CN102027484A - 用于虚拟化基础设施管理环境的系统和方法 - Google Patents
用于虚拟化基础设施管理环境的系统和方法 Download PDFInfo
- Publication number
- CN102027484A CN102027484A CN2009801176018A CN200980117601A CN102027484A CN 102027484 A CN102027484 A CN 102027484A CN 2009801176018 A CN2009801176018 A CN 2009801176018A CN 200980117601 A CN200980117601 A CN 200980117601A CN 102027484 A CN102027484 A CN 102027484A
- Authority
- CN
- China
- Prior art keywords
- virtualizes logical
- logical cabin
- data processing
- cabin
- virtualizes
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
- H04L12/4645—Details on frame tagging
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Stored Programmes (AREA)
Abstract
一种安全网络架构。该安全网络架构包括连接成与物理交换机组通信的多个数据处理系统服务器,每个数据处理系统服务器执行虚拟机软件组件。该安全网络架构还包括实现虚拟化逻辑舱的数据处理系统,该数据处理系统连接成经由物理交换机组与该多个数据处理系统服务器通信。该虚拟化逻辑舱包括各自与这些虚拟机组件中不同的一个虚拟机组件相对应的多个虚拟组件。
Description
其他申请的交叉引用
本申请的一些附图或说明书文本与2007年9月5日提交的针对“System and Method for Secure Service Delivery(用于安全服务递送的系统和方法)”的美国专利申请序列号11/899,288相同但不一定以其他方式相关,其因此通过援引纳入于此。
技术领域
本公开一般涉及数据处理系统网络架构。
公开背景
网络服务提供方逐渐增加地使用公共硬件或网络来向多个不同客户端递送信息和服务。重要的是维护网络架构和服务递送中各个客户端之间的安全。
公开概述
根据各个所公开实施例,提供了一种安全网络架构。该安全网络架构包括连接成与物理交换机组通信的多个数据处理系统服务器,每个数据处理系统服务器执行一虚拟机软件组件。该安全网络架构还包括实现虚拟化逻辑舱的数据处理系统,该数据处理系统连接成经由物理交换机组与该多个数据处理系统服务器通信。该虚拟化逻辑舱包括各自与这些虚拟机组件中不同的一个虚拟机组件相对应的多个虚拟组件。
根据另一所公开的实施例,提供了一种安全网络架构,其包括第一架构部分,第一架构部分包括连接成与物理交换机组通信的多个数据处理系统服务器,每个数据处理系统服务器执行一虚拟机软件组件。该安全网络架构还包括第二架构部分,第二架构部分包括各自实现至少一个虚拟化逻辑舱的多个数据处理系统,每个数据处理系统连接成经由物理交换机组与这多个数据处理系统服务器通信。每个虚拟化逻辑舱包括各自与这些虚拟机组件中不同的一个虚拟机组件相对应的多个虚拟组件。该安全网络架构还包括客户端接口,其连接至每个数据处理系统以允许在网络上对这些虚拟化逻辑舱的安全客户端访问。第一架构部分与直接客户端访问隔离。
根据又一所公开的实施例,提供了一种用于在安全网络架构中提供服务的方法。该方法包括在连接成与物理交换机组通信的多个数据处理系统服务器中的每一个数据处理系统服务器上执行虚拟机软件组件。该方法还包括在数据处理系统中实现虚拟化逻辑舱,该数据处理系统连接成经由该物理交换机组与这多个数据处理系统服务器通信。该虚拟化逻辑舱包括各自与这些虚拟机组件中不同的一个虚拟机组件相对应的多个虚拟组件。
前述内容已较宽泛地勾勒出本公开的特征和技术优势,从而本领域技术人员可以更好地理解下面的详细描述。本公开的其他特征和优点将在此后描述,它们构成权利要求的主题。本领域技术人员将领会,他们可以现成地将所公开的构思和具体实施例用作改动或设计用于实施与本公开相同的目的的其他结构的基础。本领域技术人员还将认识到,此类等效构造不脱离本公开以其广义形式的精神和范围。
在着手下面的详细描述之前,阐述贯穿本专利文档使用的某些措辞或短语的定义可能是有利的。术语“包含”和“包括”及其派生词表示非限制性包括;术语“或”是包含性的,意味着和/或;短语“与……相关联”和“与之相关联”及其派生词可表示包括、被包括、与之互连、包含、被包含、与之连接、与之耦合、可与之通信、与之协作、交织、并列、接近、限于、具有、具有其性质等;以及术语“控制器”表示控制至少一个操作的任何设备、系统或其部分,无论此类设备是以硬件、固件、软件或者硬件、固件、软件中的至少两者的某种组合来实现的。应注意,与任何特定控制器相关联的功能可以是集中式的或分布式的,无论是本地还是远程地。贯穿本专利文档提供了某些措辞和短语的定义,且本领域普通技术人员将理解,此类定义适用于此类所定义措辞和短语的先前以及将来使用的许多(即使不是全部)实例。
附图简述
为了更全面地理解本公开及其优点,现在结合附图参阅以下描述,附图中相似的标号指示相似的对象,且其中:
图1描绘了其中可实现一实施例的数据处理系统的框图;以及
图2描绘了根据所公开实施例的安全网络架构。
详细描述
以下讨论的图1到2以及本专利文档中用于描述本公开的原理的各种实施例仅作为说明且不应以任何方式解释成限制本公开的范围。本领域技术人员将理解,本公开的原理可在任何适当地安排的设备中实现。本申请的众多发明性教导将参照示例性的非限制性实施例来描述。
提供其中集成了虚拟化技术以支持多承租人解决方案的安全网络架构已成为愿望,但总是要求损害安全等级才能递送该功能。虽然虚拟化技术提供了支持跨“非军事化区”(DMZ)集成到其虚拟化技术中的手段,但使用该手段意味着增加数据跨过DMZ安全区的风险。
图1描绘了其中可实现一实施例的数据处理系统的框图。所描绘的数据处理系统包括连接到二级高速缓存/桥104的处理器102,该二级高速缓存/桥104又连接到局部系统总线106。局部系统总线106可以是例如外围组件互连(PCI)架构总线。所描绘的示例中还连接到局部系统总线的是主存储器108和图形适配器110。图形适配器110可连接到显示器111。
诸如局域网(LAN)/广域网/无线(例如,WiFi)适配器112之类的其他外围设备也可连接到局部系统总线106。扩展总线接口114将局部系统总线106连接到输入/输出(I/O)总线116。I/O总线116连接到键盘/鼠标适配器118、盘控制器120以及I/O适配器122。盘控制器120可连接到存储126,存储126可以是任何合适的机器可使用或机器可读存储介质,包括但不限于非易失性硬编码型介质,诸如只读存储器(ROM)或可擦除电可编程只读存储器(EEPROM)、磁带存储,以及用户可记录型介质,诸如软盘、硬盘驱动和紧致盘只读存储器(CD-ROM)或数字多功能盘(DVD),以及其他已知的光、电或磁存储设备。
所示的示例中还连接到I/O总线116的是音频适配器124,扬声器(未示出)可连接到音频适配器124以播放声音。键盘/鼠标适配器118提供诸如设备、跟踪球、跟踪指针等定点设备(未示出)的连接。
本领域普通技术人员将领会,图1中描绘的硬件出于特定原因而改变。例如,诸如光盘驱动等其他外围设备也可被使用以补充或替代所描绘的硬件。提供所描述的示例仅是为了解释且并不意味着暗示关于本公开的架构限制。
根据本公开的一实施例的数据处理系统包括采用图形用户界面的操作系统。该操作系统准许在图形用户界面中同时呈现多个显示窗口,每个显示窗口提供至不同应用或至相同应用的不同实例的界面。图形用户界面中的光标可由用户通过定点设备来操纵。可改变光标的位置和/或可生成诸如点击鼠标按钮之类的事件以致动合需响应。
各种商用操作系统之一若被合适地修改则可被采用,诸如位于美国华盛顿州雷蒙德的微软公司的产品Microsoft WindowsTM的一个版本。根据本公开如所描述地修改或创建操作系统。
LAN/WAN/无线适配器112可连接到网络130(不是数据处理系统100的一部分),网络130可以是任何公共或私有数据处理系统网络或网络组合,如本领域技术人员已知的,包括因特网。数据处理系统100可在网络130上与服务器系统140通信,服务器系统140也不是数据处理系统100的一部分,但可被实现为例如单独的数据处理系统100。
根据本公开的虚拟化基础设施管理(VIM)环境通过将虚拟化技术分为两半来解决常见的虚拟化问题。这两半中的每一半具有其专用的铜线或网络端口以连接到其自己的合适DMZ。线下(below-the-line)连接用于虚拟化主存平台自身,而线上(above-the-line)连接是虚拟化消费者应用。
线上连接使用虚拟局域网(VLAN)标记和论证作为支持一个以上客户端DMZ中的虚拟化需要的手段,同时维持这些网络连接的容量和高可用性。
置于VIM内的虚拟化技术具有帮助保证该安全网络的完整性和隔离的特定网络路由模式。
本公开避免了与每个DMZ内要求虚拟化能力的单独物理虚拟化场有关的问题、以及与降低DMZ的安全标准并允许数据在DMZ区之间流动有关的问题。
所公开的实施例将虚拟化技术置于相同的DMZ内,从而允许综合利用能力与正在消费该能力的访客系统处于相同的安全风险等级。降低安全杠以允许跨DMZ支持允许数据保护问题存在。
虽然在单客户端环境中单个客户端可签字同意这些增加的风险,但在多承租人环境中,不存在能为该环境内的其他人授权增加的风险的单个客户端。所公开的VIM消除了该额外风险,并提供所要求的洁净网络分离而不引入任何额外风险。
根据各种实施例的VIM模型的虚拟化能力被分成两部分:“线上”使用和“线下”使用。
如本文中所使用的,线上使用是指消费虚拟化的应用所要求的连通性(用于管理、备份、监视、访问等)。线上架构部分是向客户端和客户端系统提供服务的网络架构部分。
如本文中所使用的,线下使用是指主机自身为了被管理和支持所要求的连通性。线下架构部分是提供和实现本文中所描述的虚拟化功能的网络架构部分,并且与客户端和客户端系统隔离。
这种将连通性分成两个相异部分使得能创建围绕主存场的安全区。在没有虚拟化技术的情况下,主机场只能支持单个DMZ。有了虚拟化技术,主机场能支持多个DMZ。只要虚拟化技术连接到相同的物理交换机基础设施,则跨DMZ和跨逻辑舱使用就是可能的。
VIM是网络工程和虚拟化基础设施的结合。因此,两个组件的安全限制对所支持的DMZ和舱的宽度加以限制。如今的主要限制因素在于,网络设备必须在舱类型之间维护高级物理交换机结构等级的物理分离。因此,每个常规VIM也将被限于其基于该相同的限制所能支持的事项。
图2描绘了根据所公开实施例的安全网络架构。图2示出了这些单独DMZ的创建并且可被用来从单个虚拟化场支持多个DMZ。该图示出了VIM DMZ200服务器场,其包括服务器202、服务器204、服务器206和服务器208。这些服务器中的每一个可支持诸如常规和市售软件包的虚拟组件,包括诸如VMware、Solaris、Oracle VM、Sun xVM、MS虚拟服务器、SUN LDOMS、Oracle网格、DB2和SQL服务器软件系统之类的包,用于向客户端284提供各种服务。
VIM DMS 200中的每个服务器202、204、206、208连接成与物理交换机组220通信。
还连接到物理交换机组220的是虚拟化逻辑DMZ舱230、232和234,其中每一个虚拟化逻辑DMZ舱可使用诸如数据处理系统100之类的一个或多个数据处理系统来实现,或者可在单个数据处理系统上实现一个以上虚拟化逻辑DMZ舱。所公开的实施例提供安全数据网络(SDN)。SDN将该网络划分成舱和子舱或即DMZ。所公开的VIM通过使VIM网络与SDN自身的相同基础工程对准来维护SDN的完整性。这通过将对虚拟化技术的主机使用与消费使用分开的网络设备,每物理交换机组(PSB)220实现一VIM DMZ 200。
VIM还解决客户端舱要求,从而提供允许该技术的更低成本实现和更高利用率的相同的增加安全性,同时消除了在跨DMZ区实现虚拟化主存时遭遇的许多风险。虚拟组件和与虚拟组件相关联的数据在逻辑上与其他虚拟化逻辑舱和其他虚拟组件分开。
在常规系统中,各种虚拟机服务器场必须被置于SDN的每个子舱DMZ中。这增加了装备成本,降低了综合利用率,并且由于增加的装备要求而需要额外的管理成本。
相反,所公开的VIM允许跨SDN的舱以及客户端舱综合利用各种虚拟化场以得到更多利用。这通过提供虚拟化逻辑DMZ舱230、232和234来实现。
虚拟化逻辑DMZ舱230、232和234中的每一个可具有服务器202、204、206和208上支持的一个或多个软件包的虚拟实例。例如,在逻辑DMZ舱230中,虚拟组件240实际上在服务器202上执行,虚拟组件242实际上在服务器204上执行,而虚拟组件244实际上在服务器208上执行。在逻辑DMZ舱232中,虚拟组件246实际上在服务器202上执行,虚拟组件248实际上在服务器206上执行,而虚拟组件250实际上在服务器208上执行。在逻辑DMZ舱234中,虚拟组件252实际上在服务器204上执行,虚拟组件254实际上在服务器206上执行,而虚拟组件256实际上在服务器208上执行。
虚拟化逻辑舱因此对客户端系统表现为就像该虚拟化逻辑舱是各自执行虚拟机软件组件的这多个服务器一样。以此方式,每个逻辑DMZ组件能够支持虚拟组件,就像该逻辑DMZ是具有支持每个组件的专用硬件的物理DMZ服务器场一样。
虚拟化逻辑DMZ舱230、232和234(或其中实现它们的数据处理系统)中的每一个被连接到相应的客户端接口280,以在网络282上与各个客户端284通信。客户端接口280可包括任何数目的常规联网组件,包括路由器和防火墙。在一些所公开实施例中,虚拟组件和其他服务至客户端284的服务递送是使用诸如2007年9月5日提交的针对“System and Method for Secure Service Delivery(用于安全服务递送的系统和方法)”的美国专利申请序列号11/899,288中描述的安全服务递送网络来完成的,其中虚拟化逻辑DMZ舱230、232和234中的每一个充当如其中所描述的服务递送舱。至少一个客户端系统能经由至客户端接口280的网络连接与虚拟化逻辑舱通信。
注意,尽管该示例性说明示出了3个逻辑DMZ舱和4个服务器,但是各种实现在VIM DMZ中可包括任何数目的服务器并且可包括任何数目的逻辑DMZ舱,如可能需要的。
在各种实施例中,虚拟化基础设施管理是网络工程与附连到物理交换机以跨附连到该相同交换机组的所有DMZ实现虚拟化的虚拟化能力的组合。
VIM DMZ主存物理基础设施的管理接口,该管理接口是为了在该物理基础设施内创建虚拟机实例而建立的。该VIM DMZ并非主要是为了支持虚拟机实例的管理接口。然而,通过使用虚拟联网技术,VIM内的虚拟机实例上的接口能与服务递送网络广播域的管理或任何其他事项相关联,因此在该广播域内表现为“真实的”接口。
VIM的“线上”部分(示为部分260)包括物理交换机组220和虚拟化逻辑DMZ舱230、232和234,以及去往客户端接口280的任何LAN话务。线上功能包括作业话务(负载平衡和非负载平衡两者)、数据库、以及客户端/访客管理/BUR话务。
VIM的“线下”部分(示为部分270)包括VIM DMZ 200、服务器202、204、206和208、以及其他组件,诸如虚拟化工具210和生命周期工具212。线下功能包括VIM主机话务,诸如VIM管理/BUR、集群心跳互连私有杂项(cluster heartbeat-interconnect-private-misc)和VIM VMotion(虚拟化实时迁移)话务。
在各个实施例中,VIM是包含虚拟技术的DMZ以隔离对这些虚拟技术的管理。对诸如VMotion等这些虚拟技术的管理与任何线上LAN话务隔离。VIM管理/BUR必须与SDN工具舱通信,并且通常不经由NAT的IP地址通信。VIMDMZ去除了对NAT的需要,因为其将线上和线下话务或客户端话务与其中可能涉及多个客户端数据的管理话务分开。
每个逻辑DMZ舱作为能个别地供应的DMZ起作用,以支持综合服务舱(LCS)、服务递送舱(SDC)或专用舱。VIM舱提供管理支持虚拟机实例的物理基础设施的能力。这些管理能力包括供主机服务器获得对诸如管理、监视、备份和恢复、以及无人值守控制台管理等DCI服务的访问的专用VLAN。
然而,虚拟机实例能通过虚拟网络访问除控制台服务外的这些服务。通过虚拟联网,虚拟机能按与物理机相同的方式联网,并且可在单个服务器内或跨多个服务器构建复杂网络。虚拟网络还将提供能访问每个SDN舱内的作业广播域的虚拟机接口,从而允许这些虚拟机接口与物理上连接到这些广播域的服务器接口共享地址空间。
图2描绘了根据所公开实施例的线上和线下模型以及物理交换机组排列。
以下是VIM内采用的所公开虚拟化技术的各种实施例的各种特征。
一些实施例包括供访客和局部区连接到数据库实例的多数据库端口连通性。这些实施例由于增加的工作量密度和高速访问需要以及可用性冗余而提供相当大带宽。一些实施例包括用于访客和局部区的多个作业端口连接(负载平衡和非负载平衡轨)。
一些实施例包括按服务器类型的显式作业卡布局和端口指派以对准作业部署以及支持转换规划开发和测试。一些实施例包括用于私有轨的冗余端口,比如互连和集群,以维护高可用性以及避免虚假集群故障。一些实施例包括端口映射的服务器族排列,以及用于一致服务器分布的卡放置。
一些实施例包括具有使该技术进入VIM的合适的所定义轨和SDN放置的SDN网络架构,连同VLAN标记在应用于该网络架构时的批准使用模式。
一些实施例包括用于VIM中的所有服务器的物理(端口)单独管理/BUR轨。一些实施例包括用于访客、局部区和数据库实例的数据话务(高速访问)的物理上分开的轨,以及用于访客、局部区和DB实例的物理上分开的轨(端口)管理/BUR话务。一些实施例包括用于访客和局部区的作业话务(负载平衡和非负载平衡)的物理上分开的轨。
一些实施例包括用于集群、互连和虚拟机轨的私有轨的专用端口,以及至数据库服务器的多物理端口连通性以使数据轨有增加的带宽和可用性冗余。一些实施例包括用于集成各种虚拟机包的私有轨的专用端口。
每当需要多个DMZ来将工作量分到唯一性安全区时,就可以通过将每个安全区实现为虚拟化逻辑DMZ舱来使用VIM。VIM的实现通过减少递送虚拟化所需的物理服务器的数量、建立它们所花的时间、并降低与使用该技术相关联的安全风险而提供巨大成本优势。
每当要求每舱有单个DMZ或多个DMZ以更改在虚拟化技术将被消费的相同DMZ内运行该虚拟化技术时存在的攻击足迹服务时,也可以使用VIM。这会减少对虚拟化主存平台的攻击的预期风险等级,该攻击可能破坏在该虚拟化平台上运行的所有虚拟化系统。
根据所公开实施例的虚拟化可显著节省每个环境的功率、冷却以及总成本。在标准SDN中对VIM的SDN使用预期将物理服务器的成本减少多达三分之一,而在其他地方,该节省预期更接近在不使用VIM的情况下的计划的百分之八十。其舱内具有多个DMZ的客户端预期也得到类似的节省。
各种开发、测试和集成环境中的VIM实现能减少递送虚拟化所需的服务器/设备的数量。在那些环境中,虚拟化是安全的并且能通过允许客户端和SDN舱综合利用单个VIM环境来展宽达到其最大潜力。该配置仿效单个VIM为整个SMC利用综合主存环境来支持所有需要。
对虚拟化利用VIM还增强了无延迟地向该环境支持的任何DMZ中的应用快速供应虚拟化资源的能力。容量问题被显著减少,因为整个虚拟化场能支持所需的任何工作量。
VIM管理/BUR轨VLAN:该VLAN将提供对综合管理和备份服务的访问。对虚拟化主机的管理访问通过该VLAN来供给。该VLAN不用于任何虚拟机或数据库实例的管理或备份活动。在VIM DMZ中,该VLAN提供从驻留在工具DMZ内的虚拟化工具管理物理主机服务器的能力。该VLAN被广告且优选地具有SDN寻址。
VIM VM轨VLAN:该私有VIM DMZ轨存在于活动虚拟机镜像从一个主机移到另一个主机之处。主机服务器内的这种移动有各种原因,负载平衡和故障是主要起因。虚拟中心将(跨VIM管理/BUR轨)向主机传达需要发生移动,随后该动作将在该VIM VM VLAN轨上发生。仅VM主机服务器主存在该轨上发生的服务器通信,因此该VLAN不被广告并且优选地具有私有寻址。
VIM集群心跳/互连/杂项VLAN轨:该VIM VLAN轨将被用于在主机级发生的集群需要或用于数据库网格的互连。必须发生在主机级而不是发生在虚拟主机级的任何其他通信将使用VIM DMZ内的该VLAN,因此该VLAN不被广告且优选地具有私有寻址。
VLAN标记:IEEE 802.1Q(也称为VLAN标记)是IEEE 802标准过程中的项目,用于开发允许多个桥接网络透明地共享相同物理网络链路的机制而不在网络之间泄漏信息(即,主干化)。IEEE 802.1Q也是该过程发行的标准的名称,并且在常见使用中,是用于在以太网网络上实现该机制的封装协议的名称。
VLAN标记允许多个VLAN被配置在相同的铜线上。
SDN的示例:物理机(虚拟机)在物理上被插入有10根接插线的交换机。一个虚拟访客可以在LSC数据库子舱中并且需要使用该数据VLAN,同时另一个虚拟访客可能在LSC内联网中并且也具有数据VLAN,但它将是单独的相异VLAN,因此VLAN标记获取并区分这两个数据VLAN连接。
通过使用虚拟交换机标记的虚拟机服务器,在用于每个VLAN的虚拟交换机上供应一个端口群,并且随后虚拟机的虚拟接口被附连到该端口群而非直接附连到虚拟交换机。该虚拟交换机端口群标记所有传出帧并移除所有传入帧的标记。它还确保一个VLAN上的帧不会泄漏到不同VLAN中。
虚拟IP规范:虚拟IP地址(VIP)不与具体网络接口相关联。VIP的主要功能是提供网络接口之间的冗余,以在服务器之间浮动从而支持集群、负载平衡或服务器上运行的特定应用等。
VIM 802.1Q-聚集以交换VLAN V-A,B,C-XX:在一些实施例中,这是从虚拟机实例的虚拟交换机接口中的每一个向分发层交换机携带数据的聚集主干链路。该聚集VLAN主干将通过在ESC服务器虚拟接入层交换机使用VLAN802.1Q标记来提供至任何LSC、SDC或专用舱作业、负载平衡、或数据VLAN的虚拟机连接。在一些实施例中,这些可以是源自与相同VLAN上的多个虚拟机接口对接的物理接口的专用连接。
本领域技术人员将认识到,出于简化和清楚,没有在本文中描绘或描述适合与本公开一起使用的所有数据处理系统的完整结构和操作。相反,仅描绘和描述了本公开独有的或者对于理解本公开所必需的数据处理系统的那部分。数据处理系统100的构造和操作的其余部分可符合本领域已知的各种目前实现和实践中的任一种。
重要的是注意到,虽然本公开包括完全功能性系统的上下文中的描述,但是本领域技术人员将领会,本公开的机制的至少部分能够以各种形式中任何形式的机器可使用介质内所包含的指令的形式来分布,并且不管用于实际执行该分布的指令或信号承载机制的特定类型如何,本公开都等同地适应。机器可使用或机器可读介质的示例包括:非易失性硬编码型介质,诸如只读存储器(ROM)或可擦除电可编程只读存储器(EEPROM),以及用户可记录型介质,诸如软盘、硬盘驱动和紧致盘只读存储器(CD-ROM)或数字多功能盘(DVD)。
尽管已详细描述了本公开的示例性实施例,本领域技术人员将理解,可作出本文中所描述的各种改变、替换、变型和改进而不脱离本公开以其最广义形式的精神和范围。
本申请中的描述皆不应被理解为暗示任何特定元件、步骤或功能是权利要求范围中必须包括的必要元素:要求专利的主体的范围仅由所附权利要求定义。而且,这些权利要求皆不旨在援引35USC§112第6段,除非确切的措辞“用于……的装置”后面跟有分词。
Claims (18)
1.一种安全网络架构,包括:
连接成与物理交换机组通信的多个数据处理系统服务器,所述数据处理系统服务器中的每一个执行一虚拟机软件组件;以及
实现虚拟化逻辑舱的数据处理系统,所述数据处理系统连接成经由所述物理交换机组与所述多个数据处理系统服务器通信,
其中所述虚拟化逻辑舱包括各自与所述虚拟机组件中不同的一个虚拟机组件相对应的多个虚拟组件。
2.如权利要求1所述的安全网络架构,其特征在于,还包括连接到所述数据处理系统的客户端接口,其中至少一个客户端系统能经由至所述客户端接口的网络连接与所述虚拟化逻辑舱通信。
3.如权利要求1所述的安全网络架构,其特征在于,还包括实现第二虚拟化逻辑舱的第二数据处理系统,所述第二数据处理系统连接成经由所述物理交换机组与所述多个数据处理系统服务器通信,其中所述第二虚拟化逻辑舱包括各自与所述虚拟机组件中不同的一个虚拟机组件相对应的多个虚拟组件。
4.如权利要求1所述的安全网络架构,其特征在于,所述虚拟化逻辑舱对客户端系统表现为就像所述虚拟化逻辑舱是各自执行虚拟机软件组件的所述多个数据处理系统服务器一样。
5.如权利要求1所述的安全网络架构,其特征在于,所述数据处理系统实现多个虚拟化逻辑舱,每个虚拟化逻辑舱连接成经由所述物理交换机组与所述多个数据处理系统服务器通信,并且其中每个虚拟化逻辑舱的安全不受每个其他虚拟化逻辑舱影响。
6.如权利要求1所述的安全网络架构,其特征在于,所述虚拟组件和与所述虚拟组件相关联的数据在逻辑上与其他虚拟化逻辑舱分开。
7.如权利要求1所述的安全网络架构,其特征在于,所述虚拟组件和与所述虚拟组件相关联的数据在逻辑上与其他虚拟组件分开。
8.一种安全网络架构,包括:
第一架构部分,包括连接成与物理交换机组通信的多个数据处理系统服务器,所述数据处理系统服务器中的每一个执行一虚拟机软件组件;以及
第二架构部分,包括各自实现至少一个虚拟化逻辑舱的多个数据处理系统,每个数据处理系统连接成经由所述物理交换机组与所述多个数据处理系统服务器通信,其中每个虚拟化逻辑舱包括各自与所述虚拟机组件中不同的一个虚拟机组件相对应的多个虚拟组件;以及
客户端接口,其连接至每个数据处理系统以允许在网络上对所述虚拟化逻辑舱的安全客户端访问,
其中所述第一架构部分与直接客户端访问隔离。
9.如权利要求8所述的安全网络架构,其特征在于,所述虚拟化逻辑舱对客户端系统表现为就像所述虚拟化逻辑舱是各自执行虚拟机软件组件的所述多个数据处理系统服务器一样。
10.如权利要求8所述的安全网络架构,其特征在于,所述数据处理系统实现多个虚拟化逻辑舱,每个虚拟化逻辑舱连接成经由所述物理交换机组与所述多个数据处理系统服务器通信,并且其中每个虚拟化逻辑舱的安全不受每个其他虚拟化逻辑舱影响。
11.如权利要求8所述的安全网络架构,其特征在于,所述虚拟组件和与所述虚拟组件相关联的数据在逻辑上与其他虚拟化逻辑舱分开。
12.如权利要求8所述的安全网络架构,其特征在于,所述虚拟组件和与所述虚拟组件相关联的数据在逻辑上与其他虚拟组件分开。
13.一种用于在安全网络架构中提供服务的方法,包括:
在连接成与物理交换机组通信的多个数据处理系统服务器中的每一个数据处理系统服务器上执行虚拟机软件组件;以及
在数据处理系统中实现虚拟化逻辑舱,所述数据处理系统连接成经由所述物理交换机组与所述多个数据处理系统服务器通信,
其中所述虚拟化逻辑舱包括各自与所述虚拟机组件中不同的一个虚拟机组件相对应的多个虚拟组件。
14.如权利要求13所述的方法,其特征在于,还包括由所述虚拟化逻辑舱经由连接至所述数据处理系统的客户端接口与客户端系统通信。
15.如权利要求13所述的方法,其特征在于,所述虚拟化逻辑舱对客户端系统表现为就像所述虚拟化逻辑舱是各自执行虚拟机软件组件的所述多个数据处理系统服务器一样。
16.如权利要求13所述的方法,其特征在于,还包括在所述数据处理系统中实现多个虚拟化逻辑舱,每个虚拟化逻辑舱连接成经由所述物理交换机组与所述多个数据处理系统服务器通信,并且其中每个虚拟化逻辑舱的安全不受每个其他虚拟化逻辑舱影响。
17.如权利要求13所述的方法,其特征在于,所述虚拟组件和与所述虚拟组件相关联的数据在逻辑上与其他虚拟化逻辑舱分开。
18.如权利要求13所述的方法,其特征在于,所述虚拟组件和与所述虚拟组件相关联的数据在逻辑上与其他虚拟组件分开。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/181,743 | 2008-07-29 | ||
| US12/181,743 US20100031253A1 (en) | 2008-07-29 | 2008-07-29 | System and method for a virtualization infrastructure management environment |
| PCT/US2009/051653 WO2010014509A2 (en) | 2008-07-29 | 2009-07-24 | System and method for a virtualization infrastructure management environment |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102027484A true CN102027484A (zh) | 2011-04-20 |
| CN102027484B CN102027484B (zh) | 2014-12-17 |
Family
ID=41609664
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200980117601.8A Active CN102027484B (zh) | 2008-07-29 | 2009-07-24 | 用于虚拟化基础设施管理环境的系统和方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20100031253A1 (zh) |
| EP (1) | EP2308004A4 (zh) |
| CN (1) | CN102027484B (zh) |
| WO (1) | WO2010014509A2 (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102821021A (zh) * | 2011-05-13 | 2012-12-12 | 国际商业机器公司 | 在虚拟化计算环境下运行虚拟交换机的方法和系统 |
