Hipervisor

Pieza de software o hardware que crea y ejecuta máquinas virtuales.

Un hipervisor , también conocido como monitor de máquina virtual ( VMM ) o virtualizador , es un tipo de software , firmware o hardware que crea y ejecuta máquinas virtuales . Una computadora en la que un hipervisor ejecuta una o más máquinas virtuales se denomina máquina host y cada máquina virtual se denomina máquina invitada . El hipervisor presenta a los sistemas operativos invitados una plataforma operativa virtual y gestiona la ejecución de los sistemas operativos invitados. A diferencia de un emulador , el invitado ejecuta la mayoría de las instrucciones en el hardware nativo. ^[1] Varias instancias de una variedad de sistemas operativos pueden compartir los recursos de hardware virtualizados: por ejemplo, las instancias de Linux , Windows y macOS pueden ejecutarse en una única máquina física x86 . Esto contrasta con la virtualización a nivel de sistema operativo , donde todas las instancias (generalmente llamadas contenedores ) deben compartir un único kernel, aunque los sistemas operativos invitados pueden diferir en el espacio de usuario , como diferentes distribuciones de Linux con el mismo kernel.

El término hipervisor es una variante de supervisor , un término tradicional para el núcleo de un sistema operativo : el hipervisor es el supervisor de los supervisores, ^[2] con hiper- usado como una variante más fuerte de super- . ^[a] El término data de alrededor de 1970; ^[3] IBM lo acuñó para el 360/65 ^[4] y luego lo usó para el controlador DIAG del CP-67. En el anterior sistema CP/CMS (1967), se utilizaba en su lugar el término Programa de Control .

Clasificación

Hipervisores tipo 1 y tipo 2

En su tesis de 1973, "Principios arquitectónicos para sistemas informáticos virtuales", Robert P. Goldberg clasificó dos tipos de hipervisor: ^[1]

Hipervisores tipo 1, nativos o bare-metal

Estos hipervisores se ejecutan directamente en el hardware del host para controlar el hardware y administrar los sistemas operativos invitados. Por esta razón, a veces se les llama hipervisores bare-metal . Los primeros hipervisores, que IBM desarrolló en la década de 1960, eran hipervisores nativos. ^[5] Estos incluían el software de prueba SIMMON y el sistema operativo CP/CMS , el predecesor de la familia VM de sistemas operativos de máquinas virtuales de IBM .

Hipervisores tipo 2 o alojados

Estos hipervisores se ejecutan en un sistema operativo (SO) convencional al igual que otros programas informáticos. Un monitor de máquina virtual se ejecuta como un proceso en el host. Los hipervisores tipo 2 abstraen los sistemas operativos invitados del sistema operativo host.

La distinción entre estos dos tipos no siempre es clara. Por ejemplo, KVM y bhyve son módulos del kernel ^[6] que convierten efectivamente el sistema operativo host en un hipervisor tipo 1. ^[7] Al mismo tiempo, dado que las distribuciones de Linux y FreeBSD siguen siendo sistemas operativos de propósito general, con aplicaciones que compiten entre sí por los recursos de VM, KVM y bhyve también pueden clasificarse como hipervisores de tipo 2. ^[8]

Orígenes de la computadora central

Los primeros hipervisores que proporcionaron virtualización completa fueron la herramienta de prueba SIMMON y el exclusivo sistema de investigación IBM CP-40 , que comenzó a utilizarse en producción en enero de 1967 y se convirtió en la primera versión del sistema operativo IBM CP/CMS . CP-40 se ejecutó en un S/360-40 modificado en el Centro Científico de Cambridge para soportar la traducción dinámica de direcciones , una característica que permitía la virtualización. Antes de este tiempo, el hardware de la computadora solo se había virtualizado hasta el punto de permitir que múltiples aplicaciones de usuario se ejecutaran simultáneamente, como en CTSS e IBM M44/44X . Con CP-40, el estado supervisor del hardware también se virtualizó, permitiendo que múltiples sistemas operativos se ejecuten simultáneamente en contextos de máquinas virtuales separados .

Los programadores pronto implementaron CP-40 (como CP-67 ) para IBM System/360-67 , el primer sistema informático de producción capaz de virtualización completa. IBM envió esta máquina en 1966; incluía hardware de tabla de traducción de páginas para memoria virtual y otras técnicas que permitían una virtualización completa de todas las tareas del kernel, incluidas las E/S y el manejo de interrupciones. (Tenga en cuenta que el sistema operativo "oficial", el desafortunado TSS/360 , no empleaba virtualización completa). Tanto el CP-40 como el CP-67 comenzaron a utilizarse en producción en 1967. CP/CMS estuvo disponible para los clientes de IBM desde 1968 hasta principios de la década de 1970, en forma de código fuente sin soporte.

CP/CMS formó parte del intento de IBM de construir sistemas robustos de tiempo compartido para sus computadoras centrales . Al ejecutar varios sistemas operativos simultáneamente, el hipervisor aumentó la solidez y la estabilidad del sistema: incluso si un sistema operativo fallaba, los demás continuarían funcionando sin interrupción. De hecho, esto permitió incluso implementar y depurar versiones beta o experimentales de sistemas operativos‍—‌o incluso de nuevo hardware ^{[9] ‍—‌, sin poner en peligro el sistema de producción principal estable y sin requerir costosos sistemas de desarrollo adicionales.}

IBM anunció su serie System/370 en 1970 sin la función de memoria virtual necesaria para la virtualización, pero la agregó en el anuncio de Función Avanzada de agosto de 1972. La virtualización ha aparecido en todos los sistemas sucesores, de modo que todos los mainframes IBM modernos, incluida la línea zSeries , conservan la compatibilidad con la línea IBM S/360 de la década de 1960. El anuncio de 1972 también incluía VM/370 , una reimplementación de CP/CMS para el S/370. A diferencia de CP/CMS , IBM brindó soporte para esta versión (aunque todavía se distribuyó en forma de código fuente para varias versiones). VM significa Máquina Virtual y enfatiza que todas, no solo algunas, las interfaces de hardware están virtualizadas. Tanto VM como CP/CMS disfrutaron de una aceptación temprana y un rápido desarrollo por parte de universidades, usuarios corporativos y proveedores de tiempo compartido , así como dentro de IBM. Los usuarios desempeñaron un papel activo en el desarrollo continuo, anticipándose a las tendencias observadas en los proyectos modernos de código abierto . Sin embargo, en una serie de disputadas y amargas batallas ^{[ cita necesaria ]} , el tiempo compartido perdió frente al procesamiento por lotes a través de luchas políticas internas de IBM, y VM siguió siendo el "otro" sistema operativo de mainframe de IBM durante décadas, perdiendo frente a MVS . Disfrutó de un resurgimiento de popularidad y apoyo a partir del año 2000 como producto z/VM , por ejemplo como plataforma para Linux en IBM Z.

Como se mencionó anteriormente, el programa de control de VM incluye un controlador de llamadas de hipervisor que intercepta las instrucciones DIAG ("Diagnose", código de operación x'83') utilizadas dentro de una máquina virtual. Esto proporciona una ejecución rápida no virtualizada de acceso al sistema de archivos y otras operaciones (DIAG es una instrucción privilegiada dependiente del modelo, no se utiliza en la programación normal y, por lo tanto, no está virtualizada. Por lo tanto, está disponible para su uso como señal para el sistema operativo "host"). Cuando se implementó por primera vez en CP/CMS versión 3.1, este uso de DIAG proporcionó una interfaz de sistema operativo que era análoga a la instrucción de llamada de supervisor (SVC) de System/360 , pero que no requería alterar ni extender la virtualización de SVC del sistema.

En 1985, IBM introdujo el hipervisor PR/SM para gestionar particiones lógicas (LPAR).

Soporte del sistema operativo

Varios factores llevaron a un resurgimiento alrededor de 2005 en el uso de la tecnología de virtualización entre Unix , Linux y otros sistemas operativos similares a Unix : ^[10]

• Ampliar las capacidades del hardware, permitiendo que cada máquina realice más trabajo simultáneo
• Esfuerzos para controlar costes y simplificar la gestión mediante la consolidación de servidores
• La necesidad de controlar grandes instalaciones de clústeres y multiprocesadores , por ejemplo, en granjas de servidores y granjas de renderizado.
• La mayor seguridad, confiabilidad e independencia de dispositivos posibles gracias a las arquitecturas de hipervisor.
• La capacidad de ejecutar aplicaciones complejas que dependen del sistema operativo en diferentes entornos de hardware o sistema operativo.

Los principales proveedores de Unix, incluidos HP , IBM , SGI y Sun Microsystems , han estado vendiendo hardware virtualizado desde antes del año 2000. Por lo general, han sido sistemas grandes y costosos (en el rango multimillonario de la gama alta), aunque la virtualización también ha sido disponible en algunos sistemas de gama baja y media, como servidores IBM pSeries , máquinas de la serie HP Superdome y servidores CoolThreads Sun / Oracle T-series.

