Galileo Computing < openbook > Galileo Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

Inhaltsverzeichnis
Vorwort
Leitfaden
1 Die Wurzeln von Ubuntu
2 Was ist Ubuntu?
3 Die Versionen im Detail
4 Die Möglichkeiten der beiliegenden DVDs
5 Daten aus Windows sichern
6 Die Installation
7 Erste Schritte
8 Kubuntu und Xubuntu
9 Ubuntu mobil
10 Programme und Pakete installieren
11 Internet und E-Mail
12 Office
13 Grafik und Bildbearbeitung
14 Multimedia
15 Das Terminal
16 Programmierung und Design
17 Einrichtung der grundlegenden Hardware
18 Software- und Paketverwaltung
19 Architektur
20 Backup und Sicherheit
21 Desktop-Virtualisierung
22 Server-Installation
23 Sicherheit und Monitoring
24 Netzwerke
25 Server im Heim- und Firmennetzwerk
26 Der Server im Internet
27 Server-Virtualisierung mit KVM
28 Server-Virtualisierung mit Xen
29 Hilfe
30 Befehlsreferenz
Mark Shuttleworth
Glossar
Stichwort

Download:
- ZIP, ca. 34,8 MB
Buch bestellen
Ihre Meinung?

Spacer
<< zurück
Ubuntu GNU/Linux von Marcus Fischer
Das umfassende Handbuch, aktuell zu Ubuntu 10.04 LTS "Lucid Lynx"
Buch: Ubuntu GNU/Linux

Ubuntu GNU/Linux
5., aktualisierte und erweiterte Auflage, gebunden, mit 2 DVDs
1.104 S., 39,90 Euro
Galileo Computing
ISBN 978-3-8362-1654-8
Pfeil 21 Desktop-Virtualisierung
Pfeil 21.1 Überblick
Pfeil 21.2 Konzepte
Pfeil 21.2.1 Paravirtualisierung
Pfeil 21.2.2 Hardware-unterstützte Virtualisierung
Pfeil 21.3 Die Ringe
Pfeil 21.3.1 Grundsätzlicher Aufbau
Pfeil 21.3.2 Generelles Problem bei der x86-Virtualisierung
Pfeil 21.3.3 Möglichkeiten der x86-Virtualisierung
Pfeil 21.3.4 Machtmissbrauch
Pfeil 21.3.5 Ungenutzte Ringe
Pfeil 21.4 Intel VT-x und AMD-V
Pfeil 21.4.1 Gründe für Performance-Probleme
Pfeil 21.4.2 Pacifica und Vanderpool sind inkompatibel
Pfeil 21.5 Virtualisierungs-Software
Pfeil 21.6 VMware Player
Pfeil 21.6.1 Installation unter Windows
Pfeil 21.6.2 Installation unter Linux
Pfeil 21.6.3 Nutzung der virtuellen Maschine
Pfeil 21.6.4 Installation einer vorkonfigurierten VM
Pfeil 21.6.5 VMware Tools
Pfeil 21.6.6 Erstellung einer neuen VM
Pfeil 21.6.7 Deinstallation unter Linux
Pfeil 21.7 VMware Workstation
Pfeil 21.7.1 Professionelle Funktionen
Pfeil 21.7.2 Installation
Pfeil 21.7.3 Betrieb
Pfeil 21.7.4 VMware Tools
Pfeil 21.8 VirtualBox
Pfeil 21.8.1 Proprietäre Version
Pfeil 21.8.2 VirtualBox OSE
Pfeil 21.9 QEMU
Pfeil 21.9.1 Installation


Galileo Computing - Zum Seitenanfang

21.3 Die Ringe Zur nächsten ÜberschriftZur vorigen Überschrift

Den Segmenten des Hauptspeichers kann jeweils ein Privilegien-Level zugeordnet werden. Um sich diese Segmentierung und Aufteilung in vier Level besser vorstellen zu können, entwickelte man die Vorstellung von Ringen.


Galileo Computing - Zum Seitenanfang

21.3.1 Grundsätzlicher Aufbau Zur nächsten ÜberschriftZur vorigen Überschrift

Jeder Prozess kann immer nur in einem einzelnen Ring ausgeführt werden. Dabei ist ihm nicht erlaubt, aus diesem Ring auszubrechen. Die Ringe werden dadurch unterschieden, dass jeder Ring dem in ihm laufenden Prozess nur einen Teil des CPU-Befehlssatzes zur Verfügung stellt.

Prozessoren der x86-Architektur stellen vier solcher Ringe zur Verfügung. Diese werden von 0 bis 3 nummeriert. Hierbei stelllt der Ring 0 den uneingeschränkten Zugriff auf die CPU dar (Supervisor-Mode) und Ring 3 den Level mit der größten Einschränkung (siehe Abbildung 21.3).

