Jail no FreeBSD: Os milagres e os desafios da Virtualização

Do que se trata este artigo:

Aborda como construir uma solu��o segura que eleve a prote��o de um projeto que tem como meta publicar um servidor para acessos de qualquer usu�rio na Internet. Para isso, ser� utilizado o Jail, que � um recurso de cria��o de m�ltiplos ambientes virtuais nativo do FreeBSD, como base de um processo de virtualiza��o.

Para que serve:

Auxilia de forma te�rica e pr�tica como compor uma solu��o de Jail usando o sistema operacional FreeBSD como uma op��o de hardening. Hardening � um processo de mapeamento das amea�as, mitigando os riscos e executando atividades de corre��o. Possui foco na infraestrutura e o objetivo principal � prepar�-la para enfrentar tentativas de ataque.

Em que situa��o o tema � �til:

Quando se tem um servidor e deseja-se aproveit�-lo seguindo o conceito de virtualiza��o de sistemas operacionais FreeBSD, usando somente recursos open source nativos do sistema operacional.

O FreeBSD � um sistema operacional nascido em dezembro de 1993, derivado do antigo BSD386. Com o evoluir de cada vers�o, diversas funcionalidades foram somadas, dentre elas pode-se citar:

� FreeBSD � um sistema operacional livre, do tipo Unix-Like e descendente do BSD, que por sua vez � outro sistema operacional UNIX, desenvolvido pela Universidade de Berkeley;

� Imensa quantidade de aplica��es portadas de outros sistemas operacionais como Linux, NetBSD, OpenBSD, dentre outros (s�o mais de 26.000);

� Sistema de arquivos extremamente poderoso derivado do UFS (Unix File System) com Soft Updates (UFS2). O Soft Updates foi introduzido no FreeBSD por Marshall Kirk McKusick e possui diversas qualidades, dentre elas uma poderosa verifica��o de integridade do sistema de arquivos, sendo uma �tima alternativa ao sistema de arquivos journaling (veja a Nota DevMan 1). Al�m disto, em conjunto com os recursos contidos no UFS2, tem-se um bom tratamento de grandes volumes de dados e I/O de disco;

� Cuidado extremo com a compatibilidade dos fabricantes de hardware mais conhecidos, aprimorando os drivers para uma melhor comunica��o com os hardwares espec�ficamente desenvolvidos para servidores. Isso fornece uma seguran�a para quem usa o FreeBSD e aprimora a HAC (Hardware Access List/Lista de Hardwares Acess�veis);

� Apresenta seguran�a robusta com o filtro de pacotes PF (Packet Filter), originado do OpenBSD, um sistema operacional espec�fico para a tarefa de Firewall;

� Possibilita o uso de QoS (Quality of Service), CARP (Common Address Redundancy Protocol), VLAN (Virtual Local Area Network) e link aggregation j� integrados ao kernel do sistema operacional;

� Faz de forma simples o balanceamento de gateways com recursos incorporados ao kernel;

� Avaliando a licen�a BSD, observa-se flexibilidade para a composi��o de solu��es comerciais. Um exemplo � o sistema operacional para firewall IPSO, desenvolvido pela Nokia para os equipamentos Check Point, baseando-se totalmente no FreeBSD. Esse, sem d�vida, � um exemplo comercial de sucesso usando FreeBSD.

Nota DevMan 1. Journaling

De acordo com a Wikip�dia, um sistema de arquivos com journaling possibilita ao Sistema Operacional manter um log (journal) de todas as mudan�as no sistema de arquivos antes de escrever os dados no disco. A partir disso, caso ocorra algum erro durante tais mudan�as, � poss�vel restaurar a consist�ncia do sistema de arquivos sem a necessidade de verificar cada arquivo.

Observando estas funcionalidades � simples entender os motivos que fazem com que diversas empresas fa�am uso do FreeBSD, dentre elas: Yahoo!, Apache, Pair Networks, Blue Mountain Arts, Google, Fotolog, Orkut, MySpace, YouTube, Second Life e muitas outras. Analisando este cen�rio no Brasil, a ado��o do FreeBSD vem crescendo com o tempo, sendo usado em diversas entidades governamentais, universidades e empresas.

S�o diversos exemplos de sucesso que fazem uso do FreeBSD, e este artigo aborda uma dessas possibilidades com Jail, uma metodologia poderosa, muito usada no passado e que ainda faz sucesso dentre muitos gerentes de rede.

O que � Jail e quais seus benef�cios?

