概述

计算机虚拟化是一种强大的技术，它允许在单一物理硬件上模拟多个虚拟环境。通过虚拟化，用户可以创建多个独立的、隔离的计算机系统，每个系统都有自己的操作系统、应用程序和存储资源。这项技术极大地提高了硬件资源的利用率，降低了IT成本，并提供了更高的灵活性和可扩展性。虚拟化还增强了系统的可靠性和安全性，因为它允许故障隔离和快速恢复。此外，虚拟化技术还简化了软件开发和测试过程，使得开发者能够在不同环境中快速部署和测试应用。总之，计算机虚拟化是现代IT基础设施中不可或缺的一部分，它为企业和个人用户带来了诸多便利和效益。

概念

虚拟化的含义很广泛。将任何一种形式的资源抽象成另一种形式的技术都是虚拟化。在
计算机方面，虚拟化一般指通过对计算机物理资源的抽象，提供一个或多个操作环境，
实现资源的模拟、隔离或共享等。

几个和虚拟化相关的常见概念：

• 虚拟机
  虚拟机VM（Virtual Machine）是指使用虚拟化技术，通过软件模拟完整的计算机硬
  件系统功能，构造出的完整虚拟计算机系统。该虚拟机可以独立运行在一个完全隔
  离的环境中，像使用本地计算机一样安全可靠。
• Hypervisor
  即虚拟机监视器VMM（Virtual Machine Monitor），是一种运行在基础物理服务器
  和操作系统之间的中间软件层，可允许多个操作系统和应用共享硬件。
  Hypervisor是一种在虚拟环境中的“元”操作系统。它可以访问服务器上包括磁盘
  和内存在内的所有物理设备。Hypervisor不但协调着这些硬件资源的访问，也同时
  在各个虚拟机之间施加防护。当服务器启动并执行Hypervisor时，它会加载所有虚
  拟机客户端的操作系统，同时会分配给每一台虚拟机适量的内存、CPU、网络和磁
  盘。
• Xen Hypervisor
  是一个开源的采用半虚拟化技术的VMM，负责在各虚拟机之间进行CPU调度和内
  存分配。Xen Hypervisor抽象出硬件层，并控制虚拟机的执行，但不会处理网络、
  存储设备、视频以及其他I/O（输入/输出）。由于Xen Hypervisor可以在单个计算机
  上运行多个修改过的操作系统，且最上层的用户应用无需做特殊修改，因此Xen
  Hypervisor无需特殊硬件支持，就能达到高性能的虚拟化。
• 宿主操作系统
  宿主操作系统（Host OS）指被虚拟的物理机的操作系统。
• 客户操作系统
  客户操作系统（Guest OS）指运行在虚拟机上的操作系统。
• Domain 0
  指运行Host OS的虚拟机。Domain 0是其他虚拟机的管理者和控制者，可以构建其
  他更多的Domain，并管理虚拟设备。它还能执行管理任务，比如虚拟机的休眠、唤
  醒和迁移其他虚拟机。
• Domain U
  指除Domain 0之外的虚拟机。

特点

虚拟化具有以下特点：

• 分区：对物理机分区，可实现在单一物理机上同时运行多个虚拟机。
• 隔离：同一物理机上多个虚拟机相互隔离。
• 封装：整个虚拟机执行环境封装在独立文件中。
• 独立：虚拟机无须修改，可运行在任何物理机上。

优势

性能	虚拟化前	虚拟化后
资源利用率	每台主机一个操作系统，系统的资源利用率低。	一台主机对应多个操作系统，按需分配使用，系统的资源利用率高。
独立性	软硬件紧密结合，硬件成本高昂且不够灵活。	操作系统和硬件不相互依赖，虚拟机独立于硬件，能在任何硬件上运行。
程序运行效率	同一台主机上同时运行多个程序容易产生冲突，运行效率较低。	管理操作系统和应用程序被封装成单一个体，不同个体间不冲突。同一台机器上运行同一个程序，效率高。
安全性	安全性较差。	强大的安全和故障隔离。

实现手段

虚拟化技术主要通过三种手段实现：

• 硬件仿真：在宿主系统上创建一个硬件虚拟机来仿真所想要的硬件。该方式实现较
  为复杂，主要用于开发环境中。
• 分割：把一个物理资源虚拟成若干个独立的逻辑资源，比如分区。目前该方式应用
  较为普遍。
• 聚合：把若干个分散的物理资源虚拟为一个大的逻辑资源，比如网格。目前该方式
  应用较少。

