Khoa CNTT – ĐH Duy Tân Tìm hiểu công nghệ ảo hóa WS Hyper-V 2008 ĐỒ ÁN CHUYÊN NGÀNH ĐỀ TÀI: TÌM HIỂU CÔNG NGHỆ ẢO HÓA TRONG WINDOWS SERVER HYPER-V 2008 GIẢNG VIÊN HƯỚNG DẪN: TH.S NGUYỄN MINH NHẬT SINH VIÊN THỰC HIỆN : VÕ TIẾN THÀNH MÃ SỐ SINH VIÊN : 132114072 LỚP : K13TMT GVHD: Th.S Nguyễn Minh Nhật SVTH: Võ Tiến Thành – K13TMT Khoa CNTT – ĐH Duy Tân Tìm hiểu công nghệ ảo hóa WS Hyper-V 2008 MỤC LỤC MỤC LỤC PHẦN MỞ ĐẦU 1.MỤC TIÊU ĐỀ TÀI 2.PHẠM VI ĐỀ TÀI 3.PHƯƠNG PHÁP NGHIÊN CỨU CHƯƠNG I TỔNG QUAN VỀ CÔNG NGHỆ ẢO HÓA 1.1 KHÁI NIỆM 1.2 NGUYÊN NHÂN XUẤT HIỆN ẢO HÓA 1.3 TẠI SAO PHẢI SỬ DỤNG CÔNG NGHỆ ẢO HÓA ? 1.4 PHÂN LOẠI 1.5 THÁCH THỨC VÀ GIẢI PHÁP CHƯƠNG II 11 CÔNG NGHỆ ẢO HÓA TRONG WINDOWS HYPER-V SERVER 2008 11 2.1 CÁC DẠNG ẢO HÓA TRÊN NỀN TẢNG WINDOWS 11 2.1.1 VMM Type – Hypervisor 11 2.1.2 VMM Type 12 2.1.3 Hybrid 14 2.1.4 Monolithic Hypervisor 15 2.1.5 Microkernelized Hypervisor 16 2.2 LỊCH SỬ PHÁT TRIỂN CỦA WINDOWS HYPER-V SERVER 2008 18 2.3 NỀN TẢNG CÔNG NGHỆ HYPER-V 19 2.4 KIẾN TRÚC HYPER-V 20 GVHD: Th.S Nguyễn Minh Nhật SVTH: Võ Tiến Thành – K13TMT Khoa CNTT – ĐH Duy Tân Tìm hiểu công nghệ ảo hóa WS Hyper-V 2008 2.5 CÁC CHỨC NĂNG CỦA HYPER-V 21 2.5.1 Windows Server 2008 Server Core 21 2.5.2 Kiểm soát truy cập sử dụng Authorization Manager 22 2.5.3 Windows Failover Clustering 23 2.5.4 Quick Magration & Intergation Services 23 2.5.5 Import, Export Snapshot 24 2.5.6 Virtual Hard Disk 25 2.5.7 Live Migratrion of Virtual Machine 26 2.5.8 Enhanced Harware Virtualization Features 26 2.5.9 Các củng cố network 27 2.5.10 Power Management Enhancements & Remote Desktop Connection Broker 28 2.5.11 Virtual Machine Hardware Environment 28 2.5.12 Đĩa cứng ảo 30 2.5.13 Virtual Networks 31 2.5.14 Adapter mạng ảo 33 2.5.15 Virtual Machine Connection Application 34 2.5.16 Quản lý cấu hình cài đặt Hyper-V 35 2.5.17 Quản lý cấu hình máy ảo 36 2.6 KẾT LUẬN 38 CHƯƠNG III 40 BẢO MẬT TRONG HYPER-V 40 3.1 BẢO MẬT BẰNG AUTHORIZATION MANAGER 40 3.2 CẤU HÌNH MẶC ĐỊNH CỦA HYPER-V VÀ VIỆC BẢO MẬT FILE , THƯ MỤC 41 3.3 BẢO MẬT TRUY CẬP MÁY ẢO SỬ DỤNG DACL 45 TÀI LIỆU THAM KHẢO 47 1.TÀI LIỆU TIẾNG ANH 47 2.TÀI LIỆU INTERNET 47 NHẬN XÉT CỦA GIẢNG VIÊN PHẢN BIỆN 48 GVHD: Th.S Nguyễn Minh Nhật SVTH: Võ Tiến Thành – K13TMT Khoa CNTT – ĐH Duy Tân GVHD: Th.S Nguyễn Minh Nhật Tìm hiểu công nghệ ảo hóa WS Hyper-V 2008 SVTH: Võ Tiến Thành – K13TMT Khoa CNTT – ĐH Duy Tân Tìm hiểu công nghệ ảo hóa WS Hyper-V 2008 LỜI MỞ ĐẦU Ngày nay, vi xử lý ngày phát triển mạnh mẽ tăng theo định luật Moore với tốc độ chóng mặt, dung lượng nhớ RAM lên đến hàng trăm GB máy chủ trở nên thừa thãi không hiệu việc sử dụng hết lực xử lý Sự gia tăng ngày lớn dịch vụ cung cấp, kèm với hiệu suất, tính sẵn sàng máy chủ vấn đề chi phí đầu tư Và việc tìm câu trả lời cho việc “ để hệ thống hoạt động tối ưu hóa đảm bảo tính thông suốt liên tục hòa hợp với vấn đề kinh tế” toán vô khó khăn Tuy nhiên, ngày có nhiều câu trả lời cho toán dường nan giải Một giải pháp bật tiên tiến “ ảo hóa máy chủ” Khi ảo hóa máy chủ, công ty, tổ chức tiết kiệm chi phí phần cứng lẫn phần mềm Không vậy, “ảo hóa máy chủ” cách thức để tạo môi trường hoàn hảo cho việc kiểm thử phần mềm, xây dựng hệ thống ảo để kiểm nghiệm tính đắn giải pháp công nghệ Ngoài ra, “ảo hóa máy chủ” tạo tảng việc xây dựng hệ thống điện toán đám Với lợi ích thiết thực trên, cộng với cho phép thầy Nguyễn Minh Nhật khoa Công Nghệ Thông Tin - Đại Học Duy Tân, em chọn đề tài đồ án chuyên ngành là: “ Tìm hiểu công nghệ ảo hóa Windows Server Hyper-V 2008” Em xin gởi lời cám ơn đến thầy cô khoa Công Nghệ Thông Tin dìu dắt truyền đạt cho em kiến