第三章 虚拟化技术 （二）

4） 操作系统虚拟化
操作系统虚拟化目前还是处于非主流状态.2006年11月8日,权威研究机构Gartner发布了一份服务器技术发展的研究报告,其中有一个不同寻常的预测:到2010年,共享的操作系统虚拟化将成为主流虚拟化技术.文中提到的服务器操作系统虚拟化厂商包括:Sun Solaris Containers,SWsoft Virtuozzo,以及IBM z/OS和HP.
5)服务虚拟化
6）桌面虚拟化
7）应用虚拟化
3.3虚拟化技术的优势和劣势
1）虚拟化技术的bai优势:
　　①更高的资源利用率——虚拟可支持实现物理资源和资源池的动态共享，提高资源利用率，特别是针对那些平均需求远低于需要为其提供专用资源的不同负载。
　　②降低管理成本——虚拟可通过以下途径提高工作人员的效率：减少必须进行管理的物理资源的数量;隐藏物理资源的部分复杂性;通过实现自动化、获得更好的信息和实现中央管理来简化公共管理任务;实现负载管理自动化。另外，虚拟还可以支持在多个平台上使用公共的工具。
　　③提高使用灵活性——通过虚拟可实现动态的资源部署和重配置，满足不断变化的业务需求。
　　④提高安全性——虚拟可实现较简单的共享机制无法实现的隔离和划分，这些特性可实现对数据和服务进行可控和安全的访问。
　　⑤更高的可用性——虚拟可在不影响用户的情况下对物理资源进行删除、升级或改变。
　　⑥更高的可扩展性——根据不同的产品，资源分区和汇聚可支持实现比个体物理资源小得多或大得多的虚拟资源，这意味着您可以在不改变物理资源配置的情况下进行规模调整。
　　⑦互操作性和投资保护——虚拟资源可提供底层物理资源无法提供的与各种接口和协议的兼容性。
　　⑧改进资源供应——与个体物理资源单位相比，虚拟能够以更小的单位进行资源分配。
　　虚拟所能提供的优势取决于客户的目标、所选择的特殊虚拟技术以及现有的IT基础架构。 并非所有的客户都能够从实现某一特殊虚拟化解决方案中获得同样的利益。 现在，即使是使用虚拟化进行简单的服务器整合，客户们也经常可以在某种程度上获得以下很多利益： 更高的资源利用率——虚拟可支持实现物理资源和资源池的动态共享，提高资源利用率，特别是针对那些平均需求远低于需要为其提供专用资源的不同负载。 n 降低管理成本——虚拟可通过以下途径提高工作人员的效率：减少必须进行管理的物理资源的数量; 隐藏物理资源的部分复杂性; 通过实现自动化、获得更好的信息和实现中央管理来简化公共管理任务; 实现负载管理自动化。 另外，虚拟还可以支持在多个平台上使用公共的工具。 n 提高使用灵活性——通过虚拟可实现动态的资源部署和重配置，满足不断变化的业务需求。 n 提高安全性——虚拟可实现较简单的共享机制无法实现的隔离和划分，这些特性可实现对数据和服务进行可控和安全的访问。 n 更高的可用性——虚拟可在不影响用户的情况下对物理资源进行删除、升级或改变。 n 更高的可扩展性——根据不同的产品，资源分区和汇聚可支持实现比个体物理资源小得多或大得多的虚拟资源，这意味着您可以在不改变物理资源配置的情况下进行规模调整。 n 互操作性和投资保护——虚拟资源可提供底层物理资源无法提供的与各种接口和协议的兼容性。 n 改进资源供应——与个体物理资源单位相比，虚拟能够以更小的单位进行资源分配。
2）劣势
A、缺乏虚拟bai化的总体规划
在部署虚拟化之前缺乏总体规划是当前虚拟化存在的最大陷阱。例如，部分用户只为提高部分应用中的服务器资源利用效率，缺乏对服务器、负载、应用和业务需求的全面研究和规划，等到应用了虚拟化软件之后，才认识到虚拟化需要针对不同的工作负载进行不同的考虑，并对不同的负载采用不同的方案，随之还会涉及虚拟应用的整合比等问题。还有很多用户对TCO研究不足，甚至在上虚拟机之前根本未考虑到还需在硬件、基础架构方面作出更多的深入分析和优化的投入。没有前期规划，会给虚拟化应用带来极大的风险。
B 、缺乏虚拟化的系统管理
