基于改进虚拟监控云平台的研究

【摘 要】采用一种改进的虚拟监控的方法，对现有的云方案进行了研究和分析，提出了一种运行于开源平台上的IVMDC保护方案，该方案通过对云的基础设施和虚拟客户机的实时监控，避免了来自于云内、外部的网络攻击，进而保证了整个区域教育教学云平台的安全运行。性能测试的结果显示IVMDC所带来的性能损失对于目前的区域云平台来说是非常有限的，可以被接受的。

【关键词】虚拟监控；区域云；教育教学

0 引言

21世纪初，信息化的概念走进我国教育领域，随后，各大高校、中小学以及教育机构迅速开展了信息化建设工作，特别是高校成立专门的信息化领导建设小组，并投入大量的物资、人力，跟上全国教育信息化建设的步伐；而地方学校、特别是中小学，由于原有的网络基础设施差，资金来源有限，信息化建设还处于刚刚起步阶段。近几年，云计算如雨后春笋般在国内外各个领域兴起，国内教育界专家也看到了云计算在教育领域的价值，各大高校纷纷整合了现有的软硬件资源构建了各自的私有云，进一步提高了高校信息化建设水平。至今，云计算仍没有一个明确的定义，可以认为，云计算是分布式处理、并行处理和网格计算的发展，是依托互联网，面向客户提供安全、快速、便捷数据存储和网格计算的服务模式[1]。

区域云是云计算在区教育领域的应用，是高校私有云的整合，同时又是教育云的一部分。区域云平台的构建缩小了区教育信息化建设水平的差距，整合了高校公共教育资源，实现了区教育信息系统间的资源共享，为向教育云演变打下了坚实的基础。

1 基于虚拟监控的区域教育教学云平台架构

1.1 Eucalyptus云平台

Eucalyptus是一个用于实现云计算的开源软件基础设施[2]。它是一个基于模块化的平台设计理念，易于平台的改造、升级和维护，具有很强的可扩展性。能为区域教育教学云平台的建设提供必需的软硬件资源。Eucalyptus主要由云控制器、集群控制器、Walrus组件、块设备存储控制器和节点控制器组成。

（1）云控制器：汇集了云中所有的信息资源，为不同权限的用户提供Web Services 的入口，并向下一层的存储控制器和集群控制器转发服务请求。

（2）Walrus组件：存储和访问虚拟机镜像文件和用户元数据信息，并对运行于虚拟机上的应用系统进行快照、备份。

（3）集群控制器：负责接收来自云控制器的请求，动态分配本集群的网络资源和计算资源，维护运行于本集群的节点控制器的全部信息。

（4）节点控制器：负责在其节点上运行的虚拟机实例的管理，包括启动、重启和终止[3]。

1.2 基于虚拟监控的区域教育教学云平台架构

Eucalyptus中的五个重要组件是相互独立的，可以部署在不同的主机上。Eucalyptus通过标准通信协议在组件间传递消息，实现组件间的合作与协调，为云用户提供可靠的网络服务；而虚拟技术的引入能在服务器不间断的情况下完成资源的自动化分配和虚拟机的动态迁移，实现了整个云服务体系的负载均衡。因此，本文在Eucalyptus开源平台上搭建了基于改进虚拟监控的区域教育教学云平台，以下简称IVMDC，如图1所示。

IVMDC的执行过程可简单描述如下：拦截模块把截获的可疑事件交由异常记录模块进行处理，在生成相应的异常文件后被写入异常池，等待评测；异常评估模块根据设置的优先级对异常池中的异常文件进行安全检查，判断系统的安全是否受到威胁；执行模块一旦发现异常，立刻采取具体的安全保护措施。下面是对主要功能模块的介绍：

（1）拦截模块：负责对虚拟客户机内核中的代码、保密数据的访问事件进行拦截。

（2）异常记录模块：负责记录截获的可疑事件，并将其写入异常池，其中的Daemon程序用于分步计算被监控对象的哈希值，并将生成相应异常文件转发给下一个模块。

（3）异常池：负责缓存等待评测的警告文件，通过设置优先级来决定评测的先后次序。

（4）异常评估模块，负责对系统的安全进行不间断地检查，内含评测组件和哈希组件。其中的评测组件用于将异常文件中新的哈希值与哈希组件中的哈希值进行对比，判断系统是否处于安全状态；而哈希组件用来存储系统处于安全状态时关键组件的哈希值。

