Virtualisierte DMZ auf Xen Basis
OpenQRM und Xen als Partner
©2007
Diplomarbeit
76 Seiten
Zusammenfassung
Inhaltsangabe:Einleitung:
In einem Zeitalter, in dem die Informationstechnologie immer stärkeren Einzug in den Alltag und das Arbeitsleben findet, benötigt es effektive Werkzeuge, die es dem Anwender erlauben, die Informationstechnologie optimal einzusetzen. Hierzu zählt die Vereinfachung von IT-Prozessen, die optimale Ausnutzung jeglicher Ressourcen wie Hardware oder Personal und die Reduzierung von komplexen IT-Systemen. Diese Aufgaben stellen immer mehr Unternehmen vor fast unlösbare Probleme. Seit einigen Jahren erlebt eine Technologie eine Boomphase, die diesen Unternehmen ein Werkzeug an die Hand geben kann, um einige dieser Probleme zu lösen. Diese Technologie ist die sogenannte Virtualisierungstechnologie. Die Virtualisierung versetzt den Anwender in die Lage, Hardwareressourcen besser auszunutzen, Wartungsprozesse schlanker zu gestalten und Time to Market-Zeiten für IT-Systeme zu verkürzen.
Die Virtualisierungstechnologie hat ihren Ursprung im Jahr 1959. In diesem Jahr veröffentlichte Christopher Strachey eine Abhandlung mit dem Titel Time Sharing in Large Fast Computers. In seiner Abhandlung setzte er sich mit der Idee auseinander, welche heute als Multiprogramming bekannt ist. Das Hauptziel von Multiprogramming ist die Vermeidung der Wartezeit bei Zugriffen auf Peripheriegeräte. Dies wird erreicht, indem das nachfolgende Programm auf den Prozessor zugreifen kann, während das aktuelle Programm die Peripheriezugriffe tätigt. Der Hauptgrund für diese Entwicklung war die Ausschöpfung der Leistung von damals noch kostenintensiver Prozessorhardware. Diese Technik kann als erste Virtualisierung eines Prozessors angesehen werden. Der Begriff Virtualisierung, wie er heutzutage eingesetzt wird, hat seinen Ursprung einige Jahre später. Mitte der 60er Jahre betrieb die Firma IBM mehrere virtuelle IBM 7044 Systeme auf einem dedizierten IBM 7044 Mainframe. Seit diesem Zeitpunkt schritt die Entwicklung der Virtualisierung rapide voran.
Gang der Untersuchung:
Diese Diplomarbeit hat die Zielsetzung, sich mit den State of the Art der Virtualisierungstechnologien und Produkten kritisch auseinanderzusetzen und mit einem ausgewählten Virtualisierungsprodukt eine wirtschaftliche und funktionsfähige demilitarisierte Zone (DMZ) aufzubauen.
Der erste Teil dieser Diplomarbeit besteht darin, den Grundstein für die weiteren Kapitel zu legen. Dieser Grundstein besteht aus den Anwendungsgebieten der Virtualisierungstechnologie und deren Methoden, welche bei […]
In einem Zeitalter, in dem die Informationstechnologie immer stärkeren Einzug in den Alltag und das Arbeitsleben findet, benötigt es effektive Werkzeuge, die es dem Anwender erlauben, die Informationstechnologie optimal einzusetzen. Hierzu zählt die Vereinfachung von IT-Prozessen, die optimale Ausnutzung jeglicher Ressourcen wie Hardware oder Personal und die Reduzierung von komplexen IT-Systemen. Diese Aufgaben stellen immer mehr Unternehmen vor fast unlösbare Probleme. Seit einigen Jahren erlebt eine Technologie eine Boomphase, die diesen Unternehmen ein Werkzeug an die Hand geben kann, um einige dieser Probleme zu lösen. Diese Technologie ist die sogenannte Virtualisierungstechnologie. Die Virtualisierung versetzt den Anwender in die Lage, Hardwareressourcen besser auszunutzen, Wartungsprozesse schlanker zu gestalten und Time to Market-Zeiten für IT-Systeme zu verkürzen.
Die Virtualisierungstechnologie hat ihren Ursprung im Jahr 1959. In diesem Jahr veröffentlichte Christopher Strachey eine Abhandlung mit dem Titel Time Sharing in Large Fast Computers. In seiner Abhandlung setzte er sich mit der Idee auseinander, welche heute als Multiprogramming bekannt ist. Das Hauptziel von Multiprogramming ist die Vermeidung der Wartezeit bei Zugriffen auf Peripheriegeräte. Dies wird erreicht, indem das nachfolgende Programm auf den Prozessor zugreifen kann, während das aktuelle Programm die Peripheriezugriffe tätigt. Der Hauptgrund für diese Entwicklung war die Ausschöpfung der Leistung von damals noch kostenintensiver Prozessorhardware. Diese Technik kann als erste Virtualisierung eines Prozessors angesehen werden. Der Begriff Virtualisierung, wie er heutzutage eingesetzt wird, hat seinen Ursprung einige Jahre später. Mitte der 60er Jahre betrieb die Firma IBM mehrere virtuelle IBM 7044 Systeme auf einem dedizierten IBM 7044 Mainframe. Seit diesem Zeitpunkt schritt die Entwicklung der Virtualisierung rapide voran.
