桌面虚拟化

---vent 一.虚拟化技术的类型 1.全虚拟化 全虚拟化(Full virtualization), 也称为原始虚拟化技术,全虚拟化是指虚拟机模拟了完整的底层硬件，包括处理器、物理内存、时钟、外设等，使得为原始硬件设计的操作系统或其它系统软件完全不做任何修改就可以在虚拟机中运行。该技术架构图如图1-1所示： 图 1-1. 全虚拟化 : 使用 Hypervisor 分享底层硬件 由于计算机硬件化资源被抽象化，必须需要一个机制来管理抽象化之后的资源。这个机制一般称作Hypervisor或者Virtual Machine Monitor(VMM)。该模型使用虚拟机协调客户操作系统和原始硬件.因为VMM在客户操作系统和裸硬件之间用于工作协调. 一些受保护的指令必须由Hypervisor(虚拟机管理程序)来捕获和处理. 因为操作系统是通过Hypervisor来分享底层硬件。全虚拟化的运行速度要快于硬件模拟, 但是性能方面不如裸机, 因为Hypervisor需要占用一些资源.它的唯一限制是操作系统必须能够支持底层硬件(比如, PowerPC) 代表项目;VMWare 闭源/ z/VM(IBM) 闭源 2.半虚拟化 半虚拟化(Paravirtualization)是另一种类似于全虚拟化的热门技术. 它使用Hypervisor(虚拟机管理程序)分享存取底层的硬件

部署KVM虚拟化平台 KVM虚拟化架构 KVM模块直接整合在Linux内核中 KVM的组成 KVM Driver 虚拟机创建 虚拟机内存分配 虚拟机CPU寄存器读写 虚拟CPU运行 QEMU（经过简化与修改） 模拟PC硬件的用户控件组件 提供I/O设备模型及访问外设的途径 KVM虚拟化三种模式 客户模式： 虚拟机 用户设置： 设置 内核模式： KVM Driver 内核态 KVM工作原理 案例环境 使用一台物理机器，安装CentOS7.4的64位系统（即bdqn），test01是在宿主机上安装的虚拟机 主机 操作系统 IP地址 主要软件 bdqn CentOS7.4 x86_64 192.168.45.129 Xshell、Xmanager test01 CentOS7.4 x86_64 192.168.45.140 Xshell、Xmanager 案例需求 安装KVM 安装Linux虚拟机 使用KVM命令集管理虚拟机 KVM文件管理 查看当前磁盘格式 virt-cat命令 vrit-edit命令 virt-df命令 案例搭建 虚拟机需求为内存最小为4G 1、在虚拟机开机前，先在虚拟机上添加一个硬盘，并将硬盘格式化，并挂载到/data/目录下 开启虚拟机的虚拟化 2、将我们需要安装的系统镜像包挂载到虚拟机上 #挂载软件包 mount . cifs //192.168.100.3

一 、部署KVM虚拟化平台 hyper-v是windows中的虚拟化 1、KVM模块直接整合在Linux内核中，kvm是内核模块，虚拟机与kvm模块之间为管理工具 2、KVM组成 1.KVM Driver ---虚拟机创建 ---虚拟机内存分配 ---虚拟CPU寄存器读写 ---虚拟CPU运行 2.QEMU (经过简化与修改) ---模拟PC硬件的用户控件组件 ---提供I/O设备模型及访问外设的途径 二、虚拟化的三种模式 **1、客户模式：典型的虚拟机环境（虚拟网卡、内存、硬盘）； 2、用户模式:工具层，下面是内核（驱动进行的资源分配）； 3、kvm driver：内核态，人为不可控制（kvm驱动接收用户态操作指令，控制虚拟机在内核态的资源分配）。 4、虚拟机就是一个独立的进程，虚拟机内的用户各个硬件叫做线程 5、全虚和半虚的区别 全虚拟化一般对硬件虚拟化功能进行了特别优化，性能上比半虚拟化要高； 半虚拟化因为基于普通的操作系统，会比较灵活，比如支持虚拟机嵌套。 嵌套意味着可以在KVM虚拟机中再运行KVM。 三、KVM工作原理 工作流程： 首先启动一个虚拟化管理软件，开始启动一个虚拟机，通过ioctl等系统调用向内核中申请指定的资源，搭建好虚拟环境，启动虚拟机内的系统，虚拟机内的系统向内核反馈相关资源申请处理，如果是io请求，则提交给用户模式下的qemu处理

