محمد نصیری
بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

10 ریزه کاری در مجازی سازی که هر کسی نمی داند

زمانیکه شما تصمیم می گیرید به عنوان یک توسینسویی یک پروژه مجازی سازی را انجام دهید ، مطمئن شوید که در همان مراحل اولیه مجازی سازی در خصوص تهیه و خرید سخت افزارهای مورد نیاز مطمئن شوید که سخت افزارها جوابگوی کار شما تا مدت ها خواهند بود. شما باید همیشه بیشتر از حدی که منابع فعلی وجود دارند برای بحث مجازی سازی منابع سخت افزاری پیشبینی کنید. دقت کنید که در ساختار مجازی سازی یک سرور سخت افزاری دیگر به تنهایی یک سرور نیست و درون خودش دارای تعدادی ماشین مجازی است که هر کدام به نوبه خودش از منابع سخت افزاری استفاده می کنند.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

ریزه کاری شماره 1 : ظرفیت های سخت افزاری را تخمین بزنید

همیشه پیشبینی کنید که این سازمان در سال یا سالهای آینده چقدر رشد و پیشرفت خواهد داشت ؟ چه مقدار نیازهای سخت افزاری آن در سالهای آینده اضافه خواهد شد؟ یکی از مهمترین مسائل در تعیین سخت افزار مورد نیاز بحث میزان فضای ذخیره سازی است که مورد نیاز خواهد بود ، اکثر کارشناسان متاسفانه بر حسب ظرفیت فعلی برآوردهای خودشان را انجام می دهند اما به عنوان یک کارشناس مجازی سازی بایستی بدانید که حداقل دو برابر ظرفیت ذخیره سازی پیشبینی شده بایستی ظرفیت ذخیره سازی داشته باشید.

سخت افزارهای مورد نیاز برای مجازی سازی

شما هیچوقت نمی توانید پیشبینی کنید که یک سرور در آینده چه مقدار هارد دیسک نیاز خواهد داشت و ممکن است سروری که در حال حاضر تنها چند گیگابایت ظرفیت دارد در ماه آینده چند صد گیگابایت ظرفیت داشته باشد. از طرفی دقت کنید که فضای ذخیره سازی فقط قرار نیست برای ماشین های مجازی استفاده شود و سرویس های دیگر نیز از این فضا استفاده می کنند. از بابت به وجود نیآمدن Bottleneck ها مطمئن شوید ، شما ممکن است یک سویچ با سرعت 10 گیگ و یک کارت شبکه با ظرفیت 10 گیگ پیشبینی کنید.

اما ممکن است سرورهای شما توانایی پشتیبانی از این ظرفیت را نداشته باشند ، بنابراین دقیقا ظرفیت ها را پیشبینی کنید ، همیشه ظرفیت پردازنده ها را در زمان Peak زمان کاری در نظر بگیرید نه در زمان استفاده عادی از سرور ، اینکار باعث می شود در زمان فشار کاری سرورها منابع پردازشی مناسبی را بتوانید به آنها اختصاص بدهید. ظرفیت ذخیره سازی ، تعداد هسته های پردازنده ، نوع کابل شبکه ، نوع کارت شبکه ، نوع سویچ شبکه بایستی قبل از پیاده سازی پروژه مجازی سازی به خوبی برآورد و پیشبینی شود.

ریزه کاری شماره 2 : حتما روی VM ها نظارت کنید

برخی از متخصصان عزیز هستند که زمانیکه از آنها یک ماشین مجازی خواسته می شود آنرا ایجاد و راه اندازی می کنند و بعد از مدتی از وجود چنین ماشین مجازی در مجموعه خودشان هم خبر ندارند. همیشه به عنوان یک توسینسویی باید بر روی تمامی ماشین های مجازی که در مجموعه ایجاد می شود از بدو ایجاد تا لحظه مرگ نظارت داشته باشید . شما باید دائما ماشین های مجازی را مانیتور یا نظارت کنید ، بایستی بدانید ماشین مجازی شما چقدر از فضای هارد دیسک سرور را اشغال کرده است ، این ماشین مجازی چقدر از منابع پردازنده را در اختیار گرفته است ، چقدر ترافیک ورودی و خروجی به این ماشین مجازی است ، چه تعداد Snapshot برای این ماشین مجازی گرفته شده است و بسیاری از پارامترهای دیگر بایستی نظارت و مانیتور شوند.