Gang der Untersuchung:
Diese Diplomarbeit hat die Zielsetzung, sich mit den State of the Art der Virtualisierungstechnologien und Produkten kritisch auseinanderzusetzen und mit einem ausgewählten Virtualisierungsprodukt eine wirtschaftliche und funktionsfähige demilitarisierte Zone (DMZ) aufzubauen.
Der erste Teil dieser Diplomarbeit besteht darin, den Grundstein für die weiteren Kapitel zu legen. Dieser Grundstein besteht aus den Anwendungsgebieten der Virtualisierungstechnologie und deren Methoden, welche bei […]
Leseprobe
Inhaltsverzeichnis
René Karcher
Virtualisierte DMZ auf Xen Basis
OpenQRM und Xen als Partner
ISBN: 978-3-8366-1199-2
Druck Diplomica® Verlag GmbH, Hamburg, 2008
Zugl. FOM - Fachhochschule für Oekonomie und Management Essen, Essen,
Deutschland, Diplomarbeit, 2007
Dieses Werk ist urheberrechtlich geschützt. Die dadurch begründeten Rechte,
insbesondere die der Übersetzung, des Nachdrucks, des Vortrags, der Entnahme von
Abbildungen und Tabellen, der Funksendung, der Mikroverfilmung oder der
Vervielfältigung auf anderen Wegen und der Speicherung in Datenverarbeitungsanlagen,
bleiben, auch bei nur auszugsweiser Verwertung, vorbehalten. Eine Vervielfältigung
dieses Werkes oder von Teilen dieses Werkes ist auch im Einzelfall nur in den Grenzen
der gesetzlichen Bestimmungen des Urheberrechtsgesetzes der Bundesrepublik
Deutschland in der jeweils geltenden Fassung zulässig. Sie ist grundsätzlich
vergütungspflichtig. Zuwiderhandlungen unterliegen den Strafbestimmungen des
Urheberrechtes.
Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in
diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme,
dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei
zu betrachten wären und daher von jedermann benutzt werden dürften.
Die Informationen in diesem Werk wurden mit Sorgfalt erarbeitet. Dennoch können
Fehler nicht vollständig ausgeschlossen werden und der Verlag, die Autoren oder
Übersetzer übernehmen keine juristische Verantwortung oder irgendeine Haftung für evtl.
verbliebene fehlerhafte Angaben und deren Folgen.
© Diplomica Verlag GmbH
http://www.diplomica.de, Hamburg 2008
Printed in Germany
I
Inhaltsverzeichnis
Abbildungsverzeichnis...III
Tabellenverzeichnis...III
Abkürzungsverzeichnis...IV
1 Einleitung...1
2 Einführung in die Virtualisierung...3
2.1 Virtualisierung...3
2.2 Anwendungsgebiete der Virtualisierungstechnologie...5
2.2.1 Serverkonsolidierung...5
2.2.2 Load Balancing...6
2.2.3 Hochverfügbarkeit...6
2.3 Funktionsweisen der verschiedenen Virtualisierungsmethoden...7
2.3.1 Schutzmechanismus der Intel-Architektur 32 (IA-32)...8
2.3.2 Betriebssystemvirtualisierung...10
2.3.3 Virtualisierung durch Emulation...11
2.3.4 Vollständige Virtualisierung...12
2.3.5 Paravirtualisierung...13
2.3.6 Hardwareunterstützte Virtualisierung...14
2.4 Überblick über den Virtualisierungsmarkt...16
2.4.1 Virtuozzo...16
2.4.2 Microsoft Virtual Server...17
2.4.3 VMware...18
2.4.4 Xen...19
2.4.5 Produktzuordnung...20
2.4.6 Betrachtung der Vor- und Nachteile...21
3 Virtualisierung mit Xen...23
3.1 Detailbetrachtung von Xen...23
3.1.1 Xen Domänen-Konzept...23
3.1.1.1 Domain-0...24
3.1.1.2 Domain-U...25
3.1.2 Virtuelle Gerätetreiberarchitektur...26
3.1.3 Ressourcenmanagement...27
3.1.3.1 CPU-Virtualisierung...27
3.1.3.2 Festplattenvirtualisierung...29
3.1.3.3 Netzwerkvirtualisierung...31
