虚拟化服务专题问答

小王在VMWare虚拟机中安装了Win7系统后，初次启动时遇到了故障，看故障提示好像与硬件有关。尝试利用安全模式重新启动系统发现一切正常，可是换用带有网络连接功能的安全模式启动系统时，仍然会出现故障。于是，小王在虚拟机环境中删除了类似声卡、网卡这样的常规设备，不过问题还是不能解决，这该怎么办呢？

答：对于这种问题，不妨先仔细检查一下计算机的硬件工作状态，比方说物理内存、网卡之类的，确认是不是硬件设备存在中断问题。之后切换到系统安全模式状态，展开系统设备管理器窗口，看看虚拟机硬件设备是否存在物理冲突现象，找到问题原因后，区别对待就能解决上述问题。

使用虚拟化技术，将局域网中分散的服务器资源，整合成动态的虚拟化资源池，能够发挥出什么样的作用来？

答：可以改善服务器资源利用率，降低单位网络运维成本，提高网络应用的可用性，增强系统和应用的灵活性以及快速响应能力，极大地实现服务器虚拟架构的完美整合。

单位局域网中有一台H3C S3100系列的楼层交换机，该交换机某端口下面连接的是一台虚拟机的物理服务器，其中的虚拟机所处的网段各不相同，倘若要确保这些虚拟机既能同时访问外面，又能相互访问，那么是否需要对交换端口进行单独的参数配置操作？

答：不需要在交换端口上对每个虚拟机进行依次配置，只需要在物理服务器中进行集中配置就可以实现上述访问目的了，因为每个虚拟机相互之间的访问，都是通过虚拟机软件的NAT模式来配置的，与交换端口的配置没有什么关系。

请问如何通过虚拟化技术，对位于不同位置处的服务器资源进行虚拟整合？

答：很简单！只要在局域网中每台分散的服务器中，依次安装配置VMware虚拟架构套件vSphere企业增强版软件，用在单台物理服务器实体上，通过服务器自身强大的处理能力，生成若干个虚拟服务器。而每台虚拟服务器，无论从操作方式上来讲，还是从性能和功能上来讲，都与传统的单台服务器一样。在每台虚拟服务器中，通过安装各种操作系统和应用程序，就能利用分散的服务器资源，实现不同位置处服务器资源的虚拟整合了。

某用户尝试向虚拟机中复制一个大容量文件，结果显示硬盘空间不够，重新启动虚拟机时，发生了虚拟机硬盘文件出错的故障，请问如何恢复这类错误？

答：这类故障主要是用户遇到硬盘空间不够现象时，没有正确关闭虚拟机引起的。如果在使用虚拟机的时候已经建了快照的话，那么利用快照就能快速修复上述错误。要是没有快照可以利用时，那只能重新安装虚拟机系统了。

初次使用VMWare虚拟机时，很多用户为虚拟硬盘和内存分配的空间资源都很小，此时在该环境下工作时，会感觉到操作速度很慢，请问有没有办法随时为VMWare虚拟机增加虚拟硬盘和内存的空间容量？

答：答案是肯定的！只要在没有启动运行虚拟系统的情况下，选择需要调整设置的系统选项卡，之 后 逐 一 点 选“VM”、“Settings”选项，切换到“VirtualMachineSettings”设置对话框，在这里就能很轻松地为虚拟内存及虚拟硬盘增加空间容量了，只是所增加的限度是在现有计算机所拥有的物理容量范围内。

尽管虚拟化服务能够解决硬件设备利用率不高问题，但它也会带来一些额外的安全风险。那么对于想尝试利用虚拟化节省硬件投入成本的单位来说，虚拟化可能会给他们带来哪些风险呢？

答：首先是虚拟服务器自身风险。虚拟服务器归根结底属于软件，而软件终究有漏洞，恶意用户只要通过某个漏洞对其中一个虚拟服务器进行攻击，一旦攻破，那么恶意用户就能访问部署在服务器中的其他虚拟服务器。在实际的虚拟化部署过程中，安全威胁更多的是来自于不及时更新补丁或人为设置不当而暴露的安全漏洞。其次是部署方式存在风险。很多安全技术服务商到目前为止，还没有参与到虚拟化安全防护行动中，不少大型厂商还没有能力为虚拟化服务提供与物理服务器相同等级的安全保护。针对虚拟化安全漏洞方面的检测工具或者修复工具很少，多数厂商在这方面基本没有多少有效应对方案。所以，不少单位在部署虚拟化时，存在很大的安全盲目性。第三是数据恢复备份有风险。在各种预知或不可知因素作用下，正在工作的数据应用或环境可能会受到非法攻击，这种攻击容易造成其他位置处的数据受到影响。第四是错误配置带来危险。对虚拟化系统提供管理或保护时，使用的专业工具，往往与用于物理系统的工具有显著的区别，当习惯于用常规思路对这些工具进行配置时，出现错误的可能就会大大增加。而由错误配置引起的安全威胁，同样也会随之增大。最后是变化网络基线的风险。操作人员在通过部署或删除有关镜像，实现对虚拟服务器的创建、删除、再创建的过程中，容易破坏事先建立的网络基线，包括已经建好的额度基线，这可能造成监视结果不稳定。

