Em um projeto de consolidação de infraestrutura para uma in...

Próximas questões
Com base no mesmo assunto
Q3874730 Sistemas Operacionais
Em um projeto de consolidação de infraestrutura para uma instituição financeira, a equipe de arquitetura precisa definir a plataforma de execução para uma nova aplicação de High-Frequency Trading (HFT). A aplicação exige latência mínima e garantias estritas de isolamento de segurança entre os ambientes de diferentes clientes. Durante a análise técnica das opções de virtualização baseada em hipervisores e de conteinerização, o arquiteto responsável avaliou os mecanismos de interação com o processador e o gerenciamento de chamadas de sistema (syscalls).
Considerando as características arquiteturais e os modos de execução dessas tecnologias, é correto afirmar que: 
Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

Gabarito: B

Fundamento decisivo: O elemento decisivo era a afirmação sobre o modo de execução do hipervisor/VMM e a necessidade de VM Exit quando o convidado tenta executar instruções sensíveis.

Tema central: Hipervisor e contêineres
Análise das alternativas
A
Errada
Está errada porque transforma uma mitigação de segurança em equivalência arquitetural. User namespaces podem reduzir privilégio ao mapear o root do contêiner para usuário não privilegiado no host, mas isso não elimina o fato de que os contêineres compartilham o kernel do host. Por isso, não se pode afirmar isolamento de falhas e superfície de ataque idênticos aos de VMs com virtualização assistida por hardware.
B
Certa
A alternativa B está correta porque descreve a regra arquitetural central da virtualização por hipervisor com suporte de hardware: o VMM/hipervisor executa em nível de maior privilégio, enquanto o sistema operacional convidado roda em contexto virtualizado menos privilegiado. Quando o convidado tenta executar instruções sensíveis/privilegiadas que afetam o estado global do sistema, ocorre trap/VM Exit para que o hipervisor intervenha e arbitre a operação.
C
Errada
Está errada porque inverte a característica do hipervisor tipo 2. Ele roda sobre um sistema operacional hospedeiro, portanto não se define por delegar memória e escalonamento diretamente ao hardware sem intervenção do host. Também é incorreta a afirmação de que isso eliminaria overhead de tradução de endereços em relação às soluções bare metal.
D
Errada
Está errada porque descreve a paravirtualização ao contrário. Paravirtualização não significa apresentar ao convidado uma cópia idêntica e não modificada do hardware; ao contrário, envolve convidado adaptado para cooperar com o hipervisor por interfaces próprias, em vez de assumir réplica fiel do hardware subjacente.
E
Errada
Está errada porque atribui aos contêineres um kernel próprio por instância, o que não existe nesse modelo. Contêineres compartilham o kernel do host; não duplicam a camada de kernel para cada instância e, por isso, não carregam seus próprios módulos de kernel e drivers como se cada contêiner tivesse um kernel independente.
Pegadinha da questão
A confusão real era aproximar mecanismos de isolamento de contêineres do isolamento arquitetural das máquinas virtuais e, ao mesmo tempo, testar se o candidato distingue o papel do hipervisor em modo mais privilegiado com interceptação por VM Exit.
Dica para questões semelhantes
  • Se a alternativa mencionar hipervisor em nível mais privilegiado e convidado gerando trap/VM Exit ao executar instruções sensíveis, ela está alinhada com a lógica correta da virtualização assistida por hardware.
  • Se a alternativa disser que contêiner tem isolamento idêntico ao de VM apesar de compartilhar kernel, elimine.
  • Se a alternativa afirmar que hipervisor tipo 2 dispensa o sistema operacional hospedeiro, elimine.
  • Se a alternativa atribuir kernel próprio por instância ao contêiner ou hardware idêntico não modificado à paravirtualização, elimine.

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo