云计算IaaS虚拟化核心技术解析

日期:2017-10-11      来源:课课家      作者:佚名      编辑:otpub      点击:1292次

我们知道云计算平台上面的云主机实际上都是虚拟机,但我们感觉不出来,用起来和一台真实的服务器没什么区别,这都要归功于虚拟化技术(Virtualization)。可以说虚拟化技术是实现云计算基础架构层面(IaaS)的核心技术。那么这种虚拟化技术究竟是怎么回事?

云计算IaaS虚拟化核心技术解析

云计算所使用的虚拟化技术,其实并不是一项新技术。1998年成立的VMWare(威睿)就是做虚拟机软件的,后来被数据存储技术公司EMC(易安信)收购了,再后来EMC又被Dell收购了。

我们先不谈VMware公司的历史,重点说一下他们的虚拟机软件:VMware Workstation。这个软件允许多个x86虚拟机同时被创建和运行。每个虚拟机实例可以运行其自己的客户机操作系统(Guest OS),如Windows、Linux、BSD等。说白了就是,VMware Workstation允许一台真实的计算机同时运行好几个操作系统。

从底层操作系统来看,每个虚拟机都是一个用户进程;从虚拟机中的的Guest OS来看,自己拥有整个计算机。

 

虚拟机的工作原理

虚拟机软件解决了一个关键的技术问题:就是如何让Guest OS认为自己正运行在一个真实的计算机上。

云计算IaaS虚拟化核心技术解析

VMware的架构图

管理多个虚拟机的软件叫做VMM(Virtual Machine Monitor),或者叫hypervisor。VMM做了三件事来欺骗Guest OS:分别是虚拟CPU、虚拟内存、虚拟I/O。

虚拟CPU:为每个虚拟机的CPU准备了一个虚拟寄存器的数据结构,跟踪着CPU所有寄存器中的值。CPU的全部状态其实就是所有寄存器的值,只要在Guest OS看来寄存器的值没问题,Guest OS就可以正常执行。

Guest OS作为一个用户进程,实际上运行在CPU的ring3模式(最低权限),但VMM让它以为自己运行在CPU的ring0模式(特权模式)。如果Guest OS访问ring3模式的寄存器,VMM是不会管的。但如果Guest OS试图访问一些ring3模式的寄存器,VMM就直接修改虚拟寄存器的值,让Guest OS认为自己真的操作了这些特权模式下才能访问的寄存器。

虚拟内存:VMM实现了从虚拟内存到虚拟机物理内存再到物理内存的 三级地址转换,解决了Guest OS访问内存的问题,在Guest OS看来,地址还是从虚拟内存映射到物理内存。

虚拟I/O:如果VMM发现Guest OS要对某个I/O设备进行操作,那么就用软件模拟这个过程,比如要对磁盘进行读写,VMM就把这个操作改成对文件的读写。

总的来说,Guest OS的运行在VMM的严密监控下,在权限允许的范围内,Guest OS干啥都行,但如果超出了权限,VMM就要干预。

 

虚拟化技术与云计算

目前比较常用的虚拟机技术有VMWare,Xen,KVM,虽然虚拟化的思路差不多,但具体所使用的虚拟化技术还是有所区别的。

VMWare是商用软件,需要付费,且不开源。Xen和KVM都是开源的。不过Xen的操作复杂,维护成本较高,Linux官方内核已经去掉了对Xen的支持。KVM是Linux Kernel的一部分,因此会随着Linux内核的升级而不断优化和改进。在云计算领域目前用的虚拟机技术最多的也是KVM。

云计算IaaS虚拟化核心技术解析

云计算管理软件通过libvirt接口管理虚拟机

目前比较流行的云计算管理软件是Openstack,支持各种虚拟机技术。libvirt是一套免费、开源的支持Linux下主流虚拟化工具的C函数库。libvirt 起初是专门为 Xen 设计的一种管理 API,后来被扩展为可支持多个虚拟机监控程序。云计算管理软件通过libvirt接口就可以控制各种虚拟化技术创建的虚拟机了。


应用方式

作为Infrastructure as a Service (IaaS) 在实际应用中的一个例子,The New York Times 使用成百上千台 Amazon EC2 实例在 36 小时内处理 TB 级的文档数据。如果没有 EC2,The New York Times 处理这些数据将要花费数天或者数月的时间。

IaaS 分为两种用法:公共的和私有的。Amazon EC2在基础设施云中使用公共服务器池。更加私有化的服务会使用企业内部数据中心的一组公用或私有服务器池。如果在企业数据中心环境中开发软件,那么这两种类型都能使用,而且使用EC2临时扩展资源的成本也很低 — 比方说测试。结合使用两者可以更快地开发应用程序和服务,缩短开发和测试周期。

同时,IaaS也存在安全漏洞,例如服务商提供的是一个共享的基础设施,也就是说一些组件,例如CPU缓存,GPU等对于该系统的使用者而言并不是完全隔离的,这样就会产生一个后果,即当一个攻击者得逞时,全部服务器都向攻击者敞开了大门,即使使用了hypervisor,有些客户机操作系统也能够获得基础平台不受控制的访问权。解决办法:开发一个强大的分区和防御策略,IaaS供应商必须监控环境是否有未经授权的修改和活动。

 

虚拟化与云计算

 

根据NIST的权威定义,云计算有SPI, 即SaaS、PaaS和IaaS三大服务模式。这是目前被业界最广 泛认同的划分。PaaS和IaaS源于SaaS理念。PaaS和IaaS可以直接通过SOA/Web Services向平台用户提供服务, 也可以作为SaaS模式的支撑平台间接向最终用户服务。

1. SaaS:提供给客户的服务是运营商运行在云计算基础设施上的应用程序,用户可以在各种设备上通过客户端界面访问,如浏览器。消费者不需要管理或控制任何云计算基础设施,包括网络、服务器、操作系统、存储等等;

2. PaaS: 提供给消费者的服务是把客户采用提供的开发语言和工具(例如java,Python, .Net等)开发的或收购的应用程序部署到供应商的云计算基础设施上去。客户不需要管理或控制底层的云基础设施,包括网络、服务器、操作系统、存储等,但客户能控制部署的应用程序,也可能控制运行应用程序的托管环境配置;

3. IaaS: 提供给消费者的服务是对所有设施的利用,包括处理、存储、网络和其它基本的计算资源,用户能够部署和运行任意软件,包括操作系统和应用程序。消费者不管理或控制任何云计算基础设施,但能控制操作系统的选择、储存空间、部署的应用,也有可能获得有限制的网络组件(例如,防火墙,负载均衡器等)的控制。


相关推荐:

1、云计算中使用虚拟化的安全风险如何控制

2、虚拟化的灾难恢复实践和实用性

3、当今环境下虚拟化的五个安全趋势

4、已经虚拟化,是否还需要超融合

关键字:虚拟化

本站所载作品版权归作者及原出处共同所有。凡本网注明“来源:OTPUB”的所有作品、文章,版权均属于本站,转载、摘编或利用其它方式使用上述作品,应注明“来源:OTPUB” 或 “摘自:OTPUB”。

上一篇: 云计算面临的安全问题该怎么解决 下一篇: 人脸识别必备三要素:摄像头+AI...