Primeiro precisa-se saber que Jail � um conceito antigo, usado por todos os ambientes Unix, e Unix-Like (que nada mais s�o do que sistemas operacionais parecidos com o Unix), como uma alternativa segura de publicar uma aplica��o para acesso externo, isolando-a do resto do sistema operacional. Entretanto, Jail no FreeBSD representa uma evolu��o desse conceito, isolando n�o s� uma aplica��o, mas um sistema operacional por completo, com pilhas TCP/IP individuais, �reas de mem�ria e acessos a disco, representando uma op��o para a virtualiza��o de sistemas operacionais FreeBSD.

Este texto revela como compor um ambiente em Jail no FreeBSD usando exemplos pr�ticos, e tamb�m analisa seu uso aplicado � computa��o em nuvem e outras op��es para a virtualiza��o de sistemas operacionais.

� comum confundir Jail com outra metodologia muito presente no passado do universo UNIX e ainda usada at� hoje, conhecida como Chroot. Deve-se ter em mente que Chroot (Figura 1) e Jail (Figura 2) s�o metodologias diferentes, com aplicabilidades bem espec�ficas. Nota-se que o Chroot cria um novo diret�rio raiz (diret�rio virtual) e limita a aplica��o a este diret�rio. Todas as bibliotecas, �reas de disco e demais acessos devem estar dentro deste novo diret�rio raiz. Esse m�todo ainda � usado por aplica��es tradicionais como o BIND (Berkeley Internet Name Domain) para a resolu��o de DNS de forma mais segura, pois eleva e muito o n�vel de seguran�a, isolando o raio de a��o no momento de um ataque.

Figura 1. Funcionamento do Chroot (diret�rios, arquivos e bibliotecas).

Figura 2. Funcionamento do Jail (maior controle das �reas do sistema operacional).

Comparando o Jail com o Chroot, observa-se que o segundo n�o separa a pilha TCP/IP ou controla os acessos de forma t�o r�gida como o Jail. Quando se usa Jail, o kernel do sistema operacional individualiza as �reas de rede, mem�ria, processos, usu�rios e arquivos. Al�m disso, existem vari�veis de kernel espec�ficas para controlar as atividades de um ambiente Jail. Cada Jail pode interagir com outros ambientes da mesma forma que um ambiente computacional tradicional, diferenciando-se pela maior seguran�a a ele aplicada. O Jail cria um verdadeiro container, o que abre um leque de possibilidades para um ambiente de produ��o, homologa��o ou desenvolvimento mais seguro usando como se fosse um clone do sistema operacional principal aplicado a outra atividade, com um novo endere�o IP, pilha TCP/IP e �rea de mem�ria.

Do ponto de visa da seguran�a, tanto o Chroot quanto o Jail criam �reas de maior isolamento e elaboram a prote��o da aplica��o separando o diret�rio visto pela aplica��o do sistema operacional, criando o que pode ser visto como uma virtualiza��o de diret�rios. Se o ambiente for atacado com sucesso, o atacante ver� uma �rea isolada, ficando com sua a��o limitada. Todas as informa��es publicadas dentro desta �rea estar�o isoladas do ambiente principal, sendo muitas destas informa��es irrelevantes para o funcionamento do Jail como os arquivos de senhas, por exemplo. Assim, visando elevar a prote��o do ambiente principal, recomenda-se depositar informa��es n�o verdadeiras para confundir o atacante. Como os backups s�o baseados em �reas de diret�rios, basta retornar uma c�pia de um per�odo antes do ataque para ter o ambiente funcional novamente e estudar os motivos que deixaram o sistema vulner�vel.

A primeira vers�o de Jail foi introduzida no FreeBSD 5.1. Depois desta data diversas modifica��es foram realizadas e hoje se pode contar com funcionalidades como IPv6, m�ltiplos endere�os IP e com ambientes contendo bin�rios de 32bits em um sistema operacional host de 64bits. Nas se��es seguintes ser� visto como � simples configurar e gerenciar um ambiente em Jail com o uso do FreeBSD.

Desvendando um ambiente em Jail no FreeBSD

Quando se trabalha com Jail no FreeBSD, faz-se uso de ferramentas inclusas no sistema operacional e de um kernel preparado para este tipo de opera��o, dispondo sempre de um manuseio muito simplificado. Pode-se dizer que em toda a opera��o observam-se quatro ferramentas (tr�s aplicativos e um script): jexec, jls, jail e do script /etc/rc.d/jail. O primeiro entra na console do ambiente Jail, o segundo lista os ambientes existentes, o terceiro cria o Jail e o �ltimo prepara os ambientes Jail de forma automatizada ap�s o boot do sistema host.

