下载文档原格式
解决Xen虚拟机IO性能问题作者:刘伟斌吴寒冰来源:《中国新通信》 2018年第13期【摘要】我司私有云虚拟化资源池承载了企业邮箱、认证平台等多个重要业务。
2017 年底邮件应用部署前对虚拟机IO 性能压测,发现虚拟机挂载的分布式文件系统存储IO 性能不足。
维护小组对虚拟机至存储的整条链路细致的测试和分析,定位问题在虚拟化架构中虚拟设备模型下的I/O 机制策略与业务场景不匹配。
针对业务特性,精细化修改I/O 环大小、特权虚机(Dom0)配置、队列深度等参数。
调优后,业务虚拟机IO 性能提升30%。
本文总结的调优经验可推广至全网,提升虚拟化的IO 密集型服务能力。
【关键词】虚拟化 I/O 环分布式存储一、现网概况我司私有云虚拟化平台采用基于开源的Xen 的架构上的华为FusionCompute 解决方案。
统一邮件以NAS 方式将分布式文件存储接入虚拟机,在部署应用系统前对虚拟机内进行IO 压力测试时发现IO 读写缓慢,远远达不到业务应用场景标准。
维护小组接到业务报障情况后,对虚拟化集群到分布式文件存储整条链路逐一测试排查。
根据分析,分布式文件存储侧、网络侧、宿主机设备侧不存在异常情况,初步判定造成虚拟机IO 缓慢的问题在于虚拟化层。
为了明确定位问题,我们针对虚拟机和宿主机挂载分布式文件存储进行了多次测试。
场景一:单卷128K 文件100%顺序读;场景二:单卷128K 文件100% 顺序写;场景三:单卷128K文件随机60% 读、40% 写;以上测试结果可以发现在多项IO 性能指标(平均带宽、IOPS、响应时长、中断次数)下,虚拟机与其所在的宿主机相比有明显的下降。
故明确是虚拟化层影响了IO 性能。
二、基于虚拟设备模型的I/0 优化和分析虚拟机IO 路径:虚拟机内部APP(产生IO)→虚拟机→ IO 环(虚拟机与宿主机IO 通信)→宿主机→ NAS 存储;宿主机IO 路径:宿主机内部APP(产生IO)→宿主机→ NAS 存储。
Xen虚拟化技术简介Xen是一种虚拟化技术,可用于创建和管理虚拟机。
它是一个开源的,基于x86架构的虚拟化解决方案。
Xen允许多个操作系统在同一台物理服务器上运行,并提供隔离和资源管理的功能。
本文将介绍Xen虚拟化技术的基本概念、架构和优势。
基本概念HypervisorHypervisor是Xen的核心组件,也是Xen与其他虚拟化技术的区别所在。
Hypervisor允许多个操作系统同时运行在宿主机上,每个操作系统都可以被认为是一个虚拟机。
Dom0是Xen虚拟化环境中的控制域。
它运行一个特殊的Xen内核,负责管理虚拟机的创建、销毁、资源分配等任务。
Dom0也可以运行其他操作系统,如Linux。
DomUDomU是Xen虚拟化环境中的客户域。
每个DomU都是一个独立的虚拟机,可以运行不同的操作系统,如Linux、Windows等。
DomU通过Hypervisor与Dom0进行通信和资源管理。
架构Xen虚拟化技术的架构可以分为四个层次:硬件层、Hypervisor层、Dom0层和DomU层。
硬件层是Xen虚拟化技术的底层,包括物理服务器、CPU、内存、存储等硬件设备。
Hypervisor层Hypervisor层是Xen的核心组件,负责虚拟化和资源管理。
它将物理硬件资源划分为多个虚拟资源,并为每个虚拟机提供独立的运行环境。
Dom0层Dom0层是控制域,运行一个特殊的Xen内核。
它负责管理虚拟机的创建、销毁、资源分配等任务,并提供管理接口供管理员使用。
DomU层是客户域,每个DomU都是一个独立的虚拟机。
DomU可以运行不同的操作系统,并通过Hypervisor与Dom0进行通信和资源管理。
优势Xen虚拟化技术相比其他虚拟化技术具有以下优势:高性能Xen采用了一种称为paravirtualization的虚拟化方式,它在虚拟机和物理硬件之间添加一层Hypervisor,使得虚拟机能够直接访问硬件资源,从而提高了性能。
虚拟机性能调优的技术与工具在计算机技术的不断发展中,虚拟化技术的应用日益广泛,虚拟机成为了许多企业的首选。
然而,随之而来的问题就是如何提高虚拟机的性能,以确保其能够满足业务需求。
