虛擬化技術(shù)簡介課件

1、虛擬化技術(shù)簡介Li Yangwei虛擬化技術(shù)簡介虛擬化技術(shù)概述虛擬化技術(shù)的基本要素與分類VMM,虛擬化技術(shù)中軟件的作用硬件對虛擬化的支持虛擬化技術(shù)實踐虛擬化的未來Page 22虛擬化技術(shù)概述在虛擬化技術(shù)中，可以同時運行多個操作系統(tǒng)，而且每一個操作系統(tǒng)中都有多個程序運行，每一個操作系統(tǒng)都運行在一個虛擬的CPU或者是虛擬主機上。虛擬化技術(shù)概述虛擬機技術(shù)出現(xiàn)于上世紀60年代，當時為了提高對珍貴的計算資源的利用率促使虛擬機技術(shù)得到了廣泛的研究和應(yīng)用。4到了80和90年代，多任務(wù)多用戶操作系統(tǒng)的普及以及硬件成本下降使虛擬機技術(shù)無法發(fā)揮其優(yōu)勢，人們冷卻了對它的研究熱情。5現(xiàn)在，在計算機硬件強大性能的前提下

2、，如何降低系統(tǒng)成本、提高系統(tǒng)資源利用率、降低管理成本，如何提高安全性和可靠性、增強可移植性以及提高軟件開發(fā)效率等課題使虛擬機技術(shù)的重要性越來越明顯。使虛擬機技術(shù)重新成為計算機技術(shù)研究的焦點之一。6虛擬化能做什么?幫助客戶在單個物理系統(tǒng)上運行多個操作系統(tǒng)“實例”,節(jié)省硬件成本混合操作系統(tǒng) Linux、Windows，等等隔離應(yīng)用軟件與硬件在新硬件上運行遺留操作環(huán)境優(yōu)化應(yīng)用開發(fā)-在單一系統(tǒng)上進行測試和開發(fā)提高系統(tǒng)靈活性-在系統(tǒng)之間遷移虛擬環(huán)境7VMM必須滿足的三個條件:等價性(保真性)安全性物理硬件應(yīng)完全由VMM管理,VM中程序不得直接接觸高效性虛擬化技術(shù)基本要素10Devices計算機設(shè)備,如C

3、PU,內(nèi)存,硬盤等Device Driver設(shè)備驅(qū)動程序, 即為了控制計算機設(shè)備而添加到操作系統(tǒng)中的一系列代碼，其中包含有關(guān)硬件設(shè)備的信息和通信,控制接口。有了此信息，計算機就可以與設(shè)備進行通信。沒有驅(qū)動程序，計算機中的硬件就無法工作。虛擬化技術(shù)基本要素11Guest OS在虛擬機里運行的操作系統(tǒng)叫Guest OSApplication應(yīng)用程序虛擬化技術(shù)基本要素12虛擬化技術(shù)的分類(3)泛虛擬化技術(shù)或準虛擬化技術(shù)。這種虛擬技術(shù)以xen為代表，它在硬件上覆蓋一層xen Hypervisor，并需要修改操作系統(tǒng)的內(nèi)核。16虛擬化技術(shù)的分類(4)抽象仿真虛擬機。這種虛擬機的典型實例是Java虛擬機。

4、它們在實際的計算機上通過軟件模擬來實現(xiàn)一些抽象的指令，擁有自己的處理器、堆棧、寄存器和相應(yīng)的指令系統(tǒng)等。17VMM,虛擬化技術(shù)中軟件的作用宿主型VMMVMM的分類獨立監(jiān)控型VMM混合型VMM需要運行在Host OS之上,由其提供驅(qū)動程序和與硬件通信直接運行于硬件層之上Page 18VMM分類-ICPU虛擬化傳統(tǒng)CPU等級劃分x86處理器響應(yīng)有4個不同優(yōu)先級，稱為Ring 0Ring3，其中Ring 0的優(yōu)先級最高，Ring 3最低。Ring 0用于操作系統(tǒng)內(nèi)核， Ring 1和Ring 2用于操作系統(tǒng)服務(wù)，Ring 3用于應(yīng)用程序。Page 23CPU虛擬化特權(quán)指令與非特權(quán)指令指令集通?？煞譃?/p>

