第四章 网络操作系统的资源共享

第一节 资源管理概念

一，权限分配，用户账号和用户组

1，网络用户，用户组以及它们之间的关系（领会）

• 用户账户是一些信息的集合，这些信息定义了一个用户，在这些信息中，账号或用户名是代表用户（User）的符号名，还包含有口令（密码），组所属关系和一些权限以及许可操作等。
  • 用户名表示网络系统上的用户的身份；用户的权限是授予用户在网络上进行特定的操作，如读，写等；而许可则允许用户使用特定对象，如打印机，文件，目录等。
• 用户组（Group）就是具有相同特征的用户（User）的集合体，它拥有赋予它的一些权限和许可。
  • 组可以创建，加入，删除等。用户组中的成员（即用户）享有相同的权限。
• 工作组（Workgroup）是网络上集合在一个组内的计算机，这些计算机之间可以方便地查找，访问和共享资源。
• 网络操作系统会预先设置好一部分用户组，并分配好了这些组特定的权限和许可，这样管理员无须授予用户管理特权就可以委派其某些任务，这样的用户组称为内置组。
• System组：拥有比Administrators还高的权限，但是该组不允许任何用户的加入，在查看用户组的时候也不会显示出来。系统和系统级的服务正常运行所需要的权限都是靠它赋予的。该组只有一个用户——System。
• 用户基于用户组获得必要的资源访问许可和权限。用户和用户组之间的关系是：
  • 一对一：某个用户可以是某个组的唯一成员。
  • 多对一：多个用户可以是某个唯一组的成员，不归属其他用户组。
  • 一对多：某个用户可以是多个组的成员。
  • 多对多：多个用户对应多个组，并且几个用户可以是归属相同的组。
• 在网络系统中，一个用户组可以是某个计算机的安全数据库的一部分，称为本地用户组（本地组），若是整个网络的安全数据库的一部分，则称为全局用户组（全局组）或通用用户组（通用组）。本地组只在一个节点主机的范围内有效。

2，域，树，林以及它们之间的关系（领会）

• 域。域是一组计算机构成的逻辑组织单元，管理员通过它对网络上的计算机系统进行边界管理。域成员中的计算机有域控制器，域成员服务器和域成员计算机三种（可以是一台或多台物理服务器）。当在该服务器上存放了包含域的所有信息的域数据库时称为域控制器。
• 树。由多个“域”可以组成“域树”，简称“树”。共享同样表结构和权限配置的一些“域”，形成一个连续的名字空间称为“树”。“树”中的“域”通过信任关系连接在一起。多个相关的“树”可以组成一个“林”。
• 林。多个“树“组成了”林“。
• 对权限的管理归纳总结如下
  • 全局组：用户来自于本域，权限适用于全林。
  • 通用组：用户来自于全林，权限适用于全林。
  • 域本地组：用户来自于全林，权限适用于本域。

二，共享资源管理（领会）

• 共享资源管理的首要任务是确保服务器能够安全而有选择地将可以共享的资源进行发布，并确保其能在网络上方便地被查找。
• 对于共享资源，一般有以下几种
  • 硬件资源
    • 包括处理机，存储器，打印机，扫描仪等各种设备，可以由管理员赋予用户适当的权限来使用。
  • 文件和目录
    • 网络操作系统提供了对目录和文件分级访问控制的能力。通常，按用户对文件访问的需求将其分配到相应的用户组，然后再给该用户组分配适当的文件和目录的访问权限。
    • 硬盘作为存储的主要载体既是一个硬件设备，又是文件系统和目录的所在之处，所以，一般不将硬盘作为一个设备单独拿出来共享，而是以文件卷（Volume）的形式出现，或者只以文件夹即目录（Directory）的形式出现。

第二节 硬件资源共享

一，以虚拟设备方式实现硬件资源共享（领会）

• 在网络环境中，用户除了使用本地资源外，还可以通过网络使用其他计算机（服务器）上的资源。在资源使用的过程中，对于用户来说，不需要知道资源的位置，而对于共享资源来说，也不需要知道用户的位置，双方都是透明的，用户只要了解到网络中有自己所需要的资源，并且有资源的使用权限，就可以使用该资源。从这个意义上来说，同一资源可以被多个用户使用，因此称为”资源共享“。由于用户和资源双方都是透明的，所以，资源对用户来讲呈现的是虚拟设备的形式。也就是说，系统呈现的设备不一定都在本地物理可见。

二，以文件服务方式实现硬件资源共享（领会）

• 以文件服务方式实现硬件资源共享实际上是指基于硬盘的文件系统共享。
• 文件服务方式的共享，由管理员创建好文件卷，允许用户将文件存入文件服务器的文件系统中。同时提供对文件创建，打开，读写，修改，删除，关闭以及撤销等操作功能。

三，打印机共享（应用）

• 在网络操作系统中，打印机指物理打印设备的逻辑代表而非物理打印机设备本身。
• 当使用网络打印机时，系统先将打印作业通过计算机重定向到打印服务器上。（打印服务器对用户来讲即是一台虚拟的打印机。对系统来讲就是一个用户和物理打印机的中介）打印服务器利用SPOOLing（假脱机技术）暂存用户的打印作业。当物理打印机空闲时，打印服务器按先来先服务的队列将文本或图形输出到物理打印机上成为纸介材料。
• SPOOLing系统就是外部设备在线同时操作（Simultaneously Peripheril Operating On Line,SPOOLing），也称为假脱机系统。
• 打印机共享的过程就是将网络中的打印机设置为共享，以供所有有使用权限的用户使用。共享打印机所在的节点主机通常是拥有物理打印机的主机并提供打印服务，它可以将网络上传送过来的打印请求实际打印输出。在使用网络打印机时，用户可以不必考虑打印机所处的位置，也不必考虑自己从何处上网。
• 共享打印机的功能：
  1. 支持多个用户同时打印。
  2. 建立连接和拆除连接。
  3. 连接多台打印机作为共享打印机。
  4. 提供多种多样的打印方式。

第三节 网络文件和数据的共享

一，网络文件系统的实现方法（领会）

• 网络文件系统（Network File System）是在普通文件系统基础上，添加网络通信协议而构成的。
• 网络文件系统的应用是通过挂载（mount）和远程过程调用（RPC）实现的。
• 网络文件系统的底层是表示层协议（Presentation Layer Protocol,PLP），在应用上是基于UDP/IP，拥有指定的端口号2049。
• 其实现主要采用远程过程调用（RPC）机制，RPC提供了一组与计算机硬件，操作系统以及低层传送协议无关的存储远程文件的操作。

二，网络文件和数据的共享方式（领会）

• 可以采用数据移动和计算移动两个方式实现文件和数据的共享

1，数据移动文件共享

• 当一个系统A处理数据时，希望使用另一个系统B的数据或文件时，可以采用如下方式传送数据：
  1. 将整个数据文件从B传送到A，A用户以使用本地文件的方式访问该文件。访问结束后，若文件被修改了，再将文件送回B。这种方式适合于系统A访问B的整个文件或其大部分文件的情况。
  2. 只传送用户需要的部分，如果以后用户还需要其他的部分内容，再传送另一部分。访问结束后，把被修改的部分回传系统B。这种方式适合于访问传送文件中较少部分内容的情况。

2，计算移动文件共享

• 当计算相对简单，而计算需要的数据量较大，且计算过程和数据分处异地时，采用计算移动相对简便些，计算移动有两种方法：
  1. 采用远程过程调用的方法。由系统B通过远程过程调用的方式，调用系统A中的相应计算过程，用该过程对数据进行适当处理，处理完成后将处理结果返回系统A。
  2. 系统B向系统A发送一个报文，请求系统A作指定的加工处理；系统A接收到报文后，产生进程执行该请求，一般会将计算进程发送到B对系统B的数据进行加工；当进程完成任务后返回，并将结果以报文的形式回送系统A。

第四节 网络资源共享

一，网络资源共享的实现方法（领会）

• 实现网络上的资源共享，需要合法的用户资格。通常，用户在某个计算机上注册用户，并加入到相关的组或域中。该计算机会将用户信息发送到管理计算机上，由管理计算机决定该用户对资源的访问权限。
• 当用户成功登录到工作组和域之后，用户可以通过网络接口访问共享资源。也可以在命令行下发出命令或在命令行环境下运行批处理命令来访问所需要的网络资源。

二，共享文件的属性

• UNIX共享的文件属性主要有三项，读取，写入和运行。对访问者的权限分配可以是文件的拥有者，同一工作组的成员和其他人。

三，共享的基本原理

• Windows下文件和数据的共享大多数是通过NetBIOS和Windows操作系统下的445号端口实现的，而UNIX系统的文件系统是通过2049端口实现的。

第五节 共享的安全性

一，权限设置（领会）

• 能够进行权限配置的网络操作系统一定是一个支持多用户，多任务的系统，这是权限配置的基础。
• 一切权限配置都是基于用户和进程而言的，不同的用户在访问计算机时，将会有不同的权限。
• 由于管理员或超级用户可以做任何事情，因此为防止恶意用户尝试进入并访问该账号，一般情况下将这个拥有超级权限的用户更改其账号名称并将其进行隐藏，或使用强密码保护

二，密码保护（领会）

• 密码保护可以保证大部分系统的安全登录或受限访问。
• 网络操作系统在系统中保存着一份密码表，用户登录时将用户输入的密码与密码表相比对，但是，密码表的失窃或被恶意上级管理员滥用也会造成用户利益的损失。一般系统会将用户的密码进行加密后存放。

三，共享访问的限制（领会）

• 网络操作系统对共享访问的限制是通过用户权限和文件访问控制列表（Access Control List。ACL）来实现的，简称ACL列表。
• 共享访问一般要经过三重限制
  • 操作系统限制
  • 身份认证
  • 共享资源的访问控制

第六节 文件映射

一，文件映射的概念（识记）

• 文件映射是文件的内容复制到进程虚拟地址空间中。
• 进程与进程之间共享文件映射对象方法：
  • 继承：父进程建立文件映射对象，再创建子进程并允许子进程继承。
  • 命令文件映射：第一个进程用一个默认缺省的名字建立文件映射对象。其他进程用这个名字来打开文件映射对象。
  • 句柄复制：第一个进程建立文件映射对象，然后把对象的句柄传递给其他进程。
• 目前文件映射只能用于本地计算机之间，不能用于网络。

二，内存共享（识记）

• 在Win32 API中，可以使用文件映射实现进程间共享内存的访问。如果在建立映射对象时指定系统交换文件，该文件一般存放的是进程的数据堆或栈以及其他临时数据，那么，文件映射对象将按共享内存块对待。其他进程通过同时打开同一文件映射对象可以访问同一块内存块。
• 由于共享内存是用文件映射实现的，所以目前只能运行于同一台计算机的进程之间。

第七节 云计算平台下的资源共享（领会）

• 云计算平台也称为云平台，云平台是在一定的软硬件基础上，通过网络操作系统的组织管理，为用户提供一系列信息服务的一个计算机集群系统。服务模式主要有三类，IaaS，PaaS和SaaS。
  • IaaS称为基础设施即服务（Infrastructure-as-a-Service）
    • 提供基础硬件资源，用户可以申请这些资源并自我调度，分配和使用。
  • PaaS称为平台即服务（Platform-as-a-Service）
    • 除了提供基础硬件资源以外，还提供相应的基础系统软件资源，如虚拟机，操作系统，中间件等。
  • SaaS称为软件即服务（Software-as-a-Service）
    • 将常用的应用软件部署在平台上，通过B/S模式或C/S模式来使用，使用成本更低，资源的利用率更高。

一，云平台计算能力的共享

• 云平台的计算能力通常以TPC值来衡量。迄今为止有效的TPC基准有6类14套，TPC-C是在线事务处理（OLTP）的基准程序，TPC-E是大型企业信息服务的基准程序。
• TPC-C的测试结果主要有两个指标
  • 流量指标（Throughput，简称tpmC）
    • 流量指标描述了系统在执行支付（Payment），订单状态（Order-status），交付（Delivery），库存量（Stock-Level）这四种交易的同时，每分钟可以处理多少个新订单交易。所有交易的响应时间必须满足TPC-C测试规范的要求。流量指标值越大越好。
  • 性价比（Price/Performance，简称Price/tpmC）
    • 即测试系统价格（以美元报价）与流量指标的比值。性价比越大越好。

二，云平台存储容量的共享

• 云平台的存储能力是指云平台的文件系统能够存放数据的容量，与内存无关。云平台系统中所有存储容量的总和即为云平台的存储能力。云平台的存储能力包括云服务器，存储设备以及远期的扩容能力，具体设备可以是磁带，磁盘，光盘等存储介质。

三，云平台网络通信带宽的共享

• 衡量云平台的网络通信带宽的指标是IOPS（Input/Output Operations Per Second）。IOPS是一个用于计算机系统中的硬件设备性能测试的测量方式，可以视为系统每秒的读写次数。