如何安装并启动StratoVirt
背景介绍
StratoVirt 作为虚拟化平台,实现了一套架构统一支持虚拟机,容器,Serverless 三种场景。我们的 StratoVirt 同时具备了虚拟化的安全特性和容器的轻量级开销。是否想要实际上手操作一番呢?本文就来介绍如何使用 StratoVirt 运行一台虚拟机。另外,在容器场景下,小编也会带来对接 iSulad 容器引擎,运行一台安全容器的操作指导。
软硬件要求
最低硬件要求
- 处理器架构:仅支持 AArch64 和 x86_64 处理器架构。AArch64 需要 ARMv8 及更高版本且支持虚拟化扩展;x86_64 支持 VT-x。
- 2 核 CPU
- 4GiB 内存
- 16GiB 可用磁盘空间
软件要求
操作系统:openEuler 20.09 及更高版本
安装 StratoVirt
这里提供了两种方式安装 StratoVirt。如果你只想要使用 StratoVirt 运行一台虚拟机,小编推荐组件安装的方式。你只需要按照软硬件要求,安装 openEuler 20.09 及更高版本,并且配置好 openEuler yum 源。那么就可以直接使用 yum 命令安装啦。
如果你有很强的好奇心,希望深入了解我们的 StratoVirt。那太好了,编译安装的方式更适合你。作为开源项目,我们的 StratoVirt 源码放在码云平台上。 你可以下载我们的源码,了解它的架构,甚至对其做一些代码修改。
组件安装
步骤 1:用 yum 命令安装
``` [root@openeuler ~]# yum install -y stratovirt ```
说明:安装前,确保已经配置好 openEuler yum 源。
编译安装
步骤 1:环境准备,确保 Rust 语言环境和 Cargo 软件已经安装成功。
请参考链接的指导进行安装:https://www.rust-lang.org/tools/install
步骤 2:编译软件
``` [root@openeuler ~]# git clone https://gitee.com/openeuler/stratovirt.git [root@openeuler ~]# cd stratovirt [root@openeuler ~]# cargo build --release ```
生成的二进制文件在 target/release/stratovirt 路径下。
StratoVirt 运行虚拟机
步骤 1:准备设备和工具
``` [root@openeuler ~]# modprobe vhost_vsock [root@openeuler ~]# yum install nmap ```
步骤 2:制作 PE 格式的 kernel 镜像
``` [root@openeuler ~]# yum install git; yum install gcc; yum install make; yum install bison; yum install flex [root@openeuler ~]# cd /home; git clone https://gitee.com/openeuler/kernel [root@openeuler ~]# cd kernel; git checkout kernel-4.19 [root@openeuler ~]# cd /home; git clone https://gitee.com/openeuler/stratovirt.git [root@openeuler ~]# cp stratovirt/docs/kernel_config/config_openeuler_4.19_aarch64 kernel/.config [root@openeuler ~]# cd kernel; make –j vmlinux; objcopy -O binary vmlinux vmlinux.bin ```
生成的 /home/kernel/vmlinux.bin 就是制作好的 kernel 镜像。
说明:如果使用 x86_64 处理器架构,需要拷贝 stratovirt/docs/kernel_config/config_openeuler_4.19_x86_64 到 kernel 路径下并重命名为.config。
步骤 3:制作 EXT4 格式的 rootfs 镜像
``` [root@openeuler ~]# cd /home [root@openeuler ~]# dd if=/dev/zero of=./rootfs bs=1G count=5 [root@openeuler ~]# mkfs.ext4 ./rootfs [root@openeuler ~]# mkdir /mnt/rootfs; mount /home/rootfs /mnt/rootfs [root@openeuler ~]# cd /mnt/rootfs [root@openeuler ~]# wget http://dl-cdn.alpinelinux.org/alpine/latest-stable/releases/aarch64/alpine-minirootfs-3.12.0-aarch64.tar.gz [root@openeuler ~]# tar -zxvf alpine-minirootfs-3.12.0-aarch64.tar.gz; rm alpine-minirootfs-3.12.0-aarch64.tar.gz [root@openeuler ~]# rm sbin/init; touch sbin/init && cat > sbin/init <<EOF
! /bin/sh
mount -t devtmpfs dev /dev mount -t proc proc /proc mount -t sysfs sysfs /sys ip link set up dev lo exec /sbin/getty -n -l /bin/sh 115200 /dev/ttyS0 poweroff -f EOF [root@openeuler ~]# chmod +x sbin/init [root@openeuler ~]# cd /home; umount /mnt/rootfs ```
/home/rootfs 就是制作好的 rootfs 镜像。
说明:在获取对应处理器架构的最新 alpine-mini rootfs 阶段,如果是 x86_64 处理器架构,参考命令如下:
``` [root@openeuler ~]# wget http://dl-cdn.alpinelinux.org/alpine/latest-stable/releases/x86_64/alpine-minirootfs-3.12.0-x86_64.tar.gz [root@openeuler ~]# tar -zxvf alpine-minirootfs-3.12.0-x86_64.tar.gz [root@openeuler ~]# rm alpine-minirootfs-3.12.0-x86_64.tar.gz ```
步骤 4:使用 stratovirt 命令运行虚拟机
``` [root@openeuler ~]# rm /tmp/stratovirt.socket [root@openeuler ~]# stratovirt -kernel /home/kernel/vmlinux.bin -append console=ttyS0 root=/dev/vda rw reboot=k panic=1 -drive file=/home/rootfs,id=rootfs -api-channel unix:/tmp/stratovirt.socket -serial stdio ```
运行后,在终端会打印内核启动的串口日志,表明虚拟机已经成功启动。以下是虚拟机启动日志的部分内容:
``` [ 0.000000] Booting Linux on physical CPU 0x0000000000 [0x481fd010] [ 0.000000] Linux version 4.19.152+ (root@localhost.localdomain) (gcc version (GCC)) #1 SMP Fri Oct 23 14:56:45 CST 2020 [ 0.000000] Machine model: linux,dummy-virt [ 0.000000] earlycon: uart0 at MMIO 0x0000000040009000 (options '') [ 0.000000] bootconsole [uart0] enabled ... ... [ 0.113561] Freeing unused kernel memory: 576K [ 0.113957] Run /sbin/init as init process / # ```
说明:如果是编译安装,需使用对应路径下二级制文件 stratovirt 运行虚拟机。
StratoVirt 对接 iSulad 并运行安全容器
iSulad 是一种容器引擎,具有轻、灵、巧、快的特点。你可以点击这里了解详情。那什么是安全容器呢?简单来说,安全容器使用虚拟化层进行容器间的隔离,使同一主机上的不同容器间具有更强的隔离性。
安全容器的架构如下图所示:
上图展示的容器都运行在单独的虚拟机中,StratoVirt 虚拟化技术提供了虚拟化层的安全隔离。我们将使用 iSulad 容器引擎,kata containers 容器运行时和 StratoVirt 虚拟化平台,运行一个安全容器。如果你希望在其他 openEuler 版本或 linux 平台上运行安全容器,你可以在 bilibili - openEuler - 如何安装并使用 StratoVirt 视频中找到相应的方法。
准备工作
步骤 1:准备设备和工具
``` [root@openeuler ~]# modprobe vhost_vsock [root@openeuler ~]# yum install nmap ```
步骤 2:安装 iSulad 和 kata-containers
``` [root@openeuler ~]# yum install iSulad; yum install kata-containers ```
步骤 3:添加 iSulad 的 runtime
``` [root@openeuler ~]# vi /etc/isulad/daemon.json // 在 runtimes 节点中添加如下内容: "kata-runtime": { "path": "/usr/bin/kata-runtime" } ```
步骤 4:配置 Storage
``` [root@openeuler ~]# dd if=/dev/zero of=/home/isula_images bs=1G count=10 [root@openeuler ~]# losetup /dev/loop1 /home/isula_images [root@openeuler ~]# pvcreate /dev/loop1 [root@openeuler ~]# vgcreate isulaVG0 /dev/loop1 [root@openeuler ~]# lvcreate --wipesignatures y -n thinpool isulaVG0 -l 95%VG [root@openeuler ~]# lvcreate --wipesignatures y -n thinpoolmeta isulaVG0 -l 1%VG [root@openeuler ~]# lvconvert -y --zero n -c 512K --thinpool isulaVG0/thinpool --poolmetadata isulaVG0/thinpoolmeta [root@openeuler ~]# vi /etc/lvm/profile/isulaVG0-thinpool.profile // 添加如下内容: activation { thin_pool_autoextend_threshold=80 thin_pool_autoextend_percent=20 } [root@openeuler ~]# vi /etc/isulad/daemon.json // 更改 storage-driver 和 storage-opts 为如下内容: "storage-driver": "devicemapper", "storage-opts": [ "dm.thinpooldev=/dev/mapper/isulaVG0-thinpool", "dm.fs=ext4", "dm.min_free_space=10%" ], ```
步骤 5:重启 iSulad
``` [root@openeuler ~]# systemctl daemon-reload; systemctl restart isulad ```
使用 isula info 方式,显示 isula 配置信息。如果配置信息有如下显示,恭喜你,isula 存储驱动已经配置成功了。
``` Storage Driver: devicemapper ```
配置 kata-containers
步骤 1:制作 kata-containers 的 kernel 镜像
``` [root@openeuler ~]# cd /home [root@openeuler ~]# git clone https://github.com/kata-containers/packaging.git [root@openeuler ~]# cp packaging/kernel/configs/arm64_kata_kvm_4.19.x kernel/.config [root@openeuler ~]# cd kernel; make –j vmlinux; objcopy -O binary vmlinux vmlinux.bin [root@openeuler ~]# cp vmlinux.bin vmlinux_kata ```
步骤 2:修改 kata 配置
``` [root@openeuler ~]# vi /usr/share/defaults/kata-containers/configuration.toml // 修改下面几项内容: [hypervisor.stratovirt] path = "/home/stratovirt.sh" kernel = "/home/kernel/vmlinux_kata " initrd = "/var/lib/kata/kata-containers-initrd.img" block_device_driver = "virtio-mmio" use_vsock = true enable_netmon = false internetworking_model="none" sandbox_cgroup_with_emulator = false ```
运行安全容器
步骤 1:创建运行脚本
``` [root@openeuler ~]# cat > /home/stratovirt.sh <<EOF
!/bin/bash
export STRATOVIRT_LOG_LEVEL=info # set log level which includes trace, debug, info, warn and error. /usr/bin/stratovirt $@ EOF [root@openeuler ~]# chmod +x /home/stratovirt.sh ```
步骤 2:运行
``` [root@openeuler ~]# isula run -tid --runtime=kata-runtime --net=none --name test busybox:latest sh ```
运行后,通过 isula ps 可以看到运行中的 test 容器,通过下面指令在容器内运行命令:
``` [root@openeuler ~]# isula exec –ti test sh ``` 到这里,我们就运行了一个安全容器,你就可以像操作一个普通容器一样操作这个安全容器了。