一种基于轻量级虚拟化的网络仿真方法

针对高校传统实验环境不能满足网络实验教学需求的问题,提出了一种将轻量级虚拟化技术与Linux路由模块相结合以完善计算机网络科学研究和实验教学的仿真方法。通过将Linux的网络空间隔离功能与Mininet可编程特性和FRRrouting路由功能相结合,设计并验证了一种轻量级、高保真、易编程且易上手的计算机网络仿真方法,能够广泛支持计算机网络相关的研究与教学。

面向PaaS云平台的轻量级虚拟化性能测试研究

为评价轻量级虚拟化技术性能,拟对主流轻量级虚拟化技术Open VZ、Docker、Rkt在资源控制和隔离方面进行技术分析,在高效性、隔离性和快速性上进行性能评测,并选取Kvm进行实验对比.实验表明,OpenVZ具有较高的隔离性,Docker在快速性和高效性上表现较好,Rkt具有非常好的高效性,这对PaaS云平台虚拟化技术的选型具有重要参考意义.

基于轻量级虚拟化技术的高职计算机类课程教学云服务平台的研究与实现

笔者针对高职计算机类课程实践教学的实际情况,提出一种利用轻量级虚拟化技术构建教学云服务平台的方法。在计算机类课程实践教学中,参加同一课程学习的一批学生所需的实验实训环境的配置要求是一致的,基于轻量级虚拟化技术构建教学云服务平台,能很好地满足实践教学的需求,同时能降低云计算资源管理的损耗,提高资源利用率;可以利用映像仓库的映像模板管理功能,为不同课程教学的具体实验实训环境要求提供订制配置的功能,满足教师在教学过程的管理需求;并通过教学云服务平台的课堂教学服务功能,将云平台的计算资源管理服务与课堂教学有机地连接起来。

基于轻量级虚拟化的LDDoS仿真方法

低速率分布式拒绝服务(LDDoS)攻击是一种复杂的大规模网络攻击行为,已成为当前网络面临的严重安全威胁之一,建立仿真平台研究LDDoS攻防技术,可以提升仿真的逼真性且保证仿真规模。为此,基于轻量级虚拟化技术,提出一种针对BGP会话的LDDoS仿真方法,通过融合网络拓扑构建、攻击场景配置和采集与分析过程,搭建仿真体系架构,并给出该架构基于轻量级虚拟化技术的实现方法。实验结果表明,相比于GTNeTS和GNS3方法,该方法具有逼真性高、扩展性强和仿真规模大的优势,单物理服务器可构建具备400个路由节点规模的LDDoS仿真场景,可为大规模LDDoS的攻防策略研究提供仿真技术基础。

基于轻量级虚拟化的多尺度网络复现研究仿真

由于网络验证测试构建真实环境的代价较大、性价比低、全虚拟化环境所得结果不够真实,存在一定的局限性,为此提出基于轻量级虚拟化的多尺度网络复现研究方法。利用轻量级虚拟化技术构建开放源代码虚拟机监视器体系,将物理硬件和操作系统分离,统一物理资源,令资源不受物理限制约束,在一个物理机器上同时运转多个不一样的操作系统,并且各个操作系统能够执行多个应用程序,使硬件与操作系统虚拟化。再通过聚类系数、度的分布、平均路径长度、网络时效以及网络质量等网络复现指标,实现多尺度网络复现。实验通过连通性、透明性、并发性指标验证构建的网络,得出所提方法的仿真规模较大,性价比较高、适用性较强,充分验证了上述方法的有效性。

金融行业轻量级虚拟化架构安全部署研究

金融机构在从传统虚拟化架构向轻量级虚拟化架构转型的过程中,通常会面临开发部署的高效性与系统运行的安全稳定性之间的矛盾。作为轻量级虚拟化技术的代表,Docker容器实现了应用开发、测试、部署、运维等流程的高效协作,适用于金融机构私有云平台的轻量化部署。但是,与传统虚拟化技术相比,Docker容器在镜像、隔离性、网络等各方面都存在一定的安全风险。本文对Docker容器在应用中可能面临的安全问题和风险进行了分析,并对容器隔离性安全、容器安全管理、容器网络安全等方面的安全需求与相关机制进行了总结。最后,本文给出了面向金融行业的容器安全部署建议。

基于轻量级虚拟化技术的农业信息网络攻防平台研究

农业信息化进程的加速发展,越来越多的安全问题也逐渐显露。然而,目前专门针对农业信息平台的网络攻防实验平台相对较少,无法实现对农业信息平台网络安全的全局掌控。此外,农业信息平台从业人员缺乏网络攻防经验,无法及时处理安全问题。因此,为提升农业信息平台安全性和专业性,文章结合了容器化技术 Docker、SDN 架构等技术设计一个轻量级的农业信息网络攻防平台。利用 Docker 的优良特性搭建虚拟农业信息平台网络,并模拟基于农业信息平台的网络攻防实验,整合 Wireshark、Consul 等外部工具实现对农业信息平台安全性的评估和其从业人员的教学。

空天地一体化融合组网的挑战与关键技术

面向全域一致通信体验的需求,协同天基、空基、地基网络,能够消除通信盲区、加强广域互联的空天地一体化融合组网是未来通信重要的发展方向之一。然而,现阶段的空天地一体化融合组网只在一些特殊场景中取得了初步的应用,距离消除通信盲区、广域万物智联的愿景仍然存在诸多挑战。首先,文中概述了未来的空天地一体化融合组网架构;然后,分别从硬件、协议、节点部署和服务保障的角度分析了融合组网过程中面临的四大挑战,包括基于专用硬件的网元节点带来的融合组网功能升级困难、现有卫星通信协议标准性能低、三维广域空间带来的活动基站选址困难以及多样化业务难以进行差异化保障等问题。针对上述挑战,分别介绍了面向卫星的轻量级虚拟化技术、基于5G技术的卫星通信系统、水平与垂直面解耦的的活动基站选址和端到端的空天地一体化网络切片4个解决方案,为空天地一体化融合组网的发展提供参考。

基于Docker Swarm集群的调度策略优化

轻量级虚拟化技术Docker及Docker集群管理工具Swarm的出现,为基于Linux平台的集群资源虚拟化提供了一套简单高效的解决方案。但是,能否充分发挥一个集群的整体性能,一个好的调度策略至关重要。目前Swarm工具内置的调度策略都无法很好地实现Docker集群的负载均衡,并且对集群资源的利用率不高,造成了很大的资源浪费。针对以上问题,文中利用权值调度算法对Docker Swarm集群的调度策略进行了优化,最终很好地实现了集群的负载均衡,充分发挥出了集群中每一个节点的性能,并提高了集群的整体性能。

基于Docker Swarm集群的调度策略优化算法

Swarm是一种对集群中Docker镜像和容器进行管理的工具,其在计算节点权值时可能会得到若干个相同权值的节点.现有的Swarm调度策略只是将这些节点随机分配,由于相同权值节点的资源负载情况并不相同,所以将会造成节点负载不均衡.针对上述问题,本文提出一种动态调度算法对Swarm调度策略进行优化.通过实验,证明增加动态调度算法能够使集群中节点负载更加均衡,同时提高集群的整体资源利用率.

面向空间网络的虚拟路由器实现方法

随着航天技术、电子技术以及通信技术的发展,空间网络由于其"高、广、远"的独特优势,在对地观测、应急通信、航天测控、航空运输等方面都有着重要的作用。然而,空间网络面临星上处理能力受限、传输延时差异大等方面的挑战。为在空间网络中满足不同业务的差异化服务质量(QoS)需求,对面向空间网络的虚拟路由器实现方法进行了研究。在分析了国内外在虚拟路由器领域的探索与实践情况的基础上,针对空间路由设备对载荷和功耗的要求,提出了一种面基于ZYNQ嵌入式平台和轻量级虚拟化技术LXC(Linux Container)的虚拟路由器实现方法。实验表明,提出的虚拟路由器实现方法可以在处理能力受限的嵌入式平台上实现差异化的服务。

资源受限条件下的大规模网络构建方法

针对资源受限条件下的大规模网络高逼真快速复现问题,基于数字仿真、轻量级虚拟化、全虚拟化以及原型系统等多种模式的建模特点,提出多约束条件下的最优组合策略和方法,在深入研究多模式联合运行、最优规划与部署及多模式协同等技术的基础上,通过构建多模式联合运行且具有"低成本、高效率、易管理、可重复"等优势的大规模试验网络基础环境,使其成为网络新技术的催化剂以及新装备研制、测试、评估以及演进的试验床。

基于Docker Swarm集群的容器迁移策略的实现

随着轻量级虚拟化技术Docker的迅速发展及其Docker集群管理工具Swarm的出现,Docker在集群中的应用越来越广泛。但是目前Docker容器还无法在Swarm集群中进行迁移,为Docker在集群中的使用带来很多不便。文中提出了利用Docker私有仓库进行容器迁移的技术在一定程度上解决了这种需求,一方面实现了集群各节点之间的负载均衡,另一方面也提高了Swarm集群的可用性。

以云计算技术创新推动数字信息基础设施高水平发展

数字经济进入算力时代,国家发展战略要求大力建设数字信息基础设施,云计算是数字信息基础设施的核心组成部分,云计算技术创新成为关系我国发展全局的重大问题。文章从算力发展视角出发,阐述云计算发展需要考虑的三大关系,分析云计算技术现状,提出我国云计算更高水平发展需要解决的四大问题,指出我国云计算技术创新总体目标和重点研发方向,结合技术发展趋势和已经开展的科研工作,分析展望云计算可能取得突破的关键创新技术。

OPKH: A Lightweight Online Approach to Protecting Kernel Hooks in Kernel Modules

Kernel hooks are very important con- trol data in OS kernel. Once these data are com- promised by attackers, they can change the control flow of OS kemel＇s execution. Previ- ous solutions suffer from limitations in that： 1） some methods require modifying the source code of OS kernel and kernel modules, which is less practical for wide deployment; 2） other methods cannot well protect the kernel hooks and function return addresses inside kernel mo- dules whose memory locations cannot be pre- determined. To address these problems, we propose OPKH, an on-the-fly hook protection system based on the virtualization technology. Compared with previous solutions, OPKH off- ers the protected OS a fully transparent envi- ronment and an easy deployment. In general, the working procedure of OPKH can be di- vided into two steps. First, we utilise the me- mory virtualization for offiine profiling so that the dynamic hooks can be identified. Second, we exploit the online patching technique to in- strument the hooks for run-time protection. The experiments show that our system can pro- tect the dynamic hooks effectively with mini- mal performance overhead.