服務器虛擬化托管方案—Windows篇

服務器虛擬化托管方案一一Windows篇（第一版） 很早以前就已經使用這個方法開始做托管服務器了，服務器運行也很穩(wěn)定，所以今天將這個方法寫成 文檔。此方案通過一個服務器托管實例說明整個服務器的配置過程。 一般的機房服務器托管只給一個IP地址，要使用多個虛擬機對外提供web或其他服務就需要自己想辦 法將多個虛擬機中的應用通過這一個IP地址發(fā)布出去，整個服務器的配置分以下幾個步驟： 1、 物理服務器安裝操作系統(tǒng)并安裝防火墻軟件 2、 安裝虛擬機軟件 3、 在物理主機上發(fā)布各虛擬機中的web服務 4、 在物理主機上發(fā)布虛擬機中的其他服務 5、 配置虛擬機上網(wǎng) 此方案中，重點解決的是多個虛擬機中的站點怎樣使用共享一個公網(wǎng)IP地址對外提供web訪問服務， 下面按照以上的步驟詳細介紹配置方法。 1物理服務器安裝操作系統(tǒng)并安裝防火墻軟件 系統(tǒng)配置環(huán)境 F表中列出了本方案的各種配置信息: 操作系統(tǒng) 相關軟件 網(wǎng)絡配置 備注 Windows 2003 （建議企業(yè) 版）此為宿主機，安裝到 物理服務器上 Vmware Server 2.0 （用于 虛擬化的實現(xiàn)）ISA Server 2006 標準版 VMNETl:192.168.10.5/24 WAN:10.10.5.254 （此 ip 為實驗環(huán)境，實際應用時 要修改此IP） 后文對物理主機上的操 作系統(tǒng)稱為宿主機 宿主機的VMNET1：內網(wǎng) 網(wǎng)卡（與虛擬機相連的虛 擬網(wǎng)卡vmnet1） 宿主機eth1 :外網(wǎng)網(wǎng)卡 （此網(wǎng)卡綁定了公網(wǎng)IP 地址） 虛擬機系統(tǒng)，對外提供各 種服務 虛擬機網(wǎng)卡的連接方式 選 Host-only CentOS/Linux （版本根據(jù) 需要可自選） 安裝相關應用程序 Apache、FTP、Mysql EthoO： 192.168.10.20/24 網(wǎng)關：192.168.10.5 Windows操作系統(tǒng) IIS、FTP、MSSql、Mail 本地連接： 192.168.10.10/24 網(wǎng)關：192.168.10.5 其他虛擬機系統(tǒng) 虛擬機和宿主機的拓撲圖如下: Nginx、Vmvvarc Server、Iptablcs IP； 192,168,10,20/24 網(wǎng)關：192.16 &10.5 Linux Apache> FTP、Mysql Www3,duxtrnet WwT.v^.duxtJiet 安裝配置ISA Server 2006 (宿主機) 有關ISA Server 2006的相關介紹不再介紹，網(wǎng)上有很多介紹，在這里直接介紹軟件的安裝和基本配置。 在安裝ISA Server2006之前，需要對服務器進行相關配置，要求服務器最少有兩塊網(wǎng)卡，但是一般服 務器雖然有多塊網(wǎng)卡，卻只有一個網(wǎng)卡是接了網(wǎng)線，所以需要我們想辦法解決這個問題?？梢杂腥齻€方法 解決這個問題。 第一種是使用一個水晶頭做一個環(huán)回的線，就是將網(wǎng)線上的發(fā)送線直接連到自己的接受線上就成了一 個環(huán)回路，不要著急使用這個方法，因為下面介紹的兩個方法比這個還要方便。 第二種方法，通過“添加硬件”的方法添加一個微軟的虛擬環(huán)回網(wǎng)卡，如下圖所示。 已安裝的哽件邂)： 通信諦口腳門 3 丁通信端口 (COM2) lintel (R) Core (TM)2 CPU 6320 @ 1.86GHz ^LSI Logic FCI-X Ultra320 SCSI Ho妣 Adapter 添加新的硬件設備 如果看不到想要的硬件類型，諳單擊“顯示 常見哽件類型QD: ；端口（mn 和 LFT） 勿劣串口卡 電聲音、視頻和游戲控制器 蟲圖像處理設備 按照以上步驟添加了一個虛擬的網(wǎng)卡后，就可以為此網(wǎng)卡設置一個IP地址了，注意是個內網(wǎng)的IP，這 里就設置成192.168.0.1吧。 第三種方法更簡單，不用添加虛擬網(wǎng)卡了。調換一下軟件的安裝順序，先安裝VMware Server，因為安 裝完虛擬機軟件后，會自動為系統(tǒng)添加2個虛擬網(wǎng)卡，選擇VMNET8那塊網(wǎng)卡并設置IP地址為192.168.0.1 吧，因為 VMNET1 在后面我們要用它來做虛擬機網(wǎng)關。 本例中使用了第二種方法，為系統(tǒng)添加了一塊虛擬網(wǎng)卡，同時將虛擬網(wǎng)卡重命名為LAN,配置有公網(wǎng) IP的網(wǎng)卡命名為WAN,以便以后辨認。 下面開始安裝 ISA Server 2006，有兩種方法：第一種是手動按照步驟安裝，第二種是通過配置文件自 動安裝。第一種方法適合在現(xiàn)場安裝，第二種適合遠程安裝。 第一種安裝方法： 將ISA Server 2006標準版光盤放入光驅，自動運行后出現(xiàn)安裝界面，如下圖所示。 按照提示進行安裝，在選擇“安裝類型”時，要選擇“自定義”，在自定義安裝中去掉“高級日志”組 件的安裝，避免ISA Server產生大量日志占用磁盤空間，如下圖所示。 在安裝向導的“內部網(wǎng)絡”中為ISA Server添加內網(wǎng)的地址段，也可以選擇指定的網(wǎng)卡作為內網(wǎng)的網(wǎng) 段地址，在此處將你所指定的所有內網(wǎng)IP地址全部加入，圖示 在接下來的安裝步驟中，根據(jù)自己的情況進行相應的選擇就可以了，直到安裝完成。 安裝完ISA Server2006后，默認的策略是禁止所有進出的數(shù)據(jù)，下面要對ISA Server進行簡單的配置， 發(fā)布物理服務器的遠程桌面端口，使外網(wǎng)可以通過遠程桌面對服務器進行遠程的管理。 打開ISA Server2006的管理器，轉到“防火墻規(guī)則”右鍵單擊選擇“新建”一一“非web服務器協(xié)議 發(fā)布規(guī)則”，如下圖所示。 MtCrOtoff * Internet Security & Acceleration Server 2txK Edition 導出(1)... 導入①… 編輯系統(tǒng)策略11)... 新逹⑧ L耳 Mi 匚ruEuft Tnternet 匚m-i ty :iilc home-2k3 r _監(jiān)視 防火墻 1-^…… 虛擬專 -扯配置 -1網(wǎng)鑫 心插半 Exchange Web客戶端訪問發(fā)布規(guī)則(1)... 郵件服務器發(fā)布規(guī)則他)…. ShareFoint站點發(fā)布規(guī)則g〕... 網(wǎng)站發(fā)布規(guī)則迪… 非壯b服務器協(xié)徴發(fā)布規(guī)則追 訪問規(guī)則(A)... 在彈出的對話框中輸入規(guī)則名，女口 “RDP”，然后繼續(xù)。在“選擇服務器”對話框中輸入內網(wǎng)的IP地址, 本例中使用的是192.168.0.1，繼續(xù)。 在“選擇協(xié)議”對話框中，因為發(fā)布的是3389端口，所以選擇下圖所示的“RDP服務器”。 在“網(wǎng)絡監(jiān)聽器IP地址”對話框中選擇“外部”來監(jiān)聽連接請求，如下圖所示。 繼續(xù)下一步，直到完成，然后單擊“應用”使剛創(chuàng)建的防火墻策略生效。 要保存更改并更新配置，單擊“應用"o MiCrOiOff + 防火堵 Internet Security & Acceleration Server 2006 Edition /防火堵策略\ 順序- 1名稱 1操作 1協(xié)謖 1從/f貞聽器 1到 1條件 [£1 1 ELP 斗初允許 酸ELF錢端… 霽外部 { 192. 168.0. 1 T\ 應用| 丟棄| 一|攝后一于 默認規(guī)則 拒絕 所有通訊 所有網(wǎng)絡〔…：二所有網(wǎng)絡]…｛若所有用戶 經過以上配置后，就可以通過遠程桌面連接到服務器進行遠程管理了。 