HP VSE虛擬化技術的核心就是獨步業界的惠普分區技術,包括硬件分區、虛擬分區、Integrity VM、安全資源分區等4種不同的分區技術,可根據用戶的要求任意組合,逐步增強隔離和靈活性。
硬件分區(nPar,nPartitions)
第一種分區方法是支持硬件的分區,即nPartition(nPar)。在2000年8月的HP World期間,當推出第一款基於單元板(cell)的平台HP 9000 Superdome時,惠普就推出了硬件分區。該系統架構的設計允許系統組件相互隔離。硬件分區的主要特性包括:
─ 完全的硬件故障隔離:惠普硬件分區在業界獨一無二,因為它在單個系統內部提供了電氣上完全隔離的分區。這通過在每個單元板中使用自定義的芯片組設計來完成,這樣可配置防火牆確保將送往不屬於該分區單元板的電子信號丟棄,確保一個分區中的硬件故障不會影響系統中的其他所有分區。
─ 完全的軟件故障隔離:顯然,如果電子信號無法跨過硬件分區邊界,則其中運行的所有軟件也是如此。分區就像是單獨的系統。它們可以運行具有不同版本、不同補丁級別、不同核心調整等的單獨OS實例。
─ 單元板粒度:對於每種負載,單獨服務器上的硬件分區主要優勢在於可以極其快速地調整硬件分區的大小。目前,需要重新引導HP-UX才能將單元板從一個分區移到另一個分區。但是,以後的HP-UX版本將支持聯機添加和移除內存,這就可能提供多種有用的功能,包括聯機添加和移除單元板。
─ 多個操作系統實例:每個分區都有其自己的硬件和軟件,包括操作系統。支持HP-UX、Windows、OpenVMS和Linux:基於Precision Architecture的HP 9000 Superdome僅支持HP-UX。但是,基於Intel安騰2處理器的HP Integrity Superdome動能服務器則在同一系統上的單獨分區中支持HP-UX、Windows、Linux和OpenVMS。這種靈活性的另一個好處是,在將HP-UX工作負載移到另一個系統後,或者在系統故障的情況下需要緊急備用資源時,可以將HP Integrity動能服務器平台從HP-UX平台轉而用作Windows平台。
2005年末,惠普開始支持在一個分區中運行PA-RISC處理器,在另一個分區中運行安騰處理器。這需要使用最新的固件,但是在使用sxl000和sx2000芯片組的、所有基於單元板的系統上都支持這種用法。
虛擬分區(vPar,Virtual Partitions)
惠普虛擬分區是在單個核心硬件組上運行多個HP-UX操作系統拷貝的能力。它可以是單獨的服務器或者在硬件分區內。惠普虛擬分區的主要特性在於:
─ 軟件故障隔離:在一個分區上的軟件故障不會影響其他分區,這包括kernel panic。
─ 操作系統隔離:每個分區都有其自己的完整操作系統拷貝。這些操作系統可以具有不同的版本、不同的補丁級別、不同的內核調整等等。也可以運行應用的不同版本。這就是虛擬分區通常用於提供開發和測試環境的原因。
─ 單個CPU的粒度:可以使用單個CPU配置和運行虛擬分區,並且可按單個CPU為增量分配虛擬分區。
─ 動態CPU遷移:兩個分區都開啟並正在運行時,可以將CPU從一個虛擬分區移到另一個虛擬分區。
─ 最低開銷:惠普虛擬分區解決方案允許將每個主要的硬件組件(例如CPU和I/O卡)完全分配給某個分區。因為這些組件不是共享的,所以無需提供虛擬層來管理操作系統和基礎硬件之間的每個接口。換句話說,每個操作系統都直接與分配給虛擬分區的硬件直接通信,確保系統上運行的虛擬分區對性能的影響最低。
Integrity VM(Virtual Machine)
2005年,惠普發布了專門為Integrity平台而設計的新分區技術,稱為Integrity VM。這也是一種虛擬分區,其中系統硬件本身是完全虛擬化的。結果是操作系統無需修改即可在VM內運行。這一意味著用戶可以在VM內運行任何支持Integrity平台的操作系統,這包括最初支持的HP-UX 11i V2和以後支持的11i V3、Windows Datacenter、Linux或OpenVMS。
