第 1 章 Oracle VM Server for SPARC 安全概述
Oracle VM Server for SPARC 使用的安全功能
将常规安全原则应用到 Oracle VM Server for SPARC
对策:规划 Oracle VM Server for SPARC 域迁移
对策:使用 Logical Domains Manager 权限
Oracle VM Server for SPARC 为 Oracle 的 SPARC T 系列服务器以及 SPARC M5 服务器和 Fujitsu M10 系统提供高效的企业级虚拟化功能。使用 Oracle VM Server for SPARC 软件,可以在单个系统上创建许多虚拟服务器(称为逻辑域)。通过这种配置,可以利用由这些 SPARC 服务器和 Oracle Solaris OS 提供的海量线程规模。
逻辑域是一种包含离散的逻辑资源分组的虚拟机。逻辑域在单个计算机系统内具有自己的操作系统和身份。可以单独创建、销毁、重新配置及重新引导每个逻辑域,而无需对服务器执行关开机循环。可以在不同的逻辑域中运行各种应用程序软件,并使其保持相互独立,以获得相应的性能和安全。
有关使用 Oracle VM Server for SPARC 软件的信息,请参见Oracle VM Server for SPARC 3.1 管理指南 和Oracle VM Server for SPARC 3.1 Reference Manual 。有关必需硬件和软件的信息,请参见Oracle VM Server for SPARC 3.1.1.1, 3.1.1, and 3.1 Release Notes 。
图 1-1 支持两个逻辑域的虚拟机管理程序
Oracle VM Server for SPARC 软件使用以下组件提供系统虚拟化:
虚拟机管理程序。虚拟机管理程序是一个小固件层,提供了一种稳定的虚拟机体系结构,可在其中安装操作系统。使用虚拟机管理程序的 Oracle Sun 服务器提供了一些硬件功能,通过这些功能可支持虚拟机管理程序在逻辑域中控制操作系统活动。
特定的 SPARC 虚拟机管理程序所支持的域数量和每个域的功能是与服务器相关的特性。虚拟机管理程序可以向给定的逻辑域分配服务器的 CPU、内存和 I/O 资源的子集。通过此分配便可以同时支持多个操作系统,每个操作系统均位于自己的逻辑域内。资源可在不同的逻辑域之间以任意粒度重新排列。例如,可以按 CPU 线程为粒度将 CPU 分配给逻辑域。
服务处理器 (service processor, SP) 也称为系统控制器 (system controller, SC),用于监视和运行物理计算机。管理逻辑域本身的是 Logical Domains Manager,而不是 SP。
控制域。Logical Domains Manager 在此域中运行,支持您创建和管理其他逻辑域,以及向其他域分配虚拟资源。每台服务器只能有一个控制域。控制域是在安装 Oracle VM Server for SPARC 软件时创建的第一个域。控制域名为 primary。
服务域。服务域为其他域提供虚拟设备服务(例如,虚拟交换机、虚拟控制台集中器和虚拟磁盘服务器)。任何域都可以配置为服务域。
I/O 域。I/O 域对物理 I/O 设备(例如 PCI EXPRESS (PCIe) 控制器中的网卡)具有直接访问权限。I/O 域可以拥有 PCIe 根联合体,也可以通过使用直接 I/O (direct I/O, DIO) 功能拥有 PCIe 插槽或板载 PCIe 设备。请参见Oracle VM Server for SPARC 3.1 管理指南 中的通过分配 PCIe 端点设备创建 I/O 域。
当 I/O 域也用作服务域时,I/O 域能够以虚拟设备形式与其他域共享物理 I/O 设备。
根域。根域分配有 PCIe 根联合体。此域拥有该根联合休的 PCIe 结构,并提供所有与结构相关的服务,如结构错误处理。根域也是 I/O 域,因为它拥有对物理 I/O 设备的直接访问权限。
您可以拥有的根域的数量取决于您的平台体系结构。例如,如果您使用的是 Oracle 提供的 SPARC T4-4 服务器,则最多可以有四个根域。
来宾域。来宾域是非 I/O 域,它使用由一个或多个服务域提供的虚拟设备服务。来宾域不具有任何物理 I/O 设备。来宾域只有虚拟 I/O 设备(例如虚拟磁盘和虚拟网络接口)。
通常,Oracle VM Server for SPARC 系统只有一个控制域,用于提供由 I/O 域和服务域执行的服务。要提高冗余和平台可维护性,请在 Oracle VM Server for SPARC 系统上配置多个 I/O 域。