金融業(yè)虛擬化軟件應(yīng)用創(chuàng)新發(fā)展報(bào)告 2024

二零二四年十一月本報(bào)告涉及的產(chǎn)品解析結(jié)果的準(zhǔn)確性及有效性建立在產(chǎn)品供應(yīng)商所提供材料的真實(shí)性與準(zhǔn)確性基礎(chǔ)之上，且僅針對(duì)參與本次特定評(píng)估的系統(tǒng)及產(chǎn)品版本有效。本報(bào)告的解釋權(quán)歸金融信創(chuàng)生態(tài)實(shí)驗(yàn)室所有。未經(jīng)授權(quán)，任何單位或個(gè)人均不得擅自復(fù)制、傳播或利用本報(bào)告中的任何內(nèi)容。如需引用、轉(zhuǎn)載或商業(yè)使用本報(bào)告中的內(nèi)容，或?qū)Ρ緢?bào)告有任何疑問(wèn)或建議，請(qǐng)聯(lián)系金融信創(chuàng)生態(tài)實(shí)驗(yàn)室。感謝各位讀者的關(guān)注與支持！公司、重慶農(nóng)村商業(yè)銀行股份有限公司、吉林省農(nóng) 3 4 6 6 9 IT平臺(tái)的規(guī)模和復(fù)雜程度出現(xiàn)了大幅度的提升，與此同時(shí)，很多企業(yè)的IT架構(gòu)卻因?yàn)檫@種提升面臨著一種新的困境：高昂的硬和管理運(yùn)營(yíng)成本、緩慢的環(huán)境交付以及缺乏為了擺脫所面臨的困境，IT機(jī)構(gòu)必須采取切實(shí)有效的措施，以助虛擬化管理和云運(yùn)營(yíng)管理軟件，實(shí)現(xiàn)數(shù)據(jù)中心IT基礎(chǔ)設(shè)施的化管理，能夠精簡(jiǎn)IT操作，提高管理效率，簡(jiǎn)化監(jiān)控、管理、報(bào)告視化平臺(tái)對(duì)整個(gè)IT環(huán)境進(jìn)行組織、監(jiān)控和配置，從而進(jìn)一步降對(duì)日益增長(zhǎng)的數(shù)據(jù)處理需求和即時(shí)性的業(yè)務(wù)響應(yīng)要求時(shí)顯得力不從金融科技的快速發(fā)展為金融行業(yè)帶來(lái)了新的機(jī)遇。2024年的發(fā)有助于金融機(jī)構(gòu)構(gòu)建安全、穩(wěn)定的IT基礎(chǔ)設(shè)施。隨著金融科技速發(fā)展，業(yè)務(wù)系統(tǒng)變得更加復(fù)雜，金融行業(yè)對(duì)IT基礎(chǔ)設(shè)施的管理、IT資源的利用效率，更在于其對(duì)金融業(yè)務(wù)創(chuàng)新的推動(dòng)作用。金融機(jī)構(gòu)通過(guò)虛擬化技術(shù)實(shí)現(xiàn)了IT架構(gòu)的輕量化和集約化升級(jí)，為金金融機(jī)構(gòu)借助數(shù)字化轉(zhuǎn)型提升效率、優(yōu)化業(yè)務(wù)流程和降低經(jīng)營(yíng)成本。理服務(wù)器之間動(dòng)態(tài)遷移，不再受制于物理上的界限，使CPU、內(nèi)存、物理計(jì)算機(jī)及其他虛擬單元保持隔離，確保各自的獨(dú)立性和安全性。和HPPAR技術(shù)。在X86平臺(tái)虛擬化技術(shù)方面，當(dāng)前市場(chǎng)上各廠產(chǎn)品所采用的Hypervisor架構(gòu)存在差異。X86平臺(tái)虛擬化技術(shù)主要保護(hù)的指令，必須由Hypervisor進(jìn)行捕獲并處理。全虛擬化技術(shù)無(wú)需對(duì)GuestOS操作系統(tǒng)進(jìn)行修改，GuestOS操作系統(tǒng)無(wú)法感知其是半虛擬化技術(shù)則通過(guò)Hypervisor分享對(duì)底層硬件的訪問(wèn)權(quán)限，但其GuestOS操作系統(tǒng)中集成了虛擬化相關(guān)的代碼。因此，半虛擬化必須對(duì)GuestOS操作系統(tǒng)進(jìn)行一定程度的修改。虛擬化技術(shù)可以被視為一種通過(guò)軟件手段對(duì)操作系統(tǒng)資源進(jìn)行服務(wù)器虛擬化后，物理機(jī)上可運(yùn)行多個(gè)隸屬于不同VLAN（虛擬局域服務(wù)器虛擬化的核心技術(shù)是Hypervisor。Hypervisor是運(yùn)行在和應(yīng)用共享硬件，也可叫作VMM（VirtualMachineMonitor，虛擬通過(guò)它可以訪問(wèn)服務(wù)器上包括磁盤(pán)和內(nèi)存在內(nèi)的所有物理設(shè)備。