《软件定义与网络安全》全套教学课件

软件定义与网络安全

第1单元：软件定义与网络安全概述第01单元-软件定义与网络安全概述

第02单元-计算虚拟化与软件定义计算

第03单元-存储虚拟化与软件定义存储

第04单元-网络虚拟化与软件定义网络

第05单元-软件定义网络安全技术

第06单元-软件定义网络系统安全

全套可编辑PPT课件

课程简介通过本课程的学习，理解软件定义概念内涵，掌握软件定义相关实现理论与技术、典型软件定义网络安全技术，熟悉软件定义引发的网络安全问题，初步具备软件定义网络系统防御体系构建能力。第1单元软件定义与网络安全概述近年来在计算设备、存储设备、网络设备等信息基础设施虚拟化的基础上，软件定义计算、软件定义存储、软件定义网络等软件定义技术被提出和广泛应用，改变了网络系统的形态，从而引发一系列新的网络安全问题，并触发网络安全技术的革新。一、软件定义与网络安全概述一、软件定义与网络安全概述（1）软件定义的提出与发展（2）软件定义的技术架构（3）软件定义的实现技术（4）软件定义引发的安全影响一、软件定义与网络安全概述软件定义的提出与发展——软件定义的提出1

2007年，在信息技术领域首次出现软件定义概念，美国斯坦福大学NickMckeown教授等提出了软件定义网络(SDN：SoftwareDefinedNetwork)，其通过将网络设备的控制平面与数据平面分离，以实现网络的可编程化控制。一、移动目标防御基本理念SDN控制平面与数据平面分离的分层架构由物理的和虚拟化的转发设备（即SDN交换机）构成。SDN转发设备不同于传统二/三层交换机，其以流表形式组织数据转发规则，且专职负责数据的转发工作。一、移动目标防御基本理念SDN控制器（如ODL、Ryu）组成，负责运行网络高层控制策略。可通过南向接口配置操作数据转发设备中的流表，控制数据通路；可在获取数据转发层信息的基础上，将全局网络视图抽象为网络服务，为应用层提供北向接口。SDN控制平面与数据平面分离的分层架构北向接口东西接口南向接口一、移动目标防御基本理念SDN控制平面与数据平面分离的分层架构包含各种网络应用程序，其通过调用北向接口经控制层实现网络的快速构建部署。

SDN新型网络架构特点：（1）控制平面与数据平面分离；（2）逻辑上集中控制；（3）网络开放可编程：体现在南向与北向两个接口是开放的。网络能够被软件所定义，达到简化网络运维、灵活管理调度SDN控制平面与数据平面分离的分层架构一、移动目标防御基本理念通过软件定义实现网络逻辑拓扑变化，改变数据传输路径，实现网络应用的动态部署SDN控制平面与数据平面分离的分层架构一、软件定义与网络安全概述软件定义的提出与发展——软件定义的内涵1软件定义是一种设计实现理念：

形式上是更多地由软件来驱动并控制硬件资源；

实现思想是将原来高度耦合的一体化硬件设施，通过抽象化、标准化和虚拟化等技术手段，解耦成规范化的部件并建立起不同的抽象层，以编程接口的方式实现对部件资源的灵活调度与控制；

提高系统的可编程、可重构、可管理和可定制能力，从而能够适应上层业务系统的需求和变化。一、软件定义与网络安全概述软件定义的提出与发展——软件定义的内涵1软件化：是指根据描述的业务功能需求，把原来由硬件实现的功能转化为由软件来完成，关注的是业务需求、功能和流程等的软件实现；

软件定义：是资源的一种应用管理模式，即可编程的应用管理模式；

形式上都是增加了系统的软件成分比例，所以从这个角度也可以说“软件定义”属于“软件化”的一种具体形式。●软件定义和软件化两个概念的不同：一、软件定义与网络安全概述软件定义的提出与发展——软件定义的发展1起初主要围绕计算机、存储设备和网络设备等主流硬件设施开展软件定义相关技术和应用的研究实践，于是出现了：

软件定义计算（SDC：SoftwareDefinedCompute）

软件定义存储（SDS：SoftwareDefinedStorage）

软件定义数据中心（SDDC：SoftwareDefinedDataCenter）一、软件定义与网络安全概述软件定义的提出与发展——软件定义的发展1

后来“软件定义”思想在更广泛的硬件设施上得到应用，进一步提出了软件定义汽车、软件定义家居、软件定义建筑，以及软件定义制造等。163一、软件定义与网络安全概述软件定义的提出与发展——软件定义的发展1鉴于“软件定义”思想带来的重大影响和意义，工信部在国家“十四五”软件和信息技术服务业发展规划中提出“软件定义”赋能实体经济新变革，明确指出“软件定义”是新一轮科技革命和产业变革的新特征和新标志，已成为驱动未来发展的重要力量。“软件定义”解决了硬件的有限和人的需求无限之间的矛盾一、软件定义与网络安全概述（1）软件定义的提出与发展（2）软件定义的技术架构（3）软件定义的实现技术（4）软件定义引发的安全影响一、软件定义与网络安全概述软件定义的技术架构2软件定义是把原先一体化的硬件设施打破，将基础硬件虚拟化并提供标准化的基本功能，然后通过软件编程方式控制其基本功能，以提供更开放、灵活、智能的管控服务。（1）硬件资源的虚拟化（2）管理任务的可编程软件定义技术架构软件定义技术架构数据平面：由下至上依次由异构的硬件资源、硬件接口、虚拟层、标准化的虚拟资源池和数据平面接口等部分构成。硬件接口层:硬件与软件解耦;数据平面接口层:数据平面与控制平面的解耦。软件定义技术架构控制平面：由软件定义层（平台）和控制平面接口构成，是整个体系架构的大脑，基于策略驱动的方式负责整个体系的可靠运转和监控管理。向下通过数据平面接口分配、调度和管理数据平面各类资源，控制数据平面业务功能的正常运行。向上为应用平面提供应用编程接口（即控制平面接口），使开发者可在控制平面上灵活开发各种IT服务和应用。软件定义技术架构应用平面：包含各种IT服务和应用，例如云计算、大数据、智能制造等，它们通过控制平面提供的可编程接口实施对控制层地操控，完成各种IT资源的定制与应用。网络信息系统设施组件的技术形态转变基于标准化的编程接口解除上层应用软件和底层硬件资源之间的紧耦合关系，使其可以各自独立演化。将原来应用需求变化通常需要通过硬件资源平台变化来实现转变为通过一个深度软件定义的软件平台以灵活可编程、可配置的方式实现网络信息系统完成了从硬件资源为核心向软件平台为核心的转变一、软件定义与网络安全概述软件定义的技术架构2

软件定义特征系统软件平台成为了网络信息系统的核心：

向下对各种标准化（虚拟化）的硬件资源实现统一标识、接入、控制和管理；

中间提供集计算、存储、通信、开发等多种可定制服务；

向上提供可编程的开发接口，支持硬件资源灵活地调度应用。一、软件定义与网络安全概述软件定义的技术架构2

软件定义技术架构具有的三个特点：（1）硬件资源池化（2）执行控制分离（3）开放可编程一、软件定义与网络安全概述（1）软件定义的提出与发展（2）软件定义的技术架构（3）软件定义的实现技术（4）软件定义引发的安全影响一、软件定义与网络安全概述软件定义的实现技术3目前“软件定义”理念已经成为人们重塑网络信息系统的重要思想依据之一，然而要将这种理念落地，在工程层面涉及到很多的技术、理论和方法。（1）计算虚拟化与软件定义计算（2）存储虚拟化与软件定义存储（3）网络虚拟化与软件定义网络在信息技术领域“虚拟化”概念最早是牛津大学克里斯托弗·斯特雷奇（ChristopherStrachey）教授，于1959年6月15日在国际信息处理大会上发表的《大型高速计算机中的时间共享》（“Timesharinginlargefastcomputers”）学术报告中提出的，文中论述了什么是虚拟化技术，这篇文章被认为是最早的虚拟化技术论述，从此拉开了虚拟化技术发展的帷幕。一、软件定义与网络安全概述软件定义的实现技术——计算虚拟化与软件定义计算3一、软件定义与网络安全概述克里斯托弗·斯特雷奇（ChristopherStrachey）教授Timesharinginlargefastcomputers软件定义的实现技术——计算虚拟化与软件定义计算3虚拟化技术广义上来讲，就是将一种形式的资源抽象成另一种形式的技术，比如进程的虚拟地址空间就是把物理内存虚拟成多个逻辑的虚拟内存空间。一、软件定义与网络安全概述软件定义的实现技术——计算虚拟化与软件定义计算3计算虚拟化：主要是通过控制程序隐藏特定计算平台的实际物理特性，为用户提供抽象、统一、模拟的计算环境，实现硬件资源与计算能力的解耦。一、软件定义与网络安全概述（1）计算虚拟化（CV：ComputingVirtualization）

虚拟计算环境实现形式：虚拟机（VM：VirtualMachine）和容器软件定义的实现技术——计算虚拟化与软件定义计算3为了满足当前应用对计算资源的多样化和动态化应用需求，亟需计算资源能够在一定范围内统一管理、灵活调配，如根据承载的应用负载情况、运行状况和配置策略灵活、智能的动态调整计算资源。一、软件定义与网络安全概述（2）软件定义计算（SDC：SoftwareDefinedCompute）软件定义的实现技术——计算虚拟化与软件定义计算3一、软件定义与网络安全概述（2）软件定义计算（SDC：SoftwareDefinedCompute）软件定义的实现技术——计算虚拟化与软件定义计算3

SDC是一种实现计算资源可编程管理的技术，即在构建的虚拟化计算资源池的基础上，基于策略驱动的方式，根据应用需要灵活地进行虚拟化计算资源的定制化、自动化调配与管控。目前，主要是以虚拟机和容器为计算资源调配和管控的逻辑单位，即以虚拟机和容器为单位进行计算资源的分配使用。在计算虚拟化技术与应用飞速发展同时，虚拟化也被拓延到存储资源上。1977年IBM公司提交了《用于恢复故障存储单元中存储数据的系统》（“SystemforRecoveringDataStoredinFailedMemoryUnit”）报告，并于次年获得独立磁盘冗余阵列（RAID：RedundantArraysofIndependentDisks）专利，RAID可以将多个物理磁盘设备组合为一个虚拟化的存储池。一、软件定义与网络安全概述（1）存储虚拟化（SV：StorageVirtualization）软件定义的实现技术——存储虚拟化与软件定义存储3RAID技术是第一次将虚拟化的概念引入到存储领域随着计算机技术以及信息业务的飞速发展，数据每天都在呈现爆炸式的增长，使得数据存储变得越来越复杂和对存储容量的极大需求，已有存储方式已远远不能满足发展需求。一、软件定义与网络安全概述（1）存储虚拟化（SV：StorageVirtualization）软件定义的实现技术——存储虚拟化与软件定义存储3特别是在信息基础设施高度网络化的情况下，如何能够更好地存储、保管和共享数据对于很多企业和行业，甚至个人来说都至关重要。三种类型数据存储技术直连式附加存储（DAS：DirectAttachedStorage）结构三种类型数据存储技术网络附加存储（NAS：NetworkAttachedStorage）结构三种类型数据存储技术存储区域网（SAN：StorageAreaNetworks）结构随着存储规模越来越庞大，存储设备类型和应用部署模式呈现多样化和异构化，使得存储管理不再仅以存储容量管理为主，还包括数据访问性能、数据传输性能、数据管理能力、存储扩展能力等多个方面的要求。一、软件定义与网络安全概述（1）存储虚拟化（SV：StorageVirtualization）软件定义的实现技术——存储虚拟化与软件定义存储3如何更加有效地管理存储资源成了一个亟需解决的问题软件定义的实现技术——存储虚拟化与软件定义存储3是将物理存储实体与存储的表示分离开来，为用户提供统一、规范的存储资源服务的逻辑视图，以屏蔽物理存储设备的复杂性和差异性，实现各种存储资源的统一分配与管理。（1）存储虚拟化（SV：StorageVirtualization）存储虚拟化增强了存储资源管理的效率与灵活性虽然存储虚拟化技术实现了一定的存储整合和存储自动化管理，但是随着大数据时代的来临，云计算、人工智能等新应用、新模式和新业态的飞速发展，对数据存储服务和管理的需求变得更加复杂、精细和个性化，现有的数据存储服务模式和管理模式已不能适应发展需求。基于此，软件定义存储的理念被提出。一、软件定义与网络安全概述（2）软件定义存储（SDS：SoftwareDefinedStorage）软件定义的实现技术——存储虚拟化与软件定义存储3

SDS思想是：对构建的虚拟化存储资源（池）实现基于策略驱动方式的可编程性控制管理，由平台自动调度、分配所需的存储资源，而无需人工干预，如此存储管理人员就可从枯燥重复的建卷、映射卷等工作中解脱出来，降低管理运维成本，同时可提高存储资源的利用效率和管理精准度。一、软件定义与网络安全概述（2）软件定义存储（SDS：SoftwareDefinedStorage）软件定义的实现技术——存储虚拟化与软件定义存储3

SDS概念被提出后受到业界高度关注和重视，各大研究机构和存储设备厂商相继提出各自的软件定义存储技术，并研制出相应的软件定义存储系统（或产品），如OpenStack中的Cinder块存储功能组件、VMware公司的SPBM（StoragePolicyBasedManagement）系统，以及EMC公司的ViPR产品等。一、软件定义与网络安全概述（2）软件定义存储（SDS：SoftwareDefinedStorage）软件定义的实现技术——存储虚拟化与软件定义存储3一、软件定义与网络安全概述（1）网络虚拟化（NV：NetworkVirtualization）软件定义的实现技术——网络虚拟化与软件定义网络3网络虚拟化旨在一个共享的物理网络资源之上创建一个或多个虚拟网络（VN：VirtualNetwork），同时每个虚拟网络可以独立地部署以及管理。一、软件定义与网络安全概述（2）网络功能虚拟化（NFV：NetworkFunctionsVirtualization）软件定义的实现技术——网络虚拟化与软件定义网络3网络虚拟化使得网络资源的应用部署更加灵活、利用更加方便。为了进一步提升网络功能服务应用部署的灵活性，在网络虚拟化的基础上，人们又提出了网络功能虚拟化（NFV：NetworkFunctionsVirtualization）技术。

网络功能虚拟化的实现思想是利用虚拟化技术将现有的网络设备功能整合进标准的服务器，以软件的形式实现网络功能，取代目前私有、专用和封闭的网元设备。一、软件定义与网络安全概述行业标准服务器：是指由标准信息技术组件构成，即在标准服务器（例如X86服务器）内的组件可替换，并且有一个充分竞争的供应市场。（意味着技术体系开放）（2）网络功能虚拟化（NFV：NetworkFunctionsVirtualization）软件定义的实现技术——网络虚拟化与软件定义网络3网络功能虚拟化NFV体系架构网络功能虚拟化的优点（4）标准化的硬件资源更易于硬件扩容升级与运行维护。（1）虚拟化网络功能更利于研发；（2）虚拟化网络功能更便于升级扩展（如只需升级软件）；（3）虚拟化网络功能更易于动态、灵活部署，实现自动化管理，降低运维管理成本；

NFV实现了网络功能与硬件设备解耦，相对于基于专用封闭的硬件设备的网络功能架构，NFV架构具有以下优点：在网络功能虚拟化发展中，网络安全功能的虚拟化是其中重要的发展内容之一。一、软件定义与网络安全概述（2）网络功能虚拟化（NFV：NetworkFunctionsVirtualization）软件定义的实现技术——网络虚拟化与软件定义网络3一、软件定义与网络安全概述（3）软件定义网络（SDN：SoftwareDefinedNetwork）软件定义的实现技术——网络虚拟化与软件定义网络3目前网络设备大都是设备硬件、操作系统和网络应用三部分紧耦合、相互依赖组成一个封闭的系统，每一部分的创新和演进都与其余部分相关联并受到制约。封闭性架构严重阻碍网络技术创新，增加网络定制与优化的难度需要一种开放、具有可编程能力的网络技术架构以支持快速增长的网络业务需求网络可编程性的演进发展网络设备可配置1网络设备管理控制平面数据平面CLI,WEB,GUI等

传统交换机、路由器和防火墙等网络设备给用户预留了简单的命令行接口或图形用户界面，便于用户进行简单的配置与操作，例如配置IP地址、划分VLAN等。“网络设备可配置”是一种非常初级的网络编程方式为获取更多的网络可编程能力，人们研究提出了ActiveNetworking，其允许用户向网络节点发送携带用户命令的数据包，网络节点按照指令完成网络数据处理，从而实现用户对网络的编程控制。（仅在学术界引起重视）结论：想获取更多网络可编程能力，需将网络设备进行数控分离网络设备可配置1数控分离2网络设备管理控制平面数据平面CLI,WEB,GUI等数据平面数据平面接口控制平面网络应用

最早尝试数控分离思路的是IETF工作组提出的ForCES（ForwardingandControlElementSeparation）框架。随后又出现了RCP（RoutingControlPlatform）框架和4D（DecisionDisseminationDiscoveryData-Plane）架构。百家争鸣、未形成权威统一的标准网络可编程性的演进发展网络设备可配置1数控分离2OpenFlow3网络设备管理控制平面数据平面CLI,WEB,GUI等数据平面数据平面接口控制平面网络应用可编程数据平面OpenFlow接口OpenFlow控制器网络应用程序2007年斯坦福大学MartinCasado博士实现了面向企业网管理的Ethane项目，其是SDN架构的雏形，也是OpenFlow的前身。

在2008年，NickMackeown教授等发表有关OpenFlow的论文，标志着其的诞生。网络可编程性的演进发展网络设备可配置1数控分离2OpenFlow3SDN控制器4网络设备管理控制平面数据平面CLI,WEB,GUI等数据平面数据平面接口控制平面网络应用可编程数据平面OpenFlow接口OpenFlow控制器网络应用程序通用可编程数据平面OpenFlow等接口SDN控制器SDN应用开放数据平面接口北向接口网络可编程性的演进发展一、移动目标防御基本理念SDN控制平面与数据平面分离的分层架构被认为是网络领域的一场革命为新型互联网体系结构研究提供了新的思路途径网络设备可配置1数控分离2OpenFlow3SDN控制器4NPL5网络设备管理控制平面数据平面CLI,WEB,GUI等数据平面数据平面接口控制平面网络应用可编程数据平面OpenFlow接口OpenFlow控制器网络应用程序通用可编程数据平面OpenFlow等接口SDN控制器SDN应用开放数据平面接口北向接口通用可编程数据平面OpenFlow等接口SDN控制器+NPL编译器SDN应用开放数据平面接口北向接口NetworkProgrammingLanguages为了进一步提升数据平面的网络可编程能力，人们又提出了NPL（NetworkProgrammingLanguage）和网络语言编译器，让SDN架构朝着计算机高级软件编程框架方向发展。（类似由面向硬件的汇编语言向面向业务的高级语言演变）网络可编程性的演进发展基于软件定义网络设施的云计算平台软件定义与虚拟化是云计算实现的重要支撑技术一、软件定义与网络安全概述（1）软件定义的提出与发展（2）软件定义的技术架构（3）软件定义的实现技术（4）软件定义引发的安全影响随着虚拟化与软件定义等技术的应用，使得网络设施资源具有了更强的动态性和可调度性，例如数据资源的迁移调度、计算资源（虚拟机）的迁移调度和网络资源（通信路径）的迁移调度等。一、软件定义与网络安全概述软件定义引发的安全影响4使得信息网络设施随着业务需求的变更快速重塑成为可能信息网络设施的“虚拟”与“软件定义”特征化，使得其在网络安全方面面临诸多挑战：（1）网络环境变化（如被保护资产的动态性）带来的新威胁（2）现有安全机制能否适应具有虚拟化和软件定义特征的网络环境，

如安全策略是否能够及时、正确跟随网络环境变迁。影响一：软件定义思想与技术的应用引发的新的安全威胁一、软件定义与网络安全概述软件定义引发的安全影响4

软件定义理念为网络安全技术发展提供了新的思路和灵感，针对安全机制部署僵硬、运维困难等问题，人们将可编程思想引入网络安全领域，提出软件定义安全思想与概念：软件定义思想触发安全技术的新发展

软件定义安全直观的理解就是安全功能的可编程控制，即支持安全功能的执行与调度、监测与管理、以及功能间组合与重构等的可编程控制。（1）技术架构遵循数控分离特征：是软件定义安全的基础与条件（2）支持安全功能的可编程控制：是软件定义安全的根本与目标影响二：基于软件定义理念的网络安全新技术谢谢！软件定义与网络安全

第2单元：计算虚拟化与软件定义计算二、计算虚拟化与软件定义计算计算虚拟化：是通过控制程序隐藏特定计算平台的实际物理特性，为用户提供抽象的、统一的、模拟的计算环境，可实现硬件资源与计算能力的解耦。

虚拟计算环境的实现形式：虚拟机（VM：VirtualMachine）和容器二、计算虚拟化与软件定义计算（1）虚拟机技术（2）容器技术（3）软件定义计算技术虚拟机技术1二、计算虚拟化与软件定义计算

虚拟机（VM）从形式上是一种逻辑主机，与物理主机一样内部需要运行操作系统，其通常被称为客户操作系统（GuestOS）。虚拟机的运行需要一个被称为Hypervisor或虚拟机监控器（VMM：VirtualMachineMonitor）的虚拟化层做支撑，基于虚拟化层在同一套硬件平台上可独立运行多个VM，以共享硬件资源提供的计算能力。虚拟机技术——虚拟机实现技术架构与分类1二、计算虚拟化与软件定义计算根据VMM所处运行层面的不同，虚拟机实现包括以下两种技术架构：虚拟机技术——虚拟机实现技术架构与分类1二、计算虚拟化与软件定义计算

VMM无论采用哪种实现技术架构，从应用程序的角度看，运行在虚拟机上同运行在对应的实体计算机一样，即运行在某一种特定的指令集架构（InstructionSetArchitecture，ISA）之上。

虚拟机的ISA可以等同于支撑其运行的物理机器ISA，也可以不完全相同。（1）相同时：客户操作系统不需要修改，虚拟机就可在物理机器上正常运行；

（2）不同时：客户操作系统就必须修改，虚拟机才能在物理机器上正常运行。虚拟机技术——虚拟机实现技术架构与分类1二、计算虚拟化与软件定义计算根据是否需要修改客户机操作系统，虚拟机的虚拟化实现技术被分为：

（1）全虚拟化（Full-virtualization）技术：虚拟机客户操作系统不需要修改。

（2）半虚拟化（Para-virtualization）技术：虚拟机客户操作系统则需要改造。随着硬件虚拟化技术的发展，又出现了基于硬件辅助的虚拟机实现技术。虚拟机技术——基于x86架构的虚拟机实现技术1二、计算虚拟化与软件定义计算虚拟机技术发展早期只在大型机和小型机上得到了应用，直到上世纪80年代开始，x86架构计算机技术成熟并得到广泛应用，基于x86架构的虚拟化技术及产品才如雨后春笋般涌现。虚拟机技术——基于x86架构的虚拟机实现技术1（1）x86架构计算平台指令执行方式基于x86架构的计算平台为操作系统和应用程序提供了Ring0至Ring3四个特权级操作系统（内核）运行在最高运行级别Ring0上，可以直接使用特权指令，如控制中断、修改页表、访问设备等。应用程序运行在最低级别Ring3上，不能执行特权操作，要想执行就要通过系统调用跳转到OS内核执行，则会从Ring3切换到Ring0，操作完成后再从Ring0返回Ring3。虚拟机技术——基于x86架构的虚拟机实现技术1（1）x86架构计算平台指令执行方式基于x86架构的计算平台为操作系统和应用程序提供了Ring0至Ring3四个特权级虚拟化难题：主机操作系统工作在Ring0，客户操作系统就不能在Ring0上执行，因此在执行敏感指令和特权指令时就会引发系统错误。面向x86架构的全虚拟化、半虚拟化和硬件辅助虚拟化三种典型技术方案面向x86架构的全虚拟化、半虚拟化和硬件辅助虚拟化三种典型技术方案

虚拟机技术——基于x86架构的虚拟机实现技术1（2）x86架构计算平台——全虚拟化技术客户操作系统的敏感和特权指令无法直接下达至计算机系统硬件执行，则需要利用翻译技术经过VMM捕获进行模拟化执行。虚拟机技术——基于x86架构的虚拟机实现技术1（2）x86架构计算平台——全虚拟化技术

动态二进制翻译技术DBT（DynamicBinaryTransition）：是一种直接翻译可执行二进制程序的技术，即将代码从源机器平台映射到目标机器平台，使源机器平台上的代码“适应”目标平台。全虚拟化典型系统：VMware公司早期发布的VMwareWorkstation虚拟机技术——

基于x86架构的虚拟机实现技术1（3）x86架构计算平台——半虚拟化技术VMM运行在Ring0，客户机操作系统运行在Ring1，应用程序处于Ring3。为了解决客户机操作系统敏感和特权指令的执行问题，通过修改客户机操作系统内核，将不可虚拟化的指令转化为与虚拟化层进行交互的超级调用（Hypercall）方式实现指令执行。半虚拟化典型系统：Xen3.0之前版本虚拟机技术——

基于x86架构的虚拟机实现技术1（4）x86架构计算平台——硬件辅助虚拟化技术为简化虚拟化处理，Intel、AMD等硬件厂商相继推出了硬件辅助虚拟化技术，即Intel的VT-x和AMD的AMD-V，两者针对特权指令为CPU添加了一个根模式。VMM运行在根模式下，客户操作系统就可运行在Ring0级别，应用程序仍然处于最低级Ring3。客户操作系统的特权和敏感调用可直接陷入VMM执行，不依赖动态二进制翻译和修改操作系统的半虚拟化等技术。虚拟机技术——KVM虚拟机系统1二、计算虚拟化与软件定义计算

KVM（Kernel-basedVirtualMachine）是一套开源基于硬件辅助的全虚拟化虚拟机系统，最初由以色列Qumranet公司开发，2007年2月被正式集成到Linux2.6.20内核中。

KVM支持的操作系统包括：各种Linux版本、FreeBSD、Solaris、Windows、Haiku、ReactOS、Plan9、AROSResearchOS和MACOSX等，因此KVM成为目前主流的虚拟机运行环境。。KVM虚拟化运行环境组成架构KVM模块：是虚拟化环境的核心部分，形式上是Linux内核的一个加载模块，规模非常小。KVM模块本身并不执行任何硬件模拟，而是需要借助相应的用户空间程序实现，所以管理和创建KVM虚拟机还需要QEMU、Libvirt等辅助软件系统。KVM虚拟化运行系统虚拟化运行系统

QEMU：是一个开源I/O虚拟化软件，可对如网卡、硬盘等计算机物理层环境进行虚拟化。KVM虚拟机所有I/O请求都会被截获并发送给QEMU用户进程，除此之外虚拟机的配置和创建，以及诸如动态迁移等功能也都是由QEMU实现。KVM虚拟化运行系统虚拟化运行系统

Libvirt：是一个开源工具，其设计目的是通过相同方式管理如KVM、Xen等虚拟化引擎。①对虚拟机进行创建、启动、关闭、挂起、恢复、迁移和销毁等管理操作;②对虚拟机的处理器、内存、硬盘和网卡等进行添加和删除等。Libvirt架构组成虚拟化运行系统

LibvirtAPI库：用C语言实现的应用编程接口，支持Python、Perl、Java等程序语言，通过提供统一的应用编程接口来对底层不同VMM的实现细节进行屏蔽。Libvirt架构组成虚拟化运行系统

Libvirtd管理守候服务：是一个运行的后台进程，虚拟机管理应用程序可以通过Libvirtd服务进程实现对虚拟机的管理操作。Libvirt部署模式虚拟化运行系统

Libvirt本地部署模式Libvirt远程部署模式虚拟机技术1二、计算虚拟化与软件定义计算

虚拟机技术优点：虚拟机系统相对独立、安全隔离、便于扩展，具有可控的计算资源等。

虚拟机技术缺点：因为每个虚拟机内都需要运行一个完整的客户操作系统，所以会造成大量计算资源的消耗。基于此，人们进一步提出了基于容器的计算虚拟化技术。二、计算虚拟化与软件定义计算（1）虚拟机技术（2）容器技术（3）软件定义计算技术容器技术2二、计算虚拟化与软件定义计算

容器不需要客户操作系统，其是在操作系统层面对用户空间进行抽象化，因此也称其为操作系统级虚拟化（OS-levelVirtualization）。因为不需单独加载操作系统，所以容器是一种轻量级计算虚拟化技术，不需要消耗太多计算资源。容器技术——技术基础

2二、计算虚拟化与软件定义计算容器的技术实现主要是基于Linux内核的命名空间隔离（NamespaceIsolation）与控制组（ControlGroup）等两个功能机制。容器技术——技术基础——命名空间隔离2

命名空间隔离是Linux系统一种资源隔离机制，允许将全局系统资源划分为多个独立且相互隔离的部分。

容器通常要求具有以下隔离功能：（1）隔离的文件系统，以便进行数据资源隔离控制；（2）独立的机器名或域名，以便标识自己；（3）独立的IP、端口和路由等，以便在网络环境中能够进行容器定位；（4）独立的进程号，以便进行容器进程标识；（5）独立的用户和用户组，以便实现用户权限的隔离控制。容器技术——技术基础

2二、计算虚拟化与软件定义计算

Linux内核主要提供了六种Namespace隔离类型：二、计算虚拟化与软件定义计算容器技术——技术基础2

命名空间隔离创建了不同的系统资源视图，然而其并未完全限制资源使用，即没有实现真正资源隔离控制。假设创建命名空间NS-A的资源视图包括1GhzCPU和1G内存，进程A在命名空间NS-A内运行，但是进程A仍然可以使用到2GhzCPU或3G内存。容器技术——技术基础——控制组2

控制组是Linux系统一种资源管控机制，能够对进程实施物理资源（如CPU、内存和I/O等）的访问限制和优先级设置，从而实现资源的分配和控制。

控制组主要有三个核心组件：（1）Subsystem（子系统）：用于管理特定类型资源的模块，例如CPU、内存、磁盘I/O等；（2）CgroupHierarchy（Cgroup层级树）：用于组织和管理控制组的模块，一个Hierarchy由一个或多个subsystem组成，形成树状的多层资源管理结构；（3）Cgroup（控制组）：是最终资源管理单元，一个进程可以是多个Cgroup成员，但是这些Cgroup必须在不同的Hierarchy中。二、计算虚拟化与软件定义计算容器技术——技术基础

2

命名空间隔离和控制组这两项功能机制，相互补充共同实现封闭隔离的容器环境，是Linux实现容器虚拟化的关键，LXC（LinuxContainer）和Docker等容器系统实现的基础技术。二、计算虚拟化与软件定义计算容器技术——Docker技术2

Docker技术由DockerInc.公司于2013年推出，是目前最流行的容器虚拟化技术，它能够将应用程序和相关组件打包到一个轻量级、独立的容器执行环境中。

Docker技术两个重要概念：Docker镜像（Image）和Docker容器（Container）二、计算虚拟化与软件定义计算容器技术——Docker技术——Docker镜像（Image）2

Docker镜像是Docker容器构建的基础，是一种轻量级、独立的文件系统，类似于虚拟机中的镜像，可以提供容器运行时的程序代码、环境变量、配置文件等。容器技术——Docker技术——Docker镜像（Image）2最底层是引导文件系统bootfs，当容器启动后引导文件系统随即从内存被卸载。在Docker镜像构建中采用了联合文件系统（UnionFS）技术，其实现架构为分层存储模式，上一层是下一层的基础。容器技术——Docker技术——Docker镜像（Image）2在Docker镜像构建中采用了联合文件系统（UnionFS）技术，其实现架构为分层存储模式，上一层是下一层的基础。第二层是root文件系统，root文件系统永远是只读状态，该层通常被称为基础镜像（BaseImage）。容器技术——Docker技术——Docker镜像（Image）2在Docker镜像构建中采用了联合文件系统（UnionFS）技术，其实现架构为分层存储模式，上一层是下一层的基础。利用联合加载（Unionmount）技术可在root文件系统层上加载了多个只读文件系统。Docker镜像可基于分层存储的方式进行继承复用和定制

——在基础镜像之上定制和构建适用于具体应用的镜像容器技术——Docker技术——Docker容器（Container）2

Docker容器是由Docker镜像创建的运行实例，是镜像的运行时状态，可以被创建、启动、停止、删除等。容器技术——Docker技术——Docker容器（Container）2当基于镜像创建启动容器时，Docker会在镜像之上加载一个读写文件系统（即读写层Container），其是容器执行程序的地方。初始启动容器时读写层为空，在文件系统发生变化时会应用到这一层。例如，如果想要修改一个文件，该文件首先会从只读层被复制到读写层，当然该文件的只读版本依然存在于只读层，只是被读写层的该文件副本所隐藏，这种机制被称为写时复制（Copyonwrite）。容器技术——Docker技术——Docker系统组成架构2NamespaceCgroupsDockerClient是用户进行Docker系统管理的户接口，可通过交互命令行接口CLI与DockerServer进行交互，向DockerServer发出用户请求执行相应的容器管理操作。NamespaceCgroupsDockerdaemon是Docker系统的主体与核心，是常驻后台的系统进程，主要由DockerServer和DockerEngine构成。DockerServer：负责处理dockerclient发送的用户请求，会生成具体任务并分发给不同模块执行，这些任务被定义为Job，具体由DockerEngine处理。DockerEngine：是Docker架构中的运行引擎，负责Job的调度和执行，通过执行Job的方式来操纵管理容器。NamespaceCgroupsDockerRegistry：负责存储和分发Docker镜像，为容器的构建和运行提供基础支持。在Docker系统中，DockerEngine会与DockerRegistry通信，实现搜索镜像、下载镜像、上传镜像的功能。NamespaceCgroupsDockerDriver：是Docker架构中的驱动模块，通过它Docker系统可以实现对Docker容器运行环境的定制。Graphdriver：用于完成容器镜像的管理，包括获取与存储。Networkdriver：用于完成Docker容器网络环境的配置。Execdriver：是Docker容器的执行驱动，负责创建容器运行命名空间、统计和限制容器资源使用、支撑容器内部进程的运行等。NamespaceCgroupsDockerGraphDB：是一个小型数据库（如SQLite），负责在本地存储Docker镜像，存储的信息包括容器镜像的元数据、大小信息等。NamespaceCgroupsLibcontainer：提供一套标准化接口，Docker系统通过其访问Linux内核中与容器相关的API，如Namespace和Cgroups的系统调用，实施对容器的管理和运行支撑。NamespaceCgroupsDockerContainer（即Docker容器）：是Docker架构中服务交付的最终体现方式，是为用户提供服务的一个或一组应用实例。每个容器独立运行、互不影响，通过调用Libcontainer库操纵Linux内核中namespace、cgroups、网络等功能。容器技术——Docker技术——Docker系统部署模式2在实际应用时，Docker系统各组件可集中部署也可分离部署。Docker系统分离部署架构容器技术——Docker技术——Docker系统部署模式2Docker系统的虚拟化计算环境二、计算虚拟化与软件定义计算容器技术2容器相对虚拟机存在的不足：（1）安全隔离能力较弱（2）应用支持能力有限：对于无状态类型应用支持可谓完美，但是对于数据库、ACID（即原子性Atomicity、一致性Consistency、隔离性Isolation和持久性Durability）等类型应用支持存在很大不足。（3）平台兼容能力不够：虚拟机中可运行不同客户操作系统，所以可支持不同操作系统的应用程序运行；因为容器共享宿主操作系统，所以在容器中只能运行宿主操作系统的应用程序。二、计算虚拟化与软件定义计算（1）虚拟机技术（2）容器技术（3）软件定义计算技术二、计算虚拟化与软件定义计算软件定义计算技术3

随着云计算、大数据与人工智能等概念的提出与应用的飞速发展，对计算资源的应用与管理需求变得更加动态和多样，因此亟需一种能够对计算资源实施动态性调配与定制化管理的技术。

软件定义计算（SDC，SoftwareDefinedCompute）：是一种实现计算资源可编程管理的技术，即在构建的虚拟化计算资源池基础上，可根据应用需要利用编程方式灵活地进行虚拟化计算资源的自动化调配与管控。软件定义计算技术3由控制管理计算资源的软件系统或组件构成，基于策略驱动方式负责计算资源的运转与监控管理。向下通过执行平面接口调度和管理各类计算资源。向上为应用平面提供应用编程接口，使得上层应用可以灵活编排和使用计算资源。二、计算虚拟化与软件定义计算软件定义计算技术3（1）OpenStack虚拟机编排技术（2）K8s容器编排技术二、计算虚拟化与软件定义计算软件定义计算技术——OpenStack虚拟机编排技术——OpenStack简介3

OpenStack是美国国家航空航天局NASA和Rackspace公司在2010年联合发布的一个云计算管理平台项目，由一系列开源软件组成。①向下组织、调度管理信息网络基础设施中各种计算、存储、网络甚至应用等IT资源；

②向上提供诸如IaaS（基础设施即服务）、PaaS（平台即服务）和SaaS（软件即服务）等IT服务。OpenStack中计算服务组件，主要负责对虚拟机实施全生命周期的控制和管理，即负责虚拟机的创建、开机、关机、挂起、暂停、迁移、销毁等，以及进行虚拟机CPU、内存等配置。OpenStack中虚拟机镜像管理服务组件，能够实现虚拟机镜像的创建与上传、查找与检索、编辑与删除等功能，支持ISO、Raw、VDI等多种类型虚拟机镜像格式。OpenStack中块存储服务组件，为虚拟机运行实例提供数据块存储服务，如创建卷、删除卷、在实例上挂载和卸载卷等。OpenStack中对象存储服务组件，可为Glance提供镜像存储，为Cinder提供卷备份服务。OpenStack中网络服务组件，提供网络连接服务，以及DHCP、DNS、VPN和负载均衡等高级网络服务。OpenStack中部署编排服务组件，提供了一种基于模板定义的资源及应用的协同部署方式。OpenStack中认证服务组件，提供如身份认证、令牌管理和访问控制等安全功能。测量服务组件用户接口界面为了便于服务组件的独立发展和与第三方系统集成在架构设计中采用了一种基于RESTfulAPI的服务请求与应答机制二、计算虚拟化与软件定义计算软件定义计算技术——OpenStack虚拟机编排技术——RESTfulAPI开发框架3

RESTfulAPI框架是一种遵循表现层状态转换（REST：RepresentationalStateTransfer）设计原则与约束的应用服务的开发方式，主要被应用于客户/服务类的软件开发。二、计算虚拟化与软件定义计算软件定义计算技术——OpenStack虚拟机编排技术——RESTfulAPI开发框架3

无状态特征：在RESTfulAPI框架中，服务端只需保存资源相关信息而不需对客户端应用状态进行保存。

正是框架的无状态特征使得应用状态只保存在客户端，从而减少了服务端维护应用会话所消耗的资源。二、计算虚拟化与软件定义计算软件定义计算技术——OpenStack虚拟机编排技术——RESTfulAPI开发框架3

RESTfulAPI开发框架主要基于HTTP、JSON、URI和HTML等Web服务开发标准和协议构建；

可使用不同编程语言编写客户端和服务端，通过HTTP的POST、PUT、DELETE、GET等方法实现对服务端资源的操作。二、计算虚拟化与软件定义计算软件定义计算技术——OpenStack虚拟机编排技术——RESTfulAPI开发框架3

RESTfulAPI开发框架使得客户端无需了解应用系统层级关系，从而可以实现不同层级和模块的解耦，提高系统拓展性，即每个层级的服务只需关心和自身联系的层级，因此设计实现也更加独立和清晰。二、计算虚拟化与软件定义计算软件定义计算技术——OpenStack虚拟机编排技术——Nova计算服务组件3在OpenStack框架中，与虚拟机系统相关的功能主要集中在Nova服务组件中，负责对虚拟机的全生命周期的管理。

注意：Nova组件本身不提供任何虚拟化能力，其仅仅是通过调用如LibvirtAPI等第三方接口与VMM进行交互，实现对虚拟机系统的调度管控。软件定义计算技术——OpenStack虚拟机编排技术——Nova计算服务组件3

Nova服务组件主要包含Nova-api、Nova-compute、Nova-conductor和Nova-scheduler等功能模块。是对虚拟机管理的核心服务，通过调用虚拟机管理API完成对虚拟机系统的操控与管理。软件定义计算技术——OpenStack虚拟机编排技术——Nova计算服务组件3软件定义计算技术——OpenStack虚拟机编排技术——Nova计算服务组件3

Nova服务组件主要包含Nova-api、Nova-compute、Nova-conductor和Nova-scheduler等功能模块。负责计算资源的调度，其提供多种算法来应对不同场景下Nova对计算资源的调度。软件定义计算技术——OpenStack虚拟机编排技术——Nova计算服务组件3

Nova服务组件主要包含Nova-api、Nova-compute、Nova-conductor和Nova-scheduler等功能模块。Nova各个服务模块与数据库交互的接口。软件定义计算技术——OpenStack虚拟机编排技术——Nova计算服务组件3

Nova服务组件主要包含Nova-api、Nova-compute、Nova-conductor和Nova-scheduler等功能模块。Nova服务的访问入口，对外提供RESTfulAPI服务。Nova-api服务模块相当于软件定义架构中的北向接口软件定义计算技术——OpenStack虚拟机编排技术——Nova计算服务组件3Nova创建虚拟机流程示例①用户发起创建虚拟机程序指令，指令通过Nova-api服务组件被发送到消息队列（如RabbitMQ）。软件定义计算技术——OpenStack虚拟机编排技术——Nova计算服务组件3Nova创建虚拟机流程示例②从消息队列获取创建指令，通过调度算法选择一个计算节点，然后向消息队列发送一条“创建虚拟机”消息。软件定义计算技术——OpenStack虚拟机编排技术——Nova计算服务组件3Nova创建虚拟机流程示例③从消息队列获取“创建虚拟机”消息，调用相应虚拟化接口创建虚拟机。二、计算虚拟化与软件定义计算软件定义计算技术——OpenStack虚拟机编排技术——Heat服务组件3

Heat服务组件为OpenStack提供更加智能和高级的服务与资源编排功能。

注意：Heat服务组件通过Nova组件可以编排虚拟机资源，当然也可通过Cinder和Neutron组件对存储资源和网络资源进行编排调度。软件定义计算技术——OpenStack虚拟机编排技术——Heat服务组件3

Heat组件主要由Heat-api、Heat-engine和Heat-api-cloudwatch等功能模块组成。主要负责任务调度和各种资源的生命周期管理等功能。注意：Heat只负责资源编排不会创建资源，资源创建由相应组件处理软件定义计算技术——OpenStack虚拟机编排技术——Heat服务组件3

Heat组件主要由Heat-api、Heat-engine和Heat-api-cloudwatch等功能模块组成。主要负责获取运行监控数据。软件定义计算技术——OpenStack虚拟机编排技术——Heat服务组件3

Heat组件主要由Heat-api、Heat-engine和Heat-api-cloudwatch等功能模块组成。Heat服务组件访问的接口，接收RESTAPI请求，并把请求发送到Heat-engine。二、计算虚拟化与软件定义计算软件定义计算技术3（1）OpenStack虚拟机编排技术（2）K8s容器编排技术二、计算虚拟化与软件定义计算软件定义计算技术——K8s容器编排技术3

目前在容器编排领域中，ApacheMesos、DockerSwarm和Kubernetes是Docker最主流的三个容器编排系统。

Kubernetes（k8s）是Google2014年开源的一个可扩展、可移植的容器编排引擎，提供容器应用实例的自动部署、复制、重启和伸缩拓展等功能。K8s系统组成架构Master节点：是K8s集群的控制节点。K8s系统组成架构Worker节点：是K8s集群的工作结点。K8s中创建、调度和管理资源的最小单位是Pod而不是Docker容器，通常一个Pod包含一个或多个容器。同一个Pod内的容器运行在同一个宿主机上且可共享资源，使用相同的网络命名空间、IP地址和端口等。K8s系统组成架构是K8s集群中各类资源操控的接口，采用的是RESTfulAPI接口模式，其相当于软件定义架构中的北向接口，可供内外部调用。基于YAML语言声明性模板的Pod等资源定义与编排管理方法。基于Deployment的容器编排机制二、计算虚拟化与软件定义计算软件定义计算技术——K8s容器编排技术——基于Deployment容器编排机制3

K8s集群中通常会部署大量、各种类型应用的Pod对象实例，如何进行Pod的高效运维管理是K8s集群的重要工作之一。二、计算虚拟化与软件定义计算软件定义计算技术——K8s容器编排技术——基于Deployment容器编排机制3

为了提高Pod的运维管理工作效率，K8s引入了基于Deployment的Pod管理机制。二、计算虚拟化与软件定义计算软件定义计算技术——K8s容器编排技术——基于Deployment容器编排机制3

基于Deployment的Pod管理机制，能够将相同应用的一组Pod规划到同一Deployment中，并且同组Pod具有一致的副本。软件定义计算技术——K8s容器编排技术——基于Deployment容器编排机制3

Deployment控制器功能主要是通过ReplicaSet对Pod资源进行运维管理，为了性能或高可用性的考虑通常采用分布式应用部署。Deployment控制器工作流程示例接收外部操控指令后，判定应做什么处理。软件定义计算技术——K8s容器编排技术——基于Deployment容器编排机制3

Deployment控制器功能主要是通过ReplicaSet对Pod资源进行运维管理，为了性能或高可用性的考虑通常采用分布式应用部署。Deployment控制器工作流程示例如果Paused为true则进行资源数量同步操作，即把期望Pod副本数量同步到ReplicaSet，然后进行Updatestatus状态更新操作，最后通过APIServer完成同步处理。软件定义计算技术——K8s容器编排技术——基于Deployment容器编排机制3

Deployment控制器功能主要是通过ReplicaSet对Pod资源进行运维管理，为了性能或高可用性的考虑通常采用分布式应用部署。Deployment控制器工作流程示例否则进行Pod资源的Create/Update/Delete等操控处理。软件定义计算技术——K8s容器编排技术——基于Deployment容器编排机制3

ReplicaSet是在Deployment控制下具体实施Pod资源副本管理的控制器，并且同一个Deployment控制器下可能有多个ReplicaSet控制器。ReplicaSet控制器工作流程示例从Deployment控制器获取资源操控指令与管理策略，然后依据指令和策略实施资源管理。二、计算虚拟化与软件定义计算软件定义计算技术——K8s容器编排技术——基于Deployment容器编排机制3①Pod资源更新发布②Pod资源版本回滚二、计算虚拟化与软件定义计算软件定义计算技术——K8s容器编排技术——基于Deployment容器编排机制3①Pod资源更新发布资源更新发布是资源管理的首要任务，在K8s中Pod资源的更新发布支持重建更新（Recreate）和滚动更新（RollingUpdate）等两种更新模式。重建更新模式：在创建新版本Pod资源实例之前，会先杀掉所有现存的老版本Pod资源实例，因此无法保证业务服务的不中断。滚动更新模式：先杀死一部分老版本Pod资源实例，然后创建启动一部分新版本Pod资源实例，如此循环直至更新发布结束，能够保证业务服务持续性。软件定义计算技术——K8s容器编排技术——基于Deployment容器编排机制3①Pod资源更新发布二、计算虚拟化与软件定义计算软件定义计算技术——K8s容器编排技术——基于Deployment容器编排机制3①Pod资源更新发布在滚动更新模式有两个重要配置参数：MaxUnavailable：更新过程中最多有几个Pod资源实例不可用；MaxSurge：更新过程中最多允许超过预期副本数量的Pod资源实例数。

参数值设置通常需要结合具体应用场景。例如当资源足够且更注重发布过程中的可用性，则可设置MaxUnavailable较小、MaxSurge较大。软件定义计算技术——K8s容器编排技术——基于Deployment容器编排机制3②Pod资源版本回滚

Pod资源版本回滚一般是因为发现当前更新的应用版本有问题，所以需要进行版本的回退。二、计算虚拟化与软件定义计算软件定义计算技术——K8s容器编排技术——基于Deployment容器编排机制3

为了便于对Deployment、ReplicaSet和Pod等对象资源实施管理，与OpenStack类似K8s也提供了一种基于YAML语言的资源定义与编排管理方法。mynginx-deployment.ymal文件源代码

apiVersion:apps/v1#Deployment当前所属组是apps，版本是v1kind:Deployment#资源类型是Deploymentmetadata:#Deployment元数据，作为一种K8s资源

#Deployment有自己的元信息name:mynginx-deployment#Deployment资源名字，元数据必须项namespace:nginx-sp#Deployment资源所属命名空间labels:#Deployment资源标签app:mynginx

spec:#Deployment资源规格说明replicas:3#期望Pod副本数量revisionHistoryLimit:3#保留ReplicaSet历史版本数量，默认为10paused:false#部署模式，默认值是false，即允许更新部署progressDeadlineSeconds:600#部署超时时间（单位：秒），默认是600strategy:#Pod更新策略，默认是RollingUpdate更新策略type:RollingUpdate#配置更新策略为滚动更新rollingUpdate:#配置RollingUpdate更新策略的更新参数maxSurge:25%#更新过程中期望Pod最大数量，可为百分比，也

#可为整数，默认是25%谢谢！软件定义与网络安全

第3单元：存储虚拟化与软件定义存储三、存储虚拟化与软件定义存储

1存储虚拟化技术存储虚拟化概述存储虚拟化技术框架与实现方式分布式虚拟化存储系统：Ceph

2软件定义存储技术软件定义存储概述软件定义存储系统架构与实现方式软件定义存储实例存储虚拟化技术——存储虚拟化概述1主机级存储直连式附加存储网络存储技术存储虚拟化SV软件定义存储SDS网络文件服务器、数据库服务器磁盘、磁带网络附加存储NAS、存储区域网络SAN网络化性能、管理动态、精确控制、自动化容量、共享存储虚拟化技术——存储虚拟化概述1三、存储虚拟化与软件定义存储

存储虚拟化（SV：Stora