Гипервизор – это функция, которая абстрагирует (изолирует) операционные системы (ОС) и приложения от базового компьютерного оборудования. Эта абстракция позволяет базовому оборудованию хост-машины независимо управлять одной или несколькими виртуальными машинами в качестве гостевых, позволяя нескольким гостевым виртуальным машинам эффективно совместно использовать физические вычислительные ресурсы системы, такие как циклы процессора, пространство памяти и пропускная способность сети.

Гипервизор может использовать тот, кто хочет консолидировать пространство на сервере или запускать несколько изолированных приложений на одном сервере. Гипервизоры обычно поддерживаются в программном обеспечении виртуализации, таком как vCenter Server.

Типы гипервизоров

Гипервизоры традиционно реализуются как программный уровень, например VMware vSphere или Microsoft Hyper-V, но гипервизоры также могут быть реализованы в виде кода, встроенного во встроенное ПО системы. Существует два основных типа гипервизоров: гипервизоры типа 1 и типа 2.

Гипервизоры 1-го типа

Гипервизоры типа 1 развертываются непосредственно на аппаратном обеспечении системы без каких-либо базовых операционных систем или другого программного обеспечения. Такие гипервизоры называются «голыми» гипервизорами и являются наиболее распространенным и популярным типом гипервизоров для корпоративных центров обработки данных. Примеры включают vSphere и Hyper-V.

Гипервизоры 2-го типа

Гипервизоры типа 2 работают как программный уровень поверх ОС хоста и обычно называются размещенными гипервизорами, такими как VMware Workstation Player или Parallels Desktop. Размещенные гипервизоры часто встречаются на конечных точках, таких как персональные компьютеры.

Типы гипервизоров 1 и 2

Для чего используются гипервизоры?

Гипервизоры важны для любого системного администратора или системного оператора, потому что виртуализация добавляет важный уровень управления и контроля над центром обработки данных и корпоративной средой. Сотрудникам необходимо не только понимать, как работает соответствующий гипервизор, но и как выполнять связанные задачи управления, такие как конфигурация виртуальных машин, миграция и снимки файловой системы.

Роль гипервизора также расширяется. Гипервизоры хранилища, например, используются для виртуализации всех ресурсов хранения в среде для создания централизованных пулов хранения, которые администраторы могут выделять, не заботясь о том, где физически расположено хранилище. Сегодня гипервизоры хранилища являются ключевым элементом программно-определяемых хранилищ. Сети также виртуализируются с помощью гипервизоров, что позволяет создавать, изменять, управлять и уничтожать сети и сетевые устройства полностью с помощью программного обеспечения, не касаясь физических сетевых устройств. Как и в случае с хранилищем, виртуализация сети появляется в более широких программно-определяемых сетях или платформах программно-определяемых центров обработки данных.

История

В начале-середине 1960-х и 1970-х годов были созданы самые ранние формы гипервизоров. В 1966 году IBM выпустила свою первую производственную компьютерную систему – IBM System/360-67, которая была способна к полной виртуализации. IBM также начала производство своей системы CP-40 в 1967 году. Эта система работала на базе модифицированной системы S/360-40, которая обеспечивала возможности виртуализации. Эта система также позволяла запускать несколько пользовательских приложений одновременно, что раньше было невозможно. Система Control Program/Cambridge Monitor System от IBM была выпущена в 1968 году и просуществовала до 1970-х годов.

В 1970 году IBM выпустила System/370, которая добавила поддержку виртуальной памяти два года спустя, в 1972 году. С тех пор виртуализация стала функцией всех систем. Примерно в это же время больше членов сообщества начали использовать проекты с открытым исходным кодом для дальнейшей разработки виртуальных систем с гипервизорами.

В 1985 году IBM представила гипервизор Processor Resource/System Manager, который мог управлять логическими разделами. В середине 2000-х годов многие операционные системы, такие как Linux, Unix и Windows, начали поддерживать гипервизоры. Примерно в это же время началась премьера гипервизоров с лучшим оборудованием, стоимостью и возможностями консолидации. В 2005 году поставщики начали поддерживать виртуализацию продуктов x86.

Преимущества гипервизоров

Гипервизоры предоставляют корпоративным центрам обработки данных ряд преимуществ. Во-первых, способность физической хост-системы запускать несколько гостевых виртуальных машин может значительно улучшить использование базового оборудования. Если на физических (невиртуализированных) серверах может размещаться только одна ОС и одно приложение, гипервизор виртуализирует сервер, позволяя системе размещать несколько экземпляров виртуальных машин, каждый из которых работает с независимой ОС и приложением, в одной физической системе, используя гораздо больше доступных вычислительных ресурсов системы.

Виртуальные машины также очень мобильны. Абстракция, которая имеет место в гипервизоре, также делает виртуальную машину независимой от базового оборудования. Традиционное программное обеспечение может быть тесно связано с базовым серверным оборудованием – это означает, что перенос приложения на другой сервер требует длительной и подверженной ошибкам переустановки и перенастройки приложения. Для сравнения, гипервизор делает детали базового оборудования несущественными для виртуальных машин. Это позволяет перемещать или переносить виртуальные машины между любыми локальными или удаленными виртуализированными серверами – при наличии достаточных вычислительных ресурсов – практически по желанию с практически нулевым нарушением работы виртуальной машины; эту особенность часто называют живой миграцией.

Виртуальные машины также логически изолированы друг от друга, даже если они работают на одной физической машине. По сути, виртуальная машина не имеет собственных знаний или зависимости от других виртуальных машин. Ошибка, сбой или атака вредоносного ПО на одной виртуальной машине не распространяется на другие виртуальные машины на той же или других машинах. Это делает технологию гипервизора чрезвычайно безопасной.

Наконец, снимки файловой системы (снапшоты) позволяют мгновенно вернуть виртуальную машину в предыдущее состояние. Хотя снапшоты – или контрольные точки, как их называет Microsoft – не предназначены для использования в качестве замены резервных копий, они могут действовать как защитный механизм, особенно при выполнении обслуживания виртуальной машины. Если администратор собирается обновить ОС виртуальной машины, он может сделать снапшот перед выполнением обновления. В случае сбоя обновления администратор может восстановить моментальный снимок, чтобы мгновенно восстановить виртуальную машину в ее предыдущее состояние.

Таким образом, основные преимущества гипервизоров включают в себя:

  • Снижение затрат за счет лучшего использования оборудования.
  • Возможность быстро и легко перенести работающую виртуальную машину на другой хост, не отключая виртуальную машину.
  • Гипервизор без оболочки обеспечивает аппаратную изоляцию виртуальных машин. Злоумышленник не может использовать скомпрометированную виртуальную машину для атаки на соседнюю виртуальную машину – по крайней мере, не с помощью гипервизора.
  • Гипервизоры с чистым железом обычно включают в себя функцию моментальных снимков файловой системы, которая позволяет мгновенно восстанавливать виртуальные машины до предыдущего состояния без необходимости восстановления резервной копии.

Контейнеры и гипервизоры

Контейнеры могут показаться гипервизорами. Однако на гипервизорах размещаются виртуальные машины на основе ядра, предназначенные для создания среды, имитирующей набор физических машин. Каждая виртуальная машина содержит свою независимую ОС. Напротив, контейнеры могут совместно использовать ядро ​​ОС, известное как базовый образ. Каждый контейнер запускает отдельное приложение или микросервис, но зависит от базового образа.

Microsoft предлагает два разных варианта контейнера. Можно построить традиционную контейнерную архитектуру поверх Windows Server, но есть также возможность создать развертывание контейнера Hyper-V, которое действует как гибридная среда. Он использует виртуальную машину в качестве основы для контейнерной инфраструктуры.

Kubernetes стал стандартным инструментом для управления контейнерами Linux в частных, общедоступных и гибридных облачных средах. Kubernetes – это система с открытым исходным кодом, созданная Google и первоначально запущенная в 2015 году. Kubernetes может автоматизировать планирование, развертывание, масштабирование и обслуживание контейнеров на узлах кластера.

Проблемы безопасности

Процесс безопасности гипервизора включает обеспечение безопасности гипервизора на протяжении всего его жизненного цикла, в том числе во время разработки и внедрения. Если злоумышленник получает несанкционированный доступ к гипервизору, управляющему программному обеспечению или программному обеспечению, которое управляет виртуальной средой, то этот злоумышленник потенциально может получить доступ ко всем данным, хранящимся на каждой виртуальной машине. Другие возможные уязвимости включают общие аппаратные кэши, сеть и потенциальный доступ к физическому серверу.

Вот общие методы обеспечения безопасности гипервизоров:

  • Ограничение пользователей в локальной системе.
  • Ограничение поверхностей атаки путем запуска гипервизоров на выделенном хосте, который не выполняет никаких дополнительных ролей.
  • Обновление систем за счет соблюдения передовых методов управления исправлениями.
  • Настройка хоста для работы как часть защищенной сети.
  • Включение шифрования виртуальных машин для предотвращения получения доступа к виртуальным машинам злоумышленниками.
  • Шифрование хранилища, в котором находятся виртуальные машины, с помощью BitLocker или другого аналогичного варианта шифрования.
  • Использование управления доступом на основе ролей (RBAC) для ограничения административных прав.
  • Использование выделенного физического сетевого адаптера для управления трафиком.
  • Использование выделенного физического сетевого адаптера для трафика миграции виртуальных машин.
  • Использование выделенного физического сетевого адаптера для кластерного трафика.

Поставщики гипервизоров и рынок

Сегодня доступно несколько основных гипервизоров, от бесплатных платформ до дорогих продуктов корпоративного уровня. Это самые распространенные гипервизоры:

  • Citrix Hypervisor
  • Linux KVM (виртуальная машина на основе ядра)
  • Nutanix AHV (Acropolis Hypervisor)
  • Microsoft Hyper-V
  • Oracle VM Server
  • Oracle VM VirtualBox
  • VMware ESXi