CN101925907B - 在多节点计算机系统上使用虚拟专用网保护数据空间 - Google Patents
在多节点计算机系统上使用虚拟专用网保护数据空间 Download PDFInfo
- Publication number
- CN101925907B CN101925907B CN200980102729.7A CN200980102729A CN101925907B CN 101925907 B CN101925907 B CN 101925907B CN 200980102729 A CN200980102729 A CN 200980102729A CN 101925907 B CN101925907 B CN 101925907B
- Authority
- CN
- China
- Prior art keywords
- node
- network
- access
- access control
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 230000007246 mechanism Effects 0.000 claims abstract description 50
- 238000000034 method Methods 0.000 claims abstract description 44
- 230000008929 regeneration Effects 0.000 claims description 7
- 238000011069 regeneration method Methods 0.000 claims description 7
- 238000004891 communication Methods 0.000 description 25
- 230000008569 process Effects 0.000 description 10
- 238000012360 testing method Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000005012 migration Effects 0.000 description 2
- 238000013508 migration Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 238000005192 partition Methods 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 230000000712 assembly Effects 0.000 description 1
- 238000000429 assembly Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 108090000623 proteins and genes Proteins 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/79—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
- G06F12/1416—Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6281—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database at program execution time, where the protection is within the operating system
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Databases & Information Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Debugging And Monitoring (AREA)
Abstract
一种方法和装置,其使用虚拟专用网在并行计算机系统上提供数据安全性。访问建立机制在节点中建立访问控制数据,所述访问控制数据描述了保护哪些虚拟网络以及哪些应用有权访问受保护的虚拟网络。当应用访问受保护的虚拟网络上的数据时,网络访问机制确定数据受到保护并拦截数据访问。在内核中的网络访问机制还可根据对虚拟网络尝试的访问的种类来执行规则。可以通过对内核中的访问控制机制的系统调用进行对专用网络的授权访问。所述访问控制机制通过访问控制列表或其他安全策略实施有关可通过系统分发哪些数据的策略决策。
Description
技术领域
本发明涉及多节点计算机系统领域,更具体地说,涉及在多节点计算机系统上使用虚拟专用网保护数据空间。
背景技术
持续开发超级计算机和其他多节点计算机系统来应付复杂的计算作业。一种类型的多节点计算机系统是大规模并行计算机系统。国际商业机器公司(IBM)以名称BlueGene(蓝色基因)开发了一系列此类大型并行计算机。BlueGene/L系统是一种其中计算节点的当前最大数目为65,536的高密度可伸缩系统。BlueGene/L节点包括具有2个CPU和存储器的单个ASIC(专用集成电路)。整个计算机容纳在64个机架或机柜中,每个机架中具有32个节点板。