Hypervisor不但協(xié)調(diào)著這些硬件資源的訪問(wèn)，也同時(shí)在各個(gè)虛擬機(jī)之間施加防護(hù)，進(jìn)行安全隔離，可以說(shuō)Hypervisor是所有虛擬化技術(shù)流派：半虛擬化（Para-Virtualization）、全虛擬化（Full目前主流的虛擬化軟件有VMwareESXi、MicrosoftHyper-V、半虛擬化軟件，ESXi是典型的全虛擬化軟件，但是全虛擬化是大勢(shì)Citrix的Xen和微軟的Hyper-V是半虛擬化技術(shù)的典型代表。英文前綴“Para”直譯為“側(cè)”的意思，“Para-Virtualization”管理VM負(fù)責(zé)管理整個(gè)硬件平臺(tái)上的所有輸入輸出設(shè)備驅(qū)動(dòng)，也和內(nèi)存做模擬，這就是“Para-Virtualization”被翻），個(gè)特權(quán)等級(jí)的特點(diǎn)，采用0/1/3模型作為其“特權(quán)降級(jí)”方式，即而GuestOS則運(yùn)行在較低特權(quán)等級(jí)（Ring1），應(yīng)用程序仍于最低特權(quán)等級(jí)（Ring3）。所以，在X執(zhí)行某些特權(quán)指令，為此，Xen通過(guò)修改GuestOS的內(nèi)核源代碼，GuestOS能夠意識(shí)到自身運(yùn)行在一個(gè)虛擬化的硬件環(huán)境之上，并被隔離和保護(hù)。但是，GuestOS本身也會(huì)進(jìn)行頁(yè)式內(nèi)存管理，導(dǎo)致虛l機(jī)器地址（MachineAddress）：真實(shí)硬件的機(jī)器地址，即）：l虛擬地址（VirtualAddress）：GuestOS提供個(gè)映射記為f，GuestOS的內(nèi)存管理模塊完成虛擬地址入CPU的內(nèi)存管理單元（MMU）。在必要時(shí)，硬件MMU機(jī)制，實(shí)現(xiàn)虛擬地址到機(jī)器地址的高效轉(zhuǎn)換，便成為了VMM在內(nèi)為了解決這一問(wèn)題，當(dāng)前普遍采用的方法是：由VMM根據(jù)映射flVMM能夠訪問(wèn)GuestOS的內(nèi)存，因此能夠模擬MMU來(lái)查詢表（ShadowPageTable）。Xen半虛擬化使用的是MMU半虛擬化方在Xen上運(yùn)行的GuestOS創(chuàng)建一個(gè)新的頁(yè)表時(shí)，會(huì)從它所維護(hù)的空閑內(nèi)存中分配一個(gè)頁(yè)面，并向Xen注冊(cè)該頁(yè)面。此時(shí)，Xen會(huì)剝表頁(yè)面的可寫(xiě)映射。然后，Xen根據(jù)自己所維護(hù)的映射關(guān)系f，將頁(yè)入MMU。這樣，MMU就可以根據(jù)修改后的頁(yè)表直接完成虛擬地址到機(jī)為了實(shí)現(xiàn)大量DMA（DirectedM一個(gè)授權(quán)表，指明了它的哪些頁(yè)面可以被哪些VM訪問(wèn)。同時(shí)，Xen），），取出請(qǐng)求，根據(jù)GR，向Xen請(qǐng)求鎖住該頁(yè)面，以避免DMA過(guò)程中該頁(yè)面被其它GuestOS替換。Xen接收到請(qǐng)求后，就在活動(dòng)授權(quán)表或其它VM能夠控制這個(gè)頁(yè)面。如果通過(guò)檢查，就表明這個(gè)頁(yè)面能夠安全地進(jìn)行DMA操作，Dom0在接收到Xen的響應(yīng)后便可以向真實(shí)硬件VMwareWorkstation和ESXServer是動(dòng)態(tài)翻譯（DynamicBinaryTransla而且可以得到硬件虛擬化的支持，不需要人為地在GuestOS中植入器監(jiān)控和模擬的位置，即敏感指令之前，插入Trap（陷入）指令。該技術(shù)的優(yōu)點(diǎn)在于GuestOS能夠不經(jīng)修改直接在虛擬機(jī)上運(yùn)行，其），譯的代碼片段（CompiledCodeFragment，CCF），CCF是可以直接為了提高動(dòng)態(tài)翻譯的性能，VMware通過(guò)翻譯結(jié)果緩存、翻譯結(jié)個(gè)哈希表中，CCF放入翻譯緩存（TranslationCache，TC）。