请问虚拟化技术会不会颠覆单位局域网原始的网络架构？

答：当然不会！它仍然会延续使用原来的网络架构，仅仅是在数据中心的基础设施方面，有效减少需要管理和维护的重要设备，比方说机房空调、UPS电源、交换机、路由器、网络线缆等。原先的服务器硬件仍然能够象以往一样正常工作，同时能够有效与现有的虚拟化服务器融合在一起，从网络层面构建业务隔离、文件共享等，来延续原来的网络管理模式。终端用户方面，继续可以使用原来的访问模式，对于虚拟服务器的数据交互操作，与原来传统物理服务器的访问模式一样，不会影响任何业务系统。

请问作为虚拟化集群管理核心的服务器，运行VMware vCenter Server虚拟化软件时，至少需要什么样的硬件配置？

答：至少要有双路CPU，2块千兆级别的网卡，拥有2GB以上级别的物理内存，预先安装有Windows Server 2003以上版本的服务器系统。同时，为了避免不必要的影响，还不能同时安装其他管理软件和应用程序。

在Windows Server 2008 R2系统中，在将虚拟机移动到其他宿主机时，常常会出现由于不兼容引起的导入失败问题，请问Windows Server 2012系统在虚拟机导入方面，有没有特别的改进或完善？

答：当然有改进！Windows Server 2012系统设计了新的导入虚拟机向导，通过该向导系统管理员不需要关闭运行虚拟机，只要将虚拟机的文件手工复制到新的宿主机，再运行导入虚拟机向导，选择新复制的文件，就能成功完成导入工作了。而且新的向导能检测并修复超过40种不同类型的不兼容问题，比方说硬件或文件差异。

云端数据存储的工作原理是什么？

答：云端数据存储采用的应用虚拟化技术，与现在大家都熟悉的操作系统虚拟化、硬件虚拟化不同，云端的应用虚拟化更轻量级，更适用于桌面和应用程序等的虚拟化，为普通用户带来更好的桌面和软件使用体验。从最基本的层面来看，一个云端存储系统只需要一个数据服务器连接到Internet网络，终端用户通过Internet上传数据到云端服务器，然后记录信息。当终端系统要检索数据的时候，用户只要访问一个基于Web界面的云端服务器，之后云端服务器发送数据或者允许终端系统访问和操纵云端服务器中的数据文件。

要想让虚拟机正常工作，必须先使用虚拟机软件对其分区。要是手头没有专业工具可以利用时，该如何创建、管理虚拟硬盘分区呢？

答：在Win7系统环境下，使用VHD虚拟硬盘管理功能，就能轻松创建、管理VHD虚拟分区了。在创建虚拟分区时，首先打开系统运行对话框，输入“diskmgmt.msc”命令并回车，切换到系统磁盘管理对话框。依次点击“操作”、“创建VHD”菜单命令，弹出创建和附加虚拟磁盘窗口，按下“浏览”按钮，弹出浏览虚拟磁盘文件对话框，设置好虚拟分区文件名称和路径，点击“保存”按钮返回。在“虚拟硬盘大小”设置项处，指定好虚拟分区的大小，该大小不能超过物理硬盘上的最大空间。之后在“虚拟硬盘格式”设置项处，定义好虚拟分区格式，要是选择“固定大小”格式，那就表示虚拟分区会使用固定大小，无论该虚拟分区中存储的数据文件有多少都是如此，要是选用“动态扩展”格式，那么Win7系统将自动根据文件大小进行调节虚拟分区容量，最后单击“确定”按钮，完成VHD格式虚拟分区文件的创建任务，此时在磁盘管理对话框中，会出现“磁盘1”的虚拟分区。

