浪潮虚拟双机 解决数据和系统安全问题

　　鸡蛋与篮子 虚拟普及的拦路石

　　虚拟化技术自诞生之日起，即被IT业界广泛肯定，但在虚拟化被广泛认同并高呼虚拟化时代来临的今天，我们看到除了部分系统的集中使用外，仍然是“吆喝的响，卖的少”，人们疑虑集中在“鸡蛋与蓝子”的讨论上，也就是虚拟机的安全问题。

　　安全问题其实自计算机诞生之日起就一直存在，比如数据安全、系统安全、应用安全、人文安全等等，而我们可以通过应用RAID、双机、负载均衡、安全策略等技术来改善安全环境，其中备份，系统分散冗余都是安全的重要措施。而虚拟化技术的出现，恰恰是系统集中部署于一个平台上，也就是多个鸡蛋在一个篮子里，大家难免把目光的焦点都集中在虚拟化技术与安全的对立面上，自然系统平台这个“蓝子”就表现得无比重要；那为什么不能把虚拟化技术与安全措施结合，使用户在大幅提高投资回报率的同时，得到更高的可靠性呢？

　　浪潮的研究发现，在系统安全的方面，大多数客户认为服务器的双机热备方案是一个最好的选择，对于建立一个稳定、可靠的信息系统是非常重要的。如果系统中没有什么重要应用，当然不用采用双机系统。如果应用停止五钟都会影响工作，那么双机热备就是必须的。其实许多客户认为每一个上线运转的应用都是非常重要的，有部署双机的需求，而传统的双机热备方案复杂的配置过程、昂贵的设备投资往往让客户望而却步，但是在此种情况下，客户之能忍痛割爱，舍而求其次。

　　浪潮虚拟双机，破解鸡蛋篮子难题

　　做为服务器业界领先厂商的浪潮,一直致力于虚拟化方案的研究和推广，安全问题自然也是困扰浪潮在该方向前进速度的一个制约因素，业界虚拟化技术的领先者亦都将解决解决虚拟机的安全问题作为一个主要课题；因此浪潮从系统厂商的角度出发，以研究客户的应用为基础，致力于利用虚拟化技术与系统应用策略的整合应用，使虚拟化技术成为安全的一个有效组成部分而非制约因素，来实现”利用虚拟化技术以最小化的成本实现客户应用安全最大化”的目标。  
本方案是虚拟化技术结合双机热备技术的一个应用方案，简单而言，就是利用虚拟化技术在一台物理机器上创建多个虚拟机，与多个运转不同应用的物理机实现双机热备，从而达到一对多的系统安全热备方案，同时亦可实现对创建在不同物理机上的虚拟机之间的虚拟机热备方案。

　　在这个方案中，使用了一台配置6刀片的浪潮NX660D 刀片服务器作为物理机，分为三台一组，共计两组来分别运行windows与linux操作系统及应用；在两台浪潮四路服务器NF560D2 与NF520D2两台物理机上分别创建6个虚拟机，每台服务器中创建的三个虚拟机与NX660D刀片服务器中三个刀片进行一对一热备；通过外置的数据共享存储来实现业务的连续性；其他创建的虚拟机分别执行不同的任务，如图1所示。

　　其配置结构如图2所示，心跳线使用千兆网卡直接使用网线连接配置成私有网络。刀片和服务器通过网线连接到共享存储浪潮AS300上。                   

　　外网和内网同时监测的好处是避免了心跳线的单点故障，从而不会导致因心跳线故障而带来的误切换。当主机通过“心跳监测”一旦监测到主机出现故障时，备机将在线接管故障主机的所有工作包括在RAID 共享存储上的数据，不会中断正常的网络服务。共享存储自带RAID 控制器，能实现RAID0，1，5 等RAID 级别，用户可以选择适当的级别RAID 提高共享存储中数据的可用性和性能。

　　如图3所描述的那样，NF560D2和NX660D 都通过网线与共享存储(浪潮 As300Storage)连接。在NX660D刀片服务器上，每一个刀片都安装了Windows server 2003系统作为物理主机运行主要的业务。在NF560D2上利用虚拟化技术在服务器上同时分出多个VPE(虚拟主机环境)，每个VPE同样是运行Windows server 2003系统。同时将存储AS300中的一个LUN (LUN1)同时分给其中一个刀片，如Blade1  和 NF560D2上一个虚拟主机VPE1 ，这样做的目的是为了保证双机的存储数据共享。       

　　这里的双机热备份是刀片(NX660D)中的每个刀片为物理主机（Primary Server），另一台服务器(NF560D2)中的多个虚拟主机环境(VPE)作为备份机（Standby Server），在系统正常情况下，工作机为应用系统提供服务，备份机(VPE)监视工作机的运行情况（工作机同时也在检测备份机是否正常），当工作机出现异常，不能支持应用系统运营时，备份机(VM1)主动接管(Take Over)工作机的工作，继续支持关键应用服务，保证系统不间断的运行(Non-Stop)。