第十講 項(xiàng)目三虛擬化技術(shù)(4)

1、第十講第十講 項(xiàng)目三項(xiàng)目三 虛擬化技術(shù)（虛擬化技術(shù)（4 4）主講主講 趙偉艇趙偉艇項(xiàng)目三內(nèi)容項(xiàng)目三內(nèi)容n 1. 虛擬化技術(shù)虛擬化技術(shù)n 2. 存儲(chǔ)虛擬化存儲(chǔ)虛擬化n 3. 服務(wù)器虛擬化服務(wù)器虛擬化n 4. 網(wǎng)絡(luò)虛擬化網(wǎng)絡(luò)虛擬化n 5. 桌面虛擬化桌面虛擬化n 6. 應(yīng)用虛擬化應(yīng)用虛擬化n 7. 虛擬化技術(shù)的發(fā)展虛擬化技術(shù)的發(fā)展服務(wù)器虛擬化服務(wù)器虛擬化n 將服務(wù)器物理資源抽象成邏輯資源，讓一臺(tái)服務(wù)器變成幾臺(tái)甚至上百臺(tái)將服務(wù)器物理資源抽象成邏輯資源，讓一臺(tái)服務(wù)器變成幾臺(tái)甚至上百臺(tái)相互隔離的虛擬服務(wù)器，不再受限于物理上的界限，而是讓相互隔離的虛擬服務(wù)器，不再受限于物理上的界限，而是讓CPU、內(nèi)存、內(nèi)

2、存、磁盤、磁盤、I/O等硬件變成可以動(dòng)態(tài)管理的等硬件變成可以動(dòng)態(tài)管理的“資源池資源池”，從而提高資源的，從而提高資源的利用率，簡(jiǎn)化系統(tǒng)管理，實(shí)現(xiàn)服務(wù)器整合，讓利用率，簡(jiǎn)化系統(tǒng)管理，實(shí)現(xiàn)服務(wù)器整合，讓IT對(duì)業(yè)務(wù)的變化更具適應(yīng)對(duì)業(yè)務(wù)的變化更具適應(yīng)力。力。n 使軟件和硬件相互分離，即在操作系統(tǒng)與硬件之間加入一個(gè)虛擬化軟件使軟件和硬件相互分離，即在操作系統(tǒng)與硬件之間加入一個(gè)虛擬化軟件層層VMM(Virtual Machine Monitor)，通過(guò)空間上的分割、時(shí)間上，通過(guò)空間上的分割、時(shí)間上的分時(shí)以及模擬，將服務(wù)器物理資源抽象成邏輯資源，向上層操作系統(tǒng)的分時(shí)以及模擬，將服務(wù)器物理資源抽象成邏輯資源，

3、向上層操作系統(tǒng)提供一個(gè)與它原先期待一致的服務(wù)器硬件環(huán)境提供一個(gè)與它原先期待一致的服務(wù)器硬件環(huán)境VM(Virtual Machine 虛擬機(jī)虛擬機(jī))，使得上層操作系統(tǒng)可以直接運(yùn)行在虛擬環(huán)境上，并允許具有，使得上層操作系統(tǒng)可以直接運(yùn)行在虛擬環(huán)境上，并允許具有不同操作系統(tǒng)的多個(gè)虛擬機(jī)相互隔離并發(fā)運(yùn)行在同一臺(tái)物理機(jī)上，從而不同操作系統(tǒng)的多個(gè)虛擬機(jī)相互隔離并發(fā)運(yùn)行在同一臺(tái)物理機(jī)上，從而提供更高的提供更高的IT 資源利用率和靈活性。資源利用率和靈活性。服務(wù)器虛擬化服務(wù)器虛擬化n 服務(wù)器虛擬化主要分為三種：服務(wù)器虛擬化主要分為三種：“一虛多一虛多”、“多虛一多虛一”和和“多虛多多虛多”。 “一虛多”是一臺(tái)服

4、務(wù)器虛擬成多臺(tái)服務(wù)器，即將一臺(tái)物理服務(wù)器分割成多個(gè)相互獨(dú)立、互不干擾的虛擬環(huán)境。 “多虛一”就是多個(gè)獨(dú)立的物理服務(wù)器虛擬為一個(gè)邏輯服務(wù)器，使多臺(tái)服務(wù)器相互協(xié)作，處理同一個(gè)業(yè)務(wù)。 “多虛多”的概念，就是將多臺(tái)物理服務(wù)器虛擬成一臺(tái)邏輯服務(wù)器，然后再將其劃分為多個(gè)虛擬環(huán)境，即多個(gè)業(yè)務(wù)在多臺(tái)虛擬服務(wù)器上運(yùn)行。5服務(wù)器虛擬化的意義服務(wù)器虛擬化的意義服務(wù)器虛擬化架構(gòu)服務(wù)器虛擬化架構(gòu)寄居架構(gòu)寄居架構(gòu)裸金屬架構(gòu)裸金屬架構(gòu)服務(wù)器虛擬化的內(nèi)容服務(wù)器虛擬化的內(nèi)容n CPU虛擬化虛擬化n 內(nèi)存虛擬化內(nèi)存虛擬化n I/O虛擬化虛擬化n 存儲(chǔ)虛擬化存儲(chǔ)虛擬化經(jīng)典的經(jīng)典的CPUCPU虛擬化方法虛擬化方法n 現(xiàn)代計(jì)算機(jī)體系結(jié)

5、構(gòu)一般至少有兩個(gè)特權(quán)級(jí)（即用戶態(tài)和核心態(tài)，現(xiàn)代計(jì)算機(jī)體系結(jié)構(gòu)一般至少有兩個(gè)特權(quán)級(jí)（即用戶態(tài)和核心態(tài)，x86有四個(gè)特權(quán)級(jí)有四個(gè)特權(quán)級(jí)Ring0 Ring3）用來(lái)分隔系統(tǒng)軟件和應(yīng)用軟件）用來(lái)分隔系統(tǒng)軟件和應(yīng)用軟件。那些只能在處理器的最高特權(quán)級(jí)（內(nèi)核態(tài)）執(zhí)行的指令稱之為特權(quán)。那些只能在處理器的最高特權(quán)級(jí)（內(nèi)核態(tài)）執(zhí)行的指令稱之為特權(quán)指令，一般可讀寫系統(tǒng)關(guān)鍵資源的指令（即敏感指令）絕大多數(shù)都是指令，一般可讀寫系統(tǒng)關(guān)鍵資源的指令（即敏感指令）絕大多數(shù)都是特權(quán)指令（特權(quán)指令（X86存在若干敏感指令是非特權(quán)指令的情況）。如果執(zhí)行存在若干敏感指令是非特權(quán)指令的情況）。如果執(zhí)行特權(quán)指令時(shí)處理器的狀態(tài)不在內(nèi)核態(tài)，

6、通常會(huì)引發(fā)一個(gè)異常而交由系特權(quán)指令時(shí)處理器的狀態(tài)不在內(nèi)核態(tài)，通常會(huì)引發(fā)一個(gè)異常而交由系統(tǒng)軟件來(lái)處理這個(gè)非法訪問(wèn)（陷入）。統(tǒng)軟件來(lái)處理這個(gè)非法訪問(wèn)（陷入）。n 經(jīng)典的虛擬化方法就是使用經(jīng)典的虛擬化方法就是使用“特權(quán)解除特權(quán)解除”和和“陷入陷入-模擬模擬”的方式，的方式，即將即將Guest OS運(yùn)行在非特權(quán)級(jí)，而將運(yùn)行在非特權(quán)級(jí)，而將VMM運(yùn)行于最高特權(quán)級(jí)（完運(yùn)行于最高特權(quán)級(jí)（完全控制系統(tǒng)資源）。解除了全控制系統(tǒng)資源）。解除了Guest OS的特權(quán)級(jí)后，的特權(quán)級(jí)后，Guest OS的的大部分指令仍可以在硬件上直接運(yùn)行，只有執(zhí)行到特權(quán)指令時(shí)，才會(huì)大部分指令仍可以在硬件上直接運(yùn)行，只有執(zhí)行到特權(quán)指令時(shí)

7、，才會(huì)陷入到陷入到VMM模擬執(zhí)行（陷入模擬執(zhí)行（陷入-模擬）。模擬）?！跋萑胂萑?模擬模擬” 的本質(zhì)是保證的本質(zhì)是保證可能影響可能影響VMM正確運(yùn)行的指令由正確運(yùn)行的指令由VMM模擬執(zhí)行，大部分的非敏感模擬執(zhí)行，大部分的非敏感指令還是照常運(yùn)行。指令還是照常運(yùn)行。X86X86的虛擬化漏洞的虛擬化漏洞n 因?yàn)橐驗(yàn)閄86指令集中有若干條指令是需要被指令集中有若干條指令是需要被VMM捕獲的敏感指令，但捕獲的敏感指令，但是卻不是特權(quán)指令（稱為臨界指令），因此是卻不是特權(quán)指令（稱為臨界指令），因此“特權(quán)解除特權(quán)解除”并不能導(dǎo)致并不能導(dǎo)致他們發(fā)生陷入模擬，執(zhí)行它們不會(huì)發(fā)生自動(dòng)的他們發(fā)生陷入模擬，執(zhí)行它們不會(huì)

