（信号与信息处理专业论文）forces架构下虚拟服务的研究和实现.pdf

f o 酊e s 架构下虚拟服务的研究和实现摘要1虚拟化是支持新型互联网体系的有效手段，f o 疋e s 的控制平面与转发平面分离思想为路由器的虚拟化提供了实现基础。本文主要研究在f o 妃e s 架构中如何实现虚拟服务，其内容包括：根据f o 圮e s体系结构对虚拟服务实现作整体架构的设计；研究f o 圮e s 虚拟服务系统中虚拟环境的实现，以及在该虚拟服务器如何构造各类服务；在c e 端重点研究与虚拟服务相关的服务映射层；在f e 端主要研究如何通过c l i c k 路由器来实现具体的服务功能。在对以上虚拟系统相关内容研究的基础上，本文利用p c 环境构建了一套f o 圮e s 架构下虚拟服务应用的原型系统，在c e 和f e 端利用o p e n v z 虚拟化软件创建虚拟服务器，并在虚拟环境中分别实现i p s e c 、i p v 4 、i p v 6 三类虚拟服务。在c e 端分析了确定各服务映射层的需求，并进行了实现。在f e 端利用c l i c k 模块化路由器，通过配置其中的模块属性实现了i p s e c 、i p v 4 、i p v 6 三类虚拟服务的具体功能。最后，对本文实现的基于f o 疋e s 结构虚拟服务进行了测试。结果表明本文提出的体系架构能有效的实现路由的服务虚拟化。关键词：f o 疋e s ；虚拟技术；虚拟服务器；服务映射层；c l i c k 。1 资助项目：国家高技术研究发展计划( 8 6 3 计划) 项目( 2 0 0 7 从0 1 2 2 0 1 ) ；国家自然科学基金( 6 0 6 0 3 0 7 2 ) ；浙江省基金( z 1 0 6 8 2 9 )ii 之e s e a r c ha n di m p l e t m e n to ft h ev i i 汀u a ls e r v i c ea p p l i c a t l 0 nb a s e do nt h ef o r c e sf r a m 匣w o r ka b s t r a c tm l a l i z a t i o ni s 锄e 船c t i v em e 锄o fs u p p o n i n gm en e wi n t e m e ta r c h i t e c t u r er c s e 鲫c h t h ef o 疋e si d e ao fc o n t r o le l e m e n ta 1 1 df o r w 删i n ge l e m e n ts e p a r a t i o np r o d eab a s i s 南rr o u t e rv i r t i l a l i z a t i o n n l i sm 鹤i sf o c u so nt l l er c s e a r c ho fv i l t i 】脚s 豇v i c e 印p l i 训o ni m p l e i l l e n tb 弱eo nm ef o r c e s 仔锄e w o r k m ec o n 劬t si i l d u d e ：d e s i 印t l l ew h o l es 仃u 曲玳：o fv i m 脚s e 州c e 印p l i c a t i o na o c o r d i n gt ot h ef o r c e s哦i l i t e 曲l ；s t u d yt l l e 讥m l a l 明访r o n m e n to ff o 疋e s m l a ls e r v i c es y s t e m ，觚d印p l yt l l es e i c c si 1 1 廿1 i s n u a le 1 1 啊r o n n l e i l t ；i n 1 ec e - s i d e ，e x p l o r e l cs e i c em 印p i n gl a y e rr e l a t et 0c o r r e s p o n d i n gv i n l j a ls e r v i c e ；i i lt h ef e s i d e ，a 出e 、，et l l es p e c i f i cs e i c c 胁c t i o nu s i n gt l l ec l i c km o d u l er o u t b 鹤eo nt 1 1 em l d i e so f 也ev i n i l a ls y s t e mr e l a t e dc o n t e i 】峪a b o v e ，m i sm e s i sb u i l tav i i t i l a ls e r v i c e 印p l i c a t i o n 锄洳t e m l r eu i l d e rm ef o 正e sm 吼e w o r ki np c u t i l i z et 1 1 eo p e i l v zv i r h t u a l i z a t i o ns o 脚a r ew l l i c hf i tt o0 ws y s t 锄t oc r e a t ev i r n j a lp r i v a t es e r