帯域外リモート管理の継続を 実現可能なVMマイグレーション手法

Slides:



Advertisements
Similar presentations
九州工業大学 塩田裕司 光来健一.  仮想マシンは必要なときだけ動かす使い方が一般 的 ◦ 一台の計算機上に複数の計算機を仮想的に作成できる ◦ デスクトップ  異なる OS を使用するため作成 ◦ サーバ  最大負荷に合わせた数の仮想マシンを作成  長期間使わない仮想マシンも存在する VM.
Advertisements

九州工業大学大学院 情報工学府 情報創成工学専攻 塩田裕司.  仮想マシン( VM )は必要なときだけ動かすこと が多い ◦ クラウドでもデスクトップでも ◦ 長期間使わない VM が存在する  VM の再開時に攻撃を受ける可能性が高くなる ◦ 停止中に OS やアプリケーションの脆弱性が発見されるこ.
ファイルキャッシュを考慮したディスク監視のオフロード
セキュリティ機構のオフロードを考慮した仮想マシンへの動的メモリ割当
クラウド上の仮想マシンの安全なリモート監視機構
クラウドにおける ネストした仮想化を用いた 安全な帯域外リモート管理
Xenを用いたクラウドコンピュー ティングにおける情報漏洩の防止
IaaS 仮想マシン(VM)をネットワーク経由で提供 負荷に応じてVM数や性能を変更できる ハードウェアの導入・管理・維持コストの削減
中村孝介(九州工業大学) 光来健一(九州工業大学/JST CREST)
KVMにおけるIDSオフロードのための仮想マシン監視機構
仮想マシンの並列処理性能に対するCPU割り当ての影響の評価
クラウドにおけるライブラリOSを用いた インスタンス構成の動的最適化
ファイルシステムキャッシュを 考慮した仮想マシン監視機構
OSが乗っ取られた場合にも機能するファイルアクセス制御システム
発表の流れ 研究背景 マルチテナント型データセンタ 関連研究 IPマルチキャスト ユニキャスト変換手法 提案手法 性能評価.
XenによるゲストOSの解析に 基づくパケットフィルタリング
クラウドにおけるアプリケーション単位での VM構成の動的最適化
帯域外リモート管理を継続可能な マイグレーション手法
大きな仮想マシンの 複数ホストへのマイグレーション
ネストした仮想化を用いた VMの安全な帯域外リモート管理
VMマイグレーションを可能にするIDSオフロード機構
IaaS型クラウドにおける キーボード入力情報漏洩の防止
クラウドの内部攻撃者に対する安全なリモートVM監視機構
アスペクト指向プログラミングを用いたIDSオフロード
サスペンドした仮想マシンの オフラインアップデート
Xenによる ゲストOSの監視に基づく パケットフィルタリング
分散IDSの実行環境の分離 による安全性の向上
VMのメモリ暗号化によるクラウド管理者への情報漏洩の防止
VMのメモリ暗号化による クラウド管理者への情報漏洩の防止
VM専用仮想メモリとの連携による VMマイグレーションの高速化
IaaS型クラウドにおける インスタンス構成の動的最適化手法
暗号化された仮想シリアルコンソールを 用いたVMの安全な帯域外リモート管理
リモートホストの異常を検知するための GPUとの直接通信機構
ユーザ毎にカスタマイズ可能な Webアプリケーションの 効率の良い実装方法
シャドウデバイスを用いた 帯域外リモート管理を継続可能なVMマイグレーション
実行時情報に基づく OSカーネルのコンフィグ最小化
仮想メモリを用いた VMマイグレーションの高速化
複数ホストに分割されたメモリを用いる仮想マシンの監視機構
仮想計算機を用いたサーバ統合に おける高速なリブートリカバリ
仮想シリアルコンソールを用いた クラウドの安全なリモート管理
クラウドにおけるIntel SGXを用いた VMの安全な監視機構
IaaS環境におけるVMのメモリ暗号化による情報漏洩の防止
クラウドにおけるVMリダイレクト攻撃を防ぐためのリモート管理機構
クラウドにおけるVM内コンテナを用いた 自動障害復旧システムの開発
未使用メモリに着目した 複数ホストにまたがる 仮想マシンの高速化
クラウドにおけるVM内コンテナを用いた 低コストで迅速な自動障害復旧
Intel SGXを利用する 巨大なアプリケーションの マイグレーション機構
Intel SGXを用いた仮想マシンの 安全な監視機構
軽量な仮想マシンを用いたIoT機器の安全な監視
複数ホストにまたがって動作する仮想マシンの障害対策
VMMのソフトウェア若化を考慮した クラスタ性能の比較
信頼できないクラウドにおける仮想化システムの監視機構
VMが利用可能なCPU数の変化に対応した 並列アプリケーション実行の最適化
仮想環境を用いた 侵入検知システムの安全な構成法
Cell/B.E.のSPE Isolationモードを用いた監視システム
仮想マシンの監視を継続可能なマイグレーション機構
仮想マシンと物理マシンを一元管理するための仮想AMT
仮想マシンに対する 高いサービス可用性を実現する パケットフィルタリング
VMリダイレクト攻撃を防ぐための 安全なリモート管理機構
ゼロコピー・マイグレーションを 用いた軽量なソフトウェア若化手法
仮想化システムの 軽量なソフトウェア若化のための ゼロコピー・マイグレーション
ユビキタスコンピューティングの ための ハンドオーバー機能付きRMIの実装
強制パススルー機構を用いた VMの安全な帯域外リモート管理
IPmigrate:複数ホストに分割されたVMの マイグレーション手法
複数ホストにまたがるVMの 高速かつ柔軟な 部分マイグレーション
複数ホストにまたがるVMの メモリ使用状況に着目した高速化
ソケットの拡張によるJava用分散ミドルウエアの高信頼化
Virtual Machine Introspectionを可能にするVMCryptの拡張 田所秀和 光来健一 (九州工業大学)
強制パススルー機構を用いた VMの安全な帯域外リモート管理
管理VMへの キーボード入力情報漏洩の防止
Presentation transcript:

帯域外リモート管理の継続を 実現可能なVMマイグレーション手法 九州工業大学大学院 情報工学府 情報創成工学専攻 13675016 川原 翔

IaaS型クラウドにおけるリモート管理 RMS SSH VNC 仮想マシン(VM)をネットワーク経由でユーザに提供 ユーザVM内のリモート管理システム(RMS)サーバ に接続して管理 VM内のネットワーク障害時に管理が不可能になる ネットワークの設定ミス SSH RMS VM VM VNC VM VM RMS サーバ 管理 RMS クライアント

帯域外リモート管理 管理VM経由でユーザVMをリモート管理 管理VMでRMSサーバを動作させる ユーザVMの仮想デバイスを直接参照する ネットワークの設定ミス時でも操作が可能 帯域内リモート管理 管理VM ユーザVM RMS クライアント RMSサーバ ネットワーク障害 仮想デバイス 帯域外 リモート管理

? マイグレーション時の管理中断 1 2 VMのマイグレーション時にリモート接続が切断される ユーザVMの移送によって移送元のRMSサーバが終了 削除された仮想デバイスにアクセスできなくなるため 移送先のRMSサーバにつなぎ直さなければならない 切断された原因を調べ,移送先を調べる必要がある RMS クライアント ? 1 2 マイグレーション 管理 VM ユーザ VM 管理 VM RMS サーバ RMS サーバ 仮想 デバイス 仮想 デバイス

マイグレーション時の入出力情報の損失 1 2 リモート管理の入出力情報が失われる可能性がある 処理中 送信中 処理中 ネットワーク上の送信中のデータ リモート接続が切断されるため RMSサーバや仮想デバイスで処理中のデータ RMSサーバが終了するため 仮想デバイスが削除されるため RMS クライアント 1 2 マイグレーション 処理中 M N O 管理 VM ユーザ VM 管理 VM RMS サーバ RMS サーバ J K L G H I C B A 仮想 デバイス 仮想 デバイス 送信中 D E F 処理中

提案: D-MORE 1 2 帯域外リモート管理を継続可能なマイグレーションを 実現するシステム 帯域外リモート管理を継続可能なマイグレーションを 実現するシステム マイグレーション可能なリモート管理用VM(ドメインR)を提供 RMSサーバと仮想デバイスを動かす 同期を取りながらドメインRとユーザVMを同時マイグレーション RMSクライアント,ドメインR,ユーザVM間の接続を維持 1 2 マイグレーション ドメインR RMS サーバ 仮想 デバイス ユーザ VM RMS クライアント ネットワークレベルで 維持される VNC Server 管理 VM D-MOREにより接続を保つ

データロスの防止 D-MOREではマイグレーション時に入出力情報が失 われない 処理中 送信中 処理中 RMSサーバや仮想デバイスで処理中の入出力データ ドメインRとともにマイグレーションされる RMSクライアントが送受信中のネットワーク上のデータ 失われてしまった場合にはTCPにより再送 処理中 RMS クライアント ドメインR RMS サーバ 仮想 デバイス ユーザ VM D E F 送信中 G H I 処理中 C B A

ドメインR 仮想デバイスを動作させるのに必要な権限を持つ 指定したユーザVMへの アクセスのみ許可 ユーザVMとの間に共有メモリを確立できる 入出力情報を受け渡すために使用 仮想割り込みチャネルを確立できる 入出力情報を送信したことを通知 指定したユーザVMへの アクセスのみ許可 管理VMで関連づけ 仮想デバイス RMS サーバ ドメインR ユーザ VM 仮想割り込み チャネル 共有 メモリ C B A 割り込み

単一VMのマイグレーション VMを動作させたままメモリを移送先に転送 VMを停止させ,残りの状態を転送 移送先でVMを再開 変更されたメモリページを再送 変更されたページが十分に少なくなるまで繰り返す VMを停止させ,残りの状態を転送 変更されたページとCPUの状態 この時間はダウンタイムになる 移送先でVMを再開 停止 終了 移送元 VM 移送元 メモリ転送 移送先 VM 移送先 作成 再開

