文/陳長全
摘要:高效能計算機對系統的安全性、可靠性及性能要求較高,而虛拟化技術不僅能改變高效能計算機的使用模式,還能提高系統的性能。但在具體的應用中,虛拟化技術在适用性、管理上依舊存有一定的問題,這些問題阻礙着高效能計算機系統性能的提升,應給予足夠的重視。
關鍵詞:高效能;計算機系統;虛拟化技術;
當前,虛拟化技術已廣泛應用于安全管理、服務整合等,在提高高效能計算機産出率、改善共享服務模式的同時,也蘊藏了一定安全隐患。想要排除這些安全隐患,首先要對高效能計算機系統與虛拟化技術的關系有一個深入的認識,隻有這樣我們才能找出誘發安全隐患的問題或漏洞。
1、高性能計算系統與虛拟化技術的關系
說到虛拟化,一般是指将物理的實體,通過軟件模式,形成若幹虛拟存在的系統,其實真實運作還是在實體上,隻是劃分了若幹區域。而高性能計算的基礎是虛拟化,但虛拟化隻是高性能計算的一部分。高性能計算是在虛拟化出若幹資源池以後的應用。基于上面的理論,很多人認為,虛拟化不過是高性能計算的基礎,是高性能計算快速發展的嫁衣,而最終也不過是便宜了高性能計算,助推了高性能計算的發展,而虛拟化隻是高性能計算後面的一個小小的助推力。其實,虛拟化并不隻有這些作用,虛拟化廣泛應用與IT領域中,針對不同的資源,有着不同的虛拟化技術,如今我們可以給虛拟化大緻分為四類:内存虛拟化、存儲虛拟化、網絡虛拟化、服務器虛拟化。
1.1内存虛拟化
是指利用虛拟化技術實現計算機内存系統對内存的管理。從上層應用來看,内存虛拟化系統使得其具有連續可用的内存,即一個連續而完整的地址空間。從物理層來看,通常被分割成多個物理内存碎片。内存虛拟化的作用更多的是滿足對内存的分配,對必要的數據進行交換。
1.2存儲虛拟化
存儲虛拟化現在被提及的很多,主要思想是将存儲資源進行邏輯視圖和物理存儲分離,從而為系統提供無縫的資源管理。由于存儲标準化程度低,存儲兼容是必須要考慮的一個問題,采用存儲虛拟化技術如果源自不同的廠商,那麼後續升級和更新中,就會增加難度。
1.3網絡虛拟化
與其他形式的虛拟化相比,網絡虛拟化有許多的相似之處,均是利用軟件把網絡力量從物理網絡元素中分離出來。網絡虛拟化也面臨着技術挑戰,網絡設備和服務器不同,它一般需要執行高I/O任務,對于數據處理往往依賴專有的硬件模塊[1]。
1.4服務器虛拟化
服務器虛拟化在行業的應用要多很多,也更被人們認可,利用服務器虛拟化,我們可以将服務器的CPU、内存、磁盤等硬件集中管理,通過集中式的動态按需分配,可以提供資源的利用率。采用了服務器虛拟化,IT管理者隻需坐在辦公室就可以完成以上工作。通過服務器虛拟化Web管理頁面,3分鐘即可添加服務器虛拟機,系統配置、測試、升級等操作也可遠程操作完成,且通過快照功能即可恢複升級前的系統環境,減少大量繁瑣的系統管理工作。
2、虛拟化技術存在問題及解決辦法
2.1虛拟化技術存在問題
由于高性能計算采用虛拟化技術,使得用戶業務系統不再明确地運行在物理的服務器上,而是動态的虛拟機。這就使得多個數據源之間沒有物理界限,一旦被侵入将難以設置隔離區。由此帶來的結果是,原先一台服務器感染病毒,最多影響其所在公司設備,而高性能計算服務器一旦感染病毒,将影響大量企業甚至公共系統。目前已經挖掘出虛拟化系統0day漏洞16枚,其中qemu0day漏洞12枚,vmware0day漏洞4枚,此外還有支持docker和qemu的逃逸攻擊工具,并制定了宿主機的加固解決方案。以毒液漏洞為例,亞馬遜雲業務為修複該漏洞,對主機進行了重啟,造成諸多企業業務中斷,而且目前還沒有針對于該漏洞的解決方案。