本文将介绍一些虚拟机性能调优的技术与工具,帮助您优化虚拟机性能。
首先,我们来讨论一些常见的虚拟机性能调优技术。
以下是一些可以提高虚拟机性能的方法:1. 资源分配:正确配置虚拟机的资源是优化性能的关键。
您可以根据实际需求调整虚拟机的CPU、内存和存储资源。
同时,可以考虑为关键应用程序设置专用的虚拟机,以确保其获得足够的资源。
2. 硬件辅助技术:现代的虚拟化平台支持硬件加速技术,例如Intel VT-x和AMD-V等。
启用这些技术可以显著提升虚拟机的性能。
此外,还可以利用CPU超线程技术和NUMA架构来提高性能。
3. 存储优化:虚拟机的存储性能对于整个系统的性能至关重要。
您可以通过使用SSD代替传统硬盘、调整磁盘排队和缓存策略、使用虚拟机存储快照技术等方式来优化存储性能。
4. 网络优化:网络性能对于虚拟机的操作和访问外部资源非常重要。
您可以尝试使用高性能虚拟网络适配器、调整网络带宽限制、启用网络卸载和Jumbo帧等技术来提升网络性能。
在虚拟机性能调优过程中,还有许多强大的工具可供使用。
以下是一些常用的虚拟机性能调优工具:1. vSphere Performance Charts:vSphere是VMware的虚拟化平台,它提供了一套性能监控工具,其中包括Performance Charts。
该工具可以帮助您实时监测虚拟机的性能指标,如CPU利用率、内存使用率等,以便及时调整资源配置。
2. Perfmon:Perfmon是Windows操作系统中的性能监视器工具。
它可以收集虚拟机和宿主机的性能数据,并生成详细的性能报告。
您可以使用Perfmon来识别性能瓶颈,并对虚拟机进行优化。
3. DRS(分布式资源调度):DRS是vSphere的一个功能模块,它可以自动监控虚拟机的资源利用率,并在需要时迁移虚拟机以实现负载均衡。
服务器虚拟化技术Xen和KVM的比较在现代信息技术迅速发展的今天,服务器虚拟化技术成为企业及个人管理和应用服务器的重要工具和方法。
而Xen和KVM是目前应用较为广泛的两种服务器虚拟化技术。
本文将对它们的特点、优缺点以及适用场景进行比较和分析。
Xen是一种基于x86平台的开源虚拟化技术,由剑桥大学开发并于2003年发布。
Xen使用宿主机(Host)和客户机(Guest)的模式,即宿主机上运行宿主操作系统(Host OS),而客户机上则运行被虚拟化的操作系统(Guest OS)。
这种架构使得Xen可以实现高效的资源分配和管理,提供良好的隔离性和稳定性。
Xen采用了“半虚拟化”技术,它需要对Guest OS进行修改以适应虚拟化环境。
这一特点使得Xen相对于完全虚拟化技术来说,具有更高的性能和效率。
与Xen不同,KVM(Kernel-based Virtual Machine)是一种基于Linux内核的虚拟化技术,它于2006年由Red Hat公司发布。
KVM通过使用Linux内核的虚拟化功能,将宿主机作为一个虚拟机管理程序运行,从而提供了一种轻量级而高效的虚拟化解决方案。
KVM可以通过硬件的虚拟化扩展(Intel VT和AMD-V)来提供虚拟机的运行环境,同时它还能够利用Linux的丰富资源管理功能,实现更好的资源调度和利用效率。
相比于Xen的半虚拟化技术,KVM采用了全虚拟化技术,无需修改Guest OS,因此更加容易部署和维护。
就性能而言,Xen和KVM各有优势。
Xen的半虚拟化技术使得Guest OS可以直接访问物理硬件,因此在I/O密集型应用场景下具有较好的性能表现。
而KVM在处理CPU密集型任务时表现更加出色,因为它利用了硬件虚拟化扩展来提高CPU虚拟化的效率。
在可移植性方面,Xen相比于KVM更具优势。
Xen可以在多个操作系统平台上运行,包括Linux、Windows、FreeBSD等,这为多平台的应用提供了更好的支持。
