現(xiàn)在，幾乎任何一個(gè)稱職的IT部門都會(huì)采用虛擬化技術(shù)來降低能耗，使服務(wù)器和操作系統(tǒng)的配置更具靈活性，存儲(chǔ)和系統(tǒng)資源被更好地利用。在虛擬化市場(chǎng)，各種解決方案層出不窮，虛擬化專業(yè)技術(shù)廠商、傳統(tǒng)IT企業(yè)紛紛粉墨登場(chǎng)，不同的虛擬化技術(shù)已經(jīng)滲透到了各種IT應(yīng)用環(huán)境中。然而，在應(yīng)用持續(xù)流行的同時(shí)，如何確保安全性，如何促成標(biāo)準(zhǔn)的出臺(tái)以推動(dòng)整個(gè)產(chǎn)業(yè)的持續(xù)發(fā)展，再度成為業(yè)界關(guān)注的話題。

虛擬化戰(zhàn)國時(shí)代

在虛擬化領(lǐng)域有眾多分支，包括虛擬機(jī)、存儲(chǔ)虛擬化、內(nèi)存虛擬化、操作系統(tǒng)虛擬化、網(wǎng)絡(luò)虛擬化、數(shù)據(jù)中心虛擬化等。每種虛擬化都有其所對(duì)應(yīng)的方案和技術(shù)，在企業(yè)應(yīng)用的不同層面也存在著對(duì)不同虛擬化技術(shù)的需求。在眾多虛擬化技術(shù)的快速發(fā)展下，涌現(xiàn)出了一批技術(shù)領(lǐng)先的虛擬化廠商，他們之間相互合作、相互競(jìng)爭(zhēng)，引領(lǐng)虛擬化技術(shù)不斷向前發(fā)展。

作為PC服務(wù)器虛擬化的始作俑者和領(lǐng)導(dǎo)者，VMware積極推動(dòng)著虛擬化技術(shù)的發(fā)展。1999年，VMware開發(fā)了世界上第一個(gè)IA-32 虛擬機(jī)(主機(jī)體系結(jié)構(gòu))，如今，VMware已經(jīng)擁有一系列的虛擬化產(chǎn)品線，包括服務(wù)器、臺(tái)式機(jī)、工作站以及播放器等。VMware CEO Paul Maritz曾表示: “我們有完整的虛擬化產(chǎn)品線，目前最重要的任務(wù)是提高虛擬化的性能。為此，我們進(jìn)行了CPU層面的虛擬化，未來希望把內(nèi)存也進(jìn)行虛擬化。除此之外，我們還可以實(shí)現(xiàn)分布化的虛擬化，以便更好地提高集群管理性、移動(dòng)性和安全性?！?/P>

在虛擬化領(lǐng)域，開源的角色非常重要。在開源界，有兩個(gè)著名的開源虛擬化項(xiàng)目，那就是Xen和KVM。Xen是一個(gè)基于開源軟件的混合模型虛擬機(jī)，最早由英國劍橋大學(xué)計(jì)算機(jī)實(shí)驗(yàn)室的Ian Pratt和 Keir Fraser等人領(lǐng)導(dǎo)的Xen開發(fā)小組完成。最初的Xen基于32位x86體系結(jié)構(gòu)而設(shè)計(jì)開發(fā)，支持多個(gè)運(yùn)行Xen操作系統(tǒng)虛擬機(jī)的服務(wù)器應(yīng)用。今天的Xen已經(jīng)可以支持32位x86架構(gòu)(包括32位PAE)、64位x86架構(gòu)、安騰和Power PC架構(gòu); 同時(shí)還支持SMP、虛擬機(jī)保存恢復(fù)、虛擬機(jī)動(dòng)態(tài)遷移、設(shè)備驅(qū)動(dòng)域等功能。

其實(shí)，早在2006年，Gartner就發(fā)布了一份服務(wù)器技術(shù)發(fā)展研究報(bào)告，其中有一個(gè)不同尋常的預(yù)測(cè): 到2010年，共享的操作系統(tǒng)虛擬化將成為主流虛擬化技術(shù)。而在此之前，虛擬化和虛擬機(jī)是同義詞，操作系統(tǒng)虛擬化并不被認(rèn)為是虛擬化?？梢哉f，是Gartner的這份研究報(bào)告首次擊破了這一論斷，同時(shí)也給了SWsoft更大的市場(chǎng)機(jī)會(huì)，SWsoft正是操作系統(tǒng)虛擬化的積極倡導(dǎo)者。對(duì)于這個(gè)紛繁的虛擬化市場(chǎng)，SWsoft CEO張自力認(rèn)為: “不同領(lǐng)域的虛擬化廠商有著不同的產(chǎn)品推廣和技術(shù)路線，不同的技術(shù)路線可能互相配合，也可能各自為營，所以不同的虛擬化廠商都有其各自的優(yōu)勢(shì)，對(duì)用戶而言，這些虛擬化產(chǎn)品是很可能同時(shí)應(yīng)用的，是可以并存的，而并不是相互排斥的關(guān)系?！?/P>

除了上述主流虛擬化廠商與項(xiàng)目外，作為傳統(tǒng)IT廠商的微軟、IBM、HP也紛紛涉足虛擬化市場(chǎng)。早在2003年，微軟就通過收購虛擬服務(wù)器軟件公司Connectix進(jìn)軍虛擬化領(lǐng)域; 2004年，微軟宣布將Connectix Virtual PC系統(tǒng)免費(fèi)下載，這進(jìn)一步推動(dòng)了虛擬機(jī)的普及，并更好地傳遞了虛擬化的概念?，F(xiàn)在，微軟的精力主要集中在了Virtual PC的“孿生兄弟”Virtual Server上，由于數(shù)據(jù)中心服務(wù)器的平均使用率低于30%，有效整合現(xiàn)有服務(wù)器成為降低成本、提高效率的關(guān)鍵，Virtual Server的推出就是為了解決這一問題。

IBM一直都是虛擬化技術(shù)的倡導(dǎo)者，早在1970年，IBM在大型主機(jī)方面就已經(jīng)開始應(yīng)用虛擬化技術(shù); 2001年，IBM將虛擬化技術(shù)引入到了小型機(jī)產(chǎn)品上; 2002年，增加了動(dòng)態(tài)邏輯分區(qū)的功能，使得用戶不必停機(jī)就可以動(dòng)態(tài)調(diào)整分區(qū)中的資源; 2003年，又增加了按需應(yīng)變的功能; 2004年，實(shí)現(xiàn)了微分區(qū)功能，IBM在當(dāng)年推出的Power 5服務(wù)器就做到了0.1個(gè)CPU一個(gè)分區(qū); 2005年，IBM又推出了虛擬化管理平臺(tái)，這就簡(jiǎn)化了對(duì)分區(qū)劃分功能的操作; 2008年10月，IBM將原有的System p和System i兩個(gè)系列的主機(jī)整合為一個(gè)新的產(chǎn)品系列—IBM Power System，這意味著IBM在對(duì)小型機(jī)產(chǎn)品進(jìn)行一次更全面的整合和升級(jí)的同時(shí)，PowerVM也成為了最新代替原有AVP(Advanced POWER Virtualisation)技術(shù)的全新虛擬化平臺(tái)，其除了能夠提供原有 System p和System i所支持的虛擬化技術(shù)以外，還帶來很多新的虛擬化技術(shù)，如PowerVM Lx86、Live Partition Mobility和System Planning Tool等。

Sun對(duì)于虛擬化的理解是強(qiáng)調(diào)計(jì)算資源可以通過一種邏輯的方式來實(shí)現(xiàn)，用戶并不需要知道邏輯和物理的計(jì)算能力究竟是怎樣對(duì)應(yīng)的，但卻能安全、有效地使用計(jì)算資源。Sun之前就已經(jīng)推出了全套的虛擬化解決方案，企業(yè)用戶可以在正確的時(shí)間和地點(diǎn)應(yīng)用正確的技術(shù)，總體來看，可以歸結(jié)為三種實(shí)現(xiàn)方式: 同操作系統(tǒng)不同應(yīng)用、不同操作系統(tǒng)不同應(yīng)用、大型機(jī)和小型機(jī)的虛擬化技術(shù)。同時(shí)，Sun的開源虛擬機(jī)VirtualBox已經(jīng)成為廣大開源愛好者手中的首選虛擬機(jī)軟件。不過，隨著Oracle收購Sun塵埃落定，Sun的虛擬化技術(shù)何去何從就有待觀察了。

HP將其虛擬化歷程分為了三個(gè)階段，目前HP正在進(jìn)入第三個(gè)階段，即IT環(huán)境的虛擬化，HP提出的下一代數(shù)據(jù)中心，就是強(qiáng)調(diào)數(shù)據(jù)中心整體的虛擬化解決方案，包含的內(nèi)容不僅僅是服務(wù)器，還有存儲(chǔ)、網(wǎng)絡(luò)，甚至整個(gè)數(shù)據(jù)中心。