5、非特權(quán)指令和特權(quán)指令兩種。非特權(quán)指令不能改變共享資源的值或狀態(tài)。共享資源包括處理器、內(nèi)存、計時器和特殊目的的寄存器等。非特權(quán)指令如算術(shù)運算指令、邏輯運算指令等。特權(quán)指令是所有用來訪問共享資源的值或狀態(tài)的指令，這類指令包括關(guān)機、設(shè)置計時器、設(shè)置程序計數(shù)器、改變重定位寄存器的值和I/O相關(guān)的指令。VMM執(zhí)行非特權(quán)指令,可以直接執(zhí)行,而對特權(quán)指令,則需要仿真執(zhí)行.Page 24CPU虛擬化虛擬化系統(tǒng)下CPU等級劃分的困難一般來說，操作系統(tǒng)當然是要運行在Ring 0下的，但為了避免Guest OS破壞Host OS，Guest OS必須運行在低于Ring 0的權(quán)限上（如Ring 1權(quán)限）。問題隨之而來

6、，為了讓Guest OS實現(xiàn)完整的系統(tǒng)功能，又必須讓它發(fā)出的線程是Ring 0級的。于是虛擬軟件就要不斷協(xié)調(diào)Guest OS和Host OS之線程的優(yōu)先級，這種轉(zhuǎn)換必然會增加系統(tǒng)的復雜性，會導致軟件虛擬技術(shù)的性能低下，CPU和內(nèi)存的處理能力在這樣的協(xié)調(diào)中被大量耗費了，有數(shù)據(jù)表明其 引起的系統(tǒng)性能下降5%40%。Page 25CPU虛擬化硬件CPU虛擬化為了提高CPU虛擬化的效率,需要用硬件來完成不同層級的切換.在服務(wù)器領(lǐng)域,CPU可以把VMM放在-1環(huán).由此,intel和AMD各自開發(fā)了vt-x和AMD-V技術(shù),用CPU來幫助VMM完成VMM與Guest OS的隔離.Page 26內(nèi)存虛擬化V

7、MM必須對物理內(nèi)存有最終的控制權(quán)，也就是說，它必須控制將客戶物理地址空間映射到主機物理地址空間的操作。這樣，才可以順利的實現(xiàn)內(nèi)存虛擬化Page 27內(nèi)存虛擬化內(nèi)存虛擬化方法內(nèi)存虛擬化方法：VMM維護一個虛擬機內(nèi)存管理數(shù)據(jù)結(jié)構(gòu)鏡像頁表(shadow page table)。VMM通過鏡像頁表給不同的虛擬機分配機器的內(nèi)存頁，如操作系統(tǒng)虛擬內(nèi)存一樣，VMM能將虛擬機內(nèi)存換頁到磁盤，因此，虛擬機申請的內(nèi)存可以超過機器的物理內(nèi)存。VMM也可以根據(jù)每個虛擬機的要求,動態(tài)地分配相應(yīng)的內(nèi)存。Page 28內(nèi)存虛擬化操作系統(tǒng)對頁表的頻繁更改增加了更新鏡像頁表操作的開銷，使用硬件來管理鏡像頁表將是未來研究的方向。

8、Page 29I/O虛擬化宿主型I/O虛擬化用宿主型的體系結(jié)構(gòu)，使用宿主操作系統(tǒng)的L0設(shè)備驅(qū)動程序。這種結(jié)構(gòu)的缺點之一是大大增加了虛擬化的性能開銷；另一個缺點是現(xiàn)代操作系統(tǒng)如Windows和linux并沒有資源管理的支持為虛擬機提供性能隔離和服務(wù)保證，而這是很多服務(wù)器環(huán)境的基本要求。Page 30I/O虛擬化硬件I/O虛擬化I/O子系統(tǒng)的產(chǎn)業(yè)趨勢是朝著硬件支持的方向發(fā)展。擁有足夠的硬件支持，直接傳送I/O設(shè)備到虛擬機中的軟件是完全可能的，這將有效地消除所有I/O虛擬開銷。要做到這一點， I/O裝置需要了解虛擬機的情況和能夠支持多個虛擬接口，以便VMM能安全地映射接口到虛擬機。Intel VT-

9、d是目前硬件I/O虛擬化的代表Page 31硬件對虛擬化的支持硬件虛擬化技術(shù)可提供基于芯片的功能，借助兼容 VMM 軟件，可為純軟件解決方案帶來很大改觀。由于虛擬化硬件提供操作系統(tǒng)直接運行的新架構(gòu)，便不再需要二進制轉(zhuǎn)換。這就減少了相關(guān)的性能費用，并大大簡化了 VMM 的設(shè)計，使 VMM 能按通用標準進行編寫，并且其性能將變得更加強大。 這些優(yōu)勢增強了整個虛擬機解決方案的支持性。并且在硬件虛擬化技術(shù)下運行的 VMM 在硬件層能夠得到充分的驗證，這種認證包括，它們能夠直接執(zhí)行架構(gòu)的完整指令集。 Page 34硬件對虛擬化的支持VT-x: Virtualization Technology for