下面选中“磁盘1”虚拟分区，并用鼠标右击之，点击右键菜单中的“初始化磁盘”命令，切换到初始化磁盘设置框，选中“MBR(主启动记录)”选项，单击“确定”按钮保存设置操作。接下来，还要为虚拟分区分配空闲盘符，在进行该操作时，右击目标虚拟分区，选择快捷菜单中的“新建简单卷”命令，弹出新建简单卷向导对话框，按照缺省向导提示，定义好指定卷的大小、驱动器号，再次进行格式化，点击“完成”按钮结束新磁盘卷的创建任务。再次双击“计算机”图标，展开计算机窗口，就能看到新创建的虚拟分区了。要想将创建好的VHD虚拟分区设为活动分区时，不妨选择磁盘管理对话框中的指定虚拟分区，执行右键菜单中的“将分区标记为活动分区”命令，这样VHD虚拟分区就成为活动分区了。

当访问完VHD虚拟分区后，尽量将其从磁盘管理框中移除掉。在执行这项操作时，不妨右击系统桌面上的“计算机”图标，点击快捷菜单中的“管理”命令，进入计算机管理窗口，将鼠标定位到“计算机管理”、“存储”、“磁盘管理”节点上，在该节点下找到目标虚拟分区，并用鼠标右击之，选择右键菜单中的“脱机”命令，就能暂时关闭虚拟分区了。如果想彻底移除虚拟分区时，可以右击磁盘管理框中的虚拟分区图标，点击右键菜单中的“分离VHD”命令，弹出“分离虚拟硬盘”设置框，单击“确定”按钮即可。当然，如果选中“删除磁盘后删除虚拟硬盘文件”选项时，那么分离虚拟分区操作会彻底删除系统中的虚拟分区文件，如果将“删除磁盘后删除虚拟硬盘文件”取消选中，那么分离虚拟分区操作会自动保留虚拟分区文件，日后想重新使用虚拟分区时，只要依次选择“操作”、“附加VHD”命令即可。

单位同事想用优盘版Windows PE操作系统启动VMWare虚拟机，不过在启动的过程中，VMWare工具总弹出提示，说禁用USB设备主机连接，请问如何才能让虚拟机正常使用优盘设备呢？

答：这种问题应该是VMWare USB Arbitration Service系统服务没有正常开启造成的。此时依次单击“开始”、“运行”命令，弹出系统运行对话框，输入“services.msc”命令并回车，切换到系统服务列表界面，用鼠标双击其中的“vmware Usb arbitration server”系统服务，在其后弹出的服务属性对话框中，按下“启动”按钮重新启动VMWare，多半就能解决问题了。要是不能正常启动上述系统服务，多半是本地计算机系统为AMD平台且安装了AMD South Bridge Driver，此时不妨重新启动AMD South Bridge Driver安装向导，卸载掉它，之后重启系统就能解决上述问题了。

考虑到虚拟机的软件属性，其数量越多，虚拟服务器存在的安全漏洞就越多。为了降低来自安全漏洞的攻击，有必要控制虚拟机数量的激增，那如何才能控制虚拟机数量的不断增加呢？

答：单位一定要强化对虚拟机创建行为的审批，做到创建虚拟服务器必须像创建物理服务器那样严格，无论是创建虚拟服务器，还是创建物理服务器，必须要通过严格的审批流程才能获得允许。单位尽量成立一个专门的组织，来批准或者否决来自技术人员的申请，这样技术人员就不能擅自创建虚拟机了。当然，要允许应用开发技术人员提出要求。限制住虚拟机数量的增加，就能控制好虚拟化系统的管理成本，也能有效降低由漏洞引起的安全风险。

请问在VMWare虚拟机环境下，桥接网络是怎样工作的？

答：配置成桥接网络连接模式的虚拟机，完全可以看成物理主机所在局域网的一部分，虚拟机和物理机之间的关系，就像连接在同一台交换机上的两台计算机，可以像物理机一样能够访问局域网中的所有共享资源和网络连接，能够直接共享物理机网络的Internet接入线路访问Internet。物理主机与虚拟主机之间，以及各个虚拟机之间相互都能访问。对应虚拟机就被当成物理主机所在局域网中的一个独立物理主机来看待，各个虚拟机利用缺省的VMnet0网卡与物理主机以太网连接，虚拟机间的虚拟网络为VMnet0。此时，虚拟机就像局域网中一台独立物理机一样，在虚拟机中能够正常ping通局域网中其他计算机，同样其他计算机也能ping通虚拟机。当然，要想让它们相互访问通信，用户一定要为虚拟系统正确配置好IP地址和子网掩码，确保它们处于同一个工作子网，不然的话就无法相互访问。

按常理，只有停止虚拟机的运行，才能调整虚拟硬盘的大小。但从Windows Server 2012 R2服务器系统开始，管理员能在线调整虚拟硬盘的大小了，这就表示当虚拟硬盘不够用时，系统管理员可以在虚拟机工作的状态下，直接扩展虚拟硬盘容量了。请问要达到Hyper-V在线修改虚拟硬盘的大小这个目的，必须要满足哪些条件？

答：必须要满足两个条件：一是VHDX虚拟硬盘必须要挂载到SCSI控制器上，挂载到IDE控制器上的VHDX虚拟硬盘不能在线修改容量大小，挂载到SCSI控制器上的VHD虚拟硬盘也不能在线修改容量大小，只能进行压缩操作。二是虚拟硬盘的格式必须使用的是VHDX。

在进行虚拟机配置时，为什么要对现有需要整合的应用，采用单颗虚拟CPU的方式？

答：倘若需要整合的应用无法支持多个CPU并行运算操作，配置多颗虚拟CPU，反而容易浪费资源，引起虚拟服务器系统响应速度变得更慢。当然，要是无法确认需要整合的应用，是否可以支持并发CPU运算操作时，也能同时用双虚拟CPU的虚拟机和单虚拟CPU的虚拟机进行对比测试，启动相同的网络应用，判断哪种网络应用，响应速度更理想一些。

不过要注意的是，对于超线程的服务器，不能将超线程打开后发现到的两颗CPU，看成是真正的两颗CPU。因此，要是服务器是双路单核超线程服务器，那么部署在其中的每台虚拟机最大只能配置成双路虚拟CPU。对于双核CPU，每个核能当成一个独立的CPU来对待。

请问怎样在WinXP终端系统环境下，手工删除微软Java虚拟机？

答：依次单击“开始”、“运行”命令，弹出系统运行对话框，输入“RunDll32 advpack.dll,LaunchINFSection java.inf,UnInstall” 命 令并回车，开启卸载进程。在其后弹出的确认提示框中按下“确定”按钮，再选择“重新启动”，在计算机系统重启之后，打开系统资源管理器窗口，删 除“%systemroot%java”、“%systemroot%inf”等文件夹中的“java.pnf”文件，删除“%systemroot%system32”文件夹中的“jview.exe”、“wjview.exe”等文件。

接着执行“regedit”命令，切换到系统注册表编辑窗口，将鼠标定位到HKEY_LOCAL_MACHINESOFTWAREMicrosoftJava VM注册表分支上，删除该分支下与IE浏览器相关的键值选项。按照同样的操作方法，将鼠标定位 到HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerAdvancedOptionsJAVA_VM分支上，将该分支下与IE浏览器中相关键值选项也删除掉，这样就能彻底删除微软Java虚拟机了。

请问有没有必要为每台虚拟机设置一个最小的内存资源和CPU资源保留值？

答：当然有必要，因为最小资源保留值，既可以确保每台虚拟机拥有最基本的私有资源，又能让虚拟服务器在需要时，可以获得更多能够利用的资源，来应付各式各样的访问请求。

单位网络中有一台VMware虚拟机，同时安装使用了两个虚拟操作系统，以往能够直接在物理系统和虚拟系统之间，通过复制、粘贴方式，相互传输文件资料，可是现在不知道是什么原因，无法进行传输文件了，操作起来很不方便，这该如何是好呢？

答：要想在物理系统和虚拟化系统之间正常拷贝文件资料，一定要安装使用VMware Tools工具，不然的话无法进行拷贝文件。而且，在正确安装VMware Tools工具的前提下，还需要设置好有关的参数，比方说，一定要选中“Guest Isolation”等选项参数，不然的话，物理系统和虚拟系统相互复制粘贴文件就无法成功。

既然虚拟化服务存在种种安全风险，那么那些规模不大、IT预算投入很小的单位，该如何应对虚拟化带来的各种安全风险呢？

答：首先要加强团队共同参与精神，让所有专家从认真审查虚拟基础设施入手，通过顾问或工具一起参与规划，打破独立工作习惯的“孤岛”，发挥团队的共同努力，协调、推进端到端的虚拟化战略，确保让安全成为规划过程的一个不可或缺部分。其次要强化虚拟机权限管控，认真考虑用户需要哪种账户和什么级别的访问权限，仅让极少数用户拥有虚拟机管理员级权限，其他人员只能获得最小的访问权限。第三要采购专业安全产品，让其在操作环境底层，为虚拟化系统提供安全机制，改善监控与保护虚拟化安全能力。第四要适当进行隔离分段，将不同安全要求的工作量部署到共享的物理设施上，同时强制执行基于政策的分段，从而更安全地利用好共享的设施资源。第五要严格控制虚拟机数量，从源头开始，减少来自安全漏洞的攻击。