中华网络安全联盟    作者：jacoo    来源：本站原创    时间：2006-5-11

    HP VSE虚拟化技术的核心就是独步业界的惠普分区技术，包括硬件分区、虚拟分区、Integrity VM、安全资源分区等4种不同的分区技术，可根据用户的要求任意组合，逐步增强隔离和灵活性。

硬件分区（nPar，nPartitions）

    第一种分区方法是支持硬件的分区，即nPartition(nPar)。在2000年8月的HP World期间，当推出第一款基于单元板（cell）的平台HP 9000 Superdome时，惠普就推出了硬件分区。该系统架构的设计允许系统组件相互隔离。硬件分区的主要特性包括：

─             完全的硬件故障隔离：惠普硬件分区在业界独一无二，因为它在单个系统内部提供了电气上完全隔离的分区。这通过在每个单元板中使用自定义的芯片组设计来完成，这样可配置防火墙确保将送往不属于该分区单元板的电子信号丢弃，确保一个分区中的硬件故障不会影响系统中的其他所有分区。

─             完全的软件故障隔离：显然，如果电子信号无法跨过硬件分区边界，则其中运行的所有软件也是如此。分区就像是单独的系统。它们可以运行具有不同版本、不同补丁级别、不同核心调整等的单独OS实例。

─             单元板粒度：对于每种负载，单独服务器上的硬件分区主要优势在于可以极其快速地调整硬件分区的大小。目前，需要重新引导HP-UX才能将单元板从一个分区移到另一个分区。但是，以后的HP-UX版本将支持联机添加和移除内存，这就可能提供多种有用的功能，包括联机添加和移除单元板。

─             多个操作系统实例：每个分区都有其自己的硬件和软件，包括操作系统。支持HP-UX、Windows、OpenVMS和Linux：基于Precision Architecture的HP 9000 Superdome仅支持HP-UX。但是，基于Intel安腾2处理器的HP Integrity Superdome动能服务器则在同一系统上的单独分区中支持HP-UX、Windows、Linux和OpenVMS。这种灵活性的另一个好处是，在将HP-UX工作负载移到另一个系统后，或者在系统故障的情况下需要紧急备用资源时，可以将HP Integrity动能服务器平台从HP-UX平台转而用作Windows平台。

    2005年末，惠普开始支持在一个分区中运行PA-RISC处理器，在另一个分区中运行安腾处理器。这需要使用最新的固件，但是在使用sxl000和sx2000芯片组的、所有基于单元板的系统上都支持这种用法。

虚拟分区（vPar，Virtual Partitions）

    惠普虚拟分区是在单个核心硬件组上运行多个HP-UX操作系统拷贝的能力。它可以是单独的服务器或者在硬件分区内。惠普虚拟分区的主要特性在于：

─             软件故障隔离：在一个分区上的软件故障不会影响其他分区，这包括kernel panic。

─             操作系统隔离：每个分区都有其自己的完整操作系统拷贝。这些操作系统可以具有不同的版本、不同的补丁级别、不同的内核调整等等。也可以运行应用的不同版本。这就是虚拟分区通常用于提供开发和测试环境的原因。

─             单个CPU的粒度：可以使用单个CPU配置和运行虚拟分区，并且可按单个CPU为增量分配虚拟分区。

─             动态CPU迁移：两个分区都开启并正在运行时，可以将CPU从一个虚拟分区移到另一个虚拟分区。

─             最低开销：惠普虚拟分区解决方案允许将每个主要的硬件组件（例如CPU和I/O卡）完全分配给某个分区。因为这些组件不是共享的，所以无需提供虚拟层来管理操作系统和基础硬件之间的每个接口。换句话说，每个操作系统都直接与分配给虚拟分区的硬件直接通信，确保系统上运行的虚拟分区对性能的影响最低。

Integrity VM（Virtual Machine）

    2005年，惠普发布了专门为Integrity平台而设计的新分区技术，称为Integrity VM。这也是一种虚拟分区，其中系统硬件本身是完全虚拟化的。结果是操作系统无需修改即可在VM内运行。这一意味着用户可以在VM内运行任何支持Integrity平台的操作系统，这包括最初支持的HP-UX 11i V2和以后支持的11i V3、Windows Datacenter、Linux或OpenVMS。

Integrity VM技术的一些主要特性包括：

─             操作系统隔离：每个分区都运行其自己的操作系统完整拷贝。这意味着可以针对某个应用专门进行操作系统调优和打补丁。

─             部分CPU或整个CPU的粒度：因为系统是虚拟化的，所以VM内的每个虚拟CPU都可以表示物理系统上的部分CUP或全部CPU。

─             部分CPU控制：用户能够为具体的VM提供对部分物理CPU访问。这意味着可以为每个VM定义具体的CPU分配。例如，可以为一个四CPU的VM分配4个物理CPU的50%，为另一个分配25%，第三个则分配10%。

─             I/O设备共享：Integrity VM提供完全虚拟化的I/O，意味着单个物理SCSI卡或光纤通道卡能虚拟成多个SCSI卡。

    因为系统是完全虚拟化的，所以其操作系统是无变化的。这也就确保所有独立软件供应商的应用不用改变即可运行。对干测试或开发环境而言，Integrity VM是一个很好的解决方案，因为VM是完全隔离的，并且可以快捷、容易地创建或拆除。

安全资源分区（SRP，Secure Resource Partitions）

    惠普的首款整合解决方案就是资源分区（Resource Partitions），已经随HP-UX一同交付达10年之久。这种方案多年以来已逐步得到增强，包括了处理器集、内存和I/O控制。最新的增强是添加了HP VirtualVault中已经提供了多年的安全容器（security containment），它允许在单独的安全资源分区中运行应用，使应用无法再相互通信。

安全资源分区的主要特性包括：

─             部分CPU或整个CPU的控制：借助使用公平共享调度器（fair share scheduler，FSS）的部分CPU粒度或使用处理器集（processor set，PSET）的整个CPU粒度可将CPU分配给每个SRP。通过在HP-UX内核中为每个分区实例化单独的进程调度器来实现CPU控制。

─             真正的内存控制：HP-UX在业界中的突出之处在干它实现了内存资源组（memory resourec group，MRG)。有了内存资源组，HP-UX可以为每个分区创建单独的内存管理子系统。

─             磁盘I/O带宽控制：可以为每个分区的每个LVM或VxVM卷组定义带宽控制。

─             向分区分配应用和用户：因为所有分区都运行在操作系统的同一拷贝上，所以当进程引导时将它放入正确的分区中就很重要。安全资源分区提供了很多实用工具，允许在正确分区中启动应用进程，或者将应用进程移到正确的分区中。

─             安全容器：这是HP-UX 1li V2中的新功能，集成到资源分区中，从而得到了现在的安全资源分区。安全容器允许为属于每个应用工作负载的进程定义安全的隔离间。在隔离间内，进程对进程、网络接口和文件系统文件之间的IPC机制具有完全的访问权。但是，一个隔离间内的进程不可能与另一个隔离间内进程进行通信，除非已经定义了规则允许进行指定的通信。

    安全资源分区是一组已经实现于HP-UX内核中的技术。该产品将所有这些功能都放入了进程资源管理（Process Resource Manager）中。PRM提供了单一的配置界面，所以用户能够定义分区，分配CPU、内存、磁盘I/O和安全规则，然后分配应用或一组用户在该分区中运行。

    惠普分区技术一个极其便捷的功能是几乎可用任何方式组合不同类型的分区，具有极大的灵活性。它可以使用其它操作系统级别的分区选项在HP-UX分区中运行安全资源分区，也可以在一个硬件分区中运行Integrity VM，在另一个硬件分区中运行虚拟分区，这些虚拟分区上可以运行一个或多个安全资源分区。想要通过在大服务器中运行多个工作负载来提高服务器的利用率时，这种灵活性有很大的优势。

    并且，惠普分区技术的关键优势在于简化了整合的设计过程，因为可以分别看到每个工作负载，并确定需要哪种级别的隔离、需要哪种级别的粒度和需要哪种级别的灵活性。然后就可以为系统上的所有工作负载选择相应的分区技术组合，并在提供了所有工作负载所需所有功能的组合中叠加各个分区。