Xen

Anne Facq Jrome Castang Laurent Lavaud Octobre 2007

Plan

Introduction

Notions sur la virtualisation Systmes de virtualisation Prsentation de Xen

Architecture de Xen Le noyau Xen Le rseau dans Xen Gestion des domaines Installation de Xen Scurisation de Xen Utilisation de Xen Rfrences
2

Introduction / Notions sur la virtualisation

Couche d a!straction matrielle et"ou lo#icielle $S h%te &ou systme d e'(loitation h%te) * systme install directement sur le matriel $S invits ou $S virtualiss * systmes installs sur le systme h%te Partitionnement+ isolation et"ou (arta#e des ressources (hysi,ues et"ou lo#icielles Ima#es mani(ula!les

dmarra#e+ arr-t+ #el+ clona#e+ sauve#arde et restauration+ sauve#arde de conte'te+ mi#ration d une machine (hysi,ue . une autre

Rseau virtuel / rseau (urement lo#iciel+ interne . la machine h%te+ entre h%te et invits
3

Introduction / Systmes de virtualisation (1)

Linu'01server+ 2S3 4ail+ chroot Isolateurs

Isole certains as(ects ou ressources de l $S h%te &systmes de fichiers ou es(aces mmoires) Pas d em(ilement de l $S h%te et d un lo#iciel de virtualisation 5rs (erformant mais environnements virtuels sont (eu ou (as com(ltement isols

U6L Noyau en es(ace utilisateur

Se lance comme une a((lication dans l $S h%te U6L lance et #re ses a((lications de manire isole des autres U6L tournant sur la m-me machine Peu (erformant car les 7 noyau' sont em(ils

Introduction / Systmes de virtualisation (2)

896U sans :,emu+ 1irtualPC sur Po;erPC 9mulation matrielle

6achine virtuelle com(lte &!ios+ (rocesseur+ mmoire+ dis,ue+ carte rseau<<<) Interce(te ma=orit des instructions de l $S invit (our les rem(lacer (ar leur ,uivalent sur l $S h%te Avanta#es / e'cution des a((lications (rvues (our d autres architectures &ordinateurs+ consoles+ !ornes d arcade <<<) Inconvnients / (erformances mdiocres

Introduction / Systmes de virtualisation (3)

896U avec :,emu+ 1m;are >or?station"GSX Virtualisation complte

machine virtuelle com(lte &!ios+ (rocesseur+ mmoire+ dis,ue+ carte rseau<<<) Interce(te certaines instructions (articulires de l $S invit &ne (ouvant (as -tre e'cutes sur $S h%te) Sim(le . mettre en oeuvre 9m(ilement $S h%te @ $S invit surchar#e (erformance moyenne
6

Introduction / Systmes de virtualisation / Xen

Xen Paravirtualisation

Ay(erviseur * moniteur de machines virtuelles &166 1irtual 6achine 6onitor) $S invit fonctionne directement sans interce(tion des instructions Xen B (eut h!er#er des $S invits non modifis

Introduction / Systme de virtualisation / Comparaison

Premire gnration des systmes de virtualisation

irtualisation avec !en

Introduction / Systmes de virtualisation du type de Xen

Ils dis(osent de la couche lo#icielle 166 &1irtual 6achine 6onitor) ddie . la #estion de machines virtuelles

16>are 9SX

6icrosoft 1irtual Server AP Inte#rity 16 6icro(artitions d I26 XenSource dvelo((e avec 6icrosoft un hy(erviseur Xen (our >indo;s Server 7CCD &Lon#horn)

6achine virtuelle se re(ose sur un noyau l#er &vm?ernel) em(ila#e des machines est l#er

Introduction / Ori ines de Xen

Xen tait un (ro=et de recherche . l Universit de Cam!rid#e mem (ar Ian Pratt Ian Pratt a fond XenSource ,ui dvelo((e le (ro=et o(en source et vend les versions de Xen (our les entre(rises
re

