著者
大橋 宏樹 新城 靖 齊藤 剛
雑誌
コンピュータシステム・シンポジウム論文集
巻号頁・発行日
vol.2011, pp.95-104, 2011-11-23

この論文は,ソケットアウトソーシングという手法を用いて仮想計算機モニタ内で IPv4/IPv6 変換を行う方法を提案している.ソケットアウトソーシングは,ゲスト OS のソケット層の処理をホスト OS に移譲することでネットワーク入出力を高速化する.この論文では,ソケットアウトソーシングを高速化ではなく機能拡張に用いることで,IPv4/IPv6 変換を実現している.この時,IPv4 クライアントを動作させるために,ホスト OS 上で動作し,仮想計算機モニタと協調して動作する DNS プロクシを用いている.提案方式は,ホスト OS とゲスト OS ともに Linux で動作している.10G bps のネットワークにおける実験では,提案方式が実機上での IPv6 による通信とほぼ同等のスループットが得られた.
著者
瀧口 和樹 光来 健一
雑誌
コンピュータシステム・シンポジウム論文集
巻号頁・発行日
vol.2022, pp.11-21, 2022-11-28

パブリッククラウドの仮想マシン(VM)上で重要なデータを扱うと,クラウドの内部犯などから VM 内の機密情報を盗まれる可能性がある.このリスクを低減するために,AMD プロセッサでは SEV と呼ばれる VM のメモリを透過的に暗号化するセキュリティ機構が提供されている.一方,クラウドにおいて VM の中でVMを動作させるネストした仮想化を用いた様々なシステムが提案されているが,ネストした仮想化を用いるシステムには SEV を適用することができない.本稿では,ネストした仮想化に SEV を組み合わせることを可能にする Nested SEV を提案する.SEV の適用方法によって 4 種類のシステム構成が考えられるため,Nested SEV は透過的 SEV,SEV パススルー,SEV 仮想化の 3 つの方式を提供する.透過的 SEV は外側の VM に適用されている SEV の機能を用いて内側の VM のすべてのメモリを暗号化する.SEV パススルーは内側の VM に外側の VM の SEV をそのまま適用する.SEV 仮想化は内側の VM に専用の仮想 SEV を適用する.これらを Xen,KVM,BitVisor に実装し,I/O 性能を調べる実験を行った.
著者
鈴木 進太郎 中田 裕貴 松原 克弥
雑誌
コンピュータシステム・シンポジウム論文集
巻号頁・発行日
vol.2022, pp.22-29, 2022-11-28

クラウドサービスにおけるアプリケーション実行環境として広く活用されているコンテナ型仮想化は,不特定多数のユーザが単一のホスト内に同居するため,コンテナ間の隔離を強固にする必要がある.しかし,追加の隔離環境は,堅牢なコンテナ間隔離を実現する代わりに,コンテナの高速な起動という特性やアプリケーション性能が損なわれる.このトレードオフを解消するために,我々は異種 OS 機能連携によって OS カーネルの脆弱性を悪用した攻撃を回避し,異種 OS 固有のセキュリティ機能を利用できるセキュアコンテナの実現を目指している.本稿では,FreeBSD の OS 機能を活用した Linux コンテナ互換実行と FreeBSD 固有のセキュリティ機能の適用について検討し,異種 OS 機能連携による特定 OS カーネルを対象にした攻撃回避の実現可能性について議論する.
著者
楠 恒輝 加藤 純 佐藤 充
雑誌
コンピュータシステム・シンポジウム論文集
巻号頁・発行日
vol.2022, pp.56-62, 2022-11-28

近年,大規模計算の需要の高まりとともに,HPC(High Performance Computing)とクラウドが融合した HPC クラウドが注目されている.HPC クラウドでは,通常のクラウドのインフラとは別に HPC クラウド専用のインフラを構築・運用しているのが現状であり,通常のクラウドのインフラで HPC アプリケーションを実行できれば,インフラのTCO(Total Cost of Ownership)を最適化できる.本稿では,インフラの共有化を目指して,HPC に特有である OS がアプリケーションの性能低下を引き起こす OS ノイズの影響を定量評価する.OS ノイズのうち,クラウド環境に特有である仮想化と HPC アプリケーションで頻繁に使用され他テナントに影響を与えやすい通信処理・ファイル I/O による Write back 処理の 3 点に着目して評価する.HPC クラウドでよく使われるアプリケーションを用いた評価で,Kubernetes 環境の仮想化により 1% 未満,他テナントの Write back 処理,通信処理によりそれぞれ最大 7%,22% 性能が低下することを示した.これにより,HPC クラウドの基盤として Kubernetes が利用可能であることと,通信処理と Write back 処理による OS ノイズが我々の目指すインフラ共有化の課題であることを示した.
著者
矢儀 真也 中村 雄一 山内 利宏
雑誌
コンピュータシステム・シンポジウム論文集
巻号頁・発行日
vol.2011, pp.84-94, 2011-11-23

SELinux のセキュリティポリシは設定が難しいため,汎用的なポリシを利用することが多い.しかし,汎用的なポリシは,個々のシステムに必要のない権限を許可している可能性がある.また,ポリシが占有するメモリ使用量が多く,組み込み機器には適していない.これらの問題への対処として,不要なポリシを自動で検出し,削減する手法を提案する.提案手法は,SELinux が出力するログを利用して不要なポリシを検出する.また,システム管理者にポリシの修正を提案し,システムのセキュリティを向上させ,ポリシのメモリ使用量を削減できる.本論文では,SELinux のポリシの問題点と対処方法を示し,設計と評価について報告する.
著者
小沢 健史 鬼塚 真 福本 佳史 盛合 敏
雑誌
コンピュータシステム・シンポジウム論文集
巻号頁・発行日
vol.2012, pp.60-69, 2012-11-29

本稿では, MapReduce で行う処理のうち,部分集約が可能な処理を高速化する手法を示す.部分集約が可能な処理とは,集約時に結合法則と交換法則が成立する処理のことを指す.部分集約ができる処理に対して,既存研究では特有の処理系を新たに作成することにより高速化を行っていた.しかし,これらの手法は MapReduce の仕組みを大幅に変更する必要があることから, Hadoop に組み込むのは困難であった.そこで本研究では, Hadoop への実装コストが低く抑え,高速化をおこなう Map Multi-Reduce の提案を行う. Map Multi-Reduce は, MapReduce に Record Reduce と Local Reduce の 2 つの機能を追加した, MapReduce の拡張版である.提案手法の実装を行うにあたり行った Hadoop への変更量は, Record Reduce で約 200 行, LocalReduce で約 300 行と小さい.このように少ない変更量にも関わらず,ディスク IO とネットワーク IO が削減され,実験により 2TB WordCount を行う際に,処理速度が 1.7 倍になることを確認した.また, 100GB のデータに対して WordCount を行った際に,最大で Map 処理と Reduce 処理間のデータの受け渡しを 50% に削減できることを確認し,より大きな入力データに対して,データの受け渡しコストをより削減できる可能性があることを示す.