此外，在虛擬化領(lǐng)域競(jìng)爭(zhēng)最激烈的就是虛擬機(jī)，VMware是這個(gè)市場(chǎng)的先行者，占據(jù)著較大的市場(chǎng)份額，雖然微軟與Xen等競(jìng)爭(zhēng)者也分別推出了與VMware Server和VMware Workstation相似功能的產(chǎn)品，但短時(shí)間仍無法達(dá)到Virtual Center這種成熟管理工具的水平。2006年，微軟將Virtual Server變成免費(fèi)產(chǎn)品，同時(shí)在Windows Vista Enterprise的授權(quán)政策中允許一個(gè)使用者在一臺(tái)計(jì)算機(jī)上安裝多達(dá)四臺(tái)的虛擬服務(wù)器，這些舉措也為微軟贏得了不少用戶。Xen在某些方面像是個(gè)新進(jìn)者，但其實(shí)這個(gè)軟件也已經(jīng)演進(jìn)了快四年，其開放源代碼的特性得到了業(yè)界的支持。Intel與AMD紛紛投身到Xen的研發(fā)計(jì)劃中，Intel在中國專門建立了開源研究中心進(jìn)行Xen項(xiàng)目的研發(fā); Red Hat和Sun的OpenSolaris操作系統(tǒng)也表示支持Xen項(xiàng)目，并將其整合到了操作系統(tǒng)中。

Xen的開放式特性是其亮點(diǎn)，微軟擁有雄厚的資金支持和技術(shù)領(lǐng)先的研發(fā)隊(duì)伍，而VMware更想憑借其領(lǐng)先的技術(shù)和品牌鞏固自己的市場(chǎng)地位。虛擬化市場(chǎng)激烈競(jìng)爭(zhēng)的同時(shí)，也為用戶提供了更優(yōu)的技術(shù)、更多的選擇空間。

虛擬化安全嗎?

虛擬化應(yīng)用已經(jīng)成為一種趨勢(shì)，專業(yè)的虛擬化解決方案提供商、傳統(tǒng)的IT廠商都有了全面且成熟的虛擬化解決方案; 企業(yè)實(shí)施了虛擬化技術(shù)，通過讓多臺(tái)服務(wù)器共享一個(gè)單一的物理平臺(tái)，不僅節(jié)約了硬件成本、許可證成本、能耗和管理成本，同時(shí)降低了功耗、提高了系統(tǒng)利用率、也有效提高了生產(chǎn)力。這是一件皆大歡喜的事情，但是，對(duì)于虛擬化安全性的考慮，成為了CIO們是否實(shí)施虛擬化的首要選擇條件，在實(shí)施虛擬化技術(shù)的同時(shí)，浮現(xiàn)在CIO腦海中的往往是: “這東西安全嗎?”

在最近召開的RSA安全會(huì)議上，Configuresoft公司首席安全官Dave Shackleford及市場(chǎng)戰(zhàn)略副總裁Farrow均連續(xù)第二年介紹了虛擬化技術(shù)的安全問題。如果說在此次大會(huì)上有與節(jié)約成本相媲美的熱點(diǎn)話題，那么非虛擬化莫屬。討論的核心問題是如何確保新的虛擬環(huán)境中的安全問題。而在兩年前的RSA大會(huì)上，只安排了一場(chǎng)關(guān)于虛擬安全的專題會(huì)議，去年增加到了3場(chǎng)，而今年則是9場(chǎng)。

這從一個(gè)側(cè)面反映出虛擬化的安全問題得到了前所未有的重視。有專家表示，與傳統(tǒng)服務(wù)器相比，虛擬服務(wù)器并不缺乏安全性，而且通過劃分應(yīng)用，可以提供很多額外的安全性。 企業(yè)在生產(chǎn)系統(tǒng)中部署了虛擬服務(wù)器之后，為利用虛擬化的彈性優(yōu)勢(shì)，很多企業(yè)隨之而來也改變了他們的操作模式。隨著服務(wù)器池中資源的進(jìn)一步集中，動(dòng)態(tài)化與自動(dòng)化成為了新的運(yùn)維方法，而一些有害的、有漏洞的、或者不安全的操作系統(tǒng)映像文件也會(huì)在其中進(jìn)行自動(dòng)配置。因此，虛擬服務(wù)器并不一定代表不安全。

