VMware แนะนำการเลือกใช้ vSphere CPU Scheduler ให้เหมาะกับระดับความปลอดภัยของ VM ที่ต้องการ

ในช่วงที่ผ่านมานี้เราได้เห็นช่องโหว่ในระดับ CPU ที่ทำให้เกิดปัญหาการเข้าถึงข้อมูลข้าม Process กันค่อนข้างมาก และกลายเป็นประเด็นใหญ่ในวงการ IT กันมาอย่างต่อเนื่อง ทาง VMware จึงได้ทำการออกแนวทางการเลือกใช้ vSphere CPU Scheduler สำหรับแต่ละ VM ซึ่งแต่ละวิธีการนั้นก็จะมีข้อดีข้อเสียและรูปแบบการใช้งานที่เหมาะสมกับระดับของความมั่นคงปลอดภัยที่แตกต่างกันออกไป ทาง TechTalkThai จึงขอนำมาสรุปเป็นภาษาไทยให้ผู้อ่านทุกท่านได้เลือกไปใช้เป็นแนวทางกันดังนี้ครับ

Default Scheduler เร็วที่สุด แต่ไม่ได้ช่วยป้องกันอะไรเลย

Credit: VMware

การเลือกใช้ Default Scheduler นี้จะทำให้ VM ของเราถูกปกป้องในระดับ Host Security Boundary เท่านั้น กล่าวคือจะไม่มีปัญหาด้านข้อมูลรั่วไหลข้ามระดับ Host แต่ภายใน Host อย่างเช่นระหว่าง Process ในแต่ละ VM หรือระหว่าง VM ด้วยกันเองนั้นก็ยังอาจถูกเข้าถึงข้อมูลข้ามกันด้วยการอาศัยช่องโหว่ในระดับ CPU ได้อยู่

Side-Channel Aware Scheduler v1 (SCAv1) ทำงานได้ช้าที่สุด ปกป้องได้ถึงระดับ Process ในแต่ละ VM

Credit: VMware

SCAv1 นี้จะสามารถปกป้องข้อมูลได้ในระดับ Process Security Boundary ทำให้สามารถใช้รับมือกับช่องโหว่อย่างเช่น L1TF และ MDS ได้ ซึ่งเป็นแนวทางที่ปลอดภัยที่สุดที่ VMware นำเสนอ แต่ก็ทำงานได้ช้าที่สุดเช่นกัน

Side-Channel Aware Scheduler v2 (SCAv2) เร็วกว่า SCAv1 แต่ปกป้องได้ถึงระดับ VM เท่านั้น

Credit: VMware

SCAv2 นี้จะทำงานได้เร็วกว่า SCAv1 แต่ก็สามารถปกป้องข้อมูลได้ในระดับ VM Security Boundary เท่านั้น ดังนั้นในการใช้งานจริงผู้ใช้งานต้องประเมินความเสี่ยงให้ดี ซึ่งวิธีการนี้จะเหมาะกับการใช้งานที่ต้องการความมั่นคงปลอดภัยที่สูงขึ้นมาระดับหนึ่ง แต่ก็ยังคงต้องการประสิทธิภาพในการใช้งานระบบอยู่

เลือกเองไม่ถูก? VMware มี vSphere 6.7 CPU Scheduler Advisor ให้ใช้กันฟรีๆ

สำหรับผู้ที่ไม่มั่นใจว่าตนเองควรเลือกใช้ CPU Scheduler แบบไหนในแต่ละ VM ทาง VMware ก็มี vSphere 6. CPU Scheduler Advisor ให้ใช้งานกันฟรีๆ ที่ https://vspherecentral.vmware.com/path-finder/ โดยระบบจะทำการถามคำถามต่างๆ ให้เราเลือกตอบ และทำการวิเคราะห์ผลการตอบของเราเพื่อแนะนำว่าเราควรใช้งาน CPU Scheduler แบบไหน

อย่างไรก็ดี VMware แนะนำว่าภายใน Cluster เดียวกันนั้น ทุก Host ควรจะเลือกใช้ Scheduler แบบเดียวกัน โดยหากต้องการใช้ CPU Scheduler หลายแบบ ก็ควรสร้างระบบเป็นหลาย Cluster แทน เนื่องจากการมี Scheduler หลายแบบภายใน Cluster เดียวกันนั้นอาจสร้างปัญหาให้กับระบบทั้งในเชิงประสิทธิภาพ, ความมั่นคงปลอดภัย และความทนทานได้

นอกจากนี้ VMware ยังแนะนำให้ใช้งาน Enhanced vMotion Compatibility (EVC) ใน Cluster ด้วยเพื่อให้การเพิ่มทรัพยากรใหม่ๆ ใน Cluster สามารถทำได้ง่ายขึ้นแม้ว่าจะมี CPU รุ่นใหม่ๆ ออกมาในอนาคต รวมถึงยังแนะนำให้ทำการอัปเกรด Hardware เก่าๆ อย่างต่อเนื่องเพื่อให้ใช้ความสามารถใหม่ๆ และประสิทธิภาพในระดับที่สูงขึ้น เพื่อความคุ้มค่าในระยะยาวด้วย

ช่องทางการเข้าร่วม VMUG Thailand

สำหรับช่องทางการเข้าร่วมชุมชน VMUG Thailand หรือติดตามข่าวสาร มีดังนี้นะครับ

ทั้งนี้อนาคตอาจมีการเปิดช่องทางใหม่ๆ เพิ่มอีก ก็จะมีการอัปเดตให้ทราบกันเป็นระยะครับ

จะช่วยสร้างชุมชน VMUG Thailand ด้วยกันอย่างไรบ้าง?

สำหรับผู้ใช้งาน VMware ที่มีความประสงค์จะช่วยเหลือชุมชน VMUG Thailand นั้น มีช่องทางด้วยกันหลายทาง ดังนี้

  • ร่วมแบ่งปันความรู้กับสมาชิกในชุมชน VMUG Thailand โดยติดต่อกับทางทีมงาน VMUG Thailand เพื่อเป็นอาสาสมัคร และร่วมพูดคุยสอบถามและตอบปัญหาต่างๆ ได้ที่ Facebook Group https://www.facebook.com/groups/1502318113117280/
  • ติดตามเข้าร่วมงาน Meetup และงาน Webinar

ที่มา: https://blogs.vmware.com/vsphere/2019/05/which-vsphere-cpu-scheduler-to-choose.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Supermicro เปิดตัว Server รุ่นใหม่ รองรับ AMD EPYC 7002 Series พร้อมทำลายสถิติโลก 2 รายการ

Supermicro ได้ออกมาประกาศเปิดตัวทันทีหลังจากที่ AMD เปิดตัว EPYC Rome รุ่นล่าสุด ถึง Server รุ่นใหม่ในตระกูล H12 A+ สำหรับรองรับ AMD Epyc Rome 7002 Series โดยเฉพาะ โดยมีตัวเลขเชิงประสิทธิภาพที่สูงขึ้นกว่ารุ่นก่อนเป็นอย่างมาก ดังนี้

Red Hat ประกาศเข้าร่วม RISC-V Foundation แล้ว

Red Hat ได้ประกาศเข้าร่วมเป็นส่วนหนึ่งในโครงการ RISC-V Foundation เพื่อช่วยพัฒนาเทคโนโลยี Open Source Process Instruction Set Architecture (ISA)