虛拟化系統作為高性能計算的根基并不穩固。虛拟化技術的核心目标是對虛拟機所需要的硬件設備進行仿真。通過虛拟化技術,虛拟機可以實現和普通服務器完全一緻的功能。因此虛拟化系統就是高性能計算業務的根基。但是從近三年的虛拟化系統漏洞數字統計報告來看,這一根基并不穩固。黑客可通過虛拟機可以進行三種類型的攻擊:當黑客通過購買雲主機或者直接入侵的方式,進入虛拟機之後,他可以進行哪些攻擊呢?首先可以利用虛拟化系統的漏洞,嘗試控制虛拟化系統的執行流程,進行逃逸攻擊,在宿主機中執行任意代碼。也可以利用漏洞造成宿主機的崩潰,導緻該宿主機上的所有虛拟機停止服務。還可以通過虛拟機中的通信機制以及網絡劃分規則,對同一宿主機上的其他虛拟機進行信道攻擊和惡意掃描。毒液漏洞就是虛拟化安全漏洞中的一個典型代表,其完整利用思路分為三步:①黑客利用venom漏洞進行虛拟機逃逸[2];②進入同一宿主機上的其他虛拟機當中;③獲取對宿主機網絡的訪問權限,并嘗試獲得證書等敏感信息。在傳統的安全産品中,我們有雲盾類産品防止web攻擊,ddos攻擊,也有主機衛士類的産品防護惡意代碼攻擊,然而,類似毒液漏洞這種虛拟化層的影響廣泛并且危害嚴重的漏洞,目前依然沒有安全産品可以進行防禦。
2.2虛拟化技術問題的解決辦法
傳統端管控類安全産品的基本邏輯是:在虛拟機内部安裝輕代理殺毒客戶端:實現對webshell文件,病毒木馬文件進行查殺;系統惡意行為進行記錄;并針對未知文件虛拟查殺。這樣的設置無法對虛拟化攻擊進行有效防護,因此應尋找以漏洞挖掘為基礎的新雲虛拟化安全技術解決方案。以我們分析千兆網卡設備仿真器為例,在對其實現原理進行了充分的調試工作後,最終我們發現,在其實現TSO相關細節的過程中,處理描述符存在邏輯缺陷,導緻虛拟機進入循環邏輯。通過發現這一類的漏洞,我們就可以通過漏洞分析和利用過程中積累的經驗,防禦虛拟化相關的一系列漏洞。因此,虛拟化漏洞挖掘是打造虛拟化防禦産品必備入門技術。此外,針對用戶空間和hypervisor層的熱補丁技術與比輕代理效率更高的無代理技術也将是虛拟化防禦産品的重要内容。相比傳統的端管控類産品,這樣的設計不會對打破雲網絡的隔離,并且執行效率高,資源消耗小。
3、虛拟化技術在高效能計算機系統中應用的實例分析
3.1虛拟化技術在API服務中的應用
虛拟化技術不應被看成是孤立的、戰術性的工具,事實上其具有較強的實用價值。打車系統是高性能計算機系統的一種,虛拟化技術在打車系統的應用很好地解決了客戶信息洩露的問題。以上海貝爾的NCAPI服務為例,運營商構建的開放應用平台為目前廣泛流行的打車軟件客戶端及用戶提供虛拟号碼服務。乘客可通過打車軟件客戶端叫車,在出租車司機确認後,系統将反饋給雙方一個虛拟号碼[3]。乘客/出租車司機均可撥打這個虛拟号碼來聯系對方,在對方終端上的來電顯示均為該虛拟号碼。而當交易結束後,系統回收該虛拟号碼資源。為打車軟件提供虛拟号碼的服務将為用戶、中間接口開發商及運營商帶來多赢局面:用戶手機号碼和個人信息得到保護;中間接口開發商可增收來自App公司支付的費用;而運營商則可提升網絡利用率,并獲得新的批發收入來源(API的調用次數+虛拟号碼的新訂閱)。比如江蘇衛視的《非誠勿擾》節目,如果按照傳統的計算機系統支撐架構方式,可能需要3000台服務器,而且從采購到調試開通,需要很長時間,而采用虛拟化技術,可能最多隻需要500台左右的服務器,就能迅速實現對節目的支撐。
3.2虛拟化技術在雲儲存中的應用
