虛擬存儲大行其道 如何保護虛擬環境下的數據安全

虛擬服務器在企業中發揮著越來越重要的作用，管理員面對的現狀是在同一臺物理服務器上安裝了多臺虛擬機。每臺虛擬機都使用物理服務器的一部分進程，內存和輸入/輸出資源。理想狀態是，服務器虛擬化可以提高硬件的利用率。

但是，隨著越來越多的"邏輯"服務器整合到越來越少的"物理"計算機系統上，保護每一臺虛擬機上的數據不受到損壞和丟失就變得至關重要了。虛擬服務器就能提供這種保護。本文將介紹如何使用傳統備份技術和特殊虛擬化工具來對虛擬服務器進行備份，還包括了相關的部署內容。

什么是虛擬服務器備份？

虛擬機就是存在于物理服務器上以單獨實體形式存在的一個完整的邏輯環境。每一臺虛擬機都可以看做是一臺真正的物理服務器。事實上，用戶是無法區分二者之間的區別的。一個數據中心可能在一小部分硬件設備上就運行著上千臺虛擬機，而這就給存儲或備份管理員帶來了嚴重的問題。虛擬機上的數據丟失和物理機上的數據丟失一樣可怕，所以每一臺虛擬機都要成為公司備份制度的一部分，來嚴格執行。

虛擬機的備份可以通過使用一般的備份軟件這種傳統的備份方法來完成。備份軟件只要安裝在每臺虛擬機上并做好配置，備份一般就能正常完成，可以把數據備份到常規的目標源上，包括磁帶、虛擬磁帶庫或者是存儲磁盤上。Enterprise Strategy Group (ESG) 的分析師Lauren Whitehouse表示："這可能是目前最受歡迎的備份方式了，因為這是最簡單的辦法，大家都已經輕車熟路了。這種方法可以保證備份的可靠性，能夠提供小粒度的恢復，而且是專門的應用程序。"

然而，應用傳統的備份策略在虛擬服務器的備份上卻有一些障礙。最主要的問題是資源爭奪的問題。因為備份需要相當可觀的處理能力，而執行備份需要的那些額外的資源可能會影響到這臺虛擬機的性能，甚至是威脅到同一個系統上其他的虛擬機的正常運行。Storage IO Group 的創始人兼高級分析師Greg Schulz 表示："不要追求100%的利用率。"不要讓服務器滿負荷運轉，需要留一些空閑的服務器資源來完成備份的任務，錯開備份的過程，這樣同一時刻的一個物理系統上只有一臺虛擬機在做備份。

虛擬化環境的備份過程更加耗時費力

如果備份軟件是安裝在每一臺虛擬機上的時候，肯定要比安裝在一臺服務器上耗時費力得多，而且這也會讓你的備份過程代價更高。還有，傳統的備份將拷貝程序和數據，但可能并不需要將整個虛擬機的狀態完全記錄下來，不過一旦出現問題，虛擬機可能會需要重建并重新配置，之后才能進行備份恢復。

虛擬化專用工具，例如VMware Consolidated Backup (VCB)或者Microsoft公司的Virtual Machine Manager (VMM)，和各自的虛擬化平臺直接接口，并記錄下整個VMware的Virtual Machine Disk (VMDK)或者是Microsoft的Virtual Hard Drive (VHD)的即時快照。虛擬服務器備份工具VCB 或VMM可以快速記錄整個虛擬機的狀態，虛擬機一般就不需要停機或者離線了。這樣的工具不僅僅可以提供快速的完整的系統恢復，而且完整的快照還可以上載到新的虛擬機上，系統管理員就能夠按需"克隆"虛擬機了。

缺點就是虛擬服務器無法進行文件粒度的恢復。傳統的備份方式，恢復一個單獨的應用程序或者數據文件很簡單。如果只有一個VMDK或者VMM文件，就算只有一個文件丟失或者受損，你也不得不恢復整個快照的內容， 才能完成任務。"有些快照廠商已經解決了如何利用快照級別的備份，并分解成用戶需要的單一文件粒度的恢復，不過并不是所有的廠商都實現了這一技術。"

執行虛擬服務器備份

存儲空間給虛擬機文件帶來了特殊的挑戰。虛擬快照總是被當作一個新的文件，所以也就總是完整的備份下來了，不管上一次快照之后到底有多少數據是真正發生了變化的?？煺者€將使用完全備份的時間并且消耗同樣大小的磁盤/磁帶空間。數據重復刪除，也叫做單一實例存儲，就可以減少這些存儲量。數據重復刪除并沒有縮短備份的時間，因為數據還必須通過網絡傳輸然后才能進行重復刪除。專家建議通過一個設備來進行數據重復刪除或者在源頭進行數據重復刪除可以節省存儲媒介，與此同時可以最小化備份的時間。

虛擬服務器的備份對備份目標源并沒有特殊要求。目前，傳統的備份可以到磁帶、虛擬磁帶庫或其他磁盤系統。不過有些對于性能特別挑剔的用戶會先把數據備份到磁盤，然后將其下線再備份到磁帶。VCB或者VMM備份差不多都是這樣來做的，先備份到磁盤，然后下線后備份到磁帶或者復制到存儲磁盤上保存起來，這和傳統的備份方式沒有什么兩樣。不過，備份保存的時間要考慮清楚，可能并不需要把所有的快照都留存很久，關于這個問題可以咨詢存儲專家以及律師的意見。

虛擬服務器備份還應該可以定時進行校驗和檢查，以保證必需的數據做好了備份，但是這一般包括了將備份恢復到另一臺虛擬服務器上并進行常規操作校驗。對于那些經常做恢復操作的用戶來說，"校驗"過程是持續的；每一次恢復一個文件或者程序時都需要做備份校驗。其他一些實施虛擬化的用戶有專門來做校驗的輔助機器，可以讓管理員進行周期性的備份檢查，而不需要將原始生產機器下線。