一個(gè)擬結(jié)構(gòu)，避免特權(quán)指令發(fā)生陷入，比如CLI指令，可以只清空虛擬VMkernel在內(nèi)存虛擬化方面所采用的核心機(jī)制是“影子頁(yè)表擬化技術(shù)直接將這個(gè)映射關(guān)系更新到GuestOS的頁(yè)表項(xiàng)中，而影子頁(yè)表技術(shù)則是為GuestOS的每個(gè)頁(yè)表維護(hù)一個(gè)“影子頁(yè)表”，并將合成后的映射關(guān)系寫(xiě)入到“影子”中，GuestOS的頁(yè)表內(nèi)容則保持影子頁(yè)表的引入使得內(nèi)存虛擬化對(duì)于GuestOS完全是透明的，GuestOS所能見(jiàn)到的頁(yè)表內(nèi)容沒(méi)有任何變化，也不需要向VMM注冊(cè)頁(yè)表頁(yè)面，影子頁(yè)表的分配和維護(hù)完全在GuestOS之外的VMM中進(jìn)但是影子頁(yè)表的開(kāi)銷(xiāo)也是很大的。首先是時(shí)間開(kāi)銷(xiāo)，由于GuestOS構(gòu)造頁(yè)表時(shí)不會(huì)主動(dòng)通知VMM，VMM必須等到GuestOS發(fā)生缺頁(yè)模擬MMU遍歷GuestOS的頁(yè)表，才能獲得GuestOS所維護(hù)的映射關(guān)系g。其次是空間開(kāi)銷(xiāo)，VMM需要支持多個(gè)VM同時(shí)運(yùn)行，而每個(gè)的GuestOS通常會(huì)為其上運(yùn)行的每個(gè)進(jìn)程都創(chuàng)建一套頁(yè)表系統(tǒng)，因OS的進(jìn)程數(shù)量是VMM不可控的。減小空間開(kāi)銷(xiāo)的一種方法是只為當(dāng)增加了上下文切換的時(shí)間開(kāi)銷(xiāo)，因?yàn)閂MM需要在GuestOS的每個(gè)進(jìn)從物理地址到機(jī)器地址的映射，否則，從VM的角度來(lái)看式可供選擇：一種是利用I/OMMU硬件輔助虛擬化（IntelVT-d和從而減少對(duì)CPU的開(kāi)銷(xiāo)；另一種是利用半虛擬化的設(shè)備VMXNETx，網(wǎng)卡的物理驅(qū)動(dòng)在VMkernel中，在虛擬機(jī)中裝載網(wǎng)卡的虛擬驅(qū)動(dòng)，通過(guò)這二者的配對(duì)來(lái)訪問(wèn)網(wǎng)卡，與仿真式網(wǎng)卡（IntelE1000）相比有KVM（Kernel-basedVirtualMachine，基于內(nèi)核的虛擬機(jī)）是基于半虛擬化技術(shù)需要修改GuestOS（客戶操作系統(tǒng)）源代此外，某些虛擬化功能若僅依賴軟件實(shí)現(xiàn)，其性能往往2005年1月20日，Intel率先發(fā)布了硬件輔助虛擬化技術(shù)—術(shù)叫VT-x，Itanium（安騰）處理器的虛擬化技術(shù)叫VT-i。不久后，能相近，但命名有所不同。例如，IntelVT-x中存儲(chǔ)虛擬機(jī)狀態(tài)和控制信息的數(shù)據(jù)結(jié)構(gòu)稱為VMCS（虛擬機(jī)控制結(jié)構(gòu)），而AMD-V中則），化過(guò)程，從而大大簡(jiǎn)化了虛擬化軟件（VMM）的設(shè)計(jì)，并提升了其性能。以IntelVT-x為例，該技術(shù)引入了VMX（虛擬機(jī)擴(kuò)展）操作、VMXroot模式專為VMM設(shè)計(jì)，VMXnon-root模式則由客戶操行級(jí)別，因此VMM和GuestOS可以自由選擇所需的運(yùn)行級(jí)別。兩種模式之間切換。當(dāng)VMM想讓GuestOS運(yùn)行時(shí)，會(huì)通過(guò)VMX指令（如VMLAUNCH或VMRESUME）切換到VMXnon-root模式，并自動(dòng)加載GuestOS的上下文。這種切換稱為VMentry。而當(dāng)GuestOS遇由于VMM和GuestOS共享底層的處理器資源，硬件需要一個(gè)專門(mén)的物理內(nèi)存區(qū)域來(lái)保存和恢復(fù)它們的執(zhí)行上下文。在IntelVT-x中，這個(gè)區(qū)域被稱為VMCS。VMCS包含六個(gè)部分，分別用于保存VMM由于引入了新的操作模式，VMM和GuestOS的執(zhí)行被硬件自動(dòng)能夠完全控制系統(tǒng)的資源。