虛擬化環境下資料備份與管理
Part 1. 改變 ─ 就從虛擬化開始
文／洪羿漣

可將應用系統集中化，以共享實體資源的伺服器虛擬化技術，在平台解決方案廠商的推動下，已逐漸讓企業接受並且導入。當虛擬化伺服器取代了傳統實體的架構之後，對整個企業IT運作環境而言，將產生什麼樣的改變？既有的備份策略是否適用？本專題將以VMware的技術架構為例，探討虛擬化架構下的備份與還原方式，並且介紹國華人壽電子商務部在虛擬化架構的管理經驗。

---

一般x86伺服器虛擬化(Server Virtualization)型態，常見的為架構於作業系統之上的寄居式(hosted)，以及直接架構於硬體之上的裸機(bare-metal)。雖然兩者均可建構虛擬主機(Virtual Machine)運作環境，但能夠直接對硬體資源下達指令的裸機，在執行效能、資源配置、穩定性等方面，皆優於作業系統中介的寄居式，較適合企業應用系統的執行環境。以目前提供裸機式架構的廠商來看，不論是Citrix XenServer、Microsoft Hyper-V、Sun xVM Server、VMware ESX等，主要是在硬體與作業系統之間，再加入一層虛擬層(Hypervisor)，讓多個作業系統同時存在於單一伺服器環境，得以共同分享CPU運算、儲存空間、記憶體等硬體資源。


虛擬化架構改革
早期將虛擬化概念帶入至x 8 6 平台的VMware，並且從基於作業系統之上的虛擬化，發展到直接架構於硬體之上的虛擬化，VMware大中華區技術總監張振倫談到其技術演進時表示，傳統的CPU架構存在一個相當重要的限制，其設計接收作業系統直接指派裸機資源提供應用程式使用，無法受虛擬層指令的支配，而VMware之所以能夠突破限制，當時全仰賴Binary Translation的技術。

傳統x86架構為了保護系統避免發生Crash狀況，CPU對於程式執行的權限分為Ring 0、Ring 1、Ring 2、Ring 3，最接近硬體的Ring 0擁有最高權限，可直接與CPU、記憶體等硬體溝通，硬體驅動程式與作業系統核心即位於此；非作業系統核心與應用程式則是位於再往上的Ring 3，權限最低也存在許多限制。由於Ring 3受到作業系統保護，任何程式要跟硬體溝通需先得到Ring 0允許，確保在Ring 3的應用程式發生錯誤時，不致拖累到其它程式的執行。這也是過去虛擬化無法在x86系統上運用的主因。（如圖1右方）


圖1：x86系統程式執行權限。(來源：VMware)

VMware改變的方式是於作業系統與硬體之間再加入的VMM（Virtual Machine Monitor），如圖1左方，也就是Hypervisor，透過Binary Translation將原本不能虛擬化的指令轉譯為另一種編碼，再交給VMM執行。當系統開機的時候，管理程式集Hypervisor會直接載入到Ring 0，監控與管理位於Ring 1上的虛擬主機內的作業系統（Guest OS），讓多個Guest OS可同時存在，並各自獨立不會彼此干擾。

Binary Translation可說是VMware在CPU廠商Intel、AMD支援虛擬化之前，為了實現虛擬化而架構於硬體之上的元件，但免不了需要耗用實體資源做運算，效能表現較難有所突破。張振倫談到，如今的CPU結構已經加入可支援虛擬化指令，記憶體、I /O等各方面的虛擬，效能上更超越以往Binary Translation模式，因此該元件已功成身退。

得到了硬體廠商的支援，目前各家廠商均可直接將虛擬化平台架構於硬體之上。就VMware來看，張振倫表示目前導入虛擬化系統的客戶，已有上線時間超過1,200天沒停過機的案例，不再像傳統架構一段時間就必須重新開機才能恢復正常作業，由此可了解現在的虛擬化平台已可達到企業要求的穩定性與可靠性。


