全面分析微软虚拟化技术Hyper-V
毫无疑问,在业界,微软Microsoft是当之无愧的软件霸主,不仅仅在操作系统上占据巨大的市场份额,更在数据库、迁入式移动计算、搜索引擎等各个方面都具有很强的影响力,在各个领域都不容忽视。由于低估微软在产品创新和销售执行方面的能力,众多的企业在与微软的竞争中遭遇挫折。
微软进入虚拟化领域已经很有一段时间了(微软在2003年收购了推出了Virtual PC 软件的Connectix公司,并在其后推出了Virtual Server服务器虚拟化软件),在Hpyer-V推出之前,微软在虚拟化领域尤其是服务器虚拟化领域可说是略显不自信,与竞争对手VMware的频频新品相比,Virtual PC和Virtual Server的发布和宣传都十分低调,毕竟,VMware/Xen等产品凭借出色的性能已经占据了大半江山。而现在,随着Hyper-V的正式推出,企业级虚拟化领域极可能会引起一场风暴,市场格局有可能迅速改变。
为什么微软的Hyper-V会具有这样的能力呢?
注:什么是虚拟化?
Hyper-V是一个Hypervisor(系统管理程序),开发代号为Viridian,它主要作用就是管理、调度虚拟机的创建和运行,并提供硬件资源的虚拟化。Hyper-V是微软伴随Windows Server 2008最新推出的服务器虚拟化解决方案,在Windows Server 2008发布的时候,集成了一个Beta版本的Hyper-V,微软承诺在180天之内会提供正式版的Hyper-V。Window Server 2008是4月份发布的,180天就是不到6个月,因此微软会在9月到10月之间发布正式版的Hyper-V,而目前已经到了RTM阶段,可以正常使用了。
Hyper-V跟微软自家的Virtual PC、Virtual Server等产品相比,有着很显著的区别,和竞争对手VMware Server/ESX Server也有很大不同:Hyper-V在构架上绝对是一个突破性的进展!
Hyper-V虚拟化细节架构
微软发布的架构图资料有很多,然而主要内容都很相似,就是上图那样。
Hyper-V之前、Virtual Server 2005 R2的架构
Hyper-V的本质是一个VMM(虚拟化管理程序),和微软之前的Virtual Server系列产品,处在的层次不同,它更接近于硬件,这一点比较像VMware的ESX Server 系列,实际上Hyper-V属于微软的第一个裸金属虚拟化产品(Bare-Metal Virtualization)。然而,在一些基础架构上,Hyper-V和ESX Server又有着明显的不同,所以说,Hyper-V是很特别的,且看下页分解。
作为一个虚拟化产品,Hyper-V具有一个很特别的要求:处理器必须支持AMD-V
或者Intel VT技术,也就是说,处理器必须具备硬件辅助虚拟化技术。
对于一个虚拟化产品来说,要求一个硬件特性是比较奇特的事情(要求支持一个指令集不算),微软之前的Virtual Server 2005R2不需要这个特性。对于VMware的产品来说,这也只是一个可选的特性,不像Hyper-V那样,是一个硬性的要求。处理器不支持VT/AMD-V,就无法运行Hyper-V。
VT-x处理器辅助虚拟化技术,是Hyper-V的硬性要求
关于VT的具体作用,可以查看x86虚拟化难题解决:Intel VT或者《从VT-x到VT-d Intel虚拟化技术发展蓝图》。VT,或者AMD-V,是一种硬件辅助虚拟化技术,用来解决Ring Privilege的问题,传统处理器下虚拟机通过使用指令转换的方法来在Ring 3执行Ring 0特权指令,严重影响性能,而VT则解决了这个问题。对VT的依赖和支持是Hyper-V架构的基础,也是Hyper-V最大的特点。
也因为Hyper-V需要处理器支持硬件虚拟化辅助,一部分处理器无法应用Hyper-V,只有较新、非Value型的处理器才能应用。例如访问https://www.doczj.com/doc/7517906859.html,只有75%的几率碰到部署在Hyper-V上的虚拟化服务器,剩下的25%都是未Hyper-V虚拟化
的服务器。要在这些服务器上应用虚拟化,用户只能选择Virtual Server 2005 R2,或者其它公司的产品。
Microsoft Hyper-V和VMware ESX Server是比较相像的,都是Bare-Metal类型,但是它们的内核架构也有着明显的不同。微软在谈到竞争对手ESX Server时,总会提到,Hyper-V是微内核架构的,而ESX Server是单内核架构,Hyper-V要更好。
这两者具有什么不同?到底谁更好呢?
单内核(分层的内核)与微内核
单内核和微内核实际上是操作系统内核术语,操作系统的内核——实现核心功能的那部分——可能是微内核(Micro kernel),也可能是单内核(Monolithic kernel,有时也叫宏内核Macro kernel)。按照类似封装的形式,这些术语定义如下:
微内核(Micro kernel)――在微内核中,最常用的功能被精心挑选设计在内核模式(或者按照上一页的说法,在x86上是Ring 0权限下)运行的一个进程上,而其它大部分不怎么重要的核心功能都作为单独的进程运行在用户模式下(类似地,Ring 3权限下)运行,它们通过消息传递进行通讯(例如,Windows采用的进程间通信IPC 机制,IPC就是Inter Process Communication)。最基本的思想就是要尽量地小。通常微内核只包含了进程调度、内存管理和进程间通信这几个根本的功能。
这种设计具有许多好处,例如增加了灵活性,易于维护,易于移植。微内核的模块化设计让其他核心功能模块都只依赖于微内核模块或其他模块,并不直接依赖硬件。要添加新的特性只需要另行编写用户模式的微内核服务器。而只需把微内核本身进行移植就能够完成将整个内核移植到新的平台上。
由于模块化的设计,不包含在微内核内的驱动程序可以动态地加载,或者卸载。同时,微内核也不依赖于固定的文件系统,用户可以随意选择对文件系统的支持。用户甚至能够在系统运行时将研发出的新系统模块或需要替换现有模块的模块直接而且迅速的加入系统。不需要的模块将不会被加载到内存中,因此微内核就能够更有
效的利用内存。微内核还具有的好处是实时性、安全性比较好,并且更适合于构建分布式操作系统和面向对象操作系统。
微内核操作系统的典型例子是,Mach(一个非原生的分布式操作系统内核,被众多操作系统采用,例如,被应用在Mac OS X上)、IBM AIX、BeOS,以及Windows NT(Windows Server 2003和Windows Server 2008都包含其内),还有著名的Minix (一个主要用于教学的Unix系统)和Amoeba(一个真正原生的分布式操作系统)。单内核(Monolithic kernel)――单内核是个很大的进程。它的内部又能够被分为若干模块(或层次,或其他),但是在运行的时候,它是一个单独的大型二进制映象。因为是在同一个进程内,其模块间的通讯是通过直接调用其他模块中的函数实现的,而不是微内核那样在多个进程之间进行消息传递。因此在运行效率上,单内核会具有一定的好处。
单内核操作系统的典型例子是,大部分Linux,包括BSD在内的几乎所有的Unix,MS-DOS,Windows 9x。例如Sun Solaris的内核就运行着数百个线程以实现各种功能,而编译过Linux内核的人就知道Linux内核有数十MB之巨。