E version (u!li,ue de Xen / octo!re 7CCB Xen 7<C / octo!re 7CCF Xen B<C / dcem!re 7CCG

10

Introduction / !vanta es de Xen

Isolation com(lte entre les machines virtuelles Performances (our les machines virtuelles (roche d un systme natif 5rs !on su((ort du matriel &Xen utilise les (ilotes du noyau linu') Possi!ilit de mi#rer des machines virtuelles entre des serveurs Xen sans interru(tion de service $(en Source &license GPL)
11

Inroduction / Processeurs support"s par Xen

Xen tourne sur

Processeurs de ty(e 'DH &(rocesseur de ty(e IPHI ou Intel ou A63 des G dernires annes) 6achines multi(rocesseur et inclut le su((ort (our l hy(er0threadin# &S65)< Processeurs de ty(e 'DH"HF &de(uis Xen B<C) Processeurs de ty(e IAHF Processeurs de ty(e PPC

Xen est en cours de (orta#e sur (rocesseurs de ty(e AR6 &liste de diffusion sur 'en source)

12

Plan

Introduction Architecture de Xen

Ay(erviseurs " domaines Les rin#s Les technolo#ies de virtualisation matrielles

Le noyau Xen Le rseau dans Xen Gestion des domaines Installation de Xen Scurisation de Xen Utilisation de Xen Rfrences
13

!rc#itecture de Xen

14

!rc#itecture de Xen / $yperviseur

Architecture d un systme Xen est com(ose de

hy(erviseur Xen machines virtuelles scurises a((eles domaines

domC 0 (rivile#ed domain domU 0 un(rivile#ed domain

Ay(erviseur

ordonnance tem(s d utilisation de la machine h%te (ar cha,ue domaine &dans tem(s im(arti+ les $S invits ordonnancent leurs (rocessus) au !oot de l ordinateur+ dtecte et dmarre les (rocesseurs non initialiss (ar le 2I$S route les interru(tions+ numre les !us PCI
15

!rc#itecture de Xen / %e &om'

3omC &domaine (rivil#i)

cre lors de l installation de 'en lanc automati,uement au !oot com(os d un noyau linu' modifi et des lo#iciels de contr%le de Xen le seul . (ouvoir intera#ir directement avec le matriel via les (ilotes du noyau linu' autres domaines font a((el a ces (ilotes via l utilisation des (ilotes &virtuels) de Xen assure tache d administration du systme via le dmon 'end dans es(ace utilisateur &cration+ dmarra#e+ arr-t+ restauration ou mi#ration des domaines) #re les (ilotes natifs et (ilotes virtuels des domaines
16

!rc#itecture de Xen / %es &om(

3omU &3omaine non (rivil#i)

machines invites ou $S invits leur noyau est char# dans un mode non (rivil#i du (rocesseur &en #nral rin# E ou le rin# 7) ces machines sont contr%les (ar le domC<

17

!rc#itecture de )en / %es rin s (1)

Processeurs com(ati!les 'DH ont un modle de (rotection de F niveau' d e'cution * les rin#s Niveau' numrots de C B &C * (lus (rivil#i+ B * moins (rivil#i)

rin# C ddi . l e'cution de l $S rin# B ddi au' a((lications de l es(ace utilisateur rin#s E et 7 (rvus . l ori#ine (our virtualisation

18

!rc#itecture de )en / %es rin s (2)

Systme Xen sur architecture 'DH

hy(erviseur dans rin# C domC * domaine (rivil#i mais n est (as dans rin#C tout transite (ar l hy(erviseur $S invits dans rin# E ou 7 a((lications dans rin# B

Systme Xen sur architecture 'DHJHF &HF !its)

hy(erviseur dans rin# C $S invits et a((lications dans rin# B rin# E et 7 ont t su((rims
19

!rc#itecture de Xen / %es rin s (3)

