标签: 云计算

数字经济时代，企业数字化转型已成必然，越来越多的企业踏浪前行，加速探索全领域的数字化转型，获得竞争优势。数字化技术的快速发展也加速了税收征管改革进程，财务数字化成为企业转型升级的有力抓手，助力优化财务流程与资源配置，并基于准确的数据和深入的分析，为企业战略决策提供有力支持。 金鹰国际集团在数字化浪潮中把握机遇，从金税三期到金税四期拥抱变革，不断探索财税管理的新模式、新方法，通过引入百望云，建立了从发票开具、查验、认证到申报的全链条标准化的财务工作流程体系，为管理层提供更精准的决策依据，实现运营降本增效，推进合规经营，也为消费者带来了更便捷、更舒适的开票体验，用数字化新动能推动企业可持续新发展。 为消费者带来永续美好的金鹰生活 金鹰国际集团创立于1992年，总部设于南京，为南京首家外资高端商贸流通企业。历经32载潜心经营，坚持多元协同纵深发展战略，持续布局全国20余座核心城市，逐渐发展成为国内领先的以商业地产和城市综合服务为专长的全生命周期服务商。金鹰始终秉持“比承诺做得更好”的核心价值理念，践行ESG行动，致力于在中国深具消费潜力的城市深度发展，为消费者带来永续美好的金鹰生活。 集团的业务范围广泛，涵盖超高层综合体开发、全生活购物中运营、酒店及度假村、科技+、医疗健康、文化艺术等多个领域，横跨8大业务板块，财务的组织架构也会随着集团发展进行调整。 财务共享是企业数字化的突破口 2022年，集团启动整合共享，财务共享建设被提上日程。特别是随着金税四期的启动，数电票在江苏省快速铺开，为了符合政策监管与市场环境要求，集团希望可以利用百望云的数字化能力，落实财务智能化改造，实现数电票的全生命周期管理，打造业财共享中心。 金鹰国际集团与百望云的合作始于2018年，解决了当时的“单机盘、系统分离和发票开具繁琐”的问题。面对金税四期带来的发票管理模式变化，百望云助力集团完成了数电票升级，集团的商贸、房产、物业等业务体系全面上线百望云进、销项管理平台，打通业财系统，满足不同场景下的发票开具需求，初步实现了发票全流程的在线管控。 举例销项数电升级场景，如： 停车场开票：客户自主打开金鹰APP\公众号\小程序，申请开具发票，发票开具成功后实时返回开票信息，并将版式文件推送到客户邮箱。 物业开票：客户自主申请开具电子发票，财务人员在ERP系统，通过应收\付款单生成开票数据，为用户开具发票。 酒店开票：酒店客户结账后，可以通过订单开具发票，也可以生成二维码，客户主动扫码填写信息来开具发票。 写字楼开票：实现业务系统直接对接百望云平台，自动开具发票。 在财务共享中心建立后，发票自动开具、自动认证等能够大幅提升财务人员的工作效率，从核算型财务转型到战略型财务，从财务走向业务，参与到企业的经营管理中，为企业创造更大的价值。 塑造智慧税务新生态 税务管理直接关系到企业的合规经营与经济效益，由于数据与税务系统还为拉通，企业缺少对税务的精准管控。如人工填报纳税申报表，相关数据人工对账，效率低易出错；计算口径、申报执行规则未实现统一化、标准化；各单位申报数据无法实时掌握，集团缺少对税务管理的抓手，容易引发税务风险。 同时，基于互信共赢的合作基础，金鹰国际集团又与百望云共同搭建了一站式的智慧税务管理平台，覆盖数据归集、税务台账、税金计提、计税算税、税表自动生成、审批对接、一键申报缴款等全业务流程，提高纳税申报效率与质量，有效防范税务风险，推进集团税务信息化建设。 纳税申报自动化 打通业财税票系统，实现对申报数据的完整归集与采集，利用系统内置规则引擎自动计税，最终对接电子税局一键申报，实现纳税申报自动化。 申报流程标准化 将集团统一的纳税规则、流程通过系统固化，实现全集团纳税申报标准化作业。为税务共享奠定坚实基础。 数据治理集中化 将全集团涉税数据沉淀于平台之中，集中在集团层级进行治理，为监测各单位税务管理运行情况，分析税负、风险点提供数据支撑。 税务管理数智化 依托于人工智能，构建税务共享底座，打造集团垂直的税务管理体系，基于标准化规则、透明化流程、集中化数据开展税务分析、风险排查、绩效评定，实现税务管理数智化转型。 通过智慧税务管理平台，集团全面打通业财税系统，实现了系统间自动化数据交互，替代人工归集，完成从申报全流程的自动化闭环管理，大幅提高纳税申报效率，标准化全集团的申报流程，有效避免成员单位的不规范操作和税务处理，降低涉税风险，推动企业可持续发展。 数电票变革是“牵一发而动全身”的，企业可以将数电票作为起点，延伸到申报、风险管理等全流程、全环节的管理升级，形成世界一流财务管理体系，以智慧税务建设赋能业务提质增效，为企业的持续创新发展提供坚实支撑。

