虚拟机在大多数情况下等同于物理服务器。在虚拟机中采用与物理系统相同的安全措施。

保持所有安全措施最新,包括应用适当的修补程序。跟踪已关闭电源的休眠虚拟机中的更新特别重要,因为这些虚拟机常常会被忽略。例如,确保对您虚拟基础架构中的每台虚拟机均启用防病毒、防间谍软件、入侵检测及其他保护措施。还应确保您具有足够的空间来存储虚拟机日志。

安装防病毒软件

由于每台虚拟机都承载着标准操作系统,因此必须安装防病毒软件,使其免遭病毒感染。根据虚拟机的使用方式,可能还需要安装软件防火墙。

请错开病毒扫描的调度,尤其是在具有大量虚拟机的部署中。如果同时扫描所有虚拟机,环境中的系统性能将大幅下降。

因为软件防火墙和防病毒软件需要占用大量虚拟化资源,因此您可以根据虚拟机性能平衡这两个安全措施的需求,尤其是在您确信虚拟机处于充分可信的环境中时。

配置客户机操作系统的日志记录级别

虚拟机可以将故障排除信息写入存储在 VMFS 卷上的虚拟机日志文件中。虚拟机用户和进程可能会有意或无意地误用日志记录,这会导致日志文件中充满大量数据。随着时间的推移,日志文件会占用大量文件系统空间,从而造成拒绝服务。

为避免该问题,可考虑修改虚拟机客户机操作系统的日志记录设置。这些设置可以限制日志文件的总大小和数量。通常,在每次重新引导主机时都会生成一个新的日志文件,因此文件会变的非常大。通过限制日志文件的最大大小,可以确保更频繁的生成新日志文件。VMware 建议保存 10 个日志文件,每个文件的大小限制为 100 KB。这些值的大小足以让您捕获充分的信息,用以调试可能会出现的大多数问题。

每向日志写入一个条目,都会检查一遍日志的大小。如果超过了限制,下一个条目将写入新的日志。如果存在的日志文件数量达到最大,则会删除最早的日志文件。通过写入超大的日志条目可以尝试发动避免这些限制的拒绝服务攻击,但由于每个日志条目的大小限制在 4KB 以下,因此,日志文件的大小不会比配置限制大 4KB 以上。