基于開源KVM的虛擬化技術(shù)優(yōu)化 文/歐珊瑚KVM（Kernel-based Virtual Machine，基于內(nèi)核的虛擬機(jī)）是一個(gè)基于Linux環(huán)境的開源虛擬化解決方案，最早由Qumranet公司開發(fā)，在2006年10月出現(xiàn)在Linux內(nèi)核的郵件列表上，并于2007年2月被集成到Linux 2.6.20內(nèi)核中，成為內(nèi)核的一部分?！盎贚inux內(nèi)核”實(shí)現(xiàn)的KVM系統(tǒng)在實(shí)現(xiàn)方式上不同于其它的Hypervisor，其設(shè)計(jì)目標(biāo)是最大限度地利用現(xiàn)有操作系統(tǒng)的各個(gè)功能模塊和硬件對虛擬化技術(shù)進(jìn)行支持，以一個(gè)內(nèi)核來加載功能模塊的方式實(shí)現(xiàn)，并將整個(gè)Linux內(nèi)核轉(zhuǎn)化成一個(gè)裸機(jī)的Hypervisor。除此之外，KVM還充分利用了Linux內(nèi)核已有的成熟功能和基礎(chǔ)服務(wù)，減少不必要的重新開發(fā)，如任務(wù)調(diào)度、物理內(nèi)存管理、內(nèi)存空間虛擬化、電源管理等功能。在KVM的系統(tǒng)構(gòu)架中，虛擬機(jī)以普通Linux進(jìn)程的方式來實(shí)現(xiàn)，由標(biāo)準(zhǔn)的Linux進(jìn)程調(diào)度器來調(diào)度，每個(gè)虛擬CPU（vCPU）都以一個(gè)常規(guī)的Linux進(jìn)程來呈現(xiàn)，硬件設(shè)備的模擬則是通過一個(gè)修改過的QEMU來進(jìn)行，提供了BIOS，PCI總線，USB總線和其他標(biāo)準(zhǔn)設(shè)備（如IDE和SCSI硬盤控制器以及網(wǎng)絡(luò)控制器等）的模擬。KVM將Linux內(nèi)核轉(zhuǎn)化為Hypervisor，通常情況下，支持Linux的硬件設(shè)備就可以被KVM支持。雖然開源KVM存在諸多優(yōu)點(diǎn)，但是原生態(tài)的KVM在業(yè)務(wù)可靠性、網(wǎng)絡(luò)控制、可管理性、可運(yùn)維性等方面存在缺陷。首先，開源KVM基于虛擬化內(nèi)核實(shí)現(xiàn)，對底層硬件故障、虛擬機(jī)故障、虛擬機(jī)操作系統(tǒng)故障和上層應(yīng)用故障都缺少解決方案；其次，KVM系統(tǒng)的虛擬交換機(jī)是一個(gè)標(biāo)準(zhǔn)化的流量轉(zhuǎn)發(fā)模塊，它無法應(yīng)對實(shí)際生產(chǎn)系統(tǒng)對復(fù)雜網(wǎng)絡(luò)訪問控制策略的需求，例如：QoS、ACL、VxLAN、端口聚合、流量鏡像等；最后，KVM缺少可視化的配置與管理工具、豐富的業(yè)務(wù)系統(tǒng)性能監(jiān)控能力和資源的自動(dòng)化調(diào)度管理能力。一、CAS對開源KVM的優(yōu)化H3C CAS云計(jì)算管理平臺(tái)（下文簡稱CAS）是華三通信基于開源KVM研發(fā)的一款虛擬化管理軟件，與開源KVM相比，H3C CAS云計(jì)算管理平臺(tái)不僅在高可靠性、網(wǎng)絡(luò)控制、可管理性和可運(yùn)維性等方面進(jìn)行了改進(jìn)，而且與H3C公司成熟的網(wǎng)絡(luò)產(chǎn)品、第三方存儲(chǔ)與安全廠商合作，形成了全融合虛擬化解決方案，這也成為CAS的核心競爭力。