发布日期:2013-04-28 15:56 来源:中国电信网络安全实验室 标签: 核心 架构 安全
 

IaaS核心架构安全(1)

虚拟化技术是开展IaaS云服务的基础。它把数据中心包括服务器、存储、网络在内的IT硬件资源抽象化成逻辑的虚拟资源池后,通过网络传递给客户,从而实现资源的统计复用。

虚拟化技术是将底层物理设备与上层操作系统、软件分离的一种去耦合技术,它通过软件或固件管理程序(Hypervisor)构建虚拟层并对其进行管理,把物理资源映射成逻辑的虚拟资源,对逻辑资源的使用与物理资源差别很小甚至没有区别。虚拟化的目标是实现IT资源利用效率和灵活性的最大化。

虚拟化技术具有悠久的历史,20世纪60年代为提高硬件利用率对大型机硬件进行分区就是最早的虚拟化原型。经过多年的发展,业界已经形成多种虚拟化技术,包括服务器虚拟化、网络虚拟化、存储虚拟化、应用虚拟化等,与之相关的虚拟化运营管理技术也被广泛研究。虚拟化能有效整合数据中心服务器,提升资源的利用率,简化数据中心结构,减少运营成本,并能提高关键应用的可靠性。这些优点,使得虚拟化逐渐成为企业数据中心IT基础架构的关键部分。

1.IaaS关键技术

与IaaS相关的虚拟化技术主要包括服务器虚拟化、存储虚拟化和网络虚拟化。

(1)服务器虚拟化

服务器虚拟化也称系统虚拟化,它把一台物理计算机虚拟化成一台或多台虚拟计算机,各虚拟机间通过被称为虚拟机监控器(Virtual Machine Monitor,VMM)的虚拟化层共享CPU、网络、内存、硬盘等物理资源,每台虚拟机都有独立的运行环境,如图4-1所示。虚拟机可以看成是对物理机的一种高效隔离复制,要求同质、高效和资源受控。同质说明虚拟机的运行环境与物理机本质上是相同的;高效指虚拟机中运行的软件需要有接近在物理机上运行的性能;资源受控指VMM对系统资源具有完全的控制能力和管理权限。

服务器虚拟化

按VMM提供的虚拟平台类型可将VMM分为两类:完全虚拟化(Full Virtualization),它虚拟的是现实存在的平台,现有操作系统无须进行任何修改即可在其上运行,完全虚拟化技术又分为软件辅助和硬件辅助两类;类虚拟化(Para-Virtualization),它虚拟的平台是VMM重新定义的,需要对客户机操作系统进行修改以适应虚拟环境。按VMM的实现结构还可将VMM分为以下三类:Hypervisor模型,该模型下VMM直接构建在硬件层上,负责物理资源的管理以及虚拟机的提供;宿主模型,VMM是宿主操作系统内独立的内核模块,通过调用宿主机操作系统的服务来获得资源,VMM创建的虚拟机通常作为宿主机操作系统的一个进程参与调度;混合模型,是上述两种模式的结合体,由VMM和特权操作系统共同管理物理资源,实现虚拟化。

对服务器的虚拟化主要包括CPU虚拟化、内存虚拟化和I/O虚拟化三部分,部分虚拟化产品还提供中断虚拟化和时钟虚拟化。最初的系统虚拟化主要通过软件方式实现。CPU虚拟化是服务器虚拟化最核心的部分,通常通过指令模拟和异常陷入实现。内存虚拟化通过引入客户机物理地址空间实现多客户机对物理内存的共享,常用的内存虚拟化技术有影子页表。I/O虚拟化通常只模拟目标设备的软件接口而不关心具体硬件实现,可采用全虚拟化、半虚拟化和软件模拟等几种方式。为弥补计算机硬件体系架构在虚拟化方面的缺陷,如因敏感指令导致的虚拟化漏洞,解决软件实现虚拟化存在的性能问题,Intel、AMD等芯片厂商纷纷提出了各自的虚拟化技术,在CPU、芯片组、I/O设备等硬件中增加对虚拟化的支持。Intel在x86体系架构上提供了其虚拟化硬件支持技术VT,包括CPU处理VT技术(VT-x)、芯片组VT技术(VT-d)和网络VT技术(VT-c)。AMD则提出了AMD-V(Virtualization)技术。硬件虚拟化技术的出现,极大提高了系统虚拟化技术的性能和效率。

(2)存储虚拟化

存储系统可分为直接依附存储系统(Direct Attached Storage,DAS)、附网存储系统(Network-attached Storage,NAS)和存储区域网络(Storage Area Network,SAN)三类。DAS是服务器的一部分,由服务器控制输入/输出,目前大多数存储系统都属于这类。NAS将数据处理与存储分离开来,存储设备独立于主机安装在网络中,数据处理由专门的数据服务器完成。用户可以通过NFS或CIFS数据传输协议在NAS上存取文件、共享数据。SAN向用户提供块数据级的服务,是SCSI技术与网络技术相结合的产物,它采用高速光纤连接服务器和存储系统,将数据的存储和处理分离开来,采用集中方式对存储设备和数据进行管理。

随着时间的积累,数据中心通常会配备多种类型的存储设备和存储系统,这一方面加重了存储管理的复杂度,另一方面也使得存储资源的利用率极低。于是存储虚拟化技术应运而生,它通过在物理存储系统和服务器之间增加一个虚拟层,使物理存储虚拟化成逻辑存储,使用者只访问逻辑存储,从而实现对分散的、不同品牌、不同级别的存储系统的整合,简化对存储的管理,如图4-2所示。通过整合不同的存储系统,虚拟存储具有如下优点:1)能有效提高存储容量的利用率;2)能根据性能差别对存储资源进行区分和利用;3)向用户屏蔽了存储设备的物理差异;4)实现了数据在网络上共享的一致性;5)简化了管理,降低了使用成本。

图4 2  虚拟化存储

 

相关评论

专题信息
    随着云计算技术的应用越来越广泛,云计算的可信性和安全性问题凸显。本书叙述了采用可信云安全技术解决云计算可信和安全问题的方法。可信云安全技术是在云计算环境中,针对云端互动的人进行可信计算和安全计算的技术。