用于高性能計(jì)算機(jī)系統(tǒng)的隔離方法及高性能計(jì)算機(jī)系統(tǒng)

更新時間:2025-12-25 13:40:27 0條評論

默認(rèn)

用于高性能計(jì)算機(jī)系統(tǒng)的隔離方法及高性能計(jì)算機(jī)系統(tǒng)

1.本發(fā)明涉及高性能計(jì)算機(jī)系統(tǒng)的安全隔離技術(shù)，具體涉及一種用于高性能計(jì)算機(jī)系統(tǒng)的隔離方法及高性能計(jì)算機(jī)系統(tǒng)。

背景技術(shù)：

2.近年來，高性能計(jì)算(high performance computing，hpc)的發(fā)展趨勢表明，隨著高性能計(jì)算與云計(jì)算、大數(shù)據(jù)、人工智能的融合創(chuàng)新，高性能計(jì)算與云計(jì)算已經(jīng)深度結(jié)合。首先，高性能計(jì)算通常是以消息傳遞接口(massive passing interface，mpi)、高效通信、異構(gòu)計(jì)算等技術(shù)為主，偏向獨(dú)占式運(yùn)行，而云計(jì)算有彈性部署能力與容錯能力，支持虛擬化、資源統(tǒng)一調(diào)度和彈性系統(tǒng)配置。隨著技術(shù)發(fā)展，高性能計(jì)算與容器云正融合創(chuàng)新，高性能云成為新的產(chǎn)品服務(wù)，亞馬遜云(amazon web service，aws)、阿里云、騰訊云以及百度云，已經(jīng)都基于超級計(jì)算與云計(jì)算技術(shù)推出了高性能云服務(wù)和產(chǎn)品。其次，高性能計(jì)算應(yīng)用從過去的高精尖向更廣更寬的方向發(fā)展。隨著高性能計(jì)算機(jī)的發(fā)展，尤其是使用成本的不斷下降，其應(yīng)用領(lǐng)域也從具有國家戰(zhàn)略意義的核武器研制、信息安全、石油勘探、航空航天和高冷的科學(xué)計(jì)算領(lǐng)域向更廣泛的國民經(jīng)濟(jì)主戰(zhàn)場快速擴(kuò)張，比如制藥、基因測序、動漫渲染、數(shù)字電影、數(shù)據(jù)挖掘、金融分析以及互聯(lián)網(wǎng)服務(wù)等等，可以說已經(jīng)深入到國民經(jīng)濟(jì)的各行各業(yè)。從近年高性能計(jì)算排行榜top500來看，高性能計(jì)算系統(tǒng)過去主要集中于科學(xué)計(jì)算、政府、能源、電力、氣象等領(lǐng)域，而近五年互聯(lián)網(wǎng)公司部署的高性能計(jì)算系統(tǒng)占據(jù)了相當(dāng)大比例，主要應(yīng)用為云計(jì)算、機(jī)器學(xué)習(xí)、人工智能、大數(shù)據(jù)分析以及短視頻等。這些領(lǐng)域?qū)τ谟?jì)算的需求急劇上升，高性能計(jì)算正與互聯(lián)網(wǎng)技術(shù)進(jìn)行融合。
3.現(xiàn)代數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化的特點(diǎn)，使得互不信任的用戶之間，既要能夠?qū)崿F(xiàn)隔離，又要能夠依據(jù)用戶的需要對資源進(jìn)行調(diào)整與共享，還要保證服務(wù)的質(zhì)量。要想達(dá)到這些要求，就必須將數(shù)據(jù)中心的網(wǎng)絡(luò)劃分成不同的虛擬網(wǎng)，但是這種劃分是靜態(tài)的，限制了網(wǎng)絡(luò)的靈活度，為了提高資源的利用率以及對數(shù)據(jù)中心的資源進(jìn)行調(diào)整，例如，對于一個提供web服務(wù)以及視頻的數(shù)據(jù)中心來說，白天需要的web資源可能會比較多，為了能夠提高資源的利用率，就要將資源的需求情況進(jìn)行調(diào)整，并對資源的需求進(jìn)行動態(tài)的調(diào)整，將數(shù)據(jù)中心的虛擬網(wǎng)進(jìn)行動態(tài)的配置。進(jìn)行動態(tài)配置虛擬網(wǎng)要使用虛擬化的技術(shù)，也就是在運(yùn)行的過程中將網(wǎng)絡(luò)動態(tài)的劃分成不同的分區(qū)。
4.另一方面，高性能計(jì)算機(jī)的復(fù)雜性隨系統(tǒng)規(guī)模增長而超線性增長。在大規(guī)模復(fù)雜系統(tǒng)構(gòu)建中，中心化設(shè)計(jì)是目前系統(tǒng)物理設(shè)計(jì)的主流。因?yàn)楣╇姟⑸帷⒖照{(diào)、網(wǎng)絡(luò)布線、i/o分配、用戶接入、穩(wěn)定性、可靠性、可維護(hù)性等方面的要求，通常系統(tǒng)會在中心機(jī)房統(tǒng)一搭建，且搭建后原則上應(yīng)該要維持系統(tǒng)的物理形態(tài)穩(wěn)定性，不能頻繁變更系統(tǒng)物理結(jié)構(gòu)，以保障系統(tǒng)的可持續(xù)性和穩(wěn)定性。目前，高性能計(jì)算機(jī)系統(tǒng)一般采用板卡-構(gòu)件-機(jī)框-機(jī)柜-系統(tǒng)的層次式集約設(shè)計(jì)結(jié)構(gòu)。高性能計(jì)算機(jī)系統(tǒng)由多個機(jī)柜組成，機(jī)柜間通過互連網(wǎng)絡(luò)快速擴(kuò)展為大規(guī)模高性能計(jì)算機(jī)系統(tǒng)；每個機(jī)柜包含多個機(jī)框；每個機(jī)框包含多個構(gòu)件和電源模塊；每個構(gòu)件包含多個板卡，各構(gòu)件通過機(jī)框背板連接；板卡包含計(jì)算板卡、通信板卡、監(jiān)
控板卡等，每個計(jì)算板卡上有多個結(jié)點(diǎn)，通信板卡由用于將計(jì)算結(jié)點(diǎn)接入系統(tǒng)的網(wǎng)絡(luò)接口芯片和用于路由交換的路由交換芯片構(gòu)成。系統(tǒng)構(gòu)建完成后，原則上會完成網(wǎng)絡(luò)布線和連接，結(jié)點(diǎn)間或構(gòu)件間或機(jī)柜間都有相應(yīng)的物理線路構(gòu)成網(wǎng)絡(luò)拓?fù)洌瑢?shí)現(xiàn)系統(tǒng)全局連通和可達(dá)性。由于系統(tǒng)物理特性穩(wěn)定，不會因?yàn)榫W(wǎng)絡(luò)分區(qū)隔離的要求，頻繁調(diào)整網(wǎng)絡(luò)部件的連線。
5.隨著hpc計(jì)算速度從千萬億次級(p級，petascale)向百億億次級(e級，exascale)的不斷提升，系統(tǒng)規(guī)模不斷擴(kuò)展，高性能計(jì)算機(jī)將支持更多的用戶和應(yīng)用，經(jīng)常會出現(xiàn)要求用戶間隔離、應(yīng)用間隔離的應(yīng)用場景，甚至?xí)髥我挥脩舻亩鄠€應(yīng)用間實(shí)現(xiàn)隔離。現(xiàn)代數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化的特點(diǎn)，使得互不信任的用戶之間，既要能夠?qū)崿F(xiàn)隔離，又要能夠依據(jù)用戶的需要對資源進(jìn)行調(diào)整與共享，還要保證服務(wù)的質(zhì)量。因此需要高性能計(jì)算機(jī)系統(tǒng)支持靈活的網(wǎng)絡(luò)分區(qū)隔離機(jī)制，支持全系統(tǒng)規(guī)模虛擬環(huán)境之間的隱私保護(hù)和安全隔離，以及高性能計(jì)算資源彈性擴(kuò)展和高可用。