3.2 Xen Management-Tools...33
3.2.1 Xen Management User Interface (XM)...33
3.2.2 openQRM...34
II
4 Praktische Umsetzung mit Xen...36
4.1 Einführung in die praktische Umsetzung mit Xen...36
4.1.1 Beweggründe für den Aufbau einer virtuellen demilitarisierten Zone...36
4.1.2 Gründe für die Wahl von Xen...37
4.1.3 Klassische demilitarisierte Zone (DMZ)...38
4.1.4 Struktur der virtualisierten DMZ...39
4.2 Inbetriebnahme der DMZ mit openQRM...41
4.2.1 Installation und Konfiguration von openQRM...41
4.2.2 Erstellen eines File-System-Images...44
4.2.3 Konfiguration eines Xen Hosts...45
4.2.4 Erstellen von Partitions auf einem Xen Host...46
4.2.5 Erstellen einzelner Virtual Environments...48
4.3 Technische Analyse der Umsetzung...51
4.3.1 Sicherheitsanalyse...51
4.3.2 Betriebsanalyse...54
4.4 Total Cost of Ownership-Berechnung...55
5 Fazit und Ausblick...61
A Literaturverzeichnis...64
B Glossar...67
C Ehrenwörtliche Erklärung...69
III
Abbildungsverzeichnis
Abbildung 1: Privilegierte Ringe der Intel-Architektur 32...8
Abbildung 2: Betriebssystemvirtualisierung...9
Abbildung 3: Vollständige Virtualisierung...11
Abbildung 4: Paravirtualisierung...13
Abbildung 5: Hardwareunterstützte Virtualisierung...14
Abbildung 6: Detailliertes Xen Schema...22
Abbildung 7: Virtuelle Gerätetreiberarchitektur von Xen...24
Abbildung 8: Schreibzugriff der DomU auf die physikalische Festplatte...28
Abbildung 9: Schreibzugriff der DomU auf eine virtuelle Festplatte auf LVM-Basis...28
Abbildung 10: Schreibzugriff der DomU auf eine virtuelle Festplatte auf Image-Basis.29
Abbildung 11: Xen virtuelles Netzwerk im Bridge Mode...30
Abbildung 12: Klassische demilitarisierte Zone...36
Abbildung 13: Virtualisierte demilitarisierte Zone mit openQRM...37
Abbildung 14: Hauptmenü des openQRM Konfigurators...40
Abbildung 15: Konfigurationsmenü des DHCP Servers...41
Abbildung 16: Erstellung einer neuen Virtual Environment für einen Xen Host...43
Abbildung 17: Erstellen von neuen Partitions...44
Abbildung 18: Übersicht über vorhandene Ressourcen...45
Abbildung 19: Erstellen einer neuen Virtual Environment für eine Partition...46
Abbildung 20: Übersicht der Virtual Environments...48
Abbildung 21: Betriebsbereite virtuelle DMZ...49
Abbildung 22: Virtuelles Netzwerk eines Xen Hosts...50
Abbildung 23: Vergleich der Total Cost of Ownership-Werte...57
Tabellenverzeichnis
Tabelle 1: Einordnung der Virtualisierungsprodukte...19
Tabelle 2: Vergleich der einzelnen Virtualisierungslösungen...20
Tabelle 3: Detaillierte Aufstellung der Virtual Environments...47
Tabelle 4: Anschaffungskosten einer klassischen DMZ...53
Tabelle 5: Anschaffungskosten der virtuellen DMZ...53
Tabelle 6: Einmalige Kosten der Infrastruktur...54
Tabelle 7: Laufende Kosten der Infrastruktur pro Jahr...54
Tabelle 8: Laufende Energiekosten, inklusive Klimakosten...54
Tabelle 9: Kostenaufstellung einer klassischen DMZ...55
Tabelle 10: Kostenaufstellung der virtualisierten DMZ...56
Tabelle 11: Kostengegenüberstellung der Gesamtkosten...56
IV
Abkürzungsverzeichnis
AMD
Advanced Micro Devices
API
Application Programming Interface
BIOS
Basic Input Output System
CentOS
Community ENTerprise Operating System
CPU
Central Processing Unit
d.h.
das heißt
DHCP
Dynamic Host Configuration Protocol
DMZ
demilitarisierte Zone
HA
High Availability
HE
Höheneinheit
Hrsg.
