Xen虚拟机间的磁盘I/O性能隔离

针对当前的虚拟化技术无法使各个虚拟机平等地或按特定比例地共享磁盘带宽、无法保证虚拟机间的I/O性能隔离的问题,基于Xen半虚拟化技术中的块IO请求处理过程,提出一种适用于Xen虚拟机间的磁盘I/O性能隔离算法-XIOS(XenI/O Scheduler)算法,在通用块层调度各虚拟机的块IO操作(bio结构),在I/O调度层保障延迟需求.实验结果表明该算法有效地在虚拟机间按比例地分配磁盘带宽.     

XHydra:面向虚拟机Xen的安全增强架构

针对开源虚拟化平台Xen的管理虚拟机Dom0服务臃肿和可信计算基庞大等问题,提出了一种基于Xen的安全虚拟机架构XHydra。该架构采用微内核的设计思想和最小特权安全理论,将Dom0分离成多个功能独立、相互隔离且具有最小特权的迷你服务域,并设计了一个服务监视器进行管理。服务监视器通过构建用户虚拟机与迷你服务域之间设备通信的专用通道,实现用户虚拟机和迷你服务域之间的双向隔离。最后基于Xen4.4开发了XHydra的原型系统,提高了平台的安全性,验证了架构的可行性。同时,针对虚拟化平台的存储性能和网络性能进行基准测试,实验结果表明所提方案性能相对于原始Xen仅降低了3%。     

桌面虚拟化环境下的交互式性能优化

硬件辅助虚拟化的提出,极大地提高了全虚拟化的性能。但是全虚拟化下类似网络教室等桌面虚拟化应用,在交互式性能方面还存在较大局限。交互式性能主要受I/O性能的影响:一方面I/O设备属于慢速设备;另一方面全虚拟化中采用模拟方式来共享设备。对全虚拟化的交互式性能进行了改进,充分利用多核处理器的物理特征来部署配置虚拟机,根据用户行为动态调整虚拟机的使用资源,依据虚拟化特征进行I/O调度的优化。最后,通过评测实验证明了改进方案的有效性。     

虚拟机监视器结构与实现技术*

首先介绍了虚拟机技术的发展历史以及虚拟机监视器所具有的优点和特性,总结了其体系结构和分类,并分析了虚拟机监视器内部逻辑模块;从CPU虚拟化、内存虚拟化、I/O虚拟化和硬件支持四个方面讨论了虚拟机监视器的实现技术;最后基于当前学术界和业界对虚拟机技术的研究情况,阐述了未来虚拟机技术面对的机遇与挑战。     

虚拟机监视器的安全性分析

分析虚拟机监视器的安全性能,结合开源虚拟化软件Xen分析其潜在威胁和漏洞,如超级调用、I/O直接内存传输等。设计并实现一种通过修改Xen VCPU状态信息来破坏虚拟机稳定性的方法,同时给出具体的防范措施,如可以对关键数据结构计算其校验值,及时发现是否被入侵,也可以直接禁止模块的加载,避免一切可能由模块带来的安全性问题。     

虚拟机宿主服务器及其性能收集方法研究

介绍了虚拟化技术的概念和研究范围,接着探讨计算平台虚拟化及高可用等特性,引入虚拟机宿主服务器的概念,指出为了发挥虚拟化技术的特性,对虚拟机宿主服务器进行性能数据收集的必要性,以EsxServer和Xen为性能收集对象,分别探讨性能收集方法.具体方法是针对不同虚拟化产品,相应使用了Linux命令查询解析、虚拟化监视器命令解析及数据管理对象访问.最后以虚拟化产品厂商提供的性能监视数据作为参照,指出了性能收集方法的优劣.     

文件支持的Xen存储虚拟化研究

基于文件的虚拟磁盘存储是虚拟机技术实现的重要一环,为了提高虚拟机磁盘读写效率,着重研究了Xen基于文件的磁盘虚拟化,分析利用异步I/O技术提升虚拟机对虚拟磁盘的读写速度,同时阐述了不同格式的虚拟磁盘文件做为虚拟存储设备的优劣。     

修改客户操作系统优化KVM虚拟机的I/O性能

目前,运行在虚拟机上的客户操作系统(Guest OS)是面向物理机器开发的普通操作系统,其中存在不适应虚拟化环境的因素,影响虚拟机的I/O性能.作者通过测试发现了影响虚拟机I/O性能的一些问题,针对这些问题提出了优化方法:一方面,通过合并客户操作系统中连续的I/O指令,降低虚拟机的时钟中断频率,从而降低环境切换的开销;另一方面,消除客户操作系统中的冗余操作,包括在虚拟化环境下无效的函数、冗余的I/O调度以及虚拟网卡驱动对NAPI的支持,使虚拟机只执行必要的操作,从而提高系统的性能.     

一种动态优先级排序的虚拟机I/O调度算法

I/O任务调度是影响I/O密集型虚拟机性能的重要因素。现有调度方法主要是针对虚拟机整机I/O带宽的优化,较少兼顾各虚拟域与全局性能,也无法满足域间差异化服务的要求。针对现有方法的不足,提出了一种动态优先级排序的虚拟机I/O调度算法DPS。该算法基于多属性决策理论,以离差最大化方法计算I/O任务的优先级评估属性权重,对I/O任务优先级进行综合评估;通过引入任务所在虚拟域价值,体现云计算环境下虚拟域重要性差异。在Xen系统中通过实验评测DPS调度虚拟化网卡的性能,结果表明,DPS能够有效提高指定域与全局的I/O任务截止期保证率、整机I/O带宽,并能为不同虚拟域的I/O应用提供差异化服务。     

基于Intel VT—x的XEN全虚拟化实现

由于X86体系结构对虚拟机支持的先天不足,基于此体系结构的虚拟机需要修改操作系统的源代码,称为泛虚拟化技术.泛虚拟化需要修改操作系统的源代码,故只能支持开源的操作系统,且这种虚拟机的实现也是比较困难的.为了解决这个问题,Intel公司提出了VT-x技术,该技术可以使虚拟机不需要修改操作系统的源代码,也就是所谓的全虚拟化技术,可以支持非开源的操作系统,且虚拟机的实现也比较简单.XEN是业界广泛看好的一款基于X86体系结构开源的虚拟机监视器,XEN 3.0开始实现了基于VT-x的全虚拟化技术,具有优越的性能和良好的体系结构.文中讨论了Intel的VT-x技术,并从CPU虚拟化、内存虚拟化和设备虚拟化三个方面介绍XEN实现全虚拟化的关键技术.     

High performance network virtualization with SR-IOV

Virtualization poses new challenges to I/O performance. The single-root I/O virtualization (SR-IOV) standard allows an I/O device to be shared by multiple Virtual Machines (VMs), without losing performance. We propose a generic virtualization architecture for SR-IOV-capable devices, which can be implemented on multiple Virtual Machine Monitors (VMMs). With the support of our architecture, the SR-IOV-capable device driver is highly portable and agnostic of the underlying VMM. Because the Virtual Function (VF) driver with SR-IOV architecture sticks to hardware and poses a challenge to VM migration, we also propose a dynamic network interface switching (DNIS) scheme to address the migration challenge. Based on our first implementation of the network device driver, we deployed several optimizations to reduce virtualization overhead. Then, we conducted comprehensive experiments to evaluate SR-IOV performance. The results show that SR-IOV can achieve a line rate throughput (9.48 Gbps) and scale network up to 60 VMs, at the cost of only 1.76% additional CPU overhead per VM, without sacrificing throughput and migration.     

基于硬件虚拟化的虚拟机进程代码分页式度量方法

云环境下恶意软件可利用多种手段篡改虚拟机（VM）中关键业务代码,威胁其运行的稳定性。传统的基于主机的度量系统易被绕过或攻击而失效,针对在虚拟机监视器（VMM）层难以获取虚拟机中运行进程完整代码段并对其进行完整性验证的问题,提出基于硬件虚拟化的虚拟机进程代码分页式度量方法。该方法以基于内核的虚拟机（KVM）作为虚拟机监视器,在VMM层捕获虚拟机进程的系统调用作为度量流程的触发点,基于相对地址偏移解决了不同版本虚拟机之间的语义差异,实现了分页式度量方法在VMM层透明地验证虚拟机中运行进程代码段的完整性。实现的原型系统——虚拟机分页式度量系统（VMPMS）能有效度量虚拟机中进程,性能损耗在可接受范围内。     

基于硬件队列扩展的网卡虚拟化方案

多核架构的虚拟平台对偏重于I/O访问的应用普遍存在虚拟化性能开销大的问题。为此,提出一种基于驱动域的网卡虚拟化方案。通过具有独立中断的硬件队列对网卡进行硬件扩展,减少网卡I/O访问中虚拟机监控器的参与,提高访问效率。测试结果表明,在消息长度达到1 024 Byte时,使用虚拟接口的时延仅比非虚拟化环境高10%。     

基于轻量操作系统的虚拟机内省与内存安全监测

针对在传统特权虚拟机中利用虚拟机内省实时监测其他虚拟机内存安全的方法不利于安全模块与系统其他部分的隔离,且会拖慢虚拟平台的整体性能的问题,提出基于轻量操作系统实现虚拟机内省的安全架构,并提出基于内存完整性度量的内存安全监测方案。通过在轻量客户机中实现内存实时检测与度量,减小了安全模块的可攻击面,降低了对虚拟平台整体性能的影响。通过无干涉的内存度量和自定义的虚拟平台授权策略增强了安全模块的隔离性。基于Xen中的小型操作系统Mini-OS实现了虚拟机内省与内存检测系统原型,评估表明该方案比在特权虚拟机中实现的同等功能减少了92%以上的性能损耗,有效提高了虚拟机内省与实时度量的效率。     

协作型虚拟机中设备虚拟化研究

针对当前系统虚拟化中设备模型难以通用、I/O执行效率低等问题,提出一种基于多核平台的设备虚拟化方案。将传统的消息式I/O处理转换成实时I/O处理,通过I/O传递协议消除I/O处理部件与虚拟机监控器(VMM)的紧耦合,在改善I/O处理效率的同时,提高设备虚拟化模型的通用性,结合协作型VMM完成对设备虚拟化的设计与实现。测试结果表明,该方案能提升I/O执行效率,适用于多种虚拟化系统。     

基于监控器时间开销的虚拟机发现方法

针对传统方法只能发现单一类型虚拟机的缺陷,提出基于虚拟机监控器时间开销的虚拟机发现方法。特定指令能使监控器运行时产生显著的额外开销,该方法能利用监控器执行不同指令序列产生的相对时间开销对虚拟机进行判别。实验结果表明,该方法能够准确发现目前3类主流虚拟机。     

一种基于Xen的可信虚拟机系统的构建与应用

基于虚拟机的可信计算平台架构系统可以解决目前可信计算技术在应用过程中所产生的一些问题。该文介绍了一个符合这种架构的具体系统,对系统的构建方法进行了研究和探讨,并利用该系统解决了针对TCG完整性度量的TOCTOU攻击问题。     

面向云计算的虚拟机动态迁移框架

根据云计算平台的特点,提出一种新型虚拟机动态迁移框架,并在Xen和KVM这2种典型的开源虚拟机监控器基础上,实现原型系统。测试结果表明,在不同类型计算资源的环境下,该动态迁移框架具有良好的性能,能够对动态迁移进行实时控制,从而满足服务等级协议的要求。     

Packet aggregation based network I/O virtualization for cloud computing

Virtualization is a key technology to enable cloud computing. Driver domain based model for network virtualization offers isolation and high levels of flexibility. However, it suffers from poor performance and lacks scalability. In this paper, we evaluate networking performance of virtual machines within Xen. The I/O channel transferring packets between the driver domain and the virtual machines is shown to be the bottleneck. To overcome this limitation, we proposed a packet aggregation based mechanism to transfer packets from the driver domain to the virtual machines. Packet aggregation, combined with an efficient core allocation, allows virtual machines throughput to scale up by 700%, while minimizing both memory and CPU consumption. Besides, aggregation impact on packets delay and jitter remains acceptable. Hence, the proposed I/O virtualization model satisfies infrastructure providers to offer Cloud computing services.     

一个基于硬件虚拟化的内核完整性监控方法

对操作系统内核的攻击就是通过篡改关键数据和改变控制流来危及操作系统的安全。已有的一些方法通过保护代码完整性或控制流完整性来抵御这些攻击,但是这往往只关注于某一个方面而没有给出一个完整的监控方法。通过对内核完整性概念的分析,得出了在实际系统中保证内核完整性需要的条件:保障数据完整性,影响系统功能的关键数据对象只能由指定的代码在特定情况下修改;保障控制流完整性,保护和监控影响代码执行序列改变的所有因素。并采用硬件虚拟化的Xen虚拟机监控器实现对Linux内核的保护和监控。实验结果证明,该方法能够阻止外来攻击和本身漏洞对内核的破坏。