Tag Archive: práticas


Virtualização: Práticas Recomendadas para a Implantação de Máquinas Virtuais Usando a Tecnologia de Virtualização Hyper-V

Filed under: ALL, DicasDeixe um comentário
07/10/2010

Estratégia de Computação como Serviço Básico

A Microsoft IT implementou a estratégia de Computação como Serviço Básico para eliminar o conceito de propriedade de servidor para os grupos corporativos e substituí-lo por um conceito de compra de capacidade computacional. Com esta estratégia, os grupos corporativos da Microsoft definem seus requisitos de capacidade computacional para as aplicações que eles necessitam para executarem seus negócios e, depois, a Microsoft IT concentra-se em atender esses requisitos de capacidade computacional.

Na maioria dos casos, a Microsoft IT está implantando máquinas virtuais para atender aos requisitos corporativos. Somente em casos excepcionais a Microsoft IT implantará servidores físicos. A estratégia de Computação como Serviço Básico parece criar um nível de abstração para o grupo corporativo, que agora compra capacidade computacional e espaço em uma SAN (Storage Area Network) ao invés de um servidor físico.

Iniciativa RightSizing

A iniciativa RightSizing é um componente de uma estratégia mais abrangente de Computação como Serviço Básico e tem dois objetivos. O primeiro é identificar os servidores que são bons candidatos à virtualização e encorajar os grupos corporativos a substituírem esses servidores físicos por máquinas virtuais. O segundo objetivo é assegurar que, se um servidor físico é necessário para atender aos requisitos do grupo corporativo, que ele seja do tamanho correto. A iniciativa RightSizing coleta as informações em todos os servidores físicos executados nos datacenters da Microsoft IT e identifica aqueles servidores que são candidatos à virtualização.

São estabelecidas metas de virtualização muito altas para a Microsoft IT, a qual já implantou mais de 3.500 máquinas virtuais. Em Junho de 2009, a Microsoft IT planeja ter 50 por cento de todas as instâncias de servidor sendo executadas nas máquinas virtuais. Com o Windows Server 2008 Hyper-V, a expectativa é que pelo menos 80 por cento das novas solicitações de servidor serão para a implantação como máquinas virtuais.

Configurando os Hosts de Virtualização

A virtualização de servidor tornou-se um componente fundamental no gerenciamento da infraestrutura de TI na Microsoft. Como a Microsoft IT vem trabalhando durante vários anos com a virtualização de servidor, ela desenvolveu as seguintes práticas recomendadas para a configuração dos computadores host que executam as máquinas virtuais:

Simplificar e padronizar a plataforma na qual será feita a implantação de virtualização de servidor. A Microsoft IT adotou uma instalação Núcleo do Servidor (Server Core) do Windows Server 2008 como seu sistema operacional para os hosts de virtualização. Os hosts de virtualização também são dedicados a esta tarefa, assim o administrador deve instalar somente o software e as configurações que esta função requer.

Automatizar e padronizar a administração do ambiente de servidor virtual. A Microsoft IT está planejando implantar vários milhares de servidores virtuais durante os próximos anos e a única maneira de gerenciá-los de maneira eficiente é padronizar a implantação e, depois, automatizar as tarefas de gerenciamento o máximo possível. Isso inclui:

Padronizar a configuração de servidor host e virtual. Por exemplo, a Microsoft IT esforça-se para atribuir os mesmos grupos de administradores e nomes de rede virtual para todos os computadores host. Cada vez mais, a Microsoft IT está usando scripts e outras automatizações para implantar e gerenciar as máquinas host e virtuais. A automatização torna muito mais fácil assegurar que os usuários adotem os padrões de configuração de servidor.

Implementar soluções de gerenciamento remotas. Um importante critério que a Microsoft IT usa ao escolher as plataformas de hardware e de software é o suporte que o provedor da plataforma oferece ao gerenciamento remoto e à automatização.

Implementar o Microsoft System Center Virtual Machine Manager. O Virtual Machine Manager fornece muitas ferramentas para simplificar as tarefas administrativas necessárias para gerenciar um grande ambiente de virtualização. Uma organização pode usar o Virtual Machine Manager para armazenar modelos de servidor e para automatizar a implantação de servidor virtual aos apropriados computadores host.