虚拟化架构

概述

根据在整个系统中的位置不同，虚拟化架构分为以下几种：

• 寄居虚拟化架构
• 裸金属虚拟化架构
• 操作系统虚拟化架构
• 混合虚拟化架构

寄居虚拟化架构

寄居虚拟化架构指在宿主操作系统之上安装和运行虚拟化程序，依赖于宿主操作系统对
设备的支持和物理资源的管理。

裸金属虚拟化架构

裸金属虚拟化架构指直接在硬件上面安装虚拟化软件，再在其上安装操作系统和应用，
依赖虚拟层内核和服务器控制台进行管理。

操作系统虚拟化架构

操作系统虚拟化架构在操作系统层面增加虚拟服务器功能。操作系统虚拟化架构把单个
的操作系统划分为多个容器，使用容器管理器来进行管理。宿主操作系统负责在多个虚
拟服务器（即容器）之间分配硬件资源，并且让这些服务器彼此独立。

混合虚拟化架构

混合虚拟化架构将一个内核级驱动器插入到宿主操作系统内核。这个驱动器作为虚拟硬
件管理器来协调虚拟机和宿主操作系统之间的硬件访问。

几种虚拟化架构的比较

几种虚拟化架构之间的优缺点如下表所示：

优缺点	寄居虚拟化架构	裸金属虚拟化架构	操作系统虚拟化架构	混合虚拟化架构
优点	简单，易于实现。	1. 虚拟机不依赖于操作系统。 2. 支持多种操作系统，多种应用。	1. 简单，易于实现。 2. 管理开销非常低。 3. 本机速度性能比较高。	1. 相对于寄居虚拟化架构，没有冗余，性能高。 2. 可支持多种操作系统。
缺点	1. 安装和运行应用程序依赖于宿主操作系统对设备的支持。 2. 管理开销较大，性能损耗大。	1. 虚拟机不依赖于操作系统。 2.管理开销较大，性能损耗大。	1. 简单，易于实现。 2. 灵活性比较差，容器操作系统和宿主操作系统必须是同一个操作系统。	需底层硬件支持虚拟化扩展功能。

虚拟化架构与虚拟化技术的关系

同一种虚拟化架构在不同的时期，可以有不同的虚拟化技术方案。实现虚拟化架构的关
键方案可能是多种虚拟化技术。因此虚拟化架构和虚拟化技术之间并不存在稳定的对应
关系。

虚拟化技术分类

虚拟化技术的分类如下表所示。

分类	说明
服务器虚拟化	将服务器物理资源抽象成逻辑资源，区分资源的优先次序，并随时随地将服务器资源分配给最需要的工作负载。可简化管理和提高效率，减少为单个工作负载峰值而储备的资源。该技术主要采用分隔的方式实现。
存储虚拟化	通过在物理存储系统和服务器之间增加一个虚拟层，管理和控制所有存储并对服务器提供存储服务。对服务器而言，可简化管理复杂度，可将现有的功能集成使用，并摆脱存储资源物理容量的限制。
网络虚拟化	通过在网络设备之间实现虚拟化功能，帮助保护IT环境，防止来自Internet的威胁，同时使用户能够快速安全的访问应用程序和数据。
应用虚拟化	将应用程序与操作系统解耦合，为应用程序提供虚拟的运行环境。在这个环境中，不仅包括应用程序的可执行文件，还包括它所需要的运行环境。从本质上说，应用虚拟化是把应用对低层的系统和硬件的依赖抽象出来，可以解决版本不兼容的问题。 典型的应用虚拟化实现技术为XenApp。

服务器虚拟化技术分类

存储虚拟化技术分类

网络虚拟化技术分类

服务器虚拟化技术

处理器虚拟化

处理器全虚拟化技术

主要采用优先级压缩技术（Ring Compression）和二进制代码翻译技术（Binary
Translation）。优先级压缩技术让VMM和Guest运行在不同的特权级下。对x86架构而
言，即VMM运行在最高特权级别Ring 0下，Guest OS运行在Ring 1下，用户应用运行在
Ring 3下。因此，Guest OS的核心指令无法直接下达到计算机系统硬件执行，而是需要
经过VMM的捕获和模拟执行（部分难以虚拟化的指令需要通过Binary Translation技术进
行转换）。

