computerarchitecture(graduates).ppt

* 虚拟化数据中心的可信管理 VMM的出现改变了计算机体系结构。它在操作系统和系统硬件之间插入一层软件，可以在一个物理硬件平台上创建一个或多个虚拟机。虚拟机具有良好的封装性，运行在虚拟机中的客户操作系统的状态可以被完全封装起来。被封装的机器状态可以复制，也可以在网络上共享，或像文件一样移除，这对虚拟机的安全性提出了挑战。 VMM可提供安全隔离性，虚拟机访问任何硬件资源时都需要通过VMM的审核，因此VMM是一个虚拟系统的安全基础。 * 图3-29 使用专用虚拟机进行入侵检测的生命元件（livewire）体系结构 * 图3-30为独立虚拟集群和虚拟机隔离建立信任区的技术 * Reading Assignments : K. Hwang, G. Fox and J. Dongarra, Distributed Systems and Cloud Computing, Chapter 3, 2011 M. Rosenblum and T. Garfinkel, “Virtual Machine Monitors: Current Technology and Future Trends”, IEEE Computer Magazine, May 2005, pp.39-47. VM Ware, Inc., “Virtualization Overview “, White paper, , 2006. Virtual Machines by James Smith and Ravi Nair, Morgan Kaufmann, an Elesevier imprint, 2005 * * * * * * * 图3-10 Intel对处理器、内存和I/O设备虚拟化的硬件支持 * CPU虚拟化 虚拟机的非特权指令直接在物理主机中运行 关键指令可以分为三类：特权指令、控制敏感指令和行为敏感指令。特权指令需要在特权模式中执行，当在特权模式之外执行特权指令时会发生陷入。控制敏感指令尝试改变使用资源的配置。行为敏感指令根据资源的配置情况会有不同的行为，包括在虚拟内存中进行的负载和存储操作。 VMM运行在管理模式时，CPU支持在用户模式运行虚拟机的特权指令和非特权指令，则该CPU体系结构是可虚拟化的。 RISC的所有控制敏感指令和行为敏感指令都是特权指令，因此，RISC的CPU体系结构是天然可虚拟化的。 * 图3-11 Intel硬件辅助的CPU虚拟化 * 内存虚拟化 客户操作系统和VMM分别维护从虚拟内存到物理内存的映射和从物理内存到机器内存的映射，共两级映射。客户操作系统仍旧负责从虚拟地址到虚拟机的物理内存地址的映射，VMM负责将客户物理内存映射到实际的机器内存上 图3-12 两级内存映射过程 * 图3-13 使用Intel的EPT的内存虚拟化（EPT也被称为影子页表） * I/O虚拟化 I/O虚拟化包括管理虚拟设备和共享的物理硬件之间I/O请求的路由选择。 实现I/O虚拟化有三种方式： 全设备模拟: 一个设备的所有功能或总线结构（如设备枚举、识别、中断和DMA）都可以在软件中复制。 半虚拟化: 是Xen所采用的方法，是广为熟知的分离式驱动模型，由前端驱动和后端驱动两部分构成。前端驱动运行在Domain U中，而后端驱动运行在Domain 0中，它们通过一块共享内存交互。 直接I/O虚拟化: 让虚拟机直接访问设备硬件。它能获得近乎本地的性能，并且CPU开销不高。 * 图3-14 用于I/O虚拟化的设备模拟，虚拟化在中间层实现，将真实I/O设备映射到客户设备驱动使用的虚拟设备 * 多核处理器的虚拟化 主要有两个困难：一是应用程序编程者必须完全并行地使用所有处理器核，二是软件必须明确地为处理器核分配任务。 物理处理器核与虚拟处理器核: 图3.16多核虚拟化方法，当实际只有三个核存在时给软件暴露4个VCPU * Virtual Cores vs. Physical Processor Cores Physical cores Virtual cores The actual physical cores present in the processor. There can be more virtual cores visible to a single OS than there are physical cores. More burden on the software to write applications which can run directly on the cores. Design of software becomes easier as the hardware assists the software