虚拟化与KVM
1.什么是KVM?
1.1 .KVM架构
KVM,是Keyboard Video Mouse的缩写,KVM 通过直接连接键盘、视频和鼠标 (KVM) 端口,能够访问和控制计算机。KVM 技术无需目标服务器修改软件。这就意味着可以在BIOS环境下,随时访问目标计算机。KVM 提供真正的主板级别访问,并支持多平台服务器和串行设备。KVM 技术已经从最初的基础SOHO办公型,发展成为企业 IT 基础机房设施管理系统。可以从kvm 客户端管理软件轻松的直接访问位于多个远程位置的服务器和设备。KVM over IP 解决方案具备完善的多地点故障转移功能、符合新服务器管理标准 (IPMI) 的直接界面,以及将本地存储媒体映射至远程位置的功能。
1.2.KVM 是实现拦截虚机的 I/O 请求的原理:
现代 CPU 本身实现了对特殊指令的截获和重定向的硬件支持,甚至新硬件会提供额外的资源来帮助软件实现对关键硬件资源的虚拟化从而提高性能。以 X86 平台为例,支持虚拟化技术的 CPU 带有特别优化过的指令集来控制虚拟化过程。通过这些指令集,KVM 很容易将客户机置于一种受限制的模式下运行,一旦客户机试图访问物理资源,硬件会暂停客户机运行,将控制权交回给 KVM 处理。KVM 还可以利用硬件的虚级化增强机制,将客户机在受限模式下对一些特定资源的访问,完全由硬件重定向到 KVM 指定的虚拟资源,整个过程不需要暂停客户机的运行和 KVM 的参与。由于虚拟化硬件提供全新的架构,支持操作系统直接在上面运行,无需进行二进制转换,减少了相关的性能开销,极大简化了KVM的设计,使得KVM性能更加强大。从 2005 年开始,Intel 在其处理器产品线中推广 Intel Virtualization Technology 即 IntelVT 技术。
1.3.QEMU-KVM:
其实 QEMU 原本不是 KVM 的一部分,它自己就是一个纯软件实现的虚拟化系统,所以其性能低下。但是,QEMU 代码中包含整套的虚拟机实现,包括处理器虚拟化,内存虚拟化,以及 KVM需要使用到的虚拟设备模拟(网卡、显卡、存储控制器和硬盘等)。 为了简化代码,KVM 在 QEMU 的基础上做了修改。VM 运行期间,QEMU 会通过 KVM 模块提供的系统调用进入内核,由 KVM 负责将虚拟机置于处理的特殊模式运行。当虚机进行 I/O 操作时,KVM 会从上次系统调用出口处返回 QEMU,由 QEMU 来负责解析和模拟这些设备。 从 QEMU 角度看,也可以说是 QEMU 使用了 KVM 模块的虚拟化功能,为自己的虚机提供了硬件虚拟化加速。除此以外,虚机的配置和创建、虚机运行所依赖的虚拟设备、虚机运行时的用户环境和交互,以及一些虚机的特定技术比如动态迁移,都是 QEMU 自己实现的
1.4.KVM:
KVM 内核模块在运行时按需加载进入内核空间运行。KVM 本身不执行任何设备模拟,需要 QEMU 通过 /dev/kvm 接口设置一个 GUEST OS 的地址空间,向它提供模拟的 I/O 设备,并将它的视频显示映射回宿主机的显示屏。它是KVM 虚机的核心部分,其主要功能是初始化 CPU 硬件,打开虚拟化模式,然后将虚拟客户机运行在虚拟机模式下,并对虚机的运行提供一定的支持。以在 Intel 上运行为例,KVM 模块被加载的时候,它:
首先初始化内部的数据结构;
做好准备后,KVM 模块检测当前的 CPU,然后打开 CPU 控制及存取 CR4 的虚拟化模式开关,并通过执行 VMXON 指令将宿主操作系统置于虚拟化模式的根模式;
最后,KVM 模块创建特殊设备文件 /dev/kvm 并等待来自用户空间的指令。
接下来的虚机的创建和运行将是 QEMU 和 KVM 相互配合的过程。两者的通信接口主要是一系列针对特殊设备文件 /dev/kvm 的 IOCTL 调用。其中最重要的是创建虚机。它可以理解成KVM 为了某个特定的虚机创建对应的内核数据结构,同时,KVM 返回一个文件句柄来代表所创建的虚机。
针对该句柄的调用可以对虚机做相应地管理,比如创建用户空间虚拟地址和客户机物理地址、真实物理地址之间的映射关系,再比如创建多个 vCPU。KVM 为每一个 vCPU 生成对应的文件句柄,对其相应地 IOCTL 调用,就可以对vCPU进行管理。其中最重要的就是“执行虚拟处理器”。通过它,虚机在 KVM 的支持下,被置于虚拟化模式的非根模式下,开始执行二进制指令。在非根模式下,所有敏感的二进制指令都被CPU捕捉到,CPU 在保存现场之后自动切换到根模式,由 KVM 决定如何处理。
除了 CPU 的虚拟化,内存虚拟化也由 KVM 实现。实际上,内存虚拟化往往是一个虚机实现中最复杂的部分。CPU 中的内存管理单元 MMU 是通过页表的形式将程序运行的虚拟地址转换成实际物理地址。在虚拟机模式下,MMU 的页表则必须在一次查询的时候完成两次地址转换。因为除了将客户机程序的虚拟地址转换了客户机的物理地址外,还要将客户机物理地址转化成真实物理地址。
Linux 上的用户空间、内核空间和虚机:
Guest:客户机系统,包括CPU(vCPU)、内存、驱动(Console、网卡、I/O 设备驱动等),被 KVM 置于一种受限制的 CPU 模式下运行。
KVM:运行在内核空间,提供 CPU 和内存的虚级化,以及客户机的 I/O 拦截。Guest 的 I/O 被 KVM 拦截后,交给 QEMU 处理。
QEMU:修改过的被 KVM 虚机使用的 QEMU 代码,运行在用户空间,提供硬件 I/O 虚拟化,通过 IOCTL /dev/kvm 设备和 KVM 交互。
2.KVM 的功能列表
KVM 所支持的功能包括:
- 支持 CPU 和 memory 超分(Overcommit)
- 支持半虚拟化 I/O (virtio)
- 支持热插拔 (cpu,块设备、网络设备等)
- 支持对称多处理(Symmetric Multi-Processing,缩写为 SMP )
- 支持实时迁移(Live Migration)
- 支持 PCI 设备直接分配和 单根 I/O 虚拟化 (SR-IOV)
- 支持 内核同页合并 (KSM )
- 支持 NUMA (Non-Uniform Memory Access,非一致存储访问结构
3. KVM 工具集合
libvirt:操作和管理KVM虚机的虚拟化 API,使用 C 语言编写,可以由 Python,Ruby, Perl, PHP, Java 等语言调用。可以操作包括 KVM,vmware,XEN,Hyper-v, LXC 等在内的多种 Hypervisor。
Virsh:基于 libvirt 的 命令行工具 (CLI)
Virt-Manager:基于 libvirt 的 GUI 工具
virt-v2v:虚机格式迁移工具
virt-* 工具:包括 Virt-install (创建KVM虚机的命令行工具), Virt-viewer (连接到虚机屏幕的工具),Virt-clone(虚机克隆工具),virt-top 等
sVirt:安全工具
4. RedHat Linux KVM 安装
RedHat 有两款产品提供 KVM 虚拟化:
Red Hat Enterprise Linux:适用于小的环境,提供数目较少的KVM虚机。最新的版本包括 6.5 和 7.0.
Red Hat Enterprise Virtualization (RHEV):提供企业规模的KVM虚拟化环境,包括更简单的管理、HA,性能优化和其它高级功能。最新的版本是 3.0.
RedHat Linux KVM:
KVM 由 libvirt API 和基于该 API的一组工具进行管理和控制
KVM 支持系统资源超分,包括内存和CPU的超分。RedHat Linux 最多支持物理 CPU 内核总数的10倍数目的虚拟CPU,但是不支持在一个虚机上分配超过物理CPU内核总数的虚拟CPU。
支持 KSM (Kenerl Same-page Merging 内核同页合并)
5.KVM安装
环境:centos 7.9 2核4G
外网:10.0.0.125
内网: 176.16.1.125
5.1.关闭防火墙与selinux
[root@xbs ~]# systemctl stop firewalld
[root@xbs ~]# systemctl disable firewalld
[root@xbs ~]# setenforce 0
[root@xbs ~]# sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config
5.2.安装依赖
[root@xbs ~]# yum -y install epel-release vim wget net-tools unzip zip gcc gcc-c++
5.3.配置环境、修改网站访问并发量
###在末尾添加
[root@xbs ~]# vim /etc/security/limits.conf
* soft nofile 65535
* hard nofile 65535
[root@xbs ~]# cat /etc/security/limits.conf |grep -w '*' | grep -v '^#'
* soft nofile 65535
* hard nofile 65535
###在末尾添加
[root@xbs ~]# vim /etc/pam.d/login
session required /lib/security/pam_limits.so
###在末尾添加
[root@xbs ~]# vim /etc/profile
ulimit -n 65535
###生效
[root@xbs ~]# source /etc/profile
[root@xbs ~]# ulimit -n
65535
###星号代表全局, soft为软件,hard为硬件,nofile为这里指可打开文件数。
5.4.验证CPU是否支持KVM
如果结果中有vmx(Intel)或svm(AMD)字样,就说明CPU的支持的
关闭虚拟机设置(shutdown -h now)
如果开启虚拟化后启动失败。请参考:TP
[root@xbs ~]# egrep -o 'vmx|svm' /proc/cpuinfo
vmx
vmx
5.5.kvm安装
[root@xbs ~]# yum -y install qemu-kvm qemu-kvm-tools qemu-img virt-manager libvirt libvirt-python libvirt-client virt-install virt-viewer bridge-utils libguestfs-tools
5.6.启动服务,验证安装结果
#启动libvirtd服务
[root@xbs ~]# systemctl enable libvirtd --now
[root@xbs ~]# systemctl status libvirtd
#检查也没有kvm模块
[root@xbs ~]# lsmod|grep kvm
kvm_intel 188644 0
kvm 621480 1 kvm_intel
irqbypass 13503 1 kvm
#查看当前系统里面有没有
[root@xbs ~]# virsh -c qemu:///system list
Id Name State
----------------------------------------------------
[root@xbs ~]# ln -s /usr/libexec/qemu-kvm /usr/bin/qemu-kvm
[root@xbs ~]# ll /usr/bin/qemu-kvm
lrwxrwxrwx 1 root root 21 May 5 11:16 /usr/bin/qemu-kvm -> /usr/libexec/qemu-kvm
5.7 上传镜像
5.8创建虚拟磁盘
# 创建qcow2磁盘
[root@xbs ~]# qemu-img create -f raw /opt/CentOS-7-x86_64.raw 10G
[root@xbs ~]# qemu-img create -f qcow2 /opt/CentOS-7-x86_64.qcow2 10G
# 转换磁盘格式
[root@xbs ~]# qemu-img convert -c -f raw -O qcow2 /opt/CentOS-7-x86_64.raw /opt/CentOS-7-x86_64.qcow2
# 创建虚拟磁盘:
-f指定格式
路径:/opt/CentOS-7-x86_64.raw 大小为10G
格式:1.raw 创建多大占用多大磁盘空间
2.qcow2 占用磁盘大小根据使用量来决定
5.9创建虚拟机
Virt-install 重要命令介绍:
virt-install –help
-n(Name): 指定虚拟机的名称
–memory(–raw): 指定内存大小
–cpu: 指定 cpu 的核数(默认为 1)
–cdrom: 指定镜像
–disk: 指定磁盘路径(即上文创建的虚拟磁盘)
–virt-type: 指定虚拟机类型(kvm,qemu,xen)
–network: 指定网络类型
#替换/opt/iso/CentOS-7-x86_64-DVD-1810.iso为自己镜像路径即可
[root@xbs opt]# virt-install \
--virt-type kvm \
--name CentOS-7-x86_64 \
--ram 1024 \
--cdrom=/opt/iso/CentOS-7-x86_64-DVD-1810.iso \
--disk path=/opt/CentOS-7-x86_64.raw \
--disk /opt/CentOS-7-x86_64.qcow2 \
--network network=default \
--graphics vnc,listen=0.0.0.0 \
--noautoconsole
注解:
虚拟机类型:kvm
虚拟机名字:CentOS-7-x86_64
虚拟机内存:1024M
虚拟机镜像路径:/opt/iso/CentOS-7-x86_64-DVD-1810.iso
虚拟机磁盘格式:raw
虚拟机磁盘格式:qcow2
虚拟机网络类型:默认
指定控制台:VNC
指定不自动试图连接到客户机控制台
#查看安装
[root@xbs ~]# virsh list
Id Name State
----------------------------------------------------
1 CentOS-7-x86_64 running
6.使用 VNC 连接 kvm
6.1下载VNC
安装:
#默认安装路径
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RealVNC
6.2 配置VNC
#快捷创建
ctrl+n
后续就是正常安装虚拟机即可
6.3 虚拟机基本操作
生成kvm虚拟机: virt-install
查看再运行的虚拟机: virsh list
查看kvm虚拟机配置文件: virsh dumpxml name
启动kvm虚拟机: virsh start name
正常关机: virsh shutdown name
非正常关机: virsh destroy name
删除: virsh undefine name (彻底删除,无法找回,除非备份xml文件)
根据配置文件定义虚拟机: virsh define file-name.xml
挂起,终止: virsh suspend name
回复挂起状态: virsh resumed name
#重启虚拟机
virsh start CentOS-7-x86_64
至此,KVM部署虚拟机完成
7.修改网络连接为桥接模式
当执行ping命令的时候,会发现ping不通外网,那是因为这个IP是我们自己定义的,而不是通过NAT分配IP,从而实现ping通外网;所有,我们只能修改为桥接模式,从而达成ping通外网的目的
#添加网桥br0
[root@xbs opt]# brctl addbr br0
#桥接br0和eth0
[root@xbs opt]# brctl addif br0 eth0
注:此时会断网如果是远程操作服务器不在身边,建议写成脚本来执行
#删除eth0的IP
[root@xbs opt]# ip addr del dev eth0 10.0.0.125/24
#给br0设置IP
[root@xbs opt]# ifconfig br0 10.0.0.125/24 up
#给br0设置网关
[root@xbs opt]# route add default gw 10.0.0.2
脚本如下
#注意修改ip
vim test.sh
#!/bin/bash
brctl addbr br0
brctl addif br0 eth0
ip addr del dev eth0 10.0.0.125/24
ifconfig br0 10.0.0.125/24 up
route add default gw 10.0.0.2
修改虚拟机配置
[root@xbs ~]# virsh edit CentOS-7-x86_64
将:
<interface type='network'>
<mac address='52:54:00:6f:fd:f9'/>
<source network='default'/>
修改为:
<interface type='bridge'>
<mac address='52:54:00:6f:fd:f9'/>
<source bridge='br0'/>
#关闭虚拟机
[root@xbs ~]# virsh shutdown CentOS-7-x86_64
#启动虚拟机
[root@xbs ~]# virsh start CentOS-7-x86_64
可以连上了