مانیتورینگ ماشین های مجازی با Veeam One


در واقع هر ماشین مجازی یک چرخه حیات یا Life Cycle دارد که به عنوان یک مدیر مجازی سازی بایستی در جریان این چرخه باشید تا در صورت نیاز به ماشین مجازی خودتان برسید ممکن است ماشین های مجازی رها شده به خودی خود در مجموعه شما مشکلاتی ایجاد کنند ، خطاهای زیادی که بر روی این سرورها ممکن است به وجود بیاید قابلیت این را دارند که کل مجموعه مجازی سازی شما را تحت تاثیر بگذارند.

نرم افزارهای مانیتورینگ تخصصی وجود دارند که صرفا برای مصارف مانیتورینگ مجازی سازی مورد استفاده قرار می گیرند و می توانند به شما در صورت بروز هرگونه مشکلی مطلع کنند . هیچوقت ماشین های مجازی خود را به حال خود رها نکنید و هرگونه اطلاعات روزمره ای را در این خصوص دریافت کنید. نرم افزارهای مجازی سازی مثل VMware این قابلیت را دارند که با استفاده از نام کاربری و رمز عبور root اینگونه اطلاعات را در اختیار نرم افزارهای مانیتورینگ قرار بدهند. نرم افزارهای VeemOne و vCOPS از جمله نرم افزارهای مانیتورینگ تخصصی سرویس های مجازی سازی هستند.

ریزه کاری شماره 3 : همه چیز را مجازی سازی نکنید

یکی از تصورات اشتباهی که بین کارشناسان فناوری اطلاعات جا افتاده است این است که همه چیز را باید مجازی سازی کرد ! هر چیزی که قابلیت مجازی سازی شدن دارد باید مجازی سازی شود ، اما این دیدگاه برای یک ITPRO درست نیست ، باید بدانید و درک کنید که در بسیاری از موارد ما نباید از مجازی سازی استفاده کنیم ، برخی اوقات سرورهایی وجود دارند که آنقدر ترافیک و Load بر روی سخت افزار دارند که با مجازی سازی آن شما منابع را از سرور می گیرید و بعضا Load بیشتری بر روی آن ایجاد می کنید .

اما این فقط دلیل قانع کننده ای نیست ، دلایل مختلفی وجود دارد که ما برخی از سرورها را اصلا مجازی سازی نمی کنیم برای مثال اکثر سرورهایی که دارای Dongle های سخت افزاری یا همان قفل های معروف سخت افزاری هستند و یا اینکه دارای Board های خاص PCI هستند که سرور وابسته به آنها است به هیچ عنوان نباید مجازی سازی شوند ، اگر مجازی سازی برای این سرورها انجام شود دو حالت وجود دارد ، یا اینکه مجبور هستید از قابلیت های DirectPath استفاده کنید که در اینصورت همان بهتر که از مجازی سازی استفاده نکنید و یا اینکه همیشه منتظر مشکلات مربوط به ارتباط درست با سخت افزار باید باشید .

 