很多用户对虚拟化系统的管理没有充分认知，在部署后也没有重视并实施具体的管理方法，这很可能会导致虚拟环境产生性能问题，并给IT人员带来无尽的新的头疼问题。例如，在容量、性能、配置或自动化部署和管理等方面，虚拟化必然会成为一系列新问题的导火索。轻视虚拟化应用中的系统管理的复杂程度，造成系统管理不到位，将是虚拟化应用中致命的问题。
C 、虚拟机负载过重
虚拟化可以对资源进行动态配置，从而处理更多，或者更少的负载，这种作法似乎可以解决虚拟设施可能负载过重的问题。但这并不意味着虚拟服务器就是永远压不垮的。虚拟技术有其自己的限制，在基础设施中添加其无法应付的太多虚拟机会适得其反。很多用户在配置虚拟机时对物理机的承受能力没有进行深入分析。
D、缺少测试环节
虚拟化是实现快速资源服务的途径，但这并不意味着IT部门就可以忽视虚拟机实施前和 向虚拟基础设施分配应用之前的容量规划和测试。很多企业用户在应用了动态虚拟机之后才意识到没有测试I/O、占用率等其他问题，就匆匆将新的应用或服务器搬进了虚拟环境。这往往会带来很大的问题。
E、没有持续优化
在虚拟化中，大量的需求都是动态的。这也意味着企业在部署虚拟化的相关解决方案之后需要进行持续地管理与优化。很多用户在这个方面做得非常不够。企业的IT主管必须从一开始就做好虚拟机生命周期管理规划，并同时配备相关虚拟化管理制。
有诸多优点自然也伴随着不足之处，当然并不是每一个应用程序可以虚拟化。有些应用程序需要直接调用硬件，必须在共享的内存空间中运行，或者需要一个只与特定的设备兼容的专用的设备驱动程序。
F、 前期高额的费用
虽然从长远来看，虚拟化技术是有经济效益的。当然考虑到更长久，我们不得不在硬件上投入更多的资金。从长远来看，肯定会节省开支，但是现实成本还是挺高的。
G、 降低硬件利用率
这点似乎和上面所说的优点矛盾了，其实只是角度不同而已。虚拟化必然需要占用一部分资源（CPU/内存/硬盘），一个可以发挥出100%性能的物理机，加上虚拟化以后，可能只能发挥出80%的性能，所以又说它会降低资源的利用率。因此某些极度吃资源的应用可能并不适用于虚拟化的环境。
H、更大的错误影响面
在常规配置下，虚拟机存储于本地物理机硬盘上。真实物理机down机，上面的虚拟机将全部不可用。另外物理机硬盘损坏，一般可以恢复出绝大部分文件，但碰巧坏的是虚拟机镜像文件，结果虚拟机里面的文件可能全部损坏。
I、实施配置复杂，管理复杂
通常的IT管理员并不能很好的排查并解决虚拟化使用过程中的问题，例如经常碰到的VM不能启动或者卡死，没有真实物理机那么好解决。
J、一定的限制性
使用虚拟化技术的一个主要缺点是，它涉及到各种限制。并非所有的服务器和应用程序虚拟化是友好的，这意味着你的企业的IT基础设施的某些方面可能与虚拟化解决方案兼容。为此，应该考虑的是，仍然有不完全支持虚拟化环境的供应商。
K、安全性
虽说虚拟化技术在安全上已经很不错了，但是虚拟化技术自身也存在着一定的安全隐患。虚拟化过程的目的是分离虚拟化的资源，但是仍然有一些情况下，服务器意外地对其他不应该看到它们的人可见。
3.4虚拟化技术原理
1）虚拟机技术原理
虚拟机其实就是一款模拟电脑硬件的软件。比如说你的电脑，在没有装windows系统或者其他操作系统之前，它本身是一个由硬件组装的电脑，一般称为裸机。而虚拟机就是模拟电脑硬件的一款软件。记住，虚拟机是一款软件。你装了虚拟机之后可以相当于你多了一台裸机。然后再在虚拟机里装操作系统，就相当于多了一台电脑。注:简洁点，虚拟机的原理就是模拟硬件的。
a、虚拟机(英文全称：Virtual Machine)是指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统，目前流行的虚拟机软件有VMware(VMWare ACE)、Virtual Box和Virtual PC，它们都能在Windows系统上虚拟出多个计算机，每个虚拟计算机可以独立运行，可以安装各种软件与应用等。　
b、虚拟机在现实中的作用还是相当大的，比如最简单我们电脑中没有光驱，如果要安装系统就可以使用虚拟机来安装系统，虚拟机内部拥有虚拟光驱，支持直接打开系统镜像文件安装系统，另外虚拟机技术在游戏爱好者朋友眼中也相当实用，比如一般一台电脑很多游戏不支持同时多开，但我们可以在电脑中多创建几个虚拟机，那么在虚拟机系统中即可单独再运行程序了，这样即可实现一台电脑同时多开同一游戏了。
c、其实虚拟机在企业中应用非常广，由于服务器通常配置很高，因为很多服务器网络商为了满足中小站长需求，通常将一台服务器划分出多个虚拟机服务器，这样每个网站即可分配独立服务器资源一部分，并且互相不影响且可以配独立IP地址，大大解决了中小企业使用单独服务器费用过高的问题，目前购买的VPS服务器则均为采用该技术，做过网站的朋友初期用到的虚拟空间也是该原理。
2）CPU虚拟化原理
CPU的虚拟化技术：CPU的虚拟化技术可以单CPU模拟多CPU并行，允许一个平台同时运行多个操作系统，并且应用程序都可以在相互独立的空间内运行而互不影响，从而显著提高计算机的工作效率；虚拟化技术与多任务以及超线程技术是完全不同的。多任务是指在一个操作系统中多个程序同时并行运行，而在虚拟化技术中，则可以同时运行多个操作系统，而且每一个操作系统中都有多个程序运行，每一个操作系统都运行在一个虚拟的CPU或者是虚拟主机上；而超线程技术只是单CPU模拟双CPU来平衡程序运行性能，这两个模拟出来的CPU是不能分离的，只能协同工作；虚拟化技术也与目前VMware Workstation等同样能达到虚拟效果的软件不同，是一个巨大的技术进步，具体表现在减少软件虚拟机相关开销和支持更广泛的操作系统方面；纯软件虚拟化解决方案存在很多限制。“客户”操作系统很多情况下是通过VMM(Virtual Machine Monitor，虚拟机监视器)来与硬件进行通信，由VMM来决定其对系统上所有虚拟机的访问。(注意，大多数处理器和内存访问独立于VMM，只在发生特定事件时才会涉及VMM，如页面错误。)在纯软件虚拟化解决方案中，VMM在软件套件中的位置是传统意义上操作系统所处的位置，而操作系统的位置是传统意义上应用程序所处的位置。这一额外的通信层需要进行二进制转换，以通过提供到物理资源(如处理器、内存、存储、显卡和网卡等)的接口，模拟硬件环境。这种转换必然会增加系统的复杂性。此外，客户操作系统的支持受到虚拟机环境的能力限制，这会阻碍特定技术的部署，如64位客户操作系统。在纯软件解决方案中，软件堆栈增加的复杂性意味着，这些环境难于管理，因而会加大确保系统可靠性和安全性的困难；而CPU的虚拟化技术是一种硬件方案，支持虚拟技术的CPU带有特别优化过的指令集来控制虚拟过程，通过这些指令集，VMM会很容易提高性能，相比软件的虚拟实现方式会很大程度上提高性能。虚拟化技术可提供基于芯片的功能，借助兼容VMM软件能够改进纯软件解决方案。由于虚拟化硬件可提供全新的架构，支持操作系统直接在上面运行，从而无需进行二进制转换，减少了相关的性能开销，极大简化了VMM设计，进而使VMM能够按通用标准进行编写，性能更加强大。另外，在纯软件VMM中，目前缺少对64位客户操作系统的支持，而随着64位处理器的不断普及，这一严重缺点也日益突出。而CPU的虚拟化技术除支持广泛的传统操作系统之外，还支持64位客户操作系统；两大CPU巨头Intel和AMD都想方设法在虚拟化领域中占得先机，但是AMD的虚拟化技术在时间上要比Intel落后几个月。Intel自2005年末开始便在其处理器产品线中推广应用Intel Virtualization Technology(Intel VT)虚拟化技术。目前，Intel已经发布了具有Intel VT虚拟化技术的一系列处理器产品，包括桌面平台的Pentium 4 6X2系列、Pentium D 9X0系列和Pentium EE 9XX系列。
