虚拟机配置的安全性该如何提升？

　　欢迎各位阅读本篇文章，高可用虚拟机要求执行某些特定配置和任务。有些配置和任务必须在使虚拟机高度可用之前完成，而有些则必须在此之后完成。在尝试使虚拟机高度可用之前，请查看以下信息以确保虚拟机配置正确。本篇文章讲述了虚拟机配置的安全性该如何提升?课课家教育平台提醒各位：本篇文章纯干货~因此大家一定要认真阅读本篇文章哦!

　　保持hypervisor更新最新的补丁是防止攻击的重要步骤，但适当的虚拟机配置管理对确保整体安全性而言依然非常重要。

　　有几个常见的做法，可以提高hypervisor和托管虚拟机的安全性。

　　确保hypervisor是最新版本或及时更新补丁。hypervisor开发者比如Xen，已经应对Xen的安全漏洞传播制定了详细的安全协议设计。组织应该测试和部署这些安全补丁，预防可能发生的攻击。

　　主机和客户虚拟机各自运行一个操作系统，保持操作系统更新最新的安全补丁非常重要。当每个虚拟机运行相同的操作系统，安全漏洞被攻击的可能性大大增加，因此组织的第一次评估和测试补丁应该关注安全补丁测试，以避免零时差攻击。变更管理工具对于追踪供应商和版本是非常有用的，当补丁是可用的会发送警报，并且确保每个虚拟机的操作系统都是正常的。

　　反恶意软件工具通常安装在位于hypervisor的虚拟主机上——并不是每一台虚拟机。这样可以提高系统的性能，因为你不会在同一时间启用多个虚拟机扫描恶意软件，但这是保持任何反恶意软件工具更新的关键，可能包括病毒扫描、防火墙和入侵检测系统。启用自动更新和允许反恶意软件工具执行自主签名或参考文件的更新，这些可能每天发生，有时甚至一天发生几次。

　　虚拟机配置也可以帮助防御攻击。大多数虚拟机采用的基础图像称为金色图像。图像包括虚拟机配置，如开放端口，包括服务等。在许多情况下，图像本质上是不安全的，图像可能包括不必要的开放端口。这种情况经常发生，因为图像的出现是响应特定的工作负载，而没有仔细考虑图像安全配置问题。这样大大了提高虚拟机的攻击面，使每一台虚拟机处于风险之中。检查金色图像并检查配置的每个属性——它可能需要后续的虚拟机创建一个新的金色图像。同时，也有必要检查虚拟机配置，最好手动调整好每个配置。

　　一旦一个新的实例被克隆，虚拟机配置管理就不能停止。每个虚拟机的配置应该监控和管理整个生命周期。虚拟化工具如SolarWinds，Puppet等有助于控制虚拟机配置，保持虚拟机的安全性。当检测到配置更改时，还应该能够编译日志并向管理员发出警报。

　　干货：

　　CPU

　　虚拟机每个vCPU只运行在一个物理核心之上，因此CPU频率越高虚拟机的运行速度也就越高，vCPU数量越多有助于提升应用的性能表现。一个比较复杂的因素就是在ESXi服务器内，所有的虚拟机共享使用物理CPU。ESXi服务器的核心数越多，每个vCPU获得的核心份额也就越大，因此多核心的性能表现要强于核心频率高但数量少的情况。

　　如果虚拟机需要占用大量的CPU时间，那么可以考虑为虚拟机分配第二个vCPU，但是，为虚拟机分配两个以上vCPU并不一定让应用运行的更快，因为只有多线程应用才能有效地使用多个vCPU。

　　RAM

　　ESXi服务器内RAM资源通常有限，因此在给虚拟机分配RAM时需要格外小心。VMkernel在处理RAM时非常巧妙;允许虚拟机使用ESXi服务器所有的物理内存而且会尽量避免占用物理内存却没有真正使用的情况。

　　物理内存被完全用完后，VMkernel必须确定哪些虚拟机能够保留物理内存，哪些虚拟机要释放物理内存。这称之为“内存回收”。当虚拟机占用的物理内存被回收后，存在的一个风险就是会对虚拟机的性能造成影响。虚拟机被回收的内存越多，相应的风险也就越大。

　　最明智的是只为虚拟机分配完成工作所需要的内存。分配额外的内存将会增加回收风险。另一方面，当虚拟机操作系统将未被使用的内存用作磁盘缓存时，将会显著降低对磁盘系统的性能要求，所以这里有一个折衷问题。

　　对于数据库服务器以及VDI桌面来说，为虚拟机分配更多的内存往往更划算—在一台ESXi服务器上运行更少的虚拟机—而不是购买高性能的磁盘阵列。关键在于针对虚拟机的负载分配足够多内存而且没有浪费。

　　网络带宽

　　网络带宽包括两个方面：一是虚拟机和虚拟交换机之间的带宽，二是虚拟交换机与外部网络之间的带宽。如果希望虚拟机获得最大带宽那么应该使用VMXNET3网络适配器，VMXNET3在最小的CPU开销下提供了最好的吞吐量。如果情况允许，所有的虚拟机都应该使用VMXNET3网络适配器。

　　对于与外部物理网络的连接，一定要确保ESXi主机具备速度最快的物理网卡;10Gb是一个不错的选择，即使物理网卡的数量很少，但10Gb能够允许虚拟机承受突发的网络流量。

　　请记住，进行大量网络传输的虚拟机，虚拟机以及数据包的传输都会消耗CPU时间。因此，运行在CPU受限的ESXi服务器之上的虚拟机由于CPU无法快速响应请求可能会面临网络吞吐量不高的情况。

　　小结：在计算机科学中，虚拟机是指可以像真实机器一样运行程序的计算机的软件实现。文章中不足及错误之处在所难免，敬请专家和读者给予批评指正。当然如果大家还想了解更多方面的详细内容的话呢，不妨关注课课家教育平台，在这个学习知识的天堂中，您肯定会有意想不到的收获的!