TOPサーバ構築・運用> Xen Domain-0の構築




仮想化技術 完全攻略ガイド
セキュアなVM環境を作る

第1回:セキュアな構成とは
著者:宮本 久仁男   2006/9/28
1   2  次のページ
Xen Domain-0の構築

   Xenを入れるにあたって、みなさんはそれをどういう環境で動かしていますか?
  • それまで使っていたマシンでXenを動かす
  • ディストリビューションでサポートしているから、とりあえず動かす

表1:Xenの環境

   検証のためにXenを動作させるというのであればそれでもいいですが、実際の運用に供する際にもそれと同じ環境を使う、というのは少し考えたほうがよいでしょう。

   例えばSUSE 10.0や10.1などでは、GUIによるドメインの管理を行えますが、Domain-0の本来の用途を考えると、GUIは必ずしも必要とはいえません。むしろ「何が動作しているか」を把握できる「最小限の環境」の方が、Domain-0の構成に適しているといえます。


セキュアなDomain-0は、まずセキュアな構成から〜ポリシーの決定

   セキュアな構成といってもいろいろありますが、Domain-0の構成は、大まかには表2の内容を基本とします。

  • 余計なものは動かさない
  • Domain-U管理以外の「余計な作業」は行わない

表2:Domain-0の構成

   そもそもDomain-0は、Domain-Uの管理に加え、Xenハイパーバイザー上で動作させるDomain-Uに対して資源を提供する役割を持ちます。Domain-0でのトラブルは、そのまま同じマシンで動作しているDomain-Uのトラブルに直結します。

   このため、Xenの管理のために必要な「最低限」のものを入れるという形にするのが正しい姿の一つといえます。なお、環境によってはXenをコンパイルするという作業もさせなければなりませんが、極力Domain-0の環境にインパクトを与えないアプローチを取ることとします。

   これ以降、具体的な構築環境の話に入ります。セキュアなDomain-0の環境は、Debian GNU/Linux 3.1(sarge)およびCentOS 4.3で構築することを前提に解説します。

1   2  次のページ

書籍紹介
仮想化技術 完全攻略ガイド

仮想化技術 完全攻略ガイド VMware・Xen・Virtual PCを使いたおそう!
PCで複数のOSが動く! パーソナル用途では、無償で使えるVMware Playerの使い方やフリーの仮想マシンイメージの紹介、活用法を解説。技術者向けには、Xenの使い方と技術解説、インテルとAMDのCPUの仮想化支援技術まで深くフォロー。そのほか、Virtual PC&Virtual Serverや、MacでWindowsが使えるParallels Desktopなども解説。付録DVD-ROMにはVMware PlayerとVMware Server、フリーの仮想マシンイメージなどを収録。

発売日:2006/10/05予定
販売価格:2,310円(税込)
宮本 久仁男
著者プロフィール
宮本 久仁男
某大手SIerに勤務。OSおよびミドルウェア、アプリケーション開発、インターネットサーバの運用管理、社内技術支援などを経て、現在は動向調査業務に従事する。業務の傍ら、大学にも所属(博士後期課程)し、研究生活を送る。あらゆる分野に興味を持ち、それらについて自学自習で学びつつ、成果をコミュニティにフィードバックしたり、研究/検証テーマを模索したりという日々。Microsoft MVP (Windows - Security)というアワードも受賞しているものの、どこにでもいそうなエンジニア風。


この記事の評価をお聞かせください
ボタンをクリックしますとウインドウが開きます。

INDEX
第1回:セキュアな構成とは
Xen Domain-0の構築
  Domain-0の役割〜制御のための最小限?
セキュアなVM環境を作る
第1回 セキュアな構成とは
第2回 セキュアなDomain-0の作り方
第3回 不必要な起動スクリプトの削除と起動プロセスとポートのチェック
第4回 フィルタリング
第5回 不要なモノの削除〜CentOS編
第6回 作業ドメインを分割する
第7回 APT環境の整備をする