20

!rc#itecture de )en / *ec#nolo ies de virtualisation mat"rielle (1)

9'em(les /

Intel 1ander(ool 'DH virtualiKation &150i) A63 Pacifica 'DH virtualiKation &A630v) Sun UltraSPARC 5E hy(ervisor I26 Advanced P$>9R virtualiKation

3e(uis 7CCG interface commune d accs au' 7 technolo#ies Intel et A63 / A16 &Aard;are 1irtual 6achine) Permettent . Xen d acce(ter des $S invits non 'enifis &e' / >indo;s)
21

!rc#itecture de )en / *ec#nolo ies de virtualisation mat"rielle (2)

Intel 1ander(ool 'DH virtualiKation &150i)

Intel a a=out 7 modes d e'cution / 16X root et 16X non0root ces 7 modes su((ortent les F rin#s de C B $S et a((lications fonctionnent dans mode 16X non0 root hy(erviseur utilise mode d e'cution 16X root &niveau contr%le et (rivil#e @ im(ortant) hy(erviseur est modifi (our utiliser e'tension 1ander(ool et #rer les modes 16X root et 16X non0 root
22

$S utilisent le rin# C+ $S non modifis a((lications en rin# B

!rc#itecture de Xen / Xend

Le dmon 'end &crit en (ython)

fonctionne dans domC interface htt( sur (ort DCCC r(ond au' re,u-tes venant du domC

fichier de confi#uration / 'end0confi#<s'(

6thode Gestion du rseau Paramtres de mi#ration

cration+ destruction+ mi#ration+ arr-t+ dmarra#e+ sauve#arde+ restauration+ surveillance des domaines+

'end cre 7 dmons &'enstored+ 'enconsoled) et une instance de la classe (ython Srv3aemon fichiers de lo# de 'end
"var"lo#"'end<lo# "var"lo#"'end0de!u#<lo#

23

!rc#itecture de Xen / +elations mac#ines virtuelles , domaines

Relations entre machines virtuelles et domaines * relation entre (ro#rammes et (rocessus

machine virtuelle * entit (ermanente ,ui rside sur dis,ue &comme un (ro#ramme)< 8uand elle est char#e (our e'cution elle fonctionne dans un domaine cha,ue domaine (ossde un identificateur identi,ue * identificateur de (rocessus

24

!rc#itecture de Xen / !vanta es

Garantit . l hy(erviseur (rotection contre !u#s et (lanta#es des (ilotes 3char#e ,ui(e de Xen du dvelo((ement des (ilotes Assure au systme Xen un lar#e su((ort materiel via (ilotes du noyau Linu' Sim(le et l#re hautes (erformances de Xen
25

Plan

Introduction Architecture de Xen Le noyau Xen Le rseau dans Xen Gestion des domaines Installation de Xen Scurisation de Xen Utilisation de Xen Rfrences

26

%e noyau Xen

Xen fonctionne avec 7 noyau'

E noyau char# dans domC E noyau char# dans domU

Noyau dans domC

char# dans rin# E"7 #re accs au matriel s(cifi,ue &!ac?end)

Noyau dans domU

char# dans rin#B frontend communi,uent avec les !ac?end

27

%e noyau Xen / -irtualisation des pilotes (1)

Ay(erviseur et noyau Linu' du domC

ont un accs direct au' (ilotes des (ri(hri,ues et connaissance de ceu'0ci utilisent (our cha,ue (ri(hri,ue le (ilote et la confi#uration fournis (ar le domC

le domC e'(orte une version virtualise des (ri(hri,ues vers les $S invits les (ri(hri,ues sont contr%ls (ar le systme du domC et sont dis(oni!les (our tous les $S invits Le systme linu' du domC doit -tre confi#ur (our

su((orter le matriel sous0=acent l hy(erviseur fournir des (ri(hri,ues virtuels

28

%e noyau Xen / -irtualisation des pilotes (2)

