之前的文章<<OpenStack私有网络安全防护>>介绍了在私有网络中将虚拟防火墙(以下称为VFW)串联接入的方法。本文来介绍旁路部署VFW, 通过策略路由实现防火墙接入的方法。
逻辑网络拓扑如下:
D-BUS API查找与调用
上篇文章<<D-Bus实例介绍>>中简要介绍了D-Bus的基本概念,其中提到systemd、NetworkManager等系统服务导出了D-Bus API供其他程序来调用。本文通过示例来说明这些API的查找与调用。
上篇文章我们提到D-Bus的object可以实现多个Interface。D-Bus规范中标准化了一些接口,这些接口对于我们调用其他服务提供的D-Bus API非常有帮助。
我们主要来看其中的两个:
它有一个方法:
1 | org.freedesktop.DBus.Introspectable.Introspect (out STRING xml_data) |
它会返回一个包含有对象(object), 接口(interface), 方法(methods), 信号(signals),属性(properties)等信息的XML字符串。对象如果实现这个接口, 我们就可以通过调用该方法了解这个对象对外提供的所有信息。
XML字符串的解析方法可以参考官方文档:
https://dbus.freedesktop.org/doc/dbus-specification.html#introspection-format
D-Bus实例介绍
D-Bus是Linux及其他类UNIX系统上的一种IPC(Interprocess communication)机制。相较于传统的管道(PIPE)、Socket等原生基于字节流的IPC方式,D-Bus提供了基于独立Message的传输方式,应用程序使用起来更加简单。D-Bus的设计初衷是为Linux桌面环境上的一系列应用程序提供通信方式,它的设计里保留了许多对上层框架设计考虑的元素。
D-Bus的常用架构与传统的Socket一对一通信模式不同,它基于中间消息路由转发的模式来实现, 如下图:
虚拟机KPTI性能影响分析
Meltdown漏洞暴发之后,各云厂商已陆陆续续升级宿主机,升级Guest是否有较大的性能影响, 是否应该升级Guest虚拟机等问题又困扰着云租户们。
本文基于实例来分析Guest虚拟机的性能影响。
首先来看Meltdown的原理。现代CPU架构在不同的安全等级运行指令。内核需要直接操作硬件,运行于最高权限,而几乎所有的应用程序都运行于各低权限上。用户态进程通过系统调用访问内核数据。一般情况下,CPU在执行时使用虚拟内存地址,内核使用页表来控制虚拟内存与物理内存的映射。用户态进程不能访问映射给内核的内存页。这些映射关系的计算较为耗时,因而CPU使用TLB(Translation lookaside buffer)来存储计算后的映射关系。从TLB中移除这些映射再重新计算并缓存会消耗性能,因而内核实现上会尽可能减少刷新TLB,于是内核将用户态和内核的数据都映射进用户态页表中。正常情况下,这不存在安全风险,页表的权限可以阻止用户态进程访问内核数据。
VMware vSphere平台下API操作虚拟交换机及虚拟接口
之前的文章<<VMware vSphere东西向网络防护>>介绍了在VMware vSphere平台上如何通过操作虚拟交换机及虚拟接口来实现二层网络的微隔离。本文通过代码实例来说明调用API实现其中涉及的相关操作。
我们使用VMware官方的Python SDK来实现,SDK地址如下:
首先使用pip安装pyvmomi, 这里我们使用支持vSphere6.5的版本:
1 | pip install pyvmomi==6.5.0.2017.5-1 |
下面介绍使用Python SDK的基本流程。
OpenvSwitch端口镜像
之前的文章<<VMware vSphere平台端口镜像>>介绍了VMware vSphere环境下虚拟交换机的端口镜像机制,本文来介绍在OpenvSwitch环境中如何实现端口镜像。
OVS上实现端口镜像的基本流程如下:
- 创建
mirror,在mirror中指定镜像数据源及镜像目的地 - 将创建的
mirror应用到bridge中
镜像数据源可以通过下面几个选项来指定:
select_all: 布尔值,设置为true时,进出该mirror所生效的bridge上的每个数据包都将被镜像select_dst_port: 从该port离开虚拟交换机的数据包将会被镜像,从Guest角度看是Guest网络接口的流入方向select_src_port: 从该port进入虚拟交换机的数据包将会被镜像,从Guest角度看是Guest网络接口的流出方向select_vlan: 指定特定VLAN做为数据源,整个VLAN的数据包都会镜像到目的地
镜像目的地可以用下面选项来指定:
output_port: 将数据包镜像到特定的portoutput_vlan: 将数据包镜像到指定VLAN, 原始数据的VLAN tag会被剥掉。若镜像多个VLAN到同一个VLAN,没有办法区分镜像后的数据包来源于哪个VLAN。
Libvirt和QEMU hook机制介绍
在我们的QEMU/KVM虚拟化环境中,当所有的虚拟机启动时需要自动添加一个ivshmem设备,用于虚拟机与宿主机之间通信。为了添加该设备,我们需要在调用QEMU时,添加上ivshmem设备的相关参数,例如:
1 | -device ivshmem,shm=fg_i3,size=8m,bus=pci.0,addr=0x1f |
Libvirt使用XML文件来定义虚拟机配置,并根据XML文件来生成QEMU命令行参数,进而执行QEMU程序来启动虚拟机实例。我们可以在所有虚拟机的XML文件的<devices>节点中添加上<shmem>配置,如:
1 | <shmem name="fg_i3"> |
这样,libvirt启用QEMU实例时,则会添加如下参数:
1 | -device ivshmem,id=shmem0,size=8m,shm=fg_i3,bus=pci.0,addr=0x1f |
Guest启动后,登录查看PCI设备,可以看到相应的ivshmem设备:
QEMU monitor机制实例分析
QEMU实例运行时,用户可以通过monitor机制来与实例进行交互,通过它可以获取当前运行的虚拟机信息,处理热插拔设备,管理虚拟机快照等。要了解全部能力,可以参考文档:
https://qemu.weilnetz.de/doc/qemu-doc.html#pcsys_005fmonitor
QEMU启动时,需要使用-monitor选项指定做为console设备,官方文档说明如下:
1 | -monitor dev |
下面首先以标准输入输出设备做为console来启动QEMU实例:
1 | [root@localhost ~]# qemu-system-x86_64 cirros-0.3.5-x86_64-disk.img -smp 2,cores=2 -m 2G -vnc :20 -device virtio-net-pci,netdev=net0 -netdev tap,id=net0,ifname=tap0,script=no,downscript=no -name vm0 -monitor stdio |
在console里可以输入相关命令来完成我们的操作,比如我们查看虚拟机网络设备状态:
1 | (qemu) info network |
TIME_WAIT状态实验分析
TIME_WAIT是排查TCP连接问题经常遇到的一种TCP状态。首先我们来看TIME_WAIT状态是如何产生的。TCP关闭连接的状态变化图如下:
可以看到,主动关闭连接的一端在发送最后一个ACK后进入TIME_WAIT状态。TIME_WAIT状态会持续2倍的MSL(Maximum Segment Lifetime),MSL是指一个TCP分段在网络上存在的最大时间,因而TIME_WAIT状态也被称为2MSL状态。
VMware vSphere平台端口镜像
端口镜像是物理交换机上的一种特性,用于将交换机上某一端口的流量发送至其他目的地。镜像的流量通常可以用于网络调试、性能监测、安全防护等方面。
Cisco将端口镜像分为三种形式:
- SPAN(Switch Port Analyzer): 将流量从源端口镜像至同一交换机上的目的端口。
- RSPAN(Remote SPAN): 这种形式扩展了SPAN方式,允许镜像流量经过多个二层网络设备。RSPAN将流量镜像至特定VLAN,流经的交换机需要允许该VLAN通过,流量到达目标交换机时镜像至目的端口。
- ERSPAN(Encapsulated RSPAN): ERSPAN允许将流量镜像至三层网络设备。ERSPAN将原始流量封装到GRE(Generic Routing Encapsulation)中经由3层网络发送至目标设备。
VMware vSphere的VDS(Virtual Distributed Switch)也能够支持这些特性。VMware VDS有5种可用的端口镜像选项, 如图:
