存儲虛擬化技術范文10篇

摘要存儲技術的發展經歷了從單個磁盤、磁帶到DAS、NAS、SAN存儲網絡系統的歷程，對存儲環境和資源共享的迫切需求推動著存儲虛擬化成為主流技術。本文通過對虛擬存儲的綜述，對虛擬存儲化的基本概念、體系結構、實現方法、關鍵技術做了比較和分析。重點介紹基于網絡的虛擬化技術，討論了其關鍵技術與主要實現方法。

關鍵詞存儲虛擬化；邏輯存儲；對稱/非對稱

1引言

隨著信息數字化、網絡化開展的各種多媒體處理業務的不斷增加，企業的信息量不斷增加，面對不斷膨脹的數據量和不斷增多的物理存儲設備，如何能夠保證一個存儲系統具有高性能的I/O吞吐率、高可靠性和高擴展能力，以及良好的容錯性能，成為各個IT產商傾注極大熱情去解決的重大問題。特別是由于在存儲系統中存在著大量的異構服務器和存儲系統，非常有必要進行全面的存儲管理，而傳統DAS、NAS和SAN等存儲形式已無法滿足以上對存儲設備的需求，所以存儲虛擬化逐漸成為共享存儲管理的主流技術。

2虛擬存儲的概念

存儲虛擬化是把不同接口協議(如SCSIiSCSI或FC等)的網絡存儲設備(如JBOD、RAID和磁帶庫等)整合成一個虛擬的存儲池，根據需要為主機創建和提供虛擬存儲卷。存儲虛擬化是具存儲設備和存儲系統的抽象，展示給用戶一個邏輯視圖，同時將應用程序和用戶所需的數據存儲操作和具體的存儲控制分離。因而可以充分利用異構平臺的存儲空間，達到最優化的使用效率。

摘要存儲技術的發展經歷了從單個磁盤、磁帶到DAS、NAS、SAN存儲網絡系統的歷程，對存儲環境和資源共享的迫切需求推動著存儲虛擬化成為主流技術。本文通過對虛擬存儲的綜述，對虛擬存儲化的基本概念、體系結構、實現方法、關鍵技術做了比較和分析。重點介紹基于網絡的虛擬化技術，討論了其關鍵技術與主要實現方法。

關鍵詞存儲虛擬化；邏輯存儲；對稱/非對稱

1引言

隨著信息數字化、網絡化開展的各種多媒體處理業務的不斷增加，企業的信息量不斷增加，面對不斷膨脹的數據量和不斷增多的物理存儲設備，如何能夠保證一個存儲系統具有高性能的I/O吞吐率、高可靠性和高擴展能力，以及良好的容錯性能，成為各個IT產商傾注極大熱情去解決的重大問題。特別是由于在存儲系統中存在著大量的異構服務器和存儲系統，非常有必要進行全面的存儲管理，而傳統DAS、NAS和SAN等存儲形式已無法滿足以上對存儲設備的需求，所以存儲虛擬化逐漸成為共享存儲管理的主流技術。

2虛擬存儲的概念

存儲虛擬化是把不同接口協議(如SCSIiSCSI或FC等)的網絡存儲設備(如JBOD、RAID和磁帶庫等)整合成一個虛擬的存儲池，根據需要為主機創建和提供虛擬存儲卷。存儲虛擬化是具存儲設備和存儲系統的抽象，展示給用戶一個邏輯視圖，同時將應用程序和用戶所需的數據存儲操作和具體的存儲控制分離。因而可以充分利用異構平臺的存儲空間，達到最優化的使用效率。

在區域醫療信息化實際建設過程中，各醫院在不同地域分布，每日均有大量醫療數據需要處理。各個醫院的社會保險、電子病歷、LIS、PACS及RIS等系統，建成時期不同，各類系統數據儲存過于分散，另外，還存在不同的儲存介質與方式。此種布局分散的存儲架構與服務器，不僅難以維護、成本昂貴，而且無法實現數據資源的共享。至此，需盡快解決該模式，通過區域信息的共享技術、網絡技術以及數據中心相關平臺等，以加快醫療數據的使用效率，在開展醫療數據庫建設中，云計算有著極大的運用價值和作用。

1建設醫療信息相關系統下的虛擬平臺具體結構研究

在云計算下，醫療的虛擬平臺建設結構一共分為四個層級，第一個層級是以物理資源為主的層級，第二個層級是以虛擬桌面為主的層級，第三個層級是以終端接入為主的層級，第四個層級是以虛擬資源為主的層級：1.1終端接入層。包含有各種能接入internet的客戶端設備，如移動電話、平板電腦、PC終端、PAD等。針對護士站以及醫生站等醫院業務部門的平臺使用用戶，通過客戶端可以直接接入到信息系統中，然后進行移動辦公。此外，對于醫院患者而言，也可利用客戶端，登錄信息平臺，然后開展所需要的自主式服務，查詢其個人的身體健康信息。1.2以虛擬桌面為主的層級。使用本地客戶端對數據庫的信息流進行下載并儲存，然后再以虛擬桌面方式為醫療人員和護士進行展示，讓平臺使用用戶可以通過虛擬桌面進行業務操作和辦公等，比如查詢檢驗報告、下達醫囑及病歷書寫等。從本質上看，所謂的終端就是顯示設備，平臺使用用戶的數據資料都能通過云端進行操作處理和儲存，而在終端中沒有相關副本存儲，以確保醫療數據使用的安全性。1.3虛擬資源層。此層包含數據的存儲以及計算等，將物理資源逐漸虛擬化，從計算虛擬化上看，其可以提升服務器的使用效率，降低服務器的數量，促進服務器高效化應用和管理，而虛擬化的儲存利用虛擬化手段，能夠把各類型存儲介質實施集中式管理，并且提供大容量、傳輸性能高的相關存儲系統。1.4以物理資源為主的層級。包含有各種硬件基礎設施，如網絡、機柜、存儲及中心服務器等。

2關于醫療數據庫的虛擬化研究

采取云技術進行區域數據庫建設的時候，配置兩套相關刀片中心，其中一個中心設置于主機房，另一個中心設置于備用機房，當作生產站點刀片服務器，通過Vmware來建設虛擬機，虛擬機的服務對象是醫院的各項業務，然后組合成一臺虛擬的服務器，這些服務器在功能上、性能上、操作上都和以往單臺式物理服務器一樣，對虛擬業務進行計算的資源平臺服務器多作為生產站點，并承擔維護工作（如OA、Web、RIS和HIS等），其他的服務器多在異地情況下作容災管理相關系統中的在線式容災，實現自生產數據庫的制災難式恢復站點切換（自動切換）。確保容災時的安全性。為了能夠自動化控制刀片服務器系統，集中管理與監控虛擬服務器，以便更好控制與管理虛擬環境，通過將虛擬控制中心軟件VmwareVirtualCenter安裝在一臺服務器上，便能夠集中管理全部的虛擬服務器與物理服務器。經虛擬中心，對集中控制的服務器，應該進行合理的資源調配，然后令虛擬機能夠進行遷移自動化，確保醫療核心業務數據的可用性，虛擬的控制中心相關軟件能夠使各虛擬器間互不影響、相互獨立，除了能夠有效、集中管理服務器之外，還能減少服務器硬件的投入。在數據庫網絡的選擇上，主要選擇穩定性好、安全性高的雙網設計網絡，其中光纖磁盤型陣列可以在SAN網絡下進行數據儲存，這一存儲服務器和管理與應用服務器一樣，都需要通過虛擬技術在一臺物理服務器上集中設置。對于網絡存儲的虛擬化上看，這主要通過存儲資源池，對存儲模塊實施集中式管理，并且提供大容量、傳輸性能高的相關存儲系統；促進資源使用效率提高，從新增加的存儲模塊上看，在確保不會影響存儲系統的工作下加到存儲中，當存儲系統某一個存儲節點發生故障問題都不會給其它的存儲模塊運作產生影響。

3云計算下的醫療信息化構建效果

摘要：大數據及云計算信息技術的不斷發展，使得不同行業都開始借助于云服務器、后臺數據庫，進行網絡海量數據資源的虛擬化處理、分布式計算、并行計算處理，以實現對多源數據的高效搜集、統計處理與存儲。該文從云計算的Hadoop架構、SOA服務體系、數據挖掘、分布式計算和HDFS存儲等技術著手，探討將多種云計算技術，應用到海量數據信息處理中的實施策略，來為網絡大數據服務系統的正常運轉提供保障。

關鍵詞：云計算技術；計算機；數據處理；應用

移動互聯時代下的數據處理，面臨著數據信息的海量化、實時化、低質化，如何對多種網絡數據資源進行快速篩選、及時處理與分類存儲，成為各企業網絡數據信息傳輸、業務處理的主要困境。因而引入大數據及云計算技術，依托云服務器、數據中心交換機、后臺數據庫等硬件設備，對廣域網或局域網內的數據資源，進行采集、處理、分析與存儲，將數據處理結果發送至客戶終端設備進行顯示，實現對計算機數據的實時掌控與應用。

