[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:48280] リリース:VMKNOPPIX(20070328) with Trusted Boot
須崎です。
VMKNOPPIX(20070328) with Trusted Boot をリリースしました。
http://unit.aist.go.jp/itri/knoppix/vmknoppix/index.html
VMKNOPPIXとは仮想計算機ソフトウェア(Xen, KVM, VirtualBox, QEMU,
KQEMU:QEMU with Accelerator, UserModeLinux)をまとめて利用可能した
KNOPPIXです。
今回の版は"Trusted Boot" (Trusted GRUB と IMA: Integrity Measured
Architecture)を含んでいます。
=== 特徴 ======================================================================
VM Collection:Xen3.0.4-1(DomainU & HVM Domain), KVM16, VirtualBox,
QEMU, KQEMU(QEMU with Accelerator), UserModeLinux
それぞれの仮想計算機ソフトウェアは色々な技術(準仮想化,仮想
化命令IntelVT/AMD-Vを使った完全仮想化,動的コード変換など)
を使っています.それそれの技術を比較出来ます.他の公開して
いるディスクイメージ(OSZooのQEMUイメージなど)を利用すること
も可能です.
Trusted Boot: セキュアチップ TPM1.2 (Trusted Platform Module)が使えるPCで
Trusted GRUB と IMA(Integrity Measured Architecture) でトラス
テッドブートします.
注)この機能を有効にするにはBIOSがTrusted Bootに対応している必要
があります.
OS Circular:Internet Clientの"OS Circular"環境を含んでいます.
OS Circular は globalized virtual disk "HTTP-FUSE CLOOP"を通して
Xen上で色々なOSを起動させるプロジェクトです.
ベンチマークソフトウェア:
π計算にCPUベンチマーク http://h2np.net/pi/pi_quick_start.tar.gz
dbench によるIOベンチマーク
tbench によるネットワークベンチマーク
Xengine による描画ベンチマーク
Oprofile:VMKNOPPIX はHVM上のOSのプロファイルを取る xenoprifle を含んでいます.
高速起動:VMKNOPPIX は LCAT によりCD高速起動に対応しています.
GRUBメニュー:3つの選択 Xen3.04-1(kernel 2.6.16.33),IMA(kerenel2.6.19.1),
normal KNOPPIX (kernel 2.6.19)ができます.
=== Virtual Machine の使い方 ===========================================================
○ Xen
GRUBの第1メニュー "KNOPPIX/Xen3.0.4-1"を選択して起動して下しさい.
DomainUでKNOPPPIXを起動するには下記のコマンドが使えます.
# knoppixU
IntelVT/AMD-V CPU上のHVM DomainでKNOPPPIXを起動するには下記のコマンドが使えます.
# knoppixHVM
注) Intel MAC では GRUBメニューのカーネルオプションに nofirewire をつけて下さい。
○ OS Circular
intelVT or AMD-V CPUでGRUBの第1メニュー "KNOPPIX/Xen3.0.4-1"を選択して起動して下しさい.
その後下記のコマンドを実行して下さい.
# pump -i eth0
# /etc/inint.d/xend start
# httpfuse-hvm.sh
ダウンロードサイト選択メニューが出るので近いサイトを選択してください。
次にコンテンツ選択が出るので利用したいOSイメージを選択してください。
しばらく待つとXen上に選択したOSイメージが起動します。現在公開している
Debianはroot/http-fuse あるいはhttp-fuse/http-fuseでログインできます。
注)Intel MAC では GRUBメニューのカーネルオプションに nofirewire をつけて下さい。
注)httpfuse-hvm.shを実行するコンソールが80x24以上ないと選択メニューが
表示されず、httpstoraged is ready ...が表示されます。
技術的詳細はLinuxConfAu07. のVirtualization Miniconf で発表されています.
OS Circulation Environment "Trusted HTTP-FUSE Xenoppix"
http://virtminiconf.linux.hp.com/program/os-circulation-environment-201ctrusted-http-fuse-xenoppix201d
スライドPDF http://unit.aist.go.jp/itri/knoppix/20070118-LCA-HTTP-FUSE.pdf
○ VirtualBox
GRUBの第3メニュー "KNOPPIX(normal kernel)"を選択して起動して下しさい.
# modprobe vboxdrv
# VBoxSVC &
# VirtualBox
VM環境のセットアップを行ないます.CD-Dドライブの選択はインタラクティブ
なセットアップ後メインメニューで指定できます.
○ kqemu/KVM/QEMU
GRUBの第3メニュー "KNOPPIX(normal kernel)"を選択して起動して下しさい.
kqemu/KVM/QEMUでKNOPPIXを起動する場合は"qemu-knoppix.sh"スクリプトをご
利用下しさい.ネットワーク環境,kqemuのshared memory 環境,KVM/KQEMU
のドライバをセットアップします.
スクリプト内の実行優先順位は下記です.
1)kvmが有効なら、kvmを使って起動
2) kqemuが有効なら、kqemuを有効にしてqemuを起動
3) kvm,kqemu が無効なら、素の qemuを起動
動作抑制オプションも指定できます.
-no-kvm : KVM kernel module の利用を抑制
-no-kqemu : KQEMU kernel module の利用を抑制
-no-module: 全ての kernel module の利用を抑制
例えば下記のオプションでkqemu起動を指定できます.
# qemu-knoppix.sh -no-kvm
=== Trusted Boot の使い方 =========================================================
セキュアチップ TPM1.2 (Trusted Platform Module)が使えるPCでTrustedGRUB と
IMA(Integrity Measured Architecture) でトラステッドブートします.
起動時に使うデバイス,ブロック,ファイルなどを計測してセキュアチップTPM
(Trusted Platform Module)の PCRs(Platform Configuration Register) に記録します.
