VMM: virtual machine monitor
Hypervisor: 也可以叫做 VMM
一句话,就是:现在物理CPU,物理内存和存储,物理网络的硬件能力都越来越强大了。面对现在越来越多样化的业务需求,我们要更加灵活地,更加高效的使用我们的硬件资源。以达到,高效 和 低成本 的两个目的。
如果都是直接使用物理机的话,就会有面向业务的资源大小分配不灵活,硬件的申请采购不灵活,硬件资源复用不灵活。我们总是希望把硬件资源抽象成软件资源,来动态的业务按需分配和使用。以达到 高效 和 低成本 的目标。
下面的三幅图,是我从另外一篇文章中看到的1。非常生动的以我们居住的别墅,公寓和胶囊公寓来对应物理机,虚拟机已经容器对于资源高效且低成本的使用和复用。非常的生动形象。
这种方式是从虚拟机的内核角度来看的2。
完全虚拟化方式,我们可以翻译成 完全欺骗方式。欺骗谁。。。欺骗虚拟机的内核。在硬件上的操作系统来看,虚拟机是一个普通的应用。只能运行在用户态。可是从代码的角度来看,虚拟机的内核,我就是内核应该运行在内核态。比如当虚拟机里面的浏览器要访问网络的时候,向虚拟机内核请求网络访问。虚拟机内核就要去操作网卡。但是此时,虚拟机是运行在用户态的,并没有权限直接访问网卡。于是,虚拟机的内核分裂了。。。到底我还是不是内核
怎么办呢?这个时候,就需要一个虚拟化层,虚拟化软件。去模拟假的CPU,内存,网络和硬盘给虚拟机的内核,让它自我感觉良好,终于又像一个内核了。这种,情况下,虚拟机内核认为自己就是内核是被虚拟化层完全欺骗的。
流程是这样的:应用请求 -> 虚拟机的内核 ->虚拟网络硬件 -> 虚拟化软件 -> 物理机内核 -> 物理网络硬件
响应的顺序反过来就是了。对于物理硬件的操作,都是需要如虚拟软件模拟虚拟的硬件,其实什么事情都是要虚拟化软件转诉一遍给物理内核的。虚拟机的内核根本不知道这些。这种处理方式的一个坏处就是:慢。
于是,对于物理CPU资源的申请加速方案,有了 硬件辅助的完全虚拟化方式。这种方式需要Intel的VT-x和AMD的AMD-V从硬件层面来支持。对于虚拟机内核来讲,只要将标志位设为虚拟机状态,虚拟机内核就可以直接在物理CPU上执行大部分的指令。不再需要虚拟化软件在中间转述,除非遇到非常特别的指令,才需要将标志位设为物理机内核态运行,这样大大提高了效率。所以,安装虚拟机的时候,我们务必将物理CPU的这个标志打开。想知道是否打开,对于intel,可以使用 grep “vmx” /proc/cpuinfo; 对于 AMD,可以使用 grep “svm” /proc/cpuinfo 来查看。
另外就是访问网络或是硬盘等外设的时候,为了取得加速。也需要让虚拟机内核加载特殊的驱动。理解起来就是,不再欺骗虚拟机内核。要让他清楚自己的地位,他不是真正的物理机内核。这种 加速的方式加做 半虚拟化方式。
服务器上的虚拟化软件,多采用qemu。单纯使用qemu,采用的就是完全的虚拟化模式。Guest OS认为自己和硬件直接大交道,其实都是和qemu模拟出来的硬件打交道。qemu会将这些指令转译给真正的硬件。由于所有的指令都要从qemu里面过一手,所以性能就会比较差。当CPU硬件标志位在BIOS里面开启后,就会开启硬件辅助的完全虚拟化。此时,通过KVM, Guest OS的CPU指令就不用了再经过qemu的转译了,直接运行,大大提过了速度。
qemu和kvm整合之后,CPU的性能问题解决了。接下来,qemu还会模拟其他的硬件,如网络和硬盘。全虚拟化的方式也会影响这些设备的性能。于是,qemu在采取半虚拟化的方式,让Guest OS 加载特殊的驱动来做这些事情。例如,网络需要加载virtio_net, 存储需要加载virtio_blk. Guest 需要安装这些半虚拟化驱动,此时Guest OS知道自己是虚拟机了。所以,数据会直接发给半虚拟化设备,经过特殊的处理(例如排队,缓存,批量处理等性能优化方式),最终发给真正的硬件。从而提高了外设的访问处理性能。
Hypervisor有type 1 和 type 2的区别。3
如果hypervisor运行在host OS上,那么就是type 2.他的处理方式是不与物理层接触,因此也被称为hosted hypervisor。他会提供模拟出来的物理层资源给上方的guest OS使用。在云计算中,通常情况hypervisor(kvm技术)只是负责CPU和内存的虚拟化,I/O虚拟化会由其他技术完成。
那么,既然type 2型的hypervisor是运行在宿主系统上的一个模拟硬件资源以及调度的软件。那么为什么还要有host OS呢?于是type 1型的虚拟化技术满足了这个愿望。在type 1型的虚拟机中,hypervisor既是操作系统也是虚拟化软件,这种技术的有点事效率高,虚拟机安全性只依赖于VMM。
docker,和VMM不一样。docker依赖于宿主的操作系统(host OS)。也就是说,docker容器要运行在host OS上。他通过一系列技术手段实现了各种隔离,比如内存隔离,存储隔离,CPU隔离。docker不支持windows内核,因此他不能使用在windows上。既是现在有windows版本的docker,也是运行在windows上的linux虚拟机上。由于docker不需要去创建hypervisor层,因此和传统的VM相比较,docker有很多优点。4
支撑docker的核心技术有三个:Namespace,Cgroup,UnionFS。Namespace提供了虚拟层面的隔离,比如文件隔离,网络隔离等等。Croup提供了物理资源的隔离,比如CPU,内存,磁盘等等。UnionFS给docker镜像提供了技术支撑。
从一台物理机可以虚拟化出很多的虚拟机,一定程度上实现了资源使用的灵活性。但是,虚拟化的方式其实还是非常的复杂。虚拟机虽然是虚拟的,但是他也用有Guest OS,并且需要由VMM负责CPU,内存,网络,存储全部都虚拟化。一个都不能偷懒。
于是,linux中的容器container技术提供了一种更加灵活地方式。既可以隔离出一部分资源,专门用于某个进程,又不需要费劲周折的虚拟化这么多的硬件。毕竟,我只是想跑一个程序,而不是要一整个的linux系统。其实,容器就像船上的不同集装箱封装着不同的货物。封装带来了好处,一个是打包,二是标准化。
容器实现封闭的环境主要靠两种技术。
从下面虚拟机和Docker的体系结构图中我们可以看到差别。Docker结构图中的Docker Engineer 替代了 Hypervisor 和 Guest OS。
当程序员根据产品设计开发完毕以后,可以将代码连同运行环境打包成一个容器镜像。此时,这个集装箱就封装好了。接下来,无论是在开发环境,测试环境,还是生产环境运行代码,都可以使用相同的镜像。这样,产品的发布和上线速度就加快了。
如下图实例所示,通过Docker run命令将容器镜像运行为容器,通过namespace和cgroup进行隔离。容器里面不包含内核,是共享host OS的内核。对比虚拟机,虚拟机在qemu进程里面是有客户机guest OS的内核的,应用运行在客户机的用户态。
参考资料:
