Mercurial > hg > Papers > 2014 > taiki-sigos
changeset 33:1e9927bf5bea
update slide
| author | taiki <taiki@cr.ie.u-ryukyu.ac.jp> |
|---|---|
| date | Tue, 06 May 2014 18:04:41 +0900 |
| parents | 6ed41b9464ed |
| children | 27d6cc66f08a |
| files | slide/sigos.html |
| diffstat | 1 files changed, 106 insertions(+), 15 deletions(-) [+] |
line wrap: on
line diff
--- a/slide/sigos.html Sun May 04 20:43:54 2014 +0900 +++ b/slide/sigos.html Tue May 06 18:04:41 2014 +0900 @@ -101,9 +101,8 @@ <div class='slide '> - <h1>ie-virsh</h1> + <h1>ie-virsh - ie-virsh の機能</h1> <p>ie-virsh は virsh にある機能を制限し、学生に VM に必要な基本的な操作を提供する。またこれらの操作を、学生自身の VM 以外の VM に対して適応不可にする。</p> - <h2>ie-virsh の機能一覧</h2> <table border=1 align=left> <tr> <th>command</th> @@ -137,8 +136,7 @@ </div> <div class='slide '> - <h1>ie-virsh</h1> - <h2>使用手順</h2> + <h1>ie-virsh - 使用手順</h1> <ol> <li>学生のノート PC で VMWare や VirtualBox を使用して Linux をインストール</li> <li>作成したイメージをブレードサーバへアップロード</li> @@ -149,20 +147,28 @@ </div> <div class='slide '> - <h1>ie-virsh</h1> - <h2>リソースの制限</h2> + <h1>ie-virsh - リソースの制限</h1> <p>学生が個人で大量のリソースを取らないよう、制限する必要がある。</p> + <h2>XML template</h2> + <p>libvirt は VM を、XML の設定ファイルを使用して管理している。ie-virsh ではその XML ファイルを template として用意することにより、リソースを制限した。</p> <ul> <li>CPUの量: 1 core</li> <li>メモリ: 1 GB</li> - <li>ドメインの数: 4つまで</li> </ul> <p>これらの設定を学生が使用する template XML ファイルに記述し、domain の作成時に学生に使用させる。</p> + <h2>ドメイン数の制限</h2> + <p>学生は VM のインスタンスを最大4つまで作ることができる。これは学生が大量にVM を起動し、メモリや CPU を消費することを防ぐためである。</p> </div> <div class='slide '> - <h1>ie-virsh</h1> - <h2>OCFS2 を使った構成</h2> + <h1>ie-virsh - マルチユーザ</h1> + <p>学生の Web サービス構築の学習や、授業 Operating System での課題をさせるためにはマルチユーザに対応する必要がある。</p> + <p>ホストを、情報工学科の LDAP サーバの情報を利用して、学生が情報工学科のアカウントで ssh ログイン可能な状態に設定した。</p> + <p>そうすることで独自にアカウントを登録させる必要がなく、またアカウントは学籍番号で登録されているため管理が用意になる。</p> +</div> + +<div class='slide '> + <h1>ie-virsh - OCFS2 を使った構成</h1> <p>汎用の共有ディスククラスタファイルシステムであり一つのブロックデバイスを複数の PC から同時に読み書きすることができる。</p> <table> <tr class="img-table"> @@ -178,8 +184,7 @@ </div> <div class='slide '> - <h1>ie-virsh</h1> - <h2>ホストのブレードサーバの構成</h2> + <h1>ie-virsh - ホストのブレードサーバの構成</h1> <p>学生は ie-virsh を使用するためにホスト OS へアクセスし、ie-virsh によって学生自身の VM を操作する。</p> <table> <tr class="img-table"> @@ -193,16 +198,102 @@ </table> </div> +<div class='slide '> + <h1>ie-virsh - Vagrant Box の使用</h1> + <ul> + <li>VM を使用する際は学生の PC で VM を設定させ、VM イメージをアップロードさせるという形をとった。授業 Operating System では VM を学ぶ環境として学生の PC で Vagrant を使用させた。</li> + <li>Vagrant Box は Vagrant での、仮想マシンのベースとなるイメージファイルである。</li> + <li>Vagrant Box イメージは簡易なパスワードとユーザ名で Vagrant から管理されており、そのままブレードサーバへアップロードしグローバル IP アドレスを割り当ててしまうと、外部からの攻撃を受けてしまう。そのためブレードサーバへアップロードしたイメージを検知し、攻撃されないような設定かどうかを確認する必要がある。</li> + </ul> +</div> + +<div class='slide '> + <h1>他のツールとの比較</h1> + <h2>OCFS2 と NAS</h2> + <ul> + <li>ie-virsh の動作するサーバ構成では SAN へ複数の PC がアクセスし、同時にアクセスするため ext3・ext4 のようなファイルシステムでフォーマットを行うと整合性が取れない。</li> + <li>OCFS2 は SAN 上の複数の PC から書き込まれてもファイルは整合性を保てる。</li> + </ul> + <h2>KVM と VMWare ESXI</h2> + <ul> + <li>ie-virsh はハイパーバイザとして KVM を使用している。</li> + <li>情報工学科では VMWare ESXI を利用しているが VMWare を使用するためにはコストがかかる。</li> + <li>KVM であれば Linux ベースの OS で利用できるため、無償で利用可能である。</li> + </ul> +</div> <div class='slide '> - <h1>他の管理ツールとの比較</h1> - <h2>OCFS2</h2> - + <h1>他のツールとの比較 - 管理ツールとの比較</h1> + <h2>vSphere Client</h2> + <ul> + <li>vSphere Client は仮想環境の統合管理をするプラットフォーム vCenter Server と接続し、管理する。</li> + <li>vSphere Client は詳細な権限の設定が可能で、複数の学生に対して VM を配布し権限を管理する。</li> + <li>手動で権限を移譲する場合は管理者側の操作が増え、学生への権限の配布に手間と時間が掛かる。</li> + <li>ie-virsh は権限を移譲するという操作が必要なく、機能も学生が VM を操作するには十分である。</li> + </ul> + <h2>Vagrant</h2> + <ul> + <li>KVM をプロバイダとするプラグインを持っているため、KVM を VirtualBox の用にプロバイダとして使用できる。</li> + <li>Vagrant をマルチユーザへ対応させ、学生が使えるように設定できるか試したが、Vagrant の KVM プラグイン vagrant-kvm が複数でネットワークを使用できるように実装されていなかった。</li> + <li>また ie-virsh と できることがほぼ同じであり、既存の Box を使える以外の利点はない。</li> + </ul> +</div> + +<div class='slide '> + <h1>他のツールとの比較 - 管理ツールとの比較</h1> + <h2>Web サービス実装</h2> + <ul> + <li>ie-virsh とは別に、vSphere の API を使用した Web サービスが情報工学科で利用されている。</li> + <li>情報工学科の VMWare ESXI に VM を作成し、起動、停止することができる。</li> + <li>Web サービスは GUI を操作するためにブラウザを起動しなければならず、また新しく GUI の操作になれる必要がある。</li> + <li>情報工学科の Web サービスは IP アドレスの配布と連携しているため IP アドレスの登録を自動で行う。ie-virsh は IP アドレスの登録は情報工学科のサービスを利用して行うため、新規に VM を作成する際には複数のサービスにまたがって比較する必要がある。</li> + <li>VM を管理するツールとして、webvirt が複数の VM を管理するために実装されている。仮想環境の Web 管理ツールである。</li> + <li>シングルノードのみを管理する目的で開発されているため、複数の学生が使用するにはそういったように実装する必要がある。</li> + </ul> +</div> + +<div class='slide '> + <h1>他のツールとの比較 - 管理ツールとの比較</h1> + <h2>OpenStack</h2> + <ul> + <li>クラウド基盤ソフトウエアであり、仮想サーバやブロックストレージ、仮想ネットワークなどのリソースを提供する。</li> + <li>OpenStack はマルチユーザではないため、今回の複数の学生の権限を管理するツールとしては適さない。</li> + </ul> </div> <div class='slide '> <h1>ie-virsh の改善点</h1> - + <h2>VM のセキュリティチェック</h2> + <p>学生が VM のセキュリティ設定をしているか確認し、また VM に対して攻撃や不正なアクセスがないかを検査する機能が ie-virsh に必要である。</p> + <ul> + <li>簡単に VM へ侵入されてしまうことを防ぐために、簡易なパスワードやユーザ名が設定されている VM のパスワードやユーザ名を変更するように促す。</li> + <li>侵入後に他の VM や外部へ攻撃しているかをチェックするために、VM までのトラフィックを監視し、学生の VM が外部へ不正なトラフィックを送っていないか監視する。</li> + <li>外部からの不正なトラフィックを受け取らないように、ファイアウォールなどの機能が適切に設定されているかをチェックする。</li> + </ul> +</div> + +<div class='slide '> + <h1>ie-virsh の改善点</h1> + <h2>クラウドへのデプロイ</h2> + <p>学生が Web サービスを構築し、運用を続けるためには遠方からのアクセスにも対応する必要が出てくる。そのためには AWS やさくら VPS などの外部のクラウドサービスへ VM をデプロイできるようにする。</p> + <table> + <tr class="img-table"> + <td> + <img src="images/workflow.png"> + </td> + <td> + <p>始めに学生は学生の PC 上の VM を設定し、ブレードサーバへアップロードする。Web サービスの構築を終わらせ、ブレードサーバでの運用が可能になると、遠方からのアクセスに対応しなければならない。</p> + <p>遠方からのアクセスはネットワークの速度が遅く、クラウドサービスを利用する必要がある。そのため、ブレードサーバから外部のクラウドサービスへ Web サービスをデプロイする仕組みが必要である。</p> + </td> + </tr> + </table> +</div> + +<div class='slide '> + <h1>まとめ</h1> + <ul> + <li></li> + </ul> </div> </div><!-- presentation -->