張自力認(rèn)為，目前市面上的虛擬化軟件的安全記錄還是很不錯(cuò)的。對(duì)虛擬化可能存在的安全漏洞的質(zhì)疑和攻擊一直都沒有停止過?！拔蚁嘈盘摂M化技術(shù)經(jīng)得起用戶規(guī)模進(jìn)一步擴(kuò)大的挑戰(zhàn)。相對(duì)于物理操作系統(tǒng)而言，無論是虛擬機(jī)還是虛擬化容器，其代碼規(guī)模和結(jié)構(gòu)都要簡(jiǎn)單得多，更好的安全性是完全可以做得到的。” 張自力說。在這里也要提醒最終用戶，安全漏洞不是主要問題，用戶需要關(guān)注的是虛擬化技術(shù)的引入對(duì)IT管理方式和流程帶來的變化?！霸瓉硪恍┫到y(tǒng)遷移的工作通過虛擬化可以在瞬間完成，這樣，如果萬一出現(xiàn)了誤操作，可能會(huì)導(dǎo)致破壞安全準(zhǔn)則的情況。因此，在虛擬化實(shí)施過程中，參考ITIL等標(biāo)準(zhǔn)，對(duì)IT設(shè)施的管理給予更多的關(guān)注，是相當(dāng)必要的。” 張自力補(bǔ)充說。

基于安全性的考量，VMware早就開始準(zhǔn)備了。在2008年3月，VMware發(fā)布VMSafe計(jì)劃為虛擬安全服務(wù)提供了一個(gè)框架，并為與虛擬機(jī)和hypervisor交互作用的虛擬安全服務(wù)提供了必要的API(應(yīng)用程序接口)，這組API可以讓虛擬安全工具檢查和過濾虛擬機(jī)的所有內(nèi)存、CPU、進(jìn)程、存儲(chǔ)以及網(wǎng)絡(luò)流量。此外，還實(shí)現(xiàn)了即可在虛擬機(jī)上運(yùn)行，又能保持與虛擬機(jī)內(nèi)各種惡意程序的完全隔絕。在傳統(tǒng)操作系統(tǒng)上運(yùn)行的安全代理解決方案可以被惡意軟件終止或破壞，而虛擬安全解決方案則不同，其處在不會(huì)被操作系統(tǒng)觸及到的地方。

難怪VMware全球市場(chǎng)部副總裁Karthik Rau自豪地表示，當(dāng)前能想到的做服務(wù)器整合最安全的平臺(tái)就是虛擬化的平臺(tái)?！耙?yàn)楸M管都是在一個(gè)共享的機(jī)器上運(yùn)轉(zhuǎn)，但是它們還是相對(duì)獨(dú)立的。當(dāng)然安全方面最大的問題就是我們?nèi)绾蝸響?yīng)用我們的虛擬機(jī)，包括如何分配像系統(tǒng)管理員的職責(zé)，比如誰是負(fù)責(zé)操作系統(tǒng)的?誰是負(fù)責(zé)其他方面的?這主要是系統(tǒng)設(shè)計(jì)的問題?！?/P>

除此之外，一些新技術(shù)也被不斷應(yīng)用到虛擬化中，Intel開源研究中心主任工程師董耀祖介紹說: “利用虛擬機(jī)技術(shù)將不同的應(yīng)用運(yùn)行在不同的虛擬機(jī)上，從而避免了傳統(tǒng)操作系統(tǒng)下各進(jìn)程之間的互相影響，這使得一個(gè)應(yīng)用的安全漏洞不會(huì)影響另一個(gè)應(yīng)用，從而增加了系統(tǒng)的整體安全性。當(dāng)然，在今天，虛擬化技術(shù)仍處于發(fā)展的早期，出現(xiàn)安全漏洞也不可避免; 與此同時(shí)，很多安全性方面的技術(shù)也正在被不斷應(yīng)用到虛擬化實(shí)踐中來，以提高虛擬化系統(tǒng)的整體安全性，如Intel TXT技術(shù)等?！?/P>

