分享

调查报告（Report）

I.  电信设备供应链中存在的漏洞对美国国家安全利益带来的威胁已越来越重要，其原因包括：国家（越来越）依赖于互联的重要基础设施系统；这些重要系统面临的威胁的范围（在变大）；所有客户更多的依赖于少数的几个设备供应商。

美国的重要基础设施，特别是电信网络，需要建立在可信和可靠的基础之上。电信网络系统对来自恶意的，持续的网络入侵和毁坏性行为是很脆弱的。因此，设备供应商和提供管理服务的供应商必须在任何时候都具备足够的信任程度。一个提供设备的公司，特别是任何能够接触到或者有这些电信网络详细结构规划信息的公司，必须要遵守美国的法律，法规和标准。如果一个公司不能被信任，美国和相关机构应该质问是否该公司可以在我们的重要基础设施的网络系统里运营。

网络（攻击）威胁带给美国国家安全和经济利益的风险是一个不可否认的重要事宜。首先，（我们）国家对电信基础设施的依赖不仅仅是大家可以使用计算机而已。事实上是（我们）多个重要的国家基础设施系统都需要通过电信网络来进行互联和信息传输交换。这些现代化的重要的基础设施包括电力系统，银行和金融系统，天然气，石油和水利系统， 铁路和航运通道等等。每一个这样的系统都是高度计算机控制化的。另外，这些系统之间的互相依赖性极大的增加了一个系统出故障会导致其他系统也出现故障或崩溃的风险。因此，电信网络的崩溃会导致对现代美国人民的生活出现灾难般的影响，导致影响整个社会（日程生活所需）的短缺和中断。

第二，这种系统之间的互相依赖性带来的安全薄弱是很广泛的，从来自内部的威胁攻击，网络间谍和来自有国家为幕后力量的攻击。事实上，关于电信系统供应链中的漏洞，越来越多的认同都汇聚在是（我们）选购了来自外国的电信设备并用在了美国国家安全的应用上。例如，联邦调查局（FBI）经过充足的评估调查认为，来自个体犯罪人员和幕后民族主义国家力量操控对基础设备供应链的威胁是居高不下的网络攻击的重要组成部分。 同样，美国国家反情报执行机构的评估是“外国试图收集美国的技术和经济信息，将继续保持在一个较高的水平，并且将是一个持续增长的事情，并将一直威胁到美国的经济安全。”

第三，美国政府必须要特别关注那些最有可能针对美国开展高级间谍活动的国家制造的通信设备，例如，中国。最近的许多网络攻击往往源于中国。虽然精确的定位分析是一个长期的挑战，但从攻击的数量，规模和复杂性来看，这种攻击通常意味着有一个国家力量在后面参与。美国中国事务委员会曾经在一份关于对中国进行网络战和计算机网络情报收集方面的能力的非机密文件中谈到， 来自中国的，通过恶意网络行为来收集敏感的（外国的）经济和国家安全的信息的动作往往很难被其锁定的目标所察觉。

最后，这个问题变得复杂的是，中国的电信公司，如华为，中兴通讯正在迅速成为占主导地位的，全球性的电信市场设备提供商。在其他的行业，这种趋势可能不是特别有关系。但是当这些公司试图控制敏感的设备和基础设施并可用于间谍和其他恶意目的的市场，这个市场缺乏多样性就成为美国和其他国家的担心了。 值得注意的是，美国并不是唯一对这些问题担忧的国家。 澳大利亚在决定禁止华为进入其国家宽带电信业务的时候其实是表达了同样的担忧。英国方面试图通过建立评价制度限制华为获得对基础设施的接触的程度，并且在华为设备和软件在电信基础系统上线之前进行充分评估。

A. 中国拥有相应的手段，机会和动机去利用电信公司以实现起恶意的目的。

中国对美国政府的情报收集工作，在“规模，强度和复杂性”方面一直在持续加强。中国具备世界上最活跃的和长期经营的经济谍报工作人员。 美国私人企业公司和网络安全专家的调查报告认为，一些规模迅猛的计算机网络入侵起源于中国，而且几乎可以肯定的认为这个网络攻击有中国政府参与或在幕后提供支持。 此外，中国的情报机构，以及私营公司和其他实体，经常招募那些能够直接访问（美国）企业网络的人员来窃取商业秘密和其他敏感的私有数据。

