Guillaume Urvoy-Keller Licence R&T...

Virtualisation

Guillaume Urvoy-KellerLicence R&T UNS

3/7/162

Plan

➢Références

➢Partie I➢Qu'est-ce-que la virtualisation?

➢Pourquoi virtualiser?

➢Ce que l'on peut faire une fois un parc de serveurs virtualisé

➢Les différentes solutions de virtualisation

➢Les concepts liés à la virtualisation : cloud computing et green IT

3/7/163

Plan

➢Partie II : comment ça marche➢Retour sur l'architecture d'un ordinateur et les frontièresmatériel/OS/Application

➢Les critères de Popek et Golberg pour la virtualisation d'un ISA

➢Détail sur Vmware et Player

3/7/164

Plan

➢Partie III : Switchs virtuels : OpenVswitch

➢Partie IV : Etude de cas passage à un parc virtualisé –INSA de Lyon

➢Partie V : Vmware Vsphere

➢Partie VI : Cloud

3/7/165

Références

➢Vmware Vsphere 4 - Eric Maillé – ENI éditions

3/7/166

Références

➢Virtualbox – A. Romero - PACKT

3/7/167

Références

➢Les bases « théoriques » – Smith and Nair - Elsevier

3/7/168

Partie I

3/7/169

Qu'est-ce-que la virtualisation?

➢Ensemble de techniques qui permet de faire tournerplusieurs systèmes d'exploitation sur une machinephysiquement simultanément (≠ multi-boot)

➢Couche de virtualisation est appelée hyperviseur (=hypervisor, virtual machine monitor VMM)

➢Masque ressources physiques aux systèmes d'exploitations

3/7/1610

➢2 modes de fonctionnement d'un processeur(classiquement) : mode noyau et mode utilisateur

10

Dé-privilégier un OS

OS

apps

kernel mode

user mode

3/7/161111

Dé-privilégier un OS

OS

apps

kernel mode

user mode

virtual machine monitor

OS

apps

3/7/1612

Le zoo

➢Xen Server de Citrix - 4% du marché (mais Amazon WebServices...)

➢Hyper-V de Microsoft - 20% du marché

➢Vsphere de VmWare - 60% du marché

➢Virtualbox d'Oracle

➢ KVM – Kernel Virtual Machine – Natif Linux - Openstack

➢La virtualisation se fait surtout dans les grandesentreprises actuellement → les PME sont un marché àconquérir

3/7/1613

Pourquoi virtualiser?

➢Dans les années 1990-2000, le coût desserveurs décroissent

➢En valeur absolue du fait de la concurrence

➢Par rapport au coût des mainframes encore trèsprésents

➢Les éditeurs (Microsoft, distribution Linux)recommandent une application/service parsystème d'exploitation →

➢Une machine pour le DNS

➢Une machine pour le mail

➢Une machine pour NFS, etc.

3/7/1614

Pourquoi virtualiser?

➢Au final:➢Une multiplicité de serveurs dans les datacenters (ou salles serveursdans les entreprises)

➢80% ont une utilisation moyenne inférieure à 10%

➢Des coûts d'exploitation/maintenance (personnel du serviceinformatique) qui croissent avec le nombre de serveurs

➢Des coûts en place : les salles serveurs ne sont pas indéfinimentextensibles

➢Des coûts en climatisation/électricité élevés → NE JAMAISNEGLIGER CES COÛTS

3/7/1615

Pourquoi virtualiser?

➢Les serveurs deviennent si puissants qu'une seuleapplication par serveur n'est plus justifiable

➢Processeurs 64 bits multi-coeurs

➢Un serveur en 2009 est estimé, en moyenne, 10 à 12 fois pluspuissant qu'un serveur en 2004

➢Remplacer les serveurs à raison de un pour un n'est pluspossible!!

3/7/1616

Avantages de la virtualisation

➢Plaçons-nous dans le cas où la virtualisation est effective

➢Vous avez acheté :➢Deux gros serveurs, 1 système de stockage partagé

➢Des licences d'un outil de virtualisation, par exemple VMWARE

➢Les formations pour votre personnel

3/7/1617

Avantages de la virtualisation➢Réduction des coûts

➢20 à 40% en général

➢Avantages additionnels :

➢Gain de place

➢De nouvelles fonctionnalités

3/7/1618

Avantages de la virtualisation

➢Migration des machines virtuelles d'un serveurphysique à l'autre

➢Utile si panne → notion de disponibilité

➢TRES utile pour maintenance des serveurs physiques

3/7/1619

Avantages de la virtualisation

➢Mise en service quasi-instantanée d'une nouvellemachine

➢En général, avec une interface graphique, vous:➢Spécifiez le nombre de CPU, la quantité de mémoire, de disque, lesaccès réseaux, le système d'exploitation

➢Indiquez où se trouve l'ISO de l'OS

➢Démarrez l'installation.... mais c'est long!!!

➢ Mieux : vous avez préparé des “templates” (machinesquasi-finalisées) et vous les instanciées au derniermoment

➢Ce que fait createvm

➢Ce que font VmwareVSphere, Amazon Web Service, Openstack, etc.

3/7/1620

Avantages de la virtualisation

➢Possibilité de faire des instantanés (snapshots) desmachines

➢Exemple : ➢vous voulez installer une nouvelle fonctionnalité sur une machine,faire une mise à jour

➢Vous n'êtes pas sûr du résultat.

➢Vous :

➢Faites un instantané

➢Effectuez le test

➢Si l'installation échoue, vous … revenez dans le temps!!!

3/7/1621

Exemple : Snapshot sous Virtualbox

3/7/1622

Avantages de la virtualisation

➢Isolation

➢Avec la virtualisation, on respecte toujours la règle « unservice/une appli » par machine

➢Pas de passage de virus inter-VM, pas d'effacement de fichier,etc.

➢Ajustement des ressources pour machines virtuelles trèssimple → ajustement mémoire, CPU en un clic

➢À chaud ou à froid suivant la solution

3/7/1623

Avantages de la virtualisation

➢Il y a souvent dans les entreprises de vieilles applicationstournant sur des OS spécifiques (ex: OS/2 d'IBM) → on peutespérer les virtualiser sans les modifier

➢Indépendance des machines virtuelles vis-à-vis du hardware→ la couche virtuel (hyperviseur) offre toujours le mêmematériel virtuel

3/7/1624

Les différentes types de virtualisation

➢Il existe plusieurs façons de catégoriser les offres➢Niveau 1 (natif ou bare-metal en anglais) versus niveau 2 (hébergéou host-based en anglais)

➢Virtuel versus paravirtuel

➢Lourde (OS virttualisé) ou légère (OS partagé)

➢ Lourde : VMWare, Virtualbox, etc

➢Légère : Docker --> voir TP

3/7/1625

Niveau 1 vs. Niveau 2

➢Niveau 1 / Bare-metal : ➢Offres dédiées à la production : salles de serveurs, datacenters.

➢L'hyperviseur est installé en premier sur la machine physique

➢On boot sur un CD comme sur un OS traditionnel pour installer l'hyperviseur

➢Exemples : Vmware ESX/ESXi serveurs, Hyper-V de microsoft

Source : wikipedia

3/7/1626

Niveau 1 vs. Niveau 2

➢Niveau 2/ Host-based➢L'hyperviseur s'installe au dessus d'une OS existant

➢Exemple : vos machines en salle 410 qui ont VMWare player etVirtualbox installés au dessus de Windows ou Linux

➢Offres utiles pour les utilisateurs finaux

➢Utiliser MacOS et Windows simultanément

➢Donner aux employés une machine virtuelle sous le contrôle du serviceinformatique pour accéder à des services clefs.

3/7/1627

Est-ce une windows avec MacOS oul'inverse??

3/7/1628

Autour de la virtualisation➢Côtés serveurs, les constructeurs (IBM, HP, DELL, NEC,CISCO,...) proposent des machines compatibles avec dessolutions de virtualisation

➢Exemple : le site de Dell listant les OS testés sur un serveur

3/7/1629

Autour de la virtualisation

➢Le stockage: ➢la virtualisation offre la consolidation des machines physiques

➢Elle va de pair souvent avec la consolidation du stockage

Utilisation de SAN : storageArea networks

Serveur VMWARE 1

Serveur VMWARE 2

Baies de disque accessibles par réseau dédié TRES haute vitesseRéseau LAN

 classique pour les clients

3/7/1630

Autour de la virtualisation : Les fabricants de processeurs

➢Intel et AMD proposent des fonctionnalités spécifiquespour le support de la virtualisation

➢Intel-VT, AMD-V

3/7/1631

Autour de la virtualisation : Les éditeurs de logiciels

➢Pour la sauvegarde :➢Data Recovery de VMWare

➢Veem Backup de Veem

➢Conversion machines physiques en machinesvirtuelles :

➢VMWare Converter

➢HP Server Migration Pack

➢Supervision de pools de serveurs virtualisés :➢Vfoglight de Vizioncore, etc.

