化、轻量级容器、LibOS、可信执行环境（TEE）、异构部署等多种实现形态。不 同的形态有各自的特点： 1. 裸金属：基于 openAMP 实现裸金属混合部署方案，支持外设分区管理，性能最好，但隔离性和灵活性较差。目前支持 UniProton/Zephyr/RT-Thread 和 openEuler Embedded Linux 混合部署。 系统架构图 南向生态 嵌入式弹性虚拟化底座 openEuler Embedded 可广泛应用于工业控制、机器人控制、电力控制、航空航天、汽车及医疗等领域。 应用场景 2. 分区虚拟化：基于 Jailhouse 实现工业级硬件分区虚拟化方案，性能和隔离性较好，但灵活性较差。目前支持 UniProton/ Zephyr/FreeRTOS 和 openEuler Embedded Linux 混合部署，也支持 openHarmony 和 openEuler 用户或应用程 序必要的控制权限，提供更细粒度的资源管理，同时保持系统的稳定性和安全性。 4）更丰富的特性支持： 基于统一的文件树管理，支持 psi、页面缓存回写、跨多个资源的增强资源分配管理和隔离、统一核算不同类型的内存分配， MemoryQoS 等特性。 • Maple Tree 和 Per VMA Lock 特性：使用 Maple Tree 替代红黑树管理进程的地址空间，并使用 RCU

虚机和虚机混部 CPU 调度 内存管理 Cache QOS 网络 QOS 在线抢占 离线 Kill SMT 负载均衡 OOM 优先级内存回收 动态水线控制策略 Cache 干扰预测 Cache 租户隔离 流量标签化管理 租户宽带分配 openEuler 21.09 技术白皮书 15 功能描述 1. 全局管理器 OS-Controller，监控所有节点上的 OS 实例，收集所有节点 OS 面优势明显。容器可以直接访问 主机资源，容器间共享主机内核，存在容器逃逸等诸多安全问题，无法满足典型金融多租户安全隔离诉求。业界阿里和 Intel 主导 kata 开源项目，使用虚拟化隔离层容器形成安全容器方案，Google 推出 GVisor 安全沙箱，结合进程级虚拟 化隔离容器应用安全风险。 openEuler 结合虚拟化运行时 StratoVirt，容器管理引擎 isulad 形成安全容器方案，较传统 形成安全容器方案，较传统 docker+qemu 方案，底噪 和启动时间优化 40%+，为应用提供一个轻量、安全的执行环境，隔离容器和宿主机操作系统间、容器间的安全风险。 Kubelet iSulad Shim v2 client Containerd-kata- shim-v2 grpc ttrpc StratoVirt Export c interface Lib shim v2 Pod

策略，可以显著改善高优先级任务的调度延迟， 降低对其他任务的干扰。优化 NUMA balancing 机制，带来更好的亲和性、更高的使用率和更少 的无效迁移。 2. CPU 隔离机制增强：支持中断隔离，支持 unbound kthreads 隔离，增强 CPU 核的隔离性， 可以更好的避免业务间的相互干扰。 3. 进程间通信优化：pipe_wait、epoll_wait 唤醒机 制优化，解决唤醒多个等待线程的性能问题。 化架构或组件。具 备安全、轻量、高性能、低损耗、组件灵活拆分的特点。 StratoVirt 主要优势如下： • 强安全性：基于 Rust 实现语言级安全，模型设计上最小化攻击面， 实现多租户物理隔离。 • 轻量低噪：采用极简设备模型时，启动时间小于 50ms，内存底噪小于 4M，支持 Serverless 负载。 • 软硬协同：StratoVirt 支持 x86 的 VT，支持鲲鹏的 Kunpeng-V。 基准测试中，相比于上游社区的 GCC 9.3 版本能够获得 10% 以上的性能收益。 机密计算框架 secGear 在云上或数据中心中，为了保护敏感数据的安全性，通过一个安全隔离区来保护使用中的数据称为机密计算技术。硬件 会提供一个可信的隔离执行环境供软件使用，让处理敏感数据的软件运行在可信执行环境中，在普通环境里无法访问到可信 执行环境里的内容。 Intel x86 处理器提供 SGX 特性，划分一

景下，容器的冷启动速度和底噪开销无法满足业务场景单节点上万实例的 快速执行和处理诉求。 本特性提供了基于 WebAssembly 技术的安全沙箱能力，将函数部署在 Wasm 安全沙箱中，实现函数隔离的前提下，解 决高并发场景下容器冷启动速度慢和内存底噪开销大的问题。 功能描述 轻量级 Wasm 沙箱引擎整体功能主要由以下两个关键组件提供： 1. Wasm 函数管理框架 • 支持监听处理高并发量函数请求 launcher，使目标应用可以运行在隔离的 CPU 资源上，为 HPC 业务提供低噪声的隔离执行环境。 功能描述 HCK 的功能由两部分组成： 1. 内核态的底座部分 内核态底座部分提供的功能如下： • CPU 噪声移植：将影响应用波动性的系统噪声从隔离核上迁移出 • CPU 隔离管理：在系统启动时对指定的 CPU 标记预留 • 任务域管理：在隔离的 CPU 上运行进程时，进行任务域创建，亲和性配置等功能 拓扑过滤：控制 proc、sysfs 下部分接口获取 CPU 拓扑时的可见范围 2. 用户态工具部分 用户态工具提供的功能，是对接内核态上述功能提供的 sysfs 接口供用户使用，将目标应用运行在指定的隔离 CPU 上。 HPC 业务特征大部分符合 BSP 模型 (Bulk Synchronous Parallel Computing)：并行计算 + 通信 + 同步。系统噪声对这 类业务特征有较大

extensions) 是 Intel 推出的指令集扩展，旨在以硬件安全为强制性保障，不 依赖于固件和软件的安全状态，提供用户空间的可信执行环境，通过一组新的指令集扩展与访问控制机制，实现不同 程序间的隔离运行，保障用户关键代码和数据的机密性与完整性不受恶意软件的破坏。 • 技术预览特性： a) 内存可靠性分级技术：通过对不同可靠性等级的内存分级管理，可以支持内核、关键进程、内存文件系统、文件缓 时，优先对低优先级的进程组进行内存回收，保障在线业务的正常运行。 针对 Kubernetes 集群下的混合部署，openEuler 用户仅需给业务打上在线或离线的标签，系统即能自动感知业务的 创建，并根据业务的优先级配置，实现资源的隔离和抢占。 功能描述 1. 进程属性设置：支持通过 cgroup 接口来设置任务运行级别，可以配置成在线或离线属性。 2. 任务优先运行：在 CPU 中有在线任务和离线任务场景下，优先选择在线任务，在线任务可以 明显。容器可以直接访问 主机资源，容器间共享主机内核，会存在容器逃逸等诸多安全问题，无法满足典型金融多租户安全隔离诉求。业界阿里和 Intel 主导的 kata 开源项目，使用虚拟化隔离层容器形成安全容器方案，Google 推出的 GVisor 安全沙箱，则结合进程级 虚拟化隔离容器应用安全风险。 openEuler 结合虚拟化运行时， StratoVirt 及容器管理引擎 isulad

提供us级软/硬实时内核 • OpenAMP混合部署模式 • 分布式软总线，欧拉/鸿蒙设备互通 云计算 边缘计算 openEuler SDK openEuler DevOps： • 磁盘资源隔离，大数据性能提升30% • 应用感知调度，hbase性能提升20% • 容器/虚机混部， • 资源利用率15%-30% • 边云管理协同框架， • 跨边云单应用秒级发放 缘起：一个运动控制系统(机器人 openEuler Embedded Linux Kernel 软件包 基础设施 社区 生态 …… 多样化的非Linux行星 实时操作系统 （硬实时) 裸金属 (极致性能) 嵌入式虚拟机 (隔离与调度) 可信执行环境 （信息安全) 弹性融合底座 openEuler Embedded总体架构 应用领域 基础设施 CI/CD 构建 测试 UniProton/Zephyr/… 不足：无法实现分工协作 • 典型硬件:STM32MP15 • 特点：Linux和RTOS分工 协作资源静态分配 • 不足：Linux和RTOS之间 无法实现强隔离 • 典型硬件:树莓派４ • 特点：Linux和RTOS分工 协作 • 强隔离、资源动态分配 • 不足：对异构支持不完善 • 典型硬件:Xilinx Ultra Scale • 特点：异构多核，多种运 行时协同工作 • 不足：软件栈结构复杂

内核提供软实时能力，软实时中断响应时延微秒级。 4. 嵌入式弹性虚拟化底座：提供多种虚拟化方案，满足用户不同硬件和业务场景需要： • baremetal：基于 openAMP 实现裸金属混合部署方案，支持外设分区管理，性能最好，但隔离性和灵活性较差。目 前支持 UniProton/Zephyr/RT-Thread 和 openEuler 嵌入式 Linux 混合部署。 功能描述 南向生态 QEMU ARM RISC-V 龙芯 疗等领域。 应用场景 • 分区虚拟化：基于 Jailhouse 实现工业级硬件分区虚拟化方案，性能和隔离性较好，但灵活性较差。目前支持 FreeRTOS 和 openEuler 嵌入式 Linux 混合部署。 • 实时虚拟化：openEuler 社区自研虚拟化方案，兼顾性能、隔离性和灵活性，综合最优。目前支持 Zephyr 和 openEuler 嵌入式 Linux 混合部署。 5 创新特性： • SMT 驱离优先级反转特性：解决混部 SMT 驱离特性的优先级反转问题，减少离线任务对在线任务 QoS 的影响。 • CPU QoS 优先级负载均衡特性：在线、离线混部 CPU QoS 隔离增强 , 支持多核 CPU QoS 负载均衡，进一步降低离线 业务 QoS 干扰。 • 潮汐 affinity 调度特性：感知业务负载动态调整业务 CPU 亲和性，当业务负载低时使用 prefered

处理，增强资 源的局部性；当业务负载高时，突破 preferred cpus 范围限制，通过增加 CPU 核的供给提高业务的 QoS。 • CPU QoS 优先级负载均衡特性：在离线混部 CPU QoS 隔离增强，支持多核 CPU QoS 负载均衡，进一步降低离线业 务 QoS 干扰。 • SMT 驱离优先级反转特性：解决混部 SMT 驱离特性的优先级反转问题，减少离线任务对在线任务 QoS 的影响。 行的一系列技术的集合，包含了裸金属、嵌入式虚拟化、轻量级容器、LibOS、可信执行环境（TEE）、异构部署等多种实 现形态。不同的形态有各自的特点，例如裸金属可以得到最佳的性能、嵌入式虚拟化可以实现更好的隔离与保护、轻量级 容器则有更好的易用性与灵活性等等。 功能描述 维测 MICA ( 混合关键性部署框架 ) 应用领域 硬件 分布式软总线 欧 拉 生 态 + 鸿 蒙 生 态 • 裸金属：基于 openAMP 实现裸金属混合部署方案，支持外设分区管理，性能最好，但隔离性和灵活性较差。目前 支持 UniProton/Zephyr/RT-Thread 和 openEuler 嵌入式 Linux 混合部署。 • 分区虚拟化：基于 Jailhouse 实现工业级硬件分区虚拟化方案，性能和隔离性较好，但灵活性较差。目前支持 FreeRTOS 和 openEuler 嵌入式 Linux

安全模块（LSM）框架文档。 Linux 的 namespaces 封装了一个全局系统资源到一个抽象的概念，全局系统资源在 namespace 内对进程可见，并且 namespace 有它们自己的全局资源隔离实例。对其它进程全局资源的可见性的改变是，同一个 namespace 的成员可 见，但是对非同一个 namespace 的其它进程不可见。从内核 5.6 版本起，有 8 种 namespaces (参见 (2021) 中, Debian 使用 unified cgroup hierarchy（统一 cgroup 层级架构）(亦称为 cgroups-v2)。 namespaces 同 cgroups 一起来隔离它们的进程，允许资源控制的使用示例是： • Systemd。参见第 3.2.1 节。 • 沙盒环境。参见第 7.6 节。 • Linux 容器，比如 Docker、LXC。参见第 9.11 I:83 6 venv 创建虚拟的 python 环境（系统库） python3-virtualenvV:9, I:51 356 virtualenv 创建隔离的虚拟 python 环境 pipx V:3, I:15 928 pipx 在隔离的环境中安装 python 应用程序 Table 9.27: 虚拟化工具列表 Debian 参考手册 174 / 233 9.11.2 虚拟化工作流

如下功能。 ➢ ：即便网络中断，也可让会话随时恢复，确保用户不会失去对远程会话的控制。 ➢ ：每个会话都是独立运行的，拥有各自独立的输入输出终端窗口，终端窗口内 显示过的信息也将被分开隔离保存，以便下次使用时依然能看到之前的操作记录。 ➢ ：当多个用户同时登录到远程服务器时，便可以使用会话共享功能让用户之 间的输入输出信息共享。 使用 ssh 服务管理远程主机 地利用服务器资源，同时也为了降低购买门槛，纷纷启用了虚拟主机功能。 利用虚拟主机功能，可以把一台处于运行状态的物理服务器分割成多个“虚拟的服 务器”。但是，该技术无法实现目前云主机技术的硬件资源隔离，而只能让这些虚拟的 服务器共同使用物理服务器的硬件资源，供应商只能限制硬盘的使用空间大小。出于各 种考虑的因素（主要是价格低廉），目前依然有很多企业或个人站长在使用虚拟主机的 形式来部署网站。 14-4 关闭虚拟机自带的 DHCP 功能 可随意开启几台客户端，准备进行验证。但是一定要注意，DHCP 客户端与服务器需要 处于同一种网络模式—仅主机模式（Hostonly），否则就会产生物理隔离，从而无法获取 IP 地址。建议开启 1～3 台客户端虚拟机验证一下效果就好，以免物理主机的 CPU 和内存的负 载太高。 在确认 DHCP 服务器的 IP 地址等网络信息配置妥当后，就可以配置