本文摘錄自台灣網路資訊中心一○一年度新一代網際網路協定互通認證計畫「IPv6雲端虛擬主機建置規劃報告」。

• 虛擬機器管理員(Hypervisor)
  Hypervisor是一個硬體虛擬化的產物，介於硬體與軟體之間，可以讓多個作業系統運作於一部電腦上。由於CPU製程的持續不斷進展，而讓我們使用的設備(如：PC、Server等)的硬體效能常常還有剩餘能力沒有充分發揮，虛擬化的想法也由此而生。Hypervisor最主要的功能，是讓我們在同一台實體機器上能同時運行多個虛擬機器(Virtual Machine, VM)，這些VM擁有各自的作業系統，且這些位於相同實體主機上的VM是彼此獨立，就如同擁有實體環境一樣。
  

  圖1 、Type 1 Hypervisor

  
  針對Hypervisor的運作方式可分為兩大類，分別是Type1與Type2，如圖1、圖2所示。Type1這種類型的Hypervisor是直接控制著實體機器的硬體，也就是取代掉現有的作業系統，把原本要跟硬體溝通的事改由此類型的Hypervisor來處理，它的優點是效能高但是實作此類型之Hypervisor較複雜。

  圖2、Type 2 Hypervisor

  
  

  而另一種類型就是Type2的Hypervisor，此就像是一般安裝在OS上的應用程式一樣，VM是跑在此應用程式之上，相對於Type1，此類型的Hypervisor會多了一層OS，因此效能會比Type1來得差，不過由於實作容易，因此目前的Hypervisor多屬於此類(如：KVM、VMware、VirtualBox等)。不過位於運行此Hypervisor之上的VMs，除了效能的差別外，其他的功能是不會有任何影響。
  

• 虛擬網路交換器(Virtual Switch)
  

  圖3、虛擬網路交換器示意圖

  
  

  目前的雲端環境是一個以Layer2為主的網路架構，但其上的VM的主要任務為提供不同公用系統服務之對外服務，如：FTP、Web服務等，因此在VM上綁定Public IP將是不可避免的，而隨著IPv4位址的不足，未來虛擬機器的Public IP配發將會大受限制。因此IPv6的導入將可化解此一困境，對雲端虛擬機房的未來發展極有助益。除此之外，雲端環境是將所有物件虛擬化，原本單一實體機器的Server皆轉成VM存在於Hypervisor之中，而所有Server的連接，也將由實體的線路變成虛擬連接。

  而負責接起VM之間連線的，就是所謂的虛擬網路交換器(Virtual Switch，或稱vSwitch)，其目的是為了能讓伺服器裡因虛擬化所產生的VM之間網路能夠透通，與過去由實體伺服器經由網路交換器(Switch)連接而串起網路不同，VM間的網路由Hypervisor中的vSwitch來負責處理，圖3為虛擬網路交換器之示意圖，可看出vSwitch是位於VMs與實體網路交換器之間，且同一實體機器中的VM要互相傳輸，不需要經過實體的網路交換器，可想而知會有一些安全性的議題在虛擬網路裡中產生，如VM間的網路攻擊等。

  Open vSwitch是美國Stanford大學所發展的多層虛擬交換器，目的是針對能夠支援標準管理界面的VM環境來建立一個Software-based交換器，並且能讓大家有計劃性的擴展和控制。另外Open vSwitch也類似於VMware’s vNetwork distributed vswitch或是Cisco Nexus 1000V。Open vSwitch目前支援多種虛擬化技術。它在Xen Cloud Platform上是預設的交換器，同時支援Xen，XenServer，KVM和VirtualBox。它的程式碼是寫在platform-independent C，因此很容易移植至其他環境。

  目前大部分的Hypervisor是使用作業系統中的Bridge module來提供虛擬機器裡的網路，但如圖4所示，若想要實現跨實體機器的虛擬機器分群，也就是傳統網路環境中切割虛擬網路(Virtual Local Area Network, VLAN)，現有的Bridge將有所困難。倘若使用Open vSwitch技術，將可以正常運作VLAN，讓虛擬網路在安全上多一份保障；此外，我們在避免同一實體機器裡的虛擬機器相互攻擊，除了配合整合攻擊分析系統外，如何將內部的流量複製一份到IDS或者自行開發的分析系統，vSwtich是否提供Port mirroring就很重要，目前Open vSwitch經過測試也可以順利將內部流量mirror一份至指定的網路介面，提供虛擬主機環境更高的安全性與管理性。
  

  圖4、vSwitch中的VLAN與Port mirroring