存储虚拟化技术范文10篇

摘要存储技术的发展经历了从单个磁盘、磁带到DAS、NAS、SAN存储网络系统的历程，对存储环境和资源共享的迫切需求推动着存储虚拟化成为主流技术。本文通过对虚拟存储的综述，对虚拟存储化的基本概念、体系结构、实现方法、关键技术做了比较和分析。重点介绍基于网络的虚拟化技术，讨论了其关键技术与主要实现方法。

关键词存储虚拟化；逻辑存储；对称/非对称

1引言

随着信息数字化、网络化开展的各种多媒体处理业务的不断增加，企业的信息量不断增加，面对不断膨胀的数据量和不断增多的物理存储设备，如何能够保证一个存储系统具有高性能的I/O吞吐率、高可靠性和高扩展能力，以及良好的容错性能，成为各个IT产商倾注极大热情去解决的重大问题。特别是由于在存储系统中存在着大量的异构服务器和存储系统，非常有必要进行全面的存储管理，而传统DAS、NAS和SAN等存储形式已无法满足以上对存储设备的需求，所以存储虚拟化逐渐成为共享存储管理的主流技术。

2虚拟存储的概念

存储虚拟化是把不同接口协议(如SCSIiSCSI或FC等)的网络存储设备(如JBOD、RAID和磁带库等)整合成一个虚拟的存储池，根据需要为主机创建和提供虚拟存储卷。存储虚拟化是具存储设备和存储系统的抽象，展示给用户一个逻辑视图，同时将应用程序和用户所需的数据存储操作和具体的存储控制分离。因而可以充分利用异构平台的存储空间，达到最优化的使用效率。

摘要存储技术的发展经历了从单个磁盘、磁带到DAS、NAS、SAN存储网络系统的历程，对存储环境和资源共享的迫切需求推动着存储虚拟化成为主流技术。本文通过对虚拟存储的综述，对虚拟存储化的基本概念、体系结构、实现方法、关键技术做了比较和分析。重点介绍基于网络的虚拟化技术，讨论了其关键技术与主要实现方法。

关键词存储虚拟化；逻辑存储；对称/非对称

1引言

随着信息数字化、网络化开展的各种多媒体处理业务的不断增加，企业的信息量不断增加，面对不断膨胀的数据量和不断增多的物理存储设备，如何能够保证一个存储系统具有高性能的I/O吞吐率、高可靠性和高扩展能力，以及良好的容错性能，成为各个IT产商倾注极大热情去解决的重大问题。特别是由于在存储系统中存在着大量的异构服务器和存储系统，非常有必要进行全面的存储管理，而传统DAS、NAS和SAN等存储形式已无法满足以上对存储设备的需求，所以存储虚拟化逐渐成为共享存储管理的主流技术。

2虚拟存储的概念

存储虚拟化是把不同接口协议(如SCSIiSCSI或FC等)的网络存储设备(如JBOD、RAID和磁带库等)整合成一个虚拟的存储池，根据需要为主机创建和提供虚拟存储卷。存储虚拟化是具存储设备和存储系统的抽象，展示给用户一个逻辑视图，同时将应用程序和用户所需的数据存储操作和具体的存储控制分离。因而可以充分利用异构平台的存储空间，达到最优化的使用效率。

在区域医疗信息化实际建设过程中，各医院在不同地域分布，每日均有大量医疗数据需要处理。各个医院的社会保险、电子病历、LIS、PACS及RIS等系统，建成时期不同，各类系统数据储存过于分散，另外，还存在不同的储存介质与方式。此种布局分散的存储架构与服务器，不仅难以维护、成本昂贵，而且无法实现数据资源的共享。至此，需尽快解决该模式，通过区域信息的共享技术、网络技术以及数据中心相关平台等，以加快医疗数据的使用效率，在开展医疗数据库建设中，云计算有着极大的运用价值和作用。

1建设医疗信息相关系统下的虚拟平台具体结构研究

在云计算下，医疗的虚拟平台建设结构一共分为四个层级，第一个层级是以物理资源为主的层级，第二个层级是以虚拟桌面为主的层级，第三个层级是以终端接入为主的层级，第四个层级是以虚拟资源为主的层级：1.1终端接入层。包含有各种能接入internet的客户端设备，如移动电话、平板电脑、PC终端、PAD等。针对护士站以及医生站等医院业务部门的平台使用用户，通过客户端可以直接接入到信息系统中，然后进行移动办公。此外，对于医院患者而言，也可利用客户端，登录信息平台，然后开展所需要的自主式服务，查询其个人的身体健康信息。1.2以虚拟桌面为主的层级。使用本地客户端对数据库的信息流进行下载并储存，然后再以虚拟桌面方式为医疗人员和护士进行展示，让平台使用用户可以通过虚拟桌面进行业务操作和办公等，比如查询检验报告、下达医嘱及病历书写等。从本质上看，所谓的终端就是显示设备，平台使用用户的数据资料都能通过云端进行操作处理和储存，而在终端中没有相关副本存储，以确保医疗数据使用的安全性。1.3虚拟资源层。此层包含数据的存储以及计算等，将物理资源逐渐虚拟化，从计算虚拟化上看，其可以提升服务器的使用效率，降低服务器的数量，促进服务器高效化应用和管理，而虚拟化的储存利用虚拟化手段，能够把各类型存储介质实施集中式管理，并且提供大容量、传输性能高的相关存储系统。1.4以物理资源为主的层级。包含有各种硬件基础设施，如网络、机柜、存储及中心服务器等。

2关于医疗数据库的虚拟化研究

采取云技术进行区域数据库建设的时候，配置两套相关刀片中心，其中一个中心设置于主机房，另一个中心设置于备用机房，当作生产站点刀片服务器，通过Vmware来建设虚拟机，虚拟机的服务对象是医院的各项业务，然后组合成一台虚拟的服务器，这些服务器在功能上、性能上、操作上都和以往单台式物理服务器一样，对虚拟业务进行计算的资源平台服务器多作为生产站点，并承担维护工作（如OA、Web、RIS和HIS等），其他的服务器多在异地情况下作容灾管理相关系统中的在线式容灾，实现自生产数据库的制灾难式恢复站点切换（自动切换）。确保容灾时的安全性。为了能够自动化控制刀片服务器系统，集中管理与监控虚拟服务器，以便更好控制与管理虚拟环境，通过将虚拟控制中心软件VmwareVirtualCenter安装在一台服务器上，便能够集中管理全部的虚拟服务器与物理服务器。经虚拟中心，对集中控制的服务器，应该进行合理的资源调配，然后令虚拟机能够进行迁移自动化，确保医疗核心业务数据的可用性，虚拟的控制中心相关软件能够使各虚拟器间互不影响、相互独立，除了能够有效、集中管理服务器之外，还能减少服务器硬件的投入。在数据库网络的选择上，主要选择稳定性好、安全性高的双网设计网络，其中光纤磁盘型阵列可以在SAN网络下进行数据储存，这一存储服务器和管理与应用服务器一样，都需要通过虚拟技术在一台物理服务器上集中设置。对于网络存储的虚拟化上看，这主要通过存储资源池，对存储模块实施集中式管理，并且提供大容量、传输性能高的相关存储系统；促进资源使用效率提高，从新增加的存储模块上看，在确保不会影响存储系统的工作下加到存储中，当存储系统某一个存储节点发生故障问题都不会给其它的存储模块运作产生影响。

3云计算下的医疗信息化构建效果

摘要：大数据及云计算信息技术的不断发展，使得不同行业都开始借助于云服务器、后台数据库，进行网络海量数据资源的虚拟化处理、分布式计算、并行计算处理，以实现对多源数据的高效搜集、统计处理与存储。该文从云计算的Hadoop架构、SOA服务体系、数据挖掘、分布式计算和HDFS存储等技术着手，探讨将多种云计算技术，应用到海量数据信息处理中的实施策略，来为网络大数据服务系统的正常运转提供保障。

关键词：云计算技术；计算机；数据处理；应用

移动互联时代下的数据处理，面临着数据信息的海量化、实时化、低质化，如何对多种网络数据资源进行快速筛选、及时处理与分类存储，成为各企业网络数据信息传输、业务处理的主要困境。因而引入大数据及云计算技术，依托云服务器、数据中心交换机、后台数据库等硬件设备，对广域网或局域网内的数据资源，进行采集、处理、分析与存储，将数据处理结果发送至客户终端设备进行显示，实现对计算机数据的实时掌控与应用。