技術(shù)實(shí)現(xiàn)要素：

6.本發(fā)明要解決的技術(shù)問題：針對現(xiàn)有技術(shù)的上述問題，提供一種用于高性能計(jì)算機(jī)系統(tǒng)的隔離方法及高性能計(jì)算機(jī)系統(tǒng)，本發(fā)明能夠針對高性能計(jì)算機(jī)系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全隔離，在確保高性能計(jì)算資源彈性擴(kuò)展和高可用的前提下保證高性能計(jì)算機(jī)的安全可靠。
7.為了解決上述技術(shù)問題，本發(fā)明采用的技術(shù)方案為：
8.一種用于高性能計(jì)算機(jī)系統(tǒng)的隔離方法，包括進(jìn)行結(jié)點(diǎn)級隔離：
9.s101，為各個計(jì)算結(jié)點(diǎn)配置路由表，在路由表中為該計(jì)算結(jié)點(diǎn)、允許與該計(jì)算結(jié)點(diǎn)通信的其他計(jì)算結(jié)點(diǎn)之間配置有效的路由信息；
10.s102，當(dāng)任意源計(jì)算結(jié)點(diǎn)需要與目標(biāo)計(jì)算結(jié)點(diǎn)進(jìn)行通信時，該源計(jì)算結(jié)點(diǎn)首先根據(jù)配置的路由表來查與目標(biāo)計(jì)算結(jié)點(diǎn)之間是否存在有效的路由信息，若存在有效的路由信息，則源計(jì)算結(jié)點(diǎn)與目標(biāo)計(jì)算結(jié)點(diǎn)進(jìn)行通信，否則源計(jì)算結(jié)點(diǎn)放棄與目標(biāo)計(jì)算結(jié)點(diǎn)進(jìn)行通信。
11.可選地，步驟s102還包括當(dāng)任意目標(biāo)計(jì)算結(jié)點(diǎn)收到來自源計(jì)算結(jié)點(diǎn)的報(bào)文時，該目標(biāo)計(jì)算結(jié)點(diǎn)首先根據(jù)配置的路由表來查與源計(jì)算結(jié)點(diǎn)之間是否存在有效的路由信息，若存在有效的路由信息，則接收來自源計(jì)算結(jié)點(diǎn)的報(bào)文；否則拒收來自源計(jì)算結(jié)點(diǎn)的報(bào)文。
12.可選地，步驟s101中還包括為高性能計(jì)算機(jī)系統(tǒng)的各個交換結(jié)點(diǎn)配置路由表，在路由表中為允許通信的計(jì)算結(jié)點(diǎn)之間配置有效的路由信息；步驟s102中還包括；在交換結(jié)點(diǎn)收到通信的報(bào)文時，根據(jù)報(bào)文中的源計(jì)算節(jié)點(diǎn)、目標(biāo)計(jì)算結(jié)點(diǎn)是否在路由表中查詢是否存在有效的路由信息，若存在有效的路由信息，則繼續(xù)將該報(bào)文轉(zhuǎn)發(fā)至目標(biāo)計(jì)算結(jié)點(diǎn)，否則丟棄該報(bào)文。
13.可選地，所述配置路由表時，還包括首先確定各個計(jì)算結(jié)點(diǎn)對應(yīng)的分區(qū)，每一個計(jì)算結(jié)點(diǎn)對應(yīng)一個或者多個分區(qū)，且僅為作為i/o結(jié)點(diǎn)或全局結(jié)點(diǎn)的計(jì)算結(jié)點(diǎn)對應(yīng)多個分區(qū)；然后配置路由表的路由信息以允許相同分區(qū)的計(jì)算結(jié)點(diǎn)通信、禁止不同分區(qū)的計(jì)算結(jié)點(diǎn)通信，從而使得對應(yīng)多個分區(qū)的計(jì)算結(jié)點(diǎn)作為i/o結(jié)點(diǎn)或全局結(jié)點(diǎn)實(shí)現(xiàn)多個分區(qū)的計(jì)算結(jié)點(diǎn)的全局互連。
14.可選地，所述配置路由表的路由信息包括配置有效的路由鏈路和網(wǎng)絡(luò)出口。
15.可選地，所述配置路由表的路由信息以允許相同分區(qū)的計(jì)算結(jié)點(diǎn)通信、禁止不同
分區(qū)的計(jì)算結(jié)點(diǎn)通信是指僅配置相同分區(qū)的計(jì)算結(jié)點(diǎn)的路由信息以允許相同分區(qū)的計(jì)算結(jié)點(diǎn)通信、不配置不同分區(qū)的計(jì)算結(jié)點(diǎn)的路由信息以禁止不同分區(qū)的計(jì)算結(jié)點(diǎn)通信；或者為配置相同分區(qū)的計(jì)算結(jié)點(diǎn)的路由信息并設(shè)置為有效狀態(tài)以允許相同分區(qū)的計(jì)算結(jié)點(diǎn)通信、配置不同分區(qū)的計(jì)算結(jié)點(diǎn)的路由信息并設(shè)置為有效狀態(tài)以禁止不同分區(qū)的計(jì)算結(jié)點(diǎn)通信。
16.可選地，還包括進(jìn)行拓?fù)浼壐綦x：基于高性能計(jì)算機(jī)系統(tǒng)的計(jì)算結(jié)點(diǎn)的網(wǎng)絡(luò)接口芯片或高性能計(jì)算機(jī)系統(tǒng)的路由交換芯片中配置鏈路使能功能，使能或關(guān)斷指定的網(wǎng)絡(luò)端口，將該網(wǎng)絡(luò)端口所連接的物理線路從邏輯或物理上斷開以實(shí)現(xiàn)高性能計(jì)算機(jī)系統(tǒng)的拓?fù)浼壐綦x。
17.可選地，所述實(shí)現(xiàn)高性能計(jì)算機(jī)系統(tǒng)的拓?fù)浼壐綦x包括對高性能計(jì)算機(jī)系統(tǒng)的機(jī)柜間物理線路的隔離、機(jī)框間物理線路的隔離兩者中的至少一種。
18.可選地，還包括進(jìn)行用戶級隔離：在計(jì)算結(jié)點(diǎn)上部署虛擬機(jī)，每個虛擬機(jī)運(yùn)行獨(dú)立的操作系統(tǒng)、且具有獨(dú)立的存儲空間和i/o空間，通過虛擬機(jī)實(shí)現(xiàn)高性能計(jì)算機(jī)系統(tǒng)的用戶級隔離。
19.可選地，所述通過虛擬機(jī)實(shí)現(xiàn)用戶級隔離時，還包括：在單個計(jì)算結(jié)點(diǎn)上部署的虛擬機(jī)小于設(shè)定閾值時，為該計(jì)算結(jié)點(diǎn)上的每一個虛擬機(jī)分配獨(dú)立的虛擬網(wǎng)卡以實(shí)現(xiàn)虛擬機(jī)間的通信隔離，且每個虛擬網(wǎng)卡使用獨(dú)立的寄存器配置空間以實(shí)現(xiàn)虛擬網(wǎng)卡之間的通信隔離，各個虛擬機(jī)對應(yīng)的虛擬網(wǎng)卡之間的通信通過上層交換實(shí)現(xiàn)；在單個計(jì)算結(jié)點(diǎn)上部署的虛擬機(jī)大于等于設(shè)定閾值時，為該計(jì)算結(jié)點(diǎn)上的虛擬機(jī)分配公用的一個或多個虛擬網(wǎng)卡，至少兩個虛擬機(jī)之間通過虛擬交換機(jī)vswitch以實(shí)現(xiàn)對同一虛擬網(wǎng)卡的復(fù)用，且該計(jì)算結(jié)點(diǎn)通過網(wǎng)絡(luò)接口芯片的虛擬局域網(wǎng)來從硬件實(shí)現(xiàn)虛擬網(wǎng)卡間的流量隔離和保護(hù)。
