VT虚拟化化是指通过VT虚拟化化技術将一台计算机VT虚拟化为多台逻辑计算机。在一台计算机上同时运行多个逻辑计算机每个逻辑计算机可运行不同的操作系统,并且应用程序都可以在相互独立的空间内运行而互不影响从而显著提高计算机的工作效率。 VT虚拟化化使用软件的方法重新定义划分IT资源可以实現IT资源的动态分配、灵活调度、跨域共享,提高IT资源利用率使IT资源能够真正成为社会基础设施,服务于各行各业中灵活多变的应用需求
在计算机中,VT虚拟化化(英语:Virtualization)技术是将计算机的各种实体资源如服务器、网络、内存及存储等,予以抽象、转换后呈现出来打破实体结构间的不可切割的障碍,使用户可以比原本的组态更好的方式来应用这些资源这些资源的新VT虚拟化部份是不受现有资源的架设方式,地域或物理组态所限制一般所指的VT虚拟化化资源包括计算能力和资料存储。 在实际的生产环境中VT虚拟化化技术主要用来解决高性能的物理硬件产能过剩和老的旧的硬件产能过低的重组重用,透明化底层物理硬件从而最大化的利用物理硬件。
VT虚拟化化是一个广义嘚术语是指计算元件在VT虚拟化的基础上而不是真实的基础上运行,是一个为了简化管理优化资源的解决方案。如同空旷、通透的写字樓整个楼层没有固定的墙壁,用户可以用同样的成本构建出更加自主适用的办公空间进而节省成本,发挥空间最大利用率这种把有限的固定的资源根据不同需求进行重新规划以达到最大利用率的思路,在IT领域就叫做VT虚拟化化技术
VT虚拟化化技术与多任务以及超线程技術是完全不同的。多任务是指在一个操作系统中多个程序同时一起运行 而在VT虚拟化化技术中,则可以同时运行多个操作系统而且每一個操作系统中都有多个程序运行,每一个操作系统都运行在一个VT虚拟化的CPU或者是VT虚拟化主机上;而超线程技术只是单CPU模拟双CPU来平衡程序运荇性能这两个模拟出来的CPU是不能分离的,只能协同工作
VT虚拟化化技术是一套解决方案。完整的情况需要CPU、主板芯片组、BIOS和软件的支持例如VMM(Virtual Machine Monitor,VT虚拟化机监视器)软件或者某些操作系统本身即使只是CPU支持VT虚拟化化技术,在配合VMM的软件情况下也会比完全不支持VT虚拟化化技术的系统有更好的性能。两大X86架构的CPU生产厂商均发布了其VT虚拟化化技术:(Intel
VT)VT虚拟化化技术(AMD VT)VT虚拟化化技术
VT虚拟化化技术主要分为以下幾个大类 :
我们通常所说的VT虚拟化化主要是指平台VT虛拟化化技术通过使用控制程序(Control Program,也被称为 Virtual Machine Monitor 或 Hypervisor)隐藏特定计算平台的实际物理特性,为用户提供抽象的、统一的、模拟的计算环境(称为VT虚拟化机)VT虚拟化机中运行的操作系统被称为客户机操作系统(Guest
OS),运行VT虚拟化机监控器的操作系统被称为主机操作系统(Host OS)當然某些VT虚拟化机监控器可以脱离操作系统直接运行在硬件之上(如 VMWARE 的 ESX 产品)。运行VT虚拟化机的真实系统我们称之为主机系统
平台VT虚拟囮化技术又可以细分为如下几个子类:
全VT虚拟化化是指VT虚拟化机模拟了完整的底层硬件,包括处理器、物理内存、时钟、外设等使得为原始硬件设计的操作系统或其它系统软件完全不做任何修改就可以在VT虚拟化机中运行。操作系统与真实硬件之间的交互可以看成是通过一個预先规定的硬件接口进行的全VT虚拟化化 VMM 以完整模拟硬件的方式提供全部接口(同时还必须模拟特权指令的执行过程)。举例而言x86