Communication entre (ri(hri,ues d un domU et (ri(hri,ues virtuels du domC (asse (ar un canal &device channel) ,ui

est E lien (oint . (oint entre les 7 domaines (ermet envoi de messa#e asynchrone d un domaine vers un autre

6essa#es communi,us via (a#e de mmoire (arta#e alloue (ar l $S invit et ma((e dans l es(ace d adressa#e du domC Avanta#es

limite crash d un (ilote au (ilote lui0m-me sans affecter a((lication situe dans autre domaine (ermet de redmarrer domC (our retrouver un (ilote o(rationnel en (ertur!ant le moins (ossi!le les a((lications des autres domaines

29

Plan

Introduction Architecture de Xen Le noyau Xen Le rseau dans Xen Gestion des domaines Installation de Xen Scurisation de Xen Utilisation de Xen Rfrences

30

%e r"seau dans Xen / Inter.aces et#ernet virtuelles

Xen cre L (aires d interface virtuelles ethernet utilises (ar le domC Ces (aires sont 7 interfaces ethernet relies (ar un cM!le interne crois

ethC est reli . vifC<C vethE est reli . vifC<E etc<<< vethL est reli . vifC<L
31

%e r"seau dans Xen / Inter.aces virtuelles (1)

Cha,ue fois ,ue l on cre un domU+ un nouvel identifiant est associ

identifiant du Eer domU est E identifiant du 7me domU est 7 m-me si le Eer domaine est arr-t

Xen cre des (aires d interfaces virtuelles ethernet (our cha,ue nouveau domU

une (artie de cha,ue (aire est dans le domU< 3ans un domU sous Linu' le nom du (ri(hri,ue rseau est ethC l autre (artie de cha,ue (aire est dans le domC et se nomme vifNidJdomaineO<C
32

%e r"seau dans Xen / Inter.aces virtuelles (2)

9'em(le / dans domU dont l identifiant * G+ ethC sera attach . vifG<C dans le domC) Si on cre des interfaces rseau multi(les dans un domU+ ethC et ethE+ le domC a vif<idJdomaine>.C et vifNidJdomaineO<E 8uand on lance shutdo;n sur un domU+ les adresses virtuelles ethernet sont dtruites

33

%e r"seau dans Xen / !dresses /!C (1)

Par dfaut Xen slectionne une adresse 6AC alatoire (our cha,ue interface rseau virtualise des domU Adresse 6AC est diffrente sur cha,ue domU Pour fi'er une adresse 6AC (our un domaine &e' / utilisation de dhc()+ il faut utiliser l o(tion vif dans le fichier de confi#uration de la machine virtuelle 9' / vif * P mac*aa/CC/CC/CC/CC/EE Q)<
34

%e r"seau dans Xen / !dresses /!C (2)

Choi' de l adresse 6AC / adresse de ty(e unicast

le dernier !it du Eer octet doit -tre (ositionne a C l avant0dernier !it du Eer octet doit -tre (ositionne a E forme / XR/XX/XX/XX/XX/XX X * chiffre he'adcimal R * 7 ou H &EEC) ou A &ECEC) ou 9 &EEEC)<

9'em(le

AA/XX/XX/XX/XX C$RR9C5 A2/XX/XX/XX/XX INC$RR9C5

35

%e r"seau dans Xen / /odes r"seau de Xen

6ode !rid#e

Par dfaut+ Xen utilise un (ont . l intrieur de domC &'en!rC) (ermet . tous les domaines d a((araitre sur le rseau comme des machines individuelles domC =oue le r%le de (asserelle (our les domU< les vifX<R ont (our IP celles des cartes des domU &e' / vifE<C dans domC a (our IP celle de la carte ethC dans domE)< r#les i(ta!les a((lica!les . ces cartes sur domC< les vifX<R ont (our IP celle des cartes dans les domU elles ne voient (as (asser les (a,uets<
36

