Un paio di pensieri su VMWare

Ha fatto abbastanza rumore la presentazione a VMWorld di VMWare ESX 3i la versione "in hardware" (il virgolettato è d'obbligo essendo in realtà una soluzione che consente il caricamento dell'hypervisor da media tipo flash drive) del prodotto di virtualizzazione di VMWare.

Da quel che ho potuto leggere e capire  e quindi dal mio punto di vista ESX 3i è:

• Architetturalmente identica a ESX 3: non si tratta di un nuovo hypervisor ridisegnato per ridurne le dimensioni per esempio estrando dall'hypervisor i device (come avviene è in Windows Server Virtualization)
• Essendo lo stesso hypervisor non ci si può aspettare un incremento delle prestazioni
• Questo nuovo modo di "distribuire" l'hypervisor non facilita la gestione dell'infrastruttura IT (fisica e virtuale)
• Non tocca gli altri aspetti della virtualizzazione:  virtualizzazione di software, virtualizzazione della presentazione.

Così mi chiedo: qual'è il vantaggio? dov'è la novità?
Direte: "sei di Microsoft, tiri acqua al tuo mulino".

Sono andato allora a vedere cosa ne pensa Massimo Re Ferrè (King) uno dei maggiori esperti di virtualizzazione in Italia, dipendente IBM e uno dei massimi contributori sui forum VMWare (oltre che un amico).

Ho trovato questo interessante articolo: "What (really) VMware ESX 3i is (to me) ".

Riporto virgolettate alcune sue illuminanti affermazioni:

"It won't buy you any performance improvement, and certainly it has not changed the overall architecture and lay out of the ESX solution."

"I have already heard some people referring to this as the next step towards Unix-like virtualization (out-of-the-box built-in into the firmware). Well quite frankly I would prefer to have a 2GB hypervisor on 2 hard disk drives but with the right hardware virtualization pieces in place (CPU, Memory, I/O) and in sync with the hypervisor software... rather than the current 32MB hypervisor paired with the immature hardware virtualization support we have now in the industry."

"The concept is very simple: at Palo Alto they know very well that as soon as MS starts shipping their new OS with the integrated hypervisor many "lazy" users will just use that because ... "it's already there". Especially those SMB accounts that do not have the time, money and resources to evaluate whether it would be better to have either one or the other solution... the Microsoft stack is already there, it is good enough so why bother?

To me ESX 3i is a very strategic step made by VMware to anticipate that scenario: bundling the hypervisor with the server (as opposed to bundling it with the OS) should allow them to anticipate Microsoft and sort of leveraging the same laziness of the users that, since there is an hypervisor already "on-board" on the server... they would be more prone to use it instead of something else. This is, in my opinion, the very key strategic value of ESX 3i for VMware: a very powerful point of control."

Che dire? Non potevo trovare migliore sostegno :)
Mi sembra che Massimo abbia chiarito esattamente la mossa di VMWare.

Voglio rimanere ancora un attimo sull'architettura dell'hypervisor di VMWare: si tratta di un hypervisor "monolitico" e piuttosto pesante che contiene al suo interno anche i device driver necessari alla gestione dell'hardware. Un'architettura completamente diversa da quella di Windows Server Virtualizazion (Viridian) o di Xen dove i device driver risiedono invece nei sistemi operativi in esecuzione "sopra" l'hypervisor.

La differente architettura determina una differente "superficie di attacco" e una differente necessità di applicazione di patch: dove hai più componenti hai maggiori probabilità di avere bachi e di doverli correggere.

A questo proposito, per chi pensa  che un hypervisor non dovrebbe necessitare di una grande quantità di patch riporto una notizia presa da ZDNet:

"VMware lists a total of 20 different vulnerabilities"

"The company warned that attackers can exploit these bugs to launch code execution or denial-of-service attacks. In certain scenarios, a successful exploit would allow an attacker to escape from a guest system in a VM or shut down processes on the host."

Secunia rates the patch batch as “moderately critical” but issued a separate alert for the VMware ESX Server issue which carries a “highly critical” rating:

This fixes some vulnerabilities, which can be exploited by malicious, local users to bypass certain security restrictions, perform certain actions with escalated privileges, or to cause a DoS (Denial of Service), by malicious users to bypass certain security restrictions, and by malicious people to cause a DoS (Denial of Service) or compromise a vulnerable system.

Questa è una delle principali motivazioni per cui Microsoft ha scelto un'architettura di hypervisor completamente diversa che consente di ridurre al minimo la superficie di attacco e la necessità di applicare patch a questo componente fondamentale.

Giorgio

Comments

• Anonymous
  January 01, 2003
  Riprendendo quanto dicevo qui qualche giorno fa, volevo segnalarvi questa notizia: VMware bugs highlight