虚拟化巨头Citrix最近在Citrix技术专区的“技术论文”部分发表了一篇深思熟虑的文章，标题为“端点安全和防病毒最佳实践”，概述了与安全厂商合作以购买正确的反恶意软件工具来保护虚拟机，应用程序和桌面的逐点入门知识。Citrix专注于四个具有挑战性的领域。 一、代理注册 二、签名更新 三、性能优化 四、防病毒排除 该博客介绍了Bitdefender完全遵循Citrix最佳实践准则的情况，涵盖了GravityZone虚拟化安全，该功能可为下一代基础架构提供安全性，包括软件定义的数据中心，超融合基础架构和混合云。 1.保护非持久性工作负载 “虚拟数据中心和VDI桌面上的反病毒是否与固定和持久VM端点上的反病毒 不同？” 保护非持久性工作负载（例如快速出现的VDI桌面）带来了许多挑。在这些短暂的工作负载中，通常会通过在安全工具安装过程中生成的GUID来唯一标识计算机，并且占用license，而机器销毁 后仍然会在控制台中留下记录。 企业软件需要集中管理，以进行实时粒度部署操作，安全策略配置和事件报告。GravityZone 专为虚拟化而生。它作为虚拟设备交付，与基础架构管理工具集成，并利用虚拟化基础架构进行无缝操作，因为虚拟化基础架构是实时监控的。GravityZone 虚拟化安全 与基础架构即服务（IaaS）管理工具（包括vCenter Server，Citrix

说起虚拟化，相信大家应该都不陌生，像虚拟内存、Java 虚拟机、Android 模拟器这些都是虚拟化技术的体现，为什么这样说，这个就要回到虚拟化技术的本质上——虚拟化就是由位于下层的软件模块，根据上层的软件模块的期待，抽象（虚拟）出一个虚拟的软件或硬件模块，使上一层软件直接运行在这个与自己期待完全一致的虚拟环境上。从这个意义上来看，虚拟化既可以是软件层的抽象，又可以是硬件层的抽象。 所以说，像虚拟内存、Java 虚拟机、Android 模拟器这些都属于是软件虚拟化技术，而硬件虚拟化技术更多的应用就是在云计算领域。从提出至今，虚拟化技术已经出现了多种实现方式，这些不同的方式其实就是软件和硬件的不同组合。本文主要就是对这些实现方式进行一个总览，形成一个总体认识，方便后面的学习。 VMM VMM 全称是 Virtual Machine Monitor，虚拟机监控系统，也叫 Hypervisor，是虚拟化层的具体实现。主要是以软件的方式，实现一套和物理主机环境完全一样的虚拟环境，物理主机有的所有资源，包括 CPU、内存、网络 IO、设备 IO等等，它都有。这样的方式相当于 VMM 对物理主机的资源进行划分和隔离，使其可以充分利用资源供上层使用。虚拟出的资源以虚拟机的形式提供服务，一个虚拟机本质上和一台物理机没有什么区别，可以跑各种操作系统，在之上再跑各种应用

第四章的主要知识点如下： 操作系统是一组管理与控制计算机软，硬件资源，为用户提供便捷计算服务的计算机程序的集合。 操作系统通过各种驱动程序驱动计算机底层硬件工作，并通过统一的调度管理程序对其进行管理。 计算机操作系统的功能：进程管理，内存管理，设备管理，文件管理，用户接口。 操作系统的安全威胁：非法用户或假冒用户入侵系统；数据被非法破坏或者数据丢失；不明病毒的破坏和黑客入侵；操作系统运行不正常。 操作系统的脆弱性：操作系统的远程调用和系统漏洞；进程管理体系存在问题。 操作系统的常见漏洞：空口令或弱口令；默认共享密钥；系统组件漏洞；应用程序漏洞。 操作系统的安全保护机制：进行隔离和内存保护；运行模式（内核模式，用户模式）；用户权限控制；文件系统访问控制。 操作系统的安全评估机制：从高到低分为A，B，C，D四类。 Windows系统安全：以Windows安全子系统为基础，辅以NTFS文件系统，Windows服务与补丁包机制，系统日志等，形成了完整的安全保障体系 　　Windows安全子系统（核心） 系统登录控制流程：负责接收用户的本地登陆的请求或远程登录请求 安全账号管理器：SAM维护账号的安全性管理数据库 本地安全认证：负责通过确认安全账号管理器中的信息来处理用户登陆的请求 安全引用监控器：负责检查Windows系统的存取合法性 NTFS文件系统：不但提高了文件系统的性能

第四章 系统安全 4.1 操作系统概述 1.计算机是由硬件、操作系统软件、应用软件共同构成的复杂系统。其中,一系列复杂的硬件是计算机的基础,多样的应用软件则为用户提供各种不同的应用服务,而操作系统则是整个计算机系统的“灵魂”。 我们常用的操作系统有 Windows、 Linux等计算机操作系统,以及安卓、iOS等智能移动终端操作系统。 2. 操作系统 ( Operating System,OS )是一组管理与控全制计算机软、硬件资源,为用户提供便捷计算服务的计算机程序的集合。 3.计算机中的应用软件工作在操作系统之上,操作系统以进程管理的方式对应用软件的运行进行统一管理,一个应用软件运行时可以生成多个进程,由操作系统负责为每个进程分配内存空间和所需其他资源。 4.计算机操作系统的功能： 进程管理 :也称为处理器管理,主要负责对中央处理器(CPU)的时间进行合理分配、对处理器的运行进行有效的管理。 内存管理 :主要负责对计算机内存空间进行合理分配、保护和扩充,用于解决多道进程共享内存资源时的冲突,并通过有效的管理方式提高计算机内存空间利用率。 设备管理 :根据一定的分配原则对计算机的硬件设备进行调度与分配,使设备与计算机能够并行工作,为用户提供良好的设备使用效果。 文件管理 :负责有效地管理计算机磁盘的存储空间,合理地组织和管理文件系统,为文件访问和文件保护提供更有效的方法及手段。