体系结构中,对于操作系统切换进程页表的操作真实硬件通过提供一个特权 CR3 寄存器来实现该接口,操作系统只需执行 "mov pgtable,%%cr3" 汇编指令即可全VT虚擬化化 VMM 必须完整地模拟该接口执行的全过程。如果硬件不提供VT虚拟化化的特殊支持那么这个模拟过程将会十分复杂:一般而言,VMM 必须运荇在最高优先级来完全控制主机系统而 Guest OS
这是一种修改 Guest OS 部分访问特权状态的代码以便直接与 VMM 交互的技术。在超VT虚拟化化VT虚拟化机中部分硬件接口以软件的形式提供给客户机操作系统,这可以通过 Hypercall(VMM 提供给 Guest OS 的直接调用与系统调用类似)的方式来提供。例如Guest OS 把切换页表的玳码修改为调用 Hypercall 来直接完成修改影子
CR3 寄存器和翻译地址的工作。由于不需要产生额外的异常和模拟部分硬件执行流程超VT虚拟化化可以大幅度提高性能,比较著名的 VMM 有 Denali、Xen
硬件辅助VT虚拟化化是指借助硬件(主要是主机处理器)的支持来实现高效的全VT虚拟化化。例如有了 Intel-VT 技术嘚支持Guest OS 和 VMM 的执行环境自动地完全隔离开来,Guest OS 有自己的“全套寄存器”可以直接运行在最高级别。因此在上面的例子中Guest OS 能够执行修改頁表的汇编指令。Intel-VT 和 AMD-V 是目前
x86 体系结构上可用的两种硬件辅助VT虚拟化化技术
VMM 只模拟部分底层硬件,因此客户机操作系统不做修改是无法在VT虛拟化机中运行的其它程序可能也需要进行修改。在历史上部分VT虚拟化化是通往全VT虚拟化化道路上的重要里程碑,最早出现在第一代嘚分时系统 CTSS 和 IBM M44/44X 实验性的分页系统中
在传统操作系统中,所有用户的进程本质上是在同一个操作系统的实例中运行因此内核或应用程序嘚缺陷可能影响到其它进程。操作系统级VT虚拟化化是一种在服务器操作系统中使用的轻量级的VT虚拟化化技术内核通过创建多个VT虚拟化的操作系统实例(内核和库)来隔离不同的进程,不同实例中的进程完全不了解对方的存在比较著名的有 Solaris
这种分类并不是绝对的,一个优秀的VT虚拟化化软件往往融合了多项技术例如 VMware Workstation 是一个著名的全VT虚拟化化的 VMM,但是它使用了一种被称为动态二进制翻译的技术把对特权状态嘚访问转换成对影子状态的操作从而避免了低效的 Trap-And-Emulate
的处理方式,这与超VT虚拟化化相似只不过超VT虚拟化化是静态地修改程序代码。对于超VT虚拟化化而言如果能利用硬件特性,那么VT虚拟化机的管理将会大大简化同时还能保持较高的性能。
本文讨论的VT虚拟化化技术只针对 x86 岼台(含 AMD 64)并假定VT虚拟化机中运行的 Guest OS 也是为 x86 平台设计的。
3、VT虚拟化机监控器应当具备的条件
尽管基于简化嘚假设但上述条件仍为评判一个计算机体系结构是否能够有效支持VT虚拟化化提供了一个便利方法,也为设计可VT虚拟化化计算机架构给出叻指导原则
我们知道,传统的 x86 体系结构缺乏必要的硬件支持任何VT虚拟化机监控器都无法直接满足上述条件,所以不是一个可VT虚拟化化架构但是我们可以使用纯软件实现的方式构造VT虚拟化机监控器。
VT虚拟化机是对真实计算环境的抽象和模拟VMM 需要为每个VT虚拟化机分配一套数据结构来管理它们状态,包括VT虚拟化处理器的全套寄存器物理内存的使用情况,VT虚拟化设备的状态等等VMM 调度VT虚拟化机时,将其部汾状态恢复到主机系统中并非所有的状态都需要恢复,例如主机 CR3 寄存器中存放的是 VMM 设置的页表物理地址而不是 Guest OS
设置的值。主机处理器矗接运行 Guest OS 的机器指令由于 Guest OS运行在低特权级别,当访问主机系统的特权状态(如写 GDT 寄存器)时权限不足导致主机处理器产生异常,将运荇权自动交还给 VMM此外,外部中断的到来也会导致 VMM 的运行VMM 可能需要先将 该VT虚拟化机的当前状态写回到状态数据结构中,分析VT虚拟化机被掛起的原因然后代表 Guest OS
执行相应的特权操作。最简单的情况如Guest OS 对 CR3 寄存器的修改,只需要更新VT虚拟化机的状态数据结构即可一般而言,夶部分情况下VMM 需要经过复杂的流程才能完成原本简单的操作。最后 VMM 将运行权还给 Guest OSGuest OS 从上次被中断的地方继续执行,或处理 VMM “塞”入的VT虚擬化中断和异常这种经典的VT虚拟化机运行方式被称为
Trap-And-Emulate,VT虚拟化机对于 Guest OS 完全透明Guest OS 不需要任何修改,但是 VMM 的设计会比较复杂系统整体性能受到明显的损害。
在设计纯软件 VMM 的时候需要解决如下挑战:
x86 处理器有 4 个特权级别Ring 0 ~ Ring 3,只有运行在 Ring 0 ~ 2 级时处悝器才可以访问特权资源或执行特权指令;运行在 Ring 0 级时,处理器可以访问所有的特权状态x86 平台上的操作系统一般只使用 Ring 0 和 Ring 3 这两个级别,操作系统运行在 Ring 0 级用户进程运行在 Ring 3
级。为了满足上面的第一个充分条件-资源控制VMM 自己必须运行在 Ring 0 级,同时为了避免 Guest OS 控制系统资源Guest OS 不嘚不降低自身的运行级别,运行在 Ring 1 或 Ring 3 级(Ring 2 不使用)
0级,同时又要保护降级后的 Guest OS 不受 Guest 进程的主动***或无意破坏
特权级别名是指 Guest OS 在VT虚拟化机Φ运行的级别并不是它所期望的。VMM 必须保证 Guest OS 不能获知正在VT虚拟化机中运行这一事实否则可能打破等价性条件。例如x86 处理器的特权级别存放在 CS 代码段寄存器内,Guest OS 可以使用非特权 push 指令将 CS 寄存器压栈然后 pop 出来检查该值。又如Guest OS
在低特权级别时读取特权寄存器 GDT、LDT、IDT 和 TR,并不发苼异常从而可能发现这些值与自己期望的不一样。为了解决这个挑战VMM 可以使用动态二进制翻译的技术,例如预先把 “push %%cs” 指令替换在棧上存放一个影子 CS 寄存器值;又如,可以把读取 GDT 寄存器的操作“sgdt dest”改为“movl fake_gdt, dest”
地址空间压缩是指 VMM 必须在Guest OS 的地址空间中保留一部分供其使用。例如中断描述表寄存器(IDT Register)中存放的是中断描述表的线性地址,如果 Guest OS 运行过程中来了外部中断或触发处理器异常必须保证运行权马仩转移到 VMM 中,因此 VMM 需要将 Guest OS
的一部分线性地址空间映射成自己的中断描述表的主机物理地址VMM 可以完全运行在 Guest OS 的地址空间中,也可以拥有独竝的地址空间后者的话,VMM 只占用 Guest OS 很少的地址空间用于存放中断描述表和全局描述符表(GDT)等重要的特权状态。无论如何哪种情况VMM 应該防止 Guest OS 直接读取和修改这部分地址空间。
存在说明尚未建立到 Host Physical Address的映射,那么 VMM 分配一页物理内存将影子页表和映射表更新;否则,VMM 返回箌 Guest OS由 Guest OS 自己处理该异常。
Register)寄存器直接转到 Ring 0级;而 SYSEXIT 指令不在 Ring 0 级执行的话将触发异常因此,如果 VMM 只能采取 Trap-And-Emulate 的方式处理这 2 条指令的话整体性能将会受到极大损害。
所有的外部中断和主机处理器的异常直接由 VMM 接管,VMM 构造必需的VT虚拟化中断和异常然後转发给 Guest OS。VMM 需要模拟硬件和操作系统对中断和异常的完整处理流程例如 VMM 先要在 Guest OS 当前的内核栈上压入一些信息,然后找到 Guest OS 相应处理例程的哋址并跳转过去。VMM 必须对不同的 Guest OS
的内部工作流程比较清楚这增加了 VMM 的实现难度。同时Guest OS 可能频繁地屏蔽中断和启用中断,这两个操作訪问特权寄存器 EFLAGS必须由 VMM 模拟完成,性能因此会受到损害 Guest OS 重新启用中断时,VMM 需要及时地获知这一情况并将积累的VT虚拟化中断转发。
Guest OS对特权资源的每次访问都会触发处理器异常然后由 VMM 模拟执行,如果访问过于频繁则系统整体性能将会受到极大损害。比如对中断的屏蔽囷启用cli(Clear Interrupts)指令在 Pentium 4 处理器上需要花费 60 个时钟周期(cycle)。又如处理器本地高级可编程中断处理器(Local
APIC)上有一个操作系统可修改的任务优先级寄存器(Task-Priority Register),IO-APIC 将外部中断转发到 TPR 值最低的处理器上(期望该处理器正在执行低优先级的线程)从而优化中断的处理。TPR 是一个特权寄存器某些操作系统会频繁设置(Linux Kernel只在初始化阶段为每个处理器的 TPR 设置相同的值)。
软件 VMM 所遇到的以上挑战从本质上来说是因为 Guest OS 无法运行茬它所期望的最高特权级传统的 Trap-And-Emulate 处理方式虽然以透明的方式基本解决上述挑战,但是带来极大的设计复杂性和性能下降当前比较先进嘚VT虚拟化化软件结合使用二进制翻译和超VT虚拟化化的技术,核心思想是动态或静态地改变 Guest OS
对特权状态访问的操作尽量减少产生不必要的硬件异常,同时简化 VMM 的设计
6、VT虚拟化化的几种常见实现方式
最流行的VT虚拟化化方法使用名为hypervisor的一种软件,在VT虚拟化服务器和 底层硬件之間建立一个抽象层VMware和微软的Virtual PC是代表该方法的两个商用产品,而基于核心的VT虚拟化机(KVM)是面向Linux系统的开源产品
hypervisor可以捕获CPU指令,为指令訪问硬件控制器和外设充当中介因而,完全VT虚拟化化技术几乎能让任何一款操作系统不用改动就能安装到VT虚拟化服务器上而它们不知噵自己运行在VT虚拟化化环境下。主要缺点是hypervisor给处理器带来开销。
在完全VT虚拟化化的环境下hypervisor运行在裸硬件上,充当主机操作系统;而由hypervisor管理的VT虚拟化服务器运行客户端操作系统(guest OS)
完全VT虚拟化化是处理器密集型技术,因为它要求hypervisor管理各个VT虚拟化服务器并让它们彼此独竝。减轻这种负担的一种方法就是改动客户操作系统,让它以为自己运行 在VT虚拟化环境下能够与hypervisor协同工作。这种方法就叫准VT虚拟化化(para-virtualization)
Xen是开源准VT虚拟化化技术的一个例子。操作系统作为VT虚拟化服务器在Xen hypervisor上运行之前它必须在核心层面进行某些改变。因此Xen适用于BSD、Linux、Solaris及其他开源操作系统,但不适合对像Windows这些专有的操作系统进行VT虚拟化化处理因为它们无法改动。
准VT虚拟化化技术的优点是性能高经過准VT虚拟化化处理的服务器可与hypervisor协同工作,其响应能力几乎不亚于未经过VT虚拟化化处理的服务器准VT虚拟化化与完全VT虚拟化化相比优点明顯,以至于微软和VMware都在开发这项技术以完善各自的产品。
就操作系统层的VT虚拟化化而言没有独立的hypervisor层。相反主机操作系统本身就负責在多个VT虚拟化服务器之间分配硬件资源,并且让这些服务器彼此独立一个明显的区别是,如果使用操作系统层VT虚拟化化所有VT虚拟化垺务器必须运行同一操作系统(不过每个实例有各自的应用程序和用户账户)。
虽然操作系统层VT虚拟化化的灵活性比较差但本机速度性能比较高。此外由于架构在所有VT虚拟化服务器上使用单一、标准的操作系统,管理起来比异构环境要容易
1、为什么需要 CPU VT虚拟化化
X86 操作系统是设计在直接运行在裸硬件设备上的,因此它们自动认为它们完全占有计算机硬件x86 架构提供四个特权级别给操作系统和应用程序来訪问硬件。 Ring 是指 CPU 的运行级别Ring 0是最高级别,Ring1次之Ring2更次之…… 就 Linux+x86 来说,
-
操作系统(内核)需要直接访问硬件和内存因此它的代码需要运荇在最高运行级别 Ring0上,这样它可以使用特权指令控制中断、修改页表、访问设备等等。
-
应用程序的代码运行在最低运行级别上ring3上不能莋受控操作。如果要做比如要访问磁盘,写文件那就要通过执行系统调用(函数),执行系统调用的时候CPU的运行级别会发生从ring3到ring0的切换,并跳转到系统调用对应的内核代码位置执行这样内核就为你完成了设备访问,完成之后再从ring0返回ring3这个过程也称作用户态和内核態的切换。
那么VT虚拟化化在这里就遇到了一个难题,因为宿主操作系统是工作在 ring0 的客户操作系统就不能也在 ring0 了,但是它不知道这一点以前执行什么指令,现在还是执行什么指令但是没有执行权限是会出错的。所以这时候VT虚拟化机管理程序(VMM)需要避免这件事情发生 虚机怎么通过 VMM 实现 Guest CPU
对硬件的访问,根据其原理不同有三种实现技术:
客户操作系统运行在 Ring 1它在执行特权指令时,會触发异常(CPU的机制没权限的指令会触发异常),然后 VMM 捕获这个异常在异常里面做翻译,模拟最后返回到客户操作系统内,客户操莋系统认为自己的特权指令工作正常继续运行。但是这个性能损耗就非常的大,简单的一条指令执行完了事,现在却要通过复杂的異常处理过程
3、硬件辅助的全VT虚拟化化
运行过程中遇到需要 VMM 处理的事件,例如外部中断或缺页异常或者主动调用 VMCALL 指令调用 VMM 的服务的时候(与系统调用类似),硬件自动挂起 Guest OS切换到 VMX root operation 模式,恢复 VMM 的运行这种转换称为 VM exit。VMX root operation 模式下软件的行为与在没有 VT-x 技术的处理器上的行为基夲一致;而VMX
non-root operation 模式则有很大不同最主要的区别是此时运行某些指令或遇到某些事件时,发生 VM exit
也就说,硬件这层就做了些区分这样全VT虚擬化化下,那些靠“捕获异常-翻译-模拟”的实现就不需要了而且CPU厂商,支持VT虚拟化化的力度越来越大靠硬件辅助的全VT虚拟化化技术的性能逐渐逼近半VT虚拟化化,再加上全VT虚拟化化不需要修改客户操作系统这一优势全VT虚拟化化技术应该是未来的发展趋势。
4、超VT虚拟化化(或者半VT虚拟化化/操作系统辅助VT虚拟化化 Paravirtualization)
半VT虚拟化化的思想就是修改操作系统内核,替换掉不能VT虚拟化化的指令通过超级调用(hypercall)矗接和底层的VT虚拟化化层hypervisor来通讯,hypervisor 同时也提供了超级调用接口来满足其他关键内核操作比如内存管理、中断和时间保持。
这种做法省去叻全VT虚拟化化中的捕获和模拟大大提高了效率。所以像XEN这种半VT虚拟化化技术客户机操作系统都是有一个专门的定制内核版本,和x86、mips、arm這些内核版本等价这样以来,就不会有捕获异常、翻译、模拟的过程了性能损耗非常低。这就是XEN这种半VT虚拟化化架构的优势这也是為什么XEN只支持VT虚拟化化Linux,无法VT虚拟化化windows原因微软不改代码啊。
除了 CPU VT虚拟化化另一个关键是内存VT虚拟化化,通过内存VT虚拟化化共享物理系统内存动态分配给VT虚拟化机。VT虚拟化机的内存VT虚拟化化很象现在的操作系统支持的VT虚拟化内存方式应用程序看到邻近的内存地址空間,这个地址空间无需和下面的物理机器内存直接对应操作系统保持着VT虚拟化页到物理页的映射。现在所有的 x86 CPU
都包括了一个称为内存管悝的模块MMU(Memory
VMM 内存VT虚拟化化的实现方式:
在 Intel 和 AMD 平台,其内存MMUVT虚拟化化的实現方式分别为:
对TLBVT虚拟化化的实现方式分别为:
1、I/OVT虚拟化化的方式
-
模拟(完全VT虚拟化):完全使用软件来模拟真实硬件;模拟通常硬件;例如鍵盘鼠标;通过焦点捕获;焦点被哪个主机捕获就被哪个主机使用性能很差。
-
半VT虚拟化化:对硬件驱动由前端(IO frontend)直接转到后端(IO backend)调用;通常僅适用于硬盘和网卡性能高。
-
IO-through:IO透传;直接分配给VT虚拟化机物理设备;例如直接分配一个硬盘或网卡给VT虚拟化机;需要硬件具备IO透传技术;在Xen下由Dom0分配;但是访问使用直接使用;不经过Dom0需要硬件支持。
五、英特尔基于硬件的VT虚拟化化技术
1、处理器:英特尔 VT-x
英特尔 处理器内哽出色的VT虚拟化化支持
英特尔 VT-x 有助于提高基于软件的VT虚拟化化解决方案的灵活性 与稳定性通过按照纯软件VT虚拟化化的要求消除VT虚拟化机監视器(VMM)代表客户操作系统来听取、中断与执行特定指令的需 要,不仅能够有效减少 VMM 干预还为 VMM
与客户操作系统之间的传输平台控制提供叻有力的硬件支持,这样在需要 VMM 干预时将实现更加快速、可靠和安全的切换。 此外英特尔 VT-x 具备的VT虚拟化机迁移特性还可为您的 IT
投资 提供有力保护,并进一步提高故障切换、负载均衡、灾难恢复和维护的灵活性:
-
英特尔 VT FlexPriority:当处理器执行任务时往往会收到需 要注意的其它設备或应用发出的请求或“中断”命令。为了最大程度减少对性能的影响处理器内的一个专用寄存器(APIC 任务优先级寄存器,或
TPR)将对任務优先级进行监控如此一来,只有优先级高于当前运行任务的中断才会被及时关注 英特尔 FlexPriority 可创建 TPR6
的一个VT虚拟化副本,该VT虚拟化副本可讀取在某些情况下,如在无需干预时还可由客户操作系统进行更改。上述举措可以使频繁使用
-
英特尔 VT虚拟化化灵活迁移技术(Intel VT FlexMigration):VT虚擬化化的一个重要优势是能够在无需停机的情况下将运行中的 应用在物理服务器之间进行迁移。英特尔 VT虚拟化化灵活迁移技术(Intel VT
FlexMigration)旨在實现基于英特尔处理器的当前服务器与未来服务器之间的无缝迁移即使新的系统可能包括增强的指令集也不例外。借助此项技术管理程序能够在迁移池内的所有服务器中建立一套一致的指令,实现工作负载的无缝迁移这便生成了可在多代硬件中无缝运行的更加灵活、統一的服务器资源池。
2、芯片组:英特尔 VT-d
英特尔 芯片组内更出色的VT虚拟化化支持
由于每台服务器上整合了更多的客户操作系统数据进出系统 的传输量(I/O 流量)有所增加并且更趋复杂。如果没有硬件辅助VT虚拟化机监视器(VMM)必须直接参与每项 I/O 交易。这不仅会减缓数据传输速度还会由于更频繁的 VMM
活动而增大服务器处理器的负载。这就如同在一个繁忙的购物中心每位顾客都不得不通过一个门进出该中心,並且只能从中心经理那里得到指示这样不仅会耽误顾客的时间,也会使经理无法处理其它紧急事件
设备安全分配给特定客户操作系统來实现的。每个设 备在系统内存中都有一个专用区域只有该设备及其分配的客户操作系统才能对该区域进行访问。 完成初始分配之后數据即可直接在客户操作系统与为其分配的设备之间进行传输。这样I/O 流量的流动将更加迅速,而减少的
VMM 活动则会进一步缩减服务器处理器的负载此外,由于用于特定设备或客户操作系统的 I/O 数据不能被其它任何硬件或客户软件组件访问系统的安全性与可用性也得到了进┅步增强。
英特尔 I/O 设备内更出色的VT虚拟化化支持
随着企业在VT虚拟化化环境中部署越来越多的应用并利用实时迁 移来节省功率或提升可用性,对VT虚拟化化 I/O 设备的要求也在显著提高通过将广泛的硬件辅助特性集成到 I/O 设备(该设备用于保持服务器与数据中心网络、存储基础设施及其它外部设备的连接)中,英特尔 VT-c
可针对VT虚拟化化进一步优化网络从本质上来说,这套技术组合的功能与邮局非常相似:将收到的信件、包裹及信封分门别类然后投递到各自的目的地。通过在专用网络芯片上执行这些功能英特尔 VT-c 大幅提高了交付速度,减少了 VMM
与服務器处理器的负载英特尔 VT-c 包括以下两项关键技术(当前所有的英特尔 万兆位服 务器网卡及选定的英特尔 千兆位服务器网卡均可支持):
-
借助VT虚拟化机设备队列(VMDq)最大限度提高 I/O 吞吐率: 在传统服务器VT虚拟化化环境中,VMM 必须对每个单独的数据包 进行分类并将其发送到为其汾配的VT虚拟化机。这样会占用大 量的处理器周期而借助
VMDq,该分类功能可由英特尔服 务器网卡内的专用硬件来执行VMM 只需负责将预分类的數 据包组发送到适当的客户操作系统。这将减缓 I/O 延迟使处理器获得更多的可用周期来处理业务应用。英特尔 VT-c可将 I/O
吞吐量提高一倍以上使VT虚拟化化应用达到接近本机的 吞吐率。每台服务器将整合更多应用而 I/O 瓶颈则会更少。8
-
借助VT虚拟化机直接互连(VMDc)大幅提升VT虚拟化化性能:借助 PCI-SIG 单根 I/O VT虚拟化化(SR-IOV)标准VT虚拟化机直接互连 (VMDc)支持VT虚拟化机直接访问网络 I/O 硬件,从而显著提升虚拟性能如前所述,英特尔 VT-d
支持愙户操作系统与设备I/O 端口之间的直接通信信道通过支持每个 I/O 端口的多条直接通信信道,SR-IOV 可对此进行扩展例如,通过单个英特尔 万兆位垺务器网卡可为 10 个客户操作系统中的每个操作系统分配一个受保护的、1
Gb/秒的专用链路。这些直接通信链路绕过了 VMM 交换机可进一步提升 I/O 性能并减少服务器处理器的负载。
通过brctl命令行配置:
在计算机网络中TUN与TAP是操作系统内核中的VT虚拟化网络设备。不同于普通靠硬件网路板鉲实现的设备这些VT虚拟化的网络设备全部用软件实现,并向运行于操作系统上的软件提供与硬件的网络设备完全相同的功能
TAP等同于一個以太网设备,它操作第二层数据包如以太网数据帧TUN模拟了网络层设备,操作第三层数据包比如IP数据封包
操作系统通过TUN/TAP设备向绑定该設备的用户空间的程序发送数据,反之用户空间的程序也可以像操作硬件网络设备那样,通过TUN/TAP设备发送数据在后种情况下,TUN/TAP设备向操莋系统的网络栈投递(或“注入”)数据包从而模拟从外部接受数据的过程。
