馬星光　劉仁權(quán)　李書(shū)珍　任化敏

文章編號(hào)：1672-5913(2009)10-0172-03

摘要：本文針對(duì)傳統(tǒng)模式下計(jì)算機(jī)實(shí)驗(yàn)環(huán)境存在的實(shí)驗(yàn)時(shí)間和地點(diǎn)受限制、機(jī)房維護(hù)成本過(guò)高等問(wèn)題，通過(guò)使用Hyper-V服務(wù)器虛擬化技術(shù)高效運(yùn)行虛擬機(jī)、使用遠(yuǎn)程桌面等表示層虛擬化技術(shù)操作虛擬機(jī)和服務(wù)器，從而構(gòu)建開(kāi)放的實(shí)驗(yàn)環(huán)境。這一方法不但使實(shí)驗(yàn)場(chǎng)地在時(shí)空上得到了有效延伸，還大大提高了實(shí)驗(yàn)效率，降低了維護(hù)費(fèi)用。

關(guān)鍵詞：虛擬化；Hyper-V；虛擬機(jī)；TS網(wǎng)關(guān)；遠(yuǎn)程桌面

中圖分類號(hào)：G642

文獻(xiàn)標(biāo)識(shí)碼：B

1計(jì)算機(jī)實(shí)驗(yàn)環(huán)境現(xiàn)狀

在計(jì)算機(jī)教學(xué)中，實(shí)驗(yàn)操作是對(duì)學(xué)生進(jìn)行素質(zhì)教育的一個(gè)重要手段。目前，各高校的計(jì)算機(jī)實(shí)驗(yàn)環(huán)境大都存在著一些問(wèn)題。首先，學(xué)生的實(shí)驗(yàn)時(shí)間和地點(diǎn)往往局限于課堂和教學(xué)機(jī)房，實(shí)驗(yàn)操作往往無(wú)法長(zhǎng)久保留，課后學(xué)生很難再現(xiàn)課堂的實(shí)驗(yàn)環(huán)境，自學(xué)的效果大受影響，也使一些長(zhǎng)周期實(shí)驗(yàn)無(wú)法開(kāi)展。其次，對(duì)于“計(jì)算機(jī)網(wǎng)絡(luò)”等課程的實(shí)驗(yàn)，需要搭建適合團(tuán)隊(duì)操作的多用戶網(wǎng)絡(luò)環(huán)境，計(jì)算機(jī)之間的聯(lián)接方式經(jīng)常變化，通過(guò)物理手段實(shí)現(xiàn)起來(lái)成本較高。此外，實(shí)驗(yàn)條件要求越來(lái)越高，而設(shè)備更新、經(jīng)費(fèi)保障相對(duì)滯后，導(dǎo)致一些實(shí)驗(yàn)因設(shè)備性能不滿足要求而無(wú)法進(jìn)行。這些問(wèn)題在很大程度上影響了實(shí)驗(yàn)教學(xué)的開(kāi)展和學(xué)生實(shí)踐創(chuàng)新能力的培養(yǎng)。

2虛擬化技術(shù)

當(dāng)今迅速發(fā)展的虛擬化技術(shù)可以有效地解決上述問(wèn)題。

虛擬化打破了物理結(jié)構(gòu)之間的界線，可以高效利用硬件、軟件、數(shù)據(jù)、網(wǎng)絡(luò)、存儲(chǔ)等計(jì)算資源。虛擬化有許多不同的類型，包括機(jī)器虛擬化、表示層虛擬化、應(yīng)用程序虛擬化、存儲(chǔ)虛擬化、網(wǎng)絡(luò)虛擬化。

2.1服務(wù)器虛擬化

在當(dāng)今的服務(wù)器虛擬化軟件中，主要有微軟的Virtual Server 2005和Hyper-V、VMWare的ESX Servers、思杰XenServer、KVM等。

微軟于2008年6月發(fā)布了Hyper-V，它內(nèi)置于Windows Server 2008操作系統(tǒng)中。在Hyper-V模型中，hypervisor層直接運(yùn)行于服務(wù)器硬件之上，所有的子分區(qū)都通過(guò)hypervisor與硬件通信，每個(gè)子分區(qū)都有自己的操作系統(tǒng)，如圖1所示。

由于Hyper-V與Windows Server 2008的緊密結(jié)合，運(yùn)行效率高，因此我們將使用Hyper-V技術(shù)實(shí)現(xiàn)服務(wù)器虛擬化。

2.2虛擬化資源管理

微軟System Center Virtual Machine Management(SCVMM)是虛擬化數(shù)據(jù)中心的綜合管理解決方案，它能夠統(tǒng)一管理虛擬服務(wù)器、虛擬機(jī)等資源，可加快虛擬機(jī)基礎(chǔ)結(jié)構(gòu)的建設(shè)。SCVMM能可靠地進(jìn)行物理機(jī)到虛擬機(jī)的遷移(P2V)，并提供了管理控制臺(tái)、虛擬機(jī)資源庫(kù)及自助式創(chuàng)建虛擬機(jī)等功能。在SCVMM2008中，還可管理第三方的服務(wù)器虛擬化軟件。

2.3表示層虛擬化

表示層虛擬化軟件主要有微軟的Windows遠(yuǎn)程桌面(包括終端服務(wù))、Citrix Metaframe Presentation Server和Symantec PcAnywhere等。

“遠(yuǎn)程桌面”是Windows為了方便管理員維護(hù)計(jì)算機(jī)而推出的一項(xiàng)服務(wù)。管理員使用“遠(yuǎn)程桌面連接”程序連接到網(wǎng)絡(luò)上開(kāi)啟了遠(yuǎn)程桌面功能的計(jì)算機(jī)，就像自己在該計(jì)算機(jī)前直接操作一樣。

“終端服務(wù)”僅存在于Windows Server中，終端服務(wù)允許多用戶(無(wú)論是否為管理員)同時(shí)登錄到服務(wù)器上，互不干擾地操作服務(wù)器。

無(wú)論是遠(yuǎn)程桌面還是終端服務(wù)，均通過(guò)3389端口使用遠(yuǎn)程桌面協(xié)議(RDP)，但由于安全考慮，防火墻通常會(huì)阻擋該端口的連接。在Windows Server 2008中提供了“TS 網(wǎng)關(guān)”功能，它使用傳輸層安全性(TLS)隧道將RDP通信傳輸?shù)?43端口。TLS是安全套接字層(SSL)協(xié)議最新的、最安全的版本。TS網(wǎng)關(guān)封裝RDP over HTTPS，建立安全的加密連接。由于多數(shù)網(wǎng)絡(luò)會(huì)打開(kāi)443端口來(lái)支持Internet連接，因此，TS網(wǎng)關(guān)實(shí)現(xiàn)了跨越防火墻的RDP連接。

3構(gòu)建開(kāi)放的計(jì)算機(jī)實(shí)驗(yàn)環(huán)境

為建成開(kāi)放式、易管理、可彈性伸縮、安全的計(jì)算機(jī)實(shí)驗(yàn)環(huán)境，我們需要組建內(nèi)部網(wǎng)絡(luò)(內(nèi)網(wǎng))，通過(guò)內(nèi)網(wǎng)防火墻將實(shí)驗(yàn)環(huán)境發(fā)布出來(lái)。這樣，無(wú)論是在校園網(wǎng)還是在Internet上，均可操作內(nèi)網(wǎng)服務(wù)器提供的實(shí)驗(yàn)環(huán)境，如圖2所示。

3.1統(tǒng)一的資源管理和證書(shū)服務(wù)

Active Directory(AD)是一種基于Windows的目錄服務(wù)，存儲(chǔ)用戶、計(jì)算機(jī)和組等資源信息并允許用戶和其他計(jì)算機(jī)使用此信息。為了統(tǒng)一管理服務(wù)器資源和驗(yàn)證用戶身份，應(yīng)在內(nèi)網(wǎng)配置AD域服務(wù)，該服務(wù)器即為域控制器(DC)。將內(nèi)網(wǎng)中的其它服務(wù)器加入到該域中，并在AD中創(chuàng)建教師和學(xué)生帳號(hào)及相關(guān)的用戶組。

