kvm装机

***：KVM装机涉及到一系列操作。首先要确保硬件支持虚拟化技术并进行相应的BIOS设置。安装KVM相关软件包，如在Linux系统下使用包管理工具安装qemu - kvm等。创建存储池和磁盘镜像以满足虚拟机的存储需求。定义虚拟机的配置，包括内存、CPU核心数等参数。最后启动虚拟机并安装操作系统，期间可能需要挂载ISO镜像等操作来完成系统安装过程。

《KVM装机全攻略：从基础概念到实战操作》

一、KVM简介

（一）什么是KVM

KVM（Kernel - based Virtual Machine）是一种基于Linux内核的开源全虚拟化解决方案，它利用Linux内核中的虚拟化功能，将Linux系统转变为一个虚拟机监控器（Hypervisor），KVM在现代数据中心和云计算环境中扮演着重要的角色，因为它提供了高性能、高效能的虚拟机管理能力。

1、内核集成优势

- 由于KVM是内核集成的，它能够充分利用Linux内核的众多特性，它可以直接使用内核的内存管理、进程调度和设备驱动等功能，这使得KVM在资源分配和管理方面具有很高的效率，与其他一些需要额外内核模块或者复杂的用户态进程来实现虚拟化的方案相比，KVM的内核集成特性减少了很多不必要的开销。

- 安全性也是内核集成带来的一个重要优势，Linux内核本身具有强大的安全机制，如访问控制、安全审计等，KVM可以继承这些安全特性，从而保障虚拟机的安全运行。

2、开源特性

- KVM的开源性质使得它得到了全球众多开发者和企业的关注，开源社区不断对KVM进行优化和改进，修复漏洞并添加新的功能，这意味着用户可以免费使用KVM，并且可以根据自己的需求定制和扩展它。

- 对于企业来说，开源的KVM也有助于避免供应商锁定，他们可以根据自己的技术实力和业务需求选择不同的工具和服务来构建基于KVM的虚拟化环境，而不是依赖于某个特定供应商的闭源解决方案。

（二）KVM的架构

1、虚拟机监控器（Hypervisor）层

- 在KVM架构中，Hypervisor层是核心部分，它负责管理虚拟机的创建、启动、停止和资源分配等操作，KVM的Hypervisor实际上是Linux内核中的一部分，它通过特殊的指令集（如Intel VT - x或AMD - V）来实现硬件虚拟化。

- 当一个虚拟机被创建时，Hypervisor会为其分配一定的CPU时间、内存、磁盘和网络资源，它还负责监控虚拟机的运行状态，确保虚拟机之间的隔离性，防止一个虚拟机的故障影响到其他虚拟机。

2、虚拟机（Guest Machine）层

- 虚拟机是运行在KVM之上的独立操作系统实例，它可以是各种类型的操作系统，如Linux、Windows等，每个虚拟机都认为自己独占了底层的硬件资源，实际上是通过Hypervisor的调度和资源分配来共享这些资源。

- 虚拟机内部的操作系统和应用程序运行方式与在物理机上基本相同，由于是运行在虚拟化环境中，它们需要通过特殊的设备驱动（如virtio驱动）来提高性能，以适应虚拟化环境下的I/O操作特点。

3、宿主操作系统（Host Operating System）层

- 宿主操作系统是运行KVM的基础操作系统，它提供了运行Hypervisor的环境，并且负责管理物理硬件资源，在大多数情况下，宿主操作系统也是Linux系统。

- 宿主操作系统可以为虚拟机提供各种服务，如文件系统共享、网络连接等，它也负责管理物理设备，如磁盘、网络接口卡等，并将这些设备资源合理地分配给虚拟机。

二、KVM装机前的准备工作

（一）硬件要求

1、CPU支持

- 要使用KVM进行虚拟化，CPU必须支持硬件虚拟化技术，对于Intel平台，需要支持VT - x技术；对于AMD平台，需要支持AMD - V技术，可以通过查看CPU的规格说明书或者使用工具（如lscpu命令）来确定CPU是否支持。

- 在一台Intel处理器的服务器上，运行“lscpu | grep -i vt - x”命令，如果有输出结果，说明CPU支持VT - x技术，如果CPU不支持硬件虚拟化，KVM的性能将会受到很大影响，甚至无法正常运行某些功能。

2、内存要求

- 内存的大小取决于要运行的虚拟机数量和虚拟机的内存需求，如果要运行多个虚拟机，需要足够的物理内存，如果计划运行3个虚拟机，每个虚拟机分配2GB内存，那么宿主系统至少需要6GB以上的物理内存（还要考虑宿主系统自身的内存需求）。

- 要注意内存的兼容性和稳定性，使用高质量的内存模块可以减少虚拟机运行过程中的内存错误。

3、磁盘空间

- 磁盘空间需要根据虚拟机的存储需求来确定，如果虚拟机需要安装大型操作系统和大量应用程序，就需要足够的磁盘空间，一个Windows Server虚拟机可能需要几十GB甚至上百GB的磁盘空间。

- 还需要考虑磁盘的I/O性能，对于需要高I/O性能的虚拟机（如数据库服务器虚拟机），可以使用高速磁盘，如固态硬盘（SSD）或者磁盘阵列（RAID）。

（二）软件环境准备

1、选择合适的Linux发行版

- 许多Linux发行版都支持KVM，如CentOS、Ubuntu等，CentOS是企业中常用的发行版，它具有稳定性高、软件包管理方便等特点，Ubuntu则以其易用性和对新技术的快速支持而受到欢迎。

- 在选择Linux发行版时，需要考虑到与企业现有系统的兼容性、技术支持以及社区资源等因素，如果企业的大部分系统都是基于CentOS的，那么选择CentOS作为KVM的宿主系统可以方便系统管理和维护。

2、安装必要的软件包

- 在选定的Linux发行版上，需要安装KVM相关的软件包，以CentOS为例，需要安装“qemu - kvm”软件包，它包含了KVM的核心组件，还需要安装“libvirt”，它是一个用于管理虚拟机的工具集，提供了命令行和API接口来创建、启动和管理虚拟机。

- 为了方便虚拟机的网络管理，可能还需要安装“bridge - utils”等软件包，可以使用yum（CentOS）或者apt - get（Ubuntu）等包管理工具来安装这些软件包，在CentOS上，可以使用“yum install qemu - kvm libvirt bridge - utils”命令来安装所需的软件包。

三、KVM的安装步骤

（一）CentOS系统下KVM的安装

1、检查硬件支持

- 在安装KVM之前，再次确认CPU支持硬件虚拟化技术，如前面所述，可以使用“lscpu | grep -i vt - x”命令检查Intel平台的CPU是否支持VT - x。

- 确保内存和磁盘空间满足需求。

2、安装KVM相关软件包

- 使用yum命令安装KVM相关软件包，首先更新yum源：“yum update”，然后安装“qemu - kvm”、“libvirt”和“bridge - utils”等软件包：“yum install qemu - kvm libvirt bridge - utils”。

- 在安装过程中，yum会自动解决软件包之间的依赖关系，安装完成后，可以使用“systemctl start libvirtd”命令启动libvirtd服务，它是libvirt的守护进程，负责管理虚拟机，使用“systemctl enable libvirtd”命令可以设置该服务在系统启动时自动启动。

3、配置网络

- KVM虚拟机的网络配置有多种模式，如桥接模式、NAT模式等，桥接模式下，虚拟机可以直接连接到物理网络，与物理机处于同一网络段，NAT模式下，虚拟机通过宿主系统的网络地址转换来访问外部网络。

- 以桥接模式为例，首先创建一个桥接网络接口，编辑“/etc/sysconfig/network - scripts/ifcfg - br0”文件（如果没有则创建），内容如下：

```

TYPE=Bridge

BOOTPROTO=dhcp

DEVICE=br0

ONBOOT=yes

NM_CONTROLLED=no

```

- 然后修改物理网络接口（如eth0）的配置文件“/etc/sysconfig/network - scripts/ifcfg - eth0”，添加“BRIDGE=br0”一行，重启网络服务：“systemctl restart network”。

（二）Ubuntu系统下KVM的安装

1、检查硬件支持

- 同样，检查CPU是否支持硬件虚拟化，在Ubuntu系统中，可以使用“kvm - ok”命令来检查，如果输出“INFO: /dev/kvm exists”等类似表示KVM可用的信息，则说明硬件支持。

- 确认内存和磁盘空间满足虚拟机运行需求。

2、安装KVM相关软件包

- 使用apt - get命令安装，首先更新软件源：“sudo apt - get update”，然后安装“qemu - kvm”、“libvirt - bin”和“bridge - utils”等软件包：“sudo apt - get install qemu - kvm libvirt - bin bridge - utils”。

- 安装完成后，启动libvirt服务：“sudo service libvirt - bin start”，并设置为开机自动启动：“sudo update - rc.d libvirt - bin defaults”。

3、网络配置

- 对于Ubuntu系统下KVM虚拟机的网络配置，桥接模式的配置与CentOS有所不同，编辑“/etc/network/interfaces”文件，添加以下内容：

```

auto br0

iface br0 inet dhcp

bridge_ports eth0

bridge_stp off

bridge_maxwait 0

```

- 然后保存文件并重启网络服务：“sudo service networking restart”。

四、创建和管理虚拟机

（一）使用virt - manager创建虚拟机

1、启动virt - manager

- 在CentOS或Ubuntu系统中，安装好KVM相关软件包后，可以在图形界面下启动virt - manager，在CentOS系统中，可以在应用程序菜单中找到“Virtual Machine Manager”；在Ubuntu系统中，可以在搜索栏中输入“virt - manager”并启动它。

2、创建虚拟机步骤

- 启动virt - manager后，点击“New”按钮开始创建虚拟机。

- 首先选择虚拟机的安装来源，可以是本地ISO镜像文件、网络安装源或者从现有虚拟机克隆，如果选择本地ISO镜像文件，需要指定ISO文件的位置。

- 然后设置虚拟机的内存大小、CPU核心数等资源配置，可以根据虚拟机的用途分配适当的内存，如Web服务器虚拟机可以分配1 - 2GB内存，数据库服务器虚拟机可能需要4GB或更多内存。

- 接着选择虚拟机的磁盘大小和存储类型，可以选择创建一个新的虚拟磁盘，也可以使用现有的虚拟磁盘，磁盘大小根据虚拟机的存储需求确定。

- 设置虚拟机的网络连接模式（如桥接模式或NAT模式），并为虚拟机命名，点击“Finish”按钮完成虚拟机的创建。

（二）使用命令行创建和管理虚拟机

1、使用virsh命令创建虚拟机

- 首先创建一个XML配置文件，例如创建一个名为“testvm.xml”的文件，内容如下：

```xml

<domain type='kvm'>

<name>testvm</name>

<memory unit='KiB'>1048576</memory>

<vcpu>1</vcpu>

<os>

<type arch='x86_64' machine='pc - i440fx - rhel7.0.0'>hvm</type>

<boot dev='cdrom'/>

</os>

<devices>

<disk type='file' device='disk'>

<driver name='qemu' type='qcow2'/>

<source file='/var/lib/libvirt/images/testvm.qcow2'/>

<target dev='vda' bus='virtio'/>

</disk>

<interface type='bridge'>

<mac address='52:54:00:12:34:56'/>

<source bridge='br0'/>

<model type='virtio'/>

</interface>

</devices>

</domain>

```

- 然后使用“virsh define testvm.xml”命令定义虚拟机，再使用“virsh start testvm”命令启动虚拟机。

2、虚拟机的管理操作

- 使用“virsh list”命令可以列出正在运行的虚拟机，使用“virsh shutdown testvm”命令可以正常关闭虚拟机，使用“virsh destroy testvm”命令可以强制关闭虚拟机（不建议在正常情况下使用）。

- 可以使用“virsh suspend testvm”命令暂停虚拟机的运行，使用“virsh resume testvm”命令恢复暂停的虚拟机运行。

五、KVM虚拟机的性能优化

（一）CPU性能优化

1、合理分配CPU资源

- 根据虚拟机的负载需求合理分配CPU核心数，对于计算密集型的虚拟机，如科学计算虚拟机，可以分配较多的CPU核心，而对于轻负载的虚拟机，如简单的Web服务器虚拟机，分配较少的CPU核心即可。

- 可以使用“cpuset”功能来将虚拟机的CPU资源限制在特定的CPU核心集合上，提高CPU的局部性，减少CPU缓存的失效次数，从而提高性能。

2、启用CPU超线程技术（如果支持）

- 如果CPU支持超线程技术，在宿主系统和虚拟机中启用超线程技术可以提高CPU的利用率，在KVM中，可以通过在虚拟机的XML配置文件中设置相关参数来启用超线程技术，在虚拟机的XML配置文件中设置“<vcpu placement='static'>2</vcpu>”（假设要启用2个超线程的CPU核心）。

（二）内存性能优化

1、大页内存的使用

- 使用大页内存可以减少内存管理的开销，在Linux系统中，可以通过配置内核参数来启用大页内存，在CentOS系统中，可以编辑“/etc/sysctl.conf”文件，添加“vm.nr_hugepages = 1024”（假设设置1024个大页内存），然后使用“sysctl - p”命令使配置生效。

- 在KVM虚拟机的XML配置文件中，也需要设置相关参数来使用大页内存，如“<memoryBacking><hugepages/></memoryBacking>”。

2、内存气球技术的应用

- 内存气球技术可以根据虚拟机的实际需求动态调整虚拟机的内存大小，在KVM中，需要在虚拟机的操作系统中安装支持内存气球技术的驱动（如virtio - balloon驱动）。

- 宿主系统可以通过libvirt工具来监控和调整虚拟机的内存大小，根据虚拟机的负载情况，如在虚拟机负载较低时回收部分内存，在负载较高时增加内存供给。

（三）磁盘性能优化

1、使用virtio驱动

- 在虚拟机中使用virtio驱动可以提高磁盘I/O性能，在创建虚拟机时，将磁盘和网络设备的驱动类型设置为virtio，在虚拟机的XML配置文件中，对于磁盘设备设置“<driver name='qemu' type='qcow2'/><target dev='vda' bus='virtio'/>”，对于网络设备设置“<model type='virtio'/>”。

2、磁盘缓存策略

- 根据虚拟机的磁盘读写需求选择合适的磁盘缓存策略，在KVM中，可以在虚拟机的XML配置文件中设置磁盘缓存策略，设置为“writeback”缓存策略可以提高磁盘的写入性能，但在主机突然断电等情况下可能会有数据丢失风险；设置为“writethrough”缓存策略则相对更安全，但写入性能会稍低一些。

六、KVM的安全考虑

（一）虚拟机隔离

1、硬件辅助的隔离

- KVM利用硬件虚拟化技术（如Intel VT - x或AMD - V）实现虚拟机之间的硬件级隔离，这种隔离确保了一个虚拟机的操作不会直接影响到其他虚拟机的硬件资源，如CPU、内存和磁盘等。

- 即使一个虚拟机中的操作系统出现内核崩溃等严重故障，由于硬件级隔离，其他虚拟机仍然可以正常运行。

2、网络隔离

- 在网络方面，可以通过VLAN（虚拟局域网）等技术进一步增强虚拟机之间的网络隔离，将不同用途或安全级别的虚拟机划分到不同的VLAN中，可以防止虚拟机之间的非法网络访问。

- 在KVM的网络配置中，如桥接模式下，可以通过设置网络访问控制列表（ACL）来限制虚拟机的网络访问权限。

（二）安全更新与漏洞管理

1、宿主系统的安全更新

- 定期更新宿主系统的软件包，包括KVM相关的软件包，这些更新通常包含安全补丁，可以修复已知的安全漏洞，在CentOS系统中，可以使用“yum update”命令定期更新系统软件包；在Ubuntu系统中，可以使用“apt - get update && apt - get upgrade”命令。

2、虚拟机操作系统的安全更新

- 对于虚拟机中的操作系统，也要定期进行安全更新，这与在物理机上的操作系统安全更新类似，不同的操作系统有不同的更新机制，如Windows虚拟机可以通过Windows Update进行更新，Linux虚拟机可以通过各自的包管理工具进行更新。

- 要关注虚拟机操作系统的安全公告，及时了解并处理可能存在的安全风险。

（三）访问控制

1、限制对KVM管理工具的访问

- 只有授权的用户才应该被允许访问KVM管理工具，如virt - manager或virsh命令，可以通过设置用户权限、密码认证等方式来实现访问控制。

- 在CentOS系统中，可以通过配置“/etc/libvirt/libvirtd.conf”文件来设置访问控制相关的参数，如限制远程访问的IP地址范围、要求用户认证等。

2、虚拟机内部的访问控制

- 在虚拟机内部，也要建立完善的访问控制机制，对于Linux虚拟机，可以通过设置用户和组的权限、使用SELinux（如果启用）等方式来控制对文件系统、进程等资源的访问，对于Windows虚拟机，可以使用Windows的用户账户控制、组策略等功能来实现访问控制。

通过以上