VMware vSphere是用于构建云计算基础架构的主要虚拟化平台,可以帮助企业用户将现有的数据中心转变为云计算,同时还可以支撑兼容的公有云服务,从而可以帮助企业用户实现具备兼容性的混合云模式。VMware vSphere是目前部署广泛的虚拟化平台,被大中小型企业、公共云服务提供商广泛应用,因此当2011年7月13日VMware发布新的vSphere 5的时候,引起了业内人士的广泛关注。作为一次大的基础平台更新,VMware vSphere在从“4”到“5”的升级过程中,究竟带来了怎样的变化?新版本的VMware vSphere 5与其他两大虚拟化平台相比有何优缺点呢?本文将一一为大家解析。
VMware vSphere对服务器工作负载进行了抽象化,使其脱离底层硬件,从而创建单一的资源池,以便IT部分根据不断变化的业务形势进行动态分配。
在虚拟化时代,企业业务的发展处于技术驱动的环境当中,业务的灵活性取决于IT的灵活性。因此每一次IT基础架构的技术升级,都意味着企业业务流程的改进和价值的提升。实施虚拟化,可以将IT硬件设备的利用率从5%~15%提高到80%甚至更高,从而大幅降低IT成本,并且提高业务的灵活性和可控性,通过实现自动化来提高工作效率。VMware vSphere是企业级的虚拟化平台解决方案,主要通过支持在单个物理服务器上整合更多虚拟机而不影响性能或吞吐量,使企业数据中心避免过快膨胀;也可以创建横跨多台物理服务器的虚拟机集群,以应对要求高性能的应用程序。
做为VMware云计算基础架构套件的核心,VMware vSphere 5相较上一版本增加了将近200项新功能和新变化。这些新变化和新功能主要用于改进应用性能和可用性,并引入更多自动化功能,这些改进包括改进管理程序架构、增加虚拟机规模、改进高可用性(HA)架构和增加智能策略管理等。
VMware ESX Server体系架构
与以前的版本相比,VMware vSphere 5核心的变化在于完成了向ESXi虚拟化管理程序体系架构(hypervisor)的过渡。这是首个完全在ESXi上开发的VMware vSphere版本,而ESXi则是唯一针对独立于通用操作系统运行的虚拟化而开发的管理程序。在VMware vSphere 4以及VMware ESX Server 3.0时代,虚拟化平台核心分别有VMware ESX Server与ESXi两个版本,两者存在明显区别。
1.VMware ESX Server体系架构
VMware ESX Server是2001年推出的裸机虚拟化管理程序体系架构,它依赖一个基于Linux的控制台操作系统(简称COS或服务控制台)管理分区来扩充。控制台操作系统的主要用途是提供主机的管理界面,在控制台操作系统中部署了各种VMware管理代理,以及其他基础架构服务代理(如名称服务、时间服务、日志记录等)。在这个体系架构中,许多企业会部署第三方代理来提供特定功能(如硬件监控和系统管理),IT人员需要登录控制台操作系统配置诊断命令及脚本。
2.VMware ESXi体系架构
在VMware ESXi体系架构中,控制台操作系统被彻底移除,所有VMware代理均直接在虚拟化内核(vmkernel)上运行。基础架构服务通过vmkernel附带的模块直接提供,其他获得授权(拥有VMware数字签名)的第三方模块(如硬件驱动程序和硬件监控组件)也可在vmkernel中运行,因此形成了严格锁定的体系架构。这种结构通过阻止未授权代码在ESXi主机上运行,极大地改进了系统的安全性。
VMware ESXi体系架构
VMware ESXi是VMware高级的虚拟化管理程序体系架构,可以提供更高的性能、可靠性、安全性和可扩展性,精简部署和配置,简化打补丁和升级流程。与VMware ESX Server相比,VMware ESXi直观的优势就是将安装需要占用的空间从2GB减少至低于150MB,二者之间的区别如右表所示。仔细研究右表我们可以看出,在VMware vSphere 5中VMware对ESXi增加不少重要的功能,细分的话主要有以下几项:
1.镜像生成器
这是一套新的命令行实用程序,管理员可以用它创建包含用于专用硬件的第三方组件(如驱动程序和CIM提供的程序)的自定义ESXi镜像。镜像生成器(Image Builder)创建的镜像可用于各种类型的部署,例如基于ISO的安装、基于PXE(Preboot Execution Environment,预引导执行环境)的安装以及自动部署。在ESXi 5.0中,镜像生成器被设计成Power Shell的嵌入式管理单元组件,并与PowerCLI捆绑在一起。
2.ESXi防火墙
ESXi 5.0管理界面使用一种面向服务的、无状态防火墙引擎加以保护,IT管理员可以使用vSphere Client或者带有esxcli接口的命令行对该防火墙进行配置。这种新型防火墙引擎可以按照IP地址或者子网限制对特定服务的访问,而不必再使用iptable和规则集为每个服务定义端口规则,这对于需要网络访问的第三方组件特别有用。
3.安全Syslog
ESXi 5.0在系统信息日志记录方面提供了一些增强功能,所有日志信息都通过Syslog生成,可以使用安全套接字层(SSL)或TCP连接将日志信息保存到本地或远程日志服务器中。在vSphere 5中,IT管理员可以通过esxcli或vSphere Client对日志信息进行配置,将来自不同来源的日志信息配置为记录到不同的日志中,以便于管理查询。