v e r s ( v p s ) ，柚dr e 枷z en l e l i 优k i n do fv i r t u a ls e f v i c e ，i p s e c ，i p v 4 锄di p v 6 ，i ne a c hv p s h lm ec ee 1 1 d ，a n a l y s i sa n dd e t e n n i i l et h e 嘲u i r e m e n t so fe v e 巧s e r v i c em a p p i n gl a y r e a l i z et h ed a t a b a s er e q u i r e db ye a c hs e i c e i i lm ef ee n d ，c o n 丘g u r em ee l e l i l e i l t so fc 1 i c kr o m e rt oa c h i e v et h e 胁c t i o n so fi p s e c ，i p v 4a i l di p v 6s e i c e f i i l a l l y ，t e s tt 1 1 ei m p l e m e n to fv i n l l a ls e r y i c ea p p l i c a t i o nb a l s e do nt h ef o 圮e s触m e w o r ki nt h i st h e s i s 1 1 1 er e s u l t ss h o wm a tt l l ep r o p o s e do ff o r c e s n u a ls e i c es y s t e mi nm i s l e s i s ，i sc o r r e c ta n de f | f e c t k e y w o r d s ：f o r c e s ；v i 竹u a l i z a t i o nt e c l l i l i q u e ；n u a l i z a t i o np r i v a t es e i c e ；s e i c em a p p i n gl a y e r ；c 1 i c k h1 绪论随着计算机科学研究的发展及市场需求的变化，虚拟化技术所带来的节约成本、增强安全性等优势逐渐得到重视。随着硬件技术的不断发展，为虚拟化的实现提供了越来越大的空间，在服务器合并、计算数据保护、网络安全、高性能计算和可信等领域有大量的应用 1 】。虚拟化已成为计算机技术中最具发展潜力的领域之一。1 1 课题背景f o r c e s 的控制平面与转发平面分离的思想为路由器的虚拟化提供了实现基础。虚拟化不但可作为支持新型互联网体系结构研究的有效手段，而且可作为下一代互联网体系结构的基本属性【2 】【3 】。1 1 1f o 以e s 技术f o 圮e s 是i e t f 路由领域( r o u t i n g a r e a ) 的一个工作组，专门研究开放可编程的路由器体系结构和协议问题，是当前开放可编程网络研究最受关注的研究组织之一。它的基本思想是把路由器分成转发件( f o 刑a r d i n ge l e m e i l t s ，f e ) 和控制件( c o n 们le l e m e i l t s ，c e ) ，并认为其可由c e 、多个( 可达几百个) f e 以及连接它们的f o 疋e s 协议【4 】构成。将转发件与控制件分离需要定义一个结构化的框架以及相关的协议，使一个f o 疋e s 网络单元( n e t 、) l ，o r ke l 锄e n t ，n e ) 内部的控制平面( c o n 仃d lp l a l l e ) 和转发平面( f o 刑砌i n gp l a i l e ) 之间的信息交换标准化，从而使c e 与f e 成为在物理上分离的标准组件。这种在物理上分离网络设备组件，并使用统一的标准和规范来指导产品的开发与运营的做法，充分发挥了开放网络的优势，使得各个组件按照相应的功能划分，各自独立发展，互不干涉，在一定程度上加速了这些组件的开发与发展。另一方面，各组件间相应的标准协议接口，又能迅速地把这些组件有机地组合成为一个整体，实现与普通组件组成的系统完全相同或更多的功能。迄今为止，i e t ff o 疋e s 工作组已经完成了f o 酊e s 需求【5 】( f o 佗e sr e i q u i r e i i l e l l t s ，r f c 3 6 5 4 ) 、f o 伦e s 框架【6 】( f o 圮e sf r 锄e w o r k ，r f c 3 7 4 6 ) ，当前的工作重点是f o 妃e s 协议和f o 圮e sf e 模型 7 】。自从i e t ff o 疋e s 工作组成立以来，本课题研究组的部分成员和其他来自i n t e l ，n o k i a ，i b m 和z n y ) 【等公司的代表一起通过邮件和参加i e t f 国际会议等形式相互交流和讨论，并作为主要作者参与了f o 疋e s 协议规范( f o 以e sp r o t o c o ls p e c m c a t i o n ) 的设计与编写工作。1 1 2 虚拟技术上世纪6 0 年代开始，美国的计算机学术界就开始了虚拟技术的萌芽。1 9 5 9年克里斯托弗( c h r i s t o p h e rs 仃a l c h e y ) 发表了篇学术报告，名为大型高速计算机中的时间共享( t i m es h a r i n gi nl 鹕ef 雒tc o m p u t e f s ) ，他在文中提出了虚拟化的基本概念【8 】，这篇文章也被认为是虚拟化技术的最早论述。随着网络发展，网络规模也随之增大，这必然会出现庞大的系统开销。而虚拟技术的出现正好解决了这一问题。随着x 8 6 平台上虚拟化技术的实现，首次向人们展示了虚拟化应用的广阔前景，因为x 8 6 平台可以提供便宜的、高性能和高可靠的服务器 9 】。更重要的是，一些用户已经开始配置虚拟化的生产环境，他们需要得到新的管理工具，从而随着虚拟化技术的发展而得到更大的收益。作为主要的联网设备，路由器的研究对未来互联网技术和电信网技术的发展和应用都具有极其重要的意义。虚拟路由器( t ，m i a li b u t e r ) 是对物理路由器在软硬件上的模拟。每个虚拟路由器都有自己独立的路由转发表。不同虚拟路由器之间在软件上相互隔离 1 0 】。在一台主机上实现多个虚拟路由器，既节省了空间和资源，又带来了方便。通过虚拟路由器，大的通信突发数据流只会对本路由器产生影响，而不会影响到其它的路由器，从而为终端用户能够得到稳定的网络性能提供了保障。此外，虚拟路由器同时还提供独立的策略和i e t f d s ( i n t e n l e te n 百n e 嘶n g1 b kf o r c ed i 儆训a t e ds e 州c e ) 能力，使虚拟路由器可以为终端用户提供完全的客户化服务。通过给虚拟路由器的i o 端口进行配置，可以对接收的分组进行计数，这样就能够保证数据量不会超越预先确定的协议；同时虚拟路由器还可以根据数据分组的服务等级不同，将其数据分组分配到不同的队列中，以实现不同的服务质量。2近期研究表明，虚拟化不但对新型互联网体系结构的研究、试验和部署具有重要的意义，对网络单元( 如路由器) 的虚拟化也可提高其故障冗余，持续提供网络服务的能力 1 l 】。f o r c e s 作为一种新型网络架构，其控制与转发分离的思想为路由器实现虚拟化提供了实现条件 1 2 。而虚拟化技术将控制平面的控制管理与转发平面的转发与交换进行有效的分离，通过对底层的抽象屏蔽物理网络实现细节。因此，在f o 庀e s 系统中实现虚拟技术的应用有利于控制与转发件的分离，也可以获得更好的故障冗余和管理控制能力。1 2 国内外研究现状目前国内外对f o 庀e s 技术和虚拟化技术都作了许多的研究。本小节详细讲述了f o 妃e s 的研究现状和虚拟化技术的研究现状。1 2 1f o 妃e s 研究现状对于f o r c e s 研究现状分为工作组现状和实现现状来分别描述。1 2 1 1f o r c e s 工作组现状f o 疋e s 工作组在2 0 0 3 年和2 0 0 4 年分别完成f o 疋e s 的需求文档 4 】( i 江c3 6 5 4 ) 和框架文档 5 】( r f c 3 7 4 6 ) 以后，一直专注于f o 妃e s 协议、f em o d d 、l f b 定义库、f o 庀e st m l 、f o 疋e sm i b 等文件的制定。其中核心的f o 疋e s 协议设计由来自i i l t e l 、i b m 、n o k i a 、z y n x 、e t 和浙江工商大学的7 名研究人员在2 0 0 4 年组成并提交了草案。f o r c e sf e 模型草案 7 】由h l t e l 等人员在2 0 0 3 年首先提出。浙江工商大学与国家数字程控交换工程技术研究中心( n d s c ) 在2 0 0 7年联合提交了一个f 们e sl f bl i b 的草案 6 】，华为公司提交了用于v p n 的f o 心e sf el f bl i b 的草案 1 3 】，i b m 提交了f o 圮e sm i b 草案 1 4 】，浙江工商大学与z y l l ) 【人员2 0 0 5 年联合提交了f o r c e st m l 草案【1 5 】。由于仍然存在许多急需解决的问题，上述草案目前都还没有成为最终的r f c 标准。论文作者所在的课题组从2 0 0 2 年开始进行f o 妃e s 相关的研究工作，是i e t ff o 疋e s 工作组的核心力量之一，是国内第一个深入研究f o 伦e s 协议的小组。课题组研究的多项技术已经被i e t f 接受，成为f o r c e s 工作组在研的多个草案( 包括f o 疋e s 控制协议、f o 疋e s 传输协议、l f b 定义库文件) 的核心作者。气1 2 1 2f o r c e s 实现方面的研究虽然目前相关的f o r c e s 标准还在进一步的制定中，但根据互联网设备技术研究紧跟标准的特点，国内外已有多家研究机构基于f o 佗e s 开始进行网络件实现的研究。国外对f o 虻e s 实现的研究主要有：1 、i b m 的r 0 b e nh a a s 等人正在进行f l e x i n e t 项目【1 5 ，该项目采用f o 庀e s 结构设计分布式的路由器，目标是实现对服务的动态加载、监视和卸载。