【正文】 不同恢復(fù)時(shí)間目標(biāo)和還原點(diǎn)目標(biāo)對(duì)災(zāi)備的需求：場(chǎng)景RTORPO適用對(duì)象特點(diǎn)小型1天~數(shù)周1天~數(shù)周開(kāi)發(fā)和測(cè)試環(huán)境使用主機(jī)級(jí)別的虛機(jī)備份方式采用冷站點(diǎn)作為備份站點(diǎn)模式使用磁盤(pán)\磁帶保存?zhèn)浞萦诚裥枰斯じ深A(yù)恢復(fù)映像和執(zhí)行故障排除中型4小時(shí)~數(shù)天4小時(shí)~數(shù)天工作組應(yīng)用程序使用主機(jī)級(jí)別的虛機(jī)備份方式采用暖站點(diǎn)作為備份站點(diǎn)模式，并且有可用存儲(chǔ)用于復(fù)制或者拷貝虛機(jī)映像通過(guò)離線(xiàn)方式傳送虛機(jī)映像需要人工干預(yù)恢復(fù)映像和執(zhí)行故障排除大型分鐘到數(shù)小時(shí)分鐘到數(shù)小時(shí)基礎(chǔ)架構(gòu)和消息系統(tǒng)采用站點(diǎn)間復(fù)制的方式傳送虛機(jī)數(shù)據(jù)使用基于SAN或者基于主機(jī)的復(fù)制基于更改的實(shí)時(shí)數(shù)據(jù)傳輸，減小對(duì)WAN連接的影響需要手工掛接虛機(jī)副本到備用服務(wù)器上巨型立即實(shí)時(shí)關(guān)鍵業(yè)務(wù)系統(tǒng)采用暖站點(diǎn)或者熱站點(diǎn)方式使用存儲(chǔ)到存儲(chǔ)的復(fù)制方式使用專(zhuān)門(mén)的工具和方法執(zhí)行VM復(fù)制基于WindowsServer故障轉(zhuǎn)移群集實(shí)現(xiàn)自動(dòng)化的恢復(fù)在此次項(xiàng)目中，因?yàn)樗接性破脚_(tái)上都運(yùn)行的比較關(guān)鍵和重要的業(yè)務(wù)應(yīng)用，因此考慮采用分鐘到數(shù)小時(shí)或者立即實(shí)時(shí)的恢復(fù)目標(biāo)，以下是兩種場(chǎng)景的實(shí)施思路：n 分鐘到數(shù)小時(shí)：使用DPM服務(wù)器和HyperV備份服務(wù)器在遠(yuǎn)程災(zāi)備站點(diǎn)不間斷地創(chuàng)建實(shí)施VM備份。生產(chǎn)環(huán)境發(fā)生意外，則通過(guò)DPM或HyperV備份進(jìn)行虛機(jī)還原，是遠(yuǎn)程災(zāi)備站點(diǎn)發(fā)揮作用n 立即實(shí)時(shí)：使用跨地理位置的Windows Server故障轉(zhuǎn)移群集實(shí)現(xiàn)近乎實(shí)時(shí)的災(zāi)難恢復(fù) 安全設(shè)計(jì) 宿主機(jī)安全對(duì)于群集中的宿主服務(wù)器，建議采用如下安全加固手段：n 僅安裝與虛擬化有關(guān)的組件和服務(wù)，減小安全攻擊面n 停止與虛擬化沒(méi)關(guān)聯(lián)的服務(wù)和組件，關(guān)閉不需要的網(wǎng)絡(luò)端口n 需要針對(duì)存放虛擬實(shí)例的文件夾設(shè)置NTFS權(quán)限已避免未經(jīng)授權(quán)的訪(fǎng)問(wèn)n 通過(guò)SCCM安裝防病毒軟件，將虛擬實(shí)例存放VHD文件的路徑排除在實(shí)施掃描之外n 通過(guò)SCCM設(shè)定統(tǒng)一的補(bǔ)丁更新檢查和安全策略 虛擬機(jī)安全n 所有虛擬機(jī)均加入域，并且通過(guò)組策略制定統(tǒng)一安全策略，如密碼等n 所有開(kāi)發(fā)人員均用普通用戶(hù)身份登錄，不允許安裝非授權(quán)應(yīng)用程序。