6ode NA5

6ode route

%e r"seau dans Xen / Xen en mode 0rid e (1)

(ethC

interface (hysi,ue &(as confi#ura!le) lien entre le systme et carte rseau interface virtualise fournie (ar Xen &confi#ura!le) conne'ion rseau (our le systme h%te cartes rseau des $S invits e' / vifE<C corres(ond . ethC du domU dont l id est E
"ode bridge # $ont entre carte $%ysique et cartes virtuelles
37

ethC

vifX<R

%e r"seau dans Xen / Xen en mode 0rid e (2)

38

%e r"seau dans Xen / Xen en mode 0rid e (3)

Pa,uets sortants des cartes des domU sont directement retransmis sur carte (hysi,ue (ethC Aucun contr%le sur les (a,uets au niveau de domC &(ar e'em(le i(ta!les)< Les vif /

(as d adresse i(+ directement relies . ethC

39

Pa,ueta#e !rid#e0utils est ncessaire

%e r"seau dans Xen / Xen en mode 0rid e (1)

3mon 'end #re cration"su((ression des (onts et interfaces virtuelles via les scri(ts net;or?0!rid#e vif0!rid#e 8uand 'end dmarre+ il lance le scri(t net;or?0!rid#e ,ui / cre un nouveau (ont nomm 'en!rC la S vraie T interface ethernet ethC est mise . do;n les adresses IP et 6AC de ethC sont co(ies sur la nouvelle interface rseau virtuelle vethC l interface relle ethC est renomme (ethC l interface virtuelle vethC est renomme ethC (ethC et vifC<C sont attaches au (ont 'en!rC le (ont+(ethC+ ethC et vifC<C sont (ositionns . u( 8uand un domU dmarre+ 'end &tournant dans domC) lance le scri(t vif0!rid#e ,ui / attache vifNidUO<C . 'en!rC vifNidUO<C est (ositionne . u(

40

%e r"seau dans Xen / %es -%!NS (1)

Il est (ossi!le de faire tourner (lusieurs machines virtuelles dans des vlans diffrents Il faut a=outer le su((ort DC7<E, dans domC Un (ont est confi#ur (our cha,ue 1LAN+ et les $S invits attachent leurs interfaces au (ont a((ro(ri C est au niveau de domC ,ue les trames sont ta##es< Les domU n ont (as connaissance des vlans<
41

%e r"seau dans Xen / %es -%!NS (2)

dmon 'end ,ui #re la cration"su((ression des (onts et interfaces virtuelles via deu' nouveau' scri(ts ,ui rem(lacent net;or?0!rid#e / net;or?0multi0vlan net;or?0!rid#e0vlan ,uand 'end dmarre+ il lance le scri(t net;or?0multi0vlan ,ui a((le le scri(t net;or?0!rid#e0vlan autant de fois ,ue de vlans dsirs net;or?0!rid#e0vlan / cre un (ont nomm vlan!rnumvlan &(<e'< vlan!rECC) cre une nouvelle interface ethC<numvlan &(<e'< ethC<ECC) dans domC . l aide de la commande vconfi# cette nouvelle interface et le (ont sont (ositionns . u( ethC<ECC est attache au (ont vlan!rECC ,uand domU dmarre+ 'end &tournant dans domC) lance le scri(t vif0!rid#e ,ui attache vifNidUO<C au nouveau (ont vlan!rnumvlan et (ositionne vifNidUO<C . u(
42

Plan

Introduction Architecture de Xen Le noyau Xen Le rseau dans Xen Gestion des domaines