这些通过网络和人工参与的间谍活动往往具备非常复杂的技术能力，这些技术能力可以转化为在来自中国制造的电信设备部件中植入恶意的硬件或软件，并销售给美国。在电信设备整个产品的过程中，更改电信设备部件和系统的机会点是到处都存在的，垂直领域的产业巨头华为和中兴通讯为中国的情报机构提供了许多这样的机会，可以使得他们在关键的电信网络的器件和系统中植入恶意的硬件或软件。为了这些恶意攻击的目的，中国（当局）可能会寻求和华为或中兴等公司的领导层面的合作。即使公司的领导层拒绝这样的要求，中国情报部门只需要在这些公司招聘相应的管理人员或者蓝领的技术人员，（就可以达到目的）。此外， 从中国法律来看，中兴通讯和华为有义务和中国政府无条件的合作，（政府）可以使用他们的系统，或者在国家安全的幌子下怀着恶意的目的访问这些系统的数据。

中国，这样一个复杂的民族主义的国家，有着损害干扰全球电信供应链的动机，其中美国是（他们）一个非常重要的高优先级的目标。具备拒绝服务或破坏整体系统的能力可以使得一个外国国家可以给另外一个国家所依赖的关键基础设施设备施加压力或者完全控制。通过从政府和企业恶意修改或者窃取信息的能力，中国可以获得昂贵和需要花费大量时间的研发成果。这些成果可以促进和加速中国在世界上的经济地位。能够访问美国电信基础设施，可以使得中国对美国政府和私营部门从事无法被检测到的间谍活动。 充分认识到美国军方的先进技术优势的中国军事和情报机构，正积极寻找将来如果与美国发生冲突的时候能被使用的非对称优势。在为美国客户生产的，来自中国制造的电信设备器件和系统里植入恶意的硬件或软件可以让北京在危机或战争的时候关闭或者削弱（我们的）国家安全系统。在关键的基础设施环节中恶意植入的东西，例如，在电网或金融网络里，也将是中国弹药库里的一个巨大的武器。

恶意植入的硬件和软件也是一个可被用在侵入美国国家安全系统的强大间谍工具。也包括那些封闭的美国公司内部网络。这些内网中通常含有敏感的商业秘密，先进的研发数据， 谈判或诉讼立法条款。这些信息的获得可以使得中国在和美国打交道的时候，获得不公平的外交或商业优势。

除了硬件和软件相关的供应链的风险，管理服务软件也构成了威胁。管理服务，通常是销售合同中系统维护的一部分，允许远程网络访问，做每天软件的更新和打补丁。不幸的是，这样的合同也可以让管理服务承包商在合法的幌子下，使用被授权的访问做恶意活动。这样的系统存取访问也提供了许多机会给更多密谋好的经济或有国家背景的间谍活动。 而 华为这样的电信公司目前正在寻求扩大其服务业务的部分。

美国政府数年前已经认识到这些电信供应链的风险问题 。事实上，在白宫的2009年综合国家网络安全倡议（CNCI）中，供应链风险管理（SCRM）就被确定为国家关注的12个关键基础设施保护的优先事项之一。同样，行政部门一直持续在按照2012年1月发布的整体供应链安全国家战略下的方针指导下审查供应链的风险问题。在2012年1月份的报告中阐述的供应链风险管理的一个重要组成部分就是“正确理解和识别那些来自有害的设备物资，来自有意的攻击，事故和自然灾害带来的系统崩溃等供应链的脆弱性。”

B. (目前所）建议的“缓解措施”不能完全解决提供设备和服务给美国关键基础设施的中国电信公司所带来的（国家安全）威胁。

许多国家对来自不可信任的电信公司所带来的潜在威胁所困惑。为了解决这些问题，英国政府采取了一些初步措施（作为其总体缓解战略的一部分）并和华为签署了一项协议，与华为建立一个独立管理的网络安全评估中心（CSEC）。 CSEC，（作为一个第三方机构），对要进入到英国电信系统的华为的软件和设备进行独立的审查，并将相应的结果提供给英国相关运营商和政府。英国政府的目标是试图减轻部署在英国关键的电信基础设施上的华为的产品所带来的对英国整体网络系统的可靠性所带来的威胁。