n 通過(guò)SCCM統(tǒng)一的防病毒軟件進(jìn)行病毒庫(kù)更新n 制定統(tǒng)一的補(bǔ)丁更新策略，在線(xiàn)虛擬機(jī)通過(guò)SCCM更新，非在線(xiàn)虛擬機(jī)微軟會(huì)提供Offline VM Patch Toolkits來(lái)進(jìn)行更新。n 圖形終端禁用USB等可移動(dòng)存儲(chǔ)設(shè)備，減少泄露信息和導(dǎo)入計(jì)算機(jī)病毒的可能。 使用權(quán)限控制SsytemCenter提供用戶(hù)自服務(wù)的門(mén)戶(hù)站點(diǎn)，虛擬機(jī)使用者可以通過(guò)該站點(diǎn)遠(yuǎn)程訪(fǎng)問(wèn)及配置虛擬機(jī)，但是在便于訪(fǎng)問(wèn)的同時(shí)，也需要考慮到相關(guān)的安全性，特別是對(duì)于使用權(quán)限的設(shè)定。自助服務(wù)門(mén)戶(hù)的帳號(hào)使用權(quán)限細(xì)化，如按用戶(hù)角色分配：n 管理員：擁有門(mén)戶(hù)使用的最高權(quán)限。n 創(chuàng)建者：具有通過(guò)自助服務(wù)門(mén)戶(hù)創(chuàng)建虛擬機(jī)的權(quán)限，由其統(tǒng)一調(diào)配虛擬機(jī)數(shù)量、資源。n 使用者：具有通過(guò)自助服務(wù)門(mén)戶(hù)使用虛擬機(jī)的權(quán)限，能按照創(chuàng)建者的授權(quán)使用分配給自己的虛擬機(jī)，但無(wú)創(chuàng)建和刪除虛擬機(jī)的權(quán)限。n 對(duì)于需要全面進(jìn)行虛擬實(shí)例管理的用戶(hù)，則在SCVMM中分配權(quán)限使其具備管理員身份n 對(duì)于需要對(duì)某臺(tái)虛機(jī)進(jìn)行設(shè)置調(diào)整和配置的用戶(hù)，則在SCVMM中分配權(quán)限使其具備針對(duì)特定虛機(jī)的使用著身份n 對(duì)于在特定場(chǎng)景下需要能夠創(chuàng)建新虛機(jī)實(shí)例的用戶(hù)，則在SCVMM中分配權(quán)限使其具備創(chuàng)建者身份n 用戶(hù)針對(duì)虛擬實(shí)例操作系統(tǒng)的管理和維護(hù)能力由用戶(hù)訪(fǎng)問(wèn)虛擬實(shí)例時(shí)持有的AD賬號(hào)或者本地計(jì)算機(jī)用戶(hù)賬號(hào)的權(quán)限確定。 多租戶(hù)安全隔離在HyperV中，對(duì)需要進(jìn)行互通的虛擬機(jī)，通過(guò)配置其網(wǎng)絡(luò)設(shè)置可以讓虛擬機(jī)之間以高達(dá)10G的網(wǎng)絡(luò)連通速度通訊。對(duì)于需要彼此隔離的虛擬機(jī)，在網(wǎng)絡(luò)上可將其放置到某個(gè)獨(dú)立的虛擬子網(wǎng)中，實(shí)現(xiàn)虛擬機(jī)之間在網(wǎng)絡(luò)上的隔離；除此之外HyperV內(nèi)置內(nèi)存隔離技術(shù)，可確保虛擬機(jī)在運(yùn)行過(guò)程中的內(nèi)存數(shù)據(jù)安全。內(nèi)存均獨(dú)享，保證內(nèi)存分配安全HyperV充分使用虛擬交換機(jī)來(lái)控制虛擬機(jī)的網(wǎng)絡(luò)通信量并確保其安全。