Paravirtualisierung, Management und Sicherheit: Der Xen-Hypervisor im Überblick

Gegenüber ESXi und Hyper-V kann der Hypervisor Xen nur geringe Marktanteile beanspruchen. Für manche Anwendungsfälle ist er aber wie geschaffen.

Der Open-Source Bare-Metal-Hypervisor Xen wird von Citrix seit jeher als der schnellste, sicherste und kostengünstigste...

Hypervisor angepriesen. Tatsächlich kommt Xen aber gerade einmal auf einen Marktanteil von vier Prozent und liegt damit weit hinter VMware ESXi und Microsoft Hyper-V. Dafür ist die Nutzung von Xen kostenlos möglich und es gibt einige Schwergewichte der IT-Branche, die die Code-Entwicklung weiter vorantreiben. In den vergangenen Jahren ist der Xen-Hypervisor sowohl bei kleinen Start-ups als auch bei Industriegrößen wie Rackspace, Amazon, SoftLayer oder Verizon äußerst beliebt geworden, die damit ihre Public Clouds betreiben.

Xen wurde an der Cambridge University entwickelt und 2003 veröffentlicht. 2007 wurde daraus schließlich das Unternehmen XenSource, das später wiederum von Citrix gekauft wurde, um den eigenen Citrix XenServer ins Leben zu rufen. Statt aber auf die Führung des XenServer-Projekts zu beharren, hat Citrix vielmehr Unternehmen wie Amazon, Google, Yahoo, Oracle oder auch Intel viel Spielraum in der Weiterentwicklung gelassen, die entsprechend viel Code zu XenServer beigesteuert haben. Firmen wie Google, Peugeot oder Yahoo nutzen Xen daher auch für ihre eigenen virtuellen Umgebungen und bei Amazon basiert sogar eines der erfolgreichsten Cloud-Produkte auf Xen: die 2006 eingeführt Elastic Compute Cloud (EC2).

Mit weniger als 150.000 Code-Zeilen kommt Xen auf eine wesentlich kleinere Code-Basis als andere Hypervisoren und ist recht einfach bereitzustellen und zu konfigurieren. Viele Kritiker bemängeln aber immer wieder das Fehlen einer grafischen Benutzeroberfläche. Xen ist aber auch nur als Basis-Hypervisor gedacht und kommt mit einigen APIs und ohne Admin-Konsole aus – aus diesem Blickwinkel ist auch das Weglassen einer grafischen Benutzeroberfläche nur logisch.

Um Xen zu starten, muss bei freier Auswahl des Betriebssystems mindestens eine virtuelle Maschine installiert sein,  auch Domain-0 genannt. Xen unterstützt verschiedenste Betriebssysteme, von Debian über Ubuntu und NetBSD sowie FreeBSD bis hin zu Solaris und auch Windows. Sobald auf dem Xen-Hypervisor ein Betriebssystem installiert wurde, können über die eingebaute Kommandozeile oder über Drittanbieter-Tools weitere virtuelle Maschinen erstellt werden, die dann als Domain-U bezeichnet werden. Hier können wiederum weitere Spielarten von Linux oder Solaris, Windows oder auch Cloud-Frameworks wie OpenStack und CloudStack zum Einsatz kommen.

Paravirtualisierung kontra Hardware Virtual Machine (HVM)

Xen bietet keinerlei Netzwerk- oder Storagefunktionen. Stattdessen arbeitet Xen entweder im Paravirtualisierungsmodus (PV) oder nutzt direkt die Intel- oder AMD-CPU (Intel VT beziehungsweise AMD-V) zur Erstellung einer Hardware Virtual Machine (HVM).

Bei der Paravirtualisierung läuft ein modifiziertes Gast-Betriebssystem innerhalb einer virtuellen Umgebung und kann direkt mit dem Host-Betriebssystem kommunizieren. Der PV-Modus unterscheidet sich daher grundlegend von Virtualisierungs-Technologien wie VMware ESXi oder Microsoft Hyper-V, weil in diesen Fällen die Gast-Betriebssysteme nicht direkt mit der Host-Hardware kommunizieren können.

