24 февраля 2009

Виртуализация: планы Red Hat

Компания Red Hat озвучила свои планы относительно будущего развития своих технологий виртуализации с открытым исходным кодом. Под брендом "Red Hat Enterprise Virtualization" будет доступен ряд продуктов для серверной виртуализации, виртуализации настольных ОС и отдельный гипервизор. Кроме того, технологии виртуализации все также будут поставляться как составная часть операционной системы Red Hat Enterprise Linux.

С подробностями вы можете ознакомиться по приведенной ссылке, а я лишь озвучу основные моменты, добавив некоторые комментарии.

В рамках Red Hat Enterprise Linux планируется миграция с гипервизора Xen на KVM. За счет унификации работы через libvirt для конечного заказчика данный процесс должен пройти безболезненно. Поддержка Xen будет осуществляться минимум до 2014 года. Нужно заметить. что KVM уже был доступен в Fedora 7, а в RHEL5 появится, начиная с версии 5.4, позже в этом году. RHEL6 будет изначально поставляться с KVM.

Red Hat Enterprise Virtualization Manager for Servers - решение для управления серверной виртуализацией. Данный продукт будет первым open source решением, позволяющим управлять как виртуальными серверами, так и рабочими станциями. Заявлен следующий функционал: "живая миграция" ВМ, высокая доступность (HA), системный планировщик для создания политик динамической балансировки ВМ, управление питанием (автоматическая консолидация и отключение не используемых серверных ресурсов), управление образами ВМ (быстрое развертывание на основе шаблонов), "мгновенные снимки" ВМ, инструменты развертывания, мониторинга и отчетов.


Red Hat Enterprise Virtualization Manager for Desktops - решение для управления виртуализацией рабочих мест (VDI), работающих как под управлением Linux, так и Windows. Можно смело сказать, что с покупкой Qumranet Red Hat серьезно настроена вернуться в бизнес десктопов. Решение базируется на продукте Qumranet SolidICE и использует технологию SPICE. SPICE - это высокопроизводительный сетевой протокол, предназначенный для работы в VDI-решениях, и призванный заменить медленные проприетарные протоколы, такие как ICA и RDP.

Red Hat Enterprise Virtualization Hypervisor (RHEV-H) - отдельно поcтавляемый гипервизор на основе ядра Linux и KVM. Гипервизор помещается в 128МБ ОЗУ и спроектирован как узел "без сохранения конфигурации" с централизованным удаленным управлением через API libvirt. Все настройки хранятся в БД на управляющем сервере. Поддерживается до 96 ядер и 1Тб ОЗУ. Виртуальные машины могут работать с 16 виртуальными ЦП и 64Гб ОЗУ. За основу взят проект oVirt, о котором я не раз писал в блоге ранее. Гипервизор, как и другие продукты Red Hat Enterprise Virtualization, обеспечивает уникальную, по сравнению с конкурентами, безопасность за счет использования SELinux, о чем, применительно к виртуализации (sVirt), я также уже писал. Хочу добавить, что буквально сегодня James Morris у себя в блоге привел ссылки на слайды и видео в формате ogg, Google Video записи выступления на LCA 2009, посвященной sVirt.

В заключение поста скажу, что Red Hat планирует сделать доступным все компоненты своего портфолио в срок от трех до восемнадцати месяцев. Конкретные даты должны появиться к середине года.

Citrix XenServer теперь бесплатно

Борьба за заказчика на рынке средств виртуализации идет весьма плотная, и обстановка на «полях сражений» меняется день ото дня. Вчера компания Citrix объявила, что новая версия платформы виртуализации Citrix® XenServer™ будет распространятся бесплатно. Скачать бесплатную версию ПО можно будет с сайта Citrix к концу следующего месяца. Также нужно отметить, что Citrix, традиционно работая в тесном партнерстве с Microsoft, предлагает решение для управления объединенными виртуальными ЦОД, построенными на технологиях Microsoft и Citrix - Citrix Essentials for XenServer and Hyper-V. Продукт Citrix Essentials, который в том числе поможет и Microsoft в продвижении своих технологий виртуализации, безусловно, не бесплатен.

Вероятно, следует ожидать ответного хода со стороны VMware. Тем более, что анонс сделан за один день до открытия конференции VMworld.

