虚拟化技术[1]之服务器虚拟化

虚拟化技术简介

• 虚拟化技术伴随着计算机的出现而产生和发展起来，虚拟化技术可以用来对数据中心的各种资源进行虚拟化和管理，可以实现服务器虚拟化、存储虚拟化、网络虚拟化和桌面虚拟化。虚拟化技术已经成为构建云计算环境的一项关键技术。
• 虚拟化技术将数据中心的物理资源进行抽象整合。数据中心虚拟化可以实现资源的动态分配和调度，提高现有资源的利用率和服务可靠性；提供自动化的服务开通能力，降低运维成本；具有有效的安全机制和可靠性机制，满足公众客户和企业客户的安全需求；同时也可以方便系统升级、迁移和改造。

数据中心虚拟化

• 服务器虚拟化：将一个或多个物理服务器虚拟成多个逻辑上的服务器
• 存储虚拟化：把分布的异构存储设备统一为一个或几个大的存储池
• 网路虚拟化：在底层物理网络和网络用户之间增加一个抽象层

服务器虚拟化

服务器虚拟化层次

寄居虚拟化

• 寄居虚拟化的虚拟化层一般称为虚拟机监控器（VMM）。
• 系统损耗比较大
• 操作系统层的虚拟化，没有独立的Hypervisor层
• 使用操作系统层虚拟化，所有虚拟服务器必须运行同一操作系统
  

裸机虚拟化

• 架构中的VMM也可以认为是一个操作系统，一般称为Hypervisor
• Hypervisor实现从虚拟资源到物理资源的映射
• Hypervisor实现不同虚拟机的运行上下文保护与切换，保证了各个客户虚拟系统的有效隔离
  

VMM无法直接捕获特权指令解决方案

• 完全虚拟化具有较好兼容性，在服务器虚拟化中应用广泛
• 半虚拟化技术降低由于虚拟化而引入的系统性能损失

服务器虚拟化底层实现

CPU虚拟化

1. 虚拟CPU的正确运行要保证虚拟机指令正确运行，现有的实现技术包括模拟执行和监控执行
2. 调度问题是指VMM决定当前哪个虚拟CPU在物理CPU上运行，要保证隔离性、公平性和性能。

内存虚拟化

• 内存虚拟化技术：物理内存统一管理，包装成多个虚拟的物理内存提供给若干虚拟机使用，每个虚拟机拥有各自独立的内存空间。
• 虚拟内存的管理包括3种地址：机器地址、物理地址、虚拟地址
  

1. 虚拟地址（Virtual Address）：

   • 由应用程序生成的地址。虚拟地址空间独立于物理内存，因此每个进程认为自己拥有一个连续且独立的地址空间。
   • 虚拟地址通过内存管理单元（MMU）进行映射，转换为物理地址。

2. 物理地址（Physical Address）：

   • 实际存在于内存中的地址。物理内存是真实硬件提供的存储空间。
   • 操作系统和硬件联合负责将虚拟地址翻译成物理地址，以便进行实际的存储操作。

3. 机器地址（Machine Address）：

   • 机器地址有时也指物理地址，两者在大多数上下文中是同义的。
   • 在某些特定的硬件架构或文档中，机器地址可能特指硬件层面的一些特殊地址，然而普遍理解是物理地址。

I/O设备虚拟化

• I/O设备虚拟化技术把真实的设备统一管理起来，包装成多个虚拟设备给若干个虚拟机使用，响应每个虚拟机的设备访问请求和I/O请求
• I/O设备虚拟化同样是由VMM进行管理，主要有全虚拟化、半虚拟化和软件模拟三种思路。

1. 全虚拟化（Full Virtualization）：

   • 在全虚拟化中，VMM模拟真实的硬件设备，使得虚拟机中的操作系统和应用程序可以完全不知道自己运行在虚拟化环境中。
   • 优点是兼容性好，不需要修改客户操作系统。然而，由于需要模拟硬件，可能会导致性能下降。

2. 半虚拟化（Paravirtualization）：

   • 半虚拟化通过修改客户操作系统，使其意识到自己运行在虚拟化环境中，并提供特殊的API来优化I/O操作。
   • 这种方法可以显著提高I/O性能，但需要对客户操作系统进行修改，这可能会限制其应用范围。

3. 软件模拟（Software Emulation）：

   • 软件模拟是通过软件完全模拟硬件设备的行为。这种方法可以在任何硬件上运行任何操作系统，但通常性能较低。
   • 软件模拟常用于测试和开发环境，或者在需要支持多种不同操作系统的场景中。

虚拟机迁移

• 虚拟机迁移：将虚拟机实例从源宿主机迁移到目标宿主机，并且在目标宿主机上能够将虚拟机运行状态恢复到其在迁移之前相同的状态，以便能够继续完成应用程序的任务。
  

虚拟机动态迁移

• 实时迁移（LiveMigration）：保持虚拟机运行的同时，把它从一个计算机迁移到另一个计算机，并在目的计算机恢复运行的技术。

1. 当云计算中心的物理服务器负载过大时，管理员可以将其上面的虚拟机迁移到其他服务器，达到负载平衡
2. 云计算中心的物理服务器需要定期进行升级维护，当升级维护服务器时，管理员可以将其上面的虚拟机迁移到其他服务器，等升级维护完成之后，再把虚拟机迁移回来
   
   
3. 预迁移（Pre-Migration）：主机A打算迁移其上的一个虚拟机VM，首先选择一个目的计算机。
4. 预定资源（Reservation）：主机A向主机B发起迁移请求，先确认B是否有必需的资源，若有，则预定这些资源；若没有，VM仍在主机A中运行，可以继续选择其他计算机作为目的计算机。
5. 预复制（InterativePre-Copy）：在这一阶段VM仍然运行，主机A以迭代的方式将VM的内存页复制到主机B上。在第一轮迭代中，所有的页都要从A传送到B，以后的迭代只复制前一轮传送过程中被修改过的页面。
6. 停机复制（Stop-and-Copy）：停止主机A上的VM，把它的网络连接重定向到B。CPU状态和前一轮传送过程中修改过的页都在这个步骤被传送。最后，主机A和主机B上有一致的VM映象。
7. 提交（Commitment）：主机B通知A已经成功收到了VM的映像，主机A对这个消息进行确认，然后主机A可以抛弃或销毁其上的VM。
8. 启动（Activation）：启动迁移到B上的VM，迁移后使用目的计算机的设备驱动，广播新的IP地址。

迁移内容：内存迁移

• 为实现虚拟机的实时迁移，完整的内存迁移的过程分为以下三个阶段：

1. 第一阶段：Push阶段。在VM运行的同时，将它的一些内存页面通过网络复制到目的机器上。为了保证内容的一致性，被修改过的页需要重传。
2. 第二阶段：Stop-and-Copy阶段。VM停止工作，把剩下的页面复制到目的计算机上，然后在目的计算机上启动新的VM。
3. 第三阶段：Pull阶段。新的虚拟机运行过程中，如果访问到未被复制的页面，就会出现页错误并从原来的VM处把该页复制过来。

• 实际上，目前大部分的迁移策略只包含其中的一个或者两个阶段。

迁移内容：网络资源迁移

• 虚拟机这种系统级别的封装方式意味着迁移时VM的所有网络设备，包括协议状态（如TCP连接状态）以及IP地址都要随之一起迁移。

• 在局域网内，可以通过发送ARP重定向包，将VM的IP地址与目的机器的MAC地址相绑定，之后的所有包就可以发送到目的机器上。

迁移内容：存储设备迁移

• 迁移存储设备的最大障碍在于需要占用大量时间和网络带宽，通常的解决办法是以共享的方式共享数据和文件系统，而非真正迁移。
• 目前大多数集群使用NAS（Network Attached Storage，网络连接存储）作为存储设备共享数据。

• NAS实际上是一个带有瘦服务器的存储设备，其作用类似于一个专用的文件服务器。

• 在局域网环境下，NAS已经完全可以实现异构平台之间，如NT、UNIX等的数据级共享。
• 基于以上的考虑，Xen并没有实现存储设备的迁移，实时迁移的对象必须共享文件系统。

隔离技术

• 虚拟机隔离指虚拟机之间在没有授权许可的情况下，互相之间不可通信、不可联系的一种技术。
  • 从软件角度，互相隔离的虚拟机之间保持独立，如同一个完整的计算机
  • 从硬件角度，被隔离的虚拟机相当于一台物理机，有自己的CPU、内存、硬盘、I/O等，它与宿主机之间保持互相独立的状态
  • 从网络角度，被隔离的虚拟机如同物理机一样，既可以对外提供网络服务，也可以从外界接受网络服务
• 虚拟机隔离是确保虚拟机之间安全与可靠性的一种重要手段，现有虚拟机隔离机制主要包括：网络隔离；构建虚拟机安全文件防护网；基于访问控制的逻辑隔离机制；通过硬件虚拟，让每个虚拟机无法突破虚拟机管理器给出的资源限制

内存隔离

• MMU(Memory Management Unit 内存管理单元)，它是中央处理器（CPU）中用来管理虚拟存储器、物理存储器的控制线路，负责将虚拟地址映射为物理地址，以及提供硬件机制的内存访问授权。

• Xen将这层中间地址真正地映射到机器地址上却可以是不连续的，这保证所有的物理内存可被任意分配给不同的Guest OS
  

---

• 虚拟机监控器使用分段和分页机制对自身的物理内存进行保护。x86体系结构提供支持分段机制的虚拟内存，这能够提供另一种形式的特权级分离。

---

• 基址：基址+虚拟地址=>线性地址
• 段限：决定段中所能访问的线性空间的长度
• 属性位：标记是否可读写、可执行、属于代码段还是数据段

网络隔离

• 网络隔离：确保把有害的攻击隔离，在可信网络之外和保证可信网络内部信息不外泄的前提下，完成网间数据的安全交换。
• 网络隔离关键：在于系统对通信数据的控制，即通过不可路由的协议来完成网间的数据交换