Da Microsoft keine extra für Xen angepasste Windows-Version anbietet, läuft Windows auf Xen nur im HVM-Modus. Um trotzdem die Vorteile der Paravirtualisierung nutzen zu können, wurden von Citrix und anderen Open-Source-Projekten Storage-, Bus- und Netzwerktreiber für die Paravirtualisierung von Windows entwickelt. Linux-Betriebssysteme dagegen unterstützen die Paravirtualisierung von Haus aus. Oracles Hypervisor, Oracle VM Server, basiert ebenfalls auf Xen und bietet die Unterstützung von Paravirtualisierung für Oracle Solaris, das als HVM bereitgestellt wird.

Sicherheit des Xen-Hypervisors

Die Sicherheit ist ein Kernelement von Xen. Die Entwicker von Xen betonen oft, dass durch den kleinen Kernel auch die Angriffsfläche minimiert wird. Die Xen Security Modules (XSM) enthalten auch Code, der zum Beispiel von der NSA beigesteuert wurde.

Das von der NSA entwickelte Flux Advanced Security Kernel Project ähnelt Security Enhanced Linux (SELinux), weil auch hier Regeln den Zugriff virtueller Maschinen auf Speicher und Geräte anderer VMs verhindern sollen und zusätzliche Auditing-Tools und Richtlinien zur Verfügung stehen. Wer sogar noch weiter gehen will, dem bietet Invisible Things Lab eine eigens angepasste Xen-Variante, die dediziert auf Sicherheitsmaßnahmen zugeschnitten ist und sich QubeOS nennt.

Die Management-Schicht von Xen

Einer der großen Kritikpunkte an Xen liegt am Fehlen einer umfassenden Management-Schicht. Da es weder ein nativ integriertes noch ein dominantes Drittanbieter-Tool gibt, wissen vor allem neue Xen-Nutzer oft nicht, welche Management-Lösung sie verwenden sollen. So verlinkt Xen auf der Projekt-Homepage beispielsweise auf Red Hats Virt-Manager, der aber seit längerem nicht mehr aktualisiert wurde und somit mit allen Produkten nach Windows Server 2008 und Windows 7 so seine Probleme hat. Das wiederum liegt ganz einfach daran, dass Red Hat mit KVM bevorzugt seinen eigenen Hypervisor pflegt.

Der überwiegende Teil der Management-Tools für Xen wurde von Drittanbietern entwickelt, beispielsweise die Xen-Tools oder Virt-Builder und eben Virt-Manager. Das einzige native Management-Werkzeug von Xen ist die XL-Kommandozeile. Diese Tools richten sich aber alle vielmehr an Debian als an Windows, wie alleine schon die vorgefertigten Debian-Images auf der Ressourcenseite des Xen-Projektes zeigen.

Was bedeutet all das nun für den Xen-Hypervisor? Es gibt einige gute Gründe dafür, warum große Konzerne wie Amazon, IBM oder Rackspace Xen gegenüber anderen Hypervisoren bevorzugen, und das liegt nicht nur am Kostenvorteil gegenüber vSphere oder Hyper-V.

Das Konzept der Paravirtualisierung kann in bestimmten Szenarien durchaus überzeugen, weil die virtuelle Maschine so direkt auf die Hardware zugreifen kann und die Performance ohne Sicherheitseinbußen erhöht wird. Das Xen-Projekt ist sich auch der anhaltenden Kritik über die fehlenden nativen Management-Tools bewusst und hat hier in den vergangenen Jahren durchaus nachgebessert. Bei all diesen Vorteilen ist es schwer, gegen die Effizienz von Xen zu argumentieren. Von der kostenlosen Open-Source-Alternative Xen könnten also viele Unternehmen profitieren.

Folgen Sie SearchDataCenter.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Januar 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Cloud Computing und Virtualisierung

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

Close