深信服服務(wù)器虛擬化_技術(shù)白皮書

1、深信服服務(wù)器虛擬化產(chǎn)品技術(shù)白皮書深信服科技有限公司 深信服應(yīng)用交付產(chǎn)品技術(shù)白皮書 文檔密級：公開版權(quán)聲明深圳市深信服電子科技有限公司版權(quán)所有，并保留對本文檔及本聲明的最終解釋權(quán)和修改權(quán)。本文檔中出現(xiàn)的任何文字?jǐn)⑹觥⑽臋n格式、插圖、照片、方法、過程等內(nèi)容，除另有特別注明外，其著作權(quán)或其它相關(guān)權(quán)利均屬于深圳市深信服電子科技有限公司。未經(jīng)深圳市深信服電子科技有限公司書面同意，任何人不得以任何方式或形式對本文檔內(nèi)的任何部分進行復(fù)制、摘錄、備份、修改、傳播、翻譯成其他語言、將其全部或部分用于商業(yè)用途。免責(zé)條款本文檔僅用于為最終用戶提供信息，其內(nèi)容如有更改，恕不另行通知。深圳市深信服電子科技有限公司在編寫

2、本文檔的時候已盡最大努力保證其內(nèi)容準(zhǔn)確可靠，但深圳市深信服電子科技有限公司不對本文檔中的遺漏、不準(zhǔn)確、或錯誤導(dǎo)致的損失和損害承擔(dān)責(zé)任。信息反饋如果您有任何寶貴意見，請反饋：信箱：廣東省 深圳市 學(xué)苑大道1001號南山智園A1棟 郵編：518055電 話 真也可以訪問深信服科技網(wǎng)站： 獲得最新技術(shù)和產(chǎn)品信息縮寫和約定英文縮寫英文全稱中文解釋HypervisorHypervisor虛擬機管理器（和VMM同義）VMMVMM Virtual Machine Manager虛擬機監(jiān)視器HAHighAvailability高可用性vMotionv

3、Motion實時遷移DRSDistributed Resource Scheduler分布式資源調(diào)度程序FCFibre Channel光纖通道HBAHost Bus Adapter主機總線適配器RAIDRedundant Arrays of Independent Disks磁盤陣列IOPSInput/Output Operations Per Second每秒讀寫（I/O）操作的次數(shù)VMVirtual Machine虛擬機LUNLogical Unit Number邏輯單元號目錄第1章服務(wù)器虛擬化介紹1第2章深信服服務(wù)器虛擬化aSV解決方案22.1技術(shù)原理22.2解決方案42.3計算虛擬化5

4、2.4存儲虛擬化72.5網(wǎng)絡(luò)虛擬化82.6高可用82.7管理與運維102.8備份與恢復(fù)10第3章深信服aSV特色技術(shù)103.1快虛工具103.2融合備份113.3底層防攻擊11第4章深信服科技簡介11iii深信服科技版權(quán)所有 第1章 服務(wù)器虛擬化介紹服務(wù)器虛擬化，首先給人感覺就是深奧神秘，但從原理來講，還是非常簡單的。我們可以理解成讓一臺服務(wù)器變成多臺相互隔離的虛擬服務(wù)器，我們不再受限于物理上的界限，而是讓CPU、內(nèi)存、磁盤、I/O等硬件變成可以動態(tài)管理的“資源池”，從而提高資源的利用率，簡化系統(tǒng)管理，實現(xiàn)服務(wù)器整合。深信服aSV虛擬化平臺作為介于硬件和操作系統(tǒng)之間的軟件層，采用裸金屬架構(gòu)的X

