CN103930873B - 用于虚拟化环境的基于动态策略的接口配置 - Google Patents
用于虚拟化环境的基于动态策略的接口配置 Download PDFInfo
- Publication number
- CN103930873B CN103930873B CN201280054401.4A CN201280054401A CN103930873B CN 103930873 B CN103930873 B CN 103930873B CN 201280054401 A CN201280054401 A CN 201280054401A CN 103930873 B CN103930873 B CN 103930873B
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- virtual
- configuration file
- strategy
- machine host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0813—Configuration setting characterised by the conditions triggering a change of settings
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0895—Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Stored Programmes (AREA)
Abstract
在一个实施例中,一种方法包括:接收各自包括操作环境的一个或多个属性的静态配置文件;接收动态配置文件,以基于与所述动态配置文件相关联的所述静态配置文件来标识接口的配置;基于所述接口的所述操作环境使所述动态配置文件与所述静态配置文件之一相关联;以及在识别出所述操作环境中的改变时自动地更新所述关联。还公开了一种装置。
Description
技术领域
本公开一般地涉及通信网络,并且更具体地,涉及用于虚拟化环境的基于策略的接口配置。
背景技术
虚拟化是允许一台计算机通过跨多个系统共享单台计算机的资源来做多台计算机的工作的技术。通过利用虚拟化,多个操作系统和应用能够同时在相同的计算机上运行,从而提高硬件的利用率和灵活性。虚拟化允许服务器被从底层硬件解耦,从而产生共享相同物理服务器硬件的多个虚拟机。在虚拟机环境中,虚拟交换机在服务器上的物理接口与虚拟机接口之间提供网络连通性。现今的服务器的速度和容量在每个服务器上允许大量虚拟机,这产生需要被配置的许多虚拟接口。可以在服务器之间移动虚拟机,在这种情况下对用于虚拟机的策略的改变可能是需要的。还可以存在对于物理接口产生策略改变的网络改变。在常规系统中,这些策略改变通常要求人工干预或附加的管理工具,导致增加的管理复杂性。
附图说明
图1图示了在其中可以实现本文中所描述的实施例的网络的示例。
图2描绘了在实现本文中所描述的实施例时有用的网络设备的示例。
图3图示了服务管理器和网络管理器与图1的网络中的组件的交互。
图4是图示了依照一个实施例的用于基于动态策略的接口配置的过程的概述的流程图。
图5图示了数据中心之间的虚拟机迁移的示例。
图6图示了位于相同数据中心中的服务器集群之间的虚拟机迁移的示例。
对应的附图标记在全部附图的数个视图中指示对应的部分。
具体实施方式
概述
在一个实施例中,方法一般地包括:接收各自包括操作环境的一个或多个属性的静态配置文件;接收动态配置文件以基于与所述动态配置文件相关联的静态配置文件来标识接口的配置;基于接口的操作环境使动态配置文件与静态配置文件中的一个相关联;以及在识别出操作环境中的改变时自动地更新关联。
在另一实施例中,装置一般地包括:存储器,用于存储各自包括操作环境的一个或多个属性的静态配置文件和用于基于与动态配置文件相关联的静态配置文件来标识接口的配置的动态配置文件;以及处理器,用于基于接口的操作环境使动态配置文件与静态配置文件中的一个相关联,并且在识别出操作环境中的改变时自动地更新关联。
示例实施例
给出以下描述来使得本领域的普通技术人员能够实现和使用实施例。特定实施例和应用的描述仅作为示例被提供,并且各种修改对于本领域的技术人员而言将是显而易见的。在不背离实施例的范围的情况下,本文中所描述的一般原理可以被应用于其它应用。因此,实施例将不限于所示出的那些,而是将被给予与本文中所描述的原理和特征一致的最广范围。出于清楚的目的,涉及在与实施例相关的技术领域中已知的技术材料的细节尚未被详细地描述。
在虚拟环境中,虚拟交换机在服务器上的物理接口与虚拟机接口之间提供联网连通性。虚拟机共享硬件资源而互不干扰,以使得数个操作系统和应用能够在单个计算机上同时运行。虚拟机可以例如在虚拟基础设施中被用来动态地将物理资源映射到业务需要。每个服务器可以包括多个虚拟机并且单个虚拟交换域可以包含许多服务器,从而产生要被配置的大量虚拟接口(端口)。
在一个示例中,网络管理器使用虚拟交换机接口配置虚拟交换机和针对虚拟交换机上的虚拟端口的连通性约束以定义端口配置文件。服务器(系统)管理器配置虚拟机并且标识虚拟机接口应该被连接到的虚拟端口。
由于虚拟机的位置改变,可能需要在虚拟机迁移之后修改虚拟机策略。虽然策略改变在移动性域是受限于单个网络(例如,数据中心)的第2层域时是有限的,但是在现今的网络中对策略改变的需要正在日益增加。例如,在虚拟机在数据中心或控制平面之间移动或者移动到具有不同的资源、网络服务的物理服务器或者接入到网络段之后,可能需要策略改变。由于硬件或网络拓扑中的改变(例如,在网络故障之后),还可能需要对物理网络接口的策略改变。在常规系统中,这些策略改变通常要求附加的管理工具或人工干预来修改策略分配,这增加了服务器管理器和网络管理器交互与管理复杂性。
本文中所描述的实施例通过基于接口的操作环境动态地更新用于接口的策略来降低管理复杂性。操作环境例如可以是托管(host)与虚拟接口相关联的虚拟机的服务器、与虚拟接口相关联的虚拟机、或与物理接口通信的物理设备。策略例如可以基于服务器的属性(例如,位置、服务IP地址、服务层)而变化。这允许虚拟机基于虚拟机被托管在其上的服务器而实际上具有不同的策略。如下面所述,网络策略能够在虚拟机迁移或其它网络改变之后被配置一次并且自动地更新。接口配置基于上下文(context)(操作环境)被解释。管理复杂性通过去除为处于多个地方的相同虚拟机定义网络策略的需要以及减少服务器管理器和网络管理器交互来降低。实施例例如可以被用在企业或服务提供商环境中。
现参考附图,并且首先参考图1,示出了在其中可以实现本文中所描述的实施例的网络的示例。为简单起见,仅少数节点被示出。网络包括与服务器(主机、物理机)12、管理站14以及监督器(supervisor)(例如,虚拟监督器模块(VSM))16进行通信的物理交换机10。管理站14例如可以是诸如可从加利福尼亚州帕洛阿尔托的VMware购得的VMware虚拟中心管理站之类的虚拟化管理平台或任何其它管理设备。监督器16可以位于经由物理交换机10与服务器12和管理站14通信的物理器具(例如,服务器)上,或者VSM可以是安装在网络中的服务器12中的一个或另一个服务器或网络设备处的虚拟器具(例如,虚拟机)。在一个实施例中,虚拟监督器模块16通过利用如在下面详细地描述的静态配置文件26和动态配置文件28来提供对网络策略的管理。
每个服务器12包括虚拟交换机(在本文还被称为虚拟以太网模块(VEM))20和一个或多个虚拟机(VM)18。诸如超级监督器(hypervisor)(未示出)之类的虚拟机监控器动态地将硬件资源分配给虚拟机18。可以基于流量模式(traffic pattern)、硬件资源、网络服务或其它准则在服务器12之间以及跨越第2层或第3层边界移动虚拟机18(还被称为vMotion、实时迁移或虚拟机迁移)。
