虚拟服务器的虚拟服务器安全

虚拟服务器并不具有物理服务器内置的诸多安全保障机制。尽管现在入侵虚拟服务器已经成为一件非常困难的事情，但是从虚拟服务器当中成功窃取数据也并不会令人感到惊讶。
尽管虚拟化环境存在单点故障和安全漏洞等可能性，但是从另一方面来说其缩小了需要保护的虚拟服务器设备范围。借助于虚拟化技术提供的整合特性，企业的虚拟服务器硬件设备规模不断缩小，这种趋势可以帮助减少一些和网络及电力供应相关的高可用性需求。
虚拟服务器技术使用更加小型化的不间断电源线路和发电机以保证电力的持续供应，减少物理网络接口数量能够降低网络受到攻击的风险，甚至可以在处于活动状态的端口上增加监控。尽管这种方式能够减少和硬件相关的安全问题，但是不幸的是，虚拟服务器会对软件资源造成很大的威胁。用户能够轻松创建并部署虚拟服务器和网络，在某些情况当中甚至不需要得到提前批准。
当然，如果认为仅仅依靠一台恶意虚拟服务器或者虚拟服务器交换机就能够造成整个基础架构全部瘫痪，这种想法是十分牵强的。然而，如果一个未经注册的系统进入到受控制的基础架构之后，它的存在对于基础架构的稳定性来说确实造成了威胁。恶意系统将会成为虚拟服务器数据中心防护铠甲上的一道裂纹，这种情况正在变得越来越普遍，因为在虚拟服务器环境当中部署新系统并不会面临物理硬件开销等种种限制。过去，在虚拟服务器项目开始之前需要提前申请资金购买物理服务器，最后这个过程居然成为一种防御恶意部署的安全保障措施。
对于虚拟服务器环境来说，只需要简单点击几次鼠标就可以创建大量的虚拟服务器，之前成本方面的限制不复存在。保护基础架构需要首先了解其中包含哪些组件，但是完成这项工作正在变得越来越困难。每台新增加的虚拟服务器都有可能成为数据中心盔甲上的一个可能裂纹。限制虚拟服务器环境用户权限以及制定审计报告是防止部署恶意系统的最佳方式。
伴随虚拟服务器技术所产生的、传统硬件环境并不会遇到的另外一种安全问题就是数据窃取。过去，数据窃贼在尝试获取虚拟服务器的敏感数据之前都需要花费一段时间来破解 *** 作系统的安全防护机制。这是因为通常窃贼并没有其他可用方式：他们只能通过物理方式访问硬件或者复制数据，而硬件通常被放置在封闭的环境当中，使用摄像头和保安进行监控，而虚拟服务器数据和软件由 *** 作系统进行加密和保护。登陆虚拟服务器 *** 作系统之后窃取数据是一种更加具有挑战性的方式，如果有人想要访问这些受保护的数据，还有可能触发监控告警，并且其访问信息也将会被记录下来。
而当虚拟服务器技术出现之后，虚拟服务器不再是硬件设备，而是位于虚拟服务器存储设备当中的一系列文件集合。和任何其他类型文件一样，我们可以复制虚拟服务器 *** 作系统当中的任何数据，并且不会影响原始虚拟服务器的正常运行。这种特性不是bug，而是用来帮助部署虚拟服务器的全新特性。将虚拟服务器的所有文件复制之后，可以对其进行重命名之后再次开机，或者转移到其他站点用于灾难恢复。不幸的是，这种可移植性带来了新的隐患。尽管虚拟服务器文件的体积非常庞大并且不容易移动或者复制，但也并非完全不能实现的。
由于虚拟服务器复制的数据并不是处在活动状态，因此虚拟服务器可以轻松下载并复制到可插拔的USB设备当中，之后使用这些文件构建新的虚拟机。尽管窃贼需要使用额外权限才能够访问虚拟服务器环境，但是并不需要全部的管理员权限。虚拟服务器技术使得窃取整台虚拟服务器甚至整个数据中心变为可能。窃贼不再需要物理访问权限就能够窃取虚拟服务器或者破坏现有的安全防护机制。
虚拟服务器是一系列文件的集合，这意味着除了复制这些文件之外，某些用户还可以删除它们。不论是故意的——比如员工恶意报复；或者是异常的应用程序进程——比如失控的快照，在这些 *** 作面前你的虚拟服务器都是十分脆弱的。VMware和其他厂商都拥有多种机制来保护和恢复数据，但是本质上，你的虚拟服务器仍然是一些可以被轻易删除的文件集合。
虚拟服务器的数据窃取和破坏等情况可能出现在多种IT系统当中，不论是基于硬件还是软件的。然而，如果虚拟服务器位于硬件环境当中，就存在一种受制于虚拟服务器数量和蔓延的天然防护机制，为数据提供安全保障。而对于虚拟服务器环境来说，这些防护机制当中的大多数都不复存在。事实上，我们错误利用的很多工具和特性都有可能导致数据窃取和数据丢失事件的发生。虚拟服务器技术并不会在短时间内消失，因此要求IT部门从不同的角度来重新思考系统的冗余性、可用性和安全性。
