深信服aBOS一体机技术白皮书
SANGFOR_AD_技术白皮书
深信服应用交付产品技术白皮书深信服科技有限公司2013年版权声明深圳市深信服电子科技有限公司版权所有,并保留对本文档及本声明的最终解释权和修改权。
本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明外,其着作权或其它相关权利均属于深圳市深信服电子科技有限公司。
未经深圳市深信服电子科技有限公司书面同意,任何人不得以任何方式或形式对本文档内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其全部或部分用于商业用途。
免责条款本文档仅用于为最终用户提供信息,其内容如有更改,恕不另行通知。
深圳市深信服电子科技有限公司在编写本文档的时候已尽最大努力保证其内容准确可靠,但深圳市深信服电子科技有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。
信息反馈如果您有任何宝贵意见,请反馈:信箱:广东省深圳市学苑大道1001号南山智园A1栋邮编:518055电话:9传真:9您也可以访问深信服科技网站:获得最新技术和产品信息缩写和约定英文缩写英文全称中文解释ACL Access Control List 访问控制列表ADC Application Delivery Controller 应用交付设备BRAS Broadband Remote Access Server 宽带接入服务器DNAT Destination NAT 目的地址NATDNS Domain Name Service 域名服务DR Direct Route 直达路由FTP File Transfer Protocol 文件传输协议HA High Availability 高可用性HTTP Hypertext Transfer Protocol 超文本传输协议ICMP Internet Control Message Protocol 因特网控制报文协议ISP Internet Service Provider Internet服务提供商MAC Media Access Control 介质访问控制NAT Network Address Translation 网络地址转换OSPF Open Shortest Path First 开放最短路径优先RADIUS Remote Authentication Dial In User Service 远程用户拨号认证系统RIP Routing Information Protocol 路由信息协议RTT Round Trip Time 往返时间STP Spanning Tree Protocol 生成树协议SNAT Source NAT 源地址NATSNMP Simple Network Management Protocol 简单网络管理协议SOA Service Oriented Architecture 面向服务架构SSL Secure Socket Layer 安全套接层TCP Transmission Control Protocol 传输控制协议UDP User Datagram Protocol 用户数据报协议URI Uniform Resource Identifier 统一资源标识符URL Uniform Resource Locator 统一资源定位符VLAN Virtual Local Area Network 虚拟局域网目录第1章应用交付,后负载均衡时代的选择........................ 错误!未定义书签。
深信服防火墙NGAF方案白皮书
