Virtualizace desítek systémů

vpn22

Re:Virtualizace desítek systémů
« Odpověď #15 kdy: 28. 11. 2022, 19:39:26 »
LXC?


Re:Virtualizace desítek systémů
« Odpověď #16 kdy: 28. 11. 2022, 20:01:29 »
A neni snadnejsi proste jeden z tech serveru vzit a strcit ho do deseti ruznych virtualizacnich reseni a podivat se kde bude s tim nejmin prace? Zatim mam dojem ze vsichni varime jenom z vody. Detekovat virtualizaci umis kazdou, otazka je jak to ta aplikace bezici na jednom z tech 150 serveru dela.

_Jenda

  • *****
  • 1 550
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Virtualizace desítek systémů
« Odpověď #17 kdy: 29. 11. 2022, 00:45:30 »
Chceme se drzet co nejniz k hardware a nelze pouzivat nastroje typu qemu, sandboxovaci reseni, vysokourovnovou virtualizaci. Idealni by bylo, aby system uvnitr nemel zadnou moznost detekovat, ze je virtualizovan nebo tuto moznost alespon minimalizovat.

Uvazujeme o XEN para-virtualizaci
Vždyť právě para virtualizace znamená, že (z důvodu vyššího výkonu) si musí virtualizovaný systém moc dobře uvědomovat, že běží ve virtuálu, a aktivně spolupracovat. Naopak v Qemu lze poměrně dobře identifikaci kazit, takže lidi rozjeli třeba MacOS X, proprietární nVidie atd. Samozřejmě záleží, jak moc se daná aplikace snaží (pro začátek jestli je userspace - to půjde snad ošálit snadno - nebo používá nějaké kernelové metody co velmi podrobně zkoumají HW - to asi nepůjde, leda ji pak standardně cracknout).

Na obrazy disků pak potřebuješ nějaký "thin provisioning". Nejlepší by samozřejmě bylo NFS a nějaký overlay nad ním, ale pokud to aplikace detekuje, tak budeš muset emulovat blokové zařízení, což nevím jak se přesně dělá, ale Qcow2 snad umí jakoby-snapshoty, případně samodomo bastl nad NBD (asi bude pomalý a nestabilní) nebo FUSE, nebo zagooglit jak se tohle dělá.

Re:Virtualizace desítek systémů
« Odpověď #18 kdy: 29. 11. 2022, 00:50:27 »
systemd a service template. Oddělení od systému je solidní, instance můžeš tvořit dvěma příkazy, diskový prostor mohou mít oddělený, každá pod jiným uživatelem, detekce VM se tím vyřeší velice elegantně. Pokud ti nestačí oddělení přes systemd a linux cgroup/user/chroot a tak prosím napiš proč.

Vyhnout se detekci je velice obtížné, všechny běžné virtualizace a emulace totiž nechávají svůj HW nebo ovladače viditelné, stejně tak je možné je detekovat přes zpoždění času, lagy určitých instrukcí apod. a to dokonce z userspace. Pro začátek zkus si to testovat třeba přes https://github.com/a0rtega/pafish, většina malwarů, virů či jiných neplech s detekcí ale není příliš pečlivá, často třeba ve vmware stačí smbios.reflecthost=true.

Asi bys měl lépe popsat o co se snažíš, aby se dalo navrhnout možná řešení.

RDa

  • *****
  • 2 467
    • Zobrazit profil
    • E-mail
Re:Virtualizace desítek systémů
« Odpověď #19 kdy: 29. 11. 2022, 01:38:25 »
Chybi jedina a ta nejpodstatnejsi informace - a to jaky SW bude bezet v te virtualizaci.

A pak druha - proc nejde ten soft nakonfigurovat na obsluhu X instanci v ramci jednoho OS (je to omezeni proprietarniho sw, nebo je omezeni tvoreno nejakym bezpecnostnim pravidlem, ze se treba nemaj mixovat data X klientu)
« Poslední změna: 29. 11. 2022, 01:40:31 od RDa »