Yewan WANG, doctorant au sein de l’équipe STACK, soutiendra sa thèse intitulée « Évaluation et modélisation de l’impact énergétique des centres de donnée en fonction de l’architecture matérielle/logicielle et de l’environnement associé » / »Evaluating and Modeling the Energy Impacts of Data centers, in terms of hardware/software architecture and associated environment »

lundi 9 mars 2020 à 14h, dans l’amphi G. Besse sur le site de l’IMT-A.

Jury :

• Directeur thèse : MENAUD Jean Marc
• Co encadrant : NORTERSHAUSER David (Orange Labs Lannion), LE MASSON Stéphane (Orange Labs Lannion)
• Rapporteurs : ROUVOY Romain (U Lille), DE PALMA Noel (U Grenoble Alpes)
• Autres membres : STOLF Patricia (U Toulouse Jean Jaures), ORGERIE Anne-Cécile (CR CNRS/IRISA Rennes) GUALOUS Hamid (U Caen Normand)

Résumé : Depuis des années, la consommation énergétique du centre de donnée a pris une importance croissante suivant une explosion de demande dans cloud computing. Ce thèse aborde le défi scientifique de la modélisation énergétique d’un centre de données, en fonction des paramètres les plus importants. Disposant d’une telle modélisation, un opérateur pourrait mieux repenser/concevoir ses actuels/futurs centre de données.
Pour bien identifier les impacts énergétiques des matériels et logiciels utilisés dans les systèmes informatiques. Dans la première partie de la thèse, nous avons réaliser un grand nombre évaluations expérimentales pour identifier et caractériser les incertitudes de la consommation d’énergie induite par les éléments externes : effets thermiques, différences entre des processeurs identiques causées par un processus de fabrication imparfait, problèmes de précision issus d’outil de mesure de la puissance, etc. Nous avons terminé cette étude scientifique par le développement d’une modélisation global pour un cluster physique donné, ce cluster est composé par 48 serveurs identiques et équipé d’un système de refroidissement à expansion à direct, largement utilisé aujourd’hui pour les data centers modernes. La modélisation permet d’estimer la consommation énergétique globale en fonction des configurations opérationnelles et des données relatives à l’activité informatique, telles que la température ambiante, les configurations du système de refroidissement et la charge des serveurs.

Mots-clés : Modélisation du consommation énergétique, Efficacité énergétique, Variabilité des processeurs, Effet Thermique

***********************

Abstract: For years, the energy consumption of the data center has dramatically increased followed by the explosion of demand in cloud computing. This thesis addresses the scientific challenge of energy modeling of a data center, based on the most important variables. With such modeling, an data center operator will be able to better reallocate/design the current/future data centers. In order to identify the energy impacts of hardware and software used in computer systems. In the first part of the thesis, to identify and characterize the uncertainties of energy consumption introduced by external elements: thermal effects, difference between identical processors caused by imperfect manufacturing process, precision problems resulting from power measurement tool, etc. We have completed this scientific study by developing a global power modeling for a given physical
cluster, this cluster is composed by 48 identical servers and equipped with a direct expansion cooling system, conventionally used today for modern data centers. The modeling makes it possible to estimate the overall energy consumption of the cluster based on operational configurations and data relating to IT activity, such as ambient temperature

Keywords: Energy consumption modeling, Energy efficiency, Processor variability, Thermal Effect

Thuy Linh Nguyen, doctorante au sein de l’équipe STACK, soutiendra sa thèse intitulée « Fast delivery of Virtual Machines and Containers: Understanding and optimizing the boot operation » / « Contributions à l’approvisionnement d’environnements virtualisés : la problématique des temps de démarrage des machines virtuelles et des conteneurs »

mardi 24 septembre 2019 à 13h30, dans l’amphi Besse sur le site de l’IMT Atlantique.

Jury :
– Président : Mario SUDHOLT (Professeur, IMT Atlantique)
– Examinateurs : Ramon NOU (Chercheur, Barcelona Supercomputing Center, Espagne)
– Directeur de thèse : Adrien LEBRE (Professeur, IMT Atlantique)
– Rapporteurs : Maria S. PEREZ (Professeure, Universidad Politecnica de Madrid, Espagne), Daniel HAGIMONT (Professeur, INPT/ENSEEIHT, Toulouse)

Abstract: The provisioning process of a Virtual Machine (VM) or a container is a succession of three complex stages : (i) scheduling the VM/Container to an appropriate compute node; (ii) transferring the VM/Container image to that compute node from a repository; (iii) and finally performing the VM/Container boot process. Depending on the properties of the client’s request and the status of the platform, each of these three phases can impact the total duration of the provisioning operation. While many works focused on optimizing the two first stages, only few works investigated the impact of the boot duration. This comes to us as a surprise as a preliminary study we conducted showed the boot
time of a VM/Container can last up to a few minutes in high consolidated scenarios. To understand the major reasons for such overheads, we performed on top of Grid’5000 up
to 15k experiments, booting VM/Container under different environmental conditions. The results showed that the most influential factor is the I/O operations. To accelerate the boot process, we defend in this thesis, the design of a dedicated mechanism to mitigate the number of generated I/O operations. We demonstrated the relevance of this proposal by discussing a first prototype entitled YOLO (You Only Load Once). Thanks to YOLO, the boot duration can be faster 2-13 times for VMs and 2 times for containers. Finally, it is noteworthy to mention that the way YOLO has been designed enables it to be easily applied to other types of virtualization (e.g., Xen) and containerization technologies.

Keywords: Cloud Computing, Virtualization, Containerization, Boot Duration

************

Résumé : Le processus d’approvisionnement d’une machine virtuelle (VM) ou d’un conteneur est une succession de trois étapes complexes: (i) la phase d’ordonnancement qui consiste à affecter la VM/le conteneur sur un noeud de calcul ; (ii) le transfert de l’image disque associée vers ce noeud de calcul; (iii) et l’exécution du processus de démarrage (généralement connu sous le terme « boot »). En fonction des besoins de l’application virtualisée et de l’état de la plate-forme, chacune de ces trois phases peut avoir une durée plus ou moins importante. Si de nombreux travaux se sont concentrés sur l’optimisation des deux premières étapes, la littérature couvre que partiellement les défis liés à la dernière. Cela est surprenant car des études ont montré que le temps de démarrage peut atteindre l’ordre de la minute dans certaines conditions. Durée que nous avons confirmée grâce à une étude préliminaire visant à quantifier le temps de démarrage, notamment dans des scénarios où le ratio de consolidation est élevé.

Mots-clés : Informatique en nuage, virtualisation système, conteneurs, temps de démarrage

Mahdi Bazm, doctorant au sein de l’équipe STACK, soutiendra sa thèse intitulée « Architecture d’isolation unifiée et mécanismes de lutte contre les canaux auxiliaires pour infrastructures cloud décentralisées »

lundi 8 juillet 2019 à 13h30 dans l’amphi du bât. 34 sur le site de la FST.

Jury :
– Directeur thèse : Mario Sudholt, Jean-Marc Menaud
– Co-encadrant : Marc Lacoste (Orange labs)
– Rapporteurs : Yves Roudier (U Sophia Nice Antipolis) Daniel Hagimont
(IRIT Toulouse)
– Autres membres : Christian Perez (DR Inria)

Résumé :
Depuis leur découverte par Ristenpart [Ristenpart et al., 2009],le problème de sécurité des attaques par canaux auxiliaires est devenu de plus en plus important dans les environnements virtualisés tels que les infrastructures cloud, avec une amélioration rapide des techniques d’attaque. De ce fait, la détection et la mitigation des attaques dans ces environnements ont davantage retenu l’attention et ont fait l’objet de nombreux travaux de recherche.
Dans les environnements virtualisés, ces attaques exploitent le partage de ressources matérielles telles que le processeur. Ces ressources sont partagées entre différents utilisateurs à un niveau souvent très bas via la couche de virtualisation. Par conséquence, il permet de contourner les mécanismes de sécurité implémentés au niveau de la couche de virtualisation, ce qui présente des fuites d’information. Les niveaux de cache du processeur sont les ressources qui sont partagées entre les instances et jouent comme un canal de divulgation d’information. Les attaques par canaux auxiliaires utilisent donc ce canal an d’obtenir des informations sensibles telles que les clés cryptographiques.
Différents travaux de recherche existent déjà sur la détection/mitigation de ces attaques dans les systèmes d’information. Les techniques de mitigation des attaques par canaux auxiliaires basées sur le cache, sont principalement divisées en trois classes en fonction de la couche où elles sont appliquées dans les infrastructures de cloud (application, système et matérielle). La détection est essentiellement effectuée au niveau de la couche système d’exploitation/hyperviseur en raison de la possibilité d’analyser le comportement des instances virtualisées à ce niveau.
Dans cette thèse, nous fournissons d’abord un état de l’art sur le dé d’isolation et sur les attaques par canaux auxiliaires basées sur le cache dans les infrastructures cloud. Nous présentons ensuite différentes approches pour détecter/mitiger les attaques par canaux auxiliaires entre VMs ou entre conteneurs Linux. En ce qui concerne la détection des attaques par canaux auxiliaires basées sur le cache, nous y parvenons en utilisant Hardware Performance Counters (HPC) et Intel Cache Monitoring Technology (CMT) avec des approches de détection d’anomalie pour identifier une VM ou un conteneur malveillant.
Nos résultats expérimentaux montrent un taux de détection élevé. Nous utilisons ensuite une approche basée sur la théorie Moving Target Defence (MTD) pour interrompre une attaque par canaux auxiliaires basée sur le cache entre deux conteneurs Linux. MTD nous permet de rendre la configuration du système plus dynamique
et donc plus difficile à attaquer par un adversaire, en utilisant le shuing à différents niveaux du système et du cloud. Notre approche n’a pas besoin d’apporter de modification ni dans l’OS invité ni dans l’hyperviseur. Les résultats expérimentaux montrent que notre approche a un surcoût de performance très faible.

*****

Abstract:
Since their discovery by Ristenpart [Ristenpart et al., 2009], the security concern of sidechannel attacks is raising in virtualized environments such as cloud computing infrastructures because of rapid improvements in the attack techniques. Therefore, the mitigation and the detection of such attacks have been getting more attention in these environments, and consequently have been the subject of intense research works. These attacks exploit for instance sharing of hardware resources such as the processor
in virtualized environments. Moreover, the resources are often shared between dierent users at very low-level through the virtualization layer. As a result, such sharing allows bypassing security mechanisms implemented at virtualization layer through such a leaky sharing. Cache levels of the processor are the resources which are shared between instances, and play as an information disclosure channel. Side-channel attacks thus use this leaky channel to obtain sensitive information such as cryptographic keys.
Different research works are already exist on the detection/mitigation of these attack in information systems. Mitigation techniques of cache-based side-channel attacks are mainly divided into three classes according to dierent layer of application in cloud infrastructures (i.e., application, system, and hardware). The detection is essentially done at OS/hypervisor layer because of possibility of analyzing virtualized instances behavior at both layers.
In this thesis, we rst provide a survey on the isolation challenge and on the cachebased side-channel attacks in cloud computing infrastructures. We then present different approaches to detect/mitigate cross-VM/cross-containers cache-based side-channel attacks. Regarding the detection of cache-based side-channel attacks, we achieve that by leveraging Hardware performance Counters (HPCs) and Intel Cache Monitoring Technology (CMT) with anomaly detection approaches to identify a malicious virtual machine
or a Linux container. Our experimental results show a high detection rate. We then leverage an approach based on Moving Target Defense (MTD) theory to interrupt a cache-based side-channel attack between two Linux containers. MTD allows us to make the conguration of system more dynamic and consequently harder to attack by an adversary, by using shuing at dierent level of system and cloud. Our approach does not need to carrying modication neither into the guest OS or the hypervisor. Experimental results show that our approach imposes very low performance overhead.

Mohamed Abderrahim, doctorant au sein de l’équipe STACK, soutiendra sa thèse intitulée « Conception d’un système de supervision programmable et reconfigurable pour une infrastructure informatique et réseau répartie« 

mercredi 19 décembre 2018 à 13h30 dans l’amphithéâtre Georges Besse de l’IMT-Atlantique.

Jury : Frédéric DESPREZ (Directeur de recherche – Inria, Rapporteur),Christian PEREZ (Directeur de recherche – Inria, Rapporteur), Pierrick SEITE (Ingénieur de recherche /docteur – Orange Labs, Examinateur), Adrien LEBRE (Professeur – IMT-Atlantique, Directeur de thèse), Karine GUILLOUARD (Ingénieur de recherche /docteur – Orange Labs, Co-encadrant), Jérôme FRANÇOIS (Chargé de recherche – Inria, Co-encadrant)

Résumé :
Le Cloud offre le calcul, stockage et réseau en tant que services. Pour réduire le coût de cette offre, les opérateurs ont tendance à s’appuyer sur des infrastructures centralisées et gigantesques. Cependant, cette configuration entrave la satisfaction des exigences de latence et de bande passante des applications de nouvelle génération. L’Edge cherche à relever ce défi en s’appuyant sur des ressources massivement distribuées. Afin de satisfaire les attentes des opérateurs et des utilisateurs du Edge, des services de gestion ayant des capacités similaires à celles qui ont permis le succès du Cloud doivent être conçus. Dans cette thèse, nous nous concentrons sur le service de supervision. Nous proposons un canevas logiciel pour la mise en place d’un service holistique. Ce canevas permet de déterminer une architecture de déploiement pair-à-pair pour les fonctions d’observation, de traitement et d’exposition des mesures. Il vérifie que cette architecture satisfait les exigences fonctionnelles et de qualité de service des utilisateurs. Ces derniers peuvent être exprimés à l’aide d’un langage de description offert par le canevas. Le canevas offre également un langage de description pour unifier la description de l’infrastructure Edge. L’architecture de déploiement est déterminée avec l’objectif de minimiser l’empreinte de calcul et réseau du service de supervision. Pour cela, les fonctions de supervision sont mutualisées entre les différents utilisateurs. Les tests que nous avons faits ont montré la capacité de notre proposition à réduire l’empreinte de supervision avec un gain qui atteint -28% pour le calcul et -24% pour le réseau.

**********

Abstract:
Cloud offers compute, storage and network as services. To reduce the offer cost, the operators tend to rely on centralized and massive infrastructures. However, such a configuration hinders the satisfaction of the latency and bandwidth requirements of new generation applications. The Edge aims to rise this challenge by relying on massively distributed resources. To satisfy the operators and the users of Edge, management services similar to the ones that made the success of Cloud should be designed. In this thesis, we focus on the monitoring service. We design a framework to establish a holistic monitoring service. This framework determines a peer-to-peer deployment architecture for the observation, processing, and exposition of measurements. It verifies that this architecture satisfies the functional and quality of service constraints of the users. For this purpose, it relies on a description of users requirements and a description of the Edge infrastructure. The expression of these two elements can be unified with two languages offered by the Framework. The deployment architecture is determined with the aim of minimizing the compute and network footprint of the monitoring service. For this purpose, the functions are mutualized as much as possible among the different users. The tests we did showed the relevance of our proposal for reducing monitoring footprint with a gain of -28% for the compute and -24% for the network.