单内核和微内核哪个更好显然是一个很有争议性的问题,必须说明的很有趣的一点是,这种争论经常会令人想到上一个时代CPU领域中RISC和CISC的斗争。现代的成功CPU设计中都包含了任何的这两种技术,就像现在Linux(单内核)和Windows NT(微内核)实际上都是微内核和单内核的混合产物一样,只是或多或少的问题而已。历史上有过这样的争论,Linux(单内核)的作者Linus和Minix/Amoeba (均为微内核)的作者Andrew S. Tanenbaum教授在讨论组上论战,并卷入了大量的爱好者。最终Linus也同意Tanenbaum微内核架构更为先进的论点。
掉书袋就到这里,回到Hyper-V上来,通过采用微内核架构,Hyper-V在体积上很有优势,它的大小只有300k左右(似乎新版本的更加小),而VMware ESX Server 的Linux核心则非常大。就VMM虚拟化管理程序来说,需要的功能不多,因此采用微内核架构是很合适的,运行效率可以很高。不过就理论上来说,合理配置的单内核其实和微内核也很相似。哪一种性能更好?这要在测试之后才能知晓了,不过在这之前,我们接下来可以先看看微内核带来的一个好处:设备驱动程序的变迁。注:分布式操作系统(Distributed Operation Systems)
分布式操作系统DOS(可不是Disk Operation System)的具有多个定义,是是管理分布式系统的资源的操作系统。这样的说法比较抽象,我们可以通过与网络操作系统(例如,我们使用的Windows)对比来简单阐述分布式操作系统的特点:
(1)分布性。分布式操作系统的处理和控制功能均为分布式的;网络操作系统其控制功能却是集中在某个或某些主机或网络服务器中,即集中式控制方式。
(2)并行性。分布式操作系统具有任务分配功能,可将多个任务分配到多个处理单元上,使这些任务并行执行,从而加速了任务的执行;而网络操作系统通常无任务分配功能,网络中每个用户的一个或多个任务通常都在本地计算机上处理。
(3)透明性。分布式操作系统通常能很好地隐藏系统内部的实现细节。包括对象的物理位置、并发控制和系统故障等对用户都是透明的。例如,当用户要访问某个文件时,只需提供文件名而无须知道(所要访问的对象)它是驻留在那个站点上,即可对它进行访问,亦即具有物理位置的透明性。此外,当分布式操作系统运行一个程序时,该程序无需经过特别设计以及经过用户特别设置,就可以自动划分到多个处理器上并行运行。
(4)共享性。分布式操作系统支持系统中所有用户对分布在各个站点上的软硬件资源的共享和透明方式访问。而网络操作系统所提供的资源共享功能仅局限于主机或网络服务器中资源,对于其它机器上的资源通常仅有使用该机的用户独占。
(5)健壮性。分布式操作系统由于处理器和控制功能的分布性而具有较好的可用性和可靠性,即健壮性,只有所有的处理节点损坏,一个分布式操作系统才算是崩溃了。
典型的分布式系统包括了SETI@Hom这样的项目,Cluster、集群、云计算,也属于分布式操作系统的范畴。典型的分布式操作系统有Amoeba、Mach、DCE等。
无论采用什么内核,驱动程序和文件系统总是必要的,虚拟机需要使用服务器的硬件就需要驱动程序,虚拟机的文档需要保存在适当的文件系统上。在单内核的VMware ESX Server上,驱动程序包含在单内核内部,虚拟机映像文件则保存在VMFS(一种类似EXT的文件系统)上,那么微内核架构的Hyper-V呢?
这就要谈到Hyper-V的VSP/VSC架构了,VSP是Virtualization Service Provider(虚拟化服务提供者),VSC则是Virtualization Services Consumer(虚拟化服务消费者),还有一个VMBus部件将放在“宿主操作系统”的VSP和虚拟机操作系统的VSC连接起来。实际上“宿主操作系统”也是一个虚拟机——就是你最初安装的、带有Hyper-V的Windows Server 2008,微软将其称为Parent Partition操作系统,而每一个虚拟机则称为Child Partition,虚拟机操作系统则称为Child Partition操作系统。
VSP与VPC,注意VSP并不是Virtual Storage Provider的缩写。Virtual Storage Provider
属于VSP的一种
上图很好地解释了Hyper-V使用VSP/VSC架构解决驱动程序/文件系统的方式,通过加入VSP和VSC以及它们互相沟通的VMBus总线,Hyper-V将虚拟机的操作映射入Parent Partition的对应驱动程序/文件系统中,简化起来就如下图:
Hyper-V的VSPs/VSCs、VMBus架构
这种方式具有不少好处,例如,最明显地,Hyper-V可以兼容大量的驱动程序,而不必为虚拟机开发专用的驱动程序(ESX Server就是这样干的)。我们知道对于服务器而言,很重要的一个组成部分就是I/O,一个IO设备没有驱动程序是无法工作的。现在,只要设备能在Windows Server 2008下工作,那么Hyper-V虚拟机就能使用这些设备资源,再加上Windows驱动天生就比其他操作系统(如Linux)的驱动丰富,因此在硬件支持上Hyper-V具有着无可比拟的优势。VMware ESX Server甚至不能直接应用Linux驱动程序,需要另外进行额外的操作才能使用,因此VMware ESX Server容易遇到设备兼容性方面的问题,当然用户可以使用具备VMware认证的全套硬件以避免这个问题。
有利就有弊,VSP/VSC架构需要支持Hyper-V技术的客户端的支持,这样就大为限制了虚拟机操作系统的选择,不支持Hyper-V的客户操作系统只能使用设备模拟的方式,性能和以前的Virtual Server 2005 R2没有太大的分别,要享受到Hyper-V性能的提升,需要虚拟机使用Windows Server 2008,或者内含Xen的Linux/Unix。
Hyper-V的客户机操作系统的选择确实只注明了Windows和少数几种Linux,虽然笔者猜测或多或少有着商业策略上的因素,不过从技术上来看,确实也有一些限制。Hyper-V设备驱动的这个优点正好就和微内核驱动程序架构的优点一样,模块化,架构灵活,不需要更改就可以提供新硬件的支持。敏锐地用户可能会觉察到进程间通信带来的开销——确实有这样的问题,笔者曾询问微软的工程师,他们表示性能会有一点点地折扣。从笔者来看,通过内存地址转换的方式,开销有可能降到非常低。
顺便提一下,设备虚拟硬件辅助VT-d技术在Hyper-V下的实现很轻松,只需要开发Windows Server 2008下的驱动程序,不需要对Hyper-V进行改动。
Hyper-V还具有一个关于性能的重要特性:多处理器虚拟机,Hyper-V支持4 CPU 的Windows Server 2008虚拟机,和2 CPU的Windows Server 2003虚拟机。多处理器虚拟机并不是一个Hyper-V才具有的特性,VMware的ESX Server早已经实现4 CPU的虚拟机,并且是在各种操作系统下(WMware Workstation也能提供2 CPU
的虚拟机)。
如果服务器工作负载需要很高的性能,我们可以考虑使用多处理器的虚拟机。数据库服务器可以消耗掉大量的处理器资源,这时,多处理器虚拟机就是很必须的,就像我们做过的测试那样。当然,只有当工作负载确实需要的时候,才应该使用多处理器虚机,因为管理更多的处理器会带来一些额外的开销。就像早期Window NT具有单处理器和多处理器两种内核一样(单处理器版本去掉了一些多处理器才有的如同步之类的模块,并作了相关优化)。
进程状态及其转换示意图,进程的就在这些状态之间“旋转”