Ну, и в двух словах, про технологии XenServer: есть «живая миграция» (есть у Red Hat и VMware, пока нет у Microsoft); есть динамическая балансировка нагрузки (есть у VMWare, у Red Hat и Microsoft – вручную); как и у всех есть HA и централизованное управление, нет распределенной файловой системы (есть у Red Hat и VMware, пока нет у Microsoft), отсутствует ПО управления жизненным циклом (Software lifecycle management tools), которое есть у Microsoft, VMWare и Red Hat; нет динамического добавления ЦП и ОЗУ (есть у Red Hat).

Ссылки:
Персс-релиз.
Citrix Blog.

VMware vCenter Server 2.5 для Linux

Уже доступен, правда, пока что в статусе Technical Preview. В настоящий момент можно скачать в виде виртуальной машины, и для работы требуется платформа виртуализации от VMware, в которой эту виртуальную машину необходимо запускать. В качестве платформы может выступать ESX Server, VMware Player, VMware Server или VMware Workstation. В качестве СУБД используется Oracle (в традиционной версии для Windows у вас есть выбор между Oracle и MS SQL).

Для управления все также требуется VMware Infrastructure Client, установленный на клиентскую машину под управлением Windows.

В текущей версии Technical Preview не поддерживаются следующие компоненты: встроенная СУБД, поддержка LDAP (пока есть опциональная поддержка NIS), настройка виртуальной машины, поддержка Plug-in, VI Web Access. Также в настоящий момент не поддерживаются возможности VirtualCenter: мониторинг, события (Alarms), планировщик заданий, менеджер обновлений, карты топологии, SRM, конвертор.

В целом, Technical Preview - это и есть Technical Preview :) Когда VMware приблизит функционал Linux-версии к существующей версии под Windows, это, как минимум, позволит снизить стоимость решения за счет лицензии Windows Server и соответствующего числа CAL.

Инструкция по установке и ссылка для загрузки VMware vCenter Server 2.5 для Linux тут.

17 февраля 2009

Red Hat и Microsoft расширяют сотрудничество в области виртуализации

Microsoft и Red Hat подписали соглашения, в рамках которых компании будут обеспечивать тестирование, сертификацию и совместную техническую поддержку общих заказчиков, использующих технологии серверной виртуализации. Были подписаны два соглашения. По одному из них Red Hat присоединяется к программе Microsoft Server Virtualization Validation Program (SVVP), которая обеспечивает официальную поддержку Microsoft виртуальных машин, работающих в среде виртуализации Red Hat Enterprise, и второе соглашение, направленное на сертификацию гостевых машин Red Hat Enterprise Linux, работающих в Windows Server Hyper-V.
Важно отметить, что данные соглашения не касаются лицензирования, патентов или иных вопросов, связанных с интеллектуальной собственностью. Также речь не идет о каких-либо финансовых отчислениях, за исключением обычных расходов на сертификацию и тестирование ПО.
Ссылки:
Пресс релиз Red Hat.
FAQ и технические детали.
Анонс в блоге Mike Neil (General manager of virtualization at Microsoft)

15 февраля 2009

Скринкаст: oVirt - демонстрация интерфейса

Выложил свой «первый блин» в области «скринкастостроения», посвященный Open Source-реализации системы виртуализации oVirt. Видео записал еще неделю назад, но склеить два куска в один и наложить звук, руки дошли только сегодня. Для записи использовался Istanbul, а сам конечный продукт сознательно делался «быстро и грязно» с первого прогона. Целью данной работы я ставил, в первую очередь, оценку трудозатрат. Перед просмотром рекомендуется прочитать краткий рассказ о том, что же представляет собой данная система виртуализации.

Видео в формате flash и ogg доступно по этой ссылке: http://www.russianfedora.ru/ScreenCast_oVirt

Пара впечатлений о создании скринкаста. Говорить в пустой экран для меня оказалось несколько сложнее, чем перед живой аудиторией. Кроме того, думаю, что для начала нужно записывать звук, а потом уже его проигрывать и писать видео. Наоборот несколько сложнее. Плюс, возможно, стоит делать пару «прогонов» и выбирать окончательный вариант.

Спасибо Алексею Васюкову за помощь в размещении видео.

10 февраля 2009

Востребованность специалистов по различным платформам

В качестве эксперимента задал поиск по ключевым словам в вакансиях на hh.ru за месяц. В OO.o Calc это выглядит примерно так:Windows - Найдено 720 вакансий
Linux - Найдено 410 вакансий
Solaris - Найдено 60 вакансий
VMware - Найдено 33 вакансии
Регион: Россия
Профессиональная область: Информационные технологии/Интернет/Телеком
выводить: за месяц

Получается примерный расклад "известности" работодателям различных названий платформ, который должен коррелировать с востребованностью специалистов по соответствующим платформам.

