虚拟化技术.

Presentation on theme: "虚拟化技术."— Presentation transcript:

1 虚拟化技术

2 agenda 虚拟化技术概述 基本虚拟化技术 硬件对虚拟化的支持 VMware虚拟化技术

3 认识虚拟化 应用程序 LIB库仿真 操作系统虚拟化 程序库 半虚拟化 计算机系统 操作系统 全虚拟化 硬件 指令仿真 Wine
性能 计算机系统 应用程序 LIB库仿真 高 Wine 应用编程接口API 操作系统虚拟化 程序库 VServer 系统调用SysCall 半虚拟化 Xen 操作系统 全虚拟化 KVM/Vmware 从前面的描述可知，重点是如何在OS执行那些需要修改/读取 状态寄存器、关键内存、I/O时能进行捕获，这样就派生出了两种虚拟化技术 全虚拟化是OS不需要任何修改，这样VMM必须要有硬件的帮助才能进行这些关键指令的捕获。对于初期的x86芯片，有一些指令硬件不支持进行捕获，这样的CPU是不能进行虚拟化的CPU,但Vmware发明了指令替换的方式，在运行OS前，先将OS映像中的这些指令替换成了能捕获的指令(在替换后，还能保证VMM能得知原有的指令，以进行虚拟执行，这就是这个发明的关键点)。 半虚拟化是OS主动将这部分关键指令转给VMM执行，这样VMM可以不用截获这部分指令，实现比较简单，性能也较快，不过需要OS进行相应的修改。 指令集合ISA 硬件 指令仿真 QEMU 低

4 虚拟化技术的历史 2006 1960‘s 1999 2003 2005 虚拟化技术将物理资源转化为便于切分的资源池，符合云计算的基本条件；
虚拟化给资源以动态调配的能力，符合云计算按需分配的要求； 资源池 2006 Amazon采用虚拟化技术提供云计算平台，取得了商业上的成功，虚拟化技术成为云计算的基石； 1960‘s 1999 2003 2005 IBM推出虚拟化技术，提高了昂贵的大型机的利用率； VMware公司解决了X86虚拟化问题，推出了X86平台的虚拟机软件，使虚拟化技术开始走向普通用户。 开源虚拟化技术Xen推出，使虚拟化技术的研究和应用更加普及； Intel和AMD推出支持虚拟化技术的处理器和芯片组，实现了硬件辅助虚拟化技术；

5 服务器虚拟化的基础概念 虚拟化后 虚拟化前 虚拟化将硬件、操作系统和应用程序一同封装一个可迁移的虚拟机档案文件中 软件必须与硬件相结合
未更改过的应用 未更改过的OS 虚拟硬件 幻灯片目的： 指出传统 x86 服务器的一些局限性，同时简单地描述一下虚拟化可做些什么 要点： 对于传统的 x86 服务器： 操作系统局限于硬件，因为操作系统根据硬件配置来自定义 通常在一台服务器上您只能运行一个负载，以避免应用程序的冲突问题和可以为某个特定应用程序调节操作系统 这种体系结构和它的不灵活性很大程度上导致了服务器数量的增加和服务器利用率的降低 VMware 的服务器虚拟化技术可以做些什么： 将一个物理系统（硬件配置、操作系统、应用程序和它们的配置）一同装入一个虚拟机包中 然后，这个虚拟机包就可以在安装有 VMware 虚拟化层的任何服务器上运行 在下一张幻灯片中，我会解释虚拟化提供的一些能力可以帮助传统的 x86 服务器体系结构克服它们的局限 脚本： 服务器虚拟化彻底改变了您对桌面计算机或服务器机器的想法。 为了对比，让我们先看看幻灯片左侧显示的典型 x86（Intel 或 AMD 处理器）服务器。每个服务器具有一个硬件配置、一个安装在该硬件上的操作系统和安装在该操作系统内的一些应用程序。此体系结构的每一层都很紧密地连接着下面的一层，且最终连接到硬件。操作系统根据硬件来定制自己，体现在它使用的驱动程序、调整它参数的方式等等。应用程序依次连接于它所安装的操作系统上。 这就是人们数十年来一直使用的体系结构，但是它并不是理想的体系结构。为什么不理想？因为在每台物理机器上您仅能拥有一个操作系统，而且多数情况下仅有一个负载。很难在这些服务器上运行多个主应用程序，因为如果这样做，则可能会产生冲突和性能问题。实际上，当前计算的最佳做法是每个服务器仅运行一个应用程序以避免这些问题。但是，这么做的结果是大多数时间利用率很低。如前面所讨论，我们浪费了我们所购买的大部分计算能力。您必须有意地在浪费硬件和降低风险间寻找平衡。 不仅如此，这个体系结构还很不灵活。此时让某个服务器在多数情况下闲置？要用多长时间才能将它调整为其它用途？您需要存档当前操作系统和应用程序、为新的应用程序重新配置或（为了安全）重新安装操作系统、安装应用程序等等。如果稍后您还需要再次调整它的用途，这对您来说并不是一个很好的建议。 虚拟化彻底改变了这一切。它将一个物理系统与操作系统以及操作系统中安装的任何软件一同装入一个（我们称之为）“虚拟机”中。虚拟机包括虚拟硬件配置以及虚拟磁盘，其中可安装操作系统和应用程序。对于虚拟机中的操作系统来说，与在真实物理硬件上运行没有区别。虚拟机中的操作系统与您在物理机器上使用的操作系统是一样的 — 无论它是 Windows、Linux、Netware、BSD，等等。不需要为虚拟化对它做任何修改。操作系统中安装的应用程序与虚拟化前在操作系统中运行的完整应用程序是一样的。 每个虚拟机都运行在由 VMware 软件在一个服务器上设置的薄虚拟化层的上端。此虚拟化层负责为每个虚拟机分配资源和将每个虚拟机看到的虚拟硬件映射到服务器的实际物理硬件上。 软件必须与硬件相结合 每台机器只能 运行单一的操作系统 每个操作系统有一个或多个应用程序负载（通常只有一个） 增加虚拟化层 裸金属架构 每台机器上有多个操作系统和多个应用负载 5

6 虚拟机 虚拟机 虚拟机 虚拟机 … 虚拟化计算系统体系结构 传统计算系统 计算模式 虚拟化计算系统 计算模式 应用程序 操作系统
应用系统 应用系统 应用系统 应用系统 虚拟机 虚拟机 虚拟机 虚拟机 操作系统 操作系统 操作系统 操作系统 应用程序 操作系统 … 虚拟机管理器VMM VMM VMM VMM 单计算系统 虚拟化 多计算系统 虚拟化 8

7 整个虚拟机都保存在文件中，而且可以通过移动和复制这些文件的方式来移动和复制该虚拟机
虚拟技术: 四大特性 分区 在单一物理服务器上同时运行 多个虚拟机 隔离 在同一服务器上的虚拟机之间 相互隔离 封装 整个虚拟机都保存在文件中，而且可以通过移动和复制这些文件的方式来移动和复制该虚拟机 相对于硬件独立 无需修改即可在任何服务器上 运行虚拟机 这里是虚拟化的一些主要功能： 分区：能够划分服务器的资源，以便在单一物理服务器上同时和独立地运行多个虚拟机 1. 多个不同的OS 2. 提高率用率 3 减少服务器数量 隔离：虚拟机互相独立地运行：影响某一个虚拟机的崩溃、病毒等问题不会影响在同一系统中运行的其它虚拟机；我们的高级服务器虚拟化产品也提供隔离功能，该隔离功能可以确保一个虚拟机不会占用同一系统中其它虚拟机的资源 封装：所有与虚拟机相关的内容都存储在文件中，复制和移动虚拟机就象复制和移动文件一样简单 1. 服务器资源调配类似于拷贝文件 2. 服务器迁移现在类似于数据迁移 ，不是搬动物理服务器 3. 备份和恢复 4. 数据管理技术可用于服务器管理 服务器克隆/拷贝 版本控制 服务器存档 远程镜像 4. 数据生命周期管理， 分层存储 硬件独立：因为 VMware 虚拟化层从操作系统和应用程序中抽取硬件，所以虚拟机不在乎实际硬件是什么，从而达到相对于硬件独立 任意选择硬件，不会锁定硬件厂商 恢复到不同硬件 脚本： 虚拟化技术的一些主要功能可以用来应对数据中心的挑战。 这些主要功能之一就是分区。分区意味着虚拟化层为多个虚拟机划分服务器资源的能力；每个虚拟机可以同时运行一个单独的操作系统（相同或不同的操作系统），使您能够在一台服务器上运行多个应用程序；每个操作系统只能看到虚拟化层为其提供的“虚拟硬件”（虚拟网卡、SCSI卡，等等），以使它认为它是运行在自己的专用服务器上。 另一个主要功能是隔离。虚拟机以许多方式互相隔离： 方式之一，一个虚拟机的崩溃或故障（例如，操作系统故障、应用程序崩溃、驱动程序故障，等等）不会影响同一服务器上的其它虚拟机 一个虚拟机中的病毒、蠕虫等与其它虚拟机相隔离，就像每个虚拟机都位于单独的物理机器上一样 在我们的高级服务器虚拟化产品中可以进行资源控制以提供性能隔离：您可以为每个虚拟机指定最小和最大资源使用量，以确保某个虚拟机不会占用所有的资源而使得同一系统中的其它虚拟机无资源可用 由于这种隔离，使得您可以在单一机器上同时运行多个负载/应用程序/操作系统，而不会出现我们刚才讨论传统 x86 服务器体系结构的局限性时所提到的那些问题（应用程序冲突、DLL 冲突等等）。 虚拟机第三个重要功能为封装。封装意味着将整个虚拟机（硬件配置、BIOS 配置、内存状态、磁盘状态、I/O 设备状态、CPU 状态）储存在独立于物理硬件的一小组文件中。这样，您只需复制几个文件就可以随时随地根据需要复制、保存和移动虚拟机。 而且虚拟机相对于硬件是独立的。因为虚拟机运行于虚拟化层之上，所以它们只能看到虚拟化层提供的虚拟硬件；此虚拟硬件也同样不必考虑物理服务器的情况；这样，虚拟机就可以在任何 x86 服务器（IBM、Dell、HP、Xeon、Opteron，等等）上运行而无需进行任何修改。这打破了操作系统和硬件以及应用程序和操作系统/硬件之间的约束，这些约束在前面我们讨论传统 x86 服务器体系结构的局限性时已经提到。 我们可以看到，这些功能对于在虚拟机中建立系统来说具有重大的意义。 7

8 虚拟化益处：实现资源最优利用 虚拟机 大大提高硬件利用率 增加系统的可管理性 简化服务器安装过程，节约时间50%~70%
Hypervisor Hypervisor Hypervisor Hypervisor 通过虚拟化进行服务器整合优势： 大大提高硬件利用率 增加系统的可管理性 简化服务器安装过程，节约时间50%~70% 减少10倍或更多的硬件购买需求，节约一半的购买和维护成本 利用虚拟化技术，在一台物理服务器或一套硬件资源上虚拟出多个虚拟机，让不同的应用服务运行在不同的虚拟机上，在不降低系统鲁棒性、安全性和可扩展性的同时，可提高硬件的利用率，减少应用对硬件平台的依赖性，从而使得企业能够削减资金和运营成本，同时改善 IT 服务交付，而不用受到有限的操作系统、应用程序和硬件选择范围的制约。 8

9 虚拟化益处：动态负载均衡资源 利用虚拟机与硬件无关的特性的虚拟机迁移技术，按需分配资源
当VMM监测到某个计算节点的负载过高时，可以在不中断业务的情况下，将其迁移到其它负载较轻的节点或者在节点内通过重新分配计算资源 执行紧迫计算任务的虚拟机得到更多的计算资源，保证关键任务的响应能力 Hypervisor Hypervisor Hypervisor 9

10 虚拟化益处：系统自愈功能提升可靠性 实现经济高效、独立于硬件和操作系统的应用程序高可用性 系统服务器硬件故障时，可自动重启虚拟机
消除在不同硬件上恢复操作系统和应用程序安装所带来的困难，其中任何物理服务器均可作为虚拟服务器的恢复目标 减少硬件成本和维护成本 Hypervisor Hypervisor Hypervisor

11 虚拟化益处：提升系统节能减排能力 与服务器管理硬件配合实现智能电源管理 优化虚拟机资源的实际运行位置，达到耗电最小化
可为运营商节省大量电力资源，减少供电成本，节能减排 Hypervisor Hypervisor Hypervisor 休眠 11

12 虚拟化技术的驱动力——IT成本的消减 虚拟化技术能够显著提高硬件平台的利用率，节省50%以上的IT投资；
IDC统计的每用户年度花费 虚拟化技术能够显著提高硬件平台的利用率，节省50%以上的IT投资； 硬件服务器的减少同时能够节省机房电力、空间和制冷方面的投入；

13 虚拟化技术的驱动力——管理和可用性的提升
虚拟机 虚拟机 App App OS OS 故障 升级 维护 物理设备 虚拟机与物理服务器的隔离，使物理服务器的变化不波及虚拟机，简化了管理难度； 虚拟机间能够提供对上层透明灾难恢复机制，灾难恢复过程简单灵活，能显著提高系统可用性；

14 数据中心整合案例 客户示例：领先的北美公共设施公司 VMware 对其产生的影响 整合之前 整合之后 服务器 1,000 台 80 台 存储
270 TB DAS 140 TB SAN 和 NAS 网络 3,000 个电缆/端口 300 个电缆/端口 设备 200 个服务器机架 400 个电源开关 10 个服务器机架 20 个电源开关 硬件成本节省 数据中心空间、电力和制冷成本节省 70-80% 2 年节省 800 万美元 运营效率 服务器重建和应用程序载入时间从 小时缩短到 分钟 每年节省 10,000 工时 14

15 agenda 虚拟化技术概述 基本虚拟化技术 硬件对虚拟化的支持 VMware虚拟化技术

16 Stand-alone Hypervisor
虚拟化技术的关键组件——VMM组织架构 VMM又称为Hypervisor，负责为虚拟机统一分配CPU、内存和外设，调度虚拟资源； APP Guest OS1 App Guest OS2 APP Guest OS1 APP Guest OS2 Service OS APP Guest OS1 APP Guest OS2 VMM Host OS VMM VMM Hardware Hardware Hardware OS-Hosted 模式 VMM作为一个应用程序运行在主机操作系统上，兼容性好但效率低。 Stand-alone Hypervisor 模式 VMM直接运行在物理硬件上，效率更高，但硬件兼容性差。 前两种方式的综合，VMM直接运行在物理硬件上，但驱动程序由Service OS提供。 Hybrid模式

17 VMM组织架构举例——VMware产品虚拟化架构
寄居架构（Hosted Architecture） 裸金属架构 (“Bare Metal” Architecture) 例如：GSX Server, VMware Server, Workstation 安装和运行应用程序 依赖于主机操作系统对设备的支持和物力资源的管理 例如：ESX Server 依赖虚拟层内核 代理和帮助应用的服务控制台 17

18 X86平台虚拟化的三种方式 全虚拟化 半虚拟化 硬件辅助虚拟化 18
客户操作系统运行在Ring 1级，VMM运行在Ring 0级，对于不能虚拟化的特权指令，通过二进制转换方式转换为同等效果的指令序列运行，而用户级指令可直接运行。 不需要修改操作系统，虚拟机具有较好的隔离性和安全性。 半虚拟化 需要修改操作系统内核，将不能虚拟化的指令替换为hypercall，hypercall直接与虚拟层通信； 显著减少了虚拟化开销，性能较高，但是由于需要修改操作系统内核，对于非开放的操作系统，如windows 2000/xp，则无法支持。 硬件辅助虚拟化 CPU在Ring 0级之下还提供了一个Root Mode，VMM运行在Root Mode下。特权指令自动被VMM捕获，不需要进行二进制转换或调用Hypercall； 效率较高，无需修改操作系统。 ZTE最新的刀片支持硬件辅助虚拟化。 1、全虚拟化通常是指其上运行的客户OS不需要作任何修改，但客户OS所要求的CPU指令集必须为物理CPU的指令集所兼容。这种模型使用一个虚拟机在客户操作系统和原始硬件之间进行协调。VMM 在客户操作系统和裸硬件之间提供协作，特权指令必须被捕获下来并在 hypervisor 中进行处理，这是因为底层硬件并不由操作系统拥有，而是由操作系统通过 hypervisor 共享的。 2、半虚拟化通常是指其上运行的客户OS需要作少量的修改，与VM共同协作完成虚拟机的工作。半虚拟化与全虚拟化有一些类似。它同样使用了一个 hypervisor 来实现对底层硬件的共享访问，不同之处在于它将与虚拟化有关的代码集成到了操作系统本身中。 18

19 X86平台 Full virtualization虚拟化技术
App Ring 3 用户指令直接执行 Ring 2 Guest OS Ring 1 对特权指令进行二进制转换 VMM Ring 0 X86 硬件平台 客户操作系统运行在Ring 1级，VMM运行在Ring 0级，VMM提供给操作系统各种虚拟资源（虚拟BIOS、虚拟设备和虚拟内存管理等）。对于不能虚拟化的特权指令，通过二进制转换方式转换为同等效果的指令序列运行，而用户级指令可直接运行。 客户操作系统与底层硬件资源完全隔离，操作系统不感知运行在虚拟机上，也不需要修改操作系统，虚拟机具有较好的隔离性和安全性。

20 X86平台 Paravirtualization虚拟化技术
App Ring 3 用户指令直接执行 Ring 2 Ring 1 Guest OS Ring 0 通过Hypercall调用虚拟层操作 VMM X86 硬件平台 这种方式需要修改操作系统内核，将不能虚拟化的指令替换为hypercall，hypercall直接与虚拟层通信，虚拟层提供内核操作的关键接口，如内存管理、中断处理和时间管理等。 这样显著减少了虚拟化开销，性能较高，但是由于需要修改操作系统内核，对于非开放的操作系统，如windows 2000/xp，则无法支持。

21 X86平台 硬件辅助虚拟化 App Ring 3 用户指令直接执行 Ring 2 非Root mode Ring 1 Guest OS
特权指令被VMM捕获，不需要二进制转换 Root mode VMM X86 硬件平台 在Intel的VT-x技术中，CPU在Ring 0级之下还提供了一个Root Mode，VMM运行在Root Mode下。特权指令自动被VMM捕获，不需要进行二进制转换或调用Hypercall。 Intel还对外设提供了VT-d和VT-c等技术，提供对外设虚拟化的支持。

22 内存虚拟化 VMM 通常采用分块共享的思想来虚拟计算机的物理内存。即将机器内存分配给虚拟机，并维护机器内存和虚拟机所见的“物理内存”的映射关系，使这些内存在虚拟机看来是从地址0开始、连续的物理地址空间

23 I/O设备虚拟化模式 Monolithic Model Service VM Model Pass-through Model VMM
Shared Devices I/O Services Device Drivers VM0 Guest OS and Apps VMn Monolithic Model 高安全性 IO设备共享 支持虚拟机迁移 性能受影响 Shared Devices I/O Services VMM Device Drivers Service VMs VMn VM0 Guest OS and Apps Guest VMs Service VM Model 最高性能 虚拟层更简洁 需要设备支持共享 迁移能力受影响 Assigned Devices VMM VM0 Guest OS and Apps Device Drivers VMn Pass-through Model 我们当前硬件支持的模式？ Passthough模式在明年Q1支持； 较高性能 IO设备共享 支持虚拟机迁移 虚拟层过于复杂

24 I/O设备虚拟化 目前一些常见的VMM系统针对I/O设备虚拟化分别采用了不同的设计思路，比较典型的有：1）全虚拟化，2）半虚拟化，3）软件模拟 全虚拟化 半虚拟化 软件模拟

25 虚实结合的I/O设备访问技术 直接设备访问 VMM-Bypass I/O
2006年IBM基于Xen实现了InfiniBand设备的直接I/O访问 2006年佐治亚理工提出I/O设备自虚拟化(Self-Virtualization)概念 Intel VT-d，AMD IOMMU，PCI-SIG的IOV规范从硬件层次上试图解决直接设备访问带来的隔离性问题，并支持设备的共享

26 开源虚拟机——Xen Xen是由剑桥大学计算机实验室发起的开源虚拟机项目； 支持半虚拟化和全虚拟化（需要硬件支持）；
Xen Hypervisor 是虚拟机管理器，负责CPU调度和内存分区，不负责网络和设备IO； Domain 0 ，负责管理其他虚拟机，提供管理接口； Domain U Domain U PV Guest ：半虚拟化虚拟机； Domain U HVM Guest ：全虚拟化虚拟机； Xen Hypervisor的管理接口可通过Libxenctrl库调用，来实施管理功能；

27 基于Linux内核的虚拟机——KVM KVM嵌入到Linux内核中，利用Linux内核的调度和资源管理能力管理虚拟资源；
正常进程有核心和用户两种模式，KVM增加了guest模式，用于执行非IO的客户操作系统代码 ； KVM主要有两个组件：一个用来管理虚拟硬件的驱动程序，它体现为设备/dev/kvm；一个修改了的qemu进程，运行在用户空间，用来模拟PC硬件。

28 操作系统适配 减少陷入，提高虚拟化性能 支持虚拟机管理：Virtual Aware Virtual Appliance (VMware)
VMware：idle被调度时，可以不切换页表 VMware：通过修改Guest OS安装的网卡驱动，减少I/O指令和中断请求，提高虚拟网卡性能 Xen：通过Hypercall陷入VMM，完成一组特权操作 支持虚拟机管理：Virtual Aware 提供负载信息（The University of Michigan） 提供资源使用信息 虚拟机自管理（University of Copenhagen） Self-migration、Self-Clone Virtual Appliance (VMware) JeOS：Just enough OS 操作系统适配技术是研究在虚拟化环境下，如何修改操作系统使得整个虚拟化环境的性能得到提高、功能得到增强的技术。操作系统适配技术的目的主要有三类 将操作系统移植到虚拟环境下，并且能最大程度地提高其性能； 当执行虚拟机监控管理功能时，能够从客户操作系统内部获得支持； 为某种特定的应用场景定制操作系统

29 虚拟机系统基本安全隔离 因外界入侵、系统故障等，虚拟机出现安全问题 通过安全隔离机制将“问题”虚拟机限定在特定范围
VM VM 因外界入侵、系统故障等，虚拟机出现安全问题 通过安全隔离机制将“问题”虚拟机限定在特定范围 终止“问题”虚拟机，对其所使用的磁盘、内存等进行安全清理，隔离系统故障 VCPU VCPU …… 虚拟物理内存 虚拟物理内存 虚拟磁盘 虚拟磁盘 VMM core 计算系统体系结构的改变：虚拟化技术已从完全的物理隔离方式发展至共享式虚拟化，这种过渡下，虚拟机监视器和相关具有部分控制功能的虚拟机成为漏洞攻击的首选对象，使之成为最重要的安全瓶颈◦计算机系统的运行形态的改变：虚拟计算虽然极大地增强了虚拟机使用的灵活性，却破坏了原有基于线性时间变化系统设定的安全策略、安全协议等的安全性和有效性 物理内存 29 物理磁盘 29

30 虚拟机安全隔离实现机制 TPM提供可信的VMM,并通过虚拟化技术为每个VM提供可信功能
可信的VMM可以实现VM与VMM之间的攻击隔离,把VM内攻击的的边界限制在VM之内.实现了VM与VMM以及VM之间的安全隔离 利用虚拟化技术可有效实现硬件的故障隔离技术 attack vTPM instance vTPM instance vTPM instance vTPM instance OS OS OS vTPM manager 可信VMM隔离来自VM攻击 VM VM VM VM Trusted VMM platform failure 硬件的故障对 VMs和OS透明

31 agenda 虚拟化技术概述 基本虚拟化技术 硬件对虚拟化的支持 VMware虚拟化技术

32 Assists for endpoint I/O device sharing: Baseline Infrastructure:
Intel® VT Development Roadmap VMM software evolution over time with Intel® Virtualization Technology hardware support Assists for endpoint I/O device sharing: Support for PCI-SIG Standards Network Virtualization (VMDq) Vector 3: I/O Device Focus VT-c Baseline Infrastructure: DMA Remapping Enhanced Platform Support: Interrupt Remapping Performance Enhancements PCI-SIG IOV Support Vector 2: Platform Focus VT-d Vector 1: Processor Focus Performance Assists: EPT APIC TPR VPIDs µ-Arch Opt. Close basic processor “virtualization holes” in IA-32 CPUs Enhanced support for: APIC Virtualization VM Switching Misc Other VT-x Software-only VMMs Binary translation Paravirtualization IO-Device Emulation Simpler and more Secure VMMs through foundation of virtualizable ISA Better I/O and CPU Performance and Robustness vi hardware support Richer IO-device Functionality and Sharing for legacy and paravirtualized OSes VMM Software Intel® VT-x: Intel® Virtualization Technology (Intel® VT) for IA-32, Intel® 64 and Intel® Architecture Intel® VT-d: Intel® Virtualization Technology (Intel® VT) for Directed I/O Intel® VT-c: Intel® Virtualization Technology (Intel® VT) for Connectivity 32

33 Intel® Virtualization Technology
Intel VT refers to all the hardware assists for virtualization that Intel offers across its platform (CPU, Chipset, I/O) Intel® VT-x Intel VT refers to all the hardware assists for virtualization in Intel® 64 and IA32 processors Intel® VT for Directed I/O (Intel® VT-d) Intel VT refers to all the hardware assists for virtualization in Intel chipset Intel® VT for Connectivity (Intel® VT-c) Intel VT refers to all the hardware assists for virtualization in Intel networking and I/O devices Intel® VT-i Intel VT refers to all the hardware assists for virtualization in Itanium processors Network Processor Chipset

34 Pre and Post Intel VT-x/VT-i
Ring 1 Ring 3 Ring 0 VM1 VMn Shared Physical Hardware Virtual Machine Monitor OS App Shared Physical Hardware Intel® Virtualization Technology Ring 0 Ring 3 VMX Root VM1 VMn Virtual Machine Monitor OS App VMM de-privileges the guest OS into Ring 1, and takes up Ring 0 OS un-aware it is not running in traditional ring 0 privilege Requires compute intensive SW translation to mitigate VMM has its own privileged level where it executes No need to de-privilege the guest OS OSes run directly on the hardware Intel® Virtualization Technology Simplifies VMM operation

35 Intel® VT-d in hardware: Overview
VT-d provides infrastructure for I/O virtualization Defines architecture for DMA remapping Will be supported broadly across Intel® chipsets Bus to CPU North Bridge DRAM VT-d Integrated Devices PCIe* Root Ports PCI Express South Bridge PCI, LPC, Legacy devices, … *Other names and brands may be claimed as the property of others

36 Intel® Virtualization Technology for Directed I/O (VT-d) DMA-Remapping Benefits
Protection: Enhance security and reliability through device isolation (Native OS and VMM) Enable controlled DMA to and from device to the specified physical memory locations only End to end isolation (VM to the device) Performance: Allows I/O devices to be directly assigned to specific virtual machines (VMMs) Eliminate Bounce buffer conditions with 32-bit devices (Native OS and VMM)

37 Layer 2 Classified Sorter
Virtual Machine Device Queues (VMDq) More effective NIC sharing by sorting and grouping packets Receive Path Data packets for different VMs get sorted at the Ethernet silicon based on MAC address/ VLAN tags Sorted data packets get parsed to the respective VMs Data packets being received by respective VMs VM 1 (vNIC) 2 n Tx1 Tx2 Tx2 Txn Txn Txn Layer 2 Software Switch VMM MAC/PHY NIC w/VMDq Layer 2 Classified Sorter Transmit Path: Round-robin servicing Ensures transmit fairness across VMs Prevents head-of-line blocking Rx1 Rx1 Idle Rx2 Rx2 Txn Rx1 Rx1 Txn LAN Rxn Rxn Tx2 Rx1 Rx1 Txn Rxn Rxn Tx2 Idle Tx1 *Other names and brands may be claimed as the property of others.

