一種基于策略的可擴展網格資源管理機制

摘要：提出了一種基于策略的網格資源管理機制和采用的關鍵技術。通過將網格應用的用戶和資源節點分別進行分類，較好地處理了網格系統中集中與分布的矛盾。引入資源預留的思想來解決散戶的突發批量作業提交。采用集中和分布并重、直接認證和代理認證結合的多策略認證結構，以提高網格安全認證的效率。

關鍵詞：網格資源管理；資源請求代理；虛擬組織；多策略認證；對等網絡

中圖分類號：TP393文獻標志碼：A

文章編號：1001－3695(2007)07－0211－03

0引言

隨著人們對網絡在資源共享、分布計算、空閑資源的收集和利用等方面需求的提高，被認為是下一代互聯網的網格研究受到世界各國的重視。如今網格研究呈現兩個趨勢：一是研究中心由美國向其他國家擴展，如歐盟的EGEE、DATAGrid、EuroGrid，英國的E－Science，德國的D－Grid，亞太地區的ApGrid，日本的Ninf、NAREGI、BioGrid，中國的中國國家網格（China National Grid）、教育科研網格（China Grid）、織女星網格（Vega Grid）等[1~3]；二是研究被越來越多的商業機構關注，并且他們積極參與到研究中，加快了研究的進度，如Sun公司的Grid Engine，還有IBM、Microsoft、HP、Compaq、Intel、SGI、Pfizer、波音公司、福特公司、愛立信（Ericsson）、日立（Hitachi）、寶馬（BMW）等都在構造和試用自己的內部網格[1]。

網格研究中的關鍵技術主要有體系結構、資源管理、任務管理和安全機制等。當前對網格資源管理的研究主要分為兩類，一類是以代理服務器為中心的集中式管理模式；一類是以虛擬組織（Virtual Organization， VO）[4]為代表的分布式模式。本文在設計網格的資源管理機制時，將資源管理和安全機制放在一起考慮，充分考慮安全性與可擴展性之間的平衡，提出了一種基于策略的網格資源管理機制。

1網格資源管理體系和安全體系

1．1網格資源管理體系

網格的資源管理包括資源的發現、描述、組織、定位、調度、分配、確認、監測、更新、進程創建以及信息的發布等其他活動。從結構上來看，主要采用兩種方式，即集中式和分布式。在集中方式中（圖1），用戶主要是通過資源請求代理[5]來獲得所需的節點資源，而網格系統也是通過資源代理來對系統中的資源進行調度和管理。用戶通過資源信息服務器[5]來向系統通報自身的資源狀況，同樣，系統也通過信息服務器來發布系統中資源的動態變化；用戶也可通過信息服務器來實時查詢系統的資源狀況。不同的系統主要是對資源請求代理和信息服務器的組成方式進行了相應的改進，使其更適合于一個具體的網格系統。比如有的系統根據代理在系統中所扮演的不同角色，將資源請求代理分為資源代理、應用代理和經紀人代理[6]。還有的系統將資源請求代理和信息服務器兩者的功能分別叫做資源分發和資源發現，通過數據庫查詢的方法或基于代理（Agent）的方法實現資源的管理[7]，但其實質與基于代理的集中方式還是一樣的。

在分布方式中（圖2），主要是基于虛擬組織[4]的分布式網格資源管理的思想。其出發點是單個網格應用不大可能也沒有必要使用系統中的所有節點為其服務，而且如果某個網格應用需要用到的資源節點比較多。為了協調各節點間的行為，用于通信的開銷也會隨著節點數目增加而急劇增長。因此，當接收到某個網格應用時，資源調度系統首先按照某種策略選擇一個代價相對較小的資源集，然后涉及該網格應用的資源管理就在這個資源集中進行（VO） [8]。為了進一步避免虛擬組織占用的資源規模較大且較為分散， 提高系統性能和降低作業處理的代價，有些系統引入了子虛擬組織（SVO）的概念[9，10]。

1．2網格安全體系

網格的安全體系主要要解決的問題有[11]：①現有系統與技術的集成；②不同主機環境的協同工作；③相互影響的主機環境之間的信任。其結構也主要分為集中式和分布式。集中式的網格安全體系主要有William Johnston等人提出的Akent和美國加州大學L.Pearlman等人提出的CAS (Community Authorization Server)模型[12]。這兩種結構的缺點是對分布式資源的適應性不好，如果一旦資源證書主機或CAS服務器失效，則整個系統就將癱瘓，系統的可靠性較差。分布式的網格安全體系主要有A.Shah等人提出的一種基于Java的網格安全框架——Symphony(交響樂)體系框架。這種安全體系通過代理證書和屬性證書使得用戶之間能夠進行協作，其缺點是對現有安全模型的兼容性不夠[12]。

2基于策略的可擴展網格資源管理機制

2．1新機制提出的思想和可行性

目前的網格應用主要包括網格計算、資源（包括數據庫和設備等）共享、空閑資源的收集和利用等，而人們眼前的網絡是一個容量（包括用戶數和資源數）巨大、異構、動態、資源孤立分散的系統。現實中用戶對網格的需求是多種多樣的，網絡系統的各個組成部分也是千差萬別的。在這種情況下如果只采用一種方式來力求把兩者有機地聯系起來，并且能夠良好地工作，在目前還是比較困難的。因為從第1章的介紹和分析中可以清楚地看到，在集中方式中資源管理的機制比較簡單，安全體系也比較簡單，但實際上又在無形中產生了兩個新的資源孤島——資源信息與調度服務器，以及安全認證服務器，使得整個網格系統的可靠性比較差。而在分布的方式中雖然解決了系統可靠性問題，但其資源管理機制又比較復雜，效率比較低，如何屏蔽千差萬別的本地安全機制也是一個不小的難題。

本文將用戶的需求和資源節點分別進行了分類，從用戶的不同需求出發，結合集中式和分布式兩者的優點，引入P2P網絡在擴展性和靈活性方面的特點，提出了基于策略的可擴展網格安全資源管理機制（圖3）。在這種機制中，本文借鑒股市中的管理辦法，將用戶分為大戶和散戶，對于大戶采用集中的方式。因為大戶的數量相對來說比較穩定，其對擴展性方面的要求較小。對于散戶則采用分布的方式。因為散戶是網格系統中的不穩定因素，其對擴展性方面的要求比較高，所以采用具有某些P2P網絡特征的基于虛擬組織的分布式網格資源管理機制來對散戶資源進行調度。考慮到有些散戶可能的需求，引入資源預留機制[13]來解決散戶突發的批量作業提交。

2．2新機制采用的策略

從圖3可以看到，當用戶提交了一個網格應用后，系統先通過用戶信息來判斷該應用是來自大戶還是散戶，用戶信息為了避免存放在一個固定服務器上導致的可靠性問題，采用了在所有主節點上存放副本的策略。這種做法雖然造成了一定的存儲冗余，但提高了系統的可靠性，這樣的代價還是值得的。當正在使用的主節點Down機時，其他主節點采用隨機的方式迅速接替其作為信息服務器的工作。由于主節點的加入和退出不可能很頻繁，各主節點上的信息采用請求方式進行更新。當某些主節點要加入或退出系統時發出一個信息更新請求，存放在各主節點的信息同時進行更新，從而做到各副本的一致性。對于散戶，由于數量和位置無法確定，采用只要不是大戶，就一律看成散戶的方式。而對于大戶身份的認定，可以根據用戶為系統提供服務和作為客戶向系統申請和接受服務過程中所表現出來的等級來決定。其指標可以根據具體的某個實際網格系統的側重點來設定，主要還是一種靜態的方式，然后根據應用過程中的一些變化采用管理員手工方式或用戶申請、系統審核的方式來進行調整。這樣做的好處一是使得所要存儲的信息量比較小，因為只需要存儲大戶的信息；二是用戶信息比較穩定，查詢和判斷的時間比較短，安全性也比較好。另外，與用戶信息存放在一起的資源預留列表的作用是當某些散戶發生突發的批量作業提交時，通過查詢資源預留列表為其提供及時的服務，從而避免了資源調度系統重新進行資源分配造成的時間延遲，提高了系統的QoS。

2．3新機制的具體實現

當通過查詢信息判斷某一網格應用的用戶為大戶時，采用集中的資源管理機制和安全體系，即代理服務器模式。通常來說，大戶的信譽度均比較高，動態變化較小，用戶數量也較少，但同時用戶對系統的響應時間、服務優先級、安全保障（包括運行結果的安全和通信的安全）等的要求也較高，而這些正好是集中方式的優勢。相應地，為大戶提供服務的節點資源也只是系統中的主節點，因為主節點的穩定性、可靠性、處理能力、安全性等均比較高，是為用戶提供高質量服務的有力保證。而且主節點的數量相對來說比較少，從而各主節點之間和各主節點與代理服務器之間的通信量也比較小，提高了系統的效率和減小了系統受攻擊的概率。為了提高通信的安全性，各主節點之間采用VPN(虛擬專用網)技術進行連接，在各主節點之間建立一條臨時、安全的連接通道，一條穿過雜亂無章的公共網絡的安全、穩定的隧道[14]。在該網中的主節點將不會覺察到公共網絡的存在，仿佛所有的主節點均處于一個網絡中，公共網絡似乎只由本網絡在獨占使用。VPN網絡的參考模型主要有四類[15]：①虛擬租用線路（VLL）；②虛擬專用路由網絡（VPRN）；③虛擬專用撥號網（VPDN）；④虛擬專用LAN片斷（VPLS）。在這里采用VPLS，因為在這種虛擬網中實現的是鏈路層橋接，而不像VPRN那樣采用網絡層轉發。但其組網的靈活性比VPRN要弱一些，不過這對主節點來說影響不大，因為主節點的數量是相對穩定的。不過VPLS有一個最大的好處就是協議完全透明，便于實現多協議傳輸，這對網格這種異構的網絡來說是非常必要的。

目前VPN主要采用四項技術來保證數據傳輸的安全性[15]：

（1）隧道技術（Tunneling）；

（2）加/解密技術（Encryption Decryption）；

（3）密鑰管理技術（Key Management）；

（4）使用者與設備身份認證技術（Authentication）。

若某一網格應用的用戶為散戶時，則采用分布的資源管理機制和安全體系。在這里本文通過引入P2P(Peer－to－Peer)網絡的某些做法來改進基于虛擬組織的分布式網格資源管理機制，目的是提高系統的可擴展性。P2P網絡中的每一個節點（Peer）均是平等的，任何一個節點均能夠共享系統內的資源，Peer間通過直接交換信息來進行信息和服務的共享[16]。雖然P2P網絡的這種特點能使系統的擴展性非常好，但同時也帶來了安全性方面的問題。因為在P2P的安全機制中一般都不進行認證和內容確認，相反卻提供確保匿名和應對信息審查的協議[16]，所以不能簡單地把P2P網絡移植到網格系統中。在改進的機制中網格應用可以通過任意一個非主節點向系統提交作業，該提交任務的節點周期性地向網絡中的其他非主節點報告它的資源現狀，同時發現其鄰居節點的相應信息[16]。每個非主節點均具有全局資源調度、網格信息服務和網格性能預測的能力，通過每個非主節點中各功能部件之間的交互以及虛擬組織中各相關非主節點之間的協商來完成網格系統中散戶的資源調度功能[8]。在安全體系方面，用戶與提交任務的節點之間采用直接認證的方式，與其他節點之間采用代理認證的方式，從而做到單點登錄。這種多策略認證結構實現了用戶直接認證與通過代理來認證的折中思想，提高了網格計算和安全認證的效率[17]。

3結束語

網格資源管理和安全體系是網格領域的核心研究內容，本文在設計網格的資源管理機制的同時充分考慮安全因素，提出了一種基于策略的可擴展網格資源管理機制，通過將網格應用的用戶和資源節點分別進行分類，較好地處理了網格系統中集中與分布的矛盾。并引入資源預留的思想來解決散戶的突發批量作業提交。下一步的工作主要是細化機制中的一些關鍵環節，比如在本文提出的機制中，對用戶和資源節點的分類主要采用的是一種靜態的方式，是否能夠引入經濟模型中的信譽度[18]的概念，從而動態地來對用戶和資源節點進行劃分，使該機制更加完善。 

參考文獻：

［1］羅作民，張景，李軍懷，等.網格計算及其關鍵技術綜述[J].計算機工程與應用，2003，39（30）:18－22.

［2］金海. ChinaGrid 建設目標：最大 最先進 最實用[J].中國教育網絡，2005，4:13－16.

［3］董立平，陳麗萍.網格計算技術研究動向[J].高性能計算技術，2005，173:14－18.

［4］FOSTER I，KESSELMAN C，TUECKE S.The anatomy of the grid:enabling scalable virtual organizations[J].International Journal Supercomputer Applications，2001，15(3):200－222.

［5］鄒德清，金海，韓宗芬，等.HowU 網格資源管理及調度[J].華中科技大學學報：自然科學版，2005，33(8):40－43.

［6］王倩， 劉萍， 肖德寶.基于角色的多Agent的網格資源管理框架與分配策略[J].計算機應用研究，2005，22（6）:100－102.

［7］武秀川，李昊，鞠九濱.基于計算經濟模型改善網格資源分發和發現的性能[J].計算機工程與應用，2005，41（10）:64－66.

［8］馬永征，南凱，閻保平.基于VP的網格資源調度體系[J].計算機工程，2005，31(16):24－26.

［9］KARNIK N M， TRIPATHI A R. Design issues in mobile agent programming systems[J].IEEE Concurrency，1998，6(3):52－61.

［10］王汝傳，韓光法，陳宏偉.網格計算環境下資源管理優化策略研究[J].通信學報，2005，26(7):21－26.

［11］關豪英.初探網格計算中的安全問題[J].邢臺學院學報，2005，20(2):119－120.

［12］嚴建偉，梁力，劉勇.基于分組認證和協作的網格計算安全體系[J].計算機應用研究，2005，22（8）:105－107.

［13］楊長興，呂禎恒.一種統一的資源預留策略[J].計算機工程與應用，2005，14（24）:144－146.

［14］薛麗敏，胡東紅，朱月飛.網格計算分析與安全實現研究[J].電子工程師，2005，31(4):59－61.

［15］雷震甲.網絡工程師教程[M].北京：清華大學出版社，2004:296－343.

［16］曾碧卿，陳志剛.P2P與網格的互補性研究[J].計算機工程與應用，2005，41（11）:132－134.

［17］孟曉明.一種改進的基于多級代理認證的網格安全結構[J].計算機時代，2005（5）:5－13.

［18］馬滿福，吳健，胡正國，等.網格計算資源管理中的信譽度模型[J].計算機應用，2005，25(1):61－64.

注：“本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文”