  • Ring 0 ist üblicherweise die Heimat des Kernels und bildet daher auch den sogenannten Kernel-Space. Man nennt diesen Ring auch Supervisor-Mode.
  • In Ring 3 hingegen laufen die Anwendungen, deshalb bildet Ring 3 den sogenannten Userspace.

Nun stellt sich die Frage, welche Prozesse in den Ringen 1 und 2 ihr virtuelles Zuhause finden. Die Antwort ist einfach: keine. Der Grund ist, dass andere aktuelle Prozessorarchitekturen nur zwei Ringe unterscheiden. Um Anwendungen leichter portieren zu können, entschied man sich dafür, zwei der ursprünglich vier Ringe nicht zu nutzen [Eine Ausnahme stellt hier OS / 2 dar.].

Abbildung 21.3 Ringmodell – Ring 0 ist der Supervisor-Mode und stellt den uneingeschränkten Zugriff auf den Befehlssatz der CPU dar. Je höher die Ringnummer ist, desto eingeschränkter ist der Zugriff.


Galileo Computing - Zum Seitenanfang

21.3.2 Generelles Problem bei der x86-Virtualisierung Zur nächsten ÜberschriftZur vorigen Überschrift

Soll ein Hypervisor ein Betriebssystem kontrollieren, das standardmäßig in Ring 0 läuft, ergibt sich ein generelles Problem: Um das Betriebssystem kontrollieren zu können, muss der Hypervisor selbstverständlich in einem Ring laufen, der mehr Rechte besitzt als das Betriebssystem. Das Betriebssystem wiederum ist so konzipiert, dass es auf Ring 0 laufen muss (manche Instruktionen des Betriebssystems erfordern dies). Und genau in diesem Zwiespalt liegt das Problem, warum ein x86-Prozessor ohne spezielle Virtualisierungsunterstützung, nicht effektiv virtualisiert werden kann: Das Betriebssystem läuft bei der Virtualisierung in der Regel auf Ebene 3, und deshalb gibt es Befehle, bei denen es zu Problemen kommt.

Probleme heißt in diesem Fall, dass sich ein Befehl je nach Ring, in dem er ausgeführt wird, unterschiedlich verhält. Ich komme auf diese Probleme in Abschnitt 21.3.4, »Machtmissbrauch«, noch einmal zurück.


Galileo Computing - Zum Seitenanfang

21.3.3 Möglichkeiten der x86-Virtualisierung Zur nächsten ÜberschriftZur vorigen Überschrift

Auch wenn die x86-Architektur alles andere als optimal für Virtualisierungszwecke ist, wurde aufgrund ihrer hohen Verbreitung sehr viel Arbeit in die Entwicklung von x86-Virtualisierung investiert. Diese Arbeit trug im Laufe der Zeit ihre Früchte. Dabei werden folgende Techniken und Vorgehensweisen verwendet:

1. Emulation
Jedes Stück Hardware wird von der Software simuliert. Dies ermöglicht zwar eine saubere Virtualisierung und eine große Zahl von unterstützten Hardware-Komponenten, erfordert allerdings viel Rechenleistung bei der Ausführung und einen hohen Implementierungsaufwand, da für jedes Stück Hardware ein Simulator und die Abbildung auf die reale Hardware geschrieben werden muss (von Fehlern im Simulator und davon ausgehenden Sicherheitsrisiken ganz zu schweigen).
2. Paravirtualisierung
Hierbei wird Betriebssystemen durch den Hypervisor eine Software-Schnittstelle bereitgestellt, die ähnlich zur, aber nicht identisch mit der Hardware-Schnittstelle ist. Konkret heißt das, dass der Hypervisor auf Ebene 0 läuft und das Betriebssystem so angepasst wird, dass es ohne Probleme auf Ebene 1 oder 3 laufen kann.
Dadurch kann der Hypervisor schlanker sein, und es ergibt sich eine höhere Performance (es muss beispielsweise bei einem portierten Betriebssystem nicht für jede Instruktion geprüft werden, ob sie eine Aktion durchführen möchte, die nur auf Ring 0 erfolgreich sein kann). Allerdings ist das Anpassen des Betriebssystems aufwendig und bei proprietären Betriebssystemen ohne offenen Quellcode schlicht unmöglich.
3. Binary translation
Die aufwendigste Art der Virtualisierung ist die Binary TranslationBinary translation. Hierbei überprüft der Hypervisor für jede Instruktion des Betriebssystems, ob sie die Virtualisierung beeinflusst oder ob Probleme bezüglich der Rechte auftreten. Ist dies der Fall, so ersetzt der Hypervisor diese Instruktion durch eine Folge anderer Instruktionen. Dass dies einen sehr hohen Verwaltungsaufwand mit sich bringt, ist offensichtlich.