收稿日期:2010-06-22作者简介:女,1967年生,高级实验师,张家口市,075000基金项目:河北省科技支撑计划项目(72135227)基于Xen 的可信虚拟机系统T V /Xen 的研究设计屈建萍1 刘雪峰2 王伟丽31 河北建筑工程学院;2 解放军信息工程大学电子技术学院;3 河北外国语职业学院摘 要 可信计算的出现为维护信息系统的安全带来了新的思路和方法,可信计算存在的应用问题的解决对于更好的利用可信计算技术维护信息系统的安全性将具有十分重要的意义.本文研究设计一套基于Xen 的可信虚拟机系统T V/Xen,对系统的构建方法进行了研究和探讨,并利用该系统解决了针对T CG 完整性度量的T OCTOU 攻击问题.关键词 可信计算;虚拟机监视器;vT PM ;TCP/VMM ;T V/Xen中图分类号 TP3090 引 言目前PC 平台存在的不安全问题,绝大多数都是因为PC 和操作系统在体系结构上存在着设计弱点和安全漏洞.可信计算技术为各种安全问题的解决提供了新的思路和方法.可信计算技术是一种新的信息安全手段,它通过信任链传递等机制确保终端平台的 可信 .目前可信计算技术已经有了很大的发展,但还存在着以下应用问题,一是可信计算对终端平台的安全控制与用户对本机操作的灵活性之间存在矛盾,二是可信计算与操作系统相结合的研究和应用还比较少.通过探索和研究可信计算与操作系统有机结合的问题,在基于虚拟机系统构建的可信计算平台架构中,对可信计算与虚拟机系统的相互结合问题进行深入研究.提出了一种基于虚拟机系统构建的可信计算平台架构 T CP/VM M 架构.在此基础上,对T CP/VM M 架构中可信计算与虚拟机监视器的相互结合问题进行了深入研究,并设计和初步实现了一个符合这种架构的系统 基于Xen 的可信虚拟机系统,简称TV/Xen 系统.本文将对TV/Xen 系统的实现方法进行探索和研究,并给出该系统的一个应用实例.1 T V /Xen 系统的构建1 1 系统关键部件1 1 1 T XenTV/Xen 系统是基于开源虚拟机监控软件Xen 实现的.应用到TCP/VMM 架构下的Xen 虚拟机监视器被称为 TXen(T rusted Xen) ,它主要具有以下特性:(1)隔离性.TXen 对上层的各虚拟机提供严格的隔离机制.这是T CP/VM M 架构能够解决可信计算技术所产生的各种应用问题的关键所在.通过对上层应用的隔离,某一应用的脆弱性不会影响到其他系统,不会产生传统系统所存在的 木桶效应 问题,确保了特定虚拟机的机密性和完整性.(2)可信性.能够向上层提供可信计算功能,保护用户的重要数据,也可以通过远程证明机制向远程方证明特定虚拟机配置状态的可信.在Intel 的LaGrand Technolog y 技术的支持下,它还可以提供给用户安全接口、可信通路等功能.(3)可扩展性.第28卷第4期2010年12月 河北建筑工程学院学报J OUR NAL O F HEBEI INSTITUTE OF AR C HITEC TU RE A ND C IVIL EN GINEERING Vol 28No 4Dec.2010在TV/Xen 系统中,用户可以根据自己的安全需求定制虚拟机中的软件栈.客户操作系统可以是一般的通用操作系统如Window s 、Linux 等,也可以是像引导载入程序GRU B 那样简单的小型操作系统.(4)高效性.传统系统架构对硬件的利用率并不是很高,造成硬件资源的浪费.据统计,多数用户的系统资源利用率只有10%~30%.TV/Xen 系统可以更有效的利用硬件资源.各虚拟机中的应用程序的运行效率与一般系统架构下并无显著差异.1 12 v TPMTPM 是一种硬件安全芯片,在TV/Xen 系统中,为了向各虚拟机提供可信计算功能,必须要考虑TPM 的虚拟化.由于硬件TPM 中存放了密钥等重要数据,而可信计算又是通过它来证明平台配置的可信,因此以软件形式存在的v TPM 不仅要提供与硬件T PM 相同的功能,还要考虑对自身的安全性保护、如何与所在平台的可信计算基(TCB)保持紧密联系等问题.1 12 1 vT PM 的结构在TV/Xen 系统中,TPM 的虚拟功能是由Domain-0提供的.整个vT PM 由一个vT PM 后台管理程序(v TPM M anag er)和一组vT PM 实例(vTPM Instance)构成,如图1所示.每一个v TPM 实例分别与一个Domain-U 对应,向其提供TPM 功能.在Do main -U 看来,它所对应的vT PM 实例就相当于一个硬件T PM.