长安链ChainMaker容器虚拟机——DockerVM

01

智能合约与虚拟机

智能合约

在区块链中,智能合约扮演着非常重要的角色,用户提交的业务请求,都是通过链上智能合约的执行得到最终结果。有了智能合约,我们就可以根据不同的业务场景,在区块链中实现相应的功能。那么,什么是智能合约呢?我们可以从两个层面来理解智能合约:

1. 对于应用场景:智能合约是一种交易协议,记录了交易条款信息、事件、行为,旨在减少对可信中间人的需求、仲裁和执行成本。

我们可以将交易逻辑抽象成程序,将这段程序存在区块链上,接下来这段程序就可以帮助我们自动处理交易的逻辑,完成现实生活中相关的交易。

2. 对于计算机而言,智能合约是一段编写好的程序,可以实现对链上数据的增,删,查和改。我们都知道,数据在区块链中主要有两部分,一部分是世界状态,它记录了当前各个主体的信息,另一个部分就是交易记录。其中,对于世界状态数据的增,删,查和改就需要智能合约来实现,通过智能合约对世界状态修改的过程,会作为交易的一部分记录起来。

虚拟机

那么,什么是虚拟机呢?虚拟机就是智能合约运行的环境,为智能合约提供计算资源和运行环境。

虚拟机有以下3个特点:

1. 确定性:我们知道,区块链是包含了多个节点,有的节点要组装区块,有的节点要验证区块。他们其实是在各自的环境中运行这些交易。我们需要让同一笔交易在每个节点运行的结果都相同。

这需要在运行的时候,排除随机数、浮点数运算等这种可能带来不确定的因素,以及直接使用外部数据源等。

2. 隔离性:无论执行结果、是否崩溃等,主链不受影响,每个虚拟机都运行在隔离的环境中,确保资源访问安全性,只能修改属于该合约自身的状态记录。也就是说,虚拟机与虚拟机彼此隔离,虚拟机也不会影响主链。

3. 可终止性:能主动停止,使用GAS、指令数、超时时间等标准

02

长安链合约引擎

长安链支持多种智能合约编程语言和虚拟机,为虚拟机提供统一的数据访问和密码算法访问接口。当一批交易通过调度器被发送至虚拟机时,虚拟机将解析交易中的智能合约调用参数,并且在运行时,通过数据访问接口获取运行时必要的数据,最后执行生成交易的读写集、交易执行结果和交易执行的日志信息。交流流程如图1:

长安链ChainMaker容器虚拟机——DockerVM_第1张图片

图1

长安链目前支持3类虚拟机:

1. EVM虚拟机,是基于以太坊的虚拟机改造,更加适应长安链的虚拟机。它是一种基于栈的虚拟机,在运行期间不能访问网络,文件,即使不同合约之间也是有限的访问权限。

2. WASM类虚拟机,是一种字节码的格式,WASM虚拟机就是可以解释执行wasm字节码的虚拟机,是一种基于栈的指令集合。

3. 容器类虚拟机,作为本文的重点,会在下面进行详细介绍。

这里,我们可以对上面3种虚拟机做一个对比:

安全性

性能

语言友好

开发难度

EVM虚拟机

WASM虚拟机

容器类虚拟机

表1

03

DockerVM

容器类虚拟机,顾名思义,就是利用容器来实现的虚拟机。让我们回顾一下容器是什么:

容器就是将软件打包成标准化单元,以用于开发、交付和部署。容器镜像是轻量的、可执行的独立软件包 ,包含软件运行所需的所有内容:代码、运行时环境、系统工具、系统库和设置。容器赋予了软件独立性,使其免受外在环境差异(例如,开发和预演环境的差异)的影响,从而有助于减少团队间在相同基础设施上运行不同软件时的冲突。容器化软件在任何环境中都能够始终如一地运行。

Docker作为非常成熟的容器技术,拥有以下3个特点:

1. 轻量:在一台机器上运行的多个Docker容器可以共享这台机器的操作系统内核;它们能够迅速启动,只需占用很少的计算和内存资源。镜像是通过文件系统层进行构造的,并共享一些公共文件。这样就能尽量降低磁盘用量,并能更快地下载镜像。

2. 标准:Docker容器基于开放式标准,能够在所有主流Linux版本、Microsoft Windows以及包括VM、裸机服务器和云在内的任何基础设施上运行。

3. 安全:Docker赋予应用的隔离性不仅限于彼此隔离,还独立于底层的基础设施。Docker默认提供最强的隔离,因此应用出现问题,也只是单个容器的问题,而不会波及到整台机器。

所以,容器的特点很好的契合了虚拟机的要求,在长安链中,我们就使用了Docker来实现容器类虚拟机。

DockerVM架构

接下来,我们正式介绍DockerVM。DockerVM中最重要的组件为Docker Manager,它负责DockerVM与链的通信,交易的调度,管理合约。结构如图2:

长安链ChainMaker容器虚拟机——DockerVM_第2张图片

图2

以下为各个子模块的介绍:

  • CDM RPC

CDM RPC模块⽤来和节点进⾏本地通信,启动容器时会建⽴链接

  • DMS RPC

DMS RPC模块⽤来和各个合约进程进⾏通信

  • Security Env

Security Env模块⽤来设置容器的环境,包括设置Control Group, IPC等

  • Contract Manager

Contract Manager模块⽤来管理合约的⼆进制⽂件

  • User Controller

User Controller模块⽤来⽣成user结构体,其中包括uid,sock⽂件等;并且可以分配和回收user。

  • Handler Register

Handler管理Docker Manager和合约进程的通信逻辑;每⼀个合约进程会产⽣⼀个独⽴的 handler 进⾏通信管理。Handler Register控制handler的⽣成,注册,和销毁。

  • Docker Scheduler

Docker Scheduler模块⽤来管理合约进程,在拉起合约进程的时候,会为其准备好合约⼆进制⽂件,分配好可⽤的user,⽣成新的Handler,为进程设置超时时间;在进程结束时,对上述资源进⾏回收

  • Sandbox

Sandbox为合约进程,在合约运⾏的时候,⾸先会与Docker manager进⾏基于unix domain socket的rpc链接,随后进⾏相关消息的传送

DockerVM特点

接下来,我们基于虚拟机3大特点,逐一来介绍DockerVM的实现细节。

隔离性

首先,DockerVM实现了两层隔离:DockerVM与主机的隔离,合约的隔离。

1. DockerVM与主机的隔离

DockerVM采用一个容器运行所有的合约,对于每一个节点,都会启动一个容器,节点与容器通过 unix domain socket 进行本地通信。如果开启 Docker VM ,则在链启动的时候启动容器。如图3。

长安链ChainMaker容器虚拟机——DockerVM_第3张图片

图3

借助容器的特点,DockerVM与主机很好隔离开。DockerVM里面的运行不会影响到主机或者运行在主机上的链的运行。另外,DockerVM容器里面运行的是ubuntu系统,我们可以在这个系统中做很多有意思的操作,但是这些操作都不会对主机有任何的影响。

采用一个容器的好处:1. 方便管理,DockerVM负责管理所有的合约,包括合约的表现,异常等;2. 节省拉起容器的时间,我们不需要为每一个合约去拉起一个新的容器,从始至终都只有一个容器,它为我们处理所有的事情。

2. 合约的隔离

合约交易都在容器中的一个独立的进程中运行,我们称之为合约沙盒。我们为这个进程赋予独立的Process Namespace, 唯一的User Id 与 Group Id,并且这些进程都被同一个CGroup控制。同时,整个容器关闭了网络功能,所以合约进程拥有以下3个特点(如图4):

1. 文件隔离

2. 网络隔离

3. 进程间隔离

长安链ChainMaker容器虚拟机——DockerVM_第4张图片

图4

对于合约进程来说,它被启动以后,一直在等待新的交易到来,这些交易都是属于这一个合约的。当这笔交易处理完毕,DockerVM会发送新的交易给它。当一段时间,合约进程没有接受到新的交易时,DockerVM就会关闭这个进程,节省资源。默认的等待时间为10分钟。

确定性

借助合约进程的网络隔离,文件隔离,进程间隔离,智能合约不可以从外部获取数据,只能使用属于本合约的数据。这就保证了交易运行的确定性。

可终止性

对于任一交易,我们需要有能力来终止。DockerVM采用交易超时来实现终止交易。用户可以为DockerVM配置交易超时时间,当这笔交易开始运行的时候,DockerVM开始计时,如果规定时间内没有运行结束,则会停掉合约进程,并且返回超时结果。

DockerVM使用

二进制文件部署

DockerVM采用二进制文件部署。

对于合约部署来说,一般有两种方式:源码部署与二进制文件部署,我们不妨看一下下面的对比:

源码部署

二进制部署

体积小

体积大

在链上编译,时间长

合约部署与调用行为不一致

在链下编译,链上部署快

合约部署与调用行为一致

容易泄露源码

不容易泄露

表2

采用二进制文件部署最大的优势在于省去了链上编译文件的过程,而这个过程是不可控的,对于简单的合约,它的编译时间相对很短,但是对于特别复杂的合约,它的编译时间就会很长。使用二进制部署,就是把编译的过程放在了链下,对于链上,我们直接就可以进行使用。

RECOMMEND

推荐阅读

长安链ChainMaker国密TLS设计与实现、

长安链ChainMaker新特性——透明数据加密TDE

长安链自研网络Liquid详解及应用指南

Tips

更多长安链开源项目QA,可登录开源社区、技术文档库查看。

下载源码

https://git.chainmaker.org.cn/chainmaker/chainmaker-go

查阅文档

https://docs.chainmaker.org.cn/

长安链ChainMaker案例征集

http://www.wenjuan.com/s/UZBZJvhFGte/

长安链ChainMaker容器虚拟机——DockerVM_第5张图片

“长安链ChainMaker”是国内首个自主可控区块链软硬件技术体系,由微芯研究院联合头部企业和高校共同研发,具有全自主、高性能、强隐私、广协作的突出特点。长安链面向大规模节点组网、高交易处理性能、强数据安全隐私等下一代区块链技术需求,融合区块链专用加速芯片硬件和可装配底层软件平台,为构建高性能、高可信、高安全的数字基础设施提供新的解决方案,为长安链生态联盟提供强有力的区块链技术支撑。取名“长安链”,喻意“长治久安、再创辉煌、链接世界“

你可能感兴趣的:(区块链,分布式)