Migrao de servidores fsicos para virtuais P2V usando ferramentas OpenSource

Diego Lima Santos Curso de Especializao em Redes e Segurana de Sistemas Pontifcia Universidade Catlica do Paran Curiti!a" outu!ro de #$$%

Resumo Estudo de caso real abordando a migrao (P2V) de servidores fsicos Linux para m uinas virtuais! reali"ada no #ervio #ocial $ut%nomo Paranacidade& 'tili"ando para tal procedimento ferramentas (pen#ource disponveis! virtuali"ao dos servidores utili"ando o monitor de m uinas virtuais )en& ( artigo descrever as! tecnologias utili"adas! procedimentos adotados e resultados obtidos ap*s a migrao& 1 Introduo

Em meados de #$$& o Servio Social 'ut(nomo Paranacidade ad)uiriu servidores do modelo +,- server x./01 de alta performance" por*m a migrao trivial de todos os antigos servidores para novos no era possvel" pois a )uantidade de antigos servidores era superior+ Entretanto * not vel )ue a ociosidade dos recursos em servidores de alta performance * em m*dia de %$," devemos ma-imizar a utilizao dos recursos computacionais" pois o custo unit rio de cada servidor * relativamente alto+ ' t*cnica de virtualizao neste cen rio * indicada para resolver o pro!lema da su!utilizao dos novos recursos+ .irtualizao no * uma id*ia nova" desde a criao da linguagem de programao 2ava" a maioria dos usu rios de computadores utiliza pelo menos uma m )uina virtual" talvez antigamente utilizavam o sistema '3#4 Pascal p" uma das primeiras m )uinas virtuais para Pascal+ ' virtualizao na camada de sistema operacional data do final da d*cada de /%0$" a primeira m )uina virtual foi o V-53-# da +,-" essa tecnologia ainda * usada atualmente com o nome de "5V-" utilizado para suportar o uso eficiente do Linu- nos servidores +,- "#eries+ 1/"#2 'tualmente o mercado de solu3es de virtualizao * disputado por diversas tecnologias e produtos" podemos ento distinguir entre virtualizao de servidor" memria e rede" por*m essas formas fre)uentemente se confundem+ De acordo com a finalidade da aplicao" a virtualizao de servidores e de des4tops se separam" por*m esses limites de separao so imprecisos+ 5utro crit*rio * sa!er se a virtualizao ser efetuada atrav*s de 6ard7are ou de soft7are+ Se a virtualizao for vinculada a uma determinada plataforma ou for independente de plataforma" podemos falar em virtualizao in6t7e6box e out6of6t7e box+ 1/"#2

1.1

!cnicas de Virtua"i#ao

's m )uinas virtuais de sistema podem ser distinguidas de acordo com a localizao da camada de virtualizao+ Se a camada de virtualizao estiver diretamente so!re a camada de 6ard7are * c6amada de 8ipo / ou 9ativo" portanto um sistema operacional convidado roda em um nvel superior a 6ard7are" e-emplos: 3P53-#! )en! V-8are E#)+ Caso a camada de virtualizao estiver por cima de um sistema operacional" * c6amado de 8ipo # ou -odell 9osted Virtuali"ation! e-emplos: V-8are6:#)! ;emu! -# Virtual P3! (penV"! Vserver fazem parte desta categoria de m )uinas virtuais+ E-istem dois tipos ! sicos de virtualizao de m )uinas" virtualizao completa e paravirtualizao: Caso toda a plataforma fsica ;CPU" m*moria" <=5> for virtualizada" estamos falando de virtualizao completa (full6virtuali"ation)& 5utro tipo de virtualizao re)uer altera3es nos 6spedes" assim os mesmos sa!em perfeitamente )ue rodam em um am!iente virtual+ Essas altera3es so perfeitamente possveis de serem e-ecutadas em sistemas de cdigo a!erto+ Essa t*cnica * con6ecida como paravirtualizao (paravirtuali"ation)" permite )ue m )uinas virtuais especficas comuni)uem?se diretamente com o 6ard7are" ao inv*s de todas m )uinas 6spedes comunicarem?se com o 6ospedeiro+ ' para?virtualizao s * possvel por meio da cooperao de 6spede e 6ospedeiro na manipulao de opera3es sensveis" um !enefcio de desempen6o consider vel+ 5 )en e o sistema representante mais popular da para? virtualizao+1/"#2 ' figura / ilustra os @ tipos ! sicos de virtualizao: .irtualizao total" Para?virtualizao e Aodell Bosted .irtualization+

Cigura / D 8ipos de .irtualizao+1@2 9en6uma t*cnica de e-ecuo * necessariamente a mel6or" em!ora a virtualizao completa custe desempen6o" a!re a possi!ilidade de poder e-ecutar soft7are de um mundo estran6o+ ' paravirtualizao tem maior performance )ue m )uinas completamente virtualizados e alta performance em <=5" mas re)uer para isso sistemas operacionais 6spedes modific veis" praticamente eliminando o sistema operacional AS Eindo7s+ 2 $%pervisor &en