Quando um ambiente em Jail � criado, pode-se faz�-lo da forma simples (automatizada) ou da forma mais trabalhosa (manual). Se for desejada a constru��o de um ambiente da forma manual, todas as bibliotecas e diret�rios necess�rios para o funcionamento da aplica��o dever�o ser instalados manualmente. Para isto, cada comportamento da aplica��o (necessidade de bibliotecas, diret�rios para dep�sito de arquivos de logs, diret�rios para a leitura de arquivos de configura��o, etc.) tem que ser mapeado. A esse mapeamento define-se como depend�ncia. A verifica��o de bibliotecas necess�rias pode ser simplificada com o comando ldd. Um exemplo cl�ssico para se entender esse mapeamento pode ser visto com o arquivo bin�rio do jogo Doom (Listagem 1).

Listagem 1. Verificando depend�ncia de bibliotecas.


  # ldd linuxxdoom
  libXt.so.3 (DLL Jump 3.1) => /usr/X11/lib/libXt.so.3.1.0
  libX11.so.3 (DLL Jump 3.1) => /usr/X11/lib/libX11.so.3.1.0
  libc.so.4 (DLL Jump 4.5pl26) => /lib/libc.so.4.6.29
  #

Observa-se que os diret�rios /usr/X11/lib e /lib devem existir no ambiente em Jail e estas bibliotecas (libXt.so.3.1.0, libX11.so.3.1.0 e libc.so.4.6.29) devem ser copiadas neles exatamente no mesmo diret�rio. Sem d�vida que esse � um ponto extremamente trabalhoso para um processo manual, pois se pode encontrar uma aplica��o que possui muitas depend�ncias. Assim, o melhor caminho para criar o ambiente Jail � fazer a instala��o do novo ambiente com o CD/DVD e, se necess�rio for, pode-se remover o que n�o � preciso (diret�rios, arquivos, dispositivos de acesso, bibliotecas). Observa-se agora a Listagem 2, que inicia o processo de cria��o do Jail com a defini��o do diret�rio onde residir� toda a estrutura do mesmo.

Listagem 2. Criando diret�rio para o Jail.


  # mkdir �p /usr/jail/Jail_Exemplo1

O par�metro �p faz com que toda a �rvore de diret�rio seja criada caso n�o exista. Foi usado o diret�rio �/usr� porque, por padr�o, esse � o diret�rio que tem mais espa�o livre, mas qualquer diret�rio pode servir como base de um Jail.

Para que o Jail funcione, precisa-se de mais um endere�o IP (IP alias) na interface prim�ria do FreeBSD, e isso pode ser feito via linha de comando ou de forma definitiva modificando o arquivo de inicializa��o. Assim, � necess�rio modificar o arquivo /etc/rc.conf colocando os IP alias necess�rios, conforme a Listagem 3.

Listagem 3. Criando o IP alias.


  ifconfig_rl0_alias0=�inet 10.10.10.120 netmask 255.255.255.0�

Definidas as informa��es do alias, pode-se ativ�-lo e reconfigurar o ambiente que fornecer� os acessos � rede local ou � Internet ao Jail (Listagem 4).

Listagem 4. Aplicando a nova configura��o de rede.


  # sh /etc/netstart
  Devd already running? (pid=3001)
  rl0: flags=10289(UP,BROADCAST,RUNNING, SIMPLEX, MULTICAST, NEEDSGIANT> mtu 1500
       inet6 fe80::20c:29aa:feda:8449%rl0 prefixlen 64 scopeid 0x1
       inet 10.10.10.120 netmask 0xffffff00 broadcast 10.10.10.255 ether 00:0c:29:ab:84:49
  add net default: gateway 10.10.10.1
  Additional routing options:.
  #

Assim, a interface f�sica Realtek (rl0), previamente configurada com o endere�o IP 10.10.10.120 e m�scara 255.255.255.0 (24 bits), receber� mais um endere�o para trabalho (10.10.10.120). Importante deixar claro que um alias pode ou n�o estar na mesma subnet do endere�o prim�rio.

Tendo os requisitos de diret�rio e endere�o IP necess�rios para a opera��o do Jail, basta seguir com a instala��o do sistema operacional. Aqui ser� utilizado um DVD da vers�o 8.0 (Listagem 5).

Listagem 5. Instalando o sistema operacional no Jail.


  # mkdir /mnt/dvdrom
  # mount �t cd9660 /dev/acd0 /mnt/dvdrom
  # cd /mnt/dvdrom/8.0-RELEASE/base
  # cat base.?? | tar --unlink -xpzf - -C /usr/jail/Jail_Exemplo1

Tomando como base o aspecto seguran�a, � indicado fazer uso de pacotes previamente compilados (packages) ou compilar a aplica��o e depois remover os diret�rios produtos desta compila��o (Listagem 6).