第二種安裝方法： 利用配置文件實現(xiàn)ISA Server 2006的無人值守安裝，適合通過遠程安裝ISA Server。下面簡單介紹一下 此方法。 在ISA Server 2006安裝光盤的FPC目錄中找到msisaund.ini這個文件，這個文件就是在安裝ISA Server 2006 時自動加載的安裝應答配置文件。我們只要編寫這個配置文件即可，以下為編寫好的自動應答文件內 容： [Setup Property Assignment] PIDKEY=12345678901234567890ASDFG ;序列號 INTERNALNETRANGES=3 10.0.0.0-10.255.255.255,172.16.0.0-172.31.255.255,192.168.0.0-192.168.255.255 ;內網(wǎng)地址段 ADDLOCAL=MSFirewall_Management,MSFirewall_Services ;安裝的組件 REMOVE=MSDE :要刪除的組件 IMPORT_CONFIG_FILE=c:\3389.xml ;此文件時一個防火墻規(guī)則，可以將備份的或者創(chuàng)建的防火墻規(guī) 則在裝完后，自動導入并應用。 保存好應答文件于 C 盤根下，然后在運行中輸入 （ISA Server 安裝盤是 D） D:\FPC\setup.exe /v"/qb FULLPATHANSWERFILE=\"c:\msisaund.ini\"" 命令就會自動開始安裝了。 2 安裝虛擬機軟件 軟件的安裝步驟比較簡單，所以在此略過。 3 在物理主機上發(fā)布各虛擬機中的 web 服務 在這里我們以發(fā)布 192.168.10.10 虛擬機中的 和 以及 1912.168.10.20 虛擬 機中的 和 這 4 個站點為例來配置 ISAServer 。 1、發(fā)布192.168.10.10中的站點 在防火墻策略中新建發(fā)布，選擇“網(wǎng)站發(fā)布規(guī)則”規(guī)則名為“web-10”，在發(fā)布類型中選擇“發(fā)布單個 網(wǎng)站或負載平衡器”，如下圖所示 在“服務器連接安全”選項卡中選擇“使用不安全的連接發(fā)布的WEB服務器或服務器場”。 在“內部發(fā)布詳細信息”對話框中，內部站點名稱填寫“ web-10”，同時選中“使用計算機名稱或IP 地址連接到發(fā)布服務器”并填寫虛擬機的IP地址192.168.10.10如下圖所示。 在下圖中，路徑寫“/*”同時選中“轉發(fā)原始主機頭而不是前一頁的內部站點名稱字段中指定的實際 主機頭”選項。 在下圖的“公共名稱細節(jié)”中，接受請求選擇“此域名（在以下輸入）”，同時要在下面的公共名稱中 填如域名，如。 在下圖中由于防火墻中并不存在web偵聽器所以，需要新建一個新的，新的web偵聽器名稱“web-80”。 IfruH https：// http：// -a 新建的web偵聽器，客戶端連接安全配置選擇“不需要與客戶端建立SSL安全連接”，如下圖所示。 xj 客尸誌連接安全設置 選擇此卅小f貞聽器將與客戶端逹立什么類型的連接° r需要與客戶端逢立ssl安全連接迅〕 ISA服務器將只通過HTTFS向客戶端發(fā)布服務器 灘薦h 金丕廳興嚏建立鍾蓋至離⑥ ISA服務器將通過KTTF發(fā)布服務器-客戶端憑據(jù)將 不加密發(fā)送到爲九服務器計算機- a第蠶蠶器I醤蠶鑑器蹩翳rw聽購曙 q 護客戶端憑據(jù)。 關干臥偵聽器客戶端連接的幫助 ＜上一歩下一步型〕》| 取消| 在“web偵聽器IP地址”對話框中選擇“外部”偵聽，同時選中下邊的復選框，這樣訪問網(wǎng)站時可以 節(jié)省帶寬。 在“身份驗證設置”中選擇“沒有身份驗證”。 完成web偵聽器的創(chuàng)建，回到“選擇web偵聽器”對話框繼續(xù)下一步，在“身份驗證委派”對話框中 選擇“無委派，客戶端無法直接進行身份驗證”。 在下圖中默認即可，允許所有用戶。 創(chuàng)建好網(wǎng)站發(fā)布策略后，查看屬性。選擇“公共名稱”選項卡后，在下面再加入域名, 完成兩個網(wǎng)站的發(fā)布。 