:quality(80)/p7i.vogel.de/wcms/fe/78/fe7853bc53025097113ccc1e522e1b7f/0108745708.jpeg "Switches, Router, Gateways, Server, USVs Racks & Co. – Das Feld der Netzwerk-Infrastruktur ist breit und viele Anbieter buhlen hier bei den IT-Awards um die Gunst der Leser von IP-Insider. (Bild: © lassedesignen - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2f/0b/2f0badc7f79d254978200e2b701404f3/0108746724.jpeg "Ohne den digitalen Arbeitsplatz – auch Digital Workspace genannt – wäre der Corona-bedingte Wechsel ins Homeoffice für viele wohl unmöglich gewesen. Heute geht es ohne Digital Workspace gar nicht mehr. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/d2/bcd2025a15a68d1fb301f78908b63089/0108718897.jpeg "Der anhaltende Trend hin zur Edge- und Cloud-Computing, Hybrid-Work-Szenarios, Homeoffices und das Internet of Things treiben den Bedarf an umfassenden Netzwerk-Monitoring-Lösungen. (Bild: © nimito - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/81/09/8109e93cabadea27e80753ea82d09216/0114074983.jpeg "Microsoft-Systeme dominieren die Netzwerke. Aber es finden sich zunehmend auch Geräte mit macOS, Linux und Unix in Unternehmensnetzen. Auch solche Fremdsysteme können an Active Directory angebunden werden. (Bild: Joos - Apple)")
:quality(80)/p7i.vogel.de/wcms/78/04/7804ac1082f1590953620d451043048a/0114052817.jpeg "Database Availability Groups (DAG) sind ein Kernelement für die Hochverfügbarkeit von Exchange-Servern im lokalen Rechenzentrum. Wir zeigen, wie man Datenbanken umgeht. (Bild: © Kanlaya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/60/43/6043da56782bdfd9be6b6ba240e90543/0113232231.jpeg "Die Powershell ist ein mächtiges Werkzeug in Windows. (Bild: Thomas Joos)")
:quality(80)/p7i.vogel.de/wcms/91/aa/91aa058ec9fc87d63394f2da68ef2dd4/0114110774.jpeg "6G wird mit all seinen Leistungsmerkmalen deutlich über den aktuellen 5G-Standard hinausgehen. Um dafür schon jetzt die Weichen auf Offenheit, Effizienz und Sicherheit zu stellen, arbeitet das 6GEM an umfassenden Test-Szenarios. (Bild: © Dilok - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e8/b5/e8b543b88343e80c6c0059829d97626c/0114061802.jpeg "„Campus-Netz Smart“ biete auf Grundlage von Microsoft Azure eine standardisierte Lösung für private 5G-Netze. (Bild: Deutsche Telekom / GettyImages / Traitov; Montage: Evelyn Ebert Meneses)")
:quality(80)/p7i.vogel.de/wcms/a9/2a/a92a4f1de57a46d19f848402fff48785/0114005747.jpeg "Wird das Bild noch rund? Was hat ein Donut mit Konnektivität zu tun? (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/2f/82/2f828f5b7dd0f3a70118207ba9f86c55/0114017629.jpeg "Daniel Leimbach, Head of Customer Unit Western Europe von Ericsson: „Wir hoffen, dass die Tests in Dresden dazu beitragen, den künftigen 5G-Ausbau zu stärken und dass das Vertrauen in die Technologie weiter wächst.“ (Bild: Ericsson)")
:quality(80)/p7i.vogel.de/wcms/bd/6c/bd6c9611b5e9b2e648e931cb9daae8c7/0114061503.jpeg "Das U-Bahn-Projekt Grand Paris Express wird federführend von der Société du Grand Paris realisiert. (Bild: Société du Grand Paris / Sébastien d’Halloy)")
:quality(80)/p7i.vogel.de/wcms/5a/14/5a14b2c569bdd336f9611e72c8cd3861/0114061768.jpeg "Der Aruba Instant On 1960 ist ein stapelbarer Switch mit einer Portkapazität von 2,5 GB. (Bild: HPE)")
:quality(80)/p7i.vogel.de/wcms/b5/02/b502640f99473c567569a0604f606ed8/0114146630.jpeg "Bundesinnenministerin Nancy Faeser (SPD) möchte unabhängig vom Spionage-Thema auch eine zu große Abhängigkeit von chinesischen 5G-Komponenten verhindern. (Bild: Artinun - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/17/0b/170ba091381c42120c88d4de2a652605/0114061782.jpeg "Fluke Networks bietet ausgewählte Kupfer- und Glasfasertester mit Rabatt, Gold-Support und Kalibrierungsservice an. (Bild: Fluke Networks)")
:quality(80)/p7i.vogel.de/wcms/f8/a3/f8a3dc7ea5c753432fb9d0ebe5d68789/0114073000.jpeg "Wer wann über welches Gerät und von wo aus Zugriff auf Unternehmensressourcen hat, ist heute wichtiger denn je. Diese Steuerung übernehmen in der Regel IAM-Lösungen, die aber meist extrem komplex sind. Einfacher in allen Punkten sind hochintegrierten IAM-Lösungen. (Bild: © blacksalmon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/02/33029cdcb203a459272fc9b9a9bb675d/0114039192.jpeg "APM-Systeme laufen auf Anwendungsebene und sammeln Daten und Metriken, die sie dann mit vordefinierten Richtwerten abgleichen. (Bild: © – lhphotos – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/00/da/00da659829ffb1a7f68bfe1b1f541243/0114039171.jpeg "Matrix42-CFO Marc Breitfeld: „Mit Enterprise Service Management lassen sich Ausgaben besser verwalten, Software wird effizient genutzt und Lizenzbestimmungen können mühelos eingehalten werden.“ (Bild: Matrix42)")
:quality(80)/p7i.vogel.de/wcms/65/ba/65bad184555f299f286830308a516b95/0113988463.jpeg "Positionen bestimmen: Für die exakte Bestimmung von Positionen in vernetzten Gebäuden gibt es verschiedene Möglichkeiten. Etabliert hat sich Visible Light Communication. Wie der Name sagt, wird bei dem Verfahren für Menschen sichtbares Licht verwendet. (Bild: © Tech Hendra – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/15/9b/159b50dbe2821cce5b9d18196e0ffa09/0114057323.jpeg "Erwin Breneis, Sales and Solution Specialist bei Juniper Networks, erläutert, warum sich Network-as-a-Service lohnt. (Bild: Alex Schelbert - Juniper Networks)")
:quality(80)/p7i.vogel.de/wcms/ab/4f/ab4f6d6d1977ccdfe30ae52cf8f975c4/0114002340.jpeg "Becom.one unterstützt den parallelen Einsatz von DSL, Kabel, Glasfaser, LTE, 5G und Starlink. (Bild: Becom)")
:quality(80)/p7i.vogel.de/wcms/77/25/7725113895e0c0e995800ee3e603c08a/0113257803.jpeg "Fazit des Palo Alto Networks IoT Security Benchmark Reports für Unternehmen: Ohne sichere, vernetzte Endgeräte kann Zero Trust nicht erfolgreich umgesetzt werden! (Bild: j-mel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/69/63/69639e2fdae5e80be62b86785dcea352/0113383474.jpeg "Die Experten von CyberRatings.org empfehlen die ZTNA-Lösung von Versa Networks. (Bild: © – abcmedia – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/24/a2/24a2db265aff80feafc976e5f0db95fd/0113367719.jpeg "Für die 1800er-Serie hat Lancom das neue „Blackline“-Gehäuse entwickelt. (Bild: Lancom)")
:quality(80)/p7i.vogel.de/wcms/24/a4/24a4afe677c8595c650c214584a3817e/0114061470.jpeg "Mitels neue 700d-DECT-Handset-Serie umfasst vier Modelle. (Bild: Mitel)")
:quality(80)/p7i.vogel.de/wcms/50/c5/50c5a853408eb76c9685288f136f1b00/0114147274.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/9e/259ea95526af2984c66b1709ad1f7860/0114014778.jpeg "Die EU-Kommission hat Bedenken wegen der Kopplung von Teams an Microsoft 365 – der Tech-Konzern reagiert mit einer Entkopplung der Produkte. (Bild: yavdat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/fa/25fa4bb5e61fd700bda4fddb3bb2da7d/0113939282.jpeg "Handelt es sich beim Unternehmen weder um eine Tierhandlung noch um ein auf Vierbeiner spezialisiertes Fotostudio, haben Katzenbilder nichts in den Speichersystemen verloren. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/af/56/af5630795c1483b0949a3bcea2ec1f63/0114038437.jpeg "Sanjay Macwan, Chief Information Officer und Chief Information Security Officer von Vonage, nennt acht Gründe, die für einen Einsatz von SD-WAN in Unternehmen sprechen. (Bild: Vonage)")
:quality(80)/p7i.vogel.de/wcms/b8/0d/b80d634cf6737163ba0eb4cc02e50050/0113368287.jpeg "Meißen hat das Ziel, sein LoRaWAN auf das ganze Stadtgebiet auszudehnen. (Bild: Basemap.de / BKG 03 2023)")
:quality(80)/p7i.vogel.de/wcms/0f/4c/0f4ccfe5a478a41e5f331bf5722f93e7/0112967090.jpeg "Das Ultra Ethernet Consortium verfolgt das Ziel einer vollständig auf Ethernet basierten Kommunikations-Stack-Architektur für Hochleistungsnetzwerke. (Bild: Ultra Ethernet Consortium)")
Definition: Xen-Hypervisor Xen, XenServer.og und Citrix
Die vier wichtigsten Hypervisoren im Virtualisierungsumfeld sind „VMware ESXi“, „Microsoft Hyper-V“, „Xen“ und „KVM“, wobei das initial im Jahr 2003 erschienene Xen mit Einführung der Paravirtualisierung seinerzeit einen technisch interessanten Weg einschlug, der gegenüber der Vollvirtualisierung mehr Performance versprach und das schwierige Problem der Ring-Priviligierung/Aliasing geschickt umging.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/14/64144695bcf74/logo-high-resolution.png "logo-high-resolution (Southern Tech)"){kind=logo}
Der Hypervisor Xen wurde als Open-Source-Projekt im Oktober 2003 auf dem 19. ACM Symposium on Operating Systems Principles der Öffentlichkeit präsentiert. Doch die Wurzeln von Xen reichen bis in die späten 90er Jahre und an die Universität Cambridge zurück. Hier entstand Xen ursprünglich im Rahmen des Forschungsprojekts „Xenoserver“. Xenoserver hatte zum Ziel, eine „öffentliche Infrastruktur“ für „Distributed Computing via WAN“ zur Verfügung zu stellen, das was man heute unter Cloud Computing versteht. Darum verwundet es auch kaum, dass Xen bei Amazon Web Services (AWS) und Rackspace zum Einsatz kommt.
Xen, Suse und Citrix
Nachdem die Xen-Entwickler mit XenSource ein kommerziell agierendes Unternehmen mit dem Ziel gegründet hatten, Xen als Industriestandard zu etablieren, war Xen viele Jahre ein nahezu konkurrenzloser Vorreiter. Das hatte allerdings zur Folge, dass sich mit beim parallel gepflegten Xen-Community-Projekt während dieser Zeit relativ wenig bewegte.
Insbesondere den Linux Kernel, Qemu und die Entwicklung um Red Red und KVM wurde lange vernachlässigt, so dass inzwischen der KVM-Hypervisor offizieller Bestandteil des Linux-Kernels wurde und nicht das ältere und ebenfalls eigentlich quelloffene Xen. Lediglich Suse pflegte von Beginn an eine Variante seiner Distribution, die auf den Xen-Hypervisor setzte.
Xen-Versionen
Mit der Übernahme von XenSource durch Citrix im Jahr 2007 wuchs die Xen-Community dann wieder, insbesondere seit Citrix sein XenServer-Management-Toolstack „Xap“ mit Xen.org wieder zurück an das Xen-Projekt übertragen hatte. Da der „XenServer“ von Citrix inzwischen ebenfalls frei verfügbar ist, besteht funktional im Grunde kein Unterschied, ob man das Produkt von Citrix oder xenserver.org bezieht.
Während ähnlich wie bei VMware die Produkt-Suite unter der Bezeichnung „XenServer“ firmiert (aktuell ist die Version 7.2) liegt der reine Xen-Hypervisor aktuell in Version 4.8 vor. Die Produkthistorie der 4´er – Version (4.9, 4.8,, 4.7, 4.6, 4.5, 4.4, 4,3, 4.2, 4.1) reicht zurück bis ins Jahr 2010 mit der Version 4.0. Davor gab es die Versionen 3.4, 3.3, 3.2, 3.1 und 3.0 (2005) sowie 2.0 (2004) und 1,0 (2003).
Die Xen-Technik
Technisch betrachtet war/ist der Xen-Hypervisor ein Virtual-Machine-Monitor (VMM), der zwischen Hardware und Betriebssystem eine Abstraktionsschicht stellt und im Gegensatz zur Vollvirtualisierung auf das Prinzip der Paravirtualisierung setzt, so dass ein Gastbetriebssystem, das unter Kontrolle des VMM laufen soll, angepasst werden muss und im Gegensatz zu ESXi über die Existenz des VMM Bescheid weiß. Im Unterschied zur Vollvirtualisierung al lá VMware, die den Einsatz unmodifizierter Gastbetriebssystemen erlaubt, wozu der ESXi-Hypervisor „problematische CPU“-¨ Instruktionen abfängt und emuliert (Trap and Emulator bzw. Binary-Translation), ist die von Xen eingesetzte Paravirtualisierung im Prinzip performanter.
Die IA-32-Architektur von Intel, für die Xen ja ursprünglich explizit entwickelt wurde, ist eigentlich nicht für Vollvirtualisierung ausgelegt, weshalb ESXi ja den beschriebenen Aufwand für Ring-Deprioviligierung und Ring-Aliasing treibt. Denn privilegierte Instruktionen können nur im privilegierten Modus (Ring 0) ausgeführt werden. Werden solche Instruktionen im unprivilegierten Anwendungs-Modus ausgeführt, wird ein Trap ausgelöst der vom Hypervisor abgefangen und „emuliert“ werden muss, etwa Zugriffe auf nur einmal vorhandene Hardware wie Timer, Memory Management Unit oder Interrupts.
Die X86-Architektur kennt 17 „kritische“ Befehle, die vom Hypervisor abgefangen und „emuliert“ werden müssen, da sie nicht virtualisierbar sind Bei einer vollvirtualisierten Prozessorarchitektur müssen allerdings sämtliche sensitiven Instruktionen laut Professor Medel Rosenblum auch privilegierte Instruktionen sein. Jedoch gibt es in der IA-32-Architektur einige sensitive Instruktionen die nicht privilegiert sind und auch als nicht kritische Instruktionen bezüglich der Virtualisierbarkeit bezeichnet werden. Es handelt sich um Instruktionen, die - werden sie in einer unprivilegierten Sicherheitsstufe ausgeführt - fehlschlagen, ohne einen Trap auszulosen und nicht vom VMM abgefangen werden.
Die Paravirtualisierung
Daher nutzt Xen Paravirtualisierung. Hierbei ist die bereitgestellte virtuelle Maschine der physischen Hardware nicht gleich in Bezug auf CPU und Memory, sondern nur „ähnlich“. Hierdurch ergeben sich zwar Performance-Gewinne im Vergleich zur Emulation/Vollvirtualisierung echter Hardware, diese sind aber mit dem Nachteil verbunden, dass ein Gastbetriebssystem bei Xen nicht unmodifiziert eingesetzt werden kann, wobei sich die Modifikation allerdings auf den Kernel des Gastes beschränkt, der Grund, warum Xen ursprünglich nur mit Linux verfügbar war.
Paravirtualisierung al lá Xen weist einige Besonderheiten auf: So ist die Trennung der Sicherheitsstufen zwischen Hypervisor, Gast-Kernel und Anwendung nicht so strikt wie bei VMware. Xen erlaubt nämlich mittels verschiedener Shared-Memory-Konzepte eine gewisse Aufweichung der strikten Trennung in vertikaler Richtung zwischen Hypervisor und Gast-Kernel, allerdings eine unmittelbare Abschottung der einzelnen Gastsysteme in horizontaler Richtung.
Hintergrund: Die IA-32 Architektur stellt bekanntlich vier Sicherheitsstufen (auch als Ringe bezeichnet) 0 bis 3 zur Verfügung, wobei Ring 0 die am höchsten privilegierte Sicherheitsstufe ist und Ring 3 die niedrigste Sicherheitsstufe, auf der Userspace-Anwendungen laufen. Der Kernel wird auf einem nativen IA-32-System stets in Ring 0 ausgeführt. Die Ringe 1 und 2 werden aus Portabilitätsgründen von den meisten Betriebssystemen nicht genutzt. Da aber Xen höher privilegiert sein muss, als die Kernel der Gastsysteme, die der Hypervisor ja voneinander abschotten muss, werden bei Xen die Gast-Kernel auf Ring 1 verschoben. Bei Xen spricht man auch nicht von virtuellen Maschinen oder Gastsystemen/Wirtssystem, sondern von „Domänen“.
Domänen in Xen
Virtuelle Maschinen für Gastsysteme heißen bei Xen also „Domänen“. Der allererste Gast läuft bei Xen stets in der Domäne „0“0 (Dom0), die eine gewisse Sonderstellung gegenüber den anderen Domänen aufweist. Diese heißen bei Xen DomUs (unprivilegierten Domänen). Die Dom0 wird auch als priviligierte Domäne bezeichnet und wird benötigt, weil Xen selbst im Gegensatz zu VMware keine Gerätetreiber oder Benutzerschnittstellen bereitstellt. Daher wird dem Betriebssystem in Dom0 Zugriff auf die dort vorhandenen Treiber und Benutzerschnittstellen von Xen erlaubt.
Somit ist auch die Treiberversorgung im Gegensatz zum monolithischen Kernel von VMware exzellent. In der Regel läuft hier ein Linux System, allerdings setzt Microsoft mit Hyper-V im Grunde die gleiche Technik auf Basis von Windows, was auf eine seit dem Jahr 2006 bestehende Kooperation von Xen und Microsoft zurück geht. Die wichtigste Aufgabe der Dom0 besteht aber im „Multiplexen“ der Gerätezugriffe aus den anderen Domänen und sich selbst. Daher dürfen auch aus Sicherheitsgründen nur so wenig wie möglich andere Dienste in der Dom0 ausgeführt werden.
Die Hardware Virtual Machines, HVMs
Seit 2006 nutzt allerdings auch der Xen-Hypervisor die CPU-gestützte Virtualisierung und läuft daher auch auf AMD64 oder IA-64 (Itanium)-Architekturen. Da sich nun - wie bei VMware aktuell auch - die CPU und die eigentliche Virtualisierung kümmert, laufen auf 64-Bit-Archituren nun auch unmodifizierte Gastsysteme, so dass sich unter Xen auch Windows-Gäste und unter Hyper-V Linux-Gäste einsetzen lassen.
Technisch basiert dies auf HVM (Hardware-Virtual-Machine), die Technik, die auch bei AWS zum Einsatz kommt. Seit die CPU-Hersteller Virtualisierungserweiterungen in ihre IA-32/AMD64-Prozessoren integrieren, kann also auch Xen unmodifizierte Betriebssysteme vollvirtualisiert betreiben. Bei so genannten HVMs läuft der Hypervisor dazu in einem noch hoher privilegierten Ring „-1“ und die Gast-Kernel im Ring 0. Allerdings besitzt ein unmodifiziertes Betriebssystem keine Unterstützung für Xens Split-Device-Treiber, weshalb Xen hier ausgewählte, vom Gast unterstützte Hardware- Komponenten genauso emuliert, wie das VMware tut.
Mit der hardwaregestützten Virtualisierung gleichen sich also die Hypervisoren vom VMware (ESXi) und Xen/Hyper-V technologisch betrachtet einander an. So sind zum Beispiel einige unter Xen einsetzbare Geräte wie eine NE2000-Netzwerkkarte nur auf diese Weise verfügbar, da deren Treiber-Quell-Code etwa aus dem QEMU-Projekt stammt, während VMware beispielsweise den Code zu einer E1000-Emulation mitbringt, für performantere Netzwerkkarten wie der synthetische VMXNET3 aber auf partielle Paravirtualisierung setzt.
Über den Autor
Thomas Drilling ist freier Autor und IT-Berater.
(ID:44784679)
:quality(80)/p7i.vogel.de/wcms/96/73/9673e90021d6cc7fb9eb2aa4b5228c2e/0101996131.jpeg "Die wichtigsten IT-Fachbegriffe verständlich erklärt. (Bild: © aga7ta - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c2/95/c295a30456c260a6d7f100893baa7c28/0111476933.jpeg "Beim Virtualisierungs-Fight zwischen Microsoft Hyper-V und VMware vSphere liegt Microsoft vorn, wenn es um die Virtualisierung in Microsft-Netzwerken geht. (Bild: © charnsitr - stock.adobe.com)")