应用虚拟化

初识docker： 以下为学习docker的记录 在主机时代比拼的是服务器的物理性能的强弱，cpu的计算能力，linpack等，那么在云时代，最看重的就是凭借虚拟化技术所构建的集群处理能力。 docker是基于go语言实现的开源容器项目，诞生于2013年初，发起者是dotCloud公司。目前已经有80多个相关的开源组件项目，逐渐形成了一个完整的生态系统。 docker项目已经加入Linux基金会，遵循Apache2.0协议，全部凯源代码均在https://github.com/docker 项目仓库进行维护。 docker的构想是要实现“Build,Ship and Run Any App,Anywhere”，通过对应用的封装（Packaging）、分发（Distribution）、部署（Deployment）、运行（Runtime）生命周期进行管理，达到应用的一次封装，到处运行。 优势 1、更快速的交付和部署 2、更高效的资源利用 3、更轻松的迁移和扩展 4、更简单的更新管理 docker和虚拟机比较 传统方式是在硬件层面实现虚拟化，需要有额外的虚拟机管理应用和虚拟机操作系统。Docker容器是在操作系统层面上实现虚拟化，直接复用本地主机操作系统，更加轻量级。 虚拟化技术分为 基于硬件的虚拟化 基于软件的虚拟化 完全虚拟化——模拟完整的底层硬件环境和特权指令的执行过程

今天，虚拟化技术得到广泛应用，而不同的虚拟化平台（ VMware 、 Xen 、 KVM 等等）也是百花齐放百家争鸣。这样就产生了一个问题，不同的虚拟化平台支持不同的虚拟化格式，他们之间往往是不兼容的，我们迫切需要一种将虚拟机在不同的虚拟化平台之间封装和分发的标准方法。因此 VMware 和虚拟化领域的其它先驱创建了 Open Virtualization Format ，一种平台独立的、高效、可扩展的虚拟机封装和分发格式。 通过 OVF ，可以高效、灵活、安全地分发企业软件，可以实现虚拟机在不同的虚拟化平台之间转移，从而为客户提供相对的平台独立性和供应商独立性，客户完全可以将一个 OVF 格式的虚拟机部署到另一个虚拟化平台上。 OVF 将大大增强虚拟化使用体验，通过 OVF 提供的便携性，平台独立性，核实，签字，版本控制和授权功能，您可以： 精简安装方式，提高用户体验； 提供虚拟化平台独立性和灵活性； 更容易地创建复杂的多层服务； 通过便携式虚拟机高效地分发企业软件； 提供特定平台的增强能力，通过可扩展性，更容易采用虚拟化的先进技术； OVF 的 Key Features ： 对发布的优化 ： OVF 能够提供 虚拟应用 （ virtual appliances ）的可移植性发布。 OVF 支持格式压缩以提高传输效率，同时提供工业标准的内容检查和完整性检查

相关技术 IO虚拟化简介 全虚拟化 通过VMM来模拟IO设备实现，VMM截获GuestOS的IO请求，通过软件模拟真实的硬件。VMM必须处理所有虚机的IO请求，然后将所有的IO情况序列化为可以被底层硬件处理的单一IO流。好处是GuestOS不需要考虑硬件设备的情况。问题是效率相对较低。例如 qemu。 一个完整的数据包从虚拟机到物理机的路径是：虚拟机--QEMU虚拟网卡--虚拟化层--内核网桥--物理网卡。 半虚拟化 通过前端和后端模拟实现虚拟化。GuestOS中的半虚拟化驱动为前端，VMM 提供的与GuestOS 通讯的驱动程序为后端。前端驱动将GuestOS的请求通过与VMM之间的特殊通信机制发生给VMM后端需求，后端驱动处理完IO请求之后再发送给物理驱动。全虚拟化为了完成一次操作要涉及到多个寄存器的操作，使得VMM要截获每个寄存器访问并进行相应的模拟，就会导致多次上下文切换。这种方式能很大程度的减少上下文切换的频率，提供更大的优化空间。例如 virtio 。 全虚拟化网卡是虚拟化层完全模拟出来的网卡，半虚拟化网卡通过驱动对操作系统做了改造； 软件的共享IO虚拟化技术 硬件辅助的IO虚拟化主要包括英特尔VT-d， AMD的IOMMU（AMD-Vi）和PCI-SIG 的SR-IOV。前两种属于Directed I/O。物理设备直接分配给虚拟机使用，通过硬件芯片完成GPA到MA

对于企业来说，从传统网络到SD-WAN的过渡，可能是一个相当复杂的过程，这里有几个因素需要考虑。 您希望通过怎样的方式将用户连接到应用程序? 如果您希望在许多不同的网络、站点和连接类型上，提高应用程序性能，那么SD-WAN是最优解决方案! 每个蓬勃发展的业务都依赖于网络，来管理高带宽的应用程序，并支持不断增加的数据消耗。因此，每个企业都必须通过虚拟化网络和安全且可扩展的连接，来保持竞争力。 SD-WAN不仅仅基于路径来路由流量，而是可以识别感知应用程序，根据应用程序的业务需求在广域网中更智能，更高效地引导流量。 那么，什么是虚拟化?为什么您的企业需要虚拟化? 虚拟化技术已在全球范围内得到广泛的应用。他们选择加强自己的数字基础设施，以通过降低硬件成本来获得支出回报。虚拟化可帮助企业克服与复杂计算环境相关的IT成本，例如硬件能耗和维护成本。 虚拟化集中了整个管理，并可以帮助您理想地利用可访问的资源。以下是虚拟化业务的几个原因。 降低基础设施成本 一些企业可能发现，IT管理在时间和资源上都非常昂贵。虚拟化有助于减少开支、降低基础设施成本，并最大程度地减少硬件维护。因此，通过减少使用交换机和路由器以及实施SD-WAN技术，企业可以减少支出。 提高员工和业务效率 您的员工不必为每个不同的应用程序设置唯一的新服务器。借助虚拟化，您将能够更快地托管和运行应用程序

《网络空间安全导论》第4、7（2）章 第4章 系统安全 4.1 操作系统概述 计算机操作系统的功能 包括：进程管理、内存管理、设备管理、文件管理、用户接口。 4.2 操作系统安全 4.2.1 操作系统的安全威胁与脆弱性 操作系统的 安全威胁 包括：非法用户或假冒用户入侵系统、数据被非法破坏或者数据丢失、不明病毒的破坏和黑客入侵、操作系统运行不正常。 操作系统的 脆弱性 包括：操作系统的远程调用和系统漏洞和进程管理体系存在问题。 操作系统的 常见漏洞 包括：空口令或弱口令、默认共享密钥、系统组件漏洞和应用程序漏洞。 4.2.2 操作系统中常见的安全保护机制 进程隔离和内存保护 为了实现进程隔离与内存保护的机制，计算机操作系统中加入了 内存管理单元模块（MMU） ，程序运行时，由MMU模块负责分配进程运行所需的内存空间。 运行模式 现代CPU的运行模式通常分为内核模式与用户模式两种模式 1） 内核模式 ：也称为特权模式，在Intel x86系列中，称为核心层（Ring 0） 。 2） 用户模式 ：也称为非特权模式，或者用户层（Ring 3）。 用户权限控制 当前常用的操作系统通常将用户权限分为 系统管理员用户、普通用户、访客用户 等不同权限级别。 文件系统访问控制 典型的文件操作权限控制是对文件的读、写和执行三方面权限进行限制，分别对应对文件进行读取、修改和运行的操作。 4.2.3

近几年，由于政府、医疗、大型企业上云进程的发展，移动、电信、联通各 大运营商不断完善自己的云服务，来满足政府和企业越来越复杂的业务需求。随 着各级省市区政府政务和网站的上云，以及各大企业关键业务的云上运行，客户 对于上云业务的稳定性和流畅性提出了更高的要求，运营商的相关运维管理部门 （如：移动的网络部、网管中心、电信的网络运维部、企信部、联通系统运维部 等）在减少“故障率”和降低“投诉率”方面面临更大的挑战。 遇到的问题： 客户对上云业务（如：政务云、医疗云、企业云等）的稳定性和流畅性要求 极高，且业务环境及云环境非常复杂，一但问题产生，只能被动接受投诉，导致 运营商的“投诉率”居高不下。故障涉及如链路、网络延迟、重传、CPU、存储、 SDN、内存、操作系统等诸多因素，故障排查缺乏快速有效的工具，无法 改变“投诉率”过高的被动局面。 除了公有云业务，运营商信息系统部还负责内部私有云的运维，同时部分核 心业务依然在实体服务器上运行，这就造成了信息系统部需要面临“多云混合管 理，虚实性能监控”的挑战。由于内部网络包含了数据中心节点互联区、核心生 产区、管理网络区等多个区域，运维部门非常渴望能够实现“南北流量”和“东 西流量”的共同监控。同时也需要“虚拟网和实体网关联监测”，在出现问题时 能够做到实时记录和时间回溯。 引用某省运营商运维部主任的原话：我们需要搞清楚业务慢的原因。之前部

虚拟化Pod性能比裸机还要好，原因竟然是这样！ http://www.itpub.net/2020/02/27/5340/ 其实感觉 linux也可以做到 NUMA的节点优化其实 直接在 ESXi上面跑Pod的化 理论上跟 裸机道理一样。 之前的文章介绍过 VMware 在 VMworld 上宣布的太平洋项目 (Project Pacific) ，这是 vSphere 向 Kubernetes 原生平台的演进。太平洋项目引入了 vSphere 主管集群（ Supervisor Cluster ）的概念，该集群能够在 ESXi 上原生地运行 Kubernetes Pod（称为 Native Pod ）。 根据 VMware 官博上发布的信息，太平洋项目中通过虚拟化实现的 Native Pods，竟然比物理机（裸机）上 Kubernetes 的 pod 有8％的性能提升！ 是的，你的确没有看错，虚拟化 Pod 的性能要比裸机 Pod 要好，这似乎有悖常理，众所周知，虚拟化是有性能损失的，怎能优于裸机呢？且听笔者慢慢道来。 为什么太平洋项目的 Native Pods 更快？ 现代的服务器一般有多个处理器（CPU），采用的是 NUMA（非统一内存访问）的内存访问方式。在 NUMA 体系架构中，每个 CPU 负责管理一块内存，称为本地（local）内存。 当 CPU 访问自己管理的内存时

https://www.cnblogs.com/liuruolin/p/kvm.html 首先要理解什么是虚拟化 虚拟化技术 系统虚拟化是将底层物理设备与上层操作系统、软件分离的一种去耦合技术，在一台物理机器上逻辑的划分出多台机器。 • 虚拟化的目标是实现IT资源利用效率和灵活性的最大化 然后要了解Hypervisor hypervisor：一种运行在物理服务器和操作系统之间的中间层软件，可以允许多个操作系统和应用共享一套基础物理硬件。可以将hypervisor看做是虚拟环境中的“元”操作系统，可以协调访问服务器上的所有物理设备和虚拟机，所以又称为虚拟机监视器（virtual machine monitor）。hypervisor是所有虚拟化技术的核心，非中断的支持多工作负载迁移是hypervisor的基本功能。当服务器启动并执行hypervisor时，会给每一台虚拟机分配适量的内存，cpu，网络和磁盘资源，并且加载所有虚拟机的客户操作系统。 详细可见https://www.ibm.com/developerworks/cn/linux/l-hypervisor/，讲的很不错 开始说KVM kvm就是一种中间件，是一个linux的内核模块，将linux变成一个hypervisor，可以虚拟化cpu和内存，在系统需要虚拟化功能的时候，内核把kvm模块调入内存中运行

虚拟化监控与管理工具对服务器整合项目的成功至关重要。然而虚拟化监控与管理工具的功能各不相同。有些工具对性能进行实时监控，其他一些工具提供历史性能数据。有些工具提供历史统计数据以排除误报并能够为性能监控以及诊断性能问题提供帮助。容量管理与分析以及对虚拟基础设施资源的成本进行统计分析是性能监控工具提供的其他功能。 虚拟化性能监控管理工具主要从以下三个方面来进行选择 监控范围广 虚拟服务器和实体服务器同时监控 多数据中心同步监控 不同类型的虚拟化形式同步监控（esxi或kvm） 监控内容深 虚拟资源细致化 虚拟网络的多元化 虚拟应用的定位化（应用协议、应用数据库、DNS服务） 监控占用资源少 代理式部署（agent） 资源多，不安全 探针式部署（虚拟机） 资源少，安全方便 监控系统易用性 易用性---可视化程度高---自动化程度高 选择虚拟化监控及管理 北京明辰智航科技有限公司的明辰智航云安虚拟化监控与管理工具作为虚拟化设备部署。 明辰智航云安的产品由于具有如下特性，因此是独一无二的： 1.通过网络流量监控洞察虚拟机网络。能够识别相互通信的虚拟机以及正在使用的通信协议。 2.提供类似数字硬盘录像机的回放功能，允许管理员回退到之前的一个时间点，定位问题所在。 3.vCenter告警将会触发其记录虚拟基础设施的性能使用率数据。 此外

虚拟化监控与管理工具对服务器整合项目的成功至关重要。然而虚拟化监控与管理工具的功能各不相同。有些工具对性能进行实时监控，其他一些工具提供历史性能数据。有些工具提供历史统计数据以排除误报并能够为性能监控以及诊断性能问题提供帮助。容量管理与分析以及对虚拟基础设施资源的成本进行统计分析是性能监控工具提供的其他功能。 虚拟化性能监控管理工具主要从以下三个方面来进行选择 1.监控范围广 虚拟服务器和实体服务器同时监控 多数据中心同步监控 不同类型的虚拟化形式同步监控（esxi或kvm） 2.监控内容深 虚拟资源细致化 虚拟网络的多元化 虚拟应用的定位化（应用协议、应用数据库、DNS服务） 3.监控占用资源少 代理式部署（agent） 资源多，不安全 探针式部署（虚拟机） 资源少，安全方便 4.监控系统易用性 易用性---可视化程度高---自动化程度高 选择虚拟化监控及管理 北京明辰智航科技有限公司的明辰智航云安虚拟化监控与管理工具作为虚拟化设备部署。 明辰智航云安的产品由于具有如下特性，因此是独一无二的： 1.通过网络流量监控洞察虚拟机网络。能够识别相互通信的虚拟机以及正在使用的通信协议。 2.提供类似数字硬盘录像机的回放功能，允许管理员回退到之前的一个时间点，定位问题所在。 3.vCenter告警将会触发其记录虚拟基础设施的性能使用率数据。 此外