簡化企業IT密技(4)企業導入虛擬化後的配套及管理

當虛擬化導入完成後，企業仍需要注意相關的配套設計及管理。從虛擬化技術、方法程序之外，讓我們再進一步談談虛擬化建置、維護相關的經驗實務。

專注邏輯層面的管理維護
難道導入虛擬化之後就高枕無憂嗎？或真的能帶來這麼多好處嗎？

筆者認為，導入虛擬化後的確會改變既有工作模式，當實體性、基礎性的維護管理心力減少後，資管單位及人員其實應就有餘裕專注在更高層次的管理維護，即是邏輯性、虛擬對應層面的管理維護。

導入虛擬化完成後，軟體與硬體間不再是必然的一對一關係，有可能是一對多、多對一的關係，因此，資管人員必須更確切掌握新的軟、硬體對應關係，且必須盡可能完整、細膩地掌握一個應用程式使用到哪幾個資料庫、在哪一個作業系統上執行、作業系統的執行使用的CPU個數、使用的記憶體與硬碟的空間、使用了介面卡擴充槽的數量、IP位址數量與網路頻寬等，都要仔細查驗。

虛擬化之後帶來的軟、硬體對應關係多元化，並不是靠肉眼就能了解脈絡，必須要有管理工具的輔助，才能加速釐清新的資訊對應架構及環境，且虛擬化管理工具必須盡可能自動化地偵測與描繪出新的資訊對應構圖，同時提供簡化、單一的主控臺（Single Console），讓管理者能集中、一致、即時地掌握整體虛擬化環境。

掌握單位部門的存取運用
在過去未實現虛擬化之前，企業內各部門擁有專屬的伺服器、儲存設備，因此要檢驗並且知道一個部門的資訊成本開銷相當容易，但是部門間常為了風險考量，必須購置較高性能與充沛資源的伺服器與儲存設備，如此一來，運算力、儲存空間專屬於各部門，且部門間無法彈性挪調、借用硬體資源；此外，各部門都可能為了偶然一次的可能尖峰，盡可能大張旗鼓地購置硬體資源，這樣的寬裕性卻造成企業整體開銷的負擔。透過導入虛擬化就可以解決此種「各部門資源不能相救」的問題，進而降低企業總體成本。

雖然導入虛擬化可以協助企業內各部門間即時、彈性地挪借資訊資源，不過各部門使用了的資訊資源數量、代表的資訊成本數值，以及對業績的貢獻度等等，同樣成為資訊單位掌握各部門資源運用情形的一大挑戰。

這樣的問題，目前已有相對應的資訊管理工具可以提供協助，以方便、清晰了解各資訊資源的使用。這類的資訊管理工作具體作法，正如為各部門、各工作小組設置了各種的電錶、水錶，協助資訊部門記錄各個部門這個月使用的電量，那個工作小組上個月用的水量，確切記錄與掌握各單位的資訊成本支出；同理，虛擬化管理軟體能夠以某部門、某小組、某成員為帳號單位，然後統計該帳號本日、本周使用了的CPU運算時間、記憶體空間與硬碟空間，網路的使用進出量等等。凡此種種的工作項目和量化資料在專業術語上有個統稱，即企業運算工作量管理（Enterprise WorkLoad Management，EWLM）。

雖然各部門、各單位的運算用量記錄相當重要，但其實還有兩點必須留意：一是資源的虛擬化程度，許多技術方案業者多能提供CPU、記憶體、硬碟等資源的虛擬化，卻不容易做到I/O層面的虛擬化，即是伺服器機內的擴充槽虛擬化、介面卡虛擬化、以及MAC位址、IP、頻寬等的虛擬化，在虛擬化程度不完全的情況下，資源挪調與資源用量等記錄，意義性就會不足。此點考驗到虛擬化導入、布建時的技術評估與選擇。

另一則是運算用量的偵測作法，多數業者提供的資源用量記錄方式，是在每一個系統上（甚至是每一個虛擬化系統上）安裝一個代理程式（Agent），由代理程式反覆偵測系統的用量狀態，並定期將測得的資料回報給管理主控端。

代理程式手法的資源用量偵測雖然相當常見，卻不是最理想的用量記錄管理方案。因為代理程式需要逐一派送安裝，安裝後難免也要更新升級，這又必須經過逐一派送、安裝、測試等繁複程序，如此等同恢復到過去逐臺實機性的辛勞管理，無法精省資管心力。因此，真正理想的方案是不需要安裝任何代理程式，就可以偵測、彙整各虛擬系統的資源用量資訊。

強化資安存取權限管制
完成虛擬化導入後，過去各部門自屬的應用程式系統，如今可能統合到同一臺伺服器的同一個作業系統上執行，如此有可能造成跨部門的逾越存取問題，使A部門的商務資訊被B部門所得知，或者發生越級性的資料外洩。如何解決這樣的問題呢？筆者強烈建議，虛擬化完成後必須強化目錄服務、存取權限等方面的管理，建議最好能進行歸納統整、訂立出全企業一致的權限設計，並搭配使用系統日誌及存取記錄等機制，以利日後稽核之用。

同樣的，實現虛擬化後很可能多個部門單位共用1臺磁帶櫃（Tape Library）設備，各部門所屬的人員都可能到該磁帶櫃系統上取走自有單位所屬的資料備份磁帶，若發生誤取，則該部門的商務資訊就有可能洩漏；倘若改由資管單位以單一窗口方式進行管理，並由資管人員統一將各部門備份完的資料磁帶分發到各部門，也一樣有可能發生誤配發的情況。所以，為了商務資訊的安全防護，建議在資料寫入磁帶前就進行加密處理，之後各部門再用自屬的金鑰或相關身份辨識，解密磁帶內容。

適當分配、調撥網路資源
徹底將資訊環境虛擬化，怎樣才算數？當然網路資源也要列入，也就是說，一片網卡可以虛擬成三、五張網卡，然後配分頻寬，舉例來說，若一片GbE網卡有1000Mbps的傳輸率，虛擬化應該要可以做到：A伺服器配一片網卡，頻寬100Mbps，B伺服器兩片網卡，每張頻寬200Mbpps，共配分到400Mbps，以這種方式進行硬體資源調撥、分配。

各部門還是要知道自己用了多少內外頻寬（資源）。畢竟頻寬也是成本，內部網路是資源，外部網路也是，且連外頻寬每月要付錢給ISP業者，因此兩者都要能分配、調撥才好。目前大多數的虛擬化，都是運算資源或儲存資源的虛擬化，至於通訊資源（網路、網路頻寬）等，更廣義地講是指I/O這一塊。給筆者認為，目前企業對於網路的依賴日深，對於網路頻寬資源的虛擬化需求仍然不高。

累積豐富的經驗實務，隨需因應
虛擬化的好處目前無法只靠買單一產品就能做到，除了要審慎評估技術功效、講究實現的方法程序外，需要全面的評估、規畫和調整，更重要的是經驗實務，唯有老道、豐富的經驗實務，才能明確了解那個環節適合使用何種功效技術，那個情境場合適合運用何種方法程序，且在導入完成後，也能在後續運用、管理、維護上給予最佳的提點，以及預先性的建議，否則見樹不見林，IT最佳化難以竟全功。

《作者簡介》林俊吉
IBM系統暨科技事業處系統架構顧問，畢業於美國伊利諾大學，並獲得會計資訊碩士學歷。主要負責臺灣地區IBM系統產品跨平臺系統架構規畫業務，進入IBM已達25年。負責支援的系統產品涵蓋大型系統軟硬體、高階儲存體系統軟硬體、中文印表系統軟硬體以及跨平臺系統架構規畫。此外，支援領域則包括系統提升安裝規畫，系統調適、容量成長規畫，與系統整合。