5、86虛擬化技術(shù)，實現(xiàn)對服務(wù)器物理資源的抽象，將CPU、內(nèi)存、I/O等服務(wù)器物理資源轉(zhuǎn)化為一組可統(tǒng)一管理、調(diào)度和分配的邏輯資源，并基于這些邏輯資源在單個物理服務(wù)器上構(gòu)建多個同時運行、相互隔離的虛擬機執(zhí)行環(huán)境，實現(xiàn)更高的資源利用率，同時滿足應(yīng)用更加靈活的資源動態(tài)分配需求，譬如提供熱遷移、HA等高可用特性，實現(xiàn)更低的運營成本、更高的靈活性和更快速的業(yè)務(wù)響應(yīng)速度。第2章 深信服服務(wù)器虛擬化aSV解決方案2.1 技術(shù)原理服務(wù)器虛擬化是資源的邏輯表示，而不受物理限制的約束。虛擬化技術(shù)的實現(xiàn)形式是在系統(tǒng)中加入一個虛擬化層，將下層的資源抽象成另一形式的資源，提供給上層使用。服務(wù)器虛擬化就是使軟件和硬件相互分離

6、，把軟件從主要安裝硬件中分離出來，使得上層操作系統(tǒng)可以直接運行在虛擬環(huán)境上，可允許多個操作系統(tǒng)同時運行在單個物理服務(wù)器上。如上圖所示，虛擬平臺上虛擬機或 VCPU 間協(xié)同需求一般出于其上層應(yīng)用程序需要，如服務(wù)在服務(wù)器整合中，多個虛擬機運行在一個硬件平臺上，有的虛擬機運行 Web 服務(wù)器和有的運行 SQL 服務(wù)器，這樣在完成外界客戶查詢訪問時需要兩個服務(wù)器間協(xié)同完成；在多個虛擬機上運行并行程序。上述常見應(yīng)用中，應(yīng)用服務(wù)間需要及時交換數(shù)據(jù)，所以運行中需要多個虛擬機或 VCPU 同步運行。內(nèi)存虛擬化1. 內(nèi)存虛擬化的要點：VMM（Hypervisor）必須對物理內(nèi)存有最終的控制權(quán)，也就是說，它必須控

7、制將客戶物理地址空間映射到主機物理地址空間的操作。這樣，才可以順利的實現(xiàn)內(nèi)存虛擬化2. 內(nèi)存虛擬化的方法：VMM維護一個虛擬機內(nèi)存管理數(shù)據(jù)結(jié)構(gòu)影子頁表(shadow page table)。VMM通過影子頁表給不同的虛擬機分配機器的內(nèi)存頁，如操作系統(tǒng)虛擬內(nèi)存一樣，VMM能將虛擬機內(nèi)存換頁到磁盤，因此，虛擬機申請的內(nèi)存可以超過機器的物理內(nèi)存。VMM也可以根據(jù)每個虛擬機的要求,動態(tài)地分配相應(yīng)的內(nèi)存。I/O虛擬化包括管理虛擬設(shè)備和共享的物理硬件之間I/O請求的路由選擇。目前，實現(xiàn)I/O虛擬化有如下三種方式：全設(shè)備模擬、半虛擬化和直接I/O。全設(shè)備模擬是實現(xiàn)I/O虛擬化的第一種方式，通常來講，該方法可

8、以模擬一些真實設(shè)備。一個設(shè)備的所有功能或總線結(jié)構(gòu)都可以在軟件中復(fù)制。該軟件作為虛擬設(shè)備處于VMM中，客戶操作系統(tǒng)的I/O訪問請求會嵌入到VMM中，與I/O設(shè)備交互。2.2 解決方案服務(wù)器虛擬化方案中，通過搭建了虛擬化集群，并統(tǒng)一進行管理。原有的服務(wù)器設(shè)備仍然可以正常運行，并且與虛擬化服務(wù)器融合在一起。隨著虛擬化的不斷應(yīng)用，可以不斷動態(tài)地增加虛擬化集群的規(guī)模，搭建更健康的IT體系架構(gòu)?？蛻舳朔矫?，延續(xù)了原先的訪問模式，對于虛擬服務(wù)器的數(shù)據(jù)交互等操作，等同于原先傳統(tǒng)物理服務(wù)器的的訪問模式，不會對業(yè)務(wù)系統(tǒng)造成任何不利影響。本章節(jié)接下來的部分，將從計算，存儲，網(wǎng)絡(luò)，可用性，管理與監(jiān)控五個方面對虛擬化數(shù)

9、據(jù)中心進行全面闡述。2.3 計算虛擬化內(nèi)存復(fù)用技術(shù)虛擬化平臺平臺提供多種內(nèi)存復(fù)用技術(shù)和靈活自動的內(nèi)存復(fù)用策略。對于某些物理內(nèi)存資源比較緊張的場景，如果用戶希望運行超過物理內(nèi)存能力的虛擬機，以達到節(jié)省成本的目的，就需要有內(nèi)存復(fù)用策略來動態(tài)地對內(nèi)存資源進行分配和復(fù)用。內(nèi)存復(fù)用策略通過內(nèi)存復(fù)用技術(shù)，提升物理內(nèi)存利用率的同時，盡可能減少對虛擬機性能的影響。客戶無需關(guān)心何時調(diào)用和怎么調(diào)用幾種復(fù)用技術(shù)，只需簡單配置和開啟復(fù)用策略后就能達到提升虛擬機密度的目的。aSV虛擬化平臺的內(nèi)存復(fù)用技術(shù)有以下三種：內(nèi)存氣泡、內(nèi)存零頁共享和內(nèi)存交換技術(shù)。CPU QoSHypervisor層根據(jù)分時復(fù)用的原理實現(xiàn)對虛擬CP

10、U的調(diào)度，CPU Qos的原理是定期給各虛擬CPU分配運行時間片，并對各虛擬CPU在物理CPU上運行的時間進行記賬，對于消耗完時間片的虛擬CPU將被限制到物理CPU上運行，直到獲得時間片。以此控制虛擬機獲得物理計算資源的比例。以上分配時間片和記賬的時間周期很短，對虛擬機用戶來說會感覺一直在運行。CPU份額和CPU預(yù)留只在各虛擬機競爭計算資源的時候才發(fā)揮作用，如果沒有競爭情況發(fā)生，有需求的虛擬機可以獨占物理CPU資源。客戶價值：CPU Qos功能為客戶提供了控制虛擬機計算能力的手段：1) CPU上限可以供客戶實現(xiàn)虛擬機資源隔離的功能，通過控制某個虛擬機的CPU上限，可以有效避免該虛擬機負(fù)載過大時

11、影響同一服務(wù)器上的其他虛擬機的性能。2) CPU份額可以控制一個服務(wù)器上的各個虛擬機在競爭CPU資源時的資源占用率，可以針對不同等級的虛擬機提供SLA服務(wù)。3) CPU預(yù)留可以控制一個服務(wù)器上的各個虛擬機在競爭CPU資源時的占有資源的最低值，在競爭不充分時又可以將資源按需分配給虛擬機使用，既達到了資源的高效復(fù)用，又實現(xiàn)了在資源競爭情況下根據(jù)虛擬機優(yōu)先級分配計算資源。2.4 存儲虛擬化派生克隆：深信服aSV虛擬化平臺提供的虛擬機派生技術(shù)就是根據(jù)一個源虛擬機克隆出一個或多個克隆虛擬機，且克隆虛擬機擁有與源虛擬機完全相同的操作系統(tǒng)、應(yīng)用系統(tǒng)乃至數(shù)據(jù)和文檔。克隆技術(shù)可分為完整克隆和派生克隆兩種。完整克

12、隆方式下，克隆虛擬機和源虛擬機是兩個完全獨立的實體，源虛擬機的修改乃至刪除不會影響到克隆虛擬機的運行，但缺點是2個虛擬機運行時需要占用2份磁盤空間;與之相對應(yīng)的是派生克隆方式，克隆虛擬機必須在源虛擬機存在的情況下才能運行，但優(yōu)點是多個克隆虛擬機之間的公共部分(共同來自源虛擬機的部分)可以共用同一份磁盤空間，因此在服務(wù)器主機資源相同的情況下，采用派生克隆的方式可以支持更多的虛擬機，運行更多的業(yè)務(wù)，或者運行更多的虛擬桌面，從而使企業(yè)的IT成本更低。精簡存儲置備：在傳統(tǒng)的存儲系統(tǒng)中，當(dāng)某項應(yīng)用需要一部分存儲空間的時候，往往是預(yù)先從后端存儲系統(tǒng)中劃分出一部分足夠大的空間預(yù)先分配給該項應(yīng)用，即使這項應(yīng)用

13、暫時不需要使用這么大的存儲空間，但由于這部分存儲空間已經(jīng)被預(yù)留了出來，其它應(yīng)用程序無法利用這些已經(jīng)部署但閑置的存儲容量。這種分配模式一方面使閑置的存儲數(shù)量不斷增加，系統(tǒng)總體擁有成本升高；另一方面用戶不得不購買更大的存儲容量，才能適應(yīng)環(huán)境，成本進一步加大。解決存儲過量供給的最有效的方式，是通過使應(yīng)用程序只消耗必要的存儲資源來將塊或塊組寫入特定卷，優(yōu)化存儲利用，不必再購買或維持超過實際所需的存儲?？蛻魞r值：減少對虛擬磁盤的過度調(diào)配，實現(xiàn)存儲資源的按需分配，通過降低或延遲存儲設(shè)備采購的成本2.5 網(wǎng)絡(luò)虛擬化通常針對虛擬化服務(wù)器的技術(shù)是通過軟件模擬共享和虛擬化網(wǎng)絡(luò)適配器的一個物理端口，以滿足虛擬機的I

14、/O需求， 模擬軟件的多個層為虛擬機作了I/O決策， 因此導(dǎo)致環(huán)境中出現(xiàn)瓶頸并影響I/O性能。深信服aSV虛擬化平臺提供的SR-IOV是一種不需要軟件模擬就可以共享I/O設(shè)備I/O端口的物理功能的方法，主要實現(xiàn)網(wǎng)橋卸載虛擬網(wǎng)卡，允許將物理網(wǎng)絡(luò)適配器的SR-IOV虛擬功能直接分配給虛擬機，可以提高網(wǎng)絡(luò)吞吐量，并縮短網(wǎng)絡(luò)延遲，同時減少處理網(wǎng)絡(luò)流量所需的主機CPU開銷?？蛻魞r值 ：可滿足高網(wǎng)絡(luò)IO應(yīng)用要求，無需特別安裝驅(qū)動，且無損熱遷移、內(nèi)存復(fù)用、虛擬機網(wǎng)絡(luò)管控等虛擬化特性。2.6 高可用虛擬化環(huán)境中，物理服務(wù)器和存儲上承載更多的業(yè)務(wù)和數(shù)據(jù)，設(shè)備故障時造成的影響更大。深信服aSV虛擬化平臺提供虛擬機

15、熱遷移和虛擬機熱備份技術(shù)，降低宕機帶來的風(fēng)險、減少業(yè)務(wù)中斷的時間。故障遷移：深信服aSV虛擬化平臺提供Guest OS故障檢測功能， 當(dāng)客戶機發(fā)生嚴(yán)重故障時 （例如Windows系統(tǒng)藍屏） ，虛擬機管理程序會監(jiān)控到客戶機故障。虛擬機管理程序可以重啟或關(guān)閉客戶機，從而避免有故障的客戶機持續(xù)占用計算資源。當(dāng)采用統(tǒng)一存儲架構(gòu)時，集群中某一臺物理主機出現(xiàn)故障時，虛擬機可以在其他備份物理服務(wù)器上進行恢復(fù)，避免虛擬機因物理故障出現(xiàn)的業(yè)務(wù)中斷。熱遷移技術(shù)：當(dāng)管理人員需要對正在提供業(yè)務(wù)的服務(wù)器進行硬件維護或者虛擬機遷移時，可以通過熱遷移可以實現(xiàn)虛擬機的在線動態(tài)遷移, 保證業(yè)務(wù)連續(xù)性。這種技術(shù)可以在業(yè)務(wù)持續(xù)工作

