25.08.2020

Администрирование виртуальной инфраструктуры

В большинстве случаев виртуальная инфраструктура ведет себя точно также, как и физическая, но технологии виртуализации имеют свои особенности, которые мы и рассмотрим в этой статье.

Создание виртуальных серверов и установка операционных систем

Шаблоны виртуальных машин позволяют создавать полностью настроенный виртуальный сервер с установленной операционной системой за несколько кликов мыши из панели управления облачного провайдера.

Миграция физических серверов в виртуальную среду

Обычно к моменту принятия решения о разворачивании виртуальной инфраструктуры организация уже имеет физическую инфраструктуру, включающую физические серверы и телекоммуникационную аппаратуру.

Физические серверы можно превратить в виртуальные, при помощи различных специализированных инструментов:

Есть системы, которые не стоит мигрировать в облака:

Установка и обновление приложений

При использовании арендованной виртуальной инфраструктуры (IaaS) вам не придется следить за обновлением программного обеспечения серверов, и коммуникационного оборудования. Но самим виртуальным машинам требуются регулярные обновления и операционных систем, и приложений.

Обычной проблемой в крупной инфраструктуре является размножение образов. Это размножение приводит к тому, что появляется огромное количество шаблонов виртуальных машин с одной и той же операционной системой, но с различными приложениями или ролями. Управлять таким зоопарком образов и обеспечивать их обновление непросто, но такие продукты, как System Center Virtual Machine Manager позволяют сократить число образов и устанавливать приложения, роли и функции в виртуальных серверах при помощи пакетов приложений.

Установка SSL-сертификатов

Если ваша организация разрабатывает или использует веб-приложения, расположенные в виртуальной инфраструктуре, то доступ к этим приложениям необходимо защищать при помощи шифрования.

Можно, конечно, использовать самоподписанные сертификаты или бесплатные сертификаты Let’s Encrypt, но у них есть существенные недостатки:

Доверенные сертификаты – единственное надежное решение для защиты веб-приложений. Провайдеры облачных услуг могут предложить выпуск доверенных сертификатов SSL из панели управления.

Политики безопасности

Виртуальная инфраструктура повышает степень интеграции ИТ-средств, при этом одновременно уменьшая количество физического оборудования. Но количество сетевых приложений, сервисов остается таким же и даже большим. Поэтому защищать виртуальную инфраструктуру нужно комплексно, комбинируя сетевые и локальные средства защиты. Можно использовать следующие защитные механизмы:

Следует иметь ввиду, что политика безопасности, привязанная к таким физическим атрибутам, как физический сервер, IP-адрес, MAC-адрес не работает в облаке, так как провайдер облачных услуг может их изменить. Политику безопасности следует привязать к логическим атрибутам. Становятся важными идентификация, групп или роль пользователей, а также чувствительность нагрузки.

Модель контроля доступа должна быть основана на пользователе. Контроль сетевого доступа (Network Access Control  - NAC) определяет пользователей и к чему у пользователей есть доступ. Контроль доступа должен учитывать, что пользователи могут прийти из любого места в Интернет, в любое время, с любого устройства, а также запрашивать доступ одновременно с разных устройств.

Антивирусная защита

Технологии виртуализации порождают ряд новых рисков информационной безопасности. Типичным примером атаки на облачные среды является «антивирусный шторм», который вызывает одновременный запуск множества антивирусов. Такой шторм может привести к нарушению работоспособности виртуальной машины. Высокая доступность виртуальных машин и приложений может создать множество возможностей для злоумышленников. При этом одна незащищённая или зараженная виртуальная машина может стать источником угрозы для всей виртуальной инфраструктуры.

Традиционные средства защиты, например, агентские антивирусы, не всегда применимы в условиях виртуализации. Стоит выделить три основных подхода к антивирусной защите виртуальной инфраструктуре.

Системный мониторинг

Так как виртуальная машина работает с виртуальным аппаратным обеспечением, за которым нет необходимости следить также, как и за физическим, можно удалить все программы-агенты аппаратного обеспечения при переводе физического сервера на виртуальную платформу. Кроме того, виртуальные машины загружаются быстрее физических, и из-за этого система мониторинга может не успеть обнаружить перезагрузку виртуальной машины, если ее интервал сбора данных окажется слишком большой.