تفاوت سرور فیزیکی و سرور مجازی


سیستم هایی که نیاز به قدرت پردازشی بسیار بالا دارند را نیز به سمت مجازی سازی نیاورید ، در یکی از سازمان هایی که پروژه داشتیم سرور ایمیلی وجود داشت که به شدت منابع CPU را استفاده می کرد ، بدون شک زمانیکه CPU فیزیکی برای انجام پردازش ها دچار مشکل می شود نمی توان از vCPU ها توقعی داشت در چنین مواقعی خود Hypervisor یک لایه پردازشی مزاحم محسوب می شود و باید حذف شود. برخی از نرم افزارها وجود دارند که لایسنس یا مجوز نصب انها بر روی سیستم های مجازی اجرا نمی شود و استفاده از سرور مجازی برای اینگونه Application ها به عنوان یک تخلف محسوب می شود ، در این موارد هم نباید سیستم مورد نظر را مجازی سازی کرد و باید مستقیما بر روی سیستم فیزیکی نصب کرد. سرورهایی که دارای درجه امنیتی بسیار بالا هستند ، سرورهایی که در آنها بحث یکسان سازی یا Sync بودن زمان مهم است ، دسکتاپ هایی که به خوبی کار می کنند ، از جمله موارد دیگری هستند که نباید مجازی سازی شوند. بنابراین هر جایی نیاز نیست از مجازی سازی استفاده کنید و روی این موارد تعصب بیجا نیز نداشته باشید

ریزه کاری شماره 4 : همه نوع ترافیک را مانیتور کنید

دون شک مانیتورینگ ترافیک شبکه یکی از حیاتی ترین و اصلی ترین مواردی است که یک توسینسویی بایستی در شبکه راه اندازی و همیشه بر روی این ترافیک نظارت داشته باشد. اما آیا ترافیک موجود در Virtual Switch ها نیز قابل نظارت و مانیتورینگ هستند و در عین حال آیا می توان چنین ترافیکی را مانیتور کرد ؟ پاسخ این سئوال بله است ، شما هم می توانید و هم باید ترافیک ورودی و خروجی به ماشین های مجازی خود را بصورت تفکیک شده مانیتور کنید. مانیتورینگ ترافیکی کاربردهای زیادی دارد که از آن جمله می توانیم به بررسی میزان ترافیک مزاحم ، بررسی مسائل امنیتی احتمالی و بسیاری دیگر از موارد اشاره کنیم.

فعال کردن NetFlow د VMware

همانطور که شما در ساختار های فیزیکی سویچ ها و روترها می توانید ترافیک را در قالب NetFlow و Mirror دریافت و تجزیه و تحلیل کنید درvSwitch ها هم شما می توانید از طریق استفاده از dvSwitch ها هم NetFlow و هم SPAN یا همان Mirror کردن ترافیک را انجام دهید و با استفاده از ابزارهای IPS و IDS و یا NetFlow Analyzer این ترافیک ها را به خوبی مانیتور کنید. شما هم باید ترافیک ورودی و هم ترافیک خروجی به سویچ های مجازی را بصورت جداگانه مانیتور و تجزیه و تحلیل کنید ، حداقل چیزی که در این مورد برای شما مفید است پیدا کردن Bottleneck ها و کمبود منابع ترافیکی در شبکه است.

ریزه کاری شماره 5 : تبدیل P2V را رایگان انجام ندهید

یکی از اشتباه هایی که توسینسویی ها انجام می دهند این است که در یک پروژه یا فرآیند مجازی سازی ، مرحله تبدیل کردن سرورهای فیزیکی به سرورهای مجازی را به عنوان یک کار کاملا رایگان و اشانتیون انجام می دهند و تقریبا ارزشی برای اینکار قائل نمی شوند. توجه کنید که فرآیند تبدیل کردن سرورهای فیزیکی به سرورهای مجازی ممکن است به نظر و به حرف ساده باشد اما اینکار نه ساده است و نه بی ارزش ، من بارها فرآیند تبدیل کردن سرورهای فیزیکی به سرورهای مجازی را در سطوح مختلف سازمانی انجام داده ام اما هیچوقت اینکار را به عنوان اشانتیون و کار رایگان انجام نمی دهم ، شما برای اینکار باید زمان ، طراحی و انرژی زیادی بگذارید ، نکات بسیار زیادی در خصوص تبدیل کردن سرورهای فیزیکی به مجازی وجود دارد که بایستی ریز به ریز رعایت شوند اما با رایگان کردن این پروژه شما کار خودتان را بی ارزشی می کنید.

