KIISE Transactions on Computing Practices (정보과학회 컴퓨팅의 실제 논문지)

Korean Institute of Information Scientists and Engineers (한국정보과학회)
권호 표지
DOI QR코드

DOI QR Code

Design and Implementation of a Physical Network Separation System using Virtual Desktop Service based on I/O Virtualization

입출력 가상화 기반 가상 데스크탑 서비스를 이용한 물리적 네트워크 망분리 시스템 설계 및 구현

  • 김선욱 (한국전자통신연구원 서버플랫폼연구실) ;
  • 김성운 (한국전자통신연구원 서버플랫폼연구실) ;
  • 김학영 (한국전자통신연구원 서버플랫폼연구실) ;
  • 정성권 ((주)컴트리) ;
  • 이숙영 ((주)컴트리)
  • Received : 2015.03.24
  • Accepted : 2015.05.10
  • Published : 2015.07.15
⟨ Previous Next ⟩

Abstract

IOV is a technology that supports one or more virtual desktops, and can share a single physical device. In general, the virtual desktop uses the virtual IO devices which are provided by virtualization SW, using SW emulation technology. Virtual desktops that use the IO devices based on SW emulation have a problem in which service quality and performance are declining. Also, they cannot support the high-end application operations such as 3D-based CAD and game applications. In this paper, we propose a physical network separation system using Virtual Desktop Service based on HW direct assignments to overcome these problems. The proposed system provides independent desktops that are used to access the intranet or internet using server virtualization technology in a physical desktop computer for the user. In addition, this system can also support a network separation without network performance degradation caused by inspection of the network packet for logical network separations and additional installations of the desktop for physical network separations.

입출력 가상화는 하나의 물리적 입출력 장치를 하나 이상의 가상 데스크탑들이 공유해서 사용 할 수 있도록 하는 기술로서 일반적으로 가상화 소프트웨어가 소프트웨어적으로 에뮬레이션하여 제공하는 가상 I/O 장치들을 가상 데스크탑에서 사용한다. 소프트웨어 에뮬레이션 기반 I/O 장치들을 사용하는 가상 데스크탑들은 성능이 떨어지고 고사양의 응용 프로그램을 지원할 수 없는 문제점을 가지고 있다. 본 논문에서는 이러한 서비스의 품질 및 성능 저하를 극복하기 위해 PCI기반 하드웨어 직접 할당기술을 이용한 망분리 가상 데스크탑 시스템을 제안한다. 제안하는 시스템은 하나의 물리적 데스크탑 컴퓨터에 서버 가상화 기술을 이용하여 사용자에게 인터넷 등의 외부망과 인트라넷 등의 업무망 접속을 위한 독립적인 데스크탑을 제공한다. 이를 통해 물리적 망분리를 위한 별도의 데스크탑 설치 및 논리적 망분리를 위한 네트워크 패킷의 검사에 따른 성능의 저하 없이 가상 데스크탑 서비스를 이용한 물리적 네트워크 망분리 시스템을 제공한다.

Keywords

Acknowledgement

Grant : 서버당 100Gbps급 I/O로 적응형 클라우드 서비스를 백만 사용자에게 제공하는 빅 가상 플랫폼 인프라 기술 개발

Supported by : 정보통신진흥센터

References

  1. J. Kwon, "Guide of Network Separation Soluton," Security World, pp. 50-55, Oct. 2011. (in Korean)
  2. P. Barham, B. Dragovic, K. Fraser, S. Hand, T. Harris, A. Ho, R. Neugebauer, I. Pratt, and A. Warfield, "Xen and the art of virtualization," Proc. of the 9th SOSP, pp. 164-177, Oct. 2003.
  3. B. Liu, L. Lishen, and X. Qin, "Research on Hardware I/O Passthrough in Computer Virtualization," Proc. of ISCSCT 2010, pp. 353-356. Aug. 2010.
  4. R. Pavlicek. (2014, Oct. 8). VTd How To [Online]. Available: http://wiki.xenproject.org/wiki/VTd_HowTo
  5. J. LIU, W. Huang, B. Abali, and D. K. Panda, "High Performance VMM-bypass I/O in virtual machines," Proc. of USENIX Annual Technical Conference, May. 2006.
  6. B. H. Ng, B. Lau, and A. Prakash. (2009, July. 20). Direct Access to GraphicsCard Leveraging VT-d Technical Report [Online]. Available: http://www.learningace.com/doc/609755/869c46ae6cf492b7aeeda 4b14d0232e2v/vgapt_techreport
  7. Y. Schaeffer.(2009, Feb.01). Xen VGA passthrough [Online]. Available: https://www.os3.nl/_media/2008-2009/courses/rp1/ys_report.pdf
  8. Comtree.(2014, May. 15). What is network separation PC from Comtree? [Online]. Available: http://blog.naver.com/comtreestory/220000516707