服務器虛擬化技術在高校實驗室的應用研究

吳慧婷

摘要：在實驗室建設資金有限的情況下，打破傳統(tǒng)將大型實驗教學軟件和資源裝在若干個物理服務器上，僅在購置高性能服務器的基礎上，引入服務器虛擬化技術，建立虛擬化實驗教學平臺。這樣，高校計算機實驗室可以充分利用現(xiàn)有的服務器資源，合理的分配硬件資源，節(jié)約投入成本和維護的經(jīng)費。同時從多方面考慮安全性問題，最大程度降低服務器虛擬化后帶來的諸多問題。

關鍵詞：虛擬化實驗平臺；服務器虛擬化；Hypervisor；安全性

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2015）28-0186-03

1 概述

隨著云計算、大數(shù)據(jù)技術的發(fā)展，服務器虛擬化技術已經(jīng)被越來越多的高校所采用，使用這種技術可以大大提高服務器的使用效率。虛擬化技術的關鍵在于如何提高資源的共享與資源的利用率，以及如何提高計算機實驗室的服務和支撐能力。不過，虛擬化技術在為用戶帶來利益的同時，也對用戶的數(shù)據(jù)安全以及基礎架構的安全策略提出了新的要求，因此，服務器虛擬化的安全問題也需進一步探討。

2 服務器虛擬化技術簡介

世界各地的數(shù)據(jù)中心都正在研究虛擬化技術。而服務器虛擬化技術更是一項突破性技術，它可以幫助用戶解決很多實際的問題并給用戶帶來許多利益。如通過硬件分享和服務器整合，在最大程度上提高資源的利用率；通過建立專門的虛擬服務器環(huán)境，屏蔽底層硬件在兼容性方面的問題。在高校計算機實驗室里使用設備時不再感覺受限于CPU、內存、磁盤、I/O 等硬件的物理上限，讓它們變成可以動態(tài)管理的“資源池”，從而提高資源的利用率，減少人員管理，實現(xiàn)投資最大化。虛擬化技術經(jīng)過幾十年的發(fā)展，從軟、硬件各方面都可以看到服務器虛擬化技術的身影，在兼容性，資源利用率等方面有了很大突破。

服務器虛擬化就是在一臺物理服務器上虛擬出多臺虛擬服務器，每個虛擬服務器又稱作虛擬機，每個虛擬機都有自己的CPU和內存等，同時虛擬機之間都是以獨立的方式存在，互不干擾。例如，原來有50個應用，每個應用在1臺物理服務器上，整個系統(tǒng)有50臺物理服務器；在虛擬化之后，每個應用在1臺“虛擬”服務器上，每個主機有多個虛擬機，這樣即使虛擬化1臺物理服務器也可以代替原來的50臺物理服務器。根據(jù)需要，虛擬機上可以安裝多種操作系統(tǒng)和應用程序。因此，對CPU、內存與I/O這三種基礎硬件資源的虛擬就是實現(xiàn)服務器虛擬化的關鍵。

在虛擬化產(chǎn)品的架構中，虛擬機監(jiān)控器（virtual machine monitor，VMM），又稱為監(jiān)管程序（Hypervisor），是虛擬化技術的核心。虛擬機監(jiān)控程序軟件添加到計算機系統(tǒng)上，就是對計算機系統(tǒng)進行虛擬化。在物理機上構建一個虛擬機系統(tǒng)，每個虛擬機（VM）運行自己的客戶機操作系統(tǒng)（GuestOS）。服務器虛擬化有兩種虛擬化模式：模式1是運行在某個操作系統(tǒng)（如運行在物理硬件之上的各種Windows）上的Hypervisor稱為軟件虛擬化（SoftV）。模式2是直接運行在物理硬件之上的Hypervisor稱為硬件虛擬化層（HardV）。在第1種模式中，需要一個基礎的主機操作系統(tǒng)，但是這個主機操作系統(tǒng)也是占用資源的，因此會影響運行在它之上的虛擬機的操作。在第2種模式中，Hypervisor代碼直接集成到硬件中，只把主機服務器的硬件提供給在其之上運行的虛擬機，而且只消耗主機很少的物理資源，讓更多的虛擬機在上面運行。而且，主機上并不包含常規(guī)操作系統(tǒng)，所以不需要與虛擬機中運行的操作系統(tǒng)以同樣的速率進行修補和更新，這樣就保證了虛擬機最大可能地提高性能，最大限度地減少了對機器上承載的Hypervisor的影響，并且可以使得它們獲得接近在真實機上運行的速度。Hypervisor不需要自己驅動，直接利用支持虛擬化的處理器，這樣Hypervisor可以做得很小，但效率很高。正是這些特點，HardV在生產(chǎn)及企業(yè)級應用中被普遍采用，是服務器虛擬化的最佳模式。兩種不同的服務器虛擬化模式，如圖1所示。

服務器虛擬化技術雖然可以在一套硬件平臺上運行多個虛擬機，提高資源利用率，但是該技術也存在一些安全隱患。由于多個虛擬機是共享硬件平臺的，惡意的虛擬機可能破壞同一平臺上其他虛擬機的運行，甚至竊取、篡改數(shù)據(jù)讓其崩潰。在傳統(tǒng)方式中，不同的物理服務器是相互隔離的，不會相互影響，服務器受到的惡意攻擊基本源于網(wǎng)絡，所以使用軟、硬件防火墻和殺毒軟件就能避免威脅，有效地保護服務器的安全。但是引入虛擬化技術后，多個虛擬機運行在同一個物理服務器上，這樣惡意者就有機可乘，可以直接威脅其他虛擬機甚至是服務器。服務器虛擬化的安全目標是讓多個虛擬機之間、虛擬機與服務器之間都能相互隔離，虛擬機進程只能訪問與自己相關的文件而無權訪問其他系統(tǒng)文件，同樣的系統(tǒng)進程也無權訪問虛擬機文件。

3 服務器虛擬化實驗平臺應用

3.1 需求分析

學校在培養(yǎng)應用型人才時，注重學生實踐動手能力的培養(yǎng)，因而非常重視實踐教學。開展實踐教學又離不開各種硬件設備構成的實驗平臺。目前計算機實驗室現(xiàn)有環(huán)境不能支持多門類實驗教學工作，無法滿足教學和教學實踐的需求。在教學資金有限的情況下，打造計算機實驗虛擬化教學平臺，保證學生的基礎學習需要，教師科研工作需要迫在眉睫。實驗室需要利用少有的物理服務器和一套虛擬化軟件完成實驗環(huán)境的搭建，并能支持多門課的實驗教學工作和教師的科研工作。虛擬實驗平臺要支持多操作系統(tǒng)同時共存、要有非常好的兼容性；結構要簡單，可以同時運行多個彼此隔離的虛擬機，每個虛擬機可以視為一個獨立的計算機；能夠提供先進的系統(tǒng)管理方案，能夠被輕松地部署、維護和管理。教師利用該教學平臺，可以給不同的學生分配任務，讓動手能力強的學生獲得多個虛擬機，讓學生在不同環(huán)境中做不同事情，有利于學生獲得更全面的鍛煉。

3.2 實驗虛擬化平臺搭建

服務器虛擬化是最流行的一種虛擬化技術，它讓操作系統(tǒng)不直接安裝在硬件上，讓業(yè)務服務器成為邏輯服務器，形成了邏輯層和物理層分離的結構，不僅可以方便地復用硬件資源，管理效率也大大提高。服務器虛擬化一般2種表現(xiàn)形式：第一種是將1臺物理服務器虛擬化為多臺邏輯服務器；第二種是將多臺物理服務器虛擬化為1臺邏輯服務器。在投入資金有限的情況下，計算機實驗室可采用第一種形式，選用Citrix Xenserver服務器虛擬化平臺軟件構建高效、靈活、易于管理和維護的計算機實驗教學平臺。Citrix XenServer基于強大的Xen Hypervisor程序之上，可將物理服務器和存儲資源劃分成不同的資源池。XenServer可以高效地管理 Windows（R） 和 Linux（R）虛擬服務器。