1云计算技术的主要内容及其与计算机数据处理的关联性

1.1大数据及云计算技术的内容概述

“云计算”是美国国家标准与技术研究院提出的概念，其作为一种分布式计算技术，主要根据不同客户的数据资源处理需求，通过网络“云”将巨大的数据计算处理任务，分解为一个个小的数据计算任务，在多个后台服务器上进行数据处理、分析的工作执行。特别随着虚拟化技术、并行计算技术的快速发展，网络云计算平台也开始将多种软硬件虚拟化，包括网络通信接口、服务器、存储模块等的虚拟化。之后利用虚拟化计算机，进行虚拟系统多个主节点、从节点的任务分配，来完成数据资源的配置、处理与存储工作。因而现阶段云计算技术基础架构，通常由SOA服务体系、物理资源层、资源虚拟化层、用户与映像管理层等层级组成，具体如图1所示。图1云计算技术基础架构1）SOA服务体系层。SOA服务架构主要为不同应用程序的功能服务，提供相应的网络通信协议、服务接口，通常包含服务接口、服务注册、服务查找、服务访问、服务工作流等组件。根据网络应用组件的粗粒度、调用需求，对多个分布式的服务模块进行封装，再通过相应面向对象的定义接口，提供客户需要的Web服务。2）映像管理层。映像管理层是对不同客户权限请求、虚拟资源管理的层级，包含用户管理、映像管理、资源管理等安全管理等内置组件。其中用户管理负责对用户访问权限、数据处理请求等进行管理，映像管理层则用于任务映像建立、映像排布与映像库管理，控制后台服务器端、客户终端之间的映像周期。而虚拟资源管理，主要是对虚拟计算机负载状况的监测、统计，以保障数据资源处理过程中的虚拟机负载均衡。3）资源虚拟化层。资源虚拟化层是在物理资源层的基础上，依托网络计算机、存储器和数据库等硬件，构建起存储资源池、计算资源池、数据资源池等虚拟模块，为后台服务器中硬件资源的虚拟化提供支持。而硬件资源虚拟化层，在收到客户端数据处理的任务请求后，会向其分配相对应的数据在云计算基础架构中间的任务管理层，会在收到用户相应的任务请求后，将与之匹配的虚拟资源。

摘要：高职院校信息化建设中存在着服务器资源利用率较低、管理效率低下、权限分配不合理、系统业务连续性差、服务缺少备份、存在单点故障可能等一系列问题，在信息化建设中引入VMware软件对现有服务器硬件实施虚拟化，对数据中心进行升级改造，可达到提高资源利用率，降低运维成本，提升运维效率，实现服务应用的高可用性。

关键词：数据中心虚拟化；VMware；高可用

随着国家近年来对高职教育重视程度不断加深，高职院校也在不断加大对信息建设的投入力度，各部门为提高教学管理手段，广泛采用各种教学及辅助应用，由此在建设使用过程中发现了很多以前没有重视的问题，例如整个信息化服务体系的资源利用偏低、硬件投资缺乏整体规划思路等。如何将现有硬件资源充分利用并提高使用效率逐渐提上日程，而硬件虚拟化技术作为私有云服务及大数据时代的一类新兴技术，可以有效契合当前高职院校的现实需求。

一、高职院校信息建设中客观存在的问题

随着信息化建设的不断深入，为了提高工作及科研效率，更好地为师生服务，各部门都提出了各类新的应用系统，并随着学校管理水平的提高不断增加。根据以往服务中心建设规划，各类新增应用应尽量采用单应用单系统方式进行安装配置，以避免各类应用间的互相干扰，这样就对服务器的硬件资金投入提出了很高要求，而通过政采渠道进行服务器的采购，要通过购买服务器方案申报、财政审批、政采招投标、硬件设备安装等一系列复杂过程，每次所需时间都长达半年甚至一年，延长了部署新应用所需时间，影响了资源的合理调配。几十种应用及服务网站分散部署在对应数量的物理服务器上，一旦单台服务器发生宕机，服务就会中断，导致服务系统稳定性差，业务连续性不高。有时各部门自行维护的服务器由于缺少适合的运维人员，故障处理时间也不好科学把控，一旦出现复杂故障，需要花费较长时间寻找故障点，宕机时间过长，用户意见很大。而且，采用原有的单服务器单应用方式，单台服务器的资源占用一般只有10－20％，资源利用率较低，大量硬件资源闲置无法得到充分利用。因此，信息中心作为整个学校的信息化建设及服务部门，应充分考虑各个部门提出的实际需求，从提高现有硬件的使用率入手，通过虚拟化软件将新旧硬件资源进行整合，从而降低现有教学服务应用的故障中断时间，提高学院信息化建设的整体效率。

二、硬件虚拟化实现对现有资源的有效利用

随着云计算技术的不断成熟，高校也将云计算技术应用到其信息化建设当中来，并且随着云计算技术的不断成熟和发展，也让该技术在高校教育中发挥出了其特有的作用。云计算技术在高校信息化建设及应用中也逐步普及起来，对高校教育的支撑和发展也产生了积极的影响。

1教育信息化云服务的特点及发展模式

1.1教育信息化云服务平台。教育信息化云服务可以将高度虚拟化的云资源及海量的信息管理起来，并且将业务和数据整合起来，这是当前IT技术发展衍生的全新的教育信息化管理模式。以云计算为基础，该种模式构建起的平台有四个方面：第一个是基础云构架，第二个是云应用系统，第三是服务系统，第四是学习门户。云应用系统直接面对教育用户，包括教师、学生、教育管理人员，为其提供教学、学习、搜索、资源应用等各类服务。教育信息化服务平台还可以实现个性化需要，更有利于不同教育用户对于信息服务的不同需求，满足多种终端在任何时候的学习，让学习不再受到时间和空间的限制。1.2教育信息化云服务的特点。1.2.1社会化。媒体云的建立，将高校教育的资源进行了充分的整合，借助社会化平台，实现了向社会化的拓展。1.2.2集约性。传统的高校教育信息管理存在很多的局限性，特别是在信息互通方面，因此造成了资源的浪费，由于缺乏完整的数据，所以无法做到全面的业务分析，从而限制了高校信息管理服务的发展。传统的信息管理模式采用的是管理驱动，各个业务系统需要在软硬件各个方面进行投资才能实现协同的发展，从而造成了运营成本的增加，也限制了信息管理服务的发展。1.2.3专业性。教育信息化云服务平台可以将整合的教育资源统计分析，可以为系统的改进提升指明方向，并且可以记录教育用户的学习过程，进行量化，加以分析，以便为其提供个性化服务。1.3云计算技术应用于高校教育管理信息服务发展模式研究。随着信息技术的飞速发展，各个高校也与时俱进，不断完善IT基础设施和校园网络等，信息化建设也逐步成熟，信息技术的不断更新也推进了高校信息化的应用。传统的IT基础设施建设需要投入大量的资金，却缺乏有效的利用，并且随着信息系统的发展，对IT基础设施的要求飞速增长，传统模式难以满足教育信息管理多元化的发展，也限制了信息化的进一步发展。云计算采用分布式和并行处理模式来对资源进行整合和存储，以网络为依托，为用户提供更为快速、便捷、安全的数据存储。作为新型的基础设施交付和使用模式，为高校未来的教育信息管服务奠定了良好的基础。在云构架的校园网基础设施的基础上，采用InfrastructureasaSerice、PlatformasaSerice、SoftasaSerice这三种云计算服务类型，实现了基础网络及资源的管理，并且有效的降低了高校教育信息化建设的成本。通过web或移动端应用软件进行接入，SaaS可以向用户提供云计算基础设施上所运行的各类教育管理服务，而IaaS可以有效的将资源进行整合，其成员可以通过该网络搜索所需要的存储资源，PaaS作为中间件存在的，通过服务形式让开发人员可以在其提供的基础设施上进一步开发部署，不需要进一步购买，从而降低了后续的投资成本，并且为标准化奠定了基础。

2云计算技术在促进高校信息资源共享中的优势

云计算通过网络向用户提供其所需要的平台、资源，是一种新型的服务交付和使用模式，“云”中的资源可以按需使用，并且可以无限扩展。2.1云储存技术可以提高高校信息资源共享能力。传统的高校信息管理系统，各个位置的信息若要整合需要借助大量的人力物力，而云计算技术的出现，实现了对各个位置信息的整合，将信息上传到云端后，进行集中管理和调度。这样减少了资源的重复建设，节省了投资成本，实现了资源集中管理及共享。如Amazon公司借助AmazonSimpleStorageSerice（即Amazon公司提供的网络存储服务，简称为S3），通过互联网进行管理和访问，用户可以将资源信息放置于存储云上，有效的降低了数据维护的成本。S3提供了调取资源信息的端口，用户可以通过SOAP接口、REST或应用程序都可以实现对存储数据资源的访问及调取。2.2减少人力投资，降低硬件和软件成本。云计算技术的应用实现了资源的整合，及信息的集中管理，不仅减少了人力投资，还有效的降低了高校信息化建设的成本，却能满足高校更多的信息管理需求。高校无需投入大规模资金来进行高校信息化的建设，转而向供应商租用教育平台即可实现对新服务的需求。2.3分布式计算技术和并行处理可提供强大的计算能力。信息资源数据上传到云端后，云端对信息进行分块、多副本备份存储，这种方式叫做分布式存储，用户在对信息数据进行处理时，大规模的分布式存储则可以实现大规模的并行计算。MapReduce编程模型则是分布式计算技术，是由HadoopDistributedFileSystem和GoogleFileSystem所开发和应用的。所有的数据资源上传到虚拟的服务器上，通过多台计算机协作完成对数据信息的分布式存储，同时，云平台支持异构接入，用户只需要发出申请，平台就可以根据申请灵活扩展，从而实现与最新信息的同步更新，这也为实现实时信息共享提供了保障。2.4提高数据的存储安全。云计算通过多种模式来保障其云端资源信息的安全性，如计算节点同构、数据多副本等等。云计算可以避免网络超载，实现了分布式、异构信息资源的均衡负载。并且云计算还可以保障共享资源的安全，在日常工作中，可以通过冗余备份、容错荣灾等技术避免操作不当造成的资源破坏，也可以避免病毒入侵或硬件损坏造成的信息资源丢失等等。当前阿里巴巴、腾讯等大型互联网公司及电信运营商都提供云服务，在确保用户资源信息的安全方面，他们采取了很多措施，如数据加密、身份认证、冗余备份等技术都是来确保用户资料信息的安全。2.5虚拟化技术可提高高校基础设施利用率。云计算的核心是虚拟化技术，通过虚拟化技术来构建一个网络、服务器、存储的资源池，并且在云端实现动态的分配，实现了对硬件基础设施的整合和高效利用，有效的降低了高校基础设施的建设成本。

3基于云计算技术的高等教育信息服务平台构建

虚拟机隔离安全的具体实现

虚拟机之间具有良好的隔离性，但在很多应用场合，需要虚拟机间或虚拟机与宿主机之间共享资源或者通信，很重要的一点是要保证虚拟机上的重要信息与宿主操作系统或其他虚拟机的隔离。虚拟机的硬盘等存储设备是虚拟机虚拟出来的存储设备，这些虚拟存储设备的安全性是虚拟机安全性的重要组成部分。虚拟存储设备中的数据，最常见的保存方法就是在宿主操作系统上建立一个文件来保存。例如，在VirtualBox中，虚拟机的硬盘是由一个后缀名为vdi的虚拟硬盘文件保存，而VMWare的虚拟机硬盘则是使用后缀名为vmdk的虚拟硬盘文件保存。通常，这样的文件被称为映像文件（ImageFile），每个虚拟机的客户操作系统的文件系统都完整保存在它们各自的映像文件中。在大部分的虚拟机技术中，映像文件位于宿主机操作系统的文件系统中。因此，恶意代码在宿主机操作系统中读写映像文件就成为对破坏虚拟机或窃取虚拟机信息的一条可能的途径，而且是非常高效和直接的途径。存储器的操作最终都会转换成宿主机操作系统对映像文件的操作[3]，导致映像文件很难与宿主机操作系统的文件系统完全隔离。以明文方式存储在宿主机操作系统中的映像文件使得宿主机操作系统上运行的软件或恶意代码可以从中获取到所有虚拟机操作系统的文件信息和数据，甚至恶意代码可以用病毒或其他文件替换掉映像文件。目前，少数虚拟机技术可以为虚拟机操作系统提供独立的硬盘逻辑分区，与宿主机操作系统进行有效隔离，但这种方式在存储资源的分配上是低效的，在硬盘逻辑分区的管理上也很繁琐。因此，映像文件攻击是一个重要的虚拟机隔离安全问题。一般来说，当用户因关闭系统或重新配置网络等原因不再需要已分配的IP地址时，将不再保留此IP地址。当该IP地址变为可用后，通常把它再分配给其他用户使用。从用户安全角度而论，IP地址再分配使用可能会带来问题，用户无法确信他们对资源的网络访问能否随着IP地址的释放一并终止，从DNS中的IP地址改变到DNS缓存清理，从ARP表中物理地址改变到将ARP地址从缓存中的清除，都会有一定的时间延迟。这意味着，即使地址可能已经变化，原先的地址在缓存中依旧有效，用户还是可以访问到那些理应不存在的资源。信息泄漏是计算机系统中一直存在的一个安全隐患，这是由于很多计算机系统的设计者或者一些安全手段和策略，都没有将信息泄漏考虑在内。隐蔽通道[4]是信息泄漏的重要渠道。虚拟机虽然具有天生的隔离性，但由于多台虚拟机分布在同一个虚拟机监控器之上，虚拟机之间又具有一定的耦合性，这种特性可以被利用来构造隐蔽通道。在Xen中，Hypervisor保存有一张全局的机器地址到伪物理地址的关系表，称之为M2P表。每一个Domain都能对它进行读操作，并且能通过调用Hypervisor的mmu_update接口来更新属于自己地址范围内的表项。这一特性被证明是可以利用在两虚拟机间构造隐蔽通道的[5]。通信双方的虚拟机共享一个结构数据类型，其中第一个域充当标志（双方互相知道对方的标志），而最后一个域包含实际传递的隐蔽消息。在实际的传递过程中，一方将共享的结构体更新到属于自己地址范围的表项内，而另一方则遍历M2P表的表项，直到找到对方的标志，继而就能通过结构体中的偏移量字段来找到相应的隐蔽消息。Xen虚拟机的CPU负载变化也可以用来构造隐蔽通道[6]。假设两台虚拟机的虚拟CPU（VCPU）被映射到同一个物理CPU（或CPU核），并且假设两台虚拟机运行一个相同的任务。作为隐蔽消息接收方的虚拟机一直执行该任务，而作为发送方的虚拟机则通过执行或不执行该任务来引起接收方中此任务执行时间的变化。于是双方可以这样约定，当发送方不执行此任务时，传递比特0；而当发送方执行此任务时，接收方观察到任务执行时间变长，此时传递比特1。

