Nghiên cứu các vấn đề an ninh của trung tâm dữ liệu ảo và ứng dụng

ột ự án nghiên cứu các hoạt động thao t ng các hoạt động sơ suất trong môi trường ảo hóa 25 VHD Virtual Hard Disk Đĩa cứng ảo theo công nghệ Microsoft 26 VLAN Virtual Local Area Netw

BỘ GIÁO DỤC VÀ ĐÀO TẠO

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TP HCM

-

PHẠM LIỆU

NGHIÊN CỨU CÁC VẤN ĐỀ AN NINH CỦA

TR NG T Ệ VÀ ỨNG DỤNG

LUẬN VĂN THẠC SĨ KỸ THUẬT

Chuyên ngành: CÔNG NGHỆ THÔNG TIN

Mã ngành: 60480201

TP HỒ CHÍ MINH, tháng 11 năm 2017

BỘ GIÁO DỤC VÀ ĐÀO TẠO

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TP HCM

-

PHẠM LIỆU

NGHIÊN CỨU CÁC VẤN ĐỀ AN NINH CỦA

TR NG T Ệ VÀ ỨNG DỤNG

LUẬN VĂN THẠC SĨ KỸ THUẬT

Chuyên ngành: CÔNG NGHỆ THÔNG TIN

Mã ngành: 60480201 CÁN BỘ HƯỚNG DẪN KHOA HỌC:TS Đ NG TRƯỜNG SƠN

TP HỒ CHÍ MINH, tháng 11 năm 2017

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TP HCM

Cán bộ hướng dẫn khoa học : TS Đặng Trường Sơn

Luận văn Thạc sĩ được bảo vệ tại Trường Đại học Công nghệ TP HCM

ngày 19 tháng 11 năm 2017

Thành phần Hội đồng đánh giá Luận văn Thạc sĩ gồm:

(Ghi rõ họ, tên, học hàm, học vị của Hội đồng chấm bảo vệ Luận văn Thạc sĩ)

Xác nhận của Chủ tịch Hội đồng đánh giá Luận sau khi Luận văn đã được sửa chữa (nếu có)

Chủ tịch Hội đồng đánh giá LV

TRƯỜNG ĐH CÔNG NGHỆ TP HCM CỘNG HOÀ XÃ HỘI CHỦ NGHĨA V ỆT NAM

VIỆN ĐÀ TẠ SA ĐẠI HỌC Độc lập - Tự do - Hạnh Phúc

TP HCM, ngày 19 Tháng 11 năm 2017

NHIỆM VỤ LUẬN VĂN THẠC SĨ

Họ tên học viên: Phạm Liệu Giới tính: Nam

Ngày, tháng, năm sinh: 17/08/1979 Nơi sinh: Quảng Ngãi

Chuyên ngành: Công Nghệ Thông Tin MSHV: 1541860014

I- Tên đề tài:

Nghiên Cứu Các Vấn Đề An Ninh Của Trung Tâm Dữ Liệu Ảo Và Ứng Dụng

II- Nhiệm vụ và nội dung:

Nghiên cứu các vấn đề an ninh của Trung tâm dữ liệu ảo

Sau đó xây dựng thử nghiệm Trung tâm dữ liệu ảo cho Trường Đại Học

III- Ngày giao nhiệm vụ: 11/04/2017

IV- Ngày hoàn thành nhiệm vụ: 22/08/2017

V- Cán bộ hướng dẫn: TS Đặng Trường Sơn

CÁN BỘ HƯỚNG DẪN KHOA QU N LÝ CHUYÊN NGÀNH

(Họ tên và chữ ký) (Họ tên và chữ ký)

Ờ CA Đ AN

Tôi xin cam đoan những nghiên cứu được trình ày trong luận văn này là hoàn toàn do chính tôi viết, kết quả nêu trong luận văn là trung thực, không vi phạm bất cứ điều gì trong luật sở hữu trí tuệ và pháp luật Việt Nam

Trong quá trình làm luận văn tôi có tham khảo các tài liệu có liên quan và đã ghi rõ nguồn tài liệu tham khảo đó

Nội dung luận văn này chưa được trình bày hoàn chỉnh trong bất cứ luận văn nào khác

Tác giả luận văn

Phạm Liệu

Ờ C ƠN

Đầu tiên, tôi xin được gởi lời tri n s u s c đến Thầy TS Đặng Trường Sơn, người thầy đã tận tình hướng ẫn và động viên tôi su t thời gian học tậ , nghiên cứu và thực hiện luận văn này

Xin được cám ơn các Giảng Viên Khoa Công nghệ Thông tin, Trường Đại học Công Nghệ TP.HC đã giảng dạy, truyền đạt kiến thức cho tôi trong thời gian học chương trình Cao học tại Trường

Xin được cảm ơn ThS Lâm Vi Qu c Hưng Trưởng phòng IT Trường Đại Học Nguy n Tất Thành đã h trợ, động viên tôi trong quá trình thực hiện luận văn

Cu i c ng, tôi mu n ày t l ng iết ơn s u s c đến gia đình luôn là đi m tựa vững ch c và tiế thêm nghị lực gi tôi hoàn thành t t luận văn này

T HC , ngày 19 tháng 11 năm 2017 Tác giả luận văn

Phạm Liệu

3 T ình q ình dựn T n dữ liệ ả hử n hiệ , phân tích

q ả v đ nh i

ABSTRACT

Nowadays, information technology in the world is developing rapidly in terms of quantity and variety of data Old technologies has gradually shown many limitations and no longer fit the practical needs

So virtualization is the ideal solution for businesses as well as universities in building their Data Center

Building Virtualized Data Center for University will support:

- Digitize the student services, training and training management

- Centralized network infrastructure

- Low investment cost

- Centralized and simplified administration

- Improve technologies, enhance the Unive si ’s es i e

The thesis consists of three parts:

1 Overview of virtualization technologies from three vendors: VMware, Microsoft, Cisco

2 Analyze the security risks of the Virtual Data Center, thereby introducing security mechanisms and policies such as: virtualization layer security, data warehouse security, and other virtualization component security But with a combination of other security solutions such as authentication, Firewall, SSL-VPN, load balancing All those aim at building the high secure virtual data center

