Администрирование виртуальной инфраструктуры
В большинстве случаев виртуальная инфраструктура ведет себя точно также, как и физическая, но технологии виртуализации имеют свои особенности, которые мы и рассмотрим в этой статье.
Создание виртуальных серверов и установка операционных систем
Шаблоны виртуальных машин позволяют создавать полностью настроенный виртуальный сервер с установленной операционной системой за несколько кликов мыши из панели управления облачного провайдера.
Миграция физических серверов в виртуальную среду
Обычно к моменту принятия решения о разворачивании виртуальной инфраструктуры организация уже имеет физическую инфраструктуру, включающую физические серверы и телекоммуникационную аппаратуру.
Физические серверы можно превратить в виртуальные, при помощи различных специализированных инструментов:
- команда dd в Linux
- программа disk2vhd в Windows
- программа VMware Converter Standalone
- специализированные коммерческие продукты
Есть системы, которые не стоит мигрировать в облака:
- Программы, для работы которого требуется физическое оборудование.
- Такое оборудование, как ключи электронной защиты, используемое для защиты от несанкционированного копирования, невозможно виртуализовать. Иногда такие проблемы можно решить путем перехода на электронный ключ.
- Системы, для которых нужна высокая производительность
- Приложения и устройства, которые загружают оперативную память, жесткий диск, процессор, видеокарта , не подходят для миграции
- ПО с лицензионными ограничениями на виртуализацию
- Некоторые лицензионные соглашения запрещают использовать продукты в виртуальной среде.
- Критически важные приложения для без тестирования
- Не стоит переводить жизненно важные для организации системы или приложения на виртуальную платформу без предварительного тестирования.
- ИТ-системы, требующие повышенной безопасности
- Виртуализация любой системы, содержащей конфиденциальные данные, может предоставлять угрозу ИТ-безопасности.
Установка и обновление приложений
При использовании арендованной виртуальной инфраструктуры (IaaS) вам не придется следить за обновлением программного обеспечения серверов, и коммуникационного оборудования. Но самим виртуальным машинам требуются регулярные обновления и операционных систем, и приложений.
Обычной проблемой в крупной инфраструктуре является размножение образов. Это размножение приводит к тому, что появляется огромное количество шаблонов виртуальных машин с одной и той же операционной системой, но с различными приложениями или ролями. Управлять таким зоопарком образов и обеспечивать их обновление непросто, но такие продукты, как System Center Virtual Machine Manager позволяют сократить число образов и устанавливать приложения, роли и функции в виртуальных серверах при помощи пакетов приложений.
Установка SSL-сертификатов
Если ваша организация разрабатывает или использует веб-приложения, расположенные в виртуальной инфраструктуре, то доступ к этим приложениям необходимо защищать при помощи шифрования.
Можно, конечно, использовать самоподписанные сертификаты или бесплатные сертификаты Let’s Encrypt, но у них есть существенные недостатки:
- Ограниченный срок действия
- Бесплатные сертификаты Lets’ Encrypt рассчитаны на 90 дней. Для автоматического перевыпуска необходимо настроить планировщик, который будет запускать скрипт автоматического перевыпуска или принимать настройки центра сертификации, которые смогут вносить изменения в конфигурацию ваших серверов.
- Не все домены можно защищать сертификатами Let’s Encrypt
- Эти сертификаты
- Отсутствие технической поддержки
- На сайте Let’s Encrypt есть только документация на английском языке. Некоторые вопросы выпуска и использования есть на тематических форумах.
- Нет расширенных проверок
- При выпуске сертификата проверяется только принадлежность домена клиента. Таким образом, кто угодно в интернете может создать сертификат с названием любой организации.
- Проблемы с поддержкой в браузерах
- При использовании сертификатов Let’s Encrypt некоторые браузеры выводят сообщения о том, что браузер не доверяет этому сертификату. В основном, это происходит при использовании устаревших браузеров и операционных систем.
- Самоподписанные сертификаты выводят сообщение «Сертификат безопасности не является доверенным»
- Эта надпись будет отпугивать потенциальных клиентов. Такие сертификаты можно испольльзовать только при обмене данными между пользователями, которые знают о самоподписанном SSL-сертификате и подтвердили его в браузере.
- Самоподписанные сертификаты не подтверждают реально компании
- Они лишь обеспечивают безопасную передачу данных
Доверенные сертификаты – единственное надежное решение для защиты веб-приложений. Провайдеры облачных услуг могут предложить выпуск доверенных сертификатов SSL из панели управления.
Политики безопасности
Виртуальная инфраструктура повышает степень интеграции ИТ-средств, при этом одновременно уменьшая количество физического оборудования. Но количество сетевых приложений, сервисов остается таким же и даже большим. Поэтому защищать виртуальную инфраструктуру нужно комплексно, комбинируя сетевые и локальные средства защиты. Можно использовать следующие защитные механизмы:
- средства сетевой аутентификации и авторизации пользователей;
- межсетевое экранирование как внутри сервера виртуализации между гостевыми машинами, так и по периметру виртуальной инфраструктуры;
- системы регистрации, сбора и корреляционного анализа событий безопасности;
- средства разграничения доступа и делегирование полномочий к виртуальным машинам
- системы контроля целостности конфигураций распределенных компонентов виртуальной инфраструктуры;
- средства антивирусной защиты;
- средства управления доступом к элементам виртуальной инфраструктуры.
Следует иметь ввиду, что политика безопасности, привязанная к таким физическим атрибутам, как физический сервер, IP-адрес, MAC-адрес не работает в облаке, так как провайдер облачных услуг может их изменить. Политику безопасности следует привязать к логическим атрибутам. Становятся важными идентификация, групп или роль пользователей, а также чувствительность нагрузки.
Модель контроля доступа должна быть основана на пользователе. Контроль сетевого доступа (Network Access Control - NAC) определяет пользователей и к чему у пользователей есть доступ. Контроль доступа должен учитывать, что пользователи могут прийти из любого места в Интернет, в любое время, с любого устройства, а также запрашивать доступ одновременно с разных устройств.
Антивирусная защита
Технологии виртуализации порождают ряд новых рисков информационной безопасности. Типичным примером атаки на облачные среды является «антивирусный шторм», который вызывает одновременный запуск множества антивирусов. Такой шторм может привести к нарушению работоспособности виртуальной машины. Высокая доступность виртуальных машин и приложений может создать множество возможностей для злоумышленников. При этом одна незащищённая или зараженная виртуальная машина может стать источником угрозы для всей виртуальной инфраструктуры.
Традиционные средства защиты, например, агентские антивирусы, не всегда применимы в условиях виртуализации. Стоит выделить три основных подхода к антивирусной защите виртуальной инфраструктуре.
- Первый подход состоит в том, что виртуальная среда предоставляет специальный программный интерфейс для контроля виртуальных машин через гипервизор, а антивирус используется им, перенаправляя всю защиту на специализированную виртуальную машину. Это позволяет отказаться от использования антивирусных агентов на виртуальных машинах.
- Второй подход заключается в работе по старой схеме с использованием антивирусных агентов, которые нужно обновлять и настраивать. Но вместе с тем производители антивирусов стараются предоставить новые возможности для оптимизации исполнения агентов в виртуальной среде.
- Третий подход заключается в том, чтобы не отказываться от агентов полностью, делать их максимально легковесными и простыми для исполнения, но в то же время большую часть аналитики реализовывать на специализированной виртуальной машине. Этот более универсален, но в некоторых случаях может уступать первым и вторым подходам.
Системный мониторинг
Так как виртуальная машина работает с виртуальным аппаратным обеспечением, за которым нет необходимости следить также, как и за физическим, можно удалить все программы-агенты аппаратного обеспечения при переводе физического сервера на виртуальную платформу. Кроме того, виртуальные машины загружаются быстрее физических, и из-за этого система мониторинга может не успеть обнаружить перезагрузку виртуальной машины, если ее интервал сбора данных окажется слишком большой.
Можно выделить следующие критерии работоспособности, которые будут собирать системы мониторинга:
Мониторинг производительности
Традиционные системы сбора данных о производительности часто некорректно работают на виртуальных машинах, поэтому для мониторинга необходимо использовать специализированные средства, которые могут быть как встроенными в платформу виртуализации, так и разработанными специально для мониторинга виртуальной инфраструктуры.
Для оценки производительности виртуальных машин используются следующие критерии:
Для виртуальных машин Windows:
- доступный объем памяти, мегабайт;
- среднее время на операцию записи, секунд (логический диск);
- среднее время на операцию записи, секунд (диск);
- среднее время на операцию чтения, секунд (логический диск);
- среднее время на операцию перемещения, секунд (логический диск);
- среднее время на операцию чтения, секунд (диск);
- среднее время на операцию перемещения, секунд (диск);
- текущая длина очереди диска (логический диск);
- текущая длина очереди диска (диск);
- процент времени простоя диска;
- ошибка или повреждение файловой системы;
- мало свободного пространства на логическом диске (в процентах);
- мало свободного пространства на логическом диске (в мегабайтах);
- процент времени простоя логического диска;
- страниц памяти в секунду;
- процент используемой пропускной способности чтения;
- процент используемой общей пропускной способности;
- процент используемой пропускной способности записи;
- процент используемой выделенной памяти;
- процент времени простоя диска;
- работоспособность службы DHCP-клиента;
- работоспособность службы DNS-клиента;
- работоспособность службы RPC;
- работоспособность службы сервера;
- общий процент использования ЦП;
- работоспособность службы журнала событий Windows;
- работоспособность службы брандмауэра Windows;
- работоспособность службы удаленного управления Windows.
Для виртуальных машин Linux:
- время обращения к диску (с)
- время чтения с диска (с)
- время записи на диск (с)
- работоспособность диска;
- свободное пространство на логическом диске;
- свободное пространство на логическом диске (в процентах);
- свободные дескрипторы на логическом диске (в процентах);
- работоспособность сетевого адаптера;
- общее процессорное время в процентах;
- доступный для операционной системы объем памяти, мегабайт.
Резервное копирование
Виртуализация усложняет задачу резервного копирования. С одной стороны, можно продолжать выполнять резервное копирование с помощью традиционных средств путем установки на каждую виртуальную машину агента, который будет копировать файлы в нужное место. Этот метода надежен, но в условиях виртуальной среды может работать некорректно. При одновременном запуске агентов на всех виртуальных машинах возникает «шторм», в ходе которого каждая виртуальная машина стремится захватить все ресурсы сервера для выполнения задачи резервного копирования.
Другой подход состоит в том, что резервное копирование может выполняться на уровне сервера виртуализации. В этом случае копирование данных из виртуальных машин может проходить гораздо быстрее.
Одной из основных задач системного администратора является резервное копирование данных, находящихся на рабочих станциях и ноутбуках. Ведь в случае хищения ноутбука данные могут попасть к злоумышленникам, а пользователи редко сами принимают шифрование.
Особого внимания заслуживает тема дедупликации. Как мы уже писали, новые виртуальные машины часто создаются из шаблонов, в результате чего данные на дисках виртуальных машин в значительной степени совпадают. Дедупликация позволяет находить одинаковые блоки на дисках и в резервной копии сохранять только один экземпляр.
Если используется технология VDI (инфраструктура рабочих столов), все обрабатываемые данные будут находиться в виртуальных серверах или хранилищах на стороне облачного провайдера. Таким образом, резервное копирование производится в облаке и в случае кражи клиентского устройства данные не попадут в чужие руки.
Оптимизация виртуальных жестких дисков
Подобно тому, как на физических серверах необходимо производить дефрагментацию жестких дисков, в виртуальных машинах необходимо производить сжатие виртуальных дисков. Сжатие (compact) применяется к динамическим расширяемым и разностным виртуальным жестким диска. Команда Optimize-VHD уменьшает размер VHD-файла, удаляя пустое пространство, оставшееся после удаления данных с виртуального жесткого диска. Кроме того, эта команда перестраивает блоки для более эффективного использования дискового пространства, что также уменьшает размер VHD файлов.
Перенос виртуальных серверов из других систем
Что делать, если уже есть виртуальная инфраструктура в облаке, но по каким-то причинам ее нужно перенести к другому провайдеру? Здесь поможет функция экспорта виртуальных машин, . При переносе виртуальных машин из облака Amazon S3 можно воспользоваться корзиной (bucket) в панели управления Amazon S3.
Если виртуальная инфраструктура была создана в облаке Microsoft Azure, придется использовать специальный командлет PowerShell Save-AzureVhd, а если в Hyper-V, то встроенной функцией экспорта оснастки «Управление Hyper-V».
Также можно экспортировать виртуальный сервер в файл формата OVA/OVF(открытый стандарт для хранения и распространения виртуальных машин), а потом импортировать полученный файл с помощью панели управления нового провайдера. .
Настройка многофакторной аутентификации
Для безопасного доступа к облачной инфраструктуре одного пароля уже недостаточно. Многофакторная проверка подлинности предоставляет дополнительную проверку подлинности в дополнение к учетным данным пользователя. К возможным опциям многофакторной подлинности относятся:
- мобильные приложения;
- телефонные звонки;
- текстовые сообщения.
Виртуальная инфраструктура – возможности или риски?
Несмотря на то, что администратору виртуальной инфраструктуры больше не нужно заботиться о физическом оборудовании, забот у него не становится меньше. Администрирование виртуальной инфраструктуры может потребовать большего внимания, чем физической, поскольку инфраструктура усложняется, добавляется множество задач. Виртуализация несет в себе как новые возможности, таки и новые риски, которые необходимо учитывать.