处理器半虚拟化技术

处理器硬件辅助虚拟化技术

目前主要有Intel的VT-x和AMD的AMD-V这两种技术。其核心思想都是通过引入新的指
令和运行模式，使VMM和Guest OS分别运行在不同模式（ROOT模式和非ROOT模式）
下，且Guest OS运行在Ring 0下。通常情况下，Guest OS的核心指令可以直接下达到计
算机系统硬件执行，而不需要经过VMM。当Guest OS执行到特殊指令的时候，系统会
切换到VMM，让VMM来处理特殊指令。

内存虚拟化

内存全虚拟化技术

通过使用影子页表（Shadow Page Table）实现虚拟化。VMM为每个Guest都维护一个影
子页表，影子页表维护虚拟地址（VA）到机器地址（MA）的映射关系。而Guest页表
维护VA到客户机物理地址（GPA）的映射关系。当VMM捕获到Guest页表的修改后，
VMM会查找负责GPA到MA映射的P2M页表或者哈希函数，找到与该GPA对应的MA，
再将MA填充到真正在硬件上起作用的影子页表，从而形成VA到MA的映射关系。而
Guest的页表则无需变动。

内存半虚拟化技术

通过使用页表写入法实现虚拟化。Guest OS在创建一个新的页表时，会向VMM注册该
页表。之后在Guest运行的时候，VMM将不断地管理和维护这个表，使Guest上面的程序
能直接访问到合适的地址。

内存硬件辅助虚拟化技术

通过扩展页表EPT（Extended Page Table）实现虚拟化。EPT通过使用硬件技术，使其能
在原有的页表的基础上，增加一个EPT页表，用于记录GPA到MA的映射关系。VMM预
先把EPT页表设置到CPU中。Guest修改Guest页表，无需VMM干预。地址转换时，CPU
自动查找两张页表完成Guest虚拟地址到机器地址的转换，从而降低整个内存虚拟化所
需的开销。

I/O 虚拟化

I/O全虚拟化技术

通过VMM模拟I/O设备（磁盘和网卡等）实现虚拟化。Guest OS所能看到就是一组统一
的I/O设备。VMM截获Guest OS对I/O设备的访问请求，然后通过软件模拟真实的硬件。
这种方式对Guest而言非常透明，无需考虑底层硬件的情况。

I/O半虚拟化技术

通过前端（Front-End）/后端（Back-End）模拟实现虚拟化。Guest OS中的驱动程序为前
端，VMM提供的与Guest通信的驱动程序为后端。前端驱动将Guest OS的请求通过与
VMM间的特殊通信机制发送给VMM的后端驱动，后端驱动在处理完请求后再发送给物
理驱动。

I/O硬件辅助虚拟化技术

主要有Intel的VT-d、AMD的IOMMU和PCI-SIG的IOV这三种技术。前两种技术属于直接
I/O技术，物理设备可以直接分配给虚拟机使用（而不需经过VMM），通过硬件芯片完
成GPA到MA的翻译。IOV技术在其基础上，在硬件设备中增加了一个PCIe设备，用于
呈现一个物理功能（PF）和多个虚拟功能（VF），从而使每个虚拟功能可单独分配给
不同的客户机使用。

存储虚拟化技术

基于主机的存储虚拟化

当仅需要单个主机服务器（或单个集群）访问多个磁盘阵列时，可以使用基于主机的存
储虚拟化技术。该技术又称为逻辑卷管理，通常由主机操作系统下的逻辑卷管理软件实
现。逻辑卷管理软件把多个不同的磁盘阵列映射成一个虚拟的逻辑块空间。当存储需求
增加时，逻辑管理软件能把部分逻辑空间映射到新增的磁盘阵列，因此可以在不中断运
行的情况下增加或减少物理存储设备。

