韓文智

(四川職業(yè)技術(shù)學(xué)院計(jì)算機(jī)科學(xué)系，四川遂寧629000)

淺析KVM虛擬化平臺(tái)的構(gòu)建

韓文智

(四川職業(yè)技術(shù)學(xué)院計(jì)算機(jī)科學(xué)系，四川遂寧629000)

隨著云計(jì)算技術(shù)的快速發(fā)展和應(yīng)用，有效的降低了企業(yè)的IT成本，使得企業(yè)可以快速的構(gòu)建各類(lèi)高效的信息化系統(tǒng)，虛擬化技術(shù)作為云計(jì)算技術(shù)的核心，其在云計(jì)算技術(shù)中被廣泛使用，KVM（基于內(nèi)核的虛擬機(jī)系統(tǒng)）是一種高效的虛擬機(jī)系統(tǒng)技術(shù)，是一個(gè)運(yùn)行在操作系統(tǒng)上的虛擬化管理程序，是目前應(yīng)用最為廣泛的和公認(rèn)的最為高效的虛擬機(jī)系統(tǒng)，被廣泛的應(yīng)用于各種大型云計(jì)算平臺(tái)中，如亞馬遜的Amazon云服務(wù)，阿里巴巴的阿里云服務(wù)都應(yīng)用了先進(jìn)的KVM虛擬化技術(shù)，本文將從KVM虛擬化平臺(tái)的構(gòu)建出發(fā)，對(duì)目前KVM虛擬化技術(shù)研究現(xiàn)狀進(jìn)行分析，淺析目前KVM虛擬化平臺(tái)構(gòu)建存在的問(wèn)題，并提出了提高虛擬化安全性的方法，對(duì)提高KVM虛擬化平臺(tái)安全性、促進(jìn)KVM虛擬化技術(shù)發(fā)展具有非常重要意義.

KVM；虛擬化平臺(tái)；云計(jì)算；安全

平臺(tái)虛擬化主要是將計(jì)算機(jī)系統(tǒng)的主要的資源，如C P U、內(nèi)存、網(wǎng)絡(luò)和硬盤(pán)等進(jìn)行抽象化處理[1]，并且通過(guò)相關(guān)的管理程序進(jìn)行整合和統(tǒng)一管理，操作系統(tǒng)則通過(guò)虛擬機(jī)的抽象層獲取需要的計(jì)算機(jī)資源，實(shí)現(xiàn)操作系統(tǒng)與計(jì)算機(jī)硬件資源的隔離，和統(tǒng)一管理，有效的提高了計(jì)算平臺(tái)的效率[2].

從目前已有的虛擬化技術(shù)研究來(lái)看，根據(jù)虛擬機(jī)工作時(shí)與軟硬件之間的相互關(guān)系可以將虛擬化技術(shù)分為全虛擬化技術(shù)、半虛擬化技術(shù)和硬件輔助虛擬化技術(shù)三類(lèi)，其中全虛擬化技術(shù)采用的是二進(jìn)制轉(zhuǎn)譯技術(shù)來(lái)解決虛擬機(jī)客戶與操作系統(tǒng)的特權(quán)指令問(wèn)題[3]，如常見(jiàn)的Q E M U和V M w are虛擬機(jī)軟件都是采用這種技術(shù)來(lái)實(shí)現(xiàn)的；半虛擬化主要是通過(guò)修改操作系統(tǒng)的核心[4]，利用構(gòu)建虛擬管理程序來(lái)實(shí)現(xiàn)對(duì)硬件運(yùn)算資源的訪問(wèn)和管理，如U M L和X en虛擬機(jī)軟件系統(tǒng)都是采用這種方式進(jìn)行實(shí)現(xiàn)的；硬件輔助虛擬化技術(shù)主要是指能夠支持英特爾公司推出的I ntel-V T硬件虛擬化技術(shù)或者是A M D推出的A M D-V硬件虛擬化技術(shù)，通過(guò)這兩種技術(shù)來(lái)實(shí)現(xiàn)一些處理指令提高虛擬化性能[5]，基于這兩個(gè)平臺(tái)實(shí)現(xiàn)的都是直接通過(guò)硬件C P U輔助指令來(lái)執(zhí)行相關(guān)虛擬化命令，這種虛擬化技術(shù)的效率非常高，處理速度是其他虛擬化技術(shù)無(wú)法相比的，也是目前應(yīng)用最為廣泛的一種虛擬化技術(shù)，如K V M、V M w are E S X i虛擬化軟件等[6]，采用硬件輔助虛擬化技術(shù)構(gòu)建的虛擬化平臺(tái)，不需要對(duì)操作系統(tǒng)進(jìn)行修改也不需要執(zhí)行任何的代碼轉(zhuǎn)譯程序，有效的彌補(bǔ)了前全虛擬化技術(shù)和半虛擬化技術(shù)的不足.

