Virtualizace

Obsah

• Preèo virtualizácia
• Ako to funguje
• Úrovne virtualizácie
• Kontajnery
• Emulácia HW
• Úplná virtualizácia
• Literatura

Preèo virtualizácia

Virtualizácia - Na jednom hardvéri nám umo¾òuje spú¹»a» viacero virtuálnych operaèných systémov. Vïaka tomu sa u¹etrí na finanèných prostriedkoch za nákup nového hardvéru a elektrinu. Toto rie¹enie je vhodné najmä pre servery. Av¹ak virtualizácia je dostupná aj pre desktopy. Existuje niekoµko rôznych spôsobov ako virtualizova» PC.

Dôvody:

• Mô¾ete pou¾íva» viac OS bez re¹tartovania skutoèného PC
• Testovanie mnohých systémov bez po¹kodenia súèasného
• Skú¹anie historických OS, ktoré by so súèasným hardvérom nemuseli správne pracova»
• Bootovanie a práca s virtuálnymi CD, DVD a disketami bez pou¾itia skutoèných médií
• Vývoj multiplatformových programov alebo dokonca vlastného operaèného systému
• Práca so sie»ou medzi viacerými OS (server Linux a klient Windows)
• Testovanie nestabilného softvéru - niè tým nepokazíte
• Migrácia (vysoká dostupnos»)
• Úspora penazí za hardware, miesta, elektriny

Ako to funguje?

Hostiteµský program emuluje (predstiera) niektoré hardvérové komponenty (harddisk, grafická a zvuková karta,...). Systém, ktorý be¾í ako virtuálny, sa na prvý pohµad správa podobne, akoby bol spustený na ozajstnom poèítaèi. Ale v¹etky údaje, ktoré by ináè zapísal na fyzický harddisk, zapisuje do jediného súboru - virtuálneho disku (mô¾e ich by» aj viac, ale to nie je podstatné).

Podobne je to napr. s grafickou kartou - hostiteµský program zachytí obraz virtuálneho systému a zobrazí ho v okne. Takto mô¾eme emulova» rozmanitý hardvér. Procesor sa v¹ak zvyèajne nepredstiera kvôli pomalosti takéhoto rie¹enia.

Úrovne virtualizácie

Virtualizácia má rôzne stupne v závislosti na tom, ako veµmi je hos»ovaný systém nezávislý na hostiteµskom.

Pojmy:

• Host - hostiteµský systém
• Guest OS - hos»ovaný sytém
• Hypervisor (virtual machine monitor) - obsluha pamäti a I/O operácií, ktoré sprostredkováva hos»om; inicializuje sa skôr ne¾ jadro
• Domains - hostiteµský systém be¾í v doméne 0, hos»ovaný v doméne 1

Kontajnery

Chroot

Je to vlastnos» Linuxu izolova» nejaký proces od zbytku hierchickej ¹truktúry filesystému. V praxy sa táto vlastno» vyu¾íva hlavne na zabezpeèovanie chodu démonov ako apache prípadne proftpd a podobných dangerous procesov, ked¾e potencionálny útoèník sa cez diery buï v aplikáciach alebo v dynamických web stránkach mô¾e dosta» poµahky k citlivým systémovým èi iným dôle¾itým súborom, prípadne v extrémných situláciách vykona» operáciu vedúcu k zhodeniu celého serveru a pod. Tým, ¾e tento proces uzavrieme v chroote, úto¾níkovy zostáva skrytá dôle¾itá èas» systému a pod

• Umo¾òuje procesu zmeni» koreòový adresár
• Mô¾e si to dovoli» len superu¾ívateµ
• File descriptory sa zachovávajú

+ bez straty výkonu

Jail

JPracuje na podobnom princípe ako chroot, len je to silnej¹ie. Jail má toti¾ v¹etky vlastnosti chrootu av¹ak pridáva nieèo viac. Jailom si toti¾to mô¾te pomerne µahko vytvori» virtuálny server tak, ¾e u¾ivateµia a procesy v òom budú úplne oddelený od zbytku systému, nebudú vidie» a ani môc» meni» procesy be¾iace mimo jailu a pod. Tým pádom napríklad v jaile mô¾me e¹te do vätè¹ej miery obmedzi» v òom be¾iaci proces a pod.

• Virtualizácia - ka¾dý jail má vlastné súbory, procesy, u¾ívateµov a superu¾ívateµa
• Bezpeènos» - jednotlivé jaily su od seba oddelené
• Delegácia - Superu¾ívateµ mô¾e delegova» spravovanie jednotlivých jailov (apache)

Zakázané vytvára» blokové a znakové zariadenia, nahráva» moduly do jadra, mount/umount, modifikova» sie»ovú konfiguráciu (interface, adresy, routovacie tabulky). Procesy v jednom jaily nevidia procesy v inom.

OpenVZ/Virtuozzo

Vychádza z virtuozzo, ktoré je proprietárne, av¹ak OpenVZ je pod GPL. Funguje podobne ako jail.

Projekt typu VServer - nie je úplne open source projektom, jeho kernel je vydaný pod GNU GPL, ale pou¾ívateµské nástroje sú u¾ pod obmedzenou licenciou. Podporuje len Fedoru a CentOS.

Navy¹e:

• Diskové kvóty
• Vlastný CPU planovaè - najskôr sa vyberie virtuálny server, potom proces v tomto serveri; jednotlivé servery mô¾u ma» inú prioritu
• I/O plánovaè - podobne ako s CPU
• Beancounters - mno¾ina poèítadiel, limít a záruk pre ka¾dý VS. Slú¾ia nato, aby si jeden VS neprisvojil v¹etky systémové zdroje. Napr. sie»ové bufre
• Migrácia - presun VS z jedného fyzického stroja na iný. Server sa "zmrazí" a stav sa ulo¾í do súboru, súbor sa prenesie na druhý stroj, kde sa server zo súboru obnoví. Celé to trvá pár sekúnd.

+ strata výkonu (1-3%)

- oba systémy musia by» linuxy (rôzne distribúcie povolené)

Emulácia HW

Tento spôsob virtualizácie emuluje celý hardware poèítaèa. Ka¾dá in¹trukcia sa prekladá pre emulovaný HW.

+ mô¾eme pustit OS urèeny pre inú platformu, ne¾ je hardware fyzického stroja

- pomalé (10-20% výkonu hos»ovaného systému)

QEMU (Quick EMUlator)

Je podobný projektu Bochs, no na rozdiel od neho pou¾íva dynamickú emuláciu, preto by mal poskytnú» vy¹¹í výkon. Dynamická emulácia sa od interpretácie ka¾dej in¹trukcie (ktorú pou¾íva Bochs) lí¹i tým, ¾e sa prelo¾í viac in¹trukcií naraz (napríklad celý cyklus) a tie sa potom natívne vykonajú. Aj keï je projekt open-source, jeho akceleraèný modul, ktorý výrazne zvy¹uje výkon emulátora, je ¾iaµ closed source so ¹peciálnou licenciou.

QEMU je virtualizaèný softvér urèený najmä pre tých, èo potrebujú emulova» rôzne hardvérové platformy - konkrétne x86, x86_64, ISA PC, PowerPC, Sparc, MIPS a ARM. Ponúka bohaté mo¾nosti pre profesionálov - virtualizáciu USB, sie»ové nastavenia, rôzne VGA BIOSy a pod.

Pracuje v dvoch módoch:

• User mode emulation - mô¾eme na na¹om CPU spus»i» programy kompilované pre iné CPU.
• Complete computer system mode emulation
• • Plne emulovaný systém
  • architektúry: x86, amd64, alpha, mips, sparc
  • OS: linux, windows, DOS, BSD
  • Viac systémov na jednom fyzickom HW

Existuje akcelerátor KQEMU (module pre kernel), ktorý urýchluje emuláciu (na 90% hostiteµského systému).

UML - User Mode Linux

Tento projekt vytvoril Jeff Dike. UML zastupuje strednú cestu medzi projektami typu VServer a projektami, ktoré emulujú hardware (Bochs). UML na rozdiel od VServera vytvára virtuálny hardvér, pod ktorým je mo¾né spusti» µubovolný OS, ktorý tento hardware podporuje, no v súèastnosti je to ,,len" kernel samotný. Výhodou je spustenie rôznych kernelov naraz - napríklad 2.4 a 2.6. UML oznaèuje kernel, pod ktorým sa spú¹»ajú ostatné virtuálne kernely ako host kernel. (Virtuálne kernely budem oznaèova» skratkou pre virtual machine - VM). VM pou¾ívajú host kernel iba na emuláciu hardvéru, inak sú procesy v jednotlivých VM úplne izolované od ostatných VM ako aj od host kernelu. UML poskytuje lep¹iu kontrolu zdrojov (CPU, pamä», súborový systém) ako VServer. Veµmi dobrý èlánok o UML napísaný jeho autorom vy¹iel v Redhat magazine. Ako perlièku spomeniem to, ¾e UML podporuje vnáranie (nesting), èi¾e ak si túto vlastnos» zakompilujete, tak pod jedným VM mô¾ete spú¹»a» ïal¹ie VM ...

Výhody:

• Podpora - Nemusíte patchova» kernel 2.6, od tejto vetvy (presnej¹ie od 2.5) je UML zahrnutý do kernelu (Pre 2.4.x si ale musíte stiahnu» a zakompilova» patch).
• Bezpeènos» - na rozdiel od VServeru vytvára virtualizovaný stroj (Virtual Machine) èím lep¹ie izoluje virtuálne systémy
• Umo¾òuje spusti» virtuálny kernel aj pod obyèajným pou¾ívateµom (root nie je potrebný, dokonca nie je ¾iadúci)
• Rýchlos» - UML je na rozdiel od hardwarových emulátorov výrazne rýchlej¹í
• Prístup k súborom host kernelu - ak to administrátor povolí, VM kernel mô¾e pristupova» priamo na súbory host kernelu

Nevýhody:

• Neumo¾òuje spusti» iný OS bez toho, aby bol pred tým upravený (patchnutý), a v súèasnosti je portovaný iba na kernel 2.4 a 2.6
• Nepodporuje iné architektúry ako x86 a x86_64
• Jednotlivé VM swapuje na /tmp, preto potrebujete pou¾i» tmpfs alebo /dev/anon patch
• Projekt má na prvý pohµad neprehµadnú web-stránku
• Ak chcete dosiahnu» zvý¹enie rýchlosti emulácie, musíte pou¾i» ïal¹í patch pre ,,skas" mód

XEN

Je projektom univerzity v Cambdridge a sám seba pomenováva ako virtual machine monitor (VMM) alebo hypervisor. XEN vy¾aduje modifikáciu (patchovanie) OS, ktorý chcete virtualizova», a podobne ako UML vytvára pre VM virtuálny hardvér. Tento postup oznaèuje pojmom paravirtualizácia .

XEN pomenúva VM ako domény (domains). Na rozdiel od UML XEN má vlastný privilegovaný kernel (nazývaný xen0), ktorý sa zavádza po zapnutí poèítaèa z boot loadera (GRUB). Xen0 potom zavedie hlavnú doménu nazývanú ako domain0. Z hlavnej domény je potom mo¾né spú¹ta» a ovláda» ostatné u¾ívateµom definované domény (domainU). DomainU pristupujú k hardvéru poèítaèa cez upravené volania do xen0. Xen0 potom pou¾íva ovládaèe Domain0, ktoré pristupujú k skutoènému hardvéru. Aj napriek tomuto zlo¾itému systému prístupu k hardvéru sa jedná o efektívny spôsob a zní¾enie výkonu oproti nevirtualizovanému systému je v najhor¹om prípade menej ako 10% (legenda k odkazu: L-systém bez virtualizácie, X-Xen, U-UML, V-VMWare).

