远程访问服务器并登录LPAR,IBM pSeries服务器逻辑分区的安全性

1、前言

IBM pSeries服务器所具有的逻辑分区LPAR(Logical Partitioning)技术为服务器的选型提供了广泛的灵活性，它可以将一台服务器划分成多个分区，每个分区可以独立运行IBM UNIX操作系(AIX V5)，也可以运行Linux操作系统。IBM pSeries服务器所具有的LPAR技术的先进性和灵活性被广大客户所喜爱和认可，但有些人对它的安全性和可靠性表现出了担心和顾虑。毫无疑问，IBM pSeries服务器的LPAR技术是非常安全可靠的，在系统结构和产品设计时，LPAR的安全可靠性是设计师最关注的要素。

本文从pSeries服务器LPAR设计原理的角度，与您探讨LPAR的安全性，重点介绍不同分区之间的操作系统的隔离性，存放在一个分区内的程序和数据，不会被另外分区的程序进行有意图或意外的拷贝和修改。

2、LPAR在硬件级别的保护

实际上，LPAR在硬件上使用了很少的机制，它涉及到了特殊硬件寄存器和我们称之为“Hypervisor”的固件，通过它们的配合，可以形成所谓的分区，并且将分区操作限制在属于分区的CPU、内存和IO设备范围内。

2.1、实模式地址寻址

每个操作系统的映象需要用实地址寻址的方式访问内存，不用虚地址的翻译，并且起始地址从零开始，通常先是内核代码、固定的内核结构、和中断矢量。由于在分区模式下，多个操作系统不能共享同样的物理零地址，所以每个分区必须有自己的实地址段。

当每个分区被启动后，固件赋予分区唯一的实地址起始偏移量和范围值，并且将偏移量和范围值存入到分区内每个CPU的寄存器内。这些值映射出赋给此分区的物理地址。当分区程序以实地址方式访问指令和数据时，硬件自动将每个地址增加实地址偏移量。在这种模式下，逻辑分区程序似乎还保持从零地址寻址，虽然实际处理时，此虚地址被自动映射成另外的物理地址(见图1中的箭头1所示)。硬件逻辑电路阻止运行在此分区内的操作系统修改这些寄存器的值。任何企图访问实地址超出所分配的地址范围时，会引起地址异常中断。

2.2、虚模式地址寻址

操作系统使用另外一种地址寻址方式：需地址寻址，它允许程序编程空间大于实际的物理内存空间。操作系统将最近不经常用的程序和数据所占用的页面从内存转移到磁盘上，而当它们需要时，再从磁盘调入内存。

当程序在虚地址方式下访问指令和数据时，它并不关心地址是否被虚拟内存管理(VMM)使用页面转换表进行了转换。页面转换表存放在系统内存中，每个分区都有自己唯一的页面转换表。处理器使用这些表透明地将程序的虚地址转换成物理地址，如图1中的箭头2所示，将某个页面映射成物理内存中。如果此页已经从物理内存转移到磁盘交换空间，操作系统将收到一个页错误。页面转换表机制不是一个新的技术，已经存在于AIX V4.3.3和不分区的操作系统AIX V5中，但是在分区模式下，页面转换表的管理是不同的。

在非分区的模式下，操作系统AIX直接产生和管理页面转换表，并且使用实地址的方式访问它。在逻辑分区模式下，页面转换表被存放在一个特殊的内存区域，只能被hypervisor所访问。换句话说，页面转换表并不在此分区所属的实地址范围内。保存页面转换表地址的寄存器也被硬件逻辑所保护，不能被分区程序所修改，只能被hypervisor管理程序所修改。

当操作系统需要产生一个页面转化映射时，分区内处理器必须执行一个hypervisor服务调用指令。由hypervisor程序代表分区产生页面表入口，并为此页增加从逻辑地址到物理地址的偏移量。分区程序可以调用hypervisor修改或删除存在的页表项。

(图1)

2.3、I/O地址空间的访问

除了映射虚拟地址空间到分区的物理内存空间，操作系统可以调用hypervisor程序映射页面地址到物理寄存器和PCI I/O卡的缓冲地址空间(如图1中的箭头3所示)。设备驱动通过直接读和写这些卡的寄存器和缓冲区，来操作PCI设备。在LPAR模式，操作系统只能对分区所拥有的卡进行操作。

2.4、DMA的访问

PCI I/O 卡DMA负责进行I/O卡和系统内存之间的数据传递，它们使用类似页面表地址重新分配机制。PCI host Bridge硬件将I/O设备产生的地址翻译成物理内存地址。I/O Bridge在转化控制表(TCE)内进行地址转换，TCE存放在物理内存中。如页面表空间一样，TCE表空间不能分区直接访问，只能被hypervisor程序所访问。不象页面表，TCE表不属于任何分区。通过调用hypervisor服务程序，分区程序对指定的PCI卡可以产生、修改或删除TCE表。由Hypervisor对分区程序提供的DMA目标地址增加物理偏移地址。当I/O Bridge将I/O卡DMA地址转化成物理地址时，此结果地址变成属于此分区的物理内存中(见图1中箭头4所示)。

3、LPAR在固件级别的保护

hypervisor程序是非常专门的服务程序，可以安全可靠地执行上述操作。hypervisor服务程序存放在服务器的闪存内。当系统初始化时，hypervisor服务程序被调入到物理内存的第一个区域(从零地址开始)，由hypervisor服务程序产生分区环境，是唯一可直接访问CPU特殊寄存器和转换表的程序。分区程序只能调用CPU提供的hypervisor服务调用，不能访问hypervisor的指令或数据。这些保护，允许hypervisor服务程序以一种简单和严格的方式执行业务，将操作系统限制在一个非常紧密硬件范围内。

使用地址重新再分配机制，控制一个分区内的处理器、PCI I/O卡的访问，分区程序和

运行在分区内固件程序都不能干预这种机制。

观察逻辑分区的一致性和安全性的另外一种方式是比较逻辑分区环境与操作系统中的特权或超级管理员的环境。特权的超级用户程序被保护，其他用户程序不能影响它们，不能阅读和修改它们。逻辑分区hypervisor服务程序被保护，能够产生多个隔绝，高一致性的超级特权程序环境。

(图2)

3.1、LPAR和操作系统

在图2中描述了在逻辑分区环境下操作系统的特殊处理，主要的不同是虚拟内存管理功能，只有分配给分区的设备才能被操作系统所访问，操作系统不能访问到分区外的任何资源。一些可选的hypervisor服务，用来处理Debug信息，以及每个分区的需拟TTY 处理。

在pSeries硬件平台上，提供了一系列的结构化固件在线提取服务(RTAS)调用，在LPAR模式下，这些调用执行附加的有效性检查和资源虚有化处理。例如，尽管只有一个物理的闪存和物理时钟芯片，RTAS可让每个分区都感觉有自己的闪存和不同的时钟。

4、LPAR的管理

hypervisor服务程序强迫分区的边界和维护分区内资源的一致性。分区的管理也体现了安全性特点，分区的管理是通过IBM 硬件管理控制台(HMC)来实现的，HMC提供了方便友好的界面，执行硬件操作，执行本地和远程用户访问。

HMC是连接于服务处理器的，HMC送命令到服务处理器，管理存放在闪存中的LPAR配置表。当分区启动时，hypervisor服务引用这些配置表，确认哪些资源是存放在哪些分区内的。这些表对运行在分区的操作系统是不可见的，只有HMC和hypervisor服务才能更改它。

只有合法的用户才能设置HMC，每个HMC用户都有指定的操作范围，可以本地访问HMC，远程登录访问，以及使用rexec或OpenSSH进行命令行操作。

(图3 LPAR的管理)

5、LPAR安全性总结

IBM pSeries的逻辑分区特性提供了巨大的灵活性，它允许在一个硬件服务器上进行多个分区设置，运行多个独立的操作系统。从系统结构、硬件和固件级别来看，都有很强的安全性保证，可以应用在服务器集中等关键领域，提供7X24小时的连续运转。