FusionSphere虚拟化防病毒特性技术白皮书

1、 ( DOCPROPERTY ReleaseDate 2019-03-30) DOCPROPERTY PartNumber FusionSphere虚拟化防病毒特性技术白皮书 DOCPROPERTY Product&Project NameFusionCompute DOCPROPERTY DocumentName 虚拟机管理指南 STYLEREF Contents 目 录文档版本 DOCPROPERTY DocumentVersion * MERGEFORMAT 01 ( DOCPROPERTY ReleaseDate 2019-03-30) DOCPROPERTY ProprietaryD

2、eclaration * MERGEFORMAT 华为专有和保密信息 版权所有 华为技术有限公司PAGE viii DOCPROPERTY DocumentVersion * MERGEFORMAT 01 DOCPROPERTY ProprietaryDeclaration * MERGEFORMAT 华为专有和保密信息 版权所有 华为技术有限公司PAGE cccxxi DOCPROPERTY DocumentVersion * MERGEFORMAT 01 DOCPROPERTY ProprietaryDeclaration * MERGEFORMAT 华为专有和保密信息 版权所有 华为技术

3、有限公司Error! No text of specified style in document. STYLEREF Appendix heading 1 Error! No text of specified style in document.虚拟化无代理防病毒方案简介传统有代理防病毒方案简介传统有代理防病毒方案的架构如下，二层架构，需要在每个用户虚拟机中部署杀毒引擎，然后通过集中的防病毒管理中心管理。其中防病毒管理中心负责策略管理（如配置全盘扫描任务），虚拟机内杀毒引擎负责杀毒。有代理防病毒方案杀毒引擎运行稳定，不易受到外界干扰，但是用户虚拟机内杀毒引擎占用资源多，而且主机上虚拟机间杀

4、毒相互独立，导致病毒库更新等场景下易造成“病毒风暴”（虚拟机资源占用多，导致性能差，用户体验差，影响正常业务，不是指病毒爆发），同时当病毒库更新时，需要对每个虚拟机内病毒库都进行更新，造成管理成本高。那么在虚拟化环境下，如何提供高效的防病毒方案呢？就是本文介绍的虚拟化无代理防病毒特性。虚拟化防病毒特性简介虚拟化防病毒简介华为虚拟化平台FusionCompute联合防病毒厂商为用户提供虚拟化防病毒功能。其中华为虚拟化平台提供虚拟化防病毒API，然后防病毒厂家基于API进行开发，集成防病毒厂家的杀毒引擎、病毒库等，最终为用户虚拟化提供杀毒能力。使用该功能时，只需在主机上部署一台安全服务虚拟机（SV

5、M，参见 HYPERLINK l note1 o 注1，由防病毒厂家提供），并在运行在该主机上的其他虚拟机（称为安全用户虚拟机，GVM，参见 HYPERLINK l note2 o 注2）安装防病毒驱动，即可为安全用户虚拟机提供病毒查杀、病毒实时监控等服务（参见 HYPERLINK l note3 o 注3）。与传统防病毒功能相比，FusionCompute虚拟化防病毒功能无需在用户虚拟机上安装完整的防病毒软件，节省用户存储资源；运行病毒查杀等功能时仅需占用用户虚拟机极少的计算资源，用于运行防病毒驱动。同时，虚拟化防病毒功能通过主机物理内存交换进行病毒查杀和实时监控，效率高、速度快；同时由于不

6、依赖网络，所以不占用用户虚拟机网络资源。注1：安全服务虚拟机由防病毒厂商提供。注2：目前仅支持部分Windows操作系统的虚拟机作为安全用户虚拟机，具体支持类型请参见下面 HYPERLINK l restrict o 使用约束。安全用户虚拟机所安装的防病毒驱动由华为提供。注3：虚拟化防病毒功能所提供的具体防病毒服务及性能由防病毒厂商提供的防病毒引擎的能力决定。方案对比有代理防病毒无代理防病毒资源占用较大，每台虚拟机都要部署杀毒引擎。小，客户虚拟机仅需要安装防病毒驱动。部署复杂，可以使用模板批量部署，但是单台部署较为复杂简单，由平台控制在主机部署服务。维护难，维护成本高，需要对每一台虚拟机内引擎

7、或病毒库升级。简单，病毒库和杀毒引擎单独部署，只需要按照主机或安全服务虚拟机进行升级。稳定性强，每台虚拟机内防病毒服务单独运行，稳定性较高。相对较弱，防病毒服务依赖安全服务虚拟机，有单点故障隐患。部署方案虚拟化防病毒功能整体部署方案如 HYPERLINK l fig01 o 图1-1所示。虚拟化防病毒部署方案说明如下：每台主机可配置多台安全用户虚拟机。每台主机部署一台安全服务虚拟机，为安全用户虚拟机提供防病毒服务。需部署一个防病毒管理中心，用于管理所有安全服务虚拟机，配置安全服务虚拟机的防病毒策略，下发病毒扫描任务等。说明：各个厂家对这个部件的命名可能不一致，但都是完成一些策略的管理等工作，为

8、了简化，在本文档中都统一称为“防病毒管理中心”。防病毒管理中心通过网络与安全服务虚拟机连接，因此防病毒管理中心需要与安全服务虚拟机网络互通。使用约束使用FusionCompute虚拟化防病毒功能时，具有如下约束：仅支持windows操作系统的虚拟机作为安全用户虚拟机,，具体支持的windows OS类型请参考防病毒厂商发布的兼容性列表。影响使用FusionCompute虚拟化防病毒功能时，对安全服务虚拟机自身功能影响如下： 不支持生成内存快照。 安全服务虚拟机需实时服务，因此不能对安全服务虚拟机执行在线磁盘快照、休眠等操作。 安全服务虚拟机与主机绑定，如发生集群动态资源调度或主机故障，无法自动

9、迁移。使用FusionCompute虚拟化防病毒功能时，对安全用户虚拟机自身功能影响如下： 不支持生成内存快照。 安全用户虚拟机依赖安全服务虚拟机提供的服务，如在集群动态资源调度或主机故障发生自动迁移时，需要迁移至已部署安全服务虚拟机的主机，否则虚拟机迁移后将无法启动。因此建议同一个集群的主机同时开启虚拟化防病毒功能，并部署安全服务虚拟机。与华为合作的防病毒厂家列表概述：防病毒厂商提供杀毒能力，华为提供虚拟化平台能力，双方合作提供完整的虚拟化防病毒解决方案，结构如图所示:由防病毒厂商提供杀毒引擎及安全虚拟机驱动，华为虚拟化平台提供共享内存设备通道，双方管理中心通过Rest接口进行通信。瑞星:瑞星虚拟化系统安全软件FOR华为是瑞星公司推出的国内首家针对华为虚拟化平台的安全防护解决方案。针对虚拟环境中存在的系统与网络威胁，实现全方位保护。该产品与华为虚拟化平台完美结合，采用领先的无