四虎8848在线精品观看,色婷婷久久久,中文字幕精品久久一二三区红杏,国产女人高潮大片99

首頁(yè)-新聞動(dòng)態(tài)-新聞詳情

虛擬化部署的安全思考

發(fā)布時(shí)間:作者:cobinet 萬(wàn)兆網(wǎng)絡(luò)模塊瀏覽:442次來(lái)源:千家綜合布線網(wǎng)
CobiNet(寧波)推薦文章:

對(duì)服務(wù)器工作負(fù)載進(jìn)行虛擬化已經(jīng)成為越來(lái)越普遍的方法,能夠幫助更有效地利用計(jì)算機(jī)硬件以及輔助設(shè)備。虛擬化為數(shù)據(jù)中心管理員提供了很多好處,雖然需要適當(dāng)?shù)馗淖儎?chuàng)建和管理部署設(shè)備的方式。服務(wù)器應(yīng)用程序虛擬化是更為艱巨的任務(wù),因?yàn)樵诙鄠€(gè)服務(wù)器工作負(fù)載間適當(dāng)分配硬件存在復(fù)雜性。要將不能共存于同一臺(tái)機(jī)器的應(yīng)用程序在相同主機(jī)的多個(gè)子分區(qū)(Child partition)間進(jìn)行結(jié)合,確實(shí)存在規(guī)格和安全方面挑戰(zhàn)。同時(shí),網(wǎng)絡(luò)虛擬化和母分區(qū)(Parent partition)失效時(shí)導(dǎo)致多個(gè)同步服務(wù)器失效的問(wèn)題也帶來(lái)安全和可用性問(wèn)題。

本文將圍繞部署Microsoft ISA Server和硬件虛擬化的Microsoft forefront TMG提供具體的指導(dǎo)方案,同時(shí),強(qiáng)烈推薦你們認(rèn)真閱讀“相關(guān)參考資料”中提供的資料。

支持虛擬環(huán)境

Microsoft ISA Server 和Forefront TMG只能在下列程序下得到硬件虛擬化的支持:

·Microsoft Support Lifecycle

·Microsoft ISA Server 系統(tǒng)要求

·Forefront TMG系統(tǒng)要求

·Microsoft Server Virtualization Validation Program (SVVP)

·Microsoft軟件在非Microsoft硬件虛擬化軟件上運(yùn)行的支持政策

例如,如果硬件虛擬化平臺(tái)被列為“通過(guò)SVVP驗(yàn)證”(不是“評(píng)估中”),Microsoft ISA Server 和Forefront TMG將支持在該平臺(tái)上進(jìn)行生產(chǎn)用途,Microsoft Product Support Lifecycle、非Microsoft硬件虛擬化政策和相應(yīng)產(chǎn)品版本的系統(tǒng)要求中有使用限制。

對(duì)于沒(méi)有列為“通過(guò)SVVP驗(yàn)證”的硬件虛擬化平臺(tái),Microsoft ISA Server和Forefront TMG只能根據(jù)其他Microsoft支持政策得到支持,限制情況如下:

·Desktop virtualization,如Microsoft Virtual PC或者類似第三方產(chǎn)品:僅支持示范和教育用途

·Server Virtualization,如Microsoft Virtual Server 或者類似的第三方產(chǎn)品,支持生產(chǎn)用途,但不推薦

重要提示:

正如MSKB 897615中所指出的,微軟支持工程師在繼續(xù)檢查問(wèn)題前,可能會(huì)要求客戶在真正硬件或者SVVP列表硬件虛擬化平臺(tái)上重現(xiàn)報(bào)道的問(wèn)題,如果問(wèn)題不能在硬件上或者相同級(jí)別的SVVP列表服務(wù)器虛擬化產(chǎn)品上重現(xiàn),那么問(wèn)題可能會(huì)被轉(zhuǎn)移給第三方廠商產(chǎn)品支持。

部署規(guī)劃

任何外圍保護(hù)部署的主要部署標(biāo)準(zhǔn)都是安全、穩(wěn)定和性能,確定這三者的優(yōu)先順序都需要深入分析企業(yè)的LOB(業(yè)務(wù)線,line-of-business)應(yīng)用需求,一般需求和網(wǎng)絡(luò)安全需求以及所有法律規(guī)章等才能得出結(jié)論。雖然很難解決所有可能出現(xiàn)的問(wèn)題,不過(guò)本文將概述最常見(jiàn)部署的關(guān)鍵問(wèn)題。

