KVM 安全
SMEP(supervision Mode Execution Protection)監(jiān)督模式執(zhí)行保護:屬于硬件CPU特性畏鼓,讓處于管理模式的程序不能執(zhí)行用戶模式下可以訪問的內存空間的指令纠脾。
-
cgroups: 控制客戶機的資源使用
cgroups控制組是系統(tǒng)內核的特性理郑,用于限制哩盲,記錄和隔離進程組對物理資源的使用挨摸。cgroups提供了如下的功能:- 資源限制
- 優(yōu)先級控制:不同的進程組可以有不同的優(yōu)先級
- 記錄: 記錄每個進程組實際占用的資源數量
- 隔離: 不同的進程組使用不同的命名空間
- 控制: 控制進程的暫停镇饮,添加檢查點广鳍,重啟等
cgoups 中有幾個重要的概念: - task 任務逆趣,一個任務就是linux中的進程或線程
- control group 控制組: 以某種標準劃分的一組任務蝶溶。cgoups,資源的控制是以控制組為單位來實現的
- 層級體系: 控制組被組織成一顆有層級關系的控制樹宣渗。
- 子系統(tǒng):一個子系統(tǒng)就是一個資源控制器
SELinux
sVirt
Hypervisior的可信啟動TXT抖所, Tboot
-
其他安全策略:
- 鏡像安全:qcow2格式的鏡像支持加密
- 虛擬網絡的安全
-
虛擬機的遷移:
- VMware->KVM
- XEN -> KVM
- virtualbox -> KVM
- 物理機 -> KVM
KVM性能測試
評價一個系統(tǒng)的性能標準,一般可以用 **相應時間痕囱,吞吐量田轧,并發(fā)用戶數,和資源占用率** 幾個指標衡量