Herausgeber
I/O
Input/Output
IA-32
Intel-Architektur 32-Bit
IP
Internet Protokoll
KVA
Kilo-Volt-Ampere
LVM
Logical Volume Manager
ms
Millisekunde
NAT
Network Address Translation
NFS
Network File System
o.J.
ohne Jahr(esangabe)
o.S.
ohne Seite(nangabe)
o.V.
ohne Verfasser
OSI
Open Systems Interconnection
PXE
Preboot Execution Environment
RAID
Redundant Array of Independent Discs
RPM
Red Hat Package Manager
SAN
Storage Area Network
SEDF
Simple Earliest Deadline First
SVM
Secure Virtual Machine
TCO
Total Cost of Ownership
vgl.
vergleiche
VMM
Virtual Machine Monitor
VT
Virtualization Technology
XEND
Xen Control Daemon
XM
Xen Management User Interface
1
1 Einleitung
In einem Zeitalter, in dem die Informationstechnologie immer stärkeren Einzug in den
Alltag und das Arbeitsleben findet, benötigt es effektive Werkzeuge, die es dem
Anwender erlauben, die Informationstechnologie optimal einzusetzen. Hierzu zählt die
Vereinfachung von IT-Prozessen, die optimale Ausnutzung jeglicher Ressourcen wie
Hardware oder Personal und die Reduzierung von komplexen IT-Systemen. Diese
Aufgaben stellen immer mehr Unternehmen vor fast unlösbare Probleme. Seit einigen
Jahren erlebt eine Technologie eine Boomphase, die diesen Unternehmen ein Werkzeug
an die Hand geben kann, um einige dieser Probleme zu lösen. Diese Technologie ist die
sogenannte Virtualisierungstechnologie. Die Virtualisierung versetzt den Anwender in
die Lage, Hardwareressourcen besser auszunutzen, Wartungsprozesse schlanker zu
gestalten und Time to Market-Zeiten für IT-Systeme zu verkürzen.
Die Virtualisierungstechnologie hat ihren Ursprung im Jahr 1959. In diesem Jahr
veröffentlichte Christopher Strachey eine Abhandlung mit dem Titel ,,Time Sharing in
Large Fast Computers". In seiner Abhandlung setzte er sich mit der Idee auseinander,
welche heute als Multiprogramming bekannt ist. Das Hauptziel von Multiprogramming
ist die Vermeidung der Wartezeit bei Zugriffen auf Peripheriegeräte. Dies wird erreicht,
indem das nachfolgende Programm auf den Prozessor zugreifen kann, während das
aktuelle Programm die Peripheriezugriffe tätigt. Der Hauptgrund für diese Entwicklung
war die Ausschöpfung der Leistung von damals noch kostenintensiver
Prozessorhardware. Diese Technik kann als erste Virtualisierung eines Prozessors
angesehen werden. Der Begriff Virtualisierung, wie er heutzutage eingesetzt wird, hat
seinen Ursprung einige Jahre später. Mitte der 60er Jahre betrieb die Firma IBM
mehrere virtuelle IBM 7044 Systeme auf einem dedizierten IBM 7044 Mainframe. Seit
diesem Zeitpunkt schritt die Entwicklung der Virtualisierung rapide voran.
1
Diese Diplomarbeit hat die Zielsetzung, sich mit den State of the Art der
Virtualisierungstechnologien und Produkten kritisch auseinanderzusetzen und mit
einem ausgewählten Virtualisierungsprodukt eine wirtschaftliche und funktionsfähige
demilitarisierte Zone (DMZ) aufzubauen. Der erste Teil dieser Diplomarbeit besteht
darin, den Grundstein für die weiteren Kapitel zu legen. Dieser Grundstein besteht aus
den Anwendungsgebieten der Virtualisierungstechnologie und deren Methoden, welche
1 Vgl. Williams, D. E., Garcia, J. (2007), S. 3-8.
vgl.
2
bei der Virtualisierung heutzutage zum Einsatz kommen. Zusätzlich wird hier ein
Überblick über den Virtualisierungsmarkt mit den wichtigsten Produkten aufgezeigt.
Dieser Marktüberblick begrenzt sich auf die marktgängigsten Virtualisierungsprodukte
im Serverbereich. Auf Produkte im Desktopbereich wird nicht eingegangen. Der zweite
Baustein beinhaltet die Aufarbeitung des ausgewählten Virtualisierungsproduktes für
den DMZ-Aufbau. Zum Einsatz kommt das Produkt Xen in seiner Open Source
Variante. Die kommerziellen Produkte der Firma XenSource werden in dieser
Ausarbeitung nicht behandelt. Für den praktischen Aufbau der DMZ wird auf das
Betriebssystem Community ENTerprise Operating System (CentOS) zurückgegriffen,
welches als Grundgerüst für das Management-Tool openQRM dient. Dieses wiederum
kann mit seinem Xen-Plugin eine leistungsstarke DMZ auf Xen-Basis aufbauen. Der
DMZ-Aufbau wird bis zur Erreichbarkeit der einzelnen Serverbetriebssyteme
durchgeführt, d.h., es werden nicht die einzelnen Services wie Webservice oder
Mailservice implementiert. Das Ziel ist eine DMZ-Struktur aufzubauen, in der im
nächsten Schritt die einzelnen Serverdienste zur Verfügung gestellt werden können. Am
Ende des praktischen Teiles wird eine Wirtschaftlichkeitsbetrachtung durchgeführt, in
welcher die Kosten und der Nutzen des Aufbaues detailliert betrachtet werden. Den
Schluss dieser Diplomarbeit bildet eine Zusammenfassung der Ergebnisse, sowie einen
Ausblick in die weitere Entwicklung der Virtualisierungstechnologie.