HyperV 虛擬交換機(jī)可與物理網(wǎng)絡(luò)VLANID相關(guān)聯(lián)，以限制通過(guò)該虛擬交換機(jī)與指定 VLAN 的網(wǎng)絡(luò)通信?？梢詫⒍鄠€(gè) HyperV虛擬交換機(jī)與單個(gè)物理網(wǎng)絡(luò)適配器關(guān)聯(lián)。HyperV中的 VLAN 支持可以通過(guò)限制從虛擬機(jī)到指定 VLAN 的網(wǎng)絡(luò)通信為虛擬機(jī)提供更高的網(wǎng)絡(luò)安全性。在本項(xiàng)目中，宿主服務(wù)器除了需要支撐虛擬的運(yùn)行之外，還需要在某塊網(wǎng)卡上運(yùn)行管理功能和心跳信息，可以在這塊網(wǎng)卡上設(shè)置這些通訊所需的VLAN ID 網(wǎng)絡(luò)端口安全為確保部署在不同VLAN間的群集組的宿主機(jī)服務(wù)器及虛機(jī)能進(jìn)行相互通訊，需要在防火墻上開(kāi)設(shè)必要端口與部署在內(nèi)部的服務(wù)器進(jìn)行通訊，其他端口默認(rèn)禁止。端口列表：作用協(xié)議端口SCCM服務(wù)器與SCCM客戶(hù)端之間的通訊TCPTCPTCP80/8530443/8531445SCCM控制臺(tái)到客戶(hù)端SCCM遠(yuǎn)程輔助RDP/RTCTCP/UDPTCP/UDPTCP270127023389DPM配置協(xié)議使用DCOM，DPM通過(guò)調(diào)用保護(hù)代理上的DCOM向文件代理發(fā)出指令DCOM135/TCP動(dòng)態(tài)DPM服務(wù)器與DPM代理之間的通訊TCP5718/TCP5719/TCPVMM 服務(wù)器到基于 Windows Server 的主機(jī)上的 VMM 代理（控制）WSManagement80VMM 服務(wù)器到基于 Windows Server 的主機(jī)上的 VMM 代理（文件傳輸）HTTPS（使用 BITS）443VMConnect (RDP) 到 HyperV 主機(jī)的通訊RDP2179VMM服務(wù)器遠(yuǎn)程桌面到虛擬機(jī)RDP3389SCOM Server服務(wù)器到SCOM客戶(hù)端的通訊TCP5723 性能優(yōu)化設(shè)計(jì)對(duì)于部署在HyperV私有云上的應(yīng)用及OS(Windows amp。 Linux)的性能優(yōu)化主要基于以下原則：HyperV一體化服務(wù)（Integration Services）確保使用的HyperV一體化服務(wù)（Integration Services）是最新版本。這個(gè)簡(jiǎn)單的程序會(huì)為支持的子操作系統(tǒng)（Windows amp。 Linux以及某些非正式支持的子操作系統(tǒng)）安裝可用的最新驅(qū)動(dòng)，從而提高虛擬機(jī)調(diào)用硬件時(shí)的性能。利用合成網(wǎng)絡(luò)（synthetic network）驅(qū)動(dòng)HyperV支持兩種類(lèi)型的虛擬網(wǎng)絡(luò)驅(qū)動(dòng)：模擬網(wǎng)絡(luò)驅(qū)動(dòng)和合成網(wǎng)絡(luò)驅(qū)動(dòng)。模擬驅(qū)動(dòng)的兼容性最好，而合成驅(qū)動(dòng)的效率更高。因?yàn)楹铣沈?qū)動(dòng)使用了專(zhuān)門(mén)的VMBus以進(jìn)行虛擬網(wǎng)卡和root/parent分區(qū)物理網(wǎng)卡間的通信。要檢驗(yàn)Windows子操作系統(tǒng)內(nèi)使用的驅(qū)動(dòng)器類(lèi)型，可以利用設(shè)備管理器查看。