Les approches pour la virtualisation syst` eme

La virtualisation système a été implémentée selon différentes approches. Elles se différencient princi-palement par leur respect des propriétés définies par Popek et Goldberg, par l’utilisation de systèmes d’exploitations«préparés» ou par l’utilisation de matériel spécifique.

3.4.1 Virtualisation pure

Figure 3.2 – Virtualisation pure logicielle

La virtualisation pure permet l’exécution de machines virtuelles sans modification des systèmes d’ex-ploitation et permet une émulation de chaque instruction sensible. Popek et Goldberg ont énoncé qu’un processeur était virtualisable de fa¸con pure si l’ensemble de ses instructions sensibles est un sous-ensemble des instructions privilégiées. Il est alors possible de détecter les instructions sensibles en exécutant les machines virtuelles en mode moniteur (voir Figure 3.2). Dans ce cas, l’exécution d’une instruction sensible dans une machine virtuelle lèvera une exception de sécurité. L’exception sera attrapée par l’hyperviseur qui pourra alors l’émuler de fa¸con sûre. Le système VM/370 [Cre81], proposé par IBM en 1981, est un exemple historique d’une telle approche.

La virtualisation pure a cependant des limites. Il faut en effet disposer d’une infrastructure système virtualisable, comme ce fut le cas pour les machines VM/370. Les processeurs de type x86 quant à eux contiennent 17 instructions sensibles pouvant fonctionner en mode non-privilégié [RI00]. Ces pro-cesseurs ne sont donc pas virtualisables. L’exécution de ces instructions en mode moniteur ne déclenche pas d’exceptions, l’hyperviseur ne peut donc pas les intercepter. La solution proposée par l’hyperviseur VMWare [SVL01] consiste à réécrire à la volée certaines sections de code. Lorsqu’une instruction sensible est détectée, VMWare réécrit le code binaire émulant cette instruction et le place dans un cache afin de ne traduire la section qu’une seule fois. Attraper les exceptions pour les émuler est un processus coûteux impliquant de fréquents changements de contexte. La virtualisation pure a donc un impact significatif sur les performances. Cet impact est dû à la fois aux systèmes d’exploitation qui ne sont pas nécessairement adaptés à la virtualisation mais également aux processeurs qui ne sont pas nécessairement virtualisables.

3.4.2 Para-virtualisation

La virtualisation pure permet l’exécution native des systèmes d’exploitation, mais entraˆıne une baisse significative des performances. En effet, l’émulation stricte de toutes les instructions sensibles est coûteuse et il serait préférable de proposer dans certaines situations une bibliothèque permettant de mieux gérer certains besoins des machines virtuelles, par exemple les entrées/sorties ou la mise à jour des tables de pages mémoire. Lorsque le code source du système d’exploitation est disponible, il est possible de réaliser ces changements. Cette approche permet d’améliorer les performances mais a pour inconvénient de ne pas respecter strictement la règle d’équivalence de Popek et Goldberg.

Figure3.3 – Paravirtualisation avec l’hyperviseur Xen

3.4. Les approches pour la virtualisation syst`eme 23 La para-virtualisation limite l’impact de la virtualisation sur les performances. Cette approche consiste

à modifier à l’avance le code des systèmes d’exploitation des machines virtuelles. Ce procédé a été décrit originalement dans l’hyperviseur Denali [WSG02] puis dans Xen [BDF⁺03]. Les appels de fonctions produisant des instructions sensibles ou des opérations optimisables sont remplacés par des appels directs

à l’hyperviseur (des hypercall), ce qui supprime la nécessité d’attraper des exceptions à la volée (voir Figure 3.3). Cette approche a permis d’optimiser le code des systèmes d’exploitation paravirtualisés.

Dans Denali par exemple, une nouvelle instruction idle-with-timeout permet d’éviter qu’une machine virtuelle ne gaspille trop de cycles horloge en attente active et l’hyperviseur Xen autorise un accès direct en lecture à la mémoire de chaque machine virtuelle afin de limiter les changements de contexte dus au passage en mode l’hyperviseur.