提高虚拟机隔离的安全性考虑

（1）资源分配的问题虚拟机运行时，要求在物理机上需要有足够的处理能力、内存、硬盘容量和带宽等。为了高效利用资源，有时会分配超出处理能力的资源给虚拟机，很可能会导致拒绝服务。当无法保证所有虚拟机不会在同一时间达到峰值，虚拟机资源共享机制又比较简单，CPU、内存、磁盘、带宽都有可能出现资源不够用的问题，预留出一些额外的处理能力、内存等资源用于调度是非常必要的。（2）限制对虚拟机的访问宿主机对虚拟机的攻击有着得天独厚的条件，包括：不需要账户和密码，即可使用特定的功能来杀死进程，监控资源的使用或者关闭机器；重启机器，引导到外部媒体从而破解密码；窃取文件，比如利用外接存储器等，或直接盗走宿主机的磁盘以访问虚拟文件系统；删除一个或多个虚拟磁盘，把它们挂载到已知管理员密码的机器上，可以进入虚拟机，从而看到该磁盘全部内容；删除整个虚拟机等。宿主机的环境不同，造成的风险也不同，所以要对宿主机的安全提供周密的安全措施：宿主机的物理环境安全，包括对进入机房的身份卡验证，对机器进行加锁（避免被人窃走硬盘）；拆除软驱、光驱；BIOS设置禁止从其他设备引导，只允许从主硬盘引导。另外，对BIOS设置密码，避免被人修改启动选项；控制所有的外部接口。（1）虚拟化软件层的安全隔离软件层位于硬件和虚拟服务器之间，提供终端用户创建和删除虚拟化实例的能力，由虚拟化服务提供商管理，终端用户无法看到并访问虚拟化软件。其管理程序保证硬件和操作系统虚拟化实现在多个用户虚拟机之间共享硬件资源，而不会彼此干扰。鉴于管理程序虚拟化是保证在多用户环境下客户虚拟机彼此分隔与隔离的基本要素，保护其不受未授权用户访问是非常重要的。一旦黑客对其进行完整性攻击，突破这些隔离单元，将造成灾难性后果。虚拟化服务提供商应当建立必要的安全控制，包括限制对管理程序及其他虚拟化层面的物理和逻辑访问；而用户应当理解相关技术及虚拟化服务提供商的安全控制流程。虚拟化软件层的程序绝大部分是服务提供商专有而封闭的源代码，用户的安全保障团队要设法获得并检查提供虚拟化服务提供商的软件源代码，保障自身安全。（2）虚拟化系统采用虚拟防火墙在基于云计算的虚拟化技术中，安全等级往往采用域进行构建，域与域之间有逻辑隔离。为了实现虚拟机之间安全互访[7]，虚拟防火墙要具有基于IP地址（特定的地址或子网）、数据包类型（TCP、UDP或者ICMP）以及端口（或者端口范围）进行流量过滤的功能。同时，为了防止遭受外界攻击，要阻止所有到虚拟服务器的端口，建议只使用端口号22（SSH——安全外壳协议，要有密钥认证）来管理虚拟服务器的资源。（3）通信加密和虚拟机身份验证使用谓词加密、完全同态加密等各种手段，用HTTPS、TLS、SSH，或者加密VPN来管理。除了通信加密以外，还应有身份鉴别和认证手段，以防止伪造源IP攻击、连接劫持、中间人攻击等。虚拟机和宿主机一样也需要升级认证方式，比如使用key登录、口令的加密存储等。

虚拟机技术还面临着很多其他已知和未知的威胁，这些威胁需要逐一去研究解决，尤其是在国内这样大范围使用虚拟机但虚拟机安全技术却暂时落后的背景下，自身掌握虚拟机的安全技术就显得更加重要和必要。同时，可信边界的变动造成了人们对虚拟化技术应用的顾虑，加强对虚拟化技术安全特性的研究是一个非常有意义的课题。