Integrity VM技術的一些主要特性包括:
─ 操作系統隔離:每個分區都運行其自己的操作系統完整拷貝。這意味著可以針對某個應用專門進行操作系統調優和打補丁。
─ 部分CPU或整個CPU的粒度:因為系統是虛擬化的,所以VM內的每個虛擬CPU都可以表示物理系統上的部分CUP或全部CPU。
─ 部分CPU控制:用戶能夠為具體的VM提供對部分物理CPU訪問。這意味著可以為每個VM定義具體的CPU分配。例如,可以為一個四CPU的VM分配4個物理CPU的50%,為另一個分配25%,第三個則分配10%。
─ I/O設備共享:Integrity VM提供完全虛擬化的I/O,意味著單個物理SCSI卡或光纖通道卡能虛擬成多個SCSI卡。
因為系統是完全虛擬化的,所以其操作系統是無變化的。這也就確保所有獨立軟件供應商的應用不用改變即可運行。對干測試或開發環境而言,Integrity VM是一個很好的解決方案,因為VM是完全隔離的,並且可以快捷、容易地創建或拆除。
安全資源分區(SRP,Secure Resource Partitions)
惠普的首款整合解決方案就是資源分區(Resource Partitions),已經隨HP-UX一同交付達10年之久。這種方案多年以來已逐步得到增強,包括了處理器集、內存和I/O控制。最新的增強是添加了HP VirtualVault中已經提供了多年的安全容器(security containment),它允許在單獨的安全資源分區中運行應用,使應用無法再相互通信。
安全資源分區的主要特性包括:
─ 部分CPU或整個CPU的控制:借助使用公平共享調度器(fair share scheduler,FSS)的部分CPU粒度或使用處理器集(processor set,PSET)的整個CPU粒度可將CPU分配給每個SRP。通過在HP-UX內核中為每個分區實例化單獨的進程調度器來實現CPU控制。
─ 真正的內存控制:HP-UX在業界中的突出之處在干它實現了內存資源組(memory resourec group,MRG)。有了內存資源組,HP-UX可以為每個分區創建單獨的內存管理子系統。
─ 磁盤I/O帶寬控制:可以為每個分區的每個LVM或VxVM卷組定義帶寬控制。
─ 向分區分配應用和用戶:因為所有分區都運行在操作系統的同一拷貝上,所以當進程引導時將它放入正確的分區中就很重要。安全資源分區提供了很多實用工具,允許在正確分區中啟動應用進程,或者將應用進程移到正確的分區中。
─ 安全容器:這是HP-UX 1li V2中的新功能,集成到資源分區中,從而得到了現在的安全資源分區。安全容器允許為屬於每個應用工作負載的進程定義安全的隔離間。在隔離間內,進程對進程、網絡接口和文件系統文件之間的IPC機制具有完全的訪問權。但是,一個隔離間內的進程不可能與另一個隔離間內進程進行通信,除非已經定義了規則允許進行指定的通信。
安全資源分區是一組已經實現於HP-UX內核中的技術。該產品將所有這些功能都放入了進程資源管理(Process Resource Manager)中。PRM提供了單一的配置界面,所以用戶能夠定義分區,分配CPU、內存、磁盤I/O和安全規則,然後分配應用或一組用戶在該分區中運行。
惠普分區技術一個極其便捷的功能是幾乎可用任何方式組合不同類型的分區,具有極大的靈活性。它可以使用其它操作系統級別的分區選項在HP-UX分區中運行安全資源分區,也可以在一個硬件分區中運行Integrity VM,在另一個硬件分區中運行虛擬分區,這些虛擬分區上可以運行一個或多個安全資源分區。想要通過在大服務器中運行多個工作負載來提高服務器的利用率時,這種靈活性有很大的優勢。
並且,惠普分區技術的關鍵優勢在於簡化了整合的設計過程,因為可以分別看到每個工作負載,並確定需要哪種級別的隔離、需要哪種級別的粒度和需要哪種級別的靈活性。然後就可以為系統上的所有工作負載選擇相應的分區技術組合,並在提供了所有工作負載所需所有功能的組合中疊加各個分區。