虚拟机18经由连接到虚拟交换机处的虚拟以太网接口的虚拟网络接口卡(VNIC)22与虚拟交换机20通信。服务器12包括针对每个物理网络接口卡(PNIC)24的以太网端口。可以在端口通道处聚合以太网端口。虚拟交换机20经由物理以太网接口与网络通信。虚拟交换机20在虚拟机18与物理网络接口卡24之间交换流量。为简单起见,仅一个虚拟网络接口卡22和一个物理网络接口卡24在图1中被示出。每个虚拟机18与一个或多个虚拟接口22相关联,并且每个物理服务器12与一个或多个物理接口24相关联。
在一个实施例中,虚拟交换机20是驻留在托管虚拟机18的物理主机12中的分布式虚拟交换机的一部分。该分布式虚拟交换机包括安装在服务器12处的虚拟交换机(VEM)20和虚拟监督器模块16。VSM16被配置成为虚拟机18提供控制平面功能性。虚拟交换机20在服务器12处提供交换能力并且作为与VSM16的控制平面相关联的数据平面进行操作。VSM16和虚拟交换机(VEM)20一起操作以形成如由管理站14所查看的分布式虚拟交换机。应当理解的是,图1中所示出的分布式虚拟交换机仅是示例,并且在不背离实施例的范围的情况下,可以使用具有不同配置或组件的其它虚拟化系统。
在一个实施例中,虚拟交换机配置文件(静态配置文件)26被用来为服务器12分配属性和策略,并且上下文感知(context-aware)端口配置文件(动态配置文件)28被用来基于与物理服务器相关联的属性将特征和策略映射到特定端口。这允许附连到相同配置文件的虚拟机18基于虚拟机正在其上运行的服务器12而具有不同的主动策略。在一个实施例中,配置文件26、28被存储在虚拟监督器模块16处。配置文件26、28还可以被存储在管理站14或分布式交换机正在其上运行或与其通信的任何网络设备处。本文中所使用的术语“配置文件”可以指的是用来定义可以应用于(虚拟的或物理的)接口的策略或特征的任何容器或对象。
应当理解的是,图1中所示出和本文所描述的网络仅是示例,并且在不背离实施例的范围的情况下,本文中所描述的实施例可以被实现在具有不同网络拓扑和网络设备的网络中。
可以被用来实现本文中所描述的实施例的网络设备(例如,服务器、器具)30的示例在图2中被示出。在一个实施例中,网络设备30是可以用硬件、软件或其任何组合实现的可编程机器。设备30包括一个或多个处理器32、存储器34以及网络接口36。存储器34可以是易失性存储装置或非易失性储存装置,其存储各种应用、模块以及数据以由处理器32执行和使用。存储器34例如可以包括配置文件38(例如,虚拟交换机配置文件、上下文感知端口配置文件)。
逻辑可以被编码在一个或多个有形计算机可读介质中以由处理器32执行。例如,处理器32可以执行在诸如存储器34之类的计算机可读介质中存储的代码。计算机可读介质例如可以是电子的(例如,随机存取存储器(RAM)、只读存储器(ROM)、可擦可编程只读存储器(EPROM))、磁的、光的(例如,CD、DVD)、电磁的、半导体技术、或任何其它适合的介质。
网络接口36可以包括一个或多个接口(线卡、端口)以用于接收数据或者将数据发送到其它设备。接口36例如可以包括用于连接到计算机或网络的以太网接口。
应当理解的是,在图2中示出和上面描述的网络设备仅是示例,并且在不背离实施例的范围的情况下,可以使用具有不同组件和配置的网络设备。
在一个实施例中,提供了描述物理服务器和它们的属性的构造(在本文中被称为虚拟交换机配置文件或静态配置文件)。虚拟交换机配置文件与端口配置文件相关联(在本文中被称为上下文感知端口配置文件或动态配置文件)。这允许附连到上下文感知端口配置文件的虚拟机基于虚拟机被托管在其上的服务器12而实际上具有不同的策略。
虚拟交换机配置文件(静态配置文件)26是与虚拟交换机20正在其上操作的物理服务器12相关联的属性(策略,特征,规则,属性)的静态容器。虚拟交换机配置文件26定义策略在其中被解释的上下文。虚拟交换机配置文件26例如包括诸如服务器集群、CPU的数目、存储器、主机名、域名、管理IP地址或网络服务设备IP地址之类的获知的属性,以及诸如位置(例如,San Jose)、虚拟机的最大数目、ACL(访问控制列表)等之类的分配的属性或策略。虚拟交换机配置文件26可以包含跨虚拟交换机20上的所有端口(接口)22应用的策略或基于获知的属性来定义配置文件的成员的规则(例如,具有标识特定位置的域名的所有虚拟机)。一个或多个端口的端口配置文件或接口配置可以覆盖(override)跨虚拟交换机20的所有端口应用的虚拟交换机配置文件策略。手动映射或规则可以被用来定义虚拟交换机的继承配置文件。例如,成员可以包括其中管理IP在子网X中的所有虚拟交换机、不在集群Y中的所有虚拟交换机、或其中名称和特定域名相匹配的所有虚拟交换机。在站点内的虚拟交换机还可以在不同的配置文件中。
下面是一个虚拟交换机配置文件的示例:
Nxl000(conf)#vem-profile SJC-VEM
Nxl000(conf-vem-prof)#profile membership match domainsjc.cisco.com
Nxl000(conf-vem-prof)#1ocation SJC
Nxl000(conf-vem-prof)#vn-service ip address172.1.1.102
在上述示例中的虚拟交换机配置文件SJC-VEM的属性包括域名(sjc.cisco.com)、位置(San Jose(SJC))以及服务设备IP地址(172.1.1.102)。
虚拟交换机配置文件是策略可以在其中被解释的上下文的一个示例。静态配置文件还可以包括其它上下文,诸如虚拟机、用户、网络、域或其它操作环境。在下面所描述的上下文感知配置文件可以基于一个或多个上下文(例如,虚拟交换机配置文件、虚拟机配置文件、虚拟交换机和虚拟机配置文件)而被解析。
上下文感知端口配置文件(动态配置文件)28是基于与上下文相关联的属性被解释的动态策略容器对象。上下文感知端口配置文件28基于所关联的静态配置文件26(例如,虚拟交换机配置文件)来评估端口(虚拟接口、物理接口)的有效配置。动态配置文件可以代替(或附加到)正规(非上下文感知)端口配置文件被应用于接口。端口配置策略例如可以包括VLAN和PVLAN设定、ACL、QoS(服务质量)策略、端口安全、速率限制或可以被应用于接口(例如,虚拟接口、物理接口、与虚拟接口相关联的虚拟机、与物理接口相关联的物理设备)的任何其它配置参数。
存在用来将上下文感知端口配置文件28链接(关联)到上下文(例如,虚拟交换机配置文件)26的各种方式。下面描述了两个示例。
在第一示例中,针对每组虚拟交换机定义了上下文(例如,以下示例中的context-foo、context-bar)并且针对在端口配置文件定义内的虚拟交换机定义了策略。多个配置文件可以使用相同的上下文。
上下文感知端口配置文件:
Nx1000(conf)#Port-profile type context context-foo
Nx1000(conf-port-prof)switchport access vlan100
Nx1000(conf-port-prof)vn-service ip address a.b.c.d
Nxl000(,conf)#Port-profile type context context-bar
Nxl000(conf-port-prof)switchport access vlan200
Nx1000(conf-port-prof)vn-service ip address w.x.y.z
虚拟交换机配置文件:
Nxl000(conf)#vem-profile SJC
Nx1000(conf-vem-profile)#location SJC
Nx1000(conf-vem-profile)#context1context-foo
Nxl000(conf)#vem-profi le RTP
Nxl000(conf-vem-profile)#location RTP
Nx1000(conf-vem-profile)#context1context-bar