38 agenda 虚拟化技术概述 基本虚拟化技术 硬件对虚拟化的支持 VMware虚拟化技术

39 X VMware HA：提高系统的可用性 功能 优势 当服务器故障时，自动重新启动虚拟机 经济有效的适用于所有应用的高可用
经济有效的适用于所有应用的高可用解决方案 功能 当服务器故障时，自动重新启动虚拟机 优势 经济有效的适用于所有应用的高可用 不需要独占的stand-by 硬件 没有集群软件的成本和复杂性 X 39

40 VMware VMware VMware VMotion：减少计划内宕机时间 VMotion是什么？
客户优势： 零宕机时间: 进行有计划的服务器维护和升级迁移工作负载，资源利用率最大化 服务器的持续可用性, 完整的交易集成 支持Fibre Channel和iSCSI SAN环境以及NAS 40

41 Storage VMotion：减少计划内宕机时间
应用程序 操作 系统 应用程序 操作 系统 应用程序 操作 系统 虚拟机磁盘存储独立迁移 无需虚拟机停机 LUN 独立 支持光纤通道 SAN 无中断： 刷新到新阵列 迁移到不同类别的存储器 升级到新文件系统格式 虚拟机粒度，LUN 独立 41

42 VMware分布式资源调度（DRS）：按需自动资源调配
动态负载均衡和连续智能优化，保证所有应用需要的的资源 功能 跨资源池动态调整计算资源 基于预定义的规则智能分配资源 优势 使IT和业务优先级对应 动态提高系统管理效率 自动化的硬件维护 业务需求 资源池 围绕业务进行组织和规划…而不是您的硬件! 42

43 实现节能的绿色计算：DPM智能化的电源管理
是VMware DRS功能的进一步延伸 与服务器管理硬件配合实现智能化的电源管理 优化虚拟机的实际运行位置，达到耗电最小化的目的 可以为大中型计算中心节省大量的电力资源，显著降低用电成本 业务需求 下电 资源池 These features are representative of feature areas under development.  Feature commitments must not be included in contracts, purchase orders, or sales agreements of any kind.  Technical feasibility and market demand will affect final delivery. 43

44 X + + 始终在线，容量按需分布的数据中心 自动资源保证 增加可用性 容量按需分配 自动化 不中断扩展 动态负载均衡 支持所有应用
持续负载优化 增加可用性 自动化 支持所有应用 容量按需分配 不中断扩展 弹性，重新配置 + + X

45 即使出现硬件故障，也可以避免发生独立于应用程序和操作系统的停机。
VMware FT高级容错技术 X 即使出现硬件故障，也可以避免发生独立于应用程序和操作系统的停机。 零停机、零数据丢失！ On final exiting thing we are developing is a even better way of making important mission critical application robust. Explain the FT technology by using the animation 45 45 45

46 X VMware Data Recovery 虚拟机的无代理、基于磁盘的备份和恢复 虚拟机或文件级别的恢复
增量备份和消除重复数据以 节约磁盘空间 为虚拟机提供快速、简单和 完整的数据保护 通过 vCenter 实现集中式管理 经济高效的存储管理 X 操作系统 应用程序 操作系统 应用程序 操作系统 应用程序 ESX vCenter Data Recovery is a new tool in for VMware vSphere™ users that provides complete data protection for your virtual machines. Note that it is appropriate for smaller environments (100 VMs or less). - It’s a disk-based solution that’s easy to use and fast to backup and restore. - It’s built on the VCB API and is fully integrated with vCenter management to enable centralized and efficient scheduling of backup jobs using an intuitive workflow. Step 1: Backing up your virtual machines is a snap – - First you schedule your backups directly through the vCenter interface. <FIRST BUILD CLICK> - Snapshots are taken at your scheduled intervals and written to near-line storage (local or shared). - After the first full VM backup, subsequent backups are incremental to save time and disk space. - vCenter Data Recovery also uses disk de-duplication to further reduce the disk space required for backup storage. <SECOND BUILD CLICK> Step 2: The toughest part of the backup process is recovering your apps and data. vCenter Data Recovery makes this process quick and easy – - When a VM goes down, you go to vCenter and quickly access the directory of backup VMs and files. <THIRD BUILD CLICK> - Select which ones you want to recover (individual files or complete VM) and restore in seconds/minutes - Your applications and data are back up and running! 消除重复数据 存储设备 版权所有 © 2005 VMware, Inc. 保留所有权利。 版权所有 © 2005 VMware, Inc. 保留所有权利。 46 46