众所周知,为了保护共享数据,需要一些同步机制,例如锁、信号量等。通常,多处理器操作系统内核和驱动会采用自旋锁(Spin Lock,类似于互斥锁,但是保持时间更短。更详细的信息可以参考《Windows Internals》第四版,P152)的机制,在获得自旋锁之前,线程并不会阻塞,而是一直处于自旋状态,前提是自旋锁只会保
持很短的时间。然而在虚拟化条件下,这个前提会被打破,因为虚拟处理器是按照时间片进行调度的。如果在保持自旋锁的时候竞争虚拟处理器,则其他虚拟处理器就要自旋很长时间,导致CPU循环的浪费,降低了虚拟机的性能。显然,多处理器虚拟机在繁忙的负载条件下,这种情况会频繁发生。
在Windows Server 2008内核以及Hyper-V Hypervisor中加入了一个创新设计,尽可能防止出现自旋锁的长时间等待条件,如果确实存在长时间等待条件,也会有效地加以检测并对其进行处理。这个方法叫做自旋锁启发方法,未实现自旋锁启发方法的虚拟机作系统将停在一个紧凑循环上旋转以等待其他虚拟处理器释放自旋锁,通常这个旋转可能会阻塞其中一个硬件CPU,从而降低了虚拟化性能。而在自旋锁启发式操作系统中,自旋锁代码会在将要发生旋转时通过Hypercall API通知Hyper-V Hypervisor管理程序,这样Hypervisoer管理程序就可以立即调度执行另一个虚拟处理器并降低不必要的CPU使用。Hyper-V还还在调度程序和内存虚拟化逻辑上进行了优化以使它们在大多数临界区中都不会被锁定,从而确保多处理器系统能够获得很好的延展性。
在前些天的媒体测试见面会上,微软中国的工程师展示了Hyper-V虚拟机的效率,表明4 CPU的Windows Server 2008虚拟机,其延展性可以和物理4 CPU系统一较高下。当然,具体的提升仍然需要通过测试来评估。
注:自旋锁启发方法其实不完全是Hyper-V的内容,它更多是Windows Server 2008的核心内容。Vista也实现了这个自旋锁启发方法。
不知不觉间说了很多显得有些深涩的内容,不过Hyper-V的特点总结起来就是:VT/AMD-V实现、微内核设计、VSP/VSC虚拟设备驱动架构以及虚拟处理器自旋锁启发架构,这些特性糅合在一起就形成了独特的Hyper-V。此外,$28的价格(或者免费:购买Windows Server 2008时附赠)也很值得一提。
微软服务器虚拟化战略的里程碑:Hyper-V
更好的性能、更广泛的兼容性、更强的安全性,以及更便宜——这就是Hyper-V,从2003年收购Connetix后就沉寂的微软并没有睡着。从最早的Terminal Services,到早期的Virtual PC、Virtual Server、SoftGrid,到今天Hyper-V的推出,这些看似不经意的动作,现在看来均是为其全面的虚拟化战略实施做铺垫。而经过这样一系列的铺垫,微软的从数据中心到桌面虚拟化、全面的端到端的虚拟化战略已经正式部署完毕,我们已经可以看到,虚拟化市场即将到来的一场暴风雨。
服务器虚拟化安全风险及防范措施 发表时间:2019-07-09T16:49:23.027Z 来源:《科学与技术》2019年第04期作者:郭金海[导读] 近年来,随着云计算技术的飞速发展,虚拟化技术已成为网络技术的发展趋势。虚拟化技术基本上集中了物理服务器的所有硬件、软件、数据、存储、网络资源,并按逻辑分配计算资源。长城汽车股份有限公司河北省汽车工程技术研究中心 071000 摘要:近年来,随着云计算技术的飞速发展,虚拟化技术已成为网络技术的发展趋势。虚拟化技术基本上集中了物理服务器的所有硬件、软件、数据、存储、网络资源,并按逻辑分配计算资源。它是实现动态架构和优化资源分配的解决方案。IBM将虚拟化定义为资源的 逻辑表示,以透明的方式提供抽象的底层资源,而不受物理约束。常用的虚拟化技术包括服务器虚拟化、软件虚拟化和基础设施虚拟化。一般来说,虚拟化是指服务器虚拟化,也称为系统虚拟化,它可以将物理硬件与操作系统分开,允许多个具有不同操作系统的虚拟服务器在同一物理服务器上独立并行运行,并使服务器的底部完成。将部门的物理资源进行抽象,形成逻辑资源池,为上层虚拟机提供标准接口。相应的硬件资源可以根据实际需要从资源池中转移,形成虚拟机。管理员可以根据实际情况调整或恢复资源,实现物理资源共享、资源动态管理、不同虚拟机之间相互独立的特点。 关键词:服务器;虚拟化安全;预防措施 1服务器虚拟化中常见的安全风险分析 1.1虚拟化项目最初不涉及信息安全 根据Gartner会议的调查数据,大约40%的虚拟化部署项目是在初始架构和规划阶段进行的,不涉及信息安全团队。通常,由于虚拟机易于备份和恢复,操作团队忽略了信息安全。事实上,虚拟化技术参数被引入到虚拟机管理器中,这不仅增加了安全风险的另一个维度,而且当出现安全问题时,位置分析往往比物理服务器的处理更重要。增加复杂性。 1.2底层虚拟化平台的隐患影响到所有托管虚拟机 物理服务器通过虚拟化平台进行虚拟化。与人类编写的任何软件一样,虚拟化平台不可避免地会包含可能被利用的嵌入式和未检测到的漏洞。近年来,vmware、kvm、xen等世界知名的虚拟化平台不断暴露出安全漏洞,而这种虚拟化攻击仍然是未知的。当黑客成功入侵虚拟机时,首先可以利用虚拟化平台的漏洞尝试控制虚拟化系统的底层进程,进行逃逸攻击,在主机服务器中执行恶意代码,导致主机服务器上的所有虚拟机都被黑客控制,obtain访问主机服务器网络的权限,并尝试获取证书、个人隐私和其他敏感度。 1.3将不同安全等级的虚拟机置于同一物理服务器,未进行有效隔离 为了节省成本和提高效率,业务软件系统服务器正朝着全虚拟化方向发展,其中包括更关键和更敏感的业务系统,这些系统需要部署在高安全性虚拟机中。当这些高安全级别的虚拟机与同一物理服务器上的低安全级别的虚拟机共存且未与网络完全隔离时,虚拟机的安全级别不仅相互影响,而且还受到低安全级别虚拟机的影响。 1.4缺乏对管理程序的安全访问控制 虚拟机管理器(VMM)是虚拟化技术的基础技术。它提供了虚拟机规划、部署、管理和虚拟基础设施优化等端到端功能,因此必须严格控制对VMM的访问。在网络配置中,如果没有适当的安全访问控制,入侵者可以通过IP地址直接连接到VMM,即使入侵者不能暴力破解VMM的登录密码,也可以发起DDOS(分布式拒绝服务)攻击。如果VMM资源耗尽,在VMM上运行的所有虚拟机也将崩溃。 1.5数据安全风险 在服务器虚拟化环境中,不同虚拟服务器的数据存储在共享的物理存储设备中。如果没有严格的数据隔离措施,数据跟踪将有泄漏敏感信息的风险。在虚拟化平台中,管理员可以轻松地创建、删除和迁移虚拟机。这些功能为平台管理和灾难恢复备份提供了便利。但是,这些操作将在系统中留下痕迹,因为在删除或迁移虚拟机之后,存储空间将在被回收并重新分配到其他虚拟机之后释放。很难确保敏感信息仍然存在,这也存在安全风险。 2服务器虚拟化的安全防范措施 2.1部署网络安全产品 为确保虚拟机能够安全稳定的运行,需要部署必要的网络安全产品。通过安装网络杀毒软件和恶意软件防护程序,能够有效防止虚拟机受到病毒入侵及恶意软件的攻击,并且要做到及时更新病毒库和恶意代码库。但需要考虑到宿主硬件的性能问题,避免由于运行在同一台物理服务器上的虚拟机同时运行杀毒软件,造成物理资源占用过载从而影响到正常运行的问题。部署网络防火墙,通过限制访问宿主服务器和虚拟机的IP地址和端口号,遵循最小权限访问原则,最大程度防止网络攻击,保证虚拟机运行环境的安全可靠。 2.2有效的补丁更新计划 在服务器虚拟化环境中,需要管理的虚拟机数量比传统模式时大幅增长,更新补丁的工作量也成倍增加,这就需要制定详尽的补丁管理计划表,来应对服务器虚拟化环境中繁重的更新补丁工作,以便有计划、分步骤的对所管理的虚拟机进行补丁更新。确保既能及时有效地对所有虚拟机更新补丁,又不会因大量虚拟机同时更新补丁而对宿主服务器造成资源占用负担。 2.3监测虚拟机间网络流量 安装网络流量监测产品,对多个点的虚拟网络流量进行采集,然后用网络性能监控管理系统对所采集的数据包进行深度分析。通过网络流量监测产品,对同一物理服务器内虚拟机间流量、不同物理服务器上虚拟机间流量和虚拟机到物理基础设施流量实现可视化管理,做到能够实时监控服务器及网内异常流量,第一时间找到问题流量源并解决问题。 2.4隔离不同安全等级的虚拟机 在虚拟化网络架构中部署虚拟安全网关,把虚拟化网络划分为内部区域和外部区域,所有虚拟业务都包含在内部区域,将不同安全等级的业务系统使用VLAN划分不同的安全域,在虚拟安全网关上配置虚拟机的网关,将网关指向核心交换机,所有宿主服务器的流量引至虚拟安全网关,实现虚拟机在不同安全域中的有效隔离。在同一个安全域中的所有虚拟机面临着同样的安全风险,所以需要把不同安全等级的虚拟机隔离在不同的安全域中,这样即使一个安全域受到攻击,也不会波及其它安全域。 2.5配置访问控制管理
