E-government - pubblica amministrazione digitale e innovazione PA

La virtualizzazione e i suoi aspetti di sicurezza (parte III)

TRATTO DA "LA VIRTUALIZZAZIONE E I SUOI ASPETTI DI SICUREZZA", Monografia di Assosecurity e dei soci dell'associazione, rilasciato in supplemento a E-GOV 5/2010 (leggi la seconda puntata)

Virtualizzare non è solo "di moda", ma è diventato necessario. Per risparmiare risorse, per sfruttare al meglio la potenza dei server, per fornire più sicurezza alle macchine e per riallocare al meglio le immagini: attraverso percorso ad hoc firmato da Assosecurity e dai suoi soci, proviamo a fare il punto sullo stato dell'arte, spiegando punto per punto cosa si intende per "virtualizzare". Nel terzo capitolo vengono analizzati alcuni dei più noti prodotti commerciali e dei progetti open source più noti

3. PRODOTTI PER LA VIRTUALIZZAZIONE
In questo capitolo verranno descritti alcuni dei prodotti commerciali e dei progetti opensource più noti; in particolare verrà presa in considerazione la soluzione SUN Solaris Container/Zones che rappresenta un sistema basato sulla tecnica della OS Virtualization; si proseguirà con una descrizione generale delle caratteristiche salienti della linea di prodotti VMware per poi passare all’ultima soluzione Microsoft denominata Hyper-V; il capitolo si concluderà con una esposizione di due progetti opensource (Xen e KVM) i quali sono diventati anche ottime basi per prodotti commerciali (come ad esempio i già citati OracleVM, VirtualIron, SUN xVM). A parte la
soluzione SUN tutti gli altri prodotti sono hypervisor e/o VMM35. Infine, pur non essendo un applicativo che implementa un sistema di virtualizzazione, verrà descritta brevemente la libreria opensource Libvirt, che permette ad applicazioni di più alto livello di gestire l’esecuzione di macchine virtuali su sitemi Linux.

3.1 Sun Solaris Containers/Zones
A partire da Solaris 10, nel sistema operativo della SUN è presente una ambiente di virtualizzazione che non prevede modifiche a livello hardware, ovvero ai processori, ma solo a livello software. Questo ambiente prevede un partizionamento mediante “copia” dei file del sistema operativo e di tutto l'ambiente di esecuzione. In questo modo è possibile creare delle “zone” da dedicare a copie di sistemi operativi, ognuno di essi con i propri file personalizzati ove necessario e con i propri processi. L'implementazione prevede che ogni zona sia completamente separata dalle altre. Come mostrato in figura (vedi pdf), l’ambiente di virtualizzazione (container) contiene al suo interno diverse zone ognuna delle quali ospita una macchina virtuale. Il compito principale dello strato di basso livello (OS platform) è quello di garantire il corretto isolamento fra le zone. Il compito della Virtual Platform, invece, è quello di mettere a disposizione delle zone le risorse principali di sistema, ovvero un root file system comune e l’accesso ai dispositivi hardware (come ad esempio le interfacce di rete). Una caratteristica importante di questa soluzione è la capacità del sistema di effettuare il riavvio di una zona in pochi secondi.