保证虚拟服务器的安全性，避免运行中断不仅包括确保有恰当的备份、防火墙及密码。保证虚拟服务器的安全性，不但要有简单的策略、规程、管理，还涉及需要识别并解决彼此环环相扣的方方面面。对（物理以及虚拟）系统的保护包括两个关键阶段：初始设计以及运维管理。
虚拟服务器系统运行出现中断严重程度千差万别。当虚拟服务器组织意识到系统可能而且将会发生中断时就会采取相关措施。尽管我们希望并试图避免虚拟服务器系统出现中断或者出现故障，但虚拟服务器却无法完全避免。尽管无法避免所有的虚拟服务器中断问题，但我们能够限制虚拟服务器出现频率以及中断持续时间。人们通常以数字9的个数来衡量虚拟服务器系统的可用性，例如，虚拟服务器系统的可用性是99%或者999999%。两者之间主要的区别不只是增加更多的虚拟服务器技术，每增加一个9都需要付出更多的代价。取决于环境，支付的费用可能从数千美元到数十万美元不等，因此理解可用性对虚拟服务器组织意味着什么是很重要的。
虚拟服务器系统可用性达到99%，乍听起来虚拟服务器给人的印象很不错，但当一整年的虚拟服务器可用性为99%时，你会发现有一些问题。
在浏览虚拟服务器宕机时间时，请记住指的是虚拟服务器非计划宕机。如果虚拟服务器宕机发生在周末，那么在一年当中虚拟服务器宕机365天听起来没任何问题，但实际上更可能出现的情况是虚拟服务器宕机发生在业务最繁忙、系统不能出现业务中断的时候。墨菲定律在当今仍旧发挥着重要作用。
尽管虚拟服务器可用性达到6个9非常理想，但虚拟服务器付出的成本却不一定划算。无法简单地计算可用性从2个9达到6个9需要付出多少成本，因为需要考虑很多变量。该过程可能涉及双重的虚拟服务器、存储架构、网络、电力供应乃至冗余的数据中心。既然涉及如此众多的虚拟服务器变量，那么虚拟服务器组织如何找到合理的虚拟服务器安全架构呢？
虚拟服务器安全性中的一个重要方面是保持系统的可用性。无论是由于拒绝虚拟服务器攻击还是虚拟服务器系统运行中断导致用户无法访问系统，对用户来说没什么区别。在当今的环境中，虚拟服务器化以及整合使得组织能够高效地解决用户需求。不足之处是越来越多的系统依赖越来越少的虚拟服务器硬件，这使得硬件变得比以往更关键。
虚拟服务器冗余设计存在挑战，在虚拟服务器冗余设计中考虑虚拟服务器安全性是数据中心的基本方法论，这涉及到多种虚拟服务器技术。更多的时候虚拟服务器安全性被束之高阁，关注的焦点通常是虚拟服务器冗余。虚拟服务器冗余涉及方方面面，如果并非所有因素都就绪，那么你可能无法达到你所希望的保护等级。
例如，理解虚拟服务器基础设施的供电需求需要在众多阶段予以解决是非常重要的。
虚拟服务器设备冗余电力供应往往是保护硬件出现故障的起点。理想情况下，虚拟服务器电力供应后端与冗余的UPS以及发电机相连，这类虚拟服务器冗余的电力基础设施是基础设施达到最高级别可用性的一个关键因素。然而，如果虚拟服务器基础设施仍旧包括单点故障，比如单个发电机，那么发电机将成为安全脆弱点。
用户需要使用网络连接应用于虚拟服务器系统。虚拟服务器具备冗余的网络连接是个起点，但如果连接的是同一台虚拟服务器那就谈不上虚拟服务器冗余了。或者连接的是不同的虚拟服务器，但虚拟服务器连接的是同一个电源。即使基础设施实现了合理的虚拟服务器冗余，IDS或者防火墙实现了冗余了吗？共享的IDS或者防火墙系统是一个瓶颈以及可能的脆弱点。
即使虚拟服务器组织拥有虚拟服务器冗余数据中心，在尝试进行故障切换时也可能会发现缺少核心组件。尽管很多容错站点包括了虚拟服务器常见组件，比如AD或者NTP服务器，但有IDS或者得到恰当升级的虚拟服务器防火墙吗？切换所有的虚拟服务器系统包括审计以及日志服务器是不可能的。我们往往能够理解存在限制，但需要将相应的风险记录在案并进行管理。
虚拟服务器可用性是安全保护伞的一个重要方面，不单单是一组配置。虚拟服务器可用性与识别单点故障并予以解决有关—最糟糕的情况是记录在案并进行虚拟服务器管理。虚拟服务器冗余层能够提供帮助，但当虚拟服务器单点故障被利用时虚拟服务器冗余就被打破了。只是购买可用性等级更高的虚拟服务器、软件包或者硬件设备并非冗余或实现虚拟服务器安全的解决方案。