3.4.3 Virtualisation pure assist´ ee

La virtualisation pure assistée se base sur les dernières générations de processeurs Intel [NSL⁺06] et AMD [AMD05]. L’ISA a été modifiée pour rendre les processeurs à nouveau virtualisables et de nouvelles instructions proposent de gérer le changement de contexte entre les machines virtuelles de manière ma-térielle. Les processeurs proposent également un nouveau niveau d’exécution dédié à l’hyperviseur. Les systèmes d’exploitation des machines virtuelles peuvent alors de nouveau s’exécuter au niveau superviseur (voir Figure 3.4).

Figure 3.4 – Virtualisation pure assist´e

La virtualisation pure assistée permet en théorie d’obtenir de meilleures performances que les ap-proches à base de traduction binaire ou de para-virtualisation en apportant des mécanismes propres à la gestion des machines virtuelles de manière matérielle. Dans la pratique, ce gain est mitigé et dépendant de la charge des machines virtuelles [AA06]. Si la machine virtuelle crée beaucoup de processus, réalise des entrées/sorties ou des changements de contexte fréquemment, l’approche purement logicielle sera plus performante qu’une approche à base de virtualisation assistée. Ce surcoût s’explique en partie par les changements de contexte fréquents que doit réaliser le processeur afin de passer du mode superviseur au mode hyperviseur alors que ce changement de contexte n’est pas nécessaire avec une approche purement logicielle.

3.4.4 Virtualisation du syst` eme d’exploitation

Dans certaines situations, il n’est pas nécessaire de virtualiser un système entier. Par exemple, si l’on souhaite isoler fortement différentes applications fonctionnant sur un même système d’exploitation, fournir une virtualisation de la machine physique n’est pas nécessaire mais il faut cependant assurer une forte isolation entre les différentes applications pour des questions de sécurité ou de contrôle des ressources.

L’appel systèmechroot()change la racine du système pour un processus donné et réalise ainsi une prison logicielle en chargeant celui-ci et ses dépendances dans un environnement cloisonné. Cependant le contrôle des ressources est limité et la sécurité n’est pas garantie, un simple accès super-utilisateur permet de casser le cloisonnement par exemple.

La virtualisation du système d’exploitation [SPF⁺07, hKW00, PT04] permet de faire fonctionner sur un seul système d’exploitation plusieursconteneurs en proposant la virtualisation au niveau des appels système du système d’exploitation de l’hôte. La couche dédiée à la virtualisation peut être implémentée

Figure3.5 – Virtualisation du Syst`eme d’Exploitation avec VServer

au dessus du système d’exploitation de la machine ou faire partie de celui-ci comme c’est le cas pour VServer [SPF⁺07] (voir Figure 3.5). Chaque machine virtuelle dispose de son propre système de fichiers, les espaces de nommage et d’adressage mémoire sont totalement disjoints comme pour la virtualisation système, le contrôle des ressources et l’isolation des périphériques sont réalisés en utilisant des algorithmes d’allocation et d’ordonnancement équitables. Par rapport à une protection basée sur l’appel système chroot() et les processus, la sécurité et l’isolation sont renforcées et le contrôle sur les ressources est amélioré.

La virtualisation du système d’exploitation ne nécessite pas d’émuler ou de traduire les appels système et permet donc d’obtenir des performances proches d’une exécution native. L’isolation des machines virtuelles et le contrôle des ressources sont réalisés par des mécanismes plus légers que dans le cas de la virtualisation système et permettent un meilleur passage à l’échelle en supportant, sur une même machine physique, beaucoup plus de machines virtuelles. Son principal inconvénient est son manque de flexibilité dû à l’obligation d’utiliser, dans toutes les machines virtuelles, le système d’exploitation de la machine hôte.

Dans le document Gestion dynamique des tâches dans les grappes, une approche à base de machines virtuelles (Page 33-36)