High performance network virtualization with SR-IOV

Virtualization poses new challenges to I/O performance. The single-root I/O virtualization (SR-IOV) standard allows an I/O device to be shared by multiple Virtual Machines (VMs), without losing performance. We propose a generic virtualization architecture for SR-IOV-capable devices, which can be implemented on multiple Virtual Machine Monitors (VMMs). With the support of our architecture, the SR-IOV-capable device driver is highly portable and agnostic of the underlying VMM. Because the Virtual Function (VF) driver with SR-IOV architecture sticks to hardware and poses a challenge to VM migration, we also propose a dynamic network interface switching (DNIS) scheme to address the migration challenge. Based on our first implementation of the network device driver, we deployed several optimizations to reduce virtualization overhead. Then, we conducted comprehensive experiments to evaluate SR-IOV performance. The results show that SR-IOV can achieve a line rate throughput (9.48 Gbps) and scale network up to 60 VMs, at the cost of only 1.76% additional CPU overhead per VM, without sacrificing throughput and migration.     

KVM虚拟化动态迁移技术的安全防护模型

虚拟机动态迁移技术是在用户不知情的情况下使得虚拟机在不同宿主机之间动态地转移,保证计算任务的完成,具有负载均衡、解除硬件依赖、高效利用资源等优点,但此技术应用过程中会将虚拟机信息和用户信息暴露到网络通信中,其在虚拟化环境下的安全性成为广大用户担心的问题,逐渐成为学术界讨论和研究的热点问题.本文从研究虚拟化机制、虚拟化操作系统源代码出发,以虚拟机动态迁移的安全问题作为突破点,首先分析了虚拟机动态迁移时的内存泄漏安全隐患;其次结合KVM(Kernel-based Virtual Machine)虚拟化技术原理、通信机制、迁移机制,设计并提出一种新的基于混合随机变换编码方式的安全防护模型,该模型在虚拟机动态迁移时的迁出端和迁入端增加数据监控模块和安全模块,保证虚拟机动态迁移时的数据安全;最后通过大量实验,仿真测试了该模型的安全防护能力和对虚拟机运行性能的影响,仿真结果表明,该安全防护模型可以在KVM虚拟化环境下保证虚拟机动态迁移的安全,并实现了虚拟机安全性和动态迁移性能的平衡.     

基于KVM的远程声卡显卡虚拟化技术

针对家庭多媒体环境下的设备共享问题, 提出了一种基于KVM虚拟机的远程设备虚拟化技术方案. 该方案利用了KVM虚拟机的设备模拟技术, 在其设备模拟模块QEMU中实现远程设备虚拟化, 使得本地用户能够像使用本地的设备一样使用远程的真实物理设备. 接着描述了远程虚拟声卡和显卡的具体实现以及相应的优化措施, 并且利用远程虚拟显卡实现了屏幕扩展功能,最后通过实验进行性能分析. 本方案优点在于仅需要在用户态的虚拟设备层添加所需要的远程设备的虚拟化, 方便灵活且系统的安全性高同时不需要修改客户操作系统.     

农机监控调度系统的设计与实现

针对目前农机作业中信息发布滞后、农机资源调度不合理、效率低下等问题,提出一种基于地理信息系统(GIS)、通用分组无线业务(GPRS)及全球定位系统(GPS)技术的农机监控调度系统,运用GPRS数据传输技术和GIS组件MapObjects,实现农机作业信息的即时采集与监控调度。为满足实时计算的需要,采用A-Star寻路算法规划农机的调度路径。应用结果表明,该系统能有效管理和调度农机,提高作业效率。     

基于轻量级虚拟机的透明计算系统

基于虚拟机的透明计算系统MMNC-VX实现了未经修改的操作系统在透明计算环境中可按需加载,但其性能与同配置PC相比有较大差距。针对该问题,提出一种基于轻量级虚拟机的透明计算系统,仅虚拟网络设备,减少了由全虚拟化带来的开销,利用设备模型将用户操作系统的存储I/O请求重定向到服务器上处理,实现透明计算。经测试,原型系统性能与同配置PC基本相当,与MMNC-VX相比有较大提高。     

基于硬件虚拟化的虚拟机文件完整性监控

为保护虚拟机敏感文件的完整性,针对外部监控中基于指令监控方式性能消耗大、兼容性低和灵活性差等缺点,提出一种基于硬件虚拟化的文件完整性监控（OFM）系统。该系统以基于内核的虚拟机（KVM）作为虚拟机监视器,可动态实时地配置敏感文件访问监控策略;OFM可修改虚拟机系统调用表项以透明拦截文件操作相关系统调用,以监控策略为依据判定虚拟机进程操作文件的合法性,并对非法进程进行处理。在虚拟机中采用性能测试软件Unixbench进行仿真,其中OFM在文件监控方面优于基于指令的监控方式,且不影响虚拟机其他类型系统调用。实验结果表明,OFM可以有效地监控虚拟机文件的完整性,具有更好的兼容性、灵活性和更低的性能损耗。     

Architectural virtualization extensions: A systems perspective

Owing to the increase in demand for virtualization in recent years, both Intel and AMD have added virtualization extensions to the Intel 64 architecture. These architectural extensions provide hardware support aimed at improving the performance of system virtual machines (VM). Although extensive studies on various aspects of system VMs, in particular Xen but also KVM, have been reported in the literature, there has been no work specifically focused on Intel’s virtualization extensions. The survey presented here is a comprehensive study of the Intel 64 architecture’s architectural virtualization extensions and their use in system virtual machines, as exemplified by KVM. We describe a novel evaluation environment used in this study. Using this environment, we show and explain the correlation between architectural limitations of the hardware extensions and the performance of virtualization. The present review also describes the implementation and performance of a Virtio block device.     

KVM虚拟化技术中处理器隔离的实现

KVM是基于Intel VT技术并结合QEMU来提供设备虚拟化的虚拟机。通过分析和研究KVM虚拟机的创建、运行机制,从进程控制的角度对KVM虚拟机进行隔离,实现了KVM虚拟机在创建、运行时都保持在指定的核上运行,达到最大化利用处理器资源的目的。     

基于硬件队列扩展的网卡虚拟化方案

多核架构的虚拟平台对偏重于I/O访问的应用普遍存在虚拟化性能开销大的问题。为此,提出一种基于驱动域的网卡虚拟化方案。通过具有独立中断的硬件队列对网卡进行硬件扩展,减少网卡I/O访问中虚拟机监控器的参与,提高访问效率。测试结果表明,在消息长度达到1 024 Byte时,使用虚拟接口的时延仅比非虚拟化环境高10%。     

Kernel-based virtual machine事件跟踪机制的设计与实现

分析了基于处理器硬件虚拟化技术实现的KVM子系统的架构.针对KVM跟踪独立事件信息的局限性,提出一种新的KVM事件跟踪机制(kvmtrnee)来达到性能调节的目的,并使用relayfs接口进行了设计与实现.同时探讨了Linux kernel Markers实现机制及其在kvmtraee的实际应用.     

基于硬件虚拟化的虚拟机进程代码分页式度量方法

云环境下恶意软件可利用多种手段篡改虚拟机（VM）中关键业务代码,威胁其运行的稳定性。传统的基于主机的度量系统易被绕过或攻击而失效,针对在虚拟机监视器（VMM）层难以获取虚拟机中运行进程完整代码段并对其进行完整性验证的问题,提出基于硬件虚拟化的虚拟机进程代码分页式度量方法。该方法以基于内核的虚拟机（KVM）作为虚拟机监视器,在VMM层捕获虚拟机进程的系统调用作为度量流程的触发点,基于相对地址偏移解决了不同版本虚拟机之间的语义差异,实现了分页式度量方法在VMM层透明地验证虚拟机中运行进程代码段的完整性。实现的原型系统——虚拟机分页式度量系统（VMPMS）能有效度量虚拟机中进程,性能损耗在可接受范围内。     

半虚拟化I/O模型的KVM虚拟机域间通信优化方法

提出了一种半虚拟化网络模型来优化虚拟机域间通信的性能,通过共享内存建立通信通道来打破虚拟机之前的隔离屏障,减少在数据传输过程中的拷贝次数.基于内核虚拟机(kernel-based virtual machine,KVM)半虚拟化框架编程接口的实现方法可以简化设备I/O的模拟,减少特权指令模拟所需的根-非根模式的切换,提...     

移动平台Android操作系统虚拟化技术的实现

虚拟化技术的研究正逐渐从服务器端转向移动智能设备领域。现有的虚拟化架构需要在物理硬件层和虚拟系统间进行大量的指令翻译,开销大,效率低。针对这一问题,提出了一种轻量级的移动操作系统虚拟化架构。通过在Linux内核命名空间机制的基础上扩展Driver命名空间框架,实现了多个虚拟Android系统的同时运行。此外,针对多个虚拟系统同时访问一套硬件设备发生冲突的问题,设计了通用的active-inactive模型来保证虚拟系统间对硬件设备的隔离复用。实验结果表明,虚拟后的Android系统在CPU使用率上并没有增加额外的开销,在内存使用量上减少了6.7%,此虚拟化架构具有很好的通用性与实用性。     

Enabling OpenCL support for GPGPU in Kernel‐based Virtual Machine

The importance of heterogeneous multicore programming is increasing, and Open Computing Language (OpenCL) is an open industrial standard for parallel programming that provides a uniform programming model for programmers to write efficient, portable code for heterogeneous computing devices. However, OpenCL is not supported in the system virtualization environments that are often used to improve resource utilization. In this paper, we propose an OpenCL virtualization framework based on Kernel‐based Virtual Machine with API remoting to enable multiplexing of multiple guest virtual machines (guest VMs) over the underlying OpenCL resources. The framework comprises three major components: (i) an OpenCL library implementation in guest VMs for packing/unpacking OpenCL requests/responses; (ii) a virtual device, called virtio‐CL, that is responsible for the communication between guest VMs and the hypervisor (also called the VM monitor); and (iii) a thread, called CL thread, that is used for the OpenCL API invocation. Although the overhead of the proposed virtualization framework is directly affected by the amount of data to be transferred between the OpenCL host and devices because of the primitive nature of API remoting, experiments demonstrated that our virtualization framework has a small virtualization overhead (mean of 6.8%) for six common device‐intensive OpenCL programs and performs well when the number of guest VMs involved in the system increases. These results indirectly infer that the framework allows for effective resource utilization of OpenCL devices.Copyright © 2012 John Wiley & Sons, Ltd.     

基于虚拟化的系统安全增强及显卡透传研究

针对个人终端操作系统安全问题,提出一种基于系统虚拟化技术的操作系统安全增强模型,研究提高该模型下KVM虚拟机显示性能的显卡透传技术。实验结果表明,显卡透传技术能够克服虚拟机客户操作系统的显示性能缺陷,使得客户机操作系统能够像真实操作系统一样满足图形显示与处理的应用,适用于终端安全领域。     

实现多个KVM虚拟机通信的串口转发器方法

在一个平台上利用KVM虚拟机可以运行多个操作系统,有效地利用硬件资源。串口是一个独享设备,如何让多个虚拟机都能够使用串口设备,文中提出了一种串口转发器的设计和实现方法。该方法实现了通过一个串口设备连接、调试多个虚拟机的功能。该方法利用管道通信和输入/输出重定向机制使得多个KVM虚拟机可通过一个物理串口进行通信,每个KVM虚拟机通信时都能独享这个串口设备,实际应用表明这种方法使用方便、通信性能可靠。未来在高性能服务器上将更多地使用KVM虚拟机运行多个操作系统,使用该串口转发器可方便地解决调试多个虚拟机系统的问题。     

轻量级虚拟机软件技术——LVMM

为提高PC系统的可管理性和安全性,提出一种轻量级虚拟机软件技术——LVMM。定义活跃用户域,可直接访问除磁盘和网络之外的物理设备,以及虚拟磁盘和虚拟网络设备。保证在保持PC使用模式基本不变的前提下,可在同一平台上同时运行多个用户虚拟系统,且支持独立于用户操作系统的资源访问控制。经测试,LVMM原型系统具有较小的整体虚拟化开销。     

网卡虚拟化综述

近年来,越来越多的应用或微服务部署到云端.虚拟网络是云端部署运行的基本保障.为了构建面向虚拟机和容器等虚拟实例的虚拟网络,网卡虚拟化在物理网卡的基础上,构建虚拟网卡和虚拟网桥等设备,并对各虚拟设备进行配置和管理.本文从虚拟网卡和虚拟网桥出发,调研了网卡虚拟化中目前流行的虚拟技术,并将这些技术进行了分类和比较,最后就网卡虚拟化的现状及未来进行了总结和展望.     

普适计算环境下的虚拟机技术研究

普适计算环境中资源和服务利用率较低,传统应用程序在该环境下无法兼容。为此,提出一种适用于普适计算环境的虚拟机技术。使用设备请求代理屏蔽复杂的普适计算网络环境,对上层应用提供统一硬件平台,支持多个普适计算应用同时运行。实验结果表明,该虚拟化技术能兼容传统应用,提高普适计算资源和服务的利用率。     

Hypervisor中内存回收技术的改进

虚拟化是云计算的关键技术. Hypervisor在虚拟机与主机硬件之间提供了一个抽象层,允许用户为运行着的虚拟机分配的内存总值超过主机的可用内存,这种技术称为内存过量分配. 为了能够降低这个技术对虚拟机性能的影响,hypervisor必须提供高效率的内存回收机制. 在本论文中,作者提出了一种解决方案：使用非易失性内存作为hypervisor交换页面数据的缓存设备. 作者从系统内存中划分出空间模拟了非易失性内存设备,修改了KVM模块中的算法,并制定了五种测试环境. 通过实验数据证明,相比现有的Ballooning技术与Hypervisor swapping技术,使用非易失性内存并配合低优先级队列算法时,虚拟机性能可提高30%和50%左右.