3.2 VMWare
VMware è una soluzione che utilizza il metodo della binary translation. Questa scelta è stata obbligata dall'assenza iniziale di altre tecniche efficienti per virtualizzare (come la virtualizzazione hardware). Le ultime versioni utilizzano la virtualizzazione hardware offerta dalle CPU Intelcompatibili. La binary translation riduce la velocità d'esecuzione al fine di porre in esecuzione i sistemi operativi senza la necessità di doverli modificare.  Con l'introduzione da parte di Intel e AMD delle estensioni per la virtualizzazione in hardware ingrado di semplificare l'attività dell'hypervisor, VMware ha recepito il cambiamento tecnologico in atto per cui le ultime versioni del software sfruttano in modo nativo queste estensioni (se presenti nell'hardware in uso). VMware è una soluzione consolidata e matura; con l'acquisizione di una consistente quota di partecipazione azionaria di VMware da parte di Intel, il software può avvalersi del know-how del più grande produttore mondiale di microprocessori, nonché delle conoscenze specifiche di Intel in ambito di virtualizzazione in hardware. VMware detiene ad oggi la quota più consistente del mercato dei prodotti per la virtualizzazione dei sistemi operativi.
Le principali funzionalità della soluzione VMware sono di seguito descritte.
1. High availability (HA) è un strumento per garantire l'affidabilità dei servizi. Il suo compito è di monitorare il pool di ESX server ed intervenire in caso di guasti hardware assistendo le VM presenti sul server in oggetto per garantirne il riavvio sui server fisici rimanenti. La caratteristica più interessante è la possibilità di monitorare le singole VM per verificare lo stato del loro funzionamento, ad esempio proteggendole da eventuali malfunzionamenti del sistema operativo virtuale. Il monitoraggio ed il riavvio avvengono in modo automatico secondo policy personalizzabili.
2. Distributed Resources Scheduler (DRS) e Distributed Power Management (DPM)
DRS è una tecnologia in grado di bilanciare il carico di lavoro tra diversi server fisici in funzione della priorità assegnata alle VM. Consente di ottimizzare le risorse fisiche riassegnando di volta in volta le varie VM sulla base di differenti policy (ad esempio: garantire prestazioni minime ad una certa VM). Il software permette di gestire la manutenzione programmata: se è previsto un tempo di fermo si riassegnano le diverse VM tra i server rimanenti. DPM è una tecnologia di monitoraggio (dichiarata sperimentale dallo stesso produttore al
momento della scrittura del documento) che sfrutta il DRS per ottimizzare i consumi energetici dei server fisici.
3. Virtual Machine File System (VMFS) è una tecnologia per centralizzare la memorizzazione dei dati tramite un file system di tipo cluster a cui possono accedere i vari server ESX in modo trasparente. I sistemi guest vedono le immagini virtuali su VMFS come dei dispositivi SCSI. VMware dichiara di permettere l'installazione su questi dispositivi anche di sistemi non certificati per l'installazione su SAN (esempio: Windows 95). L'accesso ai dati è di tipo concorrente quindi è possibile permettere a due macchine virtuali di leggere e scrivere sulla stessa unità di data storage. VMFS prevede la possibilità di assegnare al server di storage un proxy per il backup delle immagini delle VM.
4. Converter è un’applicazione per la conversione di ambienti virtuali. Permette di convertire installazioni già attive su una macchina fisica in immagini utili per l'uso nei software diVMware (Phisical to Virtual - P2V) e di convertire immagini preesistenti in un formato compatibile VMware. La opzioni P2V sono limitate alla sola famiglia di sistemi operativi Microsoft e Linux.
5. Storage Vmotion è una funzionalità che permette di migrare le immagini dei dischi virtuali da uno storage server ad un altro via rete; il processo può avvenire mentre la macchina virtuale è in funzione e senza tempi di fermo significativi: il produttore dichiara tempi inferiori ai due secondi ma è desumibile che i tempi dipendano dalle prestazioni di rete e dalle prestazioni in lettura/scrittura del sottosistema di I/O. L'operazione di Storage Vmotion avviene in cinque fasi.
1. Vengono spostati i metadati (file di swap, configurazioni della VM).
2. Nella nuova locazione di storage vengono creati dei “dischi temporanei” (nella
documentazione child disk) logicamente associati alla VM oggetto della Storage
Vmotion. Questi dischi si occuperanno di intercettare le operazioni di scrittura
della VM.
3. Vengono spostate le immagini dei dischi virtuali associati alla VM.
4. I dati delle immagini virtuali vengono sincronizzati con i “dischi temporanei”.
5. Viene aggiornata l'interfaccia di front end.

PRODOTTI PER LA VIRTUALIZZAZIONE: CONTINUA LA LETTURA!

Ti potrebbe interessare anche

• Pubblicare il multimediale sul sito della P.A.: profili giuridici - parte 3
• Pubblicare il multimediale sul sito della P.A.: profili giuridici parte 2
• Pubblicare il multimediale sul sito della P.A.: profili giuridici parte 1
• GreenIT: sensoristica, fonti rinnovabili ed embedded systems per l'ecologia
• E-Inclusion: l’e-gov contro l’esclusione sociale
• NextCityLife: vivere in una città intelligente