thức quý báu, đặt biệt thầy Nguyễn Minh Nhật Người hướng dẫn, bảo, nhận xét định hướng cho em ngày thực đồ án Đà Nẵng, ngày 22 tháng 11 năm 2010 Sinh viên thực Võ Tiến Thành GVHD: Th.S Nguyễn Minh Nhật SVTH: Võ Tiến Thành – K13TMT Khoa CNTT – ĐH Duy Tân Tìm hiểu công nghệ ảo hóa WS Hyper-V 2008 PHẦN MỞ ĐẦU 1.MỤC TIÊU ĐỀ TÀI Khái niệm, phân loại, kiến thức tổng quan ảo hóa Các dạng ảo hóa môi trường Windows Kiến trúc công nghệ Hyper-V chức Bảo mật Hyper-V 2.PHẠM VI ĐỀ TÀI Nghiên cứu cách thức ảo hóa môi trường Windows Server Hyper-V 2008 Tìm hiểu phương pháp gia tăng bảo mật cho Hyper-V 3.PHƯƠNG PHÁP NGHIÊN CỨU Đọc hiểu kỹ yêu cầu đồ án đặt Chú ý trình bày yêu cầu cách đầy đủ Lắng nghe tiếp thu bảo giảng viên hướng dẫn GVHD: Th.S Nguyễn Minh Nhật SVTH: Võ Tiến Thành – K13TMT Khoa CNTT – ĐH Duy Tân Tìm hiểu công nghệ ảo hóa WS Hyper-V 2008 CHƯƠNG I TỔNG QUAN VỀ CÔNG NGHỆ ẢO HÓA 1.1 KHÁI NIỆM Ảo hóa gì? Ảo hóa công nghệ thiết kế để tạo tầng trung gian hệ thống phần cứng máy tính phần mềm chạy Bằng cách đưa khái niệm logic tài nguyên máy tính khái niệm vật lí, giải pháp ảo hóa thực nhiều việc có ích Về bản, chúng cho phép đánh lừa hệ điều hành nhóm máy chủ nguồn tài nguyên đơn lẻ Và giải pháp ảo hóa cho phép chạy nhiều hệ điều hành lúc máy tính 1.2 NGUYÊN NHÂN XUẤT HIỆN ẢO HÓA Ảo hóa có nguồn gốc từ việc phân chia ổ đĩa, chúng phân chia máy chủ thực thành nhiều máy chủ logic Một máy chủ thực chia, máy chủ logic chạy hệ điều hành ứng dụng độc lập Vào năm 1990, ảo hóa chủ yếu sử dụng để tái tạo lại môi trường người dùng trực tiếp phần phần cứng máy lớn Nếu nhà quản trị công nghệ thông tin (CNTT) muốn chạy phần mềm lại muốn xem hoạt động máy chạy hệ điều hành Windows NT Linux, cần đến công nghệ ảo hóa để tạo môi trường người dùng khác Nhưng với xuất cấu trúc x86 máy tính cá nhân giá rẻ, ảo hóa có vai trò mờ dần dường phổ biến phạm vi nhỏ máy tính lớn Rất công công nhận vai trò công ty dẫn đầu thị trường VMware trở lại ảo hóa x86 VMware phát triển máy tính ảo cho cấu trúc x86 vào năm 1990, đặt móng cho bùng nổ công nghệ ảo hóa GVHD: Th.S Nguyễn Minh Nhật SVTH: Võ Tiến Thành – K13TMT Khoa CNTT – ĐH Duy Tân Tìm hiểu công nghệ ảo hóa WS Hyper-V 2008 1.3 TẠI SAO PHẢI SỬ DỤNG CÔNG NGHỆ ẢO HÓA ? Tại lại cần ảo hóa? Ngày có nhiều nhà cung cấp dịch vụ tham gia vào thị trường nhà cung cấp phần mềm cho công ty biến ảo hóa thành phiên dòng sản phẩm họ Ảo hóa tiếp tục chứng tỏ lợi ích rõ ràng chúng ngày sử dụng nhiều Hợp máy chủ chắn tâm điểm thị trường Ảo hóa trở thành tảng biện pháp tiết kiệm chi phí mà công ty ưa chuộng Các chuyên gia phân tích cho biết khoảng 60 đến 80% phận CNTT theo đuổi dự án hợp máy chủ Vì dễ dàng nhận thấy cách giảm số lượng loại hình máy chủ hỗ trợ ứng dụng công ty họ tiết kiệm khoản chi phí đáng kể Bên cạnh đó, việc tiêu thụ lượng hơn, từ máy chủ hệ thống làm mát thiết bị, sử dụng tối đa nguồn tài nguyên máy tính có chưa sử dụng hiệu quả, tất giúp kéo dài tuổi thọ trung tâm liệu Và máy chủ nhỏ quản lí đơn giản Tuy nhiên, chuyên gia quan sát thị trường cho biết hầu hết công ty bắt đầu khám phá ảo hóa thông qua việc thử phát triển phần mềm Ảo hóa nhanh chóng phát triển từ thủ thuật chạy thêm hệ điều hành thành công cụ máy cho nhân viên phát triển phần mềm Ngày ứng dụng tạo cho hệ điều hành, ảo hóa cho phép nhân viên phát triển làm việc trạm máy để viết mã chương trình chạy nhiều môi trường làm việc khác có lẽ quan trọng để thử, kiểm tra mã Nói chung, môi trường ảo nên nơi lí tưởng để thử nghiệm Một phát triển phần mềm thành công ổ cứng máy chủ trở thành ổ lưu trữ vô tận tài nguyên máy tính, bước hợp ổ lưu trữ mạng