虚拟赢家:VMware'ESX KO是一个粗略构建的Hyper-V软件包

的VMware得益于成熟性带来的可管理性,稳定性

1 2 Page 2
第2页,共2页

加载的计算机需要几秒钟才能完成快照。快照功能可用于回滚或还原服务器的使用状态,但有一定的含义。例如,由于应用程序的事务状态被冻结,服务器在短时间内不可用,因此用户可能会发现其应用程序性能不佳,因为在获取快照状态时无法访问服务器。此外,操作系统状态和/或应用程序许可中可能会或可能不支持系统状态的快照,在该快照中,随后随后将渲染的图像用作另一个计算机上的实例。 微软最近更改了其策略,以允许将VM实例(对于Windows的各种版本)从一台主机迁移到另一台主机,但是许可禁止VM实例自发移动,无论其状态如何。该状态还可以表示重新实例化时需要维护的应用程序或文件状态。事务状态也可能也必须进行验证。

我们测试的VMware 基础设施 Foundation版本中包含VMware的Virtualized Consolidated Backup(VCB),可将完整和增量备份添加到来宾主机的磁盘或磁带上。在备份过程中,文件系统处于静默状态,以使事物保持同步(可能是暂时的),并从整个过程中取消VM guest虚拟机操作系统/应用程序的可用性。 的VMware表示VCB还具有与CommVault EMC,HP,Symantec,Symantec / IBM / Tivoli和其他备份应用程序的集成功能,但是我们没有测试该集成级别。

的VMware的ESX使用两种捕获系统之一来提取VM映像,一种使用实时运行的服务器开发VM映像,另一种则使用关闭服务器的磁盘并捕获磁盘状态。我们捕获了几个操作系统(请参阅 我们是怎么做到的),发现这是一个简单且有效且一致的过程。

监控能力

VM在诞生时即被分配了共享资源,然后必须在这些设置的范围内生存。当VM实例使用其最大分配量或被允许不断插入共享(超额预订)资源时,管理员需要知道,以便帮助台不会因为明显的应用程序不足而抱怨。

我们使用SC-VMM的实例监视功能来观察CPU,内存和磁盘的使用(多少和频率)以衡量其功能与VIC监视VM性能属性的能力。为了使简短的讨论简短,它们几乎相同。每个虚拟机的重要特性均受到监控。在看是否超过阈值会触发警报时,VIC排在首位。未在SC-VMM内部监视阈值,因为这需要使用Systems Center系列中的其他产品。但是,VIC允许我们在诸如CPU利用率之类的领域设置阈值,其中零利用率意味着可能应用程序崩溃或达到上限,这意味着应用程序正在达到峰值。

使用VirtualCenter 基础设施 Client,您可以根据我们需要了解的条件来设置警报,例如CPU,内存,网络或磁盘使用率何时超过或低于某个特定阈值,或者计算机状态更改或没有VM心跳。严重性共有三种颜色,绿色,黄色和红色。绿色表示一切正常,黄色表示警告,红色表示严重。一旦被触发,它就被记录在日志文件中。我们可以通过频率(以秒为单位)或容差(以一定百分比)设置再次触发的频率。我们还可以设置触发触发后要执行的操作。这些操作包括发送电子邮件,发送通知陷阱,运行脚本,打开/关闭VM,挂起VM以及重置VM。

尽管没有内置SC-VMM的警报或触发器选项,但是只有少数选项可以让我们在服务器启动时启动特定的虚拟机。或者,当服务器关闭时,Hyper-V都可以保存关闭虚拟机的状态。

安全可以用一些牛肉

在两个方面,我们都与两个虚拟机管理程序存在安全性方面的问题。第一个大问题是,用于构建虚拟访客的映像没有在任何一个平台上进行序列化和/或验证。如果可以访问映像存储区,则仅文件系统时间/日期/修改元数据将能够指示虚拟机映像已被使用或被更坏地篡改。

由于这两个管理程序都缺少本机存储库,因此必须将图像存储在管理员选择的区域中,并希望通过外部方法(例如MD5哈希,基本校验和或其他可以验证图像内容的方法)进行身份验证。 的VMware确实将ID号嵌入到映像内容中,以进行枚举,但不用于身份验证。由于ESX和Hyper-V都以易于安装的文件系统格式生成映像,因此即使具备基本技能和文件系统访问权限的黑客也可以篡改映像。这至少请求了一个最小的图像存储库方案,该方案记录了甚至包含在基本捆绑包中的身份验证哈希或数据。

我们还发现,ESX在其严格基于Windows的VirtualCenter中没有管理密码强度。如果密码较弱,则可以通过字典密码攻击来获取访问权限。

通过SC-VMM管理的Hyper-V可通过默认密码或定义的Active Directory密码访问,默认情况下密码强度很强,并且可以增强密码强度和/或使用其他身份验证方案。

几乎忽略了第三方身份验证设备。尽管在Hyper-V下运行的Windows 2008 Server具有一些身份验证机制,但是缺少对这两个虚拟机管理程序的受控访问。但是,仍然不存在对Hyper-V或ESX的直接身份验证。

在安装VMware时,默认情况下,VMware添加了一个基本防火墙来环绕自身。表面上,Windows Server 2008中内置的Windows防火墙组件表面上保护了Hyper-V VM来宾,但是我们没有对这两种产品进行攻击,以查看是否可以破解它们。如果打开端口,我们可以对VM guest虚拟机进行指纹识别,其中存在未开发的攻击媒介。

概要

的VMware悠久的虚拟历史使ESX产品有足够的时间成熟到非常稳定,可用的产品。

微软发布的虚拟化产品具有运球性质-Hyper-V,Linux接口连接器工具包(LinuxIC)和SC-VMM 2008分别在Windows 2008 Server版本问世六个月,八个月和十个月之后到来-当然是将Hyper-V迅速部署到可以赢得成功的环境中将无济于事。微软的发展实力显而易见,但随着微软在爆炸性的虚拟化市场中追赶,技术细节将摆在魔鬼面前。

亨德森和艾伦是印第安纳波利斯的ExtremeLabs的研究人员。与他们联系 [email protected].

西北实验室联盟

亨德森还是网络世界实验室联盟(Network World Lab Alliance)的成员,该联盟是网络行业顶级评论员的合作组织,每位评论员都具有多年的实践经验。有关实验室联盟的更多信息,包括成为会员所需的信息,请访问: www.networkworld.com/alliance.

加入以下网络世界社区 脸书领英 对最重要的话题发表评论。

版权© 2008 IDG通讯,Inc.

1 2 Page 2
第2页,共2页