標(biāo)準(zhǔn)很重要

中國有句俗語叫“無規(guī)矩不成方圓”，強(qiáng)調(diào)了“規(guī)矩”的重要性。在IT領(lǐng)域，“規(guī)矩”同樣重要，那就是我們常說的標(biāo)準(zhǔn)。無論是開放標(biāo)準(zhǔn)W3C，還是私有文檔標(biāo)準(zhǔn)，甚至瀏覽器的事實(shí)標(biāo)準(zhǔn)IE，無不推動(dòng)了整個(gè)產(chǎn)業(yè)向前發(fā)展。標(biāo)準(zhǔn)，在虛擬化領(lǐng)域同樣重要，尤其是當(dāng)虛擬化存在諸多安全隱患時(shí)，當(dāng)虛擬設(shè)備格式錯(cuò)綜復(fù)雜時(shí)，當(dāng)各家虛擬化遷移工具互不兼容時(shí)，標(biāo)準(zhǔn)的出臺(tái)則更顯珍貴，“制度”下才有安全，安全需要“制度”。

目前，虛擬化技術(shù)的標(biāo)準(zhǔn)化工作還處在一個(gè)非常初期的階段?？傮w來看，各家廠商都有自己的文件系統(tǒng)格式和API，因此實(shí)現(xiàn)全面標(biāo)準(zhǔn)化的條件還并不成熟。以“從一個(gè)虛擬化遷移到另一個(gè)虛擬化”這一技術(shù)來說，雖然采用各家公司的P2V工具都是可以很方便做到的，但是這種方式并不是直接的轉(zhuǎn)換。張自力認(rèn)為，目前業(yè)界需要關(guān)注的是虛擬化領(lǐng)域中的開放性和互操作性問題。“事實(shí)上現(xiàn)在虛擬化應(yīng)用所面臨的一個(gè)很重要的問題就是互操作性，而標(biāo)準(zhǔn)化的最大目標(biāo)就是保證互操作性。在虛擬化領(lǐng)域存在眾多的廠商和眾多的產(chǎn)品，并且他們彼此之間相互競(jìng)爭(zhēng)又合作，因此只有保證了互操作性才能真正滿足用戶的需求?！睆堊粤Ρ硎?“API要開放，以便于管理工具集成虛擬化技術(shù)，而不是把虛擬化管理工具壟斷在廠商自己手中; 虛擬化軟件、操作系統(tǒng)、硬件驅(qū)動(dòng)等相關(guān)IT部件的互操作性也是必須保證的; 而對(duì)文件系統(tǒng)格式的開放，可能就需要更長(zhǎng)的時(shí)間了?！?/P>

其實(shí)，在2008年，VMware、Citrix Systems、微軟以及IBM、惠普和戴爾一直都與位于俄勒岡州波特蘭的標(biāo)準(zhǔn)組織DMTF(分布式管理任務(wù)組)合作，以為虛擬機(jī)制定一個(gè)互操作性規(guī)范。目前，已經(jīng)制定了一個(gè)初步的規(guī)范，名為OVF(開放虛擬機(jī)格式)，并且還制定了符合這個(gè)規(guī)范的工具。OVF中涉及的內(nèi)容主要就是為了解決之前阻礙虛擬化應(yīng)用的一些問題; 除此之外，OVF支持多虛擬化映象格式。因此，對(duì)于任何監(jiān)管程序的虛擬機(jī)都可以使用OVF 引導(dǎo)程序來加載，而且，OVF引導(dǎo)程序也是基于數(shù)字簽名的，這確保了免費(fèi)發(fā)布以及用戶的利益。

當(dāng)然，OVF還并不完美，虛擬化的標(biāo)準(zhǔn)化之路還很長(zhǎng)。董耀祖就表示: “統(tǒng)一虛擬化的標(biāo)準(zhǔn)還有很長(zhǎng)的路要走。不過我們現(xiàn)在已經(jīng)欣喜地看到，一些企業(yè)與企業(yè)間的聯(lián)合已經(jīng)出現(xiàn)了。包括在Linux領(lǐng)域，已經(jīng)有一個(gè)虛擬化工作組來討論與Linux虛擬化相關(guān)的技術(shù)問題; 在工業(yè)界，一些主要虛擬化方案提供商也正朝著相互兼容和標(biāo)準(zhǔn)化的方向努力，即使非開源的公司，如微軟也公布了hypercall的接口，以便其他的虛擬化方案如Xen也能運(yùn)行下一代Windows操作系統(tǒng)Viridian等。這些努力最終都將使用戶受益，并幫助他們更好地使用不同的虛擬化方案?！?/P>

【編輯推薦】

1. Linux系統(tǒng)內(nèi)核有待提高的7個(gè)領(lǐng)域 虛擬化居首
2. 五措施堵住虛擬化安全漏洞
3. 英特爾王文漢：虛擬化未來不虛無