Các GVHD: Th.S Nguyễn Minh Nhật SVTH: Võ Tiến Thành – K13TMT Khoa CNTT – ĐH Duy Tân Tìm hiểu công nghệ ảo hóa WS Hyper-V 2008 đặc tính khả khác ảo hóa bao gồm: tính sẵn có cao, khả khôi phục sau thảm họa, cân tải làm việc Ảo hóa giúp ích công việc nào? Bên cạnh tiềm tiết kiệm chi phí đáng kể, ảo hóa nâng cao tốc độ xử lí công việc Các công ty có sử dụng hợp nhóm, chia ổ, quản lí tải làm việc kĩ thuật ảo hóa khác để định cấu hình nhóm máy chủ vào ổ lưu trữ tài nguyên tái sử dụng dễ dàng để đáp ứng nhu cầu thay đổi vị trí công việc tài nguyên Và công nghệ tạo khả thay đổi cách nhà quản lí CNTT suy nghĩ tài nguyên máy tính Khi việc quản lí máy riêng lẻ trở nên dễ dàng hơn, trọng tâm CNTT chuyển từ công nghệ sang dịch vụ mà công nghệ mang lại 1.4 PHÂN LOẠI Có ba kiểu ảo hóa bản: - ảo hóa lưu trữ gộp ổ lưu trữ thực từ nhiều thiết bị lưu trữ mạng để chúng xuất ổ lưu trữ - ảo hóa mạng kết hợp tài nguyên máy tính mạng cách phân đôi dải thông thành kênh độc lập mà gán cho máy chủ hay thiết bị cụ thể thời gian thực - ảo hóa máy chủ ẩn thuộc tính vật lý tài nguyên máy chủ, bao gồm số nhận dạng máy chủ cá nhân, xử lí hệ điều hành từ phần mềm chạy chúng Kiểu cuối khác, ứng dụng công nghệ phổ biến coi sản phẩm thị trường Khi người dùng thuật ngữ “ảo hóa” (virtualization) nghĩa họ chắn nói đến ảo hóa máy chủ 1.5 THÁCH THỨC VÀ GIẢI PHÁP Những thách thức hữu ảo hóa? Công nghệ thay đổi cách quản lí, điều hành hoạt động trung tâm liệu Tuy nhiên, ảo hóa phá vỡ GVHD: Th.S Nguyễn Minh Nhật SVTH: Võ Tiến Thành – K13TMT Khoa CNTT – ĐH Duy Tân Tìm hiểu công nghệ ảo hóa WS Hyper-V 2008 kết hợp truyền thống phần cứng phần mềm Việc tách biết tạo khả có mâu thuẫn hoạt động Ví dụ, vài ứng dụng có tiểu sử hoạt động tuần hoàn Hai ứng dụng không tương thích chạy máy gây chồng chéo làm chậm hệ thống Vậy giải pháp gì? Trong từ: quản lí Công nghệ ảo hóa mà phân tách ứng dụng với phần cứng sở cách tốt Các công ty cung cấp dịch vụ phần mềm lớn (ví dụ Microsoft, Sun Microsystems, BEA Systems, HewlettPackard, BMC CA) gộp vào gói sản phẩm họ nhà cung cấp dịch vụ ảo hóa độc lập lại bỏ Điểm khác khả cung cấp công cụ quản lí, điều hành tối ưu hóa việc định phần tài nguyên ảo họ Hãy tìm kiếm giải pháp cung cấp công cụ dễ sử dụng cho việc thu thập số liệu áp dụng sách linh động để phân bổ tốt tài nguyên vật lí người sử dụng ảo tài nguyên Ảo hóa với việc giảm yêu cầu vật lí trung tâm liệu làm tăng mức độ phức tạp cách quản lí máy chủ Vì tìm kiếm giải pháp cung cấp biện pháp quản lí hệ thống đa cho máy chủ thực ảo GVHD: Th.S Nguyễn Minh Nhật 10 SVTH: Võ Tiến Thành – K13TMT Khoa CNTT – ĐH Duy Tân Tìm hiểu công nghệ ảo hóa WS Hyper-V 2008 thực thông qua VMBus tốc độ cao đến phân chia mẹ Để dùng adapter mạng synthetic, hệ điều hành guest máy ảo phải hỗ trợ cài đặt Integration Services Các máy ảo hỗ trợ tối đa adapter mạng ảo legacy adapter mạng ảo synthetic Chỉ có adapter mạng legacy hỗ trợ giao thức Pre-boot Execution Environment (PXE), cho phép máy ảo qui định sử dụng công cụ triển khai image chuẩn Windows Deployment Services (WDS) hay ứng dụng bên thứ ba Là trường hợp adapter mạng synthetic load sau máy ảo boot Khi adapter mạng legacy add vào máy ảo, xác định mạng ảo để kết nối hay để nguyên máy ảo không kết nối từ mạng ảo Hyper-V cung cấp địa kiểm soát truy cập media dynamic(MAC) đến adapter mạng ảo từ nhóm địa IP có sẵn Nó cung cấp adapter mạng ảo với địa MAC tĩnh cấu hình tay Với Hyper-V, hai dạng adapter cung cấp hỗ trợ cho nhận diện LAN ảo (VLAN) Chú ý: Mặc dù adapter mạng ảo Multiport DEC 21140 xác định giao diện Ethernet 10/100 megabit, hạn chế bandwidth áp