5 Fen foi originalmente desenvolvido pelo Grupo de Pes)uisas de Sistemas no La!oratrio de Computao da Universidade de Cam!ridge" como parte do proHeto )eno#ervers fundado pelo '<6EP#=3+ Sua primeira apario foi no #(#P (#>mposium on (perating #>stem) em #$$@ e a primeira verso ;/+$> foi li!erada em outu!ro do mesmo ano+ 1#2 Coi fundada uma empresa denominada )en#ource! +nc&" com o!Hetivo de gerir e promover

o desenvolvimento do proHeto open source+ Em outu!ro de #$$I a )en#ource! +nc foi ad)uirida pela 3itrix #>stem por UJK$$ mil63es+1K2 'tualmente participam do desenvolvimento al*m de mem!ros da comunidade Fen" engen6eiros pertencentes a grandes tais como: 3itrix! #:+! #un! +,-! 9P! +ntel! 4ell! (racle! ?ovell+ 5 )en * licenciado com a licena :PL2 @/A& E-iste a verso paga do )en" desenvolvido pela 3itrix c6amada de )en#erver+ Podemos dizer )ue 7>pervisor )en * o corao do )en" ele situa?se entre os domnios convidados e a plataforma fsica ;6ard7are>" alocando e controlando recursos" provendo proteo e isolamento+ Ele define as interfaces virtuais )ue sero utilizadas pelos domnios convidados+ Cada m )uina virtual )ue roda no )en * c6amada de domain+ Luando o servidor )en inicia" ele primeiro inicia o 7>pervisor" )ue * respons vel em iniciar o domnio c6amado 4omain1 ;dom1> )ue * o sistema operacional 6ospedeiro" o dom1 * o domnio privilegiado" tem acesso aos recursos de 6ard7are e cont*m ferramentas para gerenciar os outros domnios" domnios sem privil*gios so c6amados de domainU ;dom'>" de unprivileged+ 1I"&2 ' figura # ilustra o funcionamento do 7>pervisor do )en" o 6Mpervisor virtualiza a CPU e a memria+ En)uanto o domnio privilegiado dom1" pode acessar diretamente o 6ard7are" os domnios dom'" sem privil*gios" acessam aos dispositivos virtualizados pelo 7>pervisor+ 1/2

Cigura # D 9>pervisor )en 1/2 5 Fen suporta dois tipos ! sicos de virtualizao: para?virtualizado ;PV-> e virtualizado total ;9V->" para e-ecutar 6spedes virtualizados total conHuntamente com para? virtualizados ser necess rio o processador possuir em sua ar)uitetura tecnologia $-46V ;3odename Pacifica> ou +ntel6VB ;3odename Vanderpool>+ A )uinas para?virtualizadas apresentam mel6or desempen6o do )ue m )uinas em virtualizao total+1/"#2 2.1 Vantagens do &en

Podemos relacionar como !enefcios da virtualizao utilizando o Fen como monitor de m )uina virtual ;V--> 1#"N"&2: Consolidao de servidores: Colocar v rios servidores dentro de uma Onica m )uina" reduzindo custos" necessidades de espao fsico e facilitando a administraoP

'umentar a utilizao dos servidores: Diminuir a ociosidade na utilizao de recursos computacionais em servidores de grande porteP Conteno de Cal6as: isolamento de servios dedicados em m )uinas virtuais diferentesP Aanter nvel de servio ;SL'>: Recurso de Live migration na realocao de domnios Fen entre plataformas fsicas" para evitar a paralisao e manter acordos de nvel servioP Aenor 8C5: 5 )en open6source al*m do seu recon6ecido desempen6o e !ai-o custo para data center ou sistemas empresariaisP Economia de Energia: Economizar energia * facilmente not vel" e-emplo: alimentar e refrigerar /$$ servidores fsicos * um custo !em mais alto se analisar / servidor fsico com /$$ servidores virtuaisP Reduo de domnios de coliso e domnios de broadcast:5 tr fego entre as m )uinas virtuais e realizado dentro do 7>pervisorP Clonagem: Cacilmente adicionar servidores por clonagem de um servidor virtual H e-istenteP Computao em cluster: Permite a implantao de servidores em clusterP Reduo de custo de implantao de novos servidores+ Podemos relacionar como desvantagens do )enC ' o!rigatoriedade de utilizar um Dernel modificado e um micro 4ernel para esta!elecer a m )uina real e as m )uinas virtuaisP ' )uantidade de passos para configurar e instalar uma m )uina virtual+ 2.2 ermino"ogias &en

' infraestrutura de virtualizao )en funciona de maneira diferente de outras solu3es de virtualizao" algumas defini3es e termos so necess rias )uando para o entendimento do sistema Fen de virtualizao 1&2: V-: A )uina virtual * o am!iente virtual )ue e-ecuta um sistema operacionalP V--: Aonitor de m )uina virtual" soft7are )ue possi!ilita e-ecutar m )uinas virtuaisP 4omain: 8ermo utilizado para referir a uma instQncia da m )uina virtualP 4om1: Domnio privilegiado no sistema )enP 4om':8odos os outros domnios no sistema )enP 9ost: Sistema 6ospedeiro de m )uina virtuaisP :uest: <nstQncia de m )uina virtual )ue * iniciada no 7ostP PV-: A )uina virtual para?virtualizada" domains )en PV- somente pode ser iniciada utilizando sistemas operacionais modificadosP 9V-: A )uina virtual totalmente virtualizada" domains )en pode iniciar sistemas operacionais sem modificao+ 5 )en oferece a capacidade de virtualizar -icrosoft 8indoEs utilizando esse recurso+ 2.' ipos de &en (%pervisor

5 Fen 6Mpervisor est disponi!ilizado em diferentes op3es" para diferentes propsitos 1#2: @# !it SAP: Pacote para ar)uitetura @# !it com suporte a mOltiplos nOcleos ou sistemas com mais de um processador" espao de endereamento de memria limitada a NGR" suporta somente domnios de @# !its+ @# !it P'E@0 SAP: Pacote para ar)uitetura @# !it com suporte a processador de

mOltiplos nOcleos ou sistemas com mais de um processador" a e-tenso P'E permite enderear at* 0NGR de memria" suporta somente domnios de @# !its+ 0N !it SAP: Pacote para ar)uitetura 0N !it com suporte a processadores de mOltiplos nOcleos ou sistemas com mais de um processador" elimina todas as restri3es de endereamento de memria associadas ao endereamento de @# !its" suporta domnios de @# !its e 0N !its+ 5 source code do )en 7>pervisor est disponi!ilizado em: 777+-en+org=do7nload= " os pacotes precisam ser compilados" cont*m o 4ernel alterado para funcionar no )en! ferramenta utilizadas no dom1 para controlar o 7>pervisor e documentao do )en+ 'l*m da opo de instalar a partir do source code * possivel instalar o Fen pr* compilado+ 'tualmente principais distri!ui3es Linu- ;De!ian" 5penSuse" Red Bat" Cedora" Cent5s> cont*m os pacotes necess rios para implantao do )en 9>pervisor por meio de gerenciadores de pacotes ;aptitude" apt?get" Mum" etc+++>+ 2.) *rma#enamento dos domnios

5 )en possi!ilita a opo de usar uma variedade de m*todos de armazenamento para os domnios convidados" armazenamento local utilizando: ar)uivos de imagens" volumes lgicos ;L.A> e parti3es comunsP 'rmazenamento remoto" como i#3#+! $B$6over6Et7ernet ($oE)! e ?etEorD File #>stem (?F#)+ 1I2 'r)uivos simples podem ser utilizados como dispositivos de !loco virtual" armazenando domnios )en" est * a maneira mais r pida de comear a usar o )en+ Utilizando o comando dd podemos criar o ar)uivo de armazenamento a ser utilizado+ Em!ora os ar)uivos ser uma maneira simples e r pida de armazenar .ms" e-istem algumas desvantagens da utilizao de ar)uivos como Virtual ,locD 4evices .RDs 1&2: 9o so ade)uados para domnios virtuais )ue utilizam E=S intensivamente" o acesso ao dispositivo virtual * e-tremamente lento )uando o tra!al6o de E=S * pesado+ 5 Linu-" por padro" suporta no m -imo de oito ar)uivos .RDs utilizado por domnios )en+ Este nOmero pode ser aumentado utilizando o parQmetro de 4ernel maxGloop+ 5 L.A fornece um nvel de a!strao acima dos dispositivos de !loco real ;e-emplo" discos>+ <sto permite uma fle-i!ilidade significativa na gesto de armazenamento" entre outras coisas" tornando mais f cil redimensionar parti3es em tempo real+ 5 termo L.A geralmente refere?se a e-ecuo especfica de uma gerenciador de volume lgico para o 4ernel do Linu-+ 5 uso de L.A para armazenamento de domnios Fen * provavelmente a maneira ideal para configurar e administrar os domnios+ Em testes realizados o desempen6o utilizando L.A como Dispositivo de Rloco .irtual .RD * pr-imo da utilizao de dispositivos fsicos diretos do tipo =dev=6dF+ 1N2 5 interessante recurso Live -igration do )en! permite migrar uma m )uina virtual de um servidor para outro" entretanto * necess rio )ue o tipo de armazenamento do dispositivo de !loco virtual ;V,4> seHa remoto" sistemas de ar)uivos de rede ou dispositivos de armazenamento de rede ;?$#" ou ?etEorD $ttac7ed #torage>+ 5 9CS pode ser utilizado como sistema de ar)uivos de rede+ Uma soluo de !ai-o custo e e-celente desempen6o * utilizar iSCS< 1/2+ ' Migrao P2V fsico para virtua".

5 processo de alcanar a consolidao de servidor virtualizado depende do ponto de partida" caso esteHa proHetando seu sistema desde o incio" a soluo * implementar a virtualizao a partir do desenvolvimento+ Caso o sistema H est fisicamente instalado" a

soluo * migrar do am!iente fsico para virtual 1%2+ 5 termo migrao P2V vem do inglSs" P7>sical to Virtual" * o procedimento para converso e migrao de sistema operacional" aplicativos e dados instalados em um servidor fsico" para um m )uina virtual convidada de uma plataforma de virtualizao+ E-istem diversos m*todos para e-ecutar a migrao P2VC manual" semi?autom tico e autom tico 1%2C A*todo P2V autom tico: A*todo de migrao )ue utiliza ferramentas )ue migra o servidor fsico pela rede" sem a assistSncia do usu rio+ E-emplos de ferramentas: Plat#pin! $utoVirt! Vi"ion3ore! Leo#tream+ A*todo P#. semi?autom tico: A*todo de migrao )ue utiliza ferramentas" )ue necessita da assistSncia do usu rio para migrar o servidor fsico+ E-emplos de ferramentas: V-8are 3onverter! -# Virtual #erver -igration BoolDit! Virt6P2V+ A*todo P#. manual: A*todo P#. onde o usu rio manualmente cria a m )uina virtual no am!iente de virtualizao e copia todos os ar)uivos do sistema operacional" aplicativos e dados da m )uina fsica+ 'lgumas Cerramentas de migrao tam!*m podem solucionar diversos pro!lemas em potencial trazidos pela incompati!ilidade de 6ard7are entre o servidor fsico e a m )uina virtual" passando os drivers necess rios ao 4ernel do sistema operacional e inicializando os drivers corretamente durante a fase de inicializao do sistema+ ' maioria dessas ferramentas P#. so propriet rias e fazem mais do )ue * preciso para migrao de uma Onica m )uina 1%2+ Especificamente para o )en#erver a 3itrix desenvolveu a ferramenta propriet ria )en3onvert! a ferramenta permite a migrao P#. semi?autom tica" permite migrao P#. de )ual)uer sistema operacional suportado pelo )en#erver ;8indoEs! Linux! etc>+ ' ferramenta livre" por*m ainda e-perimental" Virt6P2V 1/#2 * promissora" funciona como um live 34 )ue realiza a migrao P2V via rede" incluindo a instalao da .A na m )uina 6ospedeira" o re)uisito para migrao * a plataforma de virtualizao suportar a 'P< de virtualizao Libvirt entre as plataformas )ue suportam esto )en! <V-! ;emu 1/@2+ E-iste diversos m*todos de se fazer migrao P#. manualmente" um desse m*todos utiliza ferramentas open source de clonagem tais como -ondo =escue! Partimage! 3lone"illa Livre! com algumas configura3es podemos virtualizar em modo paravirtualizado ou totalmente virtualizado conforme for o caso" esse m*todo suporta a migrao P#. de servidores -# 8indoEs e Linux 1%"/N2+ 5 m*todo mais interessante para migrar servidores fsicos Linu- para virtuais" utiliza das ferramentas e comandos do prprio Linu- para efetuar a migrao P#. manual+ Devido a grande variedade de comandos e ferramentas disponveis no Linu- e-istem muitos m*todos descritos" tais como: Utilizando o comando netcat 6 nc conHuntamente com o utilit rio dd 1/K"/02 e efetuar a clonagem via rede+ Utilizando o ss7 com o comando tar 1/I2+ Utilizando a ferramenta de cpia rs>nc 1/&"/%"#$2+ Em todos esses m*todos descritos caso o sistema migrado for Linu-" * necess rio v rios aHustes para )ue o sistema operacional possa se acomodar !em em m )uina virtual paravirtualizada ou totalmente virtualizada+ ) Pro+eto de migrao

5 Servio Social 'ut(nomo P'R'9'C<D'DE ad)uiriu novos servidores do modelo +,- server x./01" 6avia a necessidade de colocar em produo os novos servidores visto )ue esta3es de tra!al6o e servidores legados faziam o papel de servidores em produo+ 9o par)ue de servidores da organizao a poltica de soft7are * preferencial para utilizao de

soft7are livre" todos os servidores utilizam como sistema operacional 4ebian Linux+ Para a migrao dos servidores legados e-istia duas possi!ilidades: migrar para m )uinas fsicas ou migrar para m )uinas virtuais+ Aigrar para m )uinas fsicas o sistema operacional ocupa toda a plataforma fsica e no utiliza com eficiSncia todos os recursos computacionais do servidor ;E=S" memria" CPU>" cada servidor fsico legado necessita de um novo servidor para permitir a migrao" fazendo necess rio a a)uisio de um maior nOmero de servidores" gerando custos e-agerados+ ' outra soluo possvel" migrar para m )uinas virtuais atrav*s de alguma plataforma de virtualizao" possi!ilitaria mel6or utilizao dos recursos dos servidores" reduzindo a su!utilizao" compartil6ando e alocando os recursos ;memria" CPU" disco> de forma customizada" oferecendo tam!*m segurana e performance+ Rapidamente vemos )ue a migrao utilizando m )uinas virtuais * a mel6or soluo" sendo possvel TmultiplicarU a )uantidade de servidores dedicados por plataforma fsica+ Dentre as solu3es de virtualizao disponveis a plataforma escol6ida foi o Fen" escol6a foi pelo Fen ser de cdigo a!erto D GPL #" estar disponvel em praticamente todas as atuais distri!ui3es Linu- ;4ebian! Fedora! 3ent(s! =ed 9at! (pen#use&&&etc>" recon6ecido alto desempen6o em m )uinas virtuais do tipo paravirtualizadas+ ).1 P"ane+amento da migrao

5 estudo de caso em )uesto contempla o proHeto de migrao realizado no Paranacidade" o caso apresentado ser migrao P#. de @ servidores fsicos para @ m )uinas virtuais+ 5 servidor de nome uru * onde est instalado o 7>pervisor )en! este servidor * da marca=modelo +,- #>stem x./01+ 's caractersticas principais de 6ard7are do servidor uru: # processadores +ntel )eon E0.21 de N nOcleos cada um" & GR de memria principal e # discos S'S de @$$GR cada" suporte a R'<D+ 5 +,- #>stem x./01 possui os recursos da tecnologia de virtualizao +ntel6 VB! necess rios para o )en virtualizao total ;full6virtuali"ation>+ ' situao inicial dos servidores fsicos em produo antes da migrao P#. era utilizao de servidores legados e esta3es de tra!al6os" servidores migrados esto descritos a!ai-o: Servidor beiHaflor: Gen*rico" processador Pentium +++ / GBz" disco <DE de NGR" #K0 AR de memria+ 4ebian Etc7" servios D9S master do domnio e 98P+ Servidor tucano: Gen*rico" processador Pentium +V /"& GBz" disco <DE N$GR" / GR de memria+ 4ebian Etc7" servio EER ;'pac6e e Postgres)l> de proHetos+ Servidor colibri: 3ompa Proliant -L.I1 server" processador Pentium +++ 6 3opermine / G6z" disco SCS< de N$ GR" K/# AR de memria+ 4ebian Etc7" servio EER ;'pac6e e AMs)l>" portal am!iente )((P#+ 'pro-imadamente &$+$$$ 6oras em produo+ ' condio dos servidores migrados no era a ideal para servidores em produo" por*m apenas o servidor colibri apresentava pro!lemas de 6ard7are" !locos defeituosos no disco rgido ocorrendo erros de leitura e escrita+ Aigrar os servidores fsicos para m )uinas virtuais foi a mel6or soluo encontrada" pois utilizar um novo servidor para cada m )uina migrada su!utilizaria recursos computacionais" com a virtualizao 6 diversos !enefcios" consolidao de servidores" mel6or aproveitamento de recursos" economia de energia" reduo de custos operacionais" dentre outros H citados+

).2

Insta"ando o &en

E-iste diversas maneiras de instalar o Fen em servidores" o primeiro passo * definir )ual distri!uio Linu- instalar para ser a !ase do 6ospedeiro" em nosso caso o data?center * padronizado com a utilizao do sistema operacional De!ian Linu-+ 5 servidor uru tem # discos de @$$GR optou?se por utilizar os discos em R'<D nvel /" aumentando a segurana dos dados" o particionamento foi definido da seguinte forma: = ? Sistema de ar)uivos raiz+ ? /KGRP S7ap D Vrea de troca ? / GRP L.A D Logical .olume Aanager ? #&$ GR" partio L.A onde so criados os discos das m )uinas virtuais+ ' verso instalada do sistema operacional no servidor uru! foi a verso stable disponvel" 4ebian Lenn> D ar)uitetura i.J/" em servidores Fen * aconsel6ado )ue no seHam instalados servios e-tras desnecess rios ; 8E,! 493P! #$-,$" etc >" podendo comprometer o desempen6o+ 9o momento da instalao foi selecionado somente o conHunto de pacotes TSistema R sicoU+ 'lguns pacotes so necess rios aps a instalao ! sica" atrav*s do gerenciador de pacotes aptitude! podemos instalar facilmente dependSncias e os pacotes+ Com o comando K aptitude install rs>nc ss7 posftix ntp" instalamos pacotes Oteis+ ss7C servidor e cliente de ss6P =s>nc: aplicativo )ue sincroniza ar)uivos e diretrios remotosP postfix: Servidor de e?mail+ ?BP: Servio de sincronizao de relgio entre servidores" utilizado para manter a 6ora correta no servidor+ Para fins de monitoramento ! sico do servidor uru" instalar os pacotes logEatc7! fc7ecD e cron6apt+ Estes aplicativos podem enviar e?mail para uma determinada conta 6a!ilitando previamente o A8' postfix: K aptitude install logEatc7 fc7ecD cron6apt Para instalar o )en #>stem em servidores 4ebian Linux e-iste duas possi!ilidades relatadas 1&" #/2P Compilar e instalar os fonte o!tidos do site do proHeto Fen 6ttp:==777+-en+org=do7nloads+ 5utra possi!ilidade * instalar atrav*s do formato de pacotes da distri!uio" no caso do 4ebian formato &deb" instalar usando pacotes da distro apresenta inOmeras vantagens" so pacotes 6omologados e altamente testados pela comunidade e desenvolvedores" podem ser gerenciados facilmente atrav*s do aptitude! apt6get! etc " no precisam do tra!al6oso e demorado processo de compilao dos fontes" por*m fre)uentemente os fontes o!tidos do site do proHeto Fen so vers3es mais recentes+ Pela facilidade e comodidade no gerenciamento de pacotes utilizar os pacotes da distri!uio Linux * a mel6or soluo em casos normais+ 9o 4ebian Lenn> podemos instalar o )en #>stem e todas suas dependSncias com apenas um comando: K aptitude install xen6linux6s>stem62&/&2/626xen6/J/& Este metapacote instala o )en 7>pervisor de @# !its P$E+ Para instalar o )en 7>pervisor 0N !its" pode?se instalar o sistema operacional De!ian ar)uitetura amd/L ou o!ter o pacote xen67>pervisor6amd/L e instalar manualmente: dpDg 6x xen67>pervisor6.&26M6amd/LG.&2&M62Gamd/L&deb xen/L cp xen/L5boot5xen6.&26M6amd/L&g" 5boot Utilizando o aptitude no * possvel ter um 7>pervisor 0N e dom1 de @# !its ou tudo * 0N !its ou @# !its" Desta maneira manual temos o 7>pervisor 0N !its e a dom1 de @# !its" esse arranHo * utilizado no Fen Live CD 1##2+ 'p(s * necess rio configurar o gerenciador de !oot

grub para utilizar o microDernel )en de 0N !its e o Dernel @# !its na dom1" * conveniente tam!*m limitar a memria da dom1 ;parQmetro dom1Gmem> t*cnica con6ecida como memor> balloon+ E-emplo de entrada no menu grub: title )en 9>pervisor .&26M /L bits 5 4ebian :?'5Linux! Dernel 2&/&2/626xen6/J/ Dernel 5xen6.&26M6amd/L&g" dom1GmemN0M2module 5vmlinu"62&/&2/626xen6/J/ rootN5dev5mapper5vg1M66dom166root ro consoleNtt>1 module 5initrd&img62&/&2/626xen6/J/ uiet 5 ar)uivo de configurao do )en fica localizado em 5etc5xen5xend6config&sxp" e-iste diversos parQmetros para torna a virtualizao possvel" segue a!ai-o alguns parQmetros ! sicos configurados1I2: netEorD6script : Determina o script )ue ser usado para criar o am!iente de redeP vif6script: Especifica a interface virtual" o script * localizado em 5etc5xen5scriptP mim6mem: Define o taman6o mnimo de memria reservado para a 4om1! padro /%0ARO xend6unix6serverC Ba!ilita o gerenciamento do servidor Fen via 'nix 4omain #ocDet #erverO xend67ttp6serverC Ba!ilita o gerenciamento do servidor )en via 7ttp stream pacDetO xend6port: Define a porta utilizada para gerenciar o servidor via 6ttp" padro porta &$$$P xend6relocation6serverC Ba!ilita o recurso de live migrationO xend6relocation6port: Defina a porta utilizada para o live migration! padro porta &$$#& ).2.1 ,erenciando os domnios &en

Para gerenciar as m )uinas virtuais convidadas do servidor uru" utilizamos a ferramenta lin6a de comando xm D Fen Aanagement User <nterface" essa ferramenta * instalada e acessada na domain1! xm se comunica diretamente com o daemon do )en ;xend>" atrav*s do comando xm podemos criar" ativar" desligar e alterar domnios virtuais+ 5s principais su!comandos para gerenciar domnios virtuais atrav*s do xm so 1I2: create: Cria um domnio virtual !aseado num ar)uivo de configuraoP destro>: Encerra um domnio imediatamenteP list: Lista e provS informa3es dos domniosP reboot: Reinicia o domnioP s7utdoEn: desliga o domnio+ Para o gerenciamento remoto das m )uinas virtuais sem precisar estar na console do servidor uru" utilizamos a !i!lioteca desenvolvida 3 pela =ed 9at! Libvirt" para instalar a libvirt em servidores 4ebian" utilizamos o seguinte comando: Kaptitude install libvirt6bin! atrav*s da !i!lioteca libvirt podemos acessar remotamente o servidor uru! utilizando a ferramenta lin6a de comando virs7 ou utilizando a ferramenta gr fica virt6manager! nesse caso via tOnel ss7 seguro ;figura @>& E-iste diversas outras ferramentas de gerenciamento de domnios )en e algumas tam!*m so gr ficas" por*m foram testadas" e-emplos de outras ferramentas so: 9>perV(,aseado 8E,)! :aneti! -L?! Enomalism! 3onVirt&

Cigura @ D Cerramenta virt6manager acessando servidor URU ).2.2 Segurana no domnio privi"egiado - .omain/

Luando administramos uma m )uina fsica" umas das tarefas mais importantes * proteger o sistema" esta tarefa pode assumir diversas formas" incluindo a aplicao dos patc7es de segurana mais recentes" fec6ar todas as portas desnecess rias" auditar )ual)uer comportamento anormal ou suspeito+ Essas atividades so importantes tam!*m )uando se utiliza m )uinas virtuais )en& 'l*m disso" o )en introduz novas oportunidades e desafios em segurana" o )en introduz uma camada a!ai-o das m )uinas virtuais" )ual)uer comprometimento do prprio )en ou do domnio privilegiado 4omain1 pode causar pro!lemas em todas as m )uinas virtuais+ W fundamental procurar isolar servios em m )uinas virtuais diferentes" podemos tam!*m criar segmentos de redes distintos 1I2+ Se o domnio privilegiado dom$ estiver comprometido" todos os domnios dom's tam!*m esto" por esse motivo * vital )ue o sistema operacional dom1 esteHa !em protegido contra ata)ues+ Segundo 1I2 remover soft7ares e servios desnecess rios * a maneira mais simples de proteger um domain1! pois )ual)uer servio em e-ecuo representa um ponto de entrada para um possvel ata)ue" * importante limitar acesso de usu rios na dom$" somente permitir o login do usu rio administrador" seguimos estas premissas na instalao e configurao do servidor uru+ ' estrutura de rede no )en * fle-vel" * possvel monitorar toda atividade de rede das m )uinas virtuais com facilidade+ Podemos utilizar um monitor de tr fego de rede como o #nort e !lo)uear todos os pacotes de entrada para o domain1 utilizando um fire7all como o iptables netfilter para domain1s !aseados em Linu- ou ipf para !aseados em '?+) 1I2+ 5ptamos por utilizar regras de iptables na dom1 do servidor uru& Um script s7ell * e-ecutado ao final do processo de boot do servidor+ 'penas permitimos o acesso ao servio ss7 na dom1 necess rio para o gerenciamento remoto do servidor" um proHeto futuro podemos implementar regras para os domnios convidados dom's+ Em lin6as gerais o script 6a!ilita as seguintes regras: Kiptables 6a input 6s 1&1&1&1 6d uru&paranacidade&org&br 6p tcp 66dport 22 6H acceptO Kiptables 6a input 6d uru&paranacidade&org&br 6H reHect& ).' Migrando P2V

E-istem diversas ferramentas e procedimentos para migrao P2V" algumas ferramentas so propriet rias e 6 relatos )ue funcionam muito !em" por*m nosso o!Hetivo * sempre )ue possvel utilizar de ferramentas (pen6#ource" das ferramentas testadas a

ferramenta Virt6P2V * a mais promissora" entretanto a ferramenta ainda * e-perimental e esta em desenvolvimento+ De todos os m*todos pes)uisados e considerando o cen rio: servidores fsicos 4ebian Linux! m )uina virtual do tipo paravirtualizada e am!iente de virtualizao )en utilizando como !ase 4ebian Linux! o m*todo )ue consideramos mais ade)uado descrevemos a!ai-o+ 5 m*todo P#. * manual e utiliza o aplicativo rs>nc 1/&"/%"#$2 para efetuar a cpia dos dados do servidor fsico para o disco da m )uina virtual" alguns aHustes nos ar)uivos de configurao precisam ser feitos para m )uina fsica acomodar !em na m )uina virtual" utilizaremos como e-emplo a migrao P2V do servidor fsico beiHaflor+ Primeiramente criamos os volumes lgicos ;L.A> )ue serviro de discos virtual+ 5 es)uema de particionamento pode variar ou ser semel6ante ao do servidor fsico" criamos # volumes lgicos" /GR para partio de sEap e KGR para partio root com sistema de ar)uivos ext.: Klvcreate 6LM: 6n beiHaflor&sEap vg1M Klvcreate 6L0: 6n beiHaflor&root vg1M KmDfs&ext. 5dev5vg1M5beiHaflor&root KmDsEap 5dev5vg1M5beiHaflor&sEap Cada m )uina virtual )en utiliza um ar)uivo de configurao" este ar)uivo deve ficar localizado na dom1 em 5etc5xen5auto5! criamos o ar)uivo !eiHaflor?vm+cfgC K$r uivo de configurao )en P m uina virtual beiHaflor6vm import commands DrnGvers N commands&getoutput(Quname 6rQ) name N QbeiHaflor6vmQ builder N QlinuxQ Kbuilder PV- se a V- for 9V- builder NQ9V-Q Kvfb e extra configura console! 7abilita acesso V?3 vfb N @ Qt>peNvnc!vncdispla>NMQ A extra N QconsoleN7vc1 clocDsourceNHiffies guestnameNbeiHaflor6vmQ Dernel N Q5boot5vmlinu"6Q R DrnGvers K4efine o Dernel utili"ado pela VramdisD N Q5boot5initrd&img6Q R DrnGvers memor> N Q0M2Q K ;uantidade de mSmoria em megab>tes vcpus NM K ?Tmero de 3P's K 4efine os discos virtuais e a partio root root N Q5dev5xvdaM roQ disD N @ Qp7>C5dev5vg1M5beiHaflor&root!xvdaM!EQ! U Qp7>C5dev5vg1M5beiHaflor&sEap!xvda2!EQA K 3onfigura o ambiente de rede vif N @ QbridgeNxenbr1Q A ' pr-imo etapa * copiar todos os ar)uivos e diretrios do servidor fsico beiHaflor" para )ue no 6aHa inconsistSncia dos dados copiados * recomendado parar os servios do servidor migrado" especialmente os servios )ue utilizem !ases de dados como openldap! m>s l! pgs l" etc" dei-ando somente os servios ! sicos para a copia remota+ 9o caso do servidor beiHaflor paramos os processos ntpd 6 ?BP e bindV 6 4?#+ 'lguns diretrios no precisam ser copiados" em especial os 5s>s e 5proc+ 9a console da dom1 e-ecutamos o seguinte comando: Krs>nc 6va9 6e Qss7Q 66numeric6ids 66stats 66progress 66exclude W5mnt5XW 66exclude W5proc5XW 66exclude W5s>s5XW 66exclude W5tmp5XW 66exclude W5var5tmp5XW 66exclude W5var5 run5X&pidW 66exclude W5var5run5dbus5s>stemGbusGsocDetW beiHaflor&paranacidade&org&brC5 5mnt5beiHaflor&root5

W preciso aHustar os pontos de montagens da m )uina virtual no ar)uivo 5mnt5beiHaflor&root5etc5fstab e incluir a console padro 7vc1 nos ar)uivos 5etc5inittab e 5etc5securett>+ Utilizando esse m*todo no * preciso instalar gerenciador de boot ;grub! lilo! etc> no disco root da m )uina virtual" por*m * possvel utilizar o script p>grub para tal finalidade+ Utilizamos a c6amada do 4ernel Linu- da dom1 fora da m )uina virtual" por*m * necess rio copiar os mdulos do 4ernel da dom1 para dentro da m )uina virtual+ Kcp 6a 5lib5modules5Y(uname 6r) 5mnt5beiHaflor&root5lib5modules5 .erificamos e revisamos todas as configura3es antes de desligar o servidor fsico" feito isso conclumos a migrao P#. inicializando a m )uina virtual criada" utilizando o aplicativo xmC Kxm create 6c 5etc5xen5auto5beiHaflor6vm&cfg ).'.1 .omnios virtuais - .om0s

' ta!ela a!ai-o mostra os dom's criados no servidor uru utilizando o procedimento P2V descrito+ 9a criao das m )uinas virtuais somente os recursos mnimos necess rios foram alocados+ .om0s 3olibri6vm Bucano6vm ).) S.O. 4ebian Etc7 4ebian Lenn> Servios 4?#! ?tp 8eb 8eb! Pgs l .isco LV- P J:, LV- 6 M1: LV- 6 M0: R*M 0M2-, 21LJ-, M12L-, Processador M 2 2

,eiHaflor6vm 4ebian Lenn>

Pro1"emas encontrados

Diagnosticamos alguns pro!lemas em migrao P#." ap(s a migrao as m )uinas virtuais D domUs congelavam" se a m )uina 6ospedeira fosse reiniciada Ta )uenteU" o 4ernel gerava a log de erro com a seguinte e-presso: QclocDsource51C Bime Eent bacDEardsQ" esse pro!lema foi resolvido adicionado no ar)uivo de configurao da m )uina virtual a flag extraN clocDsourceNHiffies 1#@2+ 5utro pro!lema constatado ap(s a migrao P#." foi a inacessi!ilidade ao servio SSB das m )uinas virtuais" pes)uisando so!re o pro!lema" constatamos )ue o pacote udev no estava instalado nas m )uinas virtuais 1#N2+ 5 procedimento )ue utilizamos no pode ser realizado em sistemas operacionais muito antigos" visto )ue no e-iste 4ernel Linu- modificado )en para Linu- antigos ;e-: 4ebian Potato! =ed 9at /&2" etc> impossi!ilitando de utilizar a paravirtualizao" somente sendo possvel a migrao para m )uinas full?virtualizadas+ 2 3onc"uso

's migra3es P2V realizada no data?center do Servio Social 'ut(nomo Paranacidade foram !em sucedidas" os H citados !enefcios da virtualizao de servidores utilizando o )en foram alcanados" consideramos )ue a consolidao de servidores * de vital importQncia para organizao" pois ma-imiza a utilizao dos recursos computacionais e-istentes e conse)Xentemente diminui custos+ Soft7ares de virtualizao /$$, livre integrados a sistemas operacionais livres" como * o caso do )en em relao Ys distri!ui3es Linu-" tornam o futuro pertencentes a