Listagem 6. Customizando a estrutura de file system do Jail.


  # mount_nullfs /usr/ports /usr/jail/Jail_Exemplo1
  # mount_nullfs /usr/src /usr/jail/Jail_Exemplo1

Podem-se depositar no diret�rio do Jail todos os devices (dispositivos de acesso como a unidade de DVD ou parti��o do disco r�gido) necess�rios ao seu funcionamento. Isto pode ser feito de forma simples com o uso do comando cp, de acordo com a Listagem 7.

Listagem 7. Criando a estrutura de dispositivos.


  # cp -R /dev/null /usr/jail/Jail_Exemplo1/dev
  # chmod 666 /usr/jail/Jail_Exemplo1/dev/null
  # cp -R /usr/jail/Jail_Exemplo1_web/dev
  # chmod 666 /usr/jail/Jail_Exemplo1/dev/zero

Nunca devem ser usados devices que controlem o acesso ao disco ou o acesso direto aos inodes (veja a Nota DevMan 2), pois existem m�todos de invas�o espec�ficos que possibilitam o acesso ao sistema host via inode. Desta forma, deve-se deixar somente o necess�rio, removendo compiladores, �rea para compila��o de fontes e comandos n�o usados como tftp, ftp e telnet. Isto � v�lido n�o s� para o ambiente em Jail, mas para servidores tradicionais.

Nota DevMan 2. Inode

Inode � uma estrutura de dado fisicamente posicionada no disco r�gido para guardar arquivos, diret�rios ou qualquer outro objeto do sistema operacional.

Existem casos em que a aplica��o existente no ambiente Jail requisita para o seu funcionamento o diret�rio /dev exatamente como o ambiente host. Nestes casos, � indicado fazer o que exibe a Listagem 8.

Listagem 8. Montando o diret�rio /dev do host.


  # mount -t devfs devfs /jail/Jail_Exemplo1_web/dev

O pr�ximo passo � criar manualmente o Jail (Listagem 9). Essa tarefa pode ser automatizada com o boot (iniciar) do sistema operacional host, e isto ser� visto em detalhes neste artigo.

Listagem 9. Criando o Jail.


  # jail /usr/jail/Jail_Exemplo1 servidor01.dominio.com.br 10.10.10.120 /bin/csh

Na Listagem 9 pode-se ver que a aplica��o Jail � usada com diversos par�metros, onde o primeiro indica o caminho (Path) que cont�m a estrutura de diret�rios, bibliotecas e programas necess�rios ao sistema operacional dentro do Jail. O segundo par�metro � o FQDN (Fully Qualified Domain Name) do servidor, seguido de seu endere�o IP (alias da interface, definido anteriormente) e o ambiente shell para gerenciamento em linha de comando.

Como boa pr�tica, � indicada a cria��o dos arquivos /etc/fstab (arquivo vazio) e /etc/resolv.conf dentro do ambiente Jail. Isso � necess�rio para um melhor funcionamento de aplica��es que podem ser necess�rias dentro do Jail.

At� o momento foi apresentado como criar manualmente um ambiente em Jail, mas pode-se automatizar este processo fazendo uso do script /etc/rc.d/jail. Para isso, � necess�rio inserir todas as informa��es necess�rias no arquivo /etc/rc.conf (Listagem 10).

Listagem 10. Automatiza��o do Jail no processo de boot.


  # Deseja ativar o uso de Jails?
  jail_enable="YES"
  #
  # Qual o nome do jail que ser� criado?
  jail_list="servidor01"
  #
  # Decida se o jail trabalha somente com o protocolo TCP/IP
  jail_socket_unixiproute_only="YES"
  #
  # O usu�rio root no jail pode mudar o nome do ambiente?
  jail_set_hostname_allow="NO"
  #
  # Vai montar o devfs no ambiente Jail?
  jail_servidor01_devfs_enable="YES"
  #
  # Vai montar o fdescfs no ambiente Jail?
  jail_servidor01_fdescfs_enable="NO"
  #
  # Decida se vai permitir o uso de SystemV IPC
  jail_sysvipc_allow="NO"
  #
  # Ser� montado o procfs no ambiente Jail?
  jail_servidor01_procfs_enable="YES"
  #
  # Qual ser� o hostname no ambiente Jail?
  jail_servidor01_hostname="servidor01.dominio.com.br"
  #
  # Qual ser� o diret�rio root do Jail?
  jail_servidor01_rootdir="/usr/jail/Jail_Exemplo1"
  #
  # Qual ser� o endere�o IP?
  jail_servidor01_ip="10.10.10.120"
  #
  # Podemos executar um script quando iniciar o ambiente Jail
  jail_servidor01_exec_start="/bin/sh /etc/rc"
  #
  # Podemos definir o comando para executar quando parar o ambiente Jail
  jail_servidor01_exec_stop="/bin/sh /etc/rc.shutdown"
  #
  # Permitir� montar e desmontar sistema de arquivos?
  jail_servidor01_mount_enable="NO"

Com estas informa��es pode-se colocar o ambiente do Jail em funcionamento usando o script:


  # /etc/rc.d/jail start

Para deixar este ambiente inoperante, basta fazer:


  # /etc/rc.d/jail stop

As vari�veis do kernel que gerenciam a seguran�a de um ambiente Jail podem ser verificadas com o comando sysctl:


  # sysctl �a | grep jail

Na Listagem 11 � poss�vel verificar como exibir os ambientes Jail que est�o em funcionamento no host, atrav�s do comando jls.

Listagem 11. Exibindo os ambientes Jails em opera��o.


  # jls
  JID IP Address Hostname Path
  1 10.10.10.120 servidor01.dominio.com.br /usr/jail/Jail_Exemplo1

Observa-se que este Jail tem a identifica��o (ID) 1 e as demais informa��es de IP, FQDN (Fully Qualified Domain Name) e diret�rio Path tamb�m s�o exibidas. Deste modo, pode-se entrar na console administrativa do Jail executando um ambiente shell desejado (csh), como exibido linha seguinte:


  # jexec 1 csh

Dentro do ambiente Jail, podem-se fazer diversas atividades; dentre elas, parar suas opera��es sem fazer uso do script /etc/rc.d/jail, bastando usar o comando kill:


  # jexec 1 csh
  # kill �KILL 1

Como o Jail isola o novo sistema operacional em uma �rea completamente diferente, pode-se, com isso, instalar aplicativos diretamente da console do ambiente Jail. Como exemplo, pode-se verificar a instala��o do MySQL via packages previamente depositados no Jail (Listagem 12).

Listagem 12. Instala��o do MySQL no Jail.


  # jexec 1 csh
  # pkg_add msql41-server
  # pkg_add mysql41-client

Usando Jail na Nuvem

O termo computa��o em nuvem, ou cloud computing, n�o � um tema novo, mas ainda agita muito as rodas de discuss�o tecnol�gicas. Fazendo uma an�lise macro, pode-se notar que ele nada mais � do que a forma mais completa de virtualiza��o de um ambiente.

Observa-se que o desenho da nuvem � composto por um ou mais pools de servidores f�sicos equipados adequadamente com software de virtualiza��o, compartilhando recursos como storage, switches, energia e meio f�sico no Data Center, fazendo uso de controle e gerenciamento centralizado.

Al�m disso, quando se imagina os sistemas operacionais sendo virtualizados neste ambiente, v�-se a possibilidade de poder us�-lo em qualquer um desses servidores f�sicos, melhorando o SLA (Service Level Agreement - Acordo de N�vel de Servi�o) do servi�o entregue, como escalabilidade, versatilidade em duplica��o de ambientes, failover, seguran�a, efici�ncia em uso de recursos de processador e mem�ria, e com um melhor aproveitamento energ�tico. Se isto tudo n�o for suficiente, ainda pode-se dizer que a virtualiza��o, esteja ela compondo um ambiente em nuvem ou n�o, est� contribuindo significantemente para a chamada Green IT, conservando recursos ambientais.

Computa��o em nuvens difere-se de diversos ambientes e n�o se pode confundi-la com a computa��o em grid, que � a combina��o de computadores em cluster combinados para uma fun��o em comum, compartilhando recursos como processamento e mem�ria. Um exemplo cl�ssico em banco de dados � o uso do Oracle RAC (Real Application Clusters), que fornece um cluster de v�rios n�s Ativo-Ativo e compartilha mem�ria RAM entre os n�s do cluster.

Ainda pensando na computa��o em nuvem, pode-se dizer que existem diversos tipos, mas este artigo ir� centrar os estudos em apenas tr�s deles: p�blica (public) ou externa, privada (private) ou interna e h�brida (hybrid).

Para entender a diferen�a entre elas, imagine que na privada o compartilhamento de recursos � feito dentro de uma rede privada de dados espec�fica para uma corpora��o, enquanto a p�blica � a forma mais tradicional, compartilhando recursos entre as corpora��es, com provisionamento din�mico entre Data Centers. J� o modelo h�brido se posiciona como um modelo onde a corpora��o pode usufruir dos benef�cios e estar tanto na p�blica quanto na privada.

Um conceito que ainda gera discuss�es � o uso de estruturas chamadas de interclouds (internuvens), onde se tem o relacionamento entre nuvens destinadas a diferentes organiza��es ou uma interconex�o global de nuvens posicionadas em locais diferentes do planeta. Com isso, as corpora��es podem ter um n�vel de intera��o maior ou at� ativar/transferir recursos de uma nuvem para a outra.

A pergunta que se deve ter em mente �: ser� que computa��o em nuvem � t�o boa assim? Ser� que se aplica a todos os casos ou existem limita��es? Onde se podem ter problemas inviabilizando o uso da computa��o em nuvem? A resposta � simples, onde existem normativos internos das corpora��es deixando claro o n�o tr�nsito de informa��es inerentes � corpora��o entre Data Centers ou onde existe a proibi��o de estruturas virtualizadas. Para os casos onde s�o exigidos componentes dedicados, basta projetar servidores espec�ficos para o uso somente da organiza��o em quest�o. O fato � que diversas qualidades e facilidades podem ser encontradas no que prega a computa��o em nuvem. Ela � uma tend�ncia irrevers�vel, e as empresas t�m que se adaptar a ela.

Agora que j� foi definido o que � a computa��o em nuvem, pode-se aplicar esse conhecimento para a tecnologia de virtualiza��o de Jails com FreeBSD. Para isso, ser� referenciado o modelo de uma nuvem privada (private cloud computing) em um grupo de servidores f�sicos executando um software para a virtualiza��o de sistemas operacionais como o VMware, Hyper-V, VirtualBox e Xen, por exemplo. Nesta estrutura ser�o instalados tr�s servidores FreeBSD 8.1 chamados de Marte, Jupiter e Saturno (Figura 3).

Figura 3. Instalando o FreeBSD na private cloud computing.

Podem-se criar quantos Jails forem necess�rios, e para o nosso exemplo, ser�o configurados dois Jails no servidor Marte e um Jail no servidor Jupiter. Por fim, no servidor Saturno ser�o configurados mais dois Jails (Figura 4).

Figura 4. Configurando os ambientes em Jail.

Fazendo uma an�lise mais t�cnica, pode-se notar uma camada de virtualiza��o, distribu�da entre um pool de servidores formando uma computa��o em nuvem. Percebe-se que s� est�o sendo contratadas tr�s m�quinas, mas na verdade t�m-se presentes oito servidores. Isso proporciona economia para o projeto na �rea de Data Center contratada e tira um melhor proveito do hardware f�sico usado para os servidores, sem falar que torna o projeto aderente a Green IT (TI Verde), outra tend�ncia de mercado.

Compara��es

O modelo de Jail do FreeBSD remete a fazer algumas compara��es com conceitos aplicados em ambientes similares aos existentes em sistemas operacionais bem respeitados e conhecidos como o Solaris/Open Solaris, AIX e os pr�prios IBM Mainframes.

Buscando os registros hist�ricos, v�-se que todo o processo de virtualiza��o se iniciou com os mainframes, pois eram m�quinas (e ainda s�o) muito caras, e precisava-se justificar de forma concreta sua compra para a aplica��o de diversas tarefas. Assim, a IBM criou mecanismos para individualizar �reas dentro dos mainframes para serem criados diversos servidores com fun��es independentes. Tais �reas s�o chamadas de containers e podem ser encontradas nos atuais sistemas operacionais IBM System z (IBM z/OS) com o uso de virtualiza��es baseadas no hypervisor (IBM z/VM).

Analisando de forma simples, quando se usa virtualiza��o, deseja-se reutilizar o hardware f�sico e compartilh�-lo com outros sistemas operacionais visando um aproveitamento m�ximo de recursos sem prejudicar o desempenho. Isto ocorre com diversas tecnologias que evolu�ram, saindo do mundo mainframe e chegando at� o universo Unix, para depois ser aplicada aos computadores Intel/AMD x86. S�o exemplos disto o VMware, Xen, Microsoft Hyper-V (Figura 5) e tantos outros.

Figura 5. Estrutura de um ambiente de virtualiza��o.

O elemento respons�vel por exercitar a virtualiza��o � chamado de Hypervisor e pode fazer ou n�o o papel de um sistema operacional equipado com as ferramentas necess�rias para aplicar a virtualiza��o e, como tal, sofre impactos como qualquer sistema operacional (carga de processamento, eleva��o do volume de requisi��es a mem�ria RAM, consultas a �reas do disco feitas com mais frequ�ncia, etc.). Da mesma forma, o Jail aplicado no FreeBSD sofrer� o mesmo tipo de impacto e, sem d�vida, em qualquer projeto essas quest�es devem e t�m que ser consideradas para que o usu�rio final da aplica��o n�o seja penalizado com lentid�es ou perdas de desempenho.

Assim, como se resolve essa quest�o? Basta, para isso, adequar o projeto na fase de concep��o aos requisitos de carga da aplica��o e especificar o hardware mais adequado. O problema � quando n�o se sabe que carga � essa, tendo, nestes casos, que contar com bom senso e um NOC (Network Operations Center - Centro de Opera��es de Rede) muito bem treinado para monitorar e indicar pontos de gargalos para a �rea corporativa de SLM (Service Level Management). Uma �rea corporativa de SLM � um conceito bem discutido no ITIL (IT Infrastructure Library), e � um modo pr�tico de se antever aos incidentes e problemas.

Retornando ao modelo de virtualiza��o aplicado nos Mainframes IBM, que foi introduzido em 1967, com o z/VM hypervisor, v�-se que � um funcionamento um pouco diferente dos modelos aplicados em plataformas x86. Observa-se que existe tamb�m uma granularidade customizada para melhor aproveitamento dos recursos de mem�ria, processador, storage e rede de dados. Isso possibilita a virtualiza��o de uma infinidade de m�quinas em um �nico equipamento, usufruindo de um hardware que fornece um SLA (Service Level Agreement) extremamente elevado, com diversos n�veis de redund�ncia e suporte avan�ado. Pensando ainda em f�cil crescimento, � pr�tica equipar o hardware com todos os elementos, como CPU, mem�ria e licenci�-los conforme a necessidade de crescimento, assim, facilmente com um telefonema pode-se adicionar mais desempenho ao ambiente de forma simples e r�pida.

Em 1989, este modelo de virtualiza��o foi aprimorado com o advento da tecnologia LPAR (Logical Partitions � Parti��es L�gicas). O LPAR enquadra-se como um elemento de virtualiza��o no n�vel do hardware e pode fornecer um elevado n�vel de abstra��o aliado a um grau de seguran�a aplicado a mais de 60 containers em um �nico equipamento.

Dessa forma, pode-se particionar uma m�quina f�sica em v�rios LPARs, cada um hospedando um sistema operacional distinto, compartilhando os mesmos recursos de hardware. A garantia deste compartilhamento � feita por um elemento chamado de PR/SM (Processor Resource/System Manager), que se integra com o IBM System z e representa para os ambientes IBM o hypervisor que � executado diretamente no n�vel do hardware.

Hoje LPARs podem ser encontrados em equipamentos n�o mainframe, como as m�quinas IBM pSeries e IBM iSeries, criando m�ltiplas inst�ncias em um �nico hardware. Os LPARs permitem a seguran�a necess�ria para virtualizar bases de dados, um dos calcanhares de qualquer ambiente de virtualiza��o, e acredita-se que s� se estar� livre desta problem�tica quando o pr�prio hypervisor � por software � garantir os IOPS (I/O por segundo) necess�rios para a valida��o deste projeto de virtualiza��o.

Outro desafio que um ambiente virtualizado enfrenta � o licenciamento de alguns softwares, principalmente se o servi�o � ofertado a terceiros. Para plataformas Microsoft isso tem que ser tratado com muito cuidado com seu gerente de parceria. Para bancos de dados, o que se deve ter em mente � se vai ser perdido o suporte contratado para o ambiente em quest�o ou se ser�o encontradas limita��es para o atendimento, ou at� se ser� garantido os IOPS (Input/Output Operations Per Second) desejados pelo projeto. Para softwares aplicados a ambientes ERP (Enterprise Resource Planning) ou SIGE (Sistemas Integrados de Gest�o Empresarial) a necessidade � verificar se o mesmo est� homologado para operar em ambiente de virtualiza��o. Todos estes questionamentos devem ser feitos no in�cio do projeto para que n�o sejam cometidos erros com impactos graves na precifica��o ou na pr�pria invalida��o da solu��o. A precifica��o � uma tarefa que deve ser feita na fase de projeto levando em conta todos os recursos necess�rios para o andamento do projeto.

Conclus�o

Quando se pensa em Jail aplicado a um sistema equipado com FreeBSD, ou qualquer outra modalidade de virtualiza��o, imagina-se um universo de possibilidades com �reas de mem�ria distintas para cada Jail equipadas com portas TCP/IP e endere�os IP exclusivos para cada �rea, al�m de uma poderosa ferramenta para virtualiza��o de sistemas operacionais sob o mesmo ambiente do sistema host (hardware principal).

Isso se deve n�o s� �s bases s�lidas herdadas do Jail existente em plataformas Sun Solaris, mas pela seguran�a, facilidade no manuseio e na configura��o de um ambiente desse porte no FreeBSD.

Assim, sem nenhuma d�vida, se o sistema operacional usado for FreeBSD e se � desejada a composi��o de v�rios servidores FreeBSD, usando a mesma vers�o ou n�o da m�quina host, a melhor op��o � fazer uso do Jail, mesmo tendo op��es mais amplas e mais poderosas como o VirtualBox. Mas falar de VirtualBox � outra hist�ria.

Links

FreeBSD Brasil
http://www.freebsdbrasil.com.br/

Why FreeBSD
http://www.ibm.com/developerworks/opensource/library/os-freebsd/

Virtualization Strategies Architectural Overview
http://www-01.ibm.com/redbooks/community/display/REDP4480/Virtualization+Strategies+Architectural+
Overview

Tecnologias:

Confira outros conte�dos:

Programa��o x Concurso P�blico

Osvaldo aprendeu programa��o

DevMedia x Netflix: Onde investir meu...

Assista grátis a nossa aula inaugural

Perguntas frequentes

Quem somos?

Por que a programação se tornou a profissão mais promissora da atualidade?

Como faço para começar a estudar?

Em quanto tempo de estudo vou me tornar um programador?

Sim, você pode se tornar um programador e não precisa ter diploma de curso superior!

O que eu irei aprender estudando pela DevMedia?

Principais diferenciais da DevMedia

Qual o investimento financeiro que preciso fazer para me tornar um programador?

Como funciona a forma de pagamento da DevMedia?

Por Denis Em 2011

Nossos casos de sucesso

Leonardo Carlos

Eu sabia pouqu�ssimas coisas de programa��o antes de come�ar a estudar com voc�s, fui me especializando em v�rias �reas e ferramentas que tinham na plataforma, e com essa bagagem consegui um est�gio logo no in�cio do meu primeiro per�odo na faculdade.

Lucas Rodrigues

Estudo aqui na Dev desde o meio do ano passado! Nesse per�odo a Dev me ajudou a crescer muito aqui no trampo.
Fui o primeiro desenvolvedor contratado pela minha empresa. Hoje eu lidero um time de desenvolvimento!
Minha meta � continuar estudando e praticando para ser um Full-Stack Dev!

Her�clito J�nior

Economizei 3 meses para assinar a plataforma e sendo sincero valeu muito a pena, pois a plataforma � bem intuitiva e muuuuito did�tica a metodologia de ensino. Sinto que estou EVOLUINDO a cada dia. Muito obrigado!

Julio Cablen

Nossa! Plataforma maravilhosa. To amando o curso de desenvolvimento front-end, tinha coisas que eu ainda n�o tinha visto. A did�tica � do jeito que qualquer pessoa consegue aprender. S�rio, to apaixonado, adorando demais.

Joelberth Sena

Adquiri o curso de voc�s e logo percebi que s�o os melhores do Brasil. � um passo a passo incr�vel. S� n�o aprende quem n�o quer. Foi o melhor investimento da minha vida!

Felipe Nunes

Foi um dos melhores investimentos que j� fiz na vida e tenho aprendido bastante com a plataforma. Voc�s est�o fazendo parte da minha jornada nesse mundo da programa��o, irei assinar meu contrato como programador gra�as a plataforma.

Wanderson Oliveira

Comprei a assinatura tem uma semana, aprendi mais do que 4 meses estudando outros cursos. Exerc�cios pr�ticos que n�o tem como n�o aprender, est�o de parab�ns!

Jos� Lucas

Obrigado DevMedia, nunca presenciei uma plataforma de ensino t�o presente na vida acad�mica de seus alunos, parab�ns!

Eduardo Dorneles

Aprendi React na plataforma da DevMedia h� cerca de 1 ano e meio... Hoje estou h� 1 ano empregado trabalhando 100% com React!

Adauto Junior

J� fiz alguns cursos na �rea e nenhum � t�o bom quanto o de voc�s. Estou aprendendo muito, muito obrigado por existirem. Est�o de parab�ns... Espero um dia conseguir um emprego na �rea.

Ver todos os casos de sucesso