09 февраля 2009

sVirt = Виртуализация + Мандатный контроль доступа

Продолжу рассказ про перспективные разработки в области виртуализации. Давайте рассмотрим отдельно стоящий сервер, к которому в силу тех или иных причин злоумышленник получил доступ с привилегиями администратора. Плохо? Безусловно. Теперь у злоумышленника "ключи" от всех выполняющихся на сервере служб. А теперь представьте, что в роли сервера у нас машина с гипервизором, в котором работает какое-то количество виртуальных машин. Ситуация хуже во много раз: "плохие парни" получают доступ сразу ко всем виртуальным машинам. Тем более, что опасность увеличивается, благодаря использованию в случае гостевых операционных систем локальных механизмов атаки. Оставим в стороне конкретные технологии и конкретных вендоров. Не важно, чья модель безопаснее - Microsoft, VMWare, Citrix, Sun, etc. Никто не будет спорить, что от потенциальных уязвимостей не застрахован никто, вне зависимости от размеров возможной площади атаки.

Теперь снова вернемся к более простому и традиционному случаю - получению привилегий на отдельно стоящем сервере/ОС. Данная проблема более традиционна, и для ее решения уже существуют технологии. Благодаря таким решениям, ряд операционных систем общего назначения, например, уже получило высокий уровень сертификации Common Сriteria EAL4+ (c расширениями LSPP, RBACPP и CAPP).

Такие "заклинания", как мандатный контроль доступа (MAC), многоуровневая система безопасности (MLS), мульти-категорийная безопасность (MCS) уже не раз встречались в моем блоге в контексте операционной системы. Я не буду повторяться, и просто дам ссылку на посты с тегом "SELinux", где я и писал про практическую реализацию ограничений привилегий системного администратора :) Итак, идея состоит в том, чтобы защитить гипервизор при помощи существующих решений мандатного контроля доступа.

Теперь вернемся к конкретике :) Проект sVirt, направленный на решение этой задачи, был анонсирован Джеймсом Моррисом в рассылке libvirt в августе прошлого года. Цель проекта - интеграция SELinux и виртуализации на основе Linux-ориентированных технологий. Недостаточность традиционного дискреционного контроля доступа в системах, требующих особой защищенности, обуславливается тем, что субъект может менять собственную политику безопасности. С другой стороны, если гостевые операционные системы будут изолированы при помощи политик мандатного контроля доступа, то это резко снижает возможный ущерб от успешной атаки, а то и вовсе ее предотвращает. В идеале в каждом процессе виртуальная машина должна работать в собственном контексте безопасности. Снова в качестве иллюстрации посмотрим на отдельную - не виртуализированную - операционную систему. Вы без труда найдете примеры, когда реальные уязвимости, затрагивающие ОС, в том или ином компоненте операционной системы с отключенным SELinux успешно блокировались политикой безопасности при включенном мандатном контроле.

К своей первой версии sVirt должен обеспечивать реализацию MAC на уровне ядра гипервизора, и обеспечивать простую изоляцию виртуальных машин, не требуя никакой настройки, т.е. все должно работать "из коробки". Ресурсы каждой гостевой операционной системы должны иметь свой уникальный контекст virtd_isolated_t:. Взаимодействие между доменами при этом исключается. В будущем планируется выделить разные типы гостевых машин, требующих разную политику, например, virtd_isolated_webserver_t, реализовать политику SELinux на уровне сетевого взаимодействия, многоуровневую систему безопасности (MLS).

В каком состоянии находится проект сейчас? Сделана низкоуровневая интеграция с libvirt, базовая поддержка в virsh, и виртуальные машины могут запускаться в своих контекстах безопасности. Как и в случае с oVirt, в первую очередь работа идет над KVM.

Что означает все выше сказанное? Возможно в будущем те уникальные преимущества в плане защищенности, доступные в операционных системах общего назначения с открытым исходным кодом, станут преимуществами систем виртуализации с открытым кодом.

06 февраля 2009

Впечатления от oVirt

На пару дней взял в лабе четыре сервера, на которых развернул oVirt - Open Source-реализацию системы виртуализации, находящуюся в стадии разработки, но имеющую весьма высокий потенциал. Объясню почему. Когда говорят о бесплатных продуктах, подобных ESXi и Hyper-V, нужно понимать, что, хотя они и бесплатны, но масштабируемое решение на них никоим образом не построить. Если вы возьмете десять физических серверов и установите на них гипервизор, то у вас и будет десять отдельно стоящих серверов без функций централизованного управления, горячей миграции, отказоустойчивости и т.д. За все, без чего виртуализация превращается в "красивую игрушку", нужно платить.