Aj keï sa vo februári tohto roku objavili správy o zahrnutí XENu do zdrojového kódu linuxového kernelu a zatiaµ sa tak nestalo, stále sa o tom uva¾uje.

XEN na svojej stránke potvrdzuje budúcu podporu pre systém okien od firmy zaoberajúcej sa mikrosoftvérom . Táto podpora bude len pre nové procesory s hardwarovou podporou virtualizácie. Firme XenSource zaobrejúcej sa komerèným vyu¾itím XENu sa u¾ podarilo spusti» okná a tuèniaka naraz na vzorke budúceho procesora Intel (viac informáci v poslednej èasti, v odseku Budúcnos» je v CPU).

Výhody:

• Podporuje beh viacerých OS súèasne - momentálne sú podporované Linux (2.4 a 2.6) a NetBSD.
• Podporuje rôzne linuxové distribúcie
• Má ¹irokú pou¾ívateµskú podporu a podporu veµkých firiem
• Má kvalitnú dokumentáciu a dobre spracovanú web stránku
• Vo vývojovej verzii 3.0 podporuje presunutie VM z jedného fyzického stroja na druhý za behu (live migration)
• Intenzívne sa pracuje na portovaní ïal¹ích systémov - ako sú FreeBSD a OpenSolaris

Nevýhody:

• Zatiaµ podporuje len architektúru x86 od radu P6 (Pentium PRO), no v príprave je u¾ podpora pre x86/64, IA64, PPC a ARM

WMWare

Program VMware Workstation (èastìji oznaèován jen jako VMware) bývá mnohými oznaèován za nejdokonalej¹í nástroj pro provozování více operaèních systémù na jednom poèítaèi bez nutnosti restartování z jednoho systému do druhého (tzv. virtuální poèítaè). Nejvíce úspìchù slaví na poli testování nasazení nových systémù nebo aplikací do stávajících podnikových struktur. V¾dy» kdo by odolal mo¾nosti spustit populární program na systému, který právì má na svém poèítaèi...

Úplná virtualizácia

Pou¾íva virtuálny stroj (hypervisor) na komunikáciu medzi hos»ovaným OS a HW.

+ Umo¾òuje virtualizova» nemodifikovaný OS

+ Výkon oveµa lep¹í ako v prípade HW emulácie, av¹ak nie 100% (nieèo zo¾erie hypervisor)

- Nutná podpora HW (procesor, BIOS a doska musia podporova» virtualizáciu)

Nov¹ie procesory intel a AMD podporujú virtualizáciu. Procesory intel pou¾ívajú technológiu intel virtualization technology (vanderpool), procesory AMD pou¾íva oznaèenie "pacifica". Èi vá¹ procesor podporuje virtualizáciu, zistíte pomocou /proc/cpuinfo. Intel pou¾íva príznak vmx a AMD svm.

root@machine:~># cat /proc/cpuinfo | egrep '(vmx|svm)'
root@machine:~># flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm syscall nx lm constant_tsc pni monitor ds_cpl vmx est tm2 ssse3 cx16 xtpr lahf_lm

Kernel-based Virtual Machine (KVM)

Podpora virtualizácie v kerneli (od verzie 2.6.20). Dostupné pod (L)GPL.

Skladá sa z:

• KVM kernel module
• KVM user module
• QEMU virtual CPU core library (libqemu.a)
• Linux user mode QEMU emulator
• Súbory pre BIOS

Taktie¾ podporuje migráciu, ako aj funkcie suspend a restore. Celkom rýchlo sa vyvíja ked¾e je vyvíjané komunitou okolo jadra.

Porovnanie Softwarov:

• http://en.wikipedia.org/wiki/Comparison_of_platform_virtual_machines
• http://en.wikipedia.org/wiki/Comparison_of_application_virtual_machines

Literatura

• Archív referátù
• http://blackhole.sk/vytvarame-freebsd-jail
• http://blackhole.sk/xen-virtualizacia