虚拟机管理平台

虚拟机管理平台（精选8篇）

虚拟机管理平台 篇1

1 虚拟主机的安全防范

从虚拟主机的安全漏洞可看出黑客的入侵,实际上它是极为普通的,没有什么高技术的成分,也没有现在人都喜欢用的漏洞、溢出,它只是由一个普通用户的弱口令开始,慢慢发展到了整个主机群被控在入侵者的手中。事实上,操作系统和各种相关服务本身并没有什么漏洞,问题主要还是发生在CGI程序的编写、维护中的疏忽和管理员对安全问题不敏感等方面。一般来说,主机一开始是由资深的工程师配置,之后也会对发现的漏洞进行修补,而且系统本身的漏洞也是比较少的。但是,在管理过程中,这些是由下一层技术人员负责的,他们技术面不广,叫干什么就干什么,没有很强的责任感和很大的压力。针对此问题,需要增强安全防范意识,采取切实安全的防范措施。

2 虚拟方式的选择

虚拟主机的方式有IP型虚拟主机、名字型虚拟主机和端口型虚拟主机。由于现有的IPV4资源十分有限,如果采用IP型虚拟方式,便会产生很大的费用。所以,采用第二种和第三种共用的方式,即开通少量的IP端口,在每个端口上分别连接、支持不同脚本的虚拟主机,这样可以分担虚拟主机的负载,提高其性能。

3 虚拟机系统的平台建设

3.1 利用Web服务器组实现多脚本的支持和用户网站的发布

企业架设独立的网页(Web)服务器主机,需要自己架设网络并设置服务器主机的位置和相关参数,然后将制作好的网站发布到Web服务器上。这样做需要较复杂的工作流程和较多的时间,而使用虚拟主机技术架设网站就比较便捷。

3.2 将Serv-U和MySQL整合

Serv-U是一个可以运行于Windows Array5/Array8/2000/ME和Windows NT 4.0下的FTP服务器程序。有了它,个人电脑就可以模拟为一个FTP服务器,也就是说,你所连接的网络中的计算机用户可以访问你的个人电脑,通过FTP协议(文件传输协议)复制、移动、删除你的电脑中的文件或文件夹,可以做一切权限所允许的事情。利用Serv-u连接MySQL或者连接access数据库的程序来实现防盗连的技术。

设计采用了ODBC数据源方式将Serv-U与MySQL集成。这样,在虚拟主机中Serv-U的所有账户和组信息,还有访问策略信息都将存储在MySQL数据库中。Serv-U FTP账户的数据库存取是实例采用的重要技术,对数据库的正确操作能实现对Serv-U的管理,从而实现FTP账户的在线申请、用户流量控制和空间限额等功能。用户空间申请成功后,系统会在Serv-U中为用户创建账户并将用户的发布目录添加到Serv-U账户中,限制用户FTP登录时只能进入自己的Web发布目录。这样用户就可以通过FTP直接登录到自已的网站空间,对其进行管理,整合结构如图1所示。

3.3 用户数据库分配和在线管理

要为用户提供虚拟Web主机,为用户提供数据库支持。因为现今的网站已不再是多年前的纯静态网站,用户需要更新网站数据,实现其动态的功能,必须要使用数据库对数据进行存取。用户成功申请账户时,系统会为用户创建与用户名相应的数据库,创建数据库账户,并将该数据库授权给该用户,该数据库用户仅能访问自己的数据库。管理员可以访问到所有的数据库,包括用户数据库和系统数据库。用户数据库管理采用PHP软件phpMy Admin在线管理,非常便捷。

3.4 B/S管理系统“NewWebServer”设计

建立管理系统有五个目的,即用户空间的在线申请、用户的自我管理、管理员对用户的在线管理、管理员对系统配置和系统信息统计。

“NewWebServer”是利用JAVA技术JSP&Servlet编写的B/S管理系统。它将虚拟Web主机系统和FTP系统联系起来,显示了虚拟主机系统的强大功能。图2为系统功能模块图。

3.4.1 MySQL多用户管理

3.4.2B/S管理系统的安全性

B/S管理系统的账户同样也是Serv-U的账户,同时,在验证密码时,采用了正则表达式,消除了SQL注入攻击的可能。

4 结束语

总之,为建设运行速度快、工作效率高、功能齐全、安全性能好的虚拟机系统平台,就要准确地实行以上建设方案,才能建设出满意的系统平台,从而最大程度地体现了虚拟机系统的服务功能。

摘要：虚拟机系统是通过划分网络服务器磁盘空间,供用户拥有放置站点、应用组件的数据存放和传输。通过对虚拟机系统平台的建设方案进行分析,详细介绍了虚拟机系统建设的具体思路,为建设高效系统平台作参考。

关键词：虚拟机,系统,平台,建设

参考文献

[1]李霞.系统虚拟机关键技术研究[J].微型电脑应用,2010(03).

[2]罗英伟.系统虚拟化技术在校园中的应用[J].中国教育网络,2011(05).

虚拟机管理平台 篇2

虚拟机ip

现在物理机和虚拟机应该就能相互通信了

第二步：加载配置文件找到虚拟机数据库配置文件tnsnames.ora..oracleproduct10.1.0Db_1NETWORKADMIN

复制里面的配置文件加到物理机的数据库连接配置文件，

物理机连接虚拟机数据库

，

具体操作如下：打开plsql，help ->support info

复制这个目录在计算机打开，把虚拟机的数据库配置文件加进去。

基于虚拟机平台的信息通信技术 篇3

随着科技的进步,计算机的运算速度越来越快,单位运算量成本却在不断下降。工业系统中过去需要多台计算机参与执行的一些功能,现在可以将其集中在一台计算机上实现,不但降低了设备投入成本,还减少了一线员工的工作强度。但是工业控制系统中某些通信站点,如分散控制系统(DistributionControl System,DCS)与外界的唯一通路——厂级监控信息系统(Supervisory Information System inplant level,SIS)通信接口站,虽然其功能单一,只负责数据的存储转发,但是由于协议转换、网络安全等原因却不能将其有效集成。导致每一个接入SIS系统的独立控制系统都需要至少一台计算机负责数据转发的任务,增加了计算机的使用量。

当今计算机技术向着高速化、智能化、大容量的方向发展。 多核CPU技术和大容量的内存为实现并行多任务创造了更好的使用环境。虚拟机(Virtual Machine,VM)技术的出现也让一台计算机有可能变成3 台、4 台计算机,同时运行多个操作系统。虚拟机灵活的网络搭建方式也可以安全地实现物理主机和虚拟机以及虚拟机之间的通信。通过软件模拟和物理网络搭建,可以构建一个完整的网络。

因此,有必要设计一种合理的基于虚拟机平台的通信站点,在满足数据存储转发的基本需求外,还可以充分挖掘计算机的潜力。该系统应确保其拥有较长的无故障运行时间,对于稳定性要求较高的系统,还应保证通信链路的可靠冗余。在未实现单向通信链路的网络环境中,还应实现网络安全的防护功能[1]。