上面的每个上下文感知端口配置文件组中的端口配置文件类型上下文是不能够继承其它配置文件且本身不是上下文感知的静态容器。
在将端口配置文件链接到虚拟交换机配置文件的第二示例中,上下文变量(例如,以下示例中的context1、context2)针对端口配置文件被定义并且被定义在每个虚拟交换机配置文件内。策略然后被与上下文变量相关联(例如,在以下示例中使vem-profile SJC与context1相关联或者使vem-profile RTP与context2相关联)。
上下文感知端口配置文件:
Nxl000(conf)#Port-profile type context context-foo
Nxl000(conf-port-prof)switchport access vlan100
Nxl000(conf-port-prof)profle context1
Nxl000(conf-port-prof)associate vem-profile SJC
Nx1000(conf-port-prof)inherit context-foo
Nxl000(conf-vem-profile)#vn-service ip address a.b.c.d
Nxl000(conf-port-prof)profile context2
Nxl000(conf-port-prof)associate vem-profile RTP
Nxl000(conf-port-prof)switchport access vlan200
Nxl000(conf-vem-profile)#vn-service ip address w.x.y.z
Nx1000(conf-port-prof)profile default
Nx1000(conf-port-prof)inherit context-foo
虚拟交换机配置文件:
Nx1000(conf)#vem-profile SJC
Nxl000(conf-vem-profile)#location SJC
Nxl000(conf)#vem-profile RTP
Nx1000(conf-vem-profile)#location RTP
Nx1000(conf-vem-profile)#vn-scrvice ip address u.v.w.x
如果不存在匹配的虚拟交换机配置文件,则“配置文件默认(profile default)”提供默认上下文。
应当理解的是,本文中所描述的用于虚拟交换机配置文件和上下文感知端口配置文件的格式和用来将虚拟交换机配置文件链接到上下文感知端口文件的方法仅是示例,并且在不背离实施例的范围的情况下,可以使用其它格式和方法。
配置文件可以包含大量特征。可以为给定虚拟网络接口卡选择一个以上的动态配置文件,因为能够存在一个以上的组,其中一个组包括第一组特征并且另一组包括第二组特征,同时这些组是正交且可加的。
图3是图示了服务器管理器和网络管理器与图1的网络中的组件的交互的框图。在一个示例中,网络管理器使用虚拟交换机接口15配置虚拟交换机20和用于虚拟交换机上的虚拟端口的连通性限制以在监督器16处定义端口配置文件。网络管理器可以定义虚拟机18连接到的配置文件并且基于虚拟机能够位于其上的物理服务器12来定义特定策略。例如,端口配置文件可以使用命令行接口(CLI)来定义。
一旦端口配置文件在监督器16处被定义了,端口配置文件(或端口组)就可以被发送到管理站14。端口配置文件将被导出到管理站14,以便服务器管理器能够选择要使用哪一个策略来定义虚拟机接口的连通性限制。服务器管理器选择要使用哪一个配置策略并且将端口配置文件(或端口组)附连到虚拟机接口(或物理接口)。服务器管理器可以使用管理站14配置虚拟机18并且确定哪些虚拟端口连接到哪些虚拟机接口。这一信息然后被传递给虚拟交换机(例如,监督器16)以用于端口22、24的配置。服务器管理器仅需要将虚拟机18连接到上下文感知端口配置文件一次。虚拟机18从它被连接到的配置文件得到它的策略并且得到针对它被托管在其上的物理服务器12的策略。不管虚拟机18移动到哪里,服务器管理器不需要改变它被连接到的配置文件,并且网络管理器不需要改变针对虚拟机具有的端口配置文件的配置。
实施例减少了服务器管理器和网络管理器交互,因为所需要的唯一交互是标识所托管的虚拟机的类型和关于物理服务器的细节,比如,位置等。网络策略仅需要被配置一次。虚拟机18能够在整个网络内移动并且能够基于虚拟机正在其中运行的操作环境来得到期望的行为。并且,能够被用来做出决策的服务器属性被披露。
图4是图示了依照一个实施例的用于基于动态策略的接口配置的过程的概述的流程图。在步骤40处,网络设备(例如,监督器16)接收标识托管虚拟机18的物理网络设备(例如,服务器、主机)12的属性(策略、规则、特征、属性)的静态配置文件(例如,虚拟交换机配置文件)26。虚拟交换机配置文件可以例如由网络管理器来键入。在步骤42处动态配置文件(上下文感知端口配置文件)28被接收。该动态配置文件基于与动态配置文件相关联的静态配置文件或其它属性来标识(解释)接口的配置。例如,服务器管理器可以最初经由管理站14将接口连接到动态配置文件并且监督器16可以从管理站14接收映射。动态配置文件基于接口的操作环境(例如,接口位于在其上的服务器)而被与静态配置文件相关联(步骤44)。动态配置文件与静态配置文件之间的关联允许接口配置基于虚拟机18当前位于在其上的物理网络设备的属性或其它上下文被解释。例如,虚拟机18可以接收其来自它被连接到的配置文件的策略和针对它当前被托管在其上的物理服务器12的策略。
在操作环境中的改变(例如,虚拟机的迁移、网络拓扑中的改变)之后,静态配置文件26与动态配置文件28之间的关联被更新(步骤46)。接口例如基于虚拟机18被连接的虚拟交换机20的配置文件被配置。还可以在网络拓扑改变(例如,在物理链路的远端处的硬件中的改变、主链路的故障)之后针对物理接口来更新动态配置文件与静态配置文件之间的关联。不管虚拟机18移动到哪里,服务器管理器都不需要改变它被连接到的配置文件并且网络管理器不需要改变端口配置文件的配置。
应当理解的是,图4中所示出的过程仅是一个示例,并且在不背离实施例的范围的情况下,步骤可以被修改、重排序或者组合。
虚拟机18可以跨相同的或不同的控制平面或虚拟交换机域例如从一个服务器12移动到在相同的网络或不同的网络中的另一服务器,或者移动到具有有限资源、不同服务的新的服务器,或者接入到网络段。以下示例图示了在虚拟机的迁移之后上下文感知端口配置文件如何可以被用来使虚拟机18与新的策略相关联。
图5图示了虚拟机18从一个数据中心(数据中心A)50中的第一服务器12到另一数据中心(数据中心B)中的第二服务器的迁移。两个数据中心50跨可以跨越一个或多个网络的数据中心互连通信。每个数据中心50使用不同的虚拟安全网关(VSG A、VSG B))52。发送到虚拟机18或从虚拟机18发送来的流量,或者从虚拟机发送到虚拟机的流量被重定向至虚拟安全网关52。该虚拟安全网关强制执行策略以便为虚拟数据中心和云计算环境提供安全依从性和可信接入。当虚拟机18从数据中心A移动到数据中心B时,针对附连到该虚拟机的虚拟接口的上下文感知端口配置文件与针对位于数据中心B中的服务器12的虚拟交换机配置文件相关联,该数据中心B标识VSG B的服务IP地址。这消除了通过数据中心互连使业务重定向的需要。
图5中所示出的虚拟安全网关52仅是网络服务设备的一个示例,并且本文中所描述的实施例可以与其它服务设备一起使用来基于虚拟机的位置使虚拟机18与服务设备相关联。可以基于诸如位置之类的虚拟交换机属性而变化的网络服务的示例包括L2/L3定位符/ID分离协议(LISP)、动态主机配置协议(DHCP)中继、网络流输出(export)、ACL日志源或目的地IP地址。
图6图示了其中虚拟机18基于它们的位置得到不同层的服务的示例。在一个示例中,数据中心60包括两层(第1层、第2层)服务器集群。托管在第1层集群中的服务器12上的虚拟机18接收与托管在第2层集群中的服务器上的虚拟机不同的服务等级。两个集群中的虚拟机18可以具有共同的网络策略(例如,ACL)。在常规系统中,网络管理器为客户的虚拟机创建一个配置文件,并且然后当客户服务等级改变时需要以新的服务等级来创建其它配置文件。并且,服务器管理器需要关于新的配置文件的信息以在移动到新的服务等级集群后将该虚拟机连接到新的服务等级集群。本文中所描述的实施例消除了当服务等级改变时创建新的配置文件的需要。虚拟机18被简单地移动到新的服务等级集群,并且上下文感知端口配置文件基于虚拟机所位于的新的服务器12自动地更新配置文件。例如,如果第1层集群中的虚拟机被移动到第2层集群,则该虚拟机不需要被映射到不同的配置文件。在迁移之后,虚拟机18可以得到例如不同的保证带宽。虚拟机18保持被连接到单个端口配置文件并且仍然能够基于它们被托管在其上的服务器12(所连接到的虚拟交换机)得到不同层的服务。这减少了服务器管理器和网络管理器交互。
策略改变还可能是因为认证或用户。例如,可以存在静态策略“思科-出向-端口-配置文件(cisco—eng—port—profile)”并且基于登录的用户,某些参数可以针对该策略动态地随着用户从其登录的位置而改变。
物理接口24(图1)还可以被与一个或多个上下文感知端口配置文件相关联。可以在网络拓扑改变之后更新这些。例如,上游硬件(例如,物理交换机)中的改变或物理链路之一中的故障可以产生基于新的上下文的配置文件的改变。
尽管已经依照所示出的实施例描述了方法和装置,但是本领域的普通技术人员将容易地认识到,在不背离实施例的范围的情况下,能够做出变化。因此,意图是,包含在上述描述中和在附图中示出的所有内容应该被解释为说明性的而不是限制性意义的。
Claims (8)
1.一种用于基于动态策略的接口配置的方法,包括:
在网络设备处接收各自包括一个或多个策略的静态配置文件,所述一个或多个策略被分配给虚拟机主机以应用于附着到虚拟机的虚拟接口,其中所述策略提供安全性;
在所述网络设备处接收动态配置文件,以基于与所述动态配置文件相关联的所述静态配置文件之一来标识所述虚拟接口的配置策略,其中所述静态配置文件定义所述虚拟机主机,在所述虚拟机主机中所述策略是基于被分配给所述虚拟机主机的所述一个或多个策略来解释的;
基于所述虚拟机主机使所述动态配置文件与所述静态配置文件之一相关联;
基于与所述动态配置文件相关联的所述静态配置文件来解释所述虚拟接口的配置策略;以及
在识别到所述虚拟机从所述虚拟机主机到另一虚拟机主机的移动时自动地更新所述动态配置文件和所述静态配置文件之间的关联;
其中所述静态配置文件与在所述虚拟机主机处操作的虚拟交换机相关联,附着到所述动态配置文件的所述虚拟机包括基于所述虚拟机位于其中的所述虚拟机主机而生效的不同策略。
2.根据权利要求1所述的方法,其中所述静态配置文件的属性包括所述虚拟机主机的位置。
3.根据权利要求1所述的方法,其中多个动态配置文件被选择并且应用于所述虚拟接口、并且被合并以形成接口配置。
4.根据权利要求1所述的方法,其中所述静态配置文件的属性包括网络服务设备的地址。
5.一种用于基于动态策略的接口配置的设备,包括:
用于在网络设备处接收各自包括一个或多个策略的静态配置文件的装置,所述一个或多个策略被分配给虚拟机主机以应用于附着到虚拟机的虚拟接口,其中所述策略提供安全性;
用于在所述网络设备处接收动态配置文件以基于与所述动态配置文件相关联的所述静态配置文件之一来标识所述虚拟接口的配置策略的装置,其中所述静态配置文件定义所述虚拟机主机,在所述虚拟机主机中所述策略是基于被分配给所述虚拟机主机的所述一个或多个策略来解释的;
用于基于所述虚拟机主机使所述动态配置文件与所述静态配置文件之一相关联的装置;
用于基于与所述动态配置文件相关联的所述静态配置文件来解释所述虚拟接口的配置策略的装置;以及
用于在识别到所述虚拟机从所述虚拟机主机到另一虚拟机主机的移动时自动地更新所述动态配置文件和所述静态配置文件之间的关联的装置;
其中所述静态配置文件与在所述虚拟机主机处操作的虚拟交换机相关联,附着到所述动态配置文件的所述虚拟机包括基于所述虚拟机位于其中的所述虚拟机主机而生效的不同策略。
6.根据权利要求5所述的设备,其中所述静态配置文件的属性包括所述虚拟机主机的位置。
7.根据权利要求5所述的设备,其中所述静态配置文件的属性包括网络服务设备的地址。
8.一种用于基于动态策略的接口配置的装置,其包括:
存储器,用于存储各自包括被分配给虚拟机主机以应用于附着到虚拟机的虚拟接口的一个或多个策略的静态配置文件和用于基于与动态配置文件相关联的所述静态配置文件之一来标识所述虚拟接口的配置策略的所述动态配置文件;以及
处理器,用于基于所述虚拟机主机使所述动态配置文件与所述静态配置文件之一相关联,基于与所述动态配置文件相关联的所述静态配置文件来解释所述虚拟接口的配置策略,并且在识别到所述虚拟机从所述虚拟机主机到另一虚拟机主机的移动时自动地更新所述动态配置文件和所述静态配置文件之间的关联;
其中所述静态配置文件定义所述虚拟机主机,在所述虚拟机主机中所述策略被解释,并且所述动态配置文件基于被分配给所述虚拟机主机的所述一个或多个策略而被解释,所述策略提供安全性;以及
其中所述静态配置文件与在所述虚拟机主机处操作的虚拟交换机相关联,附着到所述动态配置文件的所述虚拟机包括基于所述虚拟机位于其中的所述虚拟机主机而生效的不同策略。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US13/293,421 US9294351B2 (en) | 2011-11-10 | 2011-11-10 | Dynamic policy based interface configuration for virtualized environments |
US13/293,421 | 2011-11-10 | ||
PCT/US2012/062956 WO2013070481A1 (en) | 2011-11-10 | 2012-11-01 | Dynamic policy based interface configuration for virtualized environments |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103930873A CN103930873A (zh) | 2014-07-16 |
CN103930873B true CN103930873B (zh) | 2017-11-17 |
Family
ID=47216416
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201280054401.4A Active CN103930873B (zh) | 2011-11-10 | 2012-11-01 | 用于虚拟化环境的基于动态策略的接口配置 |
Country Status (4)
Country | Link |
---|---|
US (1) | US9294351B2 (zh) |
EP (1) | EP2776925B1 (zh) |
CN (1) | CN103930873B (zh) |
WO (1) | WO2013070481A1 (zh) |
Families Citing this family (46)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9137251B2 (en) * | 2005-03-16 | 2015-09-15 | Fortinet, Inc. | Inheritance based network management |
US8995287B2 (en) * | 2011-12-09 | 2015-03-31 | Brocade Communication Systems, Inc. | AMPP active profile presentation |