主机1可以使用磁盘阵列1和2上的存储空间，主机2可以使用磁盘阵列2上的存储空间，
主机3和4均可使用磁盘阵列3和4上的存储空间。

该技术使主机经过虚拟化的存储空间可以跨越多个异构的磁盘阵列，因此常用于在不同
磁盘阵列之间做数据镜像保护。

该技术的优点：

• 支持异构的存储系统。
• 容易实现，不需要额外的特殊硬件。
• 开销低，不需要硬件支持，不修改现有系统架构。

该技术的缺点：

• 占用主机资源，降低应用性能。
• 存在操作系统和应用的兼容性问题。
• 导致主机升级、维护、扩展复杂，容易造成系统不稳定。
• 需要复杂的数据迁移过程，影响业务连续性。

基于存储设备的存储虚拟化

当有多个主机服务器需要访问同一个磁盘阵列时，可以使用基于存储设备的存储虚拟化
技术。该技术通过在存储控制器上添加虚拟化功能实现，可以将一个阵列上的存储容量
划分为多个存储空间（LUN），供不同的主机系统访问。

磁盘阵列1的存储空间可以提供给主机1和2使用，磁盘阵列2的存储空间可以提供给主机
2～4使用。
该技术常用于在同一存储设备内部，进行数据保护和数据迁移。该技术常见于中高端存
储设备。

该技术的优点：

• 与主机无关，不占用主机资源。
• 数据管理功能丰富。

该技术的缺点：

• 一般只能实现对本设备内磁盘的虚拟化。
• 不同厂商间的数据管理功能不能互操作。
• 多套存储设备需要配置多套数据管理软件，成本较高。

基于网络的存储虚拟化

当多个主机服务器需要访问多个异构存储设备时，可以使用基于网络的存储虚拟化技
术。该技术通过在SAN（Storage Area Network）中添加虚拟化引擎实现。

主机1～4可以使用磁盘阵列1～4上的存储空间。
该技术常用于异构存储系统的整合和统一数据管理，在实际使用中较为常见。
该技术的优点：

• 与主机无关，不占用主机资源。
• 支持异构主机、异构存储设备。
• 统一不同存储设备的数据管理功能。
• 构建统一管理平台，可扩展性好。

该技术的缺点：

• 部分厂商数据管理功能弱，难以达到虚拟化统一数据管理的目的。
• 部分厂商产品成熟度低，仍然存在和不同存储、主机兼容的问题。

该技术根据实现位置的不同，又可以分为：

• 基于交换机的虚拟化
  将虚拟化层直接嵌入到交换机中，通过改造或添加交换机的中间件，使其同时具备
  交换功能和虚拟化功能。
• 基于路由器的虚拟化
  将虚拟化层直接嵌入路由器中，通过改造路由器的中间件，使其同时具备虚拟化功
  能、交换功能、不同协议的转换功能。
• 基于元数据服务器的虚拟化
  在存储网络中接入一台专用服务器（元数据服务器）实现虚拟化功能。应用服务器
  上驻留一个小的虚拟化代理软件模块，该模块用于维护本地的数据视图和I/O重定
  向。元数据服务器负责管理存储网络环境中的虚拟化数据管理工作。元数据服务器
  维护整个存储网络的虚拟化视图。当应用服务器所需数据不在本地视图中时，它将
  通过代理软件模块向元数据服务器发出请求，元数据服务器把相关的数据视图和元
  数据返回给应用服务器。应用服务器再根据这些元数据去取得相应的数据。

几种存储虚拟化技术的比较

几种存储虚拟化技术的比较如下表所示。

网络虚拟化技术

VLAN

虚拟局域网VLAN（Virtual Local Area Network）是一种将局域网（LAN）设备从逻辑上
划分成多个网段，从而实现虚拟工作组的数据交换技术。VLAN可以应用于交换机和路
由器中，其中主要用在交换机中。

VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域（即VLAN），
每一个VLAN都包含一组有着相同需求的计算机。由于VLAN是逻辑地而不是物理地划
分，所以同一个VLAN内的各个计算机无须被放置在同一个物理空间里，即这些计算机
不一定属于同一个物理LAN网段。

VRF

VRF（VPN Routing and Forwarding）是一种在计算机网络中使用的技术。它允许在同一
个路由器中同时存在一个路由表的多个实例。由于这些路由实例是相互独立的，因此可
以在不同的VPN区域中使用相同或重叠的IP地址而不会产生冲突。
每一个VRF都可以看作一台虚拟的路由器，好像是一台专用的PE（Provider Edge
router）设备。该虚拟路由器包括如下元素：