1 厂级监控信息系统架构

厂级监控信息系统是以监控电厂各个系统运行数据为基础,通过记录各设备的实时数据,分析设备级和机组级的运行情况,形成厂一级的生产流程实时监视能力,并能指导经济运行,为全厂生产系统提供参数决策和参考。系统基于计算机信息技术,是结合管理科学、控制技术等学科于一体的集成系统,不仅可以显示,还能进一步提炼数据,用于指导生产管理、优化机组运行、服务区域管理,并向MIS系统提供实时数据并计算、分析数据。

目前,SIS系统已广泛应用于国内大中型火力发电机组,其运行优势已逐渐显现。SIS系统集中化平台建设可以有效解决分散建设各子系统所带来的功能单一、费用偏高等问题,提高了发电企业的投资效益[2]。

由于SIS系统连接着内网与外网,因此在设计时要着重考虑网络安全,采取完善的技术措施。SIS系统网络结构如图1 所示。通过防火墙和单向数据链路的网闸组合,实现内外网的隔离,再配合严格的管理制度,杜绝安全隐患。

2 虚拟机技术原理

随着计算机技术的快速发展,虚拟机技术也逐渐为人们所关注,像VMware的虚拟机软件已经被多数世界百强企业使用。现在,虚拟机技术已经应用在企业计算、分布式计算、灾难恢复和系统安全等方面的领域。

简单的说,虚拟机就是通过软件在宿主机上虚拟出一台计算机。按照虚拟机系统对上层应用所提供的接口,可以分为硬件抽象层虚拟机、操作系统层虚拟机、应用程序编程接口层虚拟机以及编程语言层虚拟机等4 类。本文中主要涉及的是操作系统层虚拟机,它提供了一个完整的操作系统,通过共享宿主机的部分硬件,以及自己模拟出来的虚拟硬件,建立完整的运行环境。

以运行在主机模式(Host-based Model)下的VMware Workstation为例,VMware Workstation架构如图2 所示。

VMware Workstation包括3 个模块:虚拟机监视器(Virtual Machine Monitor,VMM),VMX(Virtual Machine e Xtension)驱动和VM App (VMware应用程序)。其中VMM的作用是向底层分配访问宿主机的硬件资源,向上管理虚拟机的操作系统和应用程序。

由图2 可以看出,当虚拟机操作系统或其上的应用程序仅执行单纯的计算任务时,就通过VMM访问宿主机的CPU和内存直接运行。当需要访问I/O设备时,VM App通过VMX驱动的帮助对宿主机进行I/O操作,并将结果返回给VMM。此过程宿主机只与VM App和VMX驱动通信,并不知道VMM。由此可见,虚拟机中的I/O操作性能比单纯的主机操作要低,但在硬件性能高、运算闲置多的情况下,是可以忽略的[3]。

由此可见,虚拟机系统与实际的计算机操作系统没有区别,也会感染病毒,但是由于虚拟机是封闭的虚拟环境,如果虚拟机不与宿主机连接网络,则不会受宿主机病毒的影响。

3 虚拟机平台的通信技术

在电力系统中,由于安全和协议转换等原因常常将一台计算机仅用作一个子系统的数据转发站。在计算机技术飞速发展的今天,这种架构方式可能意味着计算机运算资源的极大浪费。以下以SIS系统为例介绍虚拟机平台的通信技术并分析其风险。

3.1 虚拟机信息通信原理

为应对各种网络环境,虚拟机设计了多种网络模式,一般常见的主要有以下3 种。

1)Bridge模式(桥接模式):这种方式最简单,直接将虚拟网卡桥接到一个物理网卡上面,在此种模式下,可认为虚拟机和指定物理网卡接在同一个虚拟交换机上,与宿主机在网络关系上处于同等的地位。

2)网络地址转换(Network Address Translation,NAT)模式:这种方式也可以实现本机系统与虚拟系统的双向访问,但物理网络内其他主机不能访问虚拟机,而虚拟机可通过宿主机采用NAT协议访问网络内其他主机。

3)Host-only模式(主机模式):这种方式只能进行宿主机下若干个虚拟机之间,以及虚拟机和宿主机之间的网络通信,即默认设置下网络内其他主机与虚拟机不能互相访问。

根据这3 种网络模式的特点可以看出,Bridge模式和Host-only模式属于OSI 7 层模型的数据链路层(第2 层)通信,而NAT模式属于网络层(第3层)通信。具体到本文中在SIS系统通信站上的应用,因其都在同一个网络上,故属于数据链路层通信。

数据链路层将从网络层接收到的数据分割成特定的帧,由网桥或交换机解码并转发给正确的接收方。简化的数据帧如图3 所示。

其中,目标地址和源地址均对应不同网卡的MAC地址。为了确保虚拟机的正常通信,必须给虚拟机的网卡唯一的可识别的MAC地址。在虚拟机中使用散列算法,结合VM特有的ID、VM的路径、网卡的实体名等信息算出特定的MAC地址,同时进一步使用MAC地址冲突的检测与重分配功能,确保MAC地址的唯一性。此外,在Bridge模式下,虚拟机系统还虚拟出一个交换机供宿主机及虚拟机共用,保证数据帧在各机之间的顺利转发。由此可以得出,由虚拟机发出的数据帧与物理计算机发出的数据帧没有差异,在网络上均可正常接收,故虚拟机通信与物理网络通信的底层原理是一致的。

3.2 虚拟机平台的搭建与维护

以VMware Workstation为例,搭建一个虚拟机用于SIS系统通信站。

首先在运行于Windows/Linux操作系统的平台上安装相应的虚拟机软件,完成虚拟化平台的搭建。然后根据计算机硬件的性能,适当添加1~4 台虚拟机(经测试,一般可按CPU核数设置虚拟机数量,同时兼顾内存容量和硬盘大小),并在虚拟机上安装合适的操作系统和通信软件。至此就基本搭建好了虚拟机平台。

虚拟机使用后,由于减少了主机的数量,维护量也随之减少。同时数据备份及迁移等工作可在软件中方便地完成,降低了工作风险,利用虚拟机故障恢复功能,故障处理等待时间也从20~40 h减少到15~30 min。

3.3 虚拟机通信的实现

根据上面虚拟机3 种网络模式的特点可知,Bridge模式最适合SIS系统的通信站使用。图1 中通信站未经集成,是用2 个网卡分别和DCS、SIS交换机连接,并将数据由DCS系统经数据转换再发给SIS服务器。如采用虚拟机技术则可将2~4 台通信站集成到一台物理主机上。虚拟机网络示意如图4所示。

以2 台虚拟机作为通信站为例,将虚拟机的网卡A和宿主机的物理网卡1 通过Bridge模式连接起来,则可认为它们通过虚拟交换机连接在一起,将IP配置在同一个网段后就可以和SIS系统通信并发送数据;虚拟机的网卡B和对应的物理网卡2(或3)桥接,则可以接收DCS发送的实时数据。对于DCS系统和SIS服务器来说,并不知道通信站是真实存在的还是虚拟的,所以数据通信不受影响。