此外，GuestOS可以運(yùn)行在期望的最高統(tǒng)調(diào)用不會(huì)觸發(fā)VMexit。硬件使用物理地址訪問(wèn)VMCS，而VMCS保存了VMM和GuestOS各自的IDTR（中斷描述符表寄存器）和CR3寄存器，因此VMM和GuestOS可以擁有獨(dú)立的地址空間，解決了地址在內(nèi)存虛擬化方面，硬件輔助虛擬化技術(shù)使用擴(kuò)展頁(yè)表（ExtendedPageTables，EPT）技術(shù)。由于影子頁(yè)表的構(gòu)建和維護(hù)極大地降低了VM的性能，因此，Intel和AMD分VMM需要為每一個(gè)GuestOS維護(hù)一張全局的客戶機(jī)物理地址到本相同，VMM將其物理地址存于VMCS之中以通知MMU。只有在VMX址訪問(wèn)內(nèi)存，MMU聯(lián)合使用GuestOS的當(dāng)前頁(yè)表和EPT頁(yè)表獲得最終的主機(jī)機(jī)器地址。有了EPT技術(shù)，GuestOS設(shè)置CR3寄存器來(lái)切換頁(yè)表時(shí)，無(wú)需產(chǎn)生VMexit，VMM也不用寫(xiě)保護(hù)它管理的頁(yè)表，因?yàn)橐坏┰贓PT頁(yè)表中找不到對(duì)應(yīng)頁(yè)表項(xiàng)時(shí)，自動(dòng)發(fā)生VMexit通知究表明EPT技術(shù)對(duì)于一般的測(cè)試程序至多有48%的性能提升，對(duì)于某些內(nèi)存密集型的小測(cè)試程序，性能提升高達(dá)600%。IntelVT-d技術(shù)是一種基于北橋芯片的硬件輔助虛擬化技術(shù)，通過(guò)在北橋中內(nèi)置提供DMA（直接內(nèi)存訪問(wèn)）虛擬化和IRQ（中求）虛擬化硬件，實(shí)現(xiàn)了新型的I/O虛擬化方式。VT-d能夠在虛擬傳統(tǒng)的IOMMUs提供了一種集中的方式管理所有的DMA，包括傳它通過(guò)在內(nèi)存地址范圍來(lái)區(qū)別設(shè)備，因此容易實(shí)現(xiàn)，但不容易實(shí)現(xiàn)域的存在，最終實(shí)現(xiàn)了DMA虛擬化，也稱為DMA重映射。I/O設(shè)備會(huì)產(chǎn)生大量的中斷請(qǐng)求，I/O虛一種通過(guò)I/O中斷控制器路由，一種是通過(guò)DMA寫(xiě)請(qǐng)求直接發(fā)送的MSI（消息中斷）。由于需要在DMA請(qǐng)求內(nèi)嵌入目標(biāo)內(nèi)存地址，因此的MSI仍然是一個(gè)DMA寫(xiě)請(qǐng)求的形式，不過(guò)并不嵌入目標(biāo)內(nèi)存地址，而是一個(gè)消息ID。通過(guò)維護(hù)一個(gè)表結(jié)構(gòu)，硬件可以通過(guò)不同的消息VT-d還進(jìn)行了許多其他改動(dòng)，如硬件緩沖、地址翻譯等。通過(guò)動(dòng)程序的需求。運(yùn)用VT-d技術(shù)，虛擬機(jī)可以使用直接I/O設(shè)備分配或I/O設(shè)備共享方式來(lái)代替?zhèn)鹘y(tǒng)的設(shè)備模擬/額核心在于通過(guò)邏輯卷管理軟件將多個(gè)物理磁盤(pán)整合成統(tǒng)一的虛擬存基于存儲(chǔ)設(shè)備的存儲(chǔ)虛擬化是一種在存儲(chǔ)設(shè)備層面實(shí)現(xiàn)的虛擬在當(dāng)前的IT基礎(chǔ)設(shè)施平臺(tái)中，存儲(chǔ)虛擬化技術(shù)主要被設(shè)備并基于軟件定義技術(shù)將多臺(tái)通用服務(wù)器的本地磁盤(pán)資源整合為以縮短虛擬機(jī)訪問(wèn)存儲(chǔ)的IO路徑，通過(guò)副本本地化特性提高網(wǎng)絡(luò)能夠共享相同的物理網(wǎng)絡(luò)基礎(chǔ)設(shè)施并保持彼此之間的獨(dú)立性與進(jìn)行虛擬機(jī)和虛擬機(jī)之間以及虛擬機(jī)和外部物理或虛擬網(wǎng)絡(luò)的互聯(lián)VLAN（VirtualLocalAreaNetwork，虛擬局域網(wǎng)）和VXLAN在物理網(wǎng)絡(luò)中劃分邏輯網(wǎng)絡(luò)的方法。通過(guò)使用VLAN，可以將同一個(gè)管理性和效率。VLAN的核心在于將一個(gè)物理網(wǎng)絡(luò)（如交換機(jī)）分成多個(gè)邏輯上隔離的虛擬局域網(wǎng)，每個(gè)VLAN就像是一個(gè)獨(dú)立的網(wǎng)絡(luò)，播域。當(dāng)一臺(tái)設(shè)備發(fā)送廣播幀時(shí)，該廣播幀會(huì)被所有其他設(shè)備接收。從而降低網(wǎng)絡(luò)性能。VLAN的一個(gè)主要目標(biāo)就是劃分廣播域，以減少VLAN實(shí)現(xiàn)的是邏輯上的隔離。處于同一物理網(wǎng)絡(luò)的設(shè)備，通過(guò)配置可以被劃分到不同的VLAN中，形成多個(gè)虛擬VLANID用于標(biāo)識(shí)不同的虛擬網(wǎng)絡(luò)。它是一個(gè)12位的字段，允VLAN的實(shí)現(xiàn)主要基于IEEE802.1Q標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)定義了如何在802.1Q標(biāo)準(zhǔn)為每個(gè)以太網(wǎng)幀添加一個(gè)4字節(jié)的VLAN標(biāo)簽，即），都會(huì)被打上對(duì)應(yīng)的VLAN標(biāo)簽。數(shù)據(jù)包在交換機(jī)之間傳輸時(shí)，交換機(jī)會(huì)根據(jù)VLANTag來(lái)決定數(shù)據(jù)包屬于哪個(gè)VLAN，并只在相應(yīng)的VLAN內(nèi)進(jìn)行轉(zhuǎn)發(fā)。如果數(shù)據(jù)包到達(dá)目的設(shè)備或需要在不同VLAN之間進(jìn)行VLAN的工作還依賴于交換機(jī)端口的配置，不同的端口類(lèi)型決定通過(guò)TrunkPort傳輸?shù)牧髁繑y帶802.1QV設(shè)備處于不同VLAN時(shí)，無(wú)法直接通過(guò)二層網(wǎng)絡(luò)通信，因?yàn)樗鼈儽桓綦x在不同的廣播域中。如果需要跨VLAN通信，則必須通過(guò)三層VLAN具有多重優(yōu)勢(shì)。首先，它提供了隔離性，將不同部門(mén)或用能。此外，VLAN還允許網(wǎng)絡(luò)管理員根據(jù)功能、部門(mén)或位置對(duì)網(wǎng)絡(luò)進(jìn)中可能會(huì)受到限制。其次，雖然VLAN能縮小廣播域的范圍，但在單VXLAN（VirtualExtensibleLAN）是一種覆蓋網(wǎng)絡(luò)技術(shù)，通過(guò)），將其封裝為VXLAN數(shù)據(jù)包，并通過(guò)三層網(wǎng)絡(luò)發(fā)送到目標(biāo)VTEP。目標(biāo)VTEP有兩個(gè)主要的接口：邏輯二層接口和三層接口。邏輯二層與現(xiàn)有網(wǎng)絡(luò)的兼容性。VXLAN支持高達(dá)16777216個(gè)邏輯網(wǎng)絡(luò)，解決了傳統(tǒng)VLAN數(shù)量限制的問(wèn)題，適合大規(guī)模數(shù)據(jù)中心或多租戶云計(jì)算很多場(chǎng)景下需依賴硬件加速器。在沒(méi)有集中度、內(nèi)存管理、IO管理等代碼，使之成為一個(gè)可以支持運(yùn)行虛擬機(jī)塊，以及運(yùn)行于User模式的QEMU模塊。這里的Kernel模在IntelVT-x技術(shù)和AMD-V技術(shù)的支持下，KV下文中進(jìn)行，這一過(guò)程需要Kernel、User和Guest需的各類(lèi)數(shù)據(jù)結(jié)構(gòu)，其中VMCS（虛擬機(jī)控制結(jié)構(gòu)）是尤為關(guān)鍵的數(shù)運(yùn)行vCPU的指令，KVM內(nèi)核模塊執(zhí)行VMentry操作，將處理器從夠運(yùn)行在原有的管理模式以及用戶模式（us供了單獨(dú)的寄存器。例如：在用戶模式下，棧指針寄存器（stack從而避免了在進(jìn)行模式切換時(shí)的寄存器值的存取，提獲進(jìn)入虛擬機(jī)監(jiān)視器。虛擬化配置寄存器（hypconfigurationTGEbit）被設(shè)置為0×1時(shí)，所有的系統(tǒng)調(diào)用都會(huì)被捕獲進(jìn)入虛擬機(jī)在虛擬機(jī)監(jiān)視器攔截異常后，虛擬化狀態(tài)寄存器（hypsyndromeregister，簡(jiǎn)稱HSR）記錄了被捕獲到虛擬），錄了捕獲的原因。例如，如果EC的值為0×12，說(shuō)明虛擬機(jī)監(jiān)視器級(jí)頁(yè)表由客戶操作系統(tǒng)維護(hù)，將客戶虛擬地址映射為客戶物理地址虛擬機(jī)監(jiān)視器可以通過(guò)配置第2級(jí)頁(yè)表項(xiàng)中的屬性控制位來(lái)實(shí)現(xiàn)客ARM通過(guò)引入一個(gè)新的硬件組件——虛擬CPU（VCPU）接口，以支持客戶操作系統(tǒng)可在不陷入虛擬機(jī)監(jiān)視器的情況下使用該接口確認(rèn)和模式中，也有對(duì)應(yīng)的Ring0-Ring3的權(quán)限級(jí)。也就是說(shuō)，根模），址轉(zhuǎn)換為機(jī)器物理地址，不同的是:x86架構(gòu)中的擴(kuò)展頁(yè)表使用了現(xiàn)在Intel處理器中，每個(gè)虛擬機(jī)都存在一個(gè)虛擬機(jī)控制區(qū)域內(nèi)存，用于上下文切換。虛擬機(jī)管理程序在進(jìn)入虛擬機(jī)之前會(huì)通過(guò)VMCS恢復(fù)相應(yīng)的狀態(tài)。而在ARM中，進(jìn)入虛擬機(jī)更為簡(jiǎn)單。虛擬機(jī)管理程序只需要設(shè)置程序計(jì)數(shù)器（programcounter，簡(jiǎn)稱PC）并執(zhí)ARM虛擬化擴(kuò)展和x86虛擬化擴(kuò)展在設(shè)計(jì)思路上是相似的。但由基于KVM/ARM的內(nèi)核虛擬化技術(shù)是指將KVM虛擬化技術(shù)應(yīng)用于基高層管理程序（highvisor）兩部分，使它們?cè)诓煌奶貦?quán)CPU模式而高層管理程序則作為主機(jī)Linux內(nèi)核的一部分，利用現(xiàn)有的Linux虛擬機(jī)中的軟件與物理CPU上的軟件可以訪問(wèn)到相同的寄存器上下理程序捕獲虛擬機(jī)的每次內(nèi)存跨界訪問(wèn)，并將相關(guān)信息轉(zhuǎn)發(fā)給QEMU最大限度地利用現(xiàn)有的操作系統(tǒng)和硬件對(duì)虛擬化技術(shù)的支持。由于意味著支持Linux的硬件設(shè)備通常也可以被KVM/ARM支持。因此，RDMA（RemoteDirectMemoryAccess）技術(shù)可以繞過(guò)雙方操作越來(lái)越高。默認(rèn)的工作機(jī)制下，一個(gè)IO請(qǐng)求會(huì)經(jīng)過(guò)計(jì)算端系統(tǒng)網(wǎng)絡(luò)層和存儲(chǔ)層，IO請(qǐng)求在經(jīng)過(guò)每一層系統(tǒng)時(shí)，都會(huì)帶來(lái)額外的性在通過(guò)網(wǎng)絡(luò)承載更多主機(jī)與存儲(chǔ)間訪問(wèn)和存儲(chǔ)節(jié)點(diǎn)之間通信的ROCE（RDMAoverConverged微分段技術(shù)是一種在虛擬化網(wǎng)絡(luò)中采用軟件定義方式提供網(wǎng)絡(luò)平面組件相互獨(dú)立并通過(guò)APIServer無(wú)縫協(xié)同工作。管理平面：管理平面為用戶提供WEBUI或API的訪問(wèn)方式，負(fù)責(zé)微分段相關(guān)軟件包的安裝部署以及核心網(wǎng)絡(luò)與安全策略的配置管），活編排L3和L4層的安全規(guī)則，并可對(duì)TCP、UDP、ICMP協(xié)議進(jìn)行基于業(yè)務(wù)屬性下發(fā)安全策略。微分段技術(shù)不僅支持基數(shù)據(jù)本地化是指將數(shù)據(jù)存儲(chǔ)在與訪問(wèn)該數(shù)據(jù)的虛擬機(jī)或應(yīng)用程管理系統(tǒng)會(huì)優(yōu)先將一個(gè)完整的數(shù)據(jù)副本存儲(chǔ)在虛擬機(jī)運(yùn)行所在的節(jié)PCI設(shè)備直通。PCIE直通（PCIExpres因?yàn)樘摂M機(jī)直接訪問(wèn)物理硬件，減少了虛擬化層帶來(lái)的延遲和開(kāi)銷(xiāo)，PCIE直通功能多應(yīng)用于對(duì)性能有極高要求的使用場(chǎng)景，如網(wǎng)絡(luò)SR-IOV直通。