10、IA-32intelVT-d: Virtualization Technology for Directed I/OVT-c: Virtualization Technology for ConnectivityTXT- Trusted Execution Technology處理器輔助虛擬化技術(shù)I/O輔助虛擬化:直接I/O可信執(zhí)行技術(shù)網(wǎng)絡(luò)輔助虛擬化技術(shù)Page 35Vt-x 英特爾處理器VT-x技術(shù)有助于提高基于軟件的虛擬化解決方案的靈活性與穩(wěn)定性。通過按照純軟件虛擬化的要求消除VMM代表客戶操作系統(tǒng)來聽取、中斷與執(zhí)行特定指令的需要，不僅能夠有效減少 VMM 干預(yù)，還為 VMM 與客戶操作系

11、統(tǒng)之間的傳輸平臺控制提供了有力的硬件支持，這樣在需要VMM干預(yù)時，將實現(xiàn)更加快速,可靠和安全的切換。 此外，英特爾VT-x 具備的虛擬機遷移特性還可進一步提高故障切換、負載均衡、災(zāi)難恢復和維護的靈活性。Page 36Vt-x VT-x將IA32的CPU操作擴展為兩個形式：VMX root operation（根虛擬化操作）和VMX non-root operation（非根虛擬化操作）.VMX root operation設(shè)計來供給VMM/Hypervisor使用，其行為跟傳統(tǒng)的IA32并無特別不同，而VMX non-root operation則是另一個處在VMM控制之下的IA32環(huán)境。二者

12、都能支持所有的四個Privileges levels，這樣在VMX non-root operation環(huán)境下運行的虛擬機就能完全地利用Privilege 0等級。Page 37Vt-x VT-x設(shè)計了一個Virtual-Machine Control Structure（VMCS，虛擬機控制結(jié)構(gòu)）的數(shù)據(jù)結(jié)構(gòu)，包括了Guest-State Area（客戶狀態(tài)區(qū)）和Host-State Area（主機狀態(tài)區(qū)），用來保存虛擬機以及主機的各種狀態(tài)參數(shù)，并提供了VM entry和VM exit兩種操作在虛擬機與VMM之間切換，用戶可以通過在VMCS的VM-execution control field

13、s里面指定在執(zhí)行何種指令/發(fā)生何種事件的時候，VMX non-root operation環(huán)境下的虛擬機就執(zhí)行VM exit，從而讓VMM獲得控制權(quán)，因此VT-x解決了虛擬機的隔離問題，又解決了性能問題。Page 38Vt-x VT FlexPriority：當處理器執(zhí)行任務(wù)時，往往會收到需要注意的其它設(shè)備或應(yīng)用發(fā)出的請求或“中斷”命令。為了最大程度減少對性能的影響，處理器內(nèi) 的一個專用寄存器將對任務(wù)優(yōu)先級進行監(jiān)控。如此一來，只有優(yōu)先級高于當前運行任務(wù)的中斷才會被及時關(guān)注。Page 39Vt-x 英特爾虛擬化靈活遷移技術(shù)（Intel VT FlexMigration）：虛擬化的一個重要優(yōu)勢是能

14、夠在無需停機的情況下，將運行中的應(yīng)用在物理服務(wù)器之間進行遷移。英特爾虛擬化靈活遷移技術(shù) （Intel VT FlexMigration）旨在實現(xiàn)基于英特爾處理器的當前服務(wù)器與未來服務(wù)器之間的無縫遷移，即使新的系統(tǒng)可能包括增強的指令集也不例外。借助此項技術(shù)，管理程序能夠在遷移池內(nèi)的所有服務(wù)器中建立一套一致的指令，實現(xiàn)工作負載的無縫遷移。Page 40Vt-d Intel VT-d技術(shù)是一種基于PCH芯片(傳統(tǒng)意義上的南橋和北橋的PCI-e部分)的硬件輔助虛擬化技術(shù)，通過在北橋中內(nèi)置提供DMA虛擬化和IRQ虛擬化硬件，實現(xiàn)了新型的I/O虛擬化方式，Intel VT-d能夠在虛擬環(huán)境中大大地提升 I