Можно выделить следующие критерии работоспособности, которые будут собирать системы мониторинга:

Мониторинг производительности

Традиционные системы сбора данных о производительности часто некорректно работают на виртуальных машинах, поэтому для мониторинга необходимо использовать специализированные средства, которые могут быть как встроенными в платформу виртуализации, так и разработанными специально для мониторинга виртуальной инфраструктуры.

Для оценки производительности виртуальных машин используются следующие критерии:

Для виртуальных машин Windows:

Для виртуальных машин Linux:

Резервное копирование

Виртуализация усложняет задачу резервного копирования. С одной стороны, можно продолжать выполнять резервное копирование с помощью традиционных средств путем установки на каждую виртуальную машину агента, который будет копировать файлы в нужное место. Этот метода надежен, но в условиях виртуальной среды может работать некорректно. При одновременном запуске агентов на всех виртуальных машинах возникает «шторм», в ходе которого каждая виртуальная машина стремится захватить все ресурсы сервера для выполнения задачи резервного копирования.

Другой подход состоит в том, что резервное копирование может выполняться на уровне сервера виртуализации. В этом случае копирование данных из виртуальных машин может проходить гораздо быстрее.

Одной из основных задач системного администратора является резервное копирование данных, находящихся на рабочих станциях и ноутбуках. Ведь в случае хищения ноутбука данные могут попасть к злоумышленникам, а пользователи редко сами принимают шифрование.

Особого внимания заслуживает тема дедупликации. Как мы уже писали, новые виртуальные машины часто создаются из шаблонов, в результате чего данные на дисках виртуальных машин в значительной степени совпадают. Дедупликация позволяет находить одинаковые блоки на дисках и в резервной копии сохранять только один экземпляр.

Если используется технология VDI (инфраструктура рабочих столов), все обрабатываемые данные будут находиться в виртуальных серверах или хранилищах на стороне облачного провайдера. Таким образом, резервное копирование производится в облаке и в случае кражи клиентского устройства данные не попадут в чужие руки.

Оптимизация виртуальных жестких дисков

 

Подобно тому, как на физических серверах необходимо производить дефрагментацию жестких дисков, в виртуальных машинах необходимо производить сжатие виртуальных дисков. Сжатие (compact) применяется к динамическим расширяемым и разностным виртуальным жестким диска. Команда Optimize-VHD уменьшает размер VHD-файла, удаляя пустое пространство, оставшееся после удаления данных с виртуального жесткого диска. Кроме того, эта команда перестраивает блоки для более эффективного использования дискового пространства, что также уменьшает размер VHD файлов.

Перенос виртуальных серверов из других систем

Что делать, если уже есть виртуальная инфраструктура в облаке, но по каким-то причинам ее нужно перенести к другому провайдеру? Здесь поможет функция экспорта виртуальных машин, . При переносе виртуальных машин из облака Amazon S3 можно воспользоваться корзиной (bucket) в панели управления Amazon S3.

Если виртуальная инфраструктура была создана в облаке Microsoft Azure, придется использовать специальный командлет PowerShell Save-AzureVhd, а если в Hyper-V, то встроенной функцией экспорта оснастки «Управление Hyper-V».

Также можно экспортировать виртуальный сервер в файл формата OVA/OVF(открытый стандарт для хранения и распространения виртуальных машин), а потом импортировать полученный файл  с помощью панели управления нового провайдера. .

Настройка многофакторной аутентификации

Для безопасного доступа к облачной инфраструктуре одного пароля уже недостаточно. Многофакторная проверка подлинности предоставляет дополнительную проверку подлинности в дополнение к учетным данным пользователя. К возможным опциям многофакторной подлинности относятся:

Виртуальная инфраструктура – возможности или риски?

Несмотря на то, что администратору виртуальной инфраструктуры больше не нужно заботиться о физическом оборудовании, забот у него не становится меньше. Администрирование виртуальной инфраструктуры может потребовать большего внимания, чем физической, поскольку инфраструктура усложняется, добавляется множество задач. Виртуализация несет в себе как новые возможности, таки и новые риски, которые необходимо учитывать.