该项目的转发器是基于网络处理器，而控制端采用j a v a 作为编程语言，提供了w 曲服务，通过浏览器可以对路由器进行灵活控制。2 、s u n 公司的n e o n 项目研究了开放架构网络件的体系结构和具体实现，其在基本体系架构上遵循控制面和数据面分离以及f o 疋e s 协议接口，在f e 模型架构内使用私有规范以实现集成网络服务的处理工作 1 6 】。3 、a t & t ( l u c 咖)网络研究部的路由器研究开发组研究转发与控制分离结构的路由器 1 7 】，专门介绍了从转发面分离出路由协议模块的方法，介绍了其分离路由控制平台r c p 在f o 疋e s 框架下实现的问题。4 、n e t l i n k 2 【1 8 】是较早开始的一个基于l 衙u x 的f o 妃e s 协议实现尝试，i b m 的g o u t a u d i e r 对基于n e t l i n l ( 2 的控制面和数据转发面的通信流量进行了分析。5 、瑞典皇家理工学院的m h i d e l l 1 9 等人实现的路由器也是基于f o 疋e s 结构。该路由器的控制器是基于u l l i x 和z e b r a 路由软件，而转发器是采用通用l i n u x ，其实现主要是依靠n e t l i i l k 来访问内核。他们对内部的传输机制进行了研究，提出在用u d p 传输时需要利用自己生成的a c k 应答实现流量控制，并测试了有1 6 个f e 情况下的通信延时。6 、w 萄d il 0 u a t i 2 0 】等人对可配置的软件路由器进行了研究，其中转发件的实现机制以f o r c e s 的转发件模型为基础，并结合了c l i c k 路由器的框架，最终将其应用在边缘路由器领域。7 、加拿大的r a 出dn a i t1 钛o u r o u t 等人 2 l 】研究了基于f o 疋e s 的下一代路由器，提出了在c e 和f e 间采用t i p c 和f a c t 进行通信，在安全方面采用口s e c机制，对路由器内部安全进行研究。国内对f o 疋e s 实现的研究主要有：1 、国防科技大学计算机学院研究小组【2 2 2 3 【2 4 】在国家8 6 3 、9 7 3 项目和国家自然科学基金资助下对基于f o 妃e s 思想的路由器体系结构开展了深入研究，尤其对基于f o 疋e s 体系结构的i p v 6 路由器进行研究，采用f o 佗e s 思想开发了新一代路由器，其中控制器和转发器分4别基于通用机和网络处理器，并采用了自主开发设计的基于t c p 的接口协议。另外，张怡、孙志刚等在面向可信网络研究的虚拟化技术【1 l 】一文中，对有关f o 疋e s 的虚拟化技术也进行了一定的研究。2 、西安理工大学的研究小组【2 5 】对基于f o 疋e s 协议的软件集群路由器模型作了相关研究。本课题组从2 0 0 3 年开始即对f o 疋e s 协议的实现进行了多方面多层次的研究，和f o 庀e s 协议制定始终保持同步。在2 0 0 4 年开发了基于g r m p 协议( 自主设计的转发件与控制件接口协议，并被作为f o 疋e s 候选协议提交给i e t ff o 疋e s 工作组) 【2 6 】的开放架构路由器原型系统。该系统的转发器基于通用p c上的“n u ) 【内核进行开发，主要采用内核模块机制实现网络功能的灵活扩展。从2 0 0 5 年中期开始，在i i l t e li x p 2 4 0 0 2 8 5 1 网络处理器的开发板上，以i i l t e li x a s d i “1 为基础，基于系统集成方式开发了f o 疋e s 结构路由器的原型系统。目前正在此基础上开发一个具有较完善支持f o 把e s 各项标准功能的仿真系统平台，可以供本课题组或其他广泛开展基于f o 坨e s 的网络设备的研究与开发。伴随着f o 疋e s 结构的细化分析，f o 以e s 在支持典型网络功能( 比如s n m p 、组播、p v 6 ) 的整体实现结构方面的研究也有待深入。综上研究现状分析，随着f o 疋e s 体系结构正成为新一代开放架构网络件中最为重要的体系结构之一，国内外已有越来越多的单位加入到f o 疋e s 的研究队伍中。1 2 2 虚拟技术研究现状上世纪9 0 的年代，走在虚拟化研究领域前列的s t a n f o r d 大学的m e n d e lr o s e n b l 啪和他的学生e d o u a r db u g i l i o n 、s c o t td e v i n e 提出w a r e 系列虚拟机系统，以v m w a r ew b 舣a t i o n 和v m w a r ee s xs e r v e r 为典型代表，采用动态指令流补丁( d ) ，n 锄i cb i n a r yp a t c h i n g ) 以实现关键或敏感指令的虚拟化处理。x 8 6 平台处理器的主要两个提供商分别推出了其虚拟化的扩展技术，即i i l t e lv t 技术( r t u a l i z a t i o nt e c h n o l o g y ) 和p 心d v 9 】。