15、/O 的可靠性、靈活性與性能。Page 41Vt-d Intel VT-d技術(shù)使VMM將特定 I/O 設(shè)備安全分配給特定客戶操作系統(tǒng)。每個設(shè)備在系統(tǒng)內(nèi)存中都有一個專用區(qū)域，只有該設(shè)備及其分配的客戶操作系統(tǒng)才能對該區(qū)域進行訪問。Page 42Vt-c VT-C，Virtualization Technology for Connectivity 指Intel針對網(wǎng)絡(luò)連接的虛擬化技術(shù).虛擬化由于有二層的軟交換，以往的做法是需要對每一個數(shù)據(jù)包進行處理，這樣會導致網(wǎng)絡(luò)吞吐量下降，CPU負載增加，使系統(tǒng)運行速度變慢。針對這種瓶頸，英 特爾通過將硬件上的多個虛擬化設(shè)備隊列和多個CPU內(nèi)核之間進行映射，這樣

16、就使得之間的交換是以隊列為單位，而不是以包為單位，即從包交換的級別提升到了隊列交換的級別，從而大大提升了網(wǎng)絡(luò)的吞吐量。Page 43Vt-c Intel VT-d技術(shù)使VMM將特定 I/O 設(shè)備安全分配給特定客戶操作系統(tǒng)。每個設(shè)備在系統(tǒng)內(nèi)存中都有一個專用區(qū)域，只有該設(shè)備及其分配的客戶操作系統(tǒng)才能對該區(qū)域進行訪問。Page 44TXT 虛擬化技術(shù)的一大問題就是：一般的殺毒軟件和防火墻只能在操作系統(tǒng)中運行，而對處于操作系統(tǒng)之下的VMM無能為力，因此VMM經(jīng)常游離于安全保護之外。Intel TXT由此誕生，基于硬件建立起對VMM的監(jiān)控系統(tǒng)，TXT將檢測VMM的運行狀況，保證虛擬設(shè)備的正常運行。 在正

17、常關(guān)機時，VMM將儲存在內(nèi)存里的信息刪除，而當非正常關(guān)機或系統(tǒng)崩潰時，VMM來不及進行這項工作，就要依靠Intel TXT完成，這樣就可以顯著減少重要信息（如用戶密碼）的泄露幾率。Page 45硬件對虛擬化的支持AMD-V PacificaAMDHyperTransport快速虛擬化變址標記轉(zhuǎn)換旁路緩沖器 (TLB) 設(shè)備排斥向量 (DEV) 快速嵌套頁表 (RVI) AMD虛擬化指令集與Vt-x類似Page 46AMD-V HyperTransport 技術(shù)優(yōu)化了數(shù)據(jù)活動和 VM 之間的資源共享，可以提供更大的系統(tǒng)擴展性?？焖偬摂M化變址使虛擬機可以更直接地管理內(nèi)存，以提高眾多虛擬化應(yīng)用程序的

18、性能。通過利用硬件資源，快速虛擬化變址可以大大縮短管理程序周期和減小通常與虛擬化相關(guān)的性能影響。此外，快速虛擬化變址還可將“世界切換時間” 用于在虛擬機之間進行切換的時間 縮短 25%，以提高應(yīng)用程序的響應(yīng)能力。Page 47AMD-V 記轉(zhuǎn)換旁路緩沖器 (TLB) :通過維護物理系統(tǒng)到VM單個內(nèi)存空間的映射,提高了虛擬機之間的切換速度。設(shè)備排斥向量 (DEV) 其作用類似于交通警察：根據(jù)許可控制對虛擬機內(nèi)存的訪問，從而分離虛擬機以實現(xiàn)安全操作。通過創(chuàng)建拒絕外部設(shè)備(如硬盤、網(wǎng)絡(luò)控制器等)的非授權(quán)內(nèi)存訪問請求的保護域，DEV 在硬件(而非軟件)中執(zhí)行這些安全檢查以提高效率。Page 48AMD