簡化備份和災難恢復的過程

某物流企業與客戶之間的生意往來生成了大量的客戶數據。數據量接近20TB，而且還有10TB的測試數據散布在運行著VMware Infrastructure 3虛擬化軟件的數臺EMC服務器平臺上。而虛擬化則讓這家公司可以有效的利用資源，并且簡化備份和災難恢復的過程。

這家企業使用VCB和EMC的Legato備份軟件來對虛擬機進行備份。虛擬服務器備份是在晚間進行的，同時按照需求還會做完全備份。完全備份的過程大概需要6至7個小時，大概有160臺服務器要做備份，其中有一半是虛擬服務器，很難計算出一臺虛擬服務器的備份時間到底要多久。

為了保護現有的虛擬服務器，他們還使用虛擬快照來克隆新的服務器。使用VCB來保存一個虛擬服務器的拷貝，然后可以把這個拷貝恢復到另外一臺虛擬機上，作為前一個的復制品。

EMC的Clariion Disk Library (CDL)提供了對于虛擬磁帶的支持。備份程序既把數據備份到了虛擬磁帶上也備份到了真正的物理磁帶上，所以這家企業擁有兩種備份。此外，目前的LTO-3磁帶機將很快升級為LTO-4的。雖然目前而言，這家企業還沒有恢復過虛擬機，恢復的過程已經完全被證實可用，而且至少每月有一次測試，有時甚至會在更短時間內進行測試。

這家企業的運維負責人Thompson表示：自從解決了早先出現的一些問題之后，虛擬化的表現很可靠。他說："我們遇到過VCB運行的時候虛擬機死鎖的情況，那是因為我們沒有及時升級VMware驅動和工具。" 升級之后，虛擬機就再沒有出過問題。這一點強調了在虛擬環境中軟件維護和版本控制的重要性。

提升效率和靈活性

說到效率和靈活性，這在服務器虛擬化的整合架構中可能是最大的優勢了。一家信息服務公司在整合數據中心的過程中，使用Microsoft Virtual Server 2005 R2提供了靈活性。該公司信息安全主管表示：我們兼并了一家公司，并對整合上把他們的技術架構加入到我們的數據中心，虛擬環境是我們唯一的選擇，這樣才足夠靈活應出現的問題。

一旦存儲虛擬化的優勢顯而易見，整體架構就向著虛擬服務器環境轉變，生產環境上有超過600臺虛擬服務器（占生產環境的80%-85%），而且還有大概400臺虛擬服務器是為了災備恢復的，另外400臺處于開發環境中。該公司信息安全主管認為：這是一種硬件未知觀點，任何運行Windows服務器的平臺可以支持完全虛擬化并能真正利用硬件的全部潛在能力。如今，他們在一臺IBM FAST存儲服務器上大概存儲著60TB的數據。

同時，他們使用VMM來管理和備份Microsoft的虛擬機。VMM不僅能夠幫助配置和優化虛擬環境，而且還能生成VHD文件的備份快照。還使用VMM來生成標準服務器"圖像"，這樣可以縮短部署新虛擬機的時間，并有助于在環境上統一軟件和硬件的版本。這樣，他們開始的時候從頭開始配置一臺新服務器可能需要2到4個小時，而現在可以僅僅通過已經生成的硬拷貝圖像正確地配置到主機上就大功告成了–也就用10到15分鐘時間。

幾乎所有的虛擬機備份都是通過VMM完成的，不過還有一些手動的備份方式可以提供給那些還沒有虛擬化的重要程序。一臺虛擬機真正需要的備份時間取決于VHD文件的大小和備份數據從源到目的的帶寬情況。備份總是先到磁盤，然后離線作為一個獨立的過程再備份到磁帶。

事實上任何地點都能配置災難恢復，只要有電源，有互聯網接入，這一點很重要。虛擬化讓整個災難恢復過程具有可操作性，沒那么可怕了。而且VMM還能幫助進行配置管理，升級等等。VMM提供的負載均衡還可以幫助優化每一臺服務器上虛擬機的數量。

虛擬服務器備份的未來

存儲的數據會越來越多，這就不可避免地導致對虛擬機備份的網絡存儲空間的需求也會越來越大。這也預示著人們對虛擬服務器備份軟件方面和重復數據刪除技術的關注度會越來越高。真正的挑戰將是執行重復數據刪除卻不會影響到虛擬機的性能。

如果你在一臺虛擬機上執行重復數據刪除，你會給虛擬機的CPU帶來更大的負荷。也就是說，可能會需要一臺外部的數據重復刪除設備來達到必要的性能標準。使用優化的硬件芯片可能還會提升虛擬服務器的一些其他性能表現，可以選擇使用Intel公司的vPro 處理器技術以及Q35 Express芯片。

傳統的備份還得依賴備份軟件才能進行正確的恢復，本地安全性一般，虛擬機則是一個完全自我獨立的系統快照，恢復起來要比一個備份卷簡單得多。加密是虛擬備份環境中另外一個要素，但是目前幾乎沒有多少用戶意識到了安全問題的重要性。

基本上，還看不清虛擬服務器備份的未來。專家指出虛擬化廠商可能會將備份的負擔甩給第三方開發廠商。Whitehouse這樣表示："我認為他們（虛擬廠商）的第一步驟將是為備份廠商提供應用程序接口。"備份廠商然后就能開發新的應用程序或者在現有備份產品上添加功能，可以利用那些應用程序接口，提供更好更細致的備份產品。