我们有几个 Windows VM(都是用户版本,没有服务器版本)。我们在 VM 内部安装了病毒扫描程序,以保护它们免受用户的攻击。但是,实时文件扫描会降低 VM 内部的 I/O 性能(我看到运行时磁盘访问时间飙升至 2000 毫秒)。将其乘以 50 倍,您就会得到大量的 I/O 流失。我们可以禁用实时文件扫描,但这违背了安装它的初衷。
我认为每隔几个小时创建快照是一个更好的解决方案,但我想问是否有其他人找到了更好的解决方案。
病毒扫描程序是 Symantec Endpoint,虚拟机在 vSphere 4.1 上运行。
答案1
如果是 Windows,它应该具有防病毒保护,无论它是虚拟机还是物理机。您对性能的评论告诉我两件事。
- 您没有足够的资源在同一主机上正确运行所有这些虚拟机。
- 您需要优化扫描设置和/或使用一些不太耗费资源的东西。
我还必须指出,你的评论
我们在虚拟机内安装了病毒扫描程序,以保护它们免受用户
要么是措辞极其不当,要么是您不明白防病毒软件的用途。
答案2
1 个字。是的。使用类似 Windows 7 中的“xp-mode”... 或大多数其他基于桌面的虚拟机将使用 NAT 来共享网络适配器... 并使该机器容易受到您的台式机无法接收的任何内容的攻击。如果它没有 NAT'ed... 那么它有一个专用 IP... 并且完全容易受到攻击... 甚至更有可能感染一个讨厌的漏洞。我唯一会说继续不使用 AV 的情况是,如果您在没有任何形式的网络访问的情况下运行。即使那样... 您仍然可能会无意中传输某些内容(通过某种共享目录设置... 或通过共享驱动器)
答案3
在 Windows VM 中,我将运行微软安全必备病毒程序。原因很明显:大多数使用非生产虚拟机“玩耍”的人都负担不起任何昂贵的防病毒解决方案的许可证。