金融业虚拟化软件应用创新发展报告 2024

二零二四年十一月本报告涉及的产品解析结果的准确性及有效性建立在产品供应商所提供材料的真实性与准确性基础之上，且仅针对参与本次特定评估的系统及产品版本有效。本报告的解释权归金融信创生态实验室所有。未经授权，任何单位或个人均不得擅自复制、传播或利用本报告中的任何内容。如需引用、转载或商业使用本报告中的内容，或对本报告有任何疑问或建议，请联系金融信创生态实验室。感谢各位读者的关注与支持！公司、重庆农村商业银行股份有限公司、吉林省农 3 4 6 6 9 IT平台的规模和复杂程度出现了大幅度的提升，与此同时，很多企业的IT架构却因为这种提升面临着一种新的困境：高昂的硬和管理运营成本、缓慢的环境交付以及缺乏为了摆脱所面临的困境，IT机构必须采取切实有效的措施，以助虚拟化管理和云运营管理软件，实现数据中心IT基础设施的化管理，能够精简IT操作，提高管理效率，简化监控、管理、报告视化平台对整个IT环境进行组织、监控和配置，从而进一步降对日益增长的数据处理需求和即时性的业务响应要求时显得力不从金融科技的快速发展为金融行业带来了新的机遇。2024年的发有助于金融机构构建安全、稳定的IT基础设施。随着金融科技速发展，业务系统变得更加复杂，金融行业对IT基础设施的管理、IT资源的利用效率，更在于其对金融业务创新的推动作用。金融机构通过虚拟化技术实现了IT架构的轻量化和集约化升级，为金金融机构借助数字化转型提升效率、优化业务流程和降低经营成本。理服务器之间动态迁移，不再受制于物理上的界限，使CPU、内存、物理计算机及其他虚拟单元保持隔离，确保各自的独立性和安全性。和HPPAR技术。在X86平台虚拟化技术方面，当前市场上各厂产品所采用的Hypervisor架构存在差异。X86平台虚拟化技术主要保护的指令，必须由Hypervisor进行捕获并处理。全虚拟化技术无需对GuestOS操作系统进行修改，GuestOS操作系统无法感知其是半虚拟化技术则通过Hypervisor分享对底层硬件的访问权限，但其GuestOS操作系统中集成了虚拟化相关的代码。因此，半虚拟化必须对GuestOS操作系统进行一定程度的修改。虚拟化技术可以被视为一种通过软件手段对操作系统资源进行服务器虚拟化后，物理机上可运行多个隶属于不同VLAN（虚拟局域服务器虚拟化的核心技术是Hypervisor。Hypervisor是运行在和应用共享硬件，也可叫作VMM（VirtualMachineMonitor，虚拟通过它可以访问服务器上包括磁盘和内存在内的所有物理设备。Hypervisor不但协调着这些硬件资源的访问，也同时在各个虚拟机之间施加防护，进行安全隔离，可以说Hypervisor是所有虚拟化技术流派：半虚拟化（Para-Virtualization）、全虚拟化（Full目前主流的虚拟化软件有VMwareESXi、MicrosoftHyper-V、半虚拟化软件，ESXi是典型的全虚拟化软件，但是全虚拟化是大势Citrix的Xen和微软的Hyper-V是半虚拟化技术的典型代表。英文前缀“Para”直译为“侧”的意思，“Para-Virtualization”管理VM负责管理整个硬件平台上的所有输入输出设备驱动，也和内存做模拟，这就是“Para-Virtualization”被翻），个特权等级的特点，采用0/1/3模型作为其“特权降级”方式，即而GuestOS则运行在较低特权等级（Ring1），应用程序仍于最低特权等级（Ring3）。所以，在X执行某些特权指令，为此，Xen通过修改GuestOS的内核源代码，GuestOS能够意识到自身运行在一个虚拟化的硬件环境之上，并被隔离和保护。但是，GuestOS本身也会进行页式内存管理，导致虚l机器地址（MachineAddress）：真实硬件的机器地址，即）：l虚拟地址（VirtualAddress）：GuestOS提供个映射记为f，GuestOS的内存管理模块完成虚拟地址入CPU的内存管理单元（MMU）。在必要时，硬件MMU机制，实现虚拟地址到机器地址的高效转换，便成为了VMM在内为了解决这一问题，当前普遍采用的方法是：由VMM根据映射flVMM能够访问GuestOS的内存，因此能够模拟MMU来查询表（ShadowPageTable）。Xen半虚拟化使用的是MMU半虚拟化方在Xen上运行的GuestOS创建一个新的页表时，会从它所维护的空闲内存中分配一个页面，并向Xen注册该页面。