1云計算技術的主要內容及其與計算機數據處理的關聯性

1.1大數據及云計算技術的內容概述

“云計算”是美國國家標準與技術研究院提出的概念，其作為一種分布式計算技術，主要根據不同客戶的數據資源處理需求，通過網絡“云”將巨大的數據計算處理任務，分解為一個個小的數據計算任務，在多個后臺服務器上進行數據處理、分析的工作執行。特別隨著虛擬化技術、并行計算技術的快速發展，網絡云計算平臺也開始將多種軟硬件虛擬化，包括網絡通信接口、服務器、存儲模塊等的虛擬化。之后利用虛擬化計算機，進行虛擬系統多個主節點、從節點的任務分配，來完成數據資源的配置、處理與存儲工作。因而現階段云計算技術基礎架構，通常由SOA服務體系、物理資源層、資源虛擬化層、用戶與映像管理層等層級組成，具體如圖1所示。圖1云計算技術基礎架構1）SOA服務體系層。SOA服務架構主要為不同應用程序的功能服務，提供相應的網絡通信協議、服務接口，通常包含服務接口、服務注冊、服務查找、服務訪問、服務工作流等組件。根據網絡應用組件的粗粒度、調用需求，對多個分布式的服務模塊進行封裝，再通過相應面向對象的定義接口，提供客戶需要的Web服務。2）映像管理層。映像管理層是對不同客戶權限請求、虛擬資源管理的層級，包含用戶管理、映像管理、資源管理等安全管理等內置組件。其中用戶管理負責對用戶訪問權限、數據處理請求等進行管理，映像管理層則用于任務映像建立、映像排布與映像庫管理，控制后臺服務器端、客戶終端之間的映像周期。而虛擬資源管理，主要是對虛擬計算機負載狀況的監測、統計，以保障數據資源處理過程中的虛擬機負載均衡。3）資源虛擬化層。資源虛擬化層是在物理資源層的基礎上，依托網絡計算機、存儲器和數據庫等硬件，構建起存儲資源池、計算資源池、數據資源池等虛擬模塊，為后臺服務器中硬件資源的虛擬化提供支持。而硬件資源虛擬化層，在收到客戶端數據處理的任務請求后，會向其分配相對應的數據在云計算基礎架構中間的任務管理層，會在收到用戶相應的任務請求后，將與之匹配的虛擬資源。

摘要：高職院校信息化建設中存在著服務器資源利用率較低、管理效率低下、權限分配不合理、系統業務連續性差、服務缺少備份、存在單點故障可能等一系列問題，在信息化建設中引入VMware軟件對現有服務器硬件實施虛擬化，對數據中心進行升級改造，可達到提高資源利用率，降低運維成本，提升運維效率，實現服務應用的高可用性。

關鍵詞：數據中心虛擬化；VMware；高可用

隨著國家近年來對高職教育重視程度不斷加深，高職院校也在不斷加大對信息建設的投入力度，各部門為提高教學管理手段，廣泛采用各種教學及輔助應用，由此在建設使用過程中發現了很多以前沒有重視的問題，例如整個信息化服務體系的資源利用偏低、硬件投資缺乏整體規劃思路等。如何將現有硬件資源充分利用并提高使用效率逐漸提上日程，而硬件虛擬化技術作為私有云服務及大數據時代的一類新興技術，可以有效契合當前高職院校的現實需求。

一、高職院校信息建設中客觀存在的問題

隨著信息化建設的不斷深入，為了提高工作及科研效率，更好地為師生服務，各部門都提出了各類新的應用系統，并隨著學校管理水平的提高不斷增加。根據以往服務中心建設規劃，各類新增應用應盡量采用單應用單系統方式進行安裝配置，以避免各類應用間的互相干擾，這樣就對服務器的硬件資金投入提出了很高要求，而通過政采渠道進行服務器的采購，要通過購買服務器方案申報、財政審批、政采招投標、硬件設備安裝等一系列復雜過程，每次所需時間都長達半年甚至一年，延長了部署新應用所需時間，影響了資源的合理調配。幾十種應用及服務網站分散部署在對應數量的物理服務器上，一旦單臺服務器發生宕機，服務就會中斷，導致服務系統穩定性差，業務連續性不高。有時各部門自行維護的服務器由于缺少適合的運維人員，故障處理時間也不好科學把控，一旦出現復雜故障，需要花費較長時間尋找故障點，宕機時間過長，用戶意見很大。而且，采用原有的單服務器單應用方式，單臺服務器的資源占用一般只有10－20％，資源利用率較低，大量硬件資源閑置無法得到充分利用。因此，信息中心作為整個學校的信息化建設及服務部門，應充分考慮各個部門提出的實際需求，從提高現有硬件的使用率入手，通過虛擬化軟件將新舊硬件資源進行整合，從而降低現有教學服務應用的故障中斷時間，提高學院信息化建設的整體效率。

二、硬件虛擬化實現對現有資源的有效利用

隨著云計算技術的不斷成熟，高校也將云計算技術應用到其信息化建設當中來，并且隨著云計算技術的不斷成熟和發展，也讓該技術在高校教育中發揮出了其特有的作用。云計算技術在高校信息化建設及應用中也逐步普及起來，對高校教育的支撐和發展也產生了積極的影響。