1：假如你家里一台电脑，公司一台电脑，都连接在网络上。你想在公司上班的时候从家里的电脑里拷贝文件，就可以在家里的电脑上建立一个文件服务器，比如使用一些小工具，建立FTP服务器。
2：然后在家里的无线路由器上设置虚拟服务器。就是把家里电脑的地址通过虚拟的方式给映射到公共网络中，原理就是把家里自己电脑的IP地址映射到家里路由器的WAN口IP地址。
3：然后你在公司的时候，使用FTP客户端，输入你家里无线路由器的WAN口IP地址，就可以访问你家里的FTP服务器上的文件了。
4：这样还明白了？请赞一下！

IBMSystemW1500v10和W1700v10（以下简称System）提供了一种在云中运行工作负载的环境。为了做到这一点，它提供了大量具备同时运行数千个计算机程序的计算机硬件。为了有效管理并利用这种硬件，该系统采用几种行业最佳实践来虚拟化其硬件资源，并给予工作负载极大灵活性以实现在云中随处运行。通过了解这些技术以及该产品如何利用这些技术，您将更好地了解System所提供的云环境。

本文是一个三部分系列文章的第二部分，该系列文章介绍System为托管应用程序运行时环境提供的硬件和软件基础：

硬件：AtourofthehardwareinIBMSystem介绍了由System组成的硬件。

虚拟化硬件：您正在阅读的这篇文章介绍了System如何虚拟化硬件以实现基础架构即服务(IaaS)。

运行时环境：在IBMSystem中管理应用程序运行时环境介绍了如何使用System中的虚拟化硬件实现工作负载所部署到的应用程序运行时环境。

每篇文章都以上一篇为基础，全面地解释了这一基础。

为了理解System中的资源虚拟化，我们将探讨合并到云计算系统中的交付模型（该方法用于虚拟化不同类型的资源）以及该产品如何利用这些方法。

云交付模型

虚拟化硬件资源通常称为“基础架构即服务”。它是三种云交付模型（又称为云服务模型）之一：

基础架构即服务(IaaS)为计算、存储和网络提供了一种虚拟化硬件资源的环境。

平台即服务(PaaS)提供了一种虚拟化的应用程序运行时环境，包括 *** 作系统；应用服务器、数据库和消息传递之类的中间件；以及缓存、监控和安全之类的共享服务。

软件即服务(SaaS)在一个集中托管环境中提供网络可访问的业务应用程序，该环境是高度可靠且可伸缩的。

模型是渐增的，且每个模型以前一个模型为基础。图1说明了云交付模型。

图1云交付模型

如何使用虚拟机(VM)来虚拟化计算资源

文章导航IBM云，第1部分:云技术入门更加详细地介绍了云交付模型。这些交付模型不是特定技术，而是云计算系统的架构目标。本文着重介绍第一层基础架构即服务，并讲述如何在System中实现基础架构即服务。

资源虚拟化

基础架构即服务是一个可通过资源虚拟化实现的目标。资源虚拟化将工作负载（即，正在运行的程序）从其运行的底层硬件进行解耦。对于要运行的程序，它肯定需要硬件资源。但是，对于“在云中”运行的工作负载，它们肯定不能被特定硬件集所束缚。这意味着工作负载必须在多个冗余硬件集中的任何一个中运行。要实现此目标，云应该虚拟化硬件资源以将工作负载与硬件分离并使云能够管理这些资源的工作负载使用情况。