這是個(gè)不變的事實(shí),由于在虛擬機(jī)之間的資源共享,在專用硬件上運(yùn)行的服務(wù)器應(yīng)用程序?qū)?huì)比在類似虛擬環(huán)境(相同數(shù)量相同等級(jí)的CPU,相同的內(nèi)存等)運(yùn)行的相同應(yīng)用程序效果更好。例如,流量處理負(fù)載可能會(huì)將基于硬件的ISA占到80%的CPU,可能會(huì)為同樣配置的虛擬ISA服務(wù)器產(chǎn)生一個(gè)拒絕服務(wù)(DoS),或者由于子分區(qū)工作量總量和其他子分區(qū)造成的資源停滯而使虛擬母分區(qū)工作量過(guò)度。

這對(duì)于那些負(fù)責(zé)虛擬化服務(wù)器應(yīng)用程序的工程師而言,在很多情況下,為特定應(yīng)用程序的資源分配可能需要擴(kuò)展為虛擬機(jī)資源賬戶共享,而具體需要進(jìn)行怎樣的擴(kuò)展只能通過(guò)對(duì)規(guī)劃好的虛擬部署進(jìn)行測(cè)試才能確定。

同樣的,還應(yīng)該對(duì)數(shù)據(jù)中心管理過(guò)程進(jìn)行重新檢測(cè)和重新定義,以解決因人為、軟件或者硬件原因?qū)е碌哪阜謪^(qū)內(nèi)多個(gè)子分區(qū)的損失問(wèn)題。這種情況不僅會(huì)對(duì)重要的業(yè)務(wù)運(yùn)作帶來(lái)影響,還是一個(gè)潛在的安全問(wèn)題,如果ISA Server 或者Forefront TMG代表某一個(gè)目前不可使用的子分區(qū)。

定義流量剖析

雖然為虛擬部署和硬件配置定義流量剖析并沒(méi)有什么不同,不過(guò)定義流量剖析(traffic profile)是很重要的過(guò)程,因?yàn)橐粋€(gè)子分區(qū)的資源需求可能會(huì)對(duì)在虛擬主機(jī)上運(yùn)行的其他分區(qū)的資源需求造成影響,特別是母分區(qū)。

只有完全明確了流量剖析對(duì)部署計(jì)劃的影響,才能確定、評(píng)估并滿足ISA Server 和Forefront的性能需求和安全需求。 MSKB 832017 已經(jīng)為大部分基于windows系統(tǒng)的應(yīng)用程序以及微軟公司創(chuàng)建的應(yīng)用程序(包括ISA Server本身)定義了流量剖析,但是它并沒(méi)有為非微軟產(chǎn)品定義流量剖析。 在很多情況下可以做某些假設(shè),郵件服務(wù)器使用的是公共郵件協(xié)議,如 SMTP、POP3、 IMAP 或者甚至 HTTP(s)(如果能夠提供網(wǎng)絡(luò)郵件服務(wù))。如果你想要使用 ISA Server 或者Forefront TMG來(lái)控制自定義應(yīng)用程序流量,你可能需要向產(chǎn)品供應(yīng)商尋求幫助。 在某些情況下,你可能需要對(duì)應(yīng)用程序進(jìn)行測(cè)試,使用網(wǎng)絡(luò)分析工具來(lái)分析流量。

流量剖析確定后,下一步就是確定每種應(yīng)用程序或者服務(wù)的流量負(fù)載。這個(gè)步驟也很關(guān)鍵,它能夠精確預(yù)測(cè)其對(duì)ISA Server或者Forefront TMG性能以及整個(gè)網(wǎng)絡(luò)容量的影響。你將需要對(duì)現(xiàn)有網(wǎng)絡(luò)部署進(jìn)行某種流量分析,從而熟悉現(xiàn)有流量負(fù)載并預(yù)測(cè)隨著公司發(fā)展流量需求將如何變化等問(wèn)題。

最佳方案:

1. 在可能的位置,讓運(yùn)行ISA Server或者Forefront TMG的子分區(qū)的流量通過(guò)。這樣能夠幫助你控制網(wǎng)絡(luò)間的流量并檢測(cè)來(lái)自本地主機(jī)和遠(yuǎn)程主機(jī)的攻擊以及虛擬的和物理的攻擊。

2. 避免使用 “allow all”規(guī)則。 如果應(yīng)用程序供應(yīng)商不能為你明確定義流量剖析,可以試試你喜歡的網(wǎng)絡(luò)捕捉工具,有時(shí)候也能派上用場(chǎng)。

3. 將RPC和DCOM限定到特定端口。 在默認(rèn)情況下,當(dāng)相關(guān)服務(wù)器應(yīng)用程序啟動(dòng)并請(qǐng)求連接和套接時(shí),RPC和DCOM通常會(huì)暫時(shí)使用任何有效的端口。通過(guò)限制RPC和DCOM可用的端口范圍,你同樣可以限制可接受的流量剖析。

定義安全范圍

這個(gè)步驟涉及很多方面,還有一些基本要求,你必須讓所有安全、網(wǎng)絡(luò)、應(yīng)用程序等相關(guān)管理人員共同參與決議,這樣就能更加全面地分析技術(shù)需求等問(wèn)題,另外還應(yīng)該考慮合規(guī)和審計(jì)問(wèn)題。

應(yīng)用程序安全

應(yīng)該要避免混淆單個(gè)母分區(qū)內(nèi)不同安全層面的虛擬應(yīng)用程序或者服務(wù)器,特別是當(dāng)這些應(yīng)用程序或者服務(wù)器中涉及網(wǎng)絡(luò)外圍時(shí)。當(dāng)相鄰子分區(qū)或者母分區(qū)作為游戲服務(wù)器的主機(jī)時(shí),應(yīng)該避免讓Exchange復(fù)雜化,這也是ISA和TMG能夠?yàn)橹鳈C(jī)間提供保護(hù)的另一位置。因?yàn)槲挥趩为?dú)母分區(qū)的子分區(qū)通常位于單獨(dú)網(wǎng)絡(luò), 你可以使用ISA或者TMG來(lái)隔離這些應(yīng)用程序(如果部署在專有硬件上)以實(shí)現(xiàn)更高的整體安全性。

最佳方案:

1. 在母分區(qū)安裝Windows Server 2008 Core。這樣就將攻擊面和修復(fù)需求限制到最低限度,由于Windows 2008 Core并不支持那些依賴于 Windows UI機(jī)制的應(yīng)用程序,這能夠幫助避免在母分區(qū)安裝不重要應(yīng)用程序。

2. 特定母分區(qū)上的每個(gè)子分區(qū)應(yīng)該獲得同等安全保護(hù)。例如, 用戶從互聯(lián)網(wǎng)訪問(wèn)的Exchange和SharePoint 子分區(qū)應(yīng)該盡量滿足相同的安全和訪問(wèn)要求, 如果你將 Exchange和SharePoint 服務(wù)器以及游戲服務(wù)器作為子分區(qū)部署在相同的母分區(qū)上,就無(wú)法實(shí)現(xiàn)這一點(diǎn)。

3. 母分區(qū)必須及時(shí)進(jìn)行漏洞修復(fù)。母分區(qū)上的漏洞可能會(huì)影響所有與其相關(guān)的區(qū)域。

4. 每個(gè)子分區(qū)必須及時(shí)進(jìn)行漏洞修復(fù)。雖然未修復(fù)漏洞的子分區(qū)不會(huì)造成像母分區(qū)那么大的影響,但是如果受到漏洞攻擊的子分區(qū)訪問(wèn)母分區(qū),就有可能對(duì)母分區(qū)帶來(lái)類似攻擊,并對(duì)所有客戶端造成威脅。

5. 不要將母分區(qū)作為工作站使用。 母分區(qū)安裝和運(yùn)行的應(yīng)用程序越少,母分區(qū)面臨的攻擊威脅越小。 另外,如果你在母分區(qū)安裝Windows Server 2008 Core,能夠幫助控制威脅。