AD證書(shū)服務(wù)(AD CS)用于頒發(fā)和管理使用公鑰技術(shù)的軟件安全系統(tǒng)中的證書(shū)。我們使用AD CS來(lái)創(chuàng)建證書(shū)頒發(fā)機(jī)構(gòu)(CA)，用以接收證書(shū)申請(qǐng)、驗(yàn)證申請(qǐng)中的信息和申請(qǐng)者的身份、頒發(fā)證書(shū)、吊銷證書(shū)以及發(fā)布信息，為TS網(wǎng)關(guān)加密傳輸提供證書(shū)支持。

3.2配置Hyper-V服務(wù)器

Hyper-V是x64版本的Windows Server 2008的角色，僅支持x64架構(gòu)，因此只能安裝在x64處理器和x64操作系統(tǒng)上。Hyper-V要求CPU支持虛擬化技術(shù)，比如Intel VT或AMD-V。CPU還要支持?jǐn)?shù)據(jù)執(zhí)行保護(hù)(DEP)，如Intel XD或AMD NX。近一兩年的服務(wù)器基本上都能滿足硬件要求。CPU虛擬化和DEP的設(shè)置位于BIOS中，在安裝Hyper-V前要先啟用它們。

由于多臺(tái)虛擬機(jī)同時(shí)運(yùn)行時(shí)需要硬盤有較快的讀寫(xiě)速度，服務(wù)器最好使用高速SAS硬盤組成的RAID5或外部磁盤陣列。如果實(shí)驗(yàn)環(huán)境中同時(shí)運(yùn)行的虛擬機(jī)數(shù)量較多，單臺(tái)服務(wù)器的性能無(wú)法滿足時(shí)，可增加Hyper-V服務(wù)器的數(shù)量。

通過(guò)服務(wù)器管理器安裝Hyper-V角色后，首先使用“虛擬網(wǎng)絡(luò)管理器”創(chuàng)建“外部”類型的虛擬網(wǎng)絡(luò)，虛擬機(jī)將通過(guò)這個(gè)網(wǎng)絡(luò)進(jìn)行通信。為不影響服務(wù)器自身的網(wǎng)絡(luò)連接，服務(wù)器至少有2塊網(wǎng)卡，虛擬網(wǎng)絡(luò)選擇服務(wù)器未使用的那塊。為使虛擬機(jī)能夠自動(dòng)獲取IP地址，內(nèi)網(wǎng)中應(yīng)啟用DHCP服務(wù)。

為方便不同的教師登錄使用Hyper-V管理器，可在服務(wù)器管理器中安裝“終端服務(wù)器”角色。其中，網(wǎng)絡(luò)級(jí)身份驗(yàn)證是一種新的身份驗(yàn)證方法，在建立遠(yuǎn)程桌面連接并出現(xiàn)登錄屏幕之前完成用戶身份驗(yàn)證，有助于保護(hù)遠(yuǎn)程計(jì)算機(jī)免受惡意攻擊。但由于在Windows Server 2008和Vista之前的操作系統(tǒng)不支持這種身份驗(yàn)證，為增強(qiáng)適用性，終端服務(wù)器應(yīng)選擇“不需要網(wǎng)絡(luò)級(jí)身份驗(yàn)證”。

3.3部署虛擬機(jī)

為完成多種網(wǎng)絡(luò)環(huán)境的實(shí)驗(yàn)，減少學(xué)生安裝系統(tǒng)的時(shí)間，應(yīng)事先安裝好各種操作系統(tǒng)的虛擬機(jī)，不同操作系統(tǒng)的內(nèi)存使用建議如表1所示。如果需要使用數(shù)據(jù)庫(kù)等功能，還要適當(dāng)增加內(nèi)存數(shù)量。

為實(shí)現(xiàn)虛擬機(jī)的快速部署，可采用“母盤+差異磁盤”的形式。當(dāng)使用基于差異磁盤的虛擬機(jī)時(shí)，它仍以母盤來(lái)啟動(dòng)系統(tǒng)，但在此系統(tǒng)內(nèi)進(jìn)行的所有操作均被保存在差異磁盤內(nèi)，而不會(huì)改變母盤中的內(nèi)容。這樣不但可以快速創(chuàng)建新的虛擬機(jī)，而且節(jié)省了磁盤空間。

3.3.1創(chuàng)建表中各個(gè)操作系統(tǒng)的母盤

(1) 通過(guò)Hyper-V管理器創(chuàng)建和管理虛擬機(jī)，使用固定大小的虛擬磁盤，以提高讀寫(xiě)性能。

(2) 使用ISO光盤鏡像安裝操作系統(tǒng)，方便日后添加系統(tǒng)組件。

(3) 應(yīng)使用統(tǒng)一的命名規(guī)范，如W2008EntSp1X64、W2008StdSp1X86、VistaSp1X86、XPsp3X86等。

(4) 除教師使用的管理員帳號(hào)外，在虛擬機(jī)中再為學(xué)生設(shè)置管理員用戶名和密碼，并配置為下一次登錄時(shí)必須更改密碼，確保每個(gè)虛擬機(jī)除教師外，只有使用者可操作，保護(hù)其實(shí)驗(yàn)過(guò)程。

(5) 安裝虛擬機(jī)的集成服務(wù)，以實(shí)現(xiàn)在“虛擬機(jī)連接”和“遠(yuǎn)程桌面會(huì)話”中鼠標(biāo)等設(shè)備的正常使用。

(6) 啟用遠(yuǎn)程桌面，并在虛擬機(jī)自身防火墻中開(kāi)放遠(yuǎn)程桌面的TCP 3389端口。

(7) 為確保其他依據(jù)母盤派生出來(lái)的系統(tǒng)與母盤之間具有不同的SID，應(yīng)使用系統(tǒng)中自帶的SYSPREP工具刪除母盤中SID，這樣就可使派生出的系統(tǒng)在第一次啟動(dòng)后自動(dòng)生成新SID。

3.3.2創(chuàng)建實(shí)驗(yàn)用虛擬機(jī)

(1) 在母盤的基礎(chǔ)上創(chuàng)建差異磁盤。

(2) 根據(jù)學(xué)生數(shù)量復(fù)制多份差異磁盤文件，并按統(tǒng)一命名規(guī)范重命名。

(3) 創(chuàng)建多個(gè)虛擬機(jī)，使用上面已經(jīng)創(chuàng)建的差異磁盤作為虛擬機(jī)的存儲(chǔ)空間。

(4) 在Hyper-V中為新建的虛擬機(jī)創(chuàng)建快照，以便日后將虛擬機(jī)快速恢復(fù)到初始狀態(tài)，實(shí)現(xiàn)虛擬機(jī)的重復(fù)使用。

3.4配置SCVMM服務(wù)器

在Windows Server 2008服務(wù)器上安裝支持Hyper-V的SCVMM2008，可統(tǒng)一管理域內(nèi)多臺(tái)Hyper-V服務(wù)器、虛擬機(jī)，并依照服務(wù)器上的庫(kù)資源和模板快速部署虛擬機(jī)。同時(shí)它還提供了“自助門戶”網(wǎng)站，可通過(guò)IE來(lái)完成相關(guān)操作。SCVMM2008的工作界面如圖3所示。

3.5配置TS網(wǎng)關(guān)

首先在CA服務(wù)器上為TS網(wǎng)關(guān)使用完全限定域名(FQDN)申請(qǐng)用于Web服務(wù)器身份驗(yàn)證的證書(shū)，并將其安裝在TS網(wǎng)關(guān)服務(wù)器的“證書(shū)(本地計(jì)算機(jī))個(gè)人”文件夾下。在Windows Server 2008服務(wù)器上安裝“TS網(wǎng)關(guān)”角色服務(wù)，并為“SSL加密”選擇上述證書(shū)。在授權(quán)策略中，將教師用戶組和學(xué)生用戶組設(shè)置為允許通過(guò)TS網(wǎng)關(guān)連接。在終端服務(wù)資源授權(quán)策略(TS RAP)中設(shè)置為允許用戶連接到網(wǎng)絡(luò)上的任何計(jì)算機(jī)。

3.6配置防火墻

在內(nèi)網(wǎng)防火墻和校園網(wǎng)防火墻上開(kāi)放到TS網(wǎng)關(guān)服務(wù)器的443端口，以便校園網(wǎng)內(nèi)外的計(jì)算機(jī)均可通過(guò)TS網(wǎng)關(guān)遠(yuǎn)程登錄到內(nèi)網(wǎng)的服務(wù)器和虛擬機(jī)上。

如果希望防火墻核查客戶端與TS網(wǎng)關(guān)之間的通信，可將防火墻配置為SSL橋接設(shè)備，以提高TS網(wǎng)關(guān)服務(wù)器的安全性。作為SSL橋接設(shè)備的防火墻接收并終止用戶到防火墻之間的SSL會(huì)話、檢查數(shù)據(jù)包后再重新建立防火墻到TS網(wǎng)關(guān)的SSL會(huì)話。這樣，防火墻就可以過(guò)濾掉有安全威脅的通信。

4使用開(kāi)放的虛擬實(shí)驗(yàn)環(huán)境

4.1設(shè)置“遠(yuǎn)程桌面連接”程序

為了教師和學(xué)生的計(jì)算機(jī)能夠通過(guò)TS網(wǎng)關(guān)連接到內(nèi)網(wǎng)，這些客戶端必須信任TS網(wǎng)關(guān)服務(wù)器證書(shū)，該客戶端才能安全地發(fā)送用戶密碼和登錄憑據(jù)完成身份驗(yàn)證。因此，客戶端要先將CA的證書(shū)安裝在受信任根證書(shū)頒發(fā)機(jī)構(gòu)存儲(chǔ)中。

在“遠(yuǎn)程桌面連接”程序的高級(jí)選項(xiàng)中設(shè)置TS網(wǎng)關(guān)地址(即申請(qǐng)證書(shū)時(shí)使用的FQDN)，如圖4所示。將要登錄的遠(yuǎn)程計(jì)算機(jī)名設(shè)置為機(jī)器名、內(nèi)網(wǎng)IP或可被TS網(wǎng)關(guān)解析為內(nèi)網(wǎng)IP的FQDN。通過(guò)身份驗(yàn)證后，客戶機(jī)就連接到TS網(wǎng)關(guān)的TCP443端口，TS網(wǎng)關(guān)則連接到目標(biāo)計(jì)算機(jī)的TCP3389端口，從而實(shí)現(xiàn)了外網(wǎng)計(jì)算機(jī)跨越防火墻的訪問(wèn)。

4.2教師操作

在實(shí)驗(yàn)開(kāi)始前，教師登錄到服務(wù)器，通過(guò)Hyper-V管理器啟動(dòng)需要運(yùn)行的虛擬機(jī)，并在學(xué)生實(shí)驗(yàn)的過(guò)程中為某些特定的狀態(tài)創(chuàng)建快照，或幫助學(xué)生將虛擬機(jī)恢復(fù)到某一狀態(tài)的快照。在全部實(shí)驗(yàn)結(jié)束后，再將虛擬機(jī)恢復(fù)到最初的快照，以便下一批學(xué)生使用。

4.3學(xué)生操作

開(kāi)始實(shí)驗(yàn)后，學(xué)生從教師那里獲取實(shí)驗(yàn)所用虛擬機(jī)的機(jī)器名、用戶名和口令，遠(yuǎn)程登錄進(jìn)入后即可進(jìn)行各項(xiàng)實(shí)驗(yàn)。如需暫停，則直接斷開(kāi)遠(yuǎn)程連接，虛擬機(jī)依舊在服務(wù)器上運(yùn)行。再次連接后即可繼續(xù)實(shí)驗(yàn)。不同的虛擬機(jī)也可以象物理機(jī)一樣互相訪問(wèn)。

