[发明专利]一种混合部署的虚拟化平台及部署方法

说明书

本发明涉及一种混合部署的虚拟化平台及部署方法，所述的平台包括硬件层、Linux操作系统、Docker容器、KVM虚拟机、用户界面和虚拟机管理模块；所述的部署方法包括统一硬件资源调用；统一混合部署虚拟化平台的管理机制；以及应用Linux内核的安全计算模型确保Docker容器只运行特定的系统调用。本发明分别从Docker安全策略层面，硬件资源层面和资源管理层面分别对两种虚拟机模型的混合部署进行了优化，消除了虚拟机模型差异化所带来的机制冲突和管理差异。本发明可在原有设备上改造实施，大大节约了社会成本。

技术领域

本发明涉及网络应用交付控制领域，特别涉及一种混合部署的虚拟化平台及部署方法。

背景技术

随着信息化产业的快速发展，硬件资源利用率低下和服务器管理工作量大的问题日益突出。虚拟化技术通过将物理资源抽象成逻辑资源，从而实现将多台虚拟机以互相隔离的方式同时部署在一个虚拟化平台上，使得程序或软件不再独享CPU、内存、硬盘、I/O等资源，大幅度提高了系统资源的利用率。传统的虚拟化技术，例如KVM虚拟机，使用Hypervisor模型，通过模拟出一个完整的操作系统来实现虚拟化，但是Hypervisor模型模拟出的操作系统会占用大量内存空间等系统资源，而且存在启动速度偏慢的问题。

Docker(容器模型虚拟机，以下称“Docker容器”)是近年来发展迅速的虚拟化技术，由于Docker容器本身并不需要完全独立的操作系统来实现与环境的隔离，大大降低了资源占用，被誉为是轻量级的虚拟化技术，其快速的启动速度和更为优异的性能表现极大弥补了KVM虚拟机本身的缺陷。然而考虑到Docker容器本身的安全机制尚未完全成熟，且KVM虚拟机依旧拥有大量的市场占有率，采用将两种虚拟机进行融合的虚拟化平台将会拥有大量市场，目前尚无成熟的方案来支持KVM和Docker容器的混合部署。因此实现同时在虚拟化平台上部署KVM和Docker这两种类型的虚拟机将成为本领域亟待解决的技术问题。

根据虚拟机构建原理的差异性，Docker容器和KVM虚拟机相互不兼容，要实现混合部署的虚拟化平台，主要存在以下几个方面的技术难题：

1、硬件资源调用的不兼容：KVM虚拟机通过虚拟出硬件资源来完成资源调用，而Docker容器本身就直接架构在宿主机系统上；在存储方面，Docker容器有别于KVM虚拟机的地方在于其主要通过记录文件增量的方式来完成存储；在硬件处理上，KVM虚拟机需要内装驱动，而Docker容器则直接使用宿主机驱动。

2、部署原理的不兼容：由于Docker容器本身采用迁移AUFS文件系统的方式来实现虚拟机的复制，这有别于传统的KVM虚拟机使用镜像文件安装虚拟机的方式。

3、安全机制的不兼容：KVM虚拟机操作系统架构在Hypervisor之上，而Hypervisor本身又能为其虚拟机提供安全保障，其安全表现相对稳定；但Docker容器直接运行于宿主机系统上，中间没有任何安全保护层的介入，需要配合一定的安全策略和技术。

发明内容

为解决上述难题，本发明的目的是消除并优化Docker容器和KVM虚拟机因差异化造成的机制冲突和管理差异，进而提出一种混合部署的虚拟化平台及部署方法。

一种混合部署的虚拟化平台包括硬件层、Linux操作系统、Docker容器、KVM虚拟机、虚拟机管理模块和用户界面，其中，

所述硬件层至少包括CPU、内存、I/O设备；

所述的Linux操作系统包括Linux内核的安全计算模型，用以确保Docker容器只运行特定的系统调用；

所述虚拟机管理模块至少包括镜像管理模块和资源管理模块；

所述的镜像管理模块用以将Docker容器以镜像导入的方式部署到混合部署的虚拟化平台；

所述的资源管理模块包括对CPU资源、I/O设备资源及内存资源的调度管理。