计算机科学脚操作系统武秀川,鞠九滨“烟台大学计算机科学系烟台吉林大学计算机科学系长春“,一,一一一鳍一,王,一,一一,引言概念最早 由大学的等人于年提出,当时称之 为。他们认为将作为一个开放的、公用的和模块化的分布式操作系统。文 介绍了他们在此概念的基础 上利用许多己有的技术所建立的一个并行程序设计环境和所提供的虚拟程序设计实验室大学的工作组提出了的完整概念,并作了卓有成效的工作,实际上基于技术建立了一个计算网格咖。文妇对的各基本组成部分做了概括性的介绍本文基于的概念 对其组成部分作了分 析,着重从操作系统资源调度的角度出发,揭示各组成部分之间的相互联系,指出了某些算法中的不足,为今后的研究提出了一些思路。是最具活 力的应用之一,其基本结构是用命名 资源、用绑 定资源、用传 输资 源、用显示资 源、用为服务器提供基本的延伸性。此外,引入的许多新技术如、和、及应用程序过滤器、,、浏览器和视图等大大扩展了的功能。但仅对地理上分布的只读应用提供了方便,而对地理上分布的计算资源如远程、内存和文件的访问仍是极其困难的,程序设计者必须以一种特定的方式进行程序设计,造成了人力和计算机资源的极大浪费。提供一种全新的服务范例,旨在为地理上分布的、高效的、可逐步扩充的、可 动态重构的广域分布式应用提供操作系统服务,进而使用 户无缝地、透明地访问上任意站 点的任何资源,并且可把某种服务动态地复制和迁移到其它的资源上,甚至全部迁移到客户机上去。的这种动态可重构和地理上可移动 的服务具有明显的优越性运行在客户端特定的服务方式屏蔽掉了或服务器的失效,从而提高了端对端的有效性幻通过动态地把信息移动到尽可能地靠近提出请求的客 户机,则能减少网络延迟、拥塞和开销,提高性能价格比通过动态补充资源以处理峰值请求,提高了处理 突发行为的能力。的组成为了实现上述目标,应解决资源分配调度过程中的全局资源定位、广域文件使用、安全和身份鉴别、认证以及远程进程控制等问题,它们综合提供对广域分布式应用程序的操作系统服务。全局资源定位广域应用服务是在地理上分布的。为了解决随着快速增长而导致的响应慢、网络 拥塞及“热站点”等问题,客户机应用程序应能动态地确定中提供优质服务的服务器,进而使用 户获得可扩充的服务。为此必须解决负载平衡、容错等问题。注意到网络延迟以及带宽限制正在成为网络服务、国家自然科学基金资助项目。武秀川副教授,博士研究生,研究领域为分布式系统鞠九滨教授,博士生导师,研究领域为计算机网络、分布式系统的瓶颈,客户机有可能处于空闲状态。如果能把服务器的某些功能以及状态迁移到这些空闲的客户机上可能改进总的服务质量。一些改技术的出现为这种迁移提供了可能性。首先,通过浏览器,用户可方便地对最普遍的服务如、以及搜索引擎等进行访问其次,与机器无关的语言可非常容 易地把功能迁移代码分布到多个不同的平台上。这种“智能客户机”孙与传统的“瘦客户机”完全不同,它对最终用户提供负载平衡和容错功能。两个相互协作的子程序组成了智能客 户机,见图。服务近像邻镜服务请求请求一一,向应用户请求接口管理者一一一一一一一净压压露、八孤补懒惰及渴望更新随鼓璧夕火色一乡图体系结构图形用户接口士提供服务接并把用户请求传递给管理者。对每个请求,管理者根据 负载、有效性等信息选择一个可提供最佳服务的服务器,以满足客户需求。该方式中,由智能客户机实现 的服务可 由若干数量 的同级别服务器镜像实现。负载平衡及容错算法的选择有两种,随机的服务器选择,该算法实现容易且不要求服务器更新,但负载平衡及满足客户要求的性能较差维持指定服务的服务器配置文件算法,即比根据服务器的硬件特性和负载以及网络连接性等信息以及客户机的位置估计每 一个服务器 的可用带宽而选 择服务器,该算法可获得很好的负载平衡性能,但根据什么原则估计带宽目前尚无确定的算法。上述负载平衡算法,结合服务器是否活跃或超时等决定服务器是否失效,一旦失效,再调用负载平衡算法选择另一个服务器。为了做出负载平衡决策,客户机需要一个最新的服务器配置文件,可用懒惰或渴望技术更改管理者服务状态的变化,并且通过在性能及语义之间做出权衡,很好地维持了一致性。在这样的环境下,懒惰技术可以减少网络流 量,如 当服务器回答客户请求时可用“附载”如 可作为头的一部分把更新信息一同送到客户机。从逻辑上把指定的服务器功能迁移到客户机上,从而动态地实现负载平衡和透 明的容错功能。这种透明性包括不必对服务器 的拓扑结构作任何限制,可以根据指定的服务方式选择指定的服务器。同时为了有效地减少用 户每次请求导致的延迟,指定服务的使用自举机制仅在进行第一次访问服务时传送,并使用机制将其缓存到磁盘,这 样在以 后各次 访问中不 必再传 送。显然较其它方案更能有效地提高整体服务性能,更加具有 智能化。仁机制通过改 向使客户机请求转到另一台服务器从而实现负载平衡,但除了对客户机请求的双倍延迟外,单点失效问题仍然存在。“通过把一个逻辑地址映射为多个服务器,并且在把包送到目的服务器之前对其进行观察和可能的修改,进而实现负载平衡和容错,但缺 陷是它要求一 个特殊的 网络拓扑结构。一阁用 两台独立的机器通过复制状态实现容错,但除要求多余的硬件资源之外,也不能解决前端机变为瓶颈 的问题。,允许包在传输到目的服务器 的过程中在智能化的网络路 由器里进行计算,其主要目的是能够更容易地扩展网络协议进而提供新的服务,它也可能提供负载平衡及容错。,可看作是,的逻辑扩充。川系统通过在可编程路由器内包一级把服务名字映射到一组地址中去,然后动态地把包传送到 目的服务器。综合了和,。当包流 经路由器时提供任意的计算,完全透 明地使包到达目的地,但是代价太 大,主要表现在表示端对端语义的极大困难性上文仁 幻考虑到路由体系结构的不 同,通 过构造一组经由路径质量测量形成的另外的路径而不是 系统设定的路径、组成一个新的综合路径,这种综合路径总是从连接任意两 点的多个路径中选取最佳路径。的局限性是目前只可以迁移管理者,不能从服务器迁移其它代码,一定程度上 限制了它的作用。广域文件系统沈中存在 着各种各样的分布式应用,它们地理位置分散,大小规模不同,性质各异。目前所采用的网络通信传送信息和远程服务方法明显地增加了网络通信量和服务器负载,使性能下降。采用缓存方法可使大量的远程访问由本地缓存器有效地处理,以节省在网络上的传送时间,尤其当文件访问流表现为访问的局部化时性能最好。但缓存的一致性问题造成了极大的困难,中的某些不 经常写 的访问模式 如新闻服务只需弱一致性,这可以大大地减少系统开销或确保网络失效不会延迟更新,但在经常写的访问模式应用中则需很强的一致性。解决一致性问题的机制在性能、网络通信量和服务器负载方面产生重 大开 销,必须 很 好地解决 共 享语义 问题帅川实现 了对全局名字空间一致性的缓存访问,并作为一个完全意义上的文件系统接口支持任意的文件和目录操作使用基于的名字空间,其守护进程使用对标准的站点进行访问。考虑到可移植性,建立在结点层,并与虚拟内存系统紧密结合起来。系统结构见图。应用用户层可装载核模型结点操作未缓存用户层请求工作队列图体系结构该结构的优点是,幻结点层的接口允许应用程序访问全局名字空间与虚拟内存系统紧密结合,因此提供高性能 的缓存访问大多数 的变种以及支持结点接口,可简化移植到新平台的入口许多文件系统函数和数据结构维持在用户层,便于实验和简化调试及用户开发。缓存策略的选择至关重要。对于一个文件被众多用户共享读而仅有一个用户在任意时刻对其写、修改的应用,采用“最后写者获胜”缓存一致性策略。对于等应用,提供“只增加”一致性缓存策略。实际上就是文件,其读操作是幕等的而写操作是原子的,即对于一个写操作,把它 的所有客户机进行更新,并以一种懒惰方式传播到其它服务器中。这种一致性缓存策略还可用于其它分布式应用如共享白板大量的“”应用服务如视频会议、新闻服务等,客户机关心所有的更新,对于这种被广泛共享和频繁地更新数据文件的应用,采用基于广播的一致性策略,使用路 由器支持,仅沿着必要的路由广播复制包,同时还可以简化服务器设计和发现错误采用广播一致性协议涉及到用 于广播的地址的数目有限、路由表庞大和可靠性等几个问题卜幻,可以分别采用诵、压缩技术以及方法解决。与相比,的致命弱点 是不支持名字空间只对提供松散的一致性保证,而对却不提供,另外通过访问远程文件需要一个帐号,限制了系统的广泛使用较之增加了一致性保证,但其只读访问的一致性策略并不适宜于大多数的爪分布式应用。安全和认证系统允许用户无缝地访问任一网站上的任何文件、数据及计算资源,但这一访向易受各种潜在的错综复杂因素的影响,必须建立一个完善的广域安全系统。公钥密码学可以提供广域应用中的安全性,它消除了与一个信任的第三方的同时通信的需要。当用户程序访问一个远程资源时,为使其完成任务,应赋予该任务一组最小的特权。这样当远程资源出现故障时可使该任务的数据、身份证以及私人文件得到最好的保护。为此,广域安全系统必须提供不同管理域主机之间权限的细粒度转让。系统虽然解决了转让问题,但仅局限于局域网,若将其扩充到广域网,则面临着较大的网络延迟和因没有冗余而使单点危害可能危及整个系统等问题。阁实现了广域安全认证和访问控制。并不是针对任何己知的安全攻 击而设 计的,它使用众 多已有协 议如、以及等。此外通过对冗余、缓存、轻量灵活性、局部化操作等原理的使用,来增加广域分布系统的安全性,同时为资源提供者提供认证请求确认和授权访同其资源的机制,最终达到用户安全地访问全局资源。采用两种类型的证书卜,身份证书及转让证书。身份证书 由签暑,并把公用密钥映射到主机。为增加安全可靠性,还确定一个通信双方。局部信任的代理,对证书进行联名签暑,主要用于检查一个主机所做的陈述、特权声明或特权的转让是否已被撤消或对刷新证书提供担保。签署的特权通常具有较长时延数周,而签署的特权具有较短时延数小时。这种隔裂的方法提供明显的优越性”只有同时破坏了与才可以成功地窃取密钥由于所签署的证书具有较长的时延,即是离线的,攻击一个离线实体是很困难的,因此增加了安全性恶意 的如果不与串通勾结,则不可能废除用户的密钥而颁布一个新的身份证书以及假扮用户一个恶意的可以拒绝承 认进行了攻击,仍然 可以利 用不同 的重新颁布一个新的证书由于所签证书具有一段较短的时延,所以双方通信时不需要与第三方的同时通信,提高了系统性能。当发生某种意外如密钥被窃取 或一些通常的操作如用户对话结束退出登录或用 户决定取消作业时则有效地撤消一个特定的权限。另外当证 书期满其相应 的特权也被撤 消,不再认可该证书。的最大特色是引入了转让证书的概念,即把一个主机特权的子集转让到另一个主机。转让证书过程可以递归进行从而形成一条链,链上的每一个后续链接主机所获得 的转让 的权限只能缩小而不能增加。用此方法提供不同管理域之间权限的细粒度转让。目前,采用“”技术提供授权时的信任,从而降低了系统复杂度和提高了性能,但相对于“以 技米,灵活性较差。安全远程进程控制虽然使用浏览器连接到一个远程服务器的最主要目的是获得对信息的访问,但信息并不是唯一可用的资源。通过系统,用户也可以访问远程高性能硬件及计算资源山。的远程进程控制系统可确保经认证的用户进程在远程机上安全地运行,并且与在本地运行同样简单 为了维护本地系统的完整性并且确保运行的各进 程不会相互千扰,每个机的资源管理者为每个运行的进程形成一个虚拟机这些虚拟机与安全系统相互配合,使得在虚拟机中运行的进程可对本地资源进行不同的访问。用不同方法如和等提供的虚拟机使用操作系统跟踪能力截获可能危害系统完整性的系统调用。如果一个应用程序试图进行一个具有潜在危害性的操作时,则拒绝系统调用。由于通常情况下目标系统调用很少,所以这一过程总的代价开销可以忽略不计形成虚拟机只为在远程结点运行进程提供条件。远程运行进程包括进程转移和进程迁移进程转移虽然实现简单,但会有很大的时间延迟。在虚拟机环境中实现有通信关系的进程迁移,要解决如下两个关键问题通信的原子性,即进程迁移应选择在不进行通信的时刻做检查点 相关进程通信的处理,即进程迁移时应保证被迁移进程与系统中的多个其他进程的通信不受进程迁移的影响。在解决虚拟机的进程通信机制中,既要不使进程通信成为系统的瓶颈,又要不使整个系统的开销增大。如果在的系统层实现进程迁移,这将是一个很有意义的工作,因为它可以对用户实现迁移透明性,但系统层实现的进程迁移依赖性很强,会造成移植的困难。一一的一个负载平衡方法目前所采取的分布服务器负载的方式主要有以下几种川服务器通过一组固定的服务器复制其数据,然后随机地把负载分布到这一组服务器上,以此来满足峰值要求使用镜像网站,这种方式要求各镜像维持数据一致性缓存代理主要提供防火墙安全,还可以减轻服务器负载和局部提高网络性能,但它仅能缓存数据页,并且服务器把代理视作为普通的客户机,因此代理提供给客户机的可能是已过时的数据。这些方法或者由于用户过多的参与或者受到缓存一致性协议的限制,使得响应较差,或者要求每个站点购买足够的计算资源和网络带宽满足峰值 要 求。用一一方 法,一 个 超载的服务器能够把负载卸载到空闲的、离请求服务的客户机 距离最 近 的服务器 上 去,而该服 务器使用系统缓存一致性 的来 自于超载服务器上的数据。一一通过透明的、自动的、动态的补充资源的方式满足广域系统的峰值要求。一一结构见图。其中的智能客户机用来对服务实现负载平衡访问,提供透明的应用访 问以及缓存一致性,以避免对过时的数据的访问。服务器周期性地把负载信息传送到处于中心位置的负载守护进程中。为了响应更新了的负载信息,负载守护进程把所 有 服务器 的状 态 信 息传送给每一个 服 务 器,服务器把这些状态信息作为响应头部传送到智能客户机中。智能客户机把这些状态信息作为下次请求对服务器的选择依据。负载守护进程根据目前的负载信息和客户机的访问模式决定“除掉”还是“租一个服务器”生成另一个服务器副本如果需要“租一个服务器”,则该服务器的位置应是在考虑服务器访问模式的情况下离客户机最近的,以保留带宽和使客户机延迟最小。选择了目标服务器后,负载守护进程与一一的资源管理者进程建立一个通道,并且为一一生成转让 证 书去访问文件,以保证能够安全地传送任一个可启动一个新服务器副本的可执行文件或数据文件。为了确保所生成 的新 服务器一一的完整性不被破坏,一一建立了一个虚拟机,除此之外它也可以阻 止一一的滥 用,如一运行程序也必须 在一 个限定的环境中进具的使用方法、把开发的先进的模拟工具引入到相关领域的教学中。经认证的用户可以随时访问这些教学软件,实现真正意义上的计算机远程教育。实际上它也是网格计算的一个重要的应用即远程临境系统的具体实现。负负载守护进程程昙昙主主服务器器器一一虚虚虚拟机机机图一一结构图采用一一可以获得 有效的、动态 的资源补充,上的任 一网站仅需要足够的硬件资源处理它们的平均负载,过载时能被动态地卸载到一个或多个一一上,进而处理峰值要求。同时由于智能客户机与负载守护进程 的合理使用,为应用程序的开发提供了方便的接口。的典型应用一一基于要求的网络计算和远程教育系统一是应用的典型范例。它是一个基于要 求的网络计 算系 统,允许用户 经由标准的浏览器访问和运行已经存在 的软件工具并提供与之相关的远程教育课程。从逻辑上可把划分为多个不同学科的“,。每个结构是一组分布式实体,由一组特殊的服务器组成,具有下列功能有一个经由浏览器访问的通用 的用户接口提供安全和保密的访间控制和作业运行、异常结束等的控制支持逻辑资源组织管理。可允许动态重构,如通过使用特殊设计的资源描述语言说明一个机器具有所需要的软件和软件设计工具的体系结 构 组 成、模式、操作系统就可把该机 器加 入到中,类似地,通过“告诉,某工具或某教学软件的位置,工具的输入格式 如命令行参数、运行环境如以及适应何种逻辑结构组织就可把该工具加入到中。实际上向用户提供了一个虚拟实验室。用户可通过所提供的虚拟实验室进行上述领域的设计和研究。相应学科的教学软件与各工具的地位一样,主要目的是向学生提供有关计算机工有待解决的几个问题如 何把已实现的各组成 部分如、一一等组 合起来构成一个真正的实用系统是一个问题分层结构是一个考虑,可把上述前几部分作为内核,一一作为外核,由它们提供最基本的服务,但各层之间的接口如何设计这是一个很有前景的工作。一一的选择机制。或许有的机器自愿在处理请求峰值期间充当这样的服务器,如何获得这些服务器利用技术和所提供的丰富的数据资源和计算资源,结合构建数据网格和计算网格是实现未来高性能网络计算的关键所在目前,我国投资巨大的计算机远程教育工程己经启动,如何结合及相关的计算网格技术实现这一目标是我们所面临的意义十分重大的课题。参 考 文 献,一,以,一一,卜州,今,一,三,取,丫,一,一一压以,下转第页一,一一,一,侯业勤,张普编译分布式嵌入式实时操作系统宇航出版社,陈莉君编著操作系统内核分析人民邮电出版社,压,见 陈葆任等译操作系统设计北京大学出版社,叩勿令,众诬,雌,地,砒一衍一,一,详主一,以,一氏,一一、以,已,一已耐,以一一。,一。,卯一一一咚,张载鸿编局部网操作系统力商级技术分析国 防工业出版社,资料孟庆余系统软件平台的设计与实现 电子学报,上接第页,飞一,卜,又一拍夕乎竺,了二,、,卜八,价,。