介绍

本文档提供了基于KVM的虚拟机部署视频流云手机容器的方案，涵盖KVM虚拟机的部署，调优及相关配置流程。

视频流引擎是鲲鹏BoostKit云手机Turbo套件的核心能力组件，主要应用于云手机，基于视频流引擎技术实现的云手机方案也称为视频流云手机。当前视频流云手机容器方案通过在服务器上直接部署Docker容器运行AOSP实现，Docker技术中容器共享宿主机内核，如果未合理控制云手机权限，可能遭受容器逃逸攻击。由于共享内核，当容器路数过多时，内核负载过重，可能面临系统性能劣化的风险。 Docker通过cgroup，namespace组件隔离硬件资源，在高负载，资源紧张的极限场景下，可能出现资源隔离不完全的情况。利用KVM虚拟机的强隔离性，在虚拟机上部署云手机，能够规避容器逃逸造成的风险，更好的隔离硬件资源，同时由于每个虚拟机都会有一个独立操作系统，因此整机的系统性能极限也更高，可以支撑部署更多的容器，但是虚拟机会引入额外的损耗。总而言之，Docker容器方案在某些特殊或者极限的场景下会出现系统性能的劣化，以及安全性的问题，而虚拟机容器方案，在牺牲部分性能后，能够提供更好的资源隔离以及安全性能。