6. 限制對(duì)母分區(qū)的訪問(wèn)管理。 管理母分區(qū)訪問(wèn)權(quán)的賬號(hào)擁有控制所有子分區(qū)的權(quán)限,下文中將詳細(xì)探討這個(gè)問(wèn)題。

7. 使用基于TPM的母分區(qū)以及BitLocker。 對(duì)母分區(qū)訪問(wèn)控制力越強(qiáng),子分區(qū)就能得到越好的保護(hù)。

網(wǎng)絡(luò)安全

在虛擬環(huán)境大家最關(guān)注的問(wèn)題就是如何管理子分區(qū)、母分區(qū)和物理網(wǎng)絡(luò)的通信流量。如果某客戶端有訪問(wèn)任何物理網(wǎng)絡(luò)的直接權(quán)利,將會(huì)給相鄰子分區(qū)和母分區(qū)帶來(lái)很大的安全威脅,只有強(qiáng)行讓客戶端通過(guò)流量控制(如ISA Server 或者Forefront TMG)才能避免類似威脅。 在網(wǎng)絡(luò)中施加類似流量控制是網(wǎng)絡(luò)規(guī)劃中很重要的部分,而管理控制則更為重要。

對(duì)ISA 或者TMG服務(wù)器流量的路由并不能簡(jiǎn)單地通過(guò)將錯(cuò)誤流量從通信路徑中移除而保證網(wǎng)絡(luò)的安全性,雖然這與數(shù)據(jù)中心的錯(cuò)誤路徑網(wǎng)絡(luò)電纜沒(méi)什么區(qū)別,你必須考慮的是,在虛擬網(wǎng)絡(luò)中對(duì)于錯(cuò)誤路由的流量并沒(méi)有明顯的指示, 而能夠很明顯地看出網(wǎng)絡(luò)電纜插入錯(cuò)誤的物理路徑配線架或者交換機(jī)。 從這一點(diǎn)來(lái)看,區(qū)分錯(cuò)誤流量路徑等相關(guān)問(wèn)題其實(shí)是非常復(fù)雜和耗費(fèi)時(shí)間的,避免這種狀況發(fā)生的最佳做法就是定義并執(zhí)行非常明確的數(shù)據(jù)中心轉(zhuǎn)換控制政策和系統(tǒng)監(jiān)控/報(bào)告系統(tǒng)。

最佳做法:

1. 避免在沒(méi)有額外保護(hù)的情況下將母分區(qū)連接至互聯(lián)網(wǎng)。 雖然相比于windows之前版本,Windows Server 2008 過(guò)濾平臺(tái)(Filtering Platform)為我們提供了更加強(qiáng)大的主機(jī)防火墻,網(wǎng)絡(luò)安全最佳做法表明,應(yīng)該對(duì)網(wǎng)絡(luò)安全進(jìn)行分層,具體做法就是:在母分區(qū)連接與互聯(lián)網(wǎng)之間使用外部 layer-3過(guò)濾設(shè)備。位于獨(dú)立物理主機(jī)上的ISA Server或者Forefront TMG能夠很好地幫助實(shí)現(xiàn)這一目的。

2. 避免將母分區(qū)連接到任何虛擬網(wǎng)絡(luò),除非是非常有必要的情況下。 因?yàn)槟阜謪^(qū)是保持子分區(qū)正常運(yùn)行的關(guān)鍵,而母分區(qū)可能至少使用一個(gè)物理網(wǎng)絡(luò),向母分區(qū)提供的子分區(qū)接入點(diǎn)越少越好。例如, 母分區(qū)是無(wú)法看到Hyper-V “Local”虛擬網(wǎng)絡(luò)的,因此可以把該網(wǎng)絡(luò)作為只能由連接的子分區(qū)使用的隔離邊界網(wǎng)絡(luò)。

3. 避免在多個(gè)客戶端間共享相同的互聯(lián)網(wǎng)虛擬交換機(jī)連接。 如果你的游戲服務(wù)器子分區(qū)與ISA / TMG子分區(qū)共享互聯(lián)網(wǎng)連接,就很難確保網(wǎng)絡(luò)流量的安全性, 最好就是任何需要互聯(lián)網(wǎng)訪問(wèn)的子分區(qū)必須通過(guò) ISA / TMG子分區(qū)來(lái)訪問(wèn)網(wǎng)絡(luò)。

