资讯专栏INFORMATION COLUMN

私有云部署-UCloudStack私有云部署之虚拟机

ernest.wang / 1330人阅读

摘要:虚拟网卡与虚拟机的生命周期一致,无法进行分离,虚拟机被销毁时,虚拟网卡即被销毁。每块虚拟网卡支持绑定一个安全组,提供网卡级别安全控制。平台默认提供块虚拟网卡,若业务有块以上网卡需求可通过绑定弹性网卡,为虚拟机提供多网络服务。

虚拟机是 UCloudStack 云平台的核心服务,提供可随时扩展的计算能力服务,包括 CPU 、内存、操作系统等最基础的计算组件,并与网络、磁盘等服务结合提供完整的计算环境。通过与负载均衡等服务结合共同构建 IT 架构。

  • UCloudStack 云平台通过 KVM ( Kernel-based Virtual Machine ) 将物理服务器计算资源虚拟化,为虚拟机提供计算资源;
  • 一台虚拟机的计算资源只能位于一台物理服务器上,当物理服务器负载较高或故障时,自动迁移至其它健康的物理服务器;
  • 虚拟机计算能力通过虚拟 CPU ( vCPU ) 和内存表示,存储能力通过云存储容量和性能体现;
  • 虚拟机管理程序通过控制 vCPU、内存及磁盘的 QoS ,用于支持虚拟机资源隔离,保证多台虚拟机在同一台物理服务器上互不影响。

虚拟机是云平台用户部署并运行应用服务的基础环境,与物理计算机的使用方式相同,提供创建、关机、断电、开机、重置密码、重装系统、升降级等完全生命周期功能;支持 Linux、Windows 等不同的操作系统,并可通过 VNC 、SSH 等方式进行访问和管理,拥有虚拟机的完全控制权限。虚拟机运行涉及资源及关联关系如下:

虚拟机结构

如图所示,实例规格、镜像、VPC 网络是运行虚拟机必须指定的基础资源,即指定虚拟机的 CPU 内存、操作系统、虚拟网卡及 IP 信息。在虚拟机基础之上,可绑定云硬盘、弹性IP 及安全组,为虚拟机提供数据盘、公网 IP 及网络防火墙,保证虚拟机应用程序的数据存储和网络安全。

在虚拟化计算能力方面,平台提供 GPU 设备透传能力,支持用户在平台上创建并运行 GPU 虚拟机,让虚拟机拥有高性能计算和图形处理能力。支持透传的设备包括 NVIDIA 的 K80、P40、V100、2080、2080Ti、T4 及 华为 Atlas300 等。

4.2.1 实例规格

实例规格是对虚拟机 CPU 内存的配置定义,为虚拟机提供计算能力。CPU 和内存是虚拟机的基础属性,需配合镜像、VPC 网络、云硬盘、安全组及密钥,提供一台完整能力的虚拟机。

  • 默认提供 1C2G 、2C4G 、4C8G 、8C16G 、16C32G 等实例规格;
  • 支持自定义实例规格,提供多种 CPU 内存组合,以满足不同应用规模和场景的负载要求;
  • 支持升降级虚拟机 CPU 和内存配置,可通过更改实例规格进行调整;
  • 实例规格通过关机后变更,需重新启动虚拟机生效;
  • 实例规格与虚拟机生命周期一致,虚拟机被销毁时,实例规格即被释放。

创建虚拟机规格支持根据不同的集群创建不同的规格,即可为不同的机型创建不同的规格,租户创建虚拟机选择不同机型时,即可创建不同规格的虚拟机,适应不同集群硬件配置不一致的应用场景。可分别定义 CPU 和内存:

  • CPU 规格支持(C):除 1 以外,以2的倍数进行增加,如 1C、2C、4C、6C ,最大值为240C。
  • 内存规格支持(G):除 1 以外,以2的倍数进行增加,如 1G、2G、4G、6G ,最大值为 1024G。