US9916545B1 (en) * | 2012-02-29 | 2018-03-13 | Amazon Technologies, Inc. | Portable network interfaces for authentication and license enforcement |
US9430295B1 (en) * | 2012-03-29 | 2016-08-30 | Infoblox Inc. | Internet protocol address management (IPAM) integration with a plurality of virtualization tiers in the virtual cloud |
US9485276B2 (en) | 2012-09-28 | 2016-11-01 | Juniper Networks, Inc. | Dynamic service handling using a honeypot |
US20140096229A1 (en) * | 2012-09-28 | 2014-04-03 | Juniper Networks, Inc. | Virtual honeypot |
US9535727B1 (en) * | 2013-02-07 | 2017-01-03 | Ca, Inc. | Identifying virtual machines that perform inconsistent with a profile |
US9515924B2 (en) * | 2013-07-03 | 2016-12-06 | Avaya Inc. | Method and apparatus providing single-tier routing in a shortest path bridging (SPB) network |
US9467366B2 (en) | 2013-07-03 | 2016-10-11 | Avaya Inc. | Method and apparatus providing single-tier routing in a shortest path bridging (SPB) network |
US9910686B2 (en) | 2013-10-13 | 2018-03-06 | Nicira, Inc. | Bridging between network segments with a logical router |
US9560081B1 (en) | 2016-06-24 | 2017-01-31 | Varmour Networks, Inc. | Data network microsegmentation |
EP2911347B1 (en) | 2014-02-24 | 2019-02-13 | Hewlett-Packard Enterprise Development LP | Providing policy information |
US9893988B2 (en) | 2014-03-27 | 2018-02-13 | Nicira, Inc. | Address resolution using multiple designated instances of a logical router |
CN104243608B (zh) * | 2014-09-29 | 2018-02-06 | 华为技术有限公司 | 一种通信方法、云管理服务器及虚拟交换机 |
US10020960B2 (en) | 2014-09-30 | 2018-07-10 | Nicira, Inc. | Virtual distributed bridging |
US9768980B2 (en) | 2014-09-30 | 2017-09-19 | Nicira, Inc. | Virtual distributed bridging |
US10250443B2 (en) | 2014-09-30 | 2019-04-02 | Nicira, Inc. | Using physical location to modify behavior of a distributed virtual network element |
US10511458B2 (en) | 2014-09-30 | 2019-12-17 | Nicira, Inc. | Virtual distributed bridging |
US9712455B1 (en) | 2014-11-13 | 2017-07-18 | Cisco Technology, Inc. | Determining availability of networking resources prior to migration of a server or domain |
JP2016100739A (ja) * | 2014-11-21 | 2016-05-30 | 株式会社日立製作所 | ネットワークシステム、ネットワークシステムの管理方法及びゲートウェイ装置 |
US9912532B2 (en) * | 2015-02-04 | 2018-03-06 | International Business Machines Corporation | Port group configuration for interconnected communication devices |
US9609026B2 (en) | 2015-03-13 | 2017-03-28 | Varmour Networks, Inc. | Segmented networks that implement scanning |
US9438634B1 (en) * | 2015-03-13 | 2016-09-06 | Varmour Networks, Inc. | Microsegmented networks that implement vulnerability scanning |
US9467476B1 (en) * | 2015-03-13 | 2016-10-11 | Varmour Networks, Inc. | Context aware microsegmentation |
US10178070B2 (en) | 2015-03-13 | 2019-01-08 | Varmour Networks, Inc. | Methods and systems for providing security to distributed microservices |
US10747564B2 (en) * | 2015-04-02 | 2020-08-18 | Vmware, Inc. | Spanned distributed virtual switch |
US10419365B2 (en) * | 2015-04-20 | 2019-09-17 | Hillstone Networks Corp. | Service insertion in basic virtual network environment |
US10348625B2 (en) | 2015-06-30 | 2019-07-09 | Nicira, Inc. | Sharing common L2 segment in a virtual distributed router environment |
CN106330782B (zh) * | 2015-06-30 | 2020-06-26 | 中兴通讯股份有限公司 | 端口容量分配方法及装置、交换机业务板卡 |
