PAMM:一种面向基于内存共享的域间通信的优化模型

云计算平台和虚拟化技术的结合为虚拟机域间通信带来了新的需求,基于内存共享的域间通信可以提高运行在同一物理机上的虚拟机间的通信效率。但是,基于内存共享的域间过程中产生的上下文状态切换限制了其优化能力。引入一种新的内存共享模型PAMM,即通过添加一个管理模块对内存共享过程中所传递的内存页进行聚合管理,减少申请超级调用的次数,以达到减少状态切换的目的。实验表明,PAMM能够提升基于内存共享的域间通信的通信效率。     

seL4微内核架构的嵌入式虚拟化技术研究

随着嵌入式硬件技术水平的提升以及嵌入式应用的普及,用户对嵌入式系统可以提供的服务能力与质量水平提出了更高的要求.出于对成本和可靠性方面的考虑,开发者希望可以在同一硬件平台上同时运行多个互不影响的执行环境.本文提出了一种基于seL4微内核架构的嵌入式虚拟化技术,以Chcore微内核为基础,充分利用ARM硬件辅助虚拟化支持,设计并实现了基于能力调用机制的嵌入式虚拟机管理器.测试结果表明,该虚拟机管理器在处理器利用率、虚拟机调度、中断异常处理等方面性能良好,可以满足用户的常用应用需求.     

一种基于微内核虚拟化的设备驱动优化模型

为解决日趋复杂的嵌入式系统的效率和可靠性问题,本文比较并分析了现有的设备驱动模型,针对嵌入式设备对虚拟化的特殊要求,参考L4微内核虚拟化技术,提出了一种新的虚拟设备驱动优化模型,不仅实现了微内核架构中多虚拟机间的驱动共享,并且在提供系统可靠性的同时,弥补了虚拟化技术带来的性能开销,提供了一个在效率、功能和可靠性三方面取得相对均衡的虚拟化环境。     

基于自动测试的虚拟机磁盘I/O服务质量评估框架

通过系统虚拟化技术在同一物理主机上的各个虚拟机之间动态地分配物理资源,可以实现物理资源的最大利用率和分配的公平性,达到较高的服务质量.提出了一种基于测试和汇总同一物理主机上各虚拟机之间物理磁盘I/O带宽的分配情况,来评估虚拟机磁盘I/O服务质量的框架.它通过客户端控制各虚拟机执行指定的I/O测试程序,同步收集各虚拟机的虚拟磁盘吞吐量,并加以汇总.实验证明这套框架可以有效地从高效性和公平性两方面评估虚拟化环境中虚拟机磁盘I/O的服务质量.     

基于共享内存的Xen虚拟机间通信的研究

当虚拟机技术应用在服务器整合等领域时,虚拟机之间的通信会非常频繁.虚拟机本身的通信机制将成为瓶颈.目前,在Xen中不同的虚拟机间进行通信时,不仅通信路径长.而且虚拟机间的切换会造成很大的性能开销.在深人研究Xen虚拟机通信机制的基础上,提出了一种基于共享内存的通信方法,用于提高同一台物理机器上不同虚拟机之问通信的性能.实验结果表明,该方法极大地增加了虚拟机之间的通信带宽,并且有效平衡一f各个虚拟机的CPU利用率.     

基于微内核的虚拟机I/O安全机制

NOVA等微内核虚拟化架构解决了宏内核平台可信计算基体积和攻击面过大的问题, 但其仍缺乏虚拟机分等级保护和I/O资源访问控制等安全机制. 本文提出了安全域的概念, 并将虚拟机划分至不同的安全域, 进而建立可定制的I/O资源访问控制机制. 通过将访问控制模块添加至I/O资源访问的关键代码路径, 实现了不同安全域的I/O资源访问控制. 实验表明, 该机制提高了数据的隔离性与安全性, 仅对计算密集型、I/O密集型任务造成了较小的性能损耗.     