云计算与云服务——试题及答案题库 一、判断题 1.各国政府都非常重视云计算产业发展,但并未在政府内部广泛推行云计算应用。标准答案:错 2. ChristopherStrachey 发表虚拟化论文,虚拟化是今天云计算基础架构的基石。标准答案:对 3.中国政府对云计算的定位是一种新“技术”。标准答案:错 4. 云计算提供了服务水平协议(SLA)以保证可用性,而网格计算并未提供。标准答案:对 5. 自主计算:具有自我管理功能的计算机系统。标准答案:对 6. 云计算是从网格计算演化而来的,能够随需应变地提供资源。标准答案:对 7. 云计算的消费者需要管理或控制云计算的基础设施,例如网络,操作系统、存储等。标准答案:错 8. 云计算是可伸缩的,网格计算不是可伸缩的。标准答案:错 9.半虚拟化技术是指虚拟机模拟了完整的底层硬件,包括处理器、物理内存、时钟、外设等。错! 10. SaaS的消费者需要管理或控制云计算的基础设施,例如网络,操作系统、存储等。标准答案:错 11. PaaS实质是将互联网的资源服务化为可编程接口。对。 12. 采用空气冷却的数据中心通常建在较高的维度上。对。 13. 全虚拟化同时能够支持多个不同的操作系统。对。 14. 操作系统虚拟化位于操作系统的底部。错。 15.异步消息通信机制,可以使得云计算每个层次中的内部组件之间及各个层次之间解耦合。对。 16.分布式文件系统基本上都有冗余备份机制和容错机制来保证数据读写的正确性。对。 17.云计算海量数据的处理对芯片只关心计算性能。错。 18. 云计算的硬件主要部署于数据中心。对。 19. 低功耗芯片是将来云计算芯片的主流,将是云计算芯片的主流发展方向。对。 20.阿里巴巴云OS是国内第二家以云计算技术为核心的,同时支持数据中心和手机终端的互联网平台。错。 二、单选题: 21.说法正确的是B。 A.网格计算提供通用的计算平台和存储空间,提供各种软件服务。错。 B。网格计算的目标是共享高性能计算能力和数据资源,实现资源共享和协同工作。对。 C云计算的资源来自不同机构。错。 D.网格计算的资源类型是异构资源。错 22.说法错误的是 A云计算平台可以灵活的提供各种功能。对。 B云计算平台需要管理人员手动扩展。错 C云计算平台能够根据需求快速调整资源。对 D用户可以在任何时间获取任意数量的功能。对
-- Xxxxxx 虚拟化平台安全应急管理办法 2015-A
前言 为提高处置虚拟化平台安全突发事件的能力,形成科学、有效、反应迅速的应急工作机制,确保重要信息系统的运行安全和数据安全,最大限度地减轻平台安全突发事件的危害,维护企业正常的生产经营秩序,特制订本应急预案。 本预案由xxxxx科起草并归口管理。 本预案主要起草人:xxxxxxxxxxxx 本预案2015年12月30日首订发布。
虚拟化平台安全应急管理办法 1 范围 本办法适用于xxxxx厂虚拟化平台的网络故障、数据安全故障、系统故障等安全事件的应急处置工作。 2 规范性引用文件 无 3 术语和定义 3.1 虚拟化平台:是指基于虚拟化技术的信息系统运行平台,负责虚拟机的托管和管理。目前,大部分厂级信息系统运行在虚拟化平台上。 3.2 虚拟机:是指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。虚拟化平台上每个业务系统就是一个虚拟机。 4 职责 4.1 xxxxx科负责本办法的归口管理; 4.2 各部门负责根据本办法要求履行应急管理职责,完成职责范围内的各项应急管理工作。 5 管理内容和方法 5.1事故类型和危害程度分析 企业建设有信息中心机房,厂级虚拟化平台部署于机房内,平台与工控系统通过光纤直连,平台与办公网通过防火墙安全隔离。厂大部分重要信息系统运行在平台上,平台存在服务器、存储、交换机等基础物理设备故障的可能,以及光纤通信线路的中断的风险。另外,平台也存在被病毒感染和恶意攻击的可能,从而造成数据丢失或系统故障,对企业务系统正常运行造成一定影响。 5.2 组织机构及职责 5.2.1成立虚拟化平台安全应急领导小组。 组长:xxxxx科科长;
虚拟化平台安全防 护方案
1.虚拟化安全挑战及防护需求 虚拟化技术的应用,帮助企业实现了资源使用及管理的集约化,有效节省了系统的资源投入成本和管理维护成本,但虚拟化这种新技术的应用,也不可避免给企业的安全防护及运维管理带来新的风险及问题。 总结来说,虚拟化技术面临的最大风险及挑战主要来自于这样几个方面: 1.网络及逻辑边界的模糊化,原有的FW等网络安全防护技术失去意 义 虚拟化技术一个最大的特点就是资源的虚拟化和集中化,将原来分散在不同物理位置、不同网络区域的主机及应用资源集中到了一台或者几台虚拟化平台上,不同的虚拟化主机间的网络及逻辑边界越来越难于控制及防护,传统方式下的网络防火墙、网络入侵检测防护等技术都失去了应有的作用。 攻击者能够利用已有的一台虚拟主机使用权限,尝试对该虚拟平台和虚拟网络的其它虚拟主机进行访问、攻击甚至是嗅探等,因此必须经过基于主机的防火墙或者虚拟防火墙实现针对统一虚拟平台、虚拟网络下的虚拟主机之间的网络访问控制和隔离。 2.系统结构的变化导致新风险 虚拟化平台在传统的“网络-系统-应用”系统架构上增加了“Hypervisor及虚拟网络”层,由于不同的虚拟机主机往往承载于同
一虚拟化平台服务器,即使2台完全独立的虚拟机主机,也可能由于虚拟平台自身(Hypervisor层)的某些缺陷及弱点(如虚拟平台本身的一些驱动漏洞),导致安全风险及攻击入侵在不同虚拟机主机之间扩散 同时,单台虚拟机的安全问题,也有可能影响整个虚拟化平台的安全;虚拟机间隔离不当,可非法访问其它VM,或者窃听VM间的通信,盗取敏感数据。 因此必须加强针对虚拟平台自身和虚拟机主机自身的安全防护。经过主机入侵检测防护系统,对虚拟平台和虚拟主机正在发生的攻击入侵行为进行实时监测及主动防护,防止虚拟平台和虚拟主机被恶意攻击及篡改. 3.资源的共享化,原有安全防护技术面临新挑战 针对虚拟化环境,一台服务器往往需要承载大量的客户端虚拟机系统,因此当所有的主机都同时进行病毒定义更新或扫描时,将形成的更新和扫描风暴势必成为一场灾难,因此如何有效降低虚拟化环境的病毒定义更新和扫描负载,直接影响到整个虚拟化平台的使用效率。因此,虚拟机服务器安全防护软件必须引入最新的虚拟机优化技术对虚拟化平台提供更完善、更可靠的保护。 2. 安全建设方案 2.1安全建设方案概述 虚拟化平台的虚拟网络安全:经过在虚拟机服务器主机上部署基
NSX 中的以下哪种集中安全保护形式负责提供统一恶意软件、防病毒和自检服务(正确) 在讨论新数据中心的设计时,您被要求确保某些特定网络相互隔离。如果不能使用VLAN,您需要更多地购买以下哪种硬件?(正确) NSX Edge 服务网关支持多种路由协议。以下哪些是NSX Edge 服务网关支持的路由协议?(请选择两项。)(正确) 如果未完全实现网络虚拟化,需要针对新计算机配置以下哪些物理网络配置任务?(请选择两项。)(正确)
您的经理要求您确定,与不使用VLAN 的网络设计相比,在使用VLAN 的网络设计中可以减少哪些硬件。以下哪几项符合条件?(请选择两项) 虚拟网络连接环境中可能使用了各种不同的技术。连接到Virtual Distributed Switch 的虚拟机可能需要与NSX 逻辑交换机上的虚拟机进行通信。利用以下哪项功能,可以在逻辑交换机上的虚拟机和分布式端口组上的虚拟机之间建立直接以太网连接?(正确) 您即将完成数据中心的配置文档,并且需要介绍与不支持中继或标记VLAN 的虚拟交换机上行链路相连接的物理交换机端口。这些端口是哪几种类型?(正确) 通过以下哪种物理网络连接设备,不同IP 子网的不同网段上的计算机可以相互进行通信?(正确)
实施第三方NSX 安全服务所采用的是以下哪种方法? 使用以下什么术语可以标识单台NSX 逻辑交换机? NSX 执行的其中一项主要功能是更新路由表和逻辑接口。以下哪个NSX 组件负责执行此任务? 推荐使用的NSX Controller 节点的最小数量是多少 NSX 逻辑路由器由两部分组成,这两部分是什么?(请选择两项。)
虚拟化技术及其应用上海市浦东科技信息中心程三艳摘编 虚拟化是一个广义的术语,在计算机方面通常是指计算元件在虚拟的基础上而不是真实的基础上运行。虚拟化技术的提出可扩大硬件的容量,简化软件的重新配置过程,模拟多CPU并行,允许一个平台同时运行多个操作系统,并且应用程序都可以在相互独立的空间内运行而互不影响,从而显著提高计算机的工作效率。 1、虚拟化技术的分类 1.1 从实现层次来分,虚拟化技术可以划分为:硬件虚拟化,操作系统虚拟化,应用程序虚拟化等。 硬件虚拟化,又叫做准虚拟化,就是用软件来虚拟一台标准电脑的硬件配置,如CPU、内存、硬盘、声显卡、光驱等,成为一台虚拟的裸机。 操作系统虚拟化,就是以原操作系统为母体样本,利用虚拟化软件克隆出多个新系统。 应用程序虚拟化,主要任务是虚拟操作系统,保证应用程序的正常运行虚拟系统的某些关键部分,如注册表等,轻量、小巧;还可以实现很多非绿色软件的移动使用,通过局域网方便快捷地分发到企业终端上,不用安装,直接使用,在应用范围和体验上超越绿色软件,大大降低了企业的IT成本。 1.2 以应用领域来划分,虚拟化技术可以划分为:服务器虚拟化、存储虚拟化、网络虚拟化、桌面虚拟化、CPU虚拟化、文件虚拟化等。 服务器虚拟化,应用了硬件虚拟化和操作系统虚拟化技术,在一台服务器运行安装多个操作系统,并且可以同时运行,就相当于多台服务器同时运行了,利用率大大提高。 存储虚拟化,是将一堆独立分布的硬盘虚拟的整合成一块硬盘,存储虚拟化的目的是方便管理和有效利用存储空间。 网络虚拟化,一般是指VPN,它将两个异地的局域网,虚拟成一个局域网,这样一些企业的OA、B/S软件,就可以像真实局域网一样进行电脑互访了。 桌面虚拟化,是在服务器上部署好桌面环境,传输到客户端电脑上,而客户端只采用瘦客户机的应用模式,即只安装操作系统,接受服务器传输来的虚拟桌面,用户看到的就像本地真实环境一样,所有的使用其实是对服务器上的桌面进行操作。 CPU虚拟化,是对硬件虚拟化方案的优化和加强。以前是用虚拟化软件把一个CPU虚拟成多个CPU,而CPU虚拟化直接从硬件层面实现,这样大大提高的性能。 文件虚拟化,是将分布在多台电脑的文件数据虚拟成一台电脑上的,这样以前找文件要去不同的机器上查找,而现在则像在一台电脑上操作一样。 2、虚拟化技术应用 虚拟化技术具有可以减少服务器的过度提供、提高设备利用率、减少IT的总体投资、增强提供IT环境的灵活性、可以共享资源等优点,但虚拟化技术在安全性能上较为薄弱,虚拟化设备是潜在恶意代码或者黑客的首选攻击对象。 目前常用的虚拟软件有VMware、Virtual PC以及微软在推的windows sever 2008中融入的Hyper-v1.0。自从全球经济危机开始,虚拟化技术被广大企业迅速应用,2009年也是虚拟化技术大潮兴起的一年。 2.1 虚拟化技术在高校信息化建设中的应用 高校信息化建设从20世纪90年代开始,已经经历了单机环境、C/S架构、B/S架构、SOA等多个发展阶段。目前,高校信息化建设已经涉及到高校的教学、科研、管理、生活、服务等相关领域,所需要的计算机平台、存储环境和网络环境多种多样,随之也带来了IT基础设施的资源利用率低和管理成本高等问题。将虚拟化技术应用到高校信息化建设中,既能提高高校信息基础设施的效率,也能提升信息化基础平台的可靠性和可维护性,降低IT相关管理成本。 使用存储虚拟化技术,将高校信息化基础设施中的所有存储资源整合为一个大的存储系统,通过统一存储数据和管理存储空间对外以透明的方式提供存储服务,根据应用系统对存储速率和访问要求的不同,提供不同的存取方式。
Xen,VMware ESXi,Hyper-V和KVM等虚拟化技术的原理解 析 XEN 与 VMware ESXi,Hyper-V 以及 KVM 特点比较: XEN 有简化虚拟模式,不需要设备驱动,能够保证每个虚拟用户系统相互独立,依赖于 service domains 来完成一些功能; Vmware ESXI 与 XEN 比较类似,包含设备驱动以及管理栈等基本要素,硬件支持依赖于 VMware 创建的驱动; Hyper-V 是基于 XEN 管理栈的修改; KVM 与XEN 方式不同,KVM 是以Linux 内核作为管理工具得。 虚拟机的体系结构 XEN 体系结构 图 3. XEN 体系结构图 一个XEN 虚拟机环境主要由以下几部分组成: XEN Hypervisor; Domain 0 —— Domain Management and Control(XEN DM&C); Domain U Guest(Dom U) 下图4 显示除了各部分之间的关系: 图 4. Xen 三部分组成之间关系图
XEN Hypervisor : XEN Hypervisor 是介于操作系统和硬件之间的一个软件描述层。它负责在各个虚拟机之间进行CPU 调度和内存分配。XEN Hypervisor 不仅抽象出虚拟机的硬件,同时还控制着各个虚拟机的执行。XEN Hypervisor 不会处理网络、存储设备、视频以及其他I/O. Domain 0: Domain 0 是一个修改过的Linux kernel,是唯一运行在Xen Hypervisor 之上的虚拟机,它拥有访问物理I/O 资源的权限,同时和系统上运行的其他虚拟机进行交互。Domain 0 需要在其它Domain 启动之前启动。 Domain U: 运行在Xen Hypervisor 上的所有半虚拟化(paravirtualized)虚拟机被称为“Domain U PV Guests”,其上运行着被修改过内核的操作系统,如Linux、Solaris、FreeBSD 等其它UNIX 操作系统。所有的全虚拟化虚拟机被称为“Domain U HVM Guests”,其上运行着不用修改内核的操作系统,如Windows 等。 2.Hyper-V 体系结构 图 5. Hyper-V 体系结构图 Hyper-V 是微软提出的一种系统管理程序虚拟化技术,采用微内核的架构,兼顾了安全性和性能的要求。Hyper-V 底层的Hypervisor 运行在最高的特权级别下,微软将其称为ring -1(而Intel 则将其称为root mode),而虚机的OS 内核和驱动运行在ring 0,应用程序运行在ring 3 下,这种架构就不需要采用复杂的BT(二进制特权指令翻译)技术,可以进一步提高安全性。从架构上讲Hyper-V 只有“硬件-Hyper-V-虚拟机”三层,本身非常小巧,代码简单,且不包含任何第三方驱动,所以安全可靠、执行效率高,能充分利用硬件资源,使虚拟机系统性能更接近真实系统性能。 Hyper-V 支持分区层面的隔离。分区是逻辑隔离单位,受虚拟机监控程序支持,并且操作系统在其中执行。Microsoft 虚拟机监控程序必须至少有一个父/ 根分区,用于运行64 位版本的Windows Server 2008 操作系统。虚拟化堆栈在父分区中运行,并且可以直接访问硬