dụng cho cho tải làm việc máy ảo Nếu adapter mạng vật lý nằm bên đạt đến mức hoạt động mạng cao (tốc độ gigabit chẳng hạn), tải làm việc máy ảo có khả tăng lên 100-megabit 2.5.15 Virtual Machine Connection Application Chúng ta truy cập từ xa máy ảo sử dụng ứng dụng Virtual Machine Connection (VMC) gán Hyper-V Manager Như hình 22, để launch VMC kết nối đến máy ảo, đôi chuột vào thumbnail cuối pane Hyper-V Manager hay chuột phải vào tên máy ảo chọn mục Connect từ menu phím tắt Về VMC frame session desktop từ xa Hyper-V xác định GUI cho phép kết nối đến máy ảo cho mục đích quản trị hay thuộc chức Một ví dụ VMC hình 23 VMC GUI cung cấp nhiều tính sẵn có Hyper-V Manager để quản lý máy ảo Nó cung cấp hoạt động để GVHD: Th.S Nguyễn Minh Nhật 34 SVTH: Võ Tiến Thành – K13TMT Khoa CNTT – ĐH Duy Tân Tìm hiểu công nghệ ảo hóa WS Hyper-V 2008 thay đổi tình trạng máy ảo (như Start, Turn Off, Save ), cài đặt truy cập máy ảo, quản lý snapshot, quản lý binding DVD ảo drive đĩa mềm đến media khác nhau, cung cấp mục để cài đặt Integration Services Hình Kết nối đến máy ảo dùng VMC Hyper-V Manager 2.5.16 Quản lý cấu hình cài đặt Hyper-V Hyper-V Manager cung cấp khả cấu hình cài đặt Hyper-V Hình 24 box Hyper-V Settings hiển thị chọn mục Hyper-V Settings panel menu Actions Có hai nhóm cài đặt Hyper-V mà thay đổi: Server User Các cài đặt Server cho phép xác định vị trí folder mặc định để lưu giữ file đĩa cứng ảo file cấu hình máy ảo Các cài đặt User cung cấp vài mục Thành phần Keyboard cho phép set tập trung kết hợp Windows đến server vật lý hay máy ảo Mouse Release Key cung cấp cách để set kết hợp để dùng Integration Services không GVHD: Th.S Nguyễn Minh Nhật 35 SVTH: Võ Tiến Thành – K13TMT Khoa CNTT – ĐH Duy Tân Tìm hiểu công nghệ ảo hóa WS Hyper-V 2008 cài đặt hay hỗ trợ điều hành guest User Credentials cho phép xác định có để Virtual Machine Connection tự động dùng credentials mặc định để kết nối đến mọt máy ảo chạy không Cuối cùng, chức Reset Check Boxes cho phép restore cài đặt mặc định cho tin nhắn confirm Hyper-V trang wizard giấu cách chọn checkbox xác định 2.5.17 Quản lý cấu hình máy ảo Như hình 10, chuột phải vào máy ảo chọn Settings từ mục menu để truy cập cài đặt máy ảo Hyper-V Manager Hình 10 Mục thiết lập cấu hình máy ảo Hình 11 ví dụ box cài đặt máy ảo Các cài đặt phần cứng quản lý máy ảo hiển thị panel bên trái, chia thành phần GVHD: Th.S Nguyễn Minh Nhật 36 SVTH: Võ Tiến Thành – K13TMT Khoa CNTT – ĐH Duy Tân Tìm hiểu công nghệ ảo hóa WS Hyper-V 2008 Panel phải hiển thị mục có sẵn cho thành phần phần cứng quản lý máy ảo Hình 11 Ví dụ box đặt máy ảo Bảng cung cấp danh sách mục cấu hình phần cứng máy ảo mô tả thay đổi tương ứng với thành phần Bảng Danh sách mục cấu hình phần cứng máy ảo Configuration Option Desciption Add hardware Allow the addition of synthetic SCSI controllers, synthetic network adapters, and legacy (emulated) network adapters to a virtual machine BIOS Allow the configuration of the Numlock State (on or off), and the startup order of the services (CD, IDE, legacy network adapter, floppy) at boot time Memory Allows the specification of the virtual machine memory allocation Processor Allows the specification of the virtual machine logical processor allocation, resource control, and processor GVHD: Th.S Nguyễn Minh Nhật 37 SVTH: Võ Tiến Thành – K13TMT Khoa CNTT – ĐH Duy Tân Tìm hiểu công nghệ ảo hóa WS Hyper-V 2008 functionality IDE Controller Allows the addition of virtual hard drives or DVD drives attached to the virtual machine through IDE controller Hard Drive Allow the configuration of which virtual IDE or SCSI