هیچوقت کاری رو رایگان انجام ندهید

در ابتدا فرآیند تبدیل کردن بسیار ساده است و هم فضا و هم انرژی کمی می برد ، حتی کوچکترین سرور و ساده ترین سرور را نیز به هیچ عنوان بصورت رایگان تبدیل به سرور مجازی نکنید ، کارفرمای شما باید درک کند که کار شما با ارزش است و مزایای مجازی سازی را بایستی به خوبی درک کند ، دردسرهای Backup گیری ، خرابی های سخت افزاری ، امکانات بروز رسانی و Snapshot ها و ... همه را بایستی بصورت کامل برای کارفرمای خودتان تشریح کنید تا حساسیت و اهمیت کار را درک کند. هر کاری ارزشی دارد و اگر شما کار خودتان را بی ارزش کنید کارفرمای شما برای پرداخت کردن هزینه ها برای شما مشکل ایجاد می کند اما وقتی برای هر کاری ارزش گذاری کنید کارفرما نیز راحت تر پرداخت ها را قبول می کند.

ریزه کاری شماره 6 : لابراتوار و محیط تستی بسازید

یکی از مشکلاتی که در بین سالهای 2000 تا 2005 با آن مواجه بودیم نداشتن امکان تست و لابراتوار برای نرم افزارهای مخرب و کارهای خطرناک نرم افزاری بود که هر لحظه امکان داشت باعث خرابی سیستم و در دسترس نبود سرویس های شبکه بشود و این مورد باعث می شد که اکثر توسینسویی ها در آن دوره زمانی با ریسک و ترس بیشتری اینگونه کارها را انجام دهند. اگر قرار است یک سرویس موقتی برای چند روز یا چند ماه داشته باشید ، برای مثال قرار است که برای شما یک نرم افزار را Demo کنند و در شبکه استفاده شود .

مثلا Lync سرور یا یک نرم افزار اتوماسیون اداری که ممکن است تنها مدتی در مدار باشد حتما از VM ها استفاده کنید. ، در بسیاری از سازمان هایی که کار کرده ام بحثی به نا مFTP سرور موقتی یا فایل سرور موقتی داشته اند ، بحث تست و آزمایش نرم افزارهای مختلف ، لابراتوارهای امنیتی و آزمایش های متنوع بر روی انواع کدهای مخرب ، پرینت سرورها ، سرورهای موقتی برای بحث مهاجرت به محصولات به روزتر و .... همه اینها امروزه به راحتی با استفاده از ماشین های مجازی قابل پیاده سازی است ، این نکته را برای این منظور در ITPRO مطرح کردم زیرا بارها با این مشکل موجه شده ام که مدیر شبکه برای تست کردن یک نرم افزار جدید سرور عملیاتی را در اختیار پیمانکار قرار داده است و برای بازگرداندن مشکل به حالت قبل از آن از Snapshot استفاده کرده و به هر دلیلی Snapshot دیگر باز نگشته است و خرابی ها باقی مانده است.

با توجه به اینکه در ایران پول لایسنس نرم افزارها را نمی دهیم ، برای هر کاری که احتمال خطر و آسیب زدن به شبکه وجود دارد یک VM موقتی ایجاد کنید. اینکار هیچ هزینه ای برای شما ندارد اما ممکن است تضمین کننده شغل شما باشد. همیشه در مجموعه خود چند VM خاموش به نام Temporary داشته باشید و در صورت نیاز از آنها استفاده کنید. قرار نیست همیشه این ماشین های موقتی در مدار باشند و هیچ منابع خاصی نیز نمی خواهند ، برای اینگونه ماشین های مجازی موقتی می توانید از نوع هارد دیسک Thin Provision و یک هسته CPU و حداقل RAM مورد نیاز استفاده کنید و هر موقع نیاز بود روشن کنید.