8、發(fā)生自動(dòng)的“陷入陷入”而被而被VMM捕捕獲，從而阻礙了指令的虛擬化。具體獲，從而阻礙了指令的虛擬化。具體X86下的敏感指令分類大致如下下的敏感指令分類大致如下：1、訪問(wèn)或修改機(jī)器狀態(tài)或虛擬機(jī)狀態(tài)的指令。、訪問(wèn)或修改機(jī)器狀態(tài)或虛擬機(jī)狀態(tài)的指令。2、訪問(wèn)或修改敏感寄存器或存儲(chǔ)單元的指令，比如訪問(wèn)時(shí)鐘寄存器和中、訪問(wèn)或修改敏感寄存器或存儲(chǔ)單元的指令，比如訪問(wèn)時(shí)鐘寄存器和中斷寄存器。斷寄存器。3、訪問(wèn)存儲(chǔ)保護(hù)系統(tǒng)或內(nèi)存、地址分配系統(tǒng)的指令。（段頁(yè)之類）、訪問(wèn)存儲(chǔ)保護(hù)系統(tǒng)或內(nèi)存、地址分配系統(tǒng)的指令。（段頁(yè)之類）4、所有、所有I/O指令。指令。其中的其中的(1)和和(4)都是特權(quán)指令，在內(nèi)核態(tài)下執(zhí)行時(shí)會(huì)自

9、動(dòng)產(chǎn)生陷阱被都是特權(quán)指令，在內(nèi)核態(tài)下執(zhí)行時(shí)會(huì)自動(dòng)產(chǎn)生陷阱被 VMM 捕獲，但是捕獲，但是(2)和和(3)不是特權(quán)指令，而是臨界指令。部分臨界指令會(huì)因?yàn)椴皇翘貦?quán)指令，而是臨界指令。部分臨界指令會(huì)因?yàn)镚uest OS的權(quán)限解除執(zhí)行失敗，但是卻不會(huì)拋出異常，所以不能被捕獲，的權(quán)限解除執(zhí)行失敗，但是卻不會(huì)拋出異常，所以不能被捕獲，如如(3)中的中的VERW 校驗(yàn)寫指令。校驗(yàn)寫指令。X86X86的虛擬化方法的虛擬化方法n由于由于x86指令集中有十多條敏感指令不是特權(quán)指令，因此指令集中有十多條敏感指令不是特權(quán)指令，因此x86無(wú)法使用經(jīng)典的虛擬化無(wú)法使用經(jīng)典的虛擬化技術(shù)實(shí)現(xiàn)完全虛擬化。鑒于技術(shù)實(shí)現(xiàn)完全虛擬化

10、。鑒于x86指令集本身的局限，長(zhǎng)期以來(lái)針對(duì)指令集本身的局限，長(zhǎng)期以來(lái)針對(duì)x86的虛擬化實(shí)現(xiàn)的虛擬化實(shí)現(xiàn)大致分為兩派：大致分為兩派：Full virtualization派和派和Para virtualization派。兩派區(qū)別主要派。兩派區(qū)別主要在對(duì)非特權(quán)敏感指令的處理上。在對(duì)非特權(quán)敏感指令的處理上。nFull派采用的是動(dòng)態(tài)的方法，即：運(yùn)行時(shí)監(jiān)測(cè)，捕捉后在派采用的是動(dòng)態(tài)的方法，即：運(yùn)行時(shí)監(jiān)測(cè)，捕捉后在 VMM 中模擬；中模擬；nPara派則主動(dòng)進(jìn)攻，將所有用到的非特權(quán)敏感指令全部替換，這樣就少掉了大量的陷派則主動(dòng)進(jìn)攻，將所有用到的非特權(quán)敏感指令全部替換，這樣就少掉了大量的陷入入- 上下文切換上

11、下文切換 - 模擬模擬 - 上下文切換過(guò)程，獲得了大幅的性能提升。上下文切換過(guò)程，獲得了大幅的性能提升。n硬件輔助虛擬化技術(shù)為硬件輔助虛擬化技術(shù)為CPU增加了新的執(zhí)行模式增加了新的執(zhí)行模式root模式，可以讓模式，可以讓VMM運(yùn)行在運(yùn)行在root模式下，而模式下，而root模式位于模式位于Ring 0的下面，特權(quán)和敏感指令自動(dòng)在的下面，特權(quán)和敏感指令自動(dòng)在hypervisor上執(zhí)上執(zhí)行。行。vCPUvCPU調(diào)度分配機(jī)制調(diào)度分配機(jī)制n 從虛擬機(jī)系統(tǒng)的結(jié)構(gòu)與功能劃分可以看出，客戶操作系統(tǒng)與虛擬機(jī)監(jiān)視器共從虛擬機(jī)系統(tǒng)的結(jié)構(gòu)與功能劃分可以看出，客戶操作系統(tǒng)與虛擬機(jī)監(jiān)視器共同構(gòu)成了虛擬機(jī)系統(tǒng)的兩級(jí)調(diào)度框