通過(guò)修改虛擬機(jī)屬性，可以更改安裝的網(wǎng)絡(luò)適配器類(lèi)型。為了讓更改生效，有時(shí)需要關(guān)閉虛擬機(jī)或重啟虛擬機(jī)。不過(guò)，通常這樣的做法還是有價(jià)值的。如果合成驅(qū)動(dòng)兼容，CPU利用很可能會(huì)更低，網(wǎng)絡(luò)反應(yīng)也更快。增加網(wǎng)絡(luò)容量網(wǎng)絡(luò)性能對(duì)各種應(yīng)用和服務(wù)來(lái)說(shuō)是至關(guān)重要的。無(wú)論是運(yùn)行一臺(tái)或是幾臺(tái)虛擬機(jī)，主機(jī)服務(wù)器使用一個(gè)物理網(wǎng)卡通常就可以了。但是如果有很多臺(tái)虛擬機(jī)爭(zhēng)奪資源，而且還要執(zhí)行物理網(wǎng)絡(luò)層安全性，那就該考慮為主機(jī)服務(wù)器添加千兆（甚至是萬(wàn)兆）的以太網(wǎng)卡了。有的網(wǎng)卡支持端口聚合（teaming）功能，聚合功能可以執(zhí)行負(fù)載平衡或自動(dòng)故障解決（automatic failover）。此外，支持TCP卸載等功能的網(wǎng)卡還可以通過(guò)管理網(wǎng)絡(luò)接口層從而提升性能。在Root/parent分區(qū)網(wǎng)絡(luò)適配器的驅(qū)動(dòng)中，確保啟用此項(xiàng)功能。只要有可能，都可以使用一個(gè)方法，就是將虛擬機(jī)分別隔離到不同的虛擬交換機(jī)（Virtual Switch）。考慮到虛擬機(jī)劃分的安全性和性能因素，每個(gè)虛擬交換機(jī)可以連接一個(gè)不同的主機(jī)物理網(wǎng)卡端口。對(duì)于使用同一虛擬交換機(jī)的不同虛擬機(jī)組，還可以使用VLAN標(biāo)記為其分流。內(nèi)存問(wèn)題在HyperV平臺(tái)上內(nèi)存分配機(jī)制有兩種方式： 固定內(nèi)存分配。分配給虛擬機(jī)的內(nèi)存為固定大小獨(dú)占方式，在確保內(nèi)存數(shù)據(jù)交換安全的前提下，能夠確保性能最優(yōu)。 動(dòng)態(tài)內(nèi)存分配。為每個(gè)虛擬機(jī)分配一段內(nèi)存區(qū)間，虛擬機(jī)使用的內(nèi)存會(huì)根據(jù)實(shí)際性能負(fù)載動(dòng)態(tài)申請(qǐng)或釋放內(nèi)存。這種內(nèi)存分配機(jī)制可能增加虛擬機(jī)的整合比，但是性能表現(xiàn)及穩(wěn)定性不及固定內(nèi)存分配方式。因此建議使用固定內(nèi)存分配方式，此外盡量在宿主機(jī)上使用盡可能多的內(nèi)存，如果可用內(nèi)存空間不足，可能導(dǎo)致很多問(wèn)題，如子操作系統(tǒng)內(nèi)過(guò)多的內(nèi)存分頁(yè)。內(nèi)存分頁(yè)過(guò)多的問(wèn)題可能會(huì)很具迷惑性，因?yàn)樗鸪蹩雌饋?lái)可能像是磁盤(pán)I/O性能的問(wèn)題。最根本的原因通常是因?yàn)樘摂M機(jī)分配的內(nèi)存空間太小。在遷移到私有云之前，監(jiān)控應(yīng)用和服務(wù)的內(nèi)存需求是很重要的。在虛擬機(jī)中進(jìn)行內(nèi)存需求監(jiān)控實(shí)現(xiàn)起來(lái)比較容易。SCSI和磁盤(pán)性能對(duì)很多虛擬機(jī)類(lèi)型而言，磁盤(pán)I/O性能通常是一個(gè)瓶頸，可以利用虛擬集成開(kāi)發(fā)環(huán)境（IDE）控制器或SCSI控制器將虛擬硬盤(pán)（VHD）附屬到一臺(tái)HyperV虛擬機(jī)。