Microsoft System Center Virtual Machine Manager

Criando Máquinas Virtuais: Orientações Gerais

Uma lição importante que a Microsoft IT aprendeu ao implantar sua estratégia de virtualização é simplificar e padronizar a configuração do computador host e da máquina virtual o máximo possível. Em busca desse objetivo, a Microsoft IT desenvolveu orientações gerais aplicáveis a todas as máquinas virtuais que ela implanta.

Configuração Padrão do Sistema Operacional

A Microsoft IT desenvolveu modelos gerais de provisionamento para vários cenários diferentes de implantação para as máquinas virtuais. Em geral, a Microsoft IT configura cada uma das máquinas virtuais com uma partição do sistema de 50 gigabytes (GB) que está localizada em uma SAN e configura o disco como um disco dinâmico. A Microsoft IT dedica a partição do sistema aos arquivos de sistema operacional e fornece discos adicionais para armazenar os dados e instalar as aplicações.

Na plataforma de hardware padrão, a Microsoft IT realiza uma instalação padrão para cada sistema operacional requerido. Após concluída a instalação, a Microsoft IT aplica um processo padrão de Information Technology Service Pack (IPAK) para todos os servidores que o datacenter suporta. O IPAK é uma configuração de servidor padrão que inclui atualizações de serviço para aplicações e sistemas operacionais mais outras ferramentas e serviços da Microsoft e de terceiros que são necessários para gerenciar os servidores em um ambiente corporativo.

Planejando Máquinas Virtuais para Específicas Funções de Servidor

Embora a Microsoft IT configure a maioria das máquinas virtuais com a mesma configuração básica de sistema operacional e de disco, os requisitos físicos reais para cada máquina virtual irão variar. Por exemplo, algumas máquinas virtuais irão requerer mais memória RAM ou recursos de CPU que outras. Para criar os reais requisitos físicos para uma máquina virtual, a Microsoft IT usa as seguintes orientações:

Configurar cada servidor virtual com uma configuração de hardware que seja muito similar aos requisitos de hardware de um servidor físico. O fato da Microsoft IT virtualizar um servidor não altera os recursos de hardware que o servidor requer.

Usar dados da iniciativa RightSizing para planejar o servidor. Na iniciativa RightSizing, a Microsoft acumulou significativos dados de desempenho a respeito de como aplicações específicas se desempenham nos servidores físicos. Se uma aplicação usou uma porcentagem muito baixa dos recursos de hardware em um servidor físico, a Microsoft IT implantará um servidor virtual com capacidade significativamente menor para executar a mesma aplicação.

Exigir que os clientes justifiquem os recursos de hardware adicionais. Se uma das unidades corporativas solicita um hardware que não é consistente com os dados de desempenho disponíveis, o cliente deve justificar a necessidade do hardware. Com o número de servidores virtuais que a Microsoft IT implantou, a equipe tem informações muito boas sobre as necessidades de hardware para uma ampla variedade de implantações de aplicações e de servidores.

Implantar máquinas virtuais baseadas em Windows Server 2008 sempre que possível. O Windows Server 2008 suporta dispositivos sintéticos na máquina virtual, o que fornece melhor desempenho de rede e de armazenamento que o Windows Server 2003. Adicionalmente, você pode configurar as máquinas virtuais baseadas em Windows Server 2008 com quatro processadores ao invés de apenas dois processadores para o Windows Server 2003. Em muitos casos, os problemas de compatibilidade de aplicação e de teste requerem que a Microsoft IT ainda implante o Windows Server 2003, mas o Windows Server 2008 sempre é o sistema operacional preferido.

Escolhendo as Cargas de Trabalho de Servidor para a Virtualização

A Microsoft IT implantou máquinas virtuais executando quase todas as cargas de trabalho e funções de servidor. Atualmente, a opção de implantação padrão para todos os servidores é uma máquina virtual. Entretanto, há vários cenários onde a Microsoft IT ainda implanta máquinas físicas:

  • Requisitos de hardware. Em alguns casos, uma carga de trabalho de servidor pode requerer recursos de hardware que tornam impraticável a implantação da carga de trabalho em uma máquina virtual. Por exemplo, se a carga de trabalho de servidor requer mais de quatro processadores para fornecer o desempenho adequado, o servidor não pode ser virtualizado. Adicionalmente, se a carga de trabalho de servidor requer mais da metade dos recursos de hardware que estão disponíveis em um host de virtualização, a Microsoft IT não virtualiza o servidor porque não há nenhum benefício de consolidação do servidor. Como a Microsoft IT implanta hosts de virtualização mais poderosos, o número de cargas de trabalho de servidor que ela não pode virtualizar devido aos requisitos de hardware deve diminuir.
  • Cargas de trabalho de servidor que fornecem consolidação nativa. O objetivo da iniciativa RightSizing é assegurar que todos os servidores, físicos ou virtuais, sejam adequadamente utilizados. Algumas funções de servidor, tais como os servidores de Caixa de Correio do SQL Server ou do Exchange Server 2007, podem ser completamente utilizadas pela implantação adicional de instâncias do SQL Server ou movendo-se mais caixas de correio para o servidor. Em alguns casos, as cargas de trabalho de servidor podem ser virtualizadas em um cenário, mas não em outro. Por exemplo, a domínio Redmond contém cerca de 70.000 usuários. A Microsoft IT não virtualizou um controlador de domínio no domínio Redmond, mas tem implantado menos e mais poderosos servidores como controladores de domínio. Em um domínio menor ou em uma implantação de escritório remoto, a Microsoft IT implanta controladores de domínio como máquinas virtuais.
  • Exclusivos requisitos de hardware. Um número menor de servidores tem específicos requisitos de hardware que tornam a virtualização de servidor impossível. Por exemplo, alguns servidores requerem um módulo de segurança de hardware, um conector de armazenamento especializado ou uma conexão com uma rede de voz.
  • Requisitos legais ou regulamentares. Os requisitos legais ou regulamentares não impediram a Microsoft IT de virtualizar ou consolidar uma específica função de servidor, mas ela está preparada para implantar os servidores como servidores físicos se for necessário.

Armazenamento

Um dos componentes mais críticos para assegurar o desempenho ideal para qualquer instância do SQL Server é garantir que o sistema de armazenamento tenha o tamanho e a configuração correta. O hardware de armazenamento deve fornecer entrada/saída (I/O) suficiente e capacidade de armazenamento para atender as necessidades atuais e futuras das máquinas virtuais planejadas. Adicionalmente, você deve seguir as práticas recomendadas para configurar os discos para os logs transacionais e armazenamento de banco de dados.

Você pode configurar as máquinas virtuais Hyper-V para usarem: discos virtuais de expansão dinâmica, discos virtuais fixos ou discos pass-through:

Você pode configurar as máquinas virtuais Hyper-V para serem usadas dinamicamente, expandindo os discos virtuais, os discos virtuais fixos ou os discos pass-through:

Discos pass-through. Um disco pass-through usa uma partição do disco físico para armazenar os dados ao invés de usar um arquivo .vhd. Isso significa que um disco pass-through ignora a camada de sistema de arquivo NTFS na partição pai e a máquina virtual acessa diretamente o disco rígido. A Microsoft IT descobriu que os discos pass-through fornecem o melhor desempenho para os servidores baseados em SQL Server que são intensamente usados.

Discos rígidos virtuais fixos. Um disco rígido virtual fixo fornece armazenamento usando um arquivo .vhd. O tamanho do arquivo .vhd é especificado quando o disco rígido é criado e essa quantidade de espaço é reservada na unidade de disco rígido físico. O tamanho do arquivo .vhd permanece o mesmo, independentemente da quantidade de dados armazenados. A Microsoft IT descobriu que os discos rígidos virtuais fixos fornecem um desempenho que é apenas ligeiramente menor que os discos pass-through. Uma vantagem de usar os arquivos .vhd é que ele torna a máquina virtual mais portátil, de modo que o administrador pode mover o disco virtual de um host de virtualização para outro.

Discos rígidos virtuais dinâmicos. Os discos virtuais dinâmicos fornecem a capacidade de armazenamento conforme o necessário para o armazenamento de dados. O tamanho do arquivo .vhd é menor quando o disco é criado e, depois, cresce a medida que os dados são adicionados a ele. Quando você escreve para um bloco pela primeira vez, a pilha de virtualização deve alocar espaço dentro do arquivo .vhd para o bloco e, depois, atualizar os metadados. Adicionalmente, toda vez que um bloco existente é referenciado, o mapeamento de bloco deve ser consultado nos metadados. Isso aumenta tanto o número de I/Os de discos para as atividades de leitura e escrita como o uso da CPU. Devidos a essas limitações de desempenho, a Microsoft IT não recomenda os discos virtuais dinâmicos para o armazenamento nos servidores baseados em SQL Server.

Você pode configurar as máquinas virtuais Hyper-V para usar controladores de disco rígido de interface IDE e SCSI. As máquinas virtuais Hyper-V devem usar um controlador IDE para as partições de inicialização e de sistema e a Microsoft IT recomenda usar controladores SCSI sintéticos para os discos que contêm os logs e os bancos de dados do SQL Server.

CPU

Um segundo componente crítico no planejamento do desempenho do SQL Server são as CPUs. A Microsoft IT descobriu que pode atingir a mesma produtividade em uma máquina virtual que a existente em um hardware físico com apenas um ligeiro aumento de utilização da CPU. Ao criar um host de virtualização que executará múltiplas máquinas virtuais SQL Server, você deve assegurar que os recursos da CPU física cumulativos do host são adequados para atender as necessidades de todas as máquinas virtuais convidadas (guest). Assim como os cenários onde você está implantando múltiplas instâncias do SQL Server em um servidor físico, a única maneira de garantir o desempenho adequado é testar a implantação a fundo. A Microsoft descobriu as seguintes limitações baseadas em CPU ao executar o SQL Server em uma máquina virtual:

Você pode atribuir até quatro núcleos da CPU a uma máquina virtual quando usar o Hyper-V. Devido a esta limitação, você deve executar o SQL Server nas máquinas virtuais convidadas (guest) Hyper-V somente se elas não necessitarem de mais de quatro CPUs para satisfazer o desempenho de suas cargas de trabalho.

Você não deve sobrecarregar os recursos da CPU quando o número total de núcleos da CPU lógica configurados em todas as máquinas virtuais convidadas (guest) for maior que a número real de núcleos da CPU física que o servidor tem disponível. A Microsoft descobriu que a sobrecarga dos núcleos da CPU pode afetar significativamente o desempenho do servidor quando todas as máquinas virtuais são intensamente carregadas.

As cargas de trabalho que exigem muito da rede resultarão em uma maior sobrecarga da CPU e em mais impacto no desempenho de uma máquina virtual.

Monitoramento

Para dimensionar corretamente o tamanho do hardware virtual para o SQL Server, você precisará monitorar o servidor quando você adicionar máquinas virtuais. Monitorar os servidores em um ambiente virtual é diferente do que monitorar os servidores executados em um hardware físico:

Ao monitorar a utilização da CPU em um servidor que está executando o Hyper-V, você deve usar os contadores de Processador do Hyper-V expostos na partição raiz. O Hyper-V expõe três contadores primários que relatam a utilização da CPU:

Processador Lógico do Hypervisor do Hyper-V: Fornece o total mais exato dos recursos de CPU que todos os servidores físicos consomem.

Processador Virtual de Raiz do Hypervisor do Hyper-V: Fornece a medida mais exata dos recursos de CPU que a partição raiz consome.

Processador Virtual do Hypervisor do Hyper-V: Fornece a medida mais exata do consumo de CPU para as específicas máquinas virtuais convidadas (guest).

Medir o desempenho de Entrada/Saída é diferente dependendo da configuração de armazenamento da máquina virtual convidada (guest):

Usar os contadores de disco lógico e físico na máquina virtual convidada (guest) para monitorar o desempenho de Entrada/Saída.

Se o armazenamento de máquina virtual convidada (guest) for configurado como pass-through, o disco estará offline no nível da partição raiz e não aparecerá nos contadores de disco lógico dentro da partição raiz. Para monitorar o desempenho dos discos pass-through na partição raiz, use os contadores de disco físico.

Quando as máquinas virtuais convidadas (guest) são configuradas para usar os arquivos .vhd para armazenamento e esses arquivos residem nos discos físicos comuns, o monitoramento dos contadores de disco da máquina virtual convidada (guest) fornecerá os detalhes sobre a Entrada/Saída para o específico disco rígido virtual. Monitorar o volume que contém todos os arquivos .vhd na partição raiz fornecerá os valores agregados para todas as Entradas/Saídas emitidas contra o disco ou o volume.

Criando Máquinas Virtuais para o Exchange Server

Você pode usar um ambiente de virtualização para executar todas as funções de servidor do Exchange Server 2007, exceto para a função de Mensageria Unificada. A Microsoft IT acabou de iniciar a virtualização dos servidores Exchange Server 2007, mas vem testando a virtualização com os servidores Exchange Server 2007 em um ambiente de teste e de Teste de Aceitação do Usuário (UAT). A Microsoft IT implantou pelo menos um servidor executando cada uma das funções de servidor do Exchange Server 2007 na produção, incluindo um servidor de caixa de correio que hospeda 1.500 caixas de correio. A Microsoft IT configurou todas as máquinas virtuais Exchange Server, exceto o servidor de caixa de correio, como máquinas virtuais altamente disponíveis usando o clustering failover do Windows Server 2008.

