摘要：虛擬網卡與虛擬機的生命周期一致，無法進行分離，虛擬機被銷毀時，虛擬網卡即被銷毀。每塊虛擬網卡支持綁定一個安全組，提供網卡級別安全控制。平臺默認提供塊虛擬網卡，若業務有塊以上網卡需求可通過綁定彈性網卡，為虛擬機提供多網絡服務。

虛擬機是 UCloudStack 云平臺的核心服務，提供可隨時擴展的計算能力服務，包括 CPU 、內存、操作系統等最基礎的計算組件，并與網絡、磁盤等服務結合提供完整的計算環境。通過與負載均衡等服務結合共同構建 IT 架構。

• UCloudStack 云平臺通過 KVM ( Kernel-based Virtual Machine ) 將物理服務器計算資源虛擬化，為虛擬機提供計算資源；
• 一臺虛擬機的計算資源只能位于一臺物理服務器上，當物理服務器負載較高或故障時，自動遷移至其它健康的物理服務器；
• 虛擬機計算能力通過虛擬 CPU ( vCPU ) 和內存表示，存儲能力通過云存儲容量和性能體現；
• 虛擬機管理程序通過控制 vCPU、內存及磁盤的 QoS ，用于支持虛擬機資源隔離，保證多臺虛擬機在同一臺物理服務器上互不影響。

虛擬機是云平臺用戶部署并運行應用服務的基礎環境，與物理計算機的使用方式相同，提供創建、關機、斷電、開機、重置密碼、重裝系統、升降級等完全生命周期功能；支持 Linux、Windows 等不同的操作系統，并可通過 VNC 、SSH 等方式進行訪問和管理，擁有虛擬機的完全控制權限。虛擬機運行涉及資源及關聯關系如下：

如圖所示，實例規格、鏡像、VPC 網絡是運行虛擬機必須指定的基礎資源，即指定虛擬機的 CPU 內存、操作系統、虛擬網卡及 IP 信息。在虛擬機基礎之上，可綁定云硬盤、彈性IP 及安全組，為虛擬機提供數據盤、公網 IP 及網絡防火墻，保證虛擬機應用程序的數據存儲和網絡安全。

在虛擬化計算能力方面，平臺提供 GPU 設備透傳能力，支持用戶在平臺上創建并運行 GPU 虛擬機，讓虛擬機擁有高性能計算和圖形處理能力。支持透傳的設備包括 NVIDIA 的 K80、P40、V100、2080、2080Ti、T4 及 華為 Atlas300 等。

4.2.1 實例規格

實例規格是對虛擬機 CPU 內存的配置定義，為虛擬機提供計算能力。CPU 和內存是虛擬機的基礎屬性，需配合鏡像、VPC 網絡、云硬盤、安全組及密鑰，提供一臺完整能力的虛擬機。

• 默認提供 1C2G 、2C4G 、4C8G 、8C16G 、16C32G 等實例規格；
• 支持自定義實例規格，提供多種 CPU 內存組合，以滿足不同應用規模和場景的負載要求；
• 支持升降級虛擬機 CPU 和內存配置，可通過更改實例規格進行調整；
• 實例規格通過關機后變更，需重新啟動虛擬機生效；
• 實例規格與虛擬機生命周期一致，虛擬機被銷毀時，實例規格即被釋放。

創建虛擬機規格支持根據不同的集群創建不同的規格，即可為不同的機型創建不同的規格，租戶創建虛擬機選擇不同機型時，即可創建不同規格的虛擬機，適應不同集群硬件配置不一致的應用場景。可分別定義 CPU 和內存：

• CPU 規格支持（C）：除 1 以外，以2的倍數進行增加，如 1C、2C、4C、6C ，最大值為240C。
• 內存規格支持（G）：除 1 以外，以2的倍數進行增加，如 1G、2G、4G、6G ，最大值為 1024G。

創建出的規格即可被所有租戶看到并使用，可根據業務需求在不同的集群中創建不同的規格。

4.2.2 鏡像

鏡像（ Image ）是虛擬機實例運行環境的模板，通常包括操作系統、預裝應用程序及相關配置等。虛擬機管理程序通過指定的鏡像模板作為啟動實例的系統盤，生命周期與虛擬機一致，虛擬機被銷毀時，系統盤即被銷毀。平臺虛擬機鏡像分為基礎鏡像和自制鏡像。

4.2.2.1 基礎鏡像

基礎鏡像是由 UCloudStack 官方提供，包括多發行版 Centos 、Ubuntu 及 Windows 等原生操作系統。

• 基礎鏡像默認所有租戶均可使用，默認提供的鏡像包括 Centos 6.5 64 、Centos 7.4 64 、Windows 2008r2 64 、Windows 2012r2 64 、Ubuntu 14.04 64 、Ubuntu 16.04 64。
• 基礎鏡像均經過系統化測試，并定期更新維護，確保鏡像安全穩定的運行和使用；
• 基礎鏡像為系統默認提供的鏡像，僅支持查看及通過鏡像運行虛擬機，不支持修改；
• Linux 鏡像默認系統盤為 40GB ，Windows 鏡像默認系統盤為 40GB ，支持創建時進行系統盤容量擴容，也可以在虛擬機創建后做系統盤擴容操作（需要用戶手動進入虛擬機內部進行文件系統擴容操作）。
• 支持管理將租戶自制或導入的鏡像復制為基礎鏡像，作為默認基礎鏡像共享給平臺所有租戶使用；同時支持管理員修改基礎鏡像的名稱備注及刪除基礎鏡像。
• 支持重裝系統，即更換虛擬機鏡像，Linux 虛擬機僅支持更換 Centos 和 Ubuntu 操作系統，Windows 虛擬機僅支持更換 Windows 其它版本的操作系統；

Windows 操作系統鏡像為微軟官方提供，需自行購買 Lincense 激活。

4.2.2.2 自制鏡像

自制鏡像由租戶或管理員通過虛擬機自行制作或自定義導入已有的自有鏡像，可用于創建虛擬機，除平臺管理員外，平臺的租戶自身也有權限查看和管理。

• 支持管理員和租戶制作、導入和導出自定義鏡像；同時管理員可導出鏡像倉庫中的所有自制鏡像。
• 支持管理員和租戶通過自制鏡像創建虛擬機、刪除自制鏡像、修改自制鏡像名稱。

為方便平臺鏡像模板文件的共享，平臺支持管理員將一個自制鏡像復制為一個基礎鏡像，使一個租戶的自制鏡像共享給所有租戶使用，適用于運維部門制作模板鏡像的場景，如自制鏡像操作系統的漏洞修復或升級后，制作一個自制鏡像并復制為基礎鏡像，使所有租戶可使用新的鏡像文件升級虛擬機系統。

4.2.2.3 鏡像存儲

基礎鏡像和用戶自制鏡像默認均存儲于分布式存儲系統，保證性能的同時通過三副本保證數據安全。

• 鏡像支持 QCOW2 格式，可將 RAW、VMDK 等格式鏡像轉換為 QCOW2 格式文件，用于 V2V 遷移場景；
• 所有鏡像均存儲于分布式存儲系統，即鏡像文件會分布在底層計算存儲超融合節點磁盤上；
• 若為獨立存儲節點，則分布存儲于獨立存儲節點的所有磁盤上；
• 一個地域的鏡像只能創建本地域的虛擬機，不支持跨地域鏡像創建虛擬機。

4.2.3 虛擬網卡

虛擬網卡（ Virtual NIC ）是虛擬機與外部通信的虛擬網絡設備，創建虛擬機時隨 VPC 網絡默認創建的虛擬網卡。虛擬網卡與虛擬機的生命周期一致，無法進行分離，虛擬機被銷毀時，虛擬網卡即被銷毀。有關 VPC 網絡詳見 VPC 網絡 。

虛擬網卡基于 Virtio 實現，QEMU 通過 API 對外提供一組 Tun/Tap 模擬設備，將虛擬機的網絡橋接至宿主機網卡，通過 OVS 與其它虛擬網絡進行通信。

• 每個虛擬機默認會生成 2 塊虛擬網卡，分別承載虛擬機內外網通信。
• 在虛擬機啟動時，根據選擇的 VPC 子網自動發起 DHCP 請求以獲取內網 IP 地址，并將網絡信息配置在一塊虛擬網卡上，為虛擬機提供內網訪問。
• 虛擬機啟動后，可申請公網 IP （外網 IP）綁定至虛擬機，提供互聯網訪問服務。綁定的外網 IP 會自動將公網 IP 信息配置在另一塊虛擬網卡上，為虛擬機提供外網訪問；一個虛擬機支持綁定 50 個外網 IPv4 和 10 個 IPv6 地址 。
• 不支持修改虛擬網卡的 IP 地址，手動修改的 IP 地址將無法生效。
• 每塊虛擬網卡支持綁定一個安全組，提供網卡級別安全控制。
• 支持虛擬網卡 QoS 控制，提供自定義設置虛擬網卡的出/入口帶寬。

