Unikernel基于库操作系统技术,将单个应用程序与库操作系统组件编译为虚拟机镜像,可直接在KVM等虚拟化平台上运行,具有体积小、性能好、可针对化定制等优势,是一种有吸引力的针对云计算的操作系统设计。但Unikernel的一大缺点是缺乏多进程支持。最主要的原因是Unikernel是单地址空间设计,且运行在单个CPU特权级上。这大大降低了Unikernel的灵活性和适用性。多进程编程模型帮助应用程序获得安全性与性能的可扩展性。现有的大量应用程序,如Apache、Nginx、Word Press等,都利用了多进程特性,增加了迁移到Unikernel系统的难度。一些研究工作如Graphene和Kylinx等,通过使用多个Unikernel实例模拟多进程来提供多进程特性。这需要修改外部组件,与现有的云服务提供商不兼容,还对系统引入了额外的高性能开销。本文提出了Iso-Uni K,一种新的Unikernel设计,从功能性和隔离性上都为多进程特性提供了支持。Iso-Uni K在Unikernel系统已有的设计基础上,针对页表管理,资源管理,进程调度等功能进行了拓展,为Unikernel的多进程特性提供了解决方案。Iso-Uni K设计了三层权限模型,利用最新的硬件功能Intel MPK,为Unikernel中的多进程特性提供了轻量且有效的隔离性与安全性。本文主要贡献在于:·为Unikernel提供了多进程特性,更好的帮助应用程序安全地利用多核处理器的并行计算能力,获得性能可扩展性。·不需要修改虚拟机监控程序等外部组件,因此与现有的云计算平台兼容。·利用三层权限模型,最大程度地保留Unikernel不需要切换CPU特权级的优势,内核函数调用仅需要68个额外的CPU指令周期。·设计并实现了多进程API,修改编译过程,能够编译运行现有的为Linux操作系统设计的多进程应用程序。·提出了将Intel MPK应用在CPU特权模式下的设计。本文实现了基于开源系统OSv的Iso-Uni K原型系统,可以支持现有的Linux多进程应用程序。多进程应用在Iso-Uni K中的fork（）操作仅需要66μs。测试表明,Iso-Uni K中的多进程特性与三层权限模型不会损害应用程序的性能,且能帮助应用程序更安全地利用多核处理器的并行计算能力获得性能的可扩展性。