2、發(fā)布192.168.10.20中的站點 按照“web-10”的規(guī)則再發(fā)布一個名為“web-20”的web發(fā)布規(guī)則，方法參考第一步。 2SJ 內部塩布詳細信息 指定您要發(fā)布的網(wǎng)站的內部名稱- 靄瞬驪聽布的網(wǎng)站在內部顯示時的豚通"是內部用噸苴瀏 內部站點名稱（X〕： |WEB-20 ISA服務器可能無法連接到宿主已發(fā)布的網(wǎng)站的服務器，除非指定了苴計算機名稱或 IF地址-例如，如果ISA服務器無法解析內部站點名稱，則必須指定計算機名稱或 IP匝證□ 審使用計算機名稱或IF地址連接到發(fā)布的服務器QJ） 計算機名稱或IF地址（£）： |192. 168. 10.20 ＜上一步迢）|下一步①）》| 取消 | 在下圖中只要直接選擇在第一步中創(chuàng)建的 web 偵聽器即可。 同樣需要修改新建好的web-20的發(fā)布規(guī)則，公共名稱中加入要發(fā)布的站點域名，在添加域名時可以使 用通配符* （星號）來做域名的匹配。 在使用通配符域名時，需要將“鏈接轉換”選項卡中的“對此規(guī)則應用鏈接轉換”復選框去掉，否則 會報錯。 到這里，兩個虛擬機中的站點都已經發(fā)布完成，當用戶訪問指定的域名時，ISA Server會根據(jù)創(chuàng)建的 web發(fā)布規(guī)則進行域名匹配，然后轉發(fā)請求到相應的虛擬機中。 需要注意的是，兩條web發(fā)布規(guī)則的上下順序在一定條件下是有要求的，ISA Server會從上到下進行規(guī) 則匹配，如果遇到匹配的規(guī)則，將不再匹配后面的web發(fā)布規(guī)則，所以如果兩條規(guī)則中存在相同的域名， 則只響應第一條規(guī)則而忽略后面的。 實踐：一般情況下，最后一條web發(fā)布規(guī)則在“公共名稱”中應該選擇“所有請求”，將所有不匹配的 域名請求都轉發(fā)到此規(guī)則中。 4在物理主機上發(fā)布各虛擬機中的其他服務 根據(jù)以前寫的Linux版的實例，我們在這里發(fā)布相同的服務端口。 1、 設置IIS FTP連接端口為10000。被動模式的端口范圍(10001-10005),使用以下vbs腳本命令進行 修改 cscript.exe adsutil.vbs set /MSFTPSVC/PassivePortRange "10001-10005" (在 Windows 虛擬機中執(zhí)行) 2、 發(fā)布內網(wǎng)虛擬機192.168.10.10的10000-10005端口 創(chuàng)建名為“FTP-10000 ”的“非web服務器協(xié)議發(fā)布規(guī)則”規(guī)則。由于發(fā)布的虛擬機192.168.10.10上 的FTP，所以在“選擇服務器”對話框中填寫此IP地址，如圖 在“選擇協(xié)議”對話框中，由于這里并沒有提供10000-10005這個端口范圍的協(xié)議，所以需要我們自己 創(chuàng)建一個，單擊“新建”命名為FTP10000。 址匸.二 ＜上一步迪I下一步迎＞1 取消 | 在下圖的“端口范圍”中填寫10000-10005的范圍，方向是“入站”，如下圖所示。 6 3 到① 10000 滬 新建巌務盟塩布規(guī)則 注意，確定后，彈出的“輔助連接”中選擇“否”，不要用輔助連接。 r（Y）幫助? 端口范圍 編輯①… 刪除?I Q蘇駆鑒黠副朋霜黠霰賢槪爼 關于包1建赴沁的幫助 』2£| — 3]協(xié)溟號型）: 方向①）： 確定 | 取消 新建/馨輯協(xié)富連接 新建協(xié)富定義向」 首要連接信息 首要連接彳 選擇協(xié)遼 諳選擇已發(fā)布服 -端口范圍 從®: ICMF類型①: 協(xié)溟類型（I）: [TCF ICMF屬性 ICMP代碼©： ＜上一步⑥I下一步⑩＞1 取消 | iH. 步, 創(chuàng)建好自定義協(xié)議后，應用并繼續(xù)下 截圖如下 以后的步驟按照發(fā)布“ RDP”的方法選擇即可。完成后的 |名稱 |操作 |協(xié)謖 I從/f貞聽器 |到 FTF-10000 逐允許 l_.