创建出的规格即可被所有租户看到并使用,可根据业务需求在不同的集群中创建不同的规格。

4.2.2 镜像

镜像( Image )是虚拟机实例运行环境的模板,通常包括操作系统、预装应用程序及相关配置等。虚拟机管理程序通过指定的镜像模板作为启动实例的系统盘,生命周期与虚拟机一致,虚拟机被销毁时,系统盘即被销毁。平台虚拟机镜像分为基础镜像和自制镜像。

4.2.2.1 基础镜像

基础镜像是由 UCloudStack 官方提供,包括多发行版 Centos 、Ubuntu 及 Windows 等原生操作系统。

  • 基础镜像默认所有租户均可使用,默认提供的镜像包括 Centos 6.5 64 、Centos 7.4 64 、Windows 2008r2 64 、Windows 2012r2 64 、Ubuntu 14.04 64 、Ubuntu 16.04 64。
  • 基础镜像均经过系统化测试,并定期更新维护,确保镜像安全稳定的运行和使用;
  • 基础镜像为系统默认提供的镜像,仅支持查看及通过镜像运行虚拟机,不支持修改;
  • Linux 镜像默认系统盘为 40GB ,Windows 镜像默认系统盘为 40GB ,支持创建时进行系统盘容量扩容,也可以在虚拟机创建后做系统盘扩容操作(需要用户手动进入虚拟机内部进行文件系统扩容操作)。
  • 支持管理将租户自制或导入的镜像复制为基础镜像,作为默认基础镜像共享给平台所有租户使用;同时支持管理员修改基础镜像的名称备注及删除基础镜像。
  • 支持重装系统,即更换虚拟机镜像,Linux 虚拟机仅支持更换 Centos 和 Ubuntu 操作系统,Windows 虚拟机仅支持更换 Windows 其它版本的操作系统;
Windows 操作系统镜像为微软官方提供,需自行购买 Lincense 激活。

4.2.2.2 自制镜像

自制镜像由租户或管理员通过虚拟机自行制作或自定义导入已有的自有镜像,可用于创建虚拟机,除平台管理员外,平台的租户自身也有权限查看和管理。

  • 支持管理员和租户制作、导入和导出自定义镜像;同时管理员可导出镜像仓库中的所有自制镜像。
  • 支持管理员和租户通过自制镜像创建虚拟机、删除自制镜像、修改自制镜像名称。

为方便平台镜像模板文件的共享,平台支持管理员将一个自制镜像复制为一个基础镜像,使一个租户的自制镜像共享给所有租户使用,适用于运维部门制作模板镜像的场景,如自制镜像操作系统的漏洞修复或升级后,制作一个自制镜像并复制为基础镜像,使所有租户可使用新的镜像文件升级虚拟机系统。

4.2.2.3 镜像存储

基础镜像和用户自制镜像默认均存储于分布式存储系统,保证性能的同时通过三副本保证数据安全。

  • 镜像支持 QCOW2 格式,可将 RAW、VMDK 等格式镜像转换为 QCOW2 格式文件,用于 V2V 迁移场景;
  • 所有镜像均存储于分布式存储系统,即镜像文件会分布在底层计算存储超融合节点磁盘上;
  • 若为独立存储节点,则分布存储于独立存储节点的所有磁盘上;
  • 一个地域的镜像只能创建本地域的虚拟机,不支持跨地域镜像创建虚拟机。

4.2.3 虚拟网卡

虚拟网卡( Virtual NIC )是虚拟机与外部通信的虚拟网络设备,创建虚拟机时随 VPC 网络默认创建的虚拟网卡。虚拟网卡与虚拟机的生命周期一致,无法进行分离,虚拟机被销毁时,虚拟网卡即被销毁。有关 VPC 网络详见 VPC 网络 。

虚拟网卡基于 Virtio 实现,QEMU 通过 API 对外提供一组 Tun/Tap 模拟设备,将虚拟机的网络桥接至宿主机网卡,通过 OVS 与其它虚拟网络进行通信。

  • 每个虚拟机默认会生成 2 块虚拟网卡,分别承载虚拟机内外网通信。
  • 在虚拟机启动时,根据选择的 VPC 子网自动发起 DHCP 请求以获取内网 IP 地址,并将网络信息配置在一块虚拟网卡上,为虚拟机提供内网访问。
  • 虚拟机启动后,可申请公网 IP (外网 IP)绑定至虚拟机,提供互联网访问服务。绑定的外网 IP 会自动将公网 IP 信息配置在另一块虚拟网卡上,为虚拟机提供外网访问;一个虚拟机支持绑定 50 个外网 IPv4 和 10 个 IPv6 地址 。
  • 不支持修改虚拟网卡的 IP 地址,手动修改的 IP 地址将无法生效。
  • 每块虚拟网卡支持绑定一个安全组,提供网卡级别安全控制。
  • 支持虚拟网卡 QoS 控制,提供自定义设置虚拟网卡的出/入口带宽。

平台默认提供 2 块虚拟网卡,若业务有 2 块以上网卡需求可通过绑定 弹性网卡 ,为虚拟机提供多网络服务。

4.2.4 弹性网卡

弹性网卡( Elastic Network Interface, ENI )是一种可随时附加到虚拟机的弹性网络接口,支持绑定和解绑,可在多个虚拟机间灵活迁移,为虚拟机提供高可用集群搭建能力,同时可实现精细化网络管理及廉价故障转移方案。

evnic

弹性网卡与虚拟机自带的默认网卡(一个内网网卡和一个外网网卡)均是为虚拟机提供网络传输的虚拟网络设备,分为内网网卡和外网网卡两种类型,同时均会从所属网络中分配 IP 地址、网关、子网掩码及路由相关网络信息。

  • 内网类型的弹性网卡所属网络为 VPC 和子网,同时从 VPC 中自动或手动分配 IP 地址。
  • 外网类型的弹性网卡所属网络为外网网段,同时会从外网网段中自动或手动分配 IP 地址,且分配的 IP 地址与弹性网卡生命周期一致,仅支持随弹性网卡销毁而释放。
  • 当网卡类型为外网时,网卡会根据所选外网 IP 的带宽规格进行计费,用户可根据业务需要,选择适合的付费方式和购买时长。
虚拟机自带的默认网卡所属网络为虚拟机创建时指定的 VPC 和子网,为虚拟机绑定一块不同 VPC 的弹性网卡,虚拟机即可与不同 VPC 网络的虚拟机进行通信。

弹性网卡具有独立的生命周期,支持绑定和解绑管理,可在多个虚拟机间自由迁移;虚拟机被销毁时,弹性网卡将自动解绑,可绑定至另一台虚拟机使用。

弹性网卡具有地域(数据中心)属性,仅支持绑定相同数据中心的虚拟机。一块弹性网卡仅支持绑定至一个虚拟机,x86 架构虚拟机最多支持绑定 6 块弹性网卡,ARM 架构虚拟机最多支持绑定 3 块网卡。外网弹性网卡被绑定至虚拟机后,不影响虚拟机默认网络出口策略,包含虚拟机上弹性网卡绑定的外网 IP 在内,以第一个有默认路由的 IP 作为虚拟机的默认网络出口,用户可设置某一个有默认路由的外网 IP 为虚拟机默认网络出口。

每块弹性网卡仅支持分配一个 IP 地址,并可根据需要绑定一个安全组,用于控制进出弹性网卡的流量,实现精细化网络安全管控;如无需对弹性网卡的流量进行管控,可将弹性网卡的安全组置空。

用户可通过平台自定义创建网卡,并对网卡进行绑定、解绑及修改安全组等相关操作,对于外网弹性网卡还可进行【调整带宽】操作,用于调整外网弹性网卡上的外网 IP 地址的带宽上限。

弹性网卡具有地域、网卡类型、VPC、子网、外网网段、外网 IP 带宽、IP 及安全组等属性,支持创建、绑定、解绑、绑定安全组、解绑安全组及删除弹性网卡等生命周期管理。

  • 地域:弹性网卡仅支持绑定至相同地域的虚拟机。
  • 网卡类型:弹性网卡的网络接入类型,支持 VPC 内网和 EIP 外网两种类型。
  • VPC/子网:一块内网弹性网卡仅支持加入至一个 VPC 和子网,创建后无法修改 VPC 和子网。
  • 外网网段:一块外网弹性网卡仅支持从一个外网网段中分配 IP 地址,创建后无法修改。
  • 外网 IP 带宽:外网网卡分配 IP 地址的带宽。
  • IP地址:支持手动指定和自动获取弹性网卡在子网或外网网段内的 IP 地址,一块弹性网卡仅支持 1 个 IP 地址,创建后无法修改 IP 地址;
  • 安全组:每块弹性网卡支持绑定一个安全组,提供网卡级别安全控制,详见安全组 ;
  • MAC 地址:每块弹性网卡拥有全局唯一 MAC 地址;

弹性网卡整个生命周期包括创建中、未绑定、绑定中、已绑定、解绑中、已删除等状态,状态流转如下图所示:

nic_status

4.2.5 安全组

安全组( Security Group )是一种类似 IPTABLES 的虚拟防火墙,提供出入双方向流量访问控制规则,定义哪些网络或协议能访问资源,用于限制虚拟资源的网络访问流量,支持 IPv4 和 IPv6 双栈限制,为云平台提供必要的安全保障。

4.2.5.1 实现机制

平台安全组基于 Linux Netfilter 子系统,通过在 OVS 流表中添加流表规则实现,需开启宿主机 IPv4 和IPv6 包转发功能。每增加一条访问控制规则会根据网卡作为匹配条件,生成一条流表规则,用于控制进入 OVS 的流量,保证虚拟资源的网络安全。

安全组仅可作用于同一个数据中心内具有相同安全需求的虚拟机、弹性网卡、负载均衡、 NAT 网关及堡垒机等,工作原理如下图所示:

Secrity_group

安全组具有独立的生命周期,可以将安全组与虚拟机、弹性网卡、负载均衡、NAT 网关绑定在一起,提供安全访问控制,与之绑定的虚拟资源销毁后,安全组将自动解绑。

  • 安全组对虚拟机的安全防护针对的是一块网卡,即安全组是与虚拟机的默认虚拟网卡或弹性网卡绑定在一起,分别设置访问控制规则,限制每块网卡的出入网络流量;
  • 如安全组原理图所示,安全组与提供外网 IP 服务的虚拟外网网卡绑定,通过添加出入站规则,对南北向(虚拟机外网)的访问流量进行过滤;
  • 安全组与提供私有网络服务的虚拟网卡或弹性网卡绑定,通过添加出入站规则,控制东西向(虚拟机间及弹性网卡间)网络访问;
  • 安全组与外网类型的负载均衡关联,通过添加出入站规则,可对进出外网负载均衡的外网 IP 流量进行限制和过滤,保证外网负载均衡器的流量安全;
  • 安全组与 NAT 网关绑定,通过添加出入站规则,可对进入 NAT 网关的流量进行限制,保证 NAT 网关的可靠性和安全性;
  • 一个安全组支持同时绑定至多个虚拟机、弹性网卡、NAT 网关及外网负载均衡实例;
  • 虚拟机支持绑定一个内网安全组和一个外网安全组,分别对应虚拟机默认的内网网卡和外网网卡上,其中外网安全组对绑定至虚拟机的所有外网 IP 地址生效;
  • 弹性网卡仅支持绑定一个安全组,与虚拟机默认网卡绑定的安全组相互独立,分别限制对应网卡的流量;
  • 外网负载均衡和 NAT 网关实例仅支持绑定一个安全组,可更换安全组应用不同的网络访问规则。

创建虚拟机时必须指定外网安全组,支持随时修改安全组的出入站规则,新规则生成时立即生效,可根据需求调整安全组出/入方向的规则。支持安全组全生命周期管理,包括安全组创建、修改、删除及安全组规则的创建、修改、删除等生命周期管理。

4.2.5.2 安全组规则

安全组规则可控制允许到达安全组关联资源的入站流量及出站流量,提供双栈控制能力,支持对 IPv4/IPv6 地址的 TCP、UPD、ICMP、GRE 等协议数据包进行有效过滤和控制。

每个安全组支持配置 200 条安全组规则,根据优先级对资源访问依次生效。规则为空时,安全组将默认拒绝所有流量;规则不为空时,除已生成的规则外,默认拒绝其它访问流量。

支持有状态的安全组规则,可以分别设置出入站规则,对被绑定资源的出入流量进行管控和限制。每条安全组规则由协议、端口、地址、动作、优先级、方向及描述六个元素组成:

  • 协议:支持 TCP、UDP、ICMPv4、ICMPv6 四种协议数据包过滤。ALL 代表所有协议和端口,ALL TCP 代表所有 TCP 端口,ALL UDP 代表所有 UDP 端口;支持快捷协议指定,如 FTP、HTTP、HTTPS、PING、OpenVPN、PPTP、RDP、SSH 等;ICMPv4 指 IPv4 版本网络的通信流量;ICMPv6 指 IPv6 版本网络的通信流量。
  • 端口:源地址访问的本地虚拟资源或本地虚拟资源访问目标地址的 TCP/IP 端口。TCP 和 UDP 协议的端口范围为 1~65535 ;ICMPv4 和 ICMPv6 不支持配置端口。
  • 地址:访问安全组绑定资源的网络数据包来源地址或被安全组绑定虚拟资源访问的目标地址。当规则的方向为入站规则时,地址代表访问被绑定虚拟资源的源 IP 地址段,支持 IPv4 和 IPv6 地址段;当规则的方向为出站规则时,地址代表被绑定虚拟资源访问目标 IP 地址段,支持 IPv4 和 IPv6 地址段;支持 CIDR 表示法的 IP 地址及网段,如 120.132.69.216 、 0.0.0.0/0 或 ::/0 。
  • 动作:安全组生效时,对数据包的处理策略,包括 “接受” 和 “拒绝” 两种动作。
  • 优先级:安全组内规则的生效顺序,包括高、中、低三档规则。安全组按照优先级高低依次生效,优先生效优先级高的规则;同优先级的规则,优先生效精确规则。
  • 方向:安全组规则所对应的流量方向,包括出站流量和入站流量。
  • 描述:每一条安全组规则的描述,用于标识规则的作用。

安全组支持数据流表状态,规则允许某个请求通信的同时,返回数据流会被自动允许,不受任何规则影响。即安全组规则仅对新建连接生效,对已经建立的链接默认允许双向通信。如一条入方向规则允许任意地址通过互联网访问虚拟机外网 IP 的 80 端口,则访问虚拟机 80 端口的返回数据流(出站流量)会被自动允许,无需为该请求添加出方向允许规则。

注:通常建议设置简洁的安全组规则,可有效减少网络故障。

4.2.6 VNC 登录

VNC( Virtual Network Console )是 UCloudStack 为用户提供的一种通过 WEB 浏览器连接虚拟机的登录方式,适应于无法通过远程登录客户端(如 SecureCRT、PuTTY 等)连接虚拟机的场景。通过 VNC 登录连到虚拟机,可以查看虚拟机完整启动流程,并可以像 SSH 及 远程桌面一样管理虚拟机操作系统及界面,支持发送各种操作系统管理指令,如 CTRL+ALT+DELETE。

支持用户获取虚拟机的 VNC 登录信息,包括 VNC 登录地址及登录密码,适用于使用 VNC 客户端连接虚拟机的场景,如桌面云场景。为确保 VNC 连接的安全性,每一次调用 API 或通过界面所获取的 VNC 登录信息有效期为 300 秒,如果 300 秒内用户未使用 IP 和端口进行连接,则信息直接失效,需要重新获取新的登录信息;同时用户使用 VNC 客户端登录虚拟机后,300 秒内无任何操作将会自动断开连接。

4.2.7 生命周期

UCloudStack 为虚拟机提供完整生命周期管理,用户可自助创建虚拟机,并对虚拟机进行关机、断电、开机、重置密码、重装系统、升降级配置、热升级、制作镜像、修改业务组、修改名称/备注、修改告警模板及删除等基本操作;同时支持与虚拟机相关联资源的绑定和解绑管理,包括弹性网卡、云硬盘、 外网 IP 及安全组等。

  • 关机是对虚拟机操作系统的正常关机,断电是将虚拟机强制关机;
  • 重装系统即更换虚拟机镜像,Linux 仅支持更换 Linux 类型镜像,Windows 仅支持更换 Windows 类型镜像;
  • 升降级配置是对虚拟机的规格配置进行升级或降级的变更操作;
  • 热升级指在虚拟机开机(running )状态下,支持升级虚拟机的CPU、内存,仅支持 Base 镜像为 Centos7.4 的虚拟机热升级,不支持在线降级操作。
  • 销毁虚拟机会自动删除实例规格、系统盘及默认虚拟网卡,同时会自动解绑相关联的虚拟资源;
  • 一个虚拟机支持绑定多个云硬盘、弹性网卡、外网 IP 及安全组。

UCloudStack 虚拟机完整生命周期包括启动中、运行、关机中、断电中、关机、启动中、重装中、删除中及已删除等资源状态,各状态流转如下图所示:

VMStatus

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/125815.html

相关文章

  • 搭建私有存储-UCloudStack私有核心功能概念

    摘要:集群默认对所有租户开放权限,平台支持对存储集群进行权限控制,用于将部分物理存储资源独享给一个或部分租户使用,适用于专属私有云场景。支持租户将有权限的存储卷信息作为虚拟机的系统盘,使虚拟机直接运行直商业存储中,提升性能。4.1.1 地域地域 ( Region ) 指 UCloudStack 云平台物理数据中心的地理区域,如上海、北京、杭州等。不同地域间完全物理隔离,云平台资源创建后不能更换地域...

    ernest.wang 评论0 收藏0
  • 传统自建私有有哪些痛点?UCloud企业私有UCloudStack产品优势、体系、架构&

    摘要:立即咨询产品文档优刻得上线了混合云自建机房火爆预售官方补贴活动中针对企业私有云产品作了介绍,老刘博客本篇文章分享给大家有关企业私有云产品优势体系架构超融合一体机机型和交付方式。快速了解企业私有云解决方案及应用场景。UCloudStack企业私有云平台,是基于UCloud公有云8年+的运营经验,输出的适配企业私有场景的云计算解决方案。提供虚拟化、SDN 网络、分布式存储、数据库缓存等核心服务的...

    Tecode 评论0 收藏0
  • 私有物理集群节点

    摘要:物理集群节点云平台系统常见集群节点角色有种,分别是管理节点计算存储融合节点独立计算节点以及独立存储节点。云平台分布式存储使用所有计算节点的数据磁盘,每个节点仅支持部署一种类型的数据磁盘,如等使用作为缓存的场景除外。2.1 物理集群节点UCloudStack 云平台系统常见集群节点角色有 4 种,分别是管理节点、计算存储融合节点、独立计算节点、以及独立存储节点。2.1.1 管理节点集群内部...

    youkede 评论0 收藏0
  • 私有怎么搭建智能调度

    摘要:智能调度系统实时监测集群所有计算节点计算存储网络等负载信息,作为虚拟机调度和管理的数据依据。当有新的虚拟资源需要部署时,调度系统会优先选择低负荷节点进行部署,确保整个集群节点的负载。智能调度是 UCloudStack 平台虚拟机资源调度管理的核心,由调度模块负责调度任务的控制和管理,用于决策虚拟机运行在哪一台物理服务器上,同时管理虚拟机状态及迁移计划,保证虚拟机可用性和可靠性。智能调度系统实...

    ernest.wang 评论0 收藏0

发表评论

0条评论

ernest.wang

|高级讲师

TA的文章

阅读更多
最新活动
阅读需要支付1元查看
<