• 一张独立的路由表，包括独立的地址空间
• 一组归属于这个VRF的接口的集合
• 一组只用于本VRF的路由协议

对于每个PE，可以维护一个或多个VRF，同时维护一个公网的路由表（也叫全局路由
表），多个VRF实例相互分离独立。

虚拟 VPN

虚拟VPN是指通过单个VPN实现多个VPN的功能。虚拟VPN的实现方式有以下两种：

• 在高端的VPN设备上面划分多个域。每个域作为一个独立的VPN。
  使用相同域用户帐号登录的用户之间可以相互访问，使用不同的域用户帐号登录的
  用户之间不能相互访问。为了实现支持更多的用户，可将多台高端VPN服务器通过
  路由器策略集成，实现同一个域的用户，即使登录不同的VPN设备，也可以保证互
  联互通。
  该方式下，所有用户的互相访问的网络流量都要经过VPN服务器。因此VPN服务器
  可同时支持的在线用户数受到限制。架设该VPN服务器也需要投入大量的资金用于
  网络带宽。
• 采用端点到端点的VPN系统。
  该系统将用户验证、权限分配等操作同用户的具体网络连通分开处理。不同用户在
  同一台服务器登录，得到互联互通的权限和属于自己的域里面的在线用户名单。属
  于同一个域的用户可以互相访问，属于不同域的用户不能互相访问。该登录服务器
  可以同时支持几万在线用户，创建任意多的域，实现任意多个VPN。可以利用虚拟
  系统来为不同的业务系统进行划分，既可以通过服务和功能，也可以通过网段来对
  网络进行划分。因此，管理员可以为不同的网段制定不同的策略，也可以将较大的
  规则库拆分成多个较小的规则库，从而方便管理和更好地控制网络安全。
  该方式避免了用户的VPN网络流量都经过一个VPN服务器的缺陷，为系统的实施节
  省了大量的带宽使用费，避免由于VPN服务器带宽的不够而影响全部用户的VPN的
  速度。

虚拟防火墙

虚拟防火墙是指将一台防火墙在逻辑上划分成多台虚拟的防火墙。每个虚拟防火墙系统
都可以被看成是一台完全独立的防火墙设备，可拥有独立的系统资源、管理员、安全策
略、用户认证数据库等。使用虚拟防火墙可增强安全策略部署的灵活性，当用户业务划
分发生变化或者产生新的业务部门时，直接在物理防火墙上增加或删除逻辑防火墙即
可。使用虚拟防火墙可降低投入成本。

虚拟负载均衡

虚拟负载均衡是指将一台负载均衡器在逻辑上划分成多台虚拟的负载均衡器。每个虚拟
负载均衡器都可以被看成是一台完全独立的设备，可进行流量负载平衡和内容交换。负
载均衡器的虚拟化可以：

• 通过硬件实现
  常见的有NetScaler、F5、Radware和Array等商用的负载均衡器。有专业的维护团队
  来对这些服务进行维护，花销较大。
• 通过软件实现
  常见的有LVS/HAProxy、Nginx的基于Linux的开源免费的负载均衡软件策略。其费
  用非常低廉。

虚拟交换机

每个虚拟机可有一个或多个虚拟网卡，虚拟网卡拥有自己的MAC地址以及一个或多个IP
地址，它与物理网卡一样遵循标准以太网协议。同一个虚拟机中的虚拟网卡可以划分到
不同的VLAN，并可以配置不同的速率。

每台服务器可有自己的虚拟交换机。虚拟交换机负责服务器内部的虚拟机之间通信以及
虚拟机对外通信功能，其工作原理与二层物理交换机一样。
虚拟交换机提供很多虚拟端口。虚拟机经由虚拟网卡、虚拟交换机的虚拟端口、服务器
的物理网卡，连接到外部网络。
虚拟交换机上可以划分多个VLAN，位于不同物理服务器上的虚拟机通过VLAN技术可
以划分在同一个局域网内。

虚拟机之间的通信情况简要说明如下：

• 同一个主机上的同一个VLAN内的虚拟机（如虚拟机1和虚拟机2）之间通过虚拟交
  换机进行通信。
• 不同主机上的同一个VLAN内的虚拟机（如虚拟机3和虚拟机4）之间通信经由服务
  器物理网卡，通过物理IP网络进行。
• 不同局域网的虚拟机之间的网络是隔离的，不能进行数据交换。