controller a hard drive is connected to and the position (location) where it is connected Also privides access to the virtual hard drive management tools (compact, convert, expand, and so on), and allows the configuration of passthrough disks Finally, allows removal of hard drives from the virtual machine IDE controller Allows the addition of virtual hard drives or DVD drives attached to the virtual machine trought IDE controller CD/DVD Allows IDE-based CD/DVD drives to be attached to the virtual machine The CD or DVD can be in the form of an ISO image or physical CD/DVD drive installed on the host In addition, allows removal of CD/DVD frives from the virtual machine 2.6 KẾT LUẬN Hyper-V cung cấp nhiều chức năng, kể các máy ảo expose môi trường phần cứng ảo đến hệ điều hành guest chúng ứng dụng Làm quen với môi trường ảo hoá phần cứng model thiết bị tổng hợp Hyper-V quan trọng để đưa định xác liên quan đến tải làm việc vật lý triển khai lại cách thành công máy ảo Tạo, kiểm tra cấu hình thành phần máy ảo, kể đĩa cứng ảo mạng ảo, thực thông qua Hyper-V Manager Chúng ta dùng Hyper-V Manager để cấu hình Hyper-V Settings Dùng ứng dụng Virtual Machine Connection từ Hyper-V (hay ứng dụng độc lập) để truy cập điều khiển máy ảo từ xa từ lúc chúng active Nếu thấy trước hay triển khai quan trọng server GVHD: Th.S Nguyễn Minh Nhật 38 SVTH: Võ Tiến Thành – K13TMT Khoa CNTT – ĐH Duy Tân Tìm hiểu công nghệ ảo hóa WS Hyper-V 2008 Hyper-V máy ảo, nâng cấp WMI API để kiểm tra cách tự động triển khai, quản trị cấu hình server Hyper-V máy ảo, hay sử dụng System Center GVHD: Th.S Nguyễn Minh Nhật 39 SVTH: Võ Tiến Thành – K13TMT Khoa CNTT – ĐH Duy Tân Tìm hiểu công nghệ ảo hóa WS Hyper-V 2008 CHƯƠNG III BẢO MẬT TRONG HYPER-V 3.1 BẢO MẬT BẰNG AUTHORIZATION MANAGER Nếu muốn triển khai Hyper-V máy ảo, yêu cầu cần phải có bảo đảm cho môi trường an toàn Sau cách cấu hình bảo mật Hyper-V cách sử dụng Authorization Manager Authorization Manager bảo đảm an toàn cho tài nguyên Hyper-V sử dụng Authorization Manager để bảo vệ an toàn cho máy ảo Nhiệm vụ mà quản trị viên CNTT cần phải thực cung cấp an toàn cho sở hạ tầng máy chủ trước thực thi thực môi trường sản xuất Hyper-V số Có nhiều quản trị viên CNTT cách thực thi môi trường Hyper-V an toàn Điều lỗi từ phía quản trị viên mà Hyper-V giới ảo hóa Hay nói cách khác, so với VMware Hyper-V có tuổi đời nhiều Công nghệ có chứa nhiều điểm khác biệt so với đối thủ cạnh tranh Cho ví dụ, VMware sử dụng kiến trúc Monolithic VMM, Hyper-V sử dụng kiến trúc Microkernelized VMM Sự khác biệt nằm kiến trúc bảo mật Hyper-V công cụ kèm để sử dụng cho việc bảo vệ máy ảo mà thay vào đó, sử dụng thành phần Windows có tên Authorization Manager giúp bảo mật cho máy ảo Hyper-V Authorization Manager thành phần có Windows Server 2008 kích hoạt mặc định Vấn đề bảo mật có liên quan đến tất khía cạnh Cho ví dụ, bảo mật hệ điều hành có liên quan đến bảo mật file hệ điều hành (chẳng hạn file DLL OCX) Tương tự vậy, với Hyper-V, nên biết cần bảo mật muốn bảo mật Hyper-V máy ảo (ví muốn bảo mật máy ảo hay toàn môi trường Hyper-V) GVHD: Th.S Nguyễn Minh Nhật 40 SVTH: Võ Tiến Thành – K13TMT Khoa CNTT – ĐH Duy Tân Tìm hiểu công nghệ ảo hóa WS Hyper-V 2008 Tuy nhiên việc bảo mật máy ảo không liên quan nhiều đến việc quản trị Chúng ta cần biết cách sử dụng Authorization Manager thực số nhiệm vụ bảo mật Để bảo mật cho toàn môi trường Hyper-V, phải biết thứ Hyper-V, cần phải biết nơi Hyper-V copy tất file nó, tất cổng mở cho dịch vụ chạy Hyper-V cấu hình mặc định Hyper-V 3.2 CẤU HÌNH MẶC ĐỊNH CỦA HYPER-V VÀ VIỆC BẢO MẬT FILE , THƯ MỤC Các