此时，Xen会剥表页面的可写映射。然后，Xen根据自己所维护的映射关系f，将页入MMU。这样，MMU就可以根据修改后的页表直接完成虚拟地址到机为了实现大量DMA（DirectedM一个授权表，指明了它的哪些页面可以被哪些VM访问。同时，Xen），），取出请求，根据GR，向Xen请求锁住该页面，以避免DMA过程中该页面被其它GuestOS替换。Xen接收到请求后，就在活动授权表或其它VM能够控制这个页面。如果通过检查，就表明这个页面能够安全地进行DMA操作，Dom0在接收到Xen的响应后便可以向真实硬件VMwareWorkstation和ESXServer是动态翻译（DynamicBinaryTransla而且可以得到硬件虚拟化的支持，不需要人为地在GuestOS中植入器监控和模拟的位置，即敏感指令之前，插入Trap（陷入）指令。该技术的优点在于GuestOS能够不经修改直接在虚拟机上运行，其），译的代码片段（CompiledCodeFragment，CCF），CCF是可以直接为了提高动态翻译的性能，VMware通过翻译结果缓存、翻译结个哈希表中，CCF放入翻译缓存（TranslationCache，TC）。一个拟结构，避免特权指令发生陷入，比如CLI指令，可以只清空虚拟VMkernel在内存虚拟化方面所采用的核心机制是“影子页表拟化技术直接将这个映射关系更新到GuestOS的页表项中，而影子页表技术则是为GuestOS的每个页表维护一个“影子页表”，并将合成后的映射关系写入到“影子”中，GuestOS的页表内容则保持影子页表的引入使得内存虚拟化对于GuestOS完全是透明的，GuestOS所能见到的页表内容没有任何变化，也不需要向VMM注册页表页面，影子页表的分配和维护完全在GuestOS之外的VMM中进但是影子页表的开销也是很大的。首先是时间开销，由于GuestOS构造页表时不会主动通知VMM，VMM必须等到GuestOS发生缺页模拟MMU遍历GuestOS的页表，才能获得GuestOS所维护的映射关系g。其次是空间开销，VMM需要支持多个VM同时运行，而每个的GuestOS通常会为其上运行的每个进程都创建一套页表系统，因OS的进程数量是VMM不可控的。减小空间开销的一种方法是只为当增加了上下文切换的时间开销，因为VMM需要在GuestOS的每个进从物理地址到机器地址的映射，否则，从VM的角度来看式可供选择：一种是利用I/OMMU硬件辅助虚拟化（IntelVT-d和从而减少对CPU的开销；另一种是利用半虚拟化的设备VMXNETx，网卡的物理驱动在VMkernel中，在虚拟机中装载网卡的虚拟驱动，通过这二者的配对来访问网卡，与仿真式网卡（IntelE1000）相比有KVM（Kernel-basedVirtualMachine，基于内核的虚拟机）是基于半虚拟化技术需要修改GuestOS（客户操作系统）源代此外，某些虚拟化功能若仅依赖软件实现，其性能往往2005年1月20日，Intel率先发布了硬件辅助虚拟化技术—术叫VT-x，Itanium（安腾）处理器的虚拟化技术叫VT-i。不久后，能相近，但命名有所不同。例如，IntelVT-x中存储虚拟机状态和控制信息的数据结构称为VMCS（虚拟机控制结构），而AMD-V中则），化过程，从而大大简化了虚拟化软件（VMM）的设计，并提升了其性能。以IntelVT-x为例，该技术引入了VMX（虚拟机扩展）操作、VMXroot模式专为VMM设计，VMXnon-root模式则由客户操行级别，因此VMM和GuestOS可以自由选择所需的运行级别。两种模式之间切换。当VMM想让GuestOS运行时，会通过VMX指令（如VMLAUNCH或VMRESUME）切换到VMXnon-root模式，并自动加载GuestOS的上下文。这种切换称为VMentry。而当GuestOS遇由于VMM和GuestOS共享底层的处理器资源，硬件需要一个专门的物理内存区域来保存和恢复它们的执行上下文。在IntelVT-x中，这个区域被称为VMCS。VMCS包含六个部分，分别用于保存VMM由于引入了新的操作模式，VMM和GuestOS的执行被硬件自动能够完全控制系统的资源。此外，GuestOS可以运行在期望的最高统调用不会触发VMexit。硬件使用物理地址访问VMCS，而VMCS保存了VMM和GuestOS各自的IDTR（中断描述符表寄存器）和CR3寄存器，因此VMM和GuestOS可以拥有独立的地址空间，解决了地址在内存虚拟化方面，硬件辅助虚拟化技术使用扩展页表（ExtendedPageTables，EPT）技术。由于影子页表的构建和维护极大地降低了VM的性能，因此，Intel和AMD分VMM需要为每一个GuestOS维护一张全局的客户机物理地址到本相同，VMM将其物理地址存于VMCS之中以通知MMU。只有在VMX址访问内存，MMU联合使用GuestOS的当前页表和EPT页表获得最终的主机机器地址。有了EPT技术，GuestOS设置CR3寄存器来切换页表时，无需产生VMexit，VMM也不用写保护它管理的页表，因为一旦在EPT页表中找不到对应页表项时，自动发生VMexit通知究表明EPT技术对于一般的测试程序至多有48%的性能提升，对于某些内存密集型的小测试程序，性能提升高达600%。IntelVT-d技术是一种基于北桥芯片的硬件辅助虚拟化技术，通过在北桥中内置提供DMA（直接内存访问）虚拟化和IRQ（中求）虚拟化硬件，实现了新型的I/O虚拟化方式。VT-d能够在虚拟传统的IOMMUs提供了一种集中的方式管理所有的DMA，包括传它通过在内存地址范围来区别设备，因此容易实现，但不容易实现域的存在，最终实现了DMA虚拟化，也称为DMA重映射。I/O设备会产生大量的中断请求，I/O虚一种通过I/O中断控制器路由，一种是通过DMA写请求直接发送的MSI（消息中断）。由于需要在DMA请求内嵌入目标内存地址，因此的MSI仍然是一个DMA写请求的形式，不过并不嵌入目标内存地址，而是一个消息ID。通过维护一个表结构，硬件可以通过不同的消息VT-d还进行了许多其他改动，如硬件缓冲、地址翻译等。通过动程序的需求。运用VT-d技术，虚拟机可以使用直接I/O设备分配或I/O设备共享方式来代替传统的设备模拟/额核心在于通过逻辑卷管理软件将多个物理磁盘整合成统一的虚拟存基于存储设备的存储虚拟化是一种在存储设备层面实现的虚拟在当前的IT基础设施平台中，存储虚拟化技术主要被设备并基于软件定义技术将多台通用服务器的本地磁盘资源整合为以缩短虚拟机访问存储的IO路径，通过副本本地化特性提高网络能够共享相同的物理网络基础设施并保持彼此之间的独立性与进行虚拟机和虚拟机之间以及虚拟机和外部物理或虚拟网络的互联VLAN（VirtualLocalAreaNetwork，虚拟局域网）和VXLAN在物理网络中划分逻辑网络的方法。通过使用VLAN，可以将同一个管理性和效率。VLAN的核心在于将一个物理网络（如交换机）分成多个逻辑上隔离的虚拟局域网，每个VLAN就像是一个独立的网络，播域。当一台设备发送广播帧时，该广播帧会被所有其他设备接收。从而降低网络性能。VLAN的一个主要目标就是划分广播域，以减少VLAN实现的是逻辑上的隔离。处于同一物理网络的设备，通过配置可以被划分到不同的VLAN中，形成多个虚拟VLANID用于标识不同的虚拟网络。它是一个12位的字段，允VLAN的实现主要基于IEEE802.1Q标准。该标准定义了如何在802.1Q标准为每个以太网帧添加一个4字节的VLAN标签，即），都会被打上对应的VLAN标签。数据包在交换机之间传输时，交换机会根据VLANTag来决定数据包属于哪个VLAN，并只在相应的VLAN内进行转发。如果数据包到达目的设备或需要在不同VLAN之间进行VLAN的工作还依赖于交换机端口的配置，不同的端口类型决定通过TrunkPort传输的流量携带802.1QV设备处于不同VLAN时，无法直接通过二层网络通信，因为它们被隔离在不同的广播域中。如果需要跨VLAN通信，则必须通过三层VLAN具有多重优势。首先，它提供了隔离性，将不同部门或用能。此外，VLAN还允许网络管理员根据功能、部门或位置对网络进中可能会受到限制。其次，虽然VLAN能缩小广播域的范围，但在单VXLAN（VirtualExtensibleLAN）是一种覆盖网络技术，通过），将其封装为VXLAN数据包，并通过三层网络发送到目标VTEP。目标VTEP有两个主要的接口：逻辑二层接口和三层接口。逻辑二层与现有网络的兼容性。VXLAN支持高达16777216个逻辑网络，解决了传统VLAN数量限制的问题，适合大规模数据中心或多租户云计算很多场景下需依赖硬件加速器。在没有集中度、内存管理、IO管理等代码，使之成为一个可以支持运行虚拟机块，以及运行于User模式的QEMU模块。这里的Kernel模在IntelVT-x技术和AMD-V技术的支持下，KV下文中进行，这一过程需要Kernel、User和Guest需的各类数据结构，其中VMCS（虚拟机控制结构）是尤为关键的数运行vCPU的指令，KVM内核模块执行VMentry操作，将处理器从够运行在原有的管理模式以及用户模式（us供了单独的寄存器。例如：在用户模式下，栈指针寄存器（stack从而避免了在进行模式切换时的寄存器值的存取，提获进入虚拟机监视器。虚拟化配置寄存器（hypconfigurationTGEbit）被设置为0×1时，所有的系统调用都会被捕获进入虚拟机在虚拟机监视器拦截异常后，虚拟化状态寄存器（hypsyndromeregister，简称HSR）记录了被捕获到虚拟），录了捕获的原因。例如，如果EC的值为0×12，说明虚拟机监视器级页表由客户操作系统维护，将客户虚拟地址映射为客户物理地址虚拟机监视器可以通过配置第2级页表项中的属性控制位来实现客ARM通过引入一个新的硬件组件——虚拟CPU（VCPU）接口，以支持客户操作系统可在不陷入虚拟机监视器的情况下使用该接口确认和模式中，也有对应的Ring0-Ring3的权限级。也就是说，根模），址转换为机器物理地址，不同的是:x86架构中的扩展页表使用了现在Intel处理器中，每个虚拟机都存在一个虚拟机控制区域内存，用于上下文切换。虚拟机管理程序在进入虚拟机之前会通过VMCS恢复相应的状态。而在ARM中，进入虚拟机更为简单。虚拟机管理程序只需要设置程序计数器（programcounter，简称PC）并执ARM虚拟化扩展和x86虚拟化扩展在设计思路上是相似的。但由基于KVM/ARM的内核虚拟化技术是指将KVM虚拟化技术应用于基高层管理程序（highvisor）两部分，使它们在不同的特权CPU模式而高层管理程序则作为主机Linux内核的一部分，利用现有的Linux虚拟机中的软件与物理CPU上的软件可以访问到相同的寄存器上下理程序捕获虚拟机的每次内存跨界访问，并将相关信息转发给QEMU最大限度地利用现有的操作系统和硬件对虚拟化技术的支持。由于意味着支持Linux的硬件设备通常也可以被KVM/ARM支持。因此，RDMA（RemoteDirectMemoryAccess）技术可以绕过双方操作越来越高。默认的工作机制下，一个IO请求会经过计算端系统网络层和存储层，IO请求在经过每一层系统时，都会带来额外的性在通过网络承载更多主机与存储间访问和存储节点之间通信的ROCE（RDMAoverConverged微分段技术是一种在虚拟化网络中采用软件定义方式提供网络平面组件相互独立并通过APIServer无缝协同工作。管理平面：管理平面为用户提供WEBUI或API的访问方式，负责微分段相关软件包的安装部署以及核心网络与安全策略的配置管），活编排L3和L4层的安全规则，并可对TCP、UDP、ICMP协议进行基于业务属性下发安全策略。微分段技术不仅支持基数据本地化是指将数据存储在与访问该数据的虚拟机或应用程管理系统会优先将一个完整的数据副本存储在虚拟机运行所在的节PCI设备直通。PCIE直通（PCIExpres因为虚拟机直接访问物理硬件，减少了虚拟化层带来的延迟和开销，PCIE直通功能多应用于对性能有极高要求的使用场景，如网络SR-IOV直通。SR-IOV（SingleRootI/OVirtualization，单的资源被虚拟化为多个虚拟设备（即虚拟功能VF），从而支持多个在SR-IOV架构中，每个物理设备（如物理网络适配器）被划分为一个物理功能（PhysicalFunction,PF）和多个虚拟功能（Virtual而VF则是PF的一个子集，拥有自己的PCIe功能，可以被直接分配转换，因此SR-IOV直通技术可以显著降低虚拟机与物理设备之间的介入，可以减少CPU和内存的开销；每个VF都被分配了唯一的MAC拟化环境中主要的2种使用方式。vGPU是利用GPU虚拟化技术，将单个物理的GPU切割成多个逻辑的vGPU，分割后的vGPU具有相应划分比例的计算能力和显存，可vGPU允许多台虚拟机共享一张GPU物理卡资源，提高资源利用在相同虚拟化软件中的虚拟机根据需要可从当前运行主机迁移前运行虚拟机的源主机立即将虚拟机使用的内存分页克隆到目的主虚拟机在异构虚拟化软件间的迁移通常需要借助不同的迁移方的虚拟磁盘应用接口将异构平台中的虚拟机迁移到本地虚拟化软件使用OVF文件进行导出/导入。通常虚拟化软件支持将虚拟机/虚拟卷以OVF文件的形式进行导出。可在新的虚拟化软件中使用OVF通常需要专业的迁移工具来执行物理机系统到虚拟化软件的迁点上的数据捕获。快照技术通常基于虚拟磁盘层面的数据块（DataBlocks）操作，采用写时复制（Copy-on-Write,CoW）或重定向写Consistency通常会利用VSS（VolumeShadowCopyService）等技术与应用程序交互，确保关键业务数据在备份虚拟化环境中的备份系统往往利用变化块跟踪（CBT）技术来实CDP能够提供精确到秒级的时间点恢复（Point-in-TimeRecovery,还能充分利用存储设备的重复数据删除（Deduplication）与压缩（Compression）等特性，提升同步复制（SynchronousReplication）技术，将备份数据实时或定期复制到异地灾备中心（DRSite）。通过存储区域网络或以太网络 现代容灾方案强调自动化切换能力，利用容灾编排（Disaster该工具会根据预设的恢复优先级（RecoveryPriority）、依赖关系），），金融业虚拟化的难点除了以上提到的虚拟化技术目前存在的挑（1）资源规划困难：在业务系统日益互联网化的背景下，传统（2）单点故障风险：依赖服务器虚拟化和集中式存储的数据中（3）适配迁移挑战：金融行业现有的业务系统和应用软件多基（4）场景匹配复杂：现有的虚拟化软件不能完全匹配各类业务统一管理包括硬件信息的UI展示，尚需进一步完善。（5）高性能业务承载瓶颈：针对金融业务的高并发、低延迟与（1）系统稳定性：在芯片适配过程中，虚拟化管理端可能会出（2）资源利用率：当前主流虚拟化产品普遍存在高资源占用的（3）运维管理层：虚拟化软件的频繁升级带来了较高的维护成化软件的技术文档和API接口不够完善，给开发与运维工作带来了额当前金融业虚拟化生态面临的难点主要体现在硬件和操作系统件虽然能够安装成功，但在实际运行时，容易触发某些CPU指令的周边系统适配问题：如备份系统、VDI、防病毒软件和存储设备等周边系统，尤其是面对一些小众品牌时，虚拟化软件缺少标准化API接口，调试和优化的时间成本高。针对服务器及存储资源的利旧且控制性能损耗，方便客户能够利旧VMware业务改造的硬件资源。软件的登录应支持IP黑白名单、双因子认证、验证码策略等设置，确保数据的快速处理和传输，满足实时性要求。此外，AI与自动化持批量新建/迁移、标签筛选、主机及虚拟机和数据中心均支持便捷进行持续改进，确保产品和服务能够不断优化前IT环境进行全面审视，并紧密结合未来发展规划，进行权资源利用评估分析：分析现有CPU、内存、存储等IT资源的分或资源分配不均影响应用性能，则表明当前IT基础设施存在快速响应与灵活性需求：评估当前IT架构在业方案是否能够满足这些需求，如提供足够的存储带宽、IOPS和延迟安全性与合规性保障：全面评估现有IT架增强业务灵活性，并有效支持金融机构的数字化转选择合适的虚拟化软件，对于金融机构而言，是迈向IT基需考虑界面设计的友好性、操作的便捷性以及l安全性与合规性：检查软件是否具备数据加密、访问控制、操作系统、应用程序及网络架构、集中/分布式存储的兼容性，确保能够无缝集成至现有IT环境。考察软件对混合云或多云部署模融系统（如CRM、ERP、支付网关等）的集成难度和效率，是否具有开放的API和标准接口，快速实现业务系统的整合和升级。l技术支持与生态系统：评估虚拟化软件供应商的技术实力、专业的帮助。了解软件的市场占有率、用户口碑及与现有IT确保所选方案能够在满足业务需求的同时，实管理机制，能够根据业务负载和应用需求动态调整资源分配，包括CPU、内存、存储等。关注是否支持资源池化和预留策略，以确保关确保在不影响现有业务连续性的前提下，实中间件等实现良好的互操作性，确保整个ITl界面友好性：图形用户界面（GUI）的设计应追求直观、简行业数字化。山西银行在建设分布式云平台之前，主要采用VMware台为上层业务部署提供基础计算、存储资源，实现对原有VMware、在客户移动生产数据中心建设了12个自主53台物理主机，提供170余个虚拟机资源，承载门户网站、数字人构资源池（飞腾、鲲鹏）、C86架构资源池（海光