云将组织其硬件资源以使工作负载运行延续到三个主要类型，这是所有计算的基础：

计算资源：这是任意程序运行所需的CPU和内存。

网络资源：这在程序之间的连接，支持程序进行通信。

存储资源：这使程序能持续保存其状态。

System采用了虚拟化各种资源的技术：

使用虚拟机(VM)虚拟化计算资源。

使用虚拟局域网(VLAN)虚拟化网络资源。

使用存储区域网(SAN)虚拟化存储资源。

转载

不需要设置什么虚拟服务器
你只需要设置IP就可以了
比如你加2台电脑的IP是19216802和19216803
你希望3的机器能下BT
你就在那个那里填写19216803 端口写6222
然后BT软件的端口也设置为6222
那么别人访问你的IP的时候如果有数据倒6222就会转到3机器上去，BT下载一般就没问题了，另外路由器防火墙或者机器的防火墙不要开
更详细的话你可以参考以下路由器 端口映射的资料
下面也有参考资料
各种ADSL路由器端口映射设置:
>
声明：所有设置均为网上搜集所得
路由端口映射,nat 方法适用于以上路由:
dlink,linksys,3com微软,netgear,asus华硕,speedtouch,tp-link td-8800,tp-link td8830,tp-link tl-r410,中兴 adsl831,cyrix686 d-link di-704p,d-link dsl-500,泛得 851-e,阿尔卡特 s6307kh（alcatel）,asus aam6000ev,中达通 ct500,华勤合勤 642,greennet 1500c,tenda\腾达ted 8620,阿尔卡特 511e--s6307ef（alcatel）,speedtouch 500系列,topstar顶星te－sr400,etek伊泰克 td-2001,宽频蓝色小精灵,全向 1680adsl,金宝（kinpo）a400,贝尔 6309,实达 2110eh ,神州数码dcad-6010ra,netcore,晨兴--网络快车sr-dsl-ae,中怡数宽sercomm ip505系列,大亚科技db102-b
什么情况下需要做端口映射
如果网络情况是下面这样的：
internet<--->adsl router<--->hub<--->web server
internet<--->adsl modem<--->gateway<--->hub<--->web server
那么internet用户想浏览你的web server，但是80的请求只能到adsl router或者gateway，就过不去了。那么你就要做一个转发，让80的请求到了adsl router或者gateway后，可以达到web server，那么web server才有可能回应，并且返回给你正确的内容。这就是端口转发，也叫端口映射。
emule的设置只要相应打开tcp\4662, udp\4672,kad udp\4673
042e安装版本以后tcp默认为4686
1 dlink出厂定义的路由器地址是19216801
2 linksys出厂定义的路由器地址是19216811
3 3com出厂定义的路由器地址是19216821
4 微软出厂定义的路由器地址是19216821
5 netgear出厂定义的路由器地址是19216811
6 asus出厂定义的路由器地址是19216811
上面几个是厂家定义地址,如果是带有猫的路由,地址不一定一样例如speedtouch的出厂定义是1000138
tp-link td-8800
tp-link td8830
tp-link tl-r410
中兴 adsl831
cyrix686 d-link di-704p
d-link dsl-500
泛得 851-e
阿尔卡特 s6307kh（alcatel）
asus aam6000ev
中达通 ct500
华勒合勤 642
greennet 1500c
tenda\腾达ted 8620
阿尔卡特 511e--s6307ef（alcatel）
speedtouch 500系列
topstar顶星te－sr400
etek伊泰克 td-2001
宽频蓝色小精灵
全向 1680adsl
金宝（kinpo）a400
贝尔 6309
实达 2110eh
神州数码dcad-6010ra
netcore
晨兴--网络快车sr-dsl-ae
中怡数宽sercomm ip505系列
大亚科技db102-b
tp-linktd8800
以架设web server为例，路由器内网地址19216811，web server的内网地址为19216812：
首先登陆路由器web管理界面:
在服务表单单击网络地址转换，在nat option选择nat rule entry。点击添加，并填入相应参数：
请参照下图:
screenwidth07) {thisresized=true; thiswidth=screenwidth07; thisalt=click here to open new window;}" border=0>