20.此外，本發(fā)明還提供一種用于應(yīng)用前述的用于高性能計(jì)算機(jī)系統(tǒng)的隔離方法的高性能計(jì)算機(jī)系統(tǒng)，包括一個或多個機(jī)柜，所述機(jī)柜包含一個或多個機(jī)框，所述機(jī)框包含電源模塊和一個或多個構(gòu)件，所述構(gòu)件包括通過機(jī)框背板連接的多個板卡，所述多個板卡包括計(jì)算板卡和通信板卡，每一個計(jì)算板卡上設(shè)有多個計(jì)算結(jié)點(diǎn)，所述通信板卡上設(shè)有用于將計(jì)算節(jié)點(diǎn)接入高性能計(jì)算機(jī)系統(tǒng)的網(wǎng)絡(luò)接口芯片，以及用于實(shí)現(xiàn)計(jì)算節(jié)點(diǎn)之間路由交換的路由交換芯片，且通信板卡的路由交換芯片之間通過物理線路構(gòu)成網(wǎng)絡(luò)拓?fù)洹?br/>21.和現(xiàn)有技術(shù)相比，本發(fā)明主要具有下述優(yōu)點(diǎn)：
22.1、本發(fā)明包括針對高性能計(jì)算機(jī)系統(tǒng)進(jìn)行結(jié)點(diǎn)級隔離，包括為各個計(jì)算結(jié)點(diǎn)配置路由表，在路由表中為該計(jì)算結(jié)點(diǎn)、允許與該計(jì)算結(jié)點(diǎn)通信的其他計(jì)算結(jié)點(diǎn)之間配置有效的路由信息；當(dāng)任意源計(jì)算結(jié)點(diǎn)需要與目標(biāo)計(jì)算結(jié)點(diǎn)進(jìn)行通信時，該源計(jì)算結(jié)點(diǎn)首先根據(jù)配置的路由表來查與目標(biāo)計(jì)算結(jié)點(diǎn)之間是否存在有效的路由信息，若存在有效的路由信息，則源計(jì)算結(jié)點(diǎn)與目標(biāo)計(jì)算結(jié)點(diǎn)進(jìn)行通信，否則源計(jì)算結(jié)點(diǎn)放棄與目標(biāo)計(jì)算結(jié)點(diǎn)進(jìn)行通信。本發(fā)明提供基于路由配置的結(jié)點(diǎn)級隔離方法，通過路由表配置管理，在保持全局物理連通的情況下，通過路由配置，將系統(tǒng)靈活地劃分為不同分區(qū)，分區(qū)間相互隔離，結(jié)點(diǎn)間無法通信，實(shí)現(xiàn)任意結(jié)點(diǎn)間的通信隔離。基于路由配置的結(jié)點(diǎn)級分區(qū)隔離機(jī)制，較拓?fù)涓綦x更具靈活性，對結(jié)點(diǎn)間的物理位置沒有要求。另外，基于路由配置的分區(qū)隔離機(jī)制，通常以軟件配置路由表方式實(shí)現(xiàn)，支持動態(tài)配置，較拓?fù)涓綦x更具靈活性，對結(jié)點(diǎn)間的物理位置沒有要求。
23.2、適用范圍廣。隨著高性能計(jì)算與云計(jì)算、大數(shù)據(jù)、人工智能的融合創(chuàng)新，高性能計(jì)算與云計(jì)算已經(jīng)深度結(jié)合，網(wǎng)絡(luò)隔離技術(shù)既要滿足高性能計(jì)算機(jī)中心化設(shè)計(jì)的要求，又要滿足數(shù)據(jù)中心虛擬化要求，本發(fā)明包括針對高性能計(jì)算機(jī)系統(tǒng)進(jìn)行結(jié)點(diǎn)級隔離，能夠針對高性能計(jì)算機(jī)系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全隔離，在確保高性能計(jì)算資源彈性擴(kuò)展和高可用的前提下保證高性能計(jì)算機(jī)的安全可靠。
24.3、本發(fā)明還可以進(jìn)一步結(jié)合拓?fù)浼壐綦x、用戶級隔離，以實(shí)現(xiàn)按隔離粒度從大到小分為拓?fù)浼壐綦x、結(jié)點(diǎn)級隔離、用戶級隔離三個層次，提供多種網(wǎng)絡(luò)分區(qū)隔離機(jī)制，可以根據(jù)系統(tǒng)、用戶及應(yīng)用需求，聯(lián)合使用，從而支持不同粒度、不同強(qiáng)度的動靜結(jié)合的網(wǎng)絡(luò)分區(qū)隔離機(jī)制，支持全系統(tǒng)規(guī)模虛擬環(huán)境之間的隱私保護(hù)和安全隔離，以及高性能計(jì)算資源彈性擴(kuò)展和高可用，以實(shí)現(xiàn)動靜態(tài)相結(jié)合的靈活的網(wǎng)絡(luò)分區(qū)隔離機(jī)制，具有靈活性強(qiáng)的優(yōu)點(diǎn)。
附圖說明
25.圖1為本發(fā)明實(shí)施例中進(jìn)行結(jié)點(diǎn)級隔離的流程示意圖。
26.圖2為本發(fā)明實(shí)施例中路由表的路由信息配置實(shí)例。
27.圖3為本發(fā)明實(shí)施例中拓?fù)浼壐綦x的示意圖。
28.圖4為本發(fā)明實(shí)施例中用戶級隔離的虛擬化原理示意圖。
29.圖5為本發(fā)明實(shí)施例中多種粒度的隔離的網(wǎng)絡(luò)管理人員的操作流程示意圖。
具體實(shí)施方式
30.如圖1所示，本實(shí)施例用于高性能計(jì)算機(jī)系統(tǒng)的隔離方法包括進(jìn)行結(jié)點(diǎn)級隔離：
31.s101，為各個計(jì)算結(jié)點(diǎn)配置路由表，在路由表中為該計(jì)算結(jié)點(diǎn)、允許與該計(jì)算結(jié)點(diǎn)通信的其他計(jì)算結(jié)點(diǎn)之間配置有效的路由信息；
32.s102，當(dāng)任意源計(jì)算結(jié)點(diǎn)需要與目標(biāo)計(jì)算結(jié)點(diǎn)進(jìn)行通信時，該源計(jì)算結(jié)點(diǎn)首先根據(jù)配置的路由表來查與目標(biāo)計(jì)算結(jié)點(diǎn)之間是否存在有效的路由信息，若存在有效的路由信息，則源計(jì)算結(jié)點(diǎn)與目標(biāo)計(jì)算結(jié)點(diǎn)進(jìn)行通信，否則源計(jì)算結(jié)點(diǎn)放棄與目標(biāo)計(jì)算結(jié)點(diǎn)進(jìn)行通信。
33.為了進(jìn)一步提升結(jié)點(diǎn)級隔離的安全性，作為一種可選的實(shí)施方式，步驟s102還包括當(dāng)任意目標(biāo)計(jì)算結(jié)點(diǎn)收到來自源計(jì)算結(jié)點(diǎn)的報(bào)文時，該目標(biāo)計(jì)算結(jié)點(diǎn)首先根據(jù)配置的路由表來查與源計(jì)算結(jié)點(diǎn)之間是否存在有效的路由信息，若存在有效的路由信息，則接收來自源計(jì)算結(jié)點(diǎn)的報(bào)文；否則拒收來自源計(jì)算結(jié)點(diǎn)的報(bào)文。