平臺默認提供 2 塊虛擬網卡，若業務有 2 塊以上網卡需求可通過綁定 彈性網卡 ，為虛擬機提供多網絡服務。

4.2.4 彈性網卡

彈性網卡（ Elastic Network Interface, ENI ）是一種可隨時附加到虛擬機的彈性網絡接口，支持綁定和解綁，可在多個虛擬機間靈活遷移，為虛擬機提供高可用集群搭建能力，同時可實現精細化網絡管理及廉價故障轉移方案。

彈性網卡與虛擬機自帶的默認網卡（一個內網網卡和一個外網網卡）均是為虛擬機提供網絡傳輸的虛擬網絡設備，分為內網網卡和外網網卡兩種類型，同時均會從所屬網絡中分配 IP 地址、網關、子網掩碼及路由相關網絡信息。

• 內網類型的彈性網卡所屬網絡為 VPC 和子網，同時從 VPC 中自動或手動分配 IP 地址。
• 外網類型的彈性網卡所屬網絡為外網網段，同時會從外網網段中自動或手動分配 IP 地址，且分配的 IP 地址與彈性網卡生命周期一致，僅支持隨彈性網卡銷毀而釋放。
• 當網卡類型為外網時，網卡會根據所選外網 IP 的帶寬規格進行計費，用戶可根據業務需要，選擇適合的付費方式和購買時長。

虛擬機自帶的默認網卡所屬網絡為虛擬機創建時指定的 VPC 和子網，為虛擬機綁定一塊不同 VPC 的彈性網卡，虛擬機即可與不同 VPC 網絡的虛擬機進行通信。

彈性網卡具有獨立的生命周期，支持綁定和解綁管理，可在多個虛擬機間自由遷移；虛擬機被銷毀時，彈性網卡將自動解綁，可綁定至另一臺虛擬機使用。

彈性網卡具有地域（數據中心）屬性，僅支持綁定相同數據中心的虛擬機。一塊彈性網卡僅支持綁定至一個虛擬機，x86 架構虛擬機最多支持綁定 6 塊彈性網卡，ARM 架構虛擬機最多支持綁定 3 塊網卡。外網彈性網卡被綁定至虛擬機后，不影響虛擬機默認網絡出口策略，包含虛擬機上彈性網卡綁定的外網 IP 在內，以第一個有默認路由的 IP 作為虛擬機的默認網絡出口，用戶可設置某一個有默認路由的外網 IP 為虛擬機默認網絡出口。

每塊彈性網卡僅支持分配一個 IP 地址，并可根據需要綁定一個安全組，用于控制進出彈性網卡的流量，實現精細化網絡安全管控；如無需對彈性網卡的流量進行管控，可將彈性網卡的安全組置空。

用戶可通過平臺自定義創建網卡，并對網卡進行綁定、解綁及修改安全組等相關操作，對于外網彈性網卡還可進行【調整帶寬】操作，用于調整外網彈性網卡上的外網 IP 地址的帶寬上限。

彈性網卡具有地域、網卡類型、VPC、子網、外網網段、外網 IP 帶寬、IP 及安全組等屬性，支持創建、綁定、解綁、綁定安全組、解綁安全組及刪除彈性網卡等生命周期管理。

• 地域：彈性網卡僅支持綁定至相同地域的虛擬機。
• 網卡類型：彈性網卡的網絡接入類型，支持 VPC 內網和 EIP 外網兩種類型。
• VPC/子網：一塊內網彈性網卡僅支持加入至一個 VPC 和子網，創建后無法修改 VPC 和子網。
• 外網網段：一塊外網彈性網卡僅支持從一個外網網段中分配 IP 地址，創建后無法修改。
• 外網 IP 帶寬：外網網卡分配 IP 地址的帶寬。
• IP地址：支持手動指定和自動獲取彈性網卡在子網或外網網段內的 IP 地址，一塊彈性網卡僅支持 1 個 IP 地址，創建后無法修改 IP 地址；
• 安全組：每塊彈性網卡支持綁定一個安全組，提供網卡級別安全控制，詳見安全組 ；
• MAC 地址：每塊彈性網卡擁有全局唯一 MAC 地址；

彈性網卡整個生命周期包括創建中、未綁定、綁定中、已綁定、解綁中、已刪除等狀態，狀態流轉如下圖所示：

4.2.5 安全組

安全組（ Security Group ）是一種類似 IPTABLES 的虛擬防火墻，提供出入雙方向流量訪問控制規則，定義哪些網絡或協議能訪問資源，用于限制虛擬資源的網絡訪問流量，支持 IPv4 和 IPv6 雙棧限制，為云平臺提供必要的安全保障。

4.2.5.1 實現機制

平臺安全組基于 Linux Netfilter 子系統，通過在 OVS 流表中添加流表規則實現，需開啟宿主機 IPv4 和IPv6 包轉發功能。每增加一條訪問控制規則會根據網卡作為匹配條件，生成一條流表規則，用于控制進入 OVS 的流量，保證虛擬資源的網絡安全。

安全組僅可作用于同一個數據中心內具有相同安全需求的虛擬機、彈性網卡、負載均衡、 NAT 網關及堡壘機等，工作原理如下圖所示：

安全組具有獨立的生命周期，可以將安全組與虛擬機、彈性網卡、負載均衡、NAT 網關綁定在一起，提供安全訪問控制，與之綁定的虛擬資源銷毀后，安全組將自動解綁。

• 安全組對虛擬機的安全防護針對的是一塊網卡，即安全組是與虛擬機的默認虛擬網卡或彈性網卡綁定在一起，分別設置訪問控制規則，限制每塊網卡的出入網絡流量；
• 如安全組原理圖所示，安全組與提供外網 IP 服務的虛擬外網網卡綁定，通過添加出入站規則，對南北向（虛擬機外網）的訪問流量進行過濾；
• 安全組與提供私有網絡服務的虛擬網卡或彈性網卡綁定，通過添加出入站規則，控制東西向（虛擬機間及彈性網卡間）網絡訪問；
• 安全組與外網類型的負載均衡關聯，通過添加出入站規則，可對進出外網負載均衡的外網 IP 流量進行限制和過濾，保證外網負載均衡器的流量安全；
• 安全組與 NAT 網關綁定，通過添加出入站規則，可對進入 NAT 網關的流量進行限制，保證 NAT 網關的可靠性和安全性；
• 一個安全組支持同時綁定至多個虛擬機、彈性網卡、NAT 網關及外網負載均衡實例；
• 虛擬機支持綁定一個內網安全組和一個外網安全組，分別對應虛擬機默認的內網網卡和外網網卡上，其中外網安全組對綁定至虛擬機的所有外網 IP 地址生效；
• 彈性網卡僅支持綁定一個安全組，與虛擬機默認網卡綁定的安全組相互獨立，分別限制對應網卡的流量；
• 外網負載均衡和 NAT 網關實例僅支持綁定一個安全組，可更換安全組應用不同的網絡訪問規則。

創建虛擬機時必須指定外網安全組，支持隨時修改安全組的出入站規則，新規則生成時立即生效，可根據需求調整安全組出/入方向的規則。支持安全組全生命周期管理，包括安全組創建、修改、刪除及安全組規則的創建、修改、刪除等生命周期管理。

4.2.5.2 安全組規則

安全組規則可控制允許到達安全組關聯資源的入站流量及出站流量，提供雙棧控制能力，支持對 IPv4/IPv6 地址的 TCP、UPD、ICMP、GRE 等協議數據包進行有效過濾和控制。

每個安全組支持配置 200 條安全組規則，根據優先級對資源訪問依次生效。規則為空時，安全組將默認拒絕所有流量；規則不為空時，除已生成的規則外，默認拒絕其它訪問流量。

支持有狀態的安全組規則，可以分別設置出入站規則，對被綁定資源的出入流量進行管控和限制。每條安全組規則由協議、端口、地址、動作、優先級、方向及描述六個元素組成：

• 協議：支持 TCP、UDP、ICMPv4、ICMPv6 四種協議數據包過濾。ALL 代表所有協議和端口，ALL TCP 代表所有 TCP 端口，ALL UDP 代表所有 UDP 端口；支持快捷協議指定，如 FTP、HTTP、HTTPS、PING、OpenVPN、PPTP、RDP、SSH 等；ICMPv4 指 IPv4 版本網絡的通信流量；ICMPv6 指 IPv6 版本網絡的通信流量。
• 端口：源地址訪問的本地虛擬資源或本地虛擬資源訪問目標地址的 TCP/IP 端口。TCP 和 UDP 協議的端口范圍為 1~65535 ；ICMPv4 和 ICMPv6 不支持配置端口。
• 地址：訪問安全組綁定資源的網絡數據包來源地址或被安全組綁定虛擬資源訪問的目標地址。當規則的方向為入站規則時，地址代表訪問被綁定虛擬資源的源 IP 地址段，支持 IPv4 和 IPv6 地址段；當規則的方向為出站規則時，地址代表被綁定虛擬資源訪問目標 IP 地址段，支持 IPv4 和 IPv6 地址段；支持 CIDR 表示法的 IP 地址及網段，如 120.132.69.216 、 0.0.0.0/0 或 ::/0 。
• 動作：安全組生效時，對數據包的處理策略，包括 “接受” 和 “拒絕” 兩種動作。
• 優先級：安全組內規則的生效順序，包括高、中、低三檔規則。安全組按照優先級高低依次生效，優先生效優先級高的規則；同優先級的規則，優先生效精確規則。
• 方向：安全組規則所對應的流量方向，包括出站流量和入站流量。
• 描述：每一條安全組規則的描述，用于標識規則的作用。

安全組支持數據流表狀態，規則允許某個請求通信的同時，返回數據流會被自動允許，不受任何規則影響。即安全組規則僅對新建連接生效，對已經建立的鏈接默認允許雙向通信。如一條入方向規則允許任意地址通過互聯網訪問虛擬機外網 IP 的 80 端口，則訪問虛擬機 80 端口的返回數據流（出站流量）會被自動允許，無需為該請求添加出方向允許規則。

注：通常建議設置簡潔的安全組規則，可有效減少網絡故障。

4.2.6 VNC 登錄

VNC（ Virtual Network Console ）是 UCloudStack 為用戶提供的一種通過 WEB 瀏覽器連接虛擬機的登錄方式，適應于無法通過遠程登錄客戶端（如 SecureCRT、PuTTY 等）連接虛擬機的場景。通過 VNC 登錄連到虛擬機，可以查看虛擬機完整啟動流程，并可以像 SSH 及 遠程桌面一樣管理虛擬機操作系統及界面，支持發送各種操作系統管理指令，如 CTRL+ALT+DELETE。

支持用戶獲取虛擬機的 VNC 登錄信息，包括 VNC 登錄地址及登錄密碼，適用于使用 VNC 客戶端連接虛擬機的場景，如桌面云場景。為確保 VNC 連接的安全性，每一次調用 API 或通過界面所獲取的 VNC 登錄信息有效期為 300 秒，如果 300 秒內用戶未使用 IP 和端口進行連接，則信息直接失效，需要重新獲取新的登錄信息；同時用戶使用 VNC 客戶端登錄虛擬機后，300 秒內無任何操作將會自動斷開連接。

4.2.7 生命周期

UCloudStack 為虛擬機提供完整生命周期管理，用戶可自助創建虛擬機，并對虛擬機進行關機、斷電、開機、重置密碼、重裝系統、升降級配置、熱升級、制作鏡像、修改業務組、修改名稱/備注、修改告警模板及刪除等基本操作；同時支持與虛擬機相關聯資源的綁定和解綁管理，包括彈性網卡、云硬盤、 外網 IP 及安全組等。

• 關機是對虛擬機操作系統的正常關機，斷電是將虛擬機強制關機；
• 重裝系統即更換虛擬機鏡像，Linux 僅支持更換 Linux 類型鏡像，Windows 僅支持更換 Windows 類型鏡像；
• 升降級配置是對虛擬機的規格配置進行升級或降級的變更操作；
• 熱升級指在虛擬機開機（running ）狀態下，支持升級虛擬機的CPU、內存，僅支持 Base 鏡像為 Centos7.4 的虛擬機熱升級，不支持在線降級操作。
• 銷毀虛擬機會自動刪除實例規格、系統盤及默認虛擬網卡，同時會自動解綁相關聯的虛擬資源；
• 一個虛擬機支持綁定多個云硬盤、彈性網卡、外網 IP 及安全組。

UCloudStack 虛擬機完整生命周期包括啟動中、運行、關機中、斷電中、關機、啟動中、重裝中、刪除中及已刪除等資源狀態，各狀態流轉如下圖所示：