（5）中间件：负责对开源云平台中的集群控制器、walrus、存储控制器以及云控制器进行集中管理。

（6）校验总和数据库：用于存储计算过的总和校验值，包括：虚拟机内核代码、数据、文件，关键主机的基础设施。

（7）执行模块：根据发生的异常事件，启动相应的安全保护策略。

IVMDC在主机平台中部署了一系列功能模块，这些模块和Eucalyptus的五大组件形成一个完整的有机体。IVMDC通过对虚拟客户机的内核和开源平台中间件的有效监控，阻止试图修改内核数据、关键代码的用户进程，从而保证了内核数据、关键代码的安全性；此外，依据系统日志和对可执行文件校验总和的定期验证，来掌握平台核心部件的日常活动，实现对平台入口的有效监控，进而保证整个区域教育教学云平的安全运行。

1.3 性能测试

我们将IVMDC的关键模块部署到Eucalyptus云平台中，通过对实验结果的数据分析，来评估IVMDC系统 的性能开销以及在实际应用中是否可行。

测试环境：虚拟客户机（CPU：1，内存：1GB，硬盘：20GB），操作系统采用32位的CentOS 5.2；主机（CPU：双核，内存：4GB，硬盘：500GB），操作系统采用62位的Ubuntu 9.10，虚拟机监控使用Kvm 88，内核采用Linux 2.6.30。

我们将Kvm虚拟客户机执行任务所消耗的时间作为性能比对的基准，其值设为1；那么，纵坐标的值则表示规范化后的执行时间。首先，我们看到，IVMDC Eucalyptus系统的性能损失最高，达到9%，这很可能是因为IVMDC和Eucalyptus同时影响了系统的性能开销；其次，我们把左边没有部署IVMDC的系统性能与右边部署了IVMDC的系统性能进行对比，可以看到，系统的性能损失不高于6%，这是因为IVMDC对关键组件的异步监控增加了系统的性能开销；最后我们看到在第一种测试环境中，IVMDC性能损失达到4%，而在后两种测试环境中，IVMDC性能损失最高达到6%，这是因为在计算密集型的测试中IVMDC评估模块的评估过程节省了部分的CPU资源，而在混合工作流和I/O密集型的测试中，IVMDC和系统文件的互动影响了系统的性能开销。总之，IVMDC所带来的性能损失对于现有的云的解决方案来说是非常有限的，是切实可行的。

2 结束语

区域教育教学云平台的研究是一项极具挑战性的工作，目前，尚未形成一套安全、可靠的云服务体系。在文中，我们提出了一种基于改进虚拟监控的区域教育教学云平台，简称IVMDC，IVMDC通过对虚拟客户机和云基础设施的全程监控，能有效地防止来自云内部、外部的网络攻击；同时，又完全透明于服务的提供者和使用者。性能测试显示，IVMDC的安全体系是行之有效的，其所带来的一些性能损失对于现有的云的解决方案来说是被允许的。

【参考文献】

[1]孙柏祥.云计算-高校教育信息化建设和发展的新模式[J].中国电化教育，2010（5）：123-125.

[2]刘鹏.云计算[M].北京：电子工业出版社，2010.

[3]陈吉荣.构建私有云计算平台的EUCALYPTUS 架构分析[J].电脑知识与技术，2010（6）：15-18.

[4]Razak，S.F.A.Cloud computing in Malaysia Universities[C].Innovative Technologies in Intelligent Systems and Industrial Applications，2009.

[5]Youseff，l.Butrico，M.Da Silva，D. Toward a Unified Ontology of Cloud Computing[J].Grid Computing Environments Workshop，2008.GCE '08.

[6]王长全，姚建文，等.云计算环境下数字图书馆信息资源安全策略研究[J].情报杂志，2010（3）：184-186.

[7]陈丹伟，侯楠，孙国梓.一种基于改进流形学习方法的云计算入侵检测模型[J].计算机科学，2010（10）：59-62.