A Microsoft IT desenvolveu as seguintes orientações com base em sua experiência na virtualização de servidores Exchange:

Padrões de tamanho do servidor. Executar o Exchange Server 2007 Service Pack 1 (SP1) em uma máquina virtual convidada (guest) não muda os requisitos de projeto do Exchange Server através de uma perspectiva da aplicação. A máquina virtual convidada (guest) do Exchange Server ainda deve ter o tamanho apropriado para controlar a carga de trabalho. Você deve projetar a caixa de correio, o Acesso para Cliente e as funções de transporte do servidor para obter desempenho, capacidade e confiabilidade. Adicionalmente, você deve os alocar recursos que são insuficientes para controlar a carga de trabalho com base nos perfis de uso do sistema.

Armazenamento. O armazenamento que a máquina convidada (guest) Exchange Server usa pode ser: unidades de discos rígidos virtuais fixos, armazenamento SCSI pass-through ou armazenamento Internet SCSI (iSCSI).

Como nos servidores baseados em SQL Server, o armazenamento pass-through fornece o melhor desempenho. A Microsoft IT não suporta os discos virtuais de expansão dinâmica e as unidades diferenciais para os servidores Exchange.

O sistema operacional para uma máquina virtual convidada (guest) Exchange deve usar um disco de tamanho fixo que tenha um tamanho mínimo igual a 15 GB, mais o tamanho da memória virtual que é alocada para a máquina convidada (guest). Este requisito é necessário para levar em conta os requisitos de sistema operacional e de disco de arquivo de paginação. Por exemplo, se for alocado 16 GB de memória à máquina convidada (guest), o espaço mínimo em disco necessário para o sistema operacional é de 31 GB.

Os números de unidades lógicas (LUNs) separados nas matrizes RAID (Redundant Array of Independent Disks) devem ser usados para o sistema operacional host, para cada disco de sistema operacional convidado (guest) e em todos os armazenamentos de máquina virtual. Como nos servidores físicos, você deve criar LUNs separados para cada banco de dados e conjunto de arquivos de log transacional.

Instantâneos. O Hyper-V suporta os instantâneos de máquinas virtuais, que capturam um estado da máquina virtual enquanto ela esta sendo executada. Este recurso permite que um administrador obtenha múltiplos instantâneos de uma máquina virtual e, depois, reverta a máquina virtual em qualquer um dos instantâneos anteriores. Entretanto, os instantâneos de máquina virtual não são suportados pelas aplicações e o uso deles pode causar consequências indesejadas e inesperadas para uma aplicação de servidor que mantém os dados de estado, tal como o Exchange Server. Portanto, a Microsoft IT não suporta fazer instantâneos de máquina virtual de uma máquina virtual convidada (guest) Exchange.

Configuração de CPU. O Hyper-V permite que você especifique o número de processadores virtuais que você deve alocar para cada máquina virtual convidada (guest), com um máximo de quatro processadores virtuais. O Exchange suporta uma proporção de processadores virtuais para processadores lógicos não superior a 2 para 1. Por exemplo, um sistema com dois processadores que usa processadores quad-core contém oito processadores lógicos em um sistema host. Em um sistema com esta configuração, não aloque mais de 16 processadores virtuais para todas as máquinas virtuais convidadas (guest) combinadas. Se as CPUs para todas as instâncias de máquinas virtuais são intensamente utilizadas, a sobrecarga nas CPUs irá afetar significativamente o desempenho. Nesses cenários, não atribua mais processadores virtuais às máquinas virtuais do que o número de núcleos de processador no computador host.

Alta disponibilidade para os servidores Exchange. O Exchange Server 2007 fornece várias opções para a alta disponibilidade. Para as funções de servidor, tais como servidores de Acesso Cliente, servidores de Transporte de Hub e servidores de Transporte de Borda, um administrador pode implantar múltiplos servidores para cada função a fim de assegurar que a função de servidor esteja disponível se uma única falha de servidor ocorrer. Para os servidores de caixa de correio, o Exchange Server 2007 fornece várias soluções de clustering do Exchange, tais como Replicação Contínua em Cluster (CCR) e clusters de cópia única (SCC). Essas soluções fornecem várias opções para o failover automático se ocorrer uma falha de servidor.