| CN103973465A (zh) * | 2013-01-25 | 2014-08-06 | 中国电信股份有限公司 | 分布式跨平台虚拟化能力管理方法和系统 |
| CN104410170A (zh) * | 2014-12-19 | 2015-03-11 | 重庆大学 | 一种适用于电力通信sdn技术 |
| CN104508650A (zh) * | 2012-07-27 | 2015-04-08 | 阿沃森特亨茨维尔公司 | 基于云端的数据中心基础设施管理系统和方法 |
| CN105706074A (zh) * | 2013-09-30 | 2016-06-22 | 慧与发展有限责任合伙企业 | 软件定义网络应用部署 |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8639783B1 (en) | 2009-08-28 | 2014-01-28 | Cisco Technology, Inc. | Policy based configuration of interfaces in a virtual machine environment |
| US8599854B2 (en) * | 2010-04-16 | 2013-12-03 | Cisco Technology, Inc. | Method of identifying destination in a virtual environment |
| US8909053B2 (en) | 2010-06-24 | 2014-12-09 | Hewlett-Packard Development Company, L.P. | Tenant isolation in a multi-tenant cloud system |
| US9424144B2 (en) | 2011-07-27 | 2016-08-23 | Microsoft Technology Licensing, Llc | Virtual machine migration to minimize packet loss in virtualized network |
| US9274825B2 (en) | 2011-08-16 | 2016-03-01 | Microsoft Technology Licensing, Llc | Virtualization gateway between virtualized and non-virtualized networks |
| US8819210B2 (en) | 2011-12-06 | 2014-08-26 | Sap Portals Israel Ltd | Multi-tenant infrastructure |
| WO2013177313A2 (en) * | 2012-05-22 | 2013-11-28 | Xockets IP, LLC | Processing structured and unstructured data using offload processors |
| US9286472B2 (en) * | 2012-05-22 | 2016-03-15 | Xockets, Inc. | Efficient packet handling, redirection, and inspection using offload processors |
| US20140052877A1 (en) * | 2012-08-16 | 2014-02-20 | Wenbo Mao | Method and apparatus for tenant programmable logical network for multi-tenancy cloud datacenters |
| US10929797B1 (en) * | 2015-09-23 | 2021-02-23 | Amazon Technologies, Inc. | Fault tolerance determinations for networked resources |
| CN107800549B (zh) * | 2016-08-30 | 2020-01-03 | 新华三技术有限公司 | 基于交换设备的端口实现多租户设备环境mdc的方法和装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1448017A (zh) * | 2000-07-05 | 2003-10-08 | 恩斯特&扬有限责任合伙公司 | 提供计算机服务的方法和设备 |
| WO2006045846A1 (en) * | 2004-10-29 | 2006-05-04 | Hewlett-Packard Development Company, L.P. | Virtual computing infrastructure |
| CN101188493A (zh) * | 2007-11-14 | 2008-05-28 | 吉林中软吉大信息技术有限公司 | 网络信息安全教学实验装置 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7174390B2 (en) * | 2001-04-20 | 2007-02-06 | Egenera, Inc. | Address resolution protocol system and method in a virtual network |
| US7171434B2 (en) * | 2001-09-07 | 2007-01-30 | Network Appliance, Inc. | Detecting unavailability of primary central processing element, each backup central processing element associated with a group of virtual logic units and quiescing I/O operations of the primary central processing element in a storage virtualization system |
| US7734778B2 (en) * | 2002-04-05 | 2010-06-08 | Sheng (Ted) Tai Tsao | Distributed intelligent virtual server |
| US8327436B2 (en) * | 2002-10-25 | 2012-12-04 | Randle William M | Infrastructure architecture for secure network management with peer to peer functionality |
| US7246174B2 (en) * | 2003-10-28 | 2007-07-17 | Nacon Consulting, Llc | Method and system for accessing and managing virtual machines |
| US7788713B2 (en) * | 2004-06-23 | 2010-08-31 | Intel Corporation | Method, apparatus and system for virtualized peer-to-peer proxy services |
| US20060155738A1 (en) * | 2004-12-16 | 2006-07-13 | Adrian Baldwin | Monitoring method and system |
| US20080127348A1 (en) * | 2006-08-31 | 2008-05-29 | Kenneth Largman | Network computer system and method using thin user client and virtual machine to provide immunity to hacking, viruses and spy ware |
| US8601124B2 (en) * | 2007-06-25 | 2013-12-03 | Microsoft Corporation | Secure publishing of data to DMZ using virtual hard drives |
| US20090210427A1 (en) * | 2008-02-15 | 2009-08-20 | Chris Eidler | Secure Business Continuity and Disaster Recovery Platform for Multiple Protected Systems |
| US8370833B2 (en) * | 2008-02-20 | 2013-02-05 | Hewlett-Packard Development Company, L.P. | Method and system for implementing a virtual storage pool in a virtual environment |
-
2008
- 2008-07-29 US US12/181,743 patent/US20100031253A1/en not_active Abandoned
-
2009
- 2009-07-24 WO PCT/US2009/051653 patent/WO2010014509A2/en active Application Filing
- 2009-07-24 CN CN200980117601.8A patent/CN102027484B/zh active Active
- 2009-07-24 EP EP09803416.8A patent/EP2308004A4/en not_active Withdrawn
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1448017A (zh) * | 2000-07-05 | 2003-10-08 | 恩斯特&扬有限责任合伙公司 | 提供计算机服务的方法和设备 |
| WO2006045846A1 (en) * | 2004-10-29 | 2006-05-04 | Hewlett-Packard Development Company, L.P. | Virtual computing infrastructure |
| CN101188493A (zh) * | 2007-11-14 | 2008-05-28 | 吉林中软吉大信息技术有限公司 | 网络信息安全教学实验装置 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102821021A (zh) * | 2011-05-13 | 2012-12-12 | 国际商业机器公司 | 在虚拟化计算环境下运行虚拟交换机的方法和系统 |
| CN102821021B (zh) * | 2011-05-13 | 2015-05-20 | 国际商业机器公司 | 在虚拟化计算环境下运行虚拟交换机的方法和系统 |
| CN104508650A (zh) * | 2012-07-27 | 2015-04-08 | 阿沃森特亨茨维尔公司 | 基于云端的数据中心基础设施管理系统和方法 |
| CN103973465A (zh) * | 2013-01-25 | 2014-08-06 | 中国电信股份有限公司 | 分布式跨平台虚拟化能力管理方法和系统 |
| CN105706074A (zh) * | 2013-09-30 | 2016-06-22 | 慧与发展有限责任合伙企业 | 软件定义网络应用部署 |
| CN104410170A (zh) * | 2014-12-19 | 2015-03-11 | 重庆大学 | 一种适用于电力通信sdn技术 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2308004A2 (en) | 2011-04-13 |
| WO2010014509A3 (en) | 2010-04-22 |
| US20100031253A1 (en) | 2010-02-04 |
| EP2308004A4 (en) | 2013-06-19 |
| WO2010014509A2 (en) | 2010-02-04 |
| CN102027484B (zh) | 2014-12-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102027484B (zh) | 用于虚拟化基础设施管理环境的系统和方法 | |
| CN102664954B (zh) | 基于hla的分布式仿真支撑平台的实现方法 | |
| CN111556047B (zh) | 一种私有云环境下安全服务的部署方法 | |
| CN107741875A (zh) | 一种异构管理系统 | |
| CN103226518A (zh) | 一种在存储管理系统中进行卷扩展的方法和装置 | |
| CN102341763A (zh) | 由扩展为具有场管理服务器功能的平台管控器在本地虚拟机平台层级上在虚拟机场中进行的功率管理 | |
| CN105376133A (zh) | 一种基于虚拟化技术的网络实验系统及构造方法 | |
| CN102932399B (zh) | 电网调度云灾备系统 | |
| CN105049419A (zh) | 基于异构多样性的拟态网络逐级交换路由系统 | |
| CN107291821A (zh) | 一种同城双活架构快速切换的方法 | |
| CN106961440B (zh) | 基于企业级资源运行监控管理的云平台 | |
| CN102571733B (zh) | Boss系统的访问方法及系统、云计算平台 | |
| Erskine et al. | Survey of Desktop Virtualization in Higher Education: An Energy-and Cost-Savings Perspective. | |
| Huang | On study of building smart campus under conditions of cloud computing and internet of things | |
| Wang et al. | Research on OpenStack of open source cloud computing in colleges and universities’ computer room | |
| Wang et al. | Application of server virtualization technology based on citrix xenserver in the information center of the public security bureau and fire service department | |
| Li | Research on Data Center System Design of Server Virtual Machine Based on Cloud Computing | |
| Ahmed et al. | Optimized and Secured Utilization of Infrastructure Resources using VMWare Stretched Cluster Multi-Site Solutions | |
| Albee et al. | A student-managed networking laboratory | |
| CN113949722B (zh) | 一种aodb应急一体机 | |
| Johnson et al. | Application Research on Virtualized Desktop Technology in Private Colleges and Universities of Art and Design | |
| Sanchao et al. | Discussion of Practical Application of Virtualization Technology in Computer System | |
| Ritschard | Thin clients: make them work for you | |
| Yuan et al. | Architecture Design of Resource Support System for the Rail-Water Intermodal Transportation Cloud Platform | |
| Mackarel et al. | Deliverable DN3. 5.3 Study of Environmental Impact: ICT Best Current Practice |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20160810 Address after: American Texas Patentee after: HEWLETT PACKARD ENTERPRISE DEVELOPMENT LP Address before: texas Patentee before: Hewlett-Packard Development Company, Limited Liability Partnership |