虚拟机与vT PM 实例的对应关系是通过一个 VM vT PM Instance 表进行维护的.vTPM 后台管理程序负责vTPM 实例的创建、删除、状态保存、移植以及将Dom ain -U 的T PM 请求发给对应的vT PM 实例等.在TV/Xen 系统中,T PM 设备驱动由TPM 前端驱动 /dev /tpm0 和T PM 后端驱动 /dev/v tpm 组成.前端驱动 /dev /tpm0 负责将本虚拟机中应用层的TPM 请求发送给后端驱动 /dev/v tpm .同一时刻,可能会有多个Domain -U 向vT PM 发送请求.因此必须要确保各虚拟机的T PM 请求只能发送到它所对应的vT PM 实例,防止虚拟机伪造T PM 请求数据包访问其它虚拟机的vT PM 实例.解决方法是在每个vT PM 实例创建时分配给它一个4字节的标识符.当T PM 后端驱动接收到一个TPM 请求后,根据中断号识别出是哪个虚拟机发送过来的,再由 VM vT PM Instance 关系表,知道该请求应发往哪个vT PM 实例.后端驱动在请求数据包头中加入相应的标识符,然后发送给vT PM 后台管理程序,由其发给相应的vTPM 实例.由于此操作是在后端驱动进行的,Domain -U 就不能伪造数据包来访问不属于它的vT PM 实例.1 12 2 vT PM 与所在平台T CB 之间关系的建立可信计算的远程证明机制是通过向远程方发送存放在PCRs 中的完整性度量值来证明本平台配置的可信的.在T CP/VM M 架构中,vTPM 能够向虚拟机提供完整性度量功能,在vT PM 实例的PCRs 中记录应用程序的度量值.但在远程证明机制中,TCP/VMM 架构不仅要向远程方证明虚拟机环境的可信,还要证明虚拟机所在的VM M 和硬件层的可信,即vTPM 中的PCRs 值能够反映虚拟机和所在底层环境的配置信息.解决方法是将v TPM 实例中的PCR 寄存器划分为两组.PCR[0]~PCR[8]存放平台T CB 的配置信息,v TPM 实例对其只具有读权限,具体的扩展操作是由Do main -0进行的;PCR[9~PCR[15]存放对应虚拟机的配置信息,其中PCR[9]存放客户操作系统的完整性度量值.vT PM 实例可以对这一组PCRs 进行扩展操作.1 2 信任链的重新构建根据以上分析可知,TCG 规范中的信任链已经不适用于T V/Xen 系统,因此需要重新构建信任链.TV/Xen 系统的信任链传递机制如图1所示.系统所采用的操作系统引导载入程序(OS Loader)是目前流行的GRUB,它具有强大的功能,可以引导各种操作系统.目前GRUB 还不具有可信引导功能,需要对其进行改造,使其能够对T Xen 进行完整性度量.在TV/Xen 系统中,Domain -0是系统T CB 的一部分,由它执行系统的访问控制策略和资源管理策略.GRUB 会对Domain -0的操作系统内核进行度量,将控制权传递给它后,Do main -0会对系统的各种策略文件进行完整性度量.以上度量过程所产生的度96 河北建筑工程学院学报 第28卷量值将作为系统T CB 的配置信息扩展到硬件TPM 中,以后由Domain -0扩展到各Dom ian -U 的vT PM 实例中.图1 T V/Xen系统结构图1 TV/Xen 系统中的信任链传递1 3 TSS 的运行流程在TV/Xen 系统中,运行在Do mian -U 中的可信支持软件(TSS)的运行流程如图2所示.在Do -m ain -U 中,通过 m odprobe tpm _xenu 命令动态载入TPM 前端设备驱动,会产生字符设备 /dev/tpm0 .在Do main -0中,通过 m odprobe tpm bk 命令动态载入TPM 后端设备驱动,会产生字符设备 /dev/v tpm .TDDL 先与自己虚拟机中的TPM 前端驱动 /dev/tpm0 交互,再由前端驱动通过后端驱动 /dev/vtpm 访问v TPM.2 T V /Xen 系统的应用实例2 1 问题的提出TCG 完整性度量是在要执行的代码被载入内存之前进行的.