虚拟基础设施监控的正确工具

故事是这样的：有一家财富 500 强公司一天早上醒来，发现他们有超过 5000 台虚拟机。马上，问题就出现了，是否正在使用它们。所以他们做了一个非常简单的事情来找出答案。他们把所有的电源都关掉，等待有人尖叫。几乎没有人这么做。

我几年前就听说过这个故事，说实话，我从未试图证实它是否属实。但我自己的虚拟化经验表明，它很容易扎根于事实。大多数人看到这个都会说，那又怎样。虚拟机的构建不需要任何成本。

事实并非如此。在上面的故事中，每个虚拟机都使用 CPU 资源——即使它没有做太多事情，它仍然浪费了一点点。它再次使用 RAM，也许不多，但仍然是一些。 。 。磁盘空间，现在它肯定正在使用。即使 40 或 60 GB 也意味着不能专用于另一台机器的空间（除非我想购买更多存储空间）。许可证——明确的费用。

这一切都归结为 TANSTAAFL。你说什么？哦，只是“天下没有免费的午餐”。你在某个地方付出了代价，在这种情况下是为了性能，是的，为那些不赚钱的东西付出了冷酷的现金。因此，控制虚拟机的生产和分发是一项重要的业务。而做到这一点的唯一方法就是使用系统。在某个地方、某个地方，你必须想出一种方法来规范它们的构建方式，这意味着文书工作，这意味着制衡系统。

在开始构建第一个虚拟机之前，人们需要知道有一个系统，并且该系统以一个表单开始。此表格上有什么内容？这里有一些需要注意的事项：

• 机器的用途
• 机器名称
• CPU数量
• 内存容量
• 磁盘空间、有多少磁盘以及多少
• 操作系统（Windows、Linux）
• 网络（任何特殊 VLAN）
• 备份
• 监控（如果有）

部分原因是鼓励只认真的客户申请。剩下的就是我们的提示卡。例如，除非您在小商店工作，否则其他人可能会处理 SANS，并且其他人是网络专家。同样，其他人可能负责备份，其他人可能负责监控。这告诉我们谁是我们的审批人员，当请求到来时他们需要在场。

我们要做的是召开一次配置会议，各个流程的所有所有者都参加该会议。然后，请求者必须解释他/她的需求，其余会议类型则开始讨论，看看他们需要做什么才能使其成为现实。请记住，桌上的每个人都可以否决该项目、暂停该项目或驳回该项目。

另外，如果您是 VMware 管理员，您应该始终清楚每个虚拟机正在做什么。永远记住，让虚拟机承担双重甚至三重职责绝对没有错（我们在现实世界中一直这样做）。这始终是一个选择，尤其是在资源开始紧张的情况下。

但除非你有办法监管系统，否则世界上所有的文书工作和会议都是毫无意义的。从主动观察到被动侦察，你可以做很多事情。

首先，您从一开始就应该做的一件事是确保只有一定数量的人可以管理主机，并执行诸如构建虚拟机或更改其资源之类的操作。意识到这将是一个真正惹恼人们的好方法，他们习惯于按照自己的方式做事，但如果你想确保没有未经授权的人构建虚拟机，那么你必须只授权少数人这样做所以。并确保每个人都使用他们的用户帐户来访问主机。 SOX 审计员会寻找的一件事是审计跟踪，如果他们都使用 root 或管理员来访问主机，请相信我，您会发现它的。

那么，我们该如何关注事物呢？有很多方法可以做到这一点，其中一种是简单的老式脚本。

我仍然使用 PowerCLI（我主要是 VMware 人员），虽然我确信有办法为 Hyper-V 或 Xenserver 做到这一点，但我是一个不了解它们的人。 PowerCLI 有很多功能可以为您提供一些报告功能，而且很少有人比 virtu-al.net 上的优秀人员更好地挖掘这种潜力。您将在此处找到一个脚本，该脚本将显示最近构建的十个虚拟机。顺便说一句，您可能希望每几周运行一次（如果您是一个繁忙的房子，则更频繁），然后报告将成为您审核过程的一部分。当然，您正在做的是根据您的构建请求检查新机器，这将成为您的 SOX 审计报告的一部分。

还有大量其他脚本可以帮助您，许多脚本会显示制作的快照之类的内容并给出它们的年龄，甚至会给您 20 美分版本的容量规划。

哦，如果您是 IT 管理员并且不了解 PowerShell，我的建议是学习它。这将是你做过的最能提升职业生涯的举动。

现在，如果命令行让您感到害怕，您可以尝试简单的报告软件，该软件会在虚拟机构建时向您发出警报。 VMware vCenter 配备了一个可以提供帮助的出色工具，而且您无需花费一毛钱。

为此，请登录您的 vCenter 服务器，然后在数据中心中转至警报：

右键单击并选择“添加警报”。

在“常规”部分中，为警报命名。由于我们想知道虚拟机何时构建，因此我建议提供一些描述信息。另外，在“描述”中，准确说明它应该执行的操作（在构建虚拟机时提醒我们，这意味着我们需要配置 VMware 来发送电子邮件）。我们正在监视虚拟机，我们想知道机器是否已构建，因此我们选择该行中的第二个。

在触发器下，我们要选择“创建虚拟机”。

在“操作”下，让它向您发送一封电子邮件。

以这种方式做事的缺点是有很多事情需要注意，因此您必须创建多个规则或片段，但最终，您确实可以帮助防止构建未经授权的虚拟机。

最简单的方法是使用免费工具，例如适用于 VMware 的 Netwrix Change Notifier。每当环境发生变化时，它都会在第二天向您发送报告。

以下是报告将向您显示的内容的屏幕截图：

请注意，它显示了数据存储的添加以及到底发生了什么。购买并付费的版本（VMware 的 Netwrix Auditor）还会向您显示是谁干的，如果您发现有人在运行，它肯定会向您显示他们是谁，或者至少他们是如何进入的。