系统虚拟化技术推进新一轮数据中心改造
服务器虚拟化屏蔽硬件的差异,为数据中心带来更高的可用性、可靠性及可维护性,但同时也带来了诸多安全问题,一类是恶意攻击导致系统不能正常服务的攻击,另一类是以窃取私密信息为目的的攻击。
X86 平台的虚拟化技术可以分为三类(不包括不同体系结构的虚拟化):
1、软件完全虚拟化
优先级压缩(Ring Compression)和二进制代码翻译(Binary Translation)相结合。基本原理是:将Guest OS 运行在较低特权级别上,执行遇到特权指令时被VMM 截获进行虚拟化。X86 架构下存在虚拟化漏洞,即作特权操作却没有触发异常的这些指令需要特殊处理,即动态扫描执行代码,如果发现这些指令便将其替换为支持虚拟化的指令块。
2、硬件辅助完全虚拟化
为了解决虚拟化漏洞的问题,
处理器生产商推出相应的虚拟化解决方案,即Intel VT/AMD-v 技术。与软件完全虚拟化不同,硬件辅助虚拟化将客户机运行在一个新的模式下(non-root mode),该模式具有一套完全的运行环境,当运行到特权指令时被处理器截获并报告给VMM。VMM 进行处理并反馈给客户机运行环境。
3、半虚拟化
半虚拟化是指通过修改
操作系统的内核代码从而避免虚拟化漏洞。在现在的虚拟化系统中,也利用半虚拟的思想优化I/O 路径。 硬件辅助虚拟化是现在虚拟化主要采用的虚拟化方案,如VMware、XEN、KVM 等VMM 都属于该类型(XEN 也有半虚拟化架构)。
可以看出,VMM 将Guest OS作为自己的应用实例运行在其之上,提供Guest OS 运行所需的资源,如运行时资源(内存、相关寄存器)、存储、I/O(如网络)等,另外为了提升效率或可管理性,也提供了一个PV Tools 安装在Guest OS中,并在VMM 中有对应的后端。这些资源对于Guest OS 来说是透明的,不过对于VMM 来说是完全感知的。
存储
Guest OS 的磁盘在VMM 看来是一个文件,即镜像文件,这个文件具有多种格式,常见的有VMDK、VHD、VDI、QED、QCOW2、RAW 等。这些镜像文件都可以通过VMM 平台的工具进行挂载读取。若Guest OS 在安装时未作磁盘加密,那么这些镜像文件在挂载后,Guest 的磁盘文件就可以被读取。而为了管理方面虚拟化方案提供商往往提供未加密的磁盘镜像文件。比较传统主机,虚拟化场景下的虚拟主机的磁盘文件更容易被窃取和攻击。
责编:李玉琴
微信扫一扫实时了解行业动态
著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
|
最新专题
推荐圈子
|
DB2数据的导入(Import)_导出(Expo..
Cognos 中国社区——Cognos 10.2...|
|