12、架，如圖所示是一個(gè)多核環(huán)境下虛擬機(jī)系同構(gòu)成了虛擬機(jī)系統(tǒng)的兩級(jí)調(diào)度框架，如圖所示是一個(gè)多核環(huán)境下虛擬機(jī)系統(tǒng)的兩級(jí)調(diào)度框架?？蛻舨僮飨到y(tǒng)負(fù)責(zé)第統(tǒng)的兩級(jí)調(diào)度框架?？蛻舨僮飨到y(tǒng)負(fù)責(zé)第2 級(jí)調(diào)度級(jí)調(diào)度,即線程或進(jìn)程在即線程或進(jìn)程在VCPU 上的調(diào)度（將核心線程映射到相應(yīng)的虛擬上的調(diào)度（將核心線程映射到相應(yīng)的虛擬CPU上）。虛擬機(jī)監(jiān)視器負(fù)責(zé)第上）。虛擬機(jī)監(jiān)視器負(fù)責(zé)第1 級(jí)調(diào)度級(jí)調(diào)度, 即即VCPU在物理處理單元上的調(diào)度。兩級(jí)調(diào)度的調(diào)度策略和機(jī)制不在物理處理單元上的調(diào)度。兩級(jí)調(diào)度的調(diào)度策略和機(jī)制不存在依賴關(guān)系。存在依賴關(guān)系。VCPU調(diào)度器負(fù)責(zé)物理處理器資源在各個(gè)虛擬機(jī)之間的分配調(diào)度器負(fù)責(zé)物理處理器資源在各個(gè)

13、虛擬機(jī)之間的分配與調(diào)度與調(diào)度,本質(zhì)上即把各個(gè)虛擬機(jī)中的本質(zhì)上即把各個(gè)虛擬機(jī)中的VCPU按照一定的策略和機(jī)制調(diào)度在物理按照一定的策略和機(jī)制調(diào)度在物理處理單元上可以采用任意的策略來(lái)分配物理資源處理單元上可以采用任意的策略來(lái)分配物理資源, 滿足虛擬機(jī)的不同需求。滿足虛擬機(jī)的不同需求。VCPU可以調(diào)度在一個(gè)或多個(gè)物理處理單元執(zhí)行（分時(shí)復(fù)用或空間復(fù)用物理可以調(diào)度在一個(gè)或多個(gè)物理處理單元執(zhí)行（分時(shí)復(fù)用或空間復(fù)用物理處理單元）處理單元）, 也可以與物理處理單元建立一對(duì)一固定的映射關(guān)系（限制訪問(wèn)也可以與物理處理單元建立一對(duì)一固定的映射關(guān)系（限制訪問(wèn)指定的物理處理單元）。指定的物理處理單元）。 內(nèi)存虛擬化內(nèi)存虛

14、擬化n 因?yàn)橐驗(yàn)閂MM (Virtual Machine Monitor) 掌控所有系統(tǒng)資源，因此掌控所有系統(tǒng)資源，因此VMM 握有整個(gè)內(nèi)存資源，其負(fù)責(zé)頁(yè)式內(nèi)存管理，維護(hù)虛擬地址到機(jī)器地址的映射關(guān)握有整個(gè)內(nèi)存資源，其負(fù)責(zé)頁(yè)式內(nèi)存管理，維護(hù)虛擬地址到機(jī)器地址的映射關(guān)系。因系。因Guest OS 本身亦有頁(yè)式內(nèi)存管理機(jī)制，則有本身亦有頁(yè)式內(nèi)存管理機(jī)制，則有VMM的整個(gè)系統(tǒng)就比正的整個(gè)系統(tǒng)就比正常系統(tǒng)多了一層映射：常系統(tǒng)多了一層映射：A. 虛擬地址(VA)，指 Guest OS 提供給其應(yīng)用程序使用的線性地址空間；B. 物理地址(PA)，經(jīng) VMM 抽象的、虛擬機(jī)看到的偽物理地址；C. 機(jī)器地址(M