随着物聯網時代的到來,數據爆炸性增長,面對海量數據,傳統存儲雖然在性能和可靠性上有比較好的保障,但成本并不是所有企業都能承擔的,因此用戶迫切需要一種新型的存儲技術來應對這個挑戰。雲存儲應運而生。關于其定義,有人說是網盤,有人說是對象存儲,還有人說是存儲服務。事實上到目前為止,業界并沒有統一認識。一般認為:雲存儲系統是整個雲計算解決方案當中的存儲系統部分[4]。通過雲存儲系統,用戶可以快速獲取塊、文件、對象、分布式數據庫等存儲服務,加快業務部署,降低數據存儲成本。雲存儲固然好,然而雲存儲系統需要構建一個共享式存儲資源池,隻有通過标準化的南北向接口才能最大程度地管理和調度來自不同廠商、不同品牌的存儲設備,從而實現屏蔽上層業務系統對底層存儲設備的依賴,真正實現雲存儲系統的存儲及服務功能。因而,從雲存儲産業發展的角度來看,統一的行業标準勢在必行,不僅讓用戶使用更加簡單,也更有利于促進整個雲存儲産業鍊健康發展,意義重大。
在雲存儲标準編制工作中,華為做為主導技術廠商之一,積極投入,深入分析行業用戶需求,提出了存儲功能虛拟化作為雲存儲标準的核心技術架構,實現存儲和數據管理功能的軟件化與服務化。談起為什麼倡導虛拟化作為雲存儲标準的核心技術架構,來自華為的存儲虛拟化技術首席架構師張浩表示,雲計算時代面臨多存儲系統融和、資源共享,存儲系統首先應當敏捷支持應用部署;第二,需要支持高I/O需求的關鍵應用上雲;第三,傳統存儲系統中的計算、網絡、存儲資源也應當部署到虛拟機中,實現統一基礎設施架構的雲,便于基于業務的動态調度。華為自研的存儲功能虛拟化通過融合分布式存儲關鍵技術實現了數據存儲與數據管理、數據分析共享資源,組成統一資源池;高性能雲操作系統(CloudOS)關鍵技術使應用運行在VM中獲得與物理機近似的性能;分布式資源調度與QoS關鍵技術保障了整體資源的雲化調度,較其他技術而言,更好的滿足了上述雲存儲的業務應用需求。以對于公安行業為例而言,無論是傳統的核心業務、還是新興的視頻監控、警務雲和大數據場景都可以更加便于用戶業務敏捷部署,簡化使用。
結束語
随着虛拟化技術的成熟,高效能計算機系統應用虛拟化技術的條件已然成熟,虛拟化技術在保持系統計算性能的前提條件下,能确保共享使用模式轉化為獨立使用模式,極大提升高效能計算機的适用性。相信随着虛拟化網絡通信技術的發展,高效能計算機系統進程動态遷移計算将更為便捷,在降低故障對用戶任務影響的同時完成有序的遷移,确保系統适用性、可靠性的進一步提升。
參考文獻:
[1]錢磊,李宏亮,謝向輝,陳左甯.虛拟化技術在高性能計算機系統中的應用研究[J].計算機工程與科學,2011,S1(53):307-311.
[2]潘談,王璐璐,辛偉蘭,趙新東.虛拟化技術在高性能計算機系統中的應用探析[J].城市地理,2014,18(64):177.
[3]MohsenSharifi,HadiSalimi,MahsaNajafzadeh.Power-efficientdistributedschedulingofvirtualmachinesusingworkload-awareconsolidationtechniques[J].TheJournalofSupercomputing,2012,61(1),46-66.
[4]木克代斯·卡德爾,王欣欣,趙琳.虛拟化技術在計算機系統中的應用研究[J].電子技術與軟件工程,2014,15(63):184-185.
作者簡介:
陳長全,講師,網絡工程師,海南經貿職業技術學院,研究方向計算機。