Galileo Computing - Zum Seitenanfang

21.3.4 Machtmissbrauch Zur nächsten ÜberschriftZur vorigen Überschrift

Wenn ein Prozess in einem wenig privilegierten Ring eine Operation ausführt, zu der ihm die nötigen Privilegien fehlen, wird von der CPU eine sogenannte Exception erzeugt. Diese Exception wird im Normalfall an einen privilegierteren Ring weitergegeben. Routinen zur Behandlung dieser Exceptions können den privilegierten Befehl emulieren. Um dies aber effizient zu bewerkstelligen, sind jetzt erheblich mehr Instruktionen erforderlich. Dieser Umgang mit Exceptions verlangsamt zwangsläufig das System. Misslingt er, kommt es zu einem General Protection Fault. Als Folge davon stürzt der initiierende Prozess ab. Wenn der Initiator der Kernel selbst ist, stürzt das gesamte System ab.

Exceptions

Die wichtigste Voraussetzung für das Funktionieren dieses Ansatzes ist also, dass der Prozessor bei jeder unberechtigt durchgeführten privilegierten Anweisung eine Exception auslöst. Allerdings sind die x86-Prozessoren nicht ganz so gründlich bei den Exceptions. Beispielsweise werden Speicherzugriffe beim x86 über eine GDT (Global Descriptor Table) abgewickelt. Diese GDT ist eine globale Ressource und wird vom Betriebssystem verwaltet. Eigentlich müsste jeder direkte Zugriff auf diese Ressource als privilegierte Handlung angesehen werden und dürfte dementsprechend im User Mode nicht erlaubt sein. Der x86 behandelt die LGDT-Anweisung (Load Global Descriptor Table) auch als privilegiert. Allerdings führt SGDT (Store Global Descriptor Table) nicht zu einer Schutzverletzung.

Allein diese Inkonsistenz verhindert es, die GDT zu virtualisieren. Intels Virtualization Technology greift hier ein und erleichtert unter anderem auch das Exceptions-Handling. VM-Software mit Virtualization-Technology-Support lässt sich somit einfacher programmieren und bietet gleichzeitig eine höhere Betriebssicherheit und Stabilität.


Galileo Computing - Zum Seitenanfang

21.3.5 Ungenutzte Ringe topZur vorigen Überschrift

In nicht virtualisierten Systemen laufen sowohl der Kernel als auch sämtliche Hardware-Treiber in Ring 0, während die Anwendungen in Ring 3 arbeiten. Ring 1 und 2 bleiben ungenutzt, und genau dies machen sich manche Voll-Virtualisierungslösungen wie beispielsweise VMware zunutze: Die Gäste werden in einem nicht genutzten Ring ausgeführt.

Kommt es hierbei zu Exceptions, werden diese vom VMM in Ring 0 und nicht vom Gast ausgeführt. Xen, um ein weiteres Beispiel zu nennen, arbeitet nach dem gleichen Prinzip und setzt den Hypervisor in Ring 0. Abbildung 21.4 soll diese Wirkungsweise veranschaulichen.

Hypercalls

Hypercalls sind die Befehle, um die Xen den Befehlssatz der x86-Architektur erweitert hat. Sie entsprechen in ihrer Funktionsweise den UNIX-System-Calls.

  • Wenn ein Prozess im Userspace eine privilegierte Operation ausführen möchte, ruft er einen UNIX-System-Call auf.
  • Ebenso wird ein Hypercall aufgerufen, wenn ein Gastsystem eine privilegierte Operation ausführen möchte.

Der Kernel wandert gleichzeitig von Ring 0 in einen weniger privilegierten Ring. Je nach Architektur des zugrunde liegenden Systems kann dies Ring 1 oder 3 sein.

Abbildung 21.4 Nutzung der Ringe durch »Xen«, hier dargestellt an einer 32-Bit-CPU



Ihr Kommentar

Wie hat Ihnen das <openbook> gefallen? Wir freuen uns immer über Ihre freundlichen und kritischen Rückmeldungen.






<< zurück
  Zum Katalog
Zum Katalog: Ubuntu GNU/Linux

Ubuntu GNU/Linux
Jetzt bestellen


 Ihre Meinung?
Wie hat Ihnen das <openbook> gefallen?
Ihre Meinung

 Buchempfehlungen
Zum Katalog: Linux






 Linux


Zum Katalog: OpenVPN






 OpenVPN


Zum Katalog: LPIC-1






 LPIC-1


Zum Katalog: Debian GNU/Linux






 Debian GNU/Linux


Zum Katalog: Shell-Programmierung






 Shell-Programmierung


Zum Katalog: Webserver einrichten und administrieren






 Webserver einrichten
 und administrieren


Zum Katalog: VirtualBox






 VirtualBox


Zum Katalog: IT-Handbuch für Fachinformatiker






 IT-Handbuch für
 Fachinformatiker


 Shopping
Versandkostenfrei bestellen in Deutschland und Österreich
InfoInfo




Copyright © Galileo Press 2010
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das <openbook> denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


[Galileo Computing]

Galileo Press, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, info@galileo-press.de