quản trị viên cần phải biết cấu hình mặc định Hyper-V Đầu tiên, đề cập đến việc bảo mật thư mục mà có chứa máy ảo VHD file cấu hình (XML) Khi kích hoạt Hyper-V role Windows Server 2008 lần đầu, chương trình tạo vài thư mục copy nhiều file Ở cần phải biết location mặc định cho việc lưu máy ảo file cấu hình trước bắt tay vào thực bảo mật cho Hyper-V %SystemRoot%ProgramDataMicrosoftWindowsHyper-VVirtual Machines %SystemRoot%ProgramDataMicrosoftWindowsHyper-VVirtual Hard Disks %SystemRoot%ProgramDataMicrosoftWindowsHyper-VSnapshots Mặc định, Hyper-V sử dụng thư mục để lưu file cấu hình máy ảo VHD snapshot có liên quan đến máy ảo Chúng ta phải thay đổi location mặc định trước chuyển Hyper-V sang môi trường sản xuất Cách tốt nên thay đổi location mặc định cho việc lưu VHD, XML file Snapshot vào SAN drive Khi cài đặt Hyper-V Role, nhóm bảo mật đặc biệt mang tên "Virtual Machines" tạo Nhóm bảo mật gồm có GUID tất máy ảo đăng ký với Hyper-V Server, có quyền truy cập vào thư mục %SystemRoot%ProgramDataMicrosoftWindowsHyper-VVirtual Machines GVHD: Th.S Nguyễn Minh Nhật 41 SVTH: Võ Tiến Thành – K13TMT Khoa CNTT – ĐH Duy Tân Tìm hiểu công nghệ ảo hóa WS Hyper-V 2008 Đây thư mục lưu file cấu hình (XML Files) máy ảo Nếu nhóm bảo mật (Security Group) bị xóa tab Security thư mục máy ảo truy cập vào máy ảo chạy Hyper-V Quá trình VMMS.EXE chịu trách nhiệm quản lý truy cập cho tất máy ảo, sử dụng nhóm bảo mật "Virtual Machines" để tăng truy cập vào máy ảo Hyper-V Server Mặc định, đặc quyền bảo mật thư mục Hyper-V Virtual Machines thể đây: Hình 13 Cấu hình bảo mật mặc định thư mục Virtual Machines Tối thiểu, cần giữ nhóm bảo mật đề cập bên property thư mục Hyper-V Virtual Machines: GVHD: Th.S Nguyễn Minh Nhật 42 SVTH: Võ Tiến Thành – K13TMT Khoa CNTT – ĐH Duy Tân Tìm hiểu công nghệ ảo hóa WS Hyper-V 2008 SYSTEM Account -Full Control Administrators -Full Control Virtual Machines -Special Permissions Mặc định, Hyper-V không cho phép truy cập máy ảo ngoại trừ SYSTEM Account Local Administrators Account Điều hoàn toàn rõ ràng hình Local Administrators Security Group bổ sung vào kho lưu trữ sách Authorization Manager trao quyền kiểm soát toàn Hyper-V, gồm có máy ảo chạy Các thiết lập bảo mật tương tự, thể hình trên, sử dụng cho thư mục Hyper-Vsnapshots Chú ý: Nếu muốn không cho người dùng quản trị viên tạo máy ảo Hyper-V Server, remove nhóm bảo mật đặc biệt "Virtual Machines" khỏi thư mục: Hyper-V Virtual Machines Thư mục cần bảo mật HyperV Hyper-V Virtual Hard Disks Việc bảo mật thư mục có ý nghĩa quan trọng so với thư mục có chứa file XML Hyper-V hỗ trợ máy ảo định dạng VHD Các định dạng VHD sử dụng với phiên trước phần mềm ảo hóa Người dùng không thẩm định truy cập vào file VHD copy file VHD sử dụng với Virtual Server Virtual PC Các thiết lập mặc định thư mục VHDs GVHD: Th.S Nguyễn Minh Nhật 43 SVTH: Võ Tiến Thành – K13TMT Khoa CNTT – ĐH Duy Tân Tìm hiểu công nghệ ảo hóa WS Hyper-V 2008 Hình 13 Cấu hình bảo mật mặc định cho thư mục VHDs Để thắt chặt vấn đề bảo mật cho thư mục có chứa VHD, remove nhóm bảo mật Users thêm kích hoạt Hyper-V Role ban đầu Tối thiểu, nên giữ nhóm bảo mật tab Security: SYSTEM - Full Control Administrators - Full Control Authenticated Users - Read & Execute GVHD: Th.S Nguyễn Minh Nhật 44 SVTH: Võ Tiến Thành – K13TMT Khoa CNTT – ĐH Duy Tân Tìm hiểu công nghệ ảo hóa WS Hyper-V 2008 3.3 BẢO MẬT TRUY CẬP MÁY ẢO SỬ DỤNG DACL Authorization Manager, thành phần giới thiệu phần sau, công cụ cho việc bảo mật truy cập máy ảo Tuy nhiên cấu hình DACL thư mục máy ảo để bảo mật cho máy ảo chạy Hyper-V Cách thức bảo mật thực cách sử