基于多核的共生虚拟机通信加速机制XenVMC的优化

在当前的虚拟化平台中,采用共享内存加速位于同一台物理机上的共生虚拟机间的通信是一种被普遍采用的通信加速思路。XenVMC是这些优化方案中的一种,具有效率高、多层透明、支持在线迁移的特点。多核技术的发展为XenVMC提供了进一步的改进空间。基于XenVMC特殊的通信场景,设计了一种多核优化方法,通过设计多核场景下XenVMC的环形共享内存缓冲区,并调度接收方的多个CPU运行,使接收方可以多核并发地接收数据。实验结果表明,使用多核优化后,XenVMC显著地提高了通信事务的吞吐率,并在一定条件下提高了数据的吞吐率。     

XHydra:面向虚拟机Xen的安全增强架构

针对开源虚拟化平台Xen的管理虚拟机Dom0服务臃肿和可信计算基庞大等问题,提出了一种基于Xen的安全虚拟机架构XHydra。该架构采用微内核的设计思想和最小特权安全理论,将Dom0分离成多个功能独立、相互隔离且具有最小特权的迷你服务域,并设计了一个服务监视器进行管理。服务监视器通过构建用户虚拟机与迷你服务域之间设备通信的专用通道,实现用户虚拟机和迷你服务域之间的双向隔离。最后基于Xen4.4开发了XHydra的原型系统,提高了平台的安全性,验证了架构的可行性。同时,针对虚拟化平台的存储性能和网络性能进行基准测试,实验结果表明所提方案性能相对于原始Xen仅降低了3%。     

IaaS环境下虚拟机无代理通信加密机制*

云计算被广泛的用于管理IT基础设施,然而,用户在使用过程中依然面临着不同的安全威胁。针对IaaS(Infrastructure as a Service)环境下虚拟机通信数据在共享网络基础设施中的安全性问题,提出了一种虚拟机无代理通信加密机制。该机制通过加载于虚拟化节点内的加密模块与平台统一加密控制器间的协作,实现了IaaS环境下虚拟机通信无代理按需加密;同时,引入通信加密策略有效性保障机制,保障了虚拟机全生命周期内的通信加密策略有效性。实验结果表明,该机制在引入较小性能开销的前提下,可以有效实现虚拟机通信加密,并保障虚拟机全生命周期内加密策略的有效性。     

KVM虚拟化动态迁移技术的安全防护模型

虚拟机动态迁移技术是在用户不知情的情况下使得虚拟机在不同宿主机之间动态地转移,保证计算任务的完成,具有负载均衡、解除硬件依赖、高效利用资源等优点,但此技术应用过程中会将虚拟机信息和用户信息暴露到网络通信中,其在虚拟化环境下的安全性成为广大用户担心的问题,逐渐成为学术界讨论和研究的热点问题.本文从研究虚拟化机制、虚拟化操作系统源代码出发,以虚拟机动态迁移的安全问题作为突破点,首先分析了虚拟机动态迁移时的内存泄漏安全隐患;其次结合KVM(Kernel-based Virtual Machine)虚拟化技术原理、通信机制、迁移机制,设计并提出一种新的基于混合随机变换编码方式的安全防护模型,该模型在虚拟机动态迁移时的迁出端和迁入端增加数据监控模块和安全模块,保证虚拟机动态迁移时的数据安全;最后通过大量实验,仿真测试了该模型的安全防护能力和对虚拟机运行性能的影响,仿真结果表明,该安全防护模型可以在KVM虚拟化环境下保证虚拟机动态迁移的安全,并实现了虚拟机安全性和动态迁移性能的平衡.     

基于I/O前后端模型的密码卡软件虚拟化

密码技术是云计算安全的基础,支持SR-IOV虚拟化的高性能密码卡适用于云密码机,可以为云计算环境提供虚拟化数据加密保护服务,满足安全需求.针对该类密码卡在云密码机使用过程中存在的兼容性不好、扩充性受限、迁移性差以及性价比低等问题,本文提出了基于I/O前后端模型的密码卡软件虚拟化方法,利用共享内存或者VIRTIO作为通信方式,通过设计密码卡前后端驱动或者服务程序,完成多虚拟机与宿主机的高效通信,实现常规密码卡被多虚拟机共享.该方法可以有效地降低云密码机的硬件门槛,具有兼容性好、性能高、易扩展等特点,在信创领域具有广阔的应用前景.     

Accelerator Virtualization Framework Based on Inter-VM Exitless Communication

The increasing deployment of artificial intelligence has placed unprecedent requirements on the computing power of cloud computing. Cloud service providers have integrated accelerators with massive parallel computing units in the data center. These accelerators need to be combined with existing virtualization platforms to partition the computing resources. The current mainstream accelerator virtualization solution is through the PCI passthrough approach, which however does not support fine-grained resource provisioning. Some manufacturers also start to provide time-sliced multiplexing schemes and use drivers to cooperate with specific hardware to divide resources and time slices to different virtual machines, which unfortunately suffer from poor portability and flexibility. One alternative but promising approach is based on API forwarding, which forwards the virtual machine''s request to the back-end driver for processing through a separate driver model. Yet, the communication due to API forwarding can easily become the performance bottleneck. This paper proposes Wormhole, an accelerator virtualization framework based on the C/S architecture that supports rapid delegated execution across virtual machines. It aims to provide upper-level users with an efficient and transparent way to accelerate the virtualization of accelerators with API forwarding while ensuring strong isolation between multiple users. By leveraging hardware virtualization feature, the framework minimizes performance degradation through exitless inter-VM control flow switch. Experimental results show that Wormhole''s prototype system can achieve up to 5 times performance improvement over the traditional open-source virtualization solution such as GVirtuS in the training test of the classic model.     

Packet aggregation based network I/O virtualization for cloud computing

Virtualization is a key technology to enable cloud computing. Driver domain based model for network virtualization offers isolation and high levels of flexibility. However, it suffers from poor performance and lacks scalability. In this paper, we evaluate networking performance of virtual machines within Xen. The I/O channel transferring packets between the driver domain and the virtual machines is shown to be the bottleneck. To overcome this limitation, we proposed a packet aggregation based mechanism to transfer packets from the driver domain to the virtual machines. Packet aggregation, combined with an efficient core allocation, allows virtual machines throughput to scale up by 700%, while minimizing both memory and CPU consumption. Besides, aggregation impact on packets delay and jitter remains acceptable. Hence, the proposed I/O virtualization model satisfies infrastructure providers to offer Cloud computing services.     

A flexible data schema and system architecture for the virtualization of manufacturing machines (VMM)

Future factories will feature strong integration of physical machines and cyber-enabled software, working seamlessly to improve manufacturing production efficiency. In these digitally enabled and network connected factories, each physical machine on the shop floor can have its ‘virtual twin’ available in cyberspace. This ‘virtual twin’ is populated with data streaming in from the physical machines to represent a near real-time as-is state of the machine in cyberspace. This results in the virtualization of a machine resource to external factory manufacturing systems. This paper describes how streaming data can be stored in a scalable and flexible document schema based database such as MongoDB, a data store that makes up the virtual twin system. We present an architecture, which allows third-party integration of software apps to interface with the virtual manufacturing machines. We evaluate our database schema against query statements and provide examples of how third-party apps can interface with manufacturing machines using the VMM middleware. Finally, we discuss an operating system architecture for VMMs across the manufacturing cyberspace, which necessitates command and control of various virtualized manufacturing machines, opening new possibilities in cyber-physical systems in manufacturing.     

计算系统虚拟化平台的研究及实现

虚拟化技术是高性能计算系统规模化的关键技术。高能所计算资源虚拟实验床采用 OpenStack 云平台搭建环境。本文讨论了实现虚拟计算资源与计算系统相互融合的三个关键因素：网络架构设计、环境匹配和系统总体规划。本文首先讨论了虚拟网络架构。虚拟化平台通过部署 neutron 组件、OVS以及 802.1Q 协议来实现虚拟网络和物理网络的二层直连,通过配置物理交换机实现三层转发,避免了数据经过 OpenStack 网络节点转发的瓶颈。其次,虚拟计算资源要融入计算系统,需要与计算系统的各个组件进行信息的动态同步,以满足域名分配、自动化配置以及监视等系统的需要。文章介绍了自主开发的 NETDB 组件,该组件负责实现包括虚拟机与域名系统 (DNS)、自动化安装和管理系统 (puppet) 以及监视系统的信息动态同步等功能;最后,在系统总体规划中,文章讨论了包括统一认证、共享存储、自动化部署、规模扩展和镜像等内容。     

基于加密以太网卡的链路通信系统

分析链路通信协议和网络驱动程序接口规范(NDIS)结构,提出一种基于加密以太网卡的链路通信系统方案,讨论该方案在NDIS中的设计及实现原理,给出通信协议在微端口驱动程序中的实现方法,并对通信密钥的保护和使用方式进行分析和设计。该链路通信系统加/解密透明、安全性高、运行效率高,适用于构建安全局域网。     

半虚拟化I/O模型的KVM虚拟机域间通信优化方法

提出了一种半虚拟化网络模型来优化虚拟机域间通信的性能,通过共享内存建立通信通道来打破虚拟机之前的隔离屏障,减少在数据传输过程中的拷贝次数.基于内核虚拟机(kernel-based virtual machine,KVM)半虚拟化框架编程接口的实现方法可以简化设备I/O的模拟,减少特权指令模拟所需的根-非根模式的切换,提...