CN105939309B (zh) * | 2015-07-28 | 2019-08-06 | 杭州迪普科技股份有限公司 | 一种虚拟机隔离方法及装置 |
US9678783B2 (en) | 2015-10-14 | 2017-06-13 | International Business Machines Corporation | Temporal dynamic virtual machine policies |
US20170279676A1 (en) * | 2016-03-22 | 2017-09-28 | Futurewei Technologies, Inc. | Topology-based virtual switching model with pluggable flow management protocols |
EP3422184A4 (en) * | 2016-03-25 | 2019-03-20 | Huawei Technologies Co., Ltd. | METHOD AND DEVICE FOR APPLICATION MANAGEMENT IN A NETWORK FUNCTION VIRTUALIZATION ENVIRONMENT |
US10476738B1 (en) | 2016-06-13 | 2019-11-12 | Amazon Technologies, Inc. | Virtual network segmentation |
US10346190B1 (en) * | 2016-06-13 | 2019-07-09 | Amazon Technologies, Inc. | Interprocess segmentation in virtual machine environments |
US9787639B1 (en) | 2016-06-24 | 2017-10-10 | Varmour Networks, Inc. | Granular segmentation using events |
CN108023756B (zh) * | 2016-10-28 | 2021-09-28 | 阿里巴巴集团控股有限公司 | 一种虚拟交换机的升级方法和装置 |
US10924432B2 (en) * | 2017-02-10 | 2021-02-16 | Oracle International Corporation | System and method for fabric level verification of host defined port GUIDs in a high performance computing network |
US10756966B2 (en) | 2017-02-22 | 2020-08-25 | Cisco Technology, Inc. | Containerized software architecture for configuration management on network devices |
CN108241497B (zh) * | 2017-10-18 | 2021-09-07 | 北京车和家信息技术有限公司 | 车载客户端开发接口动态更新方法、装置、设备和介质 |
US10374827B2 (en) | 2017-11-14 | 2019-08-06 | Nicira, Inc. | Identifier that maps to different networks at different datacenters |
US10511459B2 (en) | 2017-11-14 | 2019-12-17 | Nicira, Inc. | Selection of managed forwarding element for bridge spanning multiple datacenters |
US11805104B2 (en) | 2018-12-14 | 2023-10-31 | Battelle Memorial Institute | Computing system operational methods and apparatus |
US11102074B2 (en) * | 2019-01-11 | 2021-08-24 | Cisco Technology, Inc. | Software defined access fabric without subnet restriction to a virtual network |
US20230089819A1 (en) * | 2021-09-22 | 2023-03-23 | Hewlett Packard Enterprise Development Lp | Source port-based identification of client role |
CN113923253A (zh) * | 2021-10-12 | 2022-01-11 | 西安万像电子科技有限公司 | 一种虚拟机图像传输方法、电子设备及存储介质 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102136931A (zh) * | 2010-09-20 | 2011-07-27 | 华为技术有限公司 | 虚端口网络策略配置方法、一种网络管理中心和相关设备 |
Family Cites Families (34)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6363081B1 (en) | 1998-03-04 | 2002-03-26 | Hewlett-Packard Company | System and method for sharing a network port among multiple applications |
US6085237A (en) | 1998-05-01 | 2000-07-04 | Cisco Technology, Inc. | User-friendly interface for setting expressions on an SNMP agent |
US6247057B1 (en) | 1998-10-22 | 2001-06-12 | Microsoft Corporation | Network server supporting multiple instance of services to operate concurrently by having endpoint mapping subsystem for mapping virtual network names to virtual endpoint IDs |
US20030014524A1 (en) | 2001-07-11 | 2003-01-16 | Alexander Tormasov | Balancing shared servers in virtual environments |
US6760804B1 (en) | 2001-09-11 | 2004-07-06 | 3Com Corporation | Apparatus and method for providing an interface between legacy applications and a wireless communication network |
US20050232256A1 (en) | 2002-03-29 | 2005-10-20 | Jason White | Applying object oriented concepts to switch system configurations |
