《虚拟化安全解决方案》一1.1 虚拟化架构
本節(jié)書摘來自華章出版社《虛擬化安全解決方案》一書中的第1章,第1.1節(jié),作者[美]戴夫·沙克爾福(Dave Shackleford),更多章節(jié)內(nèi)容可以訪問云棲社區(qū)“華章計算機”公眾號查看
1.1 虛擬化架構
所有虛擬化的核心都是對物理硬件層計算資源的抽象。在服務器虛擬化領域中,主機是底層服務器虛擬化平臺,它將被用于向虛擬服務器提供虛擬硬件層。虛擬客戶(通常也被稱為虛擬機或VM)由一系列表示虛擬服務器或系統(tǒng)的文件組成。這些文件在與主機軟件和主機安裝的底層硬件交互中服務于特定目的。虛擬機可直接安裝在主機的本地存儲設備上或一個及多個網(wǎng)絡存儲設備上。
一些術語定義
下面是本書中使用的術語:
主機 主機是運行系統(tǒng)管理軟件的虛擬化平臺。常見的主機平臺包括VMware ESXi、Microsoft Hyper-V、Citrix XenServer、Red Hat KVM和其他。所有虛擬化系統(tǒng)都運行在這個主機管理程序平臺之上。
虛擬客戶、虛擬機、VM、客戶系統(tǒng) 一個虛擬客戶,通常稱為虛擬機(Virtual Machine, VM),是任何運行在被抽象為一個虛擬模型環(huán)境的系統(tǒng)。VM是一組文件,它代表一個基于硬件的計算平臺,包括存儲器、內(nèi)存和配置組件。
虛擬服務器 許多虛擬化項目由虛擬化基于硬件的服務器開始。術語虛擬服務器常用于指代這些服務器。虛擬服務器真的只不過是一個特殊類型的虛擬機。
管理程序是服務器虛擬化平臺的主要組件。通常被稱為虛擬機監(jiān)視器(Virtual Machine Monitor,VMM),管理程序是虛擬基礎設施的中樞神經(jīng)系統(tǒng)。它管理主機的底層硬件資源和處理所有由客戶啟動的操作系統(tǒng)(OS)和應用程序?qū)PU、內(nèi)存、I/O和硬盤資源的請求。
目前有兩種類型的管理程序:類型1管理程序根本上是獨立的操作平臺并直接安裝在主機硬件上。由于這個原因,這些管理程序常被稱為物理硬件管理程序。虛擬機運行在硬件“之上”的一層,允許通過系統(tǒng)管理軟件完成更徹底的隔離。這種類型的管理程序的一個例子是VMware的ESXi。這種類型的管理程序的例子如圖1.1所示。
類型2管理程序是安裝在現(xiàn)有操作系統(tǒng)平臺上的應用程序,如圖1.2所示。類型2管理程序的例子是VMware工作站。
理解管理程序和它們易遭受的安全問題的關鍵是理解X86 CPU架構的運行模式和特權級別(或環(huán))的概念。
運行模式 有兩種需要考慮的運行模式——實模式和保護模式。所有現(xiàn)代X86處理器為了向后兼容都啟動進入實模式,但處理器的真正能力是在保護模式中,這就是特權級別概念的由來。
特權級別 為了形象化展示特權級別,想象一組同心圓,中間的最靠近硬件,越外面的環(huán)離硬件越遠(見圖1.3)。中間的環(huán)被稱為環(huán)0,是特權最高的,在這個級別運行的軟件具有對底層主機硬件完全的控制。其他的環(huán)被標為環(huán)1到環(huán)3(最外層的環(huán))。在許多現(xiàn)代操作系統(tǒng)中,環(huán)0被稱為管理模式,是整個操作系統(tǒng)所有功能產(chǎn)生的地方。所有應用程序功能通常發(fā)生在環(huán)3,通常稱為用戶模式。
特權級別與管理程序是如何關聯(lián)的呢?
類型1管理程序與操作平臺集成,因此它運行在環(huán)0、環(huán)1或環(huán)2,而用戶操作系統(tǒng)運行在環(huán)3。
對于類型2管理程序,管理程序和客戶都作為不同的應用程序運行在環(huán)3。
這兩個管理程序模型的目的是使用戶安全地運行而不會影響“真正的”環(huán)0,因為這將影響底層主機平臺和所有其他用戶。為了實現(xiàn)這個目標,虛擬化平臺在真正的環(huán)0和用戶間創(chuàng)建了一層,這個層就是管理程序,或虛擬機監(jiān)視器(VMM)。它表示用戶虛擬機為虛擬環(huán)0,以便當它們需要內(nèi)存、硬盤、網(wǎng)絡和其他資源時,它們能完成對硬件的標準調(diào)用。影響管理程序可能意味著底層主機操作系統(tǒng)(如適用)和所有的用戶都容易暴露或遭受
攻擊。
總結
以上是生活随笔為你收集整理的《虚拟化安全解决方案》一1.1 虚拟化架构的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 《IPv6技术精要》一2.4 扩展报头
- 下一篇: 《51单片机应用开发范例大全(第3版)》