User-level services for multitenant isolation
Φόρτωση...
Ημερομηνία
Συγγραφείς
Καππές, Γεώργιος
Τίτλος Εφημερίδας
Περιοδικό ISSN
Τίτλος τόμου
Εκδότης
Πανεπιστήμιο Ιωαννίνων. Πολυτεχνική Σχολή. Τμήμα Μηχανικών Ηλεκτρονικών Υπολογιστών και Πληροφορικής
Περίληψη
Τύπος
Είδος δημοσίευσης σε συνέδριο
Είδος περιοδικού
Είδος εκπαιδευτικού υλικού
Όνομα συνεδρίου
Όνομα περιοδικού
Όνομα βιβλίου
Σειρά βιβλίου
Έκδοση βιβλίου
Συμπληρωματικός/δευτερεύων τίτλος
Περιγραφή
Στα σύγχρονα περιβάλλοντα υπολογιστικού νέφους, η εικονικοποίηση επιτρέπει σε πολλούς μισθωτές μιας υπηρεσίας νέφους να διαμοιράζονται με ευελιξία πολυπύρηνους υπολογιστικούς κόμβους με υψηλή επεξεργαστική ισχύ και χωρητικότητα μνήμης. Οι εικονικές μηχανές επιπέδου λειτουργικού συστήματος, γνωστές ως περιέκτες, είναι μια μορφή εικονικοποίησης που χρησιμοποιείται συνήθως για την εκτέλεση εφαρμογών με υψηλές επεξεργαστικές και αποθηκευτικές απαιτήσεις, επειδή προσφέρουν ευέλικτη εικονικοποίηση με χαμηλή επιβάρυνση. Σε υψηλό επίπεδο, δύο κύριοι λόγοι καθιστούν δύσκολο το διαμοιρασμό κοινόχρηστων υπολογιστικών πόρων από πολλαπλούς μισθωτές μιας υπηρεσίας νέφους. Πρώτον, ο πυρήνας του λειτουργικού συστήματος ενός υπολογιστικού κόμβου που εξυπηρετεί πολλαπλούς περιέκτες, μπορεί να μετατραπεί σε σημείο συμφόρησης και επίθεσης. Δεύτερον, η ασφαλής διαχείριση των τεράστιων πληθυσμών χρηστών που ανήκουν σε διαφορετικούς μισθωτές μιας υπηρεσίας υπολογιστικού νέφους απαιτεί το σχεδιασμό κλιμακώσιμων πολιτικών ελέγχου πρόσβασης στο επίπεδο της υποδομής. Ο στόχος της παρούσας διατριβής είναι να επιτρέψει τον αποτελεσματικό και ασφαλή διαμοιρασμό των συστημάτων υποδομής επεξεργασίας, αποθήκευσης, και δικτύου μιας υπηρεσίας υπολογιστικού νέφους μεταξύ πολλαπλών μισθωτών. Για την επίτευξη αυτού του στόχου μετακινούμε τις υπηρεσίες εισόδου/εξόδου από τον κοινόχρηστο πυρήνα ενός συστήματος υποδομής που εξυπηρετεί περιέκτες ανταγωνιστικών μισθωτών στο επίπεδο χρήστη. Οι συνεισφορές της παρούσας διατριβής αποτελούνται από καινοτόμες μεθόδους για το χειρισμό κλήσεων συστήματος τύπου POSIX στο επίπεδο χρήστη μέσω βιβλιοθήκης, τη μεταφορά δεδομένων και αιτήσεων μεταξύ των παραγωγών και των καταναλωτών μέσω κοινόχρηστης μνήμης με τη σχεδίαση αποδοτικών μεθόδων αντιγραφής μνήμης, καθώς και δομών δεδομένων τύπου ουράς που υποστηρίζουν παραλληλισμό χωρίς κλειδώματα και χαλαρώνουν τις αυστηρές απαιτήσεις διάταξης, τη δημιουργία πολυεπίπεδων υπηρεσιών εισόδου/εξόδου επιπέδου χρήστη, και τέλος τη σχεδίαση ενός πολυμισθωτικού μηχανισμού ελέγχου πρόσβασης στο επίπεδο του συστήματος αρχείων. Με την παρούσα διατριβή καθιστούμε εφικτή την εκτέλεση των εφαρμογών διαφορετικών μισθωτών μιας πλατφόρμας υπολογιστικού νέφους σε κοινόχρηστους υπολογιστικούς κόμβους αποφεύγοντας τη συμφόρηση κατά τη χρήση κοινόχρηστων πόρων. Τα συστήματα που προτείνουμε και υλοποιούμε επιτρέπουν στις υπηρεσίες υπολογιστικής νέφους να προσφέρουν μειωμένο κόστος ενοικίασης, προβλέψιμη απόδοση και καθυστερήσεις στις λειτουργίες Ε/Ε, υψηλότερη ανθεκτικότητα σε σφάλματα και επιθέσεις μεταξύ μισθωτών που μοιράζονται κοινοχρήστους πόρους, αυξημένη απόδοση στους τελικούς χρήστες σε συνθήκες συμφόρησης, βελτιωμένη ενεργειακή απόδοση, ως αποτέλεσμα της καλύτερης χρήσης των πόρων των συστημάτων υποδομής.
In modern cloud environments, virtualization enables multiple tenants to flexibly share the datacenter manycore machines with high processing and memory capacity. Operating-system containers are a lightweight form of virtualization that is commonly used to run the data-intensive applications of different tenants in cloud infrastructures, because they offer flexible virtualization with low overhead. At a high level, two main reasons make this sharing challenging. First, the system kernel of a cloud machine serving software containers can become a performance bottleneck and an attack surface for the colocated tenants. Second, the secure management of the enormous user populations that belong to different tenants in a cloud environment necessitates the design of scalable and tenant-aware access control policies at the infrastructure-level. The focus of this dissertation is to enable multiple tenants to efficiently and securely share the computing, storage, and network infrastructure of the datacenter. To this end, we take the radical approach of moving the data-intensive I/O services at user level from the shared kernel, in order to serve the containers of competing tenants over the same cloud machines. Our contributions consist of innovative methods to handle POSIX-like system calls at user level through a library, the producer-consumer transfer of data and requests over shared memory with efficient memory copy and relaxed lock-free queues, the construction of stacked user-level I/O services, and a multitenant access control mechanism built natively into a distributed filesystem. This dissertation shows that it is possible to allow the data-intensive applications of different tenants to share the same datacenter machines with reduced contention for shared resources. The systems that we propose enable the cloud operation with lower cost, more predictable I/O latency and throughput, increased resilience to attacks from colocated tenants, increased performance for the end users under contention conditions, improved energy efficiency overall as a result of the better resource utilization achieved.
In modern cloud environments, virtualization enables multiple tenants to flexibly share the datacenter manycore machines with high processing and memory capacity. Operating-system containers are a lightweight form of virtualization that is commonly used to run the data-intensive applications of different tenants in cloud infrastructures, because they offer flexible virtualization with low overhead. At a high level, two main reasons make this sharing challenging. First, the system kernel of a cloud machine serving software containers can become a performance bottleneck and an attack surface for the colocated tenants. Second, the secure management of the enormous user populations that belong to different tenants in a cloud environment necessitates the design of scalable and tenant-aware access control policies at the infrastructure-level. The focus of this dissertation is to enable multiple tenants to efficiently and securely share the computing, storage, and network infrastructure of the datacenter. To this end, we take the radical approach of moving the data-intensive I/O services at user level from the shared kernel, in order to serve the containers of competing tenants over the same cloud machines. Our contributions consist of innovative methods to handle POSIX-like system calls at user level through a library, the producer-consumer transfer of data and requests over shared memory with efficient memory copy and relaxed lock-free queues, the construction of stacked user-level I/O services, and a multitenant access control mechanism built natively into a distributed filesystem. This dissertation shows that it is possible to allow the data-intensive applications of different tenants to share the same datacenter machines with reduced contention for shared resources. The systems that we propose enable the cloud operation with lower cost, more predictable I/O latency and throughput, increased resilience to attacks from colocated tenants, increased performance for the end users under contention conditions, improved energy efficiency overall as a result of the better resource utilization achieved.
Περιγραφή
Λέξεις-κλειδιά
Cloud computing, Virtualization, Multitenancy, Containers, Data storage, Distributed filesystems, Concurrent queues, Memory copy, User-level services, Cloud security, Access control, Υπολογιστικό νέφος, Εικονικοποίηση, Περιέκτες λογισμικού, Αποθήκευση δεδομένων, Κατανεμημένα συστήματα αρχείων, Ταυτόχρονες Δομές Δεδομένων, Ουρές, Υπηρεσίες επιπέδου χρήστη, Ασφάλεια υπολογιστικού νέφους, Πολυμισθωτικότητα, Αντιγραφή μνήμης
Θεματική κατηγορία
Cloud computing
Παραπομπή
Σύνδεσμος
Γλώσσα
en
Εκδίδον τμήμα/τομέας
Πανεπιστήμιο Ιωαννίνων. Πολυτεχνική Σχολή. Τμήμα Μηχανικών Ηλεκτρονικών Υπολογιστών και Πληροφορικής
Όνομα επιβλέποντος
Αναστασιάδης, Στέργιος
Εξεταστική επιτροπή
Αναστασιάδης, Στέργιος
Νικολόπουλος, Σταύρος
Τσαπάρας, Παναγιώτης
Δημακόπουλος, Βασίλειος
Δελής, Αλέξιος
Καλογεράκη, Βασιλική
Κοζύρης, Νεκτάριος
Νικολόπουλος, Σταύρος
Τσαπάρας, Παναγιώτης
Δημακόπουλος, Βασίλειος
Δελής, Αλέξιος
Καλογεράκη, Βασιλική
Κοζύρης, Νεκτάριος
Γενική Περιγραφή / Σχόλια
Ίδρυμα και Σχολή/Τμήμα του υποβάλλοντος
Πανεπιστήμιο Ιωαννίνων. Πολυτεχνική Σχολή. Τμήμα Μηχανικών Ηλεκτρονικών Υπολογιστών και Πληροφορικής
Πίνακας περιεχομένων
Χορηγός
Βιβλιογραφική αναφορά
Βιβλιογραφία: σ. 226-261
Ονόματα συντελεστών
Αριθμός σελίδων
263 σ.
Λεπτομέρειες μαθήματος
Συλλογές
item.page.endorsement
item.page.review
item.page.supplemented
item.page.referenced
Άδεια Creative Commons
Άδεια χρήσης της εγγραφής: Attribution-NonCommercial-NoDerivs 3.0 United States