تدعم AWS المحاكاة الافتراضية المتداخلة فقط على مثيلات EC2 Bare Metal وبعضها manageالعروض. لا تعرض مثيلات EC2 الافتراضية القياسية Intel لا يدعم هذا النظام تشغيل VT-x/AMD-V على الأجهزة الافتراضية، لذا فإن تشغيل KVM أو Hyper-V أو ESXi داخلها غير مدعوم. في بيئات الإنتاج، يُنصح باستخدام خوادم فعلية مبنية على Nitro (لبرنامج إدارة الأجهزة الافتراضية الخاص بك) أو VMware Cloud على AWS.
إذا كنت بصدد تقييم تقنية المحاكاة الافتراضية المتداخلة من AWS للمختبرات أو محاكيات التكامل المستمر أو منصات متعددة المستأجرين، فمن الضروري فهم مواطن نجاحها ومواطن قصورها. في هذا الدليل، سأشرح ما تدعمه AWS، وأي عائلات EC2 يجب اختيارها، وكيفية إعداد KVM على الخوادم المادية، واعتبارات الأداء، والبدائل الأكثر أمانًا عندما لا تكون المحاكاة الافتراضية المتداخلة ضرورية.
ما هي تقنية المحاكاة الافتراضية المتداخلة؟
تتيح لك تقنية المحاكاة الافتراضية المتداخلة تشغيل برنامج إدارة الأجهزة الافتراضية داخل جهاز افتراضي. عمليًا، يعني ذلك بدء تشغيل جهاز افتراضي (المستوى 1)، ثم تشغيل جهاز افتراضي آخر أو هبرفيسر داخلها (المستوى 2).
هذا يتطلب CPU ملحقات المحاكاة الافتراضية (Intel (VT-x/VMX أو AMD-V/SVM) لتكون متاحة للجهاز الظاهري الضيف.
تشمل الأسباب الشائعة لاستخدام التداخل بناء بيئات مختبرية معزولة، واختبار ميزات المشرف، وتشغيل محاكيات Android للتكامل المستمر، أو دمج أحمال العمل متعددة المستأجرين التي تتوقع عزلًا كاملاً للأجهزة الافتراضية.
هل تدعم AWS تقنية المحاكاة الافتراضية المتداخلة؟
نعم، على الخوادم المادية. توفر مثيلات AWS EC2 Bare Metal وصولاً مباشراً إلى الخادم الأساسي، مما يتيح لك تثبيت وتشغيل برنامج إدارة الأجهزة الافتراضية الخاص بك (KVM، Hyper-V، ESXi) وحتى تمكين التداخل داخل الأجهزة الافتراضية الضيفة. أما مثيلات EC2 التقليدية (غير المادية) فلا تعرض تقنية VT-x/AMD-V، وبالتالي لا تدعم التداخل الافتراضي.
المسارات المدعومة على AWS
- مثيلات EC2 Bare Metal (المبنية على Nitro): يمكنك التحكم في نظام التشغيل المضيف وتثبيت KVM أو Hyper-V أو ESXi. كما يمكنك تفعيل خاصية التداخل في الأجهزة الافتراضية الضيفة لأن لديك وصولاً كاملاً إلى مكونات الجهاز.
- VMware Cloud على AWS: في إم وير manageمركز البيانات المعرف بالبرمجيات (SDDC) على خوادم AWS المادية. يمكنك تشغيل الأجهزة الافتراضية على مجموعات VMware ESXi واستخدام الطرق المدعومة من VMware للسيناريوهات المتقدمة. (ملاحظة: يعتمد توفر الميزات على سياسات منصة VMware).
غير مدعوم على مثيلات EC2 القياسية
- لا تسمح مثيلات EC2 الافتراضية المُدارة بواسطة Nitro (غير المادية) بمرور تقنية VT-x/AMD-V إلى نظام التشغيل الضيف. ستفشل محاولات تشغيل برنامج إدارة الأجهزة الافتراضية المتداخل أو ستلجأ إلى محاكاة برمجية بطيئة (مثل QEMU TCG).
- لا توفر مثيلات Graviton (ARM) وسيلة للمحاكاة الافتراضية المتداخلة المشابهة لـ x86 bare metal لبرامج المحاكاة الافتراضية الشائعة x86.
ما هي مثيلات EC2 التي تدعم المحاكاة الافتراضية المتداخلة؟
اختر أساس النيترو المعدن تتوفر هذه الخيارات بأشكال مختلفة. ويختلف التوفر حسب المنطقة، ولكن تشمل الخيارات الشائعة ما يلي:
- إحصاء المحسن: c5.metal، c5n.metal، c6i.metal، c6a.metal، c7i.metal (وما شابهها)
- هدف عام: m5.metal، m5n.metal، m6i.metal، m6a.metal، m7i.metal
- تم تحسين الذاكرة: r5.metal، r5n.metal، r6i.metal، r6a.metal
- التخزين/NVMe كثيف: i3.metal، i4i.metal
- تردد عالي: z1d.metal
تحقق دائمًا من أحدث وثائق AWS وكتالوج مثيلات منطقتك، حيث تتطور التسمية والتوافر.
إعداد KVM على EC2 Bare Metal (وتمكين خاصية التداخل)
يستخدم المثال التالي مثيلًا معدنيًا x86_64 (على سبيل المثال، m6i.metal) يعمل بنظام Amazon Linux 2023. قم بتعديل الحزم/الأوامر إذا كنت تستخدم Ubuntu أو RHEL أو توزيعة أخرى.
# 1) Verify CPU virtualization support
lscpu | egrep 'Virtualization|Vendor ID'
egrep -o 'vmx|svm' /proc/cpuinfo | sort -u
# 2) Update system and install KVM/libvirt tooling
sudo dnf -y update
sudo dnf -y install qemu-kvm libvirt virt-install virt-manager
# 3) Start and enable libvirt
sudo systemctl enable --now libvirtd
sudo usermod -aG libvirt $USER # re-login after this to pick up group
# 4) Load KVM modules (Intel example; use kvm_amd for AMD)
sudo modprobe kvm
sudo modprobe kvm_intel
# 5) Confirm KVM is available
lsmod | grep kvm
virsh nodeinfo
# 6) OPTIONAL: Enable nested virtualization for your KVM guests
# This lets a VM you create also run its own hypervisor.
echo "options kvm_intel nested=1" | sudo tee /etc/modprobe.d/kvm-intel.conf
sudo modprobe -r kvm_intel
sudo modprobe kvm_intel
cat /sys/module/kvm_intel/parameters/nested # should return Y
# 7) Create a VM (example)
virt-install \
--name demo-vm \
--memory 4096 \
--vcpus 2 \
--cpu host-passthrough \
--disk size=30 \
--cdrom /var/lib/libvirt/images/ubuntu.iso \
--network network=defaultملاحظة:
- استعمل
--cpu host passthroughيعرض CPU ميزات للأجهزة الافتراضية. - بالنسبة لأجهزة AMD، استبدل
kvm_intelمعkvm_amdوالتحققsvmيظهر في/proc/cpuinfo. - الشبكات: ضع في اعتبارك إعدادات macvtap أو الجسر أو التوجيه اعتمادًا على احتياجات الأمان والإنتاجية على EC2.
اعتبارات الأداء وأفضل الممارسات
- وحدة المعالجة المركزية: تُضيف أحمال العمل المتداخلة عبئًا إضافيًا. يُفضّل استخدام الأجيال الأحدث (مثل c6i.metal و m6i.metal) وتحديد الحجم المناسب لـ vCPU/NUMA topology.
- ذاكرة: خصص مساحة كافية لنظام التشغيل المضيف، وبرنامج إدارة الأجهزة الافتراضية من الطبقة الأولى، والأجهزة الافتراضية من الطبقة الثانية. تجنب الإفراط في التخصيص إذا كنت بحاجة إلى زمن استجابة متوقع.
- التخزين: استخدم EBS gp3/io1/io2 مع IOPS المخصصة للإدخال/الإخراج المتسق، أو التخزين المحلي NVMe على i3.metal/i4i.metal للإنتاجية العالية (مع خطط متانة البيانات).
- الشبكات: يوفر Nitro نطاقًا تردديًا أساسيًا عاليًا؛ بالنسبة لحركة مرور الأجهزة الافتراضية من الشرق إلى الغرب، ضع في اعتبارك SR-IOV أو إعدادات الجسر داخل برنامج إدارة الأجهزة الافتراضية الخاص بك وقم بتوزيع حركة المرور عبر واجهات الشبكة المتعددة إذا لزم الأمر.
- عزل: كل طبقة تداخل تزيد من التعقيد؛ قم بتحصين برامج إدارة الأجهزة الافتراضية من الطبقة الأولى والثانية، وقم بتحديثها بانتظام، وقم بمراجعة حركة مرور الأجهزة الافتراضية.
الأخطاء الشائعة وكيفية إصلاحها
- qالمحاكي: KVM غير متوفر: من المحتمل أنك تستخدم مثيل EC2 غير مُثبَّت على خادم فعلي، أو أن وحدات KVM غير مُحمَّلة. تحقق من نوع الخادم الفعلي وتأكد من ذلك.
lsmod | grep kvm. - لن يبدأ تشغيل برنامج إدارة الأجهزة الافتراضية الضيف: تأكد من تفعيل خاصية التداخل (
/sys/module/kvm_{intel,amd}/parameters/nestedعروضY) وتستخدم جهازك الظاهريcpu host passthrough. - أداء ضعيف: تجنب محاكاة البرامج؛ تأكد
vmx/svmتظهر العلامات في الضيف وتراجع اختناقات التخزين/الشبكة.
بدائل للتقنية الافتراضية المتداخلة على AWS
- الحاويات بدلاً من الأجهزة الافتراضية: استخدم Docker أو ECS أو EKS لمعظم بيئات التكامل المستمر والخدمات المصغرة والبيئات المؤقتة. غالبًا ما تكون أسرع وأقل تكلفة من إدارة برامج إدارة الأجهزة الافتراضية المتداخلة.
- الخدمات المدارة: بالنسبة لخطوط بناء/اختبار التطبيقات، ضع في اعتبارك AWS CodeBuild أو Device Farm (لاختبار تطبيقات الجوال) أو Amazon WorkSpaces/AppStream لبث تطبيقات سطح المكتب/التطبيقات.
- VMware Cloud على AWS: إذا كنت بحاجة إلى دلالات VMware، فاستخدم VMware managed SDDC بدلاً من التداخل اليدوي.
- خوادم مخصصة/خوادم معدنية خارج السحابة: عندما تتطلب متطلبات الأداء الصارمة أو الترخيص تحكمًا كاملاً، يمكن أن يكون الخادم المُعدّل بالكامل خيارًا فعالًا من حيث التكلفة. YouStableنحن نوفر خوادم مخصصة وبيئات معدنية مخصصة مُحسّنة للمحاكاة الافتراضية والمختبرات، تواصل معنا للحصول على بنى تحتية تُحاكي إعداد AWS الخاص بك بأسعار قابلة للتنبؤ.
نصائح حول التكاليف والترخيص
- أسعار EC2 Bare Metal: تُعتبر الخوادم المعدنية ذات قيمة عالية. استخدم خطط التوفير أو الخوادم المحجوزة إذا كنت تعمل على مدار الساعة. سعة الخوادم المعدنية الفورية محدودة أو غير متوفرة في العديد من المناطق.
- تكاليف التخزين: تتراكم أحجام وحدات تخزين EBS ذات معدل عمليات الإدخال/الإخراج العالي. لذا، يجب تحديد حجم معدل عمليات الإدخال/الإخراج/الإنتاجية بشكل مناسب، واستخدام سياسات دورة الحياة للقطات.
- الترخيص: تتطلب أنظمة Hyper-V وWindows Server وبعض برامج إدارة الأجهزة الافتراضية التجارية تراخيص خاصة للإعدادات المتداخلة. تحقق من الشروط قبل النشر.
ملاحظات حول الأمن والامتثال
- المسؤولية المشتركة: على النظام الأساسي، تقوم بتشغيل برنامج إدارة الأجهزة الافتراضية. قم بتأمين النظام. SSH، يقيد manageشبكات الإدارة، وفرض المصادقة متعددة العوامل وأقل الامتيازات في إدارة الهوية والوصول.
- وتيرة الترقيع: حافظ على تحديث نواة النظام المضيف/KVM وأنظمة التشغيل الضيفة. فعّل التحديثات التلقائية كلما أمكن ذلك، وقم بتجربة التغييرات في مجموعة اختبار.
- حماية البيانات: استخدم نظام EBS المشفر، أيها العميل manageمفاتيح KMS، والنظر في التشفير المستند إلى المضيف داخل الأجهزة الضيفة لأحمال العمل الحساسة.
حالات استخدام العالم الحقيقي
- مختبرات التدريب: قم بتشغيل مضيف KVM أو ESXi على m6i.metal لتعليم المحاكاة الافتراضية، ثم اسمح للطلاب بإنشاء أجهزة افتراضية من المستوى الثاني بأمان.
- محاكاة الشبكة: قم بتشغيل GNS3/EVE NG على i3.metal لمختبرات التوجيه/التبديل الافتراضي ذات معدل الإدخال/الإخراج العالي.
- خطوط أنابيب التكامل المستمر: قم بإنشاء محاكيات Android/iOS أو kernel CI تتطلب عزل VM داخل VM عندما لا تكون الحاويات كافية.
الأسئلة الشائعة
هل تدعم AWS تقنية المحاكاة الافتراضية المتداخلة على مثيلات EC2 القياسية؟
لا. لا تعرض مثيلات EC2 القياسية تقنية VT-x/AMD-V للأجهزة الافتراضية. أنت بحاجة إلى EC2 Bare Metal أو manageمنصة مثل VMware Cloud على AWS.
ما هي مثيلات EC2 التي تسمح لي بتشغيل KVM أو Hyper-V أو ESXi؟
عائلات Bare Metal القائمة على النيترو مثل c5.metal/c6i.metal و m5.metal/m6i.metal و r5.metal/r6i.metal و i3.metal/i4i.metal و z1d.metal. تحقق من التوفر في منطقتك.
هل يمكنني تفعيل المحاكاة الافتراضية المتداخلة داخل أجهزة KVM الافتراضية الخاصة بي على AWS bare metal؟
نعم. قم بتحميل وحدة KVM المناسبة باستخدام nested=1 واستخدامها cpu host passthrough لأجهزتك الافتراضية حتى تتمكن من تشغيل برامج إدارة الأجهزة الافتراضية الخاصة بها.
هل يُعدّ استخدام المحاكاة الافتراضية المتداخلة على AWS مناسبًا للإنتاج؟
الأمر يعتمد على الحالة. بالنسبة للمنصات أو المختبرات المتخصصة متعددة المستخدمين، قد يكون استخدام الخوادم المادية مع خاصية التداخل مناسبًا. أما بالنسبة للتطبيقات العادية، فإن الحاويات أو الأجهزة الافتراضية أحادية المستوى أبسط وأرخص وأسهل في التشغيل.
ما هي أفضل البدائل إذا لم أكن بحاجة إلى تعشيش كامل؟
استخدم ECS/EKS للحاويات، وAWS CodeBuild/Device Farm للتكامل المستمر واختبار تطبيقات الجوال، أو VMware Cloud على AWS إذا كنت بحاجة إلى خصائص VMware دون إدارة برنامج إدارة الأجهزة الافتراضية بنفسك. أما بالنسبة للاحتياجات الثابتة عالية الأداء، فضع في اعتبارك YouStable تحديد الخوادم..