《云计算虚拟化技术与应用》教学大纲 学时:62 代码: 适用专业: 制定: 审核: 批准: 一、课程的地位、性质和任务 本课程是云计算技术、计算机网络技术、计算机应用技术等专业的一门专业核心课程,主要讲授虚拟化技术发展史、虚拟化技术分类、虚拟化架构特性并对目前主流的虚拟化技术都有涉及,重点讲授虚拟化技术在服务器、桌面及网络上的应用。通过本课程的学习,使学生掌握虚拟化的基本知识,掌握虚拟化的基本原理和方法。能够对目前主流的虚拟化产品进行熟练的使用、部署及维护,并培养学生团结协作、严守规范、严肃认真的工作作风和吃苦耐劳、爱岗敬业等职业素养。 二、课程教学基本要求 1.了解虚拟化的基本概念及发展情况、虚拟化的技术分类及虚拟化的基本技术架构等知识。 2. 了解服务器虚拟化、存储虚拟化和网络虚拟化的基本概念及基础架构原理,了解市场主流虚拟化技术及产品。 3. 了解VMware ESXi的基本概念并熟练掌握VMware ESXi的安装、配置的基本方法与技术;了解VMware ESXi的重要功能并掌握VMware ESXi虚拟机的创建、定制技术。 4. 了解XenServer的功能特性、虚拟基础架构及XenServer系统架构,掌握XenServer服务器和XenCenter管理平台的安装、配置以及创建虚拟机环境的基本方法与技术。 5. 了解Microsoft Hyper-V的功能特性及系统架构,掌握安装Microsoft Hyper-V服务器角色以及创建、定制虚拟机环境的基本方法与技术。 6. 了解KVM的应用前景及基本功能,掌握KVM环境构建、硬件系统维护、KVM服务器安装及虚拟机维护的基本方法与技术。 7. 了解Docker的功能特性及系统架构,掌握Docker的使用技术,包括Docker的安装与卸载、Docker镜像与容器以及Docker Hub的应用技术等。 8. 掌握虚拟机服务器的部署,包括虚拟服务器的配置、工具的部署、虚拟服务器调优、虚拟服务器安全性、虚拟机备份、虚拟机业务迁移及物理机转虚拟机的方法及技术。 9. 了解虚拟化终端的类型及其特点、熟悉常见共享桌面的种类。了解主流虚拟桌面的产品及其厂商,掌握VMware View虚拟桌面的部署步骤过程。 10. 掌握虚拟专用网络VPN的部署与使用方法,包括硬件VPN和软件VPN;掌握虚拟局域网(VLAN)的部署与使用方法,包括标准VLAN、VMware VLAN和混合VLAN;掌握虚拟存储设备的配置与应用,包括IP-SAN在vSphere平台的挂载方法。 11. 掌握虚拟化架构规划的需求分析及设计选型的一般方法,能够针对具体的项目需求给出虚拟化架构规划实施方案。
最近在实战Xen中,xen和kvm,是开源免费的虚拟化软件;vmware是付费的虚拟化软件;hyper-v 比较特别,是微软windows 2008 R2附带的虚拟化组件,如果你买了足够的授权,hyper-v(包括hyper-v 2008 core)都可以免费使用。 如果是vmware或hyper-v虚拟windows系统,不管是虚拟化软件本身,还是其中的子系统,都要支付许可费用。 如果是vmware或hyper-v虚拟linux,虚拟化软件本身要支付许可费用,子系统可以用linux来节省成本。 如果是xen或kvm虚拟windows,其中的子系统要支付许可费用。 如果是xen或kvm虚拟linux,那么虚拟化软件本身和其中的子系统无需产生任何费用。 从性能上来讲,虚拟windows,如果都能得到厂商的支持,那么,性能优化可以不用担心。这几款软件全都能达到主系统至少80%以上的性能(磁盘,CPU,网络,内存),这时建议使用hyper-v来虚拟windows,微软自身的产品,虚拟windows是绝对有优势的。 如果是虚拟linux,建议首先使用xen,支持linux的半虚拟化,可以直接使用主系统的cpu和磁盘及网络资源,达到较少的虚拟化调度操作,可以达到非常高的性能,但xen操作复杂,维护成本较高。其次我们推荐kvm来虚拟linux,linux本身支持kvm的virtio技术,可以达到少量的虚拟化调度操作,得到较高的系统性能。不推荐使用hyper-v来虚拟linux,太多的不兼容性导致linux基本无法在hyper-v 上跑。 如果以上产品我们不打算买厂商支持,其中vmware和hyper-v,是不建议使用的,主要是授权问题。 这时就剩下kvm和xen了,如果虚拟windows,建议使用kvm,我们可以从redhat那里免费拿到针对windows优化过的磁盘和网络的驱动程序,可以达到较高的性能(几乎与hyper-v性能持平)。而xen的windows优化驱动不是那么容易就能拿到的(由于redhat以后不支持xen了,看看novell是否放水了,呵呵,就开放程度上来讲,redhat要好于novell)。 综上所述, 在有授权的情况下,虚拟windows,建议使用hyper-v 在有授权的情况下,虚拟linux,建议使用xen,如考虑到需要降低管理维护和学习成本,建议使用kvm。 在没有授权的情况下,虚拟windows,建议使用KVM 在没有授权的情况下,虚拟linux,建议使用xen,如考虑到需要降低管理维护和学习成本,建议使用kv
网络虚拟化介绍及应用实例 技术背景 随着社会生产力的不断发展,用户需求不断发展提高,市场也不断发展变化,谁能真正掌握市场迎合用户,谁就能够占领先机提高自己的核心竞争力。企业运营中关键资讯传递的畅通可以帮助企业充分利用关键资源,供应链、渠道管理,了解市场抓住商机,从而帮助企业维持甚至提高其竞争地位。作为网络数据存储和流通中心的企业数据中心,很显然拥有企业资讯流通最核心的地位,越来越受到企业的重视。当前各个企业/行业的基础网络已经基本完成,随着“大集中”思路越来越深入人心,各企业、行业越来越迫切的需要在原来的基础网络上新建自己的数据中心。数据中心设施的整合已经成为行业内的一个主要发展趋势,利用数据中心,企业不但能集中资源和信息加强资讯的流通以及新技术的采用,还可以改善对外服务水平提高企业的市场竞争力。一个好的数据中心在具有上述好处之外甚至还可以降低拥有成本。 1.虚拟化简介 在数据大集中的趋势下,数据中心的服务器规模越来越庞大。随着服务器规模的成倍增加,硬件成本也水涨船高,同时管理众多的服务器的维护成本也随着增加。为了降低数据中心的硬件成本和管理难度,对大量的服务器进行整合成了必然的趋势。通过整合,可以将多种业务集成在同一台服务器上,直接减少服务器的数量,有效的降低服务器硬件成本和管理难度。 服务器整合带来了巨大的经济效益,同时也带来了一个难题:多种业务集成在一台服务器上,安全如何保证?而且不同的业务对服务器资源也有不同的需求,如何保证各个业务资源的正常运作?为了解决这些问题,虚拟化应运而生了。虚拟化指用多个物理实体创建一个逻辑实体,或者用一个物理实体创建多个逻辑实体。实体可以是计算、存储、网络或应用资源。虚拟化的实质就是“隔离”—
虚拟化与云安全解决方案 目录 一、项目概述 (2) 1.项目背景 (2) 2.需求分析 (2) 二、总体方案设计 (2) 1.体系架构 (2) 2.方案简述 (3) 三、无代理终端安全解决方案 (4) 1.方案说明 (4) 2.主要优势 (4) 3.产品介绍 (6) 四、网络安全解决方案 (7) 1.方案说明 (7) 2.主要优势 (8) 3.产品介绍 (8) 五、主要/应用安全解决方案 (11) 1.方案说明 (11) 2.主要优势 (12) 3.产品介绍 (12) 六、数据安全解决方案 (15) 1.方案说明 (15) 2.主要优势 (16) 3.产品介绍 (16) 七、附录 (18) 1.vShield产品家族各组件功能比较 (18) 威睿信息技术(中国)有限公司
一、项目概述 1. 项目背景 //// 此处插入项目情况 2. 需求分析 XXXX数据中心部署了大量的x86服务器,承担着为各个业务部门提供基础设施服务的角色。随着业务的快速发展,数据中心在空间占用、能源消耗和运维管理方面的压力越来越大。采购与维护成本也有较大的增长。在没有采用虚拟化技术的情况下,资源调配很不灵活,硬件资源的总体利用率不高,存在较大的浪费。 为了应对上述问题,XXXX开始实施基础架构革新,引入虚拟化与云计算技术,先后将非核心应用与核心应用迁移到了VMware的虚拟化平台,有效降低了成本,提高了资源利用率和可用性,运维效率也得到了较大提升,缓解了信息化建设所面对的诸多压力。 在取得显著效益的同时,现有的基础架构在安全性方面又出现了新的挑战,传统的安全防护手段价格昂贵,对虚拟化平台不具感知能力,使用不够灵活,管理难度大,不能很好地满足新架构的需要,为了更好地满足业务发展的需要,急需采用更有针对性的虚拟化与云安全解决方案来保障虚拟化与云计算平台的安全性问题。 针对用户在安全方面的需求,VMware提供了专为虚拟化与云计算平台所设计的整体安全解决方案,全面涵盖了终端安全,网络安全与数据安全,该方案可以与现有的基础架构紧密集成,简单易用,灵活高效,是目前业界最佳的云安全解决方案。 二、总体方案设计 1. 体系架构 VMware云安全解决方案由vShield产品家族构成,主要包括vShield Edge,vShield App,vShield Data Security和vShield Endpoint四个组成部分,统一通过vShield Manager进行集中管理,与vCenter Server的管理界面集成。这些产品组件均可以部署在VMware的虚拟化平台之上,安装简便,使用灵活,易于维护和管理。
1、与SaaS不同的,这种“云”计算形式把开发环境或者运行平台也作为一种服务给用户提供。 A、软件即服务 B、基于平台服务 C、基于WEB服务 D、基于管理服务 2、云计算是对()技术的发展与运用 A、并行计算 B、网格计算 C、分布式计算 D、三个选项都是 3、公司通过()计算云,可以让客户通过WEBService方式租用计算机来运行自己的应用程序。 A、S3 B、HDFS C、EC2 D、GFS 4、互联网就是一个超大云。() A、正确 B、错误 5、不属于桌面虚拟化技术构架的选项是 A、虚拟桌面基础架构(VDI) B、虚拟操作系统基础架构(VOI) C、远程托管桌面 D、OSV智能桌面虚拟化 6、()不属于桌面虚拟化技术构架的选项是。 A、SAAS B、PAAS C、IAAS D、HAAS 7、与网络计算相比,不属于云计算特征的是() A、资源高度共享 B、适合紧耦合科学计算 C、支持虚拟机 D、适用于商业领域 8、云计算的基本原理为:利用非本地或远程服务器(集群)的分布式计算机为互联网用户提供服务(计算、存储、软硬件等服务)。 A、正确
9、将平台作为服务的云计算服务类型是() A、IaaS B、PaaS C、SaaS D、三个选项都是 10、Raid1是备份量极高的Raid策略,相应的他的保护能力也很强()。 A、正确 B、错误 11、我们常提到的"Window装个VMware装个Linux虚拟机"属于() A、存储虚拟化 B、内存虚拟化 C、系统虚拟化化 D、网络虚拟化 12、IaaS是()的简称。 A、软件即服务 B、平台即服务 C、基础设施即服务 D、硬件即服务 13、超大型数据中心运营中,什么费用所占比例最高() A、硬件更换费用 B、软件维护费用 C、空调等支持系统维护费用 D、电费 14、将基础设施作为服务的云计算服务类型是() A、IaaS B、PaaS C、SaaS D、三个选项都是 15、SAN属于 A、内置存储 B、外挂存储 C、网络化存储 D、以上都不对 16、利用并行计算解决大型问题的网格计算和将计算资源作为可计量的服务提供的公用计算,在互联网宽带技术和虚拟化技术高速发展后萌生出云计算。 A、正确 B、错误 17、不属于网络虚拟化的概念是 A、VLAN B、VPN
1.1 H3C CAS虚拟化平台架构 H3C公司依托强大的研发实力、广泛的市场应用和技术理解,以客户需求为导向,为企业新一代云计算数据中心基础架构提供一体化的云计算平台解决方案,帮助用户实现快速、可靠的虚拟化数据中心和云业务应用部署。H3CCAS 云平台云计算解决方案包含统一的计算资源池、统一的网络资源池、统一的存储资源池,并提供了一体化的监控和部署工具进行统一的虚拟化与云业务管理,通过简洁的管理界面,轻松地统一管理数据中心内所有的物理资源和虚拟资源,不仅能提高管理员的管控能力、简化日常例行工作,更可降低IT环境的复杂度和管理成本。 CAS云计算管理平台 服务器虚拟化、存储虚拟化和网络虚拟化只是构成云计算基础设施的硬件资源池,在云计算环境中,最重要的一点是实现资源池的自动化,避免人力对于基础设施的过多干预。H3C CAS( Cloud Automation System )通过自动化的管理平台和手段,帮助用户实现对云硬件资源和业务流程的快速部署与自动化维护和管理。 H3C CAS云计算管理平台由三个组件构成: CVK Cloud Virtualization Kernel ,虚拟化内核平台 运行在基础设施层和上层客户操作系统之间的虚拟化内核软件。针对上层客户操作系统对底层硬件资源的访问,CVK用于屏蔽底层异构硬件之间的差异性,消除上层客户操作系统对硬件设备以及驱动的依赖,同时增强了虚拟化运行环境中的硬件兼容性、高可靠性、高可用性、可扩展性、性能优化等功能。 CVM Cloud Virtualization Manager ,虚拟化管理系统 主要实现对数据中心内的计算、网络和存储等硬件资源的软件虚拟化管理,对上层应用提供自动化服务。其业务范围包括:虚拟计算、虚拟网络、虚拟存储、高可用性(HA)、动态资源调度(DRS、虚拟机容灾与备份、虚拟机模板管理、集群文件系统、虚拟交换机策略等。 CIC: Cloud Intelligenee Center ,云业务管理中心
Win2008虚拟化实战之启用Hyper-V功能 2009-7-28 来源:本站原创作者:佚名【大中小】点击:次 1.1 安装KB950050和KB951636补丁 要在Windows Server 2008中启用正式版的Hyper-V功能,需要安装Microsoft 提供的KB950050和KB951636补丁。在Windows Server 2008正式版光盘中提供的Hyper-V 只是一个测试版。安装KB950050与KB951636补丁,与启用Hyper-V功能并不冲突,如果你在安装补丁之前已经启用了Hyper-V功能,则在更新该补丁后,Hyper-V功能将会升级为正式版。如果先安装了KB950050与KB951636补丁,则在添加Hyper-V角色时,将会添加正式版的Hyper-V。本文将按照先安装KB950050与KB951636补丁,然后再添加Hyper-V 角色的顺序,介绍启用Hyper-V功能的方法。 首先,分别从 https://www.doczj.com/doc/7517906859.html,/downloads/details.aspx?FamilyID=6f69d661-5b91-4e5e-a6c0-210e629e1c42&displaylang=zh-cn 和 https://www.doczj.com/doc/7517906859.html,/downloads/details.aspx?familyid=6C7AE2A5-ACDD-4A03-B371 -26F20AECD2D6&displaylang=zh-cn 下载KB950050与KB951636补丁,然后在Windows Server 2008(X64版本)安装该补丁,主要步骤如下: (1)运行下载的"Windows 6.0-KB950050-x64"补丁,如图1所示。
