【正文】 不同恢復(fù)時間目標(biāo)和還原點目標(biāo)對災(zāi)備的需求：場景RTORPO適用對象特點小型1天~數(shù)周1天~數(shù)周開發(fā)和測試環(huán)境使用主機級別的虛機備份方式采用冷站點作為備份站點模式使用磁盤\磁帶保存?zhèn)浞萦诚裥枰斯じ深A(yù)恢復(fù)映像和執(zhí)行故障排除中型4小時~數(shù)天4小時~數(shù)天工作組應(yīng)用程序使用主機級別的虛機備份方式采用暖站點作為備份站點模式，并且有可用存儲用于復(fù)制或者拷貝虛機映像通過離線方式傳送虛機映像需要人工干預(yù)恢復(fù)映像和執(zhí)行故障排除大型分鐘到數(shù)小時分鐘到數(shù)小時基礎(chǔ)架構(gòu)和消息系統(tǒng)采用站點間復(fù)制的方式傳送虛機數(shù)據(jù)使用基于SAN或者基于主機的復(fù)制基于更改的實時數(shù)據(jù)傳輸，減小對WAN連接的影響需要手工掛接虛機副本到備用服務(wù)器上巨型立即實時關(guān)鍵業(yè)務(wù)系統(tǒng)采用暖站點或者熱站點方式使用存儲到存儲的復(fù)制方式使用專門的工具和方法執(zhí)行VM復(fù)制基于WindowsServer故障轉(zhuǎn)移群集實現(xiàn)自動化的恢復(fù)在此次項目中，因為私有云平臺上都運行的比較關(guān)鍵和重要的業(yè)務(wù)應(yīng)用，因此考慮采用分鐘到數(shù)小時或者立即實時的恢復(fù)目標(biāo)，以下是兩種場景的實施思路：n 分鐘到數(shù)小時：使用DPM服務(wù)器和HyperV備份服務(wù)器在遠程災(zāi)備站點不間斷地創(chuàng)建實施VM備份。生產(chǎn)環(huán)境發(fā)生意外，則通過DPM或HyperV備份進行虛機還原，是遠程災(zāi)備站點發(fā)揮作用n 立即實時：使用跨地理位置的Windows Server故障轉(zhuǎn)移群集實現(xiàn)近乎實時的災(zāi)難恢復(fù) 安全設(shè)計 宿主機安全對于群集中的宿主服務(wù)器，建議采用如下安全加固手段：n 僅安裝與虛擬化有關(guān)的組件和服務(wù)，減小安全攻擊面n 停止與虛擬化沒關(guān)聯(lián)的服務(wù)和組件，關(guān)閉不需要的網(wǎng)絡(luò)端口n 需要針對存放虛擬實例的文件夾設(shè)置NTFS權(quán)限已避免未經(jīng)授權(quán)的訪問n 通過SCCM安裝防病毒軟件，將虛擬實例存放VHD文件的路徑排除在實施掃描之外n 通過SCCM設(shè)定統(tǒng)一的補丁更新檢查和安全策略 虛擬機安全n 所有虛擬機均加入域，并且通過組策略制定統(tǒng)一安全策略，如密碼等n 所有開發(fā)人員均用普通用戶身份登錄，不允許安裝非授權(quán)應(yīng)用程序。n 通過SCCM統(tǒng)一的防病毒軟件進行病毒庫更新n 制定統(tǒng)一的補丁更新策略，在線虛擬機通過SCCM更新，非在線虛擬機微軟會提供Offline VM Patch Toolkits來進行更新。n 圖形終端禁用USB等可移動存儲設(shè)備，減少泄露信息和導(dǎo)入計算機病毒的可能。 使用權(quán)限控制SsytemCenter提供用戶自服務(wù)的門戶站點，虛擬機使用者可以通過該站點遠程訪問及配置虛擬機，但是在便于訪問的同時，也需要考慮到相關(guān)的安全性，特別是對于使用權(quán)限的設(shè)定。