15、A)，真實(shí)的機(jī)器地址，即地址總線上出現(xiàn)的地址信號(hào)；n 映射關(guān)系如下：映射關(guān)系如下：Guest OS: PA = f(VA)、VMM: MA = g(PA)VMM 維護(hù)一套頁(yè)表，負(fù)責(zé)PA 到MA 的映射。Guest OS 維護(hù)一套頁(yè)表，負(fù)責(zé)VA 到PA 的映射。實(shí)際運(yùn)行時(shí)，用戶程序訪問(wèn)VA1，經(jīng)Guest OS 的頁(yè)表轉(zhuǎn)換得到PA1，再由VMM 介入，使用VMM 的頁(yè)表將PA1 轉(zhuǎn)換為MA1。頁(yè)表虛擬化技術(shù)原理頁(yè)表虛擬化技術(shù)原理n 普通普通MMU(Memory Management Unit，內(nèi)存管理單元，內(nèi)存管理單元)只能完只能完成一次虛擬地址到物理地址的映射，在虛擬機(jī)環(huán)境下，經(jīng)過(guò)成一次虛擬地

16、址到物理地址的映射，在虛擬機(jī)環(huán)境下，經(jīng)過(guò) MMU 轉(zhuǎn)轉(zhuǎn)換所得到的換所得到的“物理地址物理地址”并不是真正的機(jī)器地址。若需得到真正的機(jī)并不是真正的機(jī)器地址。若需得到真正的機(jī)器地址，必須由器地址，必須由VMM 介入，再經(jīng)過(guò)一次映射才能得到總線上使用的機(jī)介入，再經(jīng)過(guò)一次映射才能得到總線上使用的機(jī)器地址。如果虛擬機(jī)的每個(gè)內(nèi)存訪問(wèn)都需要器地址。如果虛擬機(jī)的每個(gè)內(nèi)存訪問(wèn)都需要VMM 介入，并由軟件模擬介入，并由軟件模擬地址轉(zhuǎn)換的效率是很低下的，幾乎不具有實(shí)際可用性，為實(shí)現(xiàn)虛擬地地址轉(zhuǎn)換的效率是很低下的，幾乎不具有實(shí)際可用性，為實(shí)現(xiàn)虛擬地址到機(jī)器地址的高效轉(zhuǎn)換，現(xiàn)普遍采用的思想是：由址到機(jī)器地址的高效轉(zhuǎn)換，

17、現(xiàn)普遍采用的思想是：由VMM根據(jù)映射根據(jù)映射f和和g生成復(fù)合的映射生成復(fù)合的映射fg，并直接將這個(gè)映射關(guān)系寫入，并直接將這個(gè)映射關(guān)系寫入 MMU。n 當(dāng)前采用的頁(yè)表虛擬化方法主要是當(dāng)前采用的頁(yè)表虛擬化方法主要是MMU類虛擬化（類虛擬化（MMU Paravirtualization）和影子頁(yè)表，后者已被內(nèi)存的芯片輔助虛擬化）和影子頁(yè)表，后者已被內(nèi)存的芯片輔助虛擬化技術(shù)所替代。技術(shù)所替代。MMUMMU類虛擬化類虛擬化n 基本原理：基本原理：當(dāng)Guest OS創(chuàng)建一個(gè)新的頁(yè)表時(shí)，會(huì)從它所維護(hù)的空閑內(nèi)存中分配一個(gè)頁(yè)面，并向VMM注冊(cè)該頁(yè)面，VMM會(huì)剝奪Guest OS對(duì)該頁(yè)表的寫權(quán)限，之后Guest

18、OS對(duì)該頁(yè)表的寫操作都會(huì)陷入到VMM加以驗(yàn)證和轉(zhuǎn)換。VMM會(huì)檢查頁(yè)表中的每一項(xiàng)，確保他們只映射了屬于該虛擬機(jī)的機(jī)器頁(yè)面，而且不得包含對(duì)頁(yè)表頁(yè)面的可寫映射。后VMM會(huì)根據(jù)自己所維護(hù)的映射關(guān)系，將頁(yè)表項(xiàng)中的物理地址替換為相應(yīng)的機(jī)器地址，最后再把修改過(guò)的頁(yè)表載入MMU。如此，MMU就可以根據(jù)修改過(guò)頁(yè)表直接完成虛擬地址到機(jī)器地址的轉(zhuǎn)換。內(nèi)存芯片輔助虛擬化內(nèi)存芯片輔助虛擬化n 內(nèi)存的芯片輔助虛擬化技術(shù)是用于替代虛擬化技術(shù)中內(nèi)存的芯片輔助虛擬化技術(shù)是用于替代虛擬化技術(shù)中軟件實(shí)現(xiàn)的軟件實(shí)現(xiàn)的“影子頁(yè)表影子頁(yè)表”的一種芯片輔助虛擬化技術(shù)的一種芯片輔助虛擬化技術(shù)，其基本原理是：，其基本原理是：GVA（客戶操作系