本文作者：范伟韩奕黄伟庆工作单位：中国科学院信息工程研究所

摘要：详细地阐述了虚拟化技术相关概念、工作原理、优势及其发展趋势。针对目前西南空管局气象中心现有服务器资源现状以及机务员服务器维护情况，为使资源配置更加灵活、提高资源利用率及降低成本，提高工作效率，提出了空管气象虚拟化建设方案相关方案，并对这些内容进行了详细的研究，包括虚拟化产品的选择、vSphere虚拟化基础架构的搭建、虚拟化网络搭建、虚拟化平台维护和使用等，同时分析了其应用前景。

关键词：虚拟化；空管气象；vSphere平台；基础架构搭建

1虚拟化技术

1.1虚拟化概念。虚拟化是一种资源管理技术，是将计算机的各种实体资源：CPU、内存、磁盘空间、网络适配器等，通过抽象转换后可以重新分区组合为逻辑上的一台或多台计算机配置，从而打破了物理结构之间的障碍，使用户可以获得比原先更好的资源配置。未来，所有的资源都将以逻辑管理的方式透明地运行在各种各样的物理平台上，根据用户需求实现资源的动态分配，用户在使用过程中感受不到物理设备的差异。虚拟计算机系统为VM，即“虚拟机”，也称为“客户机”，它是一个严密隔离的软件容器，可以运行自己的操作系统和应用程序，每个功能完备的虚拟机都是完全独立的。一台host即“物理服务器”或“宿主机”上可以同时运行多台虚拟机。VMM(VirtualMachineMonitor)是一种运行在“物理服务器”和“虚拟机”之间的中间层软件，可以根据各虚拟机操作系统和应用程序的需求动态分配物理服务器资源池中的硬件资源，并在各虚拟机之间施加隔离防护。1.2虚拟化优势。降低企业IT运营成本：将运维人员从繁重的物理服务器、管理工作中解放出来，使设备管理更加便捷，提高IT部门的工作效率。提高了资源的利用率：将闲置资源灵活配置，动态分配。资源可以以更小的单位提供，极大程度地提高了物理资源的利用率，降低多余的能耗。提高可靠性：可以实现虚拟机的随意迁移，硬件级别故障恢复以及安全隔离，保证业务的连续性从而实现了安全性和可靠性。缩短上线周期：虚拟化可以对批量安装计算机进行模板化处理，缩短了安装部署时间，加快了应用和资源的调配速度，从而缩短业务上线周期。

2现状分析

目前西南空管局气象中心现有空闲IBMX3850、X3650系列服务器多台，DELLR710、R720系列服务器多台，后续陆续还会有其他服务器闲置出来。同时，现有服务器主机数量众多并且部署在不同的机柜，而且每台服务器操作系统不同，都要部署各种不同业务软件，由于业务软件种类繁多且版本并不统一，这样就造成了软件部署和升级的困难，业务软件使用起来也不是很方便，这些主机也不便于管理和维护。引入虚拟化技术，将这些服务器主机进行虚拟化，这些服务器加入到集群中作为资源池统一进行管理并动态调度分配资源，可以有效地提高这些服务器利用率，避免浪费，同时可以极大地提高机务员的用户体验，简化了每个业务的维护和升级，使业务服务器使用更加安全灵活。

摘要：相比于传统架构，服务器虚拟化技术实现了计算、网络和存储资源的统一管理，具有更高的平台投资效费比、简化管理难度及扩展性强等优势，将其应用于党政内网及军工涉密等信息敏感程度高和网络安全重要性强的领域，建设基于服务器虚拟化技术的数据中心，对其网络安全方面提出了更高的挑战。文章通过分析服务器虚拟化涉及的网络安全风险点，提出了选用国产自主可控的安全虚拟化产品、三网分离、安全域划分等网络安全设计思路，在提升数据中心运行效能的前提下，使得数据中心网络更加安全、可靠。

关键词：服务器虚拟化；数据中心；网络安全

在新的信息技术不断革新，网络安全形势复杂变化的大背景下，虚拟化技术作为云计算的关键技术，逐渐显现了其在数据集中管控、安全边界收紧、用户策略统一管理等安全优点，并在减少投资、降低管理成本、提高资源利用效率等方面具有优势。将虚拟化技术应用于党政内网及军工涉密等信息敏感程度较高的领域的需求是迫切的，本文在深入分析虚拟化环境下信息系统安全风险的基础上，基于国产自主可控的安全虚拟化产品，从虚拟化资源管理系统安全、身份认证与管理、安全监控与审计、病毒与恶意代码防护、端口及介质管控、管理平台安全等方面进行了安全设计和产品实现，有效控制了网络安全风险。

1安全风险分析

通过对虚拟化环境下数据中心网络安全风险进行整理及评估，需要重点解决的风险点如表1所示。

2网络安全设计

随着云计算技术的快速发展，云计算的应用已经逐步深入到政府、金融、工业、交通、物流、医疗健康等行业领域。桌面云技术是云计算技术的分支，在医疗行业中，桌面云技术具有广泛的应用基础和必要性。本文根据医疗行业PC办公环境的现状，分析了现有问题，从运维、成本、安全、管理等各方面带来提升，医院IT运维人员相对较少，但医疗行业的医院工作量较大，需要维护的医院系统较多。提出了一套桌面云在医院信息化业务系统中的应用方案，对该方案的整体架构、设计思路和应用价值作了相关论述。近年来，云计算技术得到广大用户认可。桌面云作为云服务之一，它是基于云计算模式的桌面服务。它通过虚拟化技术将计算、存储等资源集中到数据中心，形成资源池，强化信息存储和应用[1]，实现资源共享，所有用户按需获取资源[2]。在医疗行业中，随着医院信息化工作的不断推进，传统的终端PC固有的一些问题开始在众多的业务系统和庞大的用户数量面前逐渐凸显，桌面云作为一种新兴的医疗解决方案开始逐渐走进人们的视野中，并在应用中不断被深化和完善，挖掘其隐藏的优势，充分发挥其在医院中的作用[3]。安徽省胸科医院近期实施了桌面云项目，托管医院卫宁健康医疗软件，包括门诊、住院、医技、药房、物资等全部终端业务系统，为用户提供完整的桌面云业务系统办公平台。

1现状分析

1.1医院传统办公桌面存在的问题

(1)运维复杂化。在医疗系统管理、门急诊系统管理、住院系统管理等应用上，每个系统的应用需求和应用环境都有很大的不同，对于窗口业务来说，如何保证系统高可用性，在患者直接接触的终端环境，是面临的一个比较负责的问题[4]。同时医疗服务窗口众多、业务应用繁杂、外设需求高、使用习惯差异大，所以出现软硬件故障的概率非常高，如果IT人员需要前往各个维护点现场处理，工作量很大。更可怕的是在医疗高峰期时，往往会由于终端问题而无法及时为患者办理相关业务，引起满意度下降。(2)总体成本高。在管理过程中，计算机故障率逐年攀升，维护量大且效率低下，虽然前期采购PC的成本相对较低，但无法抵消后期管理和维护的高成本。目前，PC的管理主要包括操作系统环境、应用程序的安装、配置和更新，以及日常的桌面维护。随着应用程序数量的增加，维护成本也在上升另外，随着PC的不断增加，效能、办公位置等问题已经日益突现出来，长期以往，运营成本是非常高昂的。(3)数据安全难保障。在医疗及综合管理业务终端在日常办公过程中，难免会涉及病历、药品、财务等敏感数据，因此，有必要确保终端上私有数据的使用安全和传输过程中的安全，特别是当多个医生和护士共享一台电脑工作站时，信息安全更为重要。然而，传统的使用桌面管理软件配置各种策略的方法往往效果不明显，这会带来额外的管理工作量，数据安全却难以保障。

1.2建设目标

(1)简化桌面运维流程。对医务人员的工作桌面进行集中管理，提高医疗信息系统的部署效率。IT人员可以通过统一控制台，无需到各个部门，远程实现桌面及医疗应用的维护与管理。(2)保护医疗系统的安全。综合医院已经实现了医疗系统的内外网络隔离，但由于计算机接口的通用性，USB等外设端口往往成为安全弱点，一些病毒通过使用USB进行交叉传播，成为医院内部网络与外部网络之间的间接接口，构成脆弱性，也就成为安全隐患,将敏感数据从所有医院终端系统上移除，从而减少数据安全隐患，同时通过配置策略集中控制各种外围设备的使用，降低病毒入侵的概率，有效保证诊所和系统的安全，确保医院业务具有最高级别的可用性。(3)敏捷高效的诊疗服务。实现桌面的可移植性。您可以随时在不同的设备上按需调用自己的工作桌面，这样医生就可以在不同的科室获得一致的医疗系统访问体验，即使是在家里和办公场所。更便捷地查询病人资料，以及开化验单、检查单等医嘱，从而明显改善医疗效率，提高患者的医疗服务满意度。(4)构建绿色节能型医院。医生和护士的办公终端需要更换为瘦终端（小书包）。采用无风扇零噪声设计，满足医院办公静音的需要。同时，每台瘦终端能耗仅为10W，台式机200W左右，如果采用瘦终端可以节省90%的用电成本，满足国家提倡的低碳节能医院建设要求。减少碳排放，工作与电脑息息相关，为国家绿色低碳发展贡献自己的力量。