SR-IOV（SingleRootI/OVirtualization，單的資源被虛擬化為多個(gè)虛擬設(shè)備（即虛擬功能VF），從而支持多個(gè)在SR-IOV架構(gòu)中，每個(gè)物理設(shè)備（如物理網(wǎng)絡(luò)適配器）被劃分為一個(gè)物理功能（PhysicalFunction,PF）和多個(gè)虛擬功能（Virtual而VF則是PF的一個(gè)子集，擁有自己的PCIe功能，可以被直接分配轉(zhuǎn)換，因此SR-IOV直通技術(shù)可以顯著降低虛擬機(jī)與物理設(shè)備之間的介入，可以減少CPU和內(nèi)存的開(kāi)銷(xiāo)；每個(gè)VF都被分配了唯一的MAC擬化環(huán)境中主要的2種使用方式。vGPU是利用GPU虛擬化技術(shù)，將單個(gè)物理的GPU切割成多個(gè)邏輯的vGPU，分割后的vGPU具有相應(yīng)劃分比例的計(jì)算能力和顯存，可vGPU允許多臺(tái)虛擬機(jī)共享一張GPU物理卡資源，提高資源利用在相同虛擬化軟件中的虛擬機(jī)根據(jù)需要可從當(dāng)前運(yùn)行主機(jī)遷移前運(yùn)行虛擬機(jī)的源主機(jī)立即將虛擬機(jī)使用的內(nèi)存分頁(yè)克隆到目的主虛擬機(jī)在異構(gòu)虛擬化軟件間的遷移通常需要借助不同的遷移方的虛擬磁盤(pán)應(yīng)用接口將異構(gòu)平臺(tái)中的虛擬機(jī)遷移到本地虛擬化軟件使用OVF文件進(jìn)行導(dǎo)出/導(dǎo)入。通常虛擬化軟件支持將虛擬機(jī)/虛擬卷以O(shè)VF文件的形式進(jìn)行導(dǎo)出?？稍谛碌奶摂M化軟件中使用OVF通常需要專業(yè)的遷移工具來(lái)執(zhí)行物理機(jī)系統(tǒng)到虛擬化軟件的遷點(diǎn)上的數(shù)據(jù)捕獲?？煺占夹g(shù)通常基于虛擬磁盤(pán)層面的數(shù)據(jù)塊（DataBlocks）操作，采用寫(xiě)時(shí)復(fù)制（Copy-on-Write,CoW）或重定向?qū)慍onsistency通常會(huì)利用VSS（VolumeShadowCopyService）等技術(shù)與應(yīng)用程序交互，確保關(guān)鍵業(yè)務(wù)數(shù)據(jù)在備份虛擬化環(huán)境中的備份系統(tǒng)往往利用變化塊跟蹤（CBT）技術(shù)來(lái)實(shí)CDP能夠提供精確到秒級(jí)的時(shí)間點(diǎn)恢復(fù)（Point-in-TimeRecovery,還能充分利用存儲(chǔ)設(shè)備的重復(fù)數(shù)據(jù)刪除（Deduplication）與壓縮（Compression）等特性，提升同步復(fù)制（SynchronousReplication）技術(shù)，將備份數(shù)據(jù)實(shí)時(shí)或定期復(fù)制到異地災(zāi)備中心（DRSite）。通過(guò)存儲(chǔ)區(qū)域網(wǎng)絡(luò)或以太網(wǎng)絡(luò) 現(xiàn)代容災(zāi)方案強(qiáng)調(diào)自動(dòng)化切換能力，利用容災(zāi)編排（Disaster該工具會(huì)根據(jù)預(yù)設(shè)的恢復(fù)優(yōu)先級(jí)（RecoveryPriority）、依賴關(guān)系），），金融業(yè)虛擬化的難點(diǎn)除了以上提到的虛擬化技術(shù)目前存在的挑（1）資源規(guī)劃困難：在業(yè)務(wù)系統(tǒng)日益互聯(lián)網(wǎng)化的背景下，傳統(tǒng)（2）單點(diǎn)故障風(fēng)險(xiǎn)：依賴服務(wù)器虛擬化和集中式存儲(chǔ)的數(shù)據(jù)中（3）適配遷移挑戰(zhàn)：金融行業(yè)現(xiàn)有的業(yè)務(wù)系統(tǒng)和應(yīng)用軟件多基（4）場(chǎng)景匹配復(fù)雜：現(xiàn)有的虛擬化軟件不能完全匹配各類(lèi)業(yè)務(wù)統(tǒng)一管理包括硬件信息的UI展示，尚需進(jìn)一步完善。（5）高性能業(yè)務(wù)承載瓶頸：針對(duì)金融業(yè)務(wù)的高并發(fā)、低延遲與（1）系統(tǒng)穩(wěn)定性：在芯片適配過(guò)程中，虛擬化管理端可能會(huì)出（2）資源利用率：當(dāng)前主流虛擬化產(chǎn)品普遍存在高資源占用的（3）運(yùn)維管理層：虛擬化軟件的頻繁升級(jí)帶來(lái)了較高的維護(hù)成化軟件的技術(shù)文檔和API接口不夠完善，給開(kāi)發(fā)與運(yùn)維工作帶來(lái)了額當(dāng)前金融業(yè)虛擬化生態(tài)面臨的難點(diǎn)主要體現(xiàn)在硬件和操作系統(tǒng)件雖然能夠安裝成功，但在實(shí)際運(yùn)行時(shí)，容易觸發(fā)某些CPU指令的周邊系統(tǒng)適配問(wèn)題：如備份系統(tǒng)、VDI、防病毒軟件和存儲(chǔ)設(shè)備等周邊系統(tǒng)，尤其是面對(duì)一些小眾品牌時(shí)，虛擬化軟件缺少標(biāo)準(zhǔn)化API接口，調(diào)試和優(yōu)化的時(shí)間成本高。針對(duì)服務(wù)器及存儲(chǔ)資源的利舊且控制性能損耗，方便客戶能夠利舊VMware業(yè)務(wù)改造的硬件資源。軟件的登錄應(yīng)支持IP黑白名單、雙因子認(rèn)證、驗(yàn)證碼策略等設(shè)置，確保數(shù)據(jù)的快速處理和傳輸，滿足實(shí)時(shí)性要求。此外，AI與自動(dòng)化持批量新建/遷移、標(biāo)簽篩選、主機(jī)及虛擬機(jī)和數(shù)據(jù)中心均支持便捷進(jìn)行持續(xù)改進(jìn)，確保產(chǎn)品和服務(wù)能夠不斷優(yōu)化前IT環(huán)境進(jìn)行全面審視，并緊密結(jié)合未來(lái)發(fā)展規(guī)劃，進(jìn)行權(quán)資源利用評(píng)估分析：分析現(xiàn)有CPU、內(nèi)存、存儲(chǔ)等IT資源的分或資源分配不均影響應(yīng)用性能，則表明當(dāng)前IT基礎(chǔ)設(shè)施存在快速響應(yīng)與靈活性需求：評(píng)估當(dāng)前IT架構(gòu)在業(yè)方案是否能夠滿足這些需求，如提供足夠的存儲(chǔ)帶寬、IOPS和延遲安全性與合規(guī)性保障：全面評(píng)估現(xiàn)有IT架增強(qiáng)業(yè)務(wù)靈活性，并有效支持金融機(jī)構(gòu)的數(shù)字化轉(zhuǎn)選擇合適的虛擬化軟件，對(duì)于金融機(jī)構(gòu)而言，是邁向IT基需考慮界面設(shè)計(jì)的友好性、操作的便捷性以及l(fā)安全性與合規(guī)性：檢查軟件是否具備數(shù)據(jù)加密、訪問(wèn)控制、操作系統(tǒng)、應(yīng)用程序及網(wǎng)絡(luò)架構(gòu)、集中/分布式存儲(chǔ)的兼容性，確保能夠無(wú)縫集成至現(xiàn)有IT環(huán)境?？疾燔浖?duì)混合云或多云部署模融系統(tǒng)（如CRM、ERP、支付網(wǎng)關(guān)等）的集成難度和效率，是否具有開(kāi)放的API和標(biāo)準(zhǔn)接口，快速實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)的整合和升級(jí)。l技術(shù)支持與生態(tài)系統(tǒng)：評(píng)估虛擬化軟件供應(yīng)商的技術(shù)實(shí)力、專業(yè)的幫助。了解軟件的市場(chǎng)占有率、用戶口碑及與現(xiàn)有IT確保所選方案能夠在滿足業(yè)務(wù)需求的同時(shí)，實(shí)管理機(jī)制，能夠根據(jù)業(yè)務(wù)負(fù)載和應(yīng)用需求動(dòng)態(tài)調(diào)整資源分配，包括CPU、內(nèi)存、存儲(chǔ)等。關(guān)注是否支持資源池化和預(yù)留策略，以確保關(guān)確保在不影響現(xiàn)有業(yè)務(wù)連續(xù)性的前提下，實(shí)中間件等實(shí)現(xiàn)良好的互操作性，確保整個(gè)ITl界面友好性：圖形用戶界面（GUI）的設(shè)計(jì)應(yīng)追求直觀、簡(jiǎn)行業(yè)數(shù)字化。山西銀行在建設(shè)分布式云平臺(tái)之前，主要采用VMware臺(tái)為上層業(yè)務(wù)部署提供基礎(chǔ)計(jì)算、存儲(chǔ)資源，實(shí)現(xiàn)對(duì)原有VMware、在客戶移動(dòng)生產(chǎn)數(shù)據(jù)中心建設(shè)了12個(gè)自主53臺(tái)物理主機(jī)，提供170余個(gè)虛擬機(jī)資源，承載門(mén)戶網(wǎng)站、數(shù)字人構(gòu)資源池（飛騰、鯤鵬）、C86架構(gòu)資源池（海光