IDE控制器是默認(rèn)的，因?yàn)樗鼘?duì)很多子操作系統(tǒng)都支持，具有最好的兼容性。不過(guò)，SCSI控制器可以減少CPU負(fù)擔(dān)，讓虛擬SCS總線(xiàn)能夠同時(shí)執(zhí)行多個(gè)任務(wù)。如果應(yīng)用類(lèi)型是磁盤(pán)密集型的，請(qǐng)考慮只用虛擬SCSI控制器（如果子操作系統(tǒng)支持這個(gè)配置）。如果不行，就額外添加SCSI連接的VHD（最好是分開(kāi)存儲(chǔ)于主機(jī)服務(wù)器上物理軸或陣列的VHD）?？煺展芾怼yperV的快照基礎(chǔ)設(shè)施方便快捷，易于使用。不需要任何初始化設(shè)置，只需點(diǎn)擊下鼠標(biāo)，新快照就創(chuàng)建好了。不過(guò)，儲(chǔ)存的快照過(guò)多也有個(gè)缺點(diǎn)。當(dāng)創(chuàng)建一大堆快照之后，HyperV就不得不執(zhí)行很多讀取操作。Hypervisor必須檢查很多硬盤(pán)文件以找到最新數(shù)據(jù)，而且，這會(huì)增加很多物理I/O負(fù)荷。如果有很多虛擬機(jī)，每臺(tái)虛擬機(jī)有多個(gè)快照，問(wèn)題就更復(fù)雜了。解決這個(gè)問(wèn)題的辦法很簡(jiǎn)單：刪除所有子虛擬機(jī)不再需要的快照即可。應(yīng)用在HyperV上的性能優(yōu)化由于應(yīng)用類(lèi)型的不同，并且對(duì)于CPU，內(nèi)存，存儲(chǔ)及網(wǎng)絡(luò)I/O的要求不盡相同，因此需要相關(guān)應(yīng)用廠(chǎng)商提供基于HyperV的優(yōu)化方案。微軟能夠提供所有基于HyperV平臺(tái)上微軟應(yīng)用的性能優(yōu)化方案，如SharePoint Portal Server, Exchange Server, Lync Server, SQL Server等。5. 軟硬件配置及報(bào)價(jià)服務(wù)器型號(hào)CPU 內(nèi)存 硬盤(pán) 網(wǎng)卡 HBA卡 單價(jià)(萬(wàn))數(shù)量 總價(jià)HP DL388P GEN8, 2U機(jī)架式服務(wù)器E5 128G146Gx3, SAS 15k/轉(zhuǎn)4端口10G以太網(wǎng)卡Qlogic單端口8G光纖通道526存儲(chǔ)型號(hào)控制器硬盤(pán)類(lèi)型 硬盤(pán)數(shù)量 容量 單價(jià)(萬(wàn))數(shù)量 總價(jià)EMC VNX5100 雙控 8*8GB前端通道SAS 15k/轉(zhuǎn)159T(600Gx15)`18118存儲(chǔ)交換機(jī) 型號(hào) 端口數(shù)量 光纖模塊 單價(jià)(萬(wàn))數(shù)量總價(jià)博科Brocader光纖交換機(jī)12SFP復(fù)用23（以上硬件規(guī)格和價(jià)格僅供參考，以供應(yīng)商報(bào)價(jià)為準(zhǔn)）軟件名稱(chēng)單價(jià)(萬(wàn))數(shù)量總價(jià)Microsoft Windows Server 2012R2數(shù)據(jù)中心版5Microsoft SystemCenter 2012R2數(shù)據(jù)中心版5部署實(shí)施名稱(chēng)單價(jià)(萬(wàn))備注總價(jià)私有云部署應(yīng)用遷移一年維護(hù)服務(wù)35