3 Present the process of building the exprimental Virtual Data Center, it analyzing and evaluating

ỤC ỤC

LỜ C ĐO N i

LỜ CẢ N ii

TÓM TẮT iii

ABSTRACT iv

ỤC LỤC v

D NH ỤC KÝ H ỆU, TỪ V ẾT TẮT viii

D NH ỤC HÌNH VẼ / BẢNG x

CHƯ NG 1 T NG U N V C C CÔNG NGHỆ ẢO HO 4

1.1 Giới thiệu công nghệ ảo hóa 4

1.1.1 Hypervisor Type 1 (Bare-Metal Hypervisor) 4

1.1.2 Hypervisor Type 2 (Hosted Hypervisor) 5

1.2 Công nghệ ảo hóa V ware 6

1.2.1 Kiến tr c của V ware ESX và ESXi 7

1.2.2 ột s công nghệ h trợ ảo hóa của V ware 10

1.3 Công nghệ ảo hóa icrosoft 16

1.3.1 Kiến tr c của Hy er-V 16

1.3.2 ột s công nghệ h trợ ảo hóa của Hy er-V 19

1.4 Các công nghệ ảo hóa hạ tầng mạng của Cisco 30

1.4.1 VLAN (Virtual Local Area Network) 31

1.4.2 GRE (Generic Routing Encapsulation) 32

1.4.3 VRF (Virtual Routing and Forwarding) 34

1.4.4 MPLS (Multi-Protocol Label Switching) 36

1.5 Giới thiệu một s công nghệ ảo hóa khác 37

1.5.1 KVM Hypervisor 37

1.5.2 Citrix XEN Hypervisor 38

1.5.3 OpenVZ 39

1.5.4 ột s công nghệ ảo hóa ng Hy ervisor Ty e-2 39

1.5.5 Giới thiệu ự án O enStack 39

1.6 Ứng ụng công nghệ ảo hóa trong x y ựng Trung t m ữ liệu 40

CHƯ NG 2 CH NH S CH N N NH CHO TRUNG T D L ỆU ẢO 43

2.1 Những nguy cơ ảo mật của Trung t m ữ liệu ảo 43

2.1.1 Nguy cơ tấn công vào lớ Hy ervisor 43

2.1.2 Tấn công Guests (máy ảo) từ giao iện quản trị trên Hy ervisor 45

2.1.3 Nguy cơ tấn công lớ Hy ervisor từ máy Guest 45

2.1.4 Nguy cơ tấn công mạng L N ảo 48

2.1.5 Nguy cơ tấn công thiết ị lưu trữ ảo 49

2.1.6 Các nguy cơ ảo mật khác 50

2.2 Các cơ chế và chính sách ảo mật cho hệ th ng ảo hóa 52

2.2.1 Cô lậ các máy chủ ảo (Guest OS solation) 53

2.2.2 Giám sát các máy chủ ảo (Guest OS onitoring) 54

2.2.3 Bảo mật Image và Snapshot 54

2.2.4 Bảo mật máy chủ ảo hóa (Hy ervisor security) 55

2.2.5 Bảo mật máy chủ ảo (Guest OS) 57

2.2.6 Bảo mật hạ tầng ảo hóa (Virtualize nfrastructure Security) 58

2.3 n ninh và ảo mật cho trung t m ữ liệu 59

2.3.1 Firewall cho Trung t m ữ liệu ảo 59

2.3.2 Các chức năng cơ ản của Firewall 60

2.3.3 Các chức năng mở rộng của Firewall 60

2.3.4 Hệ th ng PS cho Trung t m ữ liệu ảo 61

2.3.5 Hệ th ng Secure We Gateway cho Trung t m ữ liệu ảo 62

2.3.6 Các giải há tri n khai an ninh mạng cho trung t m ữ liệu 62

2.4 An toàn truy cậ ằng xác thực hai yếu t RS Secur D 65

2.4.1 Các thành hần của RS Secur D 66

2.4.2 RSA SecurID Authenticators 67

2.4.3 RSA Authentication Agent 67

2.4.4 RSA Authentication Manager 67

2.4.5 Hoạt động giải há xác thực RS Secur D 68

2.4.6 Thuật toán tạo Tokenco e 69

2.4.7 Ưu đi m của RS Secur D 71

2.5 Các cơ chế ảo mật khác 71

2.5.1 Bảo mật VPN cho Trung t m ữ liệu ảo 72

2.5.2 X y ựng Cluster cho Trung t m ữ liệu ảo 73

CHƯ NG 3 TH ẾT KẾ TRUNG TÂM D LIỆU ẢO CHO TRƯỜNG ĐẠI HỌC.76 3.1 Khảo sát hiện trạng Trung t m ữ liệu của Trường ĐH Nguy n Tất Thành 76 3.2 Nhu cầu về Trung t m ữ liệu ảo của Trường ĐH Nguy n Tất Thành 78

3.3 Các yêu cầu nghiệ vụ và an ninh của Trung t m ữ liệu ảo ĐH Nguy n Tất Thành 78

3.4 Thiết kế Trung t m ữ liệu ảo an toàn cho ĐH Nguy n Tất Thành 80

3.4.1 Các thành hần cấu thành Trung t m ữ liệu ảo hóa 80

3.4.2 Thiết kế Trung t m ữ liệu ảo hóa cho ĐH Nguy n Tất Thành 81

3.4.3 uản trị và vận hành Trung t m ữ liệu 87

3.5 Tri n khai các iện há an ninh 87

3.5.1 Cấu hình High vaila ility cho hạ tầng Virtualize Datacenter 89

3.5.2 Cài đặt và cấu hình hệ th ng chứng thực và ki m soát truy cậ 95

3.5.3 Cài đặt và cấu hình hệ th ng giám sát và cảnh áo 99

3.5.4 Tri n khai các chính sách an ninh Trung t m ữ liệu ảo hóa 100

3.6 Các thử nghiệm 106

3.6.1 Thử nghiệm tính sẵn sàng cao (High availa ility) 106

3.6.2 Thử nghiệm tính ảo mật 106

3.6.3 Thử nghiệm tính năng an ninh truy cậ từ xa 107

3.6.4 Đánh giá kết quả thử nghiệm 108

KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 110

TÀI LIỆU THAM KHẢO

ANH ỤC KÝ H Ệ , TỪ V ẾT TẮT

STT Ký hiệu/

Ghi chú

1 ACL Access Control List

Danh sách điều khi n truy cậ

2 ARP Address Resolution Protocol

Phương thức h n giải địa chỉ C từ địa chỉ P

3 CVE

Common Vulnerabilities and Exposures

Danh sách nhận iện các l hổng ảo mật được công

4 GLBP Gateway Load Balancing Protocol

Giao thức c n ằng tải cho cổng giao tiế internet

5 GRE Generic Routing Encapsulation

Giao thức định tuyến ằng hương thức đóng gói

6 IDS Intrusion Detection System

Hệ th ng nhận ạng các ấu hiệu tấn công mạng

7 IPS Intrusion Prevention System

Hệ th ng h ng ch ng các ấu hiệu tấn công mạng

8 KVM Kernel-based Virtual Machine

Công nghệ ảo hóa máy chủ mã nguồn mở

9 LDAP Lightweight Directory Access Protocol

Phương thức xác thực tậ trung ựa trên anh mục

10 MBR

Master Boot Record

Bảng anh sách các h n v ng trên đĩa cứng và chỉ định h n v ng được hé khởi động Hệ điều hành

11 MPLS Multi-Protocol Label Switching

Giao thức chuy n mạch nhãn giữa các Router

12 NAS Network Attach Storage

Thiết ị lưu trữ ữ liệu có kết n i mạng

13 NGFW Next Generation Firewall

14 OTP One-time password

15 QEMU Quick Emulator

Công nghệ ảo hóa và giả lậ máy tính mã nguồn mở

16 SAN Storage Area Network

17 SMNP Simple Network Management Protocol

Giao thức giám sát hệ th ng qua mạng

STT Ký hiệu/

Ghi chú

18 SSL

Secure Sockets Layer

Lớ ảo mật ữ liệu truyền trên mạng ằng hương

19 SWG Sercure Web Gateway

Cổng ảo mật truy cậ ằng giao thức We

20 UAG

Unified Access Gateway

Cổng cho hé truy cậ từ ên ngoài vào hệ th ng

21 UTM Unified Thread Management

22 vDatacenter Virtualized Data Center

23 VDI Virtual desktop infrastructure

24 VENOM

Virtual Environment Neglected Operations Manipulation

ột ự án nghiên cứu các hoạt động thao t ng các

hoạt động sơ suất trong môi trường ảo hóa

25 VHD Virtual Hard Disk

Đĩa cứng ảo (theo công nghệ Microsoft)

26 VLAN Virtual Local Area Network

27 VMDK Virtual Machine Disk

Đĩa cứng ành cho máy ảo (công nghệ VMware)

28 VMM Virtual Machine Management

Hệ quản trị các hệ th ng ảo hóa máy tính

29 VPS Virtual Private Server

30 VRF Virtual Routing and Forwarding

Router ảo ng cho việc chuyền các gói tin ra ngoài

31 vSAN Virtualized SAN

32 WMI

Windows Management Instrumentation

Phương tiện hục vụ cho các ứng ụng giám sát các

33 zoombie

Thuật ngữ ám chỉ các máy tính đã ị nhiệm hần mềm độc hại Hacker sẽ điều khiền máy tính ị nhi m đ tấn công đồng loạt vào máy chủ nào đó

ANH ỤC HÌNH VẼ

Hình 1 1 ô hình Hy ervisor Ty e 1 4

Hình 1 2 ô hình Hy ervisor Ty e 2 5

Hình 1 3 ô hình onolithic Hy ervisor 7

Hình 1 4 Kiến tr c của V ware ESX 8

Hình 1 5 Kiến tr c của V ware ESXi 9

Hình 1 6 ô tả công nghệ v otion và Storage v otion 10

Hình 1 7 ô hình công nghệ Distri uted switch 12

Hình 1 ô hình công nghệ Network /O Control (N OC) 13

Hình 1 ô tả High vaila ility của vS here 14

Hình 1 10 ô tả hoạt động Fault Tolerance của vS here 15

Hình 1 11 ô hình icrokernelize Hy ervisor 17

Hình 1 12 Kiến tr c của icrosoft Hy er-V 18

Hình 1 13 ô tả công nghệ Cluster Share Volumes 21

Hình 1 14 Kiến tr c công nghệ Dynamic emory 22

Hình 1 15 Khả năng h trợ CPU và R của Win ows Server 2012 R2 22

Hình 1 16 ô tả công nghệ Hy er-V Replica 24

Hình 1 17 Kiến tr c Virtual achine anager 2012 25

Hình 1 1 ô tả công nghệ VL N 31

Hình 1 1 ô tả hình thức đóng gói GRE 32

Hình 1 20 Cấu tr c gói tin GRE 32

Hình 1 21 ô tả Point-to-Point-GRE 33

Hình 1 22 ô tả Point to ulti oint (mGRE) 34

Hình 1 23 Ảo hóa Router với VRF 35

Hình 1 24 Hoạt động của giao thức PLS 36

Hình 1 25 KV Hy ervisor Architecture 38

Hình 1 26 Xen Para-virtualization và Full-virtualization Architecture 39

Hình 1 27 O enstack quản trị các công nghệ ảo hóa khác nhau 40

Hình 1 2 ô tả Trung t m ữ liệu ảo hóa đầy đủ 41

Hình 2 1 Nguy cơ tấn công vào V trên Hypervisor type-1 44

Hình 2 2 Ph n cấ đặc quyền truy cậ CPU của Hy er-V 47

Hình 2 3 Ph n cấ ảo mật của Xen Paravirtualization 47

Hình 2 4 Nguy cơ Sniffing trong Virtualize DataCenter 49

Hình 2 5 inh họa tấn công Distri ute Deny of Service 50

Hình 2 6 inh họa tấn công Session Hi acking 51

Hình 2 7 ô hình an ninh e icate solutions 63

Hình 2 ô hình an ninh Unifie Threa anagement Solutions 64

Hình 2 ô hình an ninh Bla e Solutions 64

Hình 2 10 ô hình an ninh Virtualization Solutions 65

Hình 2 11 ô hình xác thực 2 yếu t Secur D 66

Hình 2 12 uá trình xác thực ằng RS Secur D 69

Hình 2 13 Thuật toán ăm của Tokenco e 70

Hình 2 14 Kết n i SSL-VPN cho các LAN khác nhau trong DataCenter 73

Hình 2 15 ô hình High vaila ility cho Trung t m ữ liệu 74

Hình 3 1 Kiến tr c ảo mật cho Trung t m ữ liệu ảo hóa 81

Hình 3 2 Thiết kế hạ tầng mạng cho Trung t m ữ liệu ảo hóa 82

Hình 3 3 Thiết kế và h n ổ các VL N cho Datacenter 82

Hình 3 4 Thiết kế ảo hóa máy chủ Hy er-V cho Datacenter 83

Hình 3 5 High vaila ility cho hạ tầng Core network 84

Hình 3 6 Fail-over cluster cho kiến tr c ảo hóa Hy er-V 85

Hình 3 7 Fail-over cluster cho Hyper-V và Guest OS 86

Hình 3 Kết n i H cho 2 W N trên Cy eroam Firewall 89

Hình 3 T y chỉnh HA cho 2 WAN trên Cyberoam Firewall 90

Hình 3 10 High vaila ility trên 2 thiết ị Cy eroam Firewall 90

Hình 3 11 GLBP trên 2 Cisco Core Switch 92

Hình 3 12 Tri n khai kết n i mạng cho Hy er-V cluster 93

Hình 3 13 inh họa cấu hình Network Loa Balancing cho Guest OS 95

Hình 3 14 Ứng ụng i động “RS Secur D” làm Token Device 96

Hình 3 15 Bảo mật và ki m soát truy cậ với Forefront U G 97

Hình 3 16 Danh mục các cấu hình ảo mật trên Forefront U G 98

Hình 3 17 Kích hoạt Win ows uto-Update 100

Hình 3 1 Cấu hình VL N cho kết n i mạng của Guest OS 100

Hình 3 1 Kích hoạt ảo vệ ổ đĩa ằng BitLocker rive 101

Hình 3 20 inh họa tri n khai u ate cho Win ows Defen er 101

Hình 3 21 Kết n i VPN ằng giao thức SSTP 105

Đ

ẫn nh

Ngày nay, nền công nghệ thông tin trên thế giới đang hát tri n với t c độ nhanh chóng Ngày càng nhiều sản hẩm tiện ích được hát tri n và đưa đến tay người ng Các công nghệ cũ đã ần ần th hiện nhiều mặt hạn chế và không c n

h hợ với nhu cầu thực ti n nữa, đặc iệt trong thời đi m hội nhậ thì vấn đề cạnh tranh giữa các oanh nghiệ đ chiếm lĩnh thị hần là vô c ng kh c liệt

Do đó, yêu cầu cấp thiết được đặt ra đ i với các tổ chức là giảm thi u chi hí

mà vẫn đạt được các mục tiêu Trong lĩnh vực công nghệ thông tin thì ng nghệ

h là giải há lý tưởng cho các oanh nghiệ , các tổ chức cũng như các trường đại học trong ài toán x y ựng Trung t m ữ liệu của họ

Công nghệ ảo hóa mang lại nhiều lợi ích:

- Cho phép mô ph ng nhiều thiết bị ảo trên nền một thiết bị thật Điều này giúp tận dụng t i đa hiệu năng hoạt động của thiết bị thật

- Cho phép xây dựng hệ th ng mạng với nhiều máy tính, thiết bị với chi phí đầu tư thấp và tri n khai với thời gian nhanh

- Cho phép cân bằng tải linh hoạt

- Cho phép quản trị tập trung, giảm bớt gánh nặng quản trị

- Tiết kiệm điện năng, phí bảo trì, bảo ưỡng

- Cho hé sao lưu trạng thái của máy ảo hoặc thiết bị ảo đ sau này có th khôi phục lại trạng thái đó, nếu cần

Với những lợi ích đó, công nghệ ảo hóa rất thích hợp cho việc xây dựng những Trung tâm Dữ liệu (Data Center) với chi phí thấp

Tuy nhiên, các Trung tâm dữ liệu ảo cũng mang đến nhiều thách thức về an ninh mạng Nghiên cứu về an ninh tại các Trung tâm dữ liệu ảo sẽ giúp giải quyết các vấn đề sau:

- Đảm bảo lớ Hy ervisor được bảo mật đ ng cách

- Ngăn ngừa truy cập trái phép vào hệ th ng ảo hóa với quyền quản trị

- Lập kế hoạch bảo mật cho hệ th ng ảo hóa trước khi cấu hình và cài đặt

- Đưa ra các giải pháp bảo mật toàn diện cho Trung tâm dữ liệu ảo

Mụ tiêu, h vi a u n v n

Với mục tiêu tậ trung nghiên cứu các công nghệ ảo hoá, vấn đề về an ninh

và xây dựng thử nghiệm một Trung tâm dữ liệu ảo cho Trường Đại Học, luận văn

đề ra các nội ung, hạm vi cụ th như sau:

1 T ng uan về an ninh ng h T ung t iệu

Khảo sát kiến trúc công nghệ ảo hóa VMware, Microsoft, Cisco, các công

nghệ h trợ và ứng dụng công nghệ ảo hóa đ xây dựng Trung tâm dữ liệu ảo

 Giới thiệu các công nghệ ảo hóa

- Công nghệ ảo hoá V ware

- Công nghệ ảo hoá icrosoft

- Công nghệ ảo hóa thiết ị mạng của Cisco

 Ứng ụng công nghệ ảo hóa trong x y ựng Trung t m ữ liệu

 Nghiên cứu những nguy cơ ảo mật của Trung t m ữ liệu ảo

- Nguy cơ tấn công vào giao iện quản trị trên máy chủ

- Nguy cơ tấn công lớ Hy ervisor từ máy khách

- Các nguy cơ khác

2 Xây dựng chính sách an ninh cho T ung t iệu

Nghiên cứu các nguy cơ ảo mật của Trung tâm dữ liệu ảo Từ đó đưa ra các

cơ chế, chính sách bảo mật như:

 Bảo mật cho các thành hần của Trung t m ữ liệu ảo

- Bảo mật lớ ảo hóa (Hy ervisor)

- Bảo mật kho ữ liệu (Data Storage)

- Bảo mật các thành hần khác

 Bảo mật kết n i của người quản trị và khách hàng

- Firewall cho Trung t m ữ liệu ảo

- RSA SecurID

- SSL-VPN cho Trung t m ữ liệu ảo

 C n ằng tải cho Trung t m ữ liệu ảo

 Thiết kế hạ tầng mạng an toàn

3 Thiết ế T ung t iệu thử nghiệ h t ường Đ i học

Phần này trình ày quá trình x y ựng mô hình Trung tâm dữ liệu ảo thử nghiệm, phân tích kết quả và đánh giá

 Các yêu cầu nghiệ vụ và an ninh của Trung t m ữ liệu ảo

 Thiết kế Trung t m ữ liệu ảo an toàn

 Tri n khai các iện há an ninh

 Thử nghiệm và đánh giá

ụ a lu n v n

Luận văn gồm các chương sau:

 Chương 1: Trình bày về kiến trúc công nghệ ảo hóa VMware, Microsoft,

Cisco, kèm theo đó là các công nghệ h trợ Ở cu i chương là hần ứng

dụng công nghệ ảo hóa đ xây dựng Trung tâm dữ liệu ảo – xu thế của các Trung tâm dữ liệu hiện đại

 Chương 2: Nghiên cứu các nguy cơ ảo mật của Trung tâm dữ liệu ảo

Từ đó đưa ra các cơ chế, chính sách bảo mật như: ảo mật lớp ảo hóa, bảo mật kho dữ liệu và bảo mật các thành phần ảo hóa khác Song song

với đó là kết hợp nhiều giải pháp bảo mật khác như: xác thực, Firewall,

SSL-VPN, cân bằng tải,… tất cả nhằm vào mục đích x y ựng một Trung tâm dữ liệu ảo đạt độ an toàn cao

 Chương 3: Trình bày quá trình xây dựng mô hình Trung tâm dữ liệu ảo

thử nghiệm, phân tích kết quả và đánh giá

 Cu i cùng là kết u n v Hướng h t t i n

CHƯƠNG 1

T NG AN VỀ C C C NG NGHỆ H 1.1 Giới thiệu ng nghệ hóa

Ảo hóa là công nghệ mô ph ng thiết bị phần cứng dựa trên nền một thiết bị vật lý có sẵn Ảo hóa đã xuất hiện từ khá l u như ảo hóa thiết bị Switch, giả lập Router, giả lậ máy tính Nhưng k từ khi hãng Intel tích hợp công nghệ ảo hóa vào chip vi xử lý thì ảo hóa mới thực sự bùng nổ Hầu hết các thiết bị vật lý đều có th

ảo hóa như: máy chủ, ổ đĩa cứng, ổ đĩa mạng (NAS hoặc SAN), Switch, Router, tường lửa (Firewall),…

Công nghệ ảo hóa sử dụng một lớp phần mềm có tên là Hypervisor chạy trên

hệ th ng phần cứng vật lý và tạo ra các hệ th ng ảo, h trợ các hệ th ng ảo truy cập

hệ th ng vật lý, có trách nhiệm quản trị và phân ph i tài nguyên thật cho các máy

tính, thiết bị ảo Có 2 loại (type) hoạt động cơ ản: Hypervisor Type 1 (Bare-Metal

Hypervisor) v Hypervisor Type 2 (Hosted Hypervisor): mô ph ng phần cứng, các

hệ điều hành hoạt động trên máy ảo sẽ truy cập trực tiếp vào phần cứng mô ph ng này

1.1.1 Hypervisor Type 1 (Bare-Metal Hypervisor)

ình 1 Mô hình Hypervisor Type 1 http://tuhocmang.com/chuyen-de-tu-hoc/hyper-v-tim-hieu-ve-hypervisor.html

- Bare-metal Hypervisor : chạy trực tiếp trên phần cứng máy chủ (server), có toàn quyền điều khi n phần cứng (host hardware)

- Ưu đi m : Bare-metal Hypervisor chạy trực tiếp trên phần cứng máy chủ (server), có toàn quyền điều khi n phần cứng (host hardware) cho nên nó

cung cấp hiệu suất và khả năng ảo mật t t hơn

- Hypervisor giao tiếp với phần cứng vật lý qua trình điều khi n thiết bị phần cứng (Drivers)

- Nhược đi m: mất nhiều thời gian trong quá trình tri n khai cũng như quản

lý

Những Hypervisor thuộc họ Type 1: Microsoft Hyper-V, VMware

ESX/ESXi, Citrix Xen Server,…

1.1.2 Hypervisor Type 2 (Hosted Hypervisor)

ình 2 Mô hình Hypervisor Type 2

http://tuhocmang.com/chuyen-de-tu-hoc/hyper-v-tim-hieu-ve-hypervisor.html

- Hosted Hypervisor chạy trên Hệ điều hành của máy vật lý (Host Operating System) như là một ứng dụng, Khi một máy ảo truy xuất tài nguyên thì

Hosted Hypervisor sẽ thay thế máy ảo đó gửi yêu cầu tới Host OS đ yêu cầu thực hiện Host OS sẽ liên lạc với lớp Drivers Drivers sẽ liên lạc với lớp

phần cứng vật lý

- Ưu đi m: việc cài đặt đơn giản

- Nhược đi m: Tài nguyên phần cứng do Hệ điều hành của máy vật lý quản lý

và phân chia cho Hypervisor cho nên phụ thuộc nhiều vào Hệ điều hành của

máy vật lý

- Đ i với tất cả các loại máy vật lý khác nhau thì Hosted Hypervisor mô ph ng

phần cứng máy ảo là như nhau Phần cứng ảo chỉ có th thay đổi theo

version của Hypervisor

Sản phẩm tiêu bi u cho Hypervisor Type-2 đó là: VMware Workstation, Oracle Virtualbox, Microsoft Virtual PC, Re Hat KV …

Có 2 mứ độ o hóa máy ch đó Para-virtualization và virtualization

Full ParaFull virtualization (ảo hóa song song): phần cứng máy ảo là những thiết bị giả lập Para-virtualization cho phép ảo hóa máy chủ trên những thiết bị phần cứng không h trợ ảo hóa như x 6 architecture CPU hoặc x64 CPU không có công nghệ ảo hóa (Virtualized Technology - VT)

- Full-virtualization ( ảo hóa toàn phần): phần cứng máy ảo được ảo hóa từ phần cứng của máy thật Full-virtualization yêu cầu phần cứng máy thật phải

h trợ công nghệ ảo hóa

1.2 C ng nghệ hóa VMware

Theo thông tin từ website http://www.VMware.com/vmtn/resources cũng

như các nhà h n h i sản hẩm VMware: VMware vSphere cung cấ nhiều tính

năng hữu dụng cho việc xây dựng và quản lý cơ sở hạ tầng của trung tâm dữ liệu ảo

hóa, VMware vSphere gồm có 3 thành phần chính:

- VMware ESX hoặc ESXi: là lớp Hypervisor Type 1

- VMware vCenter Server: cung cấp tiện ích trong việc quản lý tập trung cho

tất cả máy chủ ESX / ESXi và các máy ảo tương ứng

- VMware vSphere Client / vSphere Web Client là một ứng dụng cho phép

quản lý trực tiếp các máy chủ ESX hoặc ESXi hoặc thông qua một vCenter Server

1.2.1 Kiến trúc c a VMware ESX và ESXi

VMware ESX (Elastic Sky X) và VMware ESXi (Elastic Sky X Integrated) sử dụng Hypervisor Type 1 cải tiến thành phân hệ Monolithic Hypervisor

- Nó mang lại hiệu suất cao nhờ lớp ảo hóa Monolithic Hypervisor trực tiếp dùng Driver điều khi n thiết bị phần cứng, trực tiếp truy cậ đến phần cứng Lớp ảo hóa này điều khi n tất cả các thành phần của ảo hóa (virtualization products), mà không cần đến sự h trợ của hệ điều hành nào

- Thời gian khởi động phụ thuộc vào tải trọng của Device Drivers mà Hypervisor phải nạp, cho nên cần nhiều thời gian khởi động lớp Monolithic Hypervisor

ình 3 Mô hình Monolithic Hypervisor

ồn: https://www.atlantech.net/blog/hyper-v-vs.-vmware-which-is-best)

- Đi m hạn chế của M n li hic e vis l không phải bất kỳ phần cứng nào cũng được Monolithic Hypervisor h trợ sẵn Driver Trong đó, ESXi là cải tiến của ESX, VMware ESX và ESXi chính là lớp Hypervisor, là c t l i của công nghệ ảo hóa VMware

Service Console và VMkernel là hai thành hần tương tác với nhau đ cung

cấp một môi trường ảo hóa năng động và mạnh mẽ cho VMware ESX:

ình 4 Ki n trúc của VMware ESX ồn: https://geeksilver.wordpress.com/category/vmware-technology/vmware-vsphere-

4-01/page/2/)

- Service Console có th xem như là hệ điều hành, được sử dụng đ h trợ

người quản trị tương tác với VMkernel và các máy ảo

- Các dịch vụ Service Console bao gồm như:

o Hardware Monitoring Agent: giám sát hoạt động của hệ th ng bằng SNMP (Simple Network Management Protocol)

o System Management Agents: các dịch vụ quản trị hệ th ng như: Firewall,

We Server, uthentication service,…

o CLI command for Config and Support: bộ lệnh cấu hình hệ th ng và quản

trị

o Infrastructure Agents: các dịch vụ h trợ như NTP (Network Time

Protocol), Syslog (nhật ký event), PXE và TFTP (h trợ boot từ S N),…

- VMkernel chính là lớp Monolithic Hypervisor Nó quản lý, phân ph i truy

cập giữa các máy ảo và các phần cứng vật lý Cung cấp lịch trình CPU, quản

lý bộ nhớ, và quá trình chuy n đổi dữ liệu ảo

V ware ESXi được cài đặt và hoạt động mà không cần Service Console Tất cả các Services được tích hợp vào bên trong lớp VMkernel VMware gọi đ y là

“kiến trúc siêu m ng” (ultra-thin architecture) đạt độ tin cậy cao ESXi giúp cho việc cài đặt, vận hành cũng như quản trị được thực thi nhanh hơn, nhờ ESXi sử dụng công nghệ “Giao iện người ng điều khi n trực tiế ” (Direct Console User Interface - DCUI) thay vì thông qua các Service Console khi thực hiện các tác vụ quản trị

ình 5 Ki n trúc của VMware ESXi

ồn:

https://geeksilver.wordpress.com/category/vmware-technology/vmware-vsphere-4-01/page/2/)

Các thay đổi nổi bật của ESXi so với ESX:

- Tất cả các tác vụ: thực thi lệnh cho việc cấu hình hệ th ng (CLI Command for Config and support), quản trị hệ th ng (Agentless System Management), giám sát hoạt động hệ th ng (Agentless Hardware Monitoring),… đều phải

thực hiện trên máy tính từ xa

- Giám sát, ghi nhận các sự c bằng ESXi Shell thay cho Service Console

- H trợ ghi nhận các l i bảo mật

- VMkernel trực tiếp quản trị thiết bị giao tiếp mạng (Network interface)

- Sử dụng giao thức Common Information Model (C ) đ giám sát hoạt động

phần cứng hệ th ng thay cho SMNP

- VMkernel quản trị giao tiếp mạng cho các tác vụ: vMotion, Fault Tolerance, Storage Connectivity, ISCSI port binding

1.2.2 Một s công nghệ h trợ o hóa c a VMware

VMware đưa ra khá nhiều công nghệ h trợ cho việc cài đặt, vận hành, quản

trị hệ th ng ảo hóa Phần này chỉ giới thiệu một s công nghệ h trợ c t lõi cho một trung tâm dữ liệu ảo

 vMotion và Storage vMotion:

ình 6 Mô tả công nghệ vMotion và Storage vMotion ồn: http://www.unixarena.com/2014/07/vmware-vsphere-interview-questions-part-

1.html/2)

- vMotion Cho phép ta di chuy n các máy ảo đang chạy trên một máy chủ vật

lý này sang một máy chủ vật lý khác mà không làm gián đoạn quá trình hoạt động của máy ảo đó Toàn bộ cấu hình máy được giữ nguyên sau khi di chuy n

- Storage vMotion di chuy n các thiết bị lưu trữ (storage devices) của máy ảo

từ Data stores này đến Data stores khác mà không gián đoạn quá trình hoạt

động của thiết bị lưu trữ đó

 Distributed Resource Scheduler (DRS)

- Tạo ra Resource Cluster bao gồm một nhóm nhiều máy vật lý ESXi DRS

tiến hành phân bổ máy ảo hoạt động trên máy vật lý sao cho hợp lý nhất về mặt hiệu năng

- Khi có một máy ảo mới được khởi động, DRS sẽ tìm máy chủ vật lý nào chưa sử dụng hoặc có mức hoạt động thấ trong cluster đ khởi động máy ảo này trên máy chủ vật lý đó

- Bằng cách luôn giám sát nhu cầu tài nguyên vật lý của các máy ảo trong

cluster và dùng vMotion đ di chuy n máy ảo giữa các máy vật lý trong

cluster, DRS đảm bảo cho các máy vật lý cân bằng về mặt chịu tải trong su t quá trình hoạt động

 Distributed Power Management (DPM)

- Tương tự như DRS, DP ki m tra và tự động dùng vMotion đ di chuy n

máy ảo giữa các máy vật lý theo tiêu chí: giải phóng máy ảo ra kh i máy vật

lý nào đó trong cluster nếu có th - power off máy vật lý được giải phóng

nhằm tiết kiệm điện năng và kéo ài tuổi thọ

- Nếu có máy vật lý trong cluster bị quá tải, DPM sẽ tự động power on máy

vật lý đang off đ chia tải

 Storage DRS:

- Với cơ chế hoạt động tương tự như DRS, Storage DRS phân b thiết bị lưu trữ của các máy ảo đó đến các kho lưu trữ (Data stores) một cách tự động nhằm cân bằng tải cho các Data stores

- Công nghệ Storage DRS đảm bảo không xảy ra tình trạng th t cổ chai khi có

quá nhiều máy chủ truy vấn vào cùng một Data stores

- Cân bằng sức chứa dữ liệu giữa các Data stores

- Tạo điều kiện thuận lợi cho việc giám sát, bảo mật, tri n khai Firewall cho

các máy ảo và ESXi servers Đồng thời trợ giúp cho các công nghệ di chuy n tài nguyên trong hệ th ng được d àng hơn

- Distributed Switch là nền tảng đ phát tri n công nghệ Network I/O Control

(NIOC)

 Network I/O Control (NIOC):

- Chỉ h trợ trên thiết bị VMware vSphere Distributed Switch (VDS)

ình 8 Mô hình công nghệ Network I/O Control (NIOC) ồn: http://www.vmwareguruz.com/interview_qa/vsphere6/vsphere-6-network-io-

control-version-3/)

- NIOC cho phép tạo ra các kiến trúc mạng ảo (virtual network) với card

mạng, switch và dây cáp mạng… tạo ra các vùng mạng riêng biệt với chi phí

và thời gian thi công thấp nhất

- Cho phép xây dựng các chính sách (policy) và luật (rule) đ quản lý các

luồng dữ liệu nhằm t i ưu hoạt động của hạ tầng tiêu chuẩn Category 6 (1Gbps), Category 7 (10Gbps) và Category 7A (40Gbps)

 vSphere Replication

- vSphere Replication là công nghệ tạo bản sao tức thời của lớp Hypervisor và

tất cả dữ liệu từ máy chủ vật lý này lên một máy chủ vật lý khác

- Trong quá trình đồng bộ, các dữ liệu cũng được chia nh thành các đoạn và chỉ những đoạn có thay đổi mới được cập nhật

- Máy ảo vẫn chạy và hoạt động ình thường trong quá trình đồng bộ

 High Availability (HA):

- High Availability là công nghệ nhằm nâng cao tính sẵn sàng của các máy ảo

và các máy ESXi Server tham gia cùng một resource cluster (chu i liên kết

các máy ESXi Servers)

ình 9 Mô tả High Availability của vSphere ồn: https://pubs.vmware.com/vsphere-4-esx- vcenter/index.jsp?topic=/com.vmware.vsphere.intro.doc_41/c_vmware_infrastructure_distributed_

services.html)

- Các ESXi Server phải chia sẻ một hệ th ng SAN (Storage Area Network) hoặc NAS (Network Attach Storage) Thiết bị lưu trữ (storage device) của

các máy ảo phải được lưu trữ trên SAN (hoặc NAS) này

- High Availability giám sát thường xuyên tình trạng phần cứng của máy ảo và máy chủ vật lý trong một resource cluster

- Nếu sự c xảy ra làm cho một ESXi Server trong cluster bị ngưng hoạt động (fail), HA sẽ tự động khởi động các máy ảo của máy bị fail trên một hoặc nhiều ESXi Server khác trong cluster

- HA giúp cho thời gian downtime của máy ảo cùng với các dịch vụ của nó

giảm tới mức thấp nhất

o Máy ảo bản sao sẽ được chuy n thành máy ảo g c

o Các công việc sẽ được xử lý tiếp tục mà không xuất hiện downtime

o Các kết n i cũng sẽ được chuy n hướng qua máy ảo thứ hai

o vS here cũng sẽ tự động tạo một bản sao khác của máy ảo đó trên một ESXi Server khác nếu có th

- Ch ý là: Máy ảo bản sao luôn được đồng bộ trạng thái của máy ảo g c Cho nên, nếu máy ảo g c l i do hệ điều hành hoặc các ứng dụng dẫn đến máy bị

t t ngang hoặc treo thì Fault Tolerance không th giúp cho nó hoạt động

ình thường lại được

 Application High Availability (App HA)

- Application High Availability là sự cải tiến của tính năng High Availability truyền th ng, Application High Availability có th tăng cường tính sẵn sàng

của những dịch vụ chạy trên máy ảo

- Application High Availability giám sát các ứng dụng hoặc dịch vụ chạy trên máy ảo Khi dịch vụ hay ứng dụng đó ị ngưng hoạt động thì Application High Availability sẽ tìm cách khởi động lại dịch vụ đó hoặc khởi động lại

máy ảo đó trên máy vật lý khác

- Giúp tiết kiệm chi phí khi nhu cầu phải xây dựng thêm các hệ th ng cluster đ chịu l i

1.3 C ng nghệ hóa Microsoft

Theo các thông tin công nghệ của Microsoft -

http://academic.research.Microsoft.com và -https://technet.Microsoft.com, Hyper-V

là công nghệ ảo hóa được phát tri n bởi hãng Microsoft, rất thích hợp cho việc xây

dựng các trung tâm dữ liệu ảo hóa và điện toán đám m y

1.3.1 Kiến trúc c a Hyper-V

Microsoft phát tri n Hyper-V dựa trên nền tảng Hypervisor Type 1 cải tiến

thành phân hệ Microkernelized Hypervisor

- Lớp ảo hóa Microkernelized Hypervisor không chứa trình điều khi n thiết bị (Device Drivers) Các device Driver hoạt động ngay trên Hệ điều hành chạy trên máy vật lý (lớp Controlling Layer)

- Hyper-V mô ph ng phần cứng ảo từ phần cứng thật Các máy ảo sẽ giao tiếp

với phần cứng thật (Hardware Layer) thông qua device Driver trên Hệ Điều hành máy thật

- Microkernelized Hypervisor có th hoạt động trên bất kỳ phần cứng vật lý nào, chỉ cần Driver phần cứng đó được cài đặt trên Windows máy thật

ình 11 Mô hình Microkernelized Hypervisor

ồn: https://www.atlantech.net/blog/hyper-v-vs.-vmware-which-is-best)

- Thời gian khởi động của lớp Microkernelized Hypervisor rất ng n

- Tiêu t n nhiều tài nguyên hơn đ Hệ điều hành trong Controlling Layer quản

lý giao tiếp giữa các máy ảo và Hypervisor

Công nghệ Hyper-V được Microsoft chính thức áp dụng từ phiên bản Windows Server 2008 Lớp Hypervisor được cài đặt trên một máy chủ vật lý sẽ được chia thành nhiều phân khu (partition) Trong đó, Parent partition là phân khu dành cho Hệ điều hành chính (hoạt động trên máy thật) Nơi này sẽ cung cấp device

Drivers các dịch vụ ảo hóa cho các máy ảo đặt trên m i phân khu con (Child partition)

ình 12 Ki n trúc của Microsoft Hyper-V ồn: https://www.google.com.vn/search?q=microsoft+hyper- v+parent+partition&biw=1280&bih=513&source=lnms&tbm=isch&sa=X&ved=0ahUKEwiXp4

bW7pTSAhVEnZQKHQ5bAicQ_AUIBigB&dpr=1#imgrc=li9mPHMznm4cTM)

 Các chức năng chính của Kernel Mode trên Parent partition:

- Virtualization Service Providers (VSPs): cung cấp phần cứng mô ph ng và

hương thức quản lý các yêu cầu đ truy cập của máy ảo

- HV Drivers (in e en ent har ware ven or Drivers): trình điều khi n thiết bị phần cứng

 Các chức năng chính của User Mode trên Parent partition:

- VM Service: quản lý các máy ảo trên các child partitions

- VM Worker process: chứa thông tin cấu hình và quản lý các tiến trình hoạt

động trên các máy ảo

- WMI Provider: cung cấp công nghệ WMI (Windows Management Instrumentation) nhằm giám sát hoạt động của các phần cứng, ứng dụng,

dịch vụ đ đưa ra các đ i sách thích hợp

 Các chức năng chính của Kernel Mode trên Child partition:

- Virtualization Service Client (VSCs): tạo lớp phần cứng ảo cho máy ảo và chuy n các yêu cầu truy cập phần cứng (thật) qua VPS thông qua VM bus

- VM bus: đường truyền kết n i máy ảo và máy thật

1.3.2 Một s công nghệ h trợ o hóa c a Hyper-V

Theo hướng phát tri n của Hyper-V từ version đầu tiên Windows Server

2008 cho đến Windows Server 2016, Microsoft đưa ra khá nhiều công nghệ h trợ

cho việc cài đặt, vận hành, quản trị hệ th ng ảo hóa Hyper-V

 Những công nghệ cơ bản đã có từ version đầu tiên:

- Broad operating system support: h trợ đa ạng hệ điều hành chạy trên máy

ảo bao gồm cả 32bit lẫn 64bit

- Extensibility: dựa trên Windows Management Instrumentation (WMI) và Application Programming Interfaces (APIs) cho các nhà phát tri n phần

mềm xây dựng công cụ h trợ, tiện ích và cải tiến cho nền tảng áo hóa này

- Quick migration: khả năng i chuy n một máy ảo qua các cluster nodes mà

không làm gián đoạn dịch vụ cũng như không làm mất mát ữ liệu Tuỳ vào thiết bị lưu trữ và kích thước của dữ liệu, quá trình có th mất vài giây hay vài phút

- Authorization Manager: cung cấp ki m soát truy cập của người ng đến Hyper-V và các máy ảo bằng các role-based (nhóm chức năng và quyền hạn

- Windows Failover Clustering: cung cấ tính năng “vượt qua sự s ” với hai mức độ: failover cluster với Guest OS và failover cluster với Hyper-V

- Fail-over cluster với Guest OS: chức năng này được cấu hình trên Hệ Điều

Hành Windows của máy ảo (máy ảo cùng hoặc khác máy vật lý) chạy các ứng dụng, dịch vụ có h trợ

- Fail-over cluster v i Hyper-V: Các máy Hyper-V (máy vật lý) tham gia vào cùng một Cluster Cung cấp một giải pháp có tính sẵn sàng cao cho các guest non-cluster-aware (máy ảo dùng hệ điều hành, ứng dụng và dịch vụ không

h trợ fail-over cluster)

 Những công nghệ hỗ trợ từ Hyper-V Server 2008 R2:

- Live Migration: cho phép di chuy n các máy ảo từ server vật lý này sang

server vật lý khác, nhưng vẫn đảm bảo không có bất kỳ sự gián đoạn nào hay

cảm nhận thời gian downtime bằng cách:

o Đầu tiên, máy ảo trên Node1 (máy vật lý chứa máy ảo nguồn mu n migrate) sẽ được snapshot

o Bản máy ảo g c (trước khi snapshot) sẽ được chuy n sang Node2 (máy vật lý nhận máy ảo sẽ migrate)

o Máy ảo nguồn vẫn hoạt động trên bản sao snapshot Những thay đổi xảy

ra trên máy ảo nguồn trên Node1 sẽ được ghi nhận và đồng bộ liên tục đến Node2

o Khi quá trình di trú máy ảo g c hoàn thành, Node1 sẽ offline máy ảo g c Các phiên truy cậ đến máy ảo g c sẽ được chuy n sang máy ảo đích tại Node2

- Cluster Shared Volumes (CSV): công nghệ cho phép tạo ra một kh i lưu, mà tất cả các node trong Failover Cluster có th đồng thời đọc và ghi lên đó được

o Các máy ảo khác nhau trên các no e khác nhau đều có th lưu trữ các đĩa

cứng ảo (Virtual Hard Disk - VHD) lên trên cùng kh i lượng lưu trữ này

CSV dùng h trợ cho giải pháp Fail-over Clustering và Live Migration được thực thi nhanh hơn, tin cậy hơn

ình 13 Mô tả công nghệ Cluster Shared Volumes ồn: https://letonphat.wordpress.com/2010/12/12/tim-hi%E1%BB%83u-cluster-

shared-volumes-csv-trong-failover-cluster/)

- Hot adding and hot removal of storage: cho hé thêm hoặc bớt các đĩa cứng

ảo trên các máy ảo trong khi máy ảo đang hoạt động

- Dynamic Memory: là công nghệ cho phép Hyper-V quản lý t i ưu nhu cầu về

bộ nhớ (RAM) của các máy ảo một cách tự động, đ ch ng lãng phí

- Dynamic Memory là chức năng được h trợ từ version Hyper-V Server 2008 R2 - SP1

- Trong kiến trúc Hypervisor h trợ Dynamic emory, icrosoft điều chỉnh Virtualization Service Provider (VSP) và Virtualization Service Client (VSC) thành Dynamic Memory VSP (DM VSP) và Dynamic Memory VSC (DM VSC)

ình 14 Ki n trúc công nghệ Dynamic Memory ồn: https://letonphat.wordpress.com/2010/10/10/ki%E1%BA%BFn-trc- c%E1%BA%A5u-hnh-v-theo-di-dynamic-memory-trong-hyper-v/)

- Nhu cầu thêm RAM của máy ảo được DM VSC chuy n cho DM VSP thông

qua VM bus

- Memory Balancer tiếp nhận và xem xét yêu cầu dựa trên tình trạng của tất cả

các máy ảo đang hoạt động từ đó đưa ra quyết định cấ hát memory đ đá

ứng nhu cầu máy ảo

 Những công nghệ hỗ trợ từ Hyper-V Server 2012 R2:

- Mở rộng khả năng hỗ trợ CPU và RAM:

ình 15 Khả năn hỗ trợ CPU v M củ ind ws Se ve ồn: https://mcpmag.com/articles/2013/06/20/windows-server-2012-r2.aspx)

- Virtual Hard Disk Format (VHDX): định dạng file đĩa cứng ảo này cho

phép:

o Chia sẻ đĩa cứng ảo (Virtual Hard Disk Sharing) cho các Node trong Fail-over Cluster

o Kích thước của đĩa cứng ảo đạt đến 64 Terabyte

o M i máy ảo có th l đến 256 đĩa cứng ảo

o Cơ chế chịu l i vì sự c mất điện trong khi đang hoạt động (Corruption Protection)

o Cho phép gộ các đĩa ảo hiện có lại với nhau (Larger block sizes for dynamic and differential disks)

- Hỗ trợ đầy đủ cho các máy ảo chạy Linux Distributions:

o Live Virtual Machine Backup Support: cho phép tạo bản sao (backup) dữ

liệu của đĩa cứng ảo dùng Ext3 / Ext4 files system

o Linux kdump/kexec support: H trợ cho Linux Kernel đầy đủ Driver các thiết bị mô ph ng phần cứng của Hypervisor

- NMI Support: cơ chế ng t (Non Maskable Interrupts- NMI), cho phép ng t

ngay lập tức các lệnh từ Hệ điều hành Linux gởi đến CPU (ảo), gi người

dùng Linux chuẩn đoán l i khi có sự c

- NIC teaming: là chức năng cho hé gộp chung nhiều card mạng (Network Interface card – NIC) trên server thành một "team" nhằm tăng ăng thông của các Card mạng ( an wi th) và tăng khả năng chịu l i (fault tolerance)

o NIC Teaming trên máy vật lý Hyper-V 2012 cho phép t i đa 32 N C cho

1 team

o NIC Teaming trên máy ảo Hyper-V 2012 cho phép t i đa 02 N C ảo cho

1 team

- Hyper-V Replica: công nghệ cho phép tạo các bản sao máy ảo trên các máy

vật lý khác nhau nhằm nhanh chóng kh c phục và phục hồi khi xảy ra sự c

với các máy Hyper-V Replica là giải pháp khôi phục khẩn cấp (Disaster Recovery) trong môi trường Clutter hoặc Non-Cluster

ình 16 Mô tả công nghệ Hyper-V Replica ồn: http://www.toolzz.com/?p=1188)

o Primary Site là nơi chứa máy ảo đang hoạt động, Replica site ( hay còn gọi là Secon ary Site) là nơi chứa bản sao dự phòng của máy ảo đó

o Data Compression : là chức năng nén dữ liệu trước replicate

o Theo lịch định thì máy ảo Primary sẽ đồng bộ dữ liệu cho máy ảo Replica

o Cho phép manually start máy ảo Replica ngay lập tức đ phục vụ, nếu như máy ảo Primary có sự c

o Recovery Options: sẽ cho phép cấu hình và restore lại từng thời đi m, nhờ vào Additional Recovery Points

o Hyper-V Replica and Cloud : h trợ replicate lên hạ tầng IaaS (Infrastructure as a Service) trên Cloud đ dự phòng