3/7/1632

Les concepts liés à la virtualisation

➢Cloud computing➢Fournir des ressources informatiques à une entreprise quine paye que ce qu'elle consomme

➢Les entreprises ne sont plus propriétaires de leur matérielinformatique mais n'en supporte pas le coût!!

➢Une entreprise spécialisée gère un centre de calcul(datacenter) et offre une puissance de calcul et destockage à la demande – Ex: Amazon EC2

➢La virtualisation permet d'envisager ce type de service

➢ Location VM : IaaS : Infrastructure as a Service➢Si vous ne louez qu'une application (ex : Googledrive/opendoc) SaaS : Software as a Service

3/7/1633

Partie II : Virtualisation lourde et légère

3/7/163434

VM Système et VM Processus

3/7/1635

VM Système

➢Ex: Vmware, Xen

➢Package complet : OS + applications

➢OS virtualisé = OS hébergé

➢OS hôte = OS de la machine physique

➢OS hébergé est une simple application du point de vuede l'hôte (mode utilisateur et non noyau)

3/7/1636

VM Processus

➢La majorité des système d'exploitation peuvent être vuscomme des VM processus➢En effet, ils supportent plusieurs processus simultanés,chacun ayant l'illusion que les ressources machines lui sontdédiées

→ L'OS permet un partage temporel des ressources et fournitune MV processus répliquée pour chaque application

3/7/1637

VM processus obtenue avec langage de haut-niveau

➢Un compilateur génère un code intermédiaire similaire à uncode machine, appelé ISA virtuel ➢Une VM va traduire ce code ISA virtuel en code machinepour un OS et un ISA spécifique

➢Ex : Java

3/7/1638

VM processusVirtualisation légère : lescontainers Linux

3/7/1639

Container versus hyperviseur

➢Partage du noyau entre toutes les VMs (ou containers)

➢Sur un serveur typique:➢10-100 machines virtuelles

➢100-1000 containers

➢Un containter est un groupe de processus dans unemachine Linux, isolés des autres processus qui tournentsur la machine

➢Utilisation des namespaces (du noyau Linux) pour assigner à ungroupe de processus : isolation, leur propre pile réseau (interfaces,sockets, routage), volumes

➢Utilisation du cgroups (du noyau Linux) pour assigner desresources à ces processus par exemple de la CPU, de la mémoire

➢ Similaire à ce que vous faites sous Virtualbox

3/7/1640

Container versus Hyperviseur

➢De l'intérieur, ressemble à une VM

➢De l'extérieur, ressemble à des processus normaux

➢Un container peut être une VM complète ou un groupede processus par exemple un serveur Apache ou MySQL

➢Moteurs de gestion de containers:

➢LXC (LinuX Containers – August 2008)

➢Docker (started in March 2013)

➢Openvz (started in 2005)

3/7/1641

Management des VMs etcontainers

3/7/1642

Gestion de VMs

➢ Vmware Vsphere, Citrix Xen permettent de gérerquelques serveurs physiques

➢Vagrant: Gestion de VMs indépendamment deshyperviseurs

➢Notion d'images (boxes de Vagrant)

➢Configuration automatique de VM: support de Puppet, Chef, Ansible

➢Un fichier qui contient toute la configuration

3/7/1643

Fichier de configuration Vagrant

3/7/1644

Gestion de VMs

➢Plateforme de gestion de clouds

➢Openstack

➢Chaque fonction (managementdef VM, réseaux, volumes, identités) est uncomposant (au final un service Linux)

➢Nova: compute nodes (hyperviseurs)➢Cinder : volumes➢Neutron : réseaux

➢ Les composants interagissent via une API REST

➢ Les nœuds Compute (serveurs physiques) peuvent faire tourner deshyperviseurs différents : KVM, Xen, Citrix, etc

3/7/1645

Gestion de containers

➢Orchestration de containers➢Serveur unique: Docker, LXC

➢Several multiplesl: Docker Swarm

➢ Orchestration avancés : Kubernetes, Swarm, Mesos

3/7/1646

Rappel sur l'architecture des ordinateurs et lesbases des OS

➢Rappels nécessaires pour comprendre les problèmesque doivent gérer les hyperviseurs.