自助服務(wù)門戶的帳號使用權(quán)限細化，如按用戶角色分配：n 管理員：擁有門戶使用的最高權(quán)限。n 創(chuàng)建者：具有通過自助服務(wù)門戶創(chuàng)建虛擬機的權(quán)限，由其統(tǒng)一調(diào)配虛擬機數(shù)量、資源。n 使用者：具有通過自助服務(wù)門戶使用虛擬機的權(quán)限，能按照創(chuàng)建者的授權(quán)使用分配給自己的虛擬機，但無創(chuàng)建和刪除虛擬機的權(quán)限。n 對于需要全面進行虛擬實例管理的用戶，則在SCVMM中分配權(quán)限使其具備管理員身份n 對于需要對某臺虛機進行設(shè)置調(diào)整和配置的用戶，則在SCVMM中分配權(quán)限使其具備針對特定虛機的使用著身份n 對于在特定場景下需要能夠創(chuàng)建新虛機實例的用戶，則在SCVMM中分配權(quán)限使其具備創(chuàng)建者身份n 用戶針對虛擬實例操作系統(tǒng)的管理和維護能力由用戶訪問虛擬實例時持有的AD賬號或者本地計算機用戶賬號的權(quán)限確定。 多租戶安全隔離在HyperV中，對需要進行互通的虛擬機，通過配置其網(wǎng)絡(luò)設(shè)置可以讓虛擬機之間以高達10G的網(wǎng)絡(luò)連通速度通訊。對于需要彼此隔離的虛擬機，在網(wǎng)絡(luò)上可將其放置到某個獨立的虛擬子網(wǎng)中，實現(xiàn)虛擬機之間在網(wǎng)絡(luò)上的隔離；除此之外HyperV內(nèi)置內(nèi)存隔離技術(shù)，可確保虛擬機在運行過程中的內(nèi)存數(shù)據(jù)安全。內(nèi)存均獨享，保證內(nèi)存分配安全HyperV充分使用虛擬交換機來控制虛擬機的網(wǎng)絡(luò)通信量并確保其安全。HyperV 虛擬交換機可與物理網(wǎng)絡(luò)VLANID相關(guān)聯(lián)，以限制通過該虛擬交換機與指定 VLAN 的網(wǎng)絡(luò)通信?？梢詫⒍鄠€ HyperV虛擬交換機與單個物理網(wǎng)絡(luò)適配器關(guān)聯(lián)。HyperV中的 VLAN 支持可以通過限制從虛擬機到指定 VLAN 的網(wǎng)絡(luò)通信為虛擬機提供更高的網(wǎng)絡(luò)安全性。在本項目中，宿主服務(wù)器除了需要支撐虛擬的運行之外，還需要在某塊網(wǎng)卡上運行管理功能和心跳信息，可以在這塊網(wǎng)卡上設(shè)置這些通訊所需的VLAN ID 網(wǎng)絡(luò)端口安全為確保部署在不同VLAN間的群集組的宿主機服務(wù)器及虛機能進行相互通訊，需要在防火墻上開設(shè)必要端口與部署在內(nèi)部的服務(wù)器進行通訊，其他端口默認禁止。端口列表：作用協(xié)議端口SCCM服務(wù)器與SCCM客戶端之間的通訊TCPTCPTCP80/8530443/8531445SCCM控制臺到客戶端SCCM遠程輔助RDP/RTCTCP/UDPTCP/UDPTCP270127023389DPM配置協(xié)議使用DCOM，DPM通過調(diào)用保護代理上的DCOM向文件代理發(fā)出指令DCOM135/TCP動態(tài)DPM服務(wù)器與DPM代理之間的通訊TCP5718/TCP5719/TCPVMM 服務(wù)器到基于 Windows Server 的主機上的 VMM 代理（控制）WSManagement80VMM 服務(wù)器到基于 Windows Server 的主機上的 VMM 代理（文件傳輸）HTTPS（使用 BITS）443VMConnect (RDP) 到 HyperV 主機的通訊RDP2179VMM服務(wù)器遠程桌面到虛擬機RDP3389SCOM Server服務(wù)器到SCOM客戶端的通訊TCP5723 性能優(yōu)化設(shè)計對于部署在HyperV私有云上的應(yīng)用及OS(Windows amp。 Linux)的性能優(yōu)化主要基于以下原則：HyperV一體化服務(wù)（Integration Services）確保使用的HyperV一體化服務(wù)（Integration Services）是最新版本。這個簡單的程序會為支持的子操作系統(tǒng)（Windows amp。 Linux以及某些非正式支持的子操作系統(tǒng)）安裝可用的最新驅(qū)動，從而提高虛擬機調(diào)用硬件時的性能。利用合成網(wǎng)絡(luò)（synthetic network）驅(qū)動HyperV支持兩種類型的虛擬網(wǎng)絡(luò)驅(qū)動：模擬網(wǎng)絡(luò)驅(qū)動和合成網(wǎng)絡(luò)驅(qū)動。模擬驅(qū)動的兼容性最好，而合成驅(qū)動的效率更高。因為合成驅(qū)動使用了專門的VMBus以進行虛擬網(wǎng)卡和root/parent分區(qū)物理網(wǎng)卡間的通信。要檢驗Windows子操作系統(tǒng)內(nèi)使用的驅(qū)動器類型，可以利用設(shè)備管理器查看。通過修改虛擬機屬性，可以更改安裝的網(wǎng)絡(luò)適配器類型。為了讓更改生效，有時需要關(guān)閉虛擬機或重啟虛擬機。不過，通常這樣的做法還是有價值的。如果合成驅(qū)動兼容，CPU利用很可能會更低，網(wǎng)絡(luò)反應(yīng)也更快。增加網(wǎng)絡(luò)容量網(wǎng)絡(luò)性能對各種應(yīng)用和服務(wù)來說是至關(guān)重要的。無論是運行一臺或是幾臺虛擬機，主機服務(wù)器使用一個物理網(wǎng)卡通常就可以了。但是如果有很多臺虛擬機爭奪資源，而且還要執(zhí)行物理網(wǎng)絡(luò)層安全性，那就該考慮為主機服務(wù)器添加千兆（甚至是萬兆）的以太網(wǎng)卡了。有的網(wǎng)卡支持端口聚合（teaming）功能，聚合功能可以執(zhí)行負載平衡或自動故障解決（automatic failover）。此外，支持TCP卸載等功能的網(wǎng)卡還可以通過管理網(wǎng)絡(luò)接口層從而提升性能。在Root/parent分區(qū)網(wǎng)絡(luò)適配器的驅(qū)動中，確保啟用此項功能。只要有可能，都可以使用一個方法，就是將虛擬機分別隔離到不同的虛擬交換機（Virtual Switch）。考慮到虛擬機劃分的安全性和性能因素，每個虛擬交換機可以連接一個不同的主機物理網(wǎng)卡端口。對于使用同一虛擬交換機的不同虛擬機組，還可以使用VLAN標(biāo)記為其分流。內(nèi)存問題在HyperV平臺上內(nèi)存分配機制有兩種方式： 固定內(nèi)存分配。分配給虛擬機的內(nèi)存為固定大小獨占方式，在確保內(nèi)存數(shù)據(jù)交換安全的前提下，能夠確保性能最優(yōu)。 動態(tài)內(nèi)存分配。為每個虛擬機分配一段內(nèi)存區(qū)間，虛擬機使用的內(nèi)存會根據(jù)實際性能負載動態(tài)申請或釋放內(nèi)存。這種內(nèi)存分配機制可能增加虛擬機的整合比，但是性能表現(xiàn)及穩(wěn)定性不及固定內(nèi)存分配方式。因此建議使用固定內(nèi)存分配方式，此外盡量在宿主機上使用盡可能多的內(nèi)存，如果可用內(nèi)存空間不足，可能導(dǎo)致很多問題，如子操作系統(tǒng)內(nèi)過多的內(nèi)存分頁。內(nèi)存分頁過多的問題可能會很具迷惑性，因為它起初看起來可能像是磁盤I/O性能的問題。最根本的原因通常是因為虛擬機分配的內(nèi)存空間太小。在遷移到私有云之前，監(jiān)控應(yīng)用和服務(wù)的內(nèi)存需求是很重要的。在虛擬機中進行內(nèi)存需求監(jiān)控實現(xiàn)起來比較容易。SCSI和磁盤性能對很多虛擬機類型而言，磁盤I/O性能通常是一個瓶頸，可以利用虛擬集成開發(fā)環(huán)境（IDE）控制器或SCSI控制器將虛擬硬盤（VHD）附屬到一臺HyperV虛擬機。IDE控制器是默認的，因為它對很多子操作系統(tǒng)都支持，具有最好的兼容性。不過，SCSI控制器可以減少CPU負擔(dān)，讓虛擬SCS總線能夠同時執(zhí)行多個任務(wù)。如果應(yīng)用類型是磁盤密集型的，請考慮只用虛擬SCSI控制器（如果子操作系統(tǒng)支持這個配置）。如果不行，就額外添加SCSI連接的VHD（最好是分開存儲于主機服務(wù)器上物理軸或陣列的VHD）?？煺展芾怼yperV的快照基礎(chǔ)設(shè)施方便快捷，易于使用。不需要任何初始化設(shè)置，只需點擊下鼠標(biāo)，新快照就創(chuàng)建好了。不過，儲存的快照過多也有個缺點。當(dāng)創(chuàng)建一大堆快照之后，HyperV就不得不執(zhí)行很多讀取操作。Hypervisor必須檢查很多硬盤文件以找到最新數(shù)據(jù)，而且，這會增加很多物理I/O負荷。如果有很多虛擬機，每臺虛擬機有多個快照，問題就更復(fù)雜了。解決這個問題的辦法很簡單：刪除所有子虛擬機不再需要的快照即可。應(yīng)用在HyperV上的性能優(yōu)化由于應(yīng)用類型的不同，并且對于CPU，內(nèi)存，存儲及網(wǎng)絡(luò)I/O的要求不盡相同，因此需要相關(guān)應(yīng)用廠商提供基于HyperV的優(yōu)化方案。微軟能夠提供所有基于HyperV平臺上微軟應(yīng)用的性能優(yōu)化方案，如SharePoint Portal Server, Exchange Server, Lync Server, SQL Server等。5. 軟硬件配置及報價服務(wù)器型號CPU 內(nèi)存 硬盤 網(wǎng)卡 HBA卡 單價(萬)數(shù)量 總價HP DL388P GEN8, 2U機架式服務(wù)器E5 128G146Gx3, SAS 15k/轉(zhuǎn)4端口10G以太網(wǎng)卡Qlogic單端口8G光纖通道526存儲型號控制器硬盤類型 硬盤數(shù)量 容量 單價(萬)數(shù)量 總價EMC VNX5100 雙控 8*8GB前端通道SAS 15k/轉(zhuǎn)159T(600Gx15)`18118存儲交換機 型號 端口數(shù)量 光纖模塊 單價(萬)數(shù)量總價博科Brocader光纖交換機12SFP復(fù)用23（以上硬件規(guī)格和價格僅供參考，以供應(yīng)商報價為準(zhǔn)）軟件名稱單價(萬)數(shù)量總價Microsoft Windows Server 2012R2數(shù)據(jù)中心版5Microsoft SystemCenter 2012R2數(shù)據(jù)中心版5部署實施名稱單價(萬)備注總價私有云部署應(yīng)用遷移一年維護服務(wù)35