在虚拟主机和虚拟机上运行反病毒扫描是应该做的事情。但是即使在McAfee去年的差错之前,IT管理员已经开始避免在虚拟坏境中运行反病毒扫描。
这个问题不在于反病毒扫描是否提供了有价值的防护,而是由于反病毒程序严重影响了系统的性能。幸运的是,你可以优化反病毒程序来减少它消耗的主机资源。本文中,TechTarget中国特约作者Rob McShinsky介绍反病毒软件作用于主机和虚拟机的关键点。
反病毒扫描的问题
大部分的反病毒厂商还没有采用虚拟化共享服务器模式。许多程序都把虚拟机当做独立的桌面,并且利用大量的系统资源来尽快地完成反病毒扫描。
例如,一个使用50%的处理器资源来扫描所有文件的虚拟机,会使用非常多的资源。如果你有十台虚拟机同时运行反病毒扫描,你会看到每台虚拟机的性能都会严重的下降,甚至因为主机资源饱和而停机。如果不做调整,直到虚拟机完成扫描或者你进行手动干预,主机会陷入瘫痪,用户正在进行的工作也会变得不可访问。
虚拟化系统管理员面临一个艰难的抉择:冒险不安装安全软件,或者运行反病毒软件但面临可能的服务中断。
对虚拟主机反病毒扫描的考虑
为虚拟主机服务器选择和部署反病毒软件的过程是很直接的。那就是选择使用最少主机资源,能够最好的为你的环境服务的反病毒程序。这看起来简单,但是主机资源越多的使用,供用户使用的资源也就越少,从而降低了整合降低成本的潜力。
在部署反病毒软件前,除了软件的资源占用,考虑下列任务计划和配置特性。
排除功能。对于微软的Hyper-V服务器,最好的做法总是在反病毒扫描中排除掉一些目录、文件扩展名、进程,甚至整个的卷。例如,群集共享卷(CSV),更直接的说是CSV卷的交接点C:\Clusterstorage,应该总被排除在外。多个服务器的反病毒程序一起访问这个目录会引起文件锁死的问题。因为CSV此时只是供Hyper-V的虚拟机使用,排除掉这这个目录可以避免不可预期的问题。微软的Technet有Hyper-V排除项的推荐。
时序。按计划扫描是非常重要的。一次安排糟糕的全面反病毒扫描可以引起虚拟机性能的下降。确定你的虚拟机工作量何时最繁忙,然后计划在主机使用最少资源的时候进行反病毒扫描。不要假设午夜是最不繁忙的时候。这取决于特定的工作流程。
实时扫描。一些反病毒程序对实时扫描有单独的排除项设置。注意这一点,把适用的排除项设置复制过来。
下文介绍对虚拟机反病毒扫描的考虑。
【编辑推荐】