QingTian系统简介

经典虚拟化系统

虚拟化支持在单个物理计算机系统上同时运行多个虚拟机操作系统。虚拟化系统通过硬件提供的辅助虚拟化能力，提供CPU虚拟化、内存虚拟化、IO虚拟化的功能，为客户的虚拟操作系统提供独立隔离的硬件使用空间。虚拟化技术能够将单个服务器资源分割给多个租户使用，每个租户虚拟机有独立隔离的定制化资源，从而实现对服务器的充分利用。

虚拟化系统的核心组件是Hypervisor，其职责包括对物理硬件资源的抽象与分配，以及对虚拟机（VM）的全生命周期管理和运行隔离，Hypervisor能实现同一物理机上不同虚拟机之间的资源隔离，避免虚拟机之间的数据窃取或恶意攻击，保证虚拟机的资源使用不受周边虚拟机的影响。终端用户使用虚拟机时，仅能访问属于自己虚拟机的资源（如硬件、软件和数据），不能访问其他虚拟机的资源，保证虚拟机隔离安全。

QingTian虚拟化系统演进

QingTian系统架构是华为云推出的新一代软硬协同架构，核心实现了零资源预留、零算力损失、零业务抖动及强安全隔离等关键能力。华为云在2017年发布了基于QingTian系统的实例，一套QingTian架构同时支持虚机、裸机和容器等多种形态及多元算力。历经多年，QingTian系统重塑了华为云基础设施，当前已成为新一代实例的主流底层平台。

图1 系统演进

QingTian系统主要由自研的专用QingTian Cards和自研的QingTian Hypervisor组成：

• QingTian Cards是由华为云设计的专有硬件加速设备，它提供整机系统控制和I/O虚拟化直通功能，且独立于前端主机系统运行，独立供电。

  QingTian Cards为整个系统提供基于硬件的信任根，确保整个系统的安全启动和可信度量，提供固件的防篡改保护，并提供基于硬件的IO加解密加速。

• QingTian Hypervisor是精简的轻量化虚拟机管理程序，它提供强大的资源隔离性和安全性，而且提供的虚机服务与裸金属服务器几乎无差别的超高性能。

专用QingTian Cards采用标准PCI-Express接口与主机系统CPU对接，并通过驱动把各种本地及网络资源模拟成主CPU的本地资源，让客户避免接触复杂的功能配置，更彻底地实现了云基础设施与客户应用之间的安全隔离保障。QingTian Cards还采用专用的ASIC硬件来处理存储、网络等虚拟化功能，这不仅提升了性能，还降低了成本。并且，采用QingTian架构可以大幅减少云基础设施底座与各种不同算力的适配工作，提升新功能迭代的速度。