19、-VPage 49AMD-V在采用虛擬化技術(shù)后，應(yīng)用程序的內(nèi)存訪問模式將變的更加復雜（如下圖），原先操作系統(tǒng)的物理地址，將需要通過VMM再進行一次轉(zhuǎn)換，才能映射到實際的物理地址上。傳統(tǒng)的模式是采用影子頁表機制，既由VMM來管理內(nèi)存映射關(guān)系，每一次內(nèi)存訪問都需要VMM進行運算才能訪問到實際的物理地址。而RVI技術(shù)，就是將這種轉(zhuǎn)換直接通過嵌套TLB的方式實現(xiàn)，既通過硬件直接實現(xiàn)轉(zhuǎn)換，極大的提升了虛擬機的工作效率。Page 50AMD-VPage 51虛擬化技術(shù)實踐作業(yè):以下題目任選其一.1.在虛擬平臺上安裝一個操作系統(tǒng),并建立一個用戶(難度)2.在虛擬平臺的兩個操作系統(tǒng)上建立ftp連接(難度)3.

20、在虛擬平臺的操作系統(tǒng)上構(gòu)建虛擬平臺,安裝操作系統(tǒng)(難度)每組所安裝的虛擬平臺虛擬機名稱統(tǒng)一為:大組號+組員姓名首字母縮寫+虛擬機序號如第一組張三李四王五趙六四位同學建的第二個虛擬機,則虛擬機名稱為1zslswwzl2.這個名稱會顯示在上方標簽,在截圖時請截下.1-2人一組2-5人一組5-7人一組Page 52虛擬化技術(shù)實踐實驗?zāi)康?了解虛擬化概念2掌握虛擬機搭建和運用的基本方法3了解在虛擬機間進行網(wǎng)絡(luò)連接的方法(2)4了解vmware和xen的基本操作和在其上安裝操作系統(tǒng)的方法.(3)實驗要求1安裝一個虛擬監(jiān)控器(VMM).2在虛擬平臺上安裝操作系統(tǒng)3在虛擬機之間進行ftp連接(2)4在虛擬平

21、臺的虛擬機上搭建另一層虛擬平臺,安裝操作系統(tǒng).(3)5撰寫實驗報告,需要每個步驟的截圖和適當解釋.Page 53虛擬化技術(shù)實踐需要的資源Vmware Workstation/soft/softdown.asp?softid=64236Page 54虛擬化技術(shù)實踐需要的資源Ubuntu/dvd/current/maverick-dvd-i386.isoPage 55虛擬化技術(shù)實踐需要的資源Fedora/pub/fedora/linux/releases/14/Fedora/i386/iso/Fedora-14-i386-DVD.isoPage 56虛擬化技術(shù)實踐需要的資源Opensusehttp

22、:/ftp.jaist.ac.jp/pub/Linux/openSUSE/distribution/11.3/iso/openSUSE-11.3-DVD-i586.isoPage 57虛擬化技術(shù)實踐虛擬機的搭建打開vmware,文件-新建-虛擬機Page 58虛擬化技術(shù)實踐虛擬機的搭建選擇標準類型配置Page 59虛擬化技術(shù)實踐虛擬機的搭建選擇安裝盤鏡像文件-iso在瀏覽下選擇下載的安裝盤文件Page 60虛擬化技術(shù)實踐虛擬機的搭建選擇操作系統(tǒng)類型,Windows 2000/xp選擇windows,Fedora,Ubuntu,Opensuse,RHEL選擇linuxPage 61虛擬化技術(shù)實踐

23、虛擬機的搭建選擇具體操作系統(tǒng)類型,Fedora選擇”other linux 2.6.x kernelUbuntu和opensuse都有對應(yīng)選項,直接選取Page 62虛擬化技術(shù)實踐虛擬機的搭建輸入虛擬機名稱.再次強調(diào)命名方法:大組號+組員姓名首字母縮寫+虛擬機序號如第一組張三李四王五趙六四位同學建的第二個虛擬機,則虛擬機名稱為1zslswwzl2輸入虛擬機安裝的地址Page 63虛擬化技術(shù)實踐虛擬機的搭建輸入虛擬磁盤大小,一般為10G以上單個文件存儲Page 64虛擬化技術(shù)實踐虛擬機的搭建FinishPage 65虛擬化技術(shù)實踐虛擬機的搭建操作系統(tǒng)的安裝過程對新手是很友好的,一般都可以獨立完成.需要注意的是1.root相當于windows的管理員,很可能需要設(shè)定管理員密碼,類似于windows的administrator的密碼.2.Fedora和Ubuntu推薦使用gnome桌面,而opensuse推薦使用KDE桌面.Page 66虛擬化技術(shù)實踐虛擬機的搭建如果有需要深入了解的,參考:Opensuse:/techdoc/begin