一种基于资源预分配的虚拟机软实时调度方法

虚拟机技术作为云计算的重要技术之一,近年来得到广泛关注,但是由于虚拟机管理层的存在,导致语义鸿沟,使得实时应用程序、并发程序等在虚拟机上的运行性能受到影响。分析和研究了Xen虚拟机管理器的Credit调度算法,针对其在并发调度和软实时调度方面存在的不足,提出了改进调度算法,实现了算法的调度器原型。新的调度算法对软实时虚拟机进行Credit比例预分配,采用动态调度时间片机制,以non-work-conserving方式实现软实时任务周期调度,保障调度周期满足运行周期要求。通过区分并发和非并发软实时虚拟机,采取不同的调度策略,在满足资源利用率的基础上,确保实时任务的顺利运行。测试结果表明,该调度算法在对并发和非并发软实时任务调度上,具有良好的表现,较好满足了软实时应用调度需求。     

基于Xen的虚拟磁盘调度算法改进

Xen目前所采用的I/O调度算法能够较好的保证公平性;但在实际应用中,不同的虚拟机可能有不同的性能需求。该文研究了Xen虚拟存储的实现和I/O调度算法的原理,提出了基于反馈的动态优先级调度策略,通过对比测试验证了磁盘带宽在不同虚拟机之间的按需分配。     

虚拟机实时迁移技术研究

分析了虚拟机的实时迁移原理,重点论述了Xen的实时迁移实现方法,并在不同负载情况下对Xen的实时迁移进行了实验和探讨。     

Xen安全机制探析

虚拟化技术正在成为一种主流的网络应用,Xen作为一种虚拟化产品,已经在开源社区中得到广泛推广,其安全风险也受到业界关注。文章系统分析了Xen的安全框架XSM的实现机制和关键技术,介绍了ACM和Flask两种不同的安全构架,深入剖析了其中安全模型的具体实现原理和方法,并结合实际应用中的场景进行了安全保护分析。     

基于虚拟机日志记录回放的可逆调试方法

传统的调试器调试程序时,仅仅能够让程序正向运行并获取其当前的状态.提出了一种可以让程序逆向运行,回到过去任意时刻的调试方法,来增强调试器的功能.该方法是通过为Xen虚拟机添加完整的日志记录和回放功能以及对GDB调试器作相应修改来实现的;调试对象可以恢复到其运行过程的任意时刻.该可逆调试器,可以解决大型软件和操作系统内核...     

DMM:A dynamic memory mapping model for virtual machines

Memory virtualization is an important part in the design of virtual machine monitors(VMM).In this paper,we proposed dynamic memory mapping(DMM) model,a mechanism that allows the VMM to change the mapping between a virtual machine's physical memory and the underlying hardware resource while the virtual machine is running.By utilizing DMM,the VMM can implement many novel memory management policies,such as Demand Paging,Swapping,Ballooning,Memory Sharing and Copy-On-Write,while preserving compatibility with va...     

基于虚拟化平台Xen的内核安全监控方案

虚拟化技术作为云计算的基础架构,其安全性随着云计算的发展越来越受到人们的关注.提出一种针对虚拟机系统内核攻击的入侵检测方案,借助Xen提供的虚拟化平台,来获取虚拟机系统内核运行情况,从而达到监视和防止内核被攻击的目的.该方案可以有效地防御来自动态修改内核代码和内核不变数据结构一类的攻击.     

High performance network virtualization with SR-IOV

Virtualization poses new challenges to I/O performance. The single-root I/O virtualization (SR-IOV) standard allows an I/O device to be shared by multiple Virtual Machines (VMs), without losing performance. We propose a generic virtualization architecture for SR-IOV-capable devices, which can be implemented on multiple Virtual Machine Monitors (VMMs). With the support of our architecture, the SR-IOV-capable device driver is highly portable and agnostic of the underlying VMM. Because the Virtual Function (VF) driver with SR-IOV architecture sticks to hardware and poses a challenge to VM migration, we also propose a dynamic network interface switching (DNIS) scheme to address the migration challenge. Based on our first implementation of the network device driver, we deployed several optimizations to reduce virtualization overhead. Then, we conducted comprehensive experiments to evaluate SR-IOV performance. The results show that SR-IOV can achieve a line rate throughput (9.48 Gbps) and scale network up to 60 VMs, at the cost of only 1.76% additional CPU overhead per VM, without sacrificing throughput and migration.     

一个基于引用监控机的内核完整性保护方法

运用引用监控机的概念和虚拟机监控器的功能，提出了一种新的保护内核完整性的方法。该方法在虚拟机监控器中增加了引用监控模块，使之成为引用监控机；让客户操作系统内核以非特权模式运行在引用监控机上，使其对某些资源的修改操作必须经过运行于特权模式的引用监控机的验证，从而阻止恶意代码修改内核。与传统的防御恶意代码的方法相比，传统方法只能检测出内核完整性已被破坏，不能阻止恶意代码对内核的修改。     

一个基于虚拟机的日志审计和分析系统

SNARE是Linux操作系统的一个日志审计和分析工具，但它容易受到攻击。提出了一个新的方法被用来保护它免受攻击。运用虚拟机监控器的功能，SNARE被移植到运行在虚拟机监控器Xen上的两个虚拟机中，SNARE的两个主要部分——Linux内核补丁和审计后台进程被分隔而分别放入两个被Xen强隔离的虚拟机。Xen提供了两个虚拟机间共享内存的机制，运用这一机制，运行在一个虚拟机上的Linux内核补丁记录并转移审计日志到运行在另一个虚拟机上的审计后台进程。与传统的SNARE相比，新方法使攻击者毁坏或篡改这些日志更加困难。初步的评估表明这个原型是简单而有效的。