KVM安全

KVM 安全

1. SMEP（supervision Mode Execution Protection）监督模式执行保护：属于硬件CPU特性，让处于管理模式的程序不能执行用户模式下可以访问的内存空间的指令。

2. cgroups: 控制客户机的资源使用
   cgroups控制组是系统内核的特性，用于限制，记录和隔离进程组对物理资源的使用。cgroups提供了如下的功能：

   • 资源限制
   • 优先级控制:不同的进程组可以有不同的优先级
   • 记录: 记录每个进程组实际占用的资源数量
   • 隔离： 不同的进程组使用不同的命名空间
   • 控制： 控制进程的暂停，添加检查点，重启等
     cgoups 中有几个重要的概念：
   • task 任务，一个任务就是linux中的进程或线程
   • control group 控制组： 以某种标准划分的一组任务。cgoups，资源的控制是以控制组为单位来实现的
   • 层级体系： 控制组被组织成一颗有层级关系的控制树。
   • 子系统：一个子系统就是一个资源控制器

3. SELinux

4. sVirt

5. Hypervisior的可信启动TXT， Tboot

6. 其他安全策略：

   • 镜像安全：qcow2格式的镜像支持加密
   • 虚拟网络的安全

7. 虚拟机的迁移：

   • VMware->KVM
   • XEN -> KVM
   • virtualbox -> KVM
   • 物理机 -> KVM

KVM性能测试

评价一个系统的性能标准，一般可以用 **相应时间，吞吐量，并发用户数，和资源占用率** 几个指标衡量