4. 避免在同一個(gè)母分區(qū)整合周邊網(wǎng)絡(luò)和設(shè)備 在任何部署中,對(duì)周邊網(wǎng)絡(luò)的使用都是為了在不同信任級(jí)別間的網(wǎng)絡(luò)創(chuàng)建安全分界。如果將所有這些機(jī)器和網(wǎng)絡(luò)放在相同的母分區(qū) ,就很可能無(wú)意中通過(guò)一個(gè)或者多個(gè)母分區(qū)虛擬網(wǎng)絡(luò)連接或者將服務(wù)器分配給錯(cuò)誤的虛擬網(wǎng)絡(luò)等情況下,在這些安全分界中搭建連接。

5. 避免為了簡(jiǎn)化虛擬網(wǎng)絡(luò)設(shè)計(jì)而破壞了周邊網(wǎng)絡(luò)設(shè)計(jì)。 創(chuàng)建周邊網(wǎng)絡(luò)設(shè)計(jì)的目的是為了滿足多種資源的需求,如果硬件中的設(shè)計(jì)受到破壞虛擬網(wǎng)絡(luò)的設(shè)計(jì)必然也將被破壞。

母分區(qū)

不管虛擬部署放置在邊緣還是中心位置,母分區(qū)都是最重要最關(guān)鍵的機(jī)器,如果母分區(qū)被破壞或者失效,所有子分區(qū)都將受到威脅。

最佳做法:

1. 使用通過(guò)Windows Hardware Quality Labs 認(rèn)證的硬件:

· Windows Server 2008. 如果你期望擁有服務(wù)器級(jí)別的功能和可靠性,是不可能通過(guò)使用家用電腦級(jí)別的系統(tǒng)硬件或者驅(qū)動(dòng)來(lái)實(shí)現(xiàn)的。 在選擇硬件設(shè)備和相關(guān)驅(qū)動(dòng)程序時(shí)必須對(duì)服務(wù)器工作量進(jìn)行測(cè)試,以確保所選硬件能夠保證虛擬部署經(jīng)得起重荷。 雖然為windows vista編寫的驅(qū)動(dòng)程序能夠“適用于” Windows Server 2008,不過(guò)很難保證這些驅(qū)動(dòng)能夠承受服務(wù)器應(yīng)用程序或虛擬帶來(lái)的重荷。

· Hyper-V. 通過(guò)選擇合適的硬件(硬件可以滿足專門針對(duì)Microsoft Hypervisor的WHQL測(cè)試的要求),可以保證虛擬部署的順利進(jìn)行。很多硬件供應(yīng)商都會(huì)與所有服務(wù)器虛擬供應(yīng)商緊密合作以確保他們的產(chǎn)品能夠適用于一個(gè)或更多服務(wù)器虛擬化平臺(tái)。

2. 保持系統(tǒng)驅(qū)動(dòng)程序的正常運(yùn)作。 服務(wù)器網(wǎng)絡(luò)出現(xiàn)問(wèn)題最常見(jiàn)的原因都是因?yàn)橄到y(tǒng)驅(qū)動(dòng)本身,大多數(shù)是因?yàn)榫W(wǎng)絡(luò)驅(qū)動(dòng)。當(dāng)這些驅(qū)動(dòng)與虛擬化解決方案中的其他高性能驅(qū)動(dòng)結(jié)合使用時(shí),系統(tǒng)驅(qū)動(dòng)的性能和可靠性顯得尤為重要。 然而事實(shí)卻總非如此,尤其是在測(cè)試環(huán)境中,你應(yīng)該考慮將生產(chǎn)部署限制給簽名驅(qū)動(dòng)程序。

3. 在母分區(qū)使用 Windows Server 2008 Core 。 這樣能夠?qū)⑷魏蜽indows Server 部署面臨的攻擊率降到最低,同時(shí)會(huì)限制用戶對(duì)安裝狀況的影響。

4. 禁用母分區(qū)的任何對(duì)外的NIC。 在創(chuàng)建供子分區(qū)使用的“外部”虛擬交換機(jī)后,應(yīng)該禁用母分區(qū)的相關(guān)虛擬NIC,以防止互聯(lián)網(wǎng)訪問(wèn)母分區(qū)。