為了充足利用教學資金和教學資源，必須選用性價比高的服務器。因此實驗室盡可能選用那些性能強大、運行穩(wěn)定、能耗低的處理器，這樣能夠降低成本。例如選用戴爾高性能服務器DeLL PowerEdge，運用XenServer服務器虛擬化軟件將服務器虛擬成多個基本應用平臺。Xen Server支持直接安裝在物理機上，不需要底層的操作系統(tǒng)，但對于硬件有一定要求，安裝XenServer的服務器必須支持CPU硬件虛擬化技術，且BIOS設置中CPU開啟IntelVT或AMD/V功能；計算機實驗教學平臺搭建完成后，便可以針對不同的專業(yè)和不同的課程啟動相應的虛擬服務，這些基本應用平臺的數(shù)量和性能可以依據(jù)教學需要隨時更改。

虛擬化實驗教學平臺構造示意圖，如圖2所示。

4 安全性研究

4.1 存在問題

虛擬化技術給用戶帶來了很多便利，然而從安全角度來分析，卻又帶來了很多威脅。Hypervisor是虛擬機的核心層，因此虛擬機的安全研究也主要以Hypervisor為核心。

1） 當系統(tǒng)引導的時候，Xen被裝載到0環(huán)的內存中。它在1環(huán)上啟動修補過的內核，這被稱作Domain 0。但是Domain 0是主機上的管理系統(tǒng)，用來管理主機的物理資源和虛擬化資源，Domain 0 需要在其它 Domain 啟動之前啟，功能最強大，所以容易被惡意者攻擊，如果Domain 0癱瘓或者被攻破，那么整個虛擬機系統(tǒng)也被破壞掉。

2） Hypervisor是虛擬機的核心，它使計算機實現(xiàn)了虛擬化。Hypervisor是一個中間軟件層，是一種運行在基礎物理服務器和操作系統(tǒng)之間的中間軟件層，允許不同的操作系統(tǒng)和應用共享硬件。Hypervisor控制各種平臺資源，按照Domain0中設置的參數(shù)去設置虛擬機，處理與虛擬化有關的操作。在虛擬服務器環(huán)境中，幾個虛擬機共享主機服務器上有限的資源。如果某個虛擬機過度消耗硬件資源，會導致其他虛擬機不能正常工作。這種情況下，攻擊者就容易對單個虛擬服務器發(fā)動Dos攻擊。

3） 在有些架構中，虛擬機直接連接到一個虛擬交換機，該虛擬交換機再與物理網(wǎng)絡適配器連接。在這種情況下，每個虛擬機共享物理網(wǎng)絡適配器和虛擬交換機。如果多臺虛擬機共享一個虛擬交換機，那么虛擬機之間可以直接通信，數(shù)據(jù)不通過物理網(wǎng)絡，因此不能受硬件防火墻保護。

4. 2 安全防范措施

要確保良好的安全性，需要多管齊下。下面幾項措施可以用來保護虛擬化服務器環(huán)境。

1） 針對Domain 0的問題，可減弱它的功能，將它的功能分解到Domain1等域中，這樣可以減少Domain 0的瓶頸作用。

2） 在合理控制內存資源消耗的情況下，不讓任何一臺虛擬機消耗過度的物理硬件資源。保證Hypervisor允許對虛擬機消耗的內存和CPU時間進行控制。

3） 創(chuàng)建虛擬防火墻或者在所有的虛擬機上安裝軟件防火墻。

5 結束語

服務器虛擬化技術是將服務器物理資源抽象成邏輯資源，將一臺服務器虛擬化成許多相互隔離的服務器，使用這種技術可以大大提高服務器的使用效率。該方式打破了傳統(tǒng)的將應用部署在大量物理服務器上，利用虛擬化技術充分整合現(xiàn)有的服務器硬件資源，有效幫助解決高校實驗室硬件資源利用率低、采購成本高等問題。

參考文獻：

[1]張志國，服務器虛擬化安全風險及其對策研究[J].晉中學院學報，2010，12（3）：79-82.

[2]姜勇，服務器虛擬化技術在企業(yè)信息化中的應用[J].計算機與信息技術， 2008，8（10）：23-25.

[3]秦中元，虛擬機系統(tǒng)安全綜述 [J].計算機應用研究，2012，29（5）：67-69.

[4]羅婕.服務器虛擬化技術在計算機實驗室的實踐應用[J].計算機時代，2010（ 2） ： 43-46.

[5]姜偉.服務器虛擬化在高校計算機實驗室的應用研究[J].實驗技術與管理，2012，29（1）：114-116.