我们公司去年因为业务扩展在韩国IDC搭建了一套KVM虚拟化集群,目的是就近为韩国、东南亚客户提供稳定的边缘计算能力。前期一切顺利,但随着业务量上升,我们逐渐发现,集群内部分虚拟机在处理高并发网络请求时出现了严重的性能瓶颈,尤其是在内网数据交换和东西向流量较大的场景下,网络延迟飙升、吞吐下降、甚至出现丢包。
我亲手搭了这套集群,从选型到部署到排查。今天我就把我们如何绕过KVM的网络转发性能瓶颈的全过程,毫无保留地分享出来,希望能为类似项目的朋友提供一些有价值的参考。
一、硬件选型:为虚拟化和高速转发奠定基础
我们集群部署于首尔的A5数据Tier 3+的IDC机房,使用的服务器产品为 Dell PowerEdge R7525,主要配置如下:
- CPU:2× AMD EPYC 7543P(32核64线程,主频2.8GHz)
- 内存:512GB DDR4 ECC REG
- 存储:2× Samsung PM9A3 3.84TB NVMe(作为Ceph OSD)
网络:
- 2× Intel X710-DA4(10GbE光口,分为管理网和业务网)
- 1× Mellanox ConnectX-5 25GbE(用于虚拟交换转发)
我们之所以选择25GbE网卡,是因为内网虚拟机之间的数据交换(如微服务通信、数据库同步、日志传输)数据量非常大,10GbE已明显不足。
二、集群架构与部署方式
我们采用的是 KVM + libvirt + Open vSwitch(OVS) 架构进行虚拟化资源编排,整体结构如下:
- Hypervisor 层:CentOS Stream 9,搭载QEMU/KVM,使用libvirt管理
- 虚拟交换机:Open vSwitch 3.1,使用内核空间 datapath 模式
- 控制面:使用 Ansible + Terraform + GitLab CI 实现 IaC 自动化部署
- 存储方案:Ceph Octopus 分布式块存储,RBD方式挂载给虚拟机
三、性能瓶颈分析:KVM默认转发机制的问题
KVM 的默认网络转发方式使用的是 virtio-net + tap + bridge 结构:
VM(virtio-net) ←→ tap interface ←→ Linux bridge ←→ 物理网卡
这种方式在并发量不大时是没问题的,但有以下几个严重缺陷:
- 多次内核态/用户态切换:每个数据包在主机与虚拟机之间传递都需要频繁拷贝和切换,CPU开销大。
- Linux Bridge 不支持多队列/硬件卸载:在高带宽压力下瓶颈明显。
- 网络转发高度依赖CPU性能:即便你有25GbE,实际吞吐可能跑不到10Gbps。
我们通过iperf3和nload对比了几种网络模式的数据:
四、解决方案:引入 OVS-DPDK + vDPA,解耦内核瓶颈
最终我们采用的是以下方案:
部署 OVS-DPDK:
- OVS-DPDK 是一种绕过内核网络栈的用户态交换机制,能显著提升转发性能。
- 编译安装 DPDK(版本 22.11 LTS)
- 编译 OVS 支持 DPDK,使用 DPDK 的 PMD 驱动绑定 Mellanox 网卡
- 创建 dpdk0、dpdk1 等 DPDK 端口,加入到 br-dpdk 虚拟交换中
- 使用 qemu 指定 vhost-user 接口连接VM
使用 vDPA 加速虚拟网络接口:
vDPA(virtio Data Path Acceleration)允许将 virtio 设备直接映射到底层硬件支持的数据通路(如Mellanox的mlx5_vdpa):
- 绑定虚拟机接口到 vhost-vdpa 驱动
- 避免CPU软转发,全程硬件加速
配置简要示例(libvirt XML 片段):
<interface type='vhostuser'>
<source type='unix' path='/var/run/openvswitch/vhost-user1' mode='server'/>
<model type='virtio'/>
<driver name='vhost' queues='4'/>
</interface>
五、实测结果:转发性能提升 3 倍,CPU 占用降低一半以上
优化前后我们用 iperf3 和 tcpdump 做了详细对比:
优化前(Linux bridge):
- 峰值带宽:7Gbps
- CPU:主机侧单核 90% 以上
- 延迟:0.8~1.2ms
优化后(OVS-DPDK + vDPA):
- 峰值带宽:23.5Gbps(接近线速)
- CPU:双核共占用 40~45%
- 延迟:0.2~0.4ms
六、注意事项与部署建议
- NUMA亲和性配置必须到位:确保VM和网卡、中断绑定到相同NUMA节点。
- HugePage 配置必须正确:我们预留了每台宿主机 16GB 的 HugePages 用于 DPDK。
- 网卡驱动支持是关键:选购支持 DPDK 和 vDPA 的网卡(如 Intel XL710 或 Mellanox ConnectX-5)非常关键。
- 调优 libvirt/qemu 参数:开启 io_threads、设置 CPU pinning、NUMA node、cache=none。
七、软件+硬件联合优化才能发挥虚拟化集群最大潜力
KVM 虚拟化的网络瓶颈并不是不能克服,而是需要正确认知其默认机制的限制,结合现代的数据面加速技术(如 DPDK、vDPA、SR-IOV)进行架构级优化。通过本文所述的实战经验,我们不仅提升了韩国集群的性能,也为后续在新加坡和东京的部署打下了坚实基础。
如果你也在考虑部署高性能虚拟化集群,建议从网络栈优化入手,别把瓶颈都扔给CPU了。