16、的前提下，將運行于A服務(wù)器的某虛擬機遷移到B服務(wù)器中?？蛻魞r值： 零宕機時間: 進行計劃內(nèi)硬件維護和升級遷移工作負(fù)載，業(yè)務(wù)不中斷 實現(xiàn)整體數(shù)據(jù)中心業(yè)務(wù)高可用，無需使用昂貴、復(fù)雜的傳統(tǒng)集群解決方案。 最大限度地減少硬件、軟件故障造成的業(yè)務(wù)中斷時間 提高整個基礎(chǔ)架構(gòu)范圍內(nèi)的保護力度2.7 管理與運維深信服aSV虛擬化平臺提供基本的系統(tǒng)故障告警能力，能定期掃描預(yù)設(shè)的告警項。并可提供專家解決方案使得用戶快速解決問題。 虛擬化監(jiān)控與管理對服務(wù)器整合項目的成功至關(guān)重要。如果虛擬化整合的比率過高，那么最終用戶體驗到的虛擬化性能將會很差。既然最不想看到的就是用戶的抱怨，那么隨著添加的虛擬機越來越多，你必須密切

17、監(jiān)控虛擬化計算、網(wǎng)絡(luò)、存儲的性能。aSV 集成物理資源、虛擬機、虛擬網(wǎng)絡(luò)、存儲的監(jiān)控，實現(xiàn)了對服務(wù)器虛擬化平臺整體的資源監(jiān)控，可以幫助管理員對整體資源池進行容量規(guī)劃，達到云計算資源的最佳實踐客戶價值深信服aSV虛擬化平臺主動提供系統(tǒng)故障，及時向用戶傳遞系統(tǒng)警告信息以便及時暴露問題。用戶可以方便對故障進行及時的修復(fù)、跟蹤和記錄。2.8 備份與恢復(fù)l 快速備份恢復(fù)快照可迅速生成，并可用作傳統(tǒng)備份和歸檔的數(shù)據(jù)源，縮小甚至消除了數(shù)據(jù)備份窗口；快照存儲在磁盤上，可以快速直接存取，大大提高數(shù)據(jù)恢復(fù)的速度。l 保存多個恢復(fù)點目標(biāo)，基于磁盤的快照使存儲設(shè)備有靈活和頻繁的恢復(fù)點，可以快速通過不同時間點的快照恢復(fù)

18、數(shù)據(jù)。第3章 深信服科技簡介深信服科技有限公司是中國規(guī)模最大、創(chuàng)新能力最強的前沿網(wǎng)絡(luò)設(shè)備供應(yīng)商，致力于通過創(chuàng)新、高品質(zhì)的產(chǎn)品及卓越的服務(wù)，幫助用戶在將業(yè)務(wù)向互聯(lián)網(wǎng)轉(zhuǎn)型中獲得成功。 作為一家專注于廣域網(wǎng)市場的廠商，深信服提供了貫穿用戶廣域網(wǎng)建設(shè)生命周期的前沿產(chǎn)品及解決方案，包括IPSec VPN、SSL VPN、上網(wǎng)行為管理、廣域網(wǎng)加速、應(yīng)用交付、流量控制等，并被公認(rèn)為其中多個領(lǐng)域的技術(shù)及市場領(lǐng)導(dǎo)者。 截止2014年底，已有超過28,000家用戶選擇了同深信服合作并取得了顯著收益。這些用戶包括中國移動、通用電氣、殼牌石油、豐田汽車等世界500強企業(yè)，也包括中國人民銀行、國資委、招商銀行、南方航空、中國人民大學(xué)等中國知名用戶。 目前，深信服公司總?cè)藬?shù)已達1800余人，在全球擁有55處直屬分支機構(gòu)，包括美國、英國、泰國、新加坡