ریزه کاری شماره 7 :سرعت بهتر را با VM Template ها استفاده کنید

برخی اوقات در سازمان شما یا حتی سرویس های هاستینگ ، بحث سرعت ایجاد کردن ماشین های مجازی بسیار مهم است ، زمانیکه از شما یک ماشین مجازی خواسته می شود شما می توانید ابتدا آن را ایجاد کنید ، سپس بر روی آن سیستم عامل مورد نظرتان را نصب کنید و نرم افزارهای مربوط به هایپروایزور را بر روی آن نصب و تنظیمات آدرس آن را انجام و ریموت آن را فعال و در نهایت آن را به درخواست کننده سرور تحویل دهید. این روند ممکن است چند ساعتی به طول بیانجامد ، اگر قصد دارید با سریعترین سرعت ممکن ماشین های مجازی خودتان را ایجاد کنید از قابلیتی به نام Template در استفاده کنید ، شما می توانید با استفاده از Template ها براحتی و در کسری از دقیقه تعداد زیادی ماشین مجازی با توجه به نیازهای سازمانی خود ایجاد کنید.

ریزه کاری های مجازی سازی : سریعترین راه ایجاد ماشین مجازی استفاده از Template است



احتمالا از اگر از برخی سرویس های هاستینگ اینترنتی سرور مجازی خریداری کرده باشید در سرعت ایجاد و تحویل این سرویس ها تعجب می کنید که بعضا با فشردن کلید Finish سرور به شما تحویل داده می شود. در یک سازمان بزرگ پیشنهاد می شود که شما برای سیستم عامل های مختلفی که در مرکز داده مورد نیاز است یک سیستم عامل را بر روی ماشین مجازی نصب کنید و همه نرم افزارهای پیشفرض و بروز رسانی ها و تنظیمات ریموت و ابزارها را انجام دهید و از آن یک Template تهیه کنید و هر موقع لازم بود به سرعت می توانید از این Template برای ایجاد کردن ماشین مجازی استفاده کنید. به قول معروف قرار نیست شما چرخ را ابتدا اختراع کنید اینکار برای هم شما و هم مشتری شما هم صرفه جویی زمانی و هم مالی دارد. پیشنهاد توسینسو این است که به شکل زیر در مجموعه خود Template ایجاد کرده باشید تا در صورت نیاز بلافاصله سرور را ایجاد و تحویل مشتری بدهید :

Windows Server 2008 R2
Windows Server 2012 R2
Windows 8.1 Pro
Windows 10 Pro
Windows Server 2016
Linux RHEL 7 64 Bit
Linux CentOS 7 64 Bit
Linux Debian 7 64 Bit

ریزه کاری شماره 8 : بهترین کارایی را با Thick Provision تجربه کنید

قبلا در ITPRO در خصوص تفاوت بین دیسک های Thin Provision و Thick Provision صحبت کرده ایم اما نکته در اینجاست که اکثر مدیرهای شبکه دیسک هایی که برای ماشین های مجازی اختصاص می دهند را از نوع Dynamically Expanding یا Thin Provision انتخاب می کنند. اینکار برای همه جا درست نیست ، اگر شما حداکثر کارایی را از دیسک ها مجازی می خواهید بهترین گزینه استفاده از قابلیت Thick Provision است در واقع به زبان ساده تر ، زمانیکه قرار است اندازه دیسک را برای ماشین مجازی خودتان در نظر بگیرید در همان لحظه میزان فضای مورد نیاز برای ماشین مجازی را از فضای دیسک واقعی در اختیار بگیرید.

ریزه کاری های مجازی سازی : اگر بهترین کارایی را می خواهید از دیسک های  Thick Provision استفاده کنید

البته فراموش نکنید که اینکار بایستی با برنامه ریزی قبلی و با شناخت کامل از میزان فضایی که بر روی دیسک های واقعی وجود دارند انجام شود تا با کمبود فضا مواجه نشوید. اما در این شک نکنید که تبدیل کردن دیسک ها و استفاده از دیسک ها بصورت Thick Provisioned سرعت خواندن و نوشتن شما را افزایش می دهد و پیشنهاد می شود حداقل برای ماشین های حساس خودتان نیز از این نوع دیسک ها استفاده کنید. چه در VMware و چه در انواع مجازی سازی های دیگر این نوع دیسک ها وجود دارند ، ما آنها با را یا با نام Thick Provision یا Fixed Sized شناسایی می کنیم.

