(13)虛擬化技術之服務器虛擬化

1.服務器虛擬化的層次

服務器虛擬化分為寄居虛擬化和裸機虛擬化兩種

(1)寄居虛擬化的層次：

寄居虛擬化的虛擬化層一般稱為虛擬機監控器（VMM）

這類虛擬化架構系統損耗比較大

就操作系統層的虛擬化而言，沒有獨立的Hypervisor層

如果使用操作系統層虛擬化，所有虛擬服務器必須運行同一操作系統

(2)裸機虛擬化的層次

架構中的VMM也可以認為是一個操作系統，一般稱為Hypervisor

Hypervisor實現從虛擬資源到物理資源的映射

Hypervisor實現了不同虛擬機的運行上下文保護與切換，保證了各個客戶虛擬系統的有效隔離

 

VMM無法直接捕獲特權指令的解決方案:

(1)完全虛擬化

完全虛擬化具有很好的兼容性，在服務器虛擬化中得到廣泛應用。 

(2)半虛擬化

半虛擬化技術降低了由於虛擬化而引入的系統性能損失。 

 

2.服務器虛擬化的底層實現

(1)CPU虛擬化

虛擬CPU的正確運行是要保證虛擬機指令正確運行，現有的實現技術包括模擬執行和監控執行

調度問題是指VMM決定當前哪個虛擬CPU在物理CPU上運行，要保證隔離性、公平性和性能。 

(2)內存虛擬化

內存虛擬化技術把物理內存統一管理，包裝成多個虛擬的物理內存提供給若干虛擬機使用，每個虛擬機擁有各自獨立的內存空間。 

虛擬內存的管理包括3種地址:機器地址，物理地址和虛擬地址

(3)I/O設備虛擬化

I/O設備虛擬化技術把真實的設備統一管理起來，包裝成多個虛擬設備給若干個虛擬機使用，響應每個虛擬機的設備訪問請求和I/O請求。

I/O設備虛擬化同樣是由VMM進行管理的 

 

3.虛擬機遷移

虛擬機遷移是將虛擬機實例從源宿主機遷移到目標宿主機，並且在目標宿主機上能夠將虛擬機運行狀態恢復到其在遷移之前相同的狀態，以便能夠繼續完成應用

程序的任務。

需要進行虛擬機遷移的原因:

(1)雲計算中心的物理服務器負載經常處於動態變化中，當一台物理服務器負載過大時，若此刻不可能提供額外的物理服務器，管理員可以將其上面的虛擬機遷移到其他服務器，達到負載平衡

(2)雲計算中心的物理服務器有時候需要定期進行升級維護，當升級維護服務器時，管理員可以將其上面的虛擬機遷移到其他服務器，等升級維護完成之后，再把虛擬機遷移回來 

從虛擬機遷移的源與目的地角度可分為(1)物理機到虛擬機的遷移 （P2V） (2)虛擬機到虛擬機的遷移（V2V）(3)虛擬機到物理機的遷移（V2P）

實時遷移（LiveMigration），就是保持虛擬機運行的同時，把它從一個計算機遷移到另一個計算機，並在目的計算機恢復運行的技術。 

虛擬機遷移的步驟:預遷移-->預定資源-->預復制-->停機復制-->提交-->啟動

 

內存的遷移是虛擬機遷移最困難的部分

內存遷移包含三個階段:

第一階段，Push階段。  第二階段，Stop-and-Copy階段。  第三階段，Pull階段。 

實際上，遷移內存沒有必要同時包含上述三個階段，目前大部分的遷移策略只包含其中的一個或者兩個階段。

不同遷移策略的比較:

 

網絡資源的遷移:

虛擬機這種系統級別的封裝方式意味着遷移時VM的所有網絡設備，包括協議狀態（如TCP連接狀態）以及IP地址都要隨之一起遷移。

在局域網內，可以通過發送ARP重定向包，將VM的IP地址與目的機器的MAC地址相綁定，之后的所有包就可以發送到目的機器上。 

存儲設備的遷移:

遷移存儲設備的最大障礙在於需要占用大量時間和網絡帶寬，通常的解決辦法是以共享的方式共享數據和文件系統，而非真正遷移。

目前大多數集群使用NAS（Network Attached Storage，網絡連接存儲）作為存儲設備共享數據。

NAS實際上是一個帶有瘦服務器的存儲設備，其作用類似於一個專用的文件服務器。

在局域網環境下，NAS已經完全可以實現異構平台之間，如NT、UNIX等的數據級共享。

基於以上的考慮，Xen並沒有實現存儲設備的遷移，實時遷移的對象必須共享文件系統。 

 

4.隔離技術

虛擬機隔離是指虛擬機之間在沒有授權許可的情況下，互相之間不可通信、不可聯系的一種技術。 

從軟件角度看，互相隔離的虛擬機之間保持獨立，如同一個完整的計算機

從硬件角度看，被隔離的虛擬機相當於一台物理機，有自己的CPU、內存、硬盤、I/O等，它與宿主機之間保持互相獨立的狀態

從網絡角度看，被隔離的虛擬機如同物理機一樣，既可以對外提供網絡服務，也一樣可以從外界接受網絡服務

虛擬機隔離機制:

(1)網絡隔離；

(2)構建虛擬機安全文件防護網；

(3)基於訪問控制的邏輯隔離機制；

(4)通過硬件虛擬，讓每個虛擬機無法突破虛擬機管理器給出的資源限制；

(5)硬件提供的內存保護機制；

(6)進程地址空間的保護機制，IP地址隔離。

內存隔離:

虛擬機監控器使用分段和分頁機制對自身的物理內存進行保護。x86體系結構提供了支持分段機制的虛擬內存，這能夠提供另一種形式的特權級分離。 

網絡隔離:

 網絡隔離的目標 :確保把有害的攻擊隔離，在可信網絡之外和保證可信網絡內部信息不外泄的前提下，完成網間數據的安全交換。 

網絡隔離的安全要素:

機密性 完整性 可用性 可控性 抗抵賴

網絡隔離的安全機制:

訪問控制 身份認證 加密簽名