Xen Domain-0の構築
Xenを入れるにあたって、みなさんはそれをどういう環境で動かしていますか?
- それまで使っていたマシンでXenを動かす
- ディストリビューションでサポートしているから、とりあえず動かす
検証のためにXenを動作させるというのであればそれでもいいですが、実際の運用に供する際にもそれと同じ環境を使う、というのは少し考えたほうがよいでしょう。
例えばSUSE 10.0や10.1などでは、GUIによるドメインの管理を行えますが、Domain-0の本来の用途を考えると、GUIは必ずしも必要とはいえません。 むしろ「何が動作しているか」を把握できる「最小限の環境」の方が、Domain-0の構成に適しているといえます。
セキュアなDomain-0は、まずセキュアな構成から〜ポリシーの決定
セキュアな構成といってもいろいろありますが、Domain-0の構成は、大まかには表2の内容を基本とします。
- 余計なものは動かさない
- Domain-U管理以外の「余計な作業」は行わない
そもそもDomain-0は、Domain-Uの管理に加え、Xenハイパーバイザー上で動作させるDomain-Uに対して資源を提供する役割を 持ちます。Domain-0でのトラブルは、そのまま同じマシンで動作しているDomain-Uのトラブルに直結します。
このため、Xenの管理のために必要な「最低限」のものを入れるという形にするのが正しい姿の一つといえます。なお、環境によってはXenをコンパ イルするという作業もさせなければなりませんが、極力Domain-0の環境にインパクトを与えないアプローチを取ることとします。
これ以降、具体的な構築環境の話に入ります。セキュアなDomain-0の環境は、Debian GNU/Linux 3.1(sarge)およびCentOS 4.3で構築することを前提に解説します。
関連記事
バックナンバー
この記事の筆者
筆者の人気記事
Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。