5. 如果不能禁用母分區(qū)的“外部”虛擬交換機(jī),解除所有L3+協(xié)議并為那些NIC啟用WFP。 通過(guò)解除協(xié)議并在WFP設(shè)置強(qiáng)限制性政策,不能使用協(xié)議(攻擊點(diǎn))通信的主機(jī)就不會(huì)受到網(wǎng)絡(luò)攻擊,因?yàn)橄嚓P(guān)協(xié)議已經(jīng)被解除和過(guò)濾,換句話說(shuō),“我聽(tīng)不到你,你別想吵到我”。

6. 如果上述步驟還不能保護(hù)母分區(qū),可以使用外部 layer-2+ 防火墻。沒(méi)有理由讓母分區(qū)受到互聯(lián)網(wǎng)攻擊,如果正在考慮采取這種部署,應(yīng)該重新評(píng)估整個(gè)計(jì)劃。

7. 使用專用的OOB(Out-of-Band)網(wǎng)絡(luò)連接來(lái)管理母分區(qū)的連接。

· 專用連接:提供與任何虛擬網(wǎng)絡(luò)不相關(guān)的網(wǎng)絡(luò)連接,即使虛擬網(wǎng)絡(luò)機(jī)制出錯(cuò),母分區(qū)也能繼續(xù)正常運(yùn)作。

· OOB連接: 通過(guò)將母分區(qū)管理從客戶端網(wǎng)絡(luò)隔離出來(lái),可以讓母分區(qū)免受來(lái)自互聯(lián)網(wǎng)的應(yīng)用程序攻擊。

8. 在Windows Server 2008上使用支持TPM的硬件和Bitlocker來(lái)控制對(duì)母分區(qū)的訪問(wèn),以保護(hù)子分區(qū)磁盤和定義文件免受未經(jīng)授權(quán)的訪問(wèn)。服務(wù)器盜竊事故是任何部署都必須考慮的問(wèn)題, 而在單個(gè)服務(wù)器能夠獲取多個(gè)服務(wù)器信息更是讓黑客們垂涎三尺。通過(guò)將所有客戶端放在 Bitlocker保護(hù)磁盤,能夠有效抵御那些黑客的攻擊。

母分區(qū)和客戶端連接

必須根據(jù)整個(gè)環(huán)境的安全需求來(lái)平衡虛擬網(wǎng)絡(luò)的需求。例如,每個(gè)分區(qū)連接(與一個(gè)NIC相連)的單個(gè)虛擬網(wǎng)絡(luò)與通過(guò)虛擬交換機(jī)由多個(gè)分區(qū)共享的物理連接相比,前者能夠提供更好的主機(jī)脫離(off-host)網(wǎng)絡(luò)性能。如果子分區(qū)占用相對(duì)較少的網(wǎng)絡(luò)資源,可以考慮讓其與其他子分區(qū)共享虛擬網(wǎng)絡(luò)。

ISA/TMG子分區(qū)性能考慮

在確定ISA / TMG虛擬機(jī)資源前需要先對(duì)性能進(jìn)行評(píng)估。要實(shí)現(xiàn)這一目的,必須參考ISA Server Performance Best Practices性能監(jiān)測(cè)建議(針對(duì)你的ISA版本的建議)或者TMG性能監(jiān)測(cè)參考建議收集一段時(shí)間內(nèi)(至少兩周)的性能數(shù)據(jù),以便獲取所使用的機(jī)器資源的統(tǒng)計(jì)模型。這樣一來(lái),你就知道支持虛擬ISA / TMG服務(wù)器所需要的最小機(jī)器資源量了。

確定ISA / TMG虛擬機(jī)需求后,下一步就是建立測(cè)試環(huán)境,以便在測(cè)試環(huán)境中部署和測(cè)試生產(chǎn)環(huán)境中將使用的工作量以及流量負(fù)載組合。只有通過(guò)預(yù)先測(cè)試才能確定如何在子分區(qū)間的最佳資源分配方式。

