advertisement

Czech Sun Training Day 2009 - Solaris

40 %
60 %
advertisement
Information about Czech Sun Training Day 2009 - Solaris
Education

Published on March 10, 2014

Author: m_cerveny

Source: slideshare.net

Description

Presentation from training day for Sun Solaris customers to explain some important features of Solaris 10.
Presentation covers following themes:
- Solaris and virtualization (XEN, VirtualBox, LDom, zones)
- Solaris and production (ZFS, DTrace)
- Solaris and security (privileges, trusted extension)
advertisement

Training Day 2009 Technologické výhody Solarisu Martin Červený M.Cerveny@computer.org

Obsah Solaris pro virtualizaci virtualizace na míru pomocí logických domén, xVM hypervizoru/xen, xVM VirtualBoxu a kontejnerů (zóny a řízení zdrojů) Solaris pro provoz nelimitovaná data na souborovém systému ZFS a dokonalý přehled o systému s DTrace Solaris pro bezpečnost zabezpečený provoz systému s použitím privilegií procesů a bezpečnostních rozšíření

pro virtualizaci

Virtualizace systémů • důvody a požadavky virtualizace > rozdělení nebo vyhrazení zdrojů, přebytek výkonu > bezpečné oddělení a ochrana > redundance a vysoká dostupnost > spravovatelnost • druhy virtualizace > hw rozdělení výkonných počítačů (DSD,partitions) > paravirtualizace (PVM, kooperativní) (xVM hypervisor/xen, LDom) > plná virtualizace (HVM, emulace systému (zařízení), výjimečně i procesoru) (xVM hypervisor/xen, xVM VirtualBox) > rozdělení na úrovni operačního systému (zóny)

APPAPP G OS APP IPC HW OS APP APP IPC RPC OS HW přímý přístup APP APP syscall přímý přístup hypercall hypervisor (VMM) APP H OS APPAPP G OS výjimka trap APPAPP G OS APPEMUL H OS APPAPP G OS hypervisor&trap DSDxen/LDom VB/xen APPAPPAPP syscall přímý přístup APP OS APPAPP syscall emulátor kontejner/zóna HW HW HW

Plná virtualizace - xVM VirtualBox • plná virtualizace architektury x86/x64 > „desktopová“ virtualizace > dynamické nalezení kolizních instrukcí > procesory s rozšířením Intel VT-x, AMD-V > hostitel - Solaris, Linux, Windows, OS X • speciality > uživatelsky příjemné GUI, ale i příkazová řádka > modul v jádře (nezavádí se hypervizor před startem OS) > 3D akcelerace hostů (některé typy) > uživatelsky orientované rozšíření „guest additions“ (grafika, integrace myši, clipboard, USB, sdílený adresář, audio ...) > vzdálený přístup ke grafice RDP

Paravirtualizace a plná virtualizace - xVM hypervisor / xen • paravirtualizace architektury x86/x64 > hostitel (Dom0) - Solaris, Linux, NetBSD > hostovaný (DomU) - Solaris, Linux, *BSD, Netware, Minix, Plan9, Hurd • plná virtualizace pro hostované systémy > jen procesory s rozšířením Intel VT-x, AMD-V > emulace zařízení QEMU • speciality > migrace za běhu > virtualizace na úrovni PCI > virtualizace CPU a paměti > hybridní práce IO se síťovými zařízeními > řízení spotřeby > vzdálený přístup ke grafice VNC

Paravirtualizace - Logical Domains • paravirtualizace architektury sun4v > hypervizor součástí OBP > paravirtualizované OS – Solaris 10 ≥U4, Linux ≥2.6.23 > speciality – CPU přiřazení dynamické – hybridní IO práce se síťovými zařízeními • role ve virtualizovaném systému > control domain - rozděluje zdroje systému > service domain - virtualizuje sítě, disky a konzole do „Logical Domain Channels“ > io domain - zpřístupňuje IO zařízení (PCI sběrnice) > guest domain - využívá přidělené CPU/MEM a virtualizované zdroje

hardware app app app app jádrojádrojádro jádro app app hypervizor free cpu/mem io bus io busio bus vsw vdsk vsw vdsk control+service+io guest guest+io guest+service+io cmd vsan ldc vlan ldc

Kontejner Solarisu • rozdělení na úrovni operačního systému (zóny) > nezávislý běh instance operačního systému od procesu init (sdílené jádro Solarisu) > izolace softwarových chyb aplikací > bezpečnostní oddělení (méně privilegií) > možnost připojení citlivých části souborového systému jen pro čtení > žádné změny v API aplikací > branding - emulace chování jiného jádra operačního systému (linux na x86, solaris 8/9 na sparc)

hardware systému jádro Solarisu app app konfigurace globální zóna app app Solaris zóna RPC IPC app app brandz zóna lx sol8, sol9 syscall emulátor syscall

Kontejner Solarisu • řízení zdrojů > podle procesorů (dynamic resource pools, processor sets) > přiřazení poměrného výkonu procesorů (resource/workload manager, FSS plánovač procesů (cpu-shares), projects) > limit přiřazení fyzické paměti > podle toků na IP úrovni (IP QoS)

system 8 cpu pool1 2-4 cpu pool2 2 cpu zone3 1 share zone2 10 shares zone4 2 shares zone5 1 share zone1 20 shares project1 3 shares project2 2 share project3 1 share task2 proc4 proc3 task1 proc2 proc1 4 ∗ 20 1020 ∗ 2 123 = 8 9

pro provoz

Robustnost při provozu • diskový subsystém > UFS/SVM, SAMfs/QFS, ZFS > MPxIO, FC, iscsi, IB > projekt COMSTAR • řízení zdrojů > DRP, FSS, projekty • dohledovatelnost > na úrovni systému a aplikací - statistiky, dtrace > na úrovni hardware - FMA > posmrtná analýza systému a aplikací

Zettabyte File System • vysoká integrita dat > end-to-end kontrolní součty > transakce • „storage pool“ > RAID-0, RAID-1, RAID-Z, RAID-Z2 • kapacita (128bit) • jednoduchá „online“ administrace • řízení přístupu NFSv4/NT ACL • snapshot, clone • vzdálená replikace • komprimace • nezávislé na platformě (x86-SPARC)

volume manager filesystem dmu storage pool allocator nezávislý blokový přístup ochrana pomocí žurnálu synchroní zápis úplná resychronizace po výpadku transakce vše-nebo-nic ve všech bodech zfs klasickýmodefs-vm zfs

1 2 3 4 možný snapshot mirror A B C aktuální uberblock zfstransakcezfsresilvering

Dtrace • sondy > dynamické vložení přerušení do kódu > nulové náklady, pokud není sonda aktivní > pro jádro Solarisu, uživatelské programy a interpretry java, javascript, python, PHP, ruby … > „provider“ pro sondy – ~ 80000 sond generických (funkce kernelu) – ~ 2500 sond specifických • úplný popis sondy a akce provider:module:function:name /logický výraz podmínky akce/ { příkazy akce; … }

Dtrace syscall - sondy na vstupu/výstupu systémových volání dtrace – vnitřní sondy DTrace lockstat - sondy pro zámky a zamykání profile - pravidelně spouštěné sondy (časovač) fbt - sondy na vstupu/výstupu všech funkcí kernelu sdt - “staticky definované sondy” explicitně zakopilované v kódu sysinfo - sondy statistik kernelu pro mpstat a sysinfo vminfo - sondy statistik kernelu pro virtuální paměť proc - sondy vytváření a zánik procesů/LWP sched - sondy plánovače CPU io - sondy pro sledování diskových IO mib - SNMP MIB sondy systémového managementu pid - sondy sledování funkcí a instrukcí v procesech ... „provider“ pro sondy

libdtrace(3lib) lockstat(1m) dtrace(1m) intrstat(1m) plockstat(1m) sondy&akce (DOF) výsledky (DIF) fbt(7d) sdt(7d) syscall(7d) vmstat(7d) dtrace(7d), logika a D-interpret text/code trap USR SYS

pro bezpečnost

Bezpečnostní rámec Solarisu • otevřené standardy > POSIX, XPG, SUS, SVID, ANSI ... • otevřená platforma • otevřený kód • ověřený kód > certifikace Common Criteria (ISO 15408) • AAA > Authentication – autentizace vstupu – nsswitch, pam > Authorization – autorizace přístupu – RBAC, privilegia jádra, Trusted Extension, ACL, IP filter, TCP wrapper, IP sec, IP qos > Audit – účtování provozu – audit událostí v jádru Solarisu, accounting, BART, SST

Role Based Acces Control • cíl > umožnit delegaci administrace systému > definice programových autorizací > snížit počet „setuid“ programů > princip minimálních oprávnění • komponenty RBAC > administrativní role (administrative roles) – nelze se přímo přihlásit, jen pomocí „su“ z autorizovaných kont > programové autorizace (authorizations) > profily (profiles, rights), profily pro spuštění programů včetně bezpečnostních privilegií jádra (exec attributes, privileges)

Privilegia • bezpečnostní oprávnění pro jádro Solarisu, která nahrazují privilegovaný test „euid==0“ • 68 privilegií > například: "file_dac_read" Override file's read perms "file_dac_search" Override dir's search perms "net_privaddr" Bind to privilege port (<1023+extras) "proc_exec" Allow use of execve() "proc_fork" Allow use of fork*() calls "proc_info" Examine /proc of other processes • součástí informací jádra o procesu • nastavení privilegií > RBAC > privilegované programy (setuid) > v rámci startovací sekvence (SMF)

Privilegia • informace v jádru o procesu > Effektive set (E) – aktuální oprávnění, dají se přidávat a odebírat shora omezené podle (P) > Permitted set (P) – horní omezení pro oprávnění (E) a (I), dají se pouze odebírat > Inheritable set (I) – nastavení výchozích oprávnění (nové E a P) pro synovský proces > Limited set (L) – horní omezení pro dědičná oprávnění (I) a nemůže nikdy růst > příznak PRIV_AWARE • pro spouštění setuid se použije pro E a P obsah L Interpretace v jádru Solarisu

Trusted extension • autorizace > Discretionary Access Control (DAC) (certifikace CA PP & RBAC PP na EAL4+) – subjekt (uživatel a jeho procesy, ověřená identita uživatele) – UID, GID – objekt (soubory, sdílená paměť, jiné procesy, síť ...) – rwx bity – POSIX ACL, ZFS/NFSv4 ACL > Mandatory Access Control (MAC) (certifikace LS PP na EAL4+) – subjekt – DAC + clearance label, accreditation label range, account label range, session label range – objekt – DAC + sensitivity label

Trusted extension • označení > klasifikace (classification, level) – vertikální hierarchická úroveň bezpečnosti – příklad: „public“ < „company conf.“ < „secret“ < „top secret“ > oddělení (compartments, categories) – horizontální příslušnost do žádného, jednoho i více oddělení bezpečnosti – příklad: „education“, „marketing“, „management“, „accounting“ > vyhodnocení – dominance subjektu nad objektem – subjekt má stejnou nebo vyšší klasifikaci než objekt – subjekt obsahuje všechna oddělení objektu – write-up + read-down – Compartmented Mode Workstations (CMWs) Definice „label“

Trusted extension • firemní rozložení > klasifikace: „public“ < „company confidental“ < „secret“ > oddělení: „education“, „management“, „accounting“ … • NISPOM rozložení > klasifikace: „confidental“ < „secret“ < „top secret“ • NATO rozložení > klasifikace: „nato resticted“ < „nato confidental“ < „nato secred“ < „cosmic top secred“ > oddělení: „atomal“ • demo rozložení > klasifikace: „unclassified (U)“ < „confidental (C)“ < „secred (S)“ < „top secred (TS)“ > oddělení: „A“, „B“ • firewall > klasifikace: „system“ > oddělení: „inside“, „outside“ Příklady konfigurace

SYSTEM INSIDE OUTSIDE SYSTEM OUTSIDE SYSTEM INSIDE SYSTEM sw install audit web server application DB internet trusted gw

Děkuji za pozornost Martin Červený M.Cerveny@computer.org

Add a comment

Related presentations

Related pages

Slovak Sun Training Day 2010 - DTrace - Education

1. Sun Training Day 2010 sekce Solaris - DTrace Martin Červený M.Cerveny@computer.org . 2. Základy použití nástroje DTrace ...
Read more

OpenSolaris 2008.11 Training in Brno (The Observatory)

... organized a full day training at Faculty of ... at the training. It's nice to see Sun's ... software name unlike Solaris packages ...
Read more

Solaris 11 Training, Certification and Course | Firebrand ...

Seven reasons why you should sit your Solaris 11 course with Firebrand Training. ... You’ll learn more Solaris 11. A day with ... Sun OCA & OCP Solaris ...
Read more

OpenSolaris Developer Conference June 25-27, 2008, Prague ...

OpenSolaris Developer Conference June 25 ... the OpenSolaris Developer Conference will be hosted by the Czech ... Solaris installation; Storage; Sun; Training;
Read more

Oracle Newsroom - Press Releases and News | Oracle

Oracle Solaris 11.2 enables faster updates with increased productivity. ... Log In to My Oracle Support; Training and Certification; Become a Partner;
Read more

Solar Turbines | English

Why Solar Turbines? Locations. Contact Us. ... Find Location. Certified Service Parts Learn More. Technical Training Learn More. Enter text ... Czech ...
Read more

Sun Day - Documents

Download Sun Day. Transcript. 1. 2. X. Recommended. Sham a Sun Day
Read more

Why Oracle Wants Solaris - Forbes

6/16/2009 @ 6:00AM Why Oracle Wants Solaris ... a tribute to what the fine engineers at Sun could do back in the day. ... Forbes Czech; Forbes ...
Read more