设置完成后点击提交就行了。
具体参数说明如下：
rule flavor: 规则种类。
basic rule：提供保留ip到wan ip的地址翻译，但是端口不发生变化。
filter rule：象basic rule一样提供保留ip到公网ip的转换，但是这种翻译只有当本地相应ip发出访问特定ip和特定服务（web/ftp）时才发生。
napt rule：系统的出厂缺省设置。这种设置将局域网的保留ip地址和端口翻译为公网的单一ip地址和在nat全局配置中规定的端口。这种方式提供对lan的最安全的保护。
bimap rule：此方式将局域网中的某台pc（ip）完全透明对应到公网的ip，这样许多复杂的应用如msn话音，网络游戏可以在这台pc正常运行。
rdr rule：通过地址和端口的配置，使internet上的用户可以通过访问路由器的广域网ip来访问内部网络提供的诸如web server或ftp server服务。
pass rule：尽管很多设定的规则会翻译局域网保留ip到公网ip，但可以通过设置pass rule将某些固定ip不能翻译为wan ip。
rule id: 判断地址翻译规则的序号，最小的序号最先执行，如有规则符合，不再向更高的id判断执行。
if name: 请选择相应的广域网接口，如ppp，1483b等。协议: 选择相应协议（tcp/udp/icmp等）。
local 地址 from: 使用规则的本地ip起始值，如果选择全部则填0000。
local 地址 to: 使用规则的本地ip终结值，如果是单一ip，填入ip起始值。如果选择全部则填2552552550。
global 地址 from: 不用修改。
global 地址 to: 不用修改。
目的端口起始值: 目标ip的端口起始值。
目的端口终止值: 目标ip的端口终结值。
local端口: 本地ip端口。
tp-linktd8830
配置过程
在ie地址栏中输入“19216810200”并“回车”，在d出的登录对话框中输入默认管理用户名和密码“root”进入管理界面。并在管理界面左侧的菜单栏中选择“basic config→pat”，进入端口映射配置对话框。在该对话框中，点击“add”按钮添加新的映射项目。
1在“protocol”（协议）栏中，我们可以选择两种协议：tcp和udp。由于web服务和ftp服务均采用tcp/ip协议，因此保留默认设置tcp。
2在“interface”（接口类型）栏中，默认值为“lan”，我们还可以选择atm1、atm2，一直到atm8。在此我们选择atm1（千万不要选择lan，否则映射无法成功）。
3“service name”是用来标示该映射的类别的，可以任意输入，例如要配置ftp映射时就输入“ftp”。
4在“port number”（端口号）栏中，填写adsl modem为各种服务开启的端口，建议采用各种服务的默认端口，例如要映射ftp服务，就直接输入21端口。这样可以方便访问者的访问。如果不采用各种服务的默认端口，则访问者必须采用ip地址+端口号的形式来对发布出去的服务进行访问。假设现在adsl modem的公有ip地址为21870130155，但为ftp服务开启的端口不是21，而是8021，则来自internet的访问者必须通过“ftp：//21870130155:8021”来访问该ftp服务。
5“server ip address”是指架设服务器的计算机的私有ip地址。本例中，ftp服务器和web服务器的ip地址即为19216810111。
6“server port number”指的是服务器为自己的服务开启的端口，本例中ftp服务器和web服务器都采用了各自对应的默认端口：21和80
映射项目添加完毕后，点击“finish”按钮完成设置。然后选择左侧菜单栏中的“save & restart”，在d出的对话框中先点击“save”按钮保存设置，然后点击“restart”按钮重新启动adsl modem（注意：一定要按照这个顺序来！否则刚才进行的配置不会被保存）。
adsl modem重启完毕后，internet用户就可以直接通过adsl modem的公有ip地址访问“内部”的计算机架设的各种服务了。
二、字符界面管理方式
前提：
prestige 642r的出厂默认ip地址为19216811，假设我们已启用了它的路由功能（路由功能的具体配置过程请参见《电脑报》第35期f5版《路由adsl modem组网共享》一文），并已接入internet。同时，共享该路由上网的计算机的ip地址为19216812和19216813，前者架设了web服务器，采用默认的web服务端口80；而后者架设了ftp服务器，采用的是默认ftp服务端口21。
配置过程
1在与adsl modem相连的任意一台计算机（如19216812这台计算机）的系统桌面上进入“开始》运行”，输入“telnet 19216811”命令并执行，在密码提示框中输入出厂默认密码1234后进入modem的主管理界面（图2）。
2在该管理界面下，输入“15”进入“advanced applications”（高级应用）的“sua server setup”对话框，这里就是合勤prestige 642r的端口映射设置界面了。
3我们共可以设置8个端口映射项目。设置非常简单，首先把光标移到某个空白项目上，然后在左侧填写内网服务器提供的服务端口号，而右侧则填写内网服务器ip地址。例如web服务器开启的服务端口是80，ip地址为19216812；而ftp服务器开启的服务端口是21，ip地址为19216813（图3）。
4完成此菜单的设定后，请在“press enter to confirm or esc to cancel”之后按下“回车”键储存设定值。当modem重新启动后，internet用户就可以直接通过adsl modem的公有ip地址访问“内部”的计算机架设的各种服务了。
也许细心的读者已经发现，在td8830的端口映射中，我们可以对adsl modem发布的端口进行选择，例如内网的ftp服务器端口采用的默认ftp端口21，但我们在通过端口映射发布到internet时，可以选择别的端口（如8021）。而合勤prestige 642r由于没有选择对外发布端口的项目，所以对外发布端口就只能对应内网服务所采用的端口。例如：内网的ftp服务器采用21端口，对外发布也就是21端口；若内网用的是8021端口，对外发布也是8021端口。
就按照这个方法设置就ok了~~~
tp-link tl-r410
以架设web server为例：路由器内网ip19216811,web server的内网地址为192168150;
1首先登陆到路由器的web管理界面
2点击左边"转发规则"前面的"+"号
3在展开的菜单里面点击"虚拟服务器"
4在右边服务端口下面填"80",ip地址下面填"50",协议选择"tcp",最后别忘了在"启用"下面打勾
5 点"保存"之后就可以了
具体情况请参照下图:
screenwidth07) {thisresized=true; thiswidth=screenwidth07; thisalt=click here to open new window;}" border=0>
screenwidth07) {thisresized=true; thiswidth=screenwidth07; thisalt=click here to open new window;}" border=0>
中兴adsl831
telnet 19216811 登陆到adsl831
>>
>>pat 按回车
>pat>addpatin pppoe 4662/tcp 19216815 按回车
>pat>home 按回车
>>save 按回车
然后adsl831会自动重新启动
解释一下 19216815是局域网内部的ip地址
如果你的电脑的ip地址是192168110的话
就把19216815换成192168110就可以了
如何设置831
先要把831的内置软件刷到274版本，
从 >服务器虚拟化平台方案主要的有三种，特点分别如下：\r\n1、思杰Citrix XenServer ：XenCenter是Citrix的虚拟化图形接口管理工具，可在同一界面，管理多台的XenServer服务器。管理上，通常会先在XenCenter建立一个服务器群组(Pool)，然后将位于同一机房内的XenServer服务器加入。和大多数服务器半虚拟化产品相同的是，当数台XenServer服务器连接到同一台共享磁盘驱动器，且将虚拟档案放置于此的前提下，可以通过Xen-Motion这项功能，将虚拟机以手动方式在线转移到其它的XenServer服务器，从事主机的维护，或者降低硬件资源的消耗。\r\n\r\n2、微软 Windows Server 2008 Hyper-V：是以Xen的虚拟化技术为基础开发而成的，而这个虚拟化平台目前已整合在64位的Windows Server 2008 *** 作系统，\r\n\r\n3、VMware ESX Server 这是最常用的：VMware ESX ServerESX Server \r\n运行在服务器裸机上，是基于硬件之上的架构。属于企业级应用。用同一台服务器底层硬件，划分出若干虚机，集中管理，很方便的做集群，负载均衡，热迁移等功能。\r\n总特点：\r\n将服务器物理资源抽象成逻辑资源，让一台服务器变成几台甚至上百台相互隔离的虚拟服务器，或者让几台服务器变成一台服务器来用，我们不再受限于物理上的界限，而是让CPU、内存、磁盘、I/O等硬件变成可以动态管理的“资源池”，从而提高资源的利用率，简化系统管理，实现服务器整合，让IT对业务的变化更具适合！\r\n友情提示：深圳天源腾创提供最优解决方案！