4.通过自动部署集中管理主机映像和配置
VMware vSphere自动部署(Auto Deploy)与主机配置文件、镜像生成器和PXE配合使用,简化了管理多台计算机安装、升级ESXi的操作。ESXi主机镜像集中存储在自动部署库中,可以根据自定义的规则自动实现新主机的部署,让重建服务器变得像重新启动一样简单。而且如果要在不同版本的ESXi版本之间迁移,IT管理员也只需要使用自动部署PowerCLI更新规则,然后进行遵从性检查并进行先关修复操作就可以了。
5.增强型统一CLI框架
全新的扩展增强型esxcli框架提供了一组丰富的、一致和可扩展的命令,包括各种便于在主机上进行故障排除和维护的新命令。新框架采用了与vCenter Server和PowerCLI等其他管理框架相同的方法,将身份验证、角色和审核机制进行了统一,因此用户可以将esxcli框架作为vSphere CLI的一部分通过远程方式或在ESXi Shell(以前称为Tech Support Mode)上通过本地方式使用。
6.增强的SNMP支持
ESXi 5.0扩展了SNMP v.2支持,用户可以全面监控主机上的所有硬件。
7.全新的虚拟硬件
ESXi 5.0引入了新一代的虚拟机硬件版本,将ESXi 4.1中的虚拟机版本7升级为版本8,相关虚拟机硬件规格升级至32个虚拟CPU、1TB内存、能够运行Windows Aero的非硬件加速3D图形卡、支持USB 3.0设备(仅使用Linux客户操作系统时)和UEFI虚拟BIOS等。
VMware vShield提供了全面的虚拟化安全防护
VMware vSphere 5和采用新的VMware vShield虚拟化安全解决方案,用于提供网络入侵方案、保护终端、提高敏感数据的可见性和控制力,管理、部署、报告、记录和集成第三方安全服务,能够满足虚拟化实施过程中的安全防护。VMware vShield Manager用于所有vShield产品的管理:VMware vShield Edge、VMware vShield App、VMware vShield Endpoint和VMware vShield Zones。它与VMware vCenter相集成,利用VMware vSphere的资源,并部署在自己的安全虚拟机上。VMware vShield的主要特点有:
1.突破物理安全的局限性
vShield解决方案提供的自适应安全保护机制可随虚拟机在主机之间移动,从而使企业可以为处于动态云计算环境中的虚拟机提供安全支持。这也有助于确保应用程序在保持用户和敏感数据安全性的同时,依然保持高效运行的状态。
2.单一框架简化安全管理
在新的单一综合性框架中,vShield为虚拟数据中心和云计算环境提供了涵盖主机、网络、应用程序、数据和终端的全方位保护,确保对在VMware vSphere 5上部署的所有应用程序都实施正确的安全管理。vShield与VMware vSphere 5平台的自检功能相结合,为主机和虚拟机提供安全保护。另外,这些功能也可以与VMware认证的第三方安全管理解决方案结合,从而为应用程序和数据提供更高等级的保护。
VMware vSphere是众多虚拟化终端的核心
3.降低复杂性和资源占用
vShield允许企业整合其他安全基础架构并消除与软件代理、安全策略、专用安全设备和硬件隔离解决方案有关的“数量剧增”问题,从而降低虚拟化安全管理的复杂性。一个明显的优势就是,vShield不需要在每个虚拟机上安装防病毒软件,从而避免了因终端重复运行安全扫描造成的高额资源占用。
4.保护应用程序并提高IT遵从性
通过vShield,企业可以监控虚拟机之间的网络通信,保护各虚拟系统和应用程序不受网络攻击。这种监控是基于VMware vCenter容器和vShield安全组等逻辑结构进行的,而不是仅基于IP地址等物理结构,因此管理十分灵活。vShield会扫描所有虚拟化资源中的敏感数据并进行统计,避免违规的情况出现。
VMware vSphere是众多虚拟化终端的核心
5.利用现有安全解决方案
vShield可以通过表述性状态转移(REST)API与现有的企业IT安全措施无缝对接,通过自定义的方式将各种vShield功能集成到第三方安全管理解决方案中。此外,vShield中还有一个终端安全API,支持与现有防病毒、防恶意软件及更广泛的安全解决方案集成,以实现安全信息和事件管理、数据泄露防护、变更和配置管理以及审核等功能。
VMware vSphere在不同等级授权中加入了对虚拟内存和虚拟CPU的限制
除了以上改进外,VMware vSphere 5在存储系统、网络连接、系统可用性、管理服务等方面都进行了针对性的改进,从而实现了虚拟化平台使用体验的全面提升。对于企业用户来说,新版的VMware vSphere 5可以进一步改进业务的连续性、简化IT运营,并终实现“IT即服务(ITaaS)”的交付目标。不过,尽管VMware vSphere 5拥有如此多的改进,但是新的授权方式可能会让企业用户不太高兴。VMware vSphere 5提升虚拟机硬件规格,但是基于虚拟内存的许可限制却让IT管理员不得不限制虚拟机的数量和规模,否则就需要购买更多的许可。考虑到微软的Hyper-V和思杰XenServer在成本方面的优势,相信有一些成本受限的企业用户会重新考虑虚拟化平台的选择。
本文刊登于《微型计算机》2011年10月上