1. 方案背景和挑战 裸金属服务器作为一类特别设计的计算类云服务，向最终用户提供了云端部署的专属物理服务器，这意味着最终用户不再需要与其他租户共享硬件资源，从而确保了资源的独占性、性能的最优化以及数据的最高级别安全。 裸金属服务器作为云上资源的重要部分，其网络需要与云主机和容器同样连接在VPC下，并且能够像云主机和容器一样使用云上的网络功能和能力。 当前，基于OpenStack的裸金属服务实现主要依赖于Ironic组件，并通过OpenStack的Neutron网络组件来实现裸金属服务器的网络连接。在该方案下，裸金属服务器的网络使用的是物理网卡，因此网络配置依赖于物理上的网络拓扑（例如需要知道裸金属网卡连接到交换机的端口编号），物理网络拓扑连接完成后就确定了，为了实现 VPC 等网络功能，需要对裸金属服务器的上联交换机做一些动态配置，以实现网络的切换。 Neutron原本是为虚拟机网络环境设计的，因此在应用于裸金属服务时，便暴露出了不足之处，带来了一系列的问题与挑战，具体体现在以下几个方面： a. 网络管理复杂性增加，提高了管理难度 - VLAN支持要求：Ironic的网络实现需要物理交换机的VLAN支持，并且要实现VLAN和VPC的匹配和转换，以确保裸金属服务器能够正确地接入网络。这不仅增加了网络配置的复杂性，也提高了管理难度。 - 拓扑要求：物理网络拓扑需要能够支持VLAN的划分和管理，这可能涉及到复杂的网络设备配置和维护。 b. SDN集成困难，降低网络性能 - 流量转换需求：在裸金属场景下，直接使用软件定义网络（SDN）技术存在困难。通常需要将网络流量引导到一个特定的网络节点进行转换，这不仅会降低网络性能，还会增加网络管理的复杂度。 - 性能与管理权衡：这种流量转换机制可能导致网络性能下降，同时也增加了网络管理和维护的工作量。 c. 安全组实现困难，增加运维成本 - 安全组规则不适用：传统裸金属服务器直接连接到物理交换机，导致OpenStack的安全组规则无法直接应用于裸金属服务器。安全组是OpenStack中用于控制网络流量的安全机制，其规则定义了允许或拒绝的网络流量类型。 - 交换机防火墙规则影响：如果尝试通过物理交换机的防火墙规则来实现类似的安全控制，可能会影响到其他业务的正常运行，并且会大幅增加运维成本。 d. 网卡热插拔支持不足，限制了系统灵活性 - 物理限制：传统裸金属服务器的物理网卡不支持热插拔功能。这意味着在不关闭服务器的情况下，无法添加或移除网络适配器，这限制了系统的灵活性和服务的可用性。 - 维护与更新挑战：缺乏热插拔支持使得网络维护和更新变得更加困难，可能需要计划停机时间，从而影响服务的连续性和用户体验。 基于OpenStack的裸金属服务网络实现，虽然借助Ironic和Neutron组件获得了良好的表现，但在网络管理、SDN集成、安全组应用以及网卡热插拔支持等方面仍面临一系列挑战。这些挑战需要通过技术创新和架构优化来逐步解决，以提高裸金属服务的性能、安全性和管理效率。 2. 方案介绍 2.1. 整体方案架构 为了解决上文提到的问题与挑战，本方案创新性的引入了DPU组件，并仍然使用Openstack Ironic node资源来管理裸金属实例。在开源Ironic组件（ironic-api、ironic-conductor）之外，我们自研了Ironic-dpu-agent组件，运行在每个裸金属节点的DPU Soc中，用于管理裸金属实例的存储、网络资源。 整体方案架构如下图： 各组件作用如下： Ironic-api：裸金属rest api服务。 Ironic-conductor：裸金属实例的任务控制服务，负责裸金属开关机、重启、部署等任务。 Ironic-dpu-agent：运行在DPU Soc上，与Ironic-conductor通过RPC通信，负责管理本节点裸金属实例的存储、网络资源。 Neutron-server：OpenStack网络服务，为裸金属实例提供network、subnet、port管理功能。 2.2. 方案详细描述 在基于DPU的OpenStack裸金属网络方案中，裸金属服务器的网络配置完全由DPU卡负责，裸金属服务器本身不需要任何传统的物理网卡。DPU卡为裸金属服务器提供物理功能（PF）、虚拟功能（VF）或可分割功能（SF）设备，作为网络接口。这些网络接口完全由DPU的系统级芯片（SOC）侧的Open vSwitch（OVS）进行配置，无需依赖外部物理交换机即可实现网络连接。 在该方案中，DPU负责处理包括VXLAN、Geneve等在内的各种虚拟网络协议，能够支持虚拟机与裸金属服务器之间的网络互通，保证灵活且高效的网络连接。这种网络拓扑简化了裸金属服务器的部署流程，因为服务器无需依赖外部交换设备，所有的网络管理和配置工作都在DPU卡上完成，大大减少了对传统物理网络基础设施的依赖。 在控制节点上，OpenStack的Neutron组件负责网络服务的管理，并通过OVN（Open Virtual Network）来与DPU通信。DPU的SOC上运行着OVS（Open vSwitch），这是整个方案中负责网络流量转发和管理的关键组件。同时，DPU的SOC侧还运行着OVN控制器（ovn-controller）和Ironic-dpu-agent，分别负责虚拟网络的控制和裸金属网络的管理。 OVN控制器：负责与Neutron进行通信，并根据网络需求配置OVS，实现裸金属服务器与虚拟机之间的网络连接。 Ironic-dpu-agent：这是Ironic服务的一个代理，它通过控制和配置OVS上的端口，管理DPU网络资源，负责为裸金属服务器分配和管理网络接口。 在这个架构下，DPU卡上提供的PF、VF等网络设备通过其代表接口（pfRep和vfRep）连接到OVS。裸金属服务器通过这些网络设备与DPU卡通信，进而连接到整个虚拟网络系统中。OVS通过在SOC上运行的p0和p1端口负责管理所有的网络流量，从而使裸金属服务器能够无缝地加入虚拟网络。 这种架构极大地提升了裸金属服务器的网络性能，同时减少了对外部交换机的依赖，降低了部署成本和复杂度。在实际应用中，这种基于DPU的网络架构可以大幅提高数据中心的资源利用率，并为多租户环境下的虚拟机和裸金属服务器提供高效、安全的网络隔离和互通。 裸金属node节点绑定创建的虚拟port，Neutron Server 通过 OVN Plugin 将端口信息写入 OVN NB DB，当Ironic-dpu-agent 获得node绑定port信息后，配置OVS的interface中的iface-id，然后通过ovn-controller下发流表，跟虚拟机网络流标下发方式一致。 网卡热插拔 在原生Ironic中，可以实现一定程度网卡热插拔，但是要求机器上有冗余的网卡设备，这些网卡设备可以在需要的时候被启用/禁用。这种方式也有一些缺陷，一方面这不够灵活，不同的用户需求不一样，冗余多少块网卡不便于确定。另一方面，如果冗余的网卡没有得到使用，造成了资源浪费。 在基于 DPU 的方案中，如前文所述，裸金属的网卡是由DPU的 PF/VF/SF 设备提供的，而 DPU 往往提供了大量的 VF/SF（数百个以上），足够满足用户的需求。那么网卡的热插拔就变成了 PF/VF/SF 设备的动态插拔和配置问题，这仍然是由 Ironic-dpu-agent组件完成的。 3. 测试与验证 3.1. 网络拓扑 以下是示例网络拓扑： 其中，普通业务流量和存储流量最好划分VLAN。BMC 带外管理网和千兆管理网需要打通，测试时也可简单用同一个网络。 3.2. 软件环境 依赖以下软件环境： 类别 名称 版本 来源 备注 OpenStack集群 OpenStack zed 开源社区 网络 neutron zed 内部版本 存储 volume-attacher cloudV5.4-6 内部版本 opi-bridge cloudV2-4 内部版本 裸金属组件 ironic zed 内部版本 ironic-dpu-agent cloudV1.0 内部版本 3.3. 测试用例及结果 3.3.1.创建资源 创建网络、子网、路由器、链接路由器和子网 openstack network create openstack subnet create --network \ --subnet-range \ --gateway \--dns-nameserver ##路由器 openstack router create ###链接 openstack router add subnet 创建flavor openstack flavor create --ram --vcpus --disk ###裸机属性设置 openstack flavor set --property resources:VCPU= \ --property resources:MEMORY_MB= \ --property resources:DISK_GB= \ --property capabilities:boot_option=local 创建镜像 openstack image create \ --disk-format raw \ --container-format bare \ --file \ --public openstack image set --property hypervisor_type=baremetal 创建node openstack baremetal node create \ --driver \ --driver-info ipmi_address= \ --driver-info ipmi_username= \ --driver-info ipmi_password= \ --property cpus= \ --property memory_mb= \ --property local_gb= \ --property cpu_arch= 3.3.2. 创建裸金属服务器实例 创建裸金属实例与创建虚拟机操作流程一致，选择裸金属的flavor即可： openstack server create --flavor bm-flavor-01 --image centos8.5 --boot-from-volume --network net01 bm-01 3.3.3.安全组 创建裸金属实例与创建虚拟机安全组添加一样，创建port的时候选择一个安全组即可： openstack port create --network net01 --vnic-type direct port01 --security-group default 3.3.4.连通性验证 在同一个net01下创建VM、BM，然后验证BM和VM的网络互通情况 创建VM： openstack port create --network net01 --vnic-type direct port01 openstack server create --flavor test-flavor- --image centos8.5 --port port01 vm01 登录通过bmc登录裸机bm-01验证： ping 3.3.5.网卡热插拔 先卸载port，再添加port： openstack port delete-port01 openstack baremetal port set --node --port 4. 方案总结 DPU赋能的Openstack裸金属网络解决方案，在以下几个方面具有显著优势： 1)Overlay网络终结在DPU侧，降低网络的复杂性： 通过在DPU侧终结Overlay网络，可以减少中间网络元素，摆脱了对物理交换机的依赖，简化整体网络拓扑架构。这种方式不仅降低了网络的复杂性，提高了网络的可管理性，还减少了设备成本和运维成本，使整个网络更加经济高效。 2)支持统一的SDN控制器，提升网络灵活性和响应速度： 采用统一的SDN控制器实现策略下发和调度，SDN网络不仅支持VLAN还可以使用Vxlan和Geneve，摆脱VLAN网络4096的限制。同时，有效简化SDN软件架构，提高网络的灵活性和响应速度，降低维护和管理的复杂性。 3)通过SDN实现安全组，降低运维成本： 通过SDN网络的ACL功能，可以在不依赖物理交换机的情况下实现安全组功能。这样可以直接在DPU上应用安全规则，而不需要通过物理交换机的防火墙规则，从而避免对其他业务的影响并降低运维成本。 4)支持网络接口热插拔，提升网络设备灵活性： 利用DPU的动态特性，可以实现网络接口的热插拔。这意味着在不影响服务器运行的情况下，可以增加新的网络接口或移除现有接口，从而提高系统的灵活性和服务的可用性。 综上所述，DPU驱动的Openstack裸金属网络方案通过一系列创新设计，不仅提高了网络的可管理性、可扩展性和安全性，还增强了系统的灵活性和服务的可用性，从而为裸金属服务器提供了更加强大和高效的网络支持。 本方案来自于中科驭数软件研发团队，团队核心由一群在云计算、数据中心架构、高性能计算领域深耕多年的业界资深架构师和技术专家组成，不仅拥有丰富的实战经验，还对行业趋势具备敏锐的洞察力，该团队致力于探索、设计、开发、推广可落地的高性能云计算解决方案，帮助最终客户加速数字化转型，提升业务效能，同时降低运营成本。

近日，百望云与北京金融大数据有限公司（以下简称“北京金融大数据”）携手，在数据资产化领域取得了重大突破。 百望云与北京金融大数据协作完成了数据资产入表工作，并进一步促成其与银行签订数据资产贷款合同，实现了北京市企业征信领域首单数据资产质押贷款的成功落地。本次数据资产化领域的合作标志着双方在数据资产价值化、市场化变革领域的积极探索又迈出了坚实的一步。 强强联合 构建数据全生态链闭环 数据资产作为经济社会数字化转型过程中衍生的新资产类型，已成为支撑数字中国建设的重要战略资源。2023年以来，财政部出台了一系列相关政策，为数据资产的会计处理提供了政策依据，这为数据资产的入表工作奠定了坚实的基础。 北京金融大数据作为北京金融公共数据的授权运营主体，积极推动公共数据开发利用。2024年以来，北京金融大数据积极参与全市的数据要素市场变革，稳步推进数据资产化工作，相继完成数据资产入表和数据资产登记等一系列准备工作。 面对北京金融大数据的数据资产入表需求，百望云与北京金融大数据协作，深入分析了入表数据资产的基本情况和应用场景，严谨评估其市场价值，并着重防范数据资产违规使用风险。 此次实现融资的数据资产为“铭鉴数智企业画像数据集”，该数据集是立足专区涉企数据资源，通过建模分析形成的“多维企业标签库”。 百望云作为北京金融大数据的战略合作伙伴，在确保数据安全合规的前提下，大力探索将此类企业数据标签成功应用于普惠金融、科技金融等多个金融服务领域，有效支持了中小企业及专精特新企业获得更高质的金融服务。 此次数据资产入表和质押融资工作的成功落地，标志着百望云与北京金融大数据在“数据要素×金融服务”方面，初步走通了从数据资源分析到数据资产登记，再到数据资产评估与质押融资的全生态链闭环合作模式，务实推进了数据资产化进程，充分发挥了数据要素的乘数效应。 激活数据潜能 再造新增长点 在当今这个数据驱动的时代，数据资产不仅是企业运营的基石，更是推动创新和增长的关键动力。借助金融科技创新，数据资产可以实现有效变现，推动产业互联网的转型，甚至加速整个经济的数字化进程。 作为中国领先的票财税融一体化解决方案服务商和数据要素生态平台构建者，百望云在数据要素的采集、分析与挖掘领域展现出显著成就，其核心在于将复杂多样的交易凭证数据转化为精准的商业洞察，进而驱动企业决策优化和产业升级。 首先，百望云在数据采集方面展现了强大的综合能力。面对发票、收据、单据等多样化凭证，百望云不仅能够有效收集这些数据，而且利用先进的自然语言处理（NLP）及知识图谱技术，将非结构化数据转化为可分析的信息，这种深度分析能力让数据采集超越了表面信息，触及业务实质。 在数据分析与挖掘层面，百望云通过构建专业的数据要素流通平台和数据资产运营平台，展现了数据资产的深度利用价值。数据工程师团队对交易数据进行深度建模、分析，不仅揭示出客户偏好，更推动个性化服务与体验升级。例如，企业发票记录与商品分录的数据，经由专业团队深入挖掘后，转化为对供应链优化、产品策略调整的直接指导，为企业带来切实的效益。 此外，百望云的风险管理解决方案，通过发票、申报数据与行业大数据的集成，实现了风险的可视化闭环管理，不仅支持灵活部署，还能通过图谱分析展示集团及其关联企业的风险状况，助力企业全面掌握风险分布，提前预警并制定对策。 百望云在促进产业链、供应链协同发展上，实现了资源、资金的高效流转。与产业互联网龙头共建的数商联盟，更是强化了数据要素的采集与加工能力，推动安全交换，构建了健康的数据资产生态。 未来，百望云将继续联合更多数字经济领域的合作伙伴，通过技术的创新与生态的构建，实现数据的深度赋能，发挥数据要素的放大、叠加、倍增作用，全方位推动企业乃至行业的数字化升级，让数据作为关键生产要素释放潜力与价值！

1. 背景、挑战与业界进展 1.1. 虚拟化技术背景 在云计算的浪潮中，虚拟化技术扮演着举足轻重的角色。它通过将物理机集群的资源进行抽象整合，构建出一个统一的虚拟资源池。在这个资源池中，每一台物理机上都会运行宿主机以及虚拟化的系统软件。这些系统软件负责为用户提供虚拟的计算环境，包括虚拟CPU、虚拟内存、虚拟网络等，都是由Hypervisor这一核心组件来实现的。Hypervisor不仅确保了虚拟机计算能力的平稳性和弹性，还为用户提供了灵活的资源调度和分配能力。 虚拟化技术在云数据中心、大数据处理、AI与机器学习等多个领域都得到了广泛的应用。通过虚拟化技术，企业可以更加高效地利用物理资源，实现资源的按需分配和弹性扩展，从而提高业务的灵活性和响应速度。 1.2. 虚拟化技术面临的问题与挑战 尽管虚拟化技术带来了诸多优势，但在实际应用中也面临着一些问题和挑战。 首先，虚拟化架构中的管理面会占用部分CPU和内存资源，从而降低了系统整体资源的利用率。系统服务systemd，或libvirtd等虚机管理程序的线程与vCPU线程之间存在资源争抢的问题，导致业务虚拟机的稳定性难以保证，进而影响客户业务的质量。 其次，虚拟机I/O处理线程会占用大量的CPU和内存资源。虚拟化通常使用virtio-blk，virito-net为虚机提供磁盘和网卡设备，为了获得更好的I/O性能，virtio-blk会采用iothread机制加速磁盘I/O的处理；而virtio-net则采用vhost-net的方案将网卡的I/O卸载到内核，通过减少用户态和内核态的切换来减速网卡的I/O的处理；不论是iothread还是vhost-net，都需要在Host上创建对应的线程来完成具体的I/O处理，当I/O负载高的时候，iothread和vhost-net的处理线程会占用大量的CPU和内存资源。 此外，虚拟化技术的安全性问题也不容忽视。当前主流虚拟化方案都是采用QEMU + KVM的形式，QEMU模拟了丰富的外设，由于编写模拟设备的人员众多，加上设备的接口大多数比较复杂，因此QEMU经常在处理这些读写请求的时候没有完整的对请求数据进行安全校验，导致产生了很多安全性问题。攻击者可能会利用虚拟化和Hypervisor的安全漏洞展开攻击，从而威胁到整个虚拟化环境的安全。 1.3. 头部云服务提供商的方案 针对虚拟化技术面临的问题和挑战，业界头部云服务提供商纷纷展开了探索和研发，并不约而同的提出了基于DPU的轻量虚拟化方案。 AWS研发了Nitro系统，通过Nitro卡将虚拟机的I/O卸载到硬件上，从而消除了I/O处理线程对VCPU的资源抢占。同时，Nitro hypervisor内置了虚拟机的管理能力，将管理组件卸载到Nitro SoC上。这种设计不仅提高了系统的资源利用率和稳定性，还大大增强了虚拟化的安全性。Host侧只运行Nitro hypervisor，不提供通用OS能力，没有用户态和文件系统，从而减少了潜在的攻击面。 VMware也提出了基于DPU的ESXi卸载方案。在该方案中，Host ESXi hypervisor负责虚拟化的核心逻辑，而DPU上的ESXi hypervisor则负责主机管理、存储和网络等功能。这种设计同样消除了管理和I/O处理的CPU占用，减少了vCPU的抢占，保证了vCPU的性能。同时，它也减少了Host的攻击面，增强了系统的安全性。 阿里云则推出了神龙系统，其中的Dragonfly Hypervisor以其超轻薄、资源零损耗的特点著称。根据公开资料，其内存占用每个虚拟机不到1MB，CPU占用小于0.1%。这种超低的资源损耗使得神龙系统能够提供更加平稳、高效的虚拟化服务。同时，Dragonfly Hypervisor还具备超平稳、超平滑的特点，能够解决资源池之间互相热迁移的难题，与KVM无缝兼容，从而为用户提供了更加稳定、可靠的云服务。 1.4. DPU轻量虚拟化方案的成效与市场应用挑战 基于DPU的轻量虚拟化Hypervisor解决方案在市场上取得了显著的成效。它大幅提升了资源利用率，降低了运营成本，增强了系统的安全性，为用户提供了更加稳定、可靠的云服务。这些优势使得该方案在市场上得到了广泛的认可，其商业价值也得到了充分的体现。 然而，头部云厂商自研的解决方案往往具有高度定制化和封闭性的特点，大部分未面向公开商用市场，这限制了其应用范围的扩大。尤其是在国内市场，商业化、公开的DPU轻量虚拟化解决方案仍然是一片空白。这不仅限制了其他云厂商或行业客户对这些方案的直接采用，也阻碍了基于DPU的虚拟化技术的进一步发展和普及。 综上所述，基于DPU的轻量虚拟化方案将为虚拟化技术带来了新的发展机遇，各云服务提供商和企业对该类方案的需求日益增加，市场呼唤创新和开放的解决方案。 2. 方案介绍 为了应对虚拟化技术面临的问题和挑战，中科驭数在多年的技术积累和丰富的行业经验基础上，面向公开市场，推出了基于自研DPU的轻量虚拟化解决方案。 2.1. DPU轻量虚拟化整体方案架构 基于中科驭数DPU的轻量虚拟化方案，在Host侧只保留Hypervisor和部分Linux内核功能，且不提供用户态控制面组件。QEMU作为Device Emulation service组件运行在SoC，提供虚机机型及设备的模拟，Host侧只有VCPU内核线程。驭数DPU卡支持nvme和virtio-net的硬件卸载，因此虚机的存储和网卡采用VF直通的方式透传给虚机，提供高性能的存储和网络。其他非关键I/O设备则采用半卸载的方式，卸载到SoC侧，交由QEMU进行模拟。 该方案中，每一个虚机都分配了一个特殊的PCIe设备，该PCIe设备的BAR空间划分成了两部分，其他一部分用于API信息的交互，成为API CHANNEL；另外一部分用于I/O请求的交互，称为IOREQ RING BUFFER。 以下为该方案的关键组件： Libvritd：该组件运行在SoC侧，对上层管理组件如nova-compute等提供虚机管理API，libvirtd进一步和SoC侧QEMU进行交互达到管理虚机生命周期的目的。 QEMU：运行在SoC侧，提供虚机的I/O设备模拟服务，QEMU的交互接口是SoC-KVM提供的/dev/kvm-soc设备文件。QEMU在模拟I/O设备的过程中通过DPU卡提供DMA机制访问HOST内存。 SOC-KVM：这是HOST-KVM内核模块在SoC侧的镜像，通过向用户态暴露/dev/kvm-soc设备文件，供用户态组件如QEMU，libvirtd等调用SOC-KVM提供的能力。该KVM内核模块不提供具体的CPU、MEMORY、I/O等虚拟化能力，只是作为管理面API和虚机I/O请求的转发模块。管理面API通过API channel转发到HOST-KVM模块，并由HOST-KVM进行处理；来自HOST-KVM的I/O请求保存在IOREQ RING BUFFER中，并由SOC-KVM分发给用户态QEMU。 HOST-KVM：这个内核模块是原生KVM的扩展，与原生KVM的区别是：请求不是来自用户态I/OCTL请求，而是来自API channel；除了原生提供的API，HOST-KVM进一步提供了管里面API的处理，如nova-compute或kubelet的资源汇报类接口。 驭数DPU卡提供了SoC和Host间的双向内存同步机制及SoC和Host间的双向中断机制，配合IOREQ RING BUFFER，使得虚机的I/O请求可以卸载到SoC侧QEMU完成；通过API channel，使得来自SoC侧管理API可以被HOST-KVM处理。 2.2. 方案描述 中科驭数DPU轻量虚拟化在保持虚机形态不变的情况下，完成了的虚机I/O和控制面的卸载；以下对主要部分做详细描述： 2.2.1.基于该方案的虚机生命周期管理 Libvirt-soc使用原生API和QEMU-SOC交互，QEMU-SOC采用原生API和KVM-SOC交互，KVM-SOC使用硬件的API channel通道，转发KVM-SOC的API到KVM-HOST，最后由KVM-HOST完成具体的处理。上图以虚机启动为例展示了各个组件的交互，在完成VM和VCPU创建后，QEMU-SOC进一步加载BIOS或kernel，加载后需要使用DMA机制将BIOS内存块同步给Host；加载成功后，设置虚机的寄存器，并发送kvm_run请求，开始VCPU的运行。 2.2.2.基于该方案的虚机I/O处理 GUEST的I/O操作，无论是PIO还是MMIO操作，都会导致VMEXIT，VMEXIT后KVM-HOST检查是否能够处理该I/O，如果无法处理，则需要将该I/O转交给KVM-SOC。KVM-HOST构造I/OREQ结构体，该结构体描述了该I/O的类型，地址，长度，数据等内容。构造完成后，将该IOREQ存放在IOREQ RING BUFFER中，并通过中断机制通知SoC侧，有新IOREQ到达。 KVM-SOC通过ioeventfd机制通知QEMU-SOC，QEMU-SOC访问BAR空间的IO RING BUFFER，取出IOREQ并处理。处理过程中，通过DMA机制访问Host内存。处理结束后，QEMU-SOC通过KVM-SOC 的ioctl接口注入中断。KVM-SOC通过BAR空间的API channel转发中断注入的API到KVM-HOST，最终由KVM-HOST完成虚机中断的注入工作。 2.2.3.基于该方案的虚机热迁移处理 Libvirt-soc发起热迁移操作，使用QEMU-SOC提供的QMP命令接口通知QEMU-SOC。QEMU-SOC连接迁移对端的QEMU，并开始热迁移的操作。QEMU-SOC首先发送全量的内存到对端，内存的同步使用DMA机制完成；全量内存发送完成后，开始迭代发送脏页，首先通过API channel，告知KVM-HOST开始记录脏页，在后续的迭代过程中，使用DMA机制将脏页信息从Host同步到SoC。在热迁移的最后阶段，KVM-SOC通过API channel发送暂停VCPU的API，KVM-HOST停止VCPU的运行。VCPU暂停后，QEMU-SOC停止所有I/O设备的运行，并发送最后的脏页的设备状态到对端。热迁移结束后，QEMU-SOC调用KVM-SOC的ioctl接口，销毁虚机，KVM-SOC通过API channel通知KVM-HOST完成真正的销毁操作。 2.2.4.openstack控制面对接 在该方案中nova-compute和libvirt均运行在DPU的SoC系统内，libvirtd直接和SoC侧QEMU交互镜像虚机管理，Host文件系统通过sharedfs代理到SoC侧，libvirtd通过在SoC侧访问Host文件系统来完成Host系统资源的跟踪和管理。虚机的网络和存储使用PCIe直通的方式，给虚机提供高性能存储和网络。存储和网络资源的管理通过nova-compute的yusur-driver完成，yusur-driver使用/dev/kvm-soc接口请求KVM-HOST侧的PCIe资源管理能力，完成虚机PCIe资源的准备、销毁等操作。 3. 方案优势 3.1. 方案优势 基于DPU的轻量虚拟化解决方案展现出了显著的价值与优势，这一方案不仅填补了市场空白，更引领了云计算行业的技术创新。 a. 填补空白，引领创新 该方案作为国内首创的、公开的、可商业化的DPU轻量虚拟化方案，打破了头部云厂商自研方案的封闭性，为更多云厂商和行业客户提供了可借鉴和采用的先进技术。这一方案的推出，无疑为云计算行业的多元化发展注入了新的活力。 b. 硬件加速，性能卓越 基于DPU的轻量虚拟化方案充分利用了DPU提供的硬件加速能力，显著提升了系统性能和I/O处理效率。在云计算环境中，I/O性能往往是决定业务稳定性和响应速度的关键因素。该方案通过I/O卸载技术，将I/O处理下放给DPU，有效减轻了HOST的负担，从而提升了整体系统的性能。 c. 显著提升资源利用率 该方案还显著提升了资源利用率。传统的虚拟化技术中，管理面和I/O处理线程会占用大量的CPU和内存资源，导致系统整体资源利用率降低。而基于DPU的轻量虚拟化方案则通过精简Hypervisor的设计，几乎不消耗任何主机侧的资源，使得所有的资源都被业务系统所使用。这一优势不仅降低了运营成本，还提高了业务的盈利能力。 d. 减少攻击面，强化安全 该方案在安全性方面也表现出色，通过I/O卸载技术，将I/O处理下放给DPU，有效地减少了HOST的攻击面，大大增强了HOST的安全性。同时，该方案还采用了多种安全技术和措施，进一步提升了系统的安全性。 综上所述，基于DPU的轻量虚拟化解决方案在技术创新、性能提升、资源利用率提高以及安全性增强等方面都展现出了显著的优势和价值。这一方案的推出将为云计算行业的发展带来新的机遇。 3.2. 未来与展望 展望未来，基于DPU的轻量虚拟化解决方案具有广阔的发展前景。随着云计算、大数据、人工智能等领域的快速发展，资源池规模不断扩大，对虚拟化技术的需求将日益增长。该方案以其卓越的性能、高效的资源利用率和强大的安全性，将成为推动这些领域发展的关键力量。 在技术层面，随着DPU技术的不断演进和升级，基于DPU的轻量虚拟化解决方案也将不断优化和完善，我们可以期待该方案在I/O处理效率、资源利用率和安全性方面实现更大的突破，为用户提供更加优质、高效的云服务体验。 同时，该方案的商业化应用也将进一步拓展。随着越来越多的云厂商和行业客户认识到其价值和优势，基于DPU的轻量虚拟化解决方案有望在市场上实现更广泛的应用和推广，为云计算行业的持续发展注入新的动力。 本方案来自于中科驭数软件研发团队，团队核心由一群在云计算、数据中心架构、高性能计算领域深耕多年的业界资深架构师和技术专家组成，不仅拥有丰富的实战经验，还对行业趋势具备敏锐的洞察力，该团队致力于探索、设计、开发、推广可落地的高性能云计算解决方案，帮助最终客户加速数字化转型，提升业务效能，同时降低运营成本。

近年来，我国LED产业发展迅速，已形成了完整的产业链与规模化生产。处于阶段性峰值状态，行业整体也开始步入转型的关键时期，数字化与智能化融合成为很多企业开启发展新局面的敲门砖。 面向全面建设数字化企业，华灿光电与百望云达成合作，以数电票为管理抓手，对进销项管理系统进行升级，并进行自动化、智慧化的电子会计档案管理系统建设。 京东方华灿光电股份有限公司（以下简称“华灿光电”）始创于2005年，是全球领先的半导体技术型企业。目前有张家港、义乌、玉溪、珠海四大生产基地。 历经十八年的发展，华灿光电已成为国内第二大LED芯片供应商，国内第一大显示屏用LED芯片供应商，并在海外多处设有办事处，业务范围遍及全球。为拉通在LED全产业链的布局，华灿光电于2023年加入BOE集团，加速赋能MiniLED、MicroLED领域的开发协作，实现战略共赢。 作为高新技术行业，LED产业在人才储备、技术创新等方面有着强烈的需求，面向人才的管理与培养、技术的研发与深化，企业需要创造稳定而有力的支撑环境。同时，LED产业链庞大而复杂，供应企业之间的协同密切而频繁，建立规范化、合规化、迅捷化的沟通成为企业发展的重中之重。 敏捷、安全、合规的企业管理需求，使数字化转型成为企业探寻发展空间的方向，其中财税数字化成为解锁进一步转型深化的钥匙。而进入金税四期，数电票则成为了撬动财税升级的最佳抓手。 面向建立高效与合规的财务管理模式，激发企业管理的潜能，华灿光电与百望云达成了合作，进行财税管理的全新升级。 百望云是中国领先的票财税融一体化解决方案服务商和数据要素生态平台构建者，为政府、企业及公共组织提供了电子票据合规管理、智能财税管理、智能供应链协同、数字精准营销、智能风控等数字化解决方案。 凭借过硬的技术与领先行业的服务能力，百望云与2000多家集团型企业达成合作，助推18大行业落地了财税数字化转型标杆应用。 进入金税四期，百望云成为了国家税务总局电子发票服务平台项目建设供应商，为了满足各类企业的数电乐企升级需求，百望云集合技术能力，开发出数电乐企综合解决方案，已帮助餐饮、制造、金融、酒旅等行业的头部企业完成乐企对接，并赋能海量成长型企业完成数电票应用能力升级。 针对本次合作，项目组根据华灿光电的业务场景，进行了多轮调研与商讨，最终确定了进销项发票管理数电升级与电子档案管理系统建设： 基于打造行业领先的财税管理模式，项目组将以数电票为管理抓手，对开票、收票、报税等业务进行全面线上化管理和指标化管理建设，建立覆盖发票开具、查询、预警与发票采集、查验、认证、监控等发票全生命流程的标准化管理体系。 同时，为了提升企业的票据管理能效，项目组将从集团统筹管理出发，以线上化、自动化的电子会计档案管理模式，对散落在各业务系统的合同、单据、发票、凭证等进行全面集成，实现影像文件的集中化、组卷化管理，满足财政部电子会计档案的管理要求。 未来，双方将坚持合作深化，探求更加智能的数电票管理应用以及财税数字化的创新模式，为华灿光电的持续发展打造安全稳固的管理基础，为行业的转型深化挖掘新的源泉。