基于上述背景，本文在研究過(guò)程中，選擇了目前應(yīng)用最為廣泛的K V M虛擬化技術(shù)，探討利用K V M虛擬化技術(shù)構(gòu)建虛擬化平臺(tái)的現(xiàn)狀和存在的問(wèn)題，并提出了相關(guān)的解決對(duì)策，以提高基于K V M虛擬化技術(shù)構(gòu)建的虛擬化平臺(tái)的安全性和穩(wěn)定性.

1 虛擬化研究現(xiàn)狀

1.1 系統(tǒng)虛擬化

系統(tǒng)虛擬化技術(shù)主要是使用虛擬化軟件技術(shù)在一個(gè)計(jì)算機(jī)硬件平臺(tái)上構(gòu)建多臺(tái)的虛擬計(jì)算機(jī)系統(tǒng)，其構(gòu)建的虛擬機(jī)系統(tǒng)和普通的計(jì)算機(jī)系統(tǒng)一樣具備傳統(tǒng)計(jì)算機(jī)系統(tǒng)的所有的功能，可以運(yùn)行各種計(jì)算機(jī)軟件和操作系統(tǒng)，是虛擬化技術(shù)領(lǐng)域的一個(gè)重要方向[7].

早在上世紀(jì)中期，美國(guó)軍方的計(jì)算機(jī)研究機(jī)構(gòu)就開(kāi)始對(duì)計(jì)算機(jī)系統(tǒng)層面的虛擬化技術(shù)進(jìn)行了研究和探討，并且提出了虛擬化技術(shù)的概念，當(dāng)時(shí)的虛擬化技術(shù)主要是指計(jì)算機(jī)系統(tǒng)基本的虛擬化技術(shù)[8]，通過(guò)軟件構(gòu)建一個(gè)模擬傳統(tǒng)計(jì)算機(jī)環(huán)境的虛擬化計(jì)算機(jī)系統(tǒng)，但是早期的虛擬化計(jì)算機(jī)系統(tǒng)智能應(yīng)用在一些大型的主機(jī)上，隨著后續(xù)的計(jì)算機(jī)虛擬化技術(shù)的發(fā)展，特別是一些I T硬件的豐富和多元化，一些軟件公司推出了不同的虛擬化軟件之后，虛擬化技術(shù)開(kāi)始在各個(gè)領(lǐng)域得到了廣泛的應(yīng)用和發(fā)展[9]，近年來(lái)，隨著計(jì)算機(jī)硬件系統(tǒng)的日益復(fù)雜，計(jì)算機(jī)系統(tǒng)的資源管理難度極大的提高，特別是云計(jì)算概念的提出，基于云計(jì)算實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的計(jì)算硬件資源的有效整合，有效的促進(jìn)了虛擬化技術(shù)的發(fā)展和應(yīng)用，這也使得虛擬化技術(shù)成為了目前最為熱門(mén)的計(jì)算機(jī)技術(shù)，得到了學(xué)術(shù)科研界的廣泛關(guān)注和研究，從目前計(jì)算機(jī)系統(tǒng)虛擬化技術(shù)發(fā)展來(lái)看[10]，可以根據(jù)其技術(shù)層次的不同將其分為指令架構(gòu)級(jí)、硬件級(jí)和操作系統(tǒng)級(jí)和編程語(yǔ)言基本的虛擬化技術(shù)，下文將以K V M虛擬化技術(shù)為例從這四個(gè)技術(shù)層面對(duì)計(jì)算機(jī)系統(tǒng)虛擬化的研究和發(fā)展現(xiàn)狀進(jìn)行分析[11].