➢Composants

➢Couche ISA

➢Système d'exploitation (OS – Operating System)

3/7/164747

3/7/1648

Va chercher les instructions en mémoire et lesexécute

Chaque instruction passe par une série d'étapesdurant son exécution : ◦ Lecture depuis la mémoire◦ Décodage◦ Chargement instruction et opérande dans registres◦ Exécution ◦ Écriture résultat dans la mémoire

48

Processeur

3/7/1649

Processeur

➢Série d'étapes → instructions sont exécutées dans unpipeline

➢ Pipeline permet de continuer à utiliser le processeurmême si une instruction est en attente d'une lecturemémoire par exemple

➢Il peut perdurer des blocages. ➢Ex: une instruction attend le résultat d'une instruction en amont dansle pipeline

➢C'est le boulot du compilateur de présenter lesinstructions dans le meilleur ordre possible

3/7/165050

ISA

➢Architecture d'un processeur définit :➢ Un ensemble de ressources : mémoires, registres, ...➢Un ensemble d'instruction qui travaillent sur les registres et lamémoire

➢Définition des ressources de stockage + instruction →Instruction Set Architectures (ISA)➢On distingue :

➢Une partie utilisateur pour les programmes → calculs➢Une partie système pour l'OS → gestion ressources

3/7/165151

Registres

➢Registres génériques (aussi appelés de travail)

➢Peuvent héberger différents types de valeur

➢Registres typés : pour des opérandes spéciales,

➢ Propres à chaque ISA

➢par ex: pointeur vers segment mémoire dans l'ISA IA-32 d'Intel

➢Registres spécifiques :

➢Compteur de programme : indice d'instruction courante

➢Condition

3/7/165252

Instructions partie utilisateur ISA

➢Quatre ensembles principaux :➢Chargement/déchargement mémoire ↔ registres➢Arithmétique sur les entiers, logique et décalage➢Arithmétique flottante

➢Utilise les registres flottants➢Valeurs interprétées différemment des registrespour entiers

➢Branchements et sauts

3/7/165353

ISA Système

➢Processeurs offrent différents mode d'exécution(privilèges) :

➢En général 4, numéroté de 0 à 3

➢Windows et Unix utilisent en général les niveaux 0 et 3

➢Niveau 0 : mode système, donné à l'OS qui lui permet de répartiréquitablement les ressources entre programmes

➢Niveau 3 : programmes utilisateurs

➢Le mode d'exécution est stocké dans un registrespécifique

3/7/165454

Registres Systèmes

➢Registre d'horloge➢Registre traps et interruptions➢Registre de masquage des traps et interruptions➢Pointeur de table des pages

➢Correspondance pages logiques/physiquesgardée dans une structure mémoire➢Ce registre stocke son adresse

3/7/1655

Traps et interruptions

➢Traps et Interruptions mènent à un transfert du contrôle duprocesseur à l'OS➢Interruption : une requête d'un périphérique auprès de l'OS➢Trap (=déroutement):

➢Une erreur durant l'exécution d'une instruction (faute depage, division par 0, ..)

ou➢Une demande explicite d'un programme (ex: accèsdisque)

3/7/1656

ISA Système : gestion du processeur

➢L' OS doit être capable de donner le contrôle duprocesseur à un processus utilisateur

➢Saut à une instruction d'un programme utilisateur➢Changement du registre « mode d'exécution »

➢… et il doit être capable de le récupérer.➢Se fait au travers d'un timer qui va créer uneinterruption

3/7/1657

ISA Système : gestion des E/S➢Soit sous forme d'instruction spécifiques

➢Soit sous forme d'adresses mémoire spécifiquestraduites par le contrôleur mémoire comme desinstructions à effectuer

➢Grande variété de périphériques → en général l'ISA offredes instructions de base et le détail est géré par l'OS

➢Souvenez-vous : l'OS est le seul à pouvoir utiliser ces instructions ouces adresses mémoires!

