第 1 章 Oracle VM Server for SPARC のセキュリティーの概要
Oracle VM Server for SPARC によって使用されるセキュリティー機能
Oracle VM Server for SPARC に適用される一般的なセキュリティー原則
対応策: ゲストをハードウェアプラットフォームに慎重に割り当てる
対応策: Oracle VM Server for SPARC ドメインの移行を計画する
対応策: Logical Domains Manager に対する権利を使用する
対応策: Logical Domains Manager を強化する
対応策: Logical Domains Manager を監査する
脅威: I/O ドメインまたはサービスドメインのサービス拒否の発生
評価: I/O ドメインまたはサービスドメインのサービス拒否の発生
Oracle VM Server for SPARC は、Oracle の SPARC T シリーズサーバーや SPARC M5 サーバーおよび Fujitsu M10 システムに高い効率性とエンタープライズクラスの仮想化機能を提供します。Oracle VM Server for SPARC ソフトウェアを使用すると、多数の仮想サーバー (論理ドメインと呼ばれる) を単一のシステム上に作成できます。こうした構成により、これらの SPARC サーバーおよび Oracle Solaris OS が提供する大規模なスレッドを活用できるようになります。
論理ドメインは、個別に論理グループ化されたリソースを含む仮想マシンです。論理ドメインは、単一のコンピュータシステム内で独自のオペレーティングシステムおよび ID を持っています。各論理ドメインは、サーバーの電源の再投入を実行する必要なしに、作成、削除、再構成、およびリブートを単独で行うことができます。異なる論理ドメインでさまざまなアプリケーションソフトウェアを実行でき、パフォーマンスおよび安全性の目的から、これらを独立した状態にしておくことができます。
Oracle VM Server for SPARC ソフトウェアの使用については、Oracle VM Server for SPARC 3.1 管理ガイド およびOracle VM Server for SPARC 3.1 リファレンスマニュアル を参照してください。必要なハードウェアおよびソフトウェアについては、Oracle VM Server for SPARC 3.1.1.1, 3.1.1, and 3.1 Release Notes を参照してください。
図 1-1 2 つの論理ドメインをサポートするハイパーバイザ
Oracle VM Server for SPARC ソフトウェアは次のコンポーネントを使用してシステム仮想化を提供します。
ハイパーバイザ。ハイパーバイザは小規模なファームウェアレイヤーであり、オペレーティングシステムのインストール先とすることができる、安定した仮想化マシンアーキテクチャーを提供します。ハイパーバイザを使用する Oracle Sun サーバーでは、論理ドメイン上のオペレーティングシステムの動作をハイパーバイザが制御できるようにするためのハードウェア機能が用意されています。
特定の SPARC ハイパーバイザがサポートするドメインの数と各ドメインの機能は、サーバーによって異なります。ハイパーバイザは、サーバー全体の CPU、メモリー、および I/O リソースのサブセットを特定の論理ドメインに割り当てることができます。この割り当てにより、それぞれが独自の論理ドメイン内にある複数のオペレーティングシステムを同時にサポートできます。別個の論理ドメインの間で、任意の粒度でリソースを再配置できます。たとえば、CPU は CPU スレッド単位で論理ドメインに割り当てることができます。
サービスプロセッサ (SP) は、システムコントローラ (SC) とも呼ばれ、物理マシンを監視および実行します。SP ではなく、Logical Domains Manager が論理ドメイン自体を管理します。
制御ドメイン。Logical Domains Manager がこのドメインで動作することにより、ほかの論理ドメインを作成および管理したり、仮想リソースをほかのドメインに割り当てたりできるようになります。制御ドメインは、サーバーごとに 1 つだけ存在できます。制御ドメインは、Oracle VM Server for SPARC ソフトウェアをインストールするときに最初に作成されるドメインです。制御ドメインの名前は primary です。
サービスドメイン。サービスドメインは、仮想スイッチ、仮想コンソール端末集配信装置、仮想ディスクサーバーなどの仮想デバイスサービスをほかのドメインに提供します。どのドメインも、サービスドメインとして構成できます。
I/O ドメイン。I/O ドメインは、PCI EXPRESS (PCIe) コントローラ内のネットワークカードなどの物理 I/O デバイスに直接アクセスできます。I/O ドメインは PCIe ルートコンプレックスを所有するか、直接 I/O (DIO) 機能を使用して PCIe スロットまたはオンボードの PCIe デバイスを所有することができます。Oracle VM Server for SPARC 3.1 管理ガイド のPCIe エンドポイントデバイスの割り当てによる I/O ドメインの作成を参照してください。
I/O ドメインは、I/O ドメインがサービスドメインとしても使用される場合に、仮想デバイスの形式でほかのドメインと物理 I/O デバイスを共有できます。
ルートドメイン。ルートドメインには PCIe ルートコンプレックスが割り当てられます。このドメインは、そのルートコンプレックスの PCIe ファブリックを所有し、ファブリックのエラー処理などのファブリック関連のサービスをすべて提供します。ルートドメインは I/O ドメインでもあり、物理 I/O デバイスを所有し、それらに直接アクセスできます。
保持できるルートドメインの数は、プラットフォームアーキテクチャーによって決まります。たとえば、オラクルの SPARC T4-4 サーバーを使用している場合は、最大 4 つのルートドメインを保持できます。
ゲストドメイン。ゲストドメインは非 I/O ドメインであり、1 つ以上のサービスドメインによって提供される仮想デバイスサービスを利用します。ゲストドメインには物理 I/O デバイスが存在しません。仮想ディスクや仮想ネットワークインタフェースなどの仮想 I/O デバイスのみが存在します。
多くの場合、Oracle VM Server for SPARC システムに存在するただ 1 つの制御ドメインが、I/O ドメインやサービスドメインによって実行されるサービスを提供します。冗長性とプラットフォーム保守性を向上させるには、Oracle VM Server for SPARC システム上で複数の I/O ドメインを構成することを検討してください。