1.6 焦點 基于開源KVM的虛擬化技術(shù)優(yōu)化.docx

基于開源KVM的虛擬化技術(shù)優(yōu)化 文/歐珊瑚KVM（Kernel-based Virtual Machine，基于內(nèi)核的虛擬機）是一個基于Linux環(huán)境的開源虛擬化解決方案，最早由Qumranet公司開發(fā)，在2006年10月出現(xiàn)在Linux內(nèi)核的郵件列表上，并于2007年2月被集成到Linux 2.6.20內(nèi)核中，成為內(nèi)核的一部分?！盎贚inux內(nèi)核”實現(xiàn)的KVM系統(tǒng)在實現(xiàn)方式上不同于其它的Hypervisor，其設(shè)計目標是最大限度地利用現(xiàn)有操作系統(tǒng)的各個功能模塊和硬件對虛擬化技術(shù)進行支持，以一個內(nèi)核來加載功能模塊的方式實現(xiàn)，并將整個Linux內(nèi)核轉(zhuǎn)化成一個裸機的Hypervisor。除此之外，KVM還充分利用了Linux內(nèi)核已有的成熟功能和基礎(chǔ)服務(wù)，減少不必要的重新開發(fā)，如任務(wù)調(diào)度、物理內(nèi)存管理、內(nèi)存空間虛擬化、電源管理等功能。在KVM的系統(tǒng)構(gòu)架中，虛擬機以普通Linux進程的方式來實現(xiàn)，由標準的Linux進程調(diào)度器來調(diào)度，每個虛擬CPU（vCPU）都以一個常規(guī)的Linux進程來呈現(xiàn)，硬件設(shè)備的模擬則是通過一個修改過的QEMU來進行，提供了BIOS，PCI總線，USB總線和其他標準設(shè)備（如IDE和SCSI硬盤控制器以及網(wǎng)絡(luò)控制器等）的模擬。KVM將Linux內(nèi)核轉(zhuǎn)化為Hypervisor，通常情況下，支持Linux的硬件設(shè)備就可以被KVM支持。雖然開源KVM存在諸多優(yōu)點，但是原生態(tài)的KVM在業(yè)務(wù)可靠性、網(wǎng)絡(luò)控制、可管理性、可運維性等方面存在缺陷。首先，開源KVM基于虛擬化內(nèi)核實現(xiàn)，對底層硬件故障、虛擬機故障、虛擬機操作系統(tǒng)故障和上層應(yīng)用故障都缺少解決方案；其次，KVM系統(tǒng)的虛擬交換機是一個標準化的流量轉(zhuǎn)發(fā)模塊，它無法應(yīng)對實際生產(chǎn)系統(tǒng)對復(fù)雜網(wǎng)絡(luò)訪問控制策略的需求，例如：QoS、ACL、VxLAN、端口聚合、流量鏡像等；最后，KVM缺少可視化的配置與管理工具、豐富的業(yè)務(wù)系統(tǒng)性能監(jiān)控能力和資源的自動化調(diào)度管理能力。一、CAS對開源KVM的優(yōu)化H3C CAS云計算管理平臺（下文簡稱CAS）是華三通信基于開源KVM研發(fā)的一款虛擬化管理軟件，與開源KVM相比，H3C CAS云計算管理平臺不僅在高可靠性、網(wǎng)絡(luò)控制、可管理性和可運維性等方面進行了改進，而且與H3C公司成熟的網(wǎng)絡(luò)產(chǎn)品、第三方存儲與安全廠商合作，形成了全融合虛擬化解決方案，這也成為CAS的核心競爭力。1、CAS對KVM進行了哪些優(yōu)化？l 高可靠性對于一些重要的業(yè)務(wù)入口或接入點（例如：企業(yè)的生產(chǎn)服務(wù)器和金融行業(yè)的數(shù)據(jù)庫服務(wù)器等），即使出現(xiàn)秒級的業(yè)務(wù)中斷，也將遭受災(zāi)難性的后果。因此，如何保證虛擬化環(huán)境下業(yè)務(wù)應(yīng)用系統(tǒng)的高可靠性，成為云平臺管理軟件需要解決的首要問題。CAS的高可靠性（High Availability，HA）技術(shù)技術(shù)很好的破解了這一難題。m 集群HA在開源KVM軟件的基礎(chǔ)上，H3C CAS CVK虛擬化內(nèi)核系統(tǒng)（下文簡稱CVK）集成了集群HA軟件，將一組物理主機劃分到一個具有共享存儲資源池的邏輯集群中，通過H3C CAS CVM虛擬化管理平臺（下文簡稱CVM）持續(xù)監(jiān)控集群內(nèi)所有的物理主機和虛擬機的運行狀況，一旦發(fā)生故障，CVM會觸發(fā)虛擬機遷移，在集群內(nèi)自動選擇另一臺正常工作的物理主機，并在這臺物理主機上重啟所有受影響的虛擬機。m 應(yīng)用HA應(yīng)用HA是指運行于虛擬機操作系統(tǒng)內(nèi)的業(yè)務(wù)系統(tǒng)的高可靠性，當(dāng)業(yè)務(wù)系統(tǒng)由于自身原因?qū)е聼o法對外正常提供服務(wù)時，可以借助應(yīng)用HA功能，以最短的時間自動恢復(fù)業(yè)務(wù)。企業(yè)級業(yè)務(wù)系統(tǒng)一般都以進程服務(wù)的方式駐留在操作系統(tǒng)內(nèi)，CVM虛擬化管理平臺利用CAStools工具來監(jiān)控業(yè)務(wù)服務(wù)進程的狀態(tài)，該工具安裝在虛擬機操作系統(tǒng)上，通過虛擬串口通道保持與H3C CAS CVM虛擬化管理平臺的實時通信，判定業(yè)務(wù)的存活狀態(tài)。如果在連續(xù)3個時間周期（1個周期為30秒）內(nèi)探測到被監(jiān)測的服務(wù)狀態(tài)為非運行或非活躍狀態(tài)，則自動重啟該服務(wù)；如果連續(xù)4個時間周期檢測到應(yīng)用服務(wù)故障，且重啟服務(wù)失敗，則根據(jù)系統(tǒng)管理員配置的應(yīng)用HA策略，重新啟動虛擬機或僅上報應(yīng)用故障不可恢復(fù)的告警消息。l 網(wǎng)絡(luò)控制 CVK不僅在開源KVM基礎(chǔ)上增加了ACL、QoS、VLAN、鏈路聚合、端口鏡像、硬件SR-IOV等基礎(chǔ)網(wǎng)絡(luò)功能，而且，考慮到虛擬化環(huán)境中虛擬機遷移前后的網(wǎng)絡(luò)策略同步問題，設(shè)計和實現(xiàn)了分布式虛擬交換機（virtual Distributed Switch，vDS）功能。當(dāng)虛擬機在集群內(nèi)遷移時，CVK自動將虛擬機的網(wǎng)絡(luò)配置從源虛擬交換機同步到目的虛擬交換機，實現(xiàn)遷移前后網(wǎng)絡(luò)策略的自動感知與生效，從而確保虛擬機遷移前后網(wǎng)絡(luò)策略的一致性。源和目的虛擬交換機就構(gòu)成了一個邏輯上統(tǒng)一的虛擬交換機，即分布式虛擬交換機。分布式虛擬交換機的控制由CVM統(tǒng)一管理，包括虛擬交換機策略的配置與下發(fā)，數(shù)據(jù)平面則分布在各個承載虛擬機的物理主機內(nèi)核中。l 可視化管理開源KVM重點關(guān)注的是虛擬化內(nèi)核的實現(xiàn)，在可管理性方面遠遠沒有達到商用的級別，而且，在性能監(jiān)控、郵件、短信告警、API接口等企業(yè)級特性完全是一片空白。CAS提供了簡潔易用的圖形化操作界面，為IT系統(tǒng)管理員提供了直觀的虛擬化環(huán)境視圖。圖1 虛擬化環(huán)境健康狀態(tài)概覽圖2 虛擬化拓撲圖3 虛擬化業(yè)務(wù)系統(tǒng)狀態(tài)除了基本的可視化管理能力之外，CVM還提供了開放的REST API接口和兼容OpenStack云平臺的插件，通過這兩種方式實現(xiàn)與第三方云管理平臺及基于標準OpenStack云平臺的無縫對接（如圖所示）?？蛻艋跇藴蔕penStack開發(fā)自己的云平臺時，只需要關(guān)注與自身業(yè)務(wù)相關(guān)的前端流程，底層虛擬化基礎(chǔ)架構(gòu)功能完全由H3C CAS CVM虛擬化管理平臺完成。圖4 H3C CAS與標準OpenStack對接技術(shù)架構(gòu)圖l 可運維性開源KVM的定位僅僅是一個開源的虛擬化內(nèi)核實現(xiàn)，它對IT運維與云計算沒有任何涉及。H3C CAS CIC云業(yè)務(wù)管理中心（下文簡稱CIC）組件將基礎(chǔ)架構(gòu)資源（包括計算、存儲和網(wǎng)絡(luò)）及其相關(guān)策略整合成虛擬數(shù)據(jù)中心資源池，允許用戶申請這些資源，從而構(gòu)建一個安全的、多租戶的、可自助服務(wù)的“互聯(lián)網(wǎng)化私有云”，為IT部門提供一種全新的基礎(chǔ)架構(gòu)交付和使用模式。這種自助式的服務(wù)真正實現(xiàn)了云計算的敏捷性、可控性和高效性，并極大程度地提高了業(yè)務(wù)的響應(yīng)能力。二、 CAS全融合解決方案CAS借助華三通信自己成熟的網(wǎng)絡(luò)產(chǎn)品與技術(shù)，并與第三方存儲及安全廠商合作，形成了業(yè)界領(lǐng)先的全融合解決方案。例如：H3C CAS云計算管理平臺融合了獨創(chuàng)的DRX（Dynamic Resource eXtension，動態(tài)資源擴展）、分布式存儲組件vStor、業(yè)界落地最為廣泛的VxLAN解決方案和輕代理/無代理防病毒解決方案，真正實現(xiàn)了計算、存儲、網(wǎng)絡(luò)和安全虛擬化的全面融合。下面對上述方案作詳細分析。圖5 H3C CAS：全融合虛擬化解決方案l 計算資源虛擬化技術(shù)-DRX資源動態(tài)擴展技術(shù)（Dynamic Resource eXtension，DRX）是華三通信的專利技術(shù)，實現(xiàn)基于用戶業(yè)務(wù)負載的資源動態(tài)擴展與回收。即：當(dāng)用戶某項正常運行的業(yè)務(wù)面臨突發(fā)流量訪問時，CVM能夠監(jiān)控到業(yè)務(wù)所在虛擬機性能不足，并將虛擬機進行快速復(fù)制，在負載均衡設(shè)備的配合下共同對外提供服務(wù)；當(dāng)業(yè)務(wù)訪問高峰過后，能夠自動回收資源，刪除多余的虛擬機，從而實現(xiàn)一個計算資源隨需而動的自動化環(huán)境。l 存儲虛擬化技術(shù)-vStorCAS的vStor組件是一種分布式存儲技術(shù)方案，它將多個服務(wù)器上的空閑磁盤空間整合成一個的存儲資源池，依靠“軟件+標準的x86硬件”來實現(xiàn)存儲，形成低成本、高可靠、可橫向擴展（Scale-out）的存儲虛擬化基礎(chǔ)架構(gòu)，在用戶無需購買專用存儲設(shè)備和SAN網(wǎng)絡(luò)設(shè)備的情況下，將數(shù)據(jù)中心存儲架構(gòu)扁平化，不僅簡化了IT運維和管理，同時降低了能耗，幫助企業(yè)實現(xiàn)IT環(huán)境的節(jié)能減排。l 網(wǎng)絡(luò)虛擬化技術(shù)-VxLANVxLAN網(wǎng)絡(luò)架構(gòu)在傳統(tǒng)物理網(wǎng)絡(luò)基礎(chǔ)上構(gòu)建了一個邏輯的二層網(wǎng)絡(luò)，是網(wǎng)絡(luò)支持大規(guī)模虛擬化發(fā)展的理想選擇，也是H3C云網(wǎng)融合解決方案技術(shù)路線中的關(guān)鍵技術(shù)。H3C CAS CVK虛擬化內(nèi)核系統(tǒng)支持標準VxLAN封裝技術(shù)的分布式虛擬交換機，實現(xiàn)虛擬網(wǎng)絡(luò)與物理網(wǎng)絡(luò)的解耦，虛擬機可以在一個大二層網(wǎng)絡(luò)環(huán)境中遷移，實現(xiàn)了安全策略的跨數(shù)據(jù)中心同步跟隨，同時，用戶最多可以創(chuàng)建多達16M相互隔離的虛擬網(wǎng)絡(luò)，突破了VLAN方案4K個隔離網(wǎng)絡(luò)的限制，幫助用戶構(gòu)建安全的多租戶虛擬網(wǎng)絡(luò)。l 虛擬化安全：防病毒一般情況下，傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡(luò)的安全解決方案都通過防火墻和IPS等物理設(shè)備進行攻擊與病毒防范，當(dāng)數(shù)據(jù)中心往虛擬化環(huán)境遷移的時候，由于原來部署在物理主機上的業(yè)務(wù)系統(tǒng)“深藏”于虛擬機中，傳統(tǒng)安全解決方案的“觸角”無法深入到物理主機內(nèi)部，造成了安全管理的灰色區(qū)域。CAS與專業(yè)安全廠商合作，提出了輕代理和無代理防病毒解決方案，旨在保護數(shù)據(jù)中心和虛擬機業(yè)務(wù)免遭數(shù)據(jù)泄露的風(fēng)險。其中，輕代理防病毒方案需要在每個被保護的虛擬機操作系統(tǒng)內(nèi)部安裝代理程序，由該代理程序觸發(fā)虛擬機病毒掃描任務(wù)；無代理防病毒方案則需要在虛擬化內(nèi)核系統(tǒng)中集成防病毒引擎，在底層實現(xiàn)整個虛擬機網(wǎng)絡(luò)總體安裝狀況的統(tǒng)一管理，在虛擬機磁盤文件讀寫的時候，實時查病毒。總結(jié)開源KVM作為直接構(gòu)建在Linux內(nèi)核上的虛擬機管理程序，已經(jīng)成為最廣泛的應(yīng)用于Linux操作系統(tǒng)的虛擬化平臺。盡管H3C CAS云計算管理平臺基于開源KVM內(nèi)核開發(fā)，但與開源KVM相比，H3C CAS云計算管理平臺從高可靠性、網(wǎng)絡(luò)控制、可管理性、可運維性等方面進行了增強、補充和創(chuàng)新，使其更契合企業(yè)和行業(yè)數(shù)據(jù)中心對虛擬化的技術(shù)要求和業(yè)務(wù)要求，并通過開放合作的方式，結(jié)合H3C公司自身在網(wǎng)絡(luò)技術(shù)方面的深厚積累，形成了計算、網(wǎng)絡(luò)、存儲、安全的多方位全融合虛擬化管理平臺。這些功能和解決方案的設(shè)計和開發(fā)過程，也是一個不斷創(chuàng)新的過程，這些創(chuàng)新已經(jīng)成為H3C CAS云計算管理平臺的核心競爭力。表1 H3C CAS云計算管理平臺核心專利一覽表作為附錄分類專利名稱授權(quán)/受理狀態(tài)編號高可靠性一種云計算中集群的節(jié)點管理方案201410577490.1一種實現(xiàn)高可靠性集群心跳檢測的方法201410576549.5一種虛擬化平臺中實現(xiàn)存儲池資源自動均衡的方法201510130761.3一種集群環(huán)境下虛擬機負載均衡系統(tǒng)與方法CN 102508718B網(wǎng)絡(luò)控制一種針對小型機虛機遷移的網(wǎng)絡(luò)感知方案201410332388.5一種虛擬化網(wǎng)絡(luò)中的新業(yè)務(wù)負載均衡技術(shù)201410548603.5SDN網(wǎng)絡(luò)中虛擬機IP地址自動部署的技術(shù)201410582508.7一種支持物理服務(wù)器加入虛擬網(wǎng)絡(luò)的實現(xiàn)方法201410727352.7可管理性一種UIS環(huán)境中CAS系統(tǒng)一鍵安裝的系統(tǒng)與方法201410765648.8一種VNC客戶端加載本地ISO鏡像的方法201410386278.7一種針對KVM虛擬機的實現(xiàn)多重USB重定向方法201510105048.3可運維性一種分布式多租戶虛擬網(wǎng)絡(luò)的實現(xiàn)201310277240.1一種基于位置的虛擬