代码被载入内存后一直到它执行,97第4期 屈建萍 刘雪峰 王伟丽 基于Xen 的可信虚拟机系统T V/Xen 的研究设计TCG 都认为它是可信的.但实际上,对于代码来说,它在通过度量被载入内存一直到执行之前的这段时间内是极有可能遭受攻击的.这类攻击一般被称为 T OCT OU(time -o f -check/time -of -use) 攻击.图2 T V/Xen 系统中T SS 的运行流程图在x86页式内存管理机制[5]中,每一个页表项的高20位存放的是一个物理页面的地址,其余12位是控制位,表示该页是否已被访问、对其的读写权限等.在针对T CG 完整性度量机制的T OCT OU 攻击中,攻击者可以通过以下三种方式对存放可信代码的物理页面实施攻击:(1)修改自己进程的PTE,使其指向一个可信物理页面.该PTE 的控制位可被攻击者设置为具有对所指页面的读写权限,这样攻击者就可以对可信代码进行篡改.(2)修改一个指向可信物理页面的PT E 的高20位,使其指向其它物理页面,这样攻击者就可以使系统将恶意代码当作可信代码执行.(3)攻击者修改一个指向可信物理页面的PT E 的控制位,使其具有对该页面的读写权限.2 2 解决方法Xen 通过内存管理等机制对各虚拟机进行严格隔离.每个虚拟机在创建时都分配有一块属于自己的物理内存.客户操作系统负责管理和分配各自的页表(Page T able,PT),但它对页表只能进行读操作,不能修改页表中的页表项(Page Table Entry ,PTE),具体的修改是由Xen 执行的.Xen 提供了三种PT 修改方式:(1)H ypercall M ode,客户操作系统通过H ypercall(mm u_update)向Xen 发出页表修改请求.(2)Writable Pag e Table Mo de,客户操作系统认为自己的页表项PT Es 是可以进行写操作的.当客户操作系统向各自的PTEs 进行写操作时就会产生一个页错误(page fault,因为页表PTs 只能被读),被Xen 捕获.(3)Shadow Page T able Mo de,在这种模式中,客户操作系统和VMM 层分别存在两组不同的页表PT s,Xen 负责将客户操作系统中PTs 的变化映射到VMM 层中真实的PTs 中.在TV/Xen 系统中,TXen 采用Xen 的内存管理机制.针对TOU TOC 攻击,可以利用T Xen 对可信物理页面实施监控,任何试图对可信页面进行篡改的操作都可以由T Xen 检测出来.具体方法如下:(1)修改客户操作系统内核,使其向T Xen 报告需要被监控的PT Es,以及这些PT Es 所映射到的可信物理页面.为了实现这一功能,我们在Xen 3 0 3源代码中增加了以下几条新的H y percall 调用:H YPERVISOR_pte_m onitor ed,向T Xen 报告一组需要被监控的PTEs.H YPERVISOR_m onitor_ex it,当一个被监控的可信代码退出时,将相应的PT Es 和物理内存页面从监控列表中删除.由do_ex it()函数对其调用.(2)T Xen 对客户操作系统报告给它的PTEs 和物理页面实施监控,检测出任何试图对所监控的PT Es 和物理页面进行修改的操作.我们在实验时所采取的页表升级默认方式是H yper call M ode.在这种方式中,对页表的修改操作都会通过do_mm u_update()函数被Xen 捕获.该函数接收到的参数有需要被修改的PT E 旧值以及替换该旧值的PT E 新值.它会调用update_l1e()函数执行具体的PT E 修改操作,调用时会将PT E 旧值和PT E 新值作为参数传递下去.我们在update_l1e()函数中增加了以下篡改检测功能:对于接收到的PTE 旧值,update_l1e()函数会检查它是否位于监控列表中.如果该PT E 旧值位于监控列表中,说明可能有恶意程序试图修改该PT E 中的地址指针或控制位,即4 1节中的攻击情况2和攻击情况3.对于接收到的PTE 新值,update_l1e()函数会检查它的控制位,看它是否对所指物理页面具有写权限.如果具有,那么就计算它所指向的物理页面的地址,判断该物理页面是否位于监控列表中.如果是,那么就可能会发生攻击情况1.(3)我们增加了一个新的虚拟中断 V IRQ_TAM PER .一旦TXen 检测出对所监控的PTEs 和物98 河北建筑工程学院学报 第28卷理页面进行的修改操作,就通过该中断向Do main -0报告在某一虚拟机中发生了对可信代码的篡改操作.然后Do main -0就会用一个随机数对相应v TPM 实例中的PCR 进行扩展,表示篡改的发生,并通过远程证明机制向远程方报告.3 结束语利用可信计算技术为高安全等级操作系统提供安全服务和支撑,缓解高安全等级操作系统在安全性和可用性之间的矛盾,并进一步保护操作系统内核的安全.为了使T PM 更好地为系统提供服务,结合实际需求,在不影响系统整体性能的条件下,对T PM 功能接口的扩展进行深入研究.将可信计算与虚拟机技术相结合的TCP/VMM 架构既可以利用可信计算技术来保证终端平台和网络的安全,又可以解决可信计算应用过程中所产生的一些问题,利用可信计算技术更好地为高安全等级操作系统提供服务.参 考 文 献[1]董耀祖.解析Xen 虚拟机架构.http://w w w.ossw.co ,2006(10)[2]胡希明,毛德操.L inux 内核源代码情景分析.杭州:浙江大学出版社,2001[3]T al Ga rfinkel,P faff B,Chow J.T err :a Virtual M achine -based Plat form fo r T r usted Co mputing.P roceeding s of the Symposium on Operating Systems Pr inciples.2003[4]R.P.Goldberg.Surv ey o f vir tual machine resea rch.IEEE Co mputer M agazine,7:34-45,1974[5]P.A.K ar ger ,M.E.Zurko.A r etro spective on the V A X V M M secur ity kernel.In IEEE T ransact ions o n softw are Eng -i neering ,1991Design and Application of A Trusted Virtual MachineSystem Based on XenQu J ian ping ,Liu Xu ef en g ,Wan g Weili1 H ebei Iust itute of A rchifecture and Civ il Eng ineer ing;2 Colleg e of Electr onic T echno log y,PL A Informat ion Eng ineering U niversity3 H ebei Fo reig n L anguag es V ocational InstituteAbstract T he Virtual M achine Mo nitor -based T rusted Computing Platfor m(T CP/VM M)ar chitecturecan be used to solve the problems resulted fro m the application of Trusted Co mputing.According to the TCP/VMM architecture,w e realized a system named TV/Xen.This paper resear ches on the key technolo gy upon w hich the im plementation of TV/Xen system depends,and it also introduces how to detect the T OCT OU attack o n TCG integ rity m esurement in TV /Xen sy stem.Key words Tr usted Computing;V ir tual M achine M onitor;vT PM ;T CP/VM M;TV/Xen 99第4期 屈建萍 刘雪峰 王伟丽 基于Xen 的可信虚拟机系统T V/Xen 的研究设计。