为了其产品进入美国市场，华为和中兴通讯提出了类似的计划。这个计划中没有美国政府的参与，而是由电子冲突协会或其他私营部门来管理。 （他们试图通过）这些合作关系来解决对这两家公司可能会允许中国政府植入一些能够帮助（中国政府）间谍活动或者网络战的功能到他们的产品中所引起的担忧。 遗憾的是，因为美国电信市场的广度和巨大，我们担心，华为和中兴的这个方案不能完全解决（我们对）美国安全隐患的担忧。

设备产品化后的评估过程通常是通过一个标准的方法来确定一个复杂软件密集型系统的安全属性。信息技术安全评估和各种私人认证服务等流程通常被评估者用来针对一系列标准来衡量一个产品，并为其分配一个安全等级。该评级是为了帮助客户了解其将使用的设备或者软件包的安全功能的信心度。（在评估流程里），厂商对其系统实现和研发的流程都需要文档化，并通常用作安全等级评估中的重要依据。此外，这样的流程并不一定能够发现恶意代码，而是鼓励在有安全功能的产品中必须具备一个基本的安全框架。

由于一系列的技术和经济原因，华为和中兴提出的评估方案不太有用，不是（我们）所期望的。事实上，（他们的）评估方案可能由于评估不完全，有漏洞或者错误的评估，而导致产品被赋予错误的安全等级。由于一个局外的专家可能以某种方式“赞”一个产品，所以一个细心的客户应该选择放弃这样的含有威胁的和不客观的风险评估，同时省下这样的评估所需要的花费。

通过标准化的第三方安全性评估不能解决的一个关键问题是产品和部署的多样性。取决于如何以及在哪里配置，安装和维护，设备或系统的行为变化很大。出于时间和成本方面的原因，（第三方的）评估通常会局限在针对一个产品型号配置在一个特定的，往往是不是真正现场实用的，很局限的方式。现在科技发展的步伐非常快，速度远远超过任何第三方的综合评估过程所能跟踪。第三方测试评估中使用的小范围的配置规范，无疑的让人确信一个被评估过的设备在部署的时候的运行模式是和在被评估的时候是不一样的。如果一个设备在现场部署时和测试的时候规格是不一样的，那么对一个复杂的设备的安全性评价是没有意义的。

在现场部署之前的对产品的评估，只是针对了网络生命周期中的产品部分。另外，要重要的认识到，网络运营商如何控制设备的补丁管理，故障排除和维护，升级，管理服务的方面，以及如何选择提供这些服务的厂商，都会影响到电信网络的目前的安全程度。

由于设备厂商资助自己产品的安全评估产生了商业利益冲突，导致（美国政府）对评估结果的独立性和严谨持有怀疑态度。设备制造商会自然的去追求自己商业利益的最大化，其利益是和客户的利益不一致的。在通用标准认证方面，（我们）已经发现存在着一些不同的但相关的（为了利益）挑战底线的行为。厂商提供金钱资助给安全评估方。 通用标准系统认证的设计充分了解这种危险然后规定了评估者必须拥有政府资格证书。但这种预防措施看起来基本上是装门面的，没有意义的。因为（目前为止），尽管（我们发现）认证评估的效果很差，也没有发现任何认证被取消 。基于同样的考虑和担心利益冲突，华为设备在英国的评估机构必须通过英国政府的审查，获得政府的安全等级许可。这个流程获得了英国各个运营商的支持。 但是，尚不清楚的是，英国这样的方式能否会迅速的被借鉴到美国市场，也不清楚这种运作方式是否能真正的成功地克服人的私欲从而导致真正的独立评估调查。