US7222173B2 (en) | 2003-02-10 | 2007-05-22 | International Business Machines Corporation | Limited knowledge of configuration information of a FICON controller |
US7516211B1 (en) | 2003-08-05 | 2009-04-07 | Cisco Technology, Inc. | Methods and apparatus to configure a communication port |
EP1678617A4 (en) | 2003-10-08 | 2008-03-26 | Unisys Corp | COMPUTER SYSTEM PARAVIRTUALIZATION BY USING A HYPERVISOR IMPLEMENTED IN A PARTITION OF THE HOST SYSTEM |
US7472195B2 (en) | 2003-11-19 | 2008-12-30 | International Business Machines Corporation | Unobtrusive port and protocol sharing among server processes |
EP1854250B1 (en) | 2005-02-28 | 2011-09-21 | International Business Machines Corporation | Blade server system with at least one rack-switch having multiple switches interconnected and configured for management and operation as a single virtual switch |
US7607129B2 (en) | 2005-04-07 | 2009-10-20 | International Business Machines Corporation | Method and apparatus for using virtual machine technology for managing parallel communicating applications |
US7200704B2 (en) | 2005-04-07 | 2007-04-03 | International Business Machines Corporation | Virtualization of an I/O adapter port using enablement and activation functions |
US8381209B2 (en) | 2007-01-03 | 2013-02-19 | International Business Machines Corporation | Moveable access control list (ACL) mechanisms for hypervisors and virtual machines and virtual port firewalls |
WO2008093174A1 (en) | 2007-02-02 | 2008-08-07 | Groupe Des Ecoles Des Telecommuinications (Get) Institut National Des Telecommunications (Int) | Autonomic network node system |
US8176486B2 (en) | 2007-02-15 | 2012-05-08 | Clearcube Technology, Inc. | Maintaining a pool of free virtual machines on a server computer |
US20090328193A1 (en) * | 2007-07-20 | 2009-12-31 | Hezi Moore | System and Method for Implementing a Virtualized Security Platform |
JP2008228150A (ja) | 2007-03-15 | 2008-09-25 | Nec Corp | スイッチ装置及びフレーム交換方法とそのプログラム |
US8458694B2 (en) | 2007-04-30 | 2013-06-04 | International Business Machines Corporation | Hypervisor with cloning-awareness notifications |
US7836332B2 (en) | 2007-07-18 | 2010-11-16 | Hitachi, Ltd. | Method and apparatus for managing virtual ports on storage systems |
US8667556B2 (en) | 2008-05-19 | 2014-03-04 | Cisco Technology, Inc. | Method and apparatus for building and managing policies |
US8195774B2 (en) | 2008-05-23 | 2012-06-05 | Vmware, Inc. | Distributed virtual switch for virtualized computer systems |
US7962647B2 (en) | 2008-11-24 | 2011-06-14 | Vmware, Inc. | Application delivery control module for virtual network switch |
US8331362B2 (en) | 2008-12-30 | 2012-12-11 | Juniper Networks, Inc. | Methods and apparatus for distributed dynamic network provisioning |
US8213336B2 (en) | 2009-02-23 | 2012-07-03 | Cisco Technology, Inc. | Distributed data center access switch |
US8693485B2 (en) * | 2009-10-14 | 2014-04-08 | Dell Products, Lp | Virtualization aware network switch |
US20120054624A1 (en) * | 2010-08-27 | 2012-03-01 | Owens Jr Kenneth Robert | Systems and methods for a multi-tenant system providing virtual data centers in a cloud configuration |
US9350702B2 (en) * | 2010-02-17 | 2016-05-24 | Hewlett Packard Enterprise Development Lp | Virtual insertion into a network |
US8887227B2 (en) * | 2010-03-23 | 2014-11-11 | Citrix Systems, Inc. | Network policy implementation for a multi-virtual machine appliance within a virtualization environtment |
US8599854B2 (en) * | 2010-04-16 | 2013-12-03 | Cisco Technology, Inc. | Method of identifying destination in a virtual environment |
US20120039175A1 (en) * | 2010-08-11 | 2012-02-16 | Alcatel-Lucent Usa Inc. | Enabling a distributed policy architecture with extended son (extended self organizing networks) |
US8356120B2 (en) * | 2011-01-07 | 2013-01-15 | Red Hat Israel, Ltd. | Mechanism for memory state restoration of virtual machine (VM)-controlled peripherals at a destination host machine during migration of the VM |
US8462666B2 (en) * | 2011-02-05 | 2013-06-11 | Force10 Networks, Inc. | Method and apparatus for provisioning a network switch port |
US9424144B2 (en) * | 2011-07-27 | 2016-08-23 | Microsoft Technology Licensing, Llc | Virtual machine migration to minimize packet loss in virtualized network |
-
2011
- 2011-11-10 US US13/293,421 patent/US9294351B2/en active Active
-
2012
- 2012-11-01 EP EP12788689.3A patent/EP2776925B1/en active Active
- 2012-11-01 WO PCT/US2012/062956 patent/WO2013070481A1/en active Application Filing
- 2012-11-01 CN CN201280054401.4A patent/CN103930873B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102136931A (zh) * | 2010-09-20 | 2011-07-27 | 华为技术有限公司 | 虚端口网络策略配置方法、一种网络管理中心和相关设备 |
Also Published As
Publication number | Publication date |
---|---|
US20130125112A1 (en) | 2013-05-16 |
US9294351B2 (en) | 2016-03-22 |
EP2776925A1 (en) | 2014-09-17 |
EP2776925B1 (en) | 2019-01-09 |
WO2013070481A1 (en) | 2013-05-16 |
CN103930873A (zh) | 2014-07-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103930873B (zh) | 用于虚拟化环境的基于动态策略的接口配置 | |
US11625154B2 (en) | Stage upgrade of image versions on devices in a cluster | |
US12081451B2 (en) | Resource placement templates for virtual networks | |
CN104363159B (zh) | 一种基于软件定义网络的开放虚拟网络构建系统和方法 | |
US9203645B2 (en) | Virtual input-output connections for machine virtualization | |
CN104272702B (zh) | 用于多租户环境中支持访问控制列表的方法和装置 | |
CN106464528B (zh) | 用于通信网络中的无接触编配的方法、介质、及装置 | |
CN103997414B (zh) | 生成配置信息的方法和网络控制单元 | |
KR102019729B1 (ko) | 서비스 이용 가능성 관리를 위한 방법 및 엔티티 | |
Matias et al. | An OpenFlow based network virtualization framework for the cloud | |
US11469998B2 (en) | Data center tenant network isolation using logical router interconnects for virtual network route leaking | |
WO2014089052A1 (en) | Systems and methods for protecting an identity in network communications | |
CN104350467A (zh) | 用于使用sdn的云安全性的弹性实行层 | |
US20130297752A1 (en) | Provisioning network segments based on tenant identity | |
CN111064649B (zh) | 一种分层端口绑定实现方法、装置、控制设备及存储介质 | |
CN106850459A (zh) | 一种实现虚拟网络负载均衡的方法及装置 | |
CN109445912A (zh) | 一种虚拟机的配置方法、配置系统及sdn控制器 | |
Abdelaziz et al. | Survey on network virtualization using OpenFlow: Taxonomy, opportunities, and open issues | |
Vilalta et al. | Experimental validation of resource allocation in transport network slicing using the ADRENALINE testbed | |
Mechtri et al. | Inter-cloud networking gateway architecture | |
Nguyen et al. | Virtual slice assignment in large-scale cloud interconnects | |
Kakadia et al. | Network virtualization platform for hybrid cloud | |
US12040955B2 (en) | System and method for the management and optimization of software defined networks | |
CN118075130A (zh) | 自动网络设备配置 | |
WO2024100647A1 (en) | System and method for the management and optimization of software defined networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |