CN104518897A - 虚拟防火墙的资源管理优化处理方法和装置 - Google Patents
虚拟防火墙的资源管理优化处理方法和装置 Download PDFInfo
- Publication number
- CN104518897A CN104518897A CN201310459965.2A CN201310459965A CN104518897A CN 104518897 A CN104518897 A CN 104518897A CN 201310459965 A CN201310459965 A CN 201310459965A CN 104518897 A CN104518897 A CN 104518897A
- Authority
- CN
- China
- Prior art keywords
- firewall
- physics
- virtual
- resource
- cpu
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种虚拟防火墙的资源管理优化处理方法和装置,其中,方法包括:获取整个物理防火墙设备的资源信息,包括CPU与内存资源;分别获取物理防火墙设备上每个虚拟防火墙的性能状态;根据每个虚拟防火墙的性能状态,在物理防火墙设备上的各虚拟防火墙之间动态分配CPU与内存资源。本发明实施例可以对单个物理防火墙内各虚拟防火墙进行合理的资源分配,有效保证整个物理防火墙的安全稳定。
Description
技术领域
本发明涉及网络技术,尤其是一种虚拟防火墙的资源管理优化处理方法和装置。
背景技术
虚拟防火墙是基于物理防火墙提出的,它可以在单一的物理防火墙硬件平台上提供多个防火墙的实例,而这对于使用多个防火墙实例的用户来说是透明的,每个虚拟防火墙都可以看作是一台独立的设备。随着云计算数据中心的大规模发展,对网络虚拟化能力要求的进一步提高,在网络安全防护层面,虚拟防火墙的应用场景也越来越多,高效管理虚拟防火墙资源,对单个物理防火墙内的各个虚拟防火墙进行资源调度,对保证企业及用户的安全都具有重大意义。
然而,在实现本发明的过程中,发明人发现目前虚拟防火墙的资源管理主要采用平均分配原则,即:单个物理防火墙内的各个虚拟防火墙分配的资源相同,用户不可控制虚拟防火墙的资源分配,因此无法保证整个物理防火墙的安全稳定,需要进一步优化。
发明内容
本发明实施例所要解决的技术问题是:提供一种虚拟防火墙的资源管理优化处理方法和装置,以对单个物理防火墙内各虚拟防火墙进行合理的资源分配,有效保证整个物理防火墙的安全稳定。
本发明实施例提供的一种虚拟防火墙的资源管理优化处理方法,包括:
获取整个物理防火墙设备的资源信息,包括中央控制器CPU与内存资源;
分别获取物理防火墙设备上每个虚拟防火墙的性能状态;
根据每个虚拟防火墙的性能状态,在物理防火墙设备上的各虚拟防火墙之间动态分配CPU与内存资源。
上述方法的一个具体实施例中,虚拟防火墙的性能状态包括:虚拟防火墙对CPU资源与内存资源的使用状态;
对CPU资源的使用状态包括每秒新建连接速率与加解密流量大小;
对内存资源的使用状态包括网络地址转换(NAT)条目数与状态化信息条目数。
上述方法的一个具体实施例中,所述获取整个物理防火墙设备的资源信息之后,还包括:
将整个物理防火墙设备的资源转换为该物理防火墙设备的资源支持的性能指标;
分别获取物理防火墙设备上每个虚拟防火墙的性能状态之后,还包括:
判断所述物理防火墙设备的资源支持的性能指标根据所述物理防火墙设备上所有虚拟防火墙的数量平均分配后,是否可以支持所有虚拟防火墙的性能状态;
若可以支持所有虚拟防火墙的性能状态,采用平均分配原则,将物理防火墙设备的CPU与内存资源平均分配给所述物理防火墙设备上的各虚拟防火墙;
否则,若无法支持所有虚拟防火墙的性能状态,执行所述根据每个虚拟防火墙的性能状态,在物理防火墙设备上的各虚拟防火墙之间动态分配CPU与内存资源的操作。
上述方法的一个具体实施例中,物理防火墙设备的资源支持的性能指标包括最大并发连接数和每秒新建连接速率。
上述方法的一个具体实施例中,分别获取物理防火墙设备上每个虚拟防火墙的性能状态之前,还包括:
查询是否预先设定了物理防火墙设备上的各虚拟防火墙之间对CPU与内存资源的分配数值或分配比例;
若预先设定了物理防火墙设备上的各虚拟防火墙之间对CPU与内存资源的分配数值或分配比例,则按照预先设定的分配数值或分配比例,在物理防火墙设备上的各虚拟防火墙之间对CPU与内存资源进行分配;
否则,若未预先设定物理防火墙设备上的各虚拟防火墙之间对CPU与内存资源的分配数值或分配比例,执行所述分别获取物理防火墙设备上每个虚拟防火墙的性能状态的操作。
上述方法的一个具体实施例中,按照预设周期执行所述分别获取物理防火墙设备上每个虚拟防火墙的性能状态的操作。
上述方法的一个具体实施例中,在物理防火墙设备上的各虚拟防火墙之间动态分配CPU与内存资源包括:
根据各虚拟防火墙对CPU资源的使用状态之间的正比例,在各虚拟防火墙之间动态分配物理防火墙设备的CPU资源;以及,根据各虚拟防火墙对内存资源的使用状态之间的正比例,在各虚拟防火墙之间动态分配物理防火墙设备的内存资源。
本发明实施例提供的一种虚拟防火墙的资源管理优化处理装置,包括:
物理资源获取单元,用于获取整个物理防火墙设备的资源信息,包括CPU与内存资源;
虚拟防火墙资源获取单元,用于分别获取物理防火墙设备上每个虚拟防火墙的性能状态;
资源分配单元,用于根据每个虚拟防火墙的性能状态,在物理防火墙设备上的各虚拟防火墙之间动态分配CPU与内存资源。
上述装置的一个具体实施例中,虚拟防火墙的性能状态包括:虚拟防火墙对CPU资源与内存资源的使用状态;
对CPU资源的使用状态包括每秒新建连接速率与加解密流量大小;
对内存资源的使用状态包括NAT条目数与状态化信息条目数。
上述装置的一个具体实施例中,所述物理资源获取单元,还用于在获取整个物理防火墙设备的资源信息之后,将整个物理防火墙设备的资源转换为该物理防火墙设备的资源支持的性能指标;
所述资源分配单元,还用于判断所述物理防火墙设备的资源支持的性能指标根据所述物理防火墙设备上所有虚拟防火墙的数量平均分配后,是否可以支持所有虚拟防火墙的性能状态;若可以支持所有虚拟防火墙的性能状态,采用平均分配原则,将物理防火墙设备的CPU与内存资源平均分配给所述物理防火墙设备上的各虚拟防火墙;否则,若无法支持所有虚拟防火墙的性能状态,执行所述根据每个虚拟防火墙的性能状态,在物理防火墙设备上的各虚拟防火墙之间动态分配CPU与内存资源的操作。
上述装置的一个具体实施例中,物理防火墙设备的资源支持的性能指标包括最大并发连接数和每秒新建连接速率。
上述装置的一个具体实施例中,所述资源分配单元,还用于查询是否预先设定了物理防火墙设备上的各虚拟防火墙之间对CPU与内存资源的分配数值或分配比例;若预先设定了物理防火墙设备上的各虚拟防火墙之间对CPU与内存资源的分配数值或分配比例,则按照预先设定的分配数值或分配比例,在物理防火墙设备上的各虚拟防火墙之间对CPU与内存资源进行分配;
否则,若未预先设定物理防火墙设备上的各虚拟防火墙之间对CPU与内存资源的分配数值或分配比例,则指示所述虚拟防火墙资源获取单元分别获取物理防火墙设备上每个虚拟防火墙的性能状态。
上述装置的一个具体实施例中,所述虚拟防火墙资源获取单元,具体按照预设周期分别获取物理防火墙设备上每个虚拟防火墙的性能状态。
上述装置的一个具体实施例中,所述资源分配单元,具体根据各虚拟防火墙对CPU资源的使用状态之间的正比例,在各虚拟防火墙之间动态分配物理防火墙设备的CPU资源;以及,根据各虚拟防火墙对内存资源的使用状态之间的正比例,在各虚拟防火墙之间动态分配物理防火墙设备的内存资源。
基于本发明上述实施例提供的虚拟防火墙的资源管理优化处理方法和装置,可以分别获取物理防火墙设备上每个虚拟防火墙的性能状态,例如,各虚拟防火墙的连接数、穿越流量等数据,根据各虚拟防火墙的性能状态,在物理防火墙设备上的各虚拟防火墙之间动态分配CPU与内存资源,实现了单个物理防火墙内各虚拟防火墙进行合理的资源分配,最大程度保证了整个物理防火墙的安全稳定。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
构成说明书的一部分的附图描述了本发明的实施例,并且连同描述一起用于解释本发明的原理。
参照附图,根据下面的详细描述,可以更加清楚地理解本发明,其中:
图1为本发明虚拟防火墙的资源管理优化处理方法一个实施例的流程图。
图2为本发明虚拟防火墙的资源管理优化处理方法另一个实施例的流程图。
图3为本发明虚拟防火墙的资源管理优化处理方法又一个实施例的流程图。
图4为本发明虚拟防火墙的资源管理优化处理装置一个实施例的结构示意图。
具体实施方式
现在将参照附图来详细描述本发明的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
现有技术中,物理防火墙设备对其中虚拟防火墙(VFW)的资源分配都是平均分配原则,即:有N个虚拟防火墙的话,每个虚拟防火墙可以分到的资源为物理防火墙设备资源的1/N,这种资源平均分配方式在每个虚拟防火墙获得的资源充足,不存在资源竞争关系时,能良好运作,但是当存在资源紧缺的虚拟防火墙时,这种资源平均分配方式显然不合理,存在的缺点是平均分配原则在某些情况下不符合实际情况。例如,一个物理防火墙设备中包括两个虚拟防火墙VFW1和VFW2,在同一时间段内VFW1需要的资源较多,超过物理防火墙设备资源的1/2,而VFW2则比较空闲,占用物理防火墙资源的1/5都不到,这时平均分配方式显然是不合理的,会造成VFW1资源欠缺,而VFW2则资源过剩。
在实现本发明实施例的过程中,发明人创造性地认识到,影响防火墙性能的因素主要是CPU占用率和内存大小,因此,在给各虚拟防火墙分配资源时,充分计算整个物理防火墙设备上各虚拟防火墙的资源使用情况(也称为:性能状态),按照起对资源需求的正比,在各虚拟防火墙之间动态地合理分配CPU和内存资源,从而保证各虚拟防火墙处于相对平衡稳定的状态,从而实现了防火墙整体的安全。
图1为本发明虚拟防火墙的资源管理优化处理方法一个实施例的流程图。如图1所示,该实施例虚拟防火墙的资源管理优化处理方法包括:
110,获取整个物理防火墙设备的资源信息,包括中央控制器(CPU)与内存资源,即:内存大小,CPU个数,如果CPU是多核架构,.每个CPU核的个数等信息。
120,分别获取物理防火墙设备上每个虚拟防火墙的性能状态,即:虚拟防火墙的资源使用需求情况。
示例性地,本发明的各实施例中,虚拟防火墙的性能状态可以包括但不限于:虚拟防火墙对CPU资源与内存资源的使用状态。其中,对CPU资源的使用状态可以包括但不限于每秒新建连接速率与加解密流量大小;对内存资源的使用状态可以包括但不限于网络地址转换(NAT)条目数与状态化信息条目数。
130,根据每个虚拟防火墙的性能状态,在物理防火墙设备上的各虚拟防火墙之间动态分配CPU与内存资源。
本发明上述实施例提供的虚拟防火墙的资源管理优化处理方法,可以分别获取物理防火墙设备上每个虚拟防火墙的性能状态,例如,各虚拟防火墙的连接数、穿越流量等数据,根据各虚拟防火墙的性能状态,在物理防火墙设备上的各虚拟防火墙之间动态分配CPU与内存资源,实现了单个物理防火墙内各虚拟防火墙进行合理的资源分配,最大程度保证了整个物理防火墙的安全稳定。
图2为本发明虚拟防火墙的资源管理优化处理方法另一个实施例的流程图。如图2所示,该实施例虚拟防火墙的资源管理优化处理方法包括:
210,获取整个物理防火墙设备的资源信息,包括CPU与内存资源。
220,将整个物理防火墙设备的资源转换为该物理防火墙设备的资源支持的性能指标,例如最大并发连接数和每秒新建连接速率。
230,分别获取物理防火墙设备上每个虚拟防火墙的性能状态。
240,判断物理防火墙设备的资源支持的性能指标根据物理防火墙设备上所有虚拟防火墙的数量平均分配后,是否可以支持所有虚拟防火墙的性能状态。
若可以支持所有虚拟防火墙的性能状态,执行250的操作。否则,若无法支持所有虚拟防火墙的性能状态,执行260的操作。
250,采用平均分配原则,将物理防火墙设备的CPU与内存资源平均分配给物理防火墙设备上的各虚拟防火墙。
之后,不执行本实施例的后续流程。
260,根据每个虚拟防火墙的性能状态,在物理防火墙设备上的各虚拟防火墙之间动态分配CPU与内存资源。
对上述实施例举例说明如下:
假设某物理防火墙设备的内存为2GB,CPU为一个4核CPU。
假设该物理防火墙设备的资源支持的性能指标极限为最大并发连接数100万,每秒新建连接速率为10万/秒。当该物理防火墙设备存在两个虚拟防火墙VFW1、VFW2,每个虚拟防火墙的性能状态(即:资源使用需求)实际情况是最大并发连接数低于50万,新建连接速率低于5万/秒,并且不存在数据的加解密时,两个虚拟防火墙VFW1、VFW2平均分配物理防火墙设备的内存和CPU资源也能运作良好。
但是当虚拟防火墙VFW1的并发连接需求达到75万,新建连接速率6万/秒,而VFW2的并发连接需求是10万,新建连接速率2万/秒时,平均分配物理防火墙设备的内存和CPU资源显然是不合理的,这时就必须按各虚拟防火墙对资源使用需求的正比对物理防火墙设备的内存资源和CPU资源进行分配。
图3为本发明虚拟防火墙的资源管理优化处理方法又一个实施例的流程图。如图3所示,该实施例虚拟防火墙的资源管理优化处理方法包括:
310,获取整个物理防火墙设备的资源信息,包括CPU与内存资源。
320,查询是否预先设定了物理防火墙设备上的各虚拟防火墙之间对CPU与内存资源的分配数值或分配比例。
若预先设定了物理防火墙设备上的各虚拟防火墙之间对CPU与内存资源的分配数值或分配比例,则执行330的操作。否则,若未预先设定物理防火墙设备上的各虚拟防火墙之间对CPU与内存资源的分配数值或分配比例,执行340的操作。
330,按照预先设定的分配数值或分配比例,在物理防火墙设备上的各虚拟防火墙之间对CPU与内存资源进行分配。
之后,不执行本实施例的后续流程。
340,分别获取物理防火墙设备上每个虚拟防火墙的性能状态。
350,根据每个虚拟防火墙的性能状态,在物理防火墙设备上的各虚拟防火墙之间动态分配CPU与内存资源。
根据本发明的一个具体示例而非限制,在本发明虚拟防火墙的资源管理优化处理方法的上述各实施例中,具体可以按照预设周期来执行分别获取物理防火墙设备上每个虚拟防火墙的性能状态的操作。从而在物理防火墙设备上的各虚拟防火墙之间周期性地动态分配CPU与内存资源。
另外,根据本发明的一个具体示例而非限制,在物理防火墙设备上的各虚拟防火墙之间动态分配CPU与内存资源时,具体可以通过如下方式实现:
根据各虚拟防火墙对CPU资源的使用状态之间的正比例,在各虚拟防火墙之间动态分配物理防火墙设备的CPU资源;以及
根据各虚拟防火墙对内存资源的使用状态之间的正比例,在各虚拟防火墙之间动态分配物理防火墙设备的内存资源。
图4为本发明虚拟防火墙的资源管理优化处理装置一个实施例的结构示意图。该实施例的资源管理优化处理装置可用于实现本发明上述各资源管理优化处理方法实施例。如图4所示,其包括物理资源获取单元、虚拟防火墙资源获取单元与资源分配单元。其中:
物理资源获取单元,用于获取整个物理防火墙设备的资源信息,包括CPU与内存资源。
虚拟防火墙资源获取单元,用于分别获取物理防火墙设备上每个虚拟防火墙的性能状态。示例性地,本发明的各实施例中,虚拟防火墙的性能状态可以包括但不限于:虚拟防火墙对CPU资源与内存资源的使用状态。其中,对CPU资源的使用状态可以包括但不限于每秒新建连接速率与加解密流量大小;对内存资源的使用状态可以包括但不限于网络地址转换(NAT)条目数与状态化信息条目数。
资源分配单元,用于根据每个虚拟防火墙的性能状态,在物理防火墙设备上的各虚拟防火墙之间动态分配CPU与内存资源。
本发明上述实施例提供的虚拟防火墙的资源管理优化处理装置,可以分别获取物理防火墙设备上每个虚拟防火墙的性能状态,例如,各虚拟防火墙的连接数、穿越流量等数据,根据各虚拟防火墙的性能状态,在物理防火墙设备上的各虚拟防火墙之间动态分配CPU与内存资源,实现了单个物理防火墙内各虚拟防火墙进行合理的资源分配,最大程度保证了整个物理防火墙的安全稳定。
在本发明虚拟防火墙的资源管理优化处理装置的另一个实施例中,物理资源获取单元还可用于在获取整个物理防火墙设备的资源信息之后,将整个物理防火墙设备的资源转换为该物理防火墙设备的资源支持的性能指标,例如,最大并发连接数和每秒新建连接速率。相应地,资源分配单元还可用于判断物理防火墙设备的资源支持的性能指标根据物理防火墙设备上所有虚拟防火墙的数量平均分配后,是否可以支持所有虚拟防火墙的性能状态;若可以支持所有虚拟防火墙的性能状态,采用平均分配原则,将物理防火墙设备的CPU与内存资源平均分配给物理防火墙设备上的各虚拟防火墙;否则,若无法支持所有虚拟防火墙的性能状态,执行根据每个虚拟防火墙的性能状态,在物理防火墙设备上的各虚拟防火墙之间动态分配CPU与内存资源的操作。
在本发明虚拟防火墙的资源管理优化处理装置的又一个实施例中,资源分配单元还可用于查询是否预先设定了物理防火墙设备上的各虚拟防火墙之间对CPU与内存资源的分配数值或分配比例;若预先设定了物理防火墙设备上的各虚拟防火墙之间对CPU与内存资源的分配数值或分配比例,则按照预先设定的分配数值或分配比例,在物理防火墙设备上的各虚拟防火墙之间对CPU与内存资源进行分配。否则,若未预先设定物理防火墙设备上的各虚拟防火墙之间对CPU与内存资源的分配数值或分配比例,则指示虚拟防火墙资源获取单元分别获取物理防火墙设备上每个虚拟防火墙的性能状态。
根据本发明虚拟防火墙的资源管理优化处理装置各实施例的一个具体示例而非限制,虚拟防火墙资源获取单元具体可以按照预设周期分别获取物理防火墙设备上每个虚拟防火墙的性能状态。
根据本发明虚拟防火墙的资源管理优化处理装置各实施例的另一个具体示例而非限制,资源分配单元具体可以根据各虚拟防火墙对CPU资源的使用状态之间的正比例,在各虚拟防火墙之间动态分配物理防火墙设备的CPU资源;以及,根据各虚拟防火墙对内存资源的使用状态之间的正比例,在各虚拟防火墙之间动态分配物理防火墙设备的内存资源。
本说明书中各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似的部分相互参见即可。对于装置实施例而言,由于其与方法实施例基本对应,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
可能以许多方式来实现本发明的方法、装置。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本发明的方法和装置。用于所述方法的步骤的上述顺序仅是为了进行说明,本发明的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本发明实施为记录在记录介质中的程序,这些程序包括用于实现根据本发明的方法的机器可读指令。因而,本发明还覆盖存储用于执行根据本发明的方法的程序的记录介质。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。
Claims (14)
1.一种虚拟防火墙的资源管理优化处理方法,其特征在于,包括:
获取整个物理防火墙设备的资源信息,包括中央控制器CPU与内存资源;
分别获取物理防火墙设备上每个虚拟防火墙的性能状态;
根据每个虚拟防火墙的性能状态,在物理防火墙设备上的各虚拟防火墙之间动态分配CPU与内存资源。
2.根据权利要求1所述的方法,其特征在于,虚拟防火墙的性能状态包括:虚拟防火墙对CPU资源与内存资源的使用状态;
对CPU资源的使用状态包括每秒新建连接速率与加解密流量大小;
对内存资源的使用状态包括网络地址转换(NAT)条目数与状态化信息条目数。
3.根据权利要求2所述的方法,其特征在于,所述获取整个物理防火墙设备的资源信息之后,还包括:
将整个物理防火墙设备的资源转换为该物理防火墙设备的资源支持的性能指标;
分别获取物理防火墙设备上每个虚拟防火墙的性能状态之后,还包括:
判断所述物理防火墙设备的资源支持的性能指标根据所述物理防火墙设备上所有虚拟防火墙的数量平均分配后,是否可以支持所有虚拟防火墙的性能状态;
若可以支持所有虚拟防火墙的性能状态,采用平均分配原则,将物理防火墙设备的CPU与内存资源平均分配给所述物理防火墙设备上的各虚拟防火墙;
否则,若无法支持所有虚拟防火墙的性能状态,执行所述根据每个虚拟防火墙的性能状态,在物理防火墙设备上的各虚拟防火墙之间动态分配CPU与内存资源的操作。
4.根据权利要求3所述的方法,其特征在于,物理防火墙设备的资源支持的性能指标包括最大并发连接数和每秒新建连接速率。
5.根据权利要求2所述的方法,其特征在于,分别获取物理防火墙设备上每个虚拟防火墙的性能状态之前,还包括:
查询是否预先设定了物理防火墙设备上的各虚拟防火墙之间对CPU与内存资源的分配数值或分配比例;
若预先设定了物理防火墙设备上的各虚拟防火墙之间对CPU与内存资源的分配数值或分配比例,则按照预先设定的分配数值或分配比例,在物理防火墙设备上的各虚拟防火墙之间对CPU与内存资源进行分配;
否则,若未预先设定物理防火墙设备上的各虚拟防火墙之间对CPU与内存资源的分配数值或分配比例,执行所述分别获取物理防火墙设备上每个虚拟防火墙的性能状态的操作。
6.根据权利要求2至5任意一项所述的方法,其特征在于,按照预设周期执行所述分别获取物理防火墙设备上每个虚拟防火墙的性能状态的操作。
7.根据权利要求6所述的方法,其特征在于,在物理防火墙设备上的各虚拟防火墙之间动态分配CPU与内存资源包括:
根据各虚拟防火墙对CPU资源的使用状态之间的正比例,在各虚拟防火墙之间动态分配物理防火墙设备的CPU资源;以及,根据各虚拟防火墙对内存资源的使用状态之间的正比例,在各虚拟防火墙之间动态分配物理防火墙设备的内存资源。
8.一种虚拟防火墙的资源管理优化处理装置,其特征在于,包括:
物理资源获取单元,用于获取整个物理防火墙设备的资源信息,包括CPU与内存资源;
虚拟防火墙资源获取单元,用于分别获取物理防火墙设备上每个虚拟防火墙的性能状态;
资源分配单元,用于根据每个虚拟防火墙的性能状态,在物理防火墙设备上的各虚拟防火墙之间动态分配CPU与内存资源。
9.根据权利要求8所述的装置,其特征在于,虚拟防火墙的性能状态包括:虚拟防火墙对CPU资源与内存资源的使用状态;
对CPU资源的使用状态包括每秒新建连接速率与加解密流量大小;
对内存资源的使用状态包括NAT条目数与状态化信息条目数。
10.根据权利要求9所述的装置,其特征在于,所述物理资源获取单元,还用于在获取整个物理防火墙设备的资源信息之后,将整个物理防火墙设备的资源转换为该物理防火墙设备的资源支持的性能指标;
所述资源分配单元,还用于判断所述物理防火墙设备的资源支持的性能指标根据所述物理防火墙设备上所有虚拟防火墙的数量平均分配后,是否可以支持所有虚拟防火墙的性能状态;若可以支持所有虚拟防火墙的性能状态,采用平均分配原则,将物理防火墙设备的CPU与内存资源平均分配给所述物理防火墙设备上的各虚拟防火墙;否则,若无法支持所有虚拟防火墙的性能状态,执行所述根据每个虚拟防火墙的性能状态,在物理防火墙设备上的各虚拟防火墙之间动态分配CPU与内存资源的操作。
11.根据权利要求10所述的装置,其特征在于,物理防火墙设备的资源支持的性能指标包括最大并发连接数和每秒新建连接速率。
12.根据权利要求9所述的装置,其特征在于,所述资源分配单元,还用于查询是否预先设定了物理防火墙设备上的各虚拟防火墙之间对CPU与内存资源的分配数值或分配比例;若预先设定了物理防火墙设备上的各虚拟防火墙之间对CPU与内存资源的分配数值或分配比例,则按照预先设定的分配数值或分配比例,在物理防火墙设备上的各虚拟防火墙之间对CPU与内存资源进行分配;
否则,若未预先设定物理防火墙设备上的各虚拟防火墙之间对CPU与内存资源的分配数值或分配比例,则指示所述虚拟防火墙资源获取单元分别获取物理防火墙设备上每个虚拟防火墙的性能状态。
13.根据权利要求9至12任意一项所述的装置,其特征在于,所述虚拟防火墙资源获取单元,具体按照预设周期分别获取物理防火墙设备上每个虚拟防火墙的性能状态。
14.根据权利要求13所述的装置,其特征在于,所述资源分配单元,具体根据各虚拟防火墙对CPU资源的使用状态之间的正比例,在各虚拟防火墙之间动态分配物理防火墙设备的CPU资源;以及,根据各虚拟防火墙对内存资源的使用状态之间的正比例,在各虚拟防火墙之间动态分配物理防火墙设备的内存资源。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310459965.2A CN104518897A (zh) | 2013-09-30 | 2013-09-30 | 虚拟防火墙的资源管理优化处理方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310459965.2A CN104518897A (zh) | 2013-09-30 | 2013-09-30 | 虚拟防火墙的资源管理优化处理方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104518897A true CN104518897A (zh) | 2015-04-15 |
Family
ID=52793671
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310459965.2A Pending CN104518897A (zh) | 2013-09-30 | 2013-09-30 | 虚拟防火墙的资源管理优化处理方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104518897A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180234298A1 (en) * | 2017-02-13 | 2018-08-16 | Oracle International Corporation | Implementing a single-addressable virtual topology element in a virtual topology |
| CN109067807A (zh) * | 2018-10-16 | 2018-12-21 | 杭州安恒信息技术股份有限公司 | 基于web应用防火墙过载的安全防护方法、装置及电子设备 |
| US10291507B2 (en) | 2017-02-13 | 2019-05-14 | Oracle International Corporation | Implementing a virtual tap in a virtual topology |
| US10389628B2 (en) | 2016-09-02 | 2019-08-20 | Oracle International Corporation | Exposing a subset of hosts on an overlay network to components external to the overlay network without exposing another subset of hosts on the overlay network |
| US10693732B2 (en) | 2016-08-03 | 2020-06-23 | Oracle International Corporation | Transforming data based on a virtual topology |
| CN113518060A (zh) * | 2020-04-11 | 2021-10-19 | 瞻博网络公司 | 自动调谐虚拟防火墙 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030084317A1 (en) * | 2001-10-31 | 2003-05-01 | Cohen Donald N. | Reverse firewall packet transmission control system |
| US20030120780A1 (en) * | 2001-12-21 | 2003-06-26 | Xiaoyun Zhu | Network resource assignment system and method |
| CN101593134A (zh) * | 2009-06-29 | 2009-12-02 | 北京航空航天大学 | 虚拟机cpu资源分配方法和装置 |
-
2013
- 2013-09-30 CN CN201310459965.2A patent/CN104518897A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030084317A1 (en) * | 2001-10-31 | 2003-05-01 | Cohen Donald N. | Reverse firewall packet transmission control system |
| US20030120780A1 (en) * | 2001-12-21 | 2003-06-26 | Xiaoyun Zhu | Network resource assignment system and method |
| CN101593134A (zh) * | 2009-06-29 | 2009-12-02 | 北京航空航天大学 | 虚拟机cpu资源分配方法和装置 |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10693732B2 (en) | 2016-08-03 | 2020-06-23 | Oracle International Corporation | Transforming data based on a virtual topology |
| US11082300B2 (en) | 2016-08-03 | 2021-08-03 | Oracle International Corporation | Transforming data based on a virtual topology |
| US10389628B2 (en) | 2016-09-02 | 2019-08-20 | Oracle International Corporation | Exposing a subset of hosts on an overlay network to components external to the overlay network without exposing another subset of hosts on the overlay network |
| US11240152B2 (en) | 2016-09-02 | 2022-02-01 | Oracle International Corporation | Exposing a subset of hosts on an overlay network to components external to the overlay network without exposing another subset of hosts on the overlay network |
| US20180234298A1 (en) * | 2017-02-13 | 2018-08-16 | Oracle International Corporation | Implementing a single-addressable virtual topology element in a virtual topology |
| US10462013B2 (en) * | 2017-02-13 | 2019-10-29 | Oracle International Corporation | Implementing a single-addressable virtual topology element in a virtual topology |
| US10462033B2 (en) | 2017-02-13 | 2019-10-29 | Oracle International Corporation | Implementing a virtual tap in a virtual topology |
| US10291507B2 (en) | 2017-02-13 | 2019-05-14 | Oracle International Corporation | Implementing a virtual tap in a virtual topology |
| US10862762B2 (en) | 2017-02-13 | 2020-12-08 | Oracle International Corporation | Implementing a single-addressable virtual topology element in a virtual topology |
| CN109067807A (zh) * | 2018-10-16 | 2018-12-21 | 杭州安恒信息技术股份有限公司 | 基于web应用防火墙过载的安全防护方法、装置及电子设备 |
| CN113518060A (zh) * | 2020-04-11 | 2021-10-19 | 瞻博网络公司 | 自动调谐虚拟防火墙 |
| CN113518060B (zh) * | 2020-04-11 | 2023-07-07 | 瞻博网络公司 | 自动调谐虚拟防火墙 |
| US11863524B2 (en) | 2020-04-11 | 2024-01-02 | Juniper Networks, Inc. | Autotuning a virtual firewall |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20200396311A1 (en) | Provisioning using pre-fetched data in serverless computing environments | |
| CN104518897A (zh) | 虚拟防火墙的资源管理优化处理方法和装置 | |
| CN103548324B (zh) | 虚拟机分配方法和虚拟机分配装置 | |
| US20130151747A1 (en) | Co-processing acceleration method, apparatus, and system | |
| US20120215920A1 (en) | Optimized resource management for map/reduce computing | |
| US11467874B2 (en) | System and method for resource management | |
| TWI755415B (zh) | 雲端環境下應用集群資源分配的方法、裝置和系統 | |
| US9092272B2 (en) | Preparing parallel tasks to use a synchronization register | |
| CN109257399B (zh) | 云平台应用程序管理方法及管理平台、存储介质 | |
| US20160378754A1 (en) | Fast query processing in columnar databases with gpus | |
| US20200278956A1 (en) | Management of memory usage using usage analytics | |
| US9471387B2 (en) | Scheduling in job execution | |
| CN112463375A (zh) | 一种数据处理的方法和装置 | |
| WO2018158819A1 (ja) | 分散データベースシステム及び分散データベースシステムのリソース管理方法 | |
| US8352702B2 (en) | Data processing system memory allocation | |
| KR20180038515A (ko) | 제공자 네트워크에서의 그래픽 처리 가상화 | |
| CN111104219A (zh) | 虚拟核心与物理核心的绑定方法、装置、设备及存储介质 | |
| CN104537045A (zh) | 一种基于分布式系统的业务分配方法及装置 | |
| CN111078353A (zh) | 存储设备的操作方法及物理服务器 | |
| CN105528371A (zh) | 一种执行写任务的方法、装置及系统 | |
| CN106412030A (zh) | 一种选择存储资源方法、装置及系统 | |
| CN111352735A (zh) | 数据加速方法、装置、存储介质及设备 | |
| CN114721818A (zh) | 一种基于Kubernetes集群的GPU分时共享方法和系统 | |
| WO2017133421A1 (zh) | 一种多租户资源共享的方法及装置 | |
| Seelam et al. | Orchestrating deep learning workloads on distributed infrastructure |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150415 |
|
| RJ01 | Rejection of invention patent application after publication |