С другой стороны есть свободные решения на базе Linux - стабильные и готовые к промышленному внедрению. Но! Даже если оставить в стороне тот вопрос, что открытые разработки в плане некоторых возможностей "не дотягивают" до уровня VMware (с Microsoft сравнивать не будем - ее роль "догоняющего" тут очевидна), то у существующих решений на базе Linux есть следующие недостатки:
  • сложность создания комплексного решения: дело не в том, что это нельзя сделать, а в том, что требуется достаточно высокая квалификация исполнителей и глубокое знание технологий;
  • отсутствие простых в использовании и масштабируемых инструментов управления.
На решение этих проблем и направлен проект oVirt.


В основе лежит API виртуализации и набор утилит - libvirt . libvirt поддерживает работу с различными гипервизорами и технологиями , в том числе Xen, KVM, QEMU, OpenVZ. Следующая составная часть проекта - небольшой образ на основе гипервизора KVM (в ближайшем будущем в проекте появится и поддержка Xen), например, загружаемый по сети. Управляемые хосты, где должны запускаться виртуальные машины, "поднимаются" за считанные минуты и работают без локального сохранения состояния. И, наконец, оставшаяся часть - это управляющие сервера. Если взять VMWare, то, при грубом приближении, эти сервера - аналог VirtualCenter. Управляющий сервер собран из нескольких тесно интегрированных друг с другом компонентов:
  • Единый инструмент управления - веб-консоль;
  • FreeIPA - обеспечивает безопасный канал аутентификации (GSSAPI/SASL2) и LDAP-сервер (Fedora Directory Server). Про IPA я уже писал в блоге пол-года назад;
  • Cobbler - обеспечивает централизованное развертывание виртуальных машин и самих образов с гипервизором;
  • База данных. Пока поддерживается работа только с PostgreSQL. Думаю, к моменту "выпуска в свет" там будет и поддержка Oracle;
  • Другие компоненты, написанные в рамках проекта (броузер хостов, механизм планирования задач, агенты мониторинга).
Еще раз: все это - Open Source решение, внедряемое как единое целое. А, значит, просто и быстро. Действительно, при помощи "Виртуального модуля" (Virtual Appliance) я получил готовую систему менее, чем за час. Из единой консоли можно добавлять хосты, хранилища (пока что только NFS и iSCSI, но к выходу окончательной версии должно быть добавлено и FC. Документация уже содержит упоминание работы с Fibe Channel), разворачивать виртуальные машины, осуществлять "живую миграцию", просматривать графики производительности, задавать права, назначать квоты, выделять пулы ресурсов. В общем, все, к чему мы привыкли, работая c коммерческими решениями. Когда выйдет окончательная версия продукта, я уверен, oVirt составит достойную конкуренцию на рынке продуктов "промышленной" виртуализации, при этом имея неоспоримое преимущество - это полностью свободное решение.

"Поигравшись" с интерфейсом oVirt, я попробовал записать скринкаст в формате ogg theora video. Осталось склеить несколько кусков и наложить звук. Думаю, на следующей неделе я доделаю его и выложу в блог. Как говорится, лучше один раз увидеть, чем сто раз услышать. Надеюсь, необходимость устанавливать кодеки тем читателям блога, которые используют на десктопе ОС от Microsoft, не станет непреодолимым препятствием для просмотра скринкаста. :) Попытки переконвертировать во flash увеличивают размер файла практически в два раза, поэтому я решил отказаться от создания двух версий файла.

Напоследок несколько снимков с экрана:

Virtual Appliance загружено.


Общий вид "аппаратного" пула.



Вкладка управления хранилищем. Пусть вас не пугают размеры LUN-ов. Это экспортируемое самим Virtual Appliance хранилище для формального тестирования работы с iSCSI.


Вкладка c обзором физических хостов.


Консоль виртуальной машины.

04 февраля 2009

VMware открыла Virtual Desktop Client под лицензией LGPL

Good news. :) Компания VMware открыла исходный код Virtual Desktop Client. Собственно, наверное, это в первую очередь повлечет появление большого числа клиентских устройств, сертифицированных для VMware View (бывший VMware VDI). Больше устройств, больше конкуренция, ниже цены. Кроме того, видимо стоит ожидать появление клиента во всех основных дистрибутивах Linux.