1）計(jì)算機(jī)C P U指令架構(gòu)級(jí)的虛擬化

K V M是基于內(nèi)核的一種虛擬化技術(shù)，其在實(shí)現(xiàn)計(jì)算機(jī)C P U指令架構(gòu)級(jí)別的虛擬化中，主要是高度依賴(lài)l inu x操作系統(tǒng)內(nèi)核提供的相關(guān)功能，來(lái)模擬出與實(shí)際運(yùn)行的應(yīng)用程序相同的指令集去執(zhí)行，在K V M中采用這種方式構(gòu)建了一個(gè)計(jì)算機(jī)指令模擬器，該指令模擬器在K V M中主要是負(fù)責(zé)通過(guò)將客戶虛擬機(jī)發(fā)出的所有的指令翻譯成本地指令，然后在真實(shí)的計(jì)算機(jī)硬件環(huán)境上執(zhí)行，在K V M中利用這種方式實(shí)現(xiàn)對(duì)計(jì)算機(jī)的C P U的指令架構(gòu)級(jí)別的虛擬化，其不僅可以實(shí)現(xiàn)典型的計(jì)算處理指令集，同時(shí)還可以實(shí)現(xiàn)一些特殊的I/O處理指令的虛擬化，進(jìn)而可以方便的實(shí)現(xiàn)應(yīng)用和操作系統(tǒng)的跨平臺(tái)執(zhí)行，通過(guò)K V M可以容易的實(shí)現(xiàn)對(duì)各種能計(jì)算機(jī)平臺(tái)的兼容性，如K V M提供的指令架構(gòu)級(jí)別的模擬器可以方便讓原來(lái)運(yùn)行在X86結(jié)構(gòu)的計(jì)算機(jī)平臺(tái)上的操作系統(tǒng)和應(yīng)用程序遷移到A R M、P o w er P C等處理器架構(gòu)平臺(tái)上[12].

2）硬件級(jí)別的虛擬化

硬件抽象層面的虛擬化其實(shí)質(zhì)與指令集的虛擬化非常類(lèi)似，其主要是利用客戶執(zhí)行環(huán)境與主機(jī)相同的指令集合的特點(diǎn)，讓絕大多數(shù)客戶指令能夠在主機(jī)上直接執(zhí)行，進(jìn)而有效的提高指令執(zhí)行的速度，目前這種技術(shù)在各類(lèi)虛擬化軟件平臺(tái)中都得到了應(yīng)用，如K V M虛擬機(jī)、L M虛擬機(jī)等，在K V M虛擬機(jī)中主要是通過(guò)V MM管理器將K V M系統(tǒng)中的虛擬資源和真實(shí)的計(jì)算機(jī)平臺(tái)上的物理資源進(jìn)行映射，在虛擬機(jī)需要訪問(wèn)關(guān)鍵的物理資源的時(shí)候，K V M中提供的硬件資源模擬器將接管整個(gè)計(jì)算機(jī)平臺(tái)的物理資源并采用多路復(fù)用技術(shù)實(shí)現(xiàn)對(duì)各種硬件資源的多路復(fù)用，在K V M中利用這種技術(shù)可以使得整個(gè)虛擬機(jī)和底層物理及其實(shí)現(xiàn)高度的隔離，使得利用K V M構(gòu)建虛擬化平臺(tái)的時(shí)候可以非常容易的支持各種不同的操作系統(tǒng)和應(yīng)用程序，并且風(fēng)險(xiǎn)低易于維護(hù).

3）操作系統(tǒng)級(jí)的虛擬化

操作系統(tǒng)虛擬化主要是在操作系統(tǒng)之上的虛擬層按照每個(gè)虛擬機(jī)的要求為其生產(chǎn)一個(gè)運(yùn)行在物理及其上的操作系統(tǒng)的克隆版本，實(shí)現(xiàn)虛擬機(jī)與物理計(jì)算機(jī)的隔離，在K V M虛擬機(jī)中也提供了對(duì)操作系統(tǒng)的虛擬化的支持，其主要是在操作系統(tǒng)之上提供一個(gè)虛擬層，是一種類(lèi)似于V MM的程式，通過(guò)該程式來(lái)實(shí)現(xiàn)提供多個(gè)獨(dú)立的隔離的計(jì)算機(jī)，實(shí)現(xiàn)操作系統(tǒng)的用戶函數(shù)庫(kù)、文件系統(tǒng)和環(huán)境的相關(guān)設(shè)置，保持這些環(huán)境的穩(wěn)定性，進(jìn)而使得為應(yīng)用程序提供一個(gè)完全的虛擬的操作系統(tǒng)環(huán)境.

4）編程語(yǔ)言級(jí)的虛擬化

編程語(yǔ)言級(jí)的虛擬化是計(jì)算機(jī)系統(tǒng)虛擬化的一個(gè)重要內(nèi)容，其主要是構(gòu)建I S A抽象層來(lái)支持各種編程語(yǔ)言的執(zhí)行，如通過(guò)對(duì)J V M的支持來(lái)實(shí)現(xiàn)對(duì)j ava語(yǔ)言的支持，在利用K V M技術(shù)來(lái)構(gòu)建虛擬化平臺(tái)的時(shí)候可以利用J V M和N E T C L等方式來(lái)實(shí)現(xiàn)對(duì)j ava和net編程技術(shù)的支持，進(jìn)而使得基于這些語(yǔ)言開(kāi)發(fā)的程序可以方便的在K V M虛擬化平臺(tái)上運(yùn)行.

1.2 虛擬機(jī)監(jiān)控器

虛擬機(jī)監(jiān)控器是虛擬機(jī)的一個(gè)重要組成部分，也是整個(gè)虛擬機(jī)的核心，其在虛擬機(jī)中主要是負(fù)責(zé)管理真實(shí)的物理硬件，同時(shí)向運(yùn)行在虛擬機(jī)上的客戶操作系統(tǒng)提供虛擬的計(jì)算機(jī)資源.隨著虛擬化技術(shù)的快速發(fā)展和應(yīng)用，虛擬監(jiān)控器技術(shù)也得到了快速的發(fā)展，目前根據(jù)虛擬監(jiān)控器的實(shí)現(xiàn)方式主要可以分為以下三類(lèi)：

1）Hy p ervisor模型

該類(lèi)虛擬機(jī)監(jiān)控器主要是在傳統(tǒng)的操作系統(tǒng)的基礎(chǔ)上，通過(guò)添加相關(guān)的虛擬化技術(shù)支持，在操作系統(tǒng)中集成虛擬監(jiān)控器來(lái)實(shí)現(xiàn)對(duì)各種硬件資源和虛擬資源的管理和監(jiān)控，在該類(lèi)模型中虛擬機(jī)監(jiān)控器擁有對(duì)計(jì)算機(jī)平臺(tái)的物理資源的訪問(wèn)的所有權(quán)限，基于這種模式實(shí)現(xiàn)的虛擬機(jī)監(jiān)控器具有較高的虛擬化效率，同時(shí)由于基于Hy p ervisor模型的虛擬機(jī)監(jiān)控器需要對(duì)計(jì)算機(jī)平臺(tái)的各種I/O設(shè)備資源進(jìn)行監(jiān)控和管理，在這種模式下進(jìn)行虛擬機(jī)構(gòu)建需要進(jìn)行大量的設(shè)備驅(qū)動(dòng)程序的開(kāi)發(fā)和設(shè)計(jì)，進(jìn)而使得整個(gè)虛擬監(jiān)控系統(tǒng)變得非常臃腫，在K V M虛擬機(jī)技術(shù)中也可以有效的支持Hy p ervisor模型，基于該模型的虛擬機(jī)架構(gòu)如圖1所示.

圖1 Hypervisor模型的虛擬化控制器架構(gòu)

2）宿主模型

宿主模型也是一種非常重要的虛擬控制器技術(shù)，其在構(gòu)建和管理虛擬機(jī)的時(shí)候主要是以傳統(tǒng)的操作系統(tǒng)作為素質(zhì)的操作系統(tǒng)，宿主機(jī)在工作過(guò)程中，其本身并不提供任何的虛擬化支持，只是虛擬控制器以系統(tǒng)模塊的形式與整個(gè)宿主機(jī)的操作系統(tǒng)進(jìn)行相關(guān)的協(xié)作，為虛擬化平臺(tái)提供一些虛擬化功能，在宿主機(jī)虛擬化控制器模型下，其主要是通過(guò)調(diào)用操作系統(tǒng)的相關(guān)的服務(wù)和接口來(lái)實(shí)現(xiàn)對(duì)整個(gè)計(jì)算機(jī)平臺(tái)的真實(shí)的物理資源的訪問(wèn)和控制，與Hy p ervisor模型相比，在宿主模型下，虛擬控制器是在虛擬機(jī)創(chuàng)建之后才創(chuàng)建的，其作為宿主操作系統(tǒng)的一個(gè)工作進(jìn)程被操作系統(tǒng)創(chuàng)建和管理。如V M w are S erver、vir tual P C等虛擬機(jī)軟件都是基于宿主模型進(jìn)行開(kāi)發(fā)和設(shè)計(jì)的，但是這種模式下由于宿主機(jī)才是真正的控制和管理者，因此會(huì)導(dǎo)致整個(gè)虛擬化效率降低，并且其安全性還需要依賴(lài)整個(gè)虛擬控制器的安全祥和宿主機(jī)操作系統(tǒng)的安全，安全風(fēng)險(xiǎn)也有所增加，典型的宿主模型的虛擬機(jī)控制器的結(jié)構(gòu)如圖所示.

圖2 基于宿主模型的虛擬機(jī)控制器架構(gòu)

3）混合虛擬控制器模型

該模型中將整個(gè)虛擬機(jī)控制器放在最底層，其擁有對(duì)計(jì)算機(jī)平臺(tái)的絕大部分的物理資源的訪問(wèn)和控制權(quán)限，該種模式下的虛擬機(jī)控制器將大部分的I/O設(shè)備的控制和管理權(quán)限都是通過(guò)一個(gè)在擁有特權(quán)的虛擬機(jī)的特權(quán)操作系統(tǒng)進(jìn)行管理和控制，該模型下的虛擬機(jī)的控制器的主要的設(shè)備模型和相關(guān)的設(shè)備驅(qū)動(dòng)都被集成在該特權(quán)操作系統(tǒng)中，運(yùn)行在這個(gè)特權(quán)操作系統(tǒng)中的虛擬控制器和該特權(quán)操作系統(tǒng)協(xié)同完成對(duì)計(jì)算機(jī)平臺(tái)資源的虛擬化工作，如定性的Windo w s S erver2008的虛擬機(jī)控制器就是基于該模型進(jìn)行開(kāi)發(fā)和設(shè)計(jì)的，在Windo w s S erver2008的架構(gòu)中Hy p er-V作為虛擬機(jī)控制器運(yùn)行在最底層，特權(quán)操作系統(tǒng)是運(yùn)行在Hy p er-V之上的。這種模式下，由于設(shè)置了特權(quán)操作系統(tǒng)，其可以兼容前面兩種模式的優(yōu)點(diǎn)，但是如果該模型中的特權(quán)操作系統(tǒng)和虛擬機(jī)控制器之間的交互和切換過(guò)于頻繁整個(gè)虛擬機(jī)的虛擬化性能將降低，其中典型的混合虛擬控制器的架構(gòu)如圖3所示.

圖3 混合模型下的虛擬控制器架構(gòu)

K V M虛擬化技術(shù)是l inu x中內(nèi)核的一部分，是基于inel V T技術(shù)和A M D S V M技術(shù)的一種硬件輔助虛擬化技術(shù)方案，同時(shí)結(jié)合了Q E M U模擬器來(lái)實(shí)現(xiàn)對(duì)設(shè)備的虛擬化，其控制模型主要是采用了Hy p ervisor模型，同時(shí)兼容宿主機(jī)模型，采取的是一種傾向于Hy p ervisor模型的混合式虛擬控制器模型，本文在后續(xù)的對(duì)虛擬化安全問(wèn)題的探討主要是探討基于K V M虛擬化技術(shù)構(gòu)建的虛擬化平臺(tái)存在的安全問(wèn)題.

2 虛擬化安全問(wèn)題研究

2.1 虛擬化存儲(chǔ)安全問(wèn)題研究

在基于K V M虛擬機(jī)技術(shù)構(gòu)建和實(shí)現(xiàn)虛擬化平臺(tái)中，可以通過(guò)使用L V M（L ogical Home M anager）和創(chuàng)建存儲(chǔ)池的方式來(lái)實(shí)現(xiàn)對(duì)K V M虛擬機(jī)系統(tǒng)的存儲(chǔ)管理，其中在創(chuàng)建K V M虛擬機(jī)的時(shí)候默認(rèn)使用虛擬磁盤(pán)文件作為整個(gè)虛擬化平臺(tái)的后端存儲(chǔ)，在完成虛擬機(jī)的安裝后，整個(gè)虛擬機(jī)使用磁盤(pán)的時(shí)候認(rèn)為是在使用真實(shí)的磁盤(pán)，但是，實(shí)際上其訪問(wèn)的是一種模擬硬盤(pán)的虛擬文件，這種存儲(chǔ)方式會(huì)降低系統(tǒng)的速度和安全性，目前在K V M中的存儲(chǔ)虛擬化中主要有以下三種技術(shù)，下文將對(duì)這三種技術(shù)及存在的安全問(wèn)題進(jìn)行分析.

1）基于文件系統(tǒng)的K V M存儲(chǔ)

在構(gòu)建K V M虛擬化平臺(tái)的時(shí)候，如果采用基于文件系統(tǒng)的K V M存儲(chǔ)，其可以使用本地文件系統(tǒng)或者位于虛擬化平臺(tái)上的某個(gè)物理宿主機(jī)上的網(wǎng)絡(luò)文件系統(tǒng)，這種方式下由于文件系統(tǒng)的固有特點(diǎn)，無(wú)論是網(wǎng)絡(luò)文件系統(tǒng)還是本文文件系統(tǒng)，在存儲(chǔ)資源訪問(wèn)的時(shí)候需要通過(guò)寫(xiě)入到宿主機(jī)的操作系統(tǒng)之上的文件系統(tǒng)，需要額外的通過(guò)一層操作系統(tǒng)來(lái)進(jìn)行訪問(wèn)，而由于操作系統(tǒng)的安全性問(wèn)題，特別是在網(wǎng)絡(luò)環(huán)境下，其容易受到攻擊，惡意程序通過(guò)操作系統(tǒng)對(duì)文件系統(tǒng)產(chǎn)生破壞，導(dǎo)致其安全性能降低.

2）基于設(shè)備的K V M存儲(chǔ)

該種K V M存儲(chǔ)主要是基于設(shè)備方式進(jìn)行，通過(guò)支持不同存儲(chǔ)設(shè)備如磁盤(pán)、i S C S I、S C S I和邏輯盤(pán)等，這種方式下訪問(wèn)磁盤(pán)是通過(guò)直接讀寫(xiě)硬盤(pán)設(shè)備來(lái)實(shí)現(xiàn)來(lái)得，其不需要通過(guò)操作系統(tǒng)來(lái)搜索磁盤(pán)和訪問(wèn)磁盤(pán)，但是這種方式實(shí)現(xiàn)的虛擬機(jī)系統(tǒng)存儲(chǔ)，其不帶備份，不支持鏡像，如果虛擬機(jī)的存儲(chǔ)出了故障很容易導(dǎo)致數(shù)據(jù)丟失并且無(wú)法恢復(fù)，特別是系統(tǒng)級(jí)別的數(shù)據(jù)，非常容易導(dǎo)致整個(gè)系統(tǒng)奔潰.

3）K V M存儲(chǔ)池方式

K V M存儲(chǔ)池是K V M虛擬化技術(shù)中的一種重要的存儲(chǔ)方式，其主要是為了簡(jiǎn)化存儲(chǔ)管理，通過(guò)在宿主機(jī)上創(chuàng)建相關(guān)的K V M存儲(chǔ)池，實(shí)現(xiàn)預(yù)留空間的分配，這種方式經(jīng)常應(yīng)用在大型的虛擬機(jī)平臺(tái)系統(tǒng)中，通過(guò)遠(yuǎn)端磁盤(pán)陣列來(lái)分配磁盤(pán)或者目錄，在這種基于分布式方式的存儲(chǔ)構(gòu)建中，也面臨著網(wǎng)絡(luò)安全問(wèn)題，其需要繞過(guò)操作系統(tǒng)層和文件管理層來(lái)實(shí)現(xiàn)訪問(wèn)和控制，這就非常容易受到網(wǎng)絡(luò)安全攻擊.

2.2 虛擬化環(huán)境中的安全問(wèn)題分析

K V M虛擬化環(huán)境中的安全問(wèn)題主要是指K V M虛擬化管理程序的安全性、K V M虛擬化機(jī)制的安全性和K V M遠(yuǎn)程管理的安全性三個(gè)方面，下文將對(duì)這三個(gè)方面的虛擬化安全問(wèn)題進(jìn)行詳細(xì)分析。

1）虛擬化管理程序的安全問(wèn)題

這方面主要是在虛擬化環(huán)境下的一些管理程序?qū)χ鳈C(jī)的訪問(wèn)的限制，與一般的計(jì)算機(jī)環(huán)境相似，如果一些管理程序的操作不正確將直接破壞整個(gè)虛擬化網(wǎng)絡(luò)環(huán)境，對(duì)其造成致命的破壞，尤其是引入到虛擬層的時(shí)候，虛擬化管理程序的安全問(wèn)題更加凸顯。

2）虛擬機(jī)的安全問(wèn)題

虛擬機(jī)的安全問(wèn)題主要是指運(yùn)行在虛擬機(jī)上的操作系統(tǒng)的安全以及虛擬化管理程序的內(nèi)部的虛擬化處理的安全，因?yàn)樵谔摂M化環(huán)境下通過(guò)本地存儲(chǔ)和遠(yuǎn)程存儲(chǔ)上的相關(guān)的虛擬化管理程序都可以實(shí)現(xiàn)對(duì)整個(gè)虛擬機(jī)的相關(guān)資源的訪問(wèn)和控制，這樣虛擬機(jī)的安全性直接關(guān)系到整個(gè)虛擬平臺(tái)的安全，提高虛擬機(jī)的安全性是提升虛擬化平臺(tái)安全的前提。

3）遠(yuǎn)程管理的安全問(wèn)題

在虛擬化環(huán)境下主要是通過(guò)網(wǎng)絡(luò)遠(yuǎn)程管理方式對(duì)虛擬化環(huán)境下的各類(lèi)計(jì)算機(jī)資源和虛擬資源進(jìn)行管理，在管理過(guò)程中通常需要涉及到對(duì)K V M虛擬主機(jī)上的資源的遠(yuǎn)程訪問(wèn)，需要將虛擬環(huán)境管理的相關(guān)工作分配給虛擬環(huán)境中的其他用戶，而這一系列的遠(yuǎn)程管理都將面臨著網(wǎng)絡(luò)安全問(wèn)題。如何在遠(yuǎn)程管理中采用安全的通信手段是K V M虛擬化環(huán)境面臨的一個(gè)重要安全問(wèn)題.

2.3 提高虛擬化安全性的方法

通過(guò)前文分析，K V M面臨的安全問(wèn)題主要包括存儲(chǔ)安全和環(huán)境安全，因此，提高虛擬化安全性的方法主要從存儲(chǔ)安全和環(huán)境安全兩個(gè)方面進(jìn)行.

其中在存儲(chǔ)安全問(wèn)題上，通過(guò)前文分析，目前K V M采用的存儲(chǔ)方式主要有基于文件系統(tǒng)、基于設(shè)備和基于存儲(chǔ)池三種方式，這三種方式各有優(yōu)點(diǎn)和缺點(diǎn)，同時(shí)也都面臨著一系列的安全問(wèn)題，如基于文件存儲(chǔ)需要面臨操作系統(tǒng)層帶來(lái)的一些安全風(fēng)險(xiǎn)，在這方面我們可以通過(guò)增加負(fù)責(zé)運(yùn)行文件系統(tǒng)的操作系統(tǒng)的安全性，通過(guò)配置i p tabes防火墻，根據(jù)需求設(shè)置其級(jí)別和安全訪問(wèn)控制方式，增強(qiáng)該操作系統(tǒng)的安全性，在基于設(shè)備存儲(chǔ)方式上，可以通過(guò)為L(zhǎng) V M構(gòu)建存儲(chǔ)副本來(lái)提高其存儲(chǔ)安全性，在L V M被破壞后還可以通過(guò)從額外的副本中進(jìn)行恢復(fù)，總的來(lái)講，在解決K V M存儲(chǔ)方式的安全問(wèn)題上，我們可以先在宿主機(jī)上創(chuàng)建一個(gè)K V M存儲(chǔ)池，然后利用創(chuàng)建的存儲(chǔ)池提供L V M邏輯卷，實(shí)現(xiàn)L V M的備份和快照，同時(shí)通過(guò)設(shè)置O S的安全級(jí)別和加裝相關(guān)的安全訪問(wèn)控制程序，以提高整個(gè)K V M存儲(chǔ)的安全性.

在K V M環(huán)境安全方面通過(guò)前文分析，其主要存在虛擬化管理程序安全、虛擬機(jī)安全和遠(yuǎn)程管理安全三個(gè)方面的安全問(wèn)題，其中針對(duì)虛擬化管理程序的安全，我們可以通過(guò)使用常用的安全控制工具來(lái)保護(hù)K V M的相關(guān)的宿主機(jī)的安全，與解決基于文件系統(tǒng)的K V M的安全存儲(chǔ)問(wèn)題一樣通過(guò)i p tables和S E l inu x等來(lái)增強(qiáng)其安全性；在虛擬機(jī)安全問(wèn)題上，我們可以通過(guò)構(gòu)建虛擬存儲(chǔ)鏡像，保護(hù)一些敏感數(shù)據(jù)的安全性，避免一些管理程序破壞；在遠(yuǎn)程管理上我們可以通過(guò)virsh和vir t-manager等工具來(lái)實(shí)現(xiàn)遠(yuǎn)程管理的互動(dòng)，同時(shí)借助于SS H安全通信通道和相關(guān)的鑒權(quán)機(jī)制以及設(shè)置安全層的方式來(lái)提升其安全性.

總之在構(gòu)建K V M虛擬化平臺(tái)的時(shí)候，需要充分考慮到各種K V M技術(shù)的優(yōu)勢(shì)和劣勢(shì)以及面臨的主要問(wèn)題，同時(shí)綜合運(yùn)用多種K V M技術(shù)的優(yōu)點(diǎn)進(jìn)行整合提高整個(gè)K V M虛擬化平臺(tái)的安全性.

4 結(jié)語(yǔ)

K V M作為一種重要的虛擬化技術(shù)，是未來(lái)云計(jì)算技術(shù)進(jìn)一步發(fā)展的基礎(chǔ)，基于K V M虛擬化技術(shù)構(gòu)建高效安全的虛擬化平臺(tái)是未來(lái)構(gòu)建大型的云計(jì)算和網(wǎng)絡(luò)系統(tǒng)的關(guān)鍵，本文從K V M虛擬化平臺(tái)的構(gòu)建出發(fā)，首先對(duì)目前K V M虛擬化技術(shù)研究現(xiàn)狀進(jìn)行分析，詳細(xì)分析了目前K V M虛擬化平臺(tái)構(gòu)建存在的一些安全問(wèn)題，從K V M存儲(chǔ)安全和K V M虛擬環(huán)境安全兩個(gè)方面探討了目前K V M虛擬化平臺(tái)構(gòu)建過(guò)程中面臨的主要安全問(wèn)題，并針對(duì)這些安全問(wèn)題提出了相應(yīng)的解決措施和方法，對(duì)于提高K V M虛擬化平臺(tái)安全性、促進(jìn)K V M虛擬化技術(shù)發(fā)展具有非常重要意義.

[1]鄭楠,陳立南,鄭禮雄,等.基于C loud S tack和O p en S tack的K V M虛擬機(jī)跨平臺(tái)遷移方法[J].通信學(xué)報(bào), 2014(z1).

[2]Guo C,L i T,Gong Z,et al.A vir tual vulnerabi lity val idation p lat formbasedon K V M[C]//E lect ronics I nformation and E mergency C ommunication(ICEIEC), 2015 5th I nternational C onference on.IEEE,2015: 228-231

[3]N agao N.I nformation p rocessing a pp aratus,K V M s w itch,server,and com p uter readable medium:U.S. P atent 8,706,922[P].2014-4-22.

[4]秦學(xué)東,陳大慶,崔曉松.基于開(kāi)源虛擬化的高可用服務(wù)器架構(gòu)[J].現(xiàn)代圖書(shū)情報(bào)技術(shù),2011,（06）:46-50.

[5]陳陽(yáng),懷進(jìn)鵬,胡春明.基于內(nèi)存混合復(fù)制方式的虛擬機(jī)在線遷移機(jī)制[J].計(jì)算機(jī)學(xué)報(bào),2011,（12）:2278-2291.

[6]丁圣閣,馬汝輝,梁阿磊,管海兵.半虛擬化I/O模型的K V M虛擬機(jī)域間通信優(yōu)化方法[J].計(jì)算機(jī)科學(xué)與探索, 2011,（12）:1114-1120.

[7]侯建寧,董貴山,王銀,申婭.基于虛擬化的系統(tǒng)安全增強(qiáng)及顯卡透?jìng)餮芯縖J].計(jì)算機(jī)工程,2012,（08）:224-227+231.

[8]葉可江,吳朝暉,姜曉紅,何欽銘.虛擬化云計(jì)算平臺(tái)的能耗管理[J].計(jì)算機(jī)學(xué)報(bào),2012,（06）:1262-1285.

[9]汪大洋,賈平,江凇.基于I P-K V M的網(wǎng)管集中管理軟平臺(tái)的搭建與應(yīng)用[J].電力信息與通信技術(shù),2014,12 (4):61-65.

[10]李博,沃天宇,胡春明,李建欣,王穎,懷進(jìn)鵬.基于V MM的操作系統(tǒng)隱藏對(duì)象關(guān)聯(lián)檢測(cè)技術(shù)[J].軟件學(xué)報(bào), 2013,（02）:405-420.

[11]李陽(yáng)陽(yáng).基于開(kāi)源K V M的服務(wù)器虛擬機(jī)遷移方案研究[J].計(jì)算機(jī)安全,2013,（08）:28-31.

[12]劉佳銘,吳定剛,謝紅勝.基于K V M的作戰(zhàn)系統(tǒng)仿真研究[J].艦船電子工程,2013,（11）:71-73+85.

[13]L i J,Z hao J,L i Y,et al.i M I G:To w ard an A da p tive L ive M igration M ethod for K V M V irtual M achines[J]. The C om p uter J ournal,2014:b x u065.

[14]W A N G Z,S U N C,YU L.The A pp l iment of K V M V ir tual Technology on The S henWei P lat form[J].I nformation Technology and I nformati z ation,2014,（6）:103.

[15]A l f ia Y,Wechsler M,B ergman S.F ast vir tual media kvm system:U.S.P atent A pp l ication 14/164,860 [P].2014-1-27.

[16]X UT,L I U S,H A N L.K V M-B ased Trusted V ir tuali z ation A rchitecture M odel[J].J ournal of J i lin University (S cience E dition),2014,（3）:025.

責(zé)任編輯：張隆輝

TP391

A

1672-2094(2016)03-0155-05

2016-04-20

韓文智（1966-），男，云南施甸人，四川職業(yè)技術(shù)學(xué)院副教授，碩士.研究方向：計(jì)算機(jī)軟件及網(wǎng)絡(luò).