3/7/1658

Système d'exploitation - Rappel

3/7/1659

Tâches de l'OS

➢Gère les ressources pour les programmes des utilisateurs(processus)

➢Multiplexage temporel du processeur entre les différentsprocessus➢Gestion de la mémoire réelle via la table des pages et laTLB

➢Quand il y a une erreur de pagination, l'OS prend la main➢Gestion des entrées/sorties: ➢Processus invoquent l'OS au travers d'appels système (trap)➢OS utilisent une interface pour les périphériques (drivers – pilotes)

3/7/166060

3/7/1661

Interface avec l'OS

➢ISA mode utilisateur accessible directement aux programmes➢ABI (Application Binary Interface) est l'interface avec l'OS➢API: librairies de haut niveau (par rapport à ABI)➢Appels systèmes:

➢Gestion des processus, ex : fork()➢Gestion mémoire, ex : malloc()➢Entrées/sorties, ex : . read()

➢Abstraction des traps et interruptions au niveau ABI = signaux

3/7/1662

ISA, ABI, API

3/7/1663

VM Systèmes : hyperviseursniveau 1 et 2

63

3/7/1664

Gestion de l'état des VMs

➢Le VMM doit stocker l'état des VMs lorsqu'une VMest remplacée par une autre➢Cet état agrège les états :

➢Des registres

➢De la table des pages mémoires

➢Des entrées/sorties

➢Deux (grandes) options pour le changement decontexte :

➢Indirection – peu efficace car, par ex., opération entreregistres imposent plusieurs accès mémoires

➢Recopie – possible si même ISA entre hôte et invité

3/7/1665

3/7/1666

Contrôle globale par VMM

➢VMM doit avoir un moyen de récupérer la main sur lesVMs

➢Equivalent au multiplexage temporel d'un OS

➢Comme pour ce multiplexage, on vise l'équité (entre VMs)

➢Moyen le plus simple : VMM gère le timer de temps

➢Comme les OS des Vms veulent l'utiliser pour leursprocessus, il faudra l'émuler pour elles → timer de tempsvirtuel

3/7/1667

Contrôle globale par VMM

3/7/1668

Virtualisation des ressources – le processeur

➢Formellement, 2 approches :

➢Emulation

➢Nécessaire si ISA différent entre hôte et invité

➢Exécution directe (en natif) :

➢Hôte et invité doivent avoir le même ISA

➢Plus rapide qu'émulation

➢Certaines instructions (dépend de l'ISA) doivent être émuléesde toutes façons :

➢Les instructions émises par les programmes peuvent être exécutés sansmodifs

➢Les instructions émises par OS invité doivent souvent être émulées ( carOS invité est vu comme un programme !)

3/7/1669

Conditions pour avoir un ISA virtualisable

➢Article Popek et Goldberg 1974

➢La virtualisation ne date pas d'hier

➢Déjà très utilisée sur mainframe IBM

➢ Hypothèses (version abrégée) :

➢Hardware = 1 (seul) processeur

➢Le processeur a 2 modes : système et utilisateur

➢Certaines instructions ne peuvent être exécutées qu'en modesystème

➢E/S non considérées mais les résultats peuvent êtreétendus

3/7/1670

Instructions sensibles et non sensibles

➢Les instructions sensibles sont celles qui sont :➢Modifient la configuration des ressources, par exemple la mémoire ou le moded'exécution (type contrôle)

➢Ex : SPT - Set CPU timer (IBM/370)

➢Dont le résultat dépend de l'état des ressources (→ type comportemental)

➢Ex : Load Real Address (IBM/370)

➢

➢Les instructions qui ne sont ni de type contrôle nicomportementales sont dites bénignes (non sensibles)

3/7/1671

Propriété (Popek et Goldberg)

Propriété : les instructions sensibles doivent être unsous-ensemble des fonctions privilégiées (qui nepeuvent être exécutées qu'en mode privilégié)

3/7/1672

Ce que l'on peut faire si la propriété estsatisfaite

➢Toutes les instructions non sensibles peuvent êtreexécutées en mode natif (sans intervention VMM) →rapidité➢VMM garde le contrôle des ressources : unprogramme ne peut modifier les ressources systèmes(car ces fonctions ne peuvent être exécutées qu'enmode privilégié)➢Assurer l'équivalence : un programme s'exécute demanière identique dans l'environnement réel ouvirtuel and native machine

3/7/1673

Rôle VMM sous la propriété de P&G : attendreles trap!