VN-Link

VN-Link（Virtual Network Link）技术由Cisco提出。它通过提供管理程序、VM、网络和
存储间的集成，提高VM的移动性。VN-Link将网络部署和管理任务交回网络专家负责，
同时创建一个协作管理模式，以满足服务器管理员迅速部署VM的需要。VN-Link使用两
种独立的部署模式：

• 使用软件虚拟交换机（Cisco Nexus 1000V软件交换机）
• 使用基于硬件的解决方案（Cisco Nexus 5000系列交换机）

EVB

EVB（Edge Virtual Bridging）的核心思想是将虚拟机产生的网络流量全部交由与服务器
相连的物理交换机进行处理，即使同一台服务器的虚拟机间的流量，也发往外部物理交
换机进行转发处理。这种工作模式形象的描述为“发卡弯”转发。EVB可以通过软件方式实
现（类似于VMM中的虚拟交换机VSwitch），也可以在支持SR-IOV技术的网卡上实现。

由于流量被从虚拟机上引入到外部网络，EVB技术带来了更多网络带宽开销的问题。对
于对流量监管能力、安全策略部署能力要求较高的场景（如数据中心）而言，EVB是一
种优选的技术方案。
EVB定义了两种报文转发方案：

• VEPA（Virtual Ethernet Port Aggregator）：EVB定义的基本实现方案。该方案不需
  要对虚拟机发出的以太网报文做改动即可实现“发卡弯”转发。
• 多通道：定义了通过标签机制实现VEB（Virtual Ethernet Bridge）、Director IO和
  VEPA的混和部署方案。借助多通道技术，管理员可以根据网络安全、性能以及可
  管理等方面的需求，来选择虚拟机与外部网络的接入方案（VEB、Director IO或
  VEPA）。

堆叠

堆叠是将多台支持堆叠特性的交换机，通过堆叠电缆或高速上行口，以环型或链型组合
在一起，从逻辑上合为一个整体设备。堆叠可以提高交换机端口密度和性能，实现交换
机的集中管理和维护。一般相同类型的交换机才能进行堆叠。

集群

集群可以将相互连接（级联或堆叠）的多台交换机作为一个逻辑设备进行管理，降低网
络管理成本，简化管理操作。集群中，一般只有一台交换机起管理作用，称为命令交换
机。它可以管理其他交换机。在命令交换机统一管理下，集群中多台交换机协同工作。
由于不同厂家对集群有不同的实现方案，一般同一厂家指定型号的交换机才能实现集
群。

vPC

vPC（virtual Port Channel）技术由Cisco提出。vPC可以使物理连接两台交换机的链路对
其他设备呈现为单个的端口通道。它可提供链路层的多路径，使节点间存在可用的多条
并行路径，并在存在的可选路径间完成负载均衡。

VSS

VSS（Virtual Switching System）技术由Cisco提出。VSS将多台Cisco 6500系列交换机组
合为单一虚拟交换机，从而提高运营效率、增强不间断通信，并将系统带宽容量扩展到
1.4Tbit/s。

应用虚拟化技术

XenApp简介

XenApp是按需应用交付解决方案，它使得应用程序虚拟化，并能在数据中心集中控制
和管理，并即时向任何地方、使用任何设备的用户交付应用，而不需要用户在本地安装
该应用程序。
应用程序运行在XenApp服务器上。该服务器借用Windows Server的终端服务机制，为每
个接入用户建立一个Session。

XenApp技术原理

XenApp虚拟化应用平台技术原理如下：

• 应用软件安装和运行在服务器端。
• 应用软件的用户界面在客户端显示（可以支持非Windows客户端）。
• 网络只传递通过Citrix的ICA技术处理后的屏幕刷新、键盘敲击、鼠标移动的信息。

ICA协议连接了运行在XenApp服务器上的应用进程和客户端设备，通过ICA虚拟通道，
将运行在中心服务器上的应用进程的I/O数据重新定向到远端客户端机器的I/O设备上。
因此，虽然应用客户端软件并没有运行在客户端设备上，但用户使用起来和在客户端安
装运行客户端软件相比，没有感觉任何操作上的改变。

XenApp功能