CPU和RAM

任何在特定配置的硬件上運(yùn)行某種級(jí)別功能的服務(wù)器工作量,性能上都比不上共享多種工作量的機(jī)器資源(在相同配置的硬件上運(yùn)行)。不管工作量合并在單一的操作系統(tǒng)還是工作量在多個(gè)虛擬機(jī)間共享,這個(gè)理論都成立。事實(shí)上,當(dāng)工作量與單個(gè)操作系統(tǒng)結(jié)合時(shí),管理多個(gè)工作量的資源需求會(huì)相應(yīng)增加。出于這個(gè)原因,你最好熟悉一下你所部署的虛擬技術(shù)的性能最佳做法建議。雖然每個(gè)供應(yīng)商所提供的虛擬化功能都是類似的(從虛擬類型來(lái)看,包括桌面、服務(wù)器和數(shù)據(jù)中心),不過(guò)這些不同供應(yīng)商的虛擬功能對(duì)于指定的服務(wù)器工作量或者工作量組合將會(huì)產(chǎn)生不同的結(jié)果。

最佳做法:

1. 避免在相同母分區(qū)結(jié)合高資源子分區(qū)。ISA / TMG可能會(huì)耗費(fèi)很多資源,這將取決于可能使用的流量性質(zhì)和第三方插件。如果有多個(gè)高耗能服務(wù)器工作量爭(zhēng)奪相同的資源,所有工作量的性能都會(huì)降低,也可能出現(xiàn)拒絕服務(wù)。

2. 盡量多地向ISA / TMG提供CPU和內(nèi)存。因?yàn)镮SA/TMG必須與其他子分區(qū)共享資源,向ISA/TMG提供越多的內(nèi)存和CPU,在虛擬機(jī)中ISA/TMG的性能也將越好。

注意:在ISA服務(wù)器中,不管是ISA服務(wù)器本身,抑或是第三方插件,都不會(huì)從4個(gè)以上的CPU或者大于4GB的內(nèi)存中受益,TMG并沒(méi)有這種限制。

3. 使用虛擬化技術(shù)(能夠承受最大的工作量任務(wù))。如果你的流量性質(zhì)要求每秒1Gb或以上的網(wǎng)絡(luò)性能,那么使用提供最高每秒100Mb性能的硬件虛擬化產(chǎn)品可能會(huì)導(dǎo)致服務(wù)器超負(fù)荷或者性能表現(xiàn)不佳。

 

文章編輯:CobiNet(寧波),本公司專注于電訊配件,銅纜綜合布線系列領(lǐng)域產(chǎn)品研發(fā)生產(chǎn)七類,六類,超五類屏蔽網(wǎng)線雙絞屏蔽線及相關(guān)模塊配件,歡迎來(lái)電咨詢0574 88168918;

我們是萬(wàn)兆網(wǎng)絡(luò)模塊,萬(wàn)兆屏蔽模塊10G網(wǎng)絡(luò)模塊,10G屏蔽模塊keystone jack生產(chǎn)廠家。

相關(guān)新聞

 

?2016-2019寧波科博通信技術(shù)有限公司版權(quán)所有浙ICP備16026074號(hào)

欧美一级影院| 女女同一区二区三区| AV无码久久久久久不卡网站| 超碰97人妻免费| 久久亚洲综合精品| 日韩一级二级三级| 亚洲无码韩国| 午夜av免费| 综合高清无码| 黄色三级片在线| 毛片在线免费视频| 成人免费一区二区三区视频| 国产成人无码一区二区| 成人黄网站免费观看久久| 亚洲天堂2012| 欧美精品在线播放| 免费无码毛片一区二区| 97人人看| 亚洲无码久久精品| 久久天天躁狠狠躁夜夜躁| 东京热一级毛片| 欧美激情一区二区三区视频| 中文字幕乱码人妻无码久久久| 韩日AV在线| 少妇又紧又深又湿又爽视频| 成人综合网址| 亚洲AV无码国产一区二区三区| 国产精品三级在线| 黑人巨大精品欧美一区二区,| 日韩免费不卡视频| 精品国产一区二区三区不卡蜜臂| 丰满国产爆乳一区二区| 把女邻居弄到潮喷的性经历| 人人插天天干| 日韩永久精品| 久久精品国产99国产精品澳门| 五月天综合| 国产又爽又黄又无遮挡的激情视频| 激情影院a| 亚洲色婷婷综合久久久久中文| 无码精品毛片一区二区三区亚洲|