(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211028270.4 (22)申请日 2022.08.25 (71)申请人 中国人民解 放军国防科技大 学 地址 410073 湖南省长 沙市开福区砚瓦池 正街47号 (72)发明人 陆平静　赖明澈　熊泽宇　徐金波　 常俊胜　齐星云　罗章　黎渊　 孙岩　欧洋　王子聪　张建民　 (74)专利代理 机构 湖南兆弘专利事务所(普通 合伙) 43008 专利代理师 谭武艺 (51)Int.Cl. H04L 9/40(2022.01) H04L 45/74(2022.01) (54)发明名称 用于高性能计算机系统的隔离方法及高性 能计算机系统 (57)摘要 本发明公开了一种用于高性能计算机系统 的隔离方法及高性能计算机系统， 本发明方法包 括针对高性能计算机系统进行结点级隔离、 拓扑 级隔离以及用户级别隔离， 其中结点级隔离包括 为各个计算结点配置路由表， 在路由表中为计算 结点对之间配置有效的路由信息； 当任意源计算 结点与目标计算结点进行通信时， 首先根据配置 的路由表来查找与 目标计算结点之间是否存在 有效的路由信息， 若存在有效的路由信息， 则源 计算结点与目标计算结点进行通信， 否则源计算 结点放弃与目标计算结点进行通信。 本发明能够 针对高性能计算机系统进行网络安全隔离， 在确 保高性能计算资源弹性扩展和 高可用的前提下 保证高性能计算机的安全可靠 。 权利要求书2页 说明书8页 附图3页 CN 115459968 A 2022.12.09 CN 115459968 A 1.一种用于高性能计算机系统的隔离方法， 其特 征在于， 包括进行 结点级隔离： S101， 为各个计算结点配置路由表， 在 路由表中为该计算结点、 允许与该计算结点通信 的其他计算结点之间配置有效的路由信息； S102， 当任意源计算结点需要与目标计算结点进行通信时， 该源计算结点首先根据配 置的路由表来查找与目标计算结点之间是否存在有效的路由信息， 若存在有效的路由信 息， 则源计算结点与目标计算结点进行通信， 否则源计算结点放弃与目标计算结点进行通 信。 2.根据权利要求1所述的用于高性能计算机系统的隔离方法， 其特征在于， 步骤S102还 包括当任意目标计算结点收到来自源计算结点的报文时， 该目标计算结点首先根据配置的 路由表来查找与源计算结点之间是否存在有效的路由信息， 若存在有效的路由信息， 则接 收来自源计算结点的报文； 否则拒收来自源计算结点的报文。 3.根据权利要求2所述的用于高性能计算机系统的隔离方法， 其特征在于， 步骤S101中 还包括为高性能计算机系统的各个交换结点配置路由表， 在路由表中为 允许通信的计算结 点之间配置有效的路由信息； 步骤S102中还包括； 在交换结点收到通信的报文时， 根据报文 中的源计算节点、 目标计算结点是否在路由表中查询是否存在有效的路由信息， 若存在有 效的路由信息， 则继续将该报文转发至目标计算结点， 否则丢弃 该报文。 4.根据权利要求1或2或3所述的用于高性 能计算机系统 的隔离方法， 其特征在于， 所述 配置路由表时， 还包括首先确定各个计算结点对应的分区， 每一个计算结点对应一个或者 多个分区， 且仅为作为I/ O结点或全局结点的计算结点对应多个 分区； 然后配置 路由表的路 由信息以允许相同分区的计算结点通信、 禁止不同分区的计算结点通信， 从而使得对应多 个分区的计算结点作为 I/O结点或全局结点实现多个分区的计算结点的全局互连。 5.根据权利要求4所述的用于 高性能计算机系统 的隔离方法， 其特征在于， 所述配置路 由表的路由信息以允许相同分区的计算结点通信、 禁止不同分区的计算结点通信是指仅配 置相同分区的计算结点的路由信息以允许相同分区的计算结点通信、 不配置不同分区的计 算结点的路由信息以禁止不同分区的计算结点通信； 或者为配置相同分区的计算结点的路 由信息并设置为有效状态以允许相同分区的计算结点通信、 配置不同分区的计算结点的路 由信息并设置为有效状态以禁止不同分区的计算结点 通信。 6.根据权利要求1所述的用于 高性能计算机系统 的隔离方法， 其特征在于， 还包括进行 拓扑级隔离： 基于高性能计算机系统的计算结点的网络接口芯片或 高性能计算机系统的路 由交换芯片 中配置链路使能功能， 使能或关断指定的网络端口， 将该网络端口所连接的物 理线路从逻辑或物理上断开以实现高性能计算机系统的拓扑级隔离 。 7.根据权利要求5所述的用于 高性能计算机系统 的隔离方法， 其特征在于， 所述实现高 性能计算机系统的拓扑级隔离包括对高性能计算机系统的机柜间物理线路的隔离、 机框间 物理线路的隔离 两者中的至少一种。 8.根据权利要求1所述的用于 高性能计算机系统 的隔离方法， 其特征在于， 还包括进行 用户级隔离： 在计算结点上部署虚拟机， 每个虚拟机运行独立的操作系统、 且具有独立的存 储空间和I/O空间， 通过虚拟机实现高性能计算机系统的用户级隔离 。 9.根据权利要求8所述的用于 高性能计算机系统 的隔离方法， 其特征在于， 所述通过虚 拟机实现用户级隔离时， 还包括： 在单个计算结点上部署的虚拟机小于 设定阈值时， 为该计权　利　要　求　书 1/2 页 2 CN 115459968 A 2算结点上的每一个虚拟 机分配独立的虚拟网卡以实现虚拟机间的通信隔离， 且每个虚拟网 卡使用独立的寄存器配置空间以实现虚拟网卡之间的通信隔离， 各个虚拟机对应的虚拟网 卡之间的通信通过上层交换实现； 在单个计算结点上部署的虚拟机大于等于设定阈值时， 为该计算结点上的虚拟 机分配公用的一个或多个虚拟网卡， 至少两个虚拟机之 间通过虚拟 交换机以实现对同一虚拟网卡的复用， 且该计算结点通过网络接口芯片的虚拟局域网来从 硬件实现虚拟网卡间的流 量隔离和保护。 10.一种用于应用权利要求1～9中任意一项所述的用于 高性能计算机系统 的隔离方法 的高性能计算机系统， 包括一个或多个机柜， 其特征在于， 所述机柜包含一个或多个机框， 所述机框包含电源模块和一个或多个构件， 所述构件包括通过机框背板连接的多个板卡， 所述多个板卡包括计算板卡和通信板卡， 每一个计算板卡上设有多个计算结点， 所述通信 板卡上设有用于将计算节点接入高性能计算机系统的网络接口芯片， 以及用于实现计算节 点之间路由交换的路由交换芯片， 且通信板卡的路由交换芯片之 间通过物理线路构成网络 拓扑。权　利　要　求　书 2/2 页 3 CN 115459968 A 3