dụng đặc quyền NTFS Hình 14 Bảo mật truy cập máy ảo sử dụng DACL Như thấy hình trên, tổ chức thể có hai nhóm: nhóm phát triển nhóm Test Hai nhóm bảo mật tạo cho đội - Dev GVHD: Th.S Nguyễn Minh Nhật 45 SVTH: Võ Tiến Thành – K13TMT Khoa CNTT – ĐH Duy Tân Tìm hiểu công nghệ ảo hóa WS Hyper-V 2008 Team Test Team Nhóm phát triển Development chịu trách nhiệm viết mã, sau chuyển giao chúng cho nhóm Test để thực kiểm tra Nhóm phát triển phải truy cập tất 10 máy ảo (lấy ví dụ) Tại thời điểm đó, phải bảo đảm cho nhóm Test không truy cập đến máy ảo họ, ngoại trừ TVM1 đến TVM5 Để thực điều đó, gán đặc quyền NTFS thư mục máy ảo Trong ví dụ này, có ba thư mục máy ảo: X:Virtual Machines X:Virtual MachinesDevelopmentTeamVirtualMachines X:Virtual MachinesTestTeamVirtualMachines Nhóm phát triển gán đặc quyền kiểm soát toàn thư mục 3, nhóm Test gán đặc quyền toàn thư mục Đôi nhóm Test chí đặc quyền đọc thư mục GVHD: Th.S Nguyễn Minh Nhật 46 SVTH: Võ Tiến Thành – K13TMT Khoa CNTT – ĐH Duy Tân Tìm hiểu công nghệ ảo hóa WS Hyper-V 2008 TÀI LIỆU THAM KHẢO 1.TÀI LIỆU TIẾNG ANH [1] Chris Wolf Erick M.Halter, Virtualization: From the Desktop to the Enterprise, Apress, 2005 [2] Microsoft Corporation, Windows Server Virtualization – An overview, 2006 [3] Mitch Tullock, Understanding Microsoft Virtualization Solution – From the Desktop to the Datacenter, Microsoft Virtualization Team, 2009 [4] Jason Kappel, Toby J Velte, Anthony T Velte, Microsoft Virtualization with Hyper-V, Mc Graw Hill, 2009 [5] John Kelbley, Mike Sterling, Allen Steward, Windows Server 2008 Hyper-V – Insider’s Guide to Microsoft’s Hypervisor, Wiley Publishing, 2009 2.TÀI LIỆU INTERNET [1] http://technetvietnam.net/blogs/hoangho/archiver/2010/01/20/hyper-v.aspx [2] http://www.pcworld.com.vn/pcworld/printArticle.asp?atcl_id=5f5e5d5d5d5c58 [3] http://www.quantrimang.com.vn/baomat/bao-mat/giai-phap-bao-mat/63308_Cauhinh-bao-mat-Hyper-V-bang-Authorization-Manager.aspx [4] http://www.quantrimang.com.vn/hethong/lan-wan/68985_Mang-ao-trongMicrosoft-Hyper-V.aspx [5] http://www.quantrimang.com.vn/baomat/bao-mat/giai-phap-bao-mat/63308_Cauhinh-bao-mat-Hyper-V-bang-Authorization-Manager.aspx [6] http://www.microsoft.com/virtualization/default.mspx [7].http://microsoftelearning.com/eLearning/courseDetail.aspx?courceId=95556&offe rPriceId=225031%tab GVHD: Th.S Nguyễn Minh Nhật 47 SVTH: Võ Tiến Thành – K13TMT Khoa CNTT – ĐH Duy Tân Tìm hiểu công nghệ ảo hóa WS Hyper-V 2008 NHẬN XÉT CỦA GIẢNG VIÊN PHẢN BIỆN GVHD: Th.S Nguyễn Minh Nhật 48 SVTH: Võ Tiến Thành – K13TMT [...]...Khoa CNTT – ĐH Duy Tân Tìm hiểu công nghệ ảo hóa trong WS Hyper-V 2008 CHƯƠNG II CÔNG NGHỆ ẢO HÓA TRONG WINDOWS HYPER-V SERVER 2008 2.1 CÁC DẠNG ẢO HÓA TRÊN NỀN TẢNG WINDOWS 2.1.1 VMM Type 1 – Hypervisor Dạng căn bản nhất là VMM Type 1 hoặc còn gọi là công nghệ hypervisor Hypervisor là một lớp phần mềm nằm ngay trên phần cứng hoặc bên dưới một hoặc... giữa lớp hypervisor và các VM GVHD: Th.S Nguyễn Minh Nhật 16 SVTH: Võ Tiến Thành – K13TMT Khoa CNTT – ĐH Duy Tân Tìm hiểu công nghệ ảo hóa trong WS Hyper-V 2008 VM 1(ROOT) VIRTUAL STACK VM2 (GUEST) DRIVERS HYPERVISOR HARDWARE Hình 5 Kiến trúc Microkernelized Hypervisor GVHD: Th.S Nguyễn Minh Nhật 17 SVTH: Võ Tiến Thành – K13TMT Khoa CNTT – ĐH Duy Tân Tìm hiểu công nghệ ảo hóa trong WS Hyper-V 2008 2.2... Tân Tìm hiểu công nghệ ảo hóa trong WS Hyper-V 2008 2.1.4 Monolithic Hypervisor Bao gồm trình điều khiển phần cứng trong hypervisor Ví dụ về mololithic hypervisor là VMware ESX Server Trong mô hình monolithic, hypervisor có những driver riêng của nó để truy cập phần cứng bên dưới