Avec 'm

Autres outils

Arr-t " 3marra#e Gestion de la mmoire Gestion des (rocesseurs 6i#ration

Installation de Xen Scurisation de Xen Utilisation de Xen Rfrences

43

2estion des domaines avec )m / !rr3t , &"marra e

'm * &Xen mana#ement) * interface te'te de #estion de Xen

'm list / affiche tous les domaines en fonctionnement 'm create P0cQ NConfi#fileO dmarre la machine virtuelle dfinie dans Nconfi#fileO 9'em(les /
'm create "etc"'en"vmE<cf# dmarre vmE 'm create 0c "etc"'en"vmE<cf# dmarre vmE et attache une console . vmE

44

2estion des domaines avec )m

'm shutdo;n P0aV0;Q N3omainO (rovo,ue l arr-t d un domaine 0a / arr-te tous les domaines< 0; / attend d avoir termin le shutdo;n (our redonner la main 'm console N3omainO attache une console . un domaine Pour ,uitter la console / Ctrl 0 Q 'm to( affiche monitorin# tem(s rel des domaines
45

2estion des domaines avec )m / 2estion de la m"moire

3ans Xen hy(erviseur contr%le allocation de mmoire des domaines Par dfaut on ne donne (as ,uantit de mmoire (our machine domC 8uantit de mmoire lui tant attri!ue (ar hy(erviseur * ,uantit totale de mmoire restante sur la machine (hysi,ue 3ans fichier de confi#uration de cha,ue $S invit+ on s(cifie ,uantit de mmoire . attri!uer lors de son lancement< Cette ,uantit de mmoire est /

dduite de la ,uantit de mmoire restante donc retire de la ,uantit de mmoire du domC<

46

2estion des domaines avec )m / 2estion de la m"moire

8uantit de mmoire donne . un $S invit n est (as dfinitive< $n (eut modifier la ,uantit de mmoire attri!ue . un systme invit tout en continuant son e'cution<

Si ,uantit de mmoire d une machine virtuelle est insuffisante+ on (eut au#menter la taille mmoire ,ui lui est attri!ue sans interru(tion de service< Si ,uantit inutilise de mmoire+ on (eut rcu(rer cette mmoire sans interru(tion de service<

47

2estion des domaines avec )m / 2estion de la m"moire

Attention /

Im(ossi!le de diminuer ,uantit de mmoire d une machine virtuelle en dessous de la ,uantit initialement donne 8uantit totale de mmoire attri!ue (our domaines ne (eut (as d(asser ,uantit de mmoire (rsente sur machine (hysi,ue<

Le systme domC a les (rivil#es sur l hy(erviseur Xen+

une machine virtuelle ne (eut (as chan#er sa ,uantit de mmoire &ni celle d une autre machine)< toutes les o(rations concernant mmoire attri!ue sont effectues (ar la machine domC<

48

2estion des domaines avec )m / 2estion de la m"moire

Au#mentation ou diminution de la mmoire &!alloon driver) . l aide de la commande 'm /

'm mem0set N3omainO N6emO 9'em(le / modification mmoire dans domaine G 'm mem0set G GE7

49

2estion des domaines avec )m / 2estion des processeurs

1CPU * 1irtual Central Process Unit 3ans Xen+ E (rocesseur * E 1CPU &Sur un systme hy(erthread+ E thread * E 1CPU) 3omC #re attri!ution de (rocesseur A=out"su((ression . la vole de CPU virtuels

'm vc(u0set N3omainO Nn1CPUsO 9'em(le / a=out d un 7eme c(u dans domaine B 'm vc(u0set B 7

Pour lister les 1CPU affects . une machine

'm vc(u0list

Pour forcer un domU sur un 1CPU donn

'm vc(u0(in N3omainO N1CPUO NCPUsO
50

2estion des domaines avec )m / %a pause

6ise en (ause du domaine

'm (ause N3omainO 9'em(le / 'm (ause vmE

6ise en (ause de la machine vmE vmE continue de consommer des ressources &mmoire+ <<<) vmE est tou=ours (rsente dans la liste des machines Statut de vmE est #el &(as li#i!le dans file d attente de ordonnanceur de Xen)

Pour sortir un domaine de l tat de (ause

'm un(ause N3omainO

51

2estion des domaines avec )m / Sauve arde et restauration

Sauve#arde

'm save N3omainO NChec?(ointWileO 9'em(le / 'm save vmE vmE<ch?

arr-t de la machine vmE &tat est similaire . lXhi!ernation) sauve#arde dXune machine . un instant donn

Restauration

'm restore NChec?(ointWileO 9'em(le / 'm restore vmE<ch?

restauration de vmE re(rise de l e'cution de vmE

52

2estion des domaines avec )m / %a mi ration (1)

5ransfert d un domaine entre 7 h%tes &cad 7 machines (hysi,ues) 7 ty(es de mi#ration

S re#ular mi#ration T

S live mi#ration T

6ise en (ause du domU . transfrer Co(ie du contenu de sa mmoire Re(rise de l e'cution dans la machine de destination Idem . mi#ration offline sauf mise en (ause de domU La mi#ration n est (as visi!le (ar l utilisateur

S live mi#ration T est (rfra!le . S re#ular mi#ration T Im(ortant / Les 7 h%tes doivent avoir accs au' ima#es dis,ues et doivent avoir m-me version de 53 'en

2estion des domaines avec )m / %a mi ration (2)

6i#ration de vmE sur t(<raisin<fr

'm mi#rate 00live vmE t(<raisin<fr

'end fait en sorte ,ue le domaine continue de fonctionner alors ,ue la mi#ration est en cours La dure de l arr-t est de HC . BCCms< Ncessaire de se reconnecter sur la console du nouveau domaine en utilisant la commande 'm console Si un domaine mi#r . des conne'ion rseau d=. ouvertes+ elles sont conserves 54

2estion des domaines / !utres outils

$utils #ra(hi,ues

'enman &u!untu) virt0mana#er &redhat+ fedora) (ermet d effectuer des o(erations de !ase &create+ (ause+ destroy+ to(<<<) 'en0create0ima#e &u!untu) virsh &redhat+ fedora) e'em(les /
virsh dum('ml B O vmE<'ml (ermet d afficher le domaine &dont l identifiant est B) au format X6L sur la sortie standard virsh create vmE<'ml (ermet de creer un domaine a (artir d un fichier 'ml

$utils te'tes

55

Plan

Introduction Architecture de Xen Le noyau Xen Le rseau dans Xen Gestion des domaines Installation de Xen Scurisation de Xen Utilisation de Xen Rfrences

56

Installation de Xen / %es .ic#iers de con.i uration

Wichiers de confi#uration domC/

'end0confi#<s'( scri(t 1LANs un fichier de confi#uration (ar domU

caractristi,ues de la machine &Nom+ Ymac+ mmoire+ dis,ue<<<)

mode rseau mi#ration

Wichiers de confi#uration domU/

(as de fichiers s(cifi,ues . 'en dans les 3omU confi#uration ha!ituelle d un $S Linu'

Remar,ue / ne (as activer N5P dans les domU

57

Installation de Xen / 2estion de l4espace dis5ue

Stoc?a#e des 3omU ima#e dis,ue &loo() sur dis,ue local ou distant (artition d un dis,ue (artition L16 &Lo#ical 1olume 6ana#er) NWS e'(ort d un es(ace commun N23 &Net;or? 2loc? 3evice) stoc?a#e+ du(lication des machines mi#ration ISCSI !aie matrielle e'(ort via iSCSI 9nter(rise 5ar#et GWS &Glo!al Wile system) systme clusteris mi#ration avec accs concurrent

58

Plan

Introduction Architecture de Xen Le noyau Xen Le rseau dans Xen Gestion des domaines Installation de Xen Scurisation de Xen Utilisation de Xen Rfrences

59

S"curisation de Xen (1)