3
2 Einführung in die Virtualisierung
In diesem Kapitel werden zum einen die Anwendungsgebiete der
Virtualisierungstechnologie, wie beispielsweise die Serverkonsolidierung beleuchtet.
Des Weiteren werden die grundlegenden Funktionen der Virtualisierungsmethoden, wie
zum Beispiel die Paravirtualisierung, näher betrachtet. Den Schluss dieses Kapitels
bildet ein Marktüberblick mit einer Produktzuordnung sowie eine zusätzliche
Betrachtung der Vor- und Nachteile der einzelnen Produkte.
2.1 Virtualisierung
Dieser Abschnitt soll dazu dienen, den Begriff Virtualisierung für diese Diplomarbeit
näher zu beschreiben. Wie in der Einleitung schon erwähnt, wurde 1959 der erste
Prozessor virtualisiert. Heutzutage wird diese Technologie in allen bekannten
Computersystemen eingesetzt. Jedes auf einem Computersystem laufende Programm
geht davon aus, dass es die Hardwareressourcen, respektive den Prozessor, allein zur
Verfügung hat. Dem ist aber nicht so. Durch die Prozessorvirtualisierung wird jedem
laufenden Programm ein Teil des Prozessors zugeteilt.
2
Die zweite Art der Virtualisierung ist die Speichervirtualisierung. Jedes Programm,
welches Prozessorzeit zur Verfügung gestellt bekommt, benötigt Hauptspeicher für die
Verarbeitung von Daten. Damit die Programme ungestört laufen können, stellt das
Betriebssystem den Programmen virtuellen Speicher zur Verfügung. Der virtuelle
Speicher wird unter Zuhilfenahme des Pagingverfahrens bereitgestellt. Dieses Verfahren
weist dem Programm einen virtuellen Adressraum zu, welcher über eine sogenannte
Pagingtabelle auf den physikalischen Adressraum verweist.
3
Der Hauptspeicher ist nicht der einzige Speicher, der in heutigen Computersystemen
virtualisiert wird. Die Virtualisierungstechnologie findet auch im Bereich des
Festplattenspeichers statt. Sogenannte ,,Redundant Array of Independent Discs" (RAID)
Systeme fassen mehrere Festplatteneinheiten zu einer virtuellen Festplatte zusammen.
Somit kann der Festplattenspeicher eines Systems leicht und effektiv verkleinert oder
erweitert werden.
2 Vgl. Tanenbaum, A. S. (2003), S. 148-155.
3 Vgl. Tanenbaum, A. S. (2003), S. 210-214.
4
Alle diese Beispiele sind Anwendungen von Virtualisierungstechnologien. Wird heute
von Virtualisierung gesprochen, werden in der Regel nicht die zuvor genannten
Anwendungsfälle damit assoziiert. Gemeint ist vielmehr die Virtualisierung der
kompletten Serverhardware, welche auch in dieser Diplomarbeit den Hauptbestandteil
darstellt. Bei dieser Methode wird die komplette Hardware virtualisiert, welche es dann
ermöglicht, mehrere Betriebssysteme parallel nebeneinander auf einer
Hardwareressource zu betreiben. Ein Computersystem, auf welchem eine
Virtualisierungslösung läuft, stellt sogenannte virtuelle Umgebungen oder virtuelle
Server zur Verfügung. Hierbei handelt es sich um mehrere Container, in denen die
einzelnen Betriebssysteme getrennt von einander laufen. Diese virtuellen Container
werden in der Regel von einer Softwarekomponente verwaltet und bekommen von dieser
ihre Ressourcen zugeteilt.
4
Es gibt keine eindeutige Bezeichnung für diese Komponente. Mit der Zeit haben sich
zwei Bezeichnungen etabliert, der Virtual Machine Monitor (VMM) und der
Hypervisor. Beide Begriffe können gleichgesetzt werden. Für eine genauere Betrachtung
muss die Funktionsweise der Softwarekomponente näher beleuchtet werden. Ist die
Schicht in das Betriebssystem integriert, wird sie als Typ eins definiert. Läuft die
Komponente als Anwendungsprogramm auf einem Betriebssystem, wird sie als
Virtualisierungsschicht des Typs zwei definiert. In der Regel wird der Typ eins mit dem
Hypervisor und der Typ zwei mit dem VMM gleichgesetzt. Hierfür gibt es keine
verbindliche Definition. In dieser Diplomarbeit wird die zuvor genannt Notation
verwendet.