1教育信息化云服務的特點及發展模式

1.1教育信息化云服務平臺。教育信息化云服務可以將高度虛擬化的云資源及海量的信息管理起來，并且將業務和數據整合起來，這是當前IT技術發展衍生的全新的教育信息化管理模式。以云計算為基礎，該種模式構建起的平臺有四個方面：第一個是基礎云構架，第二個是云應用系統，第三是服務系統，第四是學習門戶。云應用系統直接面對教育用戶，包括教師、學生、教育管理人員，為其提供教學、學習、搜索、資源應用等各類服務。教育信息化服務平臺還可以實現個性化需要，更有利于不同教育用戶對于信息服務的不同需求，滿足多種終端在任何時候的學習，讓學習不再受到時間和空間的限制。1.2教育信息化云服務的特點。1.2.1社會化。媒體云的建立，將高校教育的資源進行了充分的整合，借助社會化平臺，實現了向社會化的拓展。1.2.2集約性。傳統的高校教育信息管理存在很多的局限性，特別是在信息互通方面，因此造成了資源的浪費，由于缺乏完整的數據，所以無法做到全面的業務分析，從而限制了高校信息管理服務的發展。傳統的信息管理模式采用的是管理驅動，各個業務系統需要在軟硬件各個方面進行投資才能實現協同的發展，從而造成了運營成本的增加，也限制了信息管理服務的發展。1.2.3專業性。教育信息化云服務平臺可以將整合的教育資源統計分析，可以為系統的改進提升指明方向，并且可以記錄教育用戶的學習過程，進行量化，加以分析，以便為其提供個性化服務。1.3云計算技術應用于高校教育管理信息服務發展模式研究。隨著信息技術的飛速發展，各個高校也與時俱進，不斷完善IT基礎設施和校園網絡等，信息化建設也逐步成熟，信息技術的不斷更新也推進了高校信息化的應用。傳統的IT基礎設施建設需要投入大量的資金，卻缺乏有效的利用，并且隨著信息系統的發展，對IT基礎設施的要求飛速增長，傳統模式難以滿足教育信息管理多元化的發展，也限制了信息化的進一步發展。云計算采用分布式和并行處理模式來對資源進行整合和存儲，以網絡為依托，為用戶提供更為快速、便捷、安全的數據存儲。作為新型的基礎設施交付和使用模式，為高校未來的教育信息管服務奠定了良好的基礎。在云構架的校園網基礎設施的基礎上，采用InfrastructureasaSerice、PlatformasaSerice、SoftasaSerice這三種云計算服務類型，實現了基礎網絡及資源的管理，并且有效的降低了高校教育信息化建設的成本。通過web或移動端應用軟件進行接入，SaaS可以向用戶提供云計算基礎設施上所運行的各類教育管理服務，而IaaS可以有效的將資源進行整合，其成員可以通過該網絡搜索所需要的存儲資源，PaaS作為中間件存在的，通過服務形式讓開發人員可以在其提供的基礎設施上進一步開發部署，不需要進一步購買，從而降低了后續的投資成本，并且為標準化奠定了基礎。

2云計算技術在促進高校信息資源共享中的優勢

云計算通過網絡向用戶提供其所需要的平臺、資源，是一種新型的服務交付和使用模式，“云”中的資源可以按需使用，并且可以無限擴展。2.1云儲存技術可以提高高校信息資源共享能力。傳統的高校信息管理系統，各個位置的信息若要整合需要借助大量的人力物力，而云計算技術的出現，實現了對各個位置信息的整合，將信息上傳到云端后，進行集中管理和調度。這樣減少了資源的重復建設，節省了投資成本，實現了資源集中管理及共享。如Amazon公司借助AmazonSimpleStorageSerice（即Amazon公司提供的網絡存儲服務，簡稱為S3），通過互聯網進行管理和訪問，用戶可以將資源信息放置于存儲云上，有效的降低了數據維護的成本。S3提供了調取資源信息的端口，用戶可以通過SOAP接口、REST或應用程序都可以實現對存儲數據資源的訪問及調取。2.2減少人力投資，降低硬件和軟件成本。云計算技術的應用實現了資源的整合，及信息的集中管理，不僅減少了人力投資，還有效的降低了高校信息化建設的成本，卻能滿足高校更多的信息管理需求。高校無需投入大規模資金來進行高校信息化的建設，轉而向供應商租用教育平臺即可實現對新服務的需求。2.3分布式計算技術和并行處理可提供強大的計算能力。信息資源數據上傳到云端后，云端對信息進行分塊、多副本備份存儲，這種方式叫做分布式存儲，用戶在對信息數據進行處理時，大規模的分布式存儲則可以實現大規模的并行計算。MapReduce編程模型則是分布式計算技術，是由HadoopDistributedFileSystem和GoogleFileSystem所開發和應用的。所有的數據資源上傳到虛擬的服務器上，通過多臺計算機協作完成對數據信息的分布式存儲，同時，云平臺支持異構接入，用戶只需要發出申請，平臺就可以根據申請靈活擴展，從而實現與最新信息的同步更新，這也為實現實時信息共享提供了保障。2.4提高數據的存儲安全。云計算通過多種模式來保障其云端資源信息的安全性，如計算節點同構、數據多副本等等。云計算可以避免網絡超載，實現了分布式、異構信息資源的均衡負載。并且云計算還可以保障共享資源的安全，在日常工作中，可以通過冗余備份、容錯榮災等技術避免操作不當造成的資源破壞，也可以避免病毒入侵或硬件損壞造成的信息資源丟失等等。當前阿里巴巴、騰訊等大型互聯網公司及電信運營商都提供云服務，在確保用戶資源信息的安全方面，他們采取了很多措施，如數據加密、身份認證、冗余備份等技術都是來確保用戶資料信息的安全。2.5虛擬化技術可提高高校基礎設施利用率。云計算的核心是虛擬化技術，通過虛擬化技術來構建一個網絡、服務器、存儲的資源池，并且在云端實現動態的分配，實現了對硬件基礎設施的整合和高效利用，有效的降低了高校基礎設施的建設成本。

3基于云計算技術的高等教育信息服務平臺構建

虛擬機隔離安全的具體實現

虛擬機之間具有良好的隔離性，但在很多應用場合，需要虛擬機間或虛擬機與宿主機之間共享資源或者通信，很重要的一點是要保證虛擬機上的重要信息與宿主操作系統或其他虛擬機的隔離。虛擬機的硬盤等存儲設備是虛擬機虛擬出來的存儲設備，這些虛擬存儲設備的安全性是虛擬機安全性的重要組成部分。虛擬存儲設備中的數據，最常見的保存方法就是在宿主操作系統上建立一個文件來保存。例如，在VirtualBox中，虛擬機的硬盤是由一個后綴名為vdi的虛擬硬盤文件保存，而VMWare的虛擬機硬盤則是使用后綴名為vmdk的虛擬硬盤文件保存。通常，這樣的文件被稱為映像文件（ImageFile），每個虛擬機的客戶操作系統的文件系統都完整保存在它們各自的映像文件中。在大部分的虛擬機技術中，映像文件位于宿主機操作系統的文件系統中。因此，惡意代碼在宿主機操作系統中讀寫映像文件就成為對破壞虛擬機或竊取虛擬機信息的一條可能的途徑，而且是非常高效和直接的途徑。存儲器的操作最終都會轉換成宿主機操作系統對映像文件的操作[3]，導致映像文件很難與宿主機操作系統的文件系統完全隔離。以明文方式存儲在宿主機操作系統中的映像文件使得宿主機操作系統上運行的軟件或惡意代碼可以從中獲取到所有虛擬機操作系統的文件信息和數據，甚至惡意代碼可以用病毒或其他文件替換掉映像文件。目前，少數虛擬機技術可以為虛擬機操作系統提供獨立的硬盤邏輯分區，與宿主機操作系統進行有效隔離，但這種方式在存儲資源的分配上是低效的，在硬盤邏輯分區的管理上也很繁瑣。因此，映像文件攻擊是一個重要的虛擬機隔離安全問題。一般來說，當用戶因關閉系統或重新配置網絡等原因不再需要已分配的IP地址時，將不再保留此IP地址。當該IP地址變為可用后，通常把它再分配給其他用戶使用。從用戶安全角度而論，IP地址再分配使用可能會帶來問題，用戶無法確信他們對資源的網絡訪問能否隨著IP地址的釋放一并終止，從DNS中的IP地址改變到DNS緩存清理，從ARP表中物理地址改變到將ARP地址從緩存中的清除，都會有一定的時間延遲。這意味著，即使地址可能已經變化，原先的地址在緩存中依舊有效，用戶還是可以訪問到那些理應不存在的資源。信息泄漏是計算機系統中一直存在的一個安全隱患，這是由于很多計算機系統的設計者或者一些安全手段和策略，都沒有將信息泄漏考慮在內。隱蔽通道[4]是信息泄漏的重要渠道。虛擬機雖然具有天生的隔離性，但由于多臺虛擬機分布在同一個虛擬機監控器之上，虛擬機之間又具有一定的耦合性，這種特性可以被利用來構造隱蔽通道。在Xen中，Hypervisor保存有一張全局的機器地址到偽物理地址的關系表，稱之為M2P表。每一個Domain都能對它進行讀操作，并且能通過調用Hypervisor的mmu_update接口來更新屬于自己地址范圍內的表項。這一特性被證明是可以利用在兩虛擬機間構造隱蔽通道的[5]。通信雙方的虛擬機共享一個結構數據類型，其中第一個域充當標志（雙方互相知道對方的標志），而最后一個域包含實際傳遞的隱蔽消息。在實際的傳遞過程中，一方將共享的結構體更新到屬于自己地址范圍的表項內，而另一方則遍歷M2P表的表項，直到找到對方的標志，繼而就能通過結構體中的偏移量字段來找到相應的隱蔽消息。Xen虛擬機的CPU負載變化也可以用來構造隱蔽通道[6]。假設兩臺虛擬機的虛擬CPU（VCPU）被映射到同一個物理CPU（或CPU核），并且假設兩臺虛擬機運行一個相同的任務。作為隱蔽消息接收方的虛擬機一直執行該任務，而作為發送方的虛擬機則通過執行或不執行該任務來引起接收方中此任務執行時間的變化。于是雙方可以這樣約定，當發送方不執行此任務時，傳遞比特0；而當發送方執行此任務時，接收方觀察到任務執行時間變長，此時傳遞比特1。