Các OS guest (VMM) khi truy cập phần cứng thì sẽ thông qua hypervisor và mô hình driver của hypervisor Mô hình monolithic hypervisor... Server Administration Tools (RSAT) để quản lý cài đặt Server Core từ các phiên bản 32-bit và 64-bit của Windows Vista GVHD: Th.S Nguyễn Minh Nhật 21 SVTH: Võ Tiến Thành – K13TMT Khoa CNTT – ĐH Duy Tân Tìm hiểu công nghệ ảo hóa trong WS Hyper-V 2008 Business với Service Pack 1 (SP1), Windows Vista Enterprise với SP1, và Windows Vista Ultimate với SP1 Microsoft Hyper-V Server 2008 có dòng lệnh, một công. .. export trong Hyper-V dùng để di chuyển và copy các máy ảo giữa các server Hyper-V Những chức năng này không cung cấp một giải pháp để import hay export các máy ảo giữa những ứng ụng ảo hoá khác như Virtual Server GVHD: Th.S Nguyễn Minh Nhật 24 SVTH: Võ Tiến Thành – K13TMT Khoa CNTT – ĐH Duy Tân Tìm hiểu công nghệ ảo hóa trong WS Hyper-V 2008 2005 R2 Thêm nữa, chúng ta chỉ có thể export chỉ một máy ảo trong. .. CNTT – ĐH Duy Tân Tìm hiểu công nghệ ảo hóa trong WS Hyper-V 2008 2.5.7 Live Migratrion of Virtual Machine Windows Server 2008 cung cấp Quick Migration để di chuyển VM giữa các host trong một cluster với ít sự gián đoạn dịch vụ nhất Tuy nhiên, khả năng này yêu cầu pause máy ảo ngay khi tình trạng save được di chuyển từ nguồn đến node đích Một máy ảo trong tình trạng save sẽ không chạy trong suốt giai... Nhật 30 SVTH: Võ Tiến Thành – K13TMT Khoa CNTT – ĐH Duy Tân Tìm hiểu công nghệ ảo hóa trong WS Hyper-V 2008 Trong một máy ảo, một đĩa cứng ảo được đại diện như là một đĩa cứng vật lý Trên một đĩa cứng vật lý server Hyper-V, một đĩa cứng ảo được lưu giữ thành một file với đuôi là vhd Các máy ảo kết nối đến một đĩa cứng ảo thông qua adapter ảo hoá Integrated Drive Electronics (IDE) ha Small Computer... switch mạng ảo mới Tuy nhiên, switch mạng ảo mới không được kết nối đến bất kì NIC vật lý nào được cài đặt trên server Hyper-V Khi một máy ảo được kết nối đến mạng ảo internal, một cổng mạng mới sẽ được add vào switch mạng ảo GVHD: Th.S Nguyễn Minh Nhật 32 SVTH: Võ Tiến Thành – K13TMT Khoa CNTT – ĐH Duy Tân Tìm hiểu công nghệ ảo hóa trong WS Hyper-V 2008 Mạng ảo private cho phép nhiều máy ảo được giao... Microsoft Virtual Server, Vmware Server và Microsoft Virtual PC GVHD: Th.S Nguyễn Minh Nhật 13 SVTH: Võ Tiến Thành – K13TMT Khoa CNTT – ĐH Duy Tân Tìm hiểu công nghệ ảo hóa trong WS Hyper-V 2008 2.1.3 Hybrid VM 1 VM 2 HOST OS VMM HARDWARE Hình 3 Kiến trúc Hybrid Kiến trúc ảo hóa mới hơn là Hybrid , trong đó các máy chủ ảo (VMM), chạy song song với hệ điều hành máy chủ (OS) Tuy nhiên trong cấu hình này... đặt Windows Server 2008 Server Core là một cửa sổ nhắc lệnh, vì nó không cài đặt giao diện người dùng đồ hoạ shell Explorer (GUI) Do đó, chúng ta phải lệ thuộc vào các mục dòng lệnh để kích hoạt role Hyper-V trong một cài đặt Server Core Tuy nhiên, một cài đặt Windows Server 2008 Server Core có thể quản lý từ xa sử dụng các công cụ MMC chuẩn từ một server có cài đặt đầy đủ của Windows Server 2008 Chúng ... CNTT – ĐH Duy Tân Tìm hiểu công nghệ ảo hóa WS Hyper-V 2008 CHƯƠNG II CÔNG NGHỆ ẢO HÓA TRONG WINDOWS HYPER-V SERVER 2008 2.1 CÁC DẠNG ẢO HÓA TRÊN NỀN TẢNG WINDOWS 2.1.1 VMM Type – Hypervisor Dạng... Tìm hiểu công nghệ ảo hóa WS Hyper-V 2008 PHẦN MỞ ĐẦU 1.MỤC TIÊU ĐỀ TÀI Khái niệm, phân loại, kiến thức tổng quan ảo hóa Các dạng ảo hóa môi trường Windows Kiến trúc công nghệ Hyper-V chức Bảo... Tân GVHD: Th.S Nguyễn Minh Nhật Tìm hiểu công nghệ ảo hóa WS Hyper-V 2008 SVTH: Võ Tiến Thành – K13TMT Khoa CNTT – ĐH Duy Tân Tìm hiểu công nghệ ảo hóa WS Hyper-V 2008 LỜI MỞ ĐẦU Ngày nay, vi xử