3/7/1674

Le cas de l'ISA Intel x86

➢“Analysis of the Intel Pentiums Ability to Support aSecure Virtual Machine Monitor” USENIX 2000, J. Robin,C. Irvine

➢Sur les 250 instructions, 17 sont sensibles mais nonprivilégiées (elles sont dites critiques)

➢Exemple: popf

➢Popf en mode Utilisateur: change drapeau ALU

➢Popf en mode noyau: change ALU et les drapeaux système

➢Ne génère pas de trap en mode utilisateur

➢Q : voyez-vous le problème en environnement virtualisé?

3/7/1675

R : si le popf est exécuté par l'OS invité, il s'exécuteracomme un popf en mode utilisateur → l'OS invité n'effectuepas la modification qu'il croit ET le VMM n'en est pasinformé car pas de trap!!!

Voici ce qui se passerait si tout allait bien (ex avec LPSW del'IBM 370)

3/7/1676

Traitement des instructions critiques

➢Le VMM doit scanner le code et patcher lesinstructions critiques (avant leur exécution)➢Problème : le code a des branchements et il estparfois difficile de savoir quelle branche sera prise àl'avance

3/7/1677

Virtualisation du processeur : en résumé

➢Les conditions de Popek et Goldberg ne sont passatisfaites par les ISA actuelles

➢Le VMM doit donc scanner le code➢Mais uniquement pour l'OS invité

➢Il doit scanner pour patcher➢Des optimisations sont possibles pour améliorer les performances

3/7/1678

Une des tâches les plus complexes du fait de laprolifération des périphériques

Technique générale : offrir une interfacevirtualisée à l'OS invité

Virtualisation des E/S

3/7/1679

Virtualisation des E/S

➢Typologie de périphériques:➢Dédiés. Ex : écran, clavier. Virtualization n'est pas nécessaire maissouvent effectuée

➢Partitionnés. Ex : disque

➢Partagés. Ex: carte réseau

➢Spoolés. Ex : imprimante. Partagé, mais à un niveau de granularitéélevé (fichiers dans spooler). En pratique, imprimantes souventaccédées par le réseau → retour au cas précédent

➢Inexistants. Ex : switch virtuel qui permet la communication inter-VM.

3/7/1680

Options:◦ Appel systèmes?◦ pilotes?◦ Opération E/S?

A quel niveau virtualiser les E/S?

3/7/1681

Faciles à intercepter, car ces opérationsentrainent des traps.

Mais difficiles à interpréter car normalement c'estun driver qui envoie plusieurs opérations d'E/Ssimultanées qui ont du sens prises ensemble → ilfaudrait que le VMM ait cette vision globale

Au niveau des opérations d'E/S?

3/7/1682

Appel au pilote se fait par un appel système Pour que le VMM puisse l'intercepter, il faut qu'il

connaisse les détails de l'OS invité et du pilote. Une façon de faire, souvent utilisée, est de fournir à l'OS

invité des drivers spéciaux (dits virtuels) qui facilitentl'appel au VMM dans les E/S.

Après cela, deux options : ● VMM natif → doit avoir les « vrais » pilotes en internes● VMM hébergé → peut demander à l'OS hôte de faire le

boulot. Ex : Vmware player et Virtualbox font cela

Au niveau du pilote?

3/7/1683

Demande que leVMM émule l'ABI Trop difficile en pratique

Au niveau appel système?

3/7/1684

Un exemple de VMM hébergé :Vmware player

3/7/1685

Introduction

➢L'architecture IA-32 s'est développé comme un micro-processeur bon marché

➢Pas de support multi-utilisateurs en tête lors de la conception del'ISA

➢Au contraire, les équipes d'IBM qui travaillaient sur le System/370 etsa virtualisation contrôlaient le hard et le soft !

➢De plus, l'architecture des PC s'est développée commeune architecture ouverte → pléthore de périphériques, decartes mères, etc.