提高虛擬機隔離的安全性考慮

（1）資源分配的問題虛擬機運行時，要求在物理機上需要有足夠的處理能力、內存、硬盤容量和帶寬等。為了高效利用資源，有時會分配超出處理能力的資源給虛擬機，很可能會導致拒絕服務。當無法保證所有虛擬機不會在同一時間達到峰值，虛擬機資源共享機制又比較簡單，CPU、內存、磁盤、帶寬都有可能出現資源不夠用的問題，預留出一些額外的處理能力、內存等資源用于調度是非常必要的。（2）限制對虛擬機的訪問宿主機對虛擬機的攻擊有著得天獨厚的條件，包括：不需要賬戶和密碼，即可使用特定的功能來殺死進程，監控資源的使用或者關閉機器；重啟機器，引導到外部媒體從而破解密碼；竊取文件，比如利用外接存儲器等，或直接盜走宿主機的磁盤以訪問虛擬文件系統；刪除一個或多個虛擬磁盤，把它們掛載到已知管理員密碼的機器上，可以進入虛擬機，從而看到該磁盤全部內容；刪除整個虛擬機等。宿主機的環境不同，造成的風險也不同，所以要對宿主機的安全提供周密的安全措施：宿主機的物理環境安全，包括對進入機房的身份卡驗證，對機器進行加鎖（避免被人竊走硬盤）；拆除軟驅、光驅；BIOS設置禁止從其他設備引導，只允許從主硬盤引導。另外，對BIOS設置密碼，避免被人修改啟動選項；控制所有的外部接口。（1）虛擬化軟件層的安全隔離軟件層位于硬件和虛擬服務器之間，提供終端用戶創建和刪除虛擬化實例的能力，由虛擬化服務提供商管理，終端用戶無法看到并訪問虛擬化軟件。其管理程序保證硬件和操作系統虛擬化實現在多個用戶虛擬機之間共享硬件資源，而不會彼此干擾。鑒于管理程序虛擬化是保證在多用戶環境下客戶虛擬機彼此分隔與隔離的基本要素，保護其不受未授權用戶訪問是非常重要的。一旦黑客對其進行完整性攻擊，突破這些隔離單元，將造成災難性后果。虛擬化服務提供商應當建立必要的安全控制，包括限制對管理程序及其他虛擬化層面的物理和邏輯訪問；而用戶應當理解相關技術及虛擬化服務提供商的安全控制流程。虛擬化軟件層的程序絕大部分是服務提供商專有而封閉的源代碼，用戶的安全保障團隊要設法獲得并檢查提供虛擬化服務提供商的軟件源代碼，保障自身安全。（2）虛擬化系統采用虛擬防火墻在基于云計算的虛擬化技術中，安全等級往往采用域進行構建，域與域之間有邏輯隔離。為了實現虛擬機之間安全互訪[7]，虛擬防火墻要具有基于IP地址（特定的地址或子網）、數據包類型（TCP、UDP或者ICMP）以及端口（或者端口范圍）進行流量過濾的功能。同時，為了防止遭受外界攻擊，要阻止所有到虛擬服務器的端口，建議只使用端口號22（SSH——安全外殼協議，要有密鑰認證）來管理虛擬服務器的資源。（3）通信加密和虛擬機身份驗證使用謂詞加密、完全同態加密等各種手段，用HTTPS、TLS、SSH，或者加密VPN來管理。除了通信加密以外，還應有身份鑒別和認證手段，以防止偽造源IP攻擊、連接劫持、中間人攻擊等。虛擬機和宿主機一樣也需要升級認證方式，比如使用key登錄、口令的加密存儲等。

虛擬機技術還面臨著很多其他已知和未知的威脅，這些威脅需要逐一去研究解決，尤其是在國內這樣大范圍使用虛擬機但虛擬機安全技術卻暫時落后的背景下，自身掌握虛擬機的安全技術就顯得更加重要和必要。同時，可信邊界的變動造成了人們對虛擬化技術應用的顧慮，加強對虛擬化技術安全特性的研究是一個非常有意義的課題。

本文作者：范偉韓奕黃偉慶工作單位：中國科學院信息工程研究所

摘要：詳細地闡述了虛擬化技術相關概念、工作原理、優勢及其發展趨勢。針對目前西南空管局氣象中心現有服務器資源現狀以及機務員服務器維護情況，為使資源配置更加靈活、提高資源利用率及降低成本，提高工作效率，提出了空管氣象虛擬化建設方案相關方案，并對這些內容進行了詳細的研究，包括虛擬化產品的選擇、vSphere虛擬化基礎架構的搭建、虛擬化網絡搭建、虛擬化平臺維護和使用等，同時分析了其應用前景。

關鍵詞：虛擬化；空管氣象；vSphere平臺；基礎架構搭建

1虛擬化技術

1.1虛擬化概念。虛擬化是一種資源管理技術，是將計算機的各種實體資源：CPU、內存、磁盤空間、網絡適配器等，通過抽象轉換后可以重新分區組合為邏輯上的一臺或多臺計算機配置，從而打破了物理結構之間的障礙，使用戶可以獲得比原先更好的資源配置。未來，所有的資源都將以邏輯管理的方式透明地運行在各種各樣的物理平臺上，根據用戶需求實現資源的動態分配，用戶在使用過程中感受不到物理設備的差異。虛擬計算機系統為VM，即“虛擬機”，也稱為“客戶機”，它是一個嚴密隔離的軟件容器，可以運行自己的操作系統和應用程序，每個功能完備的虛擬機都是完全獨立的。一臺host即“物理服務器”或“宿主機”上可以同時運行多臺虛擬機。VMM(VirtualMachineMonitor)是一種運行在“物理服務器”和“虛擬機”之間的中間層軟件，可以根據各虛擬機操作系統和應用程序的需求動態分配物理服務器資源池中的硬件資源，并在各虛擬機之間施加隔離防護。1.2虛擬化優勢。降低企業IT運營成本：將運維人員從繁重的物理服務器、管理工作中解放出來，使設備管理更加便捷，提高IT部門的工作效率。提高了資源的利用率：將閑置資源靈活配置，動態分配。資源可以以更小的單位提供，極大程度地提高了物理資源的利用率，降低多余的能耗。提高可靠性：可以實現虛擬機的隨意遷移，硬件級別故障恢復以及安全隔離，保證業務的連續性從而實現了安全性和可靠性。縮短上線周期：虛擬化可以對批量安裝計算機進行模板化處理，縮短了安裝部署時間，加快了應用和資源的調配速度，從而縮短業務上線周期。

2現狀分析

目前西南空管局氣象中心現有空閑IBMX3850、X3650系列服務器多臺，DELLR710、R720系列服務器多臺，后續陸續還會有其他服務器閑置出來。同時，現有服務器主機數量眾多并且部署在不同的機柜，而且每臺服務器操作系統不同，都要部署各種不同業務軟件，由于業務軟件種類繁多且版本并不統一，這樣就造成了軟件部署和升級的困難，業務軟件使用起來也不是很方便，這些主機也不便于管理和維護。引入虛擬化技術，將這些服務器主機進行虛擬化，這些服務器加入到集群中作為資源池統一進行管理并動態調度分配資源，可以有效地提高這些服務器利用率，避免浪費，同時可以極大地提高機務員的用戶體驗，簡化了每個業務的維護和升級，使業務服務器使用更加安全靈活。

摘要：相比于傳統架構，服務器虛擬化技術實現了計算、網絡和存儲資源的統一管理，具有更高的平臺投資效費比、簡化管理難度及擴展性強等優勢，將其應用于黨政內網及軍工涉密等信息敏感程度高和網絡安全重要性強的領域，建設基于服務器虛擬化技術的數據中心，對其網絡安全方面提出了更高的挑戰。文章通過分析服務器虛擬化涉及的網絡安全風險點，提出了選用國產自主可控的安全虛擬化產品、三網分離、安全域劃分等網絡安全設計思路，在提升數據中心運行效能的前提下，使得數據中心網絡更加安全、可靠。

關鍵詞：服務器虛擬化；數據中心；網絡安全

在新的信息技術不斷革新，網絡安全形勢復雜變化的大背景下，虛擬化技術作為云計算的關鍵技術，逐漸顯現了其在數據集中管控、安全邊界收緊、用戶策略統一管理等安全優點，并在減少投資、降低管理成本、提高資源利用效率等方面具有優勢。將虛擬化技術應用于黨政內網及軍工涉密等信息敏感程度較高的領域的需求是迫切的，本文在深入分析虛擬化環境下信息系統安全風險的基礎上，基于國產自主可控的安全虛擬化產品，從虛擬化資源管理系統安全、身份認證與管理、安全監控與審計、病毒與惡意代碼防護、端口及介質管控、管理平臺安全等方面進行了安全設計和產品實現，有效控制了網絡安全風險。

