲击，使得网络在满足高速数据流转的同时还要能够应对不确定的流量突发，因此在实现服务器虚拟化时应充分考虑网络的承受能力。

4.虚拟主机泛滥容易引发新的安全问题

虚拟化技术大大降低了建设数据中心的技术门槛，传统上需要多个步骤的操作往往被简化到只需点击几下鼠标即可完成。一方面，一站式、向导式、傻瓜化的操作方式方便了服务器的架设。然而这种移植的方便性隐藏着一些问题，往往会导致创建更多不必要的但需要管理的虚拟机，或者部署一个虚拟机进行一项应用测试后忘记撤销，从而在网络中产生无人照看的有安全漏洞的系统。同一网络中虚拟机的数量越多，面临的安全风险越大。一旦某一台存在漏洞的虚拟机被攻陷，就可能成为进一步攻击行为的平台，威胁到其他虚拟机甚至整个网络环境的安全。

推荐访问:刍议 安全问题 数据中心 面临 高校