一種關(guān)鍵應(yīng)用主機(jī)系統(tǒng)資源應(yīng)用隔離的設(shè)計方法
【專利摘要】本發(fā)明提供一種關(guān)鍵應(yīng)用主機(jī)系統(tǒng)資源應(yīng)用隔離的設(shè)計方法�����,屬于計算機(jī)信息【技術(shù)領(lǐng)域】,本發(fā)明主要介紹了多個獨(dú)立的虛擬專用服務(wù)器同時運(yùn)行在一個物理服務(wù)器上�����,有效地共享應(yīng)用主機(jī)硬件資源���。軟分區(qū)技術(shù)有效的將單個操作系統(tǒng)資源靈活的劃分到獨(dú)立的虛擬運(yùn)行環(huán)境中�����,限制每個虛擬專用服務(wù)器使用的硬盤大小�����,內(nèi)存大小�����,CPU數(shù)量�����,以實(shí)現(xiàn)高效的資源分配����、權(quán)能管理和故障隔離,實(shí)現(xiàn)應(yīng)用資源隔離和進(jìn)程隔離�����。
【專利說明】一種關(guān)鍵應(yīng)用主機(jī)系統(tǒng)資源應(yīng)用隔離的設(shè)計方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及計算機(jī)信息【技術(shù)領(lǐng)域】����,具體是利用一種關(guān)鍵應(yīng)用主機(jī)系統(tǒng)資源應(yīng)用隔 離的設(shè)計方法。
【背景技術(shù)】
[0002] 隨著計算機(jī)信息技術(shù)的迅速發(fā)展�����,關(guān)鍵應(yīng)用主機(jī)處理能力越來越強(qiáng)���,CPU核數(shù)從當(dāng) 初的幾核已經(jīng)發(fā)展到幾百核心���,內(nèi)存從當(dāng)初的幾 GB已經(jīng)達(dá)到TB級,硬盤容量更是無限擴(kuò) 展���,關(guān)鍵應(yīng)用主機(jī)通過SAN網(wǎng)絡(luò)連接存儲容量能達(dá)到PB級�,如此大的處理能力和容量,如何 充分合理的利用����,已成為各個企業(yè)和數(shù)據(jù)中心面臨的重要問題。
【發(fā)明內(nèi)容】
[0003] 本文試圖通過在關(guān)鍵應(yīng)用主機(jī)上使用軟分區(qū)技術(shù)�����,實(shí)現(xiàn)應(yīng)用程序和資源隔離��,充 分發(fā)揮關(guān)鍵應(yīng)用主機(jī)處理能力和系統(tǒng)資源�。
[0004] 本發(fā)明主要介紹了多個獨(dú)立的虛擬專用服務(wù)器同時運(yùn)行在一個物理服務(wù)器��,有效 地共享應(yīng)用主機(jī)硬件資源����。
[0005] 把應(yīng)用主機(jī)劃分多個虛擬專用服務(wù)器,限制每個虛擬專用服務(wù)器使用的硬盤大 小���,內(nèi)存大小����,CPU數(shù)量合理的分配物理主機(jī)硬件資源�����,并且各虛擬專用服務(wù)器之間實(shí)現(xiàn)進(jìn) 程隔離和應(yīng)用隔離。
[0006] 本方法在關(guān)鍵應(yīng)用主機(jī)上使用軟分區(qū)技術(shù)(應(yīng)用容器)合理的分配系統(tǒng)資源和應(yīng) 用隔離�,很好的滿足了企業(yè)用戶的需要。軟分區(qū)技術(shù)只需要一個宿主操作系統(tǒng)���,容器分別宿 主主機(jī)上進(jìn)行創(chuàng)建或克隆�,實(shí)現(xiàn)方便�、管理簡單,應(yīng)用程序分別安裝在每個容器中����,程序之 間邏輯隔離��,互補(bǔ)影響�����,充分實(shí)現(xiàn)了關(guān)鍵應(yīng)用主機(jī)資源的合理利用�。
【專利附圖】
【附圖說明】
[0007] 附圖1是本發(fā)明的設(shè)計模型圖。
【具體實(shí)施方式】
[0008] 下面對本發(fā)明的內(nèi)容進(jìn)行更加詳細(xì)的闡述:a.設(shè)計思想 軟分區(qū)技術(shù)是由操作系統(tǒng)管理的����,具有特定資源和權(quán)能的虛擬運(yùn)行環(huán)境����,軟分區(qū)技術(shù) 有效的將單個操作系統(tǒng)管理的資源靈活地劃分到獨(dú)立的虛擬運(yùn)行環(huán)境中��,以實(shí)現(xiàn)高效地資 源分配�,權(quán)能管理和故障隔離。與傳統(tǒng)的虛擬機(jī)不同�����,所有的容器直接運(yùn)行在同一操作系統(tǒng) 中�,無需虛擬監(jiān)管層管理��。容器向應(yīng)用程序提供虛擬的操作系統(tǒng)視圖��,而非物理機(jī)����。容器僅 僅消耗極少的系統(tǒng)資源,帶來的性能損失不超過5%����,而去極大的合理利用了關(guān)鍵應(yīng)用主機(jī) 的資源。
[0009] b?設(shè)計模型 模型圖如圖1所示��。
[0010] C?處理器資源隔離 通過在關(guān)鍵應(yīng)用主機(jī)OS標(biāo)準(zhǔn)調(diào)度器上增加令牌過濾器實(shí)現(xiàn)處理器隔離。每個處理器 擁有1個令牌桶�,以設(shè)定的速率積累令牌;每個計時器節(jié)拍��,被執(zhí)行的進(jìn)程所在容器需要消 耗1個令牌��。容器在用盡其令牌時�����,將其中的進(jìn)程從可執(zhí)行隊列中移出���;直到該容器的令牌 積累至一定的閥值時�����,才重新將所包含的進(jìn)程移至運(yùn)行隊列�。通過控制容器獲得令牌的速 率��,就能夠?qū)崿F(xiàn)處理器資源在不同容器間的分配��。
[0011] d.內(nèi)存資源隔離 對于內(nèi)存資源的管理�,通過最大駐留集合大小、占用匿名內(nèi)存頁框數(shù)、加鎖占用內(nèi)存頁 的最大數(shù)量�����。
[0012] 限制命令:
【權(quán)利要求】
1. 一種關(guān)鍵應(yīng)用主機(jī)系統(tǒng)資源應(yīng)用隔離的設(shè)計方法�����,其特征在于一個以上獨(dú)立的虛擬 專用服務(wù)器同時運(yùn)行在一個物理服務(wù)器���;把應(yīng)用主機(jī)劃分?jǐn)?shù)個虛擬專用服務(wù)器�,限制每個 虛擬專用服務(wù)器使用的硬盤大小�����、內(nèi)存大小����、CPU數(shù)量��,合理的分配物理主機(jī)硬件資源���,并且 各虛擬專用服務(wù)器之間實(shí)現(xiàn)進(jìn)程隔離和應(yīng)用隔離��。
2. 根據(jù)權(quán)利要求1所述的方法���,其特征在于處理器資源隔離�����,通過在關(guān)鍵應(yīng)用主機(jī)0S 標(biāo)準(zhǔn)調(diào)度器上增加令牌過濾器實(shí)現(xiàn)處理器隔離����,每個處理器擁有1個令牌桶�,以設(shè)定的速 率積累令牌;每個計時器節(jié)拍�,被執(zhí)行的進(jìn)程所在容器需要消耗1個令牌;容器在用盡其令 牌時��,將其中的進(jìn)程從可執(zhí)行隊列中移出���;直到該容器的令牌積累后���,才重新將所包含的進(jìn) 程移至運(yùn)行隊列;通過控制容器獲得令牌的速率��,就能夠?qū)崿F(xiàn)處理器資源在不同容器間的 分配�����。
3. 根據(jù)權(quán)利要求1所述的方法,其特征在于內(nèi)存資源隔離���,對于內(nèi)存資源的管理,通過 最大駐留集合大小����、占用匿名內(nèi)存頁框數(shù)、加鎖占用內(nèi)存頁的最大數(shù)量���。
4. 根據(jù)權(quán)利要求1所述的方法����,其特征在于網(wǎng)絡(luò)管理����,通過分層令牌桶機(jī)制實(shí)現(xiàn)網(wǎng)絡(luò) 帶寬分配,對于每個容器���,根據(jù)保留比率和共享比率為其創(chuàng)建令牌桶:前者用于確定專用于 特定容器的輸出帶寬,后者用以調(diào)整超出專用帶寬所使用的共享帶寬�����;核心以容器ID標(biāo)記 自該容器發(fā)出的以太網(wǎng)數(shù)據(jù)包,隨后分類到容器的令牌桶���;分層令牌桶機(jī)制根據(jù)每個容器 持有的令牌數(shù)量決定容器能發(fā)送的數(shù)據(jù)包的數(shù)量�����,剩余的帶寬則平均分配給所有設(shè)置了共 孕標(biāo)記的容器�����。
5. 根據(jù)權(quán)利要求1所述的方法��,其特征在于磁盤管理���,使用完全公正排隊算法實(shí)現(xiàn)磁 盤帶寬分配;完全公正調(diào)度器把待完成的I/O請求加入特定的隊列中��,這種隊列是根據(jù)發(fā) 起I/O請求的進(jìn)程組的����;在每個隊列中,最新到達(dá)的請求將嘗試與相鄰的請求合并���,或進(jìn)行 插入后合并��;隊列由此按照扇區(qū)分類���;每個提交了 I/O請求的進(jìn)程擁有獨(dú)立的磁盤I/O請 求隊列����,調(diào)度器以時間片輪轉(zhuǎn)訪問每個進(jìn)程的請求隊列����,從每個隊列中選取相同數(shù)量的請 求,全部完成后進(jìn)行下一輪次的調(diào)度���。
6. 根據(jù)權(quán)利要求1所述的方法��,其特征在于進(jìn)程空間隔離���,每個應(yīng)用分別在各自獨(dú)立 的應(yīng)用容器中啟動,使用全局的pid空間�,設(shè)計進(jìn)程過濾器用以對容器隱藏外部進(jìn)程,更重 要的目的是阻止進(jìn)程內(nèi)外部進(jìn)程非許可通信��,這樣每個應(yīng)用進(jìn)程之間相互隔離��,互不影響���。
7. 根據(jù)權(quán)利要求1所述的方法����,其特征在于文件系統(tǒng)隔離���,通過維護(hù)進(jìn)程描述符中的 文件系統(tǒng)指針的root成員實(shí)現(xiàn)文件系統(tǒng)隔離�;核心已經(jīng)實(shí)現(xiàn)了能夠滿足此要求的系統(tǒng)調(diào) 用chroot ;該方法檢查進(jìn)程對指定路徑文件系統(tǒng)訪問權(quán)限���,以及相應(yīng)用戶是否具有cap_SyS_Chr〇〇t權(quán)限��;如果通過以上檢查則重新設(shè)置進(jìn)程的文件系統(tǒng)根目錄��,只需要每個容器 制定不同的根目錄�����,即可實(shí)現(xiàn)文件系統(tǒng)隔離的基本要求�。
8. 根據(jù)權(quán)利要求1所述的方法����,其特征在于網(wǎng)絡(luò)隔離���,為保證千兆以上速率的網(wǎng)絡(luò)性 能,選擇將路由表和防火墻規(guī)則在所有容器間共享��,但提供設(shè)置某個容器獨(dú)占或者以共享 方式使用一個網(wǎng)絡(luò)接口����; 通過為網(wǎng)絡(luò)數(shù)據(jù)包添加所屬容器的標(biāo)簽,直接在核心網(wǎng)絡(luò)協(xié)議棧中對數(shù)據(jù)進(jìn)行過濾�, 即可保證數(shù)據(jù)包被正確的容器接收和處理。
【文檔編號】G06F21/74GK104331659SQ201410595115
【公開日】2015年2月4日 申請日期:2014年10月30日 優(yōu)先權(quán)日:2014年10月30日
【發(fā)明者】常彥文, 喬鑫 申請人:浪潮電子信息產(chǎn)業(yè)股份有限公司