Aunque Solaris siempre ha sido el único sistema operativo de dominio invitado oficialmente soportado por Sun/Oracle en su hipervisor Logical Domains , a finales de 2006 ^[actualizar], Linux (Ubuntu y Gentoo) y FreeBSD han sido adaptados para ejecutarse sobre el hipervisor (y todos pueden funcionar). se ejecutan simultáneamente en el mismo procesador, como sistemas operativos invitados independientes totalmente virtualizados). Wind River "Carrier Grade Linux" también se ejecuta en el hipervisor de Sun. ^[11] La virtualización completa en procesadores SPARC resultó sencilla: desde sus inicios a mediados de la década de 1980, Sun mantuvo deliberadamente la arquitectura SPARC limpia de artefactos que habrían impedido la virtualización. (Compare con la virtualización en procesadores x86 a continuación). ^[12]

HPE proporciona máquinas virtuales HP Integrity (Integrity VM) para alojar múltiples sistemas operativos en sus sistemas Integrity con tecnología Itanium . Itanium puede ejecutar HP-UX , Linux, Windows y OpenVMS , y estos entornos también son compatibles como servidores virtuales en la plataforma Integrity VM de HP. El sistema operativo HP-UX aloja la capa de hipervisor Integrity VM que permite aprovechar muchas características importantes de HP-UX y proporciona una diferenciación importante entre esta plataforma y otras plataformas básicas, como el intercambio directo de procesador, el intercambio dinámico de memoria y el kernel dinámico. actualizaciones sin reiniciar el sistema. Si bien aprovecha en gran medida HP-UX, el hipervisor Integrity VM es en realidad un híbrido que se ejecuta sin sistema operativo mientras los invitados se ejecutan. Se desaconseja encarecidamente la ejecución de aplicaciones HP-UX normales en un host Integrity VM, ^{[ ¿ por quién? ]} porque Integrity VM implementa sus propias políticas de administración de memoria, programación y E/S que están ajustadas para máquinas virtuales y no son tan efectivas para aplicaciones normales. HPE también proporciona una partición más rígida de sus sistemas Integrity y HP9000 mediante tecnología VPAR y nPar ; el primero ofrece partición de recursos compartidos y el segundo ofrece E/S completa y aislamiento de procesamiento. La flexibilidad del entorno de servidor virtual (VSE) ha dado paso a su uso con mayor frecuencia en implementaciones más nuevas. ^{[ cita necesaria ]}

IBM proporciona tecnología de partición de virtualización conocida como partición lógica (LPAR) en los sistemas System/390 , zSeries , pSeries e IBM AS/400 . Para Power Systems de IBM, POWER Hypervisor (PHYP) es un hipervisor nativo (bare-metal) en firmware y proporciona aislamiento entre LPAR. La capacidad del procesador se proporciona a las LPAR de forma dedicada o mediante derechos, donde la capacidad no utilizada se aprovecha y se puede reasignar a cargas de trabajo ocupadas. Los grupos de LPAR pueden gestionar su capacidad de procesador como si estuvieran en un "grupo". IBM se refiere a esta capacidad como grupos de procesadores compartidos múltiples (MSPP) y la implementa en servidores con el procesador POWER6 . Las asignaciones de capacidad LPAR y MSPP se pueden cambiar dinámicamente. La memoria se asigna a cada LPAR (en el inicio de LPAR o dinámicamente) y está controlada por la dirección mediante POWER Hypervisor. Para el direccionamiento en modo real mediante sistemas operativos ( AIX , Linux , IBM i ), los procesadores Power ( POWER4 en adelante) han diseñado capacidades de virtualización donde se evalúa una compensación de dirección de hardware con la compensación de dirección del sistema operativo para llegar a la dirección de memoria física. Los adaptadores de entrada/salida (E/S) pueden ser "propiedad" exclusiva de las LPAR o ser compartidos por las LPAR a través de una partición de dispositivo conocida como Servidor de E/S virtual (VIOS). Power Hypervisor proporciona altos niveles de confiabilidad, disponibilidad y capacidad de servicio (RAS) al facilitar la adición/reemplazo en caliente de muchas piezas (según el modelo: procesadores, memoria, adaptadores de E/S, sopladores, unidades de energía, discos, controladores del sistema, etc.). )

Se han producido tendencias similares con las plataformas de servidores x86/x86-64, donde proyectos de código abierto como Xen han liderado los esfuerzos de virtualización. Estos incluyen hipervisores creados en kernels de Linux y Solaris, así como kernels personalizados. Dado que estas tecnologías abarcan desde sistemas grandes hasta computadoras de escritorio, se describen en la siguiente sección.

sistemas x86

La virtualización X86 se introdujo en la década de 1990 y su emulación se incluyó en Bochs . ^[13] Intel y AMD lanzaron sus primeros procesadores x86 con virtualización de hardware en 2005 con Intel VT-x (nombre en código Vanderpool) y AMD-V (nombre en código Pacifica).

Un enfoque alternativo requiere modificar el sistema operativo invitado para realizar una llamada al sistema al hipervisor subyacente, en lugar de ejecutar instrucciones de E/S de la máquina que simula el hipervisor. Esto se llama paravirtualización en Xen , una "hiperllamada" en Parallels Workstation y un "código de DIAGNOSTICO" en IBM VM . Algunos microkernels, como Mach y L4 , son lo suficientemente flexibles como para permitir la paravirtualización de sistemas operativos invitados.

Sistemas embebidos

Los hipervisores integrados , dirigidos a sistemas integrados y ciertos entornos de sistemas operativos en tiempo real (RTOS), están diseñados con requisitos diferentes en comparación con los sistemas empresariales y de escritorio, incluida la solidez, la seguridad y las capacidades en tiempo real . La naturaleza de recursos limitados de muchos sistemas integrados, especialmente los sistemas móviles alimentados por baterías, impone un requisito adicional de memoria pequeña y gastos generales bajos. Finalmente, en contraste con la ubicuidad de la arquitectura x86 en el mundo de las PC, el mundo integrado utiliza una variedad más amplia de arquitecturas y entornos menos estandarizados. El soporte para la virtualización requiere protección de la memoria (en forma de una unidad de administración de memoria o al menos una unidad de protección de memoria) y una distinción entre modo de usuario y modo privilegiado , lo que descarta la mayoría de los microcontroladores . Esto todavía deja a x86 , MIPS , ARM y PowerPC como arquitecturas ampliamente implementadas en sistemas integrados de gama media a alta. ^[14]

Como los fabricantes de sistemas integrados suelen tener el código fuente de sus sistemas operativos, tienen menos necesidad de una virtualización completa en este espacio. En cambio, las ventajas de rendimiento de la paravirtualización hacen que ésta sea la tecnología de virtualización preferida. Sin embargo, ARM y MIPS han agregado recientemente soporte completo de virtualización como una opción IP y lo han incluido en sus últimas versiones de arquitectura y procesadores de alta gama, como ARM Cortex-A15 MPCore y ARMv8 EL2.

Otras diferencias entre la virtualización en servidores/escritorio y entornos integrados incluyen requisitos para compartir eficientemente recursos entre máquinas virtuales, alto ancho de banda, comunicación entre máquinas virtuales de baja latencia, una visión global de la programación y administración de energía, y un control detallado de la información. fluye. ^[15]

Implicaciones de seguridad

El uso de tecnología de hipervisor por parte de malware y rootkits que se instalan como un hipervisor debajo del sistema operativo, conocido como hyperjacking , puede hacerlos más difíciles de detectar porque el malware podría interceptar cualquier operación del sistema operativo (como que alguien ingrese una contraseña) sin el software antimalware necesariamente lo detecta (ya que el malware se ejecuta debajo de todo el sistema operativo). La implementación del concepto se habría producido en el rootkit de laboratorio SubVirt (desarrollado conjuntamente por investigadores de Microsoft y la Universidad de Michigan ^[16] ), así como en el paquete de malware Blue Pill . Sin embargo, estas afirmaciones han sido cuestionadas por otros que afirman que sería posible detectar la presencia de un rootkit basado en hipervisor. ^[17]

En 2009, investigadores de Microsoft y la Universidad Estatal de Carolina del Norte demostraron un anti-rootkit de capa de hipervisor llamado Hooksafe que puede proporcionar protección genérica contra rootkits en modo kernel . ^[18]

Notas

1. super- proviene del latín y significa "arriba", mientras que hiper- proviene del término afín en griego antiguo (ὑπέρ-), que también significa arriba o encima .