Com o Hyper-V, um administrador pode tornar as máquinas virtuais altamente disponíveis, implantando-as em um cluster failover. Você pode usar o clustering failover para tornar altamente disponíveis as máquinas virtuais que executam a função de servidor Acesso Cliente, a função de servidor de Transporte de Hub e a função de servidor de Transporte de Borda.

Você não pode combinar as opções de alta disponibilidade de Caixa de Correio com o clustering failover. Por exemplo, um administrado pode implantar um servidor de Caixa de Correio em uma máquina virtual e, depois, configurar as máquinas virtuais para usarem o CCR ou o SCC. Entretanto, você não pode configurar as máquinas virtuais como máquinas virtuais altamente disponíveis em um cluster failover.

Isso significa que você precisa escolher entre o clustering failover do Hyper-V e uma das opções de clustering de servidor de caixa de correio ao permitir a alta disponibilidade para os servidores de caixa de correio. Como regra geral, a Microsoft IT recomenda as opções de clustering do Exchange porque, dependendo de quais opções de clustering failover do Exchange você escolher, você pode obter as vantagens dos recursos, tais como ter duas cópias do banco de dados da caixa de correio e o clustering com suporte à aplicação. O clustering failover não pode detectar se há um problema com o Exchange, somente no sistema operacional de máquina virtual.

Desempenho de servidor de caixa de correio. O mais comum gargalo de desempenho para os servidores de Caixa de Correio são a Entrada/Saída de disco e a Entrada/Saída de rede. Executar os servidores em um ambiente de máquina virtual significa que as máquinas virtuais têm que compartilhar sua largura de banda de Entrada/Saída com a máquina host e com os outros servidores de máquinas virtuais implantados no mesmo host. Se uma única máquina virtual for executada no servidor físico, a Entrada/Saída de disco e a Entrada/Saída de rede disponíveis para a máquina virtual são quase equivalentes a Entrada/Saída disponível para um servidor físico. Entretanto, um servidor de caixa de correio intensamente utilizado pode consumir toda a largura de banda de Entrada/Saída disponível, o que torna impraticável hospedar máquinas virtuais adicionais no servidor físico.

 

Fonte: http://technet.microsoft.com/pt-br/library/ff715344.aspx

Tags: , ,
Comentário

Virtualização: 10 principais práticas recomendadas de virtualização

Filed under: ALL, EntrevistasDeixe um comentário

A virtualização passou de uma tecnologia de laboratório de testes para um componente base em data centers e infraestruturas de área de trabalho virtual. Nessa caminhada, a virtualização ocasionalmente recebeu um cartão de “liberdade” e não teve o mesmo grau de práticas de TI eficientes aplicado às implantações virtuais, como se esperaria dos computadores físicos reais. Isso é um erro.

Se você tivesse um orçamento ilimitado, deixaria qualquer pessoa da sua organização solicitar um ou dois novos sistemas e conectá-los à rede? Provavelmente não. Quando a virtualização entrou em cena pela primeira vez, a proliferação ilimitada e não gerenciada foi controlada pelo fato de que, na realidade, havia um custo associado aos aplicativos hipervisores. Isso proporcionou uma linha de defesa contra máquinas virtuais não autorizadas na sua infraestrutura. Isso não acontece mais.

Existem várias tecnologias de hipervisor gratuitas disponíveis, tanto para hipervisores Tipo 1 quanto para Tipo 2. Qualquer pessoa da sua organização que tenha a mídia de instalação do Windows e algum tempo livre pode criar um novo sistema na sua rede. Quando as máquinas virtuais são implantadas sem que os integrantes certos da equipe tomem conhecimento, isso significa que um novo sistema pode se tornar um atrativo indesejado para novas vulnerabilidades de dia zero, prontas para tomar outros sistemas da sua rede que são críticos para os negócios.

Os sistemas virtuais nunca devem ser subestimados ou considerados garantidos. As infraestruturas virtuais precisam da aplicação das mesmas práticas recomendadas dos sistemas físicos reais. Vamos discutir aqui as 10 principais práticas recomendadas que sempre devem estar em mente quando você trabalhar com sistemas virtuais.