GRUBの第2メニュー "KNOPPIX(2.6.19.1+ima)"を選択して起動して下しさい.
GRUBのコマンドラインでTPMをチェックできます.GRUBメニューで"c"を押して
ください..TPMの状態,PCRs の値,イベントログが下記のコマンドで確認で
きます. "Esc" でコマンドラインからGRUBメニューに戻ります.
grub> tpm
grub> tpm pcrs
grub> tpm eventlog
Linuxの起動後は下記のコマンドで計測が確認できます。
・セットアップ
# mount -t securityfs none /sys/kernel/security
・GRUBのイベントログを表示
# cat /sys/kernel/security/tpm0/ascii_bios_measurements
・IMAによるイベントログを表示.このリストはオープンされた(起動した)ELFファイルです.
新しいELFファイルを起動するとイベントログに追加されます.
# cat /sys/kernel/security/ima/ascii_runtime_measurements
・PCRの値の表示. この値はIMAが追記することで変わります.
# cat /sys/devlice/pnp0/00:0b/pcrs
=== ベンチマークの使い方 ===========================================================
○ π計算によるCPU性能比較
# time /opt/pi_quick_start/pi 3000000
○ dbenchによるIOバンド幅 (/usr/share/dbench/client.txtの読み出し)
# dbench 1
○ tbenchによるネットワークバンド幅(ネットワーク経由の/usr/share/dbench/client.txtの読み出し)
Hostで下記のコマンドを実行
# tbench_srv
Guestで下記のコマンドを実行
# tbench -t 60 1 "ホストのIPを指定.VirtualBox,KVM, KQEMU, QEMUでは 10.0.2.2になります"
○xengine
# xengine
■ ベンチマーク結果 (古いです)
○ π計算
| sec |Remarks
-----------+-------+-----
Native| 14.67 | Core2 Duo T7200
kvm-14| 19.26 |
kvm-12| 17.90 |(Sample. CD doesn't include)
qemu(kqemu)| 24.87 | "-kernel-kqemu" is not used
qemu|227.1 | "-no-kqemu"
VirtualBox| 17.56 |
Xen(DomU)| 14.68 |
Xen(HVM)| 15.99 |
-----------+-------+-----
○ tbenchによるIOバンド幅
| MB/s |Remarks
-----------+-------+-----
Native| 341.0 | Core2 Duo T7200
kvm-14| 206.1 |
kqemu| 36.20| "-kernel-kqemu" is not used
qemu| 29.17| "-no-kqemu"
VirtualBox| 223.9 |
Xen(DomU)| 283.1 |
Xen(HVM)| 203.3 |
-----------+-------+-----
○ tbenchによるネットワークバンド幅
| C2D|Athlon| Remarks
--------+-----+------+----------
vbox | 1.72| 1.57|
kvm14 | 0.50| 1.05|
kvm12 | 1.05| 1.15|(Sample. CD doesn't include)
kqemu | 1.46| ====|
qemu | 1.53| 1.37|
Xen DomU|67.8 | 74.7 |
Xen HVM | 4.11| 3.57|
--------+-----+------+
C2D: Core2 Duo T7200 (IBM ThinkPAD T60)
Athlon: Athlon64x2 4000+ Pi calculation
=== Oprofile =======================================================================
HVM Domainを起動して下しさい
# knoppixHVM
HVM上でGRUBの第1メニュー"KNOPPIX/Xen3.0.4-1"を選択してください.
下記のコマンドでoprofileを起動してください.
# opcontrol --start-daemon --vmlinux=/boot/vmlinux-syms-2.6.16.33-xen
--xen=/boot/xen-syms-3.0.4-1 --passive-domains=1 --passive-images=/boot/vmlinux-syms-2.6.16.33-xen
上記のコマンド実行後,プロファイルが取得されています.下記のコマンドで
取得を停止してください.
# opcontrol --stop
下記のコマンドで結果が表示されます.
# opreport -l
○結果
CPU: Core 2, speed 2327.56 MHz (estimated)
Counted CPU_CLK_UNHALTED events (Clock cycles when not halted) with a unit maskof 0x00 (Unhalted core cycles) count 100000
samples % app name symbol name
15904 61.6625 qemu-dm (no symbols)
1741 6.7502 libqt-mt.so.3.3.7 (no symbols)
1432 5.5521 libshadow.so (no symbols)
702 2.7218 domain1-modules (no symbols)
649 2.5163 libc-2.3.6.so (no symbols)
361 1.3997 bash (no symbols)
283 1.0972 xen-syms-3.0.4-1 handle_exception
216 0.8375 libfb.so (no symbols)
133 0.5157 xen-syms-3.0.4-1 hypercall
130 0.5040 ld-2.3.6.so (no symbols)
128 0.4963 vmlinux-syms-2.6.16.33-xen hypercall_page
124 0.4808 Xorg (no symbols)
122 0.4730 python2.4 (no symbols)
=== ダウンロード ===================================================================
File name: knoppix_v5.1.1CD_20070104_xen3.0.4.1_vbox_ima-20070316+IPAFont_AC20070328.iso
MD5: 3bb97388162c1f6a4c4a2784f7808169
FTP: ftp://unit.aist.go.jp/itri/knoppix/iso/knoppix_v5.1.1CD_20070104_xen3.0.4.1_vbox_ima-20070316+IPAFont_AC20070328.iso
HTTP (Ring Servers): http://www.ring.gr.jp/archives/linux/knoppix/iso/
Bittorrent: knoppix_v5.1.1CD_20070104_xen3.0.4.1_vbox_ima-20070316+IPAFont_AC20070328.iso.torrent
------
suzaki