【文章內(nèi)容簡(jiǎn)介】 ，使用IP的技術(shù)，所以無需重新配置底層物理網(wǎng)絡(luò)設(shè)備即可擴(kuò)展VXLAN網(wǎng)絡(luò)。正因如此，也就無需再花費(fèi)大量時(shí)間來規(guī)劃如何調(diào)配VLAN及管理VLAN數(shù)量劇增問題。在每個(gè)Nutanix物理節(jié)點(diǎn)上有多種網(wǎng)絡(luò)需求，包括管內(nèi)部通訊網(wǎng)絡(luò)、管理網(wǎng)絡(luò)、生產(chǎn)網(wǎng)絡(luò)等，因此每個(gè)Nutanix節(jié)點(diǎn)建議配置2塊網(wǎng)卡，網(wǎng)絡(luò)設(shè)計(jì)建議如下：類型設(shè)計(jì)備注Nutanix物理節(jié)點(diǎn)之間的內(nèi)部通訊網(wǎng)絡(luò)10Gb以太網(wǎng)雙鏈路冗余每個(gè)節(jié)點(diǎn)通過兩條萬兆鏈路分別連接兩臺(tái)萬兆交換機(jī)，保證網(wǎng)絡(luò)設(shè)備和鏈路的冗余度。建議用戶使用萬兆網(wǎng)絡(luò)互聯(lián)物理節(jié)點(diǎn)，當(dāng)發(fā)生密集的寫IO時(shí)，萬兆網(wǎng)絡(luò)能保證提供足夠帶寬滿足節(jié)點(diǎn)之間的IO同步流量?？蛻舳伺c服務(wù)器虛擬機(jī)之間的通訊網(wǎng)絡(luò)，虛擬化服務(wù)器對(duì)外服務(wù)網(wǎng)絡(luò)1Gb/10Gb以太網(wǎng)，雙鏈路冗余每個(gè)節(jié)點(diǎn)通過兩條千/萬兆鏈路分別連接兩臺(tái)千/萬兆交換機(jī)，保證網(wǎng)絡(luò)設(shè)備和鏈路的冗余度。用戶訪問虛擬服務(wù)器對(duì)外提供服務(wù)時(shí)，通過千/萬兆鏈路可以實(shí)現(xiàn)與后端存儲(chǔ)流量隔離。硬件管理網(wǎng)絡(luò)(IPMI)1Gb以太網(wǎng)每個(gè)節(jié)點(diǎn)都有獨(dú)立的千兆鏈路，用于連接專門的管理網(wǎng)絡(luò)，實(shí)現(xiàn)管理網(wǎng)絡(luò)與業(yè)務(wù)網(wǎng)絡(luò)、存儲(chǔ)網(wǎng)絡(luò)分離?？梢宰畲笙薅缺ＷC管理的靈活性和安全性。虛擬化Hypervisor層的類型選擇，基于生產(chǎn)環(huán)境和災(zāi)備環(huán)境劃分，生產(chǎn)環(huán)境建議采用Vmware vsphere商業(yè)化平臺(tái)軟件并購(gòu)買原廠支持服務(wù)，非生產(chǎn)環(huán)境容災(zāi)環(huán)境，建議采用平臺(tái)標(biāo)配的免費(fèi)的AHV虛擬化軟件，具備高可用(High Availability)、在線遷移(Live Migration/vMotion)等常用虛擬化層特性。Vmware vsphere虛擬化軟件版本對(duì)比，目前vsphere保留了標(biāo)準(zhǔn)版、企業(yè)增強(qiáng)版和企業(yè)增強(qiáng)版帶Operations Management（監(jiān)控、容量規(guī)劃），主要區(qū)別在于分布式虛擬交換機(jī)支持、DRS動(dòng)態(tài)資源調(diào)度、Qos、跨Vcenter管理平臺(tái)和長(zhǎng)距離虛擬機(jī)遷移，建議預(yù)算充足考慮企業(yè)增強(qiáng)版帶Operations Management（監(jiān)控、容量規(guī)劃）版本。以下為版本間區(qū)別：虛擬化在資源利用率、高可用性、高擴(kuò)展性上有著諸多優(yōu)勢(shì)，實(shí)現(xiàn)虛擬化后，直觀的來看，是將多臺(tái)服務(wù)器集中到了一臺(tái)主機(jī)內(nèi)，這一臺(tái)主機(jī)同時(shí)運(yùn)行了多個(gè)操作系統(tǒng)，提供不同的應(yīng)用和服務(wù)；系統(tǒng)管理員根據(jù)需要可以非常方便的添加新的應(yīng)用服務(wù)器；根據(jù)傳統(tǒng)的安全設(shè)計(jì)模型，需要在每個(gè)操作系統(tǒng)中安裝防毒軟件，在網(wǎng)絡(luò)層部署入防火墻、侵檢測(cè)或入侵防御系統(tǒng)，但是在這種在傳統(tǒng)方式下合理的設(shè)計(jì)，在虛擬環(huán)境下會(huì)面臨一些新的問題：未激活的虛擬機(jī)，物理機(jī)下關(guān)閉計(jì)算機(jī)后CPU停止運(yùn)行，網(wǎng)絡(luò)關(guān)閉，理論上不會(huì)有數(shù)據(jù)的交互，操作系統(tǒng)也就不存在被感染的可能；但是在虛擬環(huán)境下，CPU，網(wǎng)絡(luò)，底層的ESX都在工作中，關(guān)閉的操作系統(tǒng)類似于物理環(huán)境下的一個(gè)應(yīng)用程序，盡管這個(gè)“應(yīng)用程序”沒有運(yùn)行，但仍然有被病毒感染的可能；資源的沖突，防毒軟件在啟用預(yù)設(shè)掃描后，當(dāng)?shù)搅酥付〞r(shí)間，會(huì)同時(shí)進(jìn)行文件掃描的動(dòng)作，這個(gè)時(shí)候防毒軟件對(duì)CPU和內(nèi)存的占用急劇增加，當(dāng)系統(tǒng)資源被耗盡的時(shí)候就會(huì)導(dǎo)致服務(wù)器down機(jī)；管理復(fù)雜度，由于虛擬化的便利性，系統(tǒng)管理員可以非常方便的根據(jù)模板生成新的系統(tǒng)，這些新系統(tǒng)要打補(bǔ)丁，進(jìn)行病毒代碼的更新，也會(huì)增加安全管理的復(fù)雜度；虛擬化環(huán)境的動(dòng)態(tài)特性面臨入侵檢測(cè)/防御系統(tǒng)（IDS/IPS）的新挑戰(zhàn)?；诰W(wǎng)絡(luò)的IDS/IPS，也無法監(jiān)測(cè)到同一臺(tái)ESX服務(wù)器上的虛擬機(jī)之間的通訊；由于虛擬機(jī)能夠迅速地恢復(fù)到之前的狀態(tài)，利用VMware VMotion?易于在物理服務(wù)器之間移動(dòng)，所以難以獲得并維持整體一致的安全性。所以虛擬化已經(jīng)使“網(wǎng)絡(luò)邊界去除”的挑戰(zhàn)更加明顯，虛擬化對(duì)于安全的需求也更加迫切。VMware VShield Endpoint 程序使我們能夠部署專用安全虛擬機(jī)以及經(jīng)特別授權(quán)訪問管理程序的API。這使得創(chuàng)建獨(dú)特的安全控制虛擬機(jī)成為可能，如在Gartner的報(bào)告中所述，安全虛擬機(jī)技術(shù)在虛擬化的世界中從根本上改變安全和管理的概念。這種安全虛擬機(jī)是一種在虛擬環(huán)境中實(shí)現(xiàn)安全控制的新型方法。安全虛擬機(jī)利用API來訪問關(guān)于每一虛擬機(jī)的特權(quán)狀態(tài)信息，包括其內(nèi)存、狀態(tài)和網(wǎng)絡(luò)通信流量等。因?yàn)樵诓桓奶摂M網(wǎng)絡(luò)配置的情況下，服務(wù)器內(nèi)部的全部網(wǎng)絡(luò)通信流量是可見的。 包括防病毒、防火墻、IDS/IPS 和系統(tǒng)完整性監(jiān)控等在內(nèi)的安全功能均可以應(yīng)用于安全虛擬機(jī)中。Deep Security產(chǎn)品由三部分組成，管理控制平臺(tái)（以下簡(jiǎn)稱DSM）；安全虛擬機(jī)（以下簡(jiǎn)稱DSVA）；安全代理程序（以下簡(jiǎn)稱DSA）。趨勢(shì)科技Deep Security安全防護(hù)系統(tǒng)管理控制中心（DSM），是管理員用來配置及管理安全策略的集中式管理組件，所有的DSVA及DSA都會(huì)注冊(cè)到DSM，接受統(tǒng)一的管理。 趨勢(shì)科技Deep Security安全防護(hù)系統(tǒng)安全虛擬機(jī)(DSVA)是針對(duì) VMware vSphere 環(huán)境構(gòu)建的安全虛擬計(jì)算機(jī)，可提供防惡意軟件、IDS/IPS、防火墻、Web 應(yīng)用程序防護(hù)和應(yīng)用程序控制防護(hù)，數(shù)據(jù)完整性監(jiān)控等安全功能。 趨勢(shì)科技Deep Security安全防護(hù)系統(tǒng)安全代理程序(DSA)是安全客戶端，直接部署在操作系統(tǒng)中，可提供 IDS/IPS、防火墻、Web 應(yīng)用程序防護(hù)、應(yīng)用程序控制、完整性監(jiān)控和日志審查防護(hù)等安全功能。 Deep Security通過vshield endpoint提供的實(shí)時(shí)掃描、預(yù)設(shè)掃描、清除修復(fù)等數(shù)據(jù)接口，對(duì)虛擬機(jī)中的數(shù)據(jù)進(jìn)行病毒代碼的掃描和判斷，并結(jié)合防火墻、IDS策略實(shí)時(shí)對(duì)進(jìn)出虛擬機(jī)的數(shù)據(jù)進(jìn)行安全過濾；在管理上需要vshield manager和vcenter的支持。趨勢(shì)科技Deep Security系統(tǒng)提供了對(duì)數(shù)據(jù)中心（范圍遍及虛擬桌面到物理、虛擬或云服務(wù)器）的高級(jí)保護(hù)，包括： 216。 防惡意軟件 216。 防火墻216。 入侵檢測(cè)和阻止 (IDS/IPS) 216。 Web 應(yīng)用程序防護(hù) 216。 應(yīng)用程序控制 216。 完整性監(jiān)控 216。 日志審計(jì)VMware 虛擬機(jī)的惡意軟件防護(hù) 防惡意軟件模塊可提供趨勢(shì)科技防惡意軟件防護(hù)，包括實(shí)時(shí)掃描、預(yù)設(shè)掃描及手動(dòng)掃描功能，處理措施包含清除、刪除、拒絕訪問或隔離惡意軟件。檢測(cè)到惡意軟件時(shí)，可以生成警報(bào)日志。 入侵檢測(cè)和阻止 (IDS/IPS)、Web 應(yīng)用程序防護(hù)和應(yīng)用程序控制 DPI 規(guī)則通過保護(hù)漏洞不受已知和未知攻擊來提供入侵檢測(cè)和阻止 (IDS/IPS) 防護(hù)。此類防護(hù)也稱為虛擬補(bǔ)丁，實(shí)現(xiàn)方式是每個(gè)規(guī)則定義預(yù)期的應(yīng)用程序數(shù)據(jù)并根據(jù)其內(nèi)容阻止惡意數(shù)據(jù)。 此外，DPI 規(guī)則通過一組 Web 應(yīng)用程序防護(hù)規(guī)則來保護(hù) Web 應(yīng)用程序中的漏洞（如跨站點(diǎn)腳本 (XSS) 和 SQL 注入）。 通過檢測(cè)已知的應(yīng)用程序流量（在企業(yè)環(huán)境中可能需要限制），DPI 規(guī)則還可以用于向計(jì)算機(jī)提供應(yīng)用程序控制。 持續(xù)的趨勢(shì)科技Deep Security系統(tǒng)規(guī)則更新會(huì)自動(dòng)提供最新的全面防護(hù)，以抵御已知和未知攻擊。 防火墻規(guī)則 完善的雙向狀態(tài)防火墻為所有網(wǎng)絡(luò)通訊協(xié)議（包括 TCP、UDP 和 ICMP）提供全面支持。防火墻規(guī)則是完全可配置的，以每個(gè)網(wǎng)絡(luò)接口為基礎(chǔ)允許或拒絕網(wǎng)絡(luò)通信，以及限制對(duì)允許的 IP 或 MAC 地址的通信。 完整性監(jiān)控規(guī)則 通過完整性監(jiān)控防護(hù)模塊，趨勢(shì)科技Deep Security系統(tǒng)可以掃描和檢測(cè)計(jì)算機(jī)系統(tǒng)文件、目錄、注冊(cè)表項(xiàng)和注冊(cè)表值以及已安裝軟件和運(yùn)行的服務(wù)中發(fā)生的更改。系統(tǒng)會(huì)將這些更改作為事件記錄在管理中心中，并且可以對(duì)其進(jìn)行配置，以生成警報(bào)。日志審計(jì)規(guī)則 通過集成 OSSEC，趨勢(shì)科技Deep Security系統(tǒng)可以審查由操作系統(tǒng)和應(yīng)用程序生成的日志事件。日志審計(jì)事件保存在管理中心中，可以對(duì)其進(jìn)行配置，以生成警報(bào)。此部分只給出建議，實(shí)際授權(quán)按照處理器數(shù)量收費(fèi)。 業(yè)務(wù)系統(tǒng)遷移方法將現(xiàn)有生產(chǎn)系統(tǒng)利用Vmware Converter工具遷移到vSphere虛擬化平臺(tái)上，保證業(yè)務(wù)的正常運(yùn)行?，F(xiàn)有生產(chǎn)環(huán)境中Windows Server 2000。此外，生產(chǎn)環(huán)境中以2002008系統(tǒng)居多?？梢詫?shí)現(xiàn)在線遷移服務(wù)器到虛擬機(jī)（P2V），根據(jù)用戶數(shù)據(jù)遷移前后的存儲(chǔ)位置不同，可以采用不同的數(shù)據(jù)遷移方案來進(jìn)行數(shù)據(jù)遷移：具體采用哪一種還需要到實(shí)際現(xiàn)場(chǎng)實(shí)際考察和確認(rèn)。以下是對(duì)具體情況的分析：l 源服務(wù)器數(shù)據(jù)存放在本地，計(jì)劃遷移到虛擬機(jī)上可以實(shí)現(xiàn)在線遷移，遷移的需要網(wǎng)絡(luò)防火墻開通相關(guān)端口，遷移的時(shí)間取決于服務(wù)器數(shù)據(jù)量大小和網(wǎng)絡(luò)的速度。l 源服務(wù)器數(shù)據(jù)存放在共享磁盤柜上，計(jì)劃遷移到虛擬機(jī)上可以實(shí)現(xiàn)在線遷移，遷移的需要網(wǎng)絡(luò)防火墻開通相關(guān)端口。一般情況下，共享存儲(chǔ)上的數(shù)據(jù)量會(huì)非常大，所以這種應(yīng)用遷移時(shí)間會(huì)比較長(zhǎng)。l 源服務(wù)器數(shù)據(jù)以Raw方式存放在共享磁盤柜，計(jì)劃仍保留在磁盤柜不可以實(shí)現(xiàn)在線遷移，需要用戶備份數(shù)據(jù)。重新搭建環(huán)境，把磁盤柜Raw掛載到虛擬機(jī)上，然后進(jìn)行數(shù)據(jù)恢復(fù)。l 源服務(wù)器數(shù)據(jù)以文件系統(tǒng)方式存放在共享磁盤柜，計(jì)劃仍保留在磁盤柜不可以實(shí)現(xiàn)在線遷移，需要用戶備份數(shù)據(jù)。重新搭建環(huán)境，把磁盤柜相應(yīng)的分區(qū)掛載到虛擬機(jī)上，格式化成相關(guān)的文件系統(tǒng)，然后進(jìn)行數(shù)據(jù)恢復(fù)。根據(jù)不同的數(shù)據(jù)遷移的方案，數(shù)據(jù)遷移的步驟如下：在線遷移的步驟備份被遷移的服務(wù)器數(shù)據(jù)安裝一臺(tái)Convert服務(wù)器和客戶端；調(diào)整網(wǎng)絡(luò)防火墻設(shè)置滿足遷移需求；啟動(dòng)運(yùn)行Convert應(yīng)用程序，根據(jù)向?qū)ч_始遷移指定服務(wù)器；遷移完成后，測(cè)試驗(yàn)證新生成的虛擬機(jī)可用。離線遷移的步驟備份被遷移的服務(wù)器數(shù)據(jù)；根據(jù)需求創(chuàng)建虛擬機(jī)；配置虛擬機(jī)的網(wǎng)絡(luò)、主機(jī)名稱等；在虛擬機(jī)安裝應(yīng)用程序；恢復(fù)應(yīng)用程序數(shù)據(jù)；啟動(dòng)應(yīng)用程序服務(wù)；測(cè)試驗(yàn)證新搭建的虛擬機(jī)可用。數(shù)據(jù)遷移的風(fēng)險(xiǎn)評(píng)估數(shù)據(jù)遷移之前需要用戶做好數(shù)據(jù)備份。在線遷移過程不會(huì)破壞源數(shù)據(jù)庫服務(wù)器的任何數(shù)據(jù)，即使遷移失敗，源數(shù)據(jù)庫服務(wù)器仍然可以繼續(xù)提供服務(wù)，故數(shù)據(jù)遷移沒有風(fēng)險(xiǎn)。遷移前準(zhǔn)備：l 操作系統(tǒng)版本l 系統(tǒng)盤數(shù)量及大小l 業(yè)務(wù)信息統(tǒng)計(jì)l 處所網(wǎng)絡(luò)環(huán)境的帶寬l 停機(jī)窗口時(shí)間遷移回退方案：無論是P2V、V2V或者是VMware平臺(tái)自帶的vMtion功能，理論上，遷移都不會(huì)破壞源端虛擬機(jī)，如發(fā)生遷移失敗或者遷移過去后業(yè)務(wù)不可用，可直接啟用源端虛擬機(jī)繼續(xù)提供業(yè)務(wù)，待查明原因后，繼續(xù)遷移。 系統(tǒng)培訓(xùn)及知識(shí)轉(zhuǎn)移對(duì)本項(xiàng)目中的培訓(xùn)任務(wù)給予高度重視，首先選擇具有豐富工作實(shí)踐和教學(xué)經(jīng)驗(yàn)的技術(shù)人員擔(dān)任教師；其次認(rèn)真編寫有關(guān)培訓(xùn)教材，充分保證培訓(xùn)課程的實(shí)用性，使客戶的技術(shù)人員在最短的時(shí)間內(nèi)獲得最有效的系統(tǒng)知識(shí)；另外，合理組織培訓(xùn)方式，結(jié)合不同教學(xué)形式，使得培訓(xùn)效果達(dá)到最佳。在培訓(xùn)工作完成之后，學(xué)員將具備以下能力：216。 服務(wù)器虛擬化產(chǎn)品的整體結(jié)構(gòu)、設(shè)計(jì)思路、所用技術(shù)具有全面的了解216。 掌握系統(tǒng)中涉及的各種功能模塊件的用途、使用、維護(hù)方法216。 掌握系統(tǒng)中涉及的軟件安裝、調(diào)試技能216。 掌握系統(tǒng)的日常維護(hù)方法及步驟，具備一定的發(fā)現(xiàn)問題和解決問題能力216。 了解獲得技術(shù)支持和售后服務(wù)的途徑、流程與方法培訓(xùn)對(duì)象及培訓(xùn)內(nèi)容針對(duì)技術(shù)管理和系統(tǒng)維護(hù)人員的現(xiàn)場(chǎng)培訓(xùn)，在現(xiàn)場(chǎng)從項(xiàng)目實(shí)施準(zhǔn)備開始，要求客戶的技術(shù)管理人員、系統(tǒng)運(yùn)維維護(hù)人員與技術(shù)工程師一起，對(duì)整個(gè)項(xiàng)目的實(shí)施規(guī)劃、軟件安裝、策略初始配置、軟件參數(shù)調(diào)試、安裝調(diào)試過程中的故障診斷與排除等技能進(jìn)行同步培訓(xùn)，使其在項(xiàng)目實(shí)施完畢，便能過對(duì)整個(gè)項(xiàng)目的各類技術(shù)、技能進(jìn)行初步的掌握和了解，并能實(shí)地對(duì)系統(tǒng)進(jìn)行簡(jiǎn)單的安裝、配置、調(diào)試和簡(jiǎn)單故障的排除，在項(xiàng)目實(shí)施完畢后，培訓(xùn)工程師將對(duì)整個(gè)項(xiàng)目總結(jié)性回顧培訓(xùn)，鞏固培訓(xùn)技能知識(shí)，完成知識(shí)轉(zhuǎn)移。培訓(xùn)內(nèi)容和培訓(xùn)對(duì)象如下：序號(hào)培訓(xùn)名稱內(nèi)容對(duì)象1虛擬化軟件安裝和配置培訓(xùn)服務(wù)器虛擬化軟件架構(gòu)、基礎(chǔ)功能、高級(jí)特性、安裝部署及管理配置培訓(xùn)；全體人員2虛擬化軟件運(yùn)維培訓(xùn)服務(wù)器虛擬化軟件的日常運(yùn)維培訓(xùn)、常見故障處理、補(bǔ)丁安裝與升級(jí)等；運(yùn)維人員3虛擬化管理套件原廠培訓(xùn)服務(wù)器虛擬化管理套件架構(gòu)、功能、安裝部署及管理配置培訓(xùn)；全體人員4虛擬化管理套件運(yùn)維培訓(xùn)服務(wù)器虛擬化管理套件的日常運(yùn)維培訓(xùn)、常見故障處理、補(bǔ)丁安裝與升級(jí)等；運(yùn)維人員、業(yè)務(wù)系統(tǒng)整合在完成超融合虛擬化平臺(tái)搭建后，可以開始執(zhí)行業(yè)務(wù)遷移測(cè)試驗(yàn)證，遷移測(cè)試驗(yàn)證完成后，按照業(yè)務(wù)系統(tǒng)的優(yōu)先級(jí)別進(jìn)行業(yè)務(wù)系統(tǒng)整合，將核心業(yè)務(wù)系統(tǒng)整合到中心機(jī)房超融合虛擬化平臺(tái)。以下分別介紹：中心機(jī)房除HIS、PACS之外的業(yè)務(wù)系統(tǒng)，按照業(yè)務(wù)系統(tǒng)關(guān)鍵級(jí)別有序遷移到超融合虛擬化平臺(tái)。涉及業(yè)務(wù)系統(tǒng)如下表：機(jī) 房服務(wù)器命名支持的應(yīng)用系統(tǒng)操作系統(tǒng)數(shù)據(jù)庫中心機(jī)房高能HIS高能HISWin2003Sql server 2000機(jī)房環(huán)境監(jiān)控機(jī)房環(huán)境監(jiān)控Win2000SQL　2000安全補(bǔ)丁和360殺毒W(wǎng)in2003SQL　2000HIS接入HIS接入Win2003測(cè)試HIS接入備機(jī)，測(cè)試Win2003SQL2008PIC2DCMPIC2DCM，域控Win2008USDS1USDS1Win2008SQL2008RISRISWin2008SQL2008運(yùn)維運(yùn)維（酷點(diǎn)）Win2003AQNETAQNETWin2003 64Sql server 2000AQAPSAQAPSWin2003 64Sql server 2005移動(dòng)護(hù)理移動(dòng)護(hù)理Win2003供應(yīng)室供應(yīng)室Win2003SQL2005Oracle10g電子病歷電子病歷Win2003SQL2008備份備份Win2003手麻手麻Win2003Oracle 遠(yuǎn)程桌面管理遠(yuǎn)程桌面管理（信安）Win2003SQL2000醫(yī)保醫(yī)保Win2003Oracle 用藥監(jiān)控用藥監(jiān)控