• При динамическом добавлении памяти в раздел можно явно задать, какая часть этой памяти будет использоваться операционной системой в качестве CLM, а какая – в качестве ILM (с учетом общего объема CLM и ILM, сконфигурированного в системе или аппаратном разделе). Для аппаратных разделов вся динамически добавляемая память является локальной (CLM).
В Integrity VM 4.1 появилась возможность миграции VM на другой сервер без остановки приложений.
Ограничения
• Отсутствует изоляция отказов оборудования. Определенные отказы аппаратуры физического сервера могут привести к отказу сразу нескольких виртуальных разделов. Это наиболее существенный недостаток виртуальных разделов по сравнению с аппаратными.
• Поддерживается только операционная система HP-UX.
Виртуальные машины (Integrity VM)Основная область применения HP Integrity VM (рис. 2) – небольшие, но важные приложения, требующие изоляции ОС, но в среднем не требующие больших ресурсов (один процессор или меньше). Тем не менее серверы для эксплуатации этих приложений конфигурируются так, чтобы выдерживать пиковую нагрузку. В пиковые моменты такие системы могут загрузить и несколько процессоров, поэтому они устанавливаются, как правило, на небольших двух– или четырехпроцессорных серверах. В этом случае среднее использование ресурсов получается небольшим. Размещение подобных приложений на виртуальных машинах позволяет удовлетворить их требования во время пиков загрузки и возвращать ресурсы, когда активность снижается. Необходимые ресурсы предоставляются «по требованию» для реагирования на кратковременные всплески.
Рис. 2. Виртуальные машины Integrity рассчитаны на приложения, создающие среднюю нагрузкуНапример, мы можем запустить несколько четырехпроцессорных виртуальных машин на четырехпроцессорной системе. Это позволит равномерно распределять нагрузку между физическими процессорами. Причем в отличие от аппаратных (nPar) или виртуальных (vPar) разделов здесь не требуется явным образом вручную или автоматически переводить процессорные ресурсы из одной виртуальной машины в другую. Так происходит благодаря тому, что виртуальная машина работает не на физических, а на виртуальных процессорах, которые используют свободные в данный момент ресурсы физических процессоров.
Такое решение одновременно и обеспечивает изоляцию систем, и существенно повышает степень использования ресурсов (т. е. экономит деньги).
При этом резко сокращается число обслуживаемых физических систем, тем самым уменьшается стоимость поддержки/владения. Кроме того, за счет консолидации уменьшается число физических процессоров для лицензирования ПО.
Integrity VM предоставляет также виртуализацию ввода-вывода, когда несколько виртуальных машин могут разделять одну физическую плату ввода-вывода, повышая тем самым степень использования аппаратных ресурсов. Возможен и другой вариант, когда одна виртуальная машина монопольно использует одну плату ввода-вывода, при этом отсутствие конкуренции за пропускную способность физического интерфейса может обеспечить значительный выигрыш с точки зрения производительности.
Помимо виртуализации процессоров и интерфейсов ввода-вывода Integrity VM обеспечивает виртуализацию физической памяти – каждой виртуальной машине выделяется часть физической памяти сервера. Начиная с версии 4.0 возможно динамическое перемещение памяти между виртуальными машинами, т. е. увеличение или уменьшение объема памяти виртуальной машины без ее перезагрузки. Однако если память раздела в процессе работы станет фрагментированной, то освободить ее удастся не всегда, или это может происходить очень медленно. Кроме того, сказанное выше относительно динамического перемещения памяти между аппаратными разделами справедливо и для виртуальных машин.
В Integrity VM 4.1 появилась возможность миграции всей виртуальной машины вместе с гостевой ОС на другой сервер без остановки работающих приложений – Online VM Migration (рис. 3). На финальном этапе миграции система «замораживается» на несколько секунд, в течение которых на новый сервер копируются метаданные, страницы памяти, успевшие измениться за время переноса, и завершаются текущие операции с дисками. Затем система продолжает свою работу уже на новом сервере. Все, что при этом чувствует пользователь, – это кратковременное (не более 10 с) «зависание» своего приложения. Такая чрезвычайно ценная возможность полезна не только для балансировки нагрузки, но и при выполнении любых административных процедур, требующих остановки или перезагрузки системы.
Преимущества
• Обеспечивается более высокий уровень гранулирования при распределении ресурсов, чем в случае аппаратных и виртуальных разделов: между виртуальными машинами можно разделять отдельные физические процессоры и платы ввода-вывода. Доля ресурсов, выделяемых виртуальной машине, задается в процентах. Минимальная доля выделяемых ресурсов – 5 % физического процессора (для многоядерных процессоров – ядра).
• В качестве гостевой операционной системы может выступать не только HP-UX, но и Windows 2003, Linux Red Hat, Linux SUSE, причем виртуальные машины с различными ОС можно совмещать на одном физическом сервере.
• Возможность миграции виртуальной машины на другой сервер без остановки работающих приложений (Online VM Migration).
• Работают на любых системах Integrity, а не только на cell-based.
Рис. 3. Online VM Migration обеспечивает возможность миграции виртуальной машины без остановки приложенийОграничения
• Ограниченная масштабируемость. Integrity VM предназначены для небольших систем, использующих небольшое число процессоров – не больше четырех, а лучше один-два. Увеличение числа виртуальных процессоров оказывает негативное влияние на производительность виртуальной машины из-за относительно высоких накладных расходов. Поэтому однопроцессорная конфигурация более эффективна, чем многопроцессорная. Сказанное означает ограниченную масштабируемость решений на базе Integrity VM. Крупные SMP-конфигурации эту технологию использовать не могут.
• Версии VM, работающие на HP-UX 11.23 (3.0, 3.5), используют не более четырех виртуальных процессоров на каждой виртуальной машине, а последние версии, функционирующие на HP-UX 11.31 (4.0, 4.1) – не более восьми.
• До версии 3.5 Integrity VM не рекомендовалось использовать для систем с интенсивным потоком ввода-вывода. В версии Integrity VM 3.5 появился усовершенствованный механизм виртуального дискового и сетевого ввода-вывода – Accelerated Virtual I/O (AVIO), который позволяет примерно в полтора раза увеличить производительность ввода-вывода и вдвое уменьшить процессорную нагрузку, создаваемую виртуальным вводом-выводом. В версиях 4.0 и 4.1 этот механизм был усовершенствован. Тем не менее необходимо с большой осторожностью подходить к внедрению VM там, где важна высокая пропускная способность ввода-вывода, и учитывать некоторые ограничения AVIO.
• Online VM Migration работает только при условии, что гостевая ОС – HP-UX. Число виртуальных процессоров в одной виртуальной машине не может превышать количество физических процессоров.
• Не работают на системах с архитектурой PA-RISC.
Усовершенствованный механизм Accelerated Virtual I/O существенно увеличил производительность виртуального ввода-вывода.
Безопасные разделы ресурсов (SRP)Безопасные разделы ресурсов (SRP) поддерживаются программно внутри одной копии операционной системы HP-UX. При создании раздела ему выделяется определенная часть процессорных ресурсов, оперативной памяти сервера и пропускной способности ввода-вывода для группы дисковых томов.
Процессорные ресурсы можно выделять либо используя наборы процессоров (PSET), либо средствами Fair Share Scheduler (FSS), который представляет собой планировщик 2-го уровня над стандартным планировщиком ОС. При использовании PSET процессоры (ядра) выделяются разделу целиком. При применении FSS распределение процессорных ресурсов между разделами задается в процентах, и в соответствии с этим распределением процессорное время выделяется каждому разделу квантами по 10 мс.
Разделы ресурсов тесно интегрированы с контейнерами безопасности операционной системы HP-UX.
Каждому разделу может быть выделена часть физической памяти сервера, хотя делать это не обязательно. Память между разделами распределяется средствами технологии Memory Resource Groups (MRG). При этом каждый раздел «видит» и может использовать только свою часть общей памяти сервера. Это обеспечивает более высокий уровень изоляции между разделами. Однако по умолчанию неиспользуемая память разделяется между разделами, и один раздел может временно использовать свободную память другого.
Пропускная способность дискового ввода-вывода также распределяется в процентах. Порядок запросов в очередях ввода-вывода перераспределяется так, чтобы процессам конкретного раздела выделялась назначенная разделу доля общей пропускной способности. Этот контроль ввода-вывода активен только при появлении очередей, т. е. в случае конкуренции за ввод-вывод.
Пропускная способность дискового ввода-вывода также распределяется в процентах. Порядок запросов в очередях ввода-вывода перераспределяется так, чтобы процессам конкретного раздела выделялась назначенная разделу доля общей пропускной способности. Этот контроль ввода-вывода активен только при появлении очередей, т. е. в случае конкуренции за ввод-вывод.
Разделы ресурсов тесно интегрированы с контейнерами безопасности. Контейнер безопасности определяется для группы пользователей или группы процессов. Внутри своего контейнера процессы имеют полный доступ к механизмам межпроцессного взаимодействия (IPC), к сетевым интерфейсам и файлам. Но процесс одного контейнера не может взаимодействовать с процессами другого контейнера, пока не будут заданы правила, определяющие такое взаимодействие, а сетевые псевдоинтерфейсы разных контейнеров не могут видеть сетевые пакеты друг друга.
Преимущества
• Благодаря консолидации уменьшается количество экземпляров ОС.
• Единая операционная среда дает больше возможностей для разделения ресурсов: можно совместно использовать процессоры, платы ввода-вывода, память, файловые системы.
• Работают на любых системах, где запускается HP-UX, а не только на cell-based (как nPar и vPar) или Integrity-серверах (как Integrity VM).
Ограничения
• Меньший уровень изоляции, чем у всех остальных типов разделов, так как разделы ресурсов существуют внутри одной копии операционной системы.
• Из предыдущего ограничения вытекает и то, что разделы ресурсов не могут поддерживать разные настройки параметров ядра, разные уровни патчей (или их несовместимые наборы), разные версии библиотек. Поэтому безопасные разделы ресурсов особенно удобно использовать для запуска нескольких экземпляров одного и того же приложения (например, нескольких баз данных Oracle) в тех случаях, когда предлагаемый уровень изоляции достаточен.
Instant Capacity, Global Instant Capacity, Temporary Instant CapacityInstant Capacity – решение, которое дает возможность платить за вычислительные мощности сервера не при его покупке, а при активировании этих мощностей по мере роста вычислительных нагрузок. Приобретаемый сервер имеет определенное количество неактивных процессоров или ячеек, цена которых – лишь часть полной стоимости соответствующих ресурсов. Впоследствии эти ресурсы в любой момент могут быть активированы путем ввода специальных лицензионных ключей, и только тогда потребуется доплатить оставшуюся часть их стоимости.
Это решение было специально разработано для того, чтобы облегчить процесс модернизации системы. Активирование процессоров происходит моментально и не требует остановки системы. Активирование целиком ячеек (процессоров и памяти) на ходу можно провести только в версии HP-UX 11.31, в предыдущих версиях необходима перезагрузка, но время простоя при этом несопоставимо с временем, которое затрачивается на закупку, поставку и установку дополнительного оборудования. С финансовой же точки зрения несмотря на то, что заказчик в конце концов выплачивает всю стоимость iCAP-ресурса, он может даже выиграть, так как со временем цена соответствующей единицы оборудования падает. Таким образом, Instant Capacity позволяет существенно снизить риски при планировании мощностей под развивающиеся системы с постоянно растущей нагрузкой – в системе присутствуют запасные неактивные мощности, которые могут быть задействованы в нужный момент.
В данной статье мы описываем решения семейства iCAP потому, что они также дают дополнительные возможности при консолидации систем и динамическом перераспределении ресурсов между аппаратными разделами и даже между серверами. Например, если сервер разбит на два аппаратных раздела (nPar) и в каждом разделе присутствуют неактивные iCAP-процессоры, то при кратковременном пике нагрузки можно активировать один или несколько iCAP-процессоров в нужном разделе благодаря деактивированию процессоров другого раздела (рис. 4). В этом случае за активирование iCAP-ресурсов не нужно платить. Результат получается, как при динамическом перемещении процессоров из одного раздела в другой. Так же можно поступить и с iCAP-ячейками.
Решение, называемое Global Instant Capacity (GiCAP), позволяет аналогичным образом перемещать ресурсы между физическими серверами. Если продуктивный сервер загружен, на него можно переместить часть лицензий слабозагруженного сервера.
iCAP-решения предоставляют возможности перераспределения ресурсов не только между аппаратными разделами, но и между серверами.
Возможна ситуация, когда нам негде временно деактивировать ресурсы, – пик нагрузки на одном сервере или аппаратном разделе не совпадает по времени со спадом нагрузки на других серверах (разделах). В таких случаях можно применить Temporary Instant Capacity (TiCAP). Лицензия TiCAP дает право активировать любое число iCAP-процессоров на суммарное время, равное 30 дням работы одного процессора. Лицензия TiCAP действует подобно телефонной карте на определенное количество минут. Пока процессор работает, использованное им процессорное время вычитается из общего «счета» квантами по 30 мин. Можно активировать не один, а сразу несколько процессоров – тогда время TiCAP-лицензии будет расходоваться быстрее. Когда все 30 суток процессорного времени будут израсходованы, баланс станет отрицательным, но процессоры остановятся только после перезагрузки сервера. Если затем приобрести постоянные лицензии, отрицательный баланс будет аннулирован. При покупке еще одной TiCAP-лицензии отрицательный баланс будет вычтен из нее.
Автоматическое управление перераспределением ресурсовВ заключение остается отметить, что в операционной системе HP-UX имеются инструменты, позволяющие автоматизировать процессы распределения и динамического перемещения ресурсов между разделами, – это Workload Manager (WLM) и Global Workload Manager (gWLM). Эти средства позволяют автоматизировать действия администратора, связанные с управлением и распределением вычислительных ресурсов, такие как:
• постоянный мониторинг нагрузок;
• принятие решения о добавлении ресурсов определенному приложению;
• поиск резервных или не занятых в данный момент ресурсов;
• освобождение неиспользуемых ресурсов;
• добавление ресурсов тому приложению, которое в них нуждается.
Эти задачи могут осложняться иерархической структурой разделов – например, сервер разбит на аппаратные разделы (nPar), те, в свою очередь, – на виртуальные (vPar), внутри которых организованы разделы ресурсов (SRP).
Рис. 4. Динамическое перемещение процессорных ресурсов между аппаратными разделами с помощью iCAPПолезные ссылки
nPar – http://docs.hp.com/en/hw.html
• HP-UX 11i v3 Dynamic nPartitions – Features and Configuration Recommendations
vPar – http://docs.hp.com/en/vse.html#Virtual%20Partitions
• Introducing HP-UX 11i Virtual Partitions (HP White Paper)
• Configuring and Migrating Memory on vPars
• Resizing vPars automatically with HP-UX Workload Manager
Integrity VM – http://docs.hp.com/en/vse.html#HP%20Integrity%20Virtual%20Machines
• Introduction to Integrity Virtual Machines
• Best Practices for Integrity Virtual Machines
• HP Integrity VM Accelerated Virtual I/O Overview
• HP Integrity Virtual Machines Version 4.1 Installation, Configuration, and Administration
Эрингтон Д., Джаккоут Б. Виртуальная серверная среда HP. – Пер. с англ. Г. Прилипко/Под ред. М. Мосейкина. М., ИНТУИТ.РУ, 2007.
Конечно, все эти задачи можно выполнять и вручную с помощью стандартных интерфейсов управления разделами. Но это может оказаться столь сложным и трудоемким процессом, что потребует использования средств автоматизации, каковыми и являются WLM и gWLM.
WLM интегрирован со всеми описанными решениями разбиения на разделы, кроме Integrity VM. Он позволяет перемещать ресурсы между аппаратными (nPar), программными (vPar) разделами, безопасными разделами ресурсов (SRP), а также временно активировать Instant Capacity по лицензии TiCAP.
Workload Manager и Global Workload Manager позволяют автоматизировать управление вычислительными ресурсами в масштабе предприятия.
gWLM – это более новый и современный продукт по сравнению с WLM. С другой стороны, WLM проще в конфигурировании и сопровождении. WLM конфигурируется для одной системы или одного раздела, у gWLM есть центральный сервер управления (CMS). В этом и состоит основное различие между этими решениями. WLM не поддерживает Integrity VM и работает только на HP-UX, поэтому для управления виртуальными машинами нужно применять gWLM. Если число поддерживаемых систем и нагрузок невелико, все они управляются HP-UX и при этом не требуется поддержка Integrity VM, тогда WLM может быть более предпочтительным, так как он проще в использовании. В то же время gWLM имеет ряд серьезных преимуществ перед WLM, поэтому централизованное управление ресурсами при большом числе систем и сложном распределении нагрузок без применения этой технологии невозможно.
Интеграция nPar, vPar, Integrity VM, а также WLM/gWLM с технологией кластеризации HP Serviceguard позволяет системе автоматически реагировать не только на рост или падение нагрузки, но и на аппаратные и программные сбои в работе вычислительной среды. Благодаря интеграции с WLM кластерный пакет Serviceguard может быть перемещен на другой узел не только при сбое какого-то компонента системы, но и при достижении определенного порога нагрузки, превышение которого приведет к падению производительности.