5
4 Vgl. Zimmer, D. (2006), S.29-35.
5 Vgl. o.V. (o.J.): Hypervisor, o.S.
5
2.2 Anwendungsgebiete der Virtualisierungstechnologie
2.2.1 Serverkonsolidierung
Bei der Serverkonsolidierung werden einzelne Serverbetriebssysteme, die dediziert auf
einer Hardwareplattform laufen, in eine virtuelle Umgebung migriert. Aus Gründen der
Sicherheit und Stabilität ist es für ein Unternehmen ratsam, mehrere Server zu betreiben,
welche die einzelnen Dienste bereitstellen. Ein Webserver sollte beispielsweise nicht
gleichzeitig mit einem Datenbankserver auf einem Betriebssystem laufen. Dies
begründet sich auf den zuvor genannten Aspekten. Wird das System kompromittiert, ist
immer nur ein Anwendungsserver betroffen. D.h., ein Angreifer, der die Kontrolle über
einen Webserver erlangt, kann nicht zwangsläufig die Kontrolle über den Datenbestand
des Datenbankservers erhalten. Ein weiterer Hauptgrund ist die Stabilität. Bringt der
Webserver durch einen Fehler das Betriebssystem zum Absturz, ist nur dieser Dienst
betroffen. Der Datenbankserver kann anderen Anwendungsservern weiter Daten zur
Verfügung stellen. Aus diesen Gründen wächst die Zahl der Hardwareplattformen in
Unternehmen stetig an. Abhilfe schafft die Virtualisierungstechnologie, die
Unternehmen in die Lage versetzt, mehrere gekapselte Serverbetriebssysteme auf einer
einzelnen Hardwareplattform zu betreiben und zusätzlich die Vorteile im Hinblick auf
Sicherheit und Stabilität zu nutzen, die eine dedizierte Hardware bietet. Durch die
Flexibilität, welche die gekapselten Server auf einer Hardwareplattform bieten, sinken
die Investitionskosten und Bereitstellungszeiten bei Einführung neuer Serverdienste. Ein
weiterer Vorteil sind die Betriebskosten. Diese werden durch die Reduzierung der
Hardwareressourcen gesenkt, respektive sinken die Energiekosten sowie die Kosten für
die Kühlung der Serverräume.
6
6 Vgl. Sprang, H., Benk, T., Zdrzalek, J., Dehner, R. (2007), S.52.
Vgl. Zimmer, D. (2006), S 26.
6
2.2.2 Load Balancing
Durch Load Balancing wird die Verteilung der anfallenden Last einzelner Dienste auf
mehrere Server erreicht. Dies stellt das Load Balancing im klassischen Sinn dar. Diese
Form des Load Balancings wird unter Verwendung von Virtualisierungstechnologie
durch mehrere virtuelle Server umgesetzt. Die Virtualisierung kennt noch eine zweite
Form des Load Balancing, die dynamische Verteilung ganzer Betriebssysteme auf
verschiedene Hardwareplattformen. Oft wird diese Form auch dynamische
Ressourcenzuordung genannt. Für den Fall, dass in einer virtuellen Umgebung ein
Leistungsengpass auftritt, stellt die Hardwareplattform der virtuellen Umgebung
zusätzliche Ressourcen zur Verfügung. Sollten die Ressourcen der Hardware hierfür
nicht ausreichen, kann die virtuelle Umgebung im Betrieb, d.h. ohne Unterbrechung des
Gastbetriebssystems, auf eine andere Hardwareplattform migriert werden, die
ausreichend Ressourcen zur Verfügung stellen kann. Die dynamische
Ressourcenzuordung legt hierfür einen Ressourcenpool aus mehreren
Hardwareressourcen an, in dem die virtuellen Umgebungen immer die von ihnen
benötigten Ressourcen zugeteilt bekommen.
7
2.2.3 Hochverfügbarkeit
Bei der Hochverfügbarkeit kann in zwei Arten unterschieden werden. Die Erste ist die
Hochverfügbarkeit der Hardwarekomponenten. Dies bedeutet, dass ein Ausfall einer
Hardwarekomponente die bereitgestellten Services des laufenden Systems nicht in ihrem
Funktions- und Leistungsumfang beeinträchtigen darf. Die zweite Art greift auf
Softwareebene ein. Wird beispielsweise ein hochverfügbares Datenbanksystem benötigt,
muss es zwei dieser Systeme geben, die sich im Fehlerfall ersetzen können. D.h., ein
Ausfall einer Softwarekomponente darf keine Beeinträchtigung für den Service nach
sich ziehen. In herkömmlichen IT-Landschaften vereint die Einführung von
Hochverfügbarkeit beide Arten. Wird beispielsweise ein Datenbankserver
hochverfügbar ausgelegt, benötigt es zwei Hardwareplattformen, auf denen die gleichen
Betriebssysteme und die gleichen Datenbanksysteme laufen. Die zwei
Hardwarekomponenten gewährleisten eine Hochverfügbarkeit der ersten Art. Die zwei
Datenbanksysteme gewährleisten die zweite Art. Hierdurch entsteht ein großer
7 Vgl. Radonic, A., Meyer, F. (2006), S. 74-75.
7
Hardware- und Konfigurationsaufwand. Der Aufwand für die Konfiguration ist durch
den Automatismus begründet, der dafür verantwortlich ist, dass ein Datenbanksystem
das andere jederzeit ersetzen kann.
