一種關(guān)鍵應(yīng)用主機(jī)系統(tǒng)資源應(yīng)用隔離的設(shè)計方法
【專利摘要】本發(fā)明提供一種關(guān)鍵應(yīng)用主機(jī)系統(tǒng)資源應(yīng)用隔離的設(shè)計方法,屬于計算機(jī)信息【技術(shù)領(lǐng)域】,本發(fā)明主要介紹了多個獨(dú)立的虛擬專用服務(wù)器同時運(yùn)行在一個物理服務(wù)器上,有效地共享應(yīng)用主機(jī)硬件資源。軟分區(qū)技術(shù)有效的將單個操作系統(tǒng)資源靈活的劃分到獨(dú)立的虛擬運(yùn)行環(huán)境中,限制每個虛擬專用服務(wù)器使用的硬盤大小,內(nèi)存大小,CPU數(shù)量,以實(shí)現(xiàn)高效的資源分配、權(quán)能管理和故障隔離,實(shí)現(xiàn)應(yīng)用資源隔離和進(jìn)程隔離。
【專利說明】一種關(guān)鍵應(yīng)用主機(jī)系統(tǒng)資源應(yīng)用隔離的設(shè)計方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及計算機(jī)信息【技術(shù)領(lǐng)域】,具體是利用一種關(guān)鍵應(yīng)用主機(jī)系統(tǒng)資源應(yīng)用隔 離的設(shè)計方法。
【背景技術(shù)】
[0002] 隨著計算機(jī)信息技術(shù)的迅速發(fā)展,關(guān)鍵應(yīng)用主機(jī)處理能力越來越強(qiáng),CPU核數(shù)從當(dāng) 初的幾核已經(jīng)發(fā)展到幾百核心,內(nèi)存從當(dāng)初的幾 GB已經(jīng)達(dá)到TB級,硬盤容量更是無限擴(kuò) 展,關(guān)鍵應(yīng)用主機(jī)通過SAN網(wǎng)絡(luò)連接存儲容量能達(dá)到PB級,如此大的處理能力和容量,如何 充分合理的利用,已成為各個企業(yè)和數(shù)據(jù)中心面臨的重要問題。
【發(fā)明內(nèi)容】
[0003] 本文試圖通過在關(guān)鍵應(yīng)用主機(jī)上使用軟分區(qū)技術(shù),實(shí)現(xiàn)應(yīng)用程序和資源隔離,充 分發(fā)揮關(guān)鍵應(yīng)用主機(jī)處理能力和系統(tǒng)資源。
[0004] 本發(fā)明主要介紹了多個獨(dú)立的虛擬專用服務(wù)器同時運(yùn)行在一個物理服務(wù)器,有效 地共享應(yīng)用主機(jī)硬件資源。
[0005] 把應(yīng)用主機(jī)劃分多個虛擬專用服務(wù)器,限制每個虛擬專用服務(wù)器使用的硬盤大 小,內(nèi)存大小,CPU數(shù)量合理的分配物理主機(jī)硬件資源,并且各虛擬專用服務(wù)器之間實(shí)現(xiàn)進(jìn) 程隔離和應(yīng)用隔離。
[0006] 本方法在關(guān)鍵應(yīng)用主機(jī)上使用軟分區(qū)技術(shù)(應(yīng)用容器)合理的分配系統(tǒng)資源和應(yīng) 用隔離,很好的滿足了企業(yè)用戶的需要。軟分區(qū)技術(shù)只需要一個宿主操作系統(tǒng),容器分別宿 主主機(jī)上進(jìn)行創(chuàng)建或克隆,實(shí)現(xiàn)方便、管理簡單,應(yīng)用程序分別安裝在每個容器中,程序之 間邏輯隔離,互補(bǔ)影響,充分實(shí)現(xiàn)了關(guān)鍵應(yīng)用主機(jī)資源的合理利用。
【專利附圖】
【附圖說明】
[0007] 附圖1是本發(fā)明的設(shè)計模型圖。
【具體實(shí)施方式】
[0008] 下面對本發(fā)明的內(nèi)容進(jìn)行更加詳細(xì)的闡述:a.設(shè)計思想 軟分區(qū)技術(shù)是由操作系統(tǒng)管理的,具有特定資源和權(quán)能的虛擬運(yùn)行環(huán)境,軟分區(qū)技術(shù) 有效的將單個操作系統(tǒng)管理的資源靈活地劃分到獨(dú)立的虛擬運(yùn)行環(huán)境中,以實(shí)現(xiàn)高效地資 源分配,權(quán)能管理和故障隔離。與傳統(tǒng)的虛擬機(jī)不同,所有的容器直接運(yùn)行在同一操作系統(tǒng) 中,無需虛擬監(jiān)管層管理。容器向應(yīng)用程序提供虛擬的操作系統(tǒng)視圖,而非物理機(jī)。容器僅 僅消耗極少的系統(tǒng)資源,帶來的性能損失不超過5%,而去極大的合理利用了關(guān)鍵應(yīng)用主機(jī) 的資源。
[0009] b?設(shè)計模型 模型圖如圖1所示。
[0010] C?處理器資源隔離 通過在關(guān)鍵應(yīng)用主機(jī)OS標(biāo)準(zhǔn)調(diào)度器上增加令牌過濾器實(shí)現(xiàn)處理器隔離。每個處理器 擁有1個令牌桶,以設(shè)定的速率積累令牌;每個計時器節(jié)拍,被執(zhí)行的進(jìn)程所在容器需要消 耗1個令牌。容器在用盡其令牌時,將其中的進(jìn)程從可執(zhí)行隊列中移出;直到該容器的令牌 積累至一定的閥值時,才重新將所包含的進(jìn)程移至運(yùn)行隊列。通過控制容器獲得令牌的速 率,就能夠?qū)崿F(xiàn)處理器資源在不同容器間的分配。
[0011] d.內(nèi)存資源隔離 對于內(nèi)存資源的管理,通過最大駐留集合大小、占用匿名內(nèi)存頁框數(shù)、加鎖占用內(nèi)存頁 的最大數(shù)量。
[0012] 限制命令:
【權(quán)利要求】
1. 一種關(guān)鍵應(yīng)用主機(jī)系統(tǒng)資源應(yīng)用隔離的設(shè)計方法,其特征在于一個以上獨(dú)立的虛擬 專用服務(wù)器同時運(yùn)行在一個物理服務(wù)器;把應(yīng)用主機(jī)劃分?jǐn)?shù)個虛擬專用服務(wù)器,限制每個 虛擬專用服務(wù)器使用的硬盤大小、內(nèi)存大小、CPU數(shù)量,合理的分配物理主機(jī)硬件資源,并且 各虛擬專用服務(wù)器之間實(shí)現(xiàn)進(jìn)程隔離和應(yīng)用隔離。
2. 根據(jù)權(quán)利要求1所述的方法,其特征在于處理器資源隔離,通過在關(guān)鍵應(yīng)用主機(jī)0S 標(biāo)準(zhǔn)調(diào)度器上增加令牌過濾器實(shí)現(xiàn)處理器隔離,每個處理器擁有1個令牌桶,以設(shè)定的速 率積累令牌;每個計時器節(jié)拍,被執(zhí)行的進(jìn)程所在容器需要消耗1個令牌;容器在用盡其令 牌時,將其中的進(jìn)程從可執(zhí)行隊列中移出;直到該容器的令牌積累后,才重新將所包含的進(jìn) 程移至運(yùn)行隊列;通過控制容器獲得令牌的速率,就能夠?qū)崿F(xiàn)處理器資源在不同容器間的 分配。
3. 根據(jù)權(quán)利要求1所述的方法,其特征在于內(nèi)存資源隔離,對于內(nèi)存資源的管理,通過 最大駐留集合大小、占用匿名內(nèi)存頁框數(shù)、加鎖占用內(nèi)存頁的最大數(shù)量。
4. 根據(jù)權(quán)利要求1所述的方法,其特征在于網(wǎng)絡(luò)管理,通過分層令牌桶機(jī)制實(shí)現(xiàn)網(wǎng)絡(luò) 帶寬分配,對于每個容器,根據(jù)保留比率和共享比率為其創(chuàng)建令牌桶:前者用于確定專用于 特定容器的輸出帶寬,后者用以調(diào)整超出專用帶寬所使用的共享帶寬;核心以容器ID標(biāo)記 自該容器發(fā)出的以太網(wǎng)數(shù)據(jù)包,隨后分類到容器的令牌桶;分層令牌桶機(jī)制根據(jù)每個容器 持有的令牌數(shù)量決定容器能發(fā)送的數(shù)據(jù)包的數(shù)量,剩余的帶寬則平均分配給所有設(shè)置了共 孕標(biāo)記的容器。
5. 根據(jù)權(quán)利要求1所述的方法,其特征在于磁盤管理,使用完全公正排隊算法實(shí)現(xiàn)磁 盤帶寬分配;完全公正調(diào)度器把待完成的I/O請求加入特定的隊列中,這種隊列是根據(jù)發(fā) 起I/O請求的進(jìn)程組的;在每個隊列中,最新到達(dá)的請求將嘗試與相鄰的請求合并,或進(jìn)行 插入后合并;隊列由此按照扇區(qū)分類;每個提交了 I/O請求的進(jìn)程擁有獨(dú)立的磁盤I/O請 求隊列,調(diào)度器以時間片輪轉(zhuǎn)訪問每個進(jìn)程的請求隊列,從每個隊列中選取相同數(shù)量的請 求,全部完成后進(jìn)行下一輪次的調(diào)度。
6. 根據(jù)權(quán)利要求1所述的方法,其特征在于進(jìn)程空間隔離,每個應(yīng)用分別在各自獨(dú)立 的應(yīng)用容器中啟動,使用全局的pid空間,設(shè)計進(jìn)程過濾器用以對容器隱藏外部進(jìn)程,更重 要的目的是阻止進(jìn)程內(nèi)外部進(jìn)程非許可通信,這樣每個應(yīng)用進(jìn)程之間相互隔離,互不影響。
7. 根據(jù)權(quán)利要求1所述的方法,其特征在于文件系統(tǒng)隔離,通過維護(hù)進(jìn)程描述符中的 文件系統(tǒng)指針的root成員實(shí)現(xiàn)文件系統(tǒng)隔離;核心已經(jīng)實(shí)現(xiàn)了能夠滿足此要求的系統(tǒng)調(diào) 用chroot ;該方法檢查進(jìn)程對指定路徑文件系統(tǒng)訪問權(quán)限,以及相應(yīng)用戶是否具有cap_SyS_Chr〇〇t權(quán)限;如果通過以上檢查則重新設(shè)置進(jìn)程的文件系統(tǒng)根目錄,只需要每個容器 制定不同的根目錄,即可實(shí)現(xiàn)文件系統(tǒng)隔離的基本要求。
8. 根據(jù)權(quán)利要求1所述的方法,其特征在于網(wǎng)絡(luò)隔離,為保證千兆以上速率的網(wǎng)絡(luò)性 能,選擇將路由表和防火墻規(guī)則在所有容器間共享,但提供設(shè)置某個容器獨(dú)占或者以共享 方式使用一個網(wǎng)絡(luò)接口; 通過為網(wǎng)絡(luò)數(shù)據(jù)包添加所屬容器的標(biāo)簽,直接在核心網(wǎng)絡(luò)協(xié)議棧中對數(shù)據(jù)進(jìn)行過濾, 即可保證數(shù)據(jù)包被正確的容器接收和處理。
【文檔編號】G06F21/74GK104331659SQ201410595115
【公開日】2015年2月4日 申請日期:2014年10月30日 優(yōu)先權(quán)日:2014年10月30日
【發(fā)明者】常彥文, 喬鑫 申請人:浪潮電子信息產(chǎn)業(yè)股份有限公司