19、統(tǒng)的虛擬地址）（客戶操作系統(tǒng)的虛擬地址）- GPA（客戶操作系統(tǒng)的物理地址）（客戶操作系統(tǒng)的物理地址）- HPA（宿（宿主操作系統(tǒng)的物理地址）兩次地址轉(zhuǎn)換都由主操作系統(tǒng)的物理地址）兩次地址轉(zhuǎn)換都由CPU硬件硬件自動(dòng)完成（軟件實(shí)現(xiàn)內(nèi)存開銷大、性能差）。以自動(dòng)完成（軟件實(shí)現(xiàn)內(nèi)存開銷大、性能差）。以VT-x技術(shù)的頁(yè)表擴(kuò)充技術(shù)技術(shù)的頁(yè)表擴(kuò)充技術(shù)Extended Page Table（EPT）為例，首先）為例，首先VMM預(yù)先把客戶機(jī)物理地址轉(zhuǎn)換預(yù)先把客戶機(jī)物理地址轉(zhuǎn)換到機(jī)器地址的到機(jī)器地址的EPT頁(yè)表設(shè)置到頁(yè)表設(shè)置到CPU中；其次客戶機(jī)修中；其次客戶機(jī)修改客戶機(jī)頁(yè)表無(wú)需改客戶機(jī)頁(yè)表無(wú)需VMM干預(yù)；最后，

20、地址轉(zhuǎn)換時(shí)，干預(yù)；最后，地址轉(zhuǎn)換時(shí)，CPU自動(dòng)查找兩張頁(yè)表完成客戶機(jī)虛擬地址到機(jī)器地自動(dòng)查找兩張頁(yè)表完成客戶機(jī)虛擬地址到機(jī)器地址的轉(zhuǎn)換。使用內(nèi)存的芯片輔助虛擬化技術(shù)，客戶機(jī)址的轉(zhuǎn)換。使用內(nèi)存的芯片輔助虛擬化技術(shù)，客戶機(jī)運(yùn)行過(guò)程中無(wú)需運(yùn)行過(guò)程中無(wú)需VMM干預(yù)，去除了大量軟件開銷，干預(yù)，去除了大量軟件開銷，內(nèi)存訪問(wèn)性能接近物理機(jī)。內(nèi)存訪問(wèn)性能接近物理機(jī)。I/OI/O設(shè)備虛擬化設(shè)備虛擬化nVMM 通過(guò)通過(guò)I/O虛擬化來(lái)復(fù)用有限的外設(shè)資源，其通過(guò)截獲虛擬化來(lái)復(fù)用有限的外設(shè)資源，其通過(guò)截獲 Guest OS對(duì)對(duì)I/O設(shè)備的設(shè)備的訪問(wèn)請(qǐng)求，然后通過(guò)軟件模擬真實(shí)的硬件，目前訪問(wèn)請(qǐng)求，然后通過(guò)軟件模擬真實(shí)的硬

21、件，目前I/O設(shè)備的虛擬化方式主要有三種：設(shè)設(shè)備的虛擬化方式主要有三種：設(shè)備接口完全模擬、前端后端模擬、直接劃分。備接口完全模擬、前端后端模擬、直接劃分。n1.設(shè)備接口完全模擬：設(shè)備接口完全模擬：即軟件精確模擬與物理設(shè)備完全一樣的接口，即軟件精確模擬與物理設(shè)備完全一樣的接口，Guest OS驅(qū)動(dòng)無(wú)須修改就能驅(qū)動(dòng)這個(gè)虛擬設(shè)備。驅(qū)動(dòng)無(wú)須修改就能驅(qū)動(dòng)這個(gè)虛擬設(shè)備。優(yōu)點(diǎn)是沒有額外的硬件開銷，可重用現(xiàn)有驅(qū)動(dòng)程序。優(yōu)點(diǎn)是沒有額外的硬件開銷，可重用現(xiàn)有驅(qū)動(dòng)程序。缺點(diǎn)是為完成一次操作要涉及到多個(gè)寄存器的操作，使得缺點(diǎn)是為完成一次操作要涉及到多個(gè)寄存器的操作，使得 VMM 要截獲每個(gè)寄存器訪問(wèn)并進(jìn)行相應(yīng)的模擬，

22、導(dǎo)要截獲每個(gè)寄存器訪問(wèn)并進(jìn)行相應(yīng)的模擬，導(dǎo)致多次上下文切換，性能較低。致多次上下文切換，性能較低。n2.前端后端模擬：前端后端模擬：VMM 提供一個(gè)簡(jiǎn)化的驅(qū)動(dòng)程序（后端提供一個(gè)簡(jiǎn)化的驅(qū)動(dòng)程序（后端, Back-End），），Guest OS中的驅(qū)動(dòng)程序?yàn)榍岸酥械尿?qū)動(dòng)程序?yàn)榍岸?(Front-End, FE)，前端，前端驅(qū)動(dòng)將來(lái)自其他模塊的請(qǐng)求通過(guò)與驅(qū)動(dòng)將來(lái)自其他模塊的請(qǐng)求通過(guò)與Guest OS間的特殊通信機(jī)制直接發(fā)送給間的特殊通信機(jī)制直接發(fā)送給Guest OS的后端驅(qū)動(dòng)，后端驅(qū)動(dòng)在的后端驅(qū)動(dòng)，后端驅(qū)動(dòng)在處理完請(qǐng)求后再發(fā)回通知給前端（處理完請(qǐng)求后再發(fā)回通知給前端（Xen即采用該方法）。即采用該方

23、法）。優(yōu)點(diǎn)是由于基于事務(wù)的通信機(jī)制，能在很大程度上減少上下文切換開銷，沒有額外的硬件開銷。優(yōu)點(diǎn)是由于基于事務(wù)的通信機(jī)制，能在很大程度上減少上下文切換開銷，沒有額外的硬件開銷。缺點(diǎn)是需要缺點(diǎn)是需要VMM實(shí)現(xiàn)前端驅(qū)動(dòng)，后端驅(qū)動(dòng)可能成為瓶頸。實(shí)現(xiàn)前端驅(qū)動(dòng)，后端驅(qū)動(dòng)可能成為瓶頸。n3.直接劃分：直接劃分：即直接將物理設(shè)備分配給某個(gè)即直接將物理設(shè)備分配給某個(gè) Guest OS，由，由Guest OS直接訪問(wèn)直接訪問(wèn)I/O設(shè)備（不經(jīng)設(shè)備（不經(jīng) VMM），目前與此相關(guān)的技術(shù)），目前與此相關(guān)的技術(shù)有有IOMMU（Intel VT-d, PCI-SIG 之之 SR-IOV 等），旨在建立高效的等），旨在建立高效

24、的I/O虛擬化直通道。虛擬化直通道。優(yōu)點(diǎn)是直接訪問(wèn)減少了虛擬化開銷，缺點(diǎn)是需要購(gòu)買額外的硬件。優(yōu)點(diǎn)是直接訪問(wèn)減少了虛擬化開銷，缺點(diǎn)是需要購(gòu)買額外的硬件。 項(xiàng)目實(shí)踐項(xiàng)目實(shí)踐n 項(xiàng)目項(xiàng)目3案例案例4：H3C云資源管理n 實(shí)踐內(nèi)容：實(shí)踐內(nèi)容：部署計(jì)算資源：主機(jī)池、集群、主機(jī)、虛擬機(jī)部署網(wǎng)絡(luò)資源：虛擬交換機(jī)部署存儲(chǔ)資源：主要是共享存儲(chǔ)計(jì)算資源概念云資源主機(jī)池集群主機(jī)集群主機(jī)虛擬機(jī)集群?jiǎn)⒂昧薍A集群未啟用HA主機(jī)未加入集群虛擬機(jī)虛擬機(jī)模板由虛擬機(jī)克隆或轉(zhuǎn)換而成，供組織使用主機(jī)虛擬機(jī)CAS計(jì)算資源：主機(jī)池、集群、主機(jī)和虛擬機(jī)主機(jī)：一臺(tái)物理服務(wù)器就是一臺(tái)主機(jī)集群：由物理主機(jī)和虛擬機(jī)組成的計(jì)算資源集合主機(jī)池：

25、用于組織和管理數(shù)據(jù)中心內(nèi)的集群與主機(jī)虛擬機(jī)：建立在主機(jī)上通過(guò)軟件模擬的具有完整硬件系統(tǒng)功能的、運(yùn)行在完全隔離環(huán)境中的完整計(jì)算機(jī)系統(tǒng)。虛擬機(jī)主機(jī)池默認(rèn)沒有主機(jī)池，需要手動(dòng)增加不同的二層網(wǎng)絡(luò)建議分別單獨(dú)分配主機(jī)池集群建議不要將主機(jī)直接添加到主機(jī)池，都添加到集群根據(jù)需要開啟集群的HA和DRS功能集群組播地址和組播端口需要保證唯一性。不同集群組播地址相同時(shí)，組播端口至少相差2（自動(dòng)生成，不建議修改）HA功能用于檢測(cè)虛擬機(jī)故障，對(duì)集群中運(yùn)行的虛擬機(jī)提供快速修復(fù)功能。檢測(cè)到虛擬機(jī)故障將自動(dòng)重啟，最大程度降低停機(jī)時(shí)間虛擬機(jī)啟動(dòng)優(yōu)先級(jí)分為高級(jí)、中級(jí)、低級(jí)。HA重啟動(dòng)作將優(yōu)先執(zhí)行啟動(dòng)優(yōu)先級(jí)較高的虛擬機(jī)單臺(tái)虛擬機(jī)

26、啟動(dòng)優(yōu)先級(jí)選擇“默認(rèn)”時(shí)，則默認(rèn)取所在集群設(shè)置的啟動(dòng)優(yōu)先級(jí)集群主機(jī)SSH方式將主機(jī)加入CAS平臺(tái)管理主機(jī)名需要符合客戶規(guī)范要求。長(zhǎng)度最大支持255個(gè)字符，允許大小寫字母、數(shù)字和連接符。不能包含下劃線、不能以數(shù)字開頭。(“HZ-CAS01-CVK01”)主機(jī)主機(jī)默認(rèn)生成兩個(gè)本地存儲(chǔ)池：defaultpool和isopool主機(jī)默認(rèn)生成一個(gè)虛擬交換機(jī)，即管理網(wǎng)的虛擬交換機(jī)虛擬機(jī)虛擬機(jī)與主機(jī)類似，它們主要的區(qū)別在于虛擬機(jī)并不是由電子元器件組成的，而是由一組文件構(gòu)成的。每臺(tái)虛擬機(jī)都是一個(gè)完整的系統(tǒng)，它具有CPU、內(nèi)存、網(wǎng)絡(luò)設(shè)備、存儲(chǔ)設(shè)備和BIOS，因此操作系統(tǒng)和應(yīng)用程序在虛擬機(jī)中的運(yùn)行方式與它們?cè)谄胀?/p>

27、物理機(jī)上的運(yùn)行方式?jīng)]有任何區(qū)別虛擬交換機(jī)簡(jiǎn)介虛擬交換機(jī)(vSwitch)：虛擬機(jī)（VM）內(nèi)部的交換機(jī)主要用于完成VM與外部網(wǎng)絡(luò)、VM與VM間的流量交換。這種交換機(jī)稱為虛擬以太網(wǎng)交換機(jī)（vSwitch）操作系統(tǒng)虛擬網(wǎng)卡操作系統(tǒng)虛擬網(wǎng)卡操作系統(tǒng)虛擬網(wǎng)卡存儲(chǔ)網(wǎng)絡(luò)上行鏈路端口管理網(wǎng)絡(luò)業(yè)務(wù)網(wǎng)絡(luò)虛擬交換機(jī)物理網(wǎng)卡物理服務(wù)器物理交換機(jī)外部網(wǎng)絡(luò)虛擬交換機(jī)簡(jiǎn)介操作系統(tǒng)虛擬網(wǎng)卡操作系統(tǒng)虛擬網(wǎng)卡操作系統(tǒng)虛擬網(wǎng)卡存儲(chǔ)網(wǎng)絡(luò)管理網(wǎng)絡(luò)物理服務(wù)器物理交換機(jī)外部網(wǎng)絡(luò)虛擬交換機(jī)(vSwitch)：多個(gè)網(wǎng)絡(luò)可在同一個(gè)虛擬交換機(jī)中共存，也可以存在于多個(gè)單獨(dú)的虛擬交換機(jī)中同一個(gè)虛擬交換機(jī)可以綁定一個(gè)物理端口也可以綁定多個(gè)物理端口，同時(shí)

28、可以做動(dòng)態(tài)聚合（LACP）物業(yè)務(wù)網(wǎng)絡(luò)虛擬交換機(jī)上行鏈路端口 理網(wǎng)卡物理網(wǎng)卡VNET3VNET2VNET1vSwitch1eth1VMvSwitch0eth0鄰接物理交換機(jī)VMVNET0VMVMvSwitch內(nèi)部結(jié)構(gòu)2種接口VNET X：下聯(lián)口，連接虛擬機(jī)eth X：物理端口（上聯(lián)口），連接外部網(wǎng)絡(luò)物理服務(wù)器VNET3VNET2VNET1vSwitch1eth1物理服務(wù)器VMvSwitch0eth0鄰接物理交換機(jī)VMVNET0VMVM虛擬交換機(jī)工作流程外部報(bào)文走向：上聯(lián)口收到報(bào)文，vSwitch查看MAC地址表查到MAC地址項(xiàng)，從相應(yīng)端口轉(zhuǎn)發(fā)沒有相應(yīng)MAC地址項(xiàng)，廣播VNET3VNET2VNET1vSwitch1eth1物理服務(wù)器VMvSwitch0eth0鄰接物理交換機(jī)VMVNET0VMVM虛擬交換機(jī)工作流程虛擬