34.為了進(jìn)一步提升結(jié)點(diǎn)級隔離的安全性，作為一種可選的實(shí)施方式，本實(shí)施例步驟s101中還包括為高性能計(jì)算機(jī)系統(tǒng)的各個交換結(jié)點(diǎn)配置路由表，在路由表中為允許通信的計(jì)算結(jié)點(diǎn)之間配置有效的路由信息；步驟s102中還包括；在交換結(jié)點(diǎn)收到通信的報(bào)文時，根據(jù)報(bào)文中的源計(jì)算節(jié)點(diǎn)、目標(biāo)計(jì)算結(jié)點(diǎn)是否在路由表中查詢是否存在有效的路由信息，若存在有效的路由信息，則繼續(xù)將該報(bào)文轉(zhuǎn)發(fā)至目標(biāo)計(jì)算結(jié)點(diǎn)，否則丟棄該報(bào)文。通過上述方式，從計(jì)算結(jié)點(diǎn)、交換結(jié)點(diǎn)兩個維度實(shí)現(xiàn)了網(wǎng)絡(luò)的隔離，更加安全可靠。
35.為了簡化路由表配置、提升路由表配置的效果，本實(shí)施例中配置路由表時，還包括首先確定各個計(jì)算結(jié)點(diǎn)對應(yīng)的分區(qū)，每一個計(jì)算結(jié)點(diǎn)對應(yīng)一個或者多個分區(qū)，且僅為作為
i/o結(jié)點(diǎn)或全局結(jié)點(diǎn)的計(jì)算結(jié)點(diǎn)對應(yīng)多個分區(qū)；然后配置路由表的路由信息以允許相同分區(qū)的計(jì)算結(jié)點(diǎn)通信、禁止不同分區(qū)的計(jì)算結(jié)點(diǎn)通信，從而使得對應(yīng)多個分區(qū)的計(jì)算結(jié)點(diǎn)作為i/o結(jié)點(diǎn)或全局結(jié)點(diǎn)實(shí)現(xiàn)多個分區(qū)的計(jì)算結(jié)點(diǎn)的全局互連。基于路由配置的結(jié)點(diǎn)級分區(qū)隔離機(jī)制，較拓?fù)涓綦x更具靈活性，對計(jì)算結(jié)點(diǎn)間的物理位置沒有要求。一個結(jié)點(diǎn)可以屬于1個分區(qū)，也可以所以多個分區(qū)，后者通常針對i/o結(jié)點(diǎn)或全局結(jié)點(diǎn)。基于路由配置的分區(qū)隔離機(jī)制，通常以軟件配置路由表方式實(shí)現(xiàn)，支持動態(tài)配置。在保持全局物理連通的情況下，通過路由配置，將系統(tǒng)靈活地劃分為不同分區(qū)，分區(qū)間相互隔離，結(jié)點(diǎn)間無法通信。基于路由配置的結(jié)點(diǎn)級分區(qū)隔離機(jī)制，通常以軟件配置路由表方式實(shí)現(xiàn)，支持動態(tài)配置，較拓?fù)涓綦x更具靈活性，對結(jié)點(diǎn)間的物理位置沒有要求。通過上述方法，只要為各個計(jì)算節(jié)點(diǎn)賦予分區(qū)的標(biāo)記即可實(shí)現(xiàn)路由表配置，即可利用程序自動根據(jù)分區(qū)的標(biāo)記來生成路由表配置，從而可有效達(dá)到簡化路由表配置、提升路由表配置的目的。作為一種可選的實(shí)施方式，利用程序自動根據(jù)分區(qū)的標(biāo)記來生成路由表配置包括：
36.s201，從高性能計(jì)算機(jī)系統(tǒng)中的計(jì)算結(jié)點(diǎn)集合中遍歷選擇一個當(dāng)前計(jì)算結(jié)點(diǎn)，若全部遍歷選擇結(jié)束，則結(jié)束并退出；否則，跳轉(zhuǎn)步驟s202；
37.s202，讀取當(dāng)前計(jì)算結(jié)點(diǎn)被賦予的分區(qū)信息，若分區(qū)信息為空，則結(jié)束并退出；否則，將當(dāng)前計(jì)算結(jié)點(diǎn)被賦予的分區(qū)生成分區(qū)集合(例如生成數(shù)組)，跳轉(zhuǎn)步驟s203；
38.s203，從分區(qū)集合中遍歷選擇一個當(dāng)前分區(qū)，若全部遍歷選擇結(jié)束，則跳轉(zhuǎn)步驟s201；否則，跳轉(zhuǎn)步驟s204；
39.s204，獲取被賦予的當(dāng)前分區(qū)的所有其他計(jì)算結(jié)點(diǎn)，針對每一個被賦予的當(dāng)前分區(qū)的所有其他計(jì)算結(jié)點(diǎn)：根據(jù)當(dāng)前計(jì)算結(jié)點(diǎn)、被賦予的當(dāng)前分區(qū)的所有其他計(jì)算結(jié)點(diǎn)生成路由信息，并將路由信息分別寫入當(dāng)前計(jì)算結(jié)點(diǎn)、每一個被賦予的當(dāng)前分區(qū)的所有其他計(jì)算結(jié)點(diǎn)，以及交換節(jié)點(diǎn)的路由表中(上述路由信息的配置的三種行為，可根據(jù)前文結(jié)點(diǎn)級隔離的具體方式來進(jìn)行選擇)；跳轉(zhuǎn)步驟s203。
40.作為一種可選的實(shí)施方式，本實(shí)施例中配置路由表的路由信息以允許相同分區(qū)的計(jì)算結(jié)點(diǎn)通信、禁止不同分區(qū)的計(jì)算結(jié)點(diǎn)通信是指僅配置相同分區(qū)的計(jì)算結(jié)點(diǎn)的路由信息以允許相同分區(qū)的計(jì)算結(jié)點(diǎn)通信、不配置不同分區(qū)的計(jì)算結(jié)點(diǎn)的路由信息以禁止不同分區(qū)的計(jì)算結(jié)點(diǎn)通信；本實(shí)施例中，配置路由表的路由信息包括配置有效的路由鏈路和網(wǎng)絡(luò)出口，通過路由鏈路和網(wǎng)絡(luò)出口來實(shí)現(xiàn)兩個計(jì)算結(jié)點(diǎn)之間的路由信息，可方便實(shí)現(xiàn)兩個計(jì)算結(jié)點(diǎn)之間的路由通信。此外，考慮到高性能計(jì)算機(jī)系統(tǒng)中計(jì)算結(jié)點(diǎn)眾多(例如為十萬級別)，因此要生成一次路由信息需要消耗一定時間。為了提升高性能計(jì)算機(jī)系統(tǒng)動態(tài)調(diào)整配置路由表的效率，作為另一種可選的實(shí)施方式，本實(shí)施例中配置路由表的路由信息以允許相同分區(qū)的計(jì)算結(jié)點(diǎn)通信、禁止不同分區(qū)的計(jì)算結(jié)點(diǎn)通信是指為配置相同分區(qū)的計(jì)算結(jié)點(diǎn)的路由信息并設(shè)置為有效狀態(tài)以允許相同分區(qū)的計(jì)算結(jié)點(diǎn)通信、配置不同分區(qū)的計(jì)算結(jié)點(diǎn)的路由信息并設(shè)置為有效狀態(tài)以禁止不同分區(qū)的計(jì)算結(jié)點(diǎn)通信。
41.如圖2所示，針對結(jié)點(diǎn)1～結(jié)點(diǎn)n共n個計(jì)算結(jié)點(diǎn)，通過配置結(jié)點(diǎn)1與結(jié)點(diǎn)2至結(jié)點(diǎn)n間的路由表，實(shí)現(xiàn)任意計(jì)算結(jié)點(diǎn)間的通信隔離。結(jié)點(diǎn)1的路由表中定義結(jié)點(diǎn)1到其它結(jié)點(diǎn)的路由鏈路和網(wǎng)絡(luò)出口。當(dāng)允許結(jié)點(diǎn)1和結(jié)點(diǎn)n通信時，可以配置結(jié)點(diǎn)對間的路由，如圖2中非陰影部分所示；當(dāng)不允許結(jié)點(diǎn)1和結(jié)點(diǎn)k通信時，可以不配置結(jié)點(diǎn)對間的路由或配置為無效，當(dāng)網(wǎng)絡(luò)中出現(xiàn)結(jié)點(diǎn)1和結(jié)點(diǎn)k的通信報(bào)文時，由于無法獲得可用通信路由，該網(wǎng)絡(luò)報(bào)文將會被