在一个复杂的产品中发现和消除每一个重大漏洞的任务是巨大的。当一个产品漏洞是一个内部的人故意放入的时候，查找任务变得几乎不可能。虽然许多技术文章里谈到如何在硬件和软件系统中自动查找潜在的漏洞，但是没有一个技术声称能找到一个已存在的系统中的所有的漏洞。能够证明一个系统实现符合一个形式设计规范的技术确实存在，但是这样的形式方法技术必须贯穿整个系统的设计和实现的过程中才能起到作用，而不能用在一个已经完成的规模巨大或者相当复杂的系统中。即使能够用在系统的研发过程中，这种形式方法也还是不能还好的扩展到完全的商业电信系统中。 （所以，）通过华为或中兴提出的系统安全评估合作，即使不说其评估的完全性和动机，（在技术上，）都无法确定规模和复杂性都很巨大的核心网络基础设施设备中的所以相关缺陷。如果在已经被广泛应用的产品中和已经被潜在对手都了解的评估流程还存在重大的漏洞 ，这种评估过程的作用就微乎其微了。

可能看起来对一个将被部署在关键基础设施的的可疑设备做安全评估似乎是对其可能带来的安全问题是一个好的解决方法。但遗憾的是，由于电信网络系统的复杂性，目前的安全性评价技术的局限性和设备供应商提供经济资助的认证过程提供的只是一种安全感，而不是实际的安全性。高度系统安全的保障只能通过完整的设计和工程流程 ，考虑完整的系统的系统设计方法，要跨越完整的产品生命周期，从设计研发到产品做旧下架。这样的设计流程也包括考虑系统分离的技术模块，模块之间的交互，人在使用设备中的环境因素和来自各种对手的威胁。 这样的一个评估处理过程才是令人信服的，具有多样证据的。这才是可以使得我们信任的安全评估。

分享

分享

ISF2012中国上海

11月22日-23日

会 议 日 程
11月22日
时间 演讲者 议题
07:30 – 09:00 注册
09:00 – 09:10 开幕词
09:10 – 10:10 Fyodor Scalable Platform for Real-Time Evaluation of National Network Exposure to Emerging Threats
10:10 – 10:30 茶歇&自由讨论时间
10:30 – 11:30 彭国军
学生科研团队 未知感知——安全领域不可回避的挑战
11:30 – 13:30 午餐
13:30 – 14:30 西本逸郎 智能电话和平板电脑的信息安全现状以及对策
14:30 – 14:40 茶歇&自由讨论时间
14:40 – 15:40 石晓虹 中国网站安全状况和解决方案
15:40 – 16:00 茶歇&自由讨论时间
16:00 – 17:00 肖梓航 Android软件安全攻防的研究现状
17:00 – 17:30 自由讨论时间
19:30 – 21:30 ISF2012 Workshop （赞助商&组织者&演讲者）

11月23号

时间 演讲者 议题
07:30 – 09:00 注册
09:00 – 10:00 吕自成
学生科研团队 针对基于安卓应用程序的破解和恶意软件重打包的防护方法
10:00 – 10:30 茶歇&自由讨论时间
10:30 – 11:30 赵世平 软件无线电技术对无线通信安全性的威胁
11:30 – 13:30 午餐
13:30 – 14:30 夏虞斌 增强云安全的体系结构扩展研究
14:30 – 14:40 茶歇&自由讨论时间
14:40 – 15:40 谢忱 网络支付面对的安全威胁与防御
15:40 – 15:50 茶歇&自由讨论时间
15:50 – 16:50 罗森林
学生科研团队 信息安全与对抗技术竞赛
16:50 – 17:00 茶歇&自由讨论时间
17:00 – 17:40 ISF2012 专题讨论会、闭幕词
注：签到时间：8：00－09：00，午休时间：11：30－13：30

演 讲 者 介 绍
Fyodor Yarochkin (TSTF, o0o.nu) 台湾中央研究院研究人员， 在业余时间他非常喜欢编程和研究人工智能，他曾经是Snort和 Xprobe项目的开发人员。

彭国军&学生科研团队（梁玉、郑祎、邵玉如） 武汉大学计算机学院副教授，信息安全博士，证据学博士后研究人员，“CNCERT武汉大学省级网络安全应急服务技术支撑中心”主要技术负责人。主要研究领域包括：恶意代码，可信软件，电子证据的采纳与评价标准等。长期从事软件安全及网络安全的教学与科研工作，主持各类国家级、省部级及横向科研项目近20项，发表科研及教学论文20余篇，主编出版《恶意代码取证》（译著）、《计算机病毒分析与对抗》（国家十一五规划教材）等著作。

西本逸郎 生于北九州市，毕业于福冈县立东筑高中。1984年从熊本大学工学系土木工程学科中途退学，就职于信息技术开发株式会社。1986年进入株式会社LAC，历任董事会执行董事、网络风险综合研究所所长、LAC控股执行董事等职，现任董事技术总监。从事通信类软件和中间件的开发工作，2000年开始转向安全业务，2002年建立并启动了24小时远程安全监控中心“JSOC(Japan Security Operation Center)”。多次针对IT社会的新威胁发表关于信息安全对策的重要性或提出具体方案的演讲，并在报纸杂志等媒体上多次发表文章。同时兼任特定非营利活动法人 日本网络安全协会理事、数据库安全联盟理事、事务局局长、日本智能手机安全论坛理事、事务局局长、内阁官房信息安全政策会议普及启发与人才培养专业委员会委员、总务省智能手机与云安全研究会委员、经济产业省网络安全与经济研究会委员、警察厅综合安全对策会议委员等职。

石晓虹 1998年毕业于西安交通大学计算机系统结构专业，获得工学博士学位；2005年至今担任奇虎360公司副总裁，负责公司技术管理、政府项目及对外合作工作。长期从事互联网及移动互联网安全、搜索引擎及云计算等领域的技术、产品研发工作，在海量恶意软件的自动化分析、恶意网页代码识别、钓鱼欺诈网站检测等方面积累了丰富的技术和产品研发经验。

肖梓航 安天实验室高级研究员，主要方向是移动反病毒和移动软件安全，有多年反病毒研发经验。创办了secmobi.com；参与和发起了多个移动安全开源项目；在MDCC等会议、《程序员》等媒体就移动安全作演讲或写文章。致力于促进这一领域的开发者、研究人员、安全工程师之间的沟通与合作。

吕自成&学生科研团队(郑旻) 香港中文大学计算机科学与工程系的全职教授，ACM院士、IEEE院士和香港裘槎基金会高级研究员、华为香港研究实验室咨询委员会主席。2005年至2011年担任香港中文大学计算机科学与工程系系主任。因在计算机和通讯系统方面卓越的研究工作闻名于世。已发表200余篇的学术论文，并拥有多项美国专利，发布多款开源软件。
学生科研团队：
郑旻，香港中文大学计算机科学与工程系博士二年级学生，研究领域是移动安全系统。于2012年第九届“入侵检测与恶意软件&漏洞评估”大会（简称DIMVA）发表论文：“ADAM：用于安卓反病毒系统压力测试的自动化可扩展平台”。

赵世平 现年34岁，武汉工程大学计算机学院讲师，化学工程专业硕士学位。1993年开始编写程序，2004年转向硬件和嵌入式系统研发，通过嵌入式系统设计师和系统分析师。早期对反病毒和系统底层开发有浓厚兴趣，现主攻嵌入式系统研发和硬件安全。

夏虞斌 2004年7月复旦软件学院本科毕业，2010年7月北京大学计算机科学与技术博士毕业，之后至2012年7月于复旦大学计算机科学与技术博士后站点从事研究，2012年9月成为上海交通大学软件学院IPADS（并行与分布式系统研究所）的青年教师。主要研究方向包括虚拟化、操作系统、体系结构、计算机系统安全。目前的研究集中在移动安全方面。个人主页：http://ipads.se.sjtu.edu.cn/yubin_xia

谢忱（Thanks） 现供职于支付宝安全管理中心，Freebuf主要成员之一（http://freebuf.com），主要从事web安全研究、应用安全评估、安全产品等方面的工作。

罗森林
学生科研团队 北京理工大学电子工程系通信与电子系统博士毕业，教授，博导。现任北京理工大学信息系统及安全对抗实验中心主任、专业责任教授。主要研究方向为信息安全、自然语言处理、生物信息处理、媒体计算等。

http://isf.cisrg.org

诚邀各位业界同仁共享两天安全之旅以及billy特供“茅台”大餐

分享

分享

A、虚拟化

虚拟化是指在同一台物理机器上模拟多台虚拟机的能力。每台虚拟机在逻辑上拥有独立的处理器、内存、硬盘和网络接口。使用虚拟化技术能够提高硬件资源的利用率，使得多个应用能够运行在同一台物理机上各自拥有彼此隔离的运行环境。