同時マイグレーション ドメインRとユーザVMの同期を取りながら同時にマイグ レーション ダウンタイムを削減するため2つのVMを同時に停止 イベントチャネル の保存 停止 終了 ドメインR ユーザVM 移送元 ドメインR   ユーザVM 移送先 作成 共有メモリ の復元 イベント チャネル の復元 再開

共有メモリの復元 移送元:ユーザVMのメモリ共有状態を保存 移送先:ユーザVMのメモリを再共有 ドメインRのページテーブルを検査 監視ビットがセットされていれば対応するメモリページを共有 ドメインR ユーザ VM 共有 再共有 ページテーブル 移送元 移送先

仮想割り込みチャネルの復元 移送元:仮想割り込みチャネルの状態を保存 移送先:仮想割り込みチャネルを再確立 仮想割り込みチャネルの一覧を取得 使われているポートの組を送信 移送先:仮想割り込みチャネルを再確立 移送元と同じポートの組を用いることを保証 OSによるレジューム時の初期化処理を無効化 ドメインR ユーザVM 仮想割り込みチャネル port:2 port:10 仮想割り込みチャネル port:2 port:10 移送元 移送先

? 共有メモリ上のデータ転送の保証 ドメインRによって共有メモリに書き込まれた入力情報は 転送されない可能性がある 従来システムではユーザVMによる書き込みのみ検出可能 ドメインRによる書き込みは検出されない D-MOREでは共有メモリを常に変更された状態とみな す ドメインRによる書き込みも必ず転送される ドメインR ユーザVM 書き込み 書き込み 共有 変更状態 検出 ?

実験 リモート管理の性能およびマイグレーション性能を調 べた データロス防止の確認 同時マイグレーション時間 VMのダウンタイム ユーザが感じるダウンタイム サーバ側 実験環境 CPU Intel Xeon E3-1270 3.40GHz メモリ ドメインR 128MB ユーザVM 2GB VMM Xen 4.3.2 OS Linux 3.7.10 クライアント側 実験環境 CPU Intel Xeon E5-1620 3.60GHz メモリ 8GB クライアント TigerVNC 2.0.95 OpenSSH 6.0

実験1: データロス防止の確認 マイグレーション時にデータロスが発生するか調べた 従来システム D-MORE VNCクライアントで 50 ms ごとに 1キーを送信 失われるキーの数を計測 従来システム 平均 1.4 キーが失われた D-MORE キーは全く失われなかった TCP による再送は 平均 8.5 回行われていた

実験2: 同時マイグレーション時間 同期の影響を調べるために同時マイグレーションに要す る時間を測定 実験結果 VNCまたはSSHでリモート接続 D-MORE:入力あり,なしの場合 比較対象:同期をせずに2つのVMをマイグレーション 実験結果 同期の影響は小さい VNC 最大 1.6 sec SSH 最大 0.4 sec 入力を行っていると増加 書き換えられるメモリ量が 多くなるため VNC

実験3: VMのダウンタイム 同時マイグレーション時のVMのダウンタイムを測定 実験結果 VNCでリモート接続 D-MORE: 入力あり,なしの場合 比較対象: 同期をせずに2つのVMをマイグレーション 実験結果 ドメインRへの 影響は大きい 同期待ちの影響 ユーザVMは短くなった 先に処理されるため 入力の影響は小さい

実験4: ユーザが感じるダウンタイム 同時マイグレーション時にユーザが感じるダウンタイム を測定 実験結果 VNCまたはSSHでリモート接続 50 ms ごとに 1キーを送信 マイグレーションの最終段階での最長の応答時間 実験結果 VNC 最大 827 ms SSH 最大 613 ms 小さくはないが 許容範囲内

関連研究 VNC プロキシ SPICE [Red Hat, Inc. ‘09] VMCoupler [Kourai et al. ‘13] プロキシが透過的にマイグレーション先に再接続 マイグレーション時に管理VM上の入出力情報が失われる SPICE [Red Hat, Inc. ‘09] クライアントが自動的にマイグレーション先に再接続 VMの管理が特定のRMSに依存する VMCoupler [Kourai et al. ‘13] ユーザVMの監視専用VM(ドメインM)を提供 ドメインMとユーザVMを同時にマイグレーション 同期のタイミングはD-MOREと大きく異なる

まとめ D-MORE:帯域外リモート管理の継続が可能なマイグ レーションを実現するシステム 今後の課題 ドメインRでRMSサーバと仮想デバイスを動作させる ドメインRとユーザVMを同時にマイグレーション ドメインRとユーザVM間の接続を維持 D-MORE の有効性を確かめた 入力情報が失われないことを確認 オーバーヘッドが許容範囲であることを確認 今後の課題 完全仮想化に対応 ドメインRのリソース消費量の削減

研究成果の公表 受賞 オープンソースで公開 国際会議で発表 IEEE福岡支部学生研究奨励賞 URL: http://ksl.ci.kyutech.ac.jp/~kawasho/d-more 国際会議で発表 The Continuity of Out-of-band Remote Management Across Virtual Machine Migration in Clouds UCC 2014 (Acceptance rate: 19%) 受賞 IEEE福岡支部学生研究奨励賞