3/7/1686

Introduction

➢Vmware a donc plusieurs problèmes :➢Elle ne contrôle pas le développement du hardware

➢Elle ne contrôle pas le développement du software (Windows, Linux)

➢Débuter avec une solution hébergée était donc LAbonne stratégie

3/7/1687

Architecture hébergée

➢3 composants :➢VMM-n

➢n = natif

➢C'est le VMM

➢Il travaille en mode privilégié – module du noyau

➢VMM-u

➢ u = utilisateur

➢C'est l'application que vous lancez

➢VMM-d

➢d= driver

➢Permet la communication entre les 2 mondes

3/7/1688

Host App

VMApp

Host OS

Hardware

Mode utilisateur

Mode  provilégié

Applications

OS invité

VM

VMDriverVMMonitor

➢VMMonitor peut « changer sa personnalité » de OS hôteen application grâce à VMDriver pour demander à l'OSl'accès aux drivers

3/7/1689

Partie III : Switchs virtuels:OpenVswitch

sources : http://openvswitch.org/slides/LinuxSummit-2011.pdfhttp://openvswitch.org/slides/OpenStack-131107.pdf

3/7/1690

Introduction

➢Plusieurs VMs sur même hôte➢Partage des interfaces physiques réseau

➢Fonctionne sur les hyperviseurs Linux : Xen, KVM,VirtualBox

➢Open source, débute en 2009

3/7/1691

Liste des contributeurs

3/7/1692

Packaging

➢Stack réseau par défaut de Xen Cloud Plaborm (XCP)

➢Natif dans Citrix XenServer et base de leur switch virtueldistribué - Distributed Virtual Switch (DVS)

➢Distributions :➢ Debian

➢Ubuntu

➢ SUSE

➢Red Hat

3/7/1693

Fonctionalités

➢Protocoles réseaux :➢Openflow: basé sur un controlleur centralisé qui fournit des règles à l'ensemble des switches

➢Philosophie différente des protocoles distribués classiques (spanning tree niveau 2 ouroutage niveau 3) où chaque switch/routeur est indépendant.

➢Les switches en Openflow supportent des règles niveau 2 à 4

➢Ex : src IP = 192.168.1.0/24 sr@c MAC=AE:19:23:FC:A2 and tcp.srcport=128 --> outputport = 5

➢ Peut aussi fonctionner comme un switch classique

➢Protocoles de tunneling : GRE et VXLAN

3/7/1694

Fonctionnalités

➢Reporting:➢Netflow

➢Wireshark niveau routeur: une ligne par flot (TCP, UDP connexion) avec durée et volume. Tient dansla mémoire des switches qui n'ont pas de disque dur

➢sFlow ( netflow échantillonné – par ex, 1 trame sur 100 ou 1000)

➢Port mirroring: réplication de trafic

➢ACL (Access Control List) et QoS (Qualité de Service)

3/7/1695

L2 vs Openflow

➢L2 forwarding classique

➢

➢

➢

➢

OpenFlow : ➢Premier paquet nécessite l'installation d'un règle → le switchcontacte le controleur.

➢Paquets suivants dans le fast path

3/7/1696

Composants principaux OVS

3/7/1697

Composants de transmission

➢Ovs-vswitchd (Slow Path)➢Logique de transmission (apprentissage des @ MAC, mirroring,VLANs, et NIC bonding)

➢Configuration distante

➢Openvswitch_mod.ko (Fast Path)➢Module noyau Linux

➢ Lookup (trouver règle Openflow ou @ MAC/port), modification, etenvoie

➢ Encapsulation/decapsulation des tunnels

3/7/1698

Plan de Controle

➢ Base de données qui contient la configuration du oudes swiches: interfaces, définition des tunnels

➢Adresse OVSDB et controleur OpenFlow

➢Configuration est stockée sur le disque et ré-installationaprès reboot

3/7/1699

Déploiement typique avec Openstack

➢Tunnels (VXLAN, GRE) entreswitchs virtuels

➢Management centralisé desswitches

➢VTEP : virtual tunnelendpoint

➢Support minimal de la partswitchs physiques

➢Autres options avec plus desupport des switchesphysiques possibles

3/7/16100

Performance

➢A key factor in production environments

3/7/16101

Performance

➢Test set up: DUT = Device Under Test

➢p/vNIC = physical/virtual NIC

3/7/16102

Performance

➢Switches: Linux bridge, OVS, IP forwarding (routing entreIP par le noyau)

➢Resultats en pps (paquet par s): c'est ce qui compte.Petits paquets → stresse les entrées/sorties

3/7/16103

Performance

➢Switch envoie des paquets sur différents CPU : passage àl'échelle jusqu'à ce qu'on atteigne le maximum de coeurs

➢Visible quand on est près de la saturation → quand lespaquets deviennent petits

3/7/16104

Performance

3/7/16105

Performance

➢Transférer entre une NIC physique et une virtuelle (dansune VM) engendre plus de changements de contexe auniveau noyau entre processus OVS et processushyperviseurs