摘 要：随着计算机技术的发展，服务器虚拟化技术已经被越来越多的企业所采用，使用这种技术可以大大提高服务器的使用效率。文章中主要介绍了两种虚拟化软件Vmware和Xen的结构特点，并分析了它们之间的区别。
关键词：服务器虚拟化 Vmware Xen

虚拟化将主宰未来的企业，在现在的国内，企业数据中心都是根据需求随时添加服务器设备，这些设备基本上都是分散的，不同品牌、不同配置甚至不同架构，最致命的是，在其上运行的应用并不能够充分利用服务器所有的资源，占用到15%―20%的服务器资源是一个普遍现象，而使用虚拟化技术可以减少服务器数量的增加，简化服务器管理，同时明显提高服务器利用率、网络灵活性和可靠性。将多种应用整合到少量企业级服务器上即可实现这一目标。通过整合及虚拟化，数百台服务器可以减少至数十台。10%甚至更低的服务器利用率将提高到60%或更高，IT基础设施的灵活性、可靠性和效率也将得到改进。由此可见虚拟化技术成为各个企业和研究机构的重要课题。下面简单介绍一下两种虚拟化软件及其区别。

一、VMware

VMware是业界著名的虚拟机产品，它有VMware Workstation、VMware GSX Server、VMware ESX Server等系列产品。VMware的VMM可以有两种结构形式，即Standalone和Hosted。Standalone的结构形式是指，VMM作为一层直接运行在硬件平台上的软件层，在它上面可以创建和管理多个客户虚拟系统。这种结构的VMM有点像一个 *** 作系统，它包含硬件平台的驱动，受到硬件平台种类的限制。它适合于服务器的应用环境，其典型的产品是VMware ESX Server。
Hosted结构的VMM作为 *** 作系统的一个应用程序运行，它可以利用 *** 作系统自身的内存管理、CPU调动、硬件驱动和资源管理。VMware Workstation使用的是Hosted的结构，是设计来让一些应用程序，比方软件的研发或测试程序来执行，同时Server版本的目标则针对数据库以测试软件更新、简化应用程序的提供，或使用虚拟的设备等功能。ESX Server可以藉由不使用 *** 作系统来大量增加效能。相反的，ESX使用自己设计的 *** 作系统核心，可以直接在计算机上执行。这个方法可以同时支持更多的虚拟服务器，但ESX核心支持的硬件并不多。
由于VMware的目标平台是x86平台，因此，它也同样面临着x86平台不完全支持虚拟化的问题。VMware的解决方法是其专利技术，在需要VMM参与的地方，动态重写部分虚拟系统的指令，使其可以trap到VMM。
此外，VMware还有Virtual Center。VMotion应用在IBM Blade Center刀片服务器上，使之具备更好的d性和可用性，结合刀片服务器的模块化和可扩展性，可以增加内存和I/O能力的扩展比例，混合刀片间的工作负载均衡。Virtual Center采用集中式管理，可以监控系统的可用性及性能，并可以自动告警，SDK与现有管理工具整合，通过稳定的访问控制保证系统安全。VMotion技术使用户在保持连续的服务可用性的同时，还可以将实时运行企业用户关键业务的虚拟机，从一台物理主机转移到另一台物理主机，并动态获得每台物理服务器资源的极佳利用率、零宕机维护、快速重新配置，以及持续的工作负载整合能力。

二、Xen

Xen VMM（Virtual Machine Monitor）是由剑桥大学计算机实验室开发的一个开源项目，它能够让我们创建更多的虚拟机，每一个虚拟机都是运行在同一个 *** 作系统上的实例。
这些客户OS可以是修补过的Linux内核24或26，也可以是修补过的NetBSD/FreeBSD内核。用户应用程序就运行在这些客户OS上，并不需要修改任何代码。但是，随着将来的处理器能支持虚拟化，内核也就不需要打补丁了。比如说，Intel的VT和AMD的Pacifica处理器都将包括这种支持。
在Xen中，一个“系统管理程序”运行在0环，客户OS运行在1环，应用程序运行在3环。这种关系对于x64/64有一点不同，就是客户内核和应用程序都运行在3环上。
Xen自身被称为“系统管理程序”，是因为它比客户OS的系统管理代码运行所需的特权级还高。
当系统引导的时候，Xen被装载到0环的内存中。它在1环上启动修补过的内核，这被称作是domain 0（注：domain是指一个运行中的虚拟机，在其上有一个guest OS在执行）。从这个domain开始，你可以创建更多的domain，也可以销毁它们，还可以进行domain的迁移、设置参数等等。你创建的那些domain也运行在1环它们的内核中。用户应用程序运行在3环。
目前，修补过的Linux内核24和26可以作为domain 0。据Xen开发者所说，将来domain 0仅支持26的内核补丁。构造domain 0的大部分工作是在xen/arch/x86/domain_buildc中的construct_dom0()方法中实现的。
物理设备驱动程序只能运行在特权级，也就是domain 0上。Xen依靠Linux或其它修补过的OS内核对它所有的设备提供虚拟化支持。这样的好处就是Xen的开发者不必再去开发设备驱动程序。
在一个有标签TLB的处理器上使用Xen能够大大提高性能。标签TLB能够把ASID（Address Space Identifier）放在TLB入口处。有了这个特性，当处理器在系统管理程序和客户OS之间切换时就不需要刷新TLB了，这大大减少了系统开销。