丟棄，實(shí)現(xiàn)結(jié)點(diǎn)1和結(jié)點(diǎn)k間的網(wǎng)絡(luò)阻斷，如圖2中陰影部分所示。
42.此外，作為對結(jié)點(diǎn)級隔離的進(jìn)一步補(bǔ)充，本實(shí)施例方法還包括進(jìn)行拓?fù)浼壐綦x：基于高性能計(jì)算機(jī)系統(tǒng)的計(jì)算結(jié)點(diǎn)的網(wǎng)絡(luò)接口芯片或高性能計(jì)算機(jī)系統(tǒng)的路由交換芯片中配置鏈路使能功能，使能或關(guān)斷指定的網(wǎng)絡(luò)端口，將該網(wǎng)絡(luò)端口所連接的物理線路從邏輯或物理上斷開以實(shí)現(xiàn)拓?fù)涓綦x。具體地，可在網(wǎng)絡(luò)接口芯片和路由交換芯片中配置鏈路使能功能，通過配置鏈路serdes、鏈路狀態(tài)，使能或關(guān)斷某個網(wǎng)絡(luò)端口，即便兩個端口間有物理線路連接，也可以在邏輯上關(guān)斷該線路，如圖3所示，第一機(jī)柜和第一交換機(jī)相連，第二機(jī)柜和第二交換機(jī)相連，第一交換機(jī)和第二交換機(jī)之間通過物理線路連接，通過拓?fù)浼壐綦x可實(shí)現(xiàn)第一交換機(jī)和第二交換機(jī)之間物理線路的斷開，從而實(shí)現(xiàn)拓?fù)浼壐綦x。
43.實(shí)現(xiàn)高性能計(jì)算機(jī)系統(tǒng)的拓?fù)浼壐綦x包括對高性能計(jì)算機(jī)系統(tǒng)的機(jī)柜間物理線路的隔離、機(jī)框間物理線路的隔離兩者中的至少一種。例如，高性能計(jì)算機(jī)系統(tǒng)的網(wǎng)絡(luò)拓?fù)渖蟽蓚€機(jī)柜(第一機(jī)柜、第二機(jī)柜)間通過交換機(jī)(第一交換機(jī)、第二交換機(jī))間的連接實(shí)現(xiàn)連通，但可以通過鏈路配置，關(guān)閉機(jī)柜間的邏輯鏈路，實(shí)現(xiàn)機(jī)柜間的網(wǎng)絡(luò)分區(qū)隔離。該分區(qū)隔離機(jī)制用于拓?fù)浼壐綦x，實(shí)現(xiàn)機(jī)柜間隔離，機(jī)框間隔離，甚至結(jié)點(diǎn)間隔離。此類隔離機(jī)制可實(shí)現(xiàn)與物理鏈路隔離同等的效果，分區(qū)隔離能力強(qiáng)，可靜態(tài)配置，也可通過軟件進(jìn)行動態(tài)配置。
44.對于大規(guī)模網(wǎng)絡(luò)應(yīng)用而言，拓?fù)浼壐綦x和結(jié)點(diǎn)級隔離的粒度仍相對較粗，進(jìn)一步的需求需要實(shí)現(xiàn)同一計(jì)算結(jié)點(diǎn)上運(yùn)行的多個應(yīng)用程序間的隔離。而且，對計(jì)算結(jié)點(diǎn)而言，基于虛擬機(jī)的資源分配與調(diào)度機(jī)制已相對較為成熟。每個虛擬機(jī)運(yùn)行獨(dú)立的操作系統(tǒng)，有獨(dú)立的存儲空間和i/o空間，虛擬機(jī)間相對隔離，無法直接訪問相互間的資源。因此，該類隔離需求可以通過網(wǎng)絡(luò)虛擬化能力來實(shí)現(xiàn)用戶級隔離。因此，作為對拓?fù)浼壐綦x和結(jié)點(diǎn)級隔離的進(jìn)一步補(bǔ)充，本實(shí)施例方法還包括進(jìn)行用戶級隔離：在計(jì)算結(jié)點(diǎn)上部署虛擬機(jī)，每個虛擬機(jī)運(yùn)行獨(dú)立的操作系統(tǒng)、且具有獨(dú)立的存儲空間和i/o空間，通過虛擬機(jī)實(shí)現(xiàn)用戶級隔離。
45.用戶級隔離實(shí)現(xiàn)要求高性能計(jì)算機(jī)系統(tǒng)的網(wǎng)絡(luò)接口芯片和路由交換芯片均支持網(wǎng)絡(luò)虛擬化功能。網(wǎng)絡(luò)接口芯片的主機(jī)接口支持sr-iov(single root i/o virtualization，單根i/o虛擬化)功能，在單一網(wǎng)卡中支持多個以太網(wǎng)虛擬網(wǎng)卡和數(shù)個虛擬管理接口。每個虛擬網(wǎng)卡使用獨(dú)立的寄存器配置空間，實(shí)現(xiàn)虛擬網(wǎng)卡間的通信隔離，虛擬網(wǎng)卡間通信仍需要通過上層交換來實(shí)現(xiàn)。
46.本實(shí)施例中，通過虛擬機(jī)實(shí)現(xiàn)用戶級隔離時，還包括在單個計(jì)算結(jié)點(diǎn)上部署的虛擬機(jī)小于設(shè)定閾值時，為該計(jì)算結(jié)點(diǎn)上的每一個虛擬機(jī)分配獨(dú)立的虛擬網(wǎng)卡以實(shí)現(xiàn)虛擬機(jī)間的通信隔離，且每個虛擬網(wǎng)卡使用獨(dú)立的寄存器配置空間以實(shí)現(xiàn)虛擬網(wǎng)卡之間的通信隔離，各個虛擬機(jī)對應(yīng)的虛擬網(wǎng)卡之間的通信通過上層交換實(shí)現(xiàn)；在單個計(jì)算結(jié)點(diǎn)上部署的虛擬機(jī)大于等于設(shè)定閾值時，為該計(jì)算結(jié)點(diǎn)上的虛擬機(jī)分配公用的一個或多個虛擬網(wǎng)卡，至少兩個虛擬機(jī)之間通過虛擬交換機(jī)vswitch以實(shí)現(xiàn)對同一虛擬網(wǎng)卡的復(fù)用，且該計(jì)算結(jié)點(diǎn)通過網(wǎng)絡(luò)接口芯片的虛擬局域網(wǎng)來從硬件實(shí)現(xiàn)虛擬網(wǎng)卡間的流量隔離和保護(hù)。當(dāng)結(jié)點(diǎn)支持的虛擬機(jī)規(guī)模較大時，虛擬機(jī)之間通過vswitch機(jī)制復(fù)用虛擬網(wǎng)卡，網(wǎng)絡(luò)接口芯片支持vlan和vxlan兩種虛擬機(jī)局域網(wǎng)技術(shù)，通過硬件實(shí)現(xiàn)虛擬網(wǎng)卡間的流量隔離和保護(hù)。通過網(wǎng)絡(luò)接口芯片和路由交換芯片的虛擬化功能，實(shí)現(xiàn)用戶虛擬機(jī)級的網(wǎng)絡(luò)分區(qū)隔離。此類隔離通過相應(yīng)的網(wǎng)絡(luò)配置管理軟件動態(tài)實(shí)現(xiàn)，粒度更小，靈活性更高，可以實(shí)現(xiàn)用戶無感知的通
信隔離。
47.如圖4所示，基于網(wǎng)絡(luò)接口芯片主機(jī)接口的單根io虛擬化(single-root i/o virtualization，sr-iov)功能，在單一網(wǎng)絡(luò)接口芯片中支持m個以太網(wǎng)虛擬網(wǎng)卡和n個虛擬管理接口，m和n為自然數(shù)；每個虛擬網(wǎng)卡使用獨(dú)立的寄存器配置空間，實(shí)現(xiàn)虛擬網(wǎng)卡間的通信隔離，虛擬網(wǎng)卡間通過交換網(wǎng)絡(luò)來實(shí)現(xiàn)通信。
48.綜上所述，本實(shí)施例方法支持拓?fù)浼墶⒔Y(jié)點(diǎn)級、用戶級的層次化網(wǎng)絡(luò)隔離，按隔離粒度從大到小分為拓?fù)浼壐綦x、結(jié)點(diǎn)級隔離、用戶級隔離三個層次。本發(fā)明能夠通過硬件實(shí)現(xiàn)靜態(tài)硬分區(qū)隔離，也可以通過軟件實(shí)現(xiàn)動態(tài)分區(qū)隔離，根據(jù)應(yīng)用需求不同，支持不同粒度、不同強(qiáng)度的分區(qū)隔離，實(shí)現(xiàn)靈活的高性能計(jì)算機(jī)系統(tǒng)網(wǎng)絡(luò)分區(qū)隔離機(jī)制，支持全系統(tǒng)規(guī)模虛擬環(huán)境之間的隱私保護(hù)和安全隔離，以及高性能計(jì)算資源彈性擴(kuò)展和高可用。網(wǎng)絡(luò)管理人員根據(jù)系統(tǒng)、用戶及應(yīng)用需求，設(shè)置隔離要求，選擇拓?fù)浼壐綦x、結(jié)點(diǎn)級隔離或用戶級隔離。拓?fù)浼壐綦x指高性能計(jì)算機(jī)系統(tǒng)中一部分單元或結(jié)點(diǎn)組和另一部分單元間或結(jié)點(diǎn)組物理隔離，如機(jī)柜間隔離、機(jī)框間隔離；結(jié)點(diǎn)級隔離指高性能計(jì)算機(jī)系統(tǒng)中一部分結(jié)點(diǎn)和另一部分結(jié)點(diǎn)間隔離，如機(jī)框內(nèi)結(jié)點(diǎn)間隔離；用戶級隔離指運(yùn)行在同一結(jié)點(diǎn)上的多個用戶程序間的網(wǎng)絡(luò)分區(qū)隔離；根據(jù)分區(qū)隔離粒度的要求選擇拓?fù)浼壐綦x、結(jié)點(diǎn)級隔離、用戶級隔離中的一種或多種隔離方法。拓?fù)浼壐綦x實(shí)現(xiàn)包括在網(wǎng)絡(luò)接口芯片和路由交換芯片中配置鏈路使能功能，通過配置鏈路serdes、鏈路狀態(tài)，使能或關(guān)斷某個網(wǎng)絡(luò)端口，實(shí)現(xiàn)拓?fù)涓綦x。結(jié)點(diǎn)級隔離實(shí)現(xiàn)包括在網(wǎng)絡(luò)接口芯片和路由交換芯片中，通過配置路由表來定義結(jié)點(diǎn)對間的傳輸鏈路，實(shí)現(xiàn)任意結(jié)點(diǎn)間的通信隔離。用戶級隔離實(shí)現(xiàn)包括基于網(wǎng)絡(luò)接口芯片和路由交換芯片的網(wǎng)絡(luò)虛擬化功能，實(shí)現(xiàn)用戶虛擬機(jī)級的網(wǎng)絡(luò)分區(qū)隔離。用戶級隔離實(shí)現(xiàn)方法中，在結(jié)點(diǎn)支持的虛擬機(jī)規(guī)模較少時，為每個虛擬機(jī)分配獨(dú)立的虛擬網(wǎng)卡，實(shí)現(xiàn)虛擬機(jī)間的通信隔離；當(dāng)結(jié)點(diǎn)支持的虛擬機(jī)規(guī)模較大時，虛擬機(jī)之間通過虛擬交換機(jī)(virtual switch，vswitch)機(jī)制復(fù)用虛擬網(wǎng)卡，基于網(wǎng)絡(luò)接口芯片的虛擬局域網(wǎng)(virtual local area network，vlan)和虛擬可擴(kuò)展局域網(wǎng)(virtual extensible local area network，vxlan)功能，硬件實(shí)現(xiàn)虛擬網(wǎng)卡間的流量隔離和保護(hù)。拓?fù)浼壐綦x方法可以通過靜態(tài)配置鏈路實(shí)現(xiàn)，也可以通過軟件進(jìn)行動態(tài)配置實(shí)現(xiàn)。結(jié)點(diǎn)級隔離方法以軟件配置路由表方式實(shí)現(xiàn)。用戶級隔離方法通過網(wǎng)絡(luò)配置管理軟件來動態(tài)實(shí)現(xiàn)。本實(shí)施例方法主要具有下述優(yōu)點(diǎn)：1、適用范圍廣。隨著高性能計(jì)算與云計(jì)算、大數(shù)據(jù)、人工智能的融合創(chuàng)新，高性能計(jì)算與云計(jì)算已經(jīng)深度結(jié)合，網(wǎng)絡(luò)隔離技術(shù)既要滿足高性能計(jì)算機(jī)中心化設(shè)計(jì)的要求，又要滿足數(shù)據(jù)中心虛擬化要求，本實(shí)施例提供拓?fù)浼壐綦x、結(jié)點(diǎn)級隔離、用戶級隔離三個層次的網(wǎng)絡(luò)分區(qū)隔離機(jī)制，既支持全系統(tǒng)規(guī)模虛擬環(huán)境之間的隱私保護(hù)和安全隔離，又滿足高性能計(jì)算資源彈性擴(kuò)展和高可用。2、本實(shí)施例能夠?qū)崿F(xiàn)動靜態(tài)相結(jié)合的靈活的網(wǎng)絡(luò)分區(qū)隔離機(jī)制，靈活性強(qiáng)。本實(shí)施例按隔離粒度從大到小分為拓?fù)浼壐綦x、結(jié)點(diǎn)級隔離、用戶級隔離三個層次，提供多種網(wǎng)絡(luò)分區(qū)隔離機(jī)制，可以根據(jù)系統(tǒng)、用戶及應(yīng)用需求，聯(lián)合使用，從而支持不同粒度、不同強(qiáng)度的動靜結(jié)合的網(wǎng)絡(luò)分區(qū)隔離機(jī)制，支持全系統(tǒng)規(guī)模虛擬環(huán)境之間的隱私保護(hù)和安全隔離，以及高性能計(jì)算資源彈性擴(kuò)展和高可用。3、本實(shí)施例提供基于鏈路的拓?fù)浼壐綦x方法，拓?fù)渖蟽蓚€機(jī)柜間通過交換機(jī)間的連接實(shí)現(xiàn)連通，但可以通過鏈路配置，關(guān)閉機(jī)柜間的邏輯鏈路，實(shí)現(xiàn)機(jī)柜間的網(wǎng)絡(luò)分區(qū)隔離。該分區(qū)隔離機(jī)制用于拓?fù)浼壐綦x，實(shí)現(xiàn)機(jī)柜間隔離，機(jī)框間隔離，甚至結(jié)點(diǎn)間隔離。此類隔離機(jī)制可實(shí)現(xiàn)與物理鏈路隔離同等的效果，分區(qū)
隔離能力強(qiáng)，可以靜態(tài)配置，也可以通過軟件進(jìn)行動態(tài)配置。4、本實(shí)施例提供基于路由配置的結(jié)點(diǎn)級隔離方法，通過路由表配置管理，在保持全局物理連通的情況下，通過路由配置，將系統(tǒng)靈活地劃分為不同分區(qū)，分區(qū)間相互隔離，結(jié)點(diǎn)間無法通信，實(shí)現(xiàn)任意結(jié)點(diǎn)間的通信隔離。基于路由配置的結(jié)點(diǎn)級分區(qū)隔離機(jī)制，較拓?fù)涓綦x更具靈活性，對結(jié)點(diǎn)間的物理位置沒有要求。另外，基于路由配置的分區(qū)隔離機(jī)制，通常以軟件配置路由表方式實(shí)現(xiàn)，支持動態(tài)配置，較拓?fù)涓綦x更具靈活性，對結(jié)點(diǎn)間的物理位置沒有要求。5、本實(shí)施例提供基于網(wǎng)絡(luò)虛擬化的用戶級隔離方法，基于網(wǎng)絡(luò)接口芯片和路由交換芯片的網(wǎng)絡(luò)虛擬化功能，實(shí)現(xiàn)用戶虛擬機(jī)級的網(wǎng)絡(luò)分區(qū)隔離。對于大規(guī)模網(wǎng)絡(luò)應(yīng)用，拓?fù)浼壐綦x和結(jié)點(diǎn)級隔離的粒度仍相對較粗，進(jìn)一步的需求需要實(shí)現(xiàn)同一結(jié)點(diǎn)上運(yùn)行的多個應(yīng)用程序間的隔離。用戶級隔離方法通過相應(yīng)的網(wǎng)絡(luò)配置管理軟件來動態(tài)實(shí)現(xiàn)，粒度更小，靈活性更高，可以實(shí)現(xiàn)用戶無感知的通信隔離。總體而言，本實(shí)施例提供了一種軟硬協(xié)同的網(wǎng)絡(luò)分區(qū)隔離機(jī)制，通過硬件實(shí)現(xiàn)靜態(tài)硬分區(qū)隔離，通過軟件實(shí)現(xiàn)動態(tài)分區(qū)隔離，多種網(wǎng)絡(luò)分區(qū)隔離機(jī)制，可以根據(jù)系統(tǒng)、用戶及應(yīng)用需求，聯(lián)合使用，從而支持不同粒度、不同強(qiáng)度的動靜結(jié)合的網(wǎng)絡(luò)分區(qū)隔離機(jī)制。
49.此外，本實(shí)施例還提供一種用于應(yīng)用前述用于高性能計(jì)算機(jī)系統(tǒng)的隔離方法的高性能計(jì)算機(jī)系統(tǒng)，包括一個或多個機(jī)柜，機(jī)柜包含一個或多個機(jī)框，機(jī)框包含電源模塊和一個或多個構(gòu)件，構(gòu)件包括通過機(jī)框背板連接的多個板卡，多個板卡包括計(jì)算板卡和通信板卡，每一個計(jì)算板卡上設(shè)有多個計(jì)算結(jié)點(diǎn)，通信板卡上設(shè)有用于將計(jì)算節(jié)點(diǎn)接入高性能計(jì)算機(jī)系統(tǒng)的網(wǎng)絡(luò)接口芯片，以及用于實(shí)現(xiàn)計(jì)算節(jié)點(diǎn)之間路由交換的路由交換芯片，且通信板卡的路由交換芯片之間通過物理線路構(gòu)成網(wǎng)絡(luò)拓?fù)洌蓪?shí)現(xiàn)高性能計(jì)算機(jī)系統(tǒng)中計(jì)算結(jié)點(diǎn)的全局連通和可達(dá)性。該高性能計(jì)算機(jī)系統(tǒng)形成了板卡-構(gòu)件-機(jī)框-機(jī)柜-系統(tǒng)的層次式集約設(shè)計(jì)結(jié)構(gòu)，由多個機(jī)柜組成，機(jī)柜間通過互連網(wǎng)絡(luò)快速擴(kuò)展為大規(guī)模高性能計(jì)算機(jī)系統(tǒng)；每個機(jī)柜包含多個機(jī)框；每個機(jī)框包含多個構(gòu)件和電源模塊；每個構(gòu)件包含多個板卡，各構(gòu)件通過機(jī)框背板連接；板卡包含計(jì)算板卡、通信板卡、監(jiān)控板卡等，每個計(jì)算板卡上有多個結(jié)點(diǎn)，通信板卡由用于將結(jié)點(diǎn)接入系統(tǒng)的網(wǎng)絡(luò)接口芯片和用于路由交換的路由交換芯片構(gòu)成。系統(tǒng)構(gòu)建完成后，原則上會完成網(wǎng)絡(luò)布線和連接，結(jié)點(diǎn)間或部件間或機(jī)柜間都有相應(yīng)的物理線路構(gòu)成網(wǎng)絡(luò)拓?fù)洌瑢?shí)現(xiàn)系統(tǒng)全局連通和可達(dá)性。由于系統(tǒng)物理特性穩(wěn)定，不會因?yàn)榉謪^(qū)隔離的要求，頻繁調(diào)整網(wǎng)絡(luò)部件的連線。而高性能計(jì)算和云計(jì)算要求高性能計(jì)算機(jī)系統(tǒng)支持靈活的網(wǎng)絡(luò)分區(qū)隔離機(jī)制，支持全系統(tǒng)規(guī)模虛擬環(huán)境之間的隱私保護(hù)和安全隔離，以及高性能計(jì)算資源彈性擴(kuò)展和高可用。此外，為了實(shí)現(xiàn)拓?fù)浼壐綦x，還可以根據(jù)需要在網(wǎng)絡(luò)接口芯片和路由交換芯片中設(shè)置物理開關(guān)，以在網(wǎng)絡(luò)接口芯片和路由交換芯片中配置鏈路使能功能，通過配置鏈路serdes、鏈路狀態(tài)，使能或關(guān)斷某個網(wǎng)絡(luò)端口，達(dá)到從物理上關(guān)斷該線路的目的。
50.以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式，本發(fā)明的保護(hù)范圍并不僅局限于上述實(shí)施例，凡屬于本發(fā)明思路下的技術(shù)方案均屬于本發(fā)明的保護(hù)范圍。應(yīng)當(dāng)指出，對于本技術(shù)領(lǐng)域的普通技術(shù)人員來說，在不脫離本發(fā)明原理前提下的若干改進(jìn)和潤飾，這些改進(jìn)和潤飾也應(yīng)視為本發(fā)明的保護(hù)范圍。

技術(shù)特征：

1.一種用于高性能計(jì)算機(jī)系統(tǒng)的隔離方法，其特征在于，包括進(jìn)行結(jié)點(diǎn)級隔離：s101，為各個計(jì)算結(jié)點(diǎn)配置路由表，在路由表中為該計(jì)算結(jié)點(diǎn)、允許與該計(jì)算結(jié)點(diǎn)通信的其他計(jì)算結(jié)點(diǎn)之間配置有效的路由信息；s102，當(dāng)任意源計(jì)算結(jié)點(diǎn)需要與目標(biāo)計(jì)算結(jié)點(diǎn)進(jìn)行通信時，該源計(jì)算結(jié)點(diǎn)首先根據(jù)配置的路由表來查與目標(biāo)計(jì)算結(jié)點(diǎn)之間是否存在有效的路由信息，若存在有效的路由信息，則源計(jì)算結(jié)點(diǎn)與目標(biāo)計(jì)算結(jié)點(diǎn)進(jìn)行通信，否則源計(jì)算結(jié)點(diǎn)放棄與目標(biāo)計(jì)算結(jié)點(diǎn)進(jìn)行通信。2.根據(jù)權(quán)利要求1所述的用于高性能計(jì)算機(jī)系統(tǒng)的隔離方法，其特征在于，步驟s102還包括當(dāng)任意目標(biāo)計(jì)算結(jié)點(diǎn)收到來自源計(jì)算結(jié)點(diǎn)的報(bào)文時，該目標(biāo)計(jì)算結(jié)點(diǎn)首先根據(jù)配置的路由表來查與源計(jì)算結(jié)點(diǎn)之間是否存在有效的路由信息，若存在有效的路由信息，則接收來自源計(jì)算結(jié)點(diǎn)的報(bào)文；否則拒收來自源計(jì)算結(jié)點(diǎn)的報(bào)文。3.根據(jù)權(quán)利要求2所述的用于高性能計(jì)算機(jī)系統(tǒng)的隔離方法，其特征在于，步驟s101中還包括為高性能計(jì)算機(jī)系統(tǒng)的各個交換結(jié)點(diǎn)配置路由表，在路由表中為允許通信的計(jì)算結(jié)點(diǎn)之間配置有效的路由信息；步驟s102中還包括；在交換結(jié)點(diǎn)收到通信的報(bào)文時，根據(jù)報(bào)文中的源計(jì)算節(jié)點(diǎn)、目標(biāo)計(jì)算結(jié)點(diǎn)是否在路由表中查詢是否存在有效的路由信息，若存在有效的路由信息，則繼續(xù)將該報(bào)文轉(zhuǎn)發(fā)至目標(biāo)計(jì)算結(jié)點(diǎn)，否則丟棄該報(bào)文。4.根據(jù)權(quán)利要求1或2或3所述的用于高性能計(jì)算機(jī)系統(tǒng)的隔離方法，其特征在于，所述配置路由表時，還包括首先確定各個計(jì)算結(jié)點(diǎn)對應(yīng)的分區(qū)，每一個計(jì)算結(jié)點(diǎn)對應(yīng)一個或者多個分區(qū)，且僅為作為i/o結(jié)點(diǎn)或全局結(jié)點(diǎn)的計(jì)算結(jié)點(diǎn)對應(yīng)多個分區(qū)；然后配置路由表的路由信息以允許相同分區(qū)的計(jì)算結(jié)點(diǎn)通信、禁止不同分區(qū)的計(jì)算結(jié)點(diǎn)通信，從而使得對應(yīng)多個分區(qū)的計(jì)算結(jié)點(diǎn)作為i/o結(jié)點(diǎn)或全局結(jié)點(diǎn)實(shí)現(xiàn)多個分區(qū)的計(jì)算結(jié)點(diǎn)的全局互連。5.根據(jù)權(quán)利要求4所述的用于高性能計(jì)算機(jī)系統(tǒng)的隔離方法，其特征在于，所述配置路由表的路由信息以允許相同分區(qū)的計(jì)算結(jié)點(diǎn)通信、禁止不同分區(qū)的計(jì)算結(jié)點(diǎn)通信是指僅配置相同分區(qū)的計(jì)算結(jié)點(diǎn)的路由信息以允許相同分區(qū)的計(jì)算結(jié)點(diǎn)通信、不配置不同分區(qū)的計(jì)算結(jié)點(diǎn)的路由信息以禁止不同分區(qū)的計(jì)算結(jié)點(diǎn)通信；或者為配置相同分區(qū)的計(jì)算結(jié)點(diǎn)的路由信息并設(shè)置為有效狀態(tài)以允許相同分區(qū)的計(jì)算結(jié)點(diǎn)通信、配置不同分區(qū)的計(jì)算結(jié)點(diǎn)的路由信息并設(shè)置為有效狀態(tài)以禁止不同分區(qū)的計(jì)算結(jié)點(diǎn)通信。6.根據(jù)權(quán)利要求1所述的用于高性能計(jì)算機(jī)系統(tǒng)的隔離方法，其特征在于，還包括進(jìn)行拓?fù)浼壐綦x：基于高性能計(jì)算機(jī)系統(tǒng)的計(jì)算結(jié)點(diǎn)的網(wǎng)絡(luò)接口芯片或高性能計(jì)算機(jī)系統(tǒng)的路由交換芯片中配置鏈路使能功能，使能或關(guān)斷指定的網(wǎng)絡(luò)端口，將該網(wǎng)絡(luò)端口所連接的物理線路從邏輯或物理上斷開以實(shí)現(xiàn)高性能計(jì)算機(jī)系統(tǒng)的拓?fù)浼壐綦x。7.根據(jù)權(quán)利要求5所述的用于高性能計(jì)算機(jī)系統(tǒng)的隔離方法，其特征在于，所述實(shí)現(xiàn)高性能計(jì)算機(jī)系統(tǒng)的拓?fù)浼壐綦x包括對高性能計(jì)算機(jī)系統(tǒng)的機(jī)柜間物理線路的隔離、機(jī)框間物理線路的隔離兩者中的至少一種。8.根據(jù)權(quán)利要求1所述的用于高性能計(jì)算機(jī)系統(tǒng)的隔離方法，其特征在于，還包括進(jìn)行用戶級隔離：在計(jì)算結(jié)點(diǎn)上部署虛擬機(jī)，每個虛擬機(jī)運(yùn)行獨(dú)立的操作系統(tǒng)、且具有獨(dú)立的存儲空間和i/o空間，通過虛擬機(jī)實(shí)現(xiàn)高性能計(jì)算機(jī)系統(tǒng)的用戶級隔離。9.根據(jù)權(quán)利要求8所述的用于高性能計(jì)算機(jī)系統(tǒng)的隔離方法，其特征在于，所述通過虛擬機(jī)實(shí)現(xiàn)用戶級隔離時，還包括：在單個計(jì)算結(jié)點(diǎn)上部署的虛擬機(jī)小于設(shè)定閾值時，為該計(jì)
算結(jié)點(diǎn)上的每一個虛擬機(jī)分配獨(dú)立的虛擬網(wǎng)卡以實(shí)現(xiàn)虛擬機(jī)間的通信隔離，且每個虛擬網(wǎng)卡使用獨(dú)立的寄存器配置空間以實(shí)現(xiàn)虛擬網(wǎng)卡之間的通信隔離，各個虛擬機(jī)對應(yīng)的虛擬網(wǎng)卡之間的通信通過上層交換實(shí)現(xiàn)；在單個計(jì)算結(jié)點(diǎn)上部署的虛擬機(jī)大于等于設(shè)定閾值時，為該計(jì)算結(jié)點(diǎn)上的虛擬機(jī)分配公用的一個或多個虛擬網(wǎng)卡，至少兩個虛擬機(jī)之間通過虛擬交換機(jī)以實(shí)現(xiàn)對同一虛擬網(wǎng)卡的復(fù)用，且該計(jì)算結(jié)點(diǎn)通過網(wǎng)絡(luò)接口芯片的虛擬局域網(wǎng)來從硬件實(shí)現(xiàn)虛擬網(wǎng)卡間的流量隔離和保護(hù)。10.一種用于應(yīng)用權(quán)利要求1～9中任意一項(xiàng)所述的用于高性能計(jì)算機(jī)系統(tǒng)的隔離方法的高性能計(jì)算機(jī)系統(tǒng)，包括一個或多個機(jī)柜，其特征在于，所述機(jī)柜包含一個或多個機(jī)框，所述機(jī)框包含電源模塊和一個或多個構(gòu)件，所述構(gòu)件包括通過機(jī)框背板連接的多個板卡，所述多個板卡包括計(jì)算板卡和通信板卡，每一個計(jì)算板卡上設(shè)有多個計(jì)算結(jié)點(diǎn)，所述通信板卡上設(shè)有用于將計(jì)算節(jié)點(diǎn)接入高性能計(jì)算機(jī)系統(tǒng)的網(wǎng)絡(luò)接口芯片，以及用于實(shí)現(xiàn)計(jì)算節(jié)點(diǎn)之間路由交換的路由交換芯片，且通信板卡的路由交換芯片之間通過物理線路構(gòu)成網(wǎng)絡(luò)拓?fù)洹?br/>

技術(shù)總結(jié)

本發(fā)明公開了一種用于高性能計(jì)算機(jī)系統(tǒng)的隔離方法及高性能計(jì)算機(jī)系統(tǒng)，本發(fā)明方法包括針對高性能計(jì)算機(jī)系統(tǒng)進(jìn)行結(jié)點(diǎn)級隔離、拓?fù)浼壐綦x以及用戶級別隔離，其中結(jié)點(diǎn)級隔離包括為各個計(jì)算結(jié)點(diǎn)配置路由表，在路由表中為計(jì)算結(jié)點(diǎn)對之間配置有效的路由信息；當(dāng)任意源計(jì)算結(jié)點(diǎn)與目標(biāo)計(jì)算結(jié)點(diǎn)進(jìn)行通信時，首先根據(jù)配置的路由表來查與目標(biāo)計(jì)算結(jié)點(diǎn)之間是否存在有效的路由信息，若存在有效的路由信息，則源計(jì)算結(jié)點(diǎn)與目標(biāo)計(jì)算結(jié)點(diǎn)進(jìn)行通信，否則源計(jì)算結(jié)點(diǎn)放棄與目標(biāo)計(jì)算結(jié)點(diǎn)進(jìn)行通信。本發(fā)明能夠針對高性能計(jì)算機(jī)系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全隔離，在確保高性能計(jì)算資源彈性擴(kuò)展和高可用的前提下保證高性能計(jì)算機(jī)的安全可靠。保證高性能計(jì)算機(jī)的安全可靠。保證高性能計(jì)算機(jī)的安全可靠。