作業系統相容性
已於虛擬化伺服器領域發展多年的VMware，面對去年（2008）微軟來勢洶洶的虛擬化技術Hyper-V，張振倫表示，VMware屬於純虛擬化平台提供者，與微軟主要提供的是作業系統有所區隔。他說，VMware站在一個較為中立的立場提供服務，上層的作業系統，像是Windows、Linux、Novell等，各種系統都可支援；而微軟身為一個作業系統廠商，Hyper-V與自家提供的作業系統整合程度最高，這相當合理。

他表示，原本有些客戶會考量，既然微軟已擁有自己的虛擬化技術，微軟的作業系統會 不會開始不支援VMware？或是在VMware的架構平台出了問題，微軟不提供支援服務？如今已有了一個很明確的答案，那就是微軟推出了一個讓第3方夥伴伺服器虛擬化認證計畫（Server Virtualization Validation Program；SVVP），只要通過此測試認證過後，即代表微軟相關產品可支援該虛擬化平台，而VMware也已經加入此計畫。

此外，張振倫強調，VMware虛擬化架構擁有可為企業IT帶來較傳統架構更穩定的一個重要功能，即為VMotion，系統不定時需要維護與更新時，即可利用VMotion線上搬移Guest OS至另一台ESX伺服器繼續提供服務，不會再有過去需要公告系統停機的事件產生。


虛擬化應用程式
除了平台之外，虛擬化概念也正朝向應用程式發展，VMware ThinApp即為此例（來自於收購廠商Thinstall的技術）。透過ThinApp將應用程式與作業系統分離，該應用程式可任意被複製到任一台作業系統中使用，不必再透過安裝，對軟體的管理與部署而言相當方便，藉此 還可節省購買軟體授權數量的費用。

另一個與應用程式緊密結合的是VMware Virtual Appliance，其內含了一個嵌入式系統、應用程式、環境參數設定等打包封裝，成為一個獨立的虛擬主機，讓IT管理者不必再費心於系統架設、穩定性測試、效能調教等問題，可直接部署使用。


從平台擴展至資料中心
預計今年（2009）準備推出的新版本的VMware，將整合旗下諸多產品線，以及新技術，推出「虛擬資料中心作業系統（Virtual Datacenter Operating System；VDC-OS）」。對此張振倫說明表示， 虛擬化架構中的「Hypervisor」，是沿用IBM Mainframe時代的名詞，但如今的VMware，可提供的技術已不只Hypervisor，整體虛擬化的解決方案比較像是一個作業系統的型式。除了既有的虛擬化架構以及管理方式之外，亦會增廣對硬體的支援，例如網路、儲存、運算等，尤其是去年相當受到關注的雲端運算（cloud computing）相關應用。

雲端運算的背後，虛擬化技術可說是基本結構，也是實現此概念的推手之一。但除了基礎建設外，在VMware的新版本中，還將加入針對雲端運算需要的功能模組，稱為vCloud。張振倫舉例說明提到，其中包含的帳單模組，即可讓客戶或服務提供者正確計算用戶使用服務的時間與資源，並計算費用。

此外，他進一步說明談到，未來企業內部自行建置的雲端，與企業外部廠商提供的雲端服務，兩者之間必須擁有良好的互動，例如企業內部某個Guest OS因業務專案需求，必須添加硬體資源，但此專案只需要進行三個月就結束，恐怕將造成浪費，因此即可租用雲端運算廠商的硬體資源，透過VMotion，將企業內部的Guest OS搬移至廠商提供的設備，待專案結束之後，再VMotion回企業內。能夠達到如此彈性的應用，即需要一個完整的虛擬化基礎架構環境。


資料安全防護
關於虛擬平台中資料的保護方式，VMware的作法是開放API，與第三方廠商合作開發出可支援虛擬化架構的產品。針對Guest OS的安全問題，張振倫表示，新版的VMware將內建VMsafe的功能。藉由與Kaspersky、McAfee、Symantec、Trend Micro等廠商合作，開發可直接支援Hypervisor層級的安全產品。如此一來，就無需各別在Guest OS上安裝防毒軟體，購買一套軟體授權，即可監控所有的Guest OS。至於上市時間，預計今年稍晚VMware新一代系統上市時，安全廠商也將同時推出可支援的產品。

Part 2. 備份 ─ 資料保護的最後一道防線
Part 3. 應用 ─ 彈性架構首要管理