深信服下一代防火墙NGAF方案白皮书目录一、企业级网络安全建设需要什么 (4)1.传统割裂的各种安全产品? (4)2.“雇佣兵”式的安全服务? (5)3.企业级的网络安全到底需要什么? (5)二、深信服下一代防火墙的定位 (6)1.适用于国内环境的下一代防火墙 (6)2.我们不仅交付产品,还为您持续输送安全能力 (7)三、深信服下一代防火墙为企业安全赋能 (7)1.看懂安全现状和风险 (7)1.1业务安全状况可视 (7)1.2威胁危害效果可视 (8)1.3安全事件实时通报 (9)2.持续对抗新型威胁 (10)2.1产品快速迭代应对已知威胁 (10)2.2完整的APT攻击检测链 (11)2.3云检测平台应对未知威胁 (12)3.简化安全运营 (13)3.1任务化的风险管理 (13)3.2全网安全统一管控 (14)3.3威胁情报预警与处置 (15)3.4风险评估与策略联动 (15)3.5智能联动封锁机制 (16)四、高效稳定的底层架构设计 (16)1.分离平面设计 (16)2.多核并行处理 (17)3.单次解析架构 (17)4.跳跃式扫描技术 (18)5.Sangfor Regex正则引擎 (18)6.产品性能评测报告 (19)五、深信服下一代防火墙品牌优势 (19)1.市场引领者 (19)2.专业权威的认可 (20)3.专业安全攻防团队 (21)4.产品可靠稳定 (21)六、典型场景和案例 (22)典型应用场景 (22)典型应用案例 (23)七、部分客户列表 (25)近年来,越来越多的网络安全事件告诉我们,安全风险比以往更加难以察觉。
随着网络安全形势逐渐恶化,网络攻击愈加频繁,用户对自己的网络安全建设是否合规、完善并没有把握。
该如何加强安全建设?安全建设的核心问题是什么?采用何种安全防护手段更为合适?安全建设该如何体现价值?这些问题已成为困扰用户安全建设的关键问题。
一、企业级网络安全建设需要什么传统组合方案问题多1.传统割裂的各种安全产品?传统产品组合方案缺陷一:不同的安全设备看到的是不同的攻击类型,信息是割裂的,难以对安全日志进行统一分析;安全设备在有攻击时才能发现问题,在没有攻击的情况下,就无法看到业务漏洞,但这并不代表业务漏洞不存在;即使发现了攻击,也无法判断业务系统是否真正存在安全漏洞,还是无法指导用户进行安全建设。
深信服SD-WAN产品介绍
多种业务场景匹配SD-WAN方案
解决方案
适用场景
关键业务价值
保障核心业务体 验
提高业务连续性
降低线路成本 易部署易运维
安全加固
多WAN选路和优 多条或计划扩展多条
化
(MPLS+专线+VPN+4G)
✔
云网融合
业务上云,单线路或者 双线路VPN入云
跨境云组网
跨境采用单条专线或者 VPN
✔
连锁分支组网
单线路MPLS或者VPN, 可能存在扩容多条
WOC
广域网优化
主机安全 资产识别、漏洞扫描、防入侵、 恶意代码防护
业务安全 身份认证与权限控制、web漏洞 识别、应用层攻击防范
数据安全 审计合规、特权管控、DLP、访 问可视
aBOS
分支一体机
平台可视化呈现,看的懂安全,快速处置威胁
外部威胁情报
全网安全感知平台
广域网安全威胁
行为分析、机器学习 UEBA、专家辅助
数据中心
灾备数据中心
公有云
SaaS
专线 WAN
互联网 WAN
远程分支
远程分支
远程分支
业务痛点:
1. 分支路由器要分别接入多个公有云、物理数据 中心,传统路由器无法同时建立多条VPN隧道到 云和数据中心,且故障无法快速切换影响业务 稳定性;VPN管理、设备运维工作极其复杂。
2. 分支快速扩张要求分支易部署,然而传统分支 部署周期长。
深信服SD-WAN产品介绍
地市一组 BU 王彦翔
1 业务转型下的企业组网挑战 2 业务转型下WAN最佳实践思路 3 深信服SD-WAN解决方案 4 深信服SD-WAN核心优势和
应用场景
深信服防火墙NGAF方案白皮书
深信服下一代防火墙NGAF方案白皮书目录一、企业级网络安全建设需要什么 (4)1.传统割裂的各种安全产品? (4)2.“雇佣兵”式的安全服务? (5)3.企业级的网络安全到底需要什么? (5)二、深信服下一代防火墙的定位 (6)1.适用于国内环境的下一代防火墙 (6)2.我们不仅交付产品,还为您持续输送安全能力 (7)三、深信服下一代防火墙为企业安全赋能 (7)1.看懂安全现状和风险 (7)1.1业务安全状况可视 (7)1.2威胁危害效果可视 (8)1.3安全事件实时通报 (9)2.持续对抗新型威胁 (10)2.1产品快速迭代应对已知威胁 (10)2.2完整的APT攻击检测链 (11)2.3云检测平台应对未知威胁 (12)3.简化安全运营 (13)3.1任务化的风险管理 (13)3.2全网安全统一管控 (14)3.3威胁情报预警与处置 (15)3.4风险评估与策略联动 (15)3.5智能联动封锁机制 (16)四、高效稳定的底层架构设计 (16)1.分离平面设计 (16)2.多核并行处理 (17)3.单次解析架构 (17)4.跳跃式扫描技术 (18)5.Sangfor Regex正则引擎 (18)6.产品性能评测报告 (19)五、深信服下一代防火墙品牌优势 (19)1.市场引领者 (19)2.专业权威的认可 (20)3.专业安全攻防团队 (21)4.产品可靠稳定 (21)六、典型场景和案例 (22)典型应用场景 (22)典型应用案例 (23)七、部分客户列表 (25)近年来,越来越多的网络安全事件告诉我们,安全风险比以往更加难以察觉。
随着网络安全形势逐渐恶化,网络攻击愈加频繁,用户对自己的网络安全建设是否合规、完善并没有把握。
该如何加强安全建设?安全建设的核心问题是什么?采用何种安全防护手段更为合适?安全建设该如何体现价值?这些问题已成为困扰用户安全建设的关键问题。
一、企业级网络安全建设需要什么传统组合方案问题多1.传统割裂的各种安全产品?传统产品组合方案缺陷一:不同的安全设备看到的是不同的攻击类型,信息是割裂的,难以对安全日志进行统一分析;安全设备在有攻击时才能发现问题,在没有攻击的情况下,就无法看到业务漏洞,但这并不代表业务漏洞不存在;即使发现了攻击,也无法判断业务系统是否真正存在安全漏洞,还是无法指导用户进行安全建设。
深信服EMM技术白皮书-沙箱
1.1.EMM客户端aWork的使用员工通过个人域中的EMM客户端aWork访问工作域,是一种轻量级的沙箱机制,不需要Android系统、iOS系统的高权限。
EMM客户端aWork的使用流程如下:1.2.EMM沙箱客户端技术概述非安全应用通过自动方式集成封装组件,成为安全应用。
安全区应用间共享同一个安全剪切板,共享同一个虚拟外置存储,安全应用间可以正在的互相访问;但是个人区的的非安全应用禁止访问安全区应用的数据。
封装安全组件包括以下几个功能模块,安全剪切板、安全分享模块、安全文件系统等,通过应用封装隔离组件后,封装的应用数据会与个人应用分离,安全应用间会共享安全数据,同时个人应用禁止访问安全应用。
1.3.沙箱文件系统文件系统隔离将个人区与安全区的应用数据进行隔离存储,对企业的数据进行安全加密重定向处理,达到安全区应用与非安全区应用无法互相访问的安全效果,具体包括对企业应用数据进路径重定向、存储路径加密、存储数据加密;通过封装隔离组件后,封装应用间会共享同一个虚拟的文件系统,与外部应用隔离同时安全应用间可以互相共享。
文件系统隔离主要包括两大功能:文件隔离和文件内容加密。
通过隔离功能将文件路径重定向到安全沙箱目录,方便对安全数据进行管理;通过加密功能对文件数据进行加密,保证数据是加密存储,即使文件泄露也不会导致数据泄露。
文件隔离的工作流程如下所示:1.拦截到OS系统的文件操作,判断访问的文件是否为重定向安全区数据;2.如果不是访问安全工作区数据,直接返回系统调用,否则修改访问路径重定向到安全数据区;3.对访问到的数据进行加解密操作,完成后调用原系统调用。
1.4.分享和打开隔离应用进行分享隔离主要包括如下场景:1.安全应用向个人应用主动分享;2.个人应用向安全应用进行分享;3.安全应用向安全应用进行分享。
分享和打开隔离主要限制安全应用主动分享给非安全应用、非安全应用主动拉起安全应用分享。
在某些客户场景下,处于便利性考虑,可以通过放开非安全应用到安全应用的文件分享,如在个人App中的有用的工作文件希望传递到工作域中的OA App中,提升工作效率。
深信服-全融合时代的云IT新架构
简单 稳定 安全 易用
应用层
分支
分支
分支
分支
企业级IT的云化
不仅仅包括数据中心
数据层
基础架构层
数据中心云化
分支机构IT云化
终端云化
深信服云IT全力打造 企业级三朵云解决方案
企业云
分支云
桌面云
企业云 数据中心云化最佳路径
深信服企业云方案
超融合构建的企业级云
云管平台
aCloud
云基础架构
管理
安全稳定 运维便捷 敏捷交付
超融合一体机
传统云基础架构
网络交换
企业级云基础架构
交换机
深信服企业云 基础架构更加简单
...
安全 服务器 存储交换 外置存储
替换
超融合 一体机
超融合 一体机
...
超融合 一体机
仅需x86服务器和交换机 借助于超融合技术构建企业级云基础架构
按需购买
深信服企业云 基础架构扩展更便捷
媲美PC操作体验的
广域网办公
双重优化
10M带宽支持30用户 操作体验与PC一致
桌面云独特价值及关键技术实现
1
流畅
● 零总线外设映射
● SRAP视频重定向
● SSD缓存加速
2
稳定
● 关键节点HA设计
● 多副本存储机制
● 全自动化故障切换
3
安全
● 多重身份认证
● 端到端防护体系
● 虚拟化杀毒方案
4
高效
风险扫描
aFw分布式防火墙
aSwitch分布式虚拟交换机
漏洞监测 Web安全防护 入侵防御
网络层安全
平台层安全
合规一体机产品技术白皮书
1.引言随着云计算的普及,大量分散数据集中到私有云和公有云内,这些数据中包含的巨大信息和潜在价值也吸引了更多的攻击者,根据国家计算机网络应急技术处理协调中心(简称CNCERT/CC)报告,网络安全事件依然持续不断爆发,而针对安全防护的需求也将与日俱增。
传统单纯依靠部署硬件安全设备的方式,部署周期长,使用不便利,配置复杂,已经无法满足云计算、虚拟化等复杂环境下安全的需求。
用户希望能够构建一套使用便利,可集中管理,且符合最新等保2.0要求的合规一体机产品。
2.产品介绍2.1.产品概述合规一体机产品是一个架构先进、适用范围广的统一安全管理产品,能广泛兼容多种客户环境,为客户搭建安全服务能力供给平台,实现安全服务的可运营、可持续产出。
平台提供的整体安全能力覆盖了南北向安全、东西向安全、主机安全、漏洞管理、web应用层面等完整的安全防护体系和多种审计手段,能够为各种公有云、行业云、私有云构建一套真正属于云时代的安全防护框架。
本文档为您介绍合规一体机产品,以及其所用到的关键技术。
2.2.产品架构合规一体机产品提供了一个统一的安全管理平台。
平台内集成了丰富的安全组件,包括智慧防火墙、IPS、VPN、WAF、堡垒机、数据库审计、日志审计、主机安全等安全产品组件,从网络、主机、应用等多个层面保障客户的业务安全。
合规一体机产品的架构如下图所示:合规一体机产品架构图主要组成及其功能:●安全管理平台:核心管理平台,负责本地安全组件的生命周期管理、授权激活、日志收集、安全策略。
安全管理平台提供对客户的自助门户和系统管理门户,根据不同的登录角色进行区分。
●基础合规套餐:合规一体机产品内提供的安全功能和安全防护实例包括:智慧防火墙、IPS、VPN、主机安全、数据库审计、日志审计、堡垒机产品组件,由合规一体机产品的安全管理平台进行统一管理。
●增强合规套餐:合规一体机产品内提供的安全功能和安全防护实例包括:智慧防火墙、IPS、VPN、web应用防火墙、主机安全、漏洞扫描、数据库审计、日志审计、堡垒机产品安全组件,由合规一体机产品的安全管理平台进行统一管理。
深信服公司介绍16:9客户版
打造简单、稳定、安全、易用的云IT新架构 致力于让每个企业的IT更具价值创造力
深信服云IT业务图谱
企业云
• aCloud云平台 • HCI超融合平台 • HCI超融合一体机 • AD应用交付
分支云
• BBC集中管理平台 • aBOS分支一体机
桌面云
• 桌面云一体机 • aDesk云终端
深信服
让IT更简单 更安全 更有价值
发展迅速
让IT更简单,更安全,更有价值!
企业无线到企业物联网
让工作更高效 让管理变简单
为企业提供一站式云服务
中国企业级安全领导者
多款安全产品市场占有率第一
专注做实用的安全, 让每个组织的安全建设更有效、更简单
深信服智安全业务图谱
成长最快心功能 封堵/流控/审计
SSL加密网页 内容识别
动态流控、 P2P智能流控
40G高性能平台
有线无线统一管控、 微信认证
以上网行为管理为例
完善的服务支撑体系
200坐席CTI
深圳、长沙、吉隆坡
56个城市
设立备品备件中心 设有原厂工程师
5686名认证工程师
100余名资深行业专家 组成的专业团队
• 2016年新增专利申请122件,总数达506件 • “下一代应用防火墙系统及防御方法 ”
获得“中国优秀专利奖”
面向用户的创新机制
百万创新大奖
创新大师论坛 每月 研发例行拜访客户
鼓励 创新
每年收集有效需求 超过万条需求 迅速转化为产品新版本
国家地方联合工程实验室 博士后创新实践基地
持续创新
• 2016年迭代62个新版本 • 新增产品 : aBOS 安全资源池 安全感知平台
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
深信服 aBos 一体机技术白皮书缩写和约定英文缩写英文全称中文解释Hypervisor Hypervisor虚拟机管理器(和 VMM 同义)VMM VMM Virtual Machine Manager虚拟机监视器HA HighAvailability高可用性vMotion vMotion实时迁移DRS Distributed Resource Scheduler分布式资源调度RAID Redundant Arrays ofIndependent Disks磁盘阵列IOPS Input/Output Operations PerSecond每秒读写(I/O)操作的次数VM Virtual Machine虚拟机SDN Software Defined Network软件定义网络NFV Network FunctionVirtualization网络功能虚拟化目录1 前言 (2)1.1 边缘IT 时代变革 (2)1.2 白皮书总览 (2)2 深信服aBos 一体机架构技术 (4)2.1 aBos 超融合架构概述 (4)2.1.1 aBos 超融合架构的定义 (4)2.2 深信服aBos 超融合架构组成模块 (4)2.2.1 系统总体架构 (4)2.3 aSV 计算虚拟化 (4)2.3.1 计算虚拟化概述 (4)2.3.2 aSV 技术原理 (5)2.3.3 深信服aSV 的技术特性 (14)2.3.4 aSV 的特色技术 (17)2.4 aNet 网络设备虚拟化 (18)2.4.1 网络设备虚拟化概述 (18)2.4.2 aNET 网络虚拟化技术原理 (19)2.4.3 aNet 功能特性 (22)2.4.4 深信服aNet 的特色技术 (28)2.5 aSAN 存储虚拟化 (29)2.5.1 存储虚拟化概述 (29)2.5.2 aSAN 技术原理 (29)2.5.3 aSAN 存储数据可靠性保障 (38)2.5.4 深信服aSAN 功能特性 (38)3 深信服aBos 一体机核心价值 (40)3.1 高稳定性 (40)3.2 简化分支机构IT (40)3.3 简化运维、集中管理 (40)3.4 灵活部署、扩展性好 (40)4 超融合架构最佳实践 (41)1 前言1.1 边缘 IT 时代变革随着在物联网的构建过程中传感器的大量使用,企业客户及员工使用的移动设备和云服务的大量增加,企业边缘的概念也正在被重新定义。
对于一个企业来说,它的新的边缘包括了下属办事机构、商店、机场、商场、公共图书馆、运动场以及其它公共空间。
任何可能有顾客的地方都在迅速成为企业的边缘。
不仅是企业边缘的概念在变化,与此同时,在这些地点的顾客参与行为也在发生本质性的变化。
近年来,随着主机托管、代管和云服务被越来越多地采用,IT 基础架构也呈现出融合化和集中化的趋势。
而对企业边缘的重新定义则将在某种程度上扭转这一趋势,因为计算、存储和网络这三大功能都被推向了新的企业边缘,以解决那些具有较高处理要求和带宽要求的工作负载。
未来,微型数据中心将有望重新崛起,但届时它将不会采取目前的这种形式了。
企业边缘的变化还将促进 IT 与非IT 架构/设备的持续创新和整合。
服务供应商将其 IT 资产部署在客户和合作伙伴所在的地理位置上这一举措的逐渐增长的可能性,将给双方的 IT 团队都带来一系列的新挑战。
我们现在正处于一场几十年未见的分支机构边缘数据中心革命性转变中,究其核心,这一转变是由“软件”基础设施的崛起而驱动。
虚拟网络设备、虚拟机、存储设备能够以高速自动化的方式分配与重新配置,不会受到分支非动态设置的硬件基础设施的限制,在“软件定义广域网”的模型下,用户首先考虑的是分支应用,根据应用的模式便可灵活的调配其所需的 IT 基础架构资源,也就是通过软件化的方式实现分支硬件资源调配。
深信服 aBos 一体机是软件定义分支 IT 基础架构一套非常成熟的解决方案,是建立一个各个软件组件间相对独立、松耦合的软件系统,极大提高分支整个 IT 基础架构系统的可靠性和可扩展性。
除满足上面所述的边缘 IT 架构虚拟化,标准化和自动化诉求外,秉承深信服公司产品的优秀基因,向您提供简单易用,安全可靠,易交付的产品。
1.2 白皮书总览本书介绍的内容大致如下:第一章、在前言部分,给您对企业边缘 IT 变革,软件定义广域网有一个概括性的认识,并对本文档的阅读给出指导。
第二章、讲述 aBos 一体机各个功能模块的技术细节。
第三章、介绍深信服 aBos 一体机涵盖的技术。
第三章、向您介绍深信服 aBos 一体机中的技术在为客户带来的核心价值。
第四章、分享 aBos 一体机在客户中的实际应用场景,并给出深信服超融合架构产品的体验途径,非常欢迎您来试用。
2 深信服 aBos 一体机架构技术2.1 aBos 一体机架构概述2.1.1 aBos 一体机架构的定义深信服 aBos 一体机解决方案,是一种将网络设备、计算、存储等资源作为基本组成元素,通过一体机的方式承载中小型或者分支机构的 IT 网络建设技术。
满足多种类型的小型机构业务办公需求,提供具备业务上线速度快、分支安全性考虑全面、业务发展扩展性高、集中管理的一站式分支机构解决方案,实现分支机构“ZERO IT”。
2.2 深信服 aBos 一体机架构组成模块2.2.1 系统总体架构深信服 aBos 一体机架构图深信服的aBos 一体机解决方案软件架构主要包含三大组件(网络设备虚拟化、服务器虚拟化、存储虚拟化)、一个 WEB 控制平台(虚拟化管理平台 VMP)、总部集中管理(BBC 管理中心)。
硬件架构上,可以通过一体机的方式实现开机即用,一体机服务器实现基础架构的承载后续章节,会针对 aBos 超融合架构中的三大功能模块:计算虚拟化(aSV)、网络设备虚拟化(aNET)、存储虚拟化(aSAN)所涵盖的产品技术来做详细说明。
2.3 aSV 计算虚拟化2.3.1 计算虚拟化概述计算资源虚拟化技术是将通用的x86 服务器经过虚拟化软件,对最终用户呈现标准的虚拟机。
这些虚拟机就像同一个厂家生产的系列化的产品一样,具备系列化的硬件配置,使用相同的驱动程序。
虚拟机的定义:虚拟机 (Virtual Machine) 是由虚拟化层提供的高效、独立的虚拟计算机系统,每台虚拟机都是一个完整的系统,它具有处理器、内存、网络设备、存储设备和 BIOS,因此操作系统和应用程序在虚拟机中的运行方式与它们在物理服务器上的运行方式没有什么区别。
虚拟机与物理服务器相比:虚拟机不是由真实的电子元件组成,而是由一组虚拟组件(文件)组成,这些虚拟组件与物理服务器的硬件配置无关,关键与物理服务器相比,虚拟机具有以下优势:抽象解耦1.可在任何 X86 架构的服务器上运行;2.上层应用操作系统不需修改即可运行;分区隔离1.可与其他虚拟机同时运行;2.实现数据处理、网络连接和数据存储的安全隔离;封装移动1.可封装于文件之中,通过简单的文件复制实现快速部署、备份及还原;2.可便捷地将整个系统(包括虚拟硬件、操作系统和配置好的应用程序)在不同的物理服务器之间进行迁移,甚至可以在虚拟机正在运行的情况下进行迁移;深信服的 aBos 一体机解决方案中的计算虚拟化采用 aSV 虚拟化系统,通过将服务器资源虚拟化为多台虚拟机。
最终用户可以在这些虚拟机上安装各种软件,挂载磁盘,调整配置,调整网络,就像普通的 x86 服务器一样使用它。
2.3.2 aSV 技术原理2.3.2.1Hypervisor 架构Hypervisor 是一种运行在物理服务器和操作系统之间的中间软件层,可允许多个操作系统和应用共享一套基础物理硬件,因此也可以看作是虚拟环境中的“元”操作系统,它可以协调访问服务器上的所有物理设备和虚拟机,也叫虚拟机监视器(Virtual Machine Monitor)。
Hypervisor 是所有虚拟化技术的核心。
非中断地支持多工作负载迁移的能力是Hypervisor 的基本功能。
当服务器启动并执行 Hypervisor 时,它会给每一台虚拟机分配适量的内存、CPU、网络和磁盘,并加载所有虚拟机的客户操作系统。
虚拟化技术架构Hypervisor,常见的 Hypervisor 分两类:Type-I(裸金属型)指 VMM 直接运作在裸机上,使用和管理底层的硬件资源,GuestOS 对真实硬件资源的访问都要通过VMM 来完成,作为底层硬件的直接操作者,VMM 拥有硬件的驱动程序。
裸金属虚拟化中 Hypervisor 直接管理调用硬件资源,不需要底层操作系统,也可以理解为 Hypervisor 被做成了一个很薄的操作系统。
这种方案的性能处于主机虚拟化与操作系统虚拟化之间。
代表是VMware ESX Server、Citrix XenServer 和 Microsoft Hyper-V,Linux KVM 。
Type-II 型(宿主型)指 VMM 之下还有一层宿主操作系统,由于Guest OS 对硬件的访问必须经过宿主操作系统,因而带来了额外的性能开销,但可充分利用宿主操作系统提供的设备驱动和底层服务来进行内存管理、进程调度和资源管理等。
主机虚拟化中VM 的应用程序调用硬件资源时需要经过:VM 内核->Hypervisor->主机内核,导致性能是三种虚拟化技术中最差的。
主机虚拟化技术代表是VMware Server (GSX )、 Workstation 和Microsoft Virtual PC、Virtual Server 等。
由于主机型 Hypervisor 的效率问题,深信服的 aSV 采用了裸机型 Hypervisor 中的Linux KVM 虚拟化,即为 Type-I(裸金属型)。
KVM(Kenerl-based Virtual Machine) 是基于 linux 内核虚拟化技术,自linux2.6.20 之后就集成在linux 的各个主要发行版本中。
它使用 linux 自身的调度器进行管理,所以相对于 xen,其核心源码很少。
KVM 是基于硬件虚拟化扩展(Intel VT-X )和QEMU 的修改版,KVM 属于Linux kernel 的一个模块,可以用命令 modprobe 去加载 KVM 模块。
加载了该模块后,才能进一步通过工具创建虚拟机。
但是仅有KVM 模块是不够的。
因为用户无法直接控制内核去做事情,还必须有一个运行在用户空间的工具才行。
这个用户空间的工具,我们选择了已经成型的开源虚拟化软件QEMU,QEMU 也是一个虚拟化软件,它的特点是可虚拟不同的 CPU,比如说在 x86 的 CPU 上可虚拟一个 power 的 CPU,并可利用它编译出可运行在power 上的CPU,并可利用它编译出可运行在 power 上的程序。