；FTF-10000 外部 Q允許 LL/EDF魏諦.../外部 01 面2 上盤后一于 默認規(guī)則 拒絕 乂］所有通訊 所有網(wǎng)絡（??? ：；所有網(wǎng)絡（?… 注所有用戶 EDF 」192.168.10.10 」192. 168.0. 1 創(chuàng)建完后，將虛擬機192.168.10.10中的FTP端口改成10000，然后進行測試。 3、發(fā)布內網(wǎng)虛擬機192.168.10.10的遠程桌面端口 創(chuàng)建名為“RDP-3310”的“非web服務器協(xié)議發(fā)布規(guī)則”規(guī)則。由于發(fā)布的虛擬機192.168.10.10上的 3389端口，所以在“選擇服務器”對話框中填寫此IP地址，步驟參考“RDP”規(guī)則的創(chuàng)建方法。 但是在“選擇協(xié)議”對話框中，需要另做配置，在此對話框中，單擊“端口”在彈出的對話框中，改 變一下對外發(fā)布的端口號，因為之前我們發(fā)布“RDP”規(guī)則時已經占用的公網(wǎng)IP的3389端口，所以在此需 要將端口改成3310（根據(jù)個人喜好自己可以使用其他端口），如圖所示 應用以上規(guī)則后，在遠程連接服務器公網(wǎng)IP的3310端口，防火墻會將連接請求轉發(fā)到內網(wǎng)192.168.10.10 的3389端口上，實現(xiàn)連接虛擬機的遠程桌面服務。 1 nternet Secur ity& Acceleration Server 2006 防火堵策略 /防火堵策略\ 1順序- J名稱 j操作 ］協(xié)溟 |從/f貞聽器 j到 |條件 |描辻 I mi EDP-3310 ?允許 噸RDF殘端.. ■ ◎外部 (192. 168.10.10 02 FTP-10000 ..丿允許 1!-^ FTP-10000 0外部 j 192- 168.10.10 03 EBP ..丿允許 LL ^RBF 殘端.. .0外部 d 192. 168.0.1 Ul境后一平 默認規(guī)則 ）拒絕 〔亠所有通訊 :二所有網(wǎng)絡C. 二所有網(wǎng)絡〔… 乞所有用F 苴他 4、發(fā)布內網(wǎng)虛擬機192.168.10.10的MSsql端口 發(fā)布虛擬機中的MSSql服務器，其實就是發(fā)布1433端口，按照“RDP”發(fā)布的方法進行就可以了，只 是在選擇協(xié)議時，在下拉列表中選擇“ Microsoft SQL Server ”協(xié)議就可以了，如圖所示 5、 發(fā)布內網(wǎng)虛擬機192.168.10.20的20000-20005端口 參考發(fā)布2的發(fā)布方法，需要注意的是，選擇協(xié)議中并沒有20000-20005端口的協(xié)議，需要自己定義一 個協(xié)議。 6、 發(fā)布內網(wǎng)虛擬機192.168.6.200的SSH端口 方法同上 7、發(fā)布內網(wǎng)虛擬機192.168.6.200的Mysql端口 方法同上 MicrwoFt* 百 InternetSecurityA Acceleration Server2006 Edition 以上各種服務發(fā)布完成后的截圖如下: /防火堵策略\ 順序- J名稱 」操作 J協(xié)溟 I從/f貞聽器 1到 |條件 WEB-20 密允許 l ._HTTF .jwtit-80 WEB-20 色所有用戶 WEB-10 翎允許 l’-KTTF 1 j J wet-iSO 』WEB-10 畠所有用戶 回3 MYSQL 的允許 £ J MYSQL 0外部 」192.168.10. 20 回4 SSH-22 的允許 SSH-22 0外部 」192.168.10. 20 回5 MSSQL 的允許 I^MicroEott . ..0外部 」192.168.10. 10 回E RDF-3310 的允許 l’-RDF 袋端.. .0外部 」192.168.10. 10 回T FTF-10000 的允許 FTF-10000 0外部 」192.168.10. 10 回8 FTF-20000 遨允許 FTF-20000 0外部 」192.168.10. 20 09 RTF 遨允許 l「：ETF 袋端.. .0外部 」192. 168.0. 國攝后一于 默認規(guī)則 ⑥拒絕 一亠所有通訊 :二所有網(wǎng)絡C. .-所有網(wǎng)絡（… .息所有用戶 防火堵策略 解決虛擬機中網(wǎng)站日志中客戶端真實 IP 問題（虛擬機） 通過ISA Server發(fā)布的網(wǎng)站同樣會出現(xiàn)虛擬機中網(wǎng)站的日志文件中記錄的都是宿主機的內網(wǎng)IP,影響 網(wǎng)站日志的訪問統(tǒng)計。 解決此問題其實很簡單，打開防火墻的網(wǎng)站發(fā)布規(guī)則修改屬性，選擇“到”選項卡，可以看到下面有 兩個選項，默認選擇的是“使請求顯示為來自 ISA 服務器計算機”，所以網(wǎng)站日志記錄的都是宿主機的 IP 地址，只要選擇“使請求顯示為來自初始客戶端”即可解決此問題，就這么簡單。 5配置虛擬機上網(wǎng) 創(chuàng)建訪問規(guī)則，使虛擬機系統(tǒng)可以訪問網(wǎng)絡以便更新操作系統(tǒng)補丁。 選擇防火墻策略，選擇“新建”一一“訪問規(guī)則”規(guī)則名稱“to internet”。規(guī)則操作選擇“允許”，在“協(xié) 議”對話框中選擇“所選的協(xié)議”，然后選擇需要的協(xié)議。 選擇內網(wǎng)的IP地址，“內部”表示物理服務器中的內網(wǎng)地址和主機，“本地主機”表示物理主機本身。 然后選擇訪問的目標地址，“外部”表示外網(wǎng)。 訪同規(guī)則目標 to internet WEB-20 HTTP WEB-10 HTTF MYSQL SSH-22 SSH-22 HTTF HTTPS FING SMTF 計算機 -]U-網(wǎng)絡 -j-本地主機 -j-內部 口口 □口 □□口 此規(guī)則應用于發(fā)送到這些目標的通訊: 網(wǎng)絡實體: 新逹聞〒編輯⑥…刪除? VT1T客尸端 一亠被隔禽的VPN客戶端 網(wǎng)絡集 地址范圉 計算機集 添加 | 關閉 I Micrttoft" 1 nternet Secu nrty & 陸斗怛苗曲 Acceleration Server 2006 ks蟲堵秉曙 Standard Edition 創(chuàng)建規(guī)則后的截圖 名稱 從/偵聽器 _丄本地主機 』WEB-20 注所有用丿 J WEB-10 箔所有用丿 』外部 」192. 168. 10.20 」192. 168. 10.20 這樣虛擬機中的系統(tǒng)就可以通過 ISA Server 訪問互聯(lián)網(wǎng)。 實踐：出于安全考慮，也可以在規(guī)則選擇目標時，指定訪問的域名、IP地址或者某個URL地址。 總結 到這里算是將全文都寫完了，這種方案托管應用多年了，一直很穩(wěn)定，而且利用 ISA Server 這個企業(yè) 級的防火墻來保護系統(tǒng)真的是很安全也很穩(wěn)定，一般的 DDOS 攻擊，只要不是流量型的攻擊都是可以很好 的保護服務器正常運行的。 ISA Server 的操作其實都比較簡單、直觀的，本文檔中只是簡單舉了幾個比較典型的實例，可以根據(jù)個 人的需要參照本文檔中的步驟進行創(chuàng)建。 宿主機的系統(tǒng)不用安裝殺毒軟件了，不然會拖慢系統(tǒng)速度，我的服務器一直沒裝，也沒出什么問題， 只要嚴格限制宿主機訪問網(wǎng)絡一般不會出什么問題。 可以在網(wǎng)上查一些系統(tǒng)優(yōu)化方面的資料優(yōu)化一下系統(tǒng)，然后對系統(tǒng)做一個GHOST備份，最好裝一個一 鍵GHOST，這樣可以遠程對系統(tǒng)進行回覆操作。 注意：在恢復系統(tǒng)之前，對防火墻策略做一下備份。 最后，此方案中沒有提到服務器硬件的配置，這個可以根據(jù)不同的需求配置硬件。我個人建議增加內 存和提高磁盤IO是關鍵。因為運行的虛擬機多了，磁盤IO就會成為瓶頸。