虚拟化的也有不同的层次，例如硬件层面的虚拟化和软件层面的虚拟化。硬件虚拟化指的是通过模拟硬件的方式获得一个类似于真实计算机的环境，可以运行一个完整的操作系统。在硬件虚拟化这个层面，又有Full Virtualization（全虚拟化，几乎是完整地模拟一套真实的硬件设备。大部分操作系统无须进行任何修改即可直接运行在全虚拟化环境中。）、Partial Virtualization（部分虚拟化，仅仅提供了对关键性计算组件或者指令集的模拟。操作系统可能需要做某些修改才能够运行在部分虚拟化环境中。）和Paravirtualization（半虚拟化，不对硬件设备进行模拟，虚拟机拥有独立的运行环境，通过虚拟机管理程序共享底层的硬件资源。大部分操作系统需要进行修改才能够运行在办虚拟化环境中。）等不同的实现方式。软件层面的虚拟化，往往是指在同一个操作系统实例的基础上提供多个隔离的虚拟运行环境，也常常被称为容器技术。

在硬件虚拟化的层面，现代的虚拟化技术通常是全虚拟化和半虚拟化的混合体。常见的虚拟化技术例如VMWare、Xen和KVM都同时提供了对全虚拟化和半虚拟化的支持。以硬件虚拟化的方式所提供的虚拟机，通常都在运行一个完整的操作系统，在同一台宿主机上存在大量相同或者相似的进程和内存页，从而导致明显的性能损耗。目前，通过KSM等技术可以识别与合并含有相同内容的内存页，但是还没有对大量相同或者相似的进程进行优化处理的有效手段。因此，硬件虚拟化也往往被称为重量级虚拟化，在同一宿主机上能够同时运行的虚拟机数量是相当有限的。在软件虚拟化的层面，同一宿主机上的所有虚拟机共享同一个操作系统实例，不存在由于运行多个操作系统实例所造成的性能损耗。因此，软件虚拟化也往往被称为轻量级虚拟化，在同一宿主机上能够同时运行的虚拟运行环境数量是比较宽松的。以Solaris操作系统上的Container为例，一个Solaris操作系统的实例理论上可以支持多达8000个Container（实际能够运行的Container数量取决于系统资源和负载）。与此类似，Linux操作系统上的LXC可以轻松地在同一宿主机上同时支持数量可观的虚拟运行环境。

在虚拟化这个领域，国内的公司对硬件虚拟化的兴趣较大，在研发和生产环境中也大都采用硬件虚拟化技术。淘宝是国内较早地研究并应用软件虚拟化技术的，他们在淘宝主站的实践经验表明使用cgroup替代Xen能够提升资源利用率。至于在一个实际的应用场景中到底应该选择硬件虚拟化还是软件虚拟化，则应该重点考虑最终用户是否需要对操作系统的完全控制权（例如升级内核版本）。如果最终用户仅仅需要对运行环境的控制权（例如PaaS层面的各种App Engine服务），软件虚拟化可能性价比更高。对于为同一应用提供横向扩展能力的应用场景，软件虚拟化也是比较好的选择。

对于需要深入了解虚拟化技术的技术人员来说，VMWare发表的白皮书《Understanding Full Virtualization, Paravirtualization, and Hardware Assist》是一份很好的参考资料。

通常来讲，能够直接使用虚拟化技术的用户数量是比较少的。以Linux操作系统为例，能够进行虚拟机生命周期管理的用户，一般就是具有访问libvirt权限的用户。在一个公司或者其他实体中，这些用户通常是系统管理员。