虚拟化技术介绍及应用 1 虚拟化技术简介 目前虚拟化技术深入人心,从服务器到桌面都呈现出一片繁荣的景象,由此相信多数人都不会怀疑虚拟技术的可用性和研究其的必要性。通俗说来,虚拟化就是把物理资源转变为逻辑上可以管理的资源,以打破物理结构间的壁垒。虚拟化技术就其本质而言属于一种资源管理技术,它将硬件、软件、网络、存储等硬件设备隔离开来,使用户能更合理更充分的控制与管理各种资源。 1.1 术语介绍 1).宿主机,即虚拟机管理器所在的系统 2).客户机,即运行在虚拟化管理器之上的系统 3).VMM, Virtual Machine Monitor. 虚拟机监视器 4).hypervisor,也称为虚拟机管理系统(包含VMM) 2 虚拟化技术历史 IBM 早在 20 世纪 60 年代开发 System/360?Model 67 大型机时就认识到了虚 拟化的重要性。Model 67 通过 VMM(Virtual Machine Monitor)对所有的硬件接口都进行了虚拟化。但在x86平台上的虚拟化技术起步较晚,但随着x86平台CPU性能越来越强健,在市场上的应用越来越广泛,x86平台下的虚拟化技术同样得到了快速发展,特别是支持虚拟化技术的芯片辅助技术(即CPU虚拟化技术)出现以后,x86平台一直以来对虚拟化支持不佳的形象发生了很大改变,x86 平台已经成为了虚拟化技术发挥作用的重要平台之一。 虚拟化技术的发展大概经历了下面两个阶段。 初级阶段:在虚拟化早期,人们采用模拟软件技术模拟出计算机硬件和软件。模拟层与操作系统对话,而操作系统与计算机硬件对话。在模拟层中安装的操作系统并不知道自己是被安装在模拟环境下的,你可以按照常规的方法安装操作系统。这种虚拟化需要付出很大的性能代价。 高级阶段:随着虚拟技术发展的不断深化,虚拟化被带到了一个更高的级别。在模拟层(负责被虚拟机器的指令翻译)和硬件之间,不需要任何主机操作系统运行硬件上的虚拟机。虚拟机监控器直接运行在硬件上。由此虚拟化变得更加高效。 3 虚拟化技术原理 我们首先简要介绍一下虚拟化技术及其涉及的元素。虚拟化解决方案的底部是要进行虚拟化的机器。这台机器可能直接支持虚拟化,也可能不会直接支持虚拟化;那么就需要系统管理程序层的支持。系统管理程序,或称为 VMM,可以看作是平台硬件和操作系统的抽象化。在某些情况中,这个系统管理程序就是一个操作系统;此时,它就称为主机操作系统。
全面分析微软虚拟化技术Hyper-V 毫无疑问,在业界,微软Microsoft是当之无愧的软件霸主,不仅仅在操作系统上占据巨大的市场份额,更在数据库、迁入式移动计算、搜索引擎等各个方面都具有很强的影响力,在各个领域都不容忽视。由于低估微软在产品创新和销售执行方面的能力,众多的企业在与微软的竞争中遭遇挫折。 微软进入虚拟化领域已经很有一段时间了(微软在2003年收购了推出了Virtual PC 软件的Connectix公司,并在其后推出了Virtual Server服务器虚拟化软件),在Hpyer-V推出之前,微软在虚拟化领域尤其是服务器虚拟化领域可说是略显不自信,与竞争对手VMware的频频新品相比,Virtual PC和Virtual Server的发布和宣传都十分低调,毕竟,VMware/Xen等产品凭借出色的性能已经占据了大半江山。而现在,随着Hyper-V的正式推出,企业级虚拟化领域极可能会引起一场风暴,市场格局有可能迅速改变。 为什么微软的Hyper-V会具有这样的能力呢? 注:什么是虚拟化? Hyper-V是一个Hypervisor(系统管理程序),开发代号为Viridian,它主要作用就是管理、调度虚拟机的创建和运行,并提供硬件资源的虚拟化。Hyper-V是微软伴随Windows Server 2008最新推出的服务器虚拟化解决方案,在Windows Server 2008发布的时候,集成了一个Beta版本的Hyper-V,微软承诺在180天之内会提供正式版的Hyper-V。Window Server 2008是4月份发布的,180天就是不到6个月,因此微软会在9月到10月之间发布正式版的Hyper-V,而目前已经到了RTM阶段,可以正常使用了。 Hyper-V跟微软自家的Virtual PC、Virtual Server等产品相比,有着很显著的区别,和竞争对手VMware Server/ESX Server也有很大不同:Hyper-V在构架上绝对是一个突破性的进展!
下面是目前人们最担心的服务器虚拟化的五大安全问题: 1.管理失败和责任 MacDonald说,虚拟服务器的主要问题是责任。与物理服务器不同,物理服务器是数据中心或者IT经理直接负责的,而虚拟服务器经常被人们遗忘。应该要求业务部门配置虚拟机并且保证其安全吗?IT经理应该更接近物理主机吗?一个集中的主系统管理员应该负责一个企业的全部虚拟化资产吗? MacDonald说,人们不理解这个问题:当你增加虚拟服务器的时候,除了应用程序、操作系统和硬件之外,你又增加了另一层技术。你必须要保证它的安全。 2.补丁与管理 缺少责任可能出现的最明显的风险是跟不上为企业的每一个虚拟机使用补丁、维护和保证安全的不断的、劳动密集型的流程。与虚拟机所处的物理服务器不同,物理服务器是由 IT经理推出和配置的,IT经理还安装了最新的补丁。而虚拟机是由几个星期或者几个月之前创建、设置和使用补丁的服务器镜像创建的。 MacDonald说,大多数企业都保持少量的通用的“黄金”镜像,从这些镜像推出或者重新推出用于许多用途的新的虚拟机。但是,在经过辛苦的设置支持具体的应用程序或者业务需求之后,大多数企业会把数十个或者数百个服务器镜像存储在DVD或者硬盘上。 MacDonald说,你可以对虚拟机拍一个快照,把这个虚拟机写入硬盘,这样,你下一次就不用创建同样的虚拟机,并且可以利用这个虚拟机进行灾难恢复。在需要时,就推出在离线库中存储的许多虚拟机中的一个虚拟机即可。但是,大部分虚拟机都没有最新的杀毒软件特征和补丁。有些人在推出虚拟机的时候应该对虚拟机进行检查。但是,有些人经常不检查,通常也没有进行检查的方法。 微软和VMware都用自己的基本基础设施产品提供了补丁管理的时间表。这两家公司都需要把磁盘镜像存储在库中,以便定期地发布,这样它们就能够使用补丁。 然而,对于拥有数百个虚拟机镜像的库的企业来说,这是一个繁重的流程。这个流程没有解决正在运行的虚拟机的补丁状态问题,或者在几个星期或者几个月的时间里安装新的病毒特征的问题。当然,VMware、惠普和许多新兴企业现在都使用管理产品设法帮助IT实现大都数工作的自动化。 3.可见性和遵守法规 虚拟服务器的设计至少在数据中心中应该是可见的。虚拟机需要的所有的存储、带宽、地面空间或者电力都来自于虚拟机所处的物理服务器。数据中心管理员如果没有监视每一个主机中的虚拟机之间的全部联系记录,这些虚拟机就变成了一个几乎失控的看不见的网络。