學(xué)生操作Windows Server虛擬機(jī)時(shí)如需指導(dǎo)，教師可登錄到該生的虛擬機(jī)，使用遠(yuǎn)程桌面的任務(wù)管理器的遠(yuǎn)程控制功能，與學(xué)生實(shí)時(shí)交互。如果學(xué)生使用桌面系統(tǒng)如XP或VISTA出現(xiàn)問(wèn)題，則可使用遠(yuǎn)程協(xié)助功能獲得教師的指導(dǎo)。同學(xué)之間也可借助這種方式協(xié)作完成實(shí)驗(yàn)。

5總結(jié)

運(yùn)用虛擬化技術(shù)構(gòu)建的開(kāi)放式計(jì)算機(jī)實(shí)驗(yàn)環(huán)境具有很多優(yōu)點(diǎn)：

(1) 實(shí)現(xiàn)了全時(shí)空的開(kāi)放。實(shí)驗(yàn)不再受時(shí)間和空間的限制，實(shí)驗(yàn)場(chǎng)地得到了有效延伸，學(xué)生可以在校園內(nèi)外任何連接網(wǎng)絡(luò)的計(jì)算機(jī)上進(jìn)行實(shí)驗(yàn)。

(2) 服務(wù)器得以高效利用，節(jié)約經(jīng)費(fèi)、減少消耗。原來(lái)要幾十臺(tái)學(xué)生機(jī)組成的環(huán)境現(xiàn)只需幾臺(tái)服務(wù)器就可實(shí)現(xiàn)，購(gòu)置、升級(jí)、日常維護(hù)、耗電等費(fèi)用都會(huì)大幅降低。原來(lái)因?qū)W生機(jī)性能不夠而無(wú)法開(kāi)展的實(shí)驗(yàn)現(xiàn)也可正常進(jìn)行。

(3) 提高實(shí)驗(yàn)效率。運(yùn)用快照功能既可實(shí)現(xiàn)完全相同條件下的重復(fù)試驗(yàn)，又可迅速恢復(fù)到某一狀態(tài)，節(jié)省了教師和學(xué)生大量的簡(jiǎn)單勞動(dòng)，學(xué)生可集中精力研究實(shí)驗(yàn)對(duì)象本身的特性和規(guī)律。

(4) 具有很好的協(xié)作性。教師與學(xué)生、學(xué)生與學(xué)生之間可方便實(shí)現(xiàn)遠(yuǎn)程指導(dǎo)、合作實(shí)驗(yàn)、協(xié)同研究等。

(5) 促進(jìn)了學(xué)生創(chuàng)新意識(shí)和創(chuàng)新能力的培養(yǎng)。全新的實(shí)驗(yàn)環(huán)境為學(xué)生開(kāi)展創(chuàng)新活動(dòng)營(yíng)造了良好的條件。學(xué)生可以開(kāi)展綜合性實(shí)驗(yàn)和創(chuàng)新型實(shí)驗(yàn)，擺脫了原有設(shè)備條件的約束，可在更深、更廣的領(lǐng)域內(nèi)探索。

運(yùn)用虛擬化技術(shù)構(gòu)建的開(kāi)放式計(jì)算機(jī)實(shí)驗(yàn)環(huán)境發(fā)展前景會(huì)更加廣闊。

參考文獻(xiàn)：

[1] 硅谷動(dòng)力. 微軟:將虛擬化技術(shù)應(yīng)用于Dynamic IT[EB/OL]. [2008-01-29]. http://server.ctocio.com.cn/comment/85/7794585. shtml.

[2] TechTarget中國(guó). 獲得認(rèn)可,專家探討微軟Hyper-V的虛擬化架構(gòu)[EB/OL].[2008-07-22].http://product.ccidnet.com/ art/19309/20080721/1514203_1.html.

[3] Microsoft. 虛擬化管理[EB/OL].http://www.microsoft.com/china/virtualization/products/management/default.mspx.

[4] 馮長(zhǎng)江,閻建生,趙月飛. 電子實(shí)驗(yàn)網(wǎng)絡(luò)化教學(xué)手段建設(shè)[J]. 實(shí)驗(yàn)技術(shù)與管理,2002(19):50-52.