同时i i l t e l 和a m d 分别推出了对于i o 虚拟化的硬件支持技术，即i n t e lv t d ( 彻a l i z a t i o nt e c l o l o g yf o rd i r e c ti o ) 和a m di o m m u 。虚拟化技术越来越受到学术界和i t 业界的重视，在各方面的应用都十分广5泛。主要应用在服务器合并，服务器负荷调节，入侵检测，沙箱，错误隔离，灾难恢复，测试质量保证，辅助系统软件的开发和调试，高精度计算，可信计算等方面 2 7 】。随着技术的发展，虚拟化与其他技术的相结合，可满足更多领域内的应用需求。虚拟技术可以在降低成本的同时，提供灵活的计算和计算环境，通过虚拟部分或全部基础设施，能够实现动态分配和调节i t 资源，将全部资源作为单一实体进行管理，实现更出色的业务和i t 灵活性。虚拟路由器就是在这样的发展机遇中发展起来的一种新的虚拟技术，它使一些新型因特网服务成为可能。通过这些新型服务，用户将可以对网络性能、因特网地址和路由以及网络安全等进行控制。目前，虚拟路由器已经得到了实际的应用。n o r t e l 的a c c e l a r l o o o 路由交换机就使用虚拟路由端口在v u 蝌s 之间路由，虚拟路由器端口能够配置每个v l a n ，在m 子网或v l a n s 之间实现路由。a c c e l a r l 0 0 0 路由交换机支持虚拟路由器端口，且不降低其性能。1 3 本文的研究内容与主要贡献在本小节中将详细说明本文的研究内容，以及本文所做的主要工作。1 3 1 研究内容本论文主要研究以下几个问题：( 1 ) 研究f o r c e s 体系下虚拟服务应用的框架通过对f o 疋e s 整体框架的研究，确定虚拟化技术应该用于哪个方面，即虚拟环境应该运行在哪里。要选定合理的虚拟机软件( 本文中选用的是开源软件o p e n v z ) ，以创建满足所需要的虚拟环境。( 2 ) 研究在虚拟环境中服务的应用在本文中所选用的服务为i p s e c 服务、p v 4 和i p v 6 路由服务。选择合适的服务软件，并使其正确地运行在虚拟环境中。虚拟环境运行在f o r c e s 架构下，就必须实现其与f o 忙e s 系统的消息交互。( 3 ) 研究服务映射层的数据库实现6对于i p s e c 来说，最重要的就是两个数据库( 安全策略数据库s p d 和安全关联数据库s a d ) 的维护，对于路由服务来说则是路由信息库。在服务映射层中，主要就是对这些数据库进行实现，同时保证这些数据库能适时地更新。( 4 ) 研究f e 在p c 机中的实现在f e 端，我们采用c l i c k 模块化路由器来实现f e 的功能。通过对c 1 i c k 的配置，实现i p v 4 和i p v 6 的基本路由功能和i p s e c 服务。在f e 端，其资源都表现为逻辑功能块( l f b ) ，因此，c l i c k 路由器就是对l f b 具体实现的仿真。( 5 ) 研究基于c l i c k 源码的虚拟化f e 可能会运行多个服务，一台c e 也可能对应多个f e 。在本文中，通过对c l i c k 源码的研究，实现f e 在虚拟环境中的应用( 采用多线程与虚拟机相结合的方式) 。1 3 2 主要贡献本文的研究内容基于f o 疋e s 体系结构的开放可编程路由器，这种路由器的结构设计遵循i e t ff o 妃e s 工作组提出的f o 疋e s 协议、f o 疋e sf e 模型、f o 尤e s框架和f o 忙e s 需求等协议。本课题组部分成员作为f o 圮e s 协议规范的主要作者，参与了该协议的设计与编写工作，对该领域有颇深的理解与认识。首先，由于国内外对f o 疋e s 网络单元的研究还处于探索阶段，在具体实现过程中可以参考的资料以及借鉴的经验很少。因此，我们所做的研究为验证f o 疋e s 体系的虚拟化提供了重要的依据，也为其它团体或组织研究f o 妃e s 路由器提供了重要的参考。其次，本文研究了f o 疋e s 路由器虚拟化的若干关键技术并最终实现了这些技术，这些技术主要包括：( 1 ) 研究f o 疋e s 体系下虚拟服务应用的框架；( 2 )研究在虚拟环境中服务的应用；( 3 ) 研究服务映射层中数据库的实现；( 4 ) 研究f e 在p c 机中的实现；( 5 ) 研究基于c i i c k 源码的虚拟化。最后，在讲述了服务实现的基础上，对所做的工作进行了测试。功能测试结果验证了f o 疋e s 系统下虚拟服务应用实现的j 下确性；结果验证了f o 疋e s 路由器高虚拟服务的实现方案是合理的。本文关注f o r c e s 路由器虚拟化的问题，提出了f o 疋e s 架构虚拟服务应用7的实现方案，并给出具体的实现方法。由于f o 伦e s 协议还没有成为标准协议，并且f o 疋e s 体系架构的实现开发在国内外尚处于研究阶段，所以本文的开发工作具有一定的创新性，为f o 疋e s 路由器支持虚拟化技术提供了实例，而且为f o 忙e s 协议的可行性和推动i e t ff o 疋e s 标准协议的制定提供重要依据，同时也为f o 佗e s 协议的继续研究提供了参考。1 4 本文结构本文的正文部分共分为五章，现将其内容概述如下：第一章是绪论。首先介绍了有关f o 妃e s 技术和虚拟技术的研究背景。然后介绍了f o 疋e s 系统和虚拟路由器的国内外研究现状。同时，也阐述了本文的研究内容、主要贡献及组织结构。第二章介绍了f o 疋e s 的体系结构和虚拟化技术。主要描述了f o r c e s 路由器的基本框架和f e 端模型及f o 疋e s 中间件，然后讲述了虚拟化技术的概念和分类。最后分析了f o r c e s 体系结构下虚拟技术应用的需求。第三章详细阐述了f o r c e s 体系结构下虚拟服务应用框架的研究。对整个系统架构进行了说明，着重描述了虚拟支撑环境( o p e i l v z ) 和f 0 以e s 中间件实现，对c e 端的虚拟服务应用和服务映射层进行需求分析。然后，对f e 端如何利用c l i c k 软件实现服务功能进行阐述，并说明了基于c l i c k 源码的虚拟化的实现机制。第四章重点阐述了f o r c e s 架构下虚拟服务的实现。详细说明了p s e c 服务、i p v 4 路由服务和口v 6 路由服务的实现。即，虚拟环境中第三方软件的应用，每个服务相对应的服务映射层中数据库的设计，f e 端服务相关的l f b 及它们之间的连接关系，以及相应服务的c l i c k 模块化路由器的实现过程，并给出了相应的功能测试。第五章是总结和展望。对全文进行了总结，并对下一步的研究工作提出了自己的想法和见解。2f o 妃e s 体系结构与虚拟化技术虚拟化技术的实现并不统一，实现虚拟化的技术多种多样。本文是在f o r c e s体系结构下，对利用虚拟化技术实现服务应用进行研究。因此，在本章中，将对f o r c e s 体系结构和虚拟化技术进行描述。描述f o 犯e s 相关术语、框架以及f o 圮e s 中间件。同时，介绍了虚拟化技术的基本概念及其分类。说明了f o 疋e s体系结构下虚拟技术应用的需求。2 1f o 疋e s 体系结构简介本小节将就f o 疋e s 体系结构中的相关术语、f o 酊e s 框架、以及f o r c e s 中间件分别进行讲述。2 1 1f o 妃e s 相关术语f o 疋e s 体系结构涉及到一系列的术语，举例说明如下：1 ) c o n 仃o le l e i l l t ( c e ) ：f o 尤e s 控制件，用它来指导一个或多个f e 如何处理数据包。c e 处理功能如控制的执行和信令协议。2 ) f o n ) ，a r d i n ge l e m e n t ( f e ) ：f o 疋e s 转发件，f e 使用底层硬件提供每数据包加工和处理，并由一个或多个c e 通过f o 疋e s 协议进行控制。3 ) f o 疋e sn e 铆o r ke 1 e m e n t ( n e ) ：f o 疋e s9 网络件，由一个或多个c e 以及一个或多个f e 构成的实体。网络件对外隐藏了内部细节，对外部来说只是一个管理节点。4 ) l f b ( l o 百c a lf u n c t i o nb l o c k ) ：逻辑功能块，只要l f b 定义明确，f e就可以在逻辑上被分成各个l f b 的组合，c e 对f e 的控制操作就是对相关l f b的控制操作。各个l f b 相互连接形成不同的l f b 拓扑结构完成一定的功能。l f b是f e 处理功能的一种逻辑抽象而不是物理结构。5 ) f o 疋e sp r o t o c o l ：c e 和f e 之问用于通信的协议。6 ) f o 疋e sp r o t o c o ll a y e r ( f o r c e sp l ) ：f o 疋e s 协议层。在f o 圮e s 架构中定义f o 疋e s 协议消息、协议状态转换方式的层面。7 ) f o r c e st r a n s f o 仰m a p p i n gl a y e r ( f o r c e st m l ) ：f o 疋e s 传输映射层。9利用现有的传输协议解决协议消息的传输问题。8 ) f o 疋e ss e i c em 印p i n gl a y e r ( f o r c e ss m l ) ：f o 圮e s 服务映射层。存储与服务相关的消息。2 1 2f o 疋e s 框架根据f o 佗e s 需求分析文件【5 ( r f c 3 6 5 4 ) 和f o 妃e s 框架文件【6 】( r f c 3 7 4 6 ) ，一个满足f o 疋e s 标准的网络组件( n 咖o r ke 1 锄e n t ，n e ) 的核心具有如图2 1所示的结构。根据f o 妃e s 思想，一个f o 疋e s 结构的网络件内有至少一个或多个c e ，有可以多达几百个的转发件f e ，它们之间的联系遵循标准的f o r c e s 协议。其中多个控制件的使用是为了系统冗余备份目的，转发件通过网络接口与外部网络相连接，多个转发件之间通过接口互相连接。但从外部看，这些转发件和控制件组成的网络件是一个完整独立的网络设备实体，如一个路由器或交换机。c e 主要处理f o 疋e s 协议消息，并负责建立、配置和更新f e 在处理数据包时需要查找的表和数据结构等。转发件f e 负责每个报文的处理和操作。图2 1f o 疋e s n e 体系结构图在图2 一l 中，f p 表示c e 与f e 间的接口( f o 坨e s 协议研究的就是这个接口的通信标准) ，其间可以经由一跳或多跳网络实现，进入网络件的数据包经一个或多个f e 处理之后从网络件输出，f e 之间可以通过某种网络进行联络。f i表示f e 间的接口，f r 表示c e 间的接口，f i f 表示f e 的外部接口。1 0根据f o 心e sf e 模型草案，f o 疋e sf e 模型包括能力模型和状态模型，其中能力模型详细描述了f e 所能支持的各种功能及约束；状态模型则主要说明了f e的当前状态，包括f e 的当前值及操作行为。从概念上来说，所谓f e 能力模型就是告诉c e 在f e 上所允许操作的状态以及操作的数量限定和约束等能力信息，从而使得c e 获得对f e 能进行相关配置的详细信息。f e 状态模型主要是向c e描述f e 的当前实例。比如，通过状态模型c e 可以从f e 获得如下信息：在哪个端口可以通过设定相应的分类规则实现包的分类或者通过设定一定行为和参数来实现队列的调度等。图2 2 描述了在c e 和f e 通过f o 疋e s 协议通信的情况下f e 状态、能力和配置的关系。c e 根据这些信息对f e 执行相应的控制操作。更确切地说，该模型描述了f e 的逻辑功能，以及这些功能所支持的能力和如何实现这些能力。f e 能力：f e 能够不能够做什么c ef ef e 状态：f e 当前的状态是什么f e 配置：f e 应该被配置成什么图2 2c e 与f e 通过f o r c e s 消息交换的信息在f e 内部，根据对数据包进行的不同处理操作，可将其分成不同的l f b ，如图2 3 所示。典型的l f b 如分类器( c l a s s i f i e r ) 、调度器( s c h e d u l e r ) 、转发器( f o n a r d e r ) 等。在l f b 类库( l f bc l a s sl i b r a 巧) 中对一些基本的l f b 类型作了定义。每一个l f b 都会对经过它的数据包执行事先约定的操作，这种操作可能会对数据包进行修改( 比如标记器) ，或者根据操作的结果获得一些m e t a d a t a( 比如分类器) 。图2 3f o 疋e sf e 基本结构c e 通过f p 参考点和f o 疋e s 协议终端点，间接地对l f b 的输入、输出和属性进行询问或操作。在图2 3 中，水平方向表示的是整个转发平面，它描述了一个f e 内各个l f b 之间的输入和输出关系。垂直方向表示c e 与f e 之间通过f p 参考点形成的双向交互通道：c e 对f e 的通信主要是对f e 执行一些配置、查询和控制工作，或向f e 发送数据包；在c e 内部实现时，会将其向f e 查询关于f e 的能力状态信息的f o 妃e s 资源进行存储，即对l f b 类库和实例库信息进行存储，保证c e 的工作效率。f e 对c e 的通信主要是向c e 发送一些重定向数据包，或者向c e 报错，或向其提供一些它所需要的监控或统计信息等。值得注意的是，c e 与l f b 之间的通信是抽象而间接的，这种通信主要是为了实现c e 对l f b 属性进行操作而设置的。2 1 3f o r c e s 中间件c e 端和f e 端以嵌入的f o 疋e s 中间件相连接。f o 妃e s 中间件不仅规定了控制件与转发件之间的信息传递格式，同时屏蔽了c e f e 链路的多样性和复杂性，为开发者带来极大的方便。f o 妃e s 中间件实现了如下功能：分布式系统下基于f o 疋e s 协议的应用层通信；基于以太网的t m l 传输层通信；管理底层l f b ( 含直接及间接) 。基于以上功能，f o 伦e s 中间件可应用于分布式系统下c e 及f e 的开发，其中c e 对l f b 资源进行间接管理，f e 对l f b 资源直接管理，之间使用f o 疋e s 进行通信；同时通过对中间件功能的裁剪，其还能应用于集中式系统，实现单一的u 璐资1 2源的直接管理功能。f o 疋e s 中间件分为两部分：功能中间件和协议中间件。功能中间件在c e端为l f b 应用功能层( a f l ) ，在f e 端为l f b 资源功能层( i 强l ) 。协议中间件由协议层( p l ) 和传输映射层( t m l ) 组成。在c e 上，功能中间件l f b 应用功能层具有下面的功能：根据管理用户在c em a j l a g e r 中间件上的操作，产生l f b 的属性、能力、事件、统计配置和查询( 对能力和统计只能查询而不能配置) 的协议消息，并把配置和查询结果返回给c em a l l g e r 中间件；能够根据l f b 类文件初步判断是否允许配置和查询，并把判断结果和最终配置查询结果返回给c em a l l g e r 中间件；把从f e 收到的事件传递给c em a n g e r 中间件。在f e 上，功能中间件l f b 资源功能层具有以下功能：建立l f b 逻辑定义和物理实现之间的对应关系；产生对各l f b 的查询回应消息；把收到的配置消息传递给微码接口层并向c e 返回配置结果；把微码接口层上发来的重定向包封装成重定向消息，并传递给p l ；从p l 传过来的重定向消息中解析出重定向包，并交给微码接口层。传输映射层完成的功能主要有：一般用t c p 传递控制消息，用u d p 传递包含路由信息和网络管理信息的重定向消息，但是允许通过配置文件或者c em a l l a g 历来改变重定向消息的传输协议；采取“一种开放可编程结构的路由器管理控制协议 和“转发与控制分离网络件内信息交换的方法中的策略来防止d o s 攻击。协议层要完成的功能主要有：能够封装和解析f o 疋e s 协议最新版( 目前是d r m i e t f f o r c e s p r o t o c 0 1 2 2 t x t ) 文件中所有类型( 包括重定向、配置、联结、查询、事件、心跳等) 的协议消息；c e 的p l 层根据f o 疋e s 协议中“p r o t o c o ls c e i l 撕o s ”部分的描述，与f e 的p l 层进行交互；c e 的p l 能处理f e 上的联结请求；f e 的p l 能产生联结请求并处理c e 的联结回应；c e 的p l 能把配置、查询协议消息传给t m l ，并通过c e 的功能中间件把配置和查询结果发给c em a i l g e r 中间件；f e 的p l 能把配置、查询协议消息传给c e 的功能中间件；产生和处理心跳消息。2 2 虚拟技术概述本小节将讲述虚拟技术的基本概念，并详细介绍虚拟技术的四种分类。2 2 1虚拟技术的基本概念虚拟化是一个广阔和概念，在计算机领域可以被视为计算资源( c p u 时间、内存资源、存储空间和网络接口带宽等) 的抽象 2 8 】。虚拟化技术向用户隐藏了计算资源的物理属性。虚拟化是一种向外界隐藏实际构造的能力，如虚拟化可使一个复杂的、离散的和难以管理的物理结构向外界呈现出一个简单的、统一的和易管理的逻辑结构；同时虚拟化可以使一个巨大的整体表现为若干个小的、独立的并且完整的部分。虚拟化技术可以扩大硬件的容量，简化软件的重新配置过程。简而言之，虚拟化就是将不同的资源和逻辑单元剥离，形成松耦合关系的技术。虽然多任务以及超线程技术也可以同时运行多个程序，但虚拟化技术与它们是完全不同的。多任务是指在一个操作系统中，用户可以在同一时间内运行多个应用程序；超线程技术是指多个程序同时执行而共同分享一个c p u 内的资源，即用单c p u 模拟双c p u 来平衡程序运行性能，这两个c p u 协同工作；而虚拟技术则是可以同时运行多个操作系统，每个操作系统中有多个程序运行，各操作系统之间相互独立。利用虚拟化技术将不同的应用程序运行在不同的虚拟机上以实现应用之间的完全隔离，避免传统操作系统下各个进程之间的互相影响。2 2 2 虚拟化技术的分类虚拟机最原始的应用就是对同一硬件平台进行资源划分，提高硬件利用率。虚拟化技术可以通过两个方向来帮助服务器更加合理地分配资源，一种方向就是把一个物理的服务器虚拟成若干个独立的逻辑服务器；另一个方向，就是把若干个分散的物理服务器虚拟为一个大的逻辑服务器。在保护模式下，x 8 6 处理器一共有4 个不同优先级，术语称为r i n 蜀从融n go r i n 9 3 。r i n go 的优先级最高，鼬n g3 最低。础n go 用于操作系统内核层，而黜n g1 和融n g2 用于操作系统的系统服务层，黜n g3 用于应用程序。位于r i n go特权空间的操作系统可以优先访问各种硬件资源。为了满足不同的功能需求，出现了不同的虚拟化技术解决方案，由于其采用1 4不同的实现方式和抽象层次，如图2 4 所示，使得这些虚拟化系统呈现不同的特征。也就是说，实现虚拟化的方法不只一种，可以通过不同层次的抽象来实现相同的结果。虚拟化技术大概可以分为以下四类。冒g u e s to s e m l l l a t o r操作系统( o s )| ! 硬件平台( 1 ) 硬件仿真零g u e s t o s( 修改)驱动；：a p ij i y p e r v i s o r( 删)硬件平台冒g u e s to s量j蔫| | = = = =蓦：- - _；：一ih 1 瞪e r v is i 醴 m 脚i ；”j。誊一- - = _ 。硬件平台( 2 ) 完全虚拟化g n e s t o si操作系统( o s )= = = ：_ = ：_ _ j羞二_硬件平台( 3 ) 半虚拟化( 4 ) 操作系统虚拟化图2 _ 4 虚拟技术分类示意图硬件仿真( e n m l a t i o n ) ：在宿主系统上创建一个硬件v m 来仿真所想要的硬件。用纯软件对某种指令集架构( i s a ) 进行完全仿真，可以使v m 最大程度地与主机硬件分离。由于每条指令都必须在底层硬件上进行仿真，所以硬件仿真的1 5主要问题是速度非常慢。这类软件有b o c h s 、q 锄u 等。完全虚拟化( f u l l r m a l i z a t i o n ) ：这种模型使用一个虚拟机，它在客户操作系统和原始硬件之间进行协调。在完全虚拟化技术中，不再对底层的硬件资源进行划分，而是部署一个统一的主机系统，并在其上加装了v i 咖a lm a c h i n em o n i t o r ，虚拟层作为应用级别的软件而存在，不涉及操作系统内核。完全虚拟化技术因其可以在虚拟机中直接安装和运行现有的操作系统而容易被用户接受。最大的优点就是操作系统无需任何修改就可以直接运行在虚拟平台上。惟一的限制是操作系统必须支持底层硬件。这种技术的典型