ریزه کاری شماره 9 : VMware Tools را نصب کنید

بدون شک به این موضوع توجه کرده اید که همه Hypervisor ها چه از Type یک یا دو همگی دارای یک سری ابزارهای داخلی هستند که بر روی ماشین های مجازی یا Guest ها نصب می شوند و آنها را به نام Guest Tools یا Guest Add-On می شناسیم. معمولا مدیرهای شبکه بعد از اینکه VM ها را ایجاد می کنند از نصب کردن این ابزارها در آنها امتناع می کنند و آنها را یک چیز بیخودی و اضافه می دانند. شما به عنوان یک توسینسویی باید بدانید که نه تنها این ابزارها مزاحم ، بیخودری و بیهوده نیستند بلکه بسیاری از کارهای اساسی را برای ما انجام می دهند .

این ابزارها کارهایی از قبیل یکپارچه سازی موس موقع حرکت در ماشین مجازی ، برطرف کردن مشکلات مربوط به درایورهای ماشین مجازی ، یکسان سازی زمان VM و زمان سیستم Host ، تنظیمات مربوط به صفحه نمایش ، گزارش دهی وضعیت سیستم عامل و منابع مورد استفاده و حتی استفاده شدن به عنوان فایروال و آنتی ویروس و بسیاری از کارهای دیگر را برای ما انجام می دهند ، فراموش نکنید بعد از ایجاد کردن ماشین مجازی در هر نوع Hypervisor اعم از VMware یا Oracle VM یا Hyper-V حتما ابزارهای Guest-Tools آن را نصب کنید تا تجربه استفاده بسیار راحت و کاربری ساده تر را از VM ها داشته باشید

ریزه کاری شماره 10 : همیشه به روز رسانی و Patch کنید

اکثر دوستان بر این باور هستند که بایستی سیستم عامل های خودمان را با آخرین بسته های امنیت بروز رسانی کنیم تا تهدیدات مربوط به آنها کاهش پیدا کند ، این مورد کاملا درست است اما نباید فقط محدود به ماشین های مجازی ما باشد ، شما به عنوان یک توسینسویی باید درک کنید که همانطور که VMهای شما بایستی آخرین بسته های بروز رسانی را بر روی خودشان داشته باشند ، قلب مجازی سازی شما یا Hypervisor شما نیز بایستی به خوبی بروز رسانی شود و آخرین Update ها بر روی آنها نیز نصب شود.

برای مثل ESXi 6.0 دارای چندین بسته بروز رسانی است که بایستی به محض نصب در یک سازمان بر روی آن نصب شوند. اگر سیستم اصلی شما یا Host شما هک شود تمامی VM های شما قطعا هک خواهند شد یا حداقل دچار مشکلاتی امنیتی خواهند شد. اگر Hypervisor شما از نظر امنیتی دارای آسیب پذیری باشد همه سیستم های شما آسیب پذیری دارند ، شبکه شما به اندازه ای امنیت دارد که ضعیف ترین Node شبکه شما امنیت دارد. اگر از VMware استفاده می کنید از سرویس Update Manager و اگر از Hyper-V استفاده می کنید از طریق WSUS آخرین بسته های بروز رسانی و امنیت را بر روی Hypervisor های خودتان نصب کنید


محمد نصیری
محمد نصیری

بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

محمد نصیری هستم ، هکر قانونمند و کارشناس امنیت سایبری ، سابقه همکاری با بیش از 50 سازمان دولتی ، خصوصی ، نظامی و انتظامی در قالب مشاور ، مدرس و مدیر پروژه ، مدرس دوره های تخصص شبکه ، امنیت ، هک و نفوذ ، در حال حاضر در ایران دیگه رسما فعالیتی غیر از مشاوره انجام نمیدم و مقیم کشور ترکیه هستم ، عاشق آموزش و تدریس هستم و به همین دلیل دوره های آموزشی که ضبط می کنم در دنیا بی نظیر هستند.

نظرات