三、两者主要区别

目前Xen和VMware是市场上主流的两大虚拟化产品。现在我就来谈谈这两大产品背后的架构有什么区别，以及这一技术在未来会如何发展。VMware ESX服务器的架构是建立在直接执行（直接在硬件上上运行用户级的虚拟机编码）和二进制译码（对特权级别编码进行动态编译）的基础上的。从根本上说，它把一个完整的X86平台导出到虚拟机上，ESX服务器可以使大多数能在X86上执行的 *** 作系统都能在虚拟机上运行，而不需要进行任何修改。Xen的架构中使用了一种叫Para虚拟化技术(Para Virtualization)，对虚拟出来的客户 *** 作系统（Guest OS）进行修改，使它知道它是在虚拟环境下运行。
那么这两种方式有什么不同呢？最大的不同就是对输入/输出（I/O）设备的处理。虚拟机I/O端口和每个物理I/O端口设备之间如何路由在很大程度上影响虚拟平台架构的性能、便携性、可持续性和稳定性。Xen采用的是分离驱动模式，真实驱动存在于一个中间层,这个中间层叫服务虚拟机，其他虚拟机上的特殊驱动通过这个服务虚拟机进行通讯。这种方法能提供很好的性能，但是对于闭源和传统 *** 作系统支持有限。在ESX中，虚拟机的虚拟设备驱动与ESX内核里的物理设备驱动直接相互连接。ESX虚拟机可以为其虚拟设备使用现成的（off-the-shelf）驱动。这不仅能提供高性能，还能提供更广泛的 *** 作系统支持。然而在这个模型里，新的设备驱动必须要导入到ESX内核中。为了解决I/O虚拟化的平衡问题和复杂化问题，戴尔与英特尔、AMD这样的合作伙伴以及外设硬件供应商们一起，在芯片组和I/O设备中引入了虚拟化支持。企业级虚拟化解决方案的另外一个重要部分就是其管理。戴尔OpenManage这样的产品附送VMware Virtual Center、P2V 和VM Importer，提供了整套工具，能有效进行部署、监控、 *** 作自动化，以及对虚拟IT数据中心进行管理。Novell和Red Hat都在它们的 *** 作系统中整合了对Xen平台的管理，方法是运用像YaST和Anaconda这样的安装和配置工具以及Virtual Machine Manager这样的管理工具。

四、虚拟化技术的未来

资讯科技及通讯业研究权威Gartner估计，由现在至2010年间，虚拟化将会是资讯基建及营运领域中最重要的技术，并会彻底改变资讯科技部门管理、采购、部署、规划，以及其所提供服务的收费模式。虚拟化目前不再只着重技术，而是更加着重企业内的流程改变及文化变迁。虚拟化可让服务以另一种模式提供。每个经虚拟化的层面都可作独立的管理，或甚至由他人所掌管，例子包括串流式应用或员工所拥有的个人计算机一样。这一切均要求企业文化作出重大改变。

参考文献：
[1]郭庭廷,吴玮揭开虚拟化神秘面纱[J]机械工业信息与网络，2007，(03)
[2]成凯透视虚拟化技术[J]软件世界，2007，(11)
[3]伍班权虚拟化技术及其发展[J]办公自动化，2007，(12)
[4]杨晓伟基于Xen的X86虚拟机性能调优[J]计算机工程，2006，(24)
[5]刘志平基于VMware虚拟网络的构建[J]内蒙古大学学报(自然科学版)，2007，(01)
[6]赵祖荫基于VMware软件的虚拟计算机的构建方法[J]微型电脑应用，2004，(06)

---