Le domC doit -tre scuris le (lus (ossi!le car si le domC est com(romis tous les autres domaines sont #alement vulnra!les 2onnes (rati,ues (our le domC /

ne lancer ,ue le (lus (etit nom!re de service ncessaires utiliser un fire;all (our restreindre le trafic vers le domC ne (as autoriser les utilisateurs . accder au domC domC devrait -tre inaccessi!le

60

S"curisation de Xen (2)

Xen et Shore;all / doc de confi#uration de Shore;all dans le 3omC

htt(/"";;;<shore;all<net"Xen<html htt(/"";;;E<shore;all<net"Xen6y>ay<html

Waille de scurit dans 'en0(y#ru!

htt(/"";;;<KataK<com"alerte0securite"EGED7"'en0 (y#ru!0#ru!0conf0domC0vuln<html

61

Plan

Introduction Architecture de Xen Le noyau Xen Le rseau dans Xen Gestion des domaines Installation de Xen Scurisation de Xen Utilisation de Xen Rfrences

62

(tilisation de Xen (1)

Consolider des serveurs en h!er#eant sur une machine (hysi,ue (lusieurs serveurs diffrents &$S et a((lications) Raliser des (lans de re(rise d activit ou de continuit de service 5ester le fonctionnement d une a((lication sur (lusieurs systmes sans dis(oser d autant de machines Surveiller des machines virtuelles+ allouer des ressources+ dtecter des com(ortements inha!ituels

63

(tilisation de Xen (2)

Raliser un cluster en utilisant la fle'i!ilit de #estion des machines virtuelles+ leurs contr%les+ leurs isolations et la (ossi!ilit de mi#rer (our re(artir la char#e 5ester une architecture rseau Rem(lacer le dual0!oot 5ester et de!u##er des modifications du noyau dans une machine virtuelle S !ac . sa!le T &sand!o'ed)

64

(tilisation de Xen (3)

Listes de diffusion/

Xen0devel

htt(/""lists<'ensource<com"'en0devel htt(/""lists<'ensource<com"'en0announce htt(/""lists<'ensource<com"'en0chan#elo#

Xen0announce

Xen0chan#elo# Xen0users

htt(/""lists<'ensource<com"'en0users htt(/"";;;<redhat<com"mailman"listinfo"fedora0'en
65

Wedora0'en

%a 0i0liot#5ue d4accs 0as niveau li0virt

API de mani(ulation de machines virtuelles Lan#a#e C Ind(endante des technolo#ies de virtualisation / fonctionne #alement avec :16 et 8emu Ne mani(ule ,ue les machines virtuelles du serveur sur le,uel sera utilise l API 9'em(le

Uinclude Nli!virt"li!virt<hO <<< ret * vir3omainGetInfo&dom+ Zinfo)[ (rintf&ILe domaine \d a \d CPUs]nI+ id+ info<nr1irtC(u)[

htt(/""li!virt<or#"architecture<html
66

+"."rences (1)

Site officiel du (ro=et

htt(/"";;;<cl<cam<ac<u?"research"sr#"netos"'en"archite cture<html htt(/"";;;<'ensource<com" htt(/"";i?i<'ensource<com"'en;i?i"XenIntro htt(/"";i?i<'ensource<com"'en;i?i"Xen3ocs htt(/"";i?i<'ensource<com"'en;i?i"XenWa, htt(/""en<;i?i(edia<or#";i?i"Xen htt(/""'enfr<or# htt(/""doc<u!untu0fr<or#"virtualisation

67

Xensource

Xen sur >i?i(edia

3oc sur Xen en francais

+"."rences (2)

GNU Linu' 6a#aKine " Wrance

no DG+ DL+ D^+ ^7

Cours Xen (our les =ournes 6athrice 0 6ars 7CCL 0 4< Castan# et P< 3e(ouilly 4R9S7CCG 2enchmar?s de Xen

htt(/"";;;<cl<cam<ac<u?"netos"(a(er"7CCB0'ensos(<(df

68