基于Xen的I／O准虚拟化驱动研究

针对全虚拟化下客户端虚拟机无法“感知”虚拟机监视器的问题,对基于Xen的I／O准虚拟化驱动进行研究,通过实验可知,准虚拟化驱动能够消除全虚拟化方式下虚拟机监视器“黑箱”特性的限制,可以实现和虚拟机监视器的密切配合,从而提高I／O性能。在虚拟机Xen的全虚拟化环境中加入准虚拟化驱动,采用对比测试方法验证了该驱动能大幅提升网络性能。     

可信安全虚拟机平台的研究

文章在对虚拟化技术的安全性以及现有虚拟化安全增强技术分析的基础上,基于可信计算技术提出了一种新的可信安全虚拟机平台架构TSVPA,并对其体系结构和安全机制进行了设计。     

一种基于虚拟机的安全监测方法

随着虚拟化广泛应用于如云计算等各种领域,渐渐成为各种恶意攻击的目标.虚拟机的运行时安全是重中之重.针对此问题,提出一种适用于虚拟化环境下的监测方法,并且在Xen中实现虚拟机的一个安全监测原型系统.通过这个系统,特权虚拟机可以对同一台物理机器上的大量客户虚拟机进行动态、可定制的监控.特别地,本系统对于潜伏在操作系统内核中的rootkit的检测十分有效.这种安全监测方法能有效提高客户虚拟机以及整个虚拟机系统的安全性.     

基于虚拟化的安全监控

近年来,虚拟化技术成为计算机系统结构的发展趋势,并为安全监控提供了一种解决思路.由于虚拟机管理器具有更高的权限和更小的可信计算基,利用虚拟机管理器在单独的虚拟机中部署安全工具能够对目标虚拟机进行检测.这种方法能够保证监控工具的有效性和防攻击性.从技术实现的角度来看,现有的研究工作可以分为内部监控和外部监控.根据不同的监控目的,详细地介绍了基于虚拟化安全监控的相关工作,例如入侵检测、蜜罐、文件完整性监控、恶意代码检测与分析、安全监控架构和安全监控通用性.最后总结了现有研究工作的不足,并指出了未来的研究方向.这对于从事虚拟化研究和安全监控研究都具有重要意义.     

跨虚拟机的可信检测

随着网络计算以及"云计算"的兴起,虚拟化技术得到了更多重视与应用。在计算机技术中,安全问题一直是非常重要研究课题。运用虚拟化技术,可以发现一些新的方法来解决传统非虚拟化计算机环境下的安全问题。设计并实现了虚拟机之间的检测方法,来对目标虚拟机进行可信检测。该方法最大的优势在于其对目标虚拟机进行可信检测的同时,可以避免恶意软件对检测程序本身的攻击。     

系统虚拟机关键技术研究

分析了系统虚拟机的基本原理;对系统虚拟机设计中的关键问题,包括处理器、内存和I/O设备的虚拟化、以及虚拟机的迁移进行了深入研究,分析了需要解决的问题,比较并总结了针对这些问题已提出的解决方法。探讨了基于虚拟机的各种应用,展望了虚拟机发展趋势。     

虚拟机监视器结构与实现技术*

首先介绍了虚拟机技术的发展历史以及虚拟机监视器所具有的优点和特性,总结了其体系结构和分类,并分析了虚拟机监视器内部逻辑模块;从CPU虚拟化、内存虚拟化、I/O虚拟化和硬件支持四个方面讨论了虚拟机监视器的实现技术;最后基于当前学术界和业界对虚拟机技术的研究情况,阐述了未来虚拟机技术面对的机遇与挑战。     

有关虚拟机及虚拟化技术的几点诠注

虚拟机及虚拟化技术给计算机应用注入了新的研究与开发点,同时也存在诸多不利因素.本文综述了虚拟机及虚拟化技术的发展历程,指出了虚拟机与虚拟化目前在应用上存在的若干问题.针对这些问题,结合虚拟机技术的发展,给出了研究与开发的相关建议.     

虚拟机协同调度问题研究

由于虚拟化技术能对多个服务有效隔离避免其相互间干扰而得到广泛应用。对于需要多个服务协同工作的大型应用,传统虚拟机监控器调度时忽视了虚拟机间的协同性,降低了虚拟机间并行工作的可能性,从而影响了服务质量。对虚拟机的协同调度进行研究,分析了调度对虚拟机协同性及服务质量的影响,提出了一种虚拟机协同调度算法。实验表明,协同调度使虚拟化平台服务器响应时间降低了1/3,且没有对调度的公平性造成明显影响。     

云计算下虚拟机部署机制的研究

随着云计算的发展,虚拟化技术重新得到了人们的关注。当前,在用户服务不断增多,待处理量激增的情况下,如何提高云计算下虚拟机部署效率成为了人们研究的热点。对云计算下虚拟机部署的体系结构和部署流程,以及针对虚拟机部署机制的优化策略进行了研究。使用了分布式模板文件存储方法来提高虚拟机部署效率,通过实验验证了该方法的有效性。     

云计算环境中的虚拟机同驻安全问题综述

在云计算环境中,为了实现资源共享,不同租户的虚拟机可能运行在同一台物理机器上,即虚拟机同驻,这将带来新的安全问题。为此,文章重点讨论同驻虚拟机所面临的一些新的安全威胁,包括资源干扰、隐蔽通道/侧信道、拒绝服务与虚拟机负载监听等,介绍现有虚拟机同驻探测方法,总结针对虚拟机同驻威胁的四种防御思路,并分析未来的研究趋势。     

一种可信虚拟机迁移模型构建方法

虚拟机的安全迁移是保障云环境安全可信的重要需求之一.对于包含虚拟可信平台模块(virtual TPM, vTPM)的可信虚拟机,还需要考虑vTPM的安全迁移问题.目前,已有一些针对可信虚拟机的安全迁移的研究,但是由于研究可信虚拟机的模型不统一,导致迁移模型解决问题的方案不能适用所有的迁移方案,存在一定的局限性.针对可信虚拟机的迁移缺乏统一的安全模型及测试方法的问题,参考虚拟机迁移中普遍存在的安全问题以及可信计算和云的相关规范,从整体系统层面对可信虚拟机的迁移进行安全需求分析;提出一种可信虚拟机迁移框架,将可信迁移的参与组件进行了抽象并描述了迁移协议中的关键步骤和状态;以标号迁移系统LTS为操作语义描述工具对可信迁移系统进行进一步的描述,以系统中迁移进程组件的建模为基础构建出动态的迁移系统状态迁移树;分析了LTS模型可以用于可信迁移协议的一致性测试,并通过与其他相关工作的比较说明了模型在考虑安全属性方面的完备性.     

基于可信平台模块的虚拟机安全协议

为了保证虚拟机间通信的安全,存取控制是经常采用的手段。但是存取控制的灵活性和扩展性都有一定的限制。为了克服这一局限性,本文提出了一套针对虚拟机系统的安全协议。安全协议以可信平台模块作为可信根,建立起从底层硬件到虚拟机中应用的信任路径,从而有效并安全地实现了密钥及证书的发放、身份认证、虚拟机间保密通信和密钥及证书更新的功能。此外,本文在Xen中成功实现了这套安全协议。     

Batch scheduling of consolidated virtual machines based on their workload interference model

The use of virtualization technology (VT) has become widespread in modern datacenters and Clouds in recent years. In spite of their many advantages, such as provisioning of isolated execution environments and migration, current implementations of VT do not provide effective performance isolation between virtual machines (VMs) running on a physical machine (PM) due to workload interference of VMs. Generally, this interference is due to contention on physical resources that impacts performance in different workload configurations. To investigate the impacts of this interference, we formalize the concept of interference for a consolidated multi-tenant virtual environment. This formulation, represented as a mathematical model, can be used by schedulers to estimate the interference of a consolidated virtual environment in terms of the processing and networking workloads of running VMs, and the number of consolidated VMs. Based on the proposed model, we present a novel batch scheduler that reduces the interference of running tenant VMs by pausing VMs that have a higher impact on proliferation of the interference. The scheduler achieves this by selecting a set of VMs that produce the least interference using a 0–1 knapsack problem solver. The selected VMs are allowed to run and other VMs are paused. Users are not troubled by the pausing and resumption of VMs for a short time because the scheduler has been designed for the execution of batch type applications such as scientific applications. Evaluation results on the makespan of VMs executed under the control of our scheduler have shown nearly 33% improvement in the best case and 7% improvement in the worst case compared to the case in which all VMs are running concurrently. In addition, the results show that our scheduling algorithm outperforms serial and random scheduling of VMs as well.     

云计算环境下的虚拟机快速克隆技术

虚拟机克隆技术是指在云计算环境下快速复制出多个虚拟机（VM）并将这些VM分发到多台物理主机上,克隆出来的VM共享相同的初始状态然后独立运行提供服务。虚拟机克隆使得云计算提供商能够快速有效地部署系统资源。给出了一种虚拟机快速克隆方法,利用写时拷贝技术来创建虚拟磁盘和内存状态的快照,然后用按需分配内存技术和多点传送技术来请求和传输这些状态信息。在C3云平台上的实验表明,此方法在不中断源虚拟机中运行服务的情况下,实现了云计算中的快速虚拟机克隆。     

云数据中心考虑虚拟机关联性的虚拟机放置策略

提出云数据中心考虑虚拟机关联性的虚拟机放置策略.在物理主机状态检测和虚拟机选择阶段,采用鲁棒局部归约主机检测方法LRR(Local Regression Robust)和最小迁移时间选择方法MMT(Minimum Migration Time);在虚拟机放置阶段,采用多重相关系数来评价虚拟机之间的关联性.该策略在重新分...     

Optimal machine placement based on improved genetic algorithm in cloud computing

The Journal of Supercomputing - In cloud computing, virtual machine placement (VMP) is an important process that identifies the most appropriate physical machine to host the virtual machines (VMs)....     

面向云计算的集群文件系统性能对比测试

虚拟机使用集群文件系统是云计算主要架构模式之一,主要分为共享式集群文件系统和分布式集群文件系统两大类.其中,后者是近年来学术界关注的热点,在产业界也逐渐得到深入应用.采用测试法,选取fio作为测试工具,以IOPS作为度量指标,对比两类集群文件系统的性能优劣.实验结果显示,在单物理机节点配置下进行单台虚拟机IOPS写性能测试,共享式文件系统要好于分布式集群文件系统大约40%,但读性能要差1.5倍;对于多台虚拟机并发测试,则当支持虚拟机运行的共享式/分布式集群文件系统规模小于16台时,前者和后者性能基本一致.否则,后者会明显好于前者.     

一种基于资源预分配的虚拟机软实时调度方法

虚拟机技术作为云计算的重要技术之一,近年来得到广泛关注,但是由于虚拟机管理层的存在,导致语义鸿沟,使得实时应用程序、并发程序等在虚拟机上的运行性能受到影响。分析和研究了Xen虚拟机管理器的Credit调度算法,针对其在并发调度和软实时调度方面存在的不足,提出了改进调度算法,实现了算法的调度器原型。新的调度算法对软实时虚拟机进行Credit比例预分配,采用动态调度时间片机制,以non-work-conserving方式实现软实时任务周期调度,保障调度周期满足运行周期要求。通过区分并发和非并发软实时虚拟机,采取不同的调度策略,在满足资源利用率的基础上,确保实时任务的顺利运行。测试结果表明,该调度算法在对并发和非并发软实时任务调度上,具有良好的表现,较好满足了软实时应用调度需求。     

A disk bandwidth allocation mechanism with priority

Virtualization is a popular technology. Services and applications running on each virtual machine have to compete with each other for limited physical computer or network resources. Each virtual machine has different I/O requirement and special priority. Without proper scheduling resource management, a load surge in a virtual machine may inevitably degrade other’s performance. In addition, each virtual machine may run different kinds of application, which have different disk bandwidth demands and service priorities. When assigning I/O resources, we should deal with each case on demand. In this paper, we propose a dynamic virtual machine disk bandwidth control mechanism in virtualization environment. A Disk Credit Algorithm is introduced to support a fine-gained disk bandwidth allocation mechanism among virtual machines. We can assign disk bandwidth according to each virtual machine’s service priority/weight and its requirement. Related experiments show that the mechanism can improve the VMs’ isolation and guarantee the performance of the specific virtual machine well.