一种关键应用主机系统资源应用隔离的设计方法
【专利摘要】本发明提供一种关键应用主机系统资源应用隔离的设计方法,属于计算机信息【技术领域】,本发明主要介绍了多个独立的虚拟专用服务器同时运行在一个物理服务器上,有效地共享应用主机硬件资源。软分区技术有效的将单个操作系统资源灵活的划分到独立的虚拟运行环境中,限制每个虚拟专用服务器使用的硬盘大小,内存大小,CPU数量,以实现高效的资源分配、权能管理和故障隔离,实现应用资源隔离和进程隔离。
【专利说明】一种关键应用主机系统资源应用隔离的设计方法
【技术领域】
[0001] 本发明涉及计算机信息【技术领域】,具体是利用一种关键应用主机系统资源应用隔 离的设计方法。
【背景技术】
[0002] 随着计算机信息技术的迅速发展,关键应用主机处理能力越来越强,CPU核数从当 初的几核已经发展到几百核心,内存从当初的几 GB已经达到TB级,硬盘容量更是无限扩 展,关键应用主机通过SAN网络连接存储容量能达到PB级,如此大的处理能力和容量,如何 充分合理的利用,已成为各个企业和数据中心面临的重要问题。
【发明内容】
[0003] 本文试图通过在关键应用主机上使用软分区技术,实现应用程序和资源隔离,充 分发挥关键应用主机处理能力和系统资源。
[0004] 本发明主要介绍了多个独立的虚拟专用服务器同时运行在一个物理服务器,有效 地共享应用主机硬件资源。
[0005] 把应用主机划分多个虚拟专用服务器,限制每个虚拟专用服务器使用的硬盘大 小,内存大小,CPU数量合理的分配物理主机硬件资源,并且各虚拟专用服务器之间实现进 程隔离和应用隔离。
[0006] 本方法在关键应用主机上使用软分区技术(应用容器)合理的分配系统资源和应 用隔离,很好的满足了企业用户的需要。软分区技术只需要一个宿主操作系统,容器分别宿 主主机上进行创建或克隆,实现方便、管理简单,应用程序分别安装在每个容器中,程序之 间逻辑隔离,互补影响,充分实现了关键应用主机资源的合理利用。
【专利附图】
【附图说明】
[0007] 附图1是本发明的设计模型图。
【具体实施方式】
[0008] 下面对本发明的内容进行更加详细的阐述:a.设计思想 软分区技术是由操作系统管理的,具有特定资源和权能的虚拟运行环境,软分区技术 有效的将单个操作系统管理的资源灵活地划分到独立的虚拟运行环境中,以实现高效地资 源分配,权能管理和故障隔离。与传统的虚拟机不同,所有的容器直接运行在同一操作系统 中,无需虚拟监管层管理。容器向应用程序提供虚拟的操作系统视图,而非物理机。容器仅 仅消耗极少的系统资源,带来的性能损失不超过5%,而去极大的合理利用了关键应用主机 的资源。
[0009] b?设计模型 模型图如图1所示。
[0010] C?处理器资源隔离 通过在关键应用主机OS标准调度器上增加令牌过滤器实现处理器隔离。每个处理器 拥有1个令牌桶,以设定的速率积累令牌;每个计时器节拍,被执行的进程所在容器需要消 耗1个令牌。容器在用尽其令牌时,将其中的进程从可执行队列中移出;直到该容器的令牌 积累至一定的阀值时,才重新将所包含的进程移至运行队列。通过控制容器获得令牌的速 率,就能够实现处理器资源在不同容器间的分配。
[0011] d.内存资源隔离 对于内存资源的管理,通过最大驻留集合大小、占用匿名内存页框数、加锁占用内存页 的最大数量。
[0012] 限制命令:
【权利要求】
1. 一种关键应用主机系统资源应用隔离的设计方法,其特征在于一个以上独立的虚拟 专用服务器同时运行在一个物理服务器;把应用主机划分数个虚拟专用服务器,限制每个 虚拟专用服务器使用的硬盘大小、内存大小、CPU数量,合理的分配物理主机硬件资源,并且 各虚拟专用服务器之间实现进程隔离和应用隔离。
2. 根据权利要求1所述的方法,其特征在于处理器资源隔离,通过在关键应用主机0S 标准调度器上增加令牌过滤器实现处理器隔离,每个处理器拥有1个令牌桶,以设定的速 率积累令牌;每个计时器节拍,被执行的进程所在容器需要消耗1个令牌;容器在用尽其令 牌时,将其中的进程从可执行队列中移出;直到该容器的令牌积累后,才重新将所包含的进 程移至运行队列;通过控制容器获得令牌的速率,就能够实现处理器资源在不同容器间的 分配。
3. 根据权利要求1所述的方法,其特征在于内存资源隔离,对于内存资源的管理,通过 最大驻留集合大小、占用匿名内存页框数、加锁占用内存页的最大数量。
4. 根据权利要求1所述的方法,其特征在于网络管理,通过分层令牌桶机制实现网络 带宽分配,对于每个容器,根据保留比率和共享比率为其创建令牌桶:前者用于确定专用于 特定容器的输出带宽,后者用以调整超出专用带宽所使用的共享带宽;核心以容器ID标记 自该容器发出的以太网数据包,随后分类到容器的令牌桶;分层令牌桶机制根据每个容器 持有的令牌数量决定容器能发送的数据包的数量,剩余的带宽则平均分配给所有设置了共 孕标记的容器。
5. 根据权利要求1所述的方法,其特征在于磁盘管理,使用完全公正排队算法实现磁 盘带宽分配;完全公正调度器把待完成的I/O请求加入特定的队列中,这种队列是根据发 起I/O请求的进程组的;在每个队列中,最新到达的请求将尝试与相邻的请求合并,或进行 插入后合并;队列由此按照扇区分类;每个提交了 I/O请求的进程拥有独立的磁盘I/O请 求队列,调度器以时间片轮转访问每个进程的请求队列,从每个队列中选取相同数量的请 求,全部完成后进行下一轮次的调度。
6. 根据权利要求1所述的方法,其特征在于进程空间隔离,每个应用分别在各自独立 的应用容器中启动,使用全局的pid空间,设计进程过滤器用以对容器隐藏外部进程,更重 要的目的是阻止进程内外部进程非许可通信,这样每个应用进程之间相互隔离,互不影响。
7. 根据权利要求1所述的方法,其特征在于文件系统隔离,通过维护进程描述符中的 文件系统指针的root成员实现文件系统隔离;核心已经实现了能够满足此要求的系统调 用chroot ;该方法检查进程对指定路径文件系统访问权限,以及相应用户是否具有cap_SyS_Chr〇〇t权限;如果通过以上检查则重新设置进程的文件系统根目录,只需要每个容器 制定不同的根目录,即可实现文件系统隔离的基本要求。
8. 根据权利要求1所述的方法,其特征在于网络隔离,为保证千兆以上速率的网络性 能,选择将路由表和防火墙规则在所有容器间共享,但提供设置某个容器独占或者以共享 方式使用一个网络接口; 通过为网络数据包添加所属容器的标签,直接在核心网络协议栈中对数据进行过滤, 即可保证数据包被正确的容器接收和处理。
【文档编号】G06F21/74GK104331659SQ201410595115
【公开日】2015年2月4日 申请日期:2014年10月30日 优先权日:2014年10月30日
【发明者】常彦文, 乔鑫 申请人:浪潮电子信息产业股份有限公司