Ver también

• Memoria virtual

Referencias

1. Goldberg, Robert P. (1973). Principios arquitectónicos para sistemas informáticos virtuales (PDF) (Reporte técnico). Universidad Harvard. ESD-TR-73-105.
2. Bernard dorado (2011). Virtualización para principiantes . pag. 54.
3. "¿Cómo se empezó a utilizar el término" hipervisor "?"
4. Gary R. Allred (mayo de 1971). Emulación integrada System/370 bajo OS y DOS (PDF) . Conferencia conjunta de informática de primavera de 1971 . vol. 38. Prensa AFIPS. pag. 164. doi : 10.1109/AFIPS.1971.58 . Consultado el 12 de junio de 2022 .
5. Meier, Shannon (2008). "Virtualización de sistemas IBM: servidores, almacenamiento y software" (PDF) . págs.2, 15, 20 . Consultado el 22 de diciembre de 2015 .
6. Diestro, Michael. "Práctica bhyve". CallForTesting.org . Consultado el 24 de septiembre de 2013 .
7. Graziano, Charles (2011). Un análisis de rendimiento de los hipervisores Xen y KVM para alojar el Proyecto Xen Worlds (tesis de maestría). Universidad del Estado de Iowa. doi : 10.31274/etd-180810-2322 . hdl : 20.500.12876/26405 . Consultado el 16 de octubre de 2022 .
8. Pariseau, Beth (15 de abril de 2011). "KVM reaviva el debate entre hipervisores tipo 1 y tipo 2". Virtualización del servidor de búsqueda . Objetivo tecnológico . Consultado el 29 de enero de 2013 .
9. Ver Historia de CP/CMS para simulación de hardware virtual en el desarrollo del System/370
10. Loftus, Jack (19 de diciembre de 2005). "La virtualización Xen se está convirtiendo rápidamente en una 'aplicación asesina' de código abierto'". Objetivo tecnológico . Consultado el 26 de octubre de 2015 .
11. "Wind River respaldará el innovador procesador multiproceso de próxima generación UltraSPARC T1 de Sun". Sala de prensa de Wind River (Comunicado de prensa). Alameda, California. 1 de noviembre de 2006. Archivado desde el original el 10 de noviembre de 2006 . Consultado el 26 de octubre de 2015 .
12. Fritsch, Lothar; Husseiki, Rani; Alkassar, Ammar. Tecnologías complementarias y alternativas a la informática confiable (TC-Erg./-A.), Parte 1, Un estudio en nombre de la Oficina Federal Alemana para la Seguridad de la Información (BSI) (PDF) (Reporte). Archivado desde el original (PDF) el 7 de junio de 2020 . Consultado el 28 de febrero de 2011 .
13. "Introducción a Bochs". bochs.sourceforge.io . Consultado el 17 de abril de 2023 .
14. Strobl, Marius (2013). Virtualización para sistemas integrados confiables. Múnich: GRIN Publishing GmbH. págs. 5–6. ISBN 978-3-656-49071-5. Consultado el 7 de marzo de 2015 .
15. Gernot Heiser (abril de 2008). "El papel de la virtualización en sistemas embebidos". Proc. 1er Taller de Aislamiento e Integración en Sistemas Embebidos (IIES'08) . págs. 11-16. Archivado desde el original el 21 de marzo de 2012 . Consultado el 8 de abril de 2009 .
16. "SubVirt: Implementación de malware con máquinas virtuales" (PDF) . Universidad de Michigan , Microsoft . 3 de abril de 2006 . Consultado el 15 de septiembre de 2008 .
17. "Desmentir el mito de la píldora azul". Virtualización.info. 11 de agosto de 2006. Archivado desde el original el 14 de febrero de 2010 . Consultado el 10 de diciembre de 2010 .
18. Wang, Zhi; Jiang, Xuxian; Cui, Weidong; Ning, Peng (11 de agosto de 2009). "Contrarrestar los rootkits del kernel con una protección de gancho ligera". Actas de la 16ª conferencia ACM sobre seguridad informática y de las comunicaciones (PDF) . CCS '09. Chicago, Illinois, Estados Unidos: ACM . págs. 545–554. CiteSeerX 10.1.1.147.9928 . doi :10.1145/1653662.1653728. ISBN  978-1-60558-894-0. S2CID  3006492 . Consultado el 11 de noviembre de 2009 .

enlaces externos

• Hipervisores y máquinas virtuales: información sobre la implementación de la arquitectura x86
• Una comparación de rendimiento de hipervisores, VMware