virtualizao 1#2+ Constatamos )ue o desempen6o das m )uinas virtuais * superior aos antigos servidores fsicos" at* o momento as m )uinas virtuais em produo no apresentaram sinais de falta de recurso ;memria" processador>" caso ocorra podemos alocar os recursos necess rios utilizando as interfaces de gerenciamento ;CL< ou GU<>+ Como proHetos futuros podemos: implementar regras de fireEall na dom1 para cada dom'" est sendo estudada a a)uisio de um #torage $rea ?etEorD 6 #$?" possi!ilitando assim utilizar do recurso Live -igration! implantar Controle de 'cesso 5!rigatrio ; -$3 6 -andator> $ccess 3ontrol> das permiss3es de acesso de cada m )uina virtual" utilizando a !i!lioteca #virt 1#K2" ainda e-perimental+ 4i1"iografia 1/2 G'RL5CC" ZUR8+ ZPara6virtuali"ao com o )en .[+ Linu- A'G'[<9E+ v++#N" p+ @&? N@" outu!ro de #$$0+ 1#2 S<LUE<R'" LUC<'95P RRE9DEL" \E9S?CBR<S85PB+ Virtuali"ao+ So Paulo" Linu- Poc4et PR5+ ed+ $N+ #$$I+ 1@2 B'R'" CVR<5+ ( ue S virtuali"ao \+ 'cessado em outru!ro de #$$%+ Disponvel em: 6ttp:==superdo7nloads+uol+com+!r=materias=)ue?virtualizacao?parte?/+6tml 1N2 <RR'B<A" B5RVC<5+ Virtuali"ao de #ervidores com )en+ Rraslia: SERPR5" #$$&+ 1K2 )en 3itrix $c uisition+ 'cessado em outu!ro de 6ttp:==777+-ensource+com=a!out=Pages=Citri-'c)uisition+asp102 )en 9>pervisor+ 'cessado em 6ttp:==777+-en+org=products=-en6Mp+6tml outu!ro de #$$%+ #$$%+ Disponvel Disponvel em: em:

1I2A'88EES" \E'99'P D5E" EL<SP DESB'9E" 85DD" BU EE9\<9P E8 'L+ =unning )enC $ 9ands6(n :uide to t7e $rt of Virtuali"ation+ Editora Prentice Ball+ '!ril de #$$&+ 1&2E<LL<'9S" D'.<D+ Virtuali"ation Eit7 )en+ Editora SMngress+ #$$&+ 1%2 L<" 8<9G+ -igrando para um ambiente Linux Virtual com 3lone"illa+ 'cessado em outu!ro de #$$%+ Disponvel em: 6ttp:==777+i!m+com=developer7or4s=!r=li!rarM=l?clonezilla= 1/$2Ei4ip*dia+ 'cessado em outu!ro 6ttp:==en+7i4ipedia+org=7i4i=P6Msical?to?.irtual de #$$%+ #$$%+ Disponvel Disponvel em: em:

1//2)en 3onvert+ 'cessado em outu!ro de 6ttp:==777+citri-+com=Englis6=ss=do7nloads=details+asp] do7nload<d^/&KI&%#_product<d^0&@/N&`top

1/#2Virt6P2V+ 'cessado em outu!ro de #$$%+ Disponvel em: 6ttp:==et+red6at+com=arHones=virt? p#v= 1/@2LibVirt Virtuali"ation $P++ em:6ttp:==li!virt+org=inde-+6tml 'cesado em outu!ro de #$$%+ Disponvel

1/N2-ondo =escue 9ome Page+ 'cessado em outu!ro de #$$%+ Disponvel em: 6ttp:==777+mondorescue+org= 1/K2 8onders of dd and netcat CC 3loning (perating #>stems& 'cessado em outu!ro de #$$%+ Disponvel em :6ttp:==777+raHeevnet+com=6ac4sb6ints=osbclone=osbcloning+6tml 1/02Linux P2V+ 'cessado em outu!ro em:6ttp:==cons6ell+net=7i4i=inde-+p6p=Linu-bP#. de #$$%+ Disponvel

1/I2L'RCBER<" P'5L5+ )en P2VC 7oE to import a Linux P7>sical -ac7ine as a )en 4om'+ 'cesado em outu!ro de #$$%+ Disponvel em:6ttp:==tuttode!ian+!logspot+com=#$$&=$K=-en?p#v?6o7?to?import?linu-?p6Msical+6tml 1/&2Fen?!r 7i4i+ -igrando um servidor fsico Linux para Virtual (p2v)+ 'cesado em outu!ro de #$$%+ Disponvel em:6ttp:==7i4i+-en?!r+org=inde-+p6p]title^P#v?6o7to 1/%2FenSource+ )en -anual P2V Process+ 'cessado em outu!ro de #$$%+ Disponvel em: 6ttp:==7i4i+-ensource+com=-en7i4i=FenAanualPto.Process 1#$25RA<ERES" R<C'RD5+ -igrao P2V de =9ELL com =ed9at5)en+ 'cessado em outu!ro de #$$%+ Disponvel em: 6ttp:==!log+seatecnologia+com+!r=#$$%=$0=/$=migrauao?p#v? de?r6elN?com?red6at?-en 1#/2 .59 B'GE9" E<LL<'A+ Professional )en Virtuali"ation+ Editora EileM" #$$&+ 1##2 A'R8<9S" 8B<'G5+ Live3d )en+ 'cessado em outu!ro de #$$%+ Disponvel em: 6ttp:== 7i4i+-ensource+com=-en7i4i=LiveCD 1#@2 De!ian Ei4i+ )en 9oEBo+ 'cessado em outu!ro de #$$%+ Disponvel em:6ttp:==7i4i+de!ian+org=Fen`'+#Icloc4source+#R'C&?$+@'8ime7ent!ac47ards+#I 1#N2Virtuali"ation in 4ebian Etc7+ 'cessado em outu!ro de #$$%+ Disponvel em: 6ttp:==777+pun4ni-+com=virtualizationbuml 1#K2#ELinux ProHect! #virt+ 'cessado 6ttp:==selinu-proHect+org=page=S.irt em outu!ro de #$$%+ Disponvel em: