將數(shù)百個虛擬化技巧濃縮為20個本身就需要一些技巧，許多技巧從本質(zhì)上來講是通用的，每個虛擬化廠商都可以使用它們，但有些技巧只適用于VMware的產(chǎn)品，本文列舉的這20個技巧都是通過實踐后總結(jié)出來的。

虛擬化就是將工作負(fù)載交由虛擬機完成，關(guān)于虛擬化問得最多的問題是虛擬機的性能，因此本文介紹的大部分技巧都與增強虛擬機性能，增強用戶體驗和減少傳統(tǒng)物理系統(tǒng)的問題有關(guān)，除此之外，其余的技巧都與大中型環(huán)境虛擬化最佳實踐有關(guān)，雖然那些小型環(huán)境也將從這些技巧受益，但只有虛擬機數(shù)量增加到50或更多時，這些技巧的優(yōu)勢才會真正體現(xiàn)出來。

1、為一次性系統(tǒng)使用虛擬機（VM）

VM是搭建蜜罐的最佳選擇，首先基于模板創(chuàng)建VM，然后實施隔離，這是研究生產(chǎn)系統(tǒng)所受威脅的最好方式，處理病毒或惡意軟件時禁用網(wǎng)絡(luò)接口，讓威脅停留在VM內(nèi)，不影響其它系統(tǒng)（虛擬的或物理的），使用Windows VM時，請關(guān)閉系統(tǒng)還原功能，確保文件被修改或破壞后，系統(tǒng)重啟時不會自動進行還原。

2、使用VM模板

虛擬機模板允許虛擬化管理員使用標(biāo)準(zhǔn)的操作系統(tǒng)鏡像快速部署新的虛擬機，模板相當(dāng)于黃金鏡像，基于模板創(chuàng)建的虛擬機可以繼續(xù)安裝新的補丁，新的虛擬機可以再次轉(zhuǎn)換成模板。

3、VM宿主主機要求

虛擬主機必須使用64位多處理器，為VM準(zhǔn)備充足的RAM和磁盤空間，千兆網(wǎng)絡(luò)接口也是必需的，最好使用多網(wǎng)絡(luò)接口，為備份和虛擬機通信使用獨立的接口，大多數(shù)服務(wù)器都能滿足這些要求，如果使用舊服務(wù)器，確保處理器是64位，并且支持多處理器，RAM最小要能擴容到8GB，8GB被認(rèn)為是構(gòu)建一個VM宿主主機的最低內(nèi)存限度。

4、密集配置虛擬磁盤

配置一個新的VM或為VM創(chuàng)建一個新磁盤時，如果虛擬化很重要或磁盤內(nèi)容經(jīng)常變化時，使用密集配置，采用靜態(tài)的方法給虛擬磁盤分配空間，如果你創(chuàng)建一個30GB的虛擬磁盤，它就會占用30GB的存儲空間，與密集配置相對的是精簡配置，即可以動態(tài)擴展虛擬磁盤大小，如果使用精簡配置，創(chuàng)建虛擬磁盤時只占用最小空間，然后根據(jù)數(shù)據(jù)增長的需要自動擴大，精簡配置可以節(jié)省磁盤空間，但性能卻不好。因此，使用密集配置還是精簡配置的原則是：如果你的虛擬磁盤需要最理想的性能，或數(shù)據(jù)寫入較頻繁，建議使用密集配置。

5、分散負(fù)擔(dān)較重的工作負(fù)載的磁盤鏡像

如果VM遭遇性能問題，應(yīng)該將它們的磁盤鏡像隔離到不同的存儲位置，例如，數(shù)據(jù)庫如果和操作系統(tǒng)使用同一個虛擬磁盤就會有問題，數(shù)據(jù)庫數(shù)據(jù)文件放在同一LUN的第二個磁盤上，日志文件放在同一LUN的第三個磁盤上，將操作系統(tǒng)虛擬磁盤放在不同的LUN上，將日志虛擬磁盤轉(zhuǎn)移到不包含其它操作系統(tǒng)或其它數(shù)據(jù)文件的LUN上，VM的性能將會顯著提高。

6、遵循物理機安全規(guī)則

虛擬機并不比物理機安全，因此應(yīng)該和物理機一樣，給虛擬機打補丁，服務(wù)包，更新和執(zhí)行保護，在虛擬環(huán)境中，仍然需要防病毒軟件，反間諜軟件和防火墻，刪除或禁用未使用的服務(wù)，只允許使用安全的協(xié)議進出系統(tǒng)，如果可能，最好使用所有服務(wù)的安全版本，如使用SSH，SCP，SFTP和HTTPS代替不安全的Telnet，RCP，F(xiàn)TP和HTTP。

7、盡可能使用SAN存儲

大型虛擬化不能沒有SAN存儲，SAN通過主機總線適配器（HBA），光纖電纜和SAN交換機連接到你的系統(tǒng)，它提供了快速的磁盤訪問能力，適合數(shù)據(jù)庫，日志和其它寫密集型應(yīng)用，SCSI磁盤性能比SATA磁盤要好，但價格也更貴，通常會同時使用，但針對不同需求，基于SCSI的SAN和基于SATA的SAN都會優(yōu)先于本地磁盤存儲，因為它們使用雙光纖通道配置，可支持多種RAID，可以最大限度避免單點故障。

8、P2V轉(zhuǎn)換和服務(wù)可用性

將一個運行中的物理系統(tǒng)轉(zhuǎn)換成虛擬機時，禁用物理系統(tǒng)上的所有服務(wù)將會對文件系統(tǒng)的內(nèi)容產(chǎn)生巨大變化，數(shù)據(jù)庫，主要服務(wù)和日志寫入文件系統(tǒng)會一直進行，因此虛擬機和物理機會不一致，在轉(zhuǎn)換期間出現(xiàn)差異很正常，但必須保持在最低限度，如果你使用一個可引導(dǎo)盤將物理機轉(zhuǎn)換成虛擬機，物理機的操作系統(tǒng)時靜態(tài)的，在轉(zhuǎn)換前不需要禁用任何服務(wù)，這個方法速度快，效率高，但在轉(zhuǎn)換期間VM將不可用。

9、在VMware ESX/vSphere中，使用VMXNET 2型和3型網(wǎng)絡(luò)適配器

創(chuàng)建一個新的Windows VM或執(zhí)行物理到虛擬機轉(zhuǎn)換（P2V）時，新VM的網(wǎng)絡(luò)接口驅(qū)動將顯示為Flexible，AMD PCNET或E1000，除非VM的操作系統(tǒng)很老（Windows NT，Windows 2000，Windows 9x），或有其它不得已的理由要使用這些驅(qū)動，否則應(yīng)該將驅(qū)動改為VMXNET 2或VMXNET 3，要切換到VMXNET驅(qū)動，需要移除現(xiàn)有網(wǎng)絡(luò)接口，使用新的接口代替，VMXNET 2和VMXNET 3驅(qū)動將可以和物理副本匹敵，首先要從VM移除舊的驅(qū)動，步驟如下：

（1）打開命令提示符，執(zhí)行下面的命令

SET DEVMGR_SHOW_NONPRESENT_DEVICES = 1 <ENTER>.

（2）再執(zhí)行

DEVMGMT.MSC <ENTER>.

（3）點擊“查看”*“顯示隱藏設(shè)備”，向下滾動到“網(wǎng)絡(luò)適配器”，刪除顯示為灰色的設(shè)備。

10、SAN格式

為你的VM格式化SAN時，使用最大的塊大小，以匹配LUN上已經(jīng)存在的最大虛擬磁盤文件，VMFS-3，VMFS的最新版本，對應(yīng)Linux ext3文件系統(tǒng)，它們具有相同的功能和限制，VMFS-3單個文件最大大小是2TB，下面是VMware給出的塊大小和文件大小對比數(shù)據(jù)。

文件大小 VMFS塊大小

256 GB 1 MB

512 GB 2 MB

1024 GB 4 MB

2048 GB 8 MB

如果塊大小沒有選擇正確，文件系統(tǒng)會限制LUN上單個文件的最大大小，例如，一個300GB虛擬磁盤文件不能存在于塊大小為1MB的LUN上，會顯示空間不足的錯誤消息，但事實上空間是足夠的，當(dāng)LUN以正確的塊大小格式化后，必須刪除數(shù)據(jù)再重新創(chuàng)建，LUN上的所有數(shù)據(jù)都將被銷毀。

11、模擬物理網(wǎng)絡(luò)設(shè)計虛擬網(wǎng)絡(luò)

從物理基礎(chǔ)設(shè)施遷移到虛擬基礎(chǔ)設(shè)施時，虛擬環(huán)境的設(shè)計和布局應(yīng)模仿物理做法，企業(yè)級虛擬化軟件允許創(chuàng)建虛擬交換機，虛擬局域網(wǎng)（VLANS）和私有網(wǎng)絡(luò)可以協(xié)助遷移，分析物理和邏輯網(wǎng)絡(luò)圖，復(fù)制所有通道和通信流。

12、安裝虛擬化工具/增強/客戶機插件

客戶機插件包括提高客戶機（VM）性能，鼠標(biāo)指針集成，顯示驅(qū)動和客戶機到宿主主機的時間同步工具，客戶機增強存在于大多數(shù)現(xiàn)代操作系統(tǒng)中，這些工具不是必需的，但前端（控制臺）VM性能和VM之間的可用性在有和沒有客戶機增強時是有很大差別的。

13、關(guān)閉VM屏保

虛擬機不需要屏幕保護程序，屏幕保護程序會消耗系統(tǒng)資源，因此要么關(guān)閉VM的屏保要么直接將它們卸載掉。

14、為宿主主機硬件安裝最新的BIOS

定期到制造商網(wǎng)站檢查系統(tǒng)BIOS更新，確保宿主主機硬件使用最新的BIOS，一般來說，BIOS更新很少，因此更新BIOS造成的停機時間也很短，BIOS更新一般會提供新功能，如虛擬化支持，支持新的設(shè)備和改善性能，但需要注意的是，在更新BIOS前記得用更新工具備份當(dāng)前的BIOS，不正確的更新或更新失敗會導(dǎo)致系統(tǒng)不可用，這時只能清除BIOS然后重裝。

15、為服務(wù)器到服務(wù)器通信創(chuàng)建專用網(wǎng)絡(luò)

創(chuàng)建一個專用網(wǎng)絡(luò)用于VM之間的通信，這種通信更快速和安全，對多層應(yīng)用程序而來這是完美的解決辦法，最終用戶很少直接訪問后端數(shù)據(jù)庫，因此這個方法是隔離數(shù)據(jù)庫的最佳方案。

16、如果可能，使用分區(qū)

使用分區(qū)提供更好的靈活性和性能，更好地使用資源，分區(qū)不需要特殊的硬件，Linux系統(tǒng)需要新的OpenVZ內(nèi)核開啟真實分區(qū)，在功能上類似于分區(qū)，chroot jails提供了一個更簡單，低侵入性的選擇，也就是所謂的操作系統(tǒng)級虛擬化，分區(qū)隔離用戶空間實例，應(yīng)用程序運行在共享內(nèi)核環(huán)境中，應(yīng)用程序行為好像它運行在一個專用系統(tǒng)上一樣。

17、保持主機系統(tǒng)應(yīng)用了最新的補丁

確保VM打上最新補丁和更新，大部分虛擬系統(tǒng)的威脅發(fā)生在宿主主機一級，黑客的首要目標(biāo)就是那些未打補丁的宿主主機，因此讓你的主機系統(tǒng)保持定期更新很重要，一旦宿主主機遭到入侵，就意味著它托管的VM也赤裸裸地暴露在黑客面前。

18、在發(fā)生重大變化之前快照或克隆VM

任何事物總是會不斷發(fā)生變化的，VM也不例外，但和物理系統(tǒng)比起來，VM在應(yīng)對變化方面有許多優(yōu)勢，在對VM做出任何重大改變之前，可以通過快照或克隆保存VM當(dāng)前的狀態(tài)，在大型環(huán)境中不是所有VM都需要這么做，但對那些關(guān)鍵VM，這種方法可以替代標(biāo)準(zhǔn)備份，好處是恢復(fù)起來也比標(biāo)準(zhǔn)恢復(fù)要快。傳統(tǒng)的克隆方法是關(guān)閉VM，將包含VM的整個目錄簡單地復(fù)制一份，例如：
# cp -Rp Ubuntu_10.04S Ubuntu_10.04S_Backup

這個命令復(fù)制整個Ubuntu_10.04目錄及它下面的內(nèi)容，并保留原始權(quán)限，因此可以精確地恢復(fù)VM到原始的狀態(tài)。

19、移除VM時移除VM磁盤鏡像

刪除不必要的VM時，如果沒有刪除虛擬磁盤鏡像，將會出現(xiàn)很多孤兒虛擬磁盤文件，磁盤空間將會出現(xiàn)混亂，從這里下載一個VMware Powershell腳本定期掃描孤兒虛擬磁盤文件。

20、客戶機和宿主主機時間同步

時間同步，時間偏移和網(wǎng)絡(luò)時間是系統(tǒng)和虛擬管理員最頭痛的問題，網(wǎng)絡(luò)時間協(xié)議（NTP）通過第三方獨立源解決了系統(tǒng)時間同步問題，客戶機和宿主主機同步的方式很多，如安裝允許時間同步的客戶機插件（點擊“安裝虛擬化工具*增強*客戶機插件”），但同步也可以在客戶機操作系統(tǒng)級執(zhí)行，下面的例子顯示了如何執(zhí)行客戶機（Linux）到宿主主機（Xen）同步。

# echo 0 > /proc/sys/xen/independent_wallclock

修改/etc/sysctl.conf文件，添加下面的內(nèi)容：

xen.independent_wallclock=0

此外，已經(jīng)安裝VMware客戶機工具的VMware客戶機就具有時間同步選項了。

原文名：20 essential virtualization tips & techniques  作者：Ken Hess

原文鏈接：http://virtual.51cto.com/art/201012/238214.htm