事实上，不同类型的虚拟化技术是从不同的地方开始引导虚拟机系统的：
从模拟的 BIOS 开始引导的，支持 MBR、EFI、PXE 等启动方式，如 QEMU、VMWare；
从内核开始引导的，虚拟机镜像内不包含内核，如 KVM、Xen；
从 init 进程开始引导的，虚拟机是一个与主机共享内核的容器，会按照操作系统的引导过程启动各种系统服务，如 LXC、OpenVZ；
只运行一个特定的应用程序或服务的，也是基于容器，如 Docker。
/dev/kvm提供的操作包括：
• 创建一个新的虚拟机
• 向一个虚拟机中分配内存
• 读写虚拟cpu寄存器
• 向一个虚拟cpu中注入中断
• 运行一个虚拟cpu
我们在前面的文章中提到了虚拟化技术的大致分类情况，即分为全虚拟化、半虚拟化和硬件辅助虚拟化3大类。而我们虚拟化技术最主要的虚拟主体就是我们的硬件CPU、内存和IO，那么我们的CPU在全虚拟化模式下如何工作，在半虚拟化下如何工作，在硬件辅助虚拟化模式下如何工作？或着说细分下来，我们又可以分为：
CPU的全虚拟化技术、半虚拟化技术和硬件辅助虚拟化技术，
内存的全虚拟化技术、半虚拟化技术和硬件辅助虚拟化技术
IO设备的全虚拟化技术、半虚拟化技术和硬件辅助虚拟化技术。
本次我们就来说说CPU的全虚拟化技术、半虚拟化技术和硬件辅助虚拟化技术。
不支持硬件辅助虚拟化技术的X86架构下的CPU有4个特权级(ring0~ring3)，操作系统是处于最高级别的ring0，应用程序处于最低级别的ring3。
3)内存虚拟化原理
虚拟机管理程序 (HV） 通过虚拟真实的物理内存, 以便在虚拟机中运行的未经修改的操作系统 (如 linux 或 android)，客户操作系统可以管理自己的连续物理内存的视图。虚拟机管理程序使用虚拟处理器标识符 (VPID) 和扩展页面表 (EPT) 来把客户物理地址转换为实际主机物理地址。虚拟机管理程序启用了EPT和 VPID 硬件虚拟化功能, 为操作系统和客户系统建立了EPT页表, 并向其他应用程序提供了EPT页表操作接口。从虚拟机管理程序的角度来看, 需要考虑以下几种内存空间，有:主机物理地址 (Host Physical Address): 本地主机物理地址空间,主机虚拟地址 (Host Virtual Address): 基于MMU机制的本地主机虚拟地址空间。我们使用页面表管理在HPA和HVA空间之间进行映射。从虚拟机上运行的客户操作系统来看, 有:客户物理地址 (Guest Physical Address): 虚拟机的客户操作系统的物理地址空间。在GPA到HPA之间的映射通常需要基于类似MMU的硬件模块 (例如X86中的EPT), 同时与页面表相关联客户操作系统虚拟地址 (Guest Virtual Address): 基于VMMU机制的虚拟机中客户操作系统的虚拟地址空间通常在这样的架构下，内存地址访问有四层映射：GVA - GPA - HVA - HPA GVA - GPA 的映射由客户操作系统来负责，而 HVA - HPA 由微内核虚拟化操作系统来负责维护。于是在虚拟化系统中我们需要一种机制，来维护 GPA - HVA 的映射。常用的实现有 SPT(Shadow Page Table) 和 EPT/NPT (Intel) ，前者通过软件维护影子页表，后者通过硬件特性实现二级映射。 本文说明虚拟化系统的内存管理基础结构, 以及它如何在虚拟化系统内处理不同的内存空间:虚拟机管理程序如何管理本地主机内存 (HPA/HVA)虚拟机管理程序如何管理客户操作系统内存 (HPA/GPA)虚拟机管理程序如何管理两个不同客户操作系统内存(HPA/GPA) 虚拟化物理内存管理 在虚拟化系中, 虚拟机最先初始化MMU页表以管理所有物理内存, 然后切换到新的MMU页表。