[发明专利]用于运行多个环境的操作系统小型引导

说明书

背景

当使用单个计算机来运行多个工作负荷时，应当在应用程序的隔离和使用并管理应用程序隔离系统的成本之间达到平衡。应用程序应当理想地彼此隔离，使得一个应用程序的工作负荷不会干扰另一应用程序的资源的操作或使用。另一方面，该系统应当是灵活且可管理的，以降低使用并管理系统的成本。理想地，系统在维护应用程序隔离时应该能够选择性地共享资源。然而，一般地，在同一用户帐户下运行的所有进程具有相同的系统资源视图。缺少运行在特定计算机上的应用程序的隔离造成了应用程序脆弱性、应用程序不兼容性、安全问题和无法在同一机器上运行冲突的应用程序。

已经提出了解决上述问题的一个或多个方面的多种不同的解决方案。隔离运行在同一机器上的应用程序的一种方式是在不同的“虚拟机”上运行应用程序。虚拟机(VM)使得一操作系统(OS)的多个实例在单个机器上并发地运行。VM是物理机器的逻辑实例，即，虚拟机向操作系统软件提供了在硬件层上的机器抽象：即，在中央处理单元(CPU)、控制器、存储器等的层上。每一逻辑实例具有带有自己的安全上下文和自己的隔离硬件资源的自己的操作系统实例，使得每一操作系统实例对用户或观察者看似是一独立的机器。通常实现VM以最大化硬件利用。VM在机器层但在虚拟机内提供了隔离，已知的VM实现没有提供对隔离在同一VM上运行的应用程序的规定。

对上述问题的各方面的其它已知的所提出的解决方案包括SunMicrosystem的Solaris Zones、用于UNIX BSD和Linux的囚禁程序(iail)、用于Linux的VServers项目、SWSoft的Virtuozzo、来自Ensim和Sphera的web主宿解决方案、以及可从PolicyMaker和Softricity获得的软件。

解决应用程序隔离的各方面的另一方法是硬件分区。多处理器机器被划分成子机器，每一子机器引导OS的一独立副本。硬件分区通常仅提供受约束的资源分配机制(例如，按CPU的分配)，而不允许输入/输出(IO)共享，并且通常限于高端服务器。

因此，在许多系统中，在操作系统进程层和操作系统本身的机器边界处存在系统中的有限约束点，但是在这些层之间使用与运行应用程序的用户的身份相关联的诸如访问控制列表(ACL)和特权等安全控制来控制进程对资源的访问。有多个缺陷与该模型相关联。由于对系统资源的访问与运行应用程序的用户的身份而非应用程序本身相关联，因此应用程序可能具有对比应用程序所需的更多的资源的访问。由于多个应用程序可修改相同的文件，因此可导致应用程序之间的不兼容性。还存在多个其它公知的问题。

没有已知的容易且稳健的使用允许应用程序被隔离同时仍允许对资源的受控共享的已知机制的解决方案。如果存在一允许使用单个操作系统实例来隔离运行在单个机器上的应用程序、进程、应用程序组或进程组，同时允许对资源的受控共享的机制则将是有帮助的。

概述

此处称为筒仓(silo)的操作系统内隔离/包容机制使用操作系统的单个实例提供了对在单个计算机上运行的进程的分组和隔离。操作系统的单个实例通过向在称为服务器筒仓的隔离应用程序环境内执行的进程提供系统名称空间的视图来允许对资源的分区和受控共享。系统可包括多个筒仓(即，一个基础结构筒仓和一个或多个服务器筒仓)，以及多个系统名称空间。基础结构筒仓是对其整个系统名称空间可见的根或顶层筒仓。每一隔离应用程序环境或服务器筒仓可被提供其自己的系统名称空间视图，使得仅该系统名称空间的一个子集对该服务器筒仓可见。由此，可在一个服务器筒仓中安装一组相关和/或非冲突应用程序，并在第二服务器筒仓中安装另一组冲突应用程序。由于每一服务器筒仓“看见”系统名称空间的一不同子集，且另外可具有其自己的一组筒仓专用文件，因此本来彼此冲突的应用程序可以同时在同一机器上运行而没有冲突。由此，可使用多个服务器筒仓来隔离或分隔不同的应用程序集，从而使得多个冲突的应用程序能在同一计算机上运行而不经历通常因在同一计算机上运行冲突应用程序而产生的问题。应用程序可被添加到服务器筒仓或从服务器筒仓移除而不影响基础结构筒仓、其它服务器筒仓或在其它服务器筒仓中运行的应用程序。