网络虚拟化技术
数据包从虚拟机到物理机过程:
虚拟机 -> QEMU虚拟网卡 -> 虚拟化层 -> 内核网桥 -> 物理网卡
半虚拟化技术使数据包跳过QEMU虚拟网卡,从虚拟机直接到虚拟化层,
虚拟网卡性能排序:
半虚拟化网卡(virtio) > 全虚拟化网卡(e1000,rtl8139)
MacVTap 和vhost-net技术
- MacVTap跳过内核网桥
- vhost-net跳过虚拟化层
使用vhost_net,必须使用Virtio半虚拟化网卡
MacVTap技术
简化虚拟化环境中的交换网络,代替传统的Linux TAP设备加Bridge设备组合
MacVTap设备有3中不同的工作模式:
- VEPA
同一物理网卡下的MacVTap设备之间的流量要发送到外部交换机,再由外部交换机转发回来,前提是交换机支持hairpin模式 - Bridge
类似传统的Linux Bridge,同一物理网卡下的MacVTap设备可以一直接通信 - Private
同一物理网卡下的MacVTap设备互相无法联通
创建MacVTap端口过程
ip link add link eth0 name MacVTap0 type MacVTap
ip link set MacVTap0 address 1a:in:in:ij:fa:sd up
ip link show MacVTap0
KVM虚拟机使用MacVTap网络
在xml文件配置如下
<interface type='direct'>
<mac address='la:46:0b:ca:bc:7b'/>
<source dev='eth0' mode='bridge' />
<model type='e1000' />
<address type='pci' domain='0x0000' bus='0x00' slot='0x03' function='0x0'/>
</interface >
虚拟机开启后,宿主系统会自动创建一台MacVTap设备给虚拟机使用,这台MacVTap设备附属于母设备eth0,工作模式为Bridge
vhost_net技术
运行一台虚拟机是由用户空间的 QEMU 和内核的 KVM 共同完成的, QEMU 负责模拟各种设备提供给虚拟机, KVM 负责完成 CPU 和内存的虚拟化。 Virtio 的后端处理程序一般是由用户空间的 QEMU 提供的。 为了进一步减少延迟、提高性能, 比较新的内核中增加了一个 vhost_net 的驱动模块, 在内核中实现了 Virtio 的后端处理程序。
xml文件配置
<interface type='bridge'>
<mac address=''/>
<source bridge='br0' />
<model type='Virtio'/>
<driver name="vhost"/>
<address type='pci' domain='0x0000' bus='0x00' slot='0x03' function='0x0'/>
</interface >
网卡中断与多队列
1.物理网卡的中断与多队列
RSS 是网卡的硬件特性, 实现多队列, 将不同的流分发到不同的CPU上, 同一数据流始终在同一CPU 上, 避免 TCP的顺序性和 CPU 的并行性发生冲突。基于流的负载均衡, 解决了顺序协议和CPU并行的冲突及Cache热度问题。
查看网卡是否支持RSS:
ls /sys/class/net/eth0/queues/
2.绑定中断
CentOS系统中依靠 irqbalance服务优化中断分配,irqbalance服务用于优化中断分配,它会自动收集系统数据以分析使用模式,并依据系统负载状况将工作状态置于Performance mode 或 Power-save mode。
- 处于Performance mode 时,irqb alance 会将中断尽可能均匀地分发给各个 CPU core,以充分利用CPU 多核, 提升性能。
- 处于Power-save mode 时,irqbalance会将中断集中分配给第一个CPU, 以保证其他空闲 CPU 的睡眠时间,降低能耗。
irqbalance服务在大压力情况下,尤其是万兆网卡上,有中断漂移及分配不平均的现象。如果压力比较大,可以手工调整系统的网卡中断。
3.多队列Virtio网卡
查看是否支持:
grep IFF_MULTL_QUEUE /usr/include/Linux/if_tun.h
多队列Virtio网卡配置:
<interface type='bridge'>
<mac address='52:54:00:43:6e:3f'/>
<source bridge='clients' />
<model type='Virtio' />
<driver name='vhost' queues= 'N' />
<address type='pci' domain='0x0000' bus='0x0000' solt='0x0000' function='0x0' />
</interface>
N 1-8最多支持8个队列,在虚拟机上执行以下命令开启多队列网卡:
ethtool -L eth0 combined M
M 1-N,M小于等于N
网卡 PCI Passthrough 技术
如果虚拟机对网络的要求非常高, 通过 PCI Passthrough 技术将物理网卡直接给虚拟机使用, 虚拟机将单独使用网卡, 可以达到几乎和物理网卡一样的性能。
PCI Passthrough跳过QEMU虚拟网卡,虚拟化层,内核网桥,直接让虚拟机与物理网卡连接
PCI Passthrough配置
1.查看网卡设备信息:
lspci
或者virsh nodedev-list --tree
+- pci_0000_00_11_0
| |
| +- pci_0000_02_00_0
| | |
| | +- net_ens32_00_0c_29_c2_6d_e4
| |
| +- pci_0000_02_01_0
| |
| +- net_ens33_00_0c_29_c2_6d_ee
2.得到pci_0000_02_00_0的配置信息
virsh nodedev-dumpxml pci_0000_02_00_0
<device>
<name>pci_0000_02_00_0</name>
<path>/sys/devices/pci0000:00/0000:00:11.0/0000:02:00.0</path>
<parent>pci_0000_00_11_0</parent>
<driver>
<name>e1000</name>
</driver>
<capability type='pci'>
<domain>0</domain>
<bus>2</bus>
<slot>0</slot>
<function>0</function>
<product id='0x100f'>82545EM Gigabit Ethernet Controller (Copper)</product>
<vendor id='0x8086'>Intel Corporation</vendor>
</capability>
</device>
3.编辑虚拟机xml文件,加入PCI设备信息
<hostdev mode='subsystem' type='pci' managed='yes'>
<source>
<address domain='0x0000' bus='0x04' slot='0x00' function='0x0'/>
</source>
</hostdev>
SR-IOV虚拟化技术
SR-IOV (Single Root I/O Virtualization)是一个 PCI 快捷标准,把单一物理 PCI 功能扩展到同分散的虚拟化功能(VF)一样共享 PCI 资源。通过 PCI 设备分配,每个功能可以被不同虚拟机使用。
SR-IOV 上有两个功能类型。
- Physical Functions (PFs): 拥有全功能PCI-E 功能,用于配置管理SR-IOV。
- Virtual Functions (VFs) : 只有轻量级的 PCI-E 功能,只包含数据传输必要的资源, 但是资源可以 非常细致地配置, 每个 PF 最多可有 64 000 个与其关联的虚拟功能(Virtual Function, VF) 。
SR- IOV 标准允许高效共享PCI-E 设备, 有以下优点:
- 良好的性能, 虚拟机绕过虚拟化层和系统, 直接访问硬件, 没有虚拟化层软件模拟的开销。
- 降低成本, 减少了设备数量, 例如网卡的SR-IOV减少了网卡数量、交换机端口、网线。
2.网卡S R-IO V 的配置
SR-IOV 的配置需要先配置宿主机 PF , 然后将子网卡通过网卡独占的方式供虚拟机使用。
(1) 加载SR-IOV 内核模块
通过modprobe 命令加载igb 模块。
modprobe igb
实际加载的时候,需要激活虚拟功能(VF)。
modprobe igb max_vfs=7
千兆网卡最多 支持 8 个 VF ( 0 - 7 )。千兆网卡目前支待比较好的是Intel I350, Intel82576 虽然也支持SR-IOV, 但是只支持虚拟机是Linux 系统, Windows 系统不支持。
万兆网卡最多支持64 个 VF (0 - 63), Intel 的新一代万兆网卡 X520 ( 82599 )、X540都支持SR-IOV技术。
如果是主板集成的网卡 ,一 般在 BIOS 中 SR-IOV功能是关闭的。如果要使用 , 需要在 BIOS 中打开 SR-IOV选项。
如果需要重新设置VF, 可以删除模块再重新加载。
modprobe -r igb
将配置永久写入配置文件。
echo "options igb max_vfs=7" >> /etc/modprobe.d/igb.c onf
通过 lspci 命令可以看多主网卡和子网卡。
(2) 子网卡的使用
虚拟机可以通过网卡独占的方式使用子网卡。
virsh nodedev-list |grep 0b
虚拟机网卡xml 配置文件如下:
<interface type='hostdev' managed='yes'>
<source>
<address type='pci' domain='0' bus='11' slot='16' function='0'/>
</source>
</interface>
虚拟机需要安装网卡驱动才能 使用子网卡,高版本的Linux系统可以自动识别子网卡,
Windows系统只能是2008 Sevrer 以上版本,并且要安装最新的 Intel网卡驱动。