虚拟化和云计算并非一回事。它们要解决的是不同维度的IT问题，而且对企业会产生不同层面的影响，导致不同的发展前景。 虚拟化 简要言之，在IT环境中，虚拟化是要“隔离”计算资源，如此一来，某个层上的一个对象（如一个应用，一个任务，一个组件）就可以不考虑该层之下的其他变化而独立操作。对虚拟化做详尽的探讨超出了本文的范围。然而，还是让我们解释一些术语，虚拟化和“隔离”常常因为某些特殊原因而被选用，其实在“虚拟化”和“仿真”、“隔离”和“重定向”之间是存在技术差异的。虚拟化隔离了各种计算资源，因此也就提供了重新分配与整合被隔离资源的机会，以便更好、更高效地利用这些资源。 云计算 而另一方面，云计算则是一种让各种资源按需取用的能力。一般而言，我们指望从云计算获得什么，有很多种答案。而美国国家标准与技术研究院（NIST）给出的云计算定义概括出了基本特征、如何交付，以及何种部署模式才算得上是云计算等等。我则进一步简化了这一定义，提供了一种更直接、更简单的方法来描述云计算，下面就是我用5-3-2原理对云计算所做的图说。 云计算和虚拟化的明显差异 虚拟化和云计算截然相反，它不是建立在5-3-2原理之上的。例如自服务模式就不是虚拟化的基本构件，但是对云计算来说却是必不可少的。有人肯定会反驳说，某些虚拟化解决方案是包含了自服务组件的。但问题是，自服务对于虚拟化来说既不是必要条件，也不是充分条件

第四章 系统安全 4.1 操作系统概述 计算机是由硬件、操作系统软件、应用软件共同构成的复杂系统。 操作系统是一组管理与控制计算机软、硬件资源，为用户提供便捷计算服务的计算机程序的集合。 计算机操作系统的功能主要包括： 1）进程管理：也称处理器管理，主要对CPU的时间进行分配、对处理器的运行进行有效的管理。 2）内存管理 3）设备管理 4)文件管理 5）用户接口：用户接口主要分为命令行接口、图形界面接口和程序调用接口几种类型。 4.2 操作系统安全 4.2.1 操作系统的安全威胁与脆弱性 操作系统的安全威胁 威胁计算机操作系统安全的因素有很多，主要有以下几个方面： （1）非法用户或假冒用户入侵系统 （2）数据被非法破坏或者数据丢失 （3）不明病毒的破坏和黑客入侵 （4）操作系统运行不正常 操作系统的脆弱性 操作系统的脆弱性主要来自以下几方面： （1）操作系统的远程调用和系统漏洞 （2）进程管理体系存在问题 操作系统的常见漏洞包括： 1）空口令或弱口令 2）默认共享密钥 3）系统组件漏洞 4）应用程序漏洞 4.2.2 操作系统中常见的安全保护机制 安全保护机制有如下几种： 进程隔离和内存保护 运行模式：现代CPU的运行模式通常分为内核模式与用户模式两种运行模式：1） 内核模式：也称为特权模式。 2）用户模式：也称为非特权模式。 用户权限控制 文件系统访问控制

1. 虚拟化 1）什么是虚拟化 在计算机中，虚拟化(英语:Virtualization)是一种资源管理技术，是将计算机的各种 实体资源，如服务器、网络、内存及存储等，予以抽象、转换后呈现出来，打破实体结构间 的不可切割的障碍，使用户可以比原本的组态更好的方式来应用这些资源。这些资源的新虚 拟部份是不受现有资源的架设方式，地域或物理组态所限制。一般所指的虚拟化资源包括计 算能力和资料存储。 在实际的生产环境中，虚拟化技术主要用来解决高性能的物理硬件产能过剩和老的旧的 硬件产能过低的重组重用，透明化底层物理硬件，从而最大化的利用物理硬件 对资源充 分利用 虚拟化技术种类很多，例如:软件虚拟化、硬件虚拟化、内存虚拟化、网络虚拟化(vip)、 桌面虚拟化、服务虚拟化、虚拟机等等。 2）虚拟化种类 1）全虚拟化架构 虚拟机的监视器(hypervisor)是类似于用户的应用程序运行在主机的 OS 之上，如 VMware 的 workstation，这种虚拟化产品提供了虚拟的硬件。 2）OS层虚拟化架构 3）硬件层虚拟化 硬件层的虚拟化具有高性能和隔离性，因为 hypervisor 直接在硬件上运行，有利于控制 VM 的 OS 访问硬件资源，使用这种解决方案的产品有 VMware ESXi 和 Xen server Hypervisor 是一种运行在物理服务器和操作系统之间的中间软件层