1安全風險分析

通過對虛擬化環境下數據中心網絡安全風險進行整理及評估，需要重點解決的風險點如表1所示。

2網絡安全設計

隨著云計算技術的快速發展，云計算的應用已經逐步深入到政府、金融、工業、交通、物流、醫療健康等行業領域。桌面云技術是云計算技術的分支，在醫療行業中，桌面云技術具有廣泛的應用基礎和必要性。本文根據醫療行業PC辦公環境的現狀，分析了現有問題，從運維、成本、安全、管理等各方面帶來提升，醫院IT運維人員相對較少，但醫療行業的醫院工作量較大，需要維護的醫院系統較多。提出了一套桌面云在醫院信息化業務系統中的應用方案，對該方案的整體架構、設計思路和應用價值作了相關論述。近年來，云計算技術得到廣大用戶認可。桌面云作為云服務之一，它是基于云計算模式的桌面服務。它通過虛擬化技術將計算、存儲等資源集中到數據中心，形成資源池，強化信息存儲和應用[1]，實現資源共享，所有用戶按需獲取資源[2]。在醫療行業中，隨著醫院信息化工作的不斷推進，傳統的終端PC固有的一些問題開始在眾多的業務系統和龐大的用戶數量面前逐漸凸顯，桌面云作為一種新興的醫療解決方案開始逐漸走進人們的視野中，并在應用中不斷被深化和完善，挖掘其隱藏的優勢，充分發揮其在醫院中的作用[3]。安徽省胸科醫院近期實施了桌面云項目，托管醫院衛寧健康醫療軟件，包括門診、住院、醫技、藥房、物資等全部終端業務系統，為用戶提供完整的桌面云業務系統辦公平臺。

1現狀分析

1.1醫院傳統辦公桌面存在的問題

(1)運維復雜化。在醫療系統管理、門急診系統管理、住院系統管理等應用上，每個系統的應用需求和應用環境都有很大的不同，對于窗口業務來說，如何保證系統高可用性，在患者直接接觸的終端環境，是面臨的一個比較負責的問題[4]。同時醫療服務窗口眾多、業務應用繁雜、外設需求高、使用習慣差異大，所以出現軟硬件故障的概率非常高，如果IT人員需要前往各個維護點現場處理，工作量很大。更可怕的是在醫療高峰期時，往往會由于終端問題而無法及時為患者辦理相關業務，引起滿意度下降。(2)總體成本高。在管理過程中，計算機故障率逐年攀升，維護量大且效率低下，雖然前期采購PC的成本相對較低，但無法抵消后期管理和維護的高成本。目前，PC的管理主要包括操作系統環境、應用程序的安裝、配置和更新，以及日常的桌面維護。隨著應用程序數量的增加，維護成本也在上升另外，隨著PC的不斷增加，效能、辦公位置等問題已經日益突現出來，長期以往，運營成本是非常高昂的。(3)數據安全難保障。在醫療及綜合管理業務終端在日常辦公過程中，難免會涉及病歷、藥品、財務等敏感數據，因此，有必要確保終端上私有數據的使用安全和傳輸過程中的安全，特別是當多個醫生和護士共享一臺電腦工作站時，信息安全更為重要。然而，傳統的使用桌面管理軟件配置各種策略的方法往往效果不明顯，這會帶來額外的管理工作量，數據安全卻難以保障。

1.2建設目標

(1)簡化桌面運維流程。對醫務人員的工作桌面進行集中管理，提高醫療信息系統的部署效率。IT人員可以通過統一控制臺，無需到各個部門，遠程實現桌面及醫療應用的維護與管理。(2)保護醫療系統的安全。綜合醫院已經實現了醫療系統的內外網絡隔離，但由于計算機接口的通用性，USB等外設端口往往成為安全弱點，一些病毒通過使用USB進行交叉傳播，成為醫院內部網絡與外部網絡之間的間接接口，構成脆弱性，也就成為安全隱患,將敏感數據從所有醫院終端系統上移除，從而減少數據安全隱患，同時通過配置策略集中控制各種外圍設備的使用，降低病毒入侵的概率，有效保證診所和系統的安全，確保醫院業務具有最高級別的可用性。(3)敏捷高效的診療服務。實現桌面的可移植性。您可以隨時在不同的設備上按需調用自己的工作桌面，這樣醫生就可以在不同的科室獲得一致的醫療系統訪問體驗，即使是在家里和辦公場所。更便捷地查詢病人資料，以及開化驗單、檢查單等醫囑，從而明顯改善醫療效率，提高患者的醫療服務滿意度。(4)構建綠色節能型醫院。醫生和護士的辦公終端需要更換為瘦終端（小書包）。采用無風扇零噪聲設計，滿足醫院辦公靜音的需要。同時，每臺瘦終端能耗僅為10W，臺式機200W左右，如果采用瘦終端可以節省90%的用電成本，滿足國家提倡的低碳節能醫院建設要求。減少碳排放，工作與電腦息息相關，為國家綠色低碳發展貢獻自己的力量。