frikeando con imagenes virtuales asegura it camp
TRANSCRIPT
Frikeando con Imágenes Virtuales
David Cervigón LunaIngeniero Preventa - Virtualizació[email protected]://blogs.technet.com/davidcervigon
La energía
2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 20110
20
40
60
80
100
120
140
En
erg
íaM
iles d
e M
illo
nes k
Wh
/
añ
o)
Historical trends scenario
Current efficiency trends scenario
Improved operation scenario
Best practice scenario
State of the art scenario
Source: Fact Sheet on National Data Center Energy Efficiency Information Program U.S. Department of Energy (DOE) and U.S. Environmental Protection Agency (EPA) March 19, 2008
¿Por qué virtualizar?
Hardware
Sistema Operativo
Datos y Configuraciones
Aplicaciones
La separación crea flexibilidad
La dependencia crea complejidad
Hala pues…Perfiles móviles, redirección de carpetas…Políticas de grupoAplicaciones
Java, .Net Framework…App-V, ThinApp, XenApp
Sistema OperativoHypervisores tipo II
Windows Virtual PC, Virtual Server, Vmware Wokstation, Vmware Server, Parallels Workstation, VirtualBox…
Hypervisores tipo IHyper-V, ESX, Xen, XenServer, KVM, Oracle VM Server, Logical Domains…
Virtualización de una CPU
CPU
VMM
Guest
Anillo 0
Traducción binaria
(Lenta)
Anillo 3
Ejecución Directa
(Rápida)
Solución Software: “Ring Compression”
Anillo 0 (Guest Kernel Mode
Anillo 1 (Guest Kernel Mode)
Anillo 3 (Guest User Mode)
SO Guest
VMM.sys
Aplicaciones
VM Additions
CPU
Anillo 0 (Guest Kernel Mode)
Ejecución Directa
Ejecución Directa
Traducción Binaria
Traducción Binaria
Virtualización Asistida por Hardware
El procesador le ofrece a la Máquina Virtual el nivel de privilegios esperado (Anillo -1)
Elimina la necesidad de hacerlo por softwarePuede mejorar el rendimiento de la máquina Virtual considerablemente
Virtual Server
Operaciones de Virtual ServerOperaciones de la Máquina
Virtual
Procesador x86
Virtual Server
Máquina Virtual Máquina Virtual Máquina Virtual Máquina VirtualMáquina Virtual Máquina Virtual
Intel- VT / AMD-V
Virtualización sólo por software Virtualización asistida por hardware
VM Memory ManagementLos procesadores ofrecen un único nivel de traducción de paginas de memoria, pero el hypervisor tiene que manejar dosPuede llegar a suponer:
Hasta un 10% de CPUHasta 1 MB de RAM por VM
Guest Virtual Address
Guest Physical Address
System Physical Address
El SO de la VM define GVA-to-GPA mappings
El Hypervisor define GPA-to-SPA mappings
Guest Virtual Address
System Physical Address
El Hypervisor mantiene las Shadow Page Tables, que recogen estos mapeos porque los procesadores solamente pueden manejar un solo nivel de traducción
Second Level Address Translation(SLAT)
SLATIntel: Extended Page Tables (EPT)AMD: Nested Page Tables (NPT) o
Rapid Virtualization Indexing (RVI)
El procesador ofrece dos niveles de traducciónManeja las páginas del invitado directamenteNo es necesario mantener Shadow Page TablesNo es necesario ejecutar código en el Hypervisor
Ahorro de recursosHypervisor CPU time: 2%1MB de memoria por VM
Arquitecturas de hipervisores (Tipo I) Monolíticos
Mas simple que un kernel moderno, pero con cierto nivel de complejidadTiene su propio modelo de drivers
Micro-KernelFuncionalidad simple de particionadoMayor fiabilidad, con menor superficie de ataqueSin código de tercerosLos drivers corren en cada una de las particiones
Hypervisor
VM 1(Admin)
VM 2 VM 3
Hardware Hardware
Hypervisor
VM 2(“Child”)
VM 3(“Child”)
Virtualization Stack
VM 1(“Parent”)
DriversDriversDriversDriversDriversDrivers DriversDriversDrivers DriversDriversDrivers
¿Por qué no dehacerse de la particion padre?En un hipervisor monolítico no es posible la defensa en profundidad
Todo lo que corre en el hipervisor lo hace en el modo más privilegiado del sistema
•Management API•Storage Stack•Network Stack•VM State Machine•Virtualized Devices•Binary Translators•Drivers•Scheduler•Memory Management
Hardware
Ring -1
UserMode
KernelMode
UserMode
KernelMode
UserMode
KernelMode Ring 0
Ring 3
VirtualMachine
VirtualMachine
VirtualMachine
Hipervisor en Micro-kernel
Defensa en profundidadUsa la virtualización asistida por hardware como protecciónHyper-V no utiliza traducción binariaSuperficie de ataque muy reducida
SchedulerMemory Management
Hardware
VM State MachineVirtualized DevicesManagement API
Ring -1
Storage StackNetwork Stack
Drivers
UserMode
KernelMode
UserMode
KernelMode Ring 0
Ring 3
Parent PartitionVirtual
MachineVirtual
Machine
Windows Server 2008 R2 Hyper-V vs. Microsoft Hyper-V Server 2008 R2
Microsoft Hyper-V Server 2008 R2 (HVS)
Descarga gratuita que incluye el hypervisor y todos los componentes necesarios
para virtualizar (Windows Kernel, drivers, red, almacenamiento…)
Windows hypervisor
VM
Hardware
Parent Partition
VM
Microsoft Hyper-V Server
Hyper-V como role de Windows Server 2008 R2
Disponible como role en una instalación “full” o “Server Core” de Windows Server
2008
Hyper-V
VM
Hardware
Windows (parent
partition)
VM
Windows hypervisor
MISMAS FUNCIONALIDADES
Broker
Almacenamiento SAN para las VMs
Usuario 1PC/Notebook
Usuario 2Thin-Client
Almacenamiento para Datos, Perfiles,
etc.
Hyper-V
ESX
XenServer
VMs en datacenter
Terminal Servers
Remote Desktops
VMs en Desktops
Virtualización del Escritorio es algo más que VDI
Virtualización de Aplicaciones
Secuenciación y empaquetado de Aplicaciones
Microsoft Application
Virtualization Sequencer
Empaquetado rápido de aplicaciones.
Captura las dependencias de ejecución de la aplicación (SO, registry, File System, objetos
COM, etc)
El secuenciador produce un paquete que contiene la
aplicación y sus dependencias
El administrador puede enviar la aplicación
mediante streaming o crear un MSI para su instalación
individual
CD de instalación
Windows Installer
Desempaquetado
Alineación
Optimiziacion y Compresión
Aplicación Virtualizada
MSI Standalone
Streaming Server
Tampoco hay que irse obligatoriamente al DatacenterWindows Virtual PCVirtual PC 2007 Windows Virtual PC
Windows 7
Requiere Intel VT o AMD-V
Gratuito con Professional, Ultimate y Enterprise
Soporte de USB 2.0
Integración de las aplicaciones con del la VM con el escritorio local
Nubes y Virtualización: S+S
ERP
FinanceHR
CollabSCMBI
CRM
Nube privadaC a r g a s d e T r a b a j o
Nube Pública
© 2009 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this
presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
David Cervigón LunaIngeniero Preventa - Virtualizació[email protected]://blogs.technet.com/davidcervigon