诸如BlueGene之类的计算机系统包含大量节点,每个节点都有自己的处理器和本地存储器。所述节点与若干通信网络相连。通信网络将各节点连接成逻辑树网络。在所述逻辑树网络中,各节点与位于树顶部的输入-输出(I/O)节点相连。在BlueGene中,每个节点卡具有两个计算节点,每个计算节点具有两个处理器。节点板上安放16个节点卡,而每个机架上安放32个节点板。节点板上具有插槽,用于安插2个I/O卡,每个I/O卡具有2个I/O节点。可以在与I/O节点通信的虚拟树网络中配置两个节点板上的节点。
诸如BlueGene之类的多节点计算机系统支持内存数据库(inmemorydatabase)。内存数据库是其中数据库的某个部分或整个数据库完全驻留在存储器中而非大容量存储装置中的数据库。内存数据库可针对数据库搜索或查询提供极其快速的响应。对于所有计算机系统而言,需要关心的问题是数据安全性。某些现有技术的数据安全性技术可能无法在并行计算机系统上,尤其是在带有内存数据库的并行计算机系统上有效实现或轻松实现。
在没有有效的方法来提供数据安全性的情况下,多节点计算机系统将继续受到数据安全性降低以及计算机系统效率降低的困扰。
发明内容
描述了一种用于在并行计算机系统上使用连接系统节点的虚拟专用网提供数据安全性的装置和方法。访问建立机制在所述节点中建立访问控制数据,所述访问控制数据描述了哪些虚拟网络受保护以及何种应用有权访问受保护的虚拟网络。这允许在系统内实现针对公共数据的查询、数据传输或数据迁移。当应用访问受保护的虚拟网络上的数据时,网络访问机制确定数据受到保护并拦截数据访问。位于内核中的所述网络访问机制还可根据对所述虚拟网络尝试的访问的种类而执行规则。例如,如果应用尝试对专用网络进行数据查询,则内核可终止该应用或向该应用返回错误代码。在所示实例中,所述访问控制机制通过系统调用提供对受保护数据的访问。在受保护的网络上仅允许授权的访问。可以通过对系统内核中的所述访问控制机制的系统调用来进行对专用网络的授权访问。所述访问控制机制通过访问控制列表或其他安全策略实施有关可通过系统分发哪些数据的策略决策。
此处的描述和实例针对诸如BlueGene体系结构之类的大规模并行计算机系统,但是此处的权利要求明确扩展到在网络结构中布置多个处理器的其他并行计算机系统。
从第一方面来看,本发明提供了一种多节点计算机系统,所述系统包括:多个计算节点,所述多个计算节点通过多个虚拟网络相连,每个计算节点都包括处理器和存储器;访问建立机制,其配置所述计算节点上的访问控制数据以指示所述多个虚拟网络中的至少一个虚拟网络为虚拟专用网;以及访问控制机制,其根据所述访问控制数据来控制通过所述多个虚拟网络对所述多个计算节点上的存储器中的数据的访问。
优选地,本发明提供了一种多节点计算机系统,其中所述多节点计算机系统为大规模并行计算机系统。
优选地,本发明提供了一种多节点计算机系统,其中所述访问建立机制配置类路由表以建立所述多个虚拟网络。
优选地,本发明提供了一种多节点计算机系统,其中从以下项选择所述访问控制数据:类标识ID、指示所述类ID为专用的专用标志,以及列出被授权访问所述虚拟专用网的应用的可用性列表。
优选地,本发明提供了一种多节点计算机系统,其中所述访问控制机制位于所述计算节点的系统内核中并允许通过对所述系统内核的系统调用来访问被授权的应用。
优选地,本发明提供了一种多节点计算机系统,其中所述访问控制机制拦截未被授权访问所述虚拟专用网上的数据的应用的读/写操作并生成失败指示。
优选地,本发明提供了一种多节点计算机系统,其中所述多个计算节点布置在虚拟树网中并进一步包括与所述树网的顶部相连以允许所述计算节点与大规模并行计算机系统的服务节点通信的I/O节点。
从另一方面来看,本发明提供了一种计算机实现的用于在多节点计算机系统中使用虚拟网络提供数据安全性的方法,所述方法包括以下步骤:确定要保护的节点;通过配置计算节点上的访问控制数据以指示多个虚拟网络之一为虚拟专用网来建立虚拟专用网,从而使所确定的节点成为受保护的节点;以及根据所述虚拟专用网上的节点内的系统内核中的所述访问控制数据,通过访问控制机制提供对所述节点的保护。
优选地,本发明提供了一种方法,其中所述多节点计算机系统为大规模并行计算机系统。
优选地,本发明提供了一种方法,所述方法还包括以下步骤:允许一个或多个应用通过对所述系统内核中的所述访问控制机制的系统调用来访问受保护的节点。
优选地,本发明提供一种方法,其中建立虚拟专用网的步骤包括:配置类路由表以建立所述多个虚拟网络。
优选地,本发明提供了一种方法,其中从以下项选择所述访问控制数据:类标识ID、指示所述类ID为专用的专用标志,以及列出被授权访问所述虚拟专用网的应用的可用性列表。
优选地,本发明提供了一种方法,其中所述访问控制机制拦截未被授权访问所述虚拟专用网上的数据的应用的读/写操作并生成失败指示。
从另一方面来看,本发明提供了一种用于在多节点计算机系统中使用虚拟网络提供数据安全性的方法,所述方法包括以下步骤:确定大规模并行计算机系统中要保护的节点;通过配置类路由表以建立多个虚拟网络,以及通过配置计算节点上的访问控制数据以指示所述多个虚拟网络之一为虚拟专用网来建立虚拟专用网,从而使所确定的节点成为受保护的节点;通过拦截未被授予访问虚拟专用网上的数据的应用的读/写操作并生成失败指示,来根据所述节点内的系统内核中的访问控制数据经由访问控制机制为所述虚拟专用网上的节点提供保护;以及允许一个或多个应用通过对所述系统内核中的所述访问控制机制的系统调用来访问受保护的节点。
从另一方面来看,本发明提供了一件计算机可读制品,所述制品包括:访问建立机制,其配置使用多个虚拟网络相连的多个计算节点上的访问控制数据,其中所述访问控制数据指示虚拟网络为虚拟专用网以及何种应用有权访问所述虚拟专用网;访问控制机制,其根据所述访问控制数据来控制通过所述多个虚拟网络对所述多个计算节点上的存储器中的数据的访问;以及有形计算机可记录介质,其承载所述访问建立机制和所述访问控制机制。
优选地,本发明提供了一件制品,其中所述访问建立机制配置类路由表以建立多个虚拟网络。
优选地,本发明提供了一件制品,其中从以下项选择所述访问控制数据:类标识ID、指示所述类ID为专用的专用标志,以及列出被授权访问所述虚拟专用网的应用的可用性列表。
优选地,本发明提供了一件制品,其中所述访问控制机制位于所述计算节点的系统内核中并允许通过对所述系统内核的系统调用来访问被授权的应用。
优选地,本发明提供了一件制品,其中所述访问控制机制拦截未被授权访问所述虚拟专用网上的数据的应用的读/写操作并生成失败指示。
优选地,本发明提供了一件制品,其中所述多个计算节点布置在虚拟树网中并进一步包括与所述树网的顶部相连以允许所述计算节点与大规模并行计算机系统的服务节点通信的I/O节点。
通过下面更详细的描述,以及如附图所示,上述和其他特征和优点将变得显而易见。
附图说明
将结合附图对本发明进行描述,其中相同的标号指示相同的元素,这些附图是:
图1是大规模并行计算机系统的方块图;
图2是大规模并行计算机系统中的计算节点的方块图;
图3示出布置成虚拟树网的计算节点的方块图;
图4示出用于在大规模并行计算机系统中的虚拟树网上传送的数据分组;
图5示出其中一个虚拟网络为受保护的网络或是大规模并行计算机系统中的虚拟专用网的三个虚拟树网;
图6是表示大规模并行计算机系统中的访问控制数据的表;
图7是用于使用大规模并行计算机系统上的虚拟专用网在并行计算机系统上提供数据安全性的方法的方法流程图;以及
图8是示出图7中的步骤730的一个可能实施方式的方法流程图。
具体实施方式
本文中的说明和权利要求涉及用于在并行计算机系统上使用连接系统节点的虚拟专用网提供数据安全性的方法和装置。访问建立机制建立节点中描述哪些虚拟网络为专用网络以及何种应用有权访问受保护的专用网络的访问控制数据。任意节点可通过网络访问公共数据或开放数据。这允许在系统内实现公共数据的查询、数据传输或数据迁移。当应用访问虚拟专用网上的数据时,网络访问机制确定数据受到保护并拦截数据访问。位于内核中的所述网络访问机制还根据对虚拟网络尝试的访问种类执行规则。例如,如果应用尝试对专用网络进行数据查询,则内核可终止该应用或向该应用返回错误代码。
在下面所示的实例中,所述访问控制机制提供对受保护节点上的受保护数据的访问。在计算节点的虚拟专用网上仅允许授权的访问。可通过对内核中的所述访问控制机制的系统调用来对专用网络进行授权的访问。所述访问控制机制通过访问控制列表(或其他安全策略)实施有关可通过系统分发哪些数据的策略决策。将根据由国际商业机器公司(IBM)开发的BlueGene/L大规模并行计算机描述此处的实例。
图1示出表示诸如BlueGene/L计算机系统之类的大规模并行计算机系统100的方块图。BlueGene/L系统是其中计算节点的最大数目为65,536的可伸缩系统。每一节点110具有专用集成电路(ASIC)112,还称为BlueGene/L计算芯片112。计算芯片合并有两个处理器或中央处理器单元(CPU)并安装于节点子卡114上。节点通常还具有512兆字节的本地存储器(未示出)。节点板120容纳32个各自具有节点110的节点子卡114。因此,每一节点板具有32个节点,每一节点具有2个处理器,以及用于每一处理器的关联存储器。机架130为含有32个节点板120的外壳。节点板120中的每一个用中间板连接器134连接到中间板印刷电路板132中。中间板132在机架内部并且未在图1中示出。整个BlueGene/L计算机系统将容纳于64个机架130或机柜中,每个机架130或机柜中均具有32个节点板120。整个系统然后将具有65,536个节点及131,072个CPU(64个机架×32个节点板×32个节点×2个CPU)。
BlueGene/L计算机系统结构可被描述为具有I/O节点表面的计算节点核心,其中每个I/O节点具有连接到服务节点140的I/O处理器。I/O节点170没有本地存储装置。I/O节点经由逻辑树网络连接至计算节点并且还通过千兆位以太网(见下图2)具有功能性广域网能力。千兆位以太网连接至位于节点板120上的处理从服务节点160到多个节点的通信的I/O节点170中的I/O处理器(或BlueGene/L链路芯片)。BlueGene/L系统具有一个或多个连接至节点板120的I/O节点170。I/O处理器可被配置为与8个、32个或64个节点进行通信。服务节点通过与计算节点上的链路卡通信来使用千兆位以太网控制连通性。除了I/O节点不连接至环状网络以外,到I/O节点的连接类似于到计算节点的连接。
再次参考图1,计算机系统100包括服务节点140,其处理使用软件加载节点并控制整个系统的操作。服务节点140通常为诸如使用控制台(未示出)执行Linux的IBMpSeries服务器之类的微型计算机系统。服务节点140使用控制系统网络150连接至计算节点110的机架130。控制系统网络提供针对BlueGene/L系统的控制、测试及应用基础结构。控制系统网络150包括为大规模并行计算机系统提供必要通信的各种网络接口。下文进一步描述网络接口。
服务节点140通过专用于系统管理的控制系统网络130进行通信。控制系统网络150包括与位于节点板120上的Ido芯片180相连的专用100-Mb/s以太网,所述节点板120处理从服务节点160到多个节点的通信。该网络有时称为JTAG网络,因为它使用JTAG协议进行通信。节点板120上的计算节点110的所有控制、测试和应用均通过与服务节点通信的JTAG端口进行管理。
所述服务节点包括用于分配和调度计算节点上的工作进程和数据放置的作业调度器142。所述服务节点还包括访问建立机制144,访问建立机制144建立访问控制数据(以下参考图2进行描述)以建立虚拟信道和设置何种应用有权访问专用网络信道上的数据。
图2示出了上面介绍的示例性计算节点的方块图。图2还表示I/O节点的方块图,所述I/O节点与计算节点具有相同的总体结构。计算节点与I/O节点之间的一个显著区别是以太网适配器226与I/O节点上的控制系统相连,但是计算节点中不使用此适配器。图2的计算节点110包括多个计算机处理器210,每个处理器都具有算术逻辑单元(ALU)211和存储器管理单元(MMU)212。处理器210通过高速存储器总线215与随机存取存储器(RAM)214相连。与高速存储器总线215相连的还有总线适配器217。总线适配器217与扩展总线218相连,扩展总线218与计算节点的其他组件相连。
再次参考图2,RAM214中存储有类路由表221、访问控制数据222、应用223和包含将在下面描述的访问控制机制的操作系统内核224。类路由表221存储用于在集合网络(collectivenetwork)或将在下面更详细地描述的树网上路由数据分组的数据。访问控制数据222是由访问控制机制用于控制对下面所述的专用数据的访问的信息。应用223是由控制系统加载到节点以执行指定任务的用户软件应用程序、进程或作业。应用程序通常与相邻节点上运行的应用程序并行运行。操作系统内核224是计算机程序指令和例程的模块,应用程序可使用该模块访问计算节点的其他资源。大规模并行计算机中的计算节点上的操作系统所执行的任务的数量和复杂程度通常小于典型独立式计算机上的操作系统所执行的任务的数量和复杂程度。因此,与通用计算机的操作系统或专门针对特定大规模并行计算机上的操作开发的操作系统相比,这些操作系统可以非常轻量,可以说是一种精简版本。可以有效地改进、精简以用于计算节点的操作系统包括UNIX、Linux、MicrosoftXP、AIX、IBM的i5/OS以及本领域的技术人员将想到的其他操作系统。
图2的计算机节点110包括若干用于实现与大规模并行计算机的其他节点的数据通信的通信适配器226、228、230、232。此类数据通信可以通过RS-232连接,通过诸如USB之类的外部总线,通过诸如IP网络之类的数据通信网络以串行方式执行,或者通过本领域的技术人员将想到的其他方式执行。通信适配器实现硬件级数据通信,以此方式,一台计算机可以直接或通过网络将数据通信发送到另一计算机。
图2的实例中的数据通信适配器包括千兆位以太网适配器226,其将实例I/O节点110与千兆位以太网234耦合以实现数据通信。在BlueGene中,此通信链路仅在I/O节点上使用并且不在计算节点上连接。千兆位以太网是在IEEE802.3标准中定义的网络传输标准,提供每秒1千兆位的数据速率(1吉比特)。千兆位以太网是在多模光缆、单模光缆或非屏蔽双绞线上工作的以太网的变型。
图2的实例中的数据通信适配器包括JTAG从属(slave)电路228,其将计算节点110与JTAG主电路耦合以通过JTAG网络236进行数据通信。JTAG是名为标准测试访问端口与边界扫描体系结构的IEEE1149.1标准的俗称,用于使用边界扫描测试印刷电路板的测试访问端口。通过JTAG从属电路228的JTAG边界扫描可有效地配置计算节点110中的处理器寄存器和存储器。
图2的实例中的数据通信适配器包括点到点网络适配器230,其将计算节点110与网络238耦合以进行数据通信。在BlueGene中,点到点网络通常被配置为三维环状或网状。点到点适配器230通过六个双向链路238:+X、-X、+Y、-Y、+Z和-Z提供三个通信轴x、y和z上六个方向的数据通信。环状网将计算节点逻辑地连接成类似晶格的结构,所述结构允许每个计算节点110与其最近的6个相邻节点进行通信。
图2的实例中的数据通信适配器包括集合网络或树网适配器232,其将计算节点110与被配置为二进制树的网络240耦合以进行数据通信。该网络有时还称为集合网络。集合网络适配器232通过三个双向链路提供数据通信:两个到子节点的链路以及一个到父节点(未示出)的链路。每个节点的集合网络适配器232具有额外硬件以支持针对集合网络的操作。
再次参考图2,集合网络240在整个BlueGene机器的计算节点上扩展,允许将数据从任意节点发送到所有其他节点(广播)或节点子集。每个节点通常具有三个链路:一个或两个到子节点的链路,以及与父节点相连的第三链路。算术和逻辑硬件内置于集合网络中以支持包括取最小、取最大、求和、逐位逻辑“或”、逐位逻辑“与”以及逐位逻辑“异或”的整数约减运算。集合网络还用于全局数据广播,而不是沿着环网上的环传输数据。对于“一到多”通信,从软件角度来看,紧邻3D环网上具有巨大的改进。
图3示出了在图2中示为240的集合网络或树网的一部分。集合网络或树网300通过控制系统网络150与服务节点140相连。树网300是一组在逻辑树结构中与I/O节点170相连的计算节点110。I/O节点170与一个或多个计算节点110相连。计算节点1312和节点2314都直接与I/O节点170相连并形成均在节点1312和节点2314之下相连的一组节点的树顶或第一层311。节点1312是树网的顶部并具有位于第二层317的子节点3316和子节点4318。类似地,节点3316具有位于第三层325的子节点7322和子节点8324。为了简洁而未示出许多子节点,但是树网300可以包含具有任意层数的任意数量的节点。
用户分区是为了执行用户应用而形成的一组节点。当形成用户分区时,将针对该分区形成一个独立的集合网络;所述集合网络包括该分区中的所有节点(不包括任何其他分区中的节点)。在所述集合网络中,每个节点都包含类路由表,类路由表与通过网络发送的每个数据分组内小标头字段结合使用来确定类。类用于局部地确定分组的路由。通过此技术,在单个物理网络中虚拟化多个被称为虚拟信道的独立集合网络,其中虚拟网络具有一个或多个I/O节点。两个标准类实例是将一小组计算节点连接到I/O节点的类以及包括系统中的所有计算节点的类。
图4示出用于在大规模并行计算机系统100(图1)中的树网240(图2)上传输的数据分组400。每个数据分组400都包括类410和数据420。类410用于确定分组的路由以通过集合网络(图2,240)在虚拟信道(将在下面介绍)上传输数据420。类410与类路由表221结合使用以确定如何将数据分组400路由到树网上的适当节点。
图5表示多节点计算机系统中的计算节点100的一部分。使用上述集合网络在多个虚拟信道510、512、514或树网中排列计算节点110。在该实例中,虚拟信道512被指定为“专用”。这意味着对虚拟信道的访问被限于内核。此处所述的访问建立机制144将虚拟信道512建立为专用信道。
图6示出了表示多节点计算机系统中的访问控制数据222的表。如上面参考图2所述,访问控制数据222位于计算节点110的存储器中。访问控制数据222包括与集合网络上创建的每个虚拟网络关联的数据。所述访问控制数据包括类或虚拟网络ID610、专用标志612和可用性列表614。在图6中所示的实例中,列出图5中示出的三个虚拟网络列表的访问控制数据。所述访问控制数据包括三个网络的虚拟网络ID,即VN0616、VN1618和VN2620。在此处所示的实例中,专用标志622具有值“否”,这指示虚拟网络VN1不是专用网络。由于该虚拟网络不是专用网络,因此可用性列表624指示该网络可用于“所有”应用或进程。该表可包含任何适当的数据以指示网络可用于所有应用。此外,专用标志628具有值“是”,这指示虚拟网络VN1是专用网络。由于该虚拟网络是专用网络,因此可用性列表630包含被授权访问相应虚拟专用网的那些进程或应用的进程或应用ID。所述进程或应用ID是在多节点计算机系统上执行的进程和应用的某种类型的标识符。备选地,应用列表630可以是指向包含被授权访问虚拟专用网上的数据的一系列进程或应用的适当数据结构的链接。
图7示出了用于在多节点计算机系统上使用虚拟专用网提供数据空间保护的方法700。方法700中的步骤优选地由服务节点140中的访问建立机制144(图1)和计算节点110中的访问控制机制222(图2)执行。第一步是确定要保护的节点(步骤710)。由系统管理员或由针对受保护的数据空间请求一组受保护的节点的应用启动程序确定受保护的节点。下一步是建立虚拟专用网以保护所确定的节点(步骤720)。接下来,通过在节点上运行的系统内核中的访问控制机制为虚拟专用网中的节点提供保护(步骤730)。然后通过对内核的系统调用来允许应用访问虚拟专用网中受保护的节点(步骤740)。随后所述方法完成。
图8示出了用于通过大规模并行计算机系统上的内核中的访问控制机制为虚拟专用网上的节点提供保护的方法730。方法730是方法700中步骤730的示例性实现。方法730中的步骤优选地由计算节点110中的访问控制机制222(图2)执行。在BlueGene中,通过消息处理接口(MPI)库完成对集合网络的存储器访问,所述库使用具有到最终位置的正确类路由信息路由的标头构建分组。所述分组然后被复制到树存储地址以便在网络上广播。方法730是访问控制机制监视该树存储地址以查看对受保护虚拟专用网的未授权访问的操作。访问控制机制首先接收读/写分组(步骤810)。如果所述读/写分组的地址不在受保护的存储器空间(不在虚拟专用网内)内(步骤820=否),则访问控制机制将允许读/写继续(步骤830)。所述方法随后完成。如果所述读/写分组的地址在受保护的存储器空间(在虚拟专用网内)内(步骤820=是),则访问控制机制将拦截读/写并生成失败指示(步骤840)。所述方法随后完成。
此处描述了用于在并行计算机系统上使用连接系统节点的虚拟网络提供数据安全性的装置和方法。网络访问机制确定何时访问受保护的虚拟网络上的数据并拦截数据访问以有效地在多节点计算机系统上提供数据空间安全性。
本领域的技术人员将理解,可以在权利要求的范围之内做出许多变型。因此,尽管上面具体示出并描述了本披露,但是本领域的技术人员将理解,可以在不偏离权利要求范围的情况下做出这些和其他形式与细节上的更改。
Claims (11)
1.一种多节点计算机系统,所述系统包括:
多个计算节点,所述多个计算节点通过多个虚拟网络相连,每个计算节点都包括处理器和存储器;
访问建立机制,其配置所述计算节点上的访问控制数据以指示所述多个虚拟网络中的至少一个虚拟网络为虚拟专用网,所述虚拟专用网包括虚拟信道,且对该虚拟信道的访问被限制于内核;以及
访问控制机制,所述访问控制机制位于所述计算节点的系统内核中,并允许通过对所述系统内核的系统调用来访问被授权的应用以根据所述访问控制数据来控制通过所述多个虚拟网络对所述多个计算节点上的存储器中的数据的访问。
2.如权利要求1中所述的多节点计算机系统,其中所述多节点计算机系统为大规模并行计算机系统。
3.如权利要求1中所述的多节点计算机系统,其中所述访问建立机制配置类路由表以建立所述多个虚拟网络。
4.如权利要求1中所述的多节点计算机系统,其中,所述访问控制数据从以下项选择:类标识ID、指示所述类标识ID为专用的专用标志,以及列出被授权访问所述虚拟专用网的应用的可用性列表。
5.如权利要求1中所述的多节点计算机系统,其中所述访问控制机制拦截未被授权访问所述虚拟专用网上的数据的应用的读/写操作并生成失败指示。
6.如权利要求1中所述的多节点计算机系统,其中所述多个计算节点布置在虚拟树网中并进一步包括与所述树网的顶部相连以允许所述计算节点与大规模并行计算机系统的服务节点通信的I/O节点。
7.一种计算机实现的用于在多节点计算机系统中使用虚拟网络提供数据安全性的方法,所述方法包括以下步骤:
确定要保护的节点;
通过配置计算节点上的访问控制数据以指示多个虚拟网络之一为虚拟专用网来建立虚拟专用网,从而使所确定的节点成为受保护的节点,所述虚拟专用网包括虚拟信道,且对该虚拟信道的访问被限制于内核;以及
根据所述虚拟专用网上的节点内的系统内核中的所述访问控制数据,通过访问控制机制提供对所述节点的保护;
允许一个或多个应用通过对所述系统内核中的所述访问控制机制的系统调用来访问受保护的节点。
8.如权利要求7中所述的方法,其中所述多节点计算机系统为大规模并行计算机系统。
9.如权利要求7中所述的方法,其中,所述访问控制数据从以下项选择:类标识ID、指示所述类标识ID为专用的专用标志,以及列出被授权访问所述虚拟专用网的应用的可用性列表。
10.如权利要求7中所述的方法,其中建立虚拟专用网的步骤包括:配置类路由表以建立所述多个虚拟网络。
11.如权利要求7中所述的方法,其中所述访问控制机制拦截未被授权访问所述虚拟专用网上的数据的应用的读/写操作并生成失败指示。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/018,237 | 2008-01-23 | ||
| US12/018,237 US8544065B2 (en) | 2008-01-23 | 2008-01-23 | Dataspace protection utilizing virtual private networks on a multi-node computer system |
| PCT/EP2009/050296 WO2009092644A1 (en) | 2008-01-23 | 2009-01-13 | Dataspace protection utilizing virtual private networks on a multi-node computer system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101925907A CN101925907A (zh) | 2010-12-22 |
| CN101925907B true CN101925907B (zh) | 2015-11-25 |
Family
ID=40527419
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200980102729.7A Expired - Fee Related CN101925907B (zh) | 2008-01-23 | 2009-01-13 | 在多节点计算机系统上使用虚拟专用网保护数据空间 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8544065B2 (zh) |
| KR (1) | KR20100112119A (zh) |
| CN (1) | CN101925907B (zh) |
| WO (1) | WO2009092644A1 (zh) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7958184B2 (en) * | 2008-03-04 | 2011-06-07 | International Business Machines Corporation | Network virtualization in a multi-node system with multiple networks |
| US9524167B1 (en) * | 2008-12-10 | 2016-12-20 | Amazon Technologies, Inc. | Providing location-specific network access to remote services |
| JP5710928B2 (ja) * | 2010-10-07 | 2015-04-30 | 株式会社日立製作所 | ネットワークシステム、仮想ネットワーク管理方法及びルータ |
| US20120310984A1 (en) | 2011-06-01 | 2012-12-06 | International Business Machines Corporation | Data security for a database in a multi-nodal environment |
| CN104318171B (zh) * | 2014-10-09 | 2017-11-07 | 中国科学院信息工程研究所 | 基于权限标签的Android隐私数据保护方法及系统 |
| ES2979074T3 (es) | 2014-12-08 | 2024-09-24 | Umbra Tech Ltd | Sistema y método para recuperación de contenido desde regiones de red remotas |
| JP2018508067A (ja) | 2015-01-06 | 2018-03-22 | アンブラ テクノロジーズ リミテッドUmbra Technologies Ltd. | ニュートラルなアプリケーションプログラミングインタフェースについてのシステム及び方法 |
| CN115834534A (zh) | 2015-01-28 | 2023-03-21 | 安博科技有限公司 | 用于全局虚拟网络的系统 |
| ES2959674T3 (es) | 2015-04-07 | 2024-02-27 | Umbra Tech Ltd | Cortafuegos de perímetro múltiple en la nube |
| US9918346B2 (en) * | 2015-04-17 | 2018-03-13 | Barracuda Networks, Inc. | System for connecting, securing and managing network devices with a dedicated private virtual network |
| JP2018517372A (ja) | 2015-06-11 | 2018-06-28 | アンブラ テクノロジーズ リミテッドUmbra Technologies Ltd. | ネットワークタペストリの複数プロトコルの統合のための方法及びシステム |
| ES2931177T3 (es) | 2015-12-11 | 2022-12-27 | Umbra Tech Ltd | Sistema y método para lanzamiento de información a través de un tapiz de red y granularidad de una marca |
| CN116112539A (zh) | 2016-04-26 | 2023-05-12 | 安博科技有限公司 | 吊索路由逻辑与负载均衡 |
| KR102530069B1 (ko) * | 2021-10-25 | 2023-05-08 | 삼성전자주식회사 | 저장 장치 및 그의 동작 방법 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1493031A (zh) * | 2001-02-24 | 2004-04-28 | 国际商业机器公司 | 用于在故障出现时维持全部性能的文件服务器的双尾故障终止 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5768271A (en) * | 1996-04-12 | 1998-06-16 | Alcatel Data Networks Inc. | Virtual private network |
| WO2002084509A1 (en) * | 2001-02-24 | 2002-10-24 | International Business Machines Corporation | A novel massively parrallel supercomputer |
| US6961761B2 (en) * | 2001-05-17 | 2005-11-01 | Fujitsu Limited | System and method for partitioning a computer system into domains |
| US20040252722A1 (en) * | 2003-06-13 | 2004-12-16 | Samsung Electronics Co., Ltd. | Apparatus and method for implementing VLAN bridging and a VPN in a distributed architecture router |
-
2008
- 2008-01-23 US US12/018,237 patent/US8544065B2/en not_active Expired - Fee Related
-
2009
- 2009-01-13 CN CN200980102729.7A patent/CN101925907B/zh not_active Expired - Fee Related
- 2009-01-13 KR KR1020107014506A patent/KR20100112119A/ko not_active Application Discontinuation
- 2009-01-13 WO PCT/EP2009/050296 patent/WO2009092644A1/en active Application Filing
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1493031A (zh) * | 2001-02-24 | 2004-04-28 | 国际商业机器公司 | 用于在故障出现时维持全部性能的文件服务器的双尾故障终止 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101925907A (zh) | 2010-12-22 |
| KR20100112119A (ko) | 2010-10-18 |
| WO2009092644A1 (en) | 2009-07-30 |
| US8544065B2 (en) | 2013-09-24 |
| US20090187984A1 (en) | 2009-07-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101925907B (zh) | 在多节点计算机系统上使用虚拟专用网保护数据空间 | |
| US7653716B2 (en) | Determining a bisection bandwidth for a multi-node data communications network | |
| CN1704921B (zh) | 高性能计算系统和方法 | |
| US7895260B2 (en) | Processing data access requests among a plurality of compute nodes | |
| CN100449497C (zh) | 并行计算机和定位并行计算机中硬件故障的方法 | |
| US7796527B2 (en) | Computer hardware fault administration | |
| US9063781B2 (en) | Rule-based dynamic resource adjustment for upstream and downstream processing units in response to an intermediate processing unit event | |
| US8381220B2 (en) | Job scheduling and distribution on a partitioned compute tree based on job priority and network utilization | |
| US9172628B2 (en) | Dynamic distribution of nodes on a multi-node computer system | |
| US20090043910A1 (en) | Query Execution and Optimization Utilizing a Combining Network in a Parallel Computer System | |
| US20120079133A1 (en) | Routing Data Communications Packets In A Parallel Computer | |
| Jiang et al. | Fleetrec: Large-scale recommendation inference on hybrid gpu-fpga clusters | |
| US9229780B2 (en) | Identifying data communications algorithms of all other tasks in a single collective operation in a distributed processing system | |
| KR20070006906A (ko) | Hpc 환경에서의 토폴로지-인식 작업 스케쥴링 및백필링을 위한 시스템 및 방법 | |
| US8055651B2 (en) | Distribution of join operations on a multi-node computer system | |
| US20110197196A1 (en) | Dynamic job relocation in a high performance computing system | |
| US20080059677A1 (en) | Fast interrupt disabling and processing in a parallel computing environment | |
| WO2013177347A2 (en) | Dynamically erectable computer system | |
| US20150163287A1 (en) | Distributing an executable job load file to compute nodes in a parallel computer | |
| US9246792B2 (en) | Providing point to point communications among compute nodes in a global combining network of a parallel computer | |
| US8572723B2 (en) | Utilizing virtual private networks to provide object level security on a multi-node computer system | |
| US7512836B2 (en) | Fast backup of compute nodes in failing midplane by copying to nodes in backup midplane via link chips operating in pass through and normal modes in massively parallel computing system | |
| Zhao et al. | SuperCut: Communication-Aware Partitioning for Near-Memory Graph Processing | |
| AT&T | ||
| Zhu et al. | An optimization algorithm to build low congestion multi-ring topology for optical network-on-chip |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20151125 |