VMware虚拟机性能优化⼀、ESX及vCenter服务器的优化检查ESX物理服务器是否在兼容列表中,特别是BIOS的版本是否符合ESX版本的要求开启ESX物理服务器硬件虚拟化技术VT-X,AMD-V关闭BIOS中的英特尔SpeedStep和AMD PowerNow的CPU电源节电管理模式。
节电模式使CPU低频运⾏,降低CPU性能。
避免在服务控制台中运⾏会占⽤过多 CPU 或内存资源的程序限定vCenter数据库⽇志⽂件的⼤⼩或者把数据库⽇志的恢复模式更改为简单。
⼆、虚拟机的优化安装合适版本的Vmware tools,使⽤vCenter或者vsphere client推荐的版本。
在虚拟机中,断开或禁⽤未使⽤的或不必要的物理硬件,例如:com端⼝、LPT端⼝、USB控制器,软盘驱动器、光盘驱动器、⽹络接⼝等虚拟机尽量禁⽤屏保程序和窗⼝动画,在Linux上禁⽤X window图形桌⾯。
虚拟机的备份和防病毒程序运⾏在⾮⾼峰期,并错开计划任务的时间点。
定期做磁盘碎⽚的整理配置NTP服务器。
虚拟机要定期清理快照⽂件。
P2V迁移成功后删除原物理硬件相关的驱动程序,删除影⼦设备。
三、CPU性能优化不要过量分配虚拟CPU,尽量减少虚拟CPU的数量。
虚拟机在多处理器环境下需要处理器的速度⼀样,如果某个CPU速度快了,需要该CPU跑慢点⼉,等待运⾏慢的CPU跟上。
ESXtop命令中%CSTP值较⾼,说明该虚拟机不需要这么多CPU。
将主机上或资源池中其他虚拟机的 CPU 使⽤情况与此虚拟机的 CPU 使⽤情况值进⾏⽐较。
确定虚拟机CPU就绪时间过长是否由其 CPU 使⽤情况时间达到CPU 限制设置所致。
如果出现这种情况,请增加虚拟机上的CPU 限制。
增加 CPU 份额以给予虚拟机更多机会运⾏。
增加分配给虚拟机的内存量。
减少应⽤程序的磁盘和⽹络活动,这可能会降低磁盘 I/O,并减少 ESX主机对虚拟化硬件的需求。
如有必要,请在主机上升级物理 CPU。
云计算中XEN虚拟机安全隔离相关技术综述王雅超;黄泽刚【期刊名称】《信息安全与通信保密》【年(卷),期】2015(000)006【总页数】3页(P85-87)【作者】王雅超;黄泽刚【作者单位】北京林业大学北京密码管理局北京;北京密码管理局北京【正文语种】中文引言将系统进行虚拟化后,一台物理计算机系统虚拟化为多台虚拟计算机系统,每台虚拟机都有自己的硬件(包括CPU、内存、I/O等设备),通过虚拟化层的模拟,虚拟机中的操作系统认为自己独占一个操作系统在运行。
每个虚拟机中的操作系统可以完全不同,其执行环境也是完全独立的。
利用计算虚拟化技术可以实现快速存储和计算性能的无缝扩展,因此虚拟化技术为云计算提供了很好的底层技术平台,是云计算技术的精髓。
但是云计算平台上的云架构提供者必须向客户提供具有安全隔离保证的虚拟机[6],在保证共享资源的前提下,实现虚拟机的安全运行[7]。
从目前的情况来看,提供给使用者的虚拟机必须保证虚拟机与宿主机之间运行指令、存储空间、网络流量和用户访问的隔离。
虚拟化实现技术中,虚拟化层就是业内定义的VMM(虚拟机监视器)。
从VMM提供的虚拟化平台类型可以将虚拟化技术分为完全虚拟化和半虚拟化两大类:安全虚拟化指客户操作系统不需要做任何修改就可以运行;半虚拟化要求操作系统进行修改来适应虚拟化平台。
目前半虚拟化技术基本很少被采用,VMM基本都采用完全虚拟化技术。
完全虚拟化经历了两个阶段:软件辅助的完全虚拟化和硬件辅助的完全虚拟化。
随着虚拟化技术成为云计算的核心技术,日益发展壮大,为了能够取得先机,x86厂商在硬件上加入了对虚拟化的支持,因此目前基本上所有的VMM 都是基于硬件辅助虚拟化实现的完全虚拟化。
本文以Intel的硬件辅助虚拟化技术为例论述底层虚拟化的实现。
XEN诞生于剑桥大学实验室,XEN 是一个基于X86架构、发展最快、性能最稳定、占用资源最少的开源虚拟化技术,Xen可以在一套物理硬件上安全的执行多个虚拟机,与 Linux是一个完美的开源组合,Novell SUSE Linux Enterprise Server最先采用了XEN虚拟技术[2]。