1. Entenda as vantagens e as desvantagens da virtualização

Infelizmente, a virtualização se tornou uma solução para tudo que aflige você. Para recriar sistemas com mais rapidez, virtualize-os. Para renovar antigos servidores, virtualize-os. Certamente, existem muitos papéis que a virtualização pode e deve desempenhar. No entanto, antes de migrar todos os seus antigos sistemas físicos para sistemas virtuais, ou implantar uma nova frota de servidores virtuais para uma carga de trabalho específica, você deve ter certeza de que compreende as limitações e as realidades da virtualização, em termos de uso de CPU, memória e disco.

Por exemplo, quantos convidados virtualizados pode haver em um determinado host e quantas CPUs ou núcleos, espaço de RAM e disco cada um está consumindo? Você considerou os requisitos de armazenamento — mantendo o armazenamento do sistema, de dados e de log separados como seria em um servidor SQL físico? Também é preciso considerar backup, recuperação e failover. A realidade é que as tecnologias de failover para sistemas virtuais são, de muitas maneiras, tão potentes e flexíveis quanto o failover para sistemas físicos, talvez ainda mais. Na realidade, isso depende do hardware do host, do armazenamento e — acima de tudo — da tecnologia de hipervisor utilizada.

2. Compreenda os diferentes afunilamentos de desempenho de diferentes funções do sistema

É necessário considerar o papel de cada sistema virtual ao implantá-los, como acontece com os servidores físicos. Ao criar servidores para serem servidores SQL, Exchange ou IIS, você não utilizaria exatamente a mesma configuração para cada um deles. Os requisitos de CPU, disco e armazenamento são extremamente diferentes. Ao tirar do escopo as configurações de sistemas virtuais, é necessário fazer a mesma abordagem de design das implantações de sistemas físicos. Para convidados virtuais, isso significa dar um tempo para entender as opções de servidor e armazenamento e sobrecarregar um host com convidados demais, ou configurar cargas de trabalho conflitantes quando a CPU e o disco podem estar em desacordo.

3. Você não pode priorizar demais o gerenciamento, a aplicação de patches e a segurança dos sistemas virtuais

Dois novos surtos de vírus acabaram de ocorrer na semana passada. A realidade é que muitos sistemas virtuais não recebem os patches, recebem com atraso ou não são gerenciados adequadamente, ou são ignorados da perspectiva de uma diretiva de segurança. Estudos recentes apontam para a significativa responsabilidade das unidades flash USB na propagação de vírus — especialmente ameaças direcionadas. A realidade é que existem sistemas físicos demais que não possuem os patches e são inseguros. Os sistemas virtuais — especialmente os não autorizados — representam uma ameaça ainda maior. A capacidade de desfazer alterações no sistema aumenta o problema, pois torna a remoção de patches e assinaturas de segurança fácil demais — mesmo que não sejam intencionais. Limite a proliferação de máquinas virtuais e inclua todas elas nas suas infraestruturas de patches, gerenciamento e diretiva de segurança.

4. Não trate os sistemas virtuais de forma diferente dos sistemas físicos, a não ser que isso seja absolutamente necessário

O último ponto deve ter dado o que pensar, mas merece ser repetido. Você não deve tratar os sistemas virtuais de forma diferente dos sistemas físicos. De fato, quando se trata de sistemas não autorizados, convém tratá-los como hostis. Eles podem se tornar a ponte usada pelo malware para se infiltrar na sua rede.

5. Faça backup cedo e com frequência

Os sistemas virtuais, assim como os sistemas físicos, devem ser incluídos no seu regime de backup. Você pode fazer backup da máquina virtual inteira ou dos dados que ela contém. A última abordagem pode ser bem mais valiosa e muito mais flexível. Fazer backup da máquina virtual inteira leva um tempo considerável e você tem poucas opções para recuperação rápida. Ao proteger os seus sistemas físicos de missão crítica, verifique se você pode recuperá-los rapidamente e de maneira confiável também. É muito frequente fazer o backup dos sistemas, mas não verificá-lo, o que resulta em nenhum backup.

6. Tenha cuidado ao usar qualquer tecnologia de “desfazer”

As tecnologias virtuais frequentemente incluem a tecnologia de “desfazer”. Use-a com muito cuidado. Esse é outro motivo para certificar-se de que todos os sistemas virtuais estão incluídos no seu trabalho de governança de TI. Com muita facilidade, um disco é revertido para um dia ou uma semana atrás. Isso poderia expor novamente qualquer vulnerabilidade para a qual você aplicou um patch, e poderia se tornar o gateway para infectar o resto da sua rede.

7. Entenda a sua estratégia de failover e de aumento da capacidade

A virtualização frequentemente é considerada o veículo para conseguir failover e aumento da capacidade perfeitos. Isso depende inteiramente do hardware, do hipervisor, da rede e do armazenamento. Você deve trabalhar com todos os seus fornecedores para compreender até que ponto cada função que você virtualizou pode ser bem-dimensionada por convidado do servidor. Também é necessário saber até que ponto o failover é possível; especificamente, quanto tempo os convidados podem ficar indisponíveis durante um failover e qual pode ser a sua capacidade de resposta e a sua disponibilidade durante a troca.

8. Controle a proliferação de máquinas virtuais

Este é um aspecto crítico e, ainda assim, um dos mais difíceis de impor. Existem vários hipervisores que são totalmente gratuitos e, mesmo com um hipervisor comercial, é muito fácil “clonar” um convidado. Isso pode resultar em uma infinidade de problemas:

  • Segurança: novos sistemas ou sistemas clonados incorretamente podem resultar em sistemas protegidos inadequadamente ou podem causar conflitos com o sistema do qual foram “clonados”.
  • Gerenciamento: conflitos de clonagem podem levar a sistemas que não são gerenciados de acordo com a diretiva, não recebem os patches e resultam em conflitos ou instabilidade.
  • Legal: até pouco tempo, o Windows nem sempre podia determinar se estava sendo virtualizado ou, mais importante, se tinha sido silenciosamente duplicado como um novo convidado (uma ou muitas vezes). Com muita frequência, tem havido uma proliferação de convidados devido à facilidade de duplicação, além de uma atitude mais indiferente em relação à pirataria. Essa é uma atitude perigosa e deve ser bloqueada pela sua organização de TI, no mínimo por meio de diretiva.

É muito fácil clonar sistemas. Verifique se a sua organização de TI conhece os riscos da duplicação indevida de convidados. Implante as novas máquinas virtuais somente em conformidade com as mesmas diretivas que você utilizaria para os sistemas físicos.

9. Centralize seu armazenamento

Uma causa importante de proliferação de máquinas virtuais são os hosts fisicamente espalhados em toda a sua organização. Se você visse um funcionário ir até um servidor físico com um disco rígido externo e um CD, iria imaginar o que estaria acontecendo. Com os sistemas virtuais, copiar o convidado inteiro (ou dois deles) é muito fácil. Essa facilidade de duplicação é o motivo principal da proliferação de máquinas virtuais. Isso também pode resultar na perda de dados. Se você não puder proteger fisicamente as máquinas virtuais, elas deverão ter seus discos virtuais ou físicos criptografados para garantir que não haja perda de dados confidenciais. Colocando os hosts e o armazenamento da máquina virtual em locais centralizados e seguros, você pode minimizar tanto a proliferação quanto a potencial perda de dados.

10. Entenda o seu perímetro de segurança

Se você desenvolve softwares ou gerencia sistemas, a segurança deve fazer parte da sua estratégia diária. Ao considerar como gerenciar e aplicar os patches nos sistemas físicos, sempre inclua os sistemas virtuais também. Se você estiver implantando diretivas de senha, elas estão sendo impostas também aos sistemas virtuais? O risco está aí — esteja preparado para responder como os sistemas virtuais serão controlados para que o risco de serem clonados possa ser atenuado. É preciso tratar as máquinas virtuais como hostis, a não ser que elas façam parte do seu plano de governança de TI. Muitos hipervisores agora incluem uma versão gratuita ou uma versão de avaliação de software antivírus, devido às ameaças potenciais à segurança entre o host e os convidados.

Aqui-agora e daqui para o futuro

A virtualização promete tornar-se um componente de TI ainda mais significativo no futuro. A melhor coisa a fazer é encontrar uma maneira de trabalhar com ela e gerenciá-la hoje, em vez de ignorá-la e esperar que ela gerencie a si própria. É necessário impor às VMs as mesmas diretivas que você impõe aos sistemas físicos. Saiba onde a virtualização é usada na sua organização e destaque para a sua equipe os riscos de tratar as máquinas virtuais de forma diferente dos sistemas físicos.

Wes Miller

“Diretor de Gerenciamento de Produtos na CoreTrace (CoreTrace.com) em Austin, Texas. Já trabalhou na Winternals Software e como gerente de programa da Microsoft. Miller pode ser contatado em wm@getwired.com.”

Fonte: http://technet.microsoft.com/pt-br/magazine/gg131921.aspx

Tags: ,
Comentário