在平台初始化阶段初始化MMU页表后, 就不会对MMU页表进行更新，因为这牵涉到客户操作系统内存和交互区域，系统启动时间优化等问题，因此MMU在平台初始化阶段固定对系统稳定性有一定的影响。虚拟化物理内存分布 无可非议虚拟机管理程序必须具备系统内存管理功能。通常情况下, 系统启动引导程序 (例如Intel的EFI) 将系统物理内存布局表传递给虚拟机管理程序，虚拟机管理程序基于此表使用分级页表来执行内存管理工作。如下图所示，此表包含系统平台的原始内存布局。虚拟化内存初始化 虚拟机管理程序在分页模式下运行。系统启动引导处理器 (BSP) 获取系统平台内存布局表后, BSP将在此基础上创建其MMU页面表。应用处理器 (AP) 接收 IPI CPU启动中断后, 它将使用由BSP创建的 MMU页表，并启用SMEP。SMEP（Supervisor Mode Execution Prevention），在现代intel处理器上，当设置了CR4存器的控制位时，会保护特权进程（比如在内核态的程序）不能在不含supervisor标志（对于ARM处理器，就是PXN标志）的内存区域执行代码。（直白地说就是内核程序不能跳转到用户态执行代码）。 虚拟机管理程序可以访问所有系统内存，并有自己的内存,为其代码/数据的 write-back 缓存，使用最小内存页将虚拟地址空间映射到物理地址空间。如果更新了页面的内存类型或访问权限, 或者删除了某些虚拟地址空间, 则会导致相应页面的拆分。虚拟机管理程序仍将继续使用最小内存页将虚拟地址空间映射到物理地址空间。内存分页池功能 内存分页池功能提供了对多种4kb 页面大小内存块的动态管理, 虚拟机管理程序通常使用这些内存块来存储内部数据。通过这些功能, 虚拟机管理程序可以分配和释放相应的内存页面。虚拟机管理程序内存虚拟化 虚拟机管理程序为每个客户操作系统提供了一个连续的物理内存区域。它还保证每个客户操作系统互相隔离不能访问彼此程序中的代码和内部数据, 并且每个客户操作系统在未授权的情况下不能访问虚拟机的代码和内部数据。虚拟机管理程序应该支持以下功能:支持EPT和VPID硬件虚拟化功能,为每个客户操作系统建立EPT页表,提供EPT页表操作服务,为每个客户操作系统提供虚拟化的MTRR机制,提供VPID操作服务,为GPA和HPA之间的地址空间映射提供服务,提供虚拟机管理程序和每个客户操作系统之间的数据传输服务。虚拟化内存功能检查 在虚拟机管理程序中, 内存虚拟化提供 EPT/VPID功能检查服务和支持EPT大型页面检查服务。不同地址空间的数据传输 在虚拟化系统中, 虚拟机管理程序、不同客户操作系统中使用不同的内存空间来实现各自的隔离。在这些内存空间之间, 有不同类型的数据传输, 客户操作系统可能会使用超调用来请求虚拟机管理程序提供数据传输服务。访问客户操作系统内存地址GPA 当虚拟机管理程序需要访问GPA来进行数据传输时, 来自客户操作系统的调用方必须确保此GPA内存地址范围是连续的。但对于虚拟机管理程序中的HPA主机物理内存地址, 它可能是不连续的 (特别是对于 巨型页表分配机制下的用户操作系统)。例如, 4Mb的GPA地址范围可能映射到2个不同的2Mb巨型主机物理页面。虚拟机管理程序应该通过基于其HPA的EPT页面滑动来处理这种数据传输。访问客户操作系统内存地址GVA 当虚拟机管理程序需要访问GVA内存地址数据进行数据传输时, GPA和HPA地址可能都是不连续的。虚拟机管理程序最好监视这种数据传输, 并通过基于其GPA和HPA 内存页表相应滑动来处理它。内存扩展页表的操作 虚拟机管理程序使用最小内存页表将客户操作系统的物理地址 (GPA) 映射到主机物理地址 (HPA) 。 如果更新了页面的内存类型或访问权限或删除了某些 GPA 空间, 则会导致相应的EPT页表被拆分。虚拟机管理程序仍应继续使用最小的EPT页表将GPA空间映射到HPA空间。 虚拟机管理程序提供EPT客户操作系统物理内存增加、删除、EPT页表重新分配、以及内存无效服务。