在虛擬主機和虛擬機上運行反病毒掃描是應該做的事情。不在于反病毒掃描是否提供了有價值的防護，而是由于反病毒程序嚴重影響了系統的性能。幸運的是，你可以優化反病毒程序來減少它消耗的主機資源。本文中，作者Rob McShinsky介紹反病毒軟件作用于主機和虛擬機的關鍵點。上文介紹了對虛擬主機反病毒掃描的考慮，下面看看虛擬方面的考慮。

對虛擬機反病毒掃描的考慮

對于任何虛擬主機，在虛擬機上運行反病毒的架構都是一個很大的缺陷。反病毒程序同時在多個虛擬機上進行掃描，有使主機資源池用盡的可能。

在你部署反病毒產品到虛擬機之前，權衡以下的考慮：

◇ 掃描時間。按計劃的反病毒掃描也會影響主機資源的飽和。如果很少量的虛擬機運行很占用CPU的掃描是可以的。但是假如在一臺擁有8個CPU核心的主機中，當20臺虛擬機同時使用它們50%的CPU，問題就會出現。在我的經驗中，20臺虛擬機最高的CPU使用只出現在反病毒掃描中。很明顯，反病毒廠商必須允許用戶隨機掃描的時間來減小主機CPU飽和的可能。

◇ 其它的掃描。按訪問掃描和快速掃描同樣很耗費資源。通常，對于完全掃描有具體的排除項設置和可供調整的地方。但是對這類掃描只有很少或者沒有可調整的設置。類似于完全掃描，按訪問掃描應該具有調整例如排除項這類設置的能力。另一面，快速掃描有時在一個新的病毒庫到達后開始。我曾經使用過一款反病毒程序，當我對完全掃描和按訪問掃描都進行調整后，只有快速掃描嚴重拖慢了主機服務器。這種情況下，我被迫通過修改每臺主機的注冊表來禁止快速掃描。因此，當挑選反病毒軟件的時候，要注意這些掃描的選項。

◇ 程序以及病毒庫升級。一款好的反病毒軟件允許用戶選擇自動或者手動升級。病毒庫升級同樣應該允許隨機分布。你也許需要立刻升級你的病毒庫。所以反病毒軟件的設計需要靈活。
當你已經應用了反病毒軟件，下面是優化它在虛擬機中性能的方法。

◇ 內存。這里是反病毒軟件的戰場。越低的內存使用對虛擬機也越好。如果缺少有效的動態內存分布，一切額外的分配給虛擬機們的內存都會降低總體的虛擬機對主機的比例，并且減少虛擬壞境的開銷節省。

◇ CPU。同樣，越低的CPU使用越好。不論對虛擬還是實體的系統都是如此。但是由于是在一個共享的主機資源環境中，對虛擬機額外的CPU使用是非常嚴重的。尋找那些能夠設置CPU最大使用率或掃描進程優先級的反病毒廠商。比如，一個使用滑動條來調整CPU使用的廠商。

◇  Disk I/O。顯然，文件掃描增加磁盤I/O。與增加的CPU和內存使用相結合，當多個虛擬機掃描他們的文件時，一個磁盤子系統的資源會被備受壓力。隨機反病毒掃描，加上合適的排除項，可以保證最小化磁盤資源飽和。

在共享資源的環境中，即使很小的虛擬機資源增加也會極大的影響到主機。有些問題已經在物理服務器中經歷了很多年了。但是這些問題在例如虛擬主機服務器這種共享資源環境中會成級的放大。

添加反病毒軟件來增強虛擬環境的安全不應該以犧牲性能為代價。但是反病毒產品需要進一步的創新來適應虛擬化和云架構。

【編輯推薦】

1. 桌面虛擬化挨個兒數：Citrix篇
2. 紅帽棄用Xen支持 用戶該何去何從？
3. 我為父母幾十次講解桌面虛擬化
4. 解析：如何打造完善的桌面虛擬化基礎架構
5. 主流桌面虛擬化挨個兒數：紅帽篇
6. 紅帽與思科將在虛擬化技術集成領域擴大合作關系
7. 存儲虛擬化對中小企業應用有哪些益處？