实际上,如果一台主机上运行N台虚拟机,受网卡数量、CPU核数和内存等限制,一般可以在中等配置的宿主机上运行2~4 台虚拟机。

3.4 通信的可靠性分析

采用虚拟机平台后,通信稳定性的新增制约因素主要有虚拟机技术的可靠性、虚拟机软件的稳定性、宿主机的无故障运行时间等。

虚拟机技术从20 世纪70 年代出现至今,已经相当成熟。从图2 中也可以看出,其体系架构的设计相当完善,利用VMM作为隔离宿主机和虚拟机的中间层,稳定和保护了虚拟运行环境。

目前占整个市场(包括小型机市场)近90% 的市场份额的虚拟机软件是VMware,其稳定性得到众多企业多年的验证。其软件核心只有47 M,并可实现完整的虚拟化技术,显示出软件代码的高效性。

常见的工业级主机的平均无故障运行时间能达到250 000 h,完全能够满足SIS系统通信的需要。只是当宿主机出现硬件故障无法启动时,会出现多路系统同时通信失败,这是需要使用者考虑的。

随着各电厂在SIS系统中集成了更多的功能,对它的稳定性要求也越来越高。在原有的单网通信无法满足要求的情况下,可以采用如图5 所示的双主机双网通信技术,以期在费用增加不多的情况下,进一步大幅提高通信的可靠性。

3.5 通信的安全性分析

由虚拟机的工作原理可知,各个虚拟机在VMM的平台上独立运行,VMM对上层的虚拟机和操作系统拥有完全的控制权,使得软件开发商能够在VMM中实现安全性增强技术[4]。同时各虚拟机彼此完全隔离,这比多个服务或应用运行在同一个操作系统中的情况,安全性增强了很多。

但作为通信站的虚拟机必须连接网络,就有可能使病毒或受损的应用程序影响到虚拟机。因此虚拟机运行中仍然需要传统的安全性管理,如补丁升级、启用软件防火墙等。借助故障隔离功能,经过适当配置的虚拟机不会受到其他虚拟机或物理主机的攻击,故可以更好地抵御病毒和黑客[5]。

3.6 通信的经济性分析

目前,一台低性能工控机一年的折旧及耗费已达到5 000~7 000 元,而应用虚拟机技术后,大约在该系统可节省80% 甚至更高的费用,大幅提高性能/能耗比,实现了真正的绿色信息化。

一台虚拟机目前最多可以设置4 个处理器和16 GB内存,完全可以满足电厂对工控机和服务器的性能要求。在进行虚拟化整合后,每台工控机的平均利用率也可从7%提高到60%~80%,无需再为新项目另外购置硬件,从而降低了设备成本。

4 虚拟机通信应用的展望

Xen虚拟机的出现,有效集成了监控模式和主机模式的优点,既可以利用主机操作系统的现成设备驱动实现虚拟机的设备模型,又不会失掉监控模式的高效率,故而对I/O操作的开销大大降低。

在应用层面的创新,除了计算机整合功能外,业务连续、测试开发、虚拟桌面等功能都有望在电力系统中得到应用。业务连续可以将正在运行的虚拟机从一台物理机器上搬移到另一台,而服务不中断。如果能应用在像DCS这类要求可靠性很高的系统上,故障处理不再影响其运行,其平均无故障运行时间必将极大延长。测试开发上,虚拟机极其灵活的操作系统搭建方式,容易模拟出复杂和多变的测试环境,对于故障解决、技改稳定性测试,都相当方便。在DCS中如能采用虚拟桌面技术则可将运算集中在服务器端,使用100 元左右的云终端作为操作员站,大大减少硬件投入,更方便操作员站的扩展。

5 结语

采用虚拟机技术的SIS系统通信站已在湖北襄阳某电厂成功投入使用,运行情况良好。虚拟机技术的应用有效提高了计算机的使用效率,降低了人工维护成本,其实现方案有良好的应用推广价值。今后可逐步在一些更加重要的环节上使用虚拟技术,不断摸索经验,创造新价值。

摘要：为了解决电厂厂级监控信息系统中通信站功能单一、使用效率低等相关问题,文章着重分析了厂级监控信息系统及虚拟机技术的原理和特征,提出基于虚拟机平台的新型信息通信技术,并分析其可靠性、安全性、经济性,最终实现在保证数据安全、系统稳定前提下提高计算机的使用效率,具有很好的推广价值。并对虚拟机技术在电力行业的应用做了展望。

什么是虚拟机 篇4

虚拟机是指运行在Windows或Linux计算机上的一个应用程序，这个应用程序“模拟”了一个基于x86的标准PC的环境，这个环境和普通的计算机一样，都有芯片组、CPU、内存、显卡、声卡、网卡、软驱、硬盘、光驱、串口、并口、USB控制器、SCSI控制器等设备，提供这个应用程序的“窗口”就是虚拟机的显示器，

在使用上，这台虚拟机和真正的物理主机没有太大的区别，都需要分区、格式化、安装操作系统、安装应用程序和软件，总之，就像一台真正的计算机一样。

虚拟机管理平台 篇5

虚拟机调度指的是:当有虚拟机创建申请的时候,根据特定的规则、策略选择一台与当前虚拟机最匹配的宿主机进行虚拟机创建,为虚拟机分配CPU、内存、存储和网络等资源[2]。云计算虚拟机调度在云计算中承担着重要作用,调度算法的好坏影响了资源利用的高效性和虚拟机的性能。

在Open Stack已经吸引了商界和学术界越来越多注意力的情况下,对于Open Stack的虚拟机调度算法的研究具有重要的实用价值。本文在构建Open Stack(JUNO)私有云平台后[3],深入研究了虚拟机创建流程,分析负责完成虚拟机调度任务的模块。在仔细阅读该模块源代码的基础上[4],分析该模块使用的虚拟机调度算法原理以及不足,并提出一种可能的优化方案。

1OpenStack虚拟机创建流程

如图1,从用户发起请求到虚拟机成功运行,包括客户端请求的发出、keystone身份验证、nova-api接收请求、nova-scheduler调度、nova-compute创建、nova-network分配网络。

Nova-scheduler主要完成虚拟机实例的调度分配任务,创建虚拟机时,虚拟机该调度到哪台物理机上,由scheduler分配, 虚拟机迁移时如果没有指定主机,也需要经过scheduler。虚拟机调度时云平台中的一个很关键问题,如何做到资源的有效分配,如何满足不同情况的分配方式,这些都需要经过nova-scheduler来掌控。

2Nova-Scheduler调度算法原理及不足

Nova-scheduler服务的启动入口脚本是nova/cmd包下的scheduler.py ,其主要监听来自于消息队列中topic=schedul-er( 可配置 ) 的消息。在服务启动过程中,其将初始化一个Scheduler Manager实例作为该服务的Handler ,来处理接受到的消息请求。同时,Nova-scheduler服务在启动的过程中, 会将自己注册到DB中,即将自己的host、binary、topic、re-port_count信息添加 到services表中 ,并将自己 同样注册 到Service Group服务中,默认是DBService Group服务,并定时向Service Group服务发送心跳,其本质上就是定时地更新ser-vices表中的report_count字段。

Scheduler Manager类收到run_instance请求消息后,执行run_instance函数,然后run_instance函数根据配置调用对应的scheduler_driver的schedule_run_instance函数处理具体逻辑。 Scheduler driver有如下三类:Chance Scheduler、Filter Scheduler、 Caching Scheduler;

Chance Scheduler:随机选择一台物理机,前提是该物理机上的nova-compute服务正常且该物理机不在指定的ig-nore_hosts列表中。

Filter Scheduler:筛选出能通过整个过滤器链的物理机,然后根据相应指标计算权重,并进行排序,最后返回一个best host。具体的过滤,称重将在下文详细说明。

Caching Scheduler:Filter Scheduler的子类 ,在Filter-Scheduler的基础上,将host资源信息缓存在了本地内存中,然后通过后台定时任务定时从DB中拉取最新的host资源信息。

本文主要是基于Filter Scheduler来说明Open Stack的调度算法,流程图如下:

从图2可以看出,Filter Scheduler类中由函数_schedule()计算出根据权重排序后的所有hosts:weighed_hosts,排在第一位的就是best host。_schedule()函数的大致流程如下图(5):

从图3可以看出,_schedule()主要完成两个功能:过滤和称重。

2.1过滤

过滤功能第一步是由函数_get_all_host_states()从数据库获取当前最新的计算结点的资源信息,并更新本地内存缓存中的host列表资源数据。这里的好处是当一次批量申请多个虚拟机时,可以避免多次请求DB ,但是一个不容忽视的问题就是如果多个Scheduler服务并行部署时,就会因资源信息的延迟不同步而导致虚拟机创建失败(实际后台host已不足)。这一步所获取的主机将作为下一步的候选hosts。

然后由函数get_filtered_hosts()开始为每个实例筛选目标主机。筛选过程可分为两个步骤:

1)根据指定的ignore_hosts、force_hosts 、force_nodes属性对候选hosts列表进行筛选,留下符合这些属性条件的hosts 。

2)由Base Filter Handler类的get_filtered_objects()函数根据配置指定的filter来循环层层过滤a步骤中过滤后的hosts。

经过以上步骤后,剩下的hosts可以认为满足实例的资源请求,接下来就可以对这批hosts根据配置的Weighter子类进行权重计算并排序了。

2.2称重

称重主要是根据配置的Weighter子类的weigh_objects()进行权重计算,然后根据计算得出的权重进行排序。

对于每一个host,循环实用weigh_objects()计算出一个权重列表,之所以是列表,是因为配置的weighter可以是多个,每一个都会由_weigh_object()函数计算得出一个权重,于是就有了多个权重。获得这个列表后,使用下面这行代码计算出一个总的权重:

#weight_multiplier从配置文件中读取,默认等于1.0

weight += weigher.weight_multiplier * weight

然后根据这个总的权重对主机进行排序。从排序后的hosts中取出scheduler_host_subset_size(默认等于1)个host,表示该请求的实例将要建立在该host上。到此,虚拟机实例的目标主机就确定了。

下图可以清晰的展现整个称重的流程[5]:

具体每个weighter如何计算出一个host在该weihter的权重,则依赖于每个weighter自己的实现,目前Open Stack提供的做权重计算的weighter子类只有两个:

1)Metrics Weigher,支持自定义一些指标进行权重计算排序。自定义格式:”weight_setting=[<name1>=<ratio1>, <name2>=<ratio2>, …]”其中name X是要被称重的一个指标,ratio X是该指标的系数,weight_setting默认为空。举例说明:weight_set-ting=[name1=1.0, name2=- 1.0],那么weight=name1.value*1.0 +name2.value*(-1.0)。

2)RAMWeigher。以每个host的free_ram_mb(剩余可用内存)作为其权重。

在默认情况下,Metrics Weigher类依赖的weight_setting为空,并没有被指定任何指标,所以Open Stack在默认只有一个子类RAMWeigher做权重计算,也就是说,主机拥有的剩余可用内存越多,权重越小,被选择作为目标主机的几率越大。

这种单一的根据ram来排序并决定主机选择的方法并不适合在实际的云平台环境中使用,不同的云平台对资源的需求是不同的,只用一种标准——剩余可用内存,显然不能满足所有的云平台,比如存储型云平台,就应该考虑到剩余可用的存储资源,如磁盘可用空间;计算型云平台,就应该考虑到当强CPU的状态,如可用的VCPU。用户需要根据具体的云环境有针对的提供最优调度算法,才能实现资源的高效利用。

3优化建议

虚拟机管理平台 篇6

云计算技术从一定程度上来说是种计算模型, 还可以说是一种运营模式, 它能给IT企业或者其他行业带来福音, 能进行有效管理, 积极合理分配零散资源, 能帮助企业在很大程度上减少开销。同时, 随着先进网络等计算机技术的迅猛发展, 如何将数据安全地存储、操作等问题就显得尤为重要了。因此, 对数据的安全问题研究也迫在眉睫。

在许多有关云计算的安全问题中, 用户和企业最为关注的则是数据处理和存储中信息的完整性、有效性和保密性等问题。若数据基于个人设备中存储时, 用户负责数据的安全和处理操作, 但如果数据是基于云计算服务的, 则用户本身不具备对数据的控制了, 由各大云计算服务提供商对数据处理和保护等措施, 整个过程由服务提供商负责, 数据用户不做参与。因此, 怎样确保数据数据的安全性, 增强用户对云计算服务提供商提供的服务是安全可信的, 这就需要在云计算服务提供商和数据用户之间建立相互信任的机制。

1 虚拟机迁移技术

1.1 TCCP模型

2009年Santos[1]已把信任的相关问题与云计算的环境相结合了, 其中的TCCP模型主要目的是利用可信计算技术来使得数据不被非法篡改或非法访问, 其模型如图1所示。其中, ETE是外部可信实体, TC (Trusted Coordinator) 是可信协调者, TN (Trusted Node) 是可信节点, CM (Cloud Manager) 是云管理者。

用户的数据信息存储的主要载体是云存储环境中的物理硬件设施, 而TCCP模型是以最底层的物理设施为基础来实施架构的, 这样的结构有利于数据的集中管理控制及安全保护。VMM (Virtual Machine Monitor) 虚拟机监控器在TN可信节点中为每个VM (Virtual Machine) 构造了一个Black Box黑盒环境, 虚拟机内部信息就不会被用户所知, 这样用户只能通过提供的相应功能来使用虚拟机。因此, 有了以上的相关安全措施, 虚拟机的信任区间的创建和转换迁移则是云计算环境里信任问题研究的关键了。

1.2 VM虚拟机和虚拟可信平台模块v TPM的迁移

虚拟机的迁移在虚拟化进程中是个非常重要的工作[2], 若数据用户在使用虚拟移动设备, 或者云存储系统资源需统一管理, 又或云系统资源负载需均衡时, 虚拟机的迁移操作能产生积极的影响和益处。允许虚拟机从一台物理服务器迁移到另一台服务器上的动态特征 (Live characteristic) , 将不会阻止正常服务的供给。虚拟化平台一旦与可信计算技术相结合后, v TPM这个虚拟可信平台的实验环境就能被应用程序利用来完成对数据信息安全有效的存储。怎样做到虚拟机迁移的前后系统状态达到同步一致, 虚拟机和可信平台都要迁移, 文献[3-7]以具体方式或者协议来对虚拟机及可信平台的迁移都有研究。

Berger[4]提出的研究基础是迁移操作的平台是可信的这个假设基础之上的, 因此该迁移协议也能在相同配置的平台间进行, 同时具备的数据完整性机制能使得在迁移中保证数据的安全, 文献还指明同样适用于虚拟机的迁移机制。

虚拟机和其虚拟可信平台模块的完整性对于迁移非常重要, Stumpf和Sadeghi[5,6]分别指出, 传统的加密技术对迁移操作进行加密, 若虚拟机和对应的v TPM的数据被篡改时容易被察觉。Sutmpf的文献[5]中, 则是利用完整性验证过程来对数据进行完整性保护。

文献[3]和文献[5]中的协议比较相似, 在Xen的迁移协议负责初始化迁移过程, 再利用迁移密钥加密整个虚拟可信平台v TPM, 然后将加密了的模块传到目的平台。最终的加密虚拟平台因为自身的密钥结构不清晰, 对解密和恢复造成了困难, 这也是Xen协议的难点。

2 安全迁移过程的基本需求

文献[8]中, 支持了迁移协议有着一定的缺陷, 例如, 没有上下文支持, 向目的服务器传递授权信息等, 虚拟机和虚拟平台的关联, 数据的完整性和私有性保护等问题。这些不足是在协议设计最先对协议的需求分析不明确造成的。因此, 鉴于对健壮性和安全性的考虑, 迁移协议都必须以基本的安全需求为基础。

2.1 初始化的正确性

“初始化正确性”这是第一项基本安全需求, 它能对整个迁移过程的初始阶段的正确性来作说明。同时必须是可信实体 (云服务提供商, 源、目的服务器) 才能请求虚拟机及其虚拟平台v TPM的迁移操作, 该操作对于不可信实体是屏蔽了的。这样能通过对参与者约束的方式来降低对系统的威胁, 若不可信实体持续对系统发迁移请求, 可以使系统非正常运行, 即造成拒绝服务攻击Do S。

2.2 虚拟机和虚拟可信平台v TPM的完整性和机密性

“VM和v TPM的完整性和机密性”是第二项基本需求, 目的是保证迁移过程中对象的隐私。从机密性来看, 迁移过程不允许不可信实体获取信息, 因此大大降低了系统泄密的危险。从完整性来看, 在整个虚拟机和虚拟可信平台的迁移前后, 那些肆意的违法操作都能被检测并进行及时处理。

2.3 信任链的保护

“信任链的保护”是第三项基本需求, 目的是保证对象与对象之间的相互信任。因为该需求和其他需求相比较抽象, 必须从互补的角度理解且保障该需求。其目的是要保证对不正确的迁移操作可信服务器不能提供服务, 同时, 不可信服务器不能发请求来进行迁移操作。该需求能对迁移过程的对象建立信任关系, 若源服务器出现问题, 该源服务器的信息将不会被目的服务器接受, 因此与该服务器的连接得减少或者结束。

2.4 时空间的开销降低

“迁移的时间空间消耗尽可能降低”这是第四项基本安全需求了。在整个迁移过程中, 对象的信任关系确认, VM和v T-PM之间数据传输, 加密解密的存储空间的消耗等等, 都应该最小化用以减少时间和空间的消耗, 降低系统的额外开销。

3 迁移方法的描述

综合基于前面文献[3-8]所提出的协议, 本文进一步给出了一个安全的VM和v TPM之间迁移方法细则。如图2所示, 主要由身份验证、完整性验证和数据传输三部分组成。

3.1 身份验证部分

依据安全迁移的第三条需求, 在源服务器和目的服务器间的相互认证是否是可信实体, 一般是通过在源服务器和目的服务器间使用公钥证书, 但是会带来系统额外开销, 为了保证第四条的安全迁移需求, 将使用文献[9, 10]的身份加密机制。

1) 身份加密机制的应用

源服务器和目的服务器的公开密钥可以利用IBE身份加密机制的各自的身份描述获得, 其私有密钥则通过私钥生成器PKG[10]来生成。目的服务器的身份描述信息被获取后, 目的服务器的公开密钥被源服务器构造好之后, 通信信息被该密钥加密。这样以密文形式的通信信息就传输到了目的服务器。相对于DS目的服务器, 利用PKG来取得自身的私钥信息来对密文解密。其交互过程不需要保存系统公钥或证书, 能减少系统的开销, 便于简化公钥管理。

基于身份加密的身份认证部分, 可以分为四个阶段, 系统设置阶段、参数提取阶段和加密、解密阶段。

(1) 系统设置阶段

k为全局安全参数, 以它来构造params系统参数和管理密钥master key。其中系统参数包含有限消息空间M和有限密文空间C。而PKG管理该系统在设置阶段的若干事宜, 在params参数生成后使之公开化, 有且仅有PKG知晓所有相关信息。

(2) Params提取阶段

主要是构造DS与SS相应的身份信息私有密钥。系统的公开密钥保存的是目的服务器的身份描述信息IDDS∈{0, 1}*, 且指定系统参数params和master key管理密钥, 有PKG来提取与目的服务器相应的私有密钥信息d, 以此解密通道的安全信息。

(3) 加密阶段

SS利用DS的身份验证信息、参数信息和认证信息m∈M, 一同构造好认证信息的密文c∈C, 由SS传送给DS来加密认证信息c。

(4) 解密阶段

若接收到SS的加密信息c, 同时DS在向私钥生成器PKG表明了身份并请求私钥信息d之后, 对c解密从而获得认证信息m。

以上四个阶段务必遵循以下的一致性约束, 即给定公开密钥的身份描述信息和私有密钥d, 通过身份描述信息加密的认证信息m一定能被私有密钥d解密, 形式化后:

由于IBE的身份加密机制的公开化特征, 只有私有密钥d是由PKG向目的服务器传递过程中面临攻击的危险, 所以务必要确保d的安全性。因此在参数提取阶段增加了安全信息通道技术来保护私有密钥d, 如图3所示。

2) 安全信道的应用

虚拟的安全通道用以传输加密的数据信息, 同时也可以利用安全信息通道来进行信息交换或者传递敏感信息, 这样不会被外部实体干扰。而建立安全通道的原因有:一方面利用身份认证来建立信任关系;另一方面有利于参与者协商消息加密的密钥。

目的服务器收到SS发来的加密信息后, 向PKG进行身份验证以后通过安全通道或缺私有密钥d来解密消息。其中, 目的服务器构造主密钥MK (Master Key) , 其作用是保护后续的消息认证码 (MACs) 的安全和传输密钥TK (Transmission Key) 。所以需要生产两个64位的x和y, 用y对x加密。即Enc1=DESy (x) , 再用x对y加密, 即:Enc2=DESx (y) 。最后, 这两个加密结果异或操作后得到主密钥, 即MK=Enc1⊕Enc2。这样可以通过检验目的服务器和私有密钥生成器PKG对主密钥的认知度来认证其身份。同时, 被主密钥MK加密后的加密密钥在安全通信信道传输给信息参与者, 也不需要担心传输过程中的信息泄露。

以下是信息参与者确立安全通道的四个步骤:

(1) DS目的服务器在和PKG建立的网络连接后, 在安全通信信道里向PKG表明身份并发请求信号{ID, Enc1‖T, Enc2‖T}, 其中ID是身份描述, ‖是连接符合, 确保Enc的机密性。

(2) 在身份加密机制里, 目的服务器的身份描述对于PKG是透明的, 它能够快速检验目的服务器的身份信息。同时, PKG还能确认接收的信息正确性。通过拆分请求信号的Enc1‖T来获得Enc1, 再通过异或操作构造主密钥MK。新的MK是加密反馈信息, 如{DESMK (T, R) }, 其中时间戳由T表示, R表示密钥生成器生成的64位大整数, DESMK是主密钥进行DES加密后的表示。如果请求信息合法、正确, 则两者构造的密钥是一致相同的;若请求信息不正确, 则新构造的主密钥与目的服务器构造的不一样, 后续过程也会产生错误。同时还会附上由MK生成的消息认证码MAC进行保护。

(3) 目的服务器利用主密钥MK解密反馈信息{DESMK (T, R) }, 若时间戳T解密正确, 则加密操作合法。R则被目的服务器保留来构造传输密钥TK, 目的服务器再向PKG反馈信息{DESTK (T, P) }, 其中P是目的服务器的密码, DESTK是TK传输密钥的DES加密操作。

(4) PKG获得反馈信息后使用R生成传输密码TK, 进行解密后的时间戳T和服务器密码P。若T正确解密, 则反馈信息是正确的。这样四个步骤操作完后, 在目的服务器和私钥生成器PKG之间就建立了一条安全的通信通道。

3.2 相互完整性验证部分

SS和DS进行身份验证后就进行相互完整性的检验。这是完全符合安全迁移的第二项基本安全需求, 同样得保证安全协议的基本要求即迁移场景中的支持组件的完整性。

可信平台模块TPM是以独立实体的形式的应用物流平台为基础, 计算等操作的安全性就是通过把计算融入到过程中来提高的。TPM主要是对物理平台来测量, 负责信息的记录等, 这样就可以掌握物理环境的全貌且能负责外部安全请求[11]。

由于狭小的空间, 可信平台不能将所有信息存储, 需要一个24位的PCR (Platform Configuration Register) 平台配置寄存器来管理且存储摘要值[12,13,14]。其中前五位PCRs (0-4) 与物理平台的个组件对于PCRs (5-7) 这三位是对OS引导程序来度量的;PCRs (8-15) 七位是保留给主机和操作系统OS使用的;PCRs (16) 保存系统调试信息;PCRs (17-20) 度量可信进程的信息;PCRs (21-22) 度量可信操作系统的信息, 最后的PCRs (23) 是预留给指定的应用程序的。PCR的值的属性是只读, 可信平台TPM把值变成可扩展extend的, 即:Extend (PCRN, data) =SHA1 (PCRN‖data) , 其中SHA-1的散列值由PCRN的当前值和数据data来决定。

一旦启动物理平台, CRTM主要记录基本输入输出系统的信息, 其中主要有系统引导加载程序的状态和平台启动运行的硬件情况。物理平台的初始化将信任状态传递给下一组件, 同时下一组件的完整性也由初始化的组件负责, 且决定是否继续传递信任状态, 即是否继续下一个组件的散列值SHA1 (info) , 再调用新的平台配置寄存器值PCRN←SHA1 (PCRN‖SHA1 (info) ) 。

将目的服务器的身份描述“扩展”到PCR平台配置寄存器中, 即可信计算组织TCG的核心“TCG Software Stack”提供的API (如表1所示) 进行扩展操作:PCRN←SHA1 (PCRN‖SHA1 (IDDS) 。DS和SS之间以该扩展方式进行相互完整性检验过程:

(1) 目的服务器将自己的平台配置寄存器值即SigAIK (PCR‖NSS) 反馈给源服务器, 其中AIK是TPM的身份密钥, Nss是源服务器的随机数。

(2) 源服务器接收到了反馈信息后, 先检查PCR中的目的身份描述信息是否正确, 再检验反馈信息中的目的服务器的PCR值以确定其完整性。

(3) 依据 (2) 的目的服务器相同地检验源服务器的完整性。

3.3 数据传输部分

在进行了身份验证和完整性测验后, 即保证了双方的真实可靠性和完整性, 这样在SS和DS之间就可以进行安全的数据迁移操作, 也就是数据传输部分。首先, 目的服务器发送一个随机数NDS给源服务器, 表示它已经做好准备接收VM及其虚拟可信平台模块v TPM了, 若SS源服务器只要接收了NDS则可执行数据迁移。在迁移中必须同步VM及其v TPM的数据信息, 若不能使得两者的状态信息一致, 则应用程序不能保证其完整性也不能完成信息的安全存储。

文献[7]是利用仿真器模拟虚拟可信平台v TPM, 用以替代物理可信平台而将所有功能来实现。该状态的v TPM运行在虚拟机内部, 也就是Xen中的Dom U域。在迁移中要同步二者的状态, 文献[7]是采用“挂起-传输-恢复”的模式, 即:当发出迁移指令后, 源服务器中运行的虚拟机状态通过“xm save”挂起, 且该状态以文件形式保存, 同时该文件还会送给DS且由“xm restore”恢复得到虚拟机。因SS中每一个v TPM都运行在对应的VM中, 则SS的挂起操作就是对其的封装, 相应的DS的恢复操作就是对其的解封。但是这种机制需要同步状态信息, 不适合动态迁移的要求, 因此得引入动态迁移的机制。

Clark等人的虚拟动态迁移可由以下阶段构成, 机制可被抽象为两台服务器之间来做事务处理。

步骤0是SS源服务器向选定的DS发迁移请求, 且该目的服务器具备基本的物理设备资源, 该阶段称为预迁移阶段。

步骤1主要完成目的服务器DS在接收了迁移请求信息后, 考察迁移所需的内存空间等资源, 该阶段是资源预留阶段。

步骤2 Pre-copy算法将虚拟机的内存页拷贝到目的服务器中, 同时, 源服务器的虚拟机运行不受影响。第一次拷贝是将所有页面都拷贝到目的服务器, 接着的每一次拷贝仅拷贝修改过的页面, 这一过程是迭代预拷贝阶段。

步骤3停机拷贝阶段, 若SS中的VM被挂起, VM的CPU状态和不一致的页面发送给DS。拷贝结束后SS和DS都包含了挂起状态的虚拟机的页面。

步骤4迁移虚拟机接收成功的信息被目的服务器发送给源服务器, 同时源服务器SS确认迁移完成, 这是提交阶段。

步骤5在目的服务器DS中的虚拟机VM被恢复同时, IP地址、设备驱动等信息与恢复的VM绑定, 这一过程是虚拟机恢复。

在虚拟机VM和虚拟可信平台间v TPM间完成数据迁移, 需要在步骤3时引入关键的特殊步骤, 利用仿真器模拟出v TPM的状态是运行在Xen的Dom U域, 再由Xen中的进程完成迁移[15,16]。当完成迁移后, 再发送不一致的内存页。当虚拟机实现挂起操作时即表示虚拟机VM所有的操作全部完成, 此时VM和v TPM的交互不再发生, 即是对系统可信的判断依据, 也是将v TPM迁移至DS的最好时机。同时在迁移之后也不需要额外的更新操作。当迁移完成后, 源服务器不保留VM和v TPM, 同时DS目的服务器也转变成VM和v TPM的宿主机。

4 数据迁移方法分析

在迁移方法中的身份确认让双方互相证明可信性。广义来看, 对认证阶段的参与者可确定正在和可信实体交互。若迁移由SS发起, DS如果确认了SS的身份, DS就能确信SS能根据迁移协议完成后续操作, 因此迁移就得到了初始化的合法保障, 满足了初始化正确性的基本要求。

利用Danev等人[7]的传输层协议和公钥证书来实现DS和SS之间的身份验证。而证书机制在证书创建、存储和管理分发阶段都有时空开销。与此相比, 基于身份的加密机在的公开密钥能直接由任意字符串生成, 与专门的PKG私钥生成器构造, 无需预先发密钥, 而是在初始化时验证, 因此能逐步减少系统开销, 为用户增添便捷性和灵活性, 即满足了安全迁移的减低时空开销的需求。

如何将安全有效的密钥信息从PKG发送给DS是身份加密机制的关机之一, 为保障信息交互的安全, 得建立一条安全通道, 可以传递敏感信息。基于安全通信通道的IBE保障了安全迁移中VM和v TPM完整性和机密性的基本要求。

将DS的身份描述扩展到PCR平台配置寄存器中, 能与设备寄存器的度量信息做一致性的检验。SS对DS的完整性做判定, 其中的不一致的信息都能被SS检查到。因此VM和v TPM间的正确迁移, SS和DS的软件及运行状态完整, 即实现了信任迁移的基本需求。

5 实验及结果分析

云服务中的虚拟机与虚拟可信平台模块的数据迁移, 在具备了第2节阐述的安全迁移的基本需求后, 以Xen的开源基础对v TPM提供了虚拟支持, 这样任意的VM都有对应的v TPM来对应, 因此, 要构建配置好虚拟环境, 在Cent OS下安装Xen后, 为宿主OS内核增补以支持开源基础设施Xen。表2是内核配置的设置, 用于宿主系统和虚拟系统的引导。安装了Dom U虚拟机, 进行配置信息“vtpm=[“instance=1, backend=0”]”。其中“backend”是指明和对应的v TPM实例以及TPM在何处进行驱动编译, “0”表示Dom0中, “instance”表示Dom0和Dom1间的通信v TPM实例。“1”表示实例编号。若在Dom U虚拟机中能看到PCR的值, 如图4所示, 则表示在Dom U虚拟机和其对应的Dom0中的虚拟可信平台实例建立连接成功。

用预拷贝Pre-copy做虚拟机内存迁移模拟, 在不同阶段做v TPM的迁移设置。如图5 (a) 表示预拷贝开始之前。记录了被迁移VM的Dom U的状态S, 进行了迁移后状态变为S1, 且记录信息不一致。图5 (b) 是预拷贝的第一轮后。第一轮是把所有内存页拷贝到目的主机, 同时Dom U和v TPM的记录信息都从S变为S1, 且记录信息不统一。图5 (c) 是迁移中的停机拷贝阶段。此时将挂起Dom U, 状态由S也变成S1。且与v TPM不交互, 虚拟可信平台的信息是S1, 迁移后状态信息一致。

6 结语

虚拟机管理平台 篇7

一、实验系统结构框架:

IDS测试实验系统结构框架见图1。在此实验中, 测试IDS的过程中会形成数量极大的模拟事件, 实验就是考虑在各种条件下, IDS从这些模拟事件中准确发现攻击事件的能力, 每一个模拟事件都以其发生时间和结束时间来标识。例如测试IDS的实时性。根据评估需要调度各模块。测试IDS在各种条件下的各项性能指标及检测攻击的能力。流量控制模块通过模拟流量来控制测试网络环境中的流量及系统负载等, 测试外界环境对被测IDS的影响。数据记录模块用来记录测试环境中的网络流量, 主机日志等数据。模拟攻击模块通过模拟实际的攻击过程和产生攻击数据提供测试的原始数据, 供IDS进行检测。最后, 通过比较被测IDS检测结果同数据记录模块记录的数据计算IDS的各项性能指标, 得出评估报告, 其中包括检测率和误报率等。

二、实验环境关键技术的实现

实验环境中的网络流量仿真及攻击仿真是整个实验的关键。

1. 网络流量的仿真

常用的网络流量仿真有以下几种方法:通过Smartbits或其他的背景流量发生器产生不同包长的UDP, TCP流量作为背景流量, 然后混合攻击流量对IDS进行测试;通过分协议对实际流量进行分析, 经统计计算, 得到各个协议按时间的流量概率分布, 以此为模型, 流量发生器实现具体协议流量的仿真;利用虚拟机技术, 只需几台主机使用基于虚拟主机技术, 也可以仿真一个大型网络中的流量。

2. 攻击仿真

攻击仿真是评估环境的核心, 也是对IDS进行测试的关键。由于各种攻击的数量过于庞大, 不可能对所有攻击都进行仿真, 因此在进行攻击仿真时一般先将攻击分类, 然后选择每种类别中典型的攻击方法进行模拟。从数量庞大的各种攻击中选取典型的攻击方法, 再选取一些针对IDS的攻击和使用逃避IDS技术的攻击, 组成攻击样本集, 形成攻击流量, 在正常背景流量的掩护下, 对IDS进行测试。通常可使用商业软件BladeIDSIn former和Nessus来仿真攻击, 形成攻击流量。使用Whisker, Fragroute工具对IDS进行欺骗和躲避攻击, 使用Stick程序对IDS进行拒绝服务攻击。过于复杂的攻击, 可以人工仿真实现。

三、实验系统方案设计

1. 实验环境配置

IDS的测试环境很难统一。此处根据本实验具体过程给出一个参考环境配置。整个网络测试环境由2个网段组成。由1台路由器把实验网络分为2个子网。每个子网使用1台支持监听端口功能, 具备将全部端口镜像到1个目的端口功能的以太网交换机。配置如图所现示。

(1) 网段1:被攻击和监测网段。目标靶机A, 预装Windows 2003 Server操作系统并提供HTTP服务 (IIS5。0) , FTP服务 (Serv-U) , EMAIL服务 (SMTP) , TELNET服务, 以及Myy-SQL数据库服务。并主动构建, 后门服务和系统漏洞等测试项目。目标靶机B, 预装Linux操作系统并开启E-Mail、www、FTP、TELNET服务。管理机进行数据采集, 安装sniff, 用于抓取数据包。接受和分析来自探测器的数据;分析线路上的数据包, 一旦发现1个攻击就报警。

(2) 网段2 (攻击网段) 。主要是使用攻击机来进行仿真攻击。本实验的攻击机是1个基于Intel架构的计算机系统, 预装Windows XP, Professional/Redhat Liunx9双操作系统, 预装扫描工具, DoS攻击程序, 后门程序, 缓冲区溢出攻击工具等, IIS工具, Network A ssociatesCyberCop扫描器等互联网安全攻击工具。

四、结语

本文总结了构建IDS测试实验平台的经验, 分析了IDS测试评估的环境配置, 测试方法, 提出了基于局域网搭建IDS测试平台的步骤及实现技术, 对IDS技术的进一步研究和发展有指导作用。

参考文献

[1]蔡忠闽.入侵检测系统评估环境的设计与实现[J].系统仿真学报, 2002, 14 (3) :377-380.

[2]董晓梅.入侵检测系统评估技术研究[J].小型微型计算机系统, 2005, 26 (4) :568-571.

虚拟机管理平台 篇8

1 利用虚拟机技术构建计算机实践课教学实验平台技术的可行性

(1)虚拟机工作原理

首先从技术层面来说,以虚拟机技术构建实践课的实验平台是完全可行的。虚拟机是在某台物理计算机上虚拟出来的独立运行逻辑的软件,通过虚拟机软件创建,虚拟技术可以在现有的操作系统上实现独立运行的子系统,可应用自己独立的硬件资源。虚拟机技术可以在主系统上建立多种同构或异构的虚拟计算机系统,全部系统可同时运行并相互切换,不需要重新启动系统。这一系统同样可以相互连接构成局域网络,所以虚拟机技术能构建起一个虚拟的实验室环境,大部分的计算机实践都可在虚拟机上执行。

(2)软件技术

当前有多种虚拟机技术,包括Virtuozzo、Boch、Parallels Open VZ等,多种系统及技术为虚拟机的运行维护提供了可靠的保障,当前国内和国际很多大型计算机公司都有相对成熟的技术,并具有各自的有点,所以,首先从软件技术层面来说,利用虚拟机技术构建计算机实践课教学实验平台是完全可行的。VMware和Virtual PC是当前主要应用的两大虚拟机软件,VMware在网络支持和稳定性上具有更大的优势,所以应用较多,但Virtual PC在操作性上具有更大的优势,较适合一般企业及普通用户使用,鉴于高校计算机实践课的特殊性,个人认为类似VMware的软件系统更适合于教学使用。

2 硬件技术的可行性

(1)硬件设备的可行性

从硬件系统上说,当前很多虚拟机的要求并不高,如VMware的基本要求配置为CPU主频在266MHz以上,运行内存在128MB以上,硬盘空间有600MB以上的空间。对于当前的网络技术和高效计算机的配置来说,已经远远高出这些要求。构建多台虚拟机的虚拟网络除了在内存上具有更高的要求外,在硬盘等方面并无过多的要求,所以完全可以对学校的计算机进行局部升级,对应多种实验内容可交叉开展,节省了大量的资金、设备方面的投入[1]。

(2)管理维护及操作的可行性

教学活动中,对应计算机系统的管理维护一直是学校工作的重点内容之一,如维护管理不及时,很有能造成计算机系统的瘫痪或设施的损害。虚拟机系统安装方便快捷,同时各系统提供的管理工具可以允许终端用户参与虚拟服务的重建、备份、迁移、灾难恢复等,降低了系统维护的成本和技术要求,所以,在运行维护上是完全可行的[2]。

从应用操作上说,一台物理计算机能同时搭载多台虚拟机及不同种类的操作系统,形成构造复杂的局域网络,在切换操作也只是对不同窗口的操作。利用虚拟机自身的suspend功能可保留操作现场,大型的实验可分多次完成,方便学生的操作。所以,利用虚拟机技术构建计算机实践课的教学实验平台是完全可行的。

3 实验平台的搭建

VMware是由IBM公司研制,可以构建异构的操作环境,与计算机实践课的授课要求相契合,所以构造计算机实践课的实验平台可选用VMware系统。

VMware系统对于计算机的要求并不高,但为了保持系统的流畅性,最好采用双核的CPU,内存容量在512MG~1GB之间,硬盘空间1GB就可以。如构建多台虚拟机并行的实验环境可相应调整内存[3]。安装运行VMware系统,打开软件,通过安装向导,新建虚拟计算机,设置独立的硬盘配置、显卡、驱动、网卡等。在创建过程中,用户可选择客户机中的多种操作系统类型,如Windows、Linux、Novell、Sun Solaris等,根据教学需要可选择不同的操作系统。或者可根据宿主机的配置系统自动生成与配置相适应的配置。通过VM-Setting可对系统的运行参数进行修改,包括调整客户机硬盘、内存大小、添加或删除硬盘等。在存储方面,可直接复制客户机的系统文件,通过FILEOPEN软件进行加载。

在安装完成后,可自动创建10个虚拟设备,可具有以太网交换机的作用。客户机能对任意的虚拟以太网交换机接口进行连接[4]。VMware系统自身提供三种虚拟网络连接形式,分别是Bridged、NAT及Host-Only三种模式。Bridged模式可与VM net0接口连接,通过Bridged连接,用户可通过网桥直接与外部物理网路相连接,客户机与宿主机处于同一网段内,使用不同的IP地址;NAT模式可与VMnet8相连接,采用Network Addres Translation技术,客户机可通过宿主机间接连接玩不网络,使用同一IP地址;Host-Only模式与VMnet1 相连接,客户机遇外界隔离,不可连接外部网络。

4 计算机实践课教学实验平台的运用

在进行实验之前,教师可把VMware系统安装在教师及学生的计算机中,然后安装还原卡或软件,避免了大量的维护工作。利用这一软件,学生科学习硬盘分区、操作系统安装、格式化操作等多种操作项目。如多操作系统安装实验,教师可任选一台宿主机,利用Alcohol软件在我的电脑中生成虚拟光驱,制作操作系统安装光盘的镜像文件,存入“操作系统镜像”文件夹中。以本台计算机作为发射平台,采用硬盘管理系统进行网络复制,快速生成计算机实验平台[5]。学生启动试验机的VMware系统,并创建虚拟机,在虚拟光驱上载入操作镜像系统。在虚拟机中双击光驱设备,按照安装向导的提示进行虚拟硬盘的分许格式化,安装操作系统。如需生成操作系统的多台虚拟机,可在VMware系统中克隆,如需在计算机中创建不同的操作系统,可在我的电脑中选择卸载镜像,并再次载入不同的操作系统镜像。

也可通过VMware系统建立局域网,进行不同类型的网络实验。如组建对等网络、进行分级网络实验等。

5 结语

本文深入的解析了虚拟机技术,从软件技术、硬件设施等方面分析了利用虚拟机技术构建计算机实践课教学实验平台的可行性。表明在教学过程中虚拟机是完全可行的。同时以VMware系统为例讲述了怎样应用虚拟机技术进行教学活动。

参考文献

[1]阳树铭.虚拟机技术在中职计算机组装与维护课程教学中的作用[J].新课程研究(中旬刊),2014(5):99-100.

[2]方雷.基于云计算的土地资源服务高效处理平台关键技术探索与研究[D].浙江大学,2011.

[3]王亮亮,芮雪,杨琴.基于Linux的高校信息技术教学平台可行性研究[J].计算机技术与发展,2012(7):200-203.

[4]刘坤.利用虚拟机技术构建计算机网络实验教学环境研究[J].网络安全技术与应用,2010(10):68-69,75.