虚拟化技术Xen及其应用[摘要]Xen是一个开放源代码,基于x86 CPU架构的虚拟机监视器(VMM),借助于Xen 可以在单个物理硬件上同时实现多个操作系统的运行。
主要介绍Xen 的特点和结构,实例演示以及应用领域。
[关键词]Xen虚拟机半虚拟全虚拟一、引言随着服务器整合需求不断的升温,虚拟化技术正越来越受到关注。
而伴随着现代计算机不断增强的处理能力,利用虚拟化技术实现多个不同的操作系统在同一台计算机上的高性能运行将带来广阔的发展前景。
利用Xen 可以在一台计算机实现多个操作系统的同时运行,Xen可以广泛应用于服务器整合领域以及软件开发过程中。
二、Xen简介Xen是一个开放源代码,基于x86 CPU架构的虚拟机监视器(VMM),借助于Xen 可以在单个物理硬件上同时实现多个操作系统的运行。
Xen支持x86/32, x86/64平台,其虚拟机的性能能够接近真实硬件环境,同时它实现了不同计算机间的虚拟机的动态迁移,即允许虚拟机操作系统以及其上的应用程序动态地在服务器间互相迁移,实现了服务器负载的均衡,最大限度的做到资源的合理应用。
Xen虚拟机能最大支持32个虚拟CPU(VCPU),并允许虚拟CPU的热插拔。
随着Intel和AMD在其CPU中增加辅助虚拟化技术(Intel VT和AMD-V),Xen已经实现全虚拟,即不用修改虚拟机操作系统即可实现对于系统的虚拟化,增加了Xen的应用范围。
从Xen3.0起Xen同时支持半虚拟(para-virtualization)和基于硬件的全虚拟(full virtualization)。
半虚拟化的Xen虚拟机主要为了实现系统的高性能,它需要通过修改客户操作系统来实现利用Xen提供的平台接口。
和半虚拟相比,全虚拟无须修改客户操作系统,但是它需要为客户操作系统提供一个完全虚拟化的平台。
三、Xen整体结构Xen 可以同时实现管理多个虚拟机客户操作系统的独立运行,通过Xen对各个域(Domain)的合理调度可以实现高效利用CPU资源。
云计算:基于Xen平台下OCFS2的性能研究摘要:虚拟化技术是构建云基础架构关键技术之一,在实际应用环境中,虚拟化技术中大都采用集群文件系统为其提供海量存储能力以支持大量虚拟机并发使用,因此集群文件系统的IO性能直接影响整个云平台的运行效率。
关注了在Xen虚拟化平台下,集群文件系统OCFS2在取得最优性能情况下CPU和内存资源的最优配比。
基于对照实验法,对比在相同的iSCSI存储设备条件下,不同CPU、内存配置对OCFS2运行性能的影响,并对性能测试工具iozone得到的读写性能结果进行分析。
实验结果表明,Xen平台下CPU的处理能力越强,OCFS2的性能读写速率越快;但内存的大小对OCFS2的读写影响不大。
关键词:Xen;Ocfs2;Iozone;存储读写性能;内存;CPU;IO 0引言信息化时代,云计算已经成为一种趋势,云计算的兴起,使得越来越多的企业意识到虚拟化是构建云基础架构不可或缺的关键技术之一。
其中Xen虚拟化是很重要的一个分支,研究在Xen平台下的集群文件系统的性能有着积极的作用。
OCFS2是下一代的ORACLE 集群文件系统,它已经被设计成为一种通用的文件系统,不仅可以存放数据库相关的文件,还可以存放Oracle二进制文件(指Oracle_home 下的软件文件)和配置文件,从而使RAC的管理更加轻松。
在实际应用环境中,虚拟化技术中大都采用集群文件系统为其提供海量存储能力以支持大量虚拟机并发使用,因此集群文件系统的IO性能直接影响整个云平台的运行效率。
本文通过实验的方法关注在Xen虚拟化平台下,集群文件系统OCFS2在取得最优性能情况下CPU和内存资源的最优配比。
1概况1.1实验环境1.2实验测试方案在云平台下,基于虚拟化Xen下使用测试工具iozone分别对物理配置不同的CPU、内存的服务器在iSCSI的OCFS2文件系统的磁盘读写性能进行测试,测试重点主要包括以下2个内容:①配置CPU 对OCFS2读写性能的影响;②配置内存对OCFS2读写性能的影响。