47 Site Recovery Manager(SRM)演示
X 生产站点 灾备站点 VirtualCenter Site Recovery Manager VirtualCenter Site Recovery Manager NOTE: This slide has animation to simulate at a high level what SRM does High-level view of SRM SRM protects the VMs you select at the protected site, SRM starts up protected VMs at time of test or disaster in the recovery site Click 1: SRM Protects VMs, shadow VMs created in the Recovery Site Click2 : Disaster occurs Click3 : Press the big red button and your protected VMs are restarted at the secondary site Array Replication Datastore Groups Datastore Groups

48 VMware云计算操作系统：vSphere架构
vCenter Mgmt Server vSphere Client Web 浏览器 终端 服务 服务器组 1 服务器组 2 服务器组 3 VMware ESX 4.0 VM 光纤通道 交换机 光纤 IP 网络 Before we discuss the vNetwork Components in detail, let’s quickly review the vSphere datacenter architecture. A typical vSphere datacenter consists of basic physical building blocks such as x86 computing servers, storage networks and arrays, IP networks, a management server, and desktop clients. The computing servers are industry standard x86 servers that run VMware ESX Server on the bare metal. ESX Server provides resources for and runs the virtual machines. Each computing server is referred to as a standalone host in the virtual environment. A number of similarly configured x86 servers can be grouped together with connections to the same network and storage subsystems to provide a pool of resources in the virtual environment. Fiber Channel SAN arrays, iSCSI SAN arrays, and NAS arrays are widely used storage technologies supported by vSphere to meet different datacenter storage needs. Sharing the storage arrays between groups of servers via storage area networks allows the IT department to pool storage resources and provides more flexibility in provisioning storage resources for virtual machines. Each computing server can have multiple gigabit Ethernet network interface cards to provide high bandwidth and reliable networking to the entire datacenter. The vCenter Server provides a convenient single point of control to the datacenter. It runs on top of Windows 2003 Server to provide many essential datacenter services such as access control, performance monitoring, and configuration. It unifies the resources from the individual computing servers to be shared among virtual machines in the entire datacenter. It accomplishes this by managing the assignment of virtual machines to the computing servers and the assignment of resources to the virtual machines within a given computing server based on the policies set by the system administrator. Computing servers will continue to function even in the unlikely event that vCenter Server becomes unreachable (for example, the network is severed). The computing servers can be managed separately and will continue to run the virtual machines assigned to them based on the resource assignment that was last set. After the vCenter Server becomes reachable, it can manage the datacenter as a whole again. vSphere provides a selection of interfaces for datacenter management and virtual machine access. Users can choose the interface that best meets their needs: vSphere Client, Web Access through a Web browser, or terminal services such as Windows Terminal Services or Xterm. 光纤通道 存储阵列 iSCSI 存储阵列 NAS 存储阵列 48

49 采用虚拟化技术的原则 不适合采用虚拟化的应用 具有特殊硬件访问要求的应用
高性能图形显卡 --- 不适用虚拟化 特殊的串/并行加密设备 ---不适用虚拟化 USB设备连接需求 --- 可能不适用，可采用外置USB设备代替，需经过测试 电路域接口，如七号信令接口—不适用虚拟化 即使在高配置的服务器上仍然具有很高负载的应用 --- 可能不适用，需分析当前服务器配置情况 可以采用虚拟化的应用 除上述不适合采用虚拟化的应用之外的所有应用 可根据应用迁移的复杂程度决定虚拟化先后顺序 较易实现P2V的应用可先做迁移，如可用Converter工具直接迁移的应用 较难或不能做P2V迁移的应用可考虑采用重新安装方式后迁 根据管理的需要决定是否做虚拟化 虚拟化转变过程对现有业务的影响程度 转变为虚拟化后对现有管理的影响程度 部门之间协调的难易程度 Key Points: [Slide purp操作系统e: to relate the challenges on previous slide to important consequences of th操作系统e challenges] Result of these challenges is: Increasing c操作系统ts related to desktop infrastructure Decreasing manageability Increasing security risks Additional Notes: Increasing c操作系统ts: Only about 30% of TCO of PC’s is the c操作系统t of hardware; the remaining 70% is the c操作系统t of deployment, management, and support Backup, recovery, and remote access require additional spending and continuous updating A distributed desktop environment complicates management and tasks like backup, leading to these higher c操作系统ts Decreasing manageability: Continuous stream of patches and updates that need to be tested against all 操作系统 images in environment Complexity of migrating to new PC hardware because new PC hardware often requires new 操作系统 image or even new 操作系统 version Growing security risks: Cases involving theft of proprietary information were twice as common in 2005 as in previous year （Computer Security Institute survey） Average c操作系统t of a security breach was $204,000 per survey respondent （Computer Security Institute survey） 49

50 Thanks！ 50