QNX支持自适应分区,这里的分区并不是常见的磁盘分区,而是一个可分配资源集合。QNX通过自适应分区控制竞争进程间的资源分配控制。
What are partitions
在一些计算机系统中,需要把应用或者应用组同其他应用或应用组隔离起来。我们不希望一个应用程序(不管是不是恶意的)破换其他应用或者阻止其他应用执行。
针对这个问题,某些系统使用虚拟墙,也称为分区,确保在这个分区内的一组进程给定一组资源。主要的资源是CPU运行时间,也包括其他共享资源,比如memory和文件空间。
Figure 55: Static partitions guarantee that processes get the resources specified by the system designer
典型的,竞争资源分区系统的主要目标是把计算机划分为一组小计算机,并使得他们间的交互尽可能少。然而,这种方法非常的不灵活。自适应分区采用了更灵活的方式。
QNX 分区自适应表现在:
- 可以在运行时改变配置
- 分区仅仅在配置作用时间内固定
- 分区在运行时自动适应条件,比如:
- 空闲时间重新分配给其他的调度分区
- 文件系统可以对在不同时间分区移动的clients进行时间记账。
因此,自适应分区限制更少更强大。除了自适应,时间分区允许我们根据不同的行为,划分CPU时间分区。
If adaptive partitions aren't boxes, what are they?
一个自适应分区是一组规则的集合。规则用来控制系统内资源的分配。
当一个进程或者线程被关联到一个特定的分区,那么它的行为就受到分区规则的控制。
比如,自适应分区类似于俱乐部中的成员。每个人可以参加几个不同的俱乐部。他们甚至可以从一个俱乐部移到另外一个俱乐部。但是当他们在某个特定俱乐部时,他们必须遵守这个俱乐部的规则。
分区提供:
- 内存保护 - 每个分区是分离的,被MMU控制。
- overload protection - 每个分区都保证执行时间片,时间片由系统设计者指定。
通过使用多个partitions,你可以避免单点失败。例如,一个跑飞的程序不能占用整个地址空间,在其他分区运行的进程仍然可以分配系统资源。
当前,QNX进程模型和其他操作系统相比,提供了更多保护,包括:
- 进程间的全内存保护
- 消息传递提供了唯一的可控值的IPC
- client-server模型的优先级继承
- 硬时间决定调度
- devices,files,和内存的更细节的权限模型。
- 内存,文件描述符,CPU和优先级限制,使用POSIX setrlimit()函数限制跑飞的进程。
Why adaptive?
提供实时性能,防止过载。QNX引入了自适应分区。固定分区在静态系统,很少或没有软件动态配置的情况下,运行良好。对于动态系统,静态分区是低效的。比如,在分区间静态划分CPU时间会导致延迟:
- 如果大部分分区空闲,仅有一个非常忙,忙的分区无法获得额外的执行时间,而其他分区的后台线程却在浪费时间。
- 如果一个中断在某个分区内调度,那么中断要等到分区运行。这可能会造成无法接受的延迟,特别是如果中断是突发的情况。
一个自适应分区是一组线程,为了共同的目标和行为。对于静态分区,自适应分区分配了预算,保证它的最小共享CPU资源。而对于静态分区,自适应分区:
- 可以按需动态的增加和调整自适应分区。
- 在正常负载下,运行为全局硬实时线程调度。但是在超载的情况下,仍然能提供最小中断延迟。
- 为了最大化CPU资源使用。线程调度器把一个分区未用的配额分配给需要额外资源的分区。
Benefits of adaptive partitioning
自适应分区在设计,开发,运行和调试系统时提供了很多好处。
Engineering product performance
自适应分区设计系统有助于性能优化
Partitioning
分区划分系统资源,供应用程序使用。一个分区包含一些资源并且定义了这些资源的使用规则。资源包括处理器,buffers,页表或者文件描述符。
关于线程调度,自适应分区确保空闲的时间可以分配给其他分区使用。这使得系统可以处理突发的进程需求。对于轮转线程调度器,未用的CPU时间被花费在运行idler线程上。
Partition inheritance
自适应分区的另外一个特色是分区继承概念。
对于线程调度器,这个功能让设计者开发没有配额的服务进程。当server执行clients的请求时,client分区为这个操作买单。没有这个功能,只能给server分配无限制的配额,使用这个功能有如下好处:
- 不需要过度设计系统,所以整体代价降低
- 如果增加一个应用,并不需要重新设计通用服务的配额,比如文件系统或者servers
- 系统速度快,响应及时。
- 系统保证重要task的时间。
- 使用优先级标识线程的优先级,使用分区CPU配额它的重要性。
Deal with design complexity
设计大规模的分布式系统是复杂的。典型的系统有很多子系统,进程,彼此独立开发的线程。设计系统时,会根据不同的系统性能目标,优先级模式和不同的运行时优化方法,进行分组设计。
产品开发会在不同地理位置,不同时区进行,使得系统设计变得更加复杂。一旦这些分离的系统被集成运行时,系统所有部分需要在下面操作场景提供相同的响应速度
- 正常系统负载
- 峰值期
- 失败情况下
在并行开发情况下,进行产品集成时会引发各种问题。典型的,一旦系统正在运行,不可预见的交互会导致严重的性能下降。当这类问题发生时,很少有设计者和架构师能够从系统层面检测或者解决该类问题。解决通常需要相当长时间的修改。这扩大了系统集成周期,影响了上市时间。
通常需要一周或者几周才能定位该类问题,再需要几周调整系统的优先级,重新测试,重新改进。如果这种问题不能有效的解决,产品的可扩展性是有限的。
这很大的归结于没有有效的方法分配CPU给不同的组。线程优先级提供了一种方法来确保关键任务执行,但是并没有保证重要,非关键任务的执行时间,导致正常操作没有给予足够的CPU时间。此外,很难推广通用的建立线程优先级方法到巨大的开发团队。
自适应分区使用线程调度器,使得结构维护保留资源给紧急任务,比如灾难恢复系统,或者调试shell。为每个子系统定义了CPU预算,允许开发组实现自己的优先级模式,并在给定的预算内进行优化。这个方法可以让开发者独立的设计开发子系统,并且简化了继承努力。最终效果是改善了上市时间并且有助于产品的扩展。
Providing security
一些系统很容易收到拒绝服务攻击(DOS)。比如,一个恶意的用户通过请求需要进程处理的服务来轰炸系统。在大量请求攻击下,这个进程可能过度占用CPU资源,导致系统其他进程处在饥饿状态。
Figure 56: Without adaptive partitioning, a DOS attach on one process can starve other critical functions
某些系统试图通过增加一个监测进程,该进程监视CPU使用情况,当一个进程占用太多CPU时间时,监测进程执行矫正行动。这个方法有如下缺点,包括:
- 响应时间太慢
- 这个方法抓取了合理处理需要的CPU时间。
- 该方法不可靠,因为它依赖于相应线程的优先级,必须确保监测线程可以获取充足的CPU时间。
线程调度器可以解决这个问题,线程调度器通过提供额外的配额给系统功能。这可以确保系统重要任务有CPU配额。线程可以修改他们的优先级,这棵能是个安全漏洞,但是你可以配置线程调度器防止分区上运行的代码修改它的配额。
Figure 57: With scheduler partitions, a DOS attach is contained
因为自适应分区可以分配未用的CPU时间给需要的分区,所以没必要捕捉那些在合法需求内的处理操作。
Debugging
自适应分区设置可以使得调试嵌入式系统更容易,在开发和部署阶段提供一个"emergency door"到系统中。
创建一个可以运行诊断工具的分区,如果不需要使用这个分区,线程调度器把分区的配额分配给其他的分区。这使得有可以访问系统而不影响性能。更多的信息,可参考Adaptive partitioning User's Guide中的Testing and Debugging 一章
Adaptive partitioning thread scheduler
该线程调度器是一个可选调度器,允许你保证每个进程组,线程或者应用都能获得的最小CPU时间,分配给一个分区的CPU百分比称为配额。
QNX架构的线程调度器主要用来解决嵌入式系统设计中的如下问题:
- 当系统负载高时,保证可获得一个最小CPU运行时间。
- 防止不重要的或者非可信应用独占系统资源。
更多的信息,参见Apative Partitioning User's Guide