B、虚拟化管理

早期的虚拟化技术，解决的是在同一台物理机上提供多个相互独立的运行环境的问题。当需要管理的物理机数量较小时，系统管理员可以手动登录到不同的物理机上进行虚拟机生命周期管理（资源配置、启动、关闭等等）。当需要管理的物理机数量较大时，就需要写一些脚本／程序来提高虚拟机生命周期管理的自动化程度。以管理和调度大量物理／虚拟计算资源为目的软件，称为虚拟化管理工具。虚拟化管理工具使得系统管理员可以从同一个位置执行如下任务：（1）对不同物理机上的虚拟机进行生命周期管理；（2）对所有的物理机和虚拟机进行查询甚至监控；（3）建立虚拟机命名与虚拟机实例直接的映射关系，使得虚拟机的识别和管理更加容易。Linux操作系统上的VirtManager是一个简单的虚拟化管理工具。在VMWare产品家族中，VMWare vSphere是一个功能强大的虚拟化管理工具。

虚拟化管理工具是虚拟化技术的自然延伸。简单的虚拟化管理工具，解决的是由于物理机数量增多所导致的工作内容繁杂问题。在这个层面，虚拟化管理通常和集群的概念同时出现。一个虚拟化管理工具，往往需要获得各台物理机上的虚拟机生命周期管理权限（例如具有访问libvirt权限的用户名和密码）。在同一个集群当中，为了方便起见，可能需要设定一个在整个集群层面通用的管理用户。可以认为，虚拟化管理为系统管理员提供了便利，但是并没有将虚拟机生命周期管理的权限下放给其他用户。

C、数据中心虚拟化

在数据中心的层面，系统管理员需要面对大量不同类型的硬件和应用。与小型的集群相比较，数据中心的系统复杂度大大提高了。这时简单的虚拟化管理工具已经无法满足系统管理员的要求，因此在虚拟化管理工具的基础上又发展出各种数据中心虚拟化管理系统。在硬件层面，数据中心虚拟化管理系统通过划分资源池（一个资源池通常是一个集群）的方式对硬件资源进行重新组织，并以虚拟基础构架（Virtual Infrastructure）的方式将计算资源暴露给用户。在软件层面，数据中心虚拟化管理系统引入系统管理员和普通用户两种不同的角色，甚至是基于应用场景的需要设定颗粒度更细的基于角色的权限控制（Role Based Access Control，RBAC）。系统管理员对整个数据中心的物理机和虚拟机拥有管理权限，但是一般不对正常的虚拟机进行干涉。普通用户只能在自己具有权限的资源池内进行虚拟机生命周期管理操作，不具有控制物理机的权限。在极端的情况下，普通用户只能够看到分配给自己的资源池，而不了解组成该资源池物理机细节。

在数据中心虚拟化之前，创建虚拟机的动作是需要系统管理员来完成的。在数据中心虚拟化管理系统中，通过基于角色的权限控制，虚拟机生命周期管理的权限被下放给所谓的“普通用户”，在一定程度上可以减轻系统管理员的负担。但是，出于系统安全的考虑，并不是公司里所有的员工都能够拥有这样的“普通用户”账号。一般来说，这种“普通账号”只能够分配给某个团队的负责人。可以认为，一直到数据中心虚拟化这个层面，虚拟机的生命周期还是集中式管理的。

数据中心虚拟化管理系统是虚拟化管理工具的进一步延伸，它所解决的是由于硬件和应用规模上升所带来的系统复杂度问题。具体的物理设备被抽象成资源池之后，公司高管只需要了解各个资源池的规模、负载和健康状况，最终用户只需要了解分配给自己的资源池的规模、负载和健康状况。只有系统管理员还需要对每一台物理设备的配置、负载和故障了如指掌，但是资源池的概念也从逻辑上对所有的物理设备进行了重新整理和分类，使得系统管理员的工作变得更加容易了。

现代的数据中心虚拟化管理系统，往往提供了大量有助于运维自动化的功能。这些功能包括 （1）基于模板快速部署一系列相同或者是相似的运行环境；（2）监控、报表、预警、会计功能；和（3）高可用性、动态负载均衡、备份与恢复等等。一些相对开放的数据中心虚拟化管理系统，甚至以开放API的方式使得系统管理员能够根据自身的应用场景和流程开发额外的扩展功能。

在VMWare产品家族中，VMWare vCenter是一个数据中心虚拟化管理软件。其他值得推荐的数据中心虚拟化管理软件包括Convirt、XenServer、Oracle VM、OpenQRM等等。

阅读全文»

分享