8
Mit dem Einsatz von Virtualisierungstechnologie können die zwei Arten der
Hochverfügbarkeit getrennt verwendet werden. Benötigt ein Unternehmen die
Hochverfügbarkeit der Hardware, können sich zwei Server mit einer geeigneten
Virtualisierungslösung bei einem Ausfall ersetzen. D.h., der eine Server übernimmt die
virtuellen Umgebungen des anderen. Die Voraussetzung hierfür ist, dass die Server auf
den gleichen Datenbestand zugreifen können. Dieser Zugriff wird meistens unter
Zuhilfenahme von Storage Area Networks (SAN) realisiert. Ein SAN kann mehreren
Hardwareplattformen die gleichen Daten zur Verfügung stellen. Durch dieses Verfahren
kann aber keine Hochverfügbarkeit des Service gewährleistet werden. Dies ist erst
sichergestellt, wenn es zwei virtuelle Server gibt, die beispielsweise das gleiche
Datenbanksystem beherbergen.
9
Der Vorteil der Virtualisierung besteht bei den Einsatzgebieten der Hochverfügbarkeit
in der Ersparnis der Hardwareressourcen. Der Konfigurationsaufwand bei einer
Hochverfügbarkeit der Services ist durch die Verwendung von Virtualisierungs-
technologie nicht zu reduzieren.
2.3 Funktionsweisen der verschiedenen Virtualisierungsmethoden
Virtualisierung ist nicht gleich Virtualisierung. Es gibt mehrere
Virtualisierungsmethoden, welche viele Gemeinsamkeiten haben oder komplett
unterschiedlich sind. Deshalb befasst sich dieses Kapitel mit den unterschiedlichen
Funktionsweisen der einzelnen Virtualisierungsmethoden und untersucht diese genauer.
Das Kapitel beginnt mit einem Abschnitt, in dem die wichtigsten Grundlagen für die
weiteren Ausführungen gelegt werden. Darauf folgt eine Betrachtung der fünf
bedeutendsten Virtualisierungsmethoden, die in den aktuellen Virtualisierungs-
produkten eingesetzt werden.
8 Vgl. Goldworm, B., Shamarock, A. (2007), S. 109-113.
9 Vgl. Radonic, A., Meyer, F. (2006), S. 74-75.
Vgl. Williams, D. E., Garcia, J. (2007), S 17-18.
8
2.3.1 Schutzmechanismus der Intel-Architektur 32 (IA-32)
Alle Virtualisierungsmethoden, die in dieser Diplomarbeit vorgestellt werden, sind
primär für die Virtualisierung der x86-Architektur ausgelegt. Dieses Kapitel beschäftigt
sich mit der Prozessorarchitektur und stellt dadurch eine wichtige Grundlage für die
weiteren Ausführungen dar.
Die IA-32, auch x86-Architektur genannt, ist die Basis für alle modernen x86-
Prozessoren. Als Schutzmechanismus ist das Konzept der privilegierten Ringe in die
Architektur implementiert worden.
Abbildung 1: Privilegierte Ringe der Intel-Architektur 32
10
Abbildung 1 zeigt schematisch das Konzept der privilegierten Ringe. Der Unterschied
der einzelnen Ringe, auch Levels genannt, besteht in ihren Privilegien. Je weiter sich der
Ring im Zentrum befindet, desto mehr Privilegien hat er. Somit besitzt Ring 0 die
10 In Anlehnung an: Tanenbaum, A. S. (2003), S. 281.
9
umfangreichsten und Ring 3 die geringsten Privilegien. Ein Betriebssystem, das auf
einer x86-Architektur betrieben wird, führt den Kern des Betriebssystems, den
sogenannten Kernel im Ring 0 aus. Dies wird auch als Kernel-Mode bezeichnet.
Dadurch erhält das Betriebssystem die meisten Privilegien und kann somit die komplette
Kontrolle über die Hardware übernehmen. Mit dieser privilegierten Stellung ist das
Betriebssystem in der Lage, weiteren Levels Ressourcen zuzuteilen.
Anwendungsprogramme, die auf der x86-Architektur laufen, werden in der Regel im
Ring 3 ausgeführt, dem sogenannten User-Mode. Ring 1 und 2 werden in den meisten
Betriebssystemen, wie zum Beispiel Windows und Linux, nicht aktiv verwendet.
Verweilt ein Programm innerhalb der Grenzen des Ring 3, treten keine
Schutzverletzungen auf. Werden die Grenzen des dritten Ringes überschritten, wird eine
Schutzverletzung ausgelöst, die sogenannte Exception. Dies tritt beispielsweise bei nicht
autorisierten Hardwarezugriffen ein. Der Grund hierfür sind die fehlenden Privilegien.
Eine Exception ist ein Softwareinterrupt, welcher den Kernel in die Lage versetzt, das
für die Verursachung der Exception verantwortliche Programm zu beenden. Durch
diesen Mechanismus wird gewährleistet, dass nur der Kernel die Kontrolle über die
Hardware hat. Benötigt eine Anwendung Hardwarezugriff, muss dies über einen Syscall
geschehen. Mit einem Syscall signalisiert die Anwendung dem Kernel den Bedarf an
Hardwareressourcen.
11
11 Vgl. Tanenbaum, A. S. (2003), S.281-282.
Vgl. Williams, D. E., Garcia, J. (2007), S 20-21.
10
2.3.2 Betriebssystemvirtualisierung
Bei der Betriebssystemvirtualisierung werden mehrere Instanzen des gleichen
Betriebssystems virtualisiert. Hierbei verwenden alle Gastbetriebssysteme den Kernel
des Wirtbetriebssystems.
Abbildung 2: Betriebssystemvirtualisierung
Dies ermöglicht die Implementierung mehrerer Instanzen, welche parallel
nebeneinander laufen. Jede Instanz besitzt ihr eigenes Dateisystem in einer virtuellen
Umgebung. Nur bei privilegierten Anweisungen greift eine Instanz auf den gemeinsam
genutzten Kernel des Wirtbetriebssystems zurück. Dieser hat die Aufgabe, unter
Mithilfe der Virtualisierungsschicht die Ressourcen an die einzelnen Instanzen zu
verteilen und darauf zu achten, dass die Instanzen isoliert voneinander laufen. Die
Nutzung eines Kernels und die Verwendung einer schlanken Virtualisierungsschicht
bietet eine nahezu native Hardwareperformance, d.h., die laufenden Instanzen erfahren
durch diese Virtualisierungsmethode nur geringe Leistungseinbußen. Der Nachteil der
11
Betriebssystemvirtualisierung ist die Abhängigkeit vom installierten Betriebssystem.
Alle Instanzen haben zwangsläufig das gleiche Betriebssystem, das auch nicht geändert
werden kann.
12
2.3.3 Virtualisierung durch Emulation
Bei der Virtualisierung durch Emulation werden alle Komponenten einer Plattform
einschließlich des Prozessors emuliert. Die Emulationsschicht stellt dem Gastsystem
eine vollständig emulierte Plattform zur Verfügung. Der Nachteil dieses Verfahrens liegt
in der Ineffizienz der Emulation. Diese Ineffizienz kommt zustande, indem alle
Hardware- und Prozessorzugriffe abgefangen und in der Emulationssoftware bearbeitet
werden. Entgegen den anderen Virtualisierungsmethoden werden die Befehle nicht an
die Hardware weitergegeben, sondern komplett softwareseitig abgearbeitet. Aber gerade
in diesem Nachteil liegt auch der Vorteil dieses Verfahrens. Es können verschiedene
Systemarchitekturen emuliert werden. Somit kann beispielsweise ein PowerPC
Betriebssystem auf einer x86-Architektur emuliert werden. Diese Virtualisierung ist nur
mit der Emulation möglich. Deshalb findet die Emulation oft im Entwicklungs- und
Testbereich Anwendung. Hier kommt es weniger auf die Performance der
Virtualisierungslösung an, vielmehr bietet diese Methode eine hohe Flexibilität.
13
12 Vgl. Kockler, T., Meier, W. (2006), S. 5060.
13 Vgl. Radonic, A., Meyer, F. (2006), S. 59.
Details
- Seiten
- Erscheinungsform
- Originalausgabe
- Erscheinungsjahr
- 2007
- ISBN (eBook)
- 9783836611992
- DOI
- 10.3239/9783836611992
- Dateigröße
- 1.6 MB
- Sprache
- Deutsch
- Institution / Hochschule
- FOM Essen, Hochschule für Oekonomie & Management gemeinnützige GmbH, Hochschulleitung Essen früher Fachhochschule – Wirtschaftsinformatik
- Erscheinungsdatum
- 2008 (April)
- Note
- 1,7
- Schlagworte
- virtualisierung xen3 demilitarisierte zone virtualisierungsmarkt it-sicherheit community enterprise operating system
- Produktsicherheit
- Diplom.de