1、CAS對KVM進(jìn)行了哪些優(yōu)化？l 高可靠性對于一些重要的業(yè)務(wù)入口或接入點(diǎn)（例如：企業(yè)的生產(chǎn)服務(wù)器和金融行業(yè)的數(shù)據(jù)庫服務(wù)器等），即使出現(xiàn)秒級的業(yè)務(wù)中斷，也將遭受災(zāi)難性的后果。因此，如何保證虛擬化環(huán)境下業(yè)務(wù)應(yīng)用系統(tǒng)的高可靠性，成為云平臺(tái)管理軟件需要解決的首要問題。CAS的高可靠性（High Availability，HA）技術(shù)技術(shù)很好的破解了這一難題。m 集群HA在開源KVM軟件的基礎(chǔ)上，H3C CAS CVK虛擬化內(nèi)核系統(tǒng)（下文簡稱CVK）集成了集群HA軟件，將一組物理主機(jī)劃分到一個(gè)具有共享存儲(chǔ)資源池的邏輯集群中，通過H3C CAS CVM虛擬化管理平臺(tái)（下文簡稱CVM）持續(xù)監(jiān)控集群內(nèi)所有的物理主機(jī)和虛擬機(jī)的運(yùn)行狀況，一旦發(fā)生故障，CVM會(huì)觸發(fā)虛擬機(jī)遷移，在集群內(nèi)自動(dòng)選擇另一臺(tái)正常工作的物理主機(jī)，并在這臺(tái)物理主機(jī)上重啟所有受影響的虛擬機(jī)。m 應(yīng)用HA應(yīng)用HA是指運(yùn)行于虛擬機(jī)操作系統(tǒng)內(nèi)的業(yè)務(wù)系統(tǒng)的高可靠性，當(dāng)業(yè)務(wù)系統(tǒng)由于自身原因?qū)е聼o法對外正常提供服務(wù)時(shí)，可以借助應(yīng)用HA功能，以最短的時(shí)間自動(dòng)恢復(fù)業(yè)務(wù)。企業(yè)級業(yè)務(wù)系統(tǒng)一般都以進(jìn)程服務(wù)的方式駐留在操作系統(tǒng)內(nèi)，CVM虛擬化管理平臺(tái)利用CAStools工具來監(jiān)控業(yè)務(wù)服務(wù)進(jìn)程的狀態(tài)，該工具安裝在虛擬機(jī)操作系統(tǒng)上，通過虛擬串口通道保持與H3C CAS CVM虛擬化管理平臺(tái)的實(shí)時(shí)通信，判定業(yè)務(wù)的存活狀態(tài)。如果在連續(xù)3個(gè)時(shí)間周期（1個(gè)周期為30秒）內(nèi)探測到被監(jiān)測的服務(wù)狀態(tài)為非運(yùn)行或非活躍狀態(tài)，則自動(dòng)重啟該服務(wù)；如果連續(xù)4個(gè)時(shí)間周期檢測到應(yīng)用服務(wù)故障，且重啟服務(wù)失敗，則根據(jù)系統(tǒng)管理員配置的應(yīng)用HA策略，重新啟動(dòng)虛擬機(jī)或僅上報(bào)應(yīng)用故障不可恢復(fù)的告警消息。l 網(wǎng)絡(luò)控制 CVK不僅在開源KVM基礎(chǔ)上增加了ACL、QoS、VLAN、鏈路聚合、端口鏡像、硬件SR-IOV等基礎(chǔ)網(wǎng)絡(luò)功能，而且，考慮到虛擬化環(huán)境中虛擬機(jī)遷移前后的網(wǎng)絡(luò)策略同步問題，設(shè)計(jì)和實(shí)現(xiàn)了分布式虛擬交換機(jī)（virtual Distributed Switch，vDS）功能。當(dāng)虛擬機(jī)在集群內(nèi)遷移時(shí)，CVK自動(dòng)將虛擬機(jī)的網(wǎng)絡(luò)配置從源虛擬交換機(jī)同步到目的虛擬交換機(jī)，實(shí)現(xiàn)遷移前后網(wǎng)絡(luò)策略的自動(dòng)感知與生效，從而確保虛擬機(jī)遷移前后網(wǎng)絡(luò)策略的一致性。源和目的虛擬交換機(jī)就構(gòu)成了一個(gè)邏輯上統(tǒng)一的虛擬交換機(jī)，即分布式虛擬交換機(jī)。分布式虛擬交換機(jī)的控制由CVM統(tǒng)一管理，包括虛擬交換機(jī)策略的配置與下發(fā)，數(shù)據(jù)平面則分布在各個(gè)承載虛擬機(jī)的物理主機(jī)內(nèi)核中。l 可視化管理開源KVM重點(diǎn)關(guān)注的是虛擬化內(nèi)核的實(shí)現(xiàn)，在可管理性方面遠(yuǎn)遠(yuǎn)沒有達(dá)到商用的級別，而且，在性能監(jiān)控、郵件、短信告警、API接口等企業(yè)級特性完全是一片空白。CAS提供了簡潔易用的圖形化操作界面，為IT系統(tǒng)管理員提供了直觀的虛擬化環(huán)境視圖。圖1 虛擬化環(huán)境健康狀態(tài)概覽圖2 虛擬化拓?fù)鋱D3 虛擬化業(yè)務(wù)系統(tǒng)狀態(tài)除了基本的可視化管理能力之外，CVM還提供了開放的REST API接口和兼容OpenStack云平臺(tái)的插件，通過這兩種方式實(shí)現(xiàn)與第三方云管理平臺(tái)及基于標(biāo)準(zhǔn)OpenStack云平臺(tái)的無縫對接（如圖所示）?？蛻艋跇?biāo)準(zhǔn)OpenStack開發(fā)自己的云平臺(tái)時(shí)，只需要關(guān)注與自身業(yè)務(wù)相關(guān)的前端流程，底層虛擬化基礎(chǔ)架構(gòu)功能完全由H3C CAS CVM虛擬化管理平臺(tái)完成。圖4 H3C CAS與標(biāo)準(zhǔn)OpenStack對接技術(shù)架構(gòu)圖l 可運(yùn)維性開源KVM的定位僅僅是一個(gè)開源的虛擬化內(nèi)核實(shí)現(xiàn)，它對IT運(yùn)維與云計(jì)算沒有任何涉及。H3C CAS CIC云業(yè)務(wù)管理中心（下文簡稱CIC）組件將基礎(chǔ)架構(gòu)資源（包括計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)）及其相關(guān)策略整合成虛擬數(shù)據(jù)中心資源池，允許用戶申請這些資源，從而構(gòu)建一個(gè)安全的、多租戶的、可自助服務(wù)的“互聯(lián)網(wǎng)化私有云”，為IT部門提供一種全新的基礎(chǔ)架構(gòu)交付和使用模式。這種自助式的服務(wù)真正實(shí)現(xiàn)了云計(jì)算的敏捷性、可控性和高效性，并極大程度地提高了業(yè)務(wù)的響應(yīng)能力。二、 CAS全融合解決方案CAS借助華三通信自己成熟的網(wǎng)絡(luò)產(chǎn)品與技術(shù)，并與第三方存儲(chǔ)及安全廠商合作，形成了業(yè)界領(lǐng)先的全融合解決方案。例如：H3C CAS云計(jì)算管理平臺(tái)融合了獨(dú)創(chuàng)的DRX（Dynamic Resource eXtension，動(dòng)態(tài)資源擴(kuò)展）、分布式存儲(chǔ)組件vStor、業(yè)界落地最為廣泛的VxLAN解決方案和輕代理/無代理防病毒解決方案，真正實(shí)現(xiàn)了計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)和安全虛擬化的全面融合。下面對上述方案作詳細(xì)分析。圖5 H3C CAS：全融合虛擬化解決方案l 計(jì)算資源虛擬化技術(shù)-DRX資源動(dòng)態(tài)擴(kuò)展技術(shù)（Dynamic Resource eXtension，DRX）是華三通信的專利技術(shù)，實(shí)現(xiàn)基于用戶業(yè)務(wù)負(fù)載的資源動(dòng)態(tài)擴(kuò)展與回收。即：當(dāng)用戶某項(xiàng)正常運(yùn)行的業(yè)務(wù)面臨突發(fā)流量訪問時(shí)，CVM能夠監(jiān)控到業(yè)務(wù)所在虛擬機(jī)性能不足，并將虛擬機(jī)進(jìn)行快速復(fù)制，在負(fù)載均衡設(shè)備的配合下共同對外提供服務(wù)；當(dāng)業(yè)務(wù)訪問高峰過后，能夠自動(dòng)回收資源，刪除多余的虛擬機(jī)，從而實(shí)現(xiàn)一個(gè)計(jì)算資源隨需而動(dòng)的自動(dòng)化環(huán)境。l 存儲(chǔ)虛擬化技術(shù)-vStorCAS的vStor組件是一種分布式存儲(chǔ)技術(shù)方案，它將多個(gè)服務(wù)器上的空閑磁盤空間整合成一個(gè)的存儲(chǔ)資源池，依靠“軟件+標(biāo)準(zhǔn)的x86硬件”來實(shí)現(xiàn)存儲(chǔ)，形成低成本、高可靠、可橫向擴(kuò)展（Scale-out）的存儲(chǔ)虛擬化基礎(chǔ)架構(gòu)，在用戶無需購買專用存儲(chǔ)設(shè)備和SAN網(wǎng)絡(luò)設(shè)備的情況下，將數(shù)據(jù)中心存儲(chǔ)架構(gòu)扁平化，不僅簡化了IT運(yùn)維和管理，同時(shí)降低了能耗，幫助企業(yè)實(shí)現(xiàn)IT環(huán)境的節(jié)能減排。l 網(wǎng)絡(luò)虛擬化技術(shù)-VxLANVxLAN網(wǎng)絡(luò)架構(gòu)在傳統(tǒng)物理網(wǎng)絡(luò)基礎(chǔ)上構(gòu)建了一個(gè)邏輯的二層網(wǎng)絡(luò)，是網(wǎng)絡(luò)支持大規(guī)模虛擬化發(fā)展的理想選擇，也是H3C云網(wǎng)融合解決方案技術(shù)路線中的關(guān)鍵技術(shù)。H3C CAS CVK虛擬化內(nèi)核系統(tǒng)支持標(biāo)準(zhǔn)VxLAN封裝技術(shù)的分布式虛擬交換機(jī)，實(shí)現(xiàn)虛擬網(wǎng)絡(luò)與物理網(wǎng)絡(luò)的解耦，虛擬機(jī)可以在一個(gè)大二層網(wǎng)絡(luò)環(huán)境中遷移，實(shí)現(xiàn)了安全策略的跨數(shù)據(jù)中心同步跟隨，同時(shí)，用戶最多可以創(chuàng)建多達(dá)16M相互隔離的虛擬網(wǎng)絡(luò)，突破了VLAN方案4K個(gè)隔離網(wǎng)絡(luò)的限制，幫助用戶構(gòu)建安全的多租戶虛擬網(wǎng)絡(luò)。l 虛擬化安全：防病毒一般情況下，傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡(luò)的安全解決方案都通過防火墻和IPS等物理設(shè)備進(jìn)行攻擊與病毒防范，當(dāng)數(shù)據(jù)中心往虛擬化環(huán)境遷移的時(shí)候，由于原來部署在物理主機(jī)上的業(yè)務(wù)系統(tǒng)“深藏”于虛擬機(jī)中，傳統(tǒng)安全解決方案的“觸角”無法深入到物理主機(jī)內(nèi)部，造成了安全管理的灰色區(qū)域。CAS與專業(yè)安全廠商合作，提出了輕代理和無代理防病毒解決方案，旨在保護(hù)數(shù)據(jù)中心和虛擬機(jī)業(yè)務(wù)免遭數(shù)據(jù)泄露的風(fēng)險(xiǎn)。其中，輕代理防病毒方案需要在每個(gè)被保護(hù)的虛擬機(jī)操作系統(tǒng)內(nèi)部安裝代理程序，由該代理程序觸發(fā)虛擬機(jī)病毒掃描任務(wù)；無代理防病毒方案則需要在虛擬化內(nèi)核系統(tǒng)中集成防病毒引擎，在底層實(shí)現(xiàn)整個(gè)虛擬機(jī)網(wǎng)絡(luò)總體安裝狀況的統(tǒng)一管理，在虛擬機(jī)磁盤文件讀寫的時(shí)候，實(shí)時(shí)查病毒。總結(jié)開源KVM作為直接構(gòu)建在Linux內(nèi)核上的虛擬機(jī)管理程序，已經(jīng)成為最廣泛的應(yīng)用于Linux操作系統(tǒng)的虛擬化平臺(tái)。盡管H3C CAS云計(jì)算管理平臺(tái)基于開源KVM內(nèi)核開發(fā)，但與開源KVM相比，H3C CAS云計(jì)算管理平臺(tái)從高可靠性、網(wǎng)絡(luò)控制、可管理性、可運(yùn)維性等方面進(jìn)行了增強(qiáng)、補(bǔ)充和創(chuàng)新，使其更契合企業(yè)和行業(yè)數(shù)據(jù)中心對虛擬化的技術(shù)要求和業(yè)務(wù)要求，并通過開放合作的方式，結(jié)合H3C公司自身在網(wǎng)絡(luò)技術(shù)方面的深厚積累，形成了計(jì)算、網(wǎng)絡(luò)、存儲(chǔ)、安全的多方位全融合虛擬化管理平臺(tái)。這些功能和解決方案的設(shè)計(jì)和開發(fā)過程，也是一個(gè)不斷創(chuàng)新的過程，這些創(chuàng)新已經(jīng)成為H3C CAS云計(jì)算管理平臺(tái)的核心競爭力。表1 H3C CAS云計(jì)算管理平臺(tái)核心專利一覽表作為附錄分類專利名稱授權(quán)/受理狀態(tài)編號高可靠性一種云計(jì)算中集群的節(jié)點(diǎn)管理方案201410577490.1一種實(shí)現(xiàn)高可靠性集群心跳檢測的方法201410576549.5一種虛擬化平臺(tái)中實(shí)現(xiàn)存儲(chǔ)池資源自動(dòng)均衡的方法201510130761.3一種集群環(huán)境下虛擬機(jī)負(fù)載均衡系統(tǒng)與方法CN 102508718B網(wǎng)絡(luò)控制一種針對小型機(jī)虛機(jī)遷移的網(wǎng)絡(luò)感知方案201410332388.5一種虛擬化網(wǎng)絡(luò)中的新業(yè)務(wù)負(fù)載均衡技術(shù)201410548603.5SDN網(wǎng)絡(luò)中虛擬機(jī)IP地址自動(dòng)部署的技術(shù)201410582508.7一種支持物理服務(wù)器加入虛擬網(wǎng)絡(luò)的實(shí)現(xiàn)方法201410727352.7可管理性一種UIS環(huán)境中CAS系統(tǒng)一鍵安裝的系統(tǒng)與方法201410765648.8一種VNC客戶端加載本地ISO鏡像的方法201410386278.7一種針對KVM虛擬機(jī)的實(shí)現(xiàn)多重USB重定向方法201510105048.3可運(yùn)維性一種分布式多租戶虛擬網(wǎng)絡(luò)的實(shí)現(xiàn)201310277240.1一種基于位置的虛擬