CN105393220A - 用于在集群系统中部署点状虚拟服务器的系统和方法 - Google Patents
用于在集群系统中部署点状虚拟服务器的系统和方法 Download PDFInfo
- Publication number
- CN105393220A CN105393220A CN201480034141.3A CN201480034141A CN105393220A CN 105393220 A CN105393220 A CN 105393220A CN 201480034141 A CN201480034141 A CN 201480034141A CN 105393220 A CN105393220 A CN 105393220A
- Authority
- CN
- China
- Prior art keywords
- core
- session
- server
- network
- virtual server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5005—Allocation of resources, e.g. of the central processing unit [CPU] to service a request
- G06F9/5027—Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5061—Partitioning or combining of resources
- G06F9/5077—Logical partitioning of resources; Management or configuration of virtualized resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5083—Techniques for rebalancing the load in a distributed system
- G06F9/5088—Techniques for rebalancing the load in a distributed system involving task migration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/1004—Server selection for load balancing
- H04L67/1008—Server selection for load balancing based on parameters of servers, e.g. available memory or workload
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及在装置集群中的装置子集上部署虚拟服务器的系统和方法。在至少一个客户机和至少一个服务器中间的装置集群的第一装置可识别要在集群的一个或多个装置上建立的第一虚拟服务器。第一装置可将包括装置集群中的装置子集的组关联至所识别的虚拟服务器。集群可响应于将该组关联至第一虚拟服务器,在该组中的每个装置上建立第一虚拟服务器。该组的每个装置上的每个虚拟服务器可以被分配相同的互联网协议地址。
Description
相关申请
本申请要求名称为“SystemsandMethodsforDevelopingASpottedVirtualServerinaClusterSystem”并且在2013年5月15日提交的美国非临时专利申请No.13/895284的权益和优先权,该美国非临时专利申请通过引用被全部包含于此以用于各种目的。
技术领域
本申请总的涉及虚拟服务器的管理。本申请尤其涉及用于在集群系统中部署点状虚拟服务器(spottedvirtualserver)的系统和方法。
背景技术
远程计算和计算环境的集中化管理已融合以提供对于资源(诸如数据和应用资源)的远程访问,以及结合包括多级安全(例如,认证和防火墙策略)、对各种访问点和客户环境的支持,和统一的资源描述的管理方面。系统(诸如有助于向远程用户提供应用和数据的网络设备)可采用各种方式来传送计算和/或应用服务。例如,专用服务器可以通过向远程客户机传送用于执行的应用组件来提供对特定软件应用的访问。网络设备可以提供代理功能和应用,诸如安全会话建立、负载平衡和内容交换。由于应用和计算需要演进,这样的系统可能必须在传送和执行中提供较高级别的服务。相应地,这些系统中的一些可以通过结合多个硬件和软件引擎来处理分组和支持各种应用,从而提供增强的并行处理或多任务的水平。
发明内容
本公开涉及用于在集群系统中部署点状虚拟服务器的方法和系统。在一个或多个客户机和服务器中间的装置或设备可包括包含一组节点的集群系统。这些节点中的每一个可包括多核系统,并且可以寄载一个或多个处理引擎以用于处理分组。本公开提供用于在集群系统中部署点状虚拟服务器(vserver)的方法和系统。集群系统可包括节点集群或装置集群。集群系统可提供特定的应用服务,诸如内容交换、负载平衡,以及SSLVPN会话建立和/或管理。可经由在集群系统内部署的虚拟服务器或者一组相关的虚拟服务器来提供这些服务。装置的集群化配置通常可以是对称的或同质的,并且节点中的任何一个或者大部分可被配置为有时代替另一节点来提供或支持这种应用服务。因此,可以跨集群系统的节点布置、寄载、建立或“条状化(stripe)”vserver。然而,在某些场景下,可能期望在集群中的节点子集上点状化vserver。例如,诸如SSLVPN建立和管理以及全局服务器负载平衡(GSLB)的特定应用可以优选作为集群上的点状解决方案。本方法和系统允许在装置子集上部署虚拟服务器,而不是跨集群的所有节点条状化虚拟服务器。
在一个方面,本发明涉及一种用于在装置集群的装置子集中部署虚拟服务器的方法。在至少一个客户机和至少一个服务器中间的装置集群的第一装置可以识别要在集群的一个或多个装置上建立的第一虚拟服务器。第一装置可以将包括装置集群中的装置子集的组关联至所识别的虚拟服务器。集群可响应于将该组关联至所述第一虚拟服务器,在该组中的每个装置上建立第一虚拟服务器。该组的每个装置上的每个虚拟服务器可被分配有相同的互联网协议地址。
在一些实施例中,集群可以在所识别的组内建立第二虚拟服务器。第二虚拟服务器可以包括依赖于第一虚拟服务器的虚拟服务器。第一装置可识别包括装置集群中的装置子集的组。集群中的每个装置可以包括多个处理核。
集群可以将第一虚拟服务器迁移至包括装置集群中的第二装置子集的第二组,并且可以将依赖于第一虚拟服务器的虚拟服务器迁移至第二组。集群可以接收对于建立第一虚拟服务器的请求。该请求可以包括键。集群可基于该键,确定组中的所有者装置的第一核以用于建立第一虚拟服务器。
在某些实施例中,第一装置可请求第一核在哈希表中为第一虚拟服务器的会话创建条目。第一核可在所述条目中包括组中的装置子集的标识。如果该组包括不止一个装置,则集群可在该组的每个剩余装置处复制会话的哈希表条目。如果所有者装置离开集群,则集群可以将依赖于第一虚拟服务器的每个虚拟服务器迁移至所有者装置的备份装置。集群可响应于来自客户机的、对于访问会话的第二请求,基于在该第二请求中包括的键经由所述哈希表提供关于会话的信息。
在另一个方面,本发明涉及一种用于在装置集群的装置子集中部署虚拟服务器的系统。该系统可包括在至少一个客户机和至少一个服务器中间的装置集群。可在该集群的一个或多个装置上建立第一虚拟服务器。集群的第一装置可识别要在集群的一个或多个装置上建立的第一虚拟服务器,并且可将包括装置集群中的装置子集的组关联至所识别的虚拟服务器。第一虚拟服务器可响应于将组关联至第一虚拟服务器而被建立在该组中的每个装置上,该组的每个装置上的每个虚拟服务器被分配有相同的互联网协议地址。
在某些实施例中,集群在所识别的组内建立第二虚拟服务器,该第二虚拟服务器包括依赖于第一虚拟服务器的虚拟服务器。第一装置可识别包括装置集群中的装置子集的组,集群中的每个装置包括多个处理核。集群可响应于将第一虚拟服务器迁移至包括装置集群中的第二装置子集的第二组,将依赖于第一虚拟服务器的虚拟服务器迁移至该第二组。第一装置可接收对于建立第一虚拟服务器的请求。该请求可包括键。第一装置可基于所述键,确定组中的所有者装置的第一核,以用于建立第一虚拟服务器。第一装置可请求第一核在哈希表中为第一虚拟服务器的会话创建条目。
在一些实施例中,第一核在条目中包括组中的装置子集的标识。如果该组包括不止一个装置,则集群可以在该组的每个剩余装置处复制会话的哈希表条目。如果所有者装置离开集群,则集群可以将依赖于第一虚拟服务器的每个虚拟服务器迁移至所有者装置的备份装置。所述第一核可响应于来自客户机的、对于访问会话的第二请求,基于在该第二请求中包括的键经由哈希表提供关于会话的信息。
在附图和下文的描述中提供本发明的各个实施例的细节。
附图说明
通过参考下述结合附图的描述,本发明的前述和其它目的、方面、特征和优点将会更加明显并更易于理解,其中:
图1A是客户机经由设备访问服务器的网络环境的实施例的框图;
图1B是经由设备从服务器传送计算环境到客户机的环境的实施例的框图;
图1C是经由设备从服务器传送计算环境到客户机的环境的又一个实施例的框图;
图1D是经由设备从服务器传送计算环境到客户机的环境的又一个实施例的框图;
图1E到1H是计算装置的实施例的框图;
图2A是用于处理客户机和服务器之间的通信的设备的实施例的框图;
图2B是用于优化、加速、负载平衡和路由客户机和服务器之间的通信的设备的又一个实施例的框图;
图3是用于经由设备与服务器通信的客户机的实施例的框图;
图4A是虚拟化环境的实施例的框图;
图4B是虚拟化环境的又一个实施例的框图;
图4C是虚拟设备的实施例的框图;
图5A是在多核网络设备中实现并行机制的方法实施例的框图;
图5B是使用多核网络应用的系统实施例的框图;
图5C是多核网络设备方面的实施例的框图;
图6是使用多核网络应用的系统的实施例的框图;
图7A-7B是用于管理多核系统中的会话持久性和重用的方法步骤的实施例的流程图;
图8是集群系统的实施例的框图;
图9A是用于集群系统中的SSL会话管理的系统的实施例的框图;
图9B是用于集群系统中的SSL会话管理的方法步骤的实施例的流程图;
图10A是用于在集群系统中部署点状虚拟服务器的系统的实施例的框图;
图10B是具有相应的引用计数的vserver之间的关系的表示的一个实施例;
图10C是与vserver之间的关系相对应的依赖图的表示的一个实施例;以及
图10D是用于在集群系统中部署点状虚拟服务器的方法步骤的实施例的流程图。
根据下文在结合附图时提供的详细描述,本发明的特征和优点将会更加明显,其中相同的参考字符自始至终标识对应的元素。在附图中,同样的附图标记通常指示相同的、功能上相似的和/或结构上相似的元素。
具体实施方式
为了阅读下文各种实施例的描述,下述对于说明书的部分以及它们各自内容的描述是有用的:
-A部分描述可用于实施本文描述的实施例的网络环境和计算环境;
-B部分描述用于将计算环境传送到远程用户的系统和方法的实施例;
-C部分描述用于加速客户机和服务器之间的通信的系统和方法的实施例;
-D部分描述用于对应用传送控制器进行虚拟化的系统和方法的实施例;
-E部分描述用于提供多核架构和环境的系统和方法的实施例;
-F部分描述用于管理多核系统中的SSL会话持久性和重用的系统和方法的实施例;
-G部分描述用于提供集群化设备架构环境的系统和方法的实施例;
-H部分描述用于集群系统中的SSL会话管理的系统和方法的实施例;以及
-I部分描述用于在集群系统中部署点状虚拟服务器的系统和方法的实施例。
A.网络和计算环境
在讨论设备和/或客户机的系统和方法的实施例的细节之前,讨论可在其中部署这些实施例的网络和计算环境是有帮助的。现在参见图1A,描述了网络环境的实施例。概括来讲,网络环境包括经由一个或多个网络104、104’(总的称为网络104)与一个或多个服务器106a-106n(同样总的称为服务器106,或远程机器106)通信的一个或多个客户机102a-102n(同样总的称为本地机器102,或客户机102)。在一些实施例中,客户机102通过设备200与服务器106通信。
虽然图1A示出了在客户机102和服务器106之间的网络104和网络104’,客户机102和服务器106可以位于同一个的网络104上。网络104和104’可以是相同类型的网络或不同类型的网络。网络104和/或104’可为局域网(LAN)例如公司内网,城域网(MAN),或者广域网(WAN)例如因特网或万维网。在一个实施例中,网络104可为专用网络并且网络104’可为公网。在一些实施例中,网络104可为专用网并且网络104’可为公网。在又一个实施例中,网络104和104’可都为专用网。在一些实施例中,客户机102可位于公司企业的分支机构中,通过网络104上的WAN连接与位于公司数据中心的服务器106通信。
网络104和/或104’可以是任何类型和/或形式的网络,并且可包括任何下述网络:点对点网络,广播网络,广域网,局域网,电信网络,数据通信网络,计算机网络,ATM(异步传输模式)网络,SONET(同步光纤网络)网络,SDH(同步数字体系)网络,无线网络和有线网络。在一些实施例中,网络104可以包括无线链路,诸如红外信道或者卫星频带。网络104和/或104’的拓扑可为总线型、星型或环型网络拓扑。网络104和/或104’以及网络拓扑可以是对于本领域普通技术人员所熟知的、可以支持此处描述的操作的任何这样的网络或网络拓扑。
如图1A所示,设备200被显示在网络104和104’之间,设备200也可被称为接口单元200或者网关200。在一些实施例中,设备200可位于网络104上。例如,公司的分支机构可在分支机构中部署设备200。在其他实施例中,设备200可以位于网络104’上。例如,设备200可位于公司的数据中心。在又一个实施例中,多个设备200可在网络104上部署。在一些实施例中,多个设备200可部署在网络104’上。在一个实施例中,第一设备200与第二设备200’通信。在其他实施例中,设备200可为位于与客户机102同一或不同网络104、104’的任一客户机102或服务器106的一部分。一个或多个设备200可位于客户机102和服务器106之间的网络或网络通信路径中的任一点。
在一些实施例中,设备200包括由位于佛罗里达州Ft.Lauderdale的CitrixSystems公司制造的被称为CitrixNetScaler设备的任何网络设备。在其他实施例中,设备200包括由位于华盛顿州西雅图的F5Networks公司制造的被称为WebAccelerator和BigIP的任何一个产品实施例。在又一个实施例中,设备205包括由位于加利福尼亚州Sunnyvale的JuniperNetworks公司制造的DX加速设备平台和/或诸如SA700、SA2000、SA4000和SA6000的SSLVPN系列设备中的任何一个。在又一个实施例中,设备200包括由位于加利福尼亚州SanJose的CiscoSystems公司制造的任何应用加速和/或安全相关的设备和/或软件,例如CiscoACE应用控制引擎模块服务(ApplicationControlEngineModuleservice)软件和网络模块以及CiscoAVS系列应用速度系统(ApplicationVelocitySystem)。
在一个实施例中,系统可包括多个逻辑分组的服务器106。在这些实施例中,服务器的逻辑分组可以被称为服务器群38。在其中一些实施例中,服务器106可为地理上分散的。在一些情况中,群38可以作为单个实体被管理。在其他实施例中,服务器群38包括多个服务器群38。在一个实施例中,服务器群代表一个或多个客户机102执行一个或多个应用程序。
在每个群38中的服务器106可为不同种类。一个或多个服务器106可根据一种类型的操作系统平台(例如,由华盛顿州Redmond的Microsoft公司制造的WINDOWSNT)操作,而一个或多个其它服务器106可根据另一类型的操作系统平台(例如,Unix或Linux)操作。每个群38的服务器106不需要与同一群38内的另一个服务器106物理上接近。因此,被逻辑分组为群38的服务器106组可使用广域网(WAN)连接或城域网(MAN)连接互联。例如,群38可包括物理上位于不同大陆或大陆的不同区域、国家、州、城市、校园或房间的服务器106。如果使用局域网(LAN)连接或一些直连形式来连接服务器106,则可增加群38中的服务器106间的数据传送速度。
服务器106可指文件服务器、应用服务器、web服务器、代理服务器或者网关服务器。在一些实施例中,服务器106可以有作为应用服务器或者作为主应用服务器工作的能力。在一个实施例中,服务器106可包括活动目录。客户机102也可称为客户端节点或端点。在一些实施例中,客户机102可以有作为客户机节点寻求访问服务器上的应用的能力,也可以有作为应用服务器为其它客户机102a-102n提供对寄载的应用的访问的能力。
在一些实施例中,客户机102与服务器106通信。在一个实施例中,客户机102与群38中的服务器106的其中一个直接通信。在又一个实施例中,客户机102执行程序邻近应用(programneighborhoodapplication)以与群38内的服务器106通信。在又一个实施例中,服务器106提供主节点的功能。在一些实施例中,客户机102通过网络104与群38中的服务器106通信。通过网络104,客户机102例如可以请求执行群38中的服务器106a-106n寄载的各种应用,并接收应用执行结果的输出进行显示。在一些实施例中,只有主节点提供识别和提供与寄载所请求的应用的服务器106’相关的地址信息所需的功能。
在一个实施例中,服务器106提供web服务器的功能。在又一个实施例中,服务器106a接收来自客户机102的请求,将该请求转发到第二服务器106b,并使用来自服务器106b对该请求的响应来对客户机102的请求进行响应。在又一个实施例中,服务器106获得客户机102可用的应用的列举以及与由该应用的列举所识别的应用的服务器106相关的地址信息。在又一个实施例中,服务器106使用web接口将对请求的响应提供给客户机102。在一个实施例中,客户机102直接与服务器106通信以访问所识别的应用。在又一个实施例中,客户机102接收由执行服务器106上所识别的应用而产生的诸如显示数据的应用输出数据。
现参考图1B,描述了部署多个设备200的网络环境的实施例。第一设备200可以部署在第一网络104上,而第二设备200’部署在第二网络104’上。例如,公司可以在分支机构部署第一设备200,而在数据中心部署第二设备200’。在又一个实施例中,第一设备200和第二设备200’被部署在同一个网络104或网络104上。例如,第一设备200可以被部署用于第一服务器群38,而第二设备200可以被部署用于第二服务器群38’。在另一个实例中,第一设备200可以被部署在第一分支机构,而第二设备200’被部署在第二分支机构’。在一些实施例中,第一设备200和第二设备200’彼此协同或联合工作,以加速客户机和服务器之间的网络流量或应用和数据的传送。
现参考图1C,描述了网络环境的又一个实施例,在该网络环境中,将设备200和一个或多个其它类型的设备部署在一起,例如,部署在一个或多个WAN优化设备205,205’之间。例如,第一WAN优化设备205显示在网络104和104’之间,而第二WAN优化设备205’可以部署在设备200和一个或多个服务器106之间。例如,公司可以在分支机构部署第一WAN优化设备205,而在数据中心部署第二WAN优化设备205’。在一些实施例中,设备205可以位于网络104’上。在其他实施例中,设备205’可以位于网络104上。在一些实施例中,设备205’可以位于网络104’或网络104"上。在一个实施例中,设备205和205’在同一个网络上。在又一个实施例中,设备205和205’在不同的网络上。在另一个实例中,第一WAN优化设备205可以被部署用于第一服务器群38,而第二WAN优化设备205’可以被部署用于第二服务器群38’。
在一个实施例中,设备205是用于加速、优化或者以其他方式改善任何类型和形式的网络流量(例如去往和/或来自WAN连接的流量)的性能、操作或服务质量的装置。在一些实施例中,设备205是一个性能增强代理。在其他实施例中,设备205是任何类型和形式的WAN优化或加速装置,有时也被称为WAN优化控制器。在一个实施例中,设备205是由位于佛罗里达州Ft.Lauderdale的CitrixSystems公司出品的被称为WANScaler的产品实施例中的任何一种。在其他实施例中,设备205包括由位于华盛顿州Seattle的F5Networks公司出品的被称为BIG-IP链路控制器和WANjet的产品实施例中的任何一种。在又一个实施例中,设备205包括由位于加利福尼亚州Sunnyvale的JuniperNetWorks公司出品的WX和WXCWAN加速装置平台中的任何一种。在一些实施例中,设备205包括由加利福尼亚州SanFrancisco的RiverbedTechnology公司出品的虹鳟(steelhead)系列WAN优化设备中的任何一种。在其他实施例中,设备205包括由位于新泽西州Roseland的ExpandNetworks公司出品的WAN相关装置中的任何一种。在一个实施例中,设备205包括由位于加利福尼亚州Cupertino的Packeteer公司出品的任何一种WAN相关设备,例如由Packeteer提供的PacketShaper、iShared和SkyX产品实施例。在又一个实施例中,设备205包括由位于加利福尼亚州SanJose的CiscoSystems公司出品的任何WAN相关设备和/或软件,例如Cisco广域网应用服务软件和网络模块以及广域网引擎设备。
在一个实施例中,设备205为分支机构或远程办公室提供应用和数据加速服务。在一个实施例中,设备205包括广域文件服务(WAFS)的优化。在又一个实施例中,设备205加速文件的传送,例如经由通用互联网文件系统(CIFS)协议。在其他实施例中,设备205在存储器和/或存储装置中提供高速缓存来加速应用和数据的传送。在一个实施例中,设备205在任何级别的网络堆栈或在任何的协议或网络层中提供网络流量的压缩。在又一个实施例中,设备205提供传输层协议优化、流量控制、性能增强或修改和/或管理,以加速WAN连接上的应用和数据的传送。例如,在一个实施例中,设备205提供传输控制协议(TCP)优化。在其他实施例中,设备205提供对于任何会话或应用层协议的优化、流量控制、性能增强或修改和/或管理。
在又一个实施例中,设备205将任何类型和形式的数据或信息编码成网络分组的定制的或标准的TCP和/或IP的报头字段或可选字段,以将其存在、功能或能力通告给另一个设备205’。在又一个实施例中,设备205’可以使用在TCP和/或IP报头字段或选项中编码的数据来与另一个设备205’进行通信。例如,设备可以使用TCP选项或IP报头字段或选项来传达在执行诸如WAN加速的功能时或者为了彼此联合工作而由设备205,205’所使用的一个或多个参数。
在一些实施例中,设备200保存在设备205和205’之间传达的TCP和/或IP报头和/或可选字段中编码的任何信息。例如,设备200可以终止经过设备200的传输层连接,例如经过设备205和205’的在客户机和服务器之间的一个传输层连接。在一个实施例中,设备200识别并保存由第一设备205通过第一传输层连接发送的传输层分组中的任何编码信息,并经由第二传输层连接来将具有编码信息的传输层分组传达到第二设备205’。
现参考图1D,描述了用于传送和/或操作客户机102上的计算环境的网络环境。在一些实施例中,服务器106包括用于向一个或多个客户机102传送计算环境或应用和/或数据文件的应用传送系统190。总的来说,客户机10通过网络104、104’和设备200与服务器106通信。例如,客户机102可驻留在公司的远程办公室里,例如分支机构,并且服务器106可驻留在公司数据中心。客户机102包括客户机代理120以及计算环境15。计算环境15可执行或操作用于访问、处理或使用数据文件的应用。可经由设备200和/或服务器106传送计算环境15、应用和/或数据文件。
在一些实施例中,设备200加速计算环境15或者其任何部分到客户机102的传送。在一个实施例中,设备200通过应用传送系统190加速计算环境15的传送。例如,可使用此处描述的实施例来加速从公司中央数据中心到远程用户位置(例如公司的分支机构)的流应用(streamingapplication)及该应用可处理的数据文件的传送。在又一个实施例中,设备200加速客户机102和服务器106之间的传输层流量。设备200可以提供用于加速从服务器106到客户机102的任何传输层有效载荷的加速技术,例如:1)传输层连接池,2)传输层连接多路复用,3)传输控制协议缓冲,4)压缩和5)高速缓存。在一些实施例中,设备200响应于来自客户机102的请求提供服务器106的负载平衡。在其他实施例中,设备200充当代理或者访问服务器来提供对一个或者多个服务器106的访问。在又一个实施例中,设备200提供从客户机102的第一网络104到服务器106的第二网络104’的安全虚拟专用网络连接,诸如SSLVPN连接。在又一些实施例中,设备200提供客户机102和服务器106之间的连接和通信的应用防火墙安全、控制和管理。
在一些实施例中,基于多个执行方法并且基于通过策略引擎195所应用的任一验证和授权策略,应用传送管理系统190提供将计算环境传送到远程的或者另外的用户的桌面的应用传送技术。使用这些技术,远程用户可以从任何网络连接装置100获取计算环境并且访问服务器所存储的应用和数据文件。在一个实施例中,应用传送系统190可驻留在服务器106上或在其上执行。在又一个实施例中,应用传送系统190可驻留在多个服务器106a-106n上或在其上执行。在一些实施例中,应用传送系统190可在服务器群38内执行。在一个实施例中,执行应用传送系统190的服务器106也可存储或提供应用和数据文件。在又一个实施例中,一个或多个服务器106的第一组可执行应用传送系统190,而不同的服务器106n可存储或提供应用和数据文件。在一些实施例中,应用传送系统190、应用和数据文件中的每一个可驻留或位于不同的服务器。在又一个实施例中,应用传送系统190的任何部分可驻留、执行、或被存储于或分发到设备200或多个设备。
客户机102可包括用于执行使用或处理数据文件的应用的计算环境15。客户机102可通过网络104、104’和设备200请求来自服务器106的应用和数据文件。在一个实施例中,设备200可以将来自客户机102的请求转发到服务器106。例如,客户机102可能不具有本地存储或者本地可访问的应用和数据文件。响应于请求,应用传送系统190和/或服务器106可以传送应用和数据文件到客户机102。例如,在一个实施例中,服务器106可以把应用作为应用流来传输,以在客户机102上的计算环境15中操作。
在一些实施例中,应用传送系统190包括CitrixSystems有限公司的CitrixAccessSuiteTM的任一部分(例如MetaFrame或CitrixPresentationServerTM),和/或微软公司开发的Windows终端服务中的任何一个。在一个实施例中,应用传送系统190可以通过远程显示协议或者以其它方式通过基于远程计算或者基于服务器计算来传送一个或者多个应用到客户机102或者用户。在又一个实施例中,应用传送系统190可以通过应用流来传送一个或者多个应用到客户机或者用户。
在一个实施例中,应用传送系统190包括策略引擎195,其用于控制和管理对应用的访问、应用执行方法的选择以及应用的传送。在一些实施例中,策略引擎195确定用户或者客户机102可以访问的一个或者多个应用。在又一个实施例中,策略引擎195确定应用应该如何被传送到用户或者客户机102,例如执行方法。在一些实施例中,应用传送系统190提供多个传送技术,从中选择应用执行的方法,例如基于服务器的计算、本地流式传输或传送应用给客户机120以用于本地执行。
在一个实施例中,客户机102请求应用程序的执行并且包括服务器106的应用传送系统190选择执行应用程序的方法。在一些实施例中,服务器106从客户机102接收证书。在又一个实施例中,服务器106从客户机102接收对于可用应用的列举的请求。在一个实施例中,响应该请求或者证书的接收,应用传送系统190列举对于客户机102可用的多个应用程序。应用传送系统190接收执行所列举的应用的请求。应用传送系统190选择预定数量的方法之一来执行所列举的应用,例如响应策略引擎的策略。应用传送系统190可以选择执行应用的方法,使得客户机102接收通过执行服务器106上的应用程序所产生的应用输出数据。应用传送系统190可以选择执行应用的方法,使得本地机器10在检索包括应用的多个应用文件之后本地执行应用程序。在又一个实施例中,应用传送系统190可以选择执行应用的方法,以通过网络104流式传输应用到客户机102。
客户机102可以执行、操作或者以其它方式提供应用,所述应用可为任何类型和/或形式的软件、程序或者可执行指令,例如任何类型和/或形式的web浏览器、基于web的客户机、客户机-服务器应用、瘦客户端计算客户机、ActiveX控件、或者Java程序、或者可以在客户机102上执行的任何其它类型和/或形式的可执行指令。在一些实施例中,应用可以是代表客户机102在服务器106上执行的基于服务器或者基于远程的应用。在一个实施例中,服务器106可以使用任何瘦-客户端或远程显示协议来显示输出到客户机102,所述瘦-客户端或远程显示协议例如由位于佛罗里达州Ft.Lauderdale的CitrixSystems公司出品的独立计算架构(ICA)协议或由位于华盛顿州Redmond的微软公司出品的远程桌面协议(RDP)。应用可使用任何类型的协议,并且它可为,例如,HTTP客户机、FTP客户机、Oscar客户机或Telnet客户机。在其他实施例中,应用包括和VoIP通信相关的任何类型的软件,例如软IP电话。在进一步的实施例中,应用包括涉及到实时数据通信的任一应用,例如用于流式传输视频和/或音频的应用。
在一些实施例中,服务器106或服务器群38可运行一个或多个应用,例如提供瘦客户端计算或远程显示表示应用的应用。在一个实施例中,服务器106或服务器群38作为一个应用来执行CitrixSystems有限公司的CitrixAccessSuiteTM的任一部分(例如MetaFrame或CitrixPresentationServerTM),和/或微软公司开发的Windows终端服务中的任何一个。在一个实施例中,该应用是位于佛罗里达州FortLauderdale的CitrixSystems有限公司开发的ICA客户机。在其他实施例中,该应用包括由位于华盛顿州Redmond的Microsoft公司开发的远程桌面(RDP)客户机。另外,服务器106可以运行一个应用,例如,其可以是提供电子邮件服务的应用服务器,例如由位于华盛顿州Redmond的Microsoft公司制造的MicrosoftExchange,web或Internet服务器,或者桌面共享服务器,或者协作服务器。在一些实施例中,任一应用可以包括任一类型的所寄载的服务或产品,例如位于加利福尼亚州SantaBarbara的CitrixOnlineDivision公司提供的GoToMeetingTM,位于加利福尼亚州SantaClara的WebEx有限公司提供的WebExTM,或者位于华盛顿州Redmond的Microsoft公司提供的MicrosoftOfficeLiveMeeting。
仍参考图1D,网络环境的一个实施例可以包括监控服务器106A。监控服务器106A可以包括任何类型和形式的性能监控服务198。性能监控服务198可以包括监控、测量和/或管理软件和/或硬件,包括数据收集、集合、分析、管理和报告。在一个实施例中,性能监控服务198包括一个或多个监控代理197。监控代理197包括用于在诸如客户机102、服务器106或设备200和205的装置上执行监控、测量和数据收集活动的任何软件、硬件或其组合。在一些实施例中,监控代理197包括诸如VisualBasic脚本或Javascript任何类型和形式的脚本。在一个实施例中,监控代理197相对于装置的任何应用和/或用户透明地执行。在一些实施例中,监控代理197相对于应用或客户机不显眼地被安装和操作。在又一个实施例中,监控代理197的安装和操作不需要用于该应用或装置的任何设备。
在一些实施例中,监控代理197以预定频率监控、测量和收集数据。在其他实施例中,监控代理197基于检测到任何类型和形式的事件来监控、测量和收集数据。例如,监控代理197可以在检测到对web页面的请求或收到HTTP响应时收集数据。在另一个实例中,监控代理197可以在检测到诸如鼠标点击的任一用户输入事件时收集数据。监控代理197可以报告或提供任何所监控、测量或收集的数据给监控服务198。在一个实施例中,监控代理197根据时间安排或预定频率来发送信息给监控服务198。在又一个实施例中,监控代理197在检测到事件时发送信息给监控服务198。
在一些实施例中,监控服务198和/或监控代理197对诸如客户机、服务器、服务器群、设备200、设备205或网络连接的任何网络资源或网络基础结构元件的进行监控和性能测量。在一个实施例中,监控服务198和/或监控代理197执行诸如TCP或UDP连接的任何传输层连接的监控和性能测量。在又一个实施例中,监控服务198和/或监控代理197监控和测量网络等待时间。在又一个实施例中,监控服务198和/或监控代理197监控和测量带宽利用。
在其他实施例中,监控服务198和/或监控代理197监控和测量终端用户响应时间。在一些实施例中,监控服务198执行应用的监控和性能测量。在又一个实施例中,监控服务198和/或监控代理197执行到应用的任何会话或连接的监控和性能测量。在一个实施例中,监控服务198和/或监控代理197监控和测量浏览器的性能。在又一个实施例中,监控服务198和/或监控代理197监控和测量基于HTTP的事务的性能。在一些实施例中,监控服务198和/或监控代理197监控和测量IP电话(VoIP)应用或会话的性能。在其他实施例中,监控服务198和/或监控代理197监控和测量诸如ICA客户机或RDP客户机的远程显示协议应用的性能。在又一个实施例中,监控服务198和/或监控代理197监控和测量任何类型和形式的流媒体的性能。在进一步的实施例中,监控服务198和/或监控代理197监控和测量所寄载的应用或软件即服务(Software-As-A-Service,SaaS)传送模型的性能。
在一些实施例中,监控服务198和/或监控代理197执行与应用相关的一个或多个事务、请求或响应的监控和性能测量。在其他实施例中,监控服务198和/或监控代理197监控和测量应用层堆栈的任何部分,例如任何.NET或J2EE调用。在一个实施例中,监控服务198和/或监控代理197监控和测量数据库或SQL事务。在又一个实施例中,监控服务198和/或监控代理197监控和测量任何方法、函数或应用编程接口(API)调用。
在一个实施例中,监控服务198和/或监控代理197对经由诸如设备200和/或设备205的一个或多个设备从服务器到客户机的应用和/或数据的传送进行监控和性能测量。在一些实施例中,监控服务198和/或监控代理197监控和测量虚拟化应用的传送的性能。在其他实施例中,监控服务198和/或监控代理197监控和测量流式应用的传送的性能。在又一个实施例中,监控服务198和/或监控代理197监控和测量传送桌面应用到客户机和/或在客户机上执行桌面应用的性能。在又一个实施例中,监控服务198和/或监控代理197监控和测量客户机/服务器应用的性能。
在一个实施例中,监控服务198和/或监控代理197被设计和构建成为应用传送系统190提供应用性能管理。例如,监控服务198和/或监控代理197可以监控、测量和管理经由Citrix表示服务器(CitrixPresentationServer)传送应用的性能。在该实例中,监控服务198和/或监控代理197监控单独的ICA会话。监控服务198和/或监控代理197可以测量总的以及每次的会话系统资源使用,以及应用和连网性能。监控服务198和/或监控代理197可以对于给定用户和/或用户会话来标识有效服务器(activeserver)。在一些实施例中,监控服务198和/或监控代理197监控在应用传送系统190和应用和/或数据库服务器之间的后端连接。监控服务198和/或监控代理197可以测量每个用户会话或ICA会话的网络等待时间、延迟和容量。
在一些实施例中,监控服务198和/或监控代理197测量和监控对于应用传送系统190的诸如总的存储器使用、每个用户会话和/或每个进程的存储器使用。在其他实施例中,监控服务198和/或监控代理197测量和监控诸如总的CPU使用、每个用户会话和/或每个进程的应用传送系统190的CPU使用。在又一个实施例中,监控服务198和/或监控代理197测量和监控登录到诸如Citrix表示服务器的应用、服务器或应用传送系统所需的时间。在一个实施例中,监控服务198和/或监控代理197测量和监控用户登录应用、服务器或应用传送系统190的持续时间。在一些实施例中,监控服务198和/或监控代理197测量和监控应用、服务器或应用传送系统会话的有效和无效的会话计数。在又一个实施例中,监控服务198和/或监控代理197测量和监控用户会话等待时间。
在另外的实施例中,监控服务198和/或监控代理197测量和监控任何类型和形式的服务器指标。在一个实施例中,监控服务198和/或监控代理197测量和监控与系统内存、CPU使用和盘存储器有关的指标。在又一个实施例中,监控服务198和/或监控代理197测量和监控和页错误有关的指标,诸如每秒页错误。在其他实施例中,监控服务198和/或监控代理197测量和监控往返时间的指标。在又一个实施例中,监控服务198和/或监控代理197测量和监控与应用崩溃、错误和/或中止相关的指标。
在一些实施例中,监控服务198和监控代理198包括由位于佛罗里达州Ft.Lauderdale的CitrixSystems公司出品的被称为EdgeSight的任何一种产品实施例。在又一个实施例中,性能监控服务198和/或监控代理198包括由位于加利福尼亚州PaloAlto的Symphoniq公司出品的被称为TrueView产品套件的产品实施例的任一部分。在一个实施例中,性能监控服务198和/或监控代理198包括由位于加利福尼亚州SanFrancisco的TeaLeaf技术公司出品的被称为TeaLeafCX产品套件的产品实施例的任何部分。在其他实施例中,性能监控服务198和/或监控代理198包括由位于德克萨斯州Houston的BMC软件公司出品的诸如BMC性能管理器和巡逻产品(BMCPerformanceManagerandPatrolproducts)的商业服务管理产品的任何部分。
客户机102、服务器106和设备200可以被部署为和/或执行在任何类型和形式的计算装置上,诸如能够在任何类型和形式的网络上通信并执行此处描述的操作的计算机、网络装置或者设备。图1E和1F描述了可用于实施客户机102、服务器106或设备200的实施例的计算装置100的框图。如图1E和1F所示,每个计算装置100包括中央处理单元101和主存储器单元122。如图1E所示,计算装置100可以包括可视显示装置124、键盘126和/或诸如鼠标的指示装置127。每个计算装置100也可包括其它可选元件,例如一个或多个输入/输出装置130a-130b(总的使用附图标记130表示),以及与中央处理单元101通信的高速缓存存储器140。
中央处理单元101是响应并处理从主存储器单元122取出的指令的任何逻辑电路。在许多实施例中,中央处理单元由微处理器单元提供,例如:由加利福尼亚州MountainView的Intel公司制造的微处理器单元;由伊利诺伊州Schaumburg的Motorola公司制造的微处理器单元;由加利福尼亚州SantaClara的Transmeta公司制造的微处理器单元;由纽约州WhitePlains的InternationalBusinessMachines公司制造的RS/6000处理器;或者由加利福尼亚州Sunnyvale的AdvancedMicroDevices公司制造的微处理器单元。计算装置100可以基于这些处理器中的任何一种,或者能够如此处所述方式运行的任何其它处理器。
主存储器单元122可以是能够存储数据并允许微处理器101直接访问任何存储位置的一个或多个存储器芯片,例如静态随机存取存储器(SRAM)、突发SRAM或同步突发SRAM(BSRAM)、动态随机存取存储器DRAM、快速页模式DRAM(FPMDRAM)、增强型DRAM(EDRAM)、扩展数据输出RAM(EDORAM)、扩展数据输出DRAM(EDODRAM)、突发式扩展数据输出DRAM(BEDODRAM)、增强型DRAM(EDRAM)、同步DRAM(SDRAM)、JEDECSRAM、PC100SDRAM、双数据速率SDRAM(DDRSDRAM)、增强型SRAM(ESDRAM)、同步链路DRAM(SLDRAM)、直接内存总线DRAM(DRDRAM)或铁电RAM(FRAM)。主存储器122可以基于上述存储芯片的任何一种,或者能够如此处所述方式运行的任何其它可用存储芯片。在图1E中所示的实施例中,处理器101通过系统总线150(在下面进行更详细的描述)与主存储器122进行通信。图1E描述了在其中处理器通过存储器端口103直接与主存储器122通信的计算装置100的实施例。例如,在图1F中,主存储器122可以是DRDRAM。
图1F描述了在其中主处理器101通过第二总线与高速缓存存储器140直接通信的实施例,第二总线有时也称为后端总线。其他实施例中,主处理器101使用系统总线150和高速缓存存储器140通信。高速缓存存储器140通常有比主存储器122更快的响应时间,并且通常由SRAM、BSRAM或EDRAM提供。在图1F中所示的实施例中,处理器101通过本地系统总线150与多个I/O装置130进行通信。可以使用各种不同的总线将中央处理单元101连接到任何I/O装置130,所述总线包括VESAVL总线、ISA总线、EISA总线、微通道体系结构(MCA)总线、PCI总线、PCI-X总线、PCI-Express总线或NuBus。对于I/O装置是视频显示器124的实施例,处理器101可以使用高级图形端口(AGP)与显示器124通信。图1F说明了主处理器101通过超传输(HyperTransport)、快速I/O或者InfiniBand直接与I/O装置130通信的计算机100的一个实施例。图1F还描述了在其中混合本地总线和直接通信的实施例:处理器101使用本地互连总线与I/O装置130b进行通信,同时直接与I/O装置130a进行通信。
计算装置100可以支持任何适当的安装装置116,例如用于接纳诸如3.5英寸、5.25英寸磁盘或ZIP磁盘这样的软盘的软盘驱动器、CD-ROM驱动器、CD-R/RW驱动器、DVD-ROM驱动器、各种格式的磁带驱动器、USB装置、硬盘驱动器或适于安装像任何客户机代理120或其部分的软件和程序的任何其它装置。计算装置100还可以包括存储装置128,诸如一个或者多个硬盘驱动器或者独立磁盘冗余阵列,用于存储操作系统和其它相关软件,以及用于存储诸如涉及客户机代理120的任何程序的应用软件程序。或者,可以使用安装装置116的任何一种作为存储装置128。此外,操作系统和软件可从例如可引导CD的可引导介质运行,诸如一种用于GNU/Linux的可引导CD,该可引导CD可自knoppix.net作为GNU/Linux一个分发版获得。
此外,计算装置100可以包括通过多种连接接口到局域网(LAN)、广域网(WAN)或因特网的网络接口118,所述多种连接包括但不限于标准电话线路、LAN或WAN链路(例如802.11,T1,T3、56kb、X.25)、宽带连接(如ISDN、帧中继、ATM)、无线连接、或上述任何或所有连接的一些组合。网络接口118可以包括内置网络适配器、网络接口卡、PCMCIA网络卡、卡总线网络适配器、无线网络适配器、USB网络适配器、调制解调器或适用于将计算装置100接口到能够通信并执行这里所说明的操作的任何类型的网络的任何其它设备。计算装置100中可以包括各种I/O装置130a-130n。输入装置包括键盘、鼠标、触控板、轨迹球、麦克风和绘图板。输出装置包括视频显示器、扬声器、喷墨打印机、激光打印机和热升华打印机。如图1E所示,I/O装置130可以由I/O控制器123控制。I/O控制器可以控制一个或多个I/O装置,例如键盘126和指示装置127(如鼠标或光笔)。此外,I/O装置还可以为计算装置100提供存储装置128和/或安装介质116。在其他实施例中,计算装置100可以提供USB连接以接纳手持USB存储装置,例如由位于美国加利福尼亚州LosAlamitos的TwintechIndustry有限公司生产的USB闪存驱动系列装置。
在一些实施例中,计算装置100可以包括多个显示装置124a-124n或与其相连,这些显示装置各自可以是相同或不同的类型和/或形式。因而,任何一种I/O装置130a-130n和/或I/O控制器123可以包括任一类型和/或形式的适当的硬件、软件或硬件和软件的组合,以支持、允许或提供通过计算装置100连接和使用多个显示装置124a-124n。例如,计算装置100可以包括任何类型和/或形式的视频适配器、视频卡、驱动器和/或库,以与显示装置124a-124n接口、通信、连接或以其他方式使用显示装置。在一个实施例中,视频适配器可以包括多个连接器以与多个显示装置124a-124n接口。在其他实施例中,计算装置100可以包括多个视频适配器,每个视频适配器与显示装置124a-124n中的一个或多个连接。在一些实施例中,计算装置100的操作系统的任一部分都可以被配置用于使用多个显示器124a-124n。在其他实施例中,显示装置124a-124n中的一个或多个可以由一个或多个其它计算装置提供,诸如例如通过网络与计算装置100连接的计算装置100a和100b。这些实施例可以包括被设计和构造为将另一个计算机的显示装置用作计算装置100的第二显示装置124a的任一类型的软件。本领域的普通技术人员应认识和理解可以将计算装置100配置成具有多个显示装置124a-124n的各种方法和实施例。
在另外的实施例中,I/O装置130可以是系统总线150和外部通信总线之间的桥170,所述外部通信总线例如USB总线、Apple桌面总线、RS-232串行连接、SCSI总线、FireWire总线、FireWire800总线、以太网总线、AppleTalk总线、千兆位以太网总线、异步传输模式总线、HIPPI总线、超级HIPPI总线、SerialPlus总线、SCI/LAMP总线、光纤信道总线或串行SCSI总线。
图1E和1F中描述的那类计算装置100通常在控制任务的调度和对系统资源的访问的操作系统的控制下操作。计算装置100可以运行任何操作系统,如Windows操作系统,不同发行版本的Unix和Linux操作系统,用于Macintosh计算机的任何版本的MAC任何嵌入式操作系统,任何实时操作系统,任何开源操作系统,任何专有操作系统,任何用于移动计算装置的操作系统,或者任何其它能够在计算装置上运行并完成这里所述操作的操作系统。典型的操作系统包括:WINDOWS3.x、WINDOWS95、WINDOWS98、WINDOWS2000、WINDOWSNT3.51、WINDOWSNT4.0、WINDOWSCE和WINDOWSXP,所有这些均由位于华盛顿州Redmond的微软公司出品;由位于加利福尼亚州Cupertino的苹果计算机出品的MacOS;由位于纽约州Armonk的国际商业机器公司出品的OS/2;以及由位于犹他州SaltLakeCity的Caldera公司发布的可免费使用的Linux操作系统或者任何类型和/或形式的Unix操作系统,以及其它。
在其他的实施例中,计算装置100可以有符合该装置的不同的处理器、操作系统和输入设备。例如,在一个实施例中,计算机100是由Palm公司出品的Treo180、270、1060、600或650智能电话。在该实施例中,Treo智能电话在PalmOS操作系统的控制下操作,并包括指示笔输入装置以及五向导航装置。此外,计算装置100可以是任何工作站、桌面计算机、膝上型或笔记本计算机、服务器、手持计算机、移动电话、任何其它计算机、或能够通信并有足够的处理器能力和存储容量以执行此处所述的操作的其它形式的计算或者电信装置。
如图1G所示,计算装置100可以包括多个处理器,可以提供用于对不只一个数据片同时执行多个指令或者同时执行一个指令的功能。在一些实施例中,计算装置100可包括具有一个或多个核的并行处理器。在这些实施例的一个中,计算装置100是共享内存并行设备,具有多个处理器和/或多个处理器核,将所有可用内存作为一个全局地址空间进行访问。在这些实施例的又一个中,计算装置100是分布式存储器并行设备,具有多个处理器,每个处理器访问本地存储器。在这些实施例的又一个中,计算装置100既有共享的存储器又有仅由特定处理器或处理器子集访问的存储器。在这些实施例的又一个中,如多核微处理器的计算装置100将两个或多个独立处理器组合在一个封装中,通常在一个集成电路(IC)中。在这些实施例的又一个中,计算装置100包括具有单元宽带引擎(CELLBROADBANDENGINE)架构的芯片,并包括高能处理器单元以及多个协同处理单元,高能处理器单元和多个协同处理单元通过内部高速总线连接在一起,可以将内部高速总线称为单元互连总线。
在一些实施例中,处理器提供用于对多个数据片同时执行单个指令(SIMD)的功能。其他实施例中,处理器提供用于对多个数据片同时执行多个指令(MIMD)的功能。又一个实施例中,处理器可以在单个装置中使用SIMD和MIMD核的任意组合。
在一些实施例中,计算装置100可包括图像处理单元。图1H所示的在这些实施例的一个中,计算装置100包括至少一个中央处理单元101和至少一个图像处理单元。在这些实施例的又一个中,计算装置100包括至少一个并行处理单元和至少一个图像处理单元。在这些实施例的又一个中,计算装置100包括任意类型的多个处理单元,多个处理单元中的一个包括图像处理单元。
在一些实施例中,第一计算装置100a代表客户计算装置100b的用户执行应用。又一个实施例中,计算装置100执行虚拟机,其提供执行会话,在该会话中,代表客户计算装置100b的用户执行应用。在这些实施例的一个中,执行会话是寄载的桌面会话。在这些实施例的又一个中,计算装置100执行终端服务会话。终端服务会话可以提供寄载的桌面环境。在这些实施例的又一个中,执行会话提供对计算环境的访问,该计算环境可包括以下的一个或多个:应用、多个应用、桌面应用以及可执行一个或多个应用的桌面会话。
B.设备架构
图2A示出设备200的一个示例实施例。提供图2A的设备200架构仅用于示例,并不意于作为限制性的架构。如图2所示,设备200包括硬件层206和被分为用户空间202和内核空间204的软件层。
硬件层206提供硬件元件,在内核空间204和用户空间202中的程序和服务在该硬件元件上被执行。硬件层206也提供结构和元件,就设备200而言,这些结构和元件允许在内核空间204和用户空间202内的程序和服务既在内部进行数据通信又与外部进行数据通信。如图2所示,硬件层206包括用于执行软件程序和服务的处理单元262,用于存储软件和数据的存储器264,用于通过网络传输和接收数据的网络端口266,以及用于执行与安全套接字协议层相关的功能处理通过网络传输和接收的数据的加密处理器260。在一些实施例中,中央处理单元262可在单独的处理器中执行加密处理器260的功能。另外,硬件层206可包括用于每个处理单元262和加密处理器260的多处理器。处理器262可以包括以上结合图1E和1F所述的任一处理器101。例如,在一个实施例中,设备200包括第一处理器262和第二处理器262’。在其他实施例中,处理器262或者262’包括多核处理器。
虽然示出的设备200的硬件层206通常带有加密处理器260,但是处理器260可为执行涉及任何加密协议的功能的处理器,例如安全套接字协议层(SSL)或者传输层安全(TLS)协议。在一些实施例中,处理器260可为通用处理器(GPP),并且在进一步的实施例中,可为用于执行任何安全相关协议处理的可执行指令。
虽然图2中设备200的硬件层206包括了某些元件,但是设备200的硬件部分或组件可包括计算装置的任何类型和形式的元件、硬件或软件,例如此处结合图1E和1F示出和讨论的计算装置100。在一些实施例中,设备200可包括服务器、网关、路由器、开关、桥接器或其它类型的计算或网络设备,并且拥有与此相关的任何硬件和/或软件元件。
设备200的操作系统分配、管理或另外分离可用的系统存储器到内核空间204和用户空间204。在示例的软件架构200中,操作系统可以是任何类型和/或形式的Unix操作系统,尽管本发明并未这样限制。这样,设备200可以运行任何操作系统,如任何版本的Windows操作系统、不同版本的Unix和Linux操作系统、用于Macintosh计算机的任何版本的Mac任何的嵌入式操作系统、任何的网络操作系统、任何的实时操作系统、任何的开放源操作系统、任何的专用操作系统、用于移动计算装置或网络装置的任何操作系统、或者能够运行在设备200上并执行此处所描述的操作的任何其它操作系统。
保留内核空间204用于运行内核230,内核230包括任何设备驱动器,内核扩展或其他内核相关软件。就像本领域技术人员所知的,内核230是操作系统的核心,并提供对资源以及设备104的相关硬件元件的访问、控制和管理。根据设备200的实施例,内核空间204也包括与高速缓存管理器232协同工作的多个网络服务或进程,高速缓存管理器232有时也称为集成的高速缓存,其益处此处将进一步详细描述。另外,内核230的实施例将依赖于通过设备200安装、配置或其他使用的操作系统的实施例。
在一个实施例中,设备200包括一个网络堆栈267,例如基于TCP/IP的堆栈,用于与客户机102和/或服务器106通信。在一个实施例中,使用网络堆栈267与第一网络(例如网络108)以及第二网络110通信。在一些实施例中,设备200终止第一传输层连接,例如客户机102的TCP连接,并建立客户机102使用的到服务器106的第二传输层连接,例如,终止在设备200和服务器106的第二传输层连接。可通过单独的网络堆栈267建立第一和第二传输层连接。在其他实施例中,设备200可包括多个网络堆栈,例如267或267’,并且在一个网络堆栈267可建立或终止第一传输层连接,在第二网络堆栈267’上可建立或者终止第二传输层连接。例如,一个网络堆栈可用于在第一网络上接收和传输网络分组,并且另一个网络堆栈用于在第二网络上接收和传输网络分组。在一个实施例中,网络堆栈267包括用于为一个或多个网络分组进行排队的缓冲器243,其中网络分组由设备200传输。
如图2所示,内核空间204包括高速缓存管理器232、高速层2-7集成分组引擎240、加密引擎234、策略引擎236以及多协议压缩逻辑238。在内核空间204或内核模式而不是用户空间202中运行这些组件或进程232、240、234、236和238提高这些组件中的每个单独的和结合的性能。内核操作意味着这些组件或进程232、240、234、236和238在设备200的操作系统的核地址空间中运行。例如,在内核模式中运行加密引擎234通过移动加密和解密操作到内核可改进加密性能,从而可减少在内核模式中的存储空间或内核线程与在用户模式中的存储空间或线程之间的传输的数量。例如,在内核模式获得的数据可能不需要传输或拷贝到运行在用户模式的进程或线程,例如从内核级数据结构到用户级数据结构。在另一个方面,也可减少内核模式和用户模式之间的上下文切换的数量。另外,在任何组件或进程232、240、235、236和238间的同步和通信在内核空间204中可被执行的更有效率。
在一些实施例中,组件232、240、234、236和238的任何部分可在内核空间204中运行或操作,而这些组件232、240、234、236和238的其它部分可在用户空间202中运行或操作。在一个实施例中,设备200使用内核级数据结构来提供对一个或多个网络分组的任何部分的访问,例如,包括来自客户机102的请求或者来自服务器106的响应的网络分组。在一些实施例中,可以由分组引擎240通过到网络堆栈267的传输层驱动器接口或过滤器获得内核级数据结构。内核级数据结构可包括通过与网络堆栈267相关的内核空间204可访问的任何接口和/或数据、由网络堆栈267接收或发送的网络流量或分组。在其他实施例中,任何组件或进程232、240、234、236和238可使用内核级数据结构来执行组件或进程的需要的操作。在一个实例中,当使用内核级数据结构时,组件232、240、234、236和238在内核模式204中运行,而在又一个实施例中,当使用内核级数据结构时,组件232、240、234、236和238在用户模式中运行。在一些实施例中,内核级数据结构可被拷贝或传递到第二内核级数据结构,或任何期望的用户级数据结构。
高速缓存管理器232可包括软件、硬件或软件和硬件的任何组合,以提供对任何类型和形式的内容的高速缓存访问、控制和管理,例如对象或由源服务器106提供服务的动态产生的对象。由高速缓存管理器232处理和存储的数据、对象或内容可包括任何格式(例如标记语言)的数据,或者通过任何协议的通信的任何类型的数据。在一些实施例中,高速缓存管理器232复制存储在其他地方的原始数据或先前计算、产生或传输的数据,其中相对于读高速缓存存储器元件,需要更长的访问时间以取得、计算或以其他方式得到原始数据。一旦数据被存储在高速缓存存储元件中,通过访问高速缓存的副本而不是重新获得或重新计算原始数据即可进行后续操作,因此而减少了访问时间。在一些实施例中,高速缓存元件可以包括设备200的存储器264中的数据对象。在其他实施例中,高速缓存存储元件可包括有比存储器264更快的存取时间的存储器。在又一个实施例中,高速缓存元件可以包括设备200的任一类型和形式的存储元件,诸如硬盘的一部分。在一些实施例中,处理单元262可提供被高速缓存管理器232使用的高速缓存存储器。在又一个实施例中,高速缓存管理器232可使用存储器、存储区或处理单元的任何部分和组合来高速缓存数据、对象或其它内容。
另外,高速缓存管理器232包括用于执行此处描述的设备200的技术的任一实施例的任何逻辑、功能、规则或操作。例如,高速缓存管理器232包括基于无效时间周期的终止,或者从客户机102或服务器106接收无效命令使对象无效的逻辑或功能。在一些实施例中,高速缓存管理器232可作为在内核空间204中执行的程序、服务、进程或任务而操作,并且在其他实施例中,在用户空间202中执行。在一个实施例中,高速缓存管理器232的第一部分在用户空间202中执行,而第二部分在内核空间204中执行。在一些实施例中,高速缓存管理器232可包括任何类型的通用处理器(GPP),或任何其他类型的集成电路,例如现场可编程门阵列(FPGA),可编程逻辑设备(PLD),或者专用集成电路(ASIC)。
策略引擎236可包括例如智能统计引擎或其它可编程应用。在一个实施例中,策略引擎236提供配置机制以允许用户识别、指定、定义或配置高速缓存策略。策略引擎236,在一些实施例中,也访问存储器以支持数据结构,例如备份表或hash表,以启用用户选择的高速缓存策略决定。在其他实施例中,除了对安全、网络流量、网络访问、压缩或其它任何由设备200执行的功能或操作的访问、控制和管理之外,策略引擎236可包括任何逻辑、规则、功能或操作以确定和提供对设备200所高速缓存的对象、数据、或内容的访问、控制和管理。特定高速缓存策略的其他实施例此处进一步描述。
加密引擎234包括用于操控诸如SSL或TLS的任何安全相关协议或其中涉及的任何功能的处理的任何逻辑、商业规则、功能或操作。例如,加密引擎234加密并解密通过设备200传输的网络分组,或其任何部分。加密引擎234也可代表客户机102a-102n、服务器106a-106n或设备200来设置或建立SSL或TLS连接。因此,加密引擎234提供SSL处理的卸载和加速。在一个实施例中,加密引擎234使用隧道协议来提供在客户机102a-102n和服务器106a-106n间的虚拟专用网络。在一些实施例中,加密引擎234与加密处理器260通信。在其他实施例中,加密引擎234包括运行在加密处理器260上的可执行指令。
多协议压缩引擎238包括用于压缩一个或多个网络分组协议(例如被设备200的网络堆栈267使用的任何协议)的任何逻辑、商业规则、功能或操作。在一个实施例中,多协议压缩引擎238双向压缩在客户机102a-102n和服务器106a-106n间任一基于TCP/IP的协议,包括消息应用编程接口(MAPI)(电子邮件)、文件传输协议(FTP)、超文本传输协议(HTTP)、通用互联网文件系统(CIFS)协议(文件传输)、独立计算架构(ICA)协议、远程桌面协议(RDP)、无线应用协议(WAP)、移动IP协议以及互联网协议电话(VoIP)协议。在其他实施例中,多协议压缩引擎238提供基于超文本标记语言(HTML)的协议的压缩,并且在一些实施例中,提供任何标记语言的压缩,例如可扩展标记语言(XML)。在一个实施例中,多协议压缩引擎238提供任何高性能协议的压缩,例如设计用于设备200到设备200通信的任何协议。在又一个实施例中,多协议压缩引擎238使用修改的传输控制协议来压缩任何通信的任何载荷或任何通信,例如事务TCP(T/TCP)、带有选择确认的TCP(TCP-SACK)、带有大窗口的TCP(TCP-LW)、例如TCP-Vegas协议的拥塞预报协议以及TCP欺骗协议(TCPspoofingprotocol)。
同样的,多协议压缩引擎238为用户加速经由桌面客户机乃至移动客户机访问应用的性能,所述桌面客户机例如MicosoftOutlook和非web瘦客户机,诸如由像Oracle、SAP和Siebel的通用企业应用所启动的任何客户机,所述移动客户机例如掌上电脑。在一些实施例中,通过在内核模式204内部执行并与访问网络堆栈267的分组处理引擎240集成,多协议压缩引擎238可以压缩TCP/IP协议携带的任何协议,例如任何应用层协议。
高速层2-7集成分组引擎240,通常也称为分组处理引擎,或分组引擎,负责设备200通过网络端口266接收和发送的分组的内核级处理的管理。高速层2-7集成分组引擎240可包括用于在例如接收网络分组和传输网络分组的处理期间排队一个或多个网络分组的缓冲器。另外,高速层2-7集成分组引擎240与一个或多个网络堆栈267通信以通过网络端口266发送和接收网络分组。高速层2-7集成分组引擎240与加密引擎234、高速缓存管理器232、策略引擎236和多协议压缩逻辑238协同工作。更具体地,配置加密引擎234以执行分组的SSL处理,配置策略引擎236以执行涉及流量管理的功能,例如请求级内容切换以及请求级高速缓存重定向,并配置多协议压缩逻辑238以执行涉及数据压缩和解压缩的功能。
高速层2-7集成分组引擎240包括分组处理定时器242。在一个实施例中,分组处理定时器242提供一个或多个时间间隔以触发输入处理,例如,接收或者输出(即传输)网络分组。在一些实施例中,高速层2-7集成分组引擎240响应于定时器242处理网络分组。分组处理定时器242向分组引擎240提供任何类型和形式的信号以通知、触发或传输时间相关的事件、间隔或发生。在许多实施例中,分组处理定时器242以毫秒级操作,例如100ms、50ms、或25ms。例如,在一些实例中,分组处理定时器242提供时间间隔或者以其它方式使得由高速层2-7集成分组引擎240以10ms时间间隔处理网络分组,而在其他实施例中,使高速层2-7集成分组引擎240以5ms时间间隔处理网络分组,并且在进一步的实施例中,短到3、2或1ms时间间隔。高速层2-7集成分组引擎240在操作期间可与加密引擎234、高速缓存管理器232、策略引擎236以及多协议压缩引擎238连接、集成或通信。因此,响应于分组处理定时器242和/或分组引擎240,可执行加密引擎234、高速缓存管理器232、策略引擎236以及多协议压缩引擎238的任何逻辑、功能或操作。因此,在由分组处理定时器242提供的时间间隔粒度,可执行加密引擎234、高速缓存管理器232、策略引擎236以及多协议压缩引擎238的任何逻辑、功能或操作,例如,时间间隔少于或等于10ms。例如,在一个实施例中,高速缓存管理器232可响应于高速层2-7集成分组引擎240和/或分组处理定时器242来执行任何高速缓存的对象的终止。在又一个实施例中,高速缓存的对象的终止或无效时间被设定为与分组处理定时器242的时间间隔相同的粒度级,例如每10ms。
与内核空间204不同,用户空间202是被用户模式应用或在用户模式运行的程序所使用的操作系统的存储区域或部分。用户模式应用不能直接访问内核空间204而使用服务调用以访问内核服务。如图2所示,设备200的用户空间202包括图形用户接口(GUI)210、命令行接口(CLI)212、壳服务(shellservice)214、健康监控程序216以及守护(daemon)服务218。GUI210和CLI212提供系统管理员或其他用户可与之交互并控制设备200操作的装置,例如通过设备200的操作系统。GUI210和CLI212可包括运行在用户空间202或内核框架204中的代码。GUI210可以是任何类型或形式的图形用户接口,可以通过文本、图形或其他形式由任何类型的程序或应用(如浏览器)来呈现。CLI212可为任何类型和形式的命令行或基于文本的接口,例如通过操作系统提供的命令行。例如,CLI212可包括壳,该壳是使用户与操作系统相互作用的工具。在一些实施例中,可通过bash、csh、tcsh或者ksh类型的壳提供CLI212。壳服务214包括程序、服务、任务、进程或可执行指令以支持由用户通过GUI210和/或CLI212的与设备200或者操作系统的交互。
健康监控程序216用于监控、检查、报告并确保网络系统正常运行,以及用户正通过网络接收请求的内容。健康监控程序216包括一个或多个程序、服务、任务、进程或可执行指令,为监控设备200的任何行为提供逻辑、规则、功能或操作。在一些实施例中,健康监控程序216拦截并检查通过设备200传递的任何网络流量。在其他实施例中,健康监控程序216通过任何合适的方法和/或机制与一个或多个下述设备连接:加密引擎234,高速缓存管理器232,策略引擎236,多协议压缩逻辑238,分组引擎240,守护服务218以及壳服务214。因此,健康监控程序216可调用任何应用编程接口(API)以确定设备200的任何部分的状态、情况或健康。例如,健康监控程序216可周期性地查验(ping)或发送状态查询以检查程序、进程、服务或任务是否活动并当前正在运行。在又一个实施例中,健康监控程序216可检查由任何程序、进程、服务或任务提供的任何状态、错误或历史日志以确定设备200任何部分的任何状况、状态或错误。
守护服务218是连续运行或在背景中运行的程序,并且处理设备200接收的周期性服务请求。在一些实施例中,守护服务可向其他程序或进程(例如合适的另一个守护服务218)转发请求。如本领域技术人员所公知的,守护服务218可无人监护的运行,以执行连续的或周期性的系统范围功能,例如网络控制,或者执行任何需要的任务。在一些实施例中,一个或多个守护服务218运行在用户空间202中,而在其他实施例中,一个或多个守护服务218运行在内核空间。
现参考图2B,描述了设备200的又一个实施例。总的来说,设备200提供下列服务、功能或操作中的一个或多个:用于一个或多个客户机102以及一个或多个服务器106之间的通信的SSLVPN连通280、交换/负载平衡284、域名服务解析286、加速288和应用防火墙290。服务器106的每一个可以提供一个或者多个网络相关服务270a-270n(称为服务270)。例如,服务器106可以提供http服务270。设备200包括一个或者多个虚拟服务器或者虚拟互联网协议服务器,称为vServer275、vS275、VIP服务器或者仅是VIP275a-275n(此处也称为vServer275)。vServer275根据设备200的配置和操作来接收、拦截或者以其它方式处理客户机102和服务器106之间的通信。
vServer275可以包括软件、硬件或者软件和硬件的任何组合。vServer275可包括在设备200中的用户模式202、内核模式204或者其任何组合中运行的任何类型和形式的程序、服务、任务、进程或者可执行指令。vServer275包括任何逻辑、功能、规则或者操作,以执行此处所述技术的任何实施例,诸如SSLVPN280、转换/负载平衡284、域名服务解析286、加速288和应用防火墙290。在一些实施例中,vServer275建立到服务器106的服务270的连接。服务275可以包括能够连接到设备200、客户机102或者vServer275并与之通信的任何程序、应用、进程、任务或者可执行指令集。例如,服务275可以包括web服务器、http服务器、ftp、电子邮件或者数据库服务器。在一些实施例中,服务270是守护进程或者网络驱动器,用于监听、接收和/或发送应用的通信,诸如电子邮件、数据库或者企业应用。在一些实施例中,服务270可以在特定的IP地址、或者IP地址和端口上通信。
在一些实施例中,vServer275应用策略引擎236的一个或者多个策略到客户机102和服务器106之间的网络通信。在一个实施例中,该策略与vServer275相关。在又一个实施例中,该策略基于用户或者用户组。在又一个实施例中,策略为通用的并且应用到一个或者多个vServer275a-275n,和通过设备200通信的任何用户或者用户组。在一些实施例中,策略引擎的策略具有基于通信的任何内容应用该策略的条件,通信的内容诸如互联网协议地址、端口、协议类型、分组中的头部或者字段、或者通信的上下文,诸如用户、用户组、vServer275、传输层连接、和/或客户机102或者服务器106的标识或者属性。
在其他实施例中,设备200与策略引擎236通信或接口,以便确定远程用户或远程客户机102的验证和/或授权,以访问来自服务器106的计算环境15、应用和/或数据文件。在又一个实施例中,设备200与策略引擎236通信或交互,以便确定远程用户或远程客户机102的验证和/或授权,使得应用传送系统190传送一个或多个计算环境15、应用和/或数据文件。在又一个实施例中,设备200基于策略引擎236对远程用户或远程客户机102的验证和/或授权建立VPN或SSLVPN连接。一个实施例中,设备200基于策略引擎236的策略控制网络流量以及通信会话。例如,基于策略引擎236,设备200可控制对计算环境15、应用或数据文件的访问。
在一些实施例中,vServer275与客户机102经客户机代理120建立传输层连接,诸如TCP或者UDP连接。在一个实施例中,vServer275监听和接收来自客户机102的通信。在其他实施例中,vServer275与客户机服务器106建立传输层连接,诸如TCP或者UDP连接。在一个实施例中,vServer275建立到运行在服务器106上的服务器270的互联网协议地址和端口的传输层连接。在又一个实施例中,vServer275将到客户机102的第一传输层连接与到服务器106的第二传输层连接相关联。在一些实施例中,vServer275建立到服务器106的传输层连接池并经由所述池化(pooled)的传输层连接多路复用客户机的请求。
在一些实施例中,设备200提供客户机102和服务器106之间的SSLVPN连接280。例如,第一网络102上的客户机102请求建立到第二网络104’上的服务器106的连接。在一些实施例中,第二网络104’是不能从第一网络104路由的。在其他实施例中,客户机102位于公用网络104上,并且服务器106位于专用网络104’上,例如企业网。在一个实施例中,客户机代理120拦截第一网络104上的客户机102的通信,加密该通信,并且经第一传输层连接发送该通信到设备200。设备200将第一网络104上的第一传输层连接与到第二网络104上的服务器106的第二传输层连接相关联。设备200接收来自客户机代理102的所拦截的通信,解密该通信,并且经第二传输层连接发送该通信到第二网络104上的服务器106。第二传输层连接可以是池化的传输层连接。同样的,设备200为两个网络104、104’之间的客户机102提供端到端安全传输层连接。
在一个实施例中,设备200寄载虚拟专用网络104上的客户机102的内部网互联网协议或者IntranetIP282地址。客户机102具有本地网络标识符,诸如第一网络104上的互联网协议(IP)地址和/或主机名称。当经设备200连接到第二网络104’时,设备200在第二网络104’上为客户机102建立、分配或者以其它方式提供IntranetIP,其是诸如IP地址和/或主机名称的网络标识符。使用为客户机的所建立的IntranetIP282,设备200在第二或专用网104’上监听并接收指向该客户机102的任何通信。在一个实施例中,设备200在第二专用网络104上用作或者代表客户机102。例如,在又一个实施例中,vServer275监听和响应到客户机102的IntranetIP282的通信。在一些实施例中,如果第二网络104’上的计算装置100发送请求,设备200如同客户机102一样来处理该请求。例如,设备200可以响应对客户机IntranetIP282的查验。在又一个实施例中,设备可以与请求和客户机IntranetIP282连接的第二网络104上的计算装置100建立连接,诸如TCP或者UDP连接。
在一些实施例中,设备200为客户机102和服务器106之间的通信提供下列一个或多个加速技术288:1)压缩;2)解压缩;3)传输控制协议池;4)传输控制协议多路复用;5)传输控制协议缓冲;以及6)高速缓存。在一个实施例中,设备200通过开启与每一服务器106的一个或者多个传输层连接并且维持这些连接以允许由客户机经因特网的重复数据访问,来为服务器106缓解由重复开启和关闭到客户机102的传输层连接所造成的大量处理负载。该技术此处称为“连接池”。
在一些实施例中,为了经池化的传输层连接无缝拼接从客户机102到服务器106的通信,设备200通过在传输层协议级修改序列号和确认号来转换或多路复用通信。这被称为“连接多路复用”。在一些实施例中,不需要应用层协议相互作用。例如,在到来分组(即,自客户机102接收的分组)的情况中,所述分组的源网络地址被改变为设备200的输出端口的网络地址,而目的网络地址被改为目的服务器的网络地址。在发出分组(即,自服务器106接收的一个分组)的情况中,源网络地址被从服务器106的网络地址改变为设备200的输出端口的网络地址,而目的地址被从设备200的网络地址改变为请求的客户机102的网络地址。分组的序列号和确认号也被转换为到客户机102的设备200的传输层连接上的客户机102所期待的序列号和确认。在一些实施例中,传输层协议的分组校验和被重新计算以计及这些转换。
在又一个实施例中,设备200为客户机102和服务器106之间的通信提供交换或负载平衡功能284。在一些实施例中,设备200根据层4或应用层请求数据来分布流量并将客户机请求定向到服务器106。在一个实施例中,尽管网络分组的网络层或者层2识别目的服务器106,但设备200通过承载为传输层分组的有效载荷的数据和应用信息来确定服务器106以便分发网络分组。在一个实施例中,设备200的健康监控程序216监控服务器的健康来确定分发客户机请求到哪个服务器106。在一些实施例中,如果设备200探测到某个服务器106不可用或者具有超过预定阈值的负载,设备200可以将客户机请求指向或者分发到另一个服务器106。
在一些实施例中,设备200用作域名服务(DNS)解析器或者以其它方式为来自客户机102的DNS请求提供解析。在一些实施例中,设备拦截由客户机102发送的DNS请求。在一个实施例中,设备200以设备200的IP地址或其所寄载的IP地址来响应客户机的DNS请求。在此实施例中,客户机102把用于域名的网络通信发送到设备200。在又一个实施例中,设备200以第二设备200’的或其所寄载的IP地址来响应客户机的DNS请求。在一些实施例中,设备200使用由设备200确定的服务器106的IP地址来响应客户机的DNS请求。
在又一个实施例中,设备200为客户机102和服务器106之间的通信提供应用防火墙功能290。在一个实施例中,策略引擎236提供用于探测和阻断非法请求的规则。在一些实施例中,应用防火墙290防御拒绝服务(DoS)攻击。在其他实施例中,设备检查所拦截的请求的内容,以识别和阻断基于应用的攻击。在一些实施例中,规则/策略引擎236包括用于提供对多个种类和类型的基于web或因特网的脆弱点的保护的一个或多个应用防火墙或安全控制策略,例如下列的一个或多个脆弱点:1)缓冲区泄出,2)CGI-BIN参数操纵,3)表单/隐藏字段操纵,4)强制浏览,5)cookie或会话中毒,6)被破坏的访问控制列表(ACLs)或弱密码,7)跨站脚本处理(XSS),8)命令注入,9)SQL注入,10)错误触发敏感信息泄露,11)对加密的不安全使用,12)服务器错误配置,13)后门和调试选项,14)网站涂改,15)平台或操作系统弱点,和16)零天攻击。在一个实施例中,对下列情况的一种或多种,应用防火墙290以检查或分析网络通信的形式来提供HTML格式字段的保护:1)返回所需的字段,2)不允许附加字段,3)只读和隐藏字段强制(enforcement),4)下拉列表和单选按钮字段的一致,以及5)格式字段最大长度强制。在一些实施例中,应用防火墙290确保cookie不被修改。在其他实施例中,应用防火墙290通过执行合法的URL来防御强制浏览。
在其他实施例中,应用防火墙290保护在网络通信中包含的任何机密信息。应用防火墙290可以根据引擎236的规则或策略来检查或分析任一网络通信以识别在网络分组的任一字段中的任一机密信息。在一些实施例中,应用防火墙290在网络通信中识别信用卡号、口令、社会保险号、姓名、病人代码、联系信息和年龄的一次或多次出现。网络通信的编码部分可以包括这些出现或机密信息。基于这些出现,在一个实施例中,应用防火墙290可以对网络通信采取策略行动,诸如阻止发送网络通信。在又一个实施例中,应用防火墙290可以重写、移动或者以其它方式掩盖该所识别的出现或者机密信息。
仍参考图2B,设备200可以包括如上面结合图1D所讨论的性能监控代理197。在一个实施例中,设备200从如图1D中所描述的监控服务198或监控服务器106中接收监控代理197。在一些实施例中,设备200在诸如磁盘的存储装置中保存监控代理197,以用于传送给与设备200通信的任何客户机或服务器。例如,在一个实施例中,设备200在接收到建立传输层连接的请求时发送监控代理197给客户机。在其他实施例中,设备200在建立与客户机102的传输层连接时发送监控代理197。在又一个实施例中,设备200在拦截或检测对web页面的请求时发送监控代理197给客户机。在又一个实施例中,设备200响应于监控服务器198的请求来发送监控代理197到客户机或服务器。在一个实施例中,设备200发送监控代理197到第二设备200’或设备205。
在其他实施例中,设备200执行监控代理197。在一个实施例中,监控代理197测量和监控在设备200上执行的任何应用、程序、进程、服务、任务或线程的性能。例如,监控代理197可以监控和测量vServers275A-275N的性能与操作。在又一个实施例中,监控代理197测量和监控设备200的任何传输层连接的性能。在一些实施例中,监控代理197测量和监控通过设备200的任何用户会话的性能。在一个实施例中,监控代理197测量和监控通过设备200的诸如SSLVPN会话的任何虚拟专用网连接和/或会话的性能。在进一步的实施例中,监控代理197测量和监控设备200的内存、CPU和磁盘使用以及性能。在又一个实施例中,监控代理197测量和监控诸如SSL卸载、连接池和多路复用、高速缓存以及压缩的由设备200执行的任何加速技术288的性能。在一些实施例中,监控代理197测量和监控由设备200执行的任一负载平衡和/或内容交换284的性能。在其他实施例中,监控代理197测量和监控由设备200执行的应用防火墙290保护和处理的性能。
C.客户机代理
现参考图3,描述客户机代理120的实施例。客户机102包括客户机代理120,用于经由网络104与设备200和/或服务器106来建立和交换通信。总的来说,客户机102在计算装置100上操作,该计算装置100拥有带有内核模式302以及用户模式303的操作系统,以及带有一个或多个层310a-310b的网络堆栈310。客户机102可以已经安装和/或执行一个或多个应用。在一些实施例中,一个或多个应用可通过网络堆栈310与网络104通信。所述应用之一,诸如web浏览器,也可包括第一程序322。例如,可在一些实施例中使用第一程序322来安装和/或执行客户机代理120,或其中任何部分。客户机代理120包括拦截机制或者拦截器350,用于从网络堆栈310拦截来自一个或者多个应用的网络通信。
客户机102的网络堆栈310可包括任何类型和形式的软件、或硬件或其组合,用于提供与网络的连接和通信。在一个实施例中,网络堆栈310包括用于网络协议组的软件实现。网络堆栈310可包括一个或多个网络层,例如为本领域技术人员所公认和了解的开放式系统互联(OSI)通信模型的任何网络层。这样,网络堆栈310可包括用于任何以下OSI模型层的任何类型和形式的协议:1)物理链路层;2)数据链路层;3)网络层;4)传输层;5)会话层);6)表示层,以及7)应用层。在一个实施例中,网络堆栈310可包括在互联网协议(IP)的网络层协议上的传输控制协议(TCP),通常称为TCP/IP。在一些实施例中,可在以太网协议上承载TCP/IP协议,以太网协议可包括IEEE广域网(WAN)或局域网(LAN)协议的任何族,例如被IEEE802.3覆盖的这些协议。在一些实施例中,网络堆栈310包括任何类型和形式的无线协议,例如IEEE802.11和/或移动互联网协议。
考虑基于TCP/IP的网络,可使用任何基于TCP/IP的协议,包括消息应用编程接口(MAPI)(email)、文件传输协议(FTP)、超文本传输协议(HTTP)、通用因特网文件系统(CIFS)协议(文件传输)、独立计算架构(ICA)协议、远程桌面协议(RDP)、无线应用协议(WAP)、移动IP协议,以及互联网协议电话(VoIP)协议。在又一个实施例中,网络堆栈310包括任何类型和形式的传输控制协议,诸如修改的传输控制协议,例如事务TCP(T/TCP),带有选择确认的TCP(TCP-SACK),带有大窗口的TCP(TCP-LW),例如TCP-Vegas协议的拥塞预测协议,以及TCP欺骗协议。在其他实施例中,网络堆栈310可使用诸如基于IP的UDP的任何类型和形式的用户数据报协议(UDP),例如用于语音通信或实时数据通信。
另外,网络堆栈310可包括支持一个或多个层的一个或多个网络驱动器,例如TCP驱动器或网络层驱动器。网络层驱动器可作为计算装置100的操作系统的一部分或者作为计算装置100的任何网络接口卡或其它网络访问组件的一部分被包括。在一些实施例中,网络堆栈310的任何网络驱动器可被定制、修改或调整以提供网络堆栈310的定制或修改部分,用来支持此处描述的任何技术。在其他实施例中,设计并构建加速程序302以与网络堆栈310协同操作或工作,上述网络堆栈310由客户机102的操作系统安装或以其它方式提供。
网络堆栈310包括任何类型和形式的接口,用于接收、获得、提供或以其它方式访问涉及客户机102的网络通信的任何信息和数据。在一个实施例中,与网络堆栈310的接口包括应用编程接口(API)。接口也可包括任何函数调用、钩子或过滤机制,事件或回调机制、或任何类型的接口技术。网络堆栈310通过接口可接收或提供与网络堆栈310的功能或操作相关的任何类型和形式的数据结构,例如对象。例如,数据结构可以包括与网络分组相关的信息和数据或者一个或多个网络分组。在一些实施例中,数据结构包括在网络堆栈310的协议层处理的网络分组的一部分,例如传输层的网络分组。在一些实施例中,数据结构325包括内核级别数据结构,而在其他实施例中,数据结构325包括用户模式数据结构。内核级数据结构可以包括获得的或与在内核模式302中操作的网络堆栈310的一部分相关的数据结构、或者运行在内核模式302中的网络驱动程序或其它软件、或者由运行或操作在操作系统的内核模式的服务、进程、任务、线程或其它可执行指令获得或收到的任何数据结构。
此外,网络堆栈310的一些部分可在内核模式302执行或操作,例如,数据链路或网络层,而其他部分在用户模式303执行或操作,例如网络堆栈310的应用层。例如,网络堆栈的第一部分310a可以给应用提供对网络堆栈310的用户模式访问,而网络堆栈310的第二部分310a提供对网络的访问。在一些实施例中,网络堆栈的第一部分310a可包括网络堆栈310的一个或多个更上层,例如层5-7的任何层。在其他实施例中,网络堆栈310的第二部分310b包括一个或多个较低的层,例如层1-4的任何层。网络堆栈310的每个第一部分310a和第二部分310b可包括网络堆栈310的任何部分,位于任何一个或多个网络层,处于用户模式203、内核模式202,或其组合,或在网络层的任何部分或者到网络层的接口点,或用户模式203和内核模式202的任何部分或到用户模式203和内核模式202的接口点。
拦截器350可以包括软件、硬件、或者软件和硬件的任何组合。在一个实施例中,拦截器350在网络堆栈310的任一点拦截网络通信,并且重定向或者发送网络通信到由拦截器350或者客户机代理120所期望的、管理的或者控制的目的地。例如,拦截器350可以拦截第一网络的网络堆栈310的网络通信并且发送该网络通信到设备200,用于在第二网络104上发送。在一些实施例中,拦截器350包括含有诸如被构建和设计来与网络堆栈310对接并一同工作的网络驱动器的驱动器的任一类型的拦截器350。在一些实施例中,客户机代理120和/或拦截器350操作在网络堆栈310的一个或者多个层,诸如在传输层。在一个实施例中,拦截器350包括过滤器驱动器、钩子机制、或者连接到网络堆栈的传输层的任一形式和类型的合适网络驱动器接口,诸如通过传输驱动器接口(TDI)。在一些实施例中,拦截器350连接到诸如传输层的第一协议层和诸如传输协议层之上的任何层的另一个协议层,例如,应用协议层。在一个实施例中,拦截器350可以包括遵守网络驱动器接口规范(NDIS)的驱动器,或者NDIS驱动器。在又一个实施例中,拦截器350可以包括微型过滤器或者微端口驱动器。在一个实施例中,拦截器350或其部分在内核模式202中操作。在又一个实施例中,拦截器350或其部分在用户模式203中操作。在一些实施例中,拦截器350的一部分在内核模式202中操作,而拦截器350的另一部分在用户模式203中操作。在其他实施例中,客户机代理120在用户模式203操作,但通过拦截器350连接到内核模式驱动器、进程、服务、任务或者操作系统的部分,诸如以获取内核级数据结构225。在其他实施例中,拦截器350为用户模式应用或者程序,诸如应用。
在一个实施例中,拦截器350拦截任何的传输层连接请求。在这些实施例中,拦截器350执行传输层应用编程接口(API)调用以设置目的地信息,诸如到期望位置的目的地IP地址和/或端口用于定位。以此方式,拦截器350拦截并重定向传输层连接到由拦截器350或客户机代理120控制或管理的IP地址和端口。在一个实施例中,拦截器350把连接的目的地信息设置为客户机代理120监听的客户机102的本地IP地址和端口。例如,客户机代理120可以包括为重定向的传输层通信监听本地IP地址和端口的代理服务。在一些实施例中,客户机代理120随后将重定向的传输层通信传送到设备200。
在一些实施例中,拦截器350拦截域名服务(DNS)请求。在一个实施例中,客户机代理120和/或拦截器350解析DNS请求。在又一个实施例中,拦截器发送所拦截的DNS请求到设备200以进行DNS解析。在一个实施例中,设备200解析DNS请求并且将DNS响应传送到客户机代理120。在一些实施例中,设备200经另一个设备200’或者DNS服务器106来解析DNS请求。
在又一个实施例中,客户机代理120可以包括两个代理120和120’。在一个实施例中,第一代理120可以包括在网络堆栈310的网络层操作的拦截器350。在一些实施例中,第一代理120拦截网络层请求,诸如因特网控制消息协议(ICMP)请求(例如,查验和跟踪路由)。在其他实施例中,第二代理120’可以在传输层操作并且拦截传输层通信。在一些实施例中,第一代理120在网络堆栈210的一层拦截通信并且与第二代理120’连接或者将所拦截的通信传送到第二代理120’。
客户机代理120和/或拦截器350可以以对网络堆栈310的任何其它协议层透明的方式在协议层操作或与之对接。例如,在一个实施例中,拦截器350可以以对诸如网络层的传输层之下的任何协议层和诸如会话、表示或应用层协议的传输层之上的任何协议层透明的方式在网络堆栈310的传输层操作或与之对接。这允许网络堆栈310的其它协议层如所期望的进行操作并无需修改以使用拦截器350。这样,客户机代理120和/或拦截器350可以与传输层连接以安全、优化、加速、路由或者负载平衡经由传输层承载的任一协议提供的任一通信,诸如TCP/IP上的任一应用层协议。
此外,客户机代理120和/或拦截器可以以对任何应用、客户机102的用户和与客户机102通信的诸如服务器的任何其它计算装置透明的方式在网络堆栈310上操作或与之对接。客户机代理120和/或拦截器350可以以无需修改应用的方式被安装和/或执行在客户机102上。在一些实施例中,客户机102的用户或者与客户机102通信的计算装置未意识到客户机代理120和/或拦截器350的存在、执行或者操作。同样,在一些实施例中,相对于应用、客户机102的用户、诸如服务器的另一个计算装置、或者在由拦截器350连接的协议层之上和/或之下的任何协议层透明地来安装、执行和/或操作客户机代理120和/或拦截器350。
客户机代理120包括加速程序302、流客户机306、收集代理304和/或监控代理197。在一个实施例中,客户机代理120包括由佛罗里达州FortLauderdale的CitrixSystemsInc.开发的独立计算架构(ICA)客户机或其任一部分,并且也指ICA客户机。在一些实施例中,客户机代理120包括应用流客户机306,用于从服务器106流式传输应用到客户机102。在一些实施例中,客户机代理120包括加速程序302,用于加速客户机102和服务器106之间的通信。在又一个实施例中,客户机代理120包括收集代理304,用于执行端点检测/扫描并且用于为设备200和/或服务器106收集端点信息。
在一些实施例中,加速程序302包括用于执行一个或多个加速技术的客户机侧加速程序,以加速、增强或者以其他方式改善客户机与服务器106的通信和/或对服务器106的访问,诸如访问由服务器106提供的应用。加速程序302的可执行指令的逻辑、函数和/或操作可以执行一个或多个下列加速技术:1)多协议压缩,2)传输控制协议池,3)传输控制协议多路复用,4)传输控制协议缓冲,以及5)通过高速缓存管理器的高速缓存。另外,加速程序302可执行由客户机102接收和/或发送的任何通信的加密和/或解密。在一些实施例中,加速程序302以集成的方式或者格式执行一个或者多个加速技术。另外,加速程序302可以对作为传输层协议的网络分组的有效载荷所承载的任一协议或者多协议执行压缩。
流客户机306包括应用、程序、进程、服务、任务或者可执行指令,所述应用、程序、进程、服务、任务或者可执行指令用于接收和执行从服务器106所流式传输的应用。服务器106可以流式传输一个或者多个应用数据文件到流客户机306,用于播放、执行或者以其它方式引起客户机102上的应用被执行。在一些实施例中,服务器106发送一组压缩或者打包的应用数据文件到流客户机306。在一些实施例中,多个应用文件被压缩并存储在文件服务器上档案文件中,例如CAB、ZIP、SIT、TAR、JAR或其它档案文件。在一个实施例中,服务器106解压缩、解包或者解档应用文件并且将该文件发送到客户机102。在又一个实施例中,客户机102解压缩、解包或者解档应用文件。流客户机306动态安装应用或其部分,并且执行该应用。在一个实施例中,流客户机306可以为可执行程序。在一些实施例中,流客户机306可以能够启动另一个可执行程序。
收集代理304包括应用、程序、进程、服务、任务或者可执行指令,用于识别、获取和/或收集关于客户机102的信息。在一些实施例中,设备200发送收集代理304到客户机102或者客户机代理120。可以根据设备的策略引擎236的一个或多个策略来配置收集代理304。在其他实施例中,收集代理304发送在客户机102上收集的信息到设备200。在一个实施例中,设备200的策略引擎236使用所收集的信息来确定和提供到网络104的客户机连接的访问、验证和授权控制。
在一个实施例中,收集代理304包括端点检测和扫描机制,其识别并且确定客户机的一个或者多个属性或者特征。例如,收集代理304可以识别和确定任何一个或多个以下的客户机侧属性:1)操作系统和/或操作系统的版本,2)操作系统的服务包,3)运行的服务,4)运行的进程,和5)文件。收集代理304还可以识别并确定客户机上任何一个或多个以下软件的存在或版本:1)防病毒软件;2)个人防火墙软件;3)防垃圾邮件软件,和4)互联网安全软件。策略引擎236可以具有基于客户机或客户机侧属性的任何一个或多个属性或特性的一个或多个策略。
在一些实施例中,客户机代理120包括如结合图1D和2B所讨论的监控代理197。监控代理197可以是诸如VisualBasic或Java脚本的任何类型和形式的脚本。在一个实施例中,监控代理197监控和测量客户机代理120的任何部分的性能。例如,在一些实施例中,监控代理197监控和测量加速程序302的性能。在又一个实施例中,监控代理197监控和测量流客户机306的性能。在其他实施例中,监控代理197监控和测量收集代理304的性能。在又一个实施例中,监控代理197监控和测量拦截器350的性能。在一些实施例中,监控代理197监控和测量客户机102的诸如存储器、CPU和磁盘的任何资源。
监控代理197可以监控和测量客户机的任何应用的性能。在一个实施例中,监控代理197监控和测量客户机102上的浏览器的性能。在一些实施例中,监控代理197监控和测量经由客户机代理120传送的任何应用的性能。在其他实施例中,监控代理197测量和监控应用的最终用户响应时间,例如基于web的响应时间或HTTP响应时间。监控代理197可以监控和测量ICA或RDP客户机的性能。在又一个实施例中,监控代理197测量和监控用户会话或应用会话的指标。在一些实施例中,监控代理197测量和监控ICA或RDP会话。在一个实施例中,监控代理197测量和监控设备200在加速传送应用和/或数据到客户机102的过程中的性能。
在一些实施例中,仍参考图3,第一程序322可以用于自动地、静默地、透明地或者以其它方式安装和/或执行客户机代理120或其部分,诸如拦截器350。在一个实施例中,第一程序322包括插件组件,例如ActiveX控件或Java控件或脚本,其加载到应用并由应用执行。例如,第一程序包括由web浏览器应用载入和运行的ActiveX控件,例如在存储器空间或应用的上下文中。在又一个实施例中,第一程序322包括可执行指令组,该可执行指令组被例如浏览器的应用载入并执行。在一个实施例中,第一程序322包括被设计和构造的程序以安装客户机代理120。在一些实施例中,第一程序322通过网络从另一个计算装置获得、下载、或接收客户机代理120。在又一个实施例中,第一程序322是用于在客户机102的操作系统上安装如网络驱动的程序的安装程序或即插即用管理器。
D.用于提供虚拟化应用传送控制器的系统和方法
现参考图4A,该框图描述虚拟化环境400的一个实施例。总体而言,计算装置100包括管理程序层、虚拟化层和硬件层。管理程序层包括管理程序401(也称为虚拟化管理器),其通过在虚拟化层中执行的至少一个虚拟机来分配和管理对硬件层中的多个物理资源(例如处理器421和盘428)的访问。虚拟化层包括至少一个操作系统410和分配给至少一个操作系统410的多个虚拟资源。虚拟资源可包括而不限于多个虚拟处理器432a、432b、432c(总称为432)和虚拟盘442a、442b、442c(总称为442),以及如虚拟存储器和虚拟网络接口的虚拟资源。可将多个虚拟资源和操作系统称为虚拟机406。虚拟机406可包括控制操作系统405,该控制操作系统405与管理程序401通信,并用于执行应用以管理并配置计算装置100上的其他虚拟机。
具体而言,管理程序401可以以模拟可访问物理设备的操作系统的任何方式向操作系统提供虚拟资源。管理程序401可以向任何数量的客户操作系统410a、410b(总称为410)提供虚拟资源。一些实施例中,计算装置100执行一种或多种管理程序。这些实施例中,管理程序可用于模拟虚拟硬件、划分物理硬件、虚拟化物理硬件并执行提供对计算环境的访问的虚拟机。管理程序可包括由位于美国加州的PaloAlto的VMWare制造的这些程序;XEN管理程序(一种开源产品,其开发由开源Xen.org协会监管);由微软公司提供的HyperV、VirtualServer或虚拟PC管理程序,或其他。一些实施例中,计算装置100执行创建客户操作系统可在其上执行虚拟机平台的管理程序,该计算装置100被称为宿主服务器。在这些实施例的一个中,例如,计算装置100是由位于美国佛罗里达州FortLauderdale的CitrixSystems有限公司提供的XENSERVER。
一些实施例中,管理程序401在计算装置上执行的操作系统之内执行。在这些实施例的一个中,执行操作系统和管理程序401的计算装置可被视为具有宿主操作系统(执行在计算装置上的操作系统),和客户操作系统(在由管理程序401提供的计算资源分区内执行的操作系统)。其他实施例中,管理程序401和计算装置上的硬件直接交互而不是在宿主操作系统上执行。在这些实施例的一个中,管理程序401可被视为在“裸金属(baremetal)”上执行,所述“裸金属”指包括计算装置的硬件。
一些实施例中,管理程序401可以产生操作系统410在其中执行的虚拟机406a-c(总称为406)。在这些实施例的一个中,管理程序401加载虚拟机映像以创建虚拟机406。在这些实施例的又一个中,管理程序401在虚拟机406内执行操作系统410。仍在这些实施例的又一个中,虚拟机406执行操作系统410。
一些实施例中,管理程序401控制在计算装置100上执行的虚拟机406的处理器调度和内存划分。在这些实施例的一个中,管理程序401控制至少一个虚拟机406的执行。在这些实施例的又一个中,管理程序401向至少一个虚拟机406呈现由计算装置100提供的至少一个硬件资源的抽象。其他实施例中,管理程序401控制是否以及如何将物理处理器能力呈现给虚拟机406。
控制操作系统405可以执行用于管理和配置客户操作系统的至少一个应用。一个实施例中,控制操作系统405可以执行管理应用,如包括如下用户接口的应用,该用户接口为管理员提供对用于管理虚拟机执行的功能的访问,这些功能包括用于执行虚拟机、中止虚拟机执行或者识别要分配给虚拟机的物理资源类型的功能。又一个实施例中,管理程序401在由管理程序401创建的虚拟机406内执行控制操作系统405。又一个实施例中,控制操作系统405在被授权直接访问计算装置100上的物理资源的虚拟机406上执行。一些实施例中,计算装置100a上的控制操作系统405a可以通过管理程序401a和管理程序401b之间的通信与计算装置100b上的控制操作系统405b交换数据。这样,一个或多个计算装置100可以和一个或多个其他计算装置100交换有关处理器或资源池中可用的其他物理资源的数据。在这些实施例的一个中,这种功能允许管理程序管理分布在多个物理计算装置上的资源池。在这些实施例的又一个中,多个管理程序管理在一个计算装置100上执行的一个或多个客户操作系统。
一个实施例中,控制操作系统405在被授权与至少一个客户操作系统410交互的虚拟机406上执行。又一个实施例中,客户操作系统410通过管理程序401和控制操作系统405通信,以请求访问盘或网络。仍在又一个实施例中,客户操作系统410和控制操作系统405可通过由管理程序401建立的通信信道通信,例如,通过由管理程序401提供的多个共享存储器页面。
一些实施例中,控制操作系统405包括用于直接与由计算装置100提供的网络硬件通信的网络后端驱动器。在这些实施例的一个中,网络后端驱动器处理来自至少一个客户操作系统110的至少一个虚拟机请求。其他实施例中,控制操作系统405包括用于与计算装置100上的存储元件通信的块后端驱动器。在这些实施例的一个中,块后端驱动器基于从客户操作系统410接收的至少一个请求从存储元件读写数据。
一个实施例中,控制操作系统405包括工具堆栈404。其他实施例中,工具堆栈404提供如下功能:和管理程序401交互、和其他控制操作系统405(例如位于第二计算装置100b上)通信,或者管理计算装置100上的虚拟机406b、406c。又一个实施例中,工具堆栈404包括自定义应用,其用于向虚拟机群的管理员提供改进的管理功能。一些实施例中,工具堆栈404和控制操作系统405中的至少一个包括管理API,其提供用于远程配置并控制计算装置100上运行的虚拟机406的接口。其他实施例中,控制操作系统405通过工具堆栈404和管理程序401通信。
一个实施例中,管理程序401在由管理程序401创建的虚拟机406内执行客户操作系统410。又一个实施例中,客户操作系统410为计算装置100的用户提供对计算环境中的资源的访问。又一个实施例中,资源包括程序、应用、文档、文件、多个应用、多个文件、可执行程序文件、桌面环境、计算环境或对计算装置100的用户可用的其他资源。又一个实施例中,可通过多个访问方法将资源传送给计算装置100,这些方法包括但不限于:常规的直接在计算装置100上安装、通过应用流的方法传送给计算装置100、将由在第二计算装置100’上执行资源产生的并通过表示层协议传送给计算装置100的输出数据传送给计算装置100、将通过在第二计算装置100’上执行的虚拟机执行资源所产生的输出数据传送给计算装置100、或者从连接到计算装置100的移动存储装置(例如USB设备)执行或者通过在计算装置100上执行的虚拟机执行并且产生输出数据。一些实施例中,计算装置100将执行资源所产生的输出数据传输给另一个计算装置100’。
一个实施例中,客户操作系统410和该客户操作系统410在其上执行的虚拟机结合形成完全虚拟化虚拟机,该完全虚拟化虚拟机并不知道自己是虚拟机,这样的机器可称为“DomainUHVM(硬件虚拟机)虚拟机”。又一个实施例中,完全虚拟化机包括模拟基本输入/输出系统(BIOS)的软件以便在完全虚拟化机中执行操作系统。在又一个实施例中,完全虚拟化机可包括驱动器,其通过和管理程序401通信提供功能。这样的实施例中,驱动器可意识到自己在虚拟化环境中执行。又一个实施例中,客户操作系统410和该客户操作系统410在其上执行的虚拟机结合形成超虚拟化(paravirtualized)虚拟机,该超虚拟化虚拟机意识到自己是虚拟机,这样的机器可称为“DomainUPV虚拟机”。又一个实施例中,超虚拟化机包括完全虚拟化机不包括的额外驱动器。又一个实施例中,超虚拟化机包括如上所述的被包含在控制操作系统405中的网络后端驱动器和块后端驱动器。
现参考图4B,框图描述了系统中的多个联网计算装置的一个实施例,其中,至少一个物理主机执行虚拟机。总体而言,系统包括管理组件404和管理程序401。系统包括多个计算装置100、多个虚拟机406、多个管理程序401、多个管理组件(又称为工具堆栈404或者管理组件404)以及物理资源421、428。多个物理机器100的每一个可被提供为如上结合图1E-1H和图4A描述的计算装置100。
具体而言,物理盘428由计算装置100提供,存储至少一部分虚拟盘442。一些实施例中,虚拟盘442和多个物理盘428相关联。在这些实施例的一个中,一个或多个计算装置100可以与一个或多个其他计算装置100交换有关处理器或资源池中可用的其他物理资源的数据,允许管理程序管理分布在多个物理计算装置上的资源池。一些实施例中,将虚拟机406在其上执行的计算装置100称为物理主机100或主机100。
管理程序在计算装置100上的处理器上执行。管理程序将对物理盘的访问量分配给虚拟盘。一个实施例中,管理程序401分配物理盘上的空间量。又一个实施例中,管理程序401分配物理盘上的多个页面。一些实施例中,管理程序提供虚拟盘442作为初始化和执行虚拟机450进程的一部分。
一个实施例中,将管理组件404a称为池管理组件404a。又一个实施例中,可以称为控制管理系统405a的管理操作系统405a包括管理组件。一些实施例中,将管理组件称为工具堆栈。在这些实施例的一个中,管理组件是上文结合图4A描述的工具堆栈404。其他实施例中,管理组件404提供用户接口,用于从如管理员的用户接收要供应和/或执行的虚拟机406的标识。仍在其他实施例中,管理组件404提供用户接口,用于从如管理员的用户接收将虚拟机406b从一个物理机器100迁移到另一物理机器的请求。在进一步的实施例中,管理组件404a识别在其上执行所请求的虚拟机406d的计算装置100b并指示所识别的计算装置100b上的管理程序401b执行所识别的虚拟机,这样,可将管理组件称为池管理组件。
现参考图4C,描述了虚拟应用传送控制器或虚拟设备450的实施例。总体而言,上文结合图2A和2B描述的设备200的任何功能和/或实施例(例如应用传送控制器)可以部署在上文结合图4A和4B描述的虚拟化环境的任何实施例中。应用传送控制器的功能不是以设备200的形式部署,而是将该功能部署在诸如客户机102、服务器106或设备200的任何计算装置100上的虚拟化环境400中。
现在参考图4C,描述了在服务器106的管理程序401上操作的虚拟设备450的实施例的框图。如图2A和2B的设备200一样,虚拟机450可以提供可用性、性能、卸载和安全的功能。对于可用性,虚拟设备可以执行网络第4层和第7层之间的负载平衡并执行智能服务健康监控。对于通过网络流量加速实现的性能增加,虚拟设备可以执行缓存和压缩。对于任何服务器的卸载处理,虚拟设备可以执行连接复用和连接池和/或SSL处理。对于安全,虚拟设备可以执行设备200的任何应用防火墙功能和SSLVPN功能。
结合附图2A描述的设备200的任何模块可以虚拟化设备传送控制器450的形式被打包、组合、设计或构造,虚拟化设备传送控制器450可部署成在诸如流行的服务器这样的任何服务器上的虚拟化环境300或非虚拟化环境中执行的软件模块或组件。例如,可以安装在计算装置上的安装包的形式提供虚拟设备。参考图2A,可以将高速缓存管理器232、策略引擎236、压缩238、加密引擎234、分组引擎240、GUI210、CLI212、壳服务214中的任一个设计和构成在计算装置和/或虚拟化环境300的任何操作系统上运行的组件或模块。虚拟化设备400不使用设备200的加密处理器260、处理器262、存储器264和网络堆栈267,而是可使用虚拟化环境400提供的任何这些资源或者服务器106上以其他方式可用的这些资源。
仍参考图4C,简言之,任何一个或多个vServer275A-275N可以操作或执行在任意类型的计算装置100(如服务器106)的虚拟化环境400中。结合附图2B描述的设备200的任何模块和功能可以设计和构造成在服务器的虚拟化或非虚拟化环境中操作。可以将vServer275、SSLVPN280、内网UP282、交换装置284、DNS286、加速装置288、APPFW280和监控代理中的任一个打包、组合、设计或构造成应用传送控制器450的形式,应用传送控制器450可部署成在装置和/或虚拟化环境400中执行的一个或多个软件模块或组件。
一些实施例中,服务器可以在虚拟化环境中执行多个虚拟机406a-406b,每个虚拟机运行虚拟应用传送控制器450的相同或不同实施例。一些实施例中,服务器可以在多核处理系统的一个核上执行一个或多个虚拟机上的一个或多个虚拟设备450。一些实施例中,服务器可以在多处理器装置的每个处理器上执行一个或多个虚拟机上的一个或多个虚拟设备450。
E.提供多核架构的系统和方法
根据摩尔定律,每两年集成电路上可安装的晶体管的数量会基本翻倍。然而,CPU速度增加会达到一个稳定的水平(plateaus),例如,2005年以来,CPU速度在约3.5-4GHz的范围内。一些情况下,CPU制造商可能不依靠CPU速度增加来获得额外的性能。一些CPU制造商会给处理器增加附加核以提供额外的性能。依靠CPU获得性能改善的如软件和网络供应商的产品可以通过利用这些多核CPU来改进他们的性能。可以重新设计和/或编写为单CPU设计和构造的软件以利用多线程、并行架构或多核架构。
一些实施例中,称为nCore或多核技术的设备200的多核架构允许设备打破单核性能障碍并利用多核CPU的能力。前文结合图2A描述的架构中,运行单个网络或分组引擎。nCore技术和架构的多核允许同时和/或并行地运行多个分组引擎。通过在每个核上运行分组引擎,设备架构利用附加核的处理能力。一些实施例中,这提供了高达七倍的性能改善和扩展性。
图5A示出根据一类并行机制或并行计算方案(如功能并行机制、数据并行机制或基于流的数据并行机制)在一个或多个处理器核上分布的工作、任务、负载或网络流量的一些实施例。总体而言,图5A示出如具有n个核的设备200'的多核系统的实施例,n个核编号为1到N。一个实施例中,工作、负载或网络流量可以分布在第一核505A、第二核505B、第三核505C、第四核505D、第五核505E、第六核505F、第七核505G等上,这样,分布位于所有n个核505N(此后统称为核505)或n个核中的两个或多个上。可以有多个VIP275,每个运行在多个核中的相应的核上。可以有多个分组引擎240,每个运行在多个核的相应的核。所使用任何方法可产生多个核中任一核上的不同的、变化的或类似的工作负载或性能级别515。对于功能并行方法,每个核运行由分组引擎、VIP275或设备200提供的多个功能的不同功能。在数据并行方法中,数据可基于接收数据的网络接口卡(NIC)或VIP275并行或分布在核上。又一个数据并行方法中,可通过将数据流分布在每个核上而将处理分布在核上。
图5A的进一步的细节中,一些实施例中,可以根据功能并行机制500将负载、工作或网络流量在多个核505间分布。功能并行机制可基于执行一个或多个相应功能的每个核。一些实施例中,第一核可执行第一功能,同时第二核执行第二功能。功能并行方法中,根据功能性将多核系统要执行的功能划分并分布到每个核。一些实施例中,可将功能并行机制称为任务并行机制,并且可在每个处理器或核对同一数据或不同数据执行不同进程或功能时实现。核或处理器可执行相同或不同的代码。一些情况下,不同的执行线程或代码可在工作时相互通信。可以进行通信以将数据作为工作流的一部分从一个线程传递给下一线程。
一些实施例中,根据功能并行机制500将工作分布在核505上,可以包括根据特定功能分布网络流量,所述特定功能例如为网络输入/输出管理(NWI/O)510A、安全套接层(SSL)加密和解密510B和传输控制协议(TCP)功能510C。这会产生基于所使用的功能量或功能级别的工作、性能或者计算负载515。一些实施例中,根据数据并行机制540将工作分布在核505上可包括基于与特定的硬件或软件组件相关联的分布数据来分布工作量515。一些实施例中,根据基于流的数据并行机制520将工作分布在核505上可包括基于上下文或流来分布数据,从而使得每个核上的工作量515A-N可以类似、基本相等或者相对平均分布。
在功能并行方法的情况下,可以配置每个核来运行由设备的分组引擎或VIP提供的多个功能中的一个或多个功能。例如,核1可执行设备200’的网络I/O处理,同时核2执行设备的TCP连接管理。类似地,核3可执行SSL卸载,同时核4可执行第7层或应用层处理和流量管理。每个核可执行相同或不同的功能。每个核可执行不只一个功能。任一核可运行结合附图2A和2B识别和/或描述的功能或其一部分。该方法中,核上的工作可以粗粒度或细粒度方式按功能划分。一些情况下,如图5A所示,按功能划分会使得不同核运行在不同的性能或负载级别515。
在功能并行方法的情况下,可以配置每个核来运行由设备的分组引擎提供的多个功能中的一个或多个功能。例如,核1可执行设备200’的网络I/O处理,同时核2执行设备的TCP连接管理。类似地,核3可执行SSL卸载,同时核4可执行第7层或应用层处理和流量管理。每个核可执行相同或不同的功能。每个核可执行不只一个功能。任何核可运行结合附图2A和2B识别和/或描述的功能或其一部分。该方法中,核上的工作可以粗粒度或细粒度方式按功能划分。一些情况下,如图5A所示,按功能划分会使得不同核运行在不同的性能或负载级别。
可以用任何结构或方案来分布功能或任务。例如,图5B示出用于处理与网络I/O功能510A相关联的应用和进程的第一核Core1505A。一些实施例中,与网络I/O相关联的网络流量可以和特定的端口号相关联。因而,将具有与NWI/O510A相关联的端口目的地的发出和到来的分组导引给Core1505A,该Core1505A专用于处理与NWI/O端口相关联的所有网络流量。类似的,Core2505B专用于处理与SSL处理相关联的功能,Core4505D可专用于处理所有TCP级处理和功能。
虽然图5A示出如网络I/O、SSL和TCP的功能,也可将其他功能分配给核。这些其他功能可包括此处描述的任一或多个功能或操作。例如,结合图2A和2B描述的任何功能可基于功能基础分布在核上。一些情况下,第一VIP275A可运行在第一核上,同时,具有不同配置的第二VIP275B可运行在第二核上。一些实施例中,每个核505可处理特定功能,这样每个核505可处理与该特定功能相关联的处理。例如,Core2505B可处理SSL卸载,同时Core4505D可处理应用层处理和流量管理。
其他实施例中,可根据任何类型或形式的数据并行机制540将工作、负载或网络流量分布在核505上。一些实施例中,可由每个核对分布式数据的不同片执行相同任务或功能来实现多核系统中的数据并行机制。一些实施例中,单个执行线程或代码控制对所有数据片的操作。其他实施例中,不同线程或指令控制操作,但是可执行相同代码。一些实施例中,从分组引擎、vServer(VIP)275A-C、网络接口卡(NIC)542D-E和/或设备200上包括的或者与设备200相关联的任何其他网络硬件或软件的角度实现数据并行机制。例如,每个核可运行同样的分组引擎或VIP代码或配置但是在不同的分布式数据集上进行操作。每个网络硬件或软件结构可接收不同的、变化的或者基本相同量的数据,因而可以具有变化的、不同的或相对相同量的负载515。
在数据并行方法的情况下,可以基于VIP、NIC和/或VIP或NIC的数据流来划分和分布工作。在这些的方法的一个中,可通过使每个VIP在分布的数据集上工作来将多核系统的工作划分或者分布在VIP中。例如,可配置每个核运行一个或多个VIP。网络流量可分布在处理流量的每个VIP的核上。在这些方法的又一个中,可基于哪个NIC接收网络流量来将设备的工作划分或分布在核上。例如,第一NIC的网络流量可被分布到第一核,同时第二NIC的网络流量可被分布给第二核。一些情况下,核可处理来自多个NIC的数据。
虽然图5A示出了与单个核505相关联的单个vServer,正如VIP1275A、VIP2275B和VIP3275C的情况。但是,一些实施例中,单个vServer可以与一个或者多个核505相关联。相反,一个或多个vServer可以与单个核505相关联。将vServer与核505关联可包括该核505处理与该特定vServer关联的所有功能。一些实施例中,每个核执行具有相同代码和配置的VIP。其他实施例中,每个核执行具有相同代码但配置不同的VIP。一些实施例中,每个核执行具有不同代码和相同或不同配置的VIP。
和vServer类似,NIC也可以和特定的核505关联。许多实施例中,NIC可以连接到一个或多个核505,这样,当NIC接收或传输数据分组时,特定的核505处理涉及接收和传输数据分组的处理。一个实施例中,单个NIC可以与单个核505相关联,正如NIC1542D和NIC2542E的情况。其他实施例中,一个或多个NIC可以与单个核505相关联。但其他实施例中,单个NIC可以与一个或者多个核505相关联。这些实施例中,负载可以分布在一个或多个核505上,使得每个核505基本上处理类似的负载量。与NIC关联的核505可以处理与该特定NIC关联的所有功能和/或数据。
虽然根据VIP或NIC的数据将工作分布在核上具有某种程度的独立性,但是,一些实施例中,这会造成如图5A的变化负载515所示的核的不平衡的使用。
一些实施例中,可根据任何类型或形式的数据流将负载、工作或网络流量分布在核505上。在这些方法的又一个中,可基于数据流将工作划分或分布在多个核上。例如,客户机或服务器之间的经过设备的网络流量可以被分布到多个核中的一个核并且由其处理。一些情况下,最初建立会话或连接的核可以是该会话或连接的网络流量所分布的核。一些实施例中,数据流基于网络流量的任何单元或部分,如事务、请求/响应通信或来自客户机上的应用的流量。这样,一些实施例中,客户机和服务器之间的经过设备200’的数据流可以比其他方式分布的更均衡。
在基于流的数据并行机制520中,数据分布和任何类型的数据流相关,例如请求/响应对、事务、会话、连接或应用通信。例如,客户机或服务器之间的经过设备的网络流量可以被分布到多个核中的一个核并且由其处理。一些情况下,最初建立会话或连接的核可以是该会话或连接的网络流量所分布的核。数据流的分布可以使得每个核505运行基本相等或相对均匀分布的负载量、数据量或网络流量。
一些实施例中,数据流基于网络流量的任何单元或部分,如事务、请求/响应通信或源自客户机上的应用的流量。这样,一些实施例中,客户机和服务器之间的经过设备200’的数据流可以比其他方式分布的更均衡。一个实施例中,可以基于事务或一系列事务分布数据量。一些实施例中,该事务可以是客户机和服务器之间的,其特征可以是IP地址或其他分组标识符。例如,核1505A可专用于特定客户机和特定服务器之间的事务,因此,核1505A上的负载515A可包括与特定客户机和服务器之间的事务相关联的网络流量。可通过将源自特定客户机或服务器的所有数据分组路由到核1505A来将网络流量分配给核1505A。
虽然可部分地基于事务将工作或负载分布到核,但是,其他实施例中,可基于每个分组的基础分配负载或工作。这些实施例中,设备200可拦截数据分组并将数据分组分配给负载量最小的核505。例如,由于核1上的负载515A小于其他核505B-N上的负载515B-N,所以设备200可将第一到来的数据分组分配给核1505A。将第一数据分组分配给核1505A后,核1505A上的负载量515A与处理第一数据分组所需的处理资源量成比例增加。设备200拦截到第二数据分组时,设备200会将负载分配给核4505D,这是由于核4505D具有第二少的负载量。一些实施例中,将数据分组分配给负载量最小的核可确保分布到每个核505的负载515A-N保持基本相等。
其他实施例中,将一部分网络流量分配给特定核505的情况下,可以每单元为基础分配负载。上述示例说明以每分组为基础进行负载平衡。其他实施例中,可以基于分组数目分配负载,例如,将每10个、100个或1000个分组分配给流量最少的核505。分配给核505的分组数量可以是由应用、用户或管理员确定的数目,而且可以为大于零的任何数。仍在其他实施例中,基于时间指标分配负载,使得在预定时间段将分组分布到特定核505。这些实施例中,可以在5毫秒内或者由用户、程序、系统、管理器或其他方式确定的任何时间段将分组分布到特定核505。预定时间段过去后,在预定时间段内将时间分组传输给不同的核505。
用于将工作、负载或网络流量分布在一个或多个核505上的基于流的数据并行方法可包括上述实施例的任意组合。这些方法可以由设备200的任何部分执行,由在核505上执行的应用或者一组可执行指令执行,例如分组引擎,或者由在与设备200通信的计算装置上执行的任何应用、程序或代理执行。
图5A所示的功能和数据并行机制计算方案可以任何方式组合,以产生混合并行机制或分布式处理方案,其包括功能并行机制500、数据并行机制540、基于流的数据并行机制520或者其任何部分。一些情况下,多核系统可使用任何类型或形式的负载平衡方案来将负载分布在一个或多个核505上。负载平衡方案可以和任何功能和数据平行方案或其组合结合使用。
图5B示出多核系统545的实施例,该系统可以是任何类型或形式的一个或多个系统、设备、装置或组件。一些实施例中,该系统545可被包括在具有一个或多个处理核505A-N的设备200内。系统545还可包括与存储器总线556通信的一个或多个分组引擎(PE)或分组处理引擎(PPE)548A-N。存储器总线可用于与一个或多个处理核505A-N通信。系统545还可包括一个或多个网络接口卡(NIC)552和流分布器550,流分布器还可与一个或多个处理核505A-N通信。流分布器550可包括接收侧调整器(ReceiverSideScaler-RSS)或接收侧调整(ReceiverSideScaling-RSS)模块560。
进一步参考图5B,具体而言,一个实施例中,分组引擎548A-N可包括此处所述的设备200的任何部分,例如图2A和2B所述设备的任何部分。一些实施例中,分组引擎548A-N可包括任何下列的元件:分组引擎240、网络堆栈267、高速缓存管理器232、策略引擎236、压缩引擎238、加密引擎234、GUI210、CLI212、壳服务214、监控程序216以及能够从数据总线556或一个或多个核505A-N中的任一个接收数据分组的其他任何软件和硬件元件。一些实施例中,分组引擎548A-N可包括一个或多个vServer275A-N或其任何部分。其他实施例中,分组引擎548A-N可提供以下功能的任意组合:SSLVPN280、内部网IP282、交换284、DNS286、分组加速288、APPFW280、如由监控代理197提供的监控、和作为TCP堆栈关联的功能、负载平衡、SSL卸载和处理、内容交换、策略评估、高速缓存、压缩、编码、解压缩、解码、应用防火墙功能、XML处理和加速以及SSLVPN连接。
一些实施例中,分组引擎548A-N可以与特定服务器、用户、客户或网络关联。分组引擎548与特定实体关联时,分组引擎548可处理与该实体关联的数据分组。例如,如果分组引擎548与第一用户关联,那么该分组引擎548将对由第一用户产生的分组或者目的地址与第一用户关联的分组进行处理和操作。类似地,分组引擎548可选择不与特定实体关联,使得分组引擎548可对不是由该实体产生的或目的是该实体的任何数据分组进行处理和以其他方式进行操作。
一些实例中,可将分组引擎548A-N配置为执行图5A所示的任何功能和/或数据并行方案。这些实例中,分组引擎548A-N可将功能或数据分布在多个核505A-N上,从而使得分布是根据并行机制或分布方案的。一些实施例中,单个分组引擎548A-N执行负载平衡方案,其他实施例中,一个或多个分组引擎548A-N执行负载平衡方案。一个实施例中,每个核505A-N可以与特定分组引擎548关联,使得可以由分组引擎执行负载平衡。在该实施例中,负载平衡可要求与核505关联的每个分组引擎548A-N和与核关联的其他分组引擎通信,使得分组引擎548A-N可共同决定将负载分布在何处。该过程的一个实施例可包括从每个分组引擎接收对于负载的投票的仲裁器。仲裁器可部分地基于引擎投票的持续时间将负载分配给每个分组引擎548A-N,一些情况下,还可基于与在引擎关联的核505上的当前负载量相关联的优先级值来将负载分配给每个分组引擎548A-N。
核上运行的任何分组引擎可以运行于用户模式、内核模式或其任意组合。一些实施例中,分组引擎作为在用户空间或应用空间中运行的应用或程序来操作。这些实施例中,分组引擎可使用任何类型或形式的接口来访问内核提供的任何功能。一些实施例中,分组引擎操作于内核模式中或作为内核的一部分来操作。一些实施例中,分组引擎的第一部分操作于用户模式中,分组引擎的第二部分操作于内核模式中。一些实施例中,第一核上的第一分组引擎执行于内核模式中,同时,第二核上的第二分组引擎执行于用户模式中。一些实施例中,分组引擎或其任何部分对NIC或其任何驱动器进行操作或者与其联合操作。
一些实施例中,存储器总线556可以是任何类型或形式的存储器或计算机总线。虽然在图5B中描述了单个存储器总线556,但是系统545可包括任意数量的存储器总线556。一个实施例中,每个分组引擎548可以和一个或者多个单独的存储器总线556相关联。
一些实施例中,NIC552可以是此处所述的任何网络接口卡或机制。NIC552可具有任意数量的端口。NIC可设计并构造成连接到任何类型和形式的网络104。虽然示出单个NIC552,但是,系统545可包括任意数量的NIC552。一些实施例中,每个核505A-N可以与一个或多个单个NIC552关联。因而,每个核505可以与专用于特定核505的单个NIC552关联。核505A-N可包括此处所述的任何处理器。此外,可根据此处所述的任何核505配置来配置核505A-N。另外,核505A-N可具有此处所述的任何核505功能。虽然图5B示出七个核505A-G,但是系统545可包括任意数量的核505。具体而言,系统545可包括N个核,其中N是大于零的整数。
核可具有或使用被分配或指派用于该核的存储器。可将存储器视为该核的专有或本地存储器并且仅有该核可访问该存储器。核可具有或使用共享的或指派给多个核的存储器。该存储器可被视为由不只一个核可访问的公共或共享存储器。核可使用专有或公共存储器的任何组合。通过每个核的单独的地址空间,消除了使用同一地址空间的情况下的一些协调级别。利用单独的地址空间,核可以对核自己的地址空间中的信息和数据进行工作,而不用担心与其他核冲突。每个分组引擎可以具有用于TCP和/或SSL连接的单独存储器池。
仍参考图5B,上文结合图5A描述的核505的任何功能和/或实施例可以部署在上文结合图4A和4B描述的虚拟化环境的任何实施例中。不是以物理处理器505的形式部署核505的功能,而是将这些功能部署在诸如客户机102、服务器106或设备200的任何计算装置100的虚拟化环境400内。其他实施例中,不是以设备或一个装置的形式部署核505的功能,而是将该功能部署在任何布置的多个装置上。例如,一个装置可包括两个或多个核,另一个装置可包括两个或多个核。例如,多核系统可包括计算装置的集群、服务器群或计算装置的网络。一些实施例中,不是以核的形式部署核505的功能,而是将该功能部署在多个处理器上,例如部署多个单核处理器上。
一个实施例中,核505可以为任何形式或类型的处理器。一些实施例中,核的功能可以基本类似此处所述的任何处理器或中央处理单元。一些实施例中,核505可包括此处所述的任何处理器的任何部分。虽然图5A示出7个核,但是,设备200内可以有任意N个核,其中N是大于1的整数。一些实施例中,核505可以安装在公用设备200内,其他实施例中,核505可以安装在彼此通信连接的一个或多个设备200内。一些实施例中,核505包括图形处理软件,而其他实施例中,核505提供通用处理能力。核505可彼此物理靠近地安装和/或可彼此通信连接。可以用以物理方式和/或通信方式耦合到核的任何类型和形式的总线或子系统连接核,用于向核、从核和/或在核之间传输数据。
尽管每个核505可包括用于与其他核通信的软件,一些实施例中,核管理器(未示出)可有助于每个核505之间的通信。一些实施例中,内核可提供核管理。核可以使用各种接口机制彼此接口或通信。一些实施例中,可以使用核到核的消息传输来在核之间通信,比如,第一核通过连接到核的总线或子系统向第二核发送消息或数据。一些实施例中,核可通过任何种类或形式的共享存储器接口通信。一个实施例中,可以存在在所有核中共享的一个或多个存储器单元。一些实施例中,每个核可以具有和每个其他核共享的单独存储器单元。例如,第一核可具有与第二核的第一共享存储器,以及与第三核的第二共享存储器。一些实施例中,核可通过任何类型的编程或API(如通过内核的函数调用)来通信。一些实施例中,操作系统可识别并支持多核装置,并提供用于核间通信的接口和API。
流分布器550可以是任何应用、程序、库、脚本、任务、服务、进程或在任何类型或形式的硬件上执行的任何类型和形式的可执行指令。一些实施例中,流分布器550可以是用于执行此处所述任何操作和功能的任何电路设计或结构。一些实施例中,流分布器分布、转发、路由、控制和/或管理多个核505上的数据和/或在核上运行的分组引擎或VIP的分布。一些实施例中,可将流分布器550称为接口主装置(interfacemaster)。一个实施例中,流分布器550包括在设备200的核或处理器上执行的一组可执行指令。又一个实施例中,流分布器550包括在与设备200通信的计算机器上执行的一组可执行指令。一些实施例中,流分布器550包括在如固件的NIC上执行的一组可执行指令。其他实施例,流分布器550包括用于将数据分组分布在核或处理器上的软件和硬件的任何组合。一个实施例中,流分布器550在至少一个核505A-N上执行,而在其他实施例中,分配给每个核505A-N的单独的流分布器550在相关联的核505A-N上执行。流分布器可使用任何类型和形式的统计或概率算法或决策来平衡多个核上的流。可以将如NIC的设备硬件或内核设计或构造成支持NIC和/或核上的顺序操作。
系统545包括一个或多个流分布器550的实施例中,每个流分布器550可以与处理器505或分组引擎548关联。流分布器550可包括允许每个流分布器550和在系统545内执行的其他流分布器550通信的接口机制。一个实例中,一个或多个流分布器550可通过彼此通信确定如何平衡负载。该过程的操作可以基本与上述过程类似,即将投票提交给仲裁器,然后仲裁器确定哪个流分布器550应该接收负载。其他实施例中,第一流分布器550’可识别所关联的核上的负载并基于任何下列标准确定是否将第一数据分组转发到所关联的核:所关联的核上的负载大于预定阈值;所关联的核上的负载小于预定阈值;所关联的核上的负载小于其他核上的负载;或者可以用于部分基于处理器上的负载量来确定将数据分组转发到何处的任何其他指标。
流分布器550可以根据如此处所述的分布、计算或负载平衡方法而将网络流量分布在核505上。一个实施例中,流分布器可基于功能并行机制分布方案550、数据并行机制负载分布方案540、基于流的数据并行机制分布方案520或这些分布方案的任意组合或用于将负载分布在多个处理器上的任何负载平衡方案来分布网络流量。因而,流分布器550可通过接收数据分组并根据操作的负载平衡或分布方案将数据分组分布在处理器上而充当负载分布器。一个实施例中,流分布器550可包括用于确定如何相应地分布分组、工作或负载的一个或多个操作、函数或逻辑。又一个实施例中,流分布器550可包括可识别与数据分组关联的源地址和目的地址并相应地分布分组的一个或多个子操作、函数或逻辑。
一些实施例中,流分布器550可包括接收侧调整(RSS)网络驱动器模块560或将数据分组分布在一个或多个核505上的任何类型和形式的可执行指令。RSS模块560可以包括硬件和软件的任意组合。一些实施例中,RSS模块560和流分布器550协同工作以将数据分组分布在核505A-N或多处理器网络中的多个处理器上。一些实施例中,RSS模块560可在NIC552中执行,其他实施例中,可在核505的任何一个上执行。
一些实施例中,RSS模块560使用微软接收侧调整(RSS)方法。一个实施例中,RSS是微软可扩展网络主动技术(MicrosoftScalableNetworkinginitiativetechnology),其使得系统中的多个处理器上的接收处理是平衡的,同时保持数据的顺序传送。RSS可使用任何类型或形式的哈希方案来确定用于处理网络分组的核或处理器。
RSS模块560可应用任何类型或形式的哈希函数,如Toeplitz哈希函数。哈希函数可应用到哈希类型值或者任何值序列。哈希函数可以是任意安全级别的安全哈希或者是以其他方式加密。哈希函数可使用哈希关键字(hashkey)。关键字的大小取决于哈希函数。对于Toeplitz哈希,用于IPv6的哈希关键字大小为40字节,用于IPv4的哈希关键字大小为16字节。
可以基于任何一个或多个标准或设计目标设计或构造哈希函数。一些实施例中,可使用为不同的哈希输入和不同哈希类型提供均匀分布的哈希结果的哈希函数,所述不同哈希输入和不同哈希类型包括TCP/IPv4、TCP/IPv6、IPv4和IPv6头部。一些实施例中,可使用存在少量桶时(例如2个或4个)提供均匀分布的哈希结果的哈希函数。一些实施例中,可使用存在大量桶时(例如64个桶)提供随机分布的哈希结果的哈希函数。在一些实施例中,基于计算或资源使用水平来确定哈希函数。在一些实施例中,基于在硬件中实现哈希的难易度来确定哈希函数。在一些实施例中,基于用恶意的远程主机发送将全部哈希到同一桶中的分组的难易度来确定哈希函数。
RSS可从任意类型和形式的输入来产生哈希,例如值序列。该值序列可包括网络分组的任何部分,如网络分组的任何头部、域或载荷或其一部分。一些实施例中,可将哈希输入称为哈希类型,哈希输入可包括与网络分组或数据流关联的任何信息元组,例如下面的类型:包括至少两个IP地址和两个端口的四元组、包括任意四组值的四元组、六元组、二元组和/或任何其他数字或值序列。以下是可由RSS使用的哈希类型示例:
-源TCP端口、源IP版本4(IPv4)地址、目的TCP端口和目的IPv4地址的四元组。
-源TCP端口、源IP版本6(IPv6)地址、目的TCP端口和目的IPv6地址的四元组。
-源IPv4地址和目的IPv4地址的二元组。
-源IPv6地址和目的IPv6地址的二元组。
-源IPv6地址和目的IPv6地址的二元组,包括对解析IPv6扩展头部的支持。
哈希结果或其任何部分可用于识别用于分布网络分组的核或实体,如分组引擎或VIP。一些实施例中,可向哈希结果应用一个或者多个哈希位或掩码。哈希位或掩码可以是任何位数或字节数。NIC可支持任意位,例如7位。网络堆栈可在初始化时设定要使用的实际位数。位数介于1和7之间,包括端值。
可通过任意类型和形式的表用哈希结果来识别核或实体,例如通过桶表(buckettable)或间接表(indirectiontable)。一些实施例中,用哈希结果的位数来索引表。哈希掩码的范围可有效地限定间接表的大小。哈希结果的任何部分或哈希结果自身可用于索引间接表。表中的值可标识任何核或处理器,例如通过核或处理器标识符来标识。一些实施例中,表中标识多核系统的所有核。其他实施例中,表中标识多核系统的一部分核。间接表可包括任意多个桶,例如2到128个桶,可以用哈希掩码索引这些桶。每个桶可包括标识核或处理器的索引值范围。一些实施例中,流控制器和/或RSS模块可通过改变间接表来重新平衡网络负载。
一些实施例中,多核系统575不包括RSS驱动器或RSS模块560。在这些实施例的一些中,软件操控模块(未示出)或系统内RSS模块的软件实施例可以和流分布器550共同操作或者作为流分布器550的一部分操作,以将分组引导到多核系统575中的核505。
一些实施例中,流分布器550在设备200上的任何模块或程序中执行,或者在多核系统575中包括的任何一个核505和任一装置或组件上执行。一些实施例中,流分布器550’可在第一核505A上执行,而在其他实施例中,流分布器550”可在NIC552上执行。其他实施例中,流分布器550’的实例可在多核系统575中包括的每个核505上执行。该实施例中,流分布器550’的每个实例可和流分布器550’的其他实例通信以在核505之间来回转发分组。存在这样的状况,其中,对请求分组的响应不是由同一核处理的,即第一核处理请求,而第二核处理响应。这些情况下,流分布器550’的实例可以拦截分组并将分组转发到期望的或正确的核505,即流分布器550’可将响应转发到第一核。流分布器550’的多个实例可以在任意数量的核505或核505的任何组合上执行。
流分布器可以响应于任一个或多个规则或策略而操作。规则可识别接收网络分组、数据或数据流的核或分组处理引擎。规则可识别和网络分组有关的任何类型和形式的元组信息,例如源和目的IP地址以及源和目的端口的四元组。基于所接收的匹配规则所指定的元组的分组,流分布器可将分组转发到核或分组引擎。一些实施例中,通过共享存储器和/或核到核的消息传输将分组转发到核。
虽然图5B示出了在多核系统575中执行的流分布器550,但是,一些实施例中,流分布器550可执行在位于远离多核系统575的计算装置或设备上。这样的实施例中,流分布器550可以和多核系统575通信以接收数据分组并将分组分布在一个或多个核505上。一个实施例中,流分布器550接收以设备200为目的地的数据分组,向所接收的数据分组应用分布方案并将数据分组分布到多核系统575的一个或多个核505。一个实施例中,流分布器550可以被包括在路由器或其他设备中,这样路由器可以通过改变与每个分组关联的元数据而以特定核505为目的地,从而每个分组以多核系统575的子节点为目的地。这样的实施例中,可用CISCO的vn-tag机制来改变或标记具有适当元数据的每个分组。
图5C示出包括一个或多个处理核505A-N的多核系统575的实施例。简言之,核505中的一个可被指定为控制核505A并可用作其他核505的控制平面570。其他核可以是次级核,其工作于数据平面,而控制核提供控制平面。核505A-N共享全局高速缓存580。控制核提供控制平面,多核系统中的其他核形成或提供数据平面。这些核对网络流量执行数据处理功能,而控制核提供对多核系统的初始化、配置和控制。
仍参考图5C,具体而言,核505A-N以及控制核505A可以是此处所述的任何处理器。此外,核505A-N和控制核505A可以是能在图5C所述系统中工作的任何处理器。另外,核505A-N可以是此处所述的任何核或核组。控制核可以是与其他核不同类型的核或处理器。一些实施例中,控制核可操作不同的分组引擎或者具有与其他核的分组引擎配置不同的分组引擎。
每个核的存储器的任何部分可以被分配给或者用作核共享的全局高速缓存。简而言之,每个核的每个存储器的预定百分比或预定量可用作全局高速缓存。例如,每个核的每个存储器的50%可用作或分配给共享全局高速缓存。也就是说,所示实施例中,除了控制平面核或核1以外的每个核的2GB可用于形成28GB的共享全局高速缓存。例如通过配置服务而配置控制平面可确定用于共享全局高速缓存的存储量(theamountofmemory)。一些实施例中,每个核可提供不同的存储量供全局高速缓存使用。其他实施例中,任一核可以不提供任何存储器或不使用全局高速缓存。一些实施例中,任何核也可具有未分配给全局共享存储器的存储器中的本地高速缓存。每个核可将网络流量的任意部分存储在全局共享高速缓存中。每个核可检查高速缓存来查找要在请求或响应中使用的任何内容。任何核可从全局共享高速缓存获得内容以在数据流、请求或响应中使用。
全局高速缓存580可以是任意类型或形式的存储器或存储元件,例如此处所述的任何存储器或存储元件。一些实施例中,核505可访问预定的存储量(即32GB或者与系统575相当的任何其他存储量)。全局高速缓存580可以从预定的存储量分配而来,同时,其余的可用存储器可在核505之间分配。其他实施例中,每个核505可具有预定的存储量。全局高速缓存580可包括分配给每个核505的存储量。该存储量可以字节为单位来测量,或者可用分配给每个核505的存储器百分比来测量。因而,全局高速缓存580可包括来自与每个核505关联的存储器的1GB存储器,或者可包括和每个核505关联的存储器的20%或一半。一些实施例,只有一部分核505提供存储器给全局高速缓存580,而在其他实施例,全局高速缓存580可包括未分配给核505的存储器。
每个核505可使用全局高速缓存580来存储网络流量或缓存数据。一些实施例中,核的分组引擎使用全局高速缓存来缓存并使用由多个分组引擎所存储的数据。例如,图2A的高速缓存管理器和图2B的高速缓存功能可使用全局高速缓存来共享数据以用于加速。例如,每个分组引擎可在全局高速缓存中存储例如HTML数据的响应。操作于核上的任何高速缓存管理器可访问全局高速缓存来将高速缓存响应提供给客户请求。
一些实施例中,核505可使用全局高速缓存580来存储端口分配表,其可用于部分基于端口确定数据流。其他实施例中,核505可使用全局高速缓存580来存储地址查询表或任何其他表或列表,流分布器可使用这些表来确定将到来的数据分组和发出的数据分组导向何处。一些实施例中,核505可以读写高速缓存580,而其他实施例中,核505仅从高速缓存读或者仅向高速缓存写。核可使用全局高速缓存来执行核到核通信。
可以将全局高速缓存580划分成各个存储器部分,其中每个部分可专用于特定核505。一个实施例中,控制核505A可接收大量的可用高速缓存,而其他核505可接收对全局高速缓存580的变化的访问量。
一些实施例中,系统575可包括控制核505A。虽然图5C将核1505A示为控制核,但是,控制核可以是设备200或多核系统中的任何一个核。此外,虽然仅描述了单个控制核,但是,系统575可包括一个或多个控制核,每个控制核对系统有某种程度的控制。一些实施例中,一个或多个控制核可以各自控制系统575的特定方面。例如,一个核可控制决定使用哪种分布方案,而另一个核可确定全局高速缓存580的大小。
多核系统的控制平面可以是将一个核指定并配置成专用的管理核或者作为主核。控制平面核可对多核系统中的多个核的操作和功能提供控制、管理和协调。控制平面核可对多核系统中的多个核上存储器系统的分配和使用提供控制、管理和协调,这包括初始化和配置存储器系统。一些实施例中,控制平面包括流分布器,用于基于数据流控制数据流到核的分配以及网络分组到核的分配。一些实施例中,控制平面核运行分组引擎,其他实施例中,控制平面核专用于系统的其他核的控制和管理。
控制核505A可对其他核505进行某种级别的控制,例如,确定将多少存储器分配给每个核505,或者确定应该指派哪个核来处理特定功能或硬件/软件实体。一些实施例中,控制核505A可以对控制平面570中的这些核505进行控制。因而,控制平面570之外可存在不受控制核505A控制的处理器。确定控制平面570的边界可包括由控制核505A或系统575中执行的代理维护由控制核505A控制的核的列表。控制核505A可控制以下的任一个:核初始化、确定核何时不可用、一个核出故障时将负载重新分配给其他核505、决定实现哪个分布方案、决定哪个核应该接收网络流量、决定应该给每个核分配多少高速缓存、确定是否将特定功能或元件分布到特定核、确定是否允许核彼此通信、确定全局高速缓存580的大小以及对系统575内的核的功能、配置或操作的任何其他确定。
F.用于管理SSL会话持久性和重用的系统和方法
可以为SSL会话分配私有的存储器地址空间并且将其与独立于其他SSL会话的SSL协议栈相关联。在单核系统(诸如在客户机102和服务器106之间维护SSL会话的单核设备200)中,如果SSL会话被暂时地中断和/或不活动,则可以恢复该SSL会话。例如,可出于如下原因而发生中断:移动客户端断开并重新连接到网络104或者服务器由于闲置或断电而离线。客户机可发送恢复该SSL会话的请求,而不是建立新的会话。就执行完整握手过程、分配存储器、启动协议栈和满足认证/授权要求中消耗的时间和资源来说,这可能更有效率。此外,尽管连接可能丢失,但被中断的SSL会话可保持持久性。恢复SSL会话还可以维护一定水平的客户机-服务器通信的连续性。
在一些实施例中,分组引擎240维护在客户机102和核661之间的连接,其将来自客户机102的分组定向至核661。分组引擎240可以例如通过基于来自所接收的分组和/或客户机102的信息来识别核,以维护通过核的TCP连接。流分布器550可以通过基于来自所接收的分组和/或客户机102的信息来关联连接,将流量定向至核的分组引擎240。在一个实施例中,该信息包括TCP元组或TCP四元组。TCP元组可包括关于源IP地址、源端口号、目的IP地址和目的端口号的信息。可从分组中提取TCP元组。对于客户机连接和/或会话,TCP元组可保持不变。在一些实施例中,中断会话连接可导致TCP元组改变。例如,如果客户机试图重新连接至中间装置200,则源端口号可能改变。
流分布器550可基于TCP元组生成哈希索引或其他标识符,以将分组流量与核相关联。在一些实施例中,当TCP元组改变时,生成不同的哈希索引或标识符,并且标识第二核662作为替代。在中断连接或会话后,客户机102可尝试恢复分组的传输。这些分组可以来自于客户机102的不同应用实例。这些分组可以提供不同的源端口信息。TCP元组的其他组分也可以改变。基于改变的TCP元组,流分布器可以生成第二哈希索引或标识符,并且将来自客户机102的分组流量定向至与第二哈希索引或标识符相对应的第二核662。
在一些实施例中,在多核系统中使用流分布器550和/或分组引擎可导致较高的SSL每秒事务(TPS)和/或成批吞吐量数量。每个核可具有与该核相关联的虚拟IP地址(VIP),该虚拟IP地址可以是与SSL会话641相关或无关地建立的。在一些实施例中,流分布器550经由核的VIP识别每个核。
现参照图6,示出了用于管理SSL会话持久性和重用的系统600的实施例。简要概括,该系统包括在客户机102和服务器106之间的中间装置200。中间装置200包括多核系统、流分布器550和存储装置或存储器模块667。在一些实施例中,可由多核系统中的多个核中的一个(诸如第一核661)建立和维护SSL会话641。该核661有时被称为SSL会话641的所有者。在SSL会话641中断之后,客户机102可以通过向多核系统发送请求672来请求恢复该SSL会话。流分布器550可将请求672定向至第二核662,该第二核662将确定其是否拥有被中断的SSL会话641。第二核662可以识别会话641的所有者661,并且确定是否可恢复该会话。第二核662可以与第一核661通信,并且接收信息,以用于克隆被中断的SSL会话以由第二核662重用。在完成克隆之后,基于所克隆的会话641’恢复客户机和服务器之间的连接。
多核系统中的每个核661、662可包括收发器621、622。收发器可接收从流分布器550定向来的分组或消息。收发器还可以与多核系统的其他核通信。在一些实施例中,核间通信涉及从第一核661向第二核662发送核对核消息传送(CCM)消息。收发器可支持基于任一类型或形式的通信协议的分组和消息。收发器还可以与中间装置200的其他组件通信。例如,核可以通过将收发器用作接口,访问来自存储器667的数据。收发器还可以将分组或消息传输至诸如服务器106的另一机器。收发器可基于来自关联的TCP元组的信息,将输出分组或消息定向至目的地。
每个核可包括解码器-编码器对631、632(后文总的称为“加解密块(cipher)”)。加解密块可以包括硬件或者软件和硬件的任何组合。加解密块可包括应用、程序、库、脚本、进程、任务、线程或者任何类型和形式的可执行指令。尽管加解密块被描述为证书管理器的部分,但在一些实施例中,加解密块可以是多核系统的单独的组件或模块。在一个实施例中,加解密块可包括通用编码器/解码器。在另一个实施例中,加解密块被设计和构造为编码/加密或解码/解密任何类型和形式的信息,诸如会话标识符688和/或核标识符656、658。在一个实施例中,加解密块631、632是块加解密块。此外,加解密块可包括来自结合图2描述的加密引擎234的任何实施例的功能。在一些实施例中,系统600使用数据加密标准(DES)加解密块,诸如标准DES加解密块和3DES加解密块。
第一核661被分配有核标识符656。核标识符656可以是任何类型或形式的字母数字标识符或代码字符串。此外,该核标识符656在多核系统的多个核之中可以是唯一的。核标识符656可以是核661的CPU号,或者包含核661的CPU号。可以基于核的CPU号将核标识符656顺序地分配至每个核。核标识符656可以是任何大小。在一个实施例中,核标识符656的大小为一个字节。特别地,一个字节可以给出256(0-255)个唯一的核标识符。
第一核661可以在客户机102和服务器106之间建立SSL会话641。可结合加解密块631和/或来自结合图2描述的加密引擎234的任何实施例的功能来建立SSL会话641。SSL会话641被分配有会话标识符688,该会话标识符688可以是任何类型或形式的字母数字标识符或代码字符串。第一核661、后端服务器106或客户机102可以发布会话标识符688。会话标识符668可以在与多核系统相关联的多个SSL会话之中唯一地标识SSL会话。会话标识符688可以是随机的16或32字节的值。在一个实施例中,会话标识符688的字节[0]位置和字节[1]位置的异或产生随机值。通过例如在系统引导时,随机地选择会话标识符688中的一个字节位置以用于编码核标识符656,可加入额外的关于会话标识符688的安全性和随机性。在一个实施例中,SSLv2会话标识符688具有16字节的大小并且最后4个字节可包括时间戳。在这个实施例中,用于核标识符656的一个字节位置优选地位于字节0至字节11之间。在另一个实施例中,会话标识符688是用于SSLv3和TLSv1的32个字节。较低的4个字节可由时间戳占用,这允许有28个字节用于以SSLv3/TLSv1协议编码核标识符。除了为时间戳保留的字节位置,可以通过任何方式选择用于编码核标识符的字节位置。
以示例的方式并且不以任何方式进行限制,用于编码核标识符的伪代码的一个实施例可以是:
sessionid[0]=coreid;
sessionid[0]^=sessionid[1];
并且用于检索核标识符的伪代码的一个实施例可以是:
coreid=sessionid[0]^sessionid[1];
在一些实施例中,用核标识符来编码有效会话标识符。有效会话标识符有时被称为有效性标识符。有效会话标识符可以是标识有效会话的字符串。作为一个例子,加解密块可使用8个字节来编码有效会话标识符和核标识符。中间装置200或多核系统可以确定会话641是否有效。在一个实施例中,使用有效会话标识符有助于过滤掉重用会话的随机或恶意请求。有效会话标识符还可以标识活动的重用会话。
在一些其他的实施例中,不是在会话标识符的一个字节或者一系列位的范围内编码核标识符656。相反,可使用会话标识符688的独立位来编码核标识符656。核标识符656可被编码为会话标识符688中的位模式。除了为时间戳保留的字节位置,可通过任何方式选择用于编码核标识符656的独立位的位置。当由拥有SSL会话641的核661生成会话标识符688时,独立的位可被设置来编码核标识符656。设置或未设置的位的数量可取决于多核系统中的核的数量。由于受影响的位的数量受限于多核系统中核的数量,因此这种方法可对会话标识符施加相对较小的影响。
第一核661或第一核661的分组引擎240可以在第一核661的会话高速缓存中存储会话标识符688。在一个实施例中,在对核661加电的期间和/或维护会话641的期间,会话高速缓存651是持续的。在另一个实施例中,甚至在核6671断电时或者在会话641已经结束时,会话高速缓存651也是持续的。会话高速缓存651可以是分配给第一核661和/或SSL会话641的存储器。会话高速缓存651可以由一个或多个核访问。在一些实施例中,第一核661维护和/或更新会话高速缓存651。存储器模块667可以包括会话高速缓存651。存储器模块667可以包括一个或多个互连的存储装置,如上文结合图1E、1F和2A描述的存储装置128、140、122、264、667的任何实施例。
在一些实施例中,会话高速缓存651存储由第一核661建立的SSL会话641的会话标识符688。会话高速缓存651可以存储多个会话标识符,诸如由第一核661建立的会话的会话标识符。第一核661可在会话标识符688中编码核标识符656,以形成第二会话标识符688’。在一些实施例中,加解密块631在会话标识符688中编码核标识符656,以形成第二会话标识符688’。在一个实施例中,加解密块631在会话标识符688的一个字节中编码核标识符656。加解密块631的编码器/解码器例程可以在第二会话标识符688中安全地编码核标识符656和/或解码核标识符656。加解密技术631的编码器/解码器例程还可以安全地编码/解码与会话标识符688相关联的有效会话标识符。在另一个实施例中,可将核标识符656直接存储到第二会话标识符688’的位中。可将第二会话标识符688’与会话标识符688一起或者代替会话标识符688存储到会话高速缓存651中。
在一些实施例中,就功能、能力和/或关联元素来说,第二核622与第一核661大体相似或相同。例如,第二核包括收发器622和解码器632,并且与会话高速缓存652相关联。可以为第二核662分配唯一核标识符658。该第二核可以类似地建立新的SSL会话。此外,第二核662可以重用第一核661的SSL会话641。
中间装置200包括一组策略657。这些策略657可以是结合图1D、2A、2B和3描述的策略的任意实施例。这些策略657可被应用于请求,诸如恢复SSL会话的请求672。策略657还可以确定流分布器500将输入消息定向到哪个核。此外,关联的策略引擎可以应用策略657,例如以确定是否可以恢复或重用会话。在一些实施例中,策略657被存储在存储器模块667中。例如,策略可被存储在存储器模块667的私有部分中。这些策略中的一些656可被分组并且与客户机102和/或服务器106相关联。
核可以恢复其已经建立的会话。例如,核可以通过重新启动被中断的会话的协议栈的部分来恢复其已经建立的会话。核可以通过在该核中创建由另一核建立的会话的副本或克隆来恢复该由另一核建立的会话。在一些实施例中,后一种情况被称为会话的重用。在这些实施例中,恢复会话可具有比重用会话更广的范围。在其他实施例中,会话恢复或重用可以被可交换地使用。在其他实施例中,重用指的是重用会话的一些元素,诸如会话的安全参数。
每个SSL会话可以与可恢复指示器668相关联。可恢复指示器668可被预先确定或者动态地更新。建立SSL会话641的管理员、服务器106或核661可以确定和/或设置关联的可恢复指示器668。可以经由对会话历史和/或统计的分析,例如经由任意算法或处理步骤,来确定和/或设置可恢复指示器668。在其他实施例中,重用SSL会话641的核662能够更新SSL会话641的可恢复指示器669。在一些其他的实施例中,重用SSL会话641的核662可以向SSL会话641的所有者661发送信息,以更新SSL会话641的可恢复指示器668。
可恢复指示器668可以指示是否应该允许恢复SSL会话的请求672。可恢复指示器668可以指示在受制于重用限制678和/或其他因素的情况下是否允许恢复SSL会话641的请求。可基于SSL会话的状态设置可恢复指示器668,例如,基于会话是否活动和/或是否正由一个或多个核重用。在一个实施例中,当SSL会话641仍然活动时,可恢复指示器668可以被设置为不可恢复。在另一个实施例中,如果不活动SSL会话641还没有到期和/或没被损坏,则可恢复指示器668可以被设置为可恢复。在一个实施例中,如果在SSL会话641中发送或接收到致命警告,则相应的可恢复指示器668被设置为不可恢复。在一些实施例中,如果可恢复指示器668被设置为不可恢复,则所有后来的会话恢复请求可被拒绝或丢弃。
处理重用和/或恢复SSL会话641的请求672的第二核662可以访问可恢复指示器668,以确定SSL会话641是否可恢复。可以在可由多个核访问的存储器667中的共享位置处存储可恢复指示器668。还可以在可由多核系统的每个核访问的存储器667中的位置处存储可恢复指示器668。在一些实施例中,由核建立的SSL会话的可恢复指示器668可被存储在该核和/或该会话的会话高速缓存651中。可在共享存储器中的位置中存储可恢复指示器668。可恢复指示器688的大小可以是一个字节,然而也支持其他实施例。在一些实施例中,所存储的值是指向较大存储器位置的指针。在其他实施例中,多个核(例如,请求重用SSL会话641的核)中的每一个可以存储可恢复指示器668的副本。在这些实施例的一个中,具有可恢复指示器668的副本的多个核可以检查对可恢复指示器668的更新,或者接收对可恢复指示器668的更新的通知。更新或通知可以作为CCM消息从第一核661发送出。更新或通知可被发送至被识别为将重用SSL会话641的核。
在一些实施例中,分组引擎240将重用限制678存储到存储器模块667。重用限制678有时被称为最大重用阈。该重用限制678可以指示会话可被恢复或重用的次数。可以预先确定或动态地更新该重用限制678。可由管理员和/或经由对会话历史和/或统计的分析(例如经由任意算法或处理步骤),来确定和设置重用限制678。第一核661可指定针对第一核661、多核系统或由第一核661建立的SSL会话641的重用限制678a。重用由第一核661拥有的SSL会话641的第二核662可指定针对第二核662的重用限制678b。对于核的会话的重用限制678可被存储在该核和/或该会话的会话高速缓存651中。重用限制678还可以被存储在可由多个核访问的存储器667中的共享位置中。核的重用限制678还可以被存储在为核划分或分配的存储器中。在一些实施例中,重用限制678可被设置以限制对可能内在不稳定或倾向于中断的会话的重用。在其他实施例中,重用限制678可被设置以限制由多个核对SSL会话的累积的和/或并发的重用。
在一些实施例中,如果关于会话的可恢复指示器668指示该会话不可恢复,则不允许对该会话的重用。在这些实施例的一个中,移除重用限制668。在这些实施例的另一个中,重用限制668被设置为零。尝试处理重用和/或恢复SSL会话641的请求672的核可以访问重用限制678,以确定该SSL会话是否可重用。如果关于会话的可恢复指示器668指示该会话可恢复并且没有达到核和/或会话的重用限制678,则可以允许重用该会话。在一些实施例中,独立地确定和/或设置重用限制678和可恢复指示器668。在其他实施例中,重用限制678和可恢复指示器668被彼此相关地确定和/或设置。在一些其他的实施例中,根据其他因素(例如会话是否到期和/或是否被中断),确定重用限制678和/或可恢复指示器668。
要恢复SSL会话641,客户机可向中间装置200发送请求672。中间装置200的流分布器550可以处理请求672和/或将该请求转发至多个核中的一个。请求672可以包括被标识为恢复的SSL会话641的会话标识符688。请求672还可以包括与会话641、客户机102、服务器106和第一核661相关的任意信息。如果第二核662收到该请求,则第二核662可以向第一核661发送请求关于SSL会话641的信息的消息。第二核662可以使用该关于SSL会话641的信息来复制、克隆、重构、复写、镜像或以其他方式创建与原始SSL会话641大体相似的SSL会话641’。该过程可被总的称为克隆会话。SSL会话641’有时被称为原始会话641的副本,或者原始会话641的克隆。
关于SSL会话641的信息可以包括下列中一个或多个:协议栈信息、TCP元组信息、主密钥、客户证书、加解密方法的名称、客户认证的结果和SSL版本。这些信息中的一些或全部可被保留在SSL会话641的SSL会话数据结构中。第二核662可以经由第一核661访问这些信息中的一些或全部。尽管用于生成相同SSL会话的信息可在SSL会话641的会话数据结构中获得,但可能不需要该会话数据结构的完整副本来克隆和恢复该SSL会话。
在一些实施例中,可从SSL版本信息中确定协议栈信息。在其他实施例中,关于协议栈的状态和/或组件的信息(诸如可被动态安装和/或配置的驱动器和代理的信息),可用于克隆SSL会话641。第一核661可以使用TCP元组信息的至少一些部分来克隆SSL会话641。第一核661还可以从请求672中获得TCP元组信息。
第一核661或该核的分组处理器240可以使用SSL会话的主密钥来管理安全性,例如数据加密和解密,以及通过授权和认证的安全事务。主密钥可应用于SSL证书。主密钥的长度可以是48位,然而也支持其他的实施例。在一些实施例中,主密钥可以是联邦信息处理标准(FIPS)密钥,例如由FIPS卡生成的密钥。中间装置200可包括与第一核661通信的FIPS卡。主密钥还可以由证书机构(CA)创建,诸如由在中间装置200中驻留的本地CA创建。在一个实施例中,CA在第一核661上执行,并且除了密钥,还生成证书、证书撤销列表(CRL)和证书签名请求(CSR)。通过示例的方式并且不以任何方式进行限制,CA的一组典型命令的一个实施例如下:
createsslrsakey
convertsslpkcs12
convertsslpkcs8
createssldhParam
createssldsaKey
createsslcrl
createsslcertReq
createsslcert
第二核662可以向第一核661请求所生成的信息中的一些或全部,以克隆SSL会话641。在一些实施例中,第二核662请求最小的信息集合来重用SSL会话641。第一核661可向第二核662发送最小的信息集合,以克隆SSL会话641。第一核661可发送包含信息集合的一个或多个消息,以克隆SSL会话641。
第一核661可以使用与客户证书相关的信息,例如以确定证书机构状态、证书的发布者标识符以及该证书是否有效和/或被撤销。客户证书信息可以促成所克隆的会话中的认证和/或授权管理。在一些实施例中,客户证书用于支持客户机认证和/或SSL数据插入。在不同的实施例中,客户证书信息的大小可变。
加解密方法的名称或类型(包括该加解密方法的任意配置),可以允许第二核662解码/编码/解密/加密与SSL会话641一致的数据。可以在32字节的信息中发送加解密块信息,然而也可以支持其他实施例。此外,客户机认证结果可以促成客户机的重新认证,和/或允许绕开一些认证步骤。客户机认证结果还可以用于客户机102的基于策略的认证,例如通过使用策略656中的一个或多个。可以在4个字节的信息中发送客户机认证结果,然而也可以支持其他实施例。
第二核662还可以请求SSL版本,以克隆SSL网络协议栈和/或会话数据结构。SSL版本还可以促成对SSL网络协议栈内的连接以及在协议栈的任一层与客户机102、服务器106和任何其他网络组件之间的连接的克隆。可以在4个字节的信息中发送SSL版本信息,然而也可以支持其他实施例。在一些实施例中,额外的关于使用主密钥和/或其他密钥的信息或参数可用于克隆SSL会话。例如并且在一个实施例中,SSLv2协议可使用8位的密钥参数。
拥有SSL会话641的第一核661可以存储关于由其他核进行的会话重用的信息。可以在会话高速缓存651或存储器667中将该信息维护为位模式,如表示多核系统的核的位模式。该信息还可以包括克隆的会话641’的引用计数。该信息可用于估计克隆的会话是否超时。当克隆的会话641’超时时,非所有者核(例如,第二核662)可向第一核661发送指示克隆的会话641’已结束的消息。响应于该消息,第一核661可以更新所存储的信息,例如克隆的会话的引用计数。在一个实施例中,如果克隆的会话是活动的,则SSL会话641可以不被终止。在一些实施例中,每个核处理会话时效,而不管该SSL会话是克隆的会话还是原始会话。本文在多个实施例中描述的由核执行的某些操作可由该核的分组引擎240执行。
现参照图7A和7B,示出了描述用于在多核系统中维护会话持久性和重用的方法700的步骤的实施例的流程图。简要概括,在步骤701,中间装置200中的多核系统的第一核接收来自客户机102的、建立与服务器106的安全套接字层(SSL)会话641的请求671,核661被分配有第一核标识符656。在步骤703,第一核661为SSL会话641建立会话标识符。在步骤705,第一核在会话标识符中编码第一核标识符656,以形成第二会话标识符688。在步骤707,第一核661使用第二会话标识符688建立与客户机102的SSL会话641。在步骤709,第一核661在第一核661的会话高速缓存651中存储第二会话标识符688。在步骤711,第一核661指示SSL会话641是否可恢复。在步骤713,第一核661在可由多核系统的每个核访问的存储器667中的位置处设置指示器668,该指示器668指示SSL会话641是否可恢复。在步骤715,多核系统的流分布器550将重用和恢复SSL会话641的第二请求672从客户机102转发至第二核662。在步骤717,第二核662接收来自客户机102的第二请求672,该请求672包括第二会话标识符688。第二核662被分配有第二核标识符658。在步骤719,第二核662确定第二会话标识符688不在第二核662的会话高速缓存652中。
在步骤721,第二核662解码被编码在第二会话标识符688中的核标识符656。在步骤723,第二核662确定存储器位置中的指示器668是否指示SSL会话641可恢复。在步骤725,第二核662确定对于SSL会话641的重用限制678是否已被超过。在步骤727,第二核662确定核标识符658是否与第二核标识符658相对应。在步骤729,第二核在SSL会话641’中恢复客户机与服务器106的通信。在步骤731,第二核662将请求672转发至服务器106。在步骤733,第二核662将请求关于SSL会话641的信息的消息传输至由核标识符656标识的第一核661。在步骤735,第一核661通过包含在从第二核662接收的消息中的第二核标识符658来识别第二核662。在步骤737,第一核661将消息传输至第二核662。在步骤739,第一核661将指示SSL会话641不可重用的消息传输至第二核662。在步骤741,第二核662基于下列中的至少一个来确定不恢复SSL会话641:来自第一核的消息、对第二核不是SSL会话641的建立者的识别、策略的应用、指示器668和重用限制678。在步骤743,第一核661在消息中向第二核662传输下列中的至少一个:主密钥、客户证书、加解密块631的名称、客户机认证的结果和SSL版本。在步骤745,第二核662基于从第一核661获得的关于SSL会话641的信息在第二核662上建立SSL会话的副本641’。在步骤747,第二核662在SSL会话的副本641’中恢复客户机与服务器106的通信。
在步骤701的更多细节中,中间装置中的多核系统的第一核接收来自客户机的、建立与服务器的SSL会话的请求。在一个实施例中,被部署为在客户机102和服务器106之间的中间装置200的多核系统的第一核661接收来自客户机102的、建立与服务器106的SSL会话641的请求。在一些实施例中,第一核661接收来自客户机102的客户机问候消息671。第一核661可经由流分布器550接收来自客户机102的第一请求671。第一核661被分配有第一核标识符656。可基于第一核的处理单元的标识符为第一核661分配核标识符656。在一个实施例中,为第一核661分配一个字节的核标识符656。多核系统、流分布器550或中间装置200的其他组件可以生成第一核标识符656并且向第一核661分配第一核标识符656。可通过应用至少一个策略657来生成第一核标识符656。
流分布器550可基于包含在请求671中的信息(例如TCP元组)识别第一核661。例如,并且在一个实施例中,流分布器550基于包括在请求671中的信息(例如TCP元组)计算第一请求671的哈希值。流分布器可根据所计算的哈希值识别第一核661。流分布器550可确定第一核661是活动的和/或可用于处理请求671。流分布器550可以随后将请求671转发至第一核661。第一核661可经由第一核661的收发器621接收请求671。
在步骤703的更多细节中,第一核为SSL会话建立会话标识符。响应于接收请求671,第一核可以解析、提取或以其他方式处理来自请求671的信息。第一核661可从请求671中解析会话标识符,如果存在的话。在一些实施例中,请求671中不存在会话标识符指示请求671是建立的新SSL会话的请求。第一核661可以例如通过应用至少一个策略657关于请求671执行认证和/或授权。
在一些实施例中,服务器106为SSL会话641生成会话标识符668’。第一核661可从服务器106获得会话标识符668’。在其他实施例中,第一核661可以为SSL会话641生成会话标识符668’。可经由任何程序代码、公式或算法生成会话标识符668’。在一个实施例中,服务器106和/或第一核661可生成16字节的会话标识符688’。在一个实施例中,服务器106和/或第一核661可生成32字节的会话标识符688’。在一些实施例中,服务器106和/或第一核661可保留会话标识符688’的4个字节用于时间戳信息。服务器106和/或第一核661可生成随机会话标识符688’。服务器106和/或第一核661可使用加解密块631和/或随机码生成器生成会话标识符688’。服务器106和/或第一核661可在生成会话标识符688’时应用至少一个策略657。在生成会话标识符688’的期间,服务器106和/或第一核661可确定会话标识符688’对于多核系统是唯一的。在一些实施例中,在建立SSL会话641之后生成会话标识符688’。在其他实施例中,在建立SSL会话641时生成会话标识符688’。
在一些实施例中,SSL服务器或vserver生成会话标识符。在其他实施例中,客户机102生成会话标识符688’。在一些其他的实施例中,可由加解密块631和/或加密引擎234生成会话标识符688’。
在步骤705的更多细节中,第一核在会话标识符688’中编码第一核标识符656,以形成第二会话标识符688。在一些实施例中,第一核661使用编码器/解码器对或加解密块631在会话标识符688’中编码第一核标识符656,以形成第二会话标识符688。第一核661可以用核标识符656编码会话标识符688’的一个字节来形成第二会话标识符688。第一核661可将核标识符编码至会话标识符688’的多个位中,以形成第二会话标识符688。第一核661可以以预定频率确定要编码的会话标识符688’的预定的一组一个或多个字节,以形成第二会话标识符688。第一核661可确定要编码的会话标识符688’的预定的一组一个或多个字节,以形成第二会话标识符688。第一核661可确定要编码的会话标识符688’的预定的一组一个或多个位,以形成第二会话标识符688。第一核661可将核标识符656编码为会话标识符688中的位模式。第一核661可以设置或不设置要编码核标识符656的在会话标识符688中的多个位。
第一核661可采用块加解密方法以会话标识符688’编码核标识符656和有效性标识符,以形成第二会话标识符688。第一核661可使用DES或3DES加解密方法以会话标识符688’编码核标识符656和/或有效性标识符。第一核661可使用会话标识符688’的7个字节来编码有效性标识符。第一核661可使用会话标识符688’的8个字节来编码核标识符656和有效性标识符。多核系统、中间装置200、SSL服务器或SSLvserver可生成有效性标识符。
在一些实施例中,第一核661使用编码器/解码器对或加解密块631在会话标识符688’中编码第一核标识符和/或有效性标识符,以形成第二会话标识符688。在一些实施例中,第一核661执行程序代码以在会话标识符688’中编码第一核标识符656和/或有效性标识符,以形成第二会话标识符688。第一核661还可以在编码之前或之后在会话标识符688’上执行映射或者应用哈希函数。第二会话标识符688可以是在会话标识符688’上应用的映射、哈希函数和/或编码的结果。第一核661可以在会话标识符中随机选择一个字节的位置来编码核标识符。第一核661可以在会话标识符中随机选择多个字节的位置来编码有效性标识符。
在步骤707的更多细节中,第一核使用第二会话标识符688建立与客户机的SSL会话641。第一核661可响应于请求671建立与客户机的SSL会话641。第一核661可响应于成功的认证和/或授权建立与客户机102的SSL会话641。第一核661可发起与客户机102和/或服务器106的握手操作,以建立客户机102和服务器106之间的一个或多个连接。第一核661可与客户机102和/或服务器106协商SSL版本。在对SSL版本达成一致后,第一核661可为SSL会话641建立会话协议栈。第一核661可在建立协议栈时,执行在协议栈中的一个或多个驱动器和/或代理。第一核661可建立在客户机102、服务器106和会话协议栈的层之间的一个或多个连接。此外,第一核661可以为SSL会话641建立会话数据结构。
第一核611可经由下列中的一个或多个提供的功能执行建立SSL会话641的任意步骤:在第一核611或多核系统上执行的加解密块631、加密引擎234和/或SSLvserver。此外,可基于至少一个策略657的应用生成SSL会话641。第一核611可以分配存储器以用于建立和/或维护SSL会话641。另外,第一核611可以为SSL会话641建立会话数据结构。在一些实施例中,后端服务器106代表第一核661建立SSL会话641。
在步骤709的更多细节中,第一核在第一核661的会话高速缓存651中存储第二会话标识符688。第一核661可响应于请求671为会话高速缓存651创建或分配存储器。第一核661可响应于成功的认证和/或授权为会话高速缓存651创建或分配存储器。第一核661可为与第一核661相关联的一个或多个SSL会话创建会话高速缓存651。第一核661可结合建立SSL会话来创建会话高速缓存651。在一个实施例中,第一核661在存储器667中的位置处存储第二标识符688。第一核661可以在第一核661的私有存储空间中存储第二标识符688。在一个实施例中,第一核661在可由多个核访问的共享存储器667中的位置处存储第二标识符688。
在步骤711的更多细节中,第一核指示SSL会话是否可恢复。在一个实施例中,多核系统的第一核661指示由第一核661建立的SSL会话641是可恢复的或者不可恢复的。在另一个实施例中,被部署为在客户机102和服务器106之间的中间装置200的多核系统的第一核661接收SSL会话641可恢复或不可恢复的通知。多核系统或流分布器550可确定SSL会话641是可恢复的或不可恢复的。基于与客户机102、服务器106和/或请求671相关联的设置、偏好或配置,SSL会话641可以是可恢复的或不可恢复的。在另一实施例中,被部署为在客户机102和服务器106之间的中间装置200的多核系统的第一核661根据策略656确定SSL会话641是可恢复的或不可恢复的。
在一些实施例中,第一核661经由包括在对SSL会话641的会话信息的请求中的核标识符,识别发送该请求的多核系统中的一个或多个核。第一核661可接收这些请求作为来自其他核的CCM消息。第一核661可响应于会话中断接收来自其他核的这些请求。第一核661可从每个请求中解析核标识符,每个核标识符标识发送请求的核。第一核661可基于在第一核661上存储的数据的位模式识别一个或多个核。第一核661可基于在存储器667中存储的数据的位模式识别一个或多个核。第一核661可通过比较包括在请求中的核标识符和位模式来识别一个或多个核。
在一些实施例中,第一核661向所识别的多核系统中的一个或多个核中的每一个传输指示SSL会话641可恢复或不可恢复的消息。第一核661可向所识别的一个或多个核中的每一个广播指示SSL会话641可恢复或不可恢复的消息。在一些实施例中,如果可恢复指示器668不可用和/或未设置,则第一核661向所识别的一个或多个核中的每一个发送消息。
在步骤713的更多细节中,第一核661在可由多核系统的每个核访问的存储器667中的位置处设置指示器668。指示器668指示SSL会话641是否可恢复。在一个实施例中,响应于该指示,第一核661在可由多核系统的每个核访问的存储器667中的位置处设置指示器668。指示器668可指示SSL会话641是可恢复的或不可恢复的。指示器668可被称为可恢复指示器668。第一核661可将与SSL会话641相关联的可恢复字段的值作为指示器存储至存储器667中的位置。
在步骤715的更多细节中,多核系统的流分布器550将来自客户机102的第二请求672转发至第二核662,以重用和恢复SSL会话641。在一些实施例中,多核系统的流分布器550(例如,接收侧定标器)基于由请求672指示的源端口将请求672转发至第二核662。流分布器550可接收来自客户机102的第二请求672。流分布器550可在与SSL会话641相关的中断后接收第二请求672。流分布器550可基于第一核661的非可用性确定将请求672转发至第二核662。流分布器550可基于由请求672指示的TCP元组确定将请求672转发至第二核662。流分布器550可基于从请求672指示的TCP元组确定的哈希索引,确定将请求672转发至第二核662。流分布器550可通过将哈希索引与第二核662相关联,确定将请求672转发至第二核662。
在步骤717的更多细节中,第二核662接收来自客户机102的第二请求672。该请求包括第二会话标识符688。在一些实施例中,部署为在客户机102和服务器106之间的中间装置200的多核系统的第二核662接收来自客户机102的、恢复与服务器的SSL会话641的请求672。第二核662被分配有第二核标识符658。多核系统可基于第二核662的处理单元的标识符为第二核662分配第二核标识符658。多核系统可以为核分配一个字节的核标识符658。多核系统可为第二核标识符658生成多核系统中随机和/或唯一的核标识符。
第二核662可经由第二核662的收发器622接收第二请求672。第二核662可接收来自流分布器550的第二请求672。第二核662可接收第二请求672,作为客户机问候信息。第二核662可经由SSL会话接收来自客户机102的请求672。例如,可维护客户机和中间装置200之间的连接,但可中断中间装置200和服务器106之间的连接。第二核662可接收恢复和/或重用SSL会话641的请求672。
第二请求672可包括会话标识符688。第二核662可从第二请求672中解析、提取和/或解码会话标识符688。第二核662可响应于接收第二请求672从第二请求672中解析、提取和/或解码该第二会话标识符668。第二核662可解码第二会话标识符688,以从会话标识符688中提取核标识符656和/或有效性标识符。第二核662可在解码之前或之后在会话标识符688上应用映射和/或哈希函数。
在一些实施例中,解码过程包括在会话标识符688上应用映射和/或哈希函数。应用映射和/或哈希函数可产生由服务器106为SSL会话641生成的原始会话标识符。第二核662可在与服务器106通信时应用该原始会话标识符。第二核662可使用该原始会话标识符来识别服务器106和/或SSL会话641。在一些实施例中,第二核662可针对该原始会话标识符检查会话高速缓存652。
第二会话标识符688可将第一核661识别为SSL会话641的建立者或所有者。第二核662可通过访问来自存储器667的相关信息、应用至少一个策略656和/或与下列中的至少一个通信来确定有效性标识符有效:中间装置200的第一核661、流分布器550和某个其他组件。
在步骤719的更多细节中,并且在一个实施例中,第二核662确定第二会话标识符688不在第二核662的会话高速缓存652中。在另一个实施例中,第二核662确定第二会话标识符688在第二核662的会话高速缓存652中。响应于获得第二会话标识符688,第二核662可访问第二核662的至少一个会话高速缓存652。第二核662可从存储器667中检索至少一个会话高速缓存652。第二核662可从会话高速缓存652中检索信息,例如会话标识符,以与第二会话标识符688进行比较。响应于该比较,第二核662可确定第二会话标识符688是否在第二核662的会话高速缓存652中。在一些实施例中,如果第二会话标识符688在会话高速缓存652中,则相应的会话已与第二核662相关联。因此,如果满足恢复会话的其他因素,则第二核662可恢复会话并且恢复客户机与服务器106的通信。
在步骤721的更多细节中,第二核解码在第二会话标识符688中编码的核标识符656。第二核662可从第二会话标识符688的一个字节中解码第二核标识符656。第二核662可解码第二会话标识符688的预定字节,以获得第二核标识符656。第二核662可应用解码器解码第二核标识符656,以获取第二会话标识符656。第二核662可应用加解密块632(例如,块加解密方法)解码第二核标识符656,以获取第二会话标识符656。在其他实施例中,第二核662可使用DES或3DES加解密方法。第二核662可从第二会话标识符688的预定数量的位中解码第二核标识符656。
在步骤723的更多细节中,第二核662确定存储器位置中的指示器668是否指示SSL会话可恢复。处理重用和/或恢复SSL会话641的请求672的第二核662可访问可恢复指示器668,以确定SSL会话641是否可恢复。第二核662可以从存储器667访问可恢复指示器668。第二核662可例如从第二核662的私有存储空间中访问可恢复指示器668的副本。第二核662可以处理可恢复指示器字段或指针目的地,以确定SSL会话是否可恢复。在一个实施例中,第二核662可确定SSL会话641的可恢复指示器668不存在或者未设置。在一些实施例中,第二核662接收来自多核系统的第一核661或其他组件的、关于SSL会话641是否可恢复的通知或消息。
在一个实施例中,可恢复指示器668和/或通知指示SSL会话641不可恢复。在这个实施例中,第二核662可确定不恢复SSL会话。结合步骤741描述了更多的细节。在另一个实施例中,可恢复指示器668和/或通知指示SSL会话641可恢复。在这个实施例中,如果满足恢复会话的其他需求,则第二核662可以恢复会话并且恢复客户机与服务器106的通信(参见步骤729)。
在步骤725的更多细节中,第二核确定对于SSL会话的重用限制678是否已被超过。第二核662可访问存储器667(例如,共享存储空间或私有存储空间)以获得重用限制678。例如,如果重用限制678还不存在,则第二核662可设置对于SSL会话641的重用限制678。第二核662可以比较重用限制678和重用历史、计数器或跟踪器。第二核662可访问存储器667以获得重用历史、计数器或跟踪器。
在一个实施例中,第二核662确定对于SSL会话的重用限制678已被超过。在这个实施例中,第二核662可确定不恢复SSL会话。结合步骤741描述了更多的细节。在另一个实施例中,第二核662确定对于SSL会话的重用限制678还没被超过。因此,如果满足恢复会话的其他需求,则第二核662可恢复会话并且恢复客户机与服务器106的通信(参见步骤729)。
在步骤727的更多细节中,第二核662确定核标识符656是否与第二核标识符658相对应。在一个实施例中,第二核662从第二会话标识符688的编码识别第二核662不是SSL会话641的建立者。例如,第二核662可确定核标识符658不与第二核标识符656相对应。在另一个实施例中,第二核662可从第二会话标识符688的编码识别第一核662是SSL会话641的建立者。第二核662可向第一核661发送消息,以验证第一核662是SSL会话641的建立者。
在另一个实施例中,第二核662从第二会话标识符688的编码识别第二核662是SSL会话的建立者。例如,第二核662可确定在所接收的会话标识符中的核标识符与第二核标识符656相匹配。在这个实施例中,如果满足恢复会话的其他需求,则第二核662可恢复会话并且恢复客户机与服务器106的通信(参见步骤729)。
在步骤729的更多细节中,第二核662恢复客户机与服务器106在SSL会话中的通信。如果第二核662的核标识符658与第二核标识符656相对应,如果满足恢复会话的其他需求,则第二核662可恢复客户机与服务器在SSL会话641中的通信。如果第二核662确定第二核662是SSL会话641的建立者,如果满足恢复会话的其他需求,则第二核662可恢复客户机与服务器在SSL会话641中的通信。在不同的实施例中,在第二核662可恢复SSL会话641之前,需满足下列要求中的一些或全部:
i)可恢复指示器688(或通知)指示会话可恢复;
ii)没有超过重用限制678;
iii)会话没有到期;以及
iv)会话没被损坏。
与恢复会话741相关,第二核662可更新下列中的一个或多个:可恢复指示器668、重用限制678和关联的会话高速缓存。第二核662可重新启动会话协议栈的部分和/或修复SSL会话641的连接(例如,在服务器106和协议栈之间的被中断的连接)。此外,第二核662可向客户机102发送消息。在一些实施例中,第二核662可发起与客户机的握手,以恢复SSL会话741,并且可包括认证和/或授权处理步骤。
在步骤731的更多细节中,第二核662将请求672转发至服务器106。第二核662可响应于SSL会话641的恢复,恢复与服务器106的通信。在一个实施例中,第二核662从SSL会话641的中断点恢复客户机与服务器106的通信。在一些实施例中,恢复客户机通信对下列中的一个或多个是透明的或大体透明的:客户机的用户、客户机102和服务器106。
在步骤733的更多细节中,第二核将请求关于SSL会话741的信息的消息传输至由核标识符656标识的第一核。第二核662可将请求关于所建立的SSL会话641的信息的消息传输至由核标识符标识的核。在一些实施例中,第二核662确定第二核662不是SSL会话641的建立者。响应于该确定,第二核662可将请求传输至建立SSL会话641的核661。第二核662可传输请求以验证第一核是SSL会话641的建立者。
第二核662可传输对信息的请求,以重用和克隆SSL会话641。第二核662可传输对最小信息集合的请求,以在第二核662上重用和克隆SSL会话641。第二核662可传输对SSL会话641的会话数据结构的至少部分副本的请求。第二核662可传输对至少主密钥、客户证书、加解密方法的名称、客户机认证的结果和SSL版本的请求,以重用和克隆SSL会话641。第二核662可传输对密钥处理参数、CRL和/或TCP元组信息的请求。第二核662可传输请求或消息,作为CCM消息。
在步骤735的更多细节中,第一核661经由包括在从第二核662接收的消息中的核标识符658识别第二核662。在一些实施例中,第一核662接收来自第二核662的消息或请求。第一核661可从消息或请求中解析或提取核标识符658,以识别第二核662。基于该识别,第一核661可响应于第二核662。
在步骤737的更多细节中,第一核661将消息传输至第二核662。第一核661可响应于来自第二核662的请求或消息,将消息传输至第二核662。第一核661可将第一核661是SSL会话641的建立者的确认消息发送至第二核662。步骤739和743描述了第一核的响应的其他的实施例。
在步骤739的更多细节中,第一核661将指示SSL会话不可重用或恢复的消息传输至第二核662。在一些实施例中,该消息是CCM消息。第一核661可基于可恢复指示器668传输指示SSL会话不可恢复的消息。第一核661可基于第一核661已接收的通知传输指示SSL会话不可恢复的消息。第一核661可基于SSL会话641的重用限制678传输指示SSL会话不可重用的消息。第一核661可基于SSL会话641的到期传输指示SSL会话不可重用或恢复的消息。第一核661可基于SSL会话641被损坏的确定传输指示SSL会话不可重用或不可恢复的消息。第一核661可基于检测到SSL会话641中的错误消息传输指示SSL会话不可重用或恢复的消息。
在步骤741的更多细节中,第二核基于下列中的至少一个确定不恢复SSL会话:来自第一核的消息、识别第二核不是SSL会话的建立者、策略的应用、指示器和重用限制。第二核662可接收来自第一核661的、基于结合步骤739描述的任意理由指示SSL会话641不可重用或恢复的消息。第二核662可基于来自第一核661的消息确定不恢复SSL会话641。第二核662可基于在第二核662上可用的受限的资源确定不恢复SSL会话641。
第二核可基于确定第二核662没有建立SSL会话641,确定不恢复SSL会话641。第二核662可确定是否已达到预定的最大重用阈(例如,重用限制678)。如果达到或超过最大重用阈,则第二核662可确定不恢复SSL会话641。第二核662可以在不存在重用限制678的情况下确定不恢复SSL会话641。第二核662可基于根据可恢复指示器668的SSL会话641不可恢复的确定,确定不恢复SSL会话641。
在一些实施例中,第二核662从第二核662的会话高速缓存652中移除关于SSL会话641的信息。第二核662可移除第二核662的会话高速缓存652。第二核662可响应于不恢复或重用SSL会话641的确定,移除信息和/或会话高速缓存652。在一些实施例中,第二核662响应于客户机请求672建立新的SSL会话。第二核可与客户机102就新的SSL版本进行协商和/或将新的会话标识符发送至客户机102。上文结合步骤701描述了用于建立新的SSL会话的细节的实施例。
在步骤743的更多细节中,第一核在消息中将下列中的至少一个传输至第二核:主密钥、客户证书、加解密方法的名称、客户机认证的结果和SSL版本。在一个实施例中,第一核661向第二核662传输主密钥、客户证书、加解密方法的名称、客户机认证的结果和SSL版本。第一核661还可以传输与密钥处理参数、CRL和TCP元组相关联的信息。第一核661可向第二核662发送SSL会话641的会话数据结构的至少部分。
第一核661可向第二核662发送用于恢复或重用SSL会话641的任意其他信息。第一核661可向第二核662发送用于在第二核662中恢复或重用SSL会话641的最小的信息集合。第一核661可向第二核662发送用于在第二核662中克隆或创建SSL会话641的副本的信息。第一核661可在一个或多个消息中向第二核662发送这些信息中的任一信息。可经由CCM发送该一个或多个消息。在一些实施例中,第一核661可在存储器667中的位置处提供这些信息中的任一信息,以用于第二核667访问。第一核661还可以向第二核662提供指向这些信息中的任一信息的指针或地址。
在步骤745的更多细节中,第二核基于从第一核获得的关于SSL会话的信息,在第二核上建立SSL会话的副本641’。在一些实施例中,第二核662使用与建立新的SSL会话大体相似的一个或多个步骤建立SSL会话的克隆或副本641’。第二核662可根据由第一核661提供的原始SSL会话641的部分数据结构建立关于SSL会话641’的会话数据结构。第二核662可发起与客户机102和/或服务器106的握手步骤。根据由第一核661提供的信息,握手步骤可包括对认证、授权、证书生效/更新和密钥生效/更新的任意扩展或组合。
第二核662可为克隆的SSL会话641’生成会话标识符688’。第二核662可生成会话标识符688’,该会话标识符688’除了用于核标识符的已编码的位,与SSL会话641的会话标识符688相同。第二核662可在会话标识符688’中编码第二核662的核标识符658。可发布并且在会话标识符688’中编码SSL会话641’的有效性标识符。第二核662可结合建立克隆的SSL会话641’来创建会话高速缓存652。第二核662可以用会话标识符688’来更新会话高速缓存652。第二核662可根据上文中结合图6以及步骤701和707描述的步骤的实施例,创建和/或更新会话高速缓存。
第二核662可更新可恢复指示器668、重用限制678和/或重用计数。第二核662还可以向第一核661发送指示克隆的会话641’被恢复的消息。第一核661可更新用于在多个核之中跟踪SSL会话641的会话重用的记录。如果任何相应的克隆会话641’是活动的,则第一核661可维护原始SSL会话641。
在步骤747的更多细节中,第二核662用SSL会话的副本641’恢复客户机与服务器106的会话。第二核662可以用与结合步骤729和731描述的步骤大体类似的克隆的SSL会话641’,恢复客户机与服务器106的通信。第二核662可向客户机102和/或服务器106传输包括新的会话标识符688’和核标识符658的消息。在一个实施例中,第二核662从原始SSL会话641的中断点恢复客户机与服务器106的通信。在一些实施例中,客户机通信的恢复对下列中的一个或多个透明或大体透明:客户机的用户、客户机102和服务器106。
尽管关于第一核和第二核进行了总体讨论,然而本公开中的技术也可应用于多核系统的任意核。方法的各种实施例可包括所描述的步骤的任意组合。所公开的系统和方法可应用于同构和异构系统。同构系统包括但不限于:i)多核系统中的核、ii)多个多核系统和iii)服务器集群中的服务器。异构系统包括但不限于:i)通用CPU和特定于应用的核、ii)多种类型的机器的网络、iii)不同类型和/或不同核的数量的多核系统和iv)包括不同类型和/或数量的机器的服务器集群。
在一些实施例中,所公开的系统和方法可被应用于集群部署,其中跨同构或异构系统执行会话克隆。在一个实施例中,可在第二多核系统中克隆第一多核系统中的多个会话。在其他实施例中,可以跨同构或异构系统重用会话信息和参数。在一些实施例中,可以跨同构或异构系统传送SSL安全参数。可在一个或多个核或机器中复制、重建或以其他方式重用SSL安全参数集合中的一些或全部。SSL安全参数的示例包括:用于SSL连接的安全端口的标识、加密等级或强度、会话重新协商的间隔、主机匹配的启动以及私钥的位置。此外,重用可包括但不限于:与密钥、加密、证书、加解密方法、认证结果和SSL版本相关的信息和/或参数。上文中结合图6描述了这些信息和/或参数的实施例。
所公开的系统和方法还可以被应用于在同构或异构系统中规定完整的SSL会话故障转移。在一些实施例中,主备模式的部署是可用的,其中在活动节点上建立的SSL会话被克隆到备用节点上。在发生故障转移时,备用节点可作为活动节点来接管。SSL客户机可能不需要重新协商SSL会话,因为新的活动节点已经具有完整的克隆的会话。所公开的系统和方法还可以被应用于外部异构系统,例如,使用在适当位置的定义明确的认证处理以识别执行会话克隆的外部装置的那些异构系统。
G.用于提供分布式集群架构的系统和方法
如之前所讨论的,为克服晶体管间隔的限制以及CPU速度增加,许多CPU制造商已结合多核CPU来提高性能,超过了甚至单核更高速CPU能达到的性能。可通过操作一起作为分布式或集群化设备的多个(单核或多核)设备来得到相似或更进一步的性能改进。独立的计算装置或设备可被称为集群的节点。集中式管理系统可执行负载平衡、分布、配置或者允许节点一起操作作为单个计算系统的其他任务。在许多实施例中,在外部或者对于其他装置(包括服务器和客户机)来说,虽然具有超过典型独立设备的性能,集群可被看作是单个虚拟设备或计算装置。
现参考图8,描述了计算装置集群或设备集群600的实施例。可将多个诸如台式计算机、服务器、机架式服务器、刀片式服务器或任何其他类型和形式的计算装置的设备200a-200n或者其他计算装置(有时称作节点)加入单个设备集群600。尽管被称为设备集群,但在许多实施例中,该集群可作为应用服务器、网络存储服务器、备份服务器或者不限于任何其他类型的计算装置进行操作。在许多实施例中,设备集群600可被用于执行设备200、WAN优化装置、网络加速装置或上述其他装置的多个功能。
在一些实施例中,设备集群600可包括计算装置的同构集合,如相同的设备、一个或多个机箱内的刀片式服务器、台式或机架式计算装置或者其他装置。在其他实施例中,设备集群600可包括装置的异构或混合集合,包括不同型号的设备、混合的设备和服务器,或者计算装置的任何其他集合。这样可允许随着时间的过去例如用新型号或装置来扩展或升级设备集群600。
在一些实施例中,如上所述,设备集群600的每个计算装置或设备200可包括多核设备。在许多这样的实施例中,除了本文讨论的节点管理和分布方法之外,可由每个独立设备利用上文讨论的核管理和流分布方法。这可被看作是双层分布式系统,其中一个设备包含数据且将该数据分布到多个节点,并且每个节点包含用于处理的数据且将该数据分布到多个核。因此,在该实施例中,节点分布系统不需要管理对于独立核的流分布,因为可由如上所述的主或控制核来负责。
在许多实施例中,可将设备集群600物理地聚合,例如在一个机箱中的多个刀片式服务器或者在单个机架中的多个机架式装置,但在其他实施例中,设备集群600可分布在多个机箱、多个机架、数据中心中的多个房间、多个数据中心或者任何其他物理布置中。因此,设备集群600可被认为是经由共同配置、管理和目的聚合的虚拟设备,而不是物理组。
在一些实施例中,可将设备集群600连接到一个或多个网络104、104’。例如,暂时返回参考图1A,在一些实施例中,可在连接到一个或多个客户机102的网络104和连接到一个或多个服务器106的网络104’之间部署设备200。可以类似地部署设备集群600以作为单个设备来操作。在许多实施例中,这样可能不需要在设备集群600之外的任何网络拓扑改变,允许轻松地安装或者从单个设备场景进行扩展。在其他实施例中,可如图1B-1D所示的或如上文所述类似地部署设备集群600。在其他实施例中,设备集群可包括由一个或多个服务器执行的多个虚拟机或者进程。例如,在一个这样的实施例中,服务器群可执行多个虚拟机,每个虚拟机被配置成设备200,并且多个虚拟机作为设备集群600协同操作。在其他实施例中,设备集群600可包括设备200或者被配置成设备200的虚拟机的混合。在一些实施例中,可地理分布设备集群600,其中多个设备200不位于一处。例如,返回参考图6,在一个这样的实施例中,第一设备200a可位于第一站点(如数据中心),并且第二设备200b可位于第二站点(如中心局或企业总部)。在进一步的实施例中,可通过专用网络(如T1或T3点到点连接)、VPN或者任何其他类型和形式的网络来连接该地理上的远程设备。因此,与位于一处的设备200a-200b相比,尽管可能存在额外的通信延迟,但可能具有在站点电源故障或通信中断情况下的可靠性、可扩展性或者其他效益的好处。在一些实施例中,可通过数据流的地理或基于网络的分布来减少延迟问题。例如,尽管被配置成设备集群600,可将来自客户机和企业总部的服务器的通信定向到在站点处部署的设备200b、可由位置来衡量负载平衡,或者可采取类似步骤来减轻任何延迟。
仍参考图8,设备集群600可经由客户机数据平面602连接到网络。在一些实施例中,客户机数据平面602可包括在客户机和设备集群600之间传输数据的通信网络,如网络104。在一些实施例中,客户机数据平面602可包括交换机、集线器、路由器或者桥接外部网络104和设备集群600的多个设备200a-200n的其他网络装置。例如,在一个这样的实施例中,路由器可连接到外部网络104,并且连接到每个设备200a-200n的网络接口。在一些实施例中,该路由器或交换机可被称为接口管理器,并且还可以被配置为跨应用集群600中的节点均匀地分布流量。因此,在许多实施例中,接口主装置(master)可包括在设备集群600外部的流分布器。在其他实施例中,接口主装置可包括设备200a-200n中的一个。例如,第一设备200a可充当接口主装置,为设备集群600接收进入的流量,并且跨设备200b-200n中的每一个分布该流量。在一些实施例中,返回流量可类似地经由充当接口主装置的第一设备200a从设备200b-200n中的每一个流过。在其他实施例中,可将来自设备200b-200n中的每一个的返回流量直接或经由外部路由器、交换机或其他装置传输到网络104、104’。在一些实施例中,不充当接口主装置的设备集群的设备200可被称为接口从装置610A-610N。
接口主装置可采用多种方式中的任何一种来执行负载平衡或业务流分布。例如,在一些实施例中,接口主装置可包括执行用集群的设备或节点配置的下一跳的等价多路径(ECMP)路由的路由器。接口主装置可使用开放最短路径优先(OSPF)。在一些实施例中,接口主装置可使用基于无状态哈希的机制来用于流量分布,例如,如上文所述的基于IP地址或其他分组信息元组的哈希。可以为跨节点的均匀分布来选择哈希密钥和/或盐值。在其他实施例中,接口主装置可经由链路聚合(LAG)协议或者任何其他类型和形式的流分布、负载平衡和路由来执行流分布。
在一些实施例中,设备集群600可经由服务器数据平面604连接到网络。类似于客户机数据平面602,服务器数据平面604可包括在服务器和设备集群600之间传输数据的通信网络,如网络104’。在一些实施例中,服务器数据平面604可包括交换机、集线器、路由器,或者桥接外部网络104’和设备集群600的多个设备200a-200n的其他网络装置。例如,在一个这样的实施例中,路由器可连接到外部网络104’,并且连接到每个设备200a-200n的网络接口。在许多实施例中,每个设备200a-200n可包括多个网络接口,第一网络接口连接到客户机数据平面602并且第二网络接口连接到服务器数据平面604。这可以提供额外的安全性,并且通过使设备集群600充当中间装置阻止了客户机和服务器网络的直接相接。在其他实施例中,可合并或组合客户机数据平面602和服务器数据平面604。例如,可将设备集群600部署为在具有客户机102和服务器106的网络上的非中间节点。如上文所讨论的,在许多实施例中,可在服务器数据平面604上部署接口主装置,以便将来自服务器和网络104’的通信路由和分布到设备集群的每个设备。在许多实施例中,可将用于客户机数据平面602的接口主装置和用于服务器数据平面604的接口从装置类似配置为执行如上文所述的ECMP或LAG协议。
在一些实施例中,可经由内部通信网络或后平面(backplane)606连接设备集群600中的每个设备200a-200n。后平面606可包括用于节点间或设备间控制和配置消息以及用于节点间流量转发的通信网络。例如,在其中第一设备200a经由网络104与客户机通信并且第二设备200b经由网络104’与服务器通信的一个实施例中,客户机和服务器之间的通信可以从客户机流向第一设备、从第一设备经由后平面606流向第二设备,并且从第二设备流向服务器,反之亦然。在其他实施例中,后平面606可传输配置消息(如接口暂停或重置命令)、策略更新(如过滤或压缩策略)、状态消息(如缓冲器状态、吞吐量或出错消息),或者任何其他类型和形式的节点间通信。在一些实施例中,可由集群中的所有节点共享RSS密钥或哈希密钥,并且可经由后平面606传输RSS密钥或哈希密钥。例如,第一节点或主节点可(例如在启动或引导时)选择RSS密钥,并且可分发该密钥以由其他节点使用。在一些实施例中,后平面606可包括在每个设备200的网络接口之间的网络,并且可包括路由器、交换机或其他网络装置(未示出)。因此,在一些实施例中并且如上文所述,可在设备集群600和网络104之间部署客户机数据平面602的路由器、可在设备集群600和网络104’之间部署服务器数据平面604的路由器,以及可将后平面606的路由器部署为设备集群600的部分。每个路由器可连接到每个设备200的不同网络接口。在其他实施例中,可组合一个或多个平面602-606,或者可将路由器或交换机分成多个LAN或VLAN,以便连接到设备200a-200n的不同接口并且同时提供多个路由功能,从而减少复杂性或者从系统中排除额外的装置。
在一些实施例中,控制平面(未示出)可将配置和控制流量从管理员或用户传送到设备集群600。在一些实施例中,控制平面可以是第四物理网络,而在其他实施例中,控制平面可包括VPN、隧道或者经由平面602-606中的一个的通信。因此,在一些实施例中,控制平面可被认为是虚拟通信平面。在其他实施例中,管理员可通过单独的接口来提供配置和控制,该接口例如是串行通信接口(如RS-232)、USB通信接口或者任何其他类型和形式的通信。在一些实施例中,设备200可包括用于管理的接口,例如具有按钮和显示的前平面、用于经由网络104、104’或后平面606进行配置的web服务器,或者任何其他类型和形式的接口。
在一些实施例中,如上文所讨论的,设备集群600可包括内部流分布。例如,这样可允许节点对于外部装置来说透明地加入/离开。为避免对于该变化需要反复地重新配置外部流分布器,一节点或设备可充当接口主装置或分布器,以将网络分组引导到集群600内的正确节点。例如,在一些实施例中,当节点离开集群时(例如在故障时、重置时或类似情况下),外部ECMP路由器可识别节点中的变化,并且可以重新处理所有流,从而重新分布流量。这会导致断开和重置所有连接。当节点重新加入时,会出现相同的断开和重置。在一些实施例中,为了可靠性,设备集群600内的两个设备或节点可经由连接镜像来接收来自外部路由器的通信。
在许多实施例中,设备集群600的节点之间的流分布可使用上文所述的用于设备的核之间的流分布的任何方法。例如,在一个实施例中,主设备、主节点或接口主装置可对进入的流量计算RSS哈希(如Toeplitz哈希),并且查询关于该哈希的偏好列表或分布表。在许多实施例中,流分布器可在转发流量时向接收设备提供该哈希。这可以消除对节点重新计算用于将流分布到核的哈希的需要。在许多这样的实施例中,用来计算用于在设备之间分布的哈希的RSS密钥可包括与用来计算用于在核之间分布的哈希的密钥相同的密钥,该密钥可被称为全局RSS密钥,其允许重复使用所计算的哈希。在一些实施例中,可以用输入的包括端口号的传输层头部、包括IP地址的互联网层头部或者任何其他分组头部信息的元组来计算该哈希。在一些实施例中,可将分组主体信息用于该哈希。例如,在其中一种协议的流量被封装在另一种协议的流量内的一个实施例中(例如,经由无损TCP头部封装的有损UDP流量),流分布器可基于被封装协议的头部(例如UDP头部)而不是封装协议(例如TCP头部)来计算该哈希。类似地,在其中分组被封装且被加密或者被压缩的一些实施例中,流分布器可在解密或解压缩后基于负载分组的头部计算哈希。在其他实施例中,节点可具有内部IP地址,如用于配置或管理的目的。不需要哈希和分布去往这些IP地址的流量,而是可将该流量转发到拥有目的地址的节点。例如,设备可具有为了配置或管理的目的在IP地址1.2.3.4处运行的web服务器或其他服务器,并且在一些实施例中,可向流分布器将该地址注册为其内部IP地址。在其他实施例中,流分布器可以向设备集群600内的每个节点分配内部IP地址。可以直接转发从外部客户机或服务器(例如由管理员使用的工作站)到来的、定向到设备的内部IP地址(1.2.3.4)的流量,而不需要进行哈希。
H.用于集群系统中的SSL会话管理的系统和方法
在一些方面,本公开涉及用于集群系统中的SSL会话管理的方法和系统。在一个或多个客户机和服务器中间的装置或设备可以包括集群系统,该集群系统包括一组节点。这些节点中的每一个可包括多核系统,并且可寄载一个或多个处理引擎(PE)以用于处理分组。本方法和系统可以有效地管理跨节点和/或核建立的SSL会话,该节点和/或核包括具有对称或不对称配置的节点。通过在集群系统内的节点之间的互操作,节点可向与该设备相接的用户或装置呈现单个节点图像。这些方法和系统可以使用分布式哈希表(DHT),其可以允许接收会话恢复/重用请求的任一核识别所请求的会话的所有者核。分布式哈希表可以接收来源于会话标识符的键作为输入,以输出关于所有者核的信息。对于每个核和/或节点来说分布式哈希表的副本是可用的,并且该副本可被用于标记可能无效或不可恢复的特定会话。基于该哈希表,接收核可请求与所请求的会话相关的会话信息。接收核随后可以响应于会话恢复/重用请求,建立所请求的会话的本地克隆会话。
现参照图9A,示出了用于集群系统中的SSL会话管理的系统的一个实施例。简要概括,该系统包括中间装置200,该中间装置200包括促成和/或处理在客户机102和服务器106之间通过至少一个通信会话进行的通信的集群系统。集群可包括上文结合图8描述的特征的任何实施例。集群的每个节点可包括多个核或分组处理引擎(PE),例如上文结合B-G部分描述的核或PE的各种实施例。每个核可包括哈希表,该哈希表可包括在集群内维护的分布式哈希表(DHT)的副本或部分。
在一些实施例中,集群的每个节点可包括具有多核特征的设备的一个或多个功能,例如上文中至少结合图5A-5C、6和7A-7B描述的设备200的实施例。如G部分所论述的,一对节点可以使用节点对节点(N2N)消息在它们之间传输或交换消息。节点的每个核或PE可以建立和/或维护到其他节点中的每个节点的N2N通道或连接。节点的配置可以是不对称的。例如,一些节点可以包括较大数量的核和/或具有访问不同资源的权限,或者可以包括具有与某些其他节点的核不同的性能和/或特征的核。
在一些方面,在基于集群的系统或架构中,SSL会话管理可能需要特别的关注或处理。SSL会话数据结构可以保留可用于允许恢复或克隆现有SSL会话的信息。可使用可以在DHT中存储的某些会话数据来建立或复制SSL会话数据结构。在本系统的一些实施例中,SSL会话恢复或重用可能常用于例如涉及安全通信的应用中。例如通过避免或减少完整的握手过程,SSL会话恢复或重用可用于降低web服务器上的处理或通信负载。
在集群系统的某些实施例中,在节点的特定核上创建或建立的SSL会话可能是该核私有的或者为该核保留的。相同节点的其他核以及不同的节点可能不能具有直接访问该SSL会话的会话数据和/或会话状态的权限。系统的某些实施例可以采用或者经受跨中间装置的节点和/或核定向或分发输入分组或请求的过程或特征。通过示例的方式,并且不意在以任何方式进行限制,系统可包括(例如,如上文结合图5B描述的)RSS特征和/或CITRIX数据流程图(DFD)特征。该特征可以很可能使得或者导致会话恢复/重用请求或连接去往与建立或分配该会话的核(所有者核)不同的核,例如(节点,核)对。例如,RSS和/或DFD可跨集群系统的节点和/或核分发分组或消息负载,并且可以无关于(例如,没有能力确定)相应的所有者节点和/或核的身份而这样做。
在某些实施例中,中间装置提供识别所有者(节点,核)的机制。(节点,核)可以接收会话恢复/重用/克隆请求(后文有时总的称为“请求”)。该(节点,核)在后文中有时被总的称为“接收核”。请求可包括关于所请求的会话的会话标识符。请求可包括访问特定会话的请求,例如已与服务器建立的会话或者将与服务器建立的会话。请求可包括访问由会话提供的或者可通过会话得到的特征和/或资源的请求,但可能不一定包括访问被请求的会话本身的请求。请求可包括克隆、重用和/或恢复会话的请求,例如恢复由另一节点和/或核建立的会话,或者重用在接收核上建立的会话。在非所有者节点和/或核上克隆和/或恢复所请求的会话,可涉及使克隆的/重用的/恢复的会话包含由所请求的会话提供的或通过所请求的会话可得到的某些特征和/或资源,或者使这些特征和/或资源可用。
在一些实施例中,请求包括客户机问候消息,或者其他握手消息或分组。请求可包括从客户机发送或传送至服务器和/或中间装置的消息。请求可包括用于访问和/或建立与服务器和/或中间装置的任何类型或形式的会话或连接(例如SSL会话)的消息。请求可包括会话标识符,该会话标识符可包括用于标识会话和/或会话类型的任何类型或形式的信息。请求可包括对于所有者(节点,核)可提供给非所有者(节点,核)的信息的请求,例如,以复制与特定会话或会话标识符(后文中有时称为“会话ID”)一致或兼容的会话结构。
通过为给定会话ID识别所有者(节点,核),集群系统可应用其N2N消息传送机制来接收信息,使得接收核能够制作或建立该会话的副本或克隆。接收核可以例如在接收核中或者从接收核,局部地建立副本或克隆。接收核可以在请求核的高速缓存中或从该高速缓存建立副本或克隆。
中间装置可包括用于识别会话的所有者的哈希表结构。在某些实施例中,中间装置可包括分布式哈希表(DHT)。中间装置可包括例如在共享存储器中的共享的哈希表,该共享哈希表可由节点和/或核共享或访问。在一些实施例中,DHT包括用于存储和/或检索关于会话的数据(例如,会话标识符、所有者信息和会话状态,如有效性、可恢复性/可重用性)的机构、数据结构、基础设施或系统。节点的每个核可具有其自己的DHT表,或者DHT的副本。DHT中的每个数据项可由唯一键进行索引。可由使用DHT的应用指定该唯一键(例如形式和/或值)。例如,在SSL应用中,建立或访问会话的分组引擎(PE)可使用一个或多个(可由DHT提供的)预定API访问DHT或与该DHT相接。
在一些实施例中,<数据,键>对被称为DHT实体。DHT实体可被存储在DHT表中。数据可包括关于会话的任何信息,例如所有者核标识和/或用于克隆会话的信息。DHT可基于键识别、确定或计算实体(或会话)的所有者的标识。通过在每个(节点,核)处具有DHT的本地或分布式副本,使用DHT的应用可以无需知道用于取得和/或存储可被访问的数据的位置(例如,共享位置)。举例来说,可对DHT执行各种操作,包括但不限于下列实施例:
Dht_put(键,数据):在所有者(节点,核)上存储数据或者存储与所有者(节点,核)相关联的数据。
Dht_get(键,):取得来自所有者(节点,核)(或与其相关联)的数据。
Dht_entry_delete(dht_entry):删除与应用的结构相关联的dht_entry。
Dht_update(键,旧值,新值):在所有或一些(节点,核)(例如,其中曾经存在(键,旧值))上用新值更新旧值。
在一些实施例中,接收核(有时称为请求核)可以至少部分基于(例如,从客户机接收的请求中的)会话ID形成或生成键。接收核可以至少部分基于接收核在其上接收到请求的vserver、VIP或PE的唯一标识符值,形成或生成键。例如,接收核可向任意信息应用预定转换或编码功能/方案,以形成键。
在某些实施例中,DHT实体的数据部分可以包括但不限于(例如至少)下列信息中的一个或多个:
-会话->master_key[48]
-客户证书(例如,如果在SSLvserver/服务上启用客户机认证和SSL数据插入)。与客户证书相关的数据插入可请求复制客户证书。这在大小上是可变的,并且可涉及额外的开销。
-重建会话->加解密方法指针的方法或装置的标识。例如,这可以包括在核到核(或N2N)消息中传送的加解密方法的名称。该信息可包括32字节的数据。
-会话>verify_result:这可以保存或指定客户机认证的结果,并且可以用于基于策略的客户机认证。这个信息可包括4个字节的数据。
-会话->ssl_version:这可以保存或指定针对会话协商的SSL的版本。这个信息可包括u16位的数据。
-会话->key_arg[8]:这可以用于SSLv2协议。
下面是关于(例如,可与关于SSL的DHTAPI一起使用的)键和数据的格式和/或数据结构的一个实施例的非限制性示意:
在某些实施例中,在集群系统内使用DHT的会话创建或恢复/重用可涉及与纯粹的或典型的多核系统中的会话创建或恢复/重用不同的一些步骤。可关于(例如在客户机102和中间装置之间的)前端侧描述下列步骤中的一些或全部。通常,例如,在收到新的SSL连接请求(例如,本地客户机问候,或者不具有会话ID的客户机问候)后,集群系统可响应于请求创建和/或分配新的会话ID。集群系统可以(例如调用操作dht_put(键,数据)以)在所有者(节点,核)上安装所请求的会话,例如在被分配或者接收到对于(新)会话的请求的核上安装。
在收到会话恢复/重用请求(例如,具有会话ID的客户机问候)后,集群系统或接收核可执行下列中的一个或多个。如果被请求的会话在接收核的本地高速缓存上存在或者被标识,则接收核可继续进行以重用该会话。接收核可增加重用计数,例如以指示会话的重用/恢复。如果所请求的会话在接收核的本地高速缓存上不存在或未被标识,则集群系统或接收核可以(例如调用操作dht_get(键)以)确定所请求的会话是否在所有者(节点,核)上存在或可用。
如果所请求的会话在所有者(节点,核)上存在或可用(例如,如果dht_get响应为肯定的),则这可以意味着所有者(节点,核)仍然维护该会话,并且所有者可以(例如在响应中)提供会话信息,以用于在当前(节点,核)上执行会话恢复。如果所请求的会话在所有者(节点,核)上不存在或不可用(例如,如果dht_get响应为否定的),则在所有者(节点,核)上该会话可能已经到期。在这种情况下,当前或接收核可发出新的会话ID、可建立与会话ID相对应的会话,并且可将会话ID添加至该核自己的高速缓存。接收核可以(例如调用操作dht_put(键,数据)以)在所有者(节点,核)上安装会话。
每个会话结构可以与DHT中的DHT条目相关联。如果会话要被解除或到期,则集群系统或所有者核可以(例如,使用DHTAPI以)删除DHT条目,该删除可被更新至每个(节点,核)处的DHT的副本。在一些实施例中,所有者会话是由DHT使用dht_put操作安装的会话。其他会话可被称为高速缓存的会话或克隆的会话。如上文讨论的,(例如调用dht_put操作)建立或安装会话的核可能不是该会话的所有者。可由DHT基于(例如,由接收核形成的)特定键确定会话的所有者。
在一些实施例中,响应于非所有者接收核(例如经由dht_get(键)操作)的动作创建或建立高速缓存的会话。高速缓存的会话可以向相应的所有者会话或所有者(节点,核)发送心率信号,或者任何其他类型的指示。这可以保证当所有者会话已经在其他节点或核处具有克隆的引用(会话)时,所有者会话不被删除。因此,对于给定的所有者会话来说,在任何时候,可能存在多个高速缓存的会话。
在一些实施例中,在(例如,在中间装置和服务器106之间的)后端侧,中间装置(例如Netscalar节点)可以是SSL客户机。SSLweb服务器或服务器106可发出会话ID。(例如集群系统的)每个核可打开到后端服务器的会话。可能不需要会话克隆。每个核可以尝试将会话(例如以预定的限制,诸如最多100次或100个实例)重用到后端服务器。
在会话恢复中,集群系统可以跨核克隆SSL会话。当在接收核上收到会话重用/恢复请求后,该核可以检查接收核的本地高速缓存中的会话。如果在该核上存在该会话,则可以重用该会话。如果不存在,则可将该会话从所有者(节点,核)克隆(例如复制)到接收或当前(节点,核)。如所论述的,DHT可用于例如通过调用dht_get(键)操作来促成或执行克隆。克隆可能并不意味着需要复制全部的SSL会话数据结构。集群系统可能仅需要从会话数据结构复制所需的或最小的信息,以履行会话恢复。例如,所有者(节点,核)可使用在请求核中形成的并且从请求核接收的键,执行DHT查找。所有者核可以生成并发送包括数据(例如最小数据)的响应,以重建所请求的会话结构或特征。在一些实施例中,如果在所有者(节点,核)上不存在所请求的会话(例如已到期),则会话克隆可能失败。
在某些实施例中,每个核可执行(例如,其自己的)会话时效,其可以不考虑相应的会话是在本地还是从所有者核复制的。当对会话的引用(例如,所有SPCB引用)被停止或者变为零时,集群系统或所有者核可调用“会话解除”功能。在调用“会话解除”功能时,可执行对操作(例如对DHTAPI的dht_entry_delete操作)的调用,以检查与会话结构相关联的DHT指针是否可被删除。在一个示意性的非限制性实施例中,该操作可执行如下检查:检查该会话是否是所有者会话,并且相应的DHT条目是否超龄。如果不是,则操作可向“会话解除”功能返回失败。如果会话不是所有者会话,则相应的DHT条目可被自动删除,并且操作可向“会话解除”功能返回成功。如果所有高速缓存的会话被删除或解除,则相应的所有者会话可能收不到任何心率信号,并且所有者会话可能例如在对“会话解除”的下一次功能调用中被删除。可以仅在删除了所有高速缓存的会话之后删除所有者会话。
在一些情况下(例如在一些前端的情况下),集群系统可确定会话不可恢复。例如,如果关于SSL会话发送或接收了任何致命警告,则会话可以(例如由集群系统的所有者核在DHT中)被标记为不可恢复。与该会话相对应的所有进一步的SSL会话恢复请求可被丢弃或拒绝。识别在单核系统中存在会话的会话条目的一个副本可能是有用的。因此,一旦会话被标记为不可恢复,该信息对于所有随后的会话恢复请求来说是可用的,例如,会话->not_resumable=1。在集群系统中,在另一方面,会话条目由一个核(所有者核)拥有。例如取决于哪个核接收了会话恢复请求,其他(节点,核)可以具有条目的副本或者访问该条目的权限。如果会话在一个核(所有者或非所有者核)中要被标记为不可恢复,则该信息应被更新,使得该信息对于具有对该会话的引用(例如副本)的每个核可用。在一些实施例中,集群系统使用DHTAPI来执行更新。
集群系统可包括DHTAPI或操作,有时被称为dht_update。当会话状态改变时(例如在核上被标记为不可恢复),该核可向所有者(节点,核)发送dht_update(键,旧值,新值)操作。所有者(节点,核)可向节点和/或核(例如,所有核或者具有引用或高速缓存的会话的核)发送广播消息,以将旧值(例如有效或可恢复)更新为新值(例如,不可恢复、到期或无效)。如果出于任何理由,不能跨核传送dht_update操作的消息,则集群系统可以在列表中排队相应的会话,并且可以重试或重新调用相同的操作,直到操作成功。
在一些实施例中,并且在例如后端SSL会话的情况下,每个核可以打开到后端服务器的SSL会话。由于可能不在核之间共享会话,则每个核可以为输入的请求维护其会话状态(例如不可恢复)。例如,每个核可将其自己的本地会话标记为不可恢复的。由于不跨核共享会话,因此每个核可维护其自己的会话最大重用限制的计数。
集群系统可支持重新握手操作。在一些实施例中,并且例如在前端的情况下,重新握手(例如SSL重新握手)可以与在具有引用副本的核上类似,在拥有会话的核上操作。在重新握手期间,可在发生重新握手的核上创建新的会话。由于旧的会话未被标记为不可恢复(或者无效或到期),因此旧的会话仍然能够存在。
集群系统可支持SSL数据插入。涉及客户证书的SSL数据插入可能需要将客户证书例如从DHT或从所有者核复制到具有会话的引用副本的核。当会话克隆完成时,除了会话数据结构内容,可复制客户证书。在一些实施例中,可能不复制保存由客户机发送的中间CA证书链的其他指针。在一些情况下,在不拥有该会话的核上该指针可能无效。
现参照图9B,示出了用于集群系统中的SSL会话管理的方法的一个实施例。该方法可包括由第一节点的第一核接收对第一会话的会话重用请求(例如具有会话ID的客户机问候),该请求包括会话标识符(901)。第一核可确定第一会话未被标识在第一核的高速缓存中(903)。第一核可使用基于会话标识符确定的键,经由哈希表识别第一会话的所有者核(905)。第一核或集群系统可请求第一会话的会话数据,该会话数据用于创建从第一会话克隆的第二会话(907)。如果响应不包括会话数据,则第一核可响应于会话重用请求建立新的会话(909)。如果响应包括会话数据,则第一核可建立从第一会话克隆的第二会话(911)。
参考(901)且详细而言,节点的核(例如接收核)可接收对(例如第一)会话的会话重用/恢复/克隆请求(例如具有会话ID的客户机问候)。如上文结合图9A所讨论的,接收核(例如在至少一个客户机和至少一个服务器之间的中间装置中的集群系统的第一(节点,核))可接收该请求。接收核可接收重用/恢复/克隆例如在客户机和中间装置之间的SSL会话的请求,该SSL会话可被称为前端侧会话。接收核可接收包括一个和多个分组的请求,该分组可由中间装置、集群系统、接收核的节点或与中间装置相关联的流分布器机构或特征(如RSS和/或DFD)定向至或分配至接收核。
接收核可接收请求,作为握手过程(例如SSL握手过程)的部分。接收核可接收请求,该请求包括客户机问候消息。如果客户机问候消息不包括会话标识符,则接收核可响应于该请求,创建或分配新的会话标识符,并且可在接收核的高速缓存本地建立会话。在一些实施例中,接收核可接收请求,该请求包括会话标识符或会话ID。会话标识符可被用于标识所请求的会话。
参考(903)且详细而言,接收或第一核可确定(例如第一)会话未被标识在接收核的高速缓存中。接收核可确定会话是否被标识在接收核的本地高速缓存中。例如,接收核可基于会话的会话标识符对此进行确定。接收核可确定是否有任意会话与接收核或其高速缓存相关联。接收核可将会话标识符与关联接收核或其高速缓存的会话的会话标识符进行比较或匹配。接收核可基于没有与接收核或其高速缓存相关联的任意会话,确定该会话未被标识在接收核的高速缓存中。接收核可基于会话标识符与关联接收核或其高速缓存的会话的会话标识符的比较,确定会话未被标识在接收核的高速缓存中。
在一些情况下,接收核可确定会话被标识在接收核的高速缓存中。接收核可确定它是所请求的会话的所有者核。例如,如果会话有效、可重用和/或未到期,则接收核可继续进行以重用会话。如果会话无效、不可重用或者到期,则接收核可以例如基于从会话修复的或者为会话存储的会话数据,来重建会话。如果会话无效、不可重用或到期,则接收核可响应于请求建立会话(例如新的会话)。
参考(905)且详细而言,接收或第一核可经由哈希表使用键来识别第一会话的所有者核。可基于会话标识符确定该键。如果接收核确定会话未被标识在接收核的高速缓存中,则接收核可访问哈希表,例如如上文中结合图9A描述的DHT。接收核可经由API访问哈希表,该API可以包括或支持一个或多个功能或操作(例如,如上文中结合图9A讨论的dht_get)。接收核可基于包括下列中的至少一个或多个的数据计算、运算、确定、形成或者以其他方式生成键:会话标识符,请求所接收自的实体/接收到请求的实体(例如VIP、PE、节点)的唯一标识符。接收核可以通过对数据应用预定功能或转换来形成键。
接收核可使用键以在哈希表内索引,该哈希表可以是集群系统的分布式哈希表的副本或部分(例如,本地副本)。例如,接收核可以使用API来调用操作(例如dht_get操作),以访问哈希表。哈希表可基于键输出或提供所有者核的标识。接收核可使用键在哈希表内索引或者以其他方式访问哈希表,以确定在所有者核处会话是否有效、可重用和/或可用。
参考(907)且详细而言,接收/第一核或集群系统可(例如向所有者核或哈希表)请求对(例如第一)会话的会话数据的响应。会话数据可用于创建从该会话克隆的第二会话。在一些实施例中,接收核可经由API(例如作为dht_get操作或步骤的部分)请求响应。响应于操作(例如,使用键在哈希表内索引或以其他方式访问哈希表),哈希表或所有者核可返回或提供数据集合。该数据集合可包括会话数据或与所请求的会话相关联的数据。会话数据可用于由接收核例如通过克隆或制作所请求的会话的副本,来建立第二会话。
参考(909)且详细而言,如果响应不包括会话数据,则接收核可响应于会话重用/恢复请求建立新的会话。在一些情况下,哈希表可包括所请求的会话的状态,或者指示该会话无效、到期或不可恢复的信息。在这样的情况下,哈希表可能不响应,或者可能不用会话数据进行响应。哈希表可提供指示所请求的会话无效、到期或不可恢复的响应。
如果所请求的会话到期,则接收核可以响应于会话恢复/重用请求尝试建立(或恢复)会话。接收核可以响应于会话恢复/重用请求,创建或分配新的会话标识符,并且可建立或恢复与新的会话标识符相对应的会话。接收核可以用新的会话标识符更新哈希表。接收核可在(例如经由哈希表确定的)所有核处安装会话或发起对会话的安装。接收核可经由哈希表API(例如使用上文中结合图9B讨论的dht_put操作)更新哈希表。
如果所请求的会话无效或不可恢复,则接收核可以响应于会话重用/恢复请求建立新的会话。接收核可响应于会话重用/恢复请求创建或分配新的会话标识符,并且可建立与新的会话标识符相对应的新的会话。接收核可将新的会话添加至接收核的高速缓存。接收核可以用新的会话更新哈希表。接收核可经由哈希表API(例如使用dht_put操作)来安装新的会话和/或更新哈希表。
参考(911)且详细而言,如果响应包括会话数据,则接收/第一核可建立从第一会话克隆的(例如第二)会话。哈希表可以响应于使用键的索引,提供包括会话数据的数据。哈希表可以响应于确定所请求的会话在所有者核处有效、未到期和可用,来提供包括会话数据的数据。哈希表可提供用于在接收核处克隆会话的数据的最小集合。接收核可基于会话数据,克隆或制作所请求的会话的副本。接收核可使用会话数据,建立与所请求的会话一致的会话数据结构。接收核可在接收核的本地高速缓存中或者从接收核的本地高速缓存建立克隆的会话(例如高速缓存的会话)。接收核或高速缓存的会话可向所有者核或所有者会话提供心率信号,以指示高速缓存的会话还未超龄、到期或被删除。
I.用于在集群系统中部署点状虚拟服务器的系统和方法
在一些方面,本公开涉及用于在集群系统中部署点状虚拟服务器(vserver)的方法和系统。如上文中结合图8和9A-9B所描述的,集群系统可包括节点集群或装置集群。这些装置或节点(后文有时可互换地称为“装置”或“节点”)中的每一个可包括多核系统,并且可寄载一个或多个用于处理分组的处理引擎(PE)。集群系统可提供特定的应用服务,诸如内容交换、负载平衡以及SSLVPN会话建立和/或管理。可经由在集群系统内部署的虚拟服务器或者一组相关的虚拟服务器来提供这些服务。装置的集群化配置通常可以是对称的或同构的,并且节点中的任一个或大多数可被配置为有时代替另一节点来提供或支持这样的应用服务。因此,可以跨集群系统的节点寄载、建立或“条状化”vserver。本方法和系统允许在装置子集上部署虚拟服务器,以代替跨集群的所有节点条状化虚拟服务器。
在集群中,通常可以跨集群中的所有节点条状化vserver。然而,在某些场景下,可能期望在集群中的节点子集上点状布置vserver。例如,诸如SSLVPN建立和管理以及全局服务器负载平衡(GSLB)的特定应用,可作为点状解决方案被部署在集群上。点状vserver的一个方面是vserver的布置。布置可标识点状vserver驻留和/或执行的节点或装置的列表。布置可标识寄载、部署和/或复制点状vserver的节点或装置的列表。布置可标识包括在资源虚拟化中的、执行或提供vserver的节点或装置的列表。在一些实施例中,由布置标识的每个装置可执行vserver、vserver的部分或者vserver的副本。布置vserver可包括自动布置和手动布置。在自动布置时,可由配置协调器或者集群配置所有者(CCO)自动地布置每个点状vserver。CCO可以在集群的一个或多个装置上驻留和/或执行。
参照图10A,示出用于在集群系统中部署点状vserver的系统的一个实施例。简要概括,该系统包括集群或装置或节点,以及一个或多个vserver。vserver中的一个(例如点状vserverA)可以被布置在集群内的装置子集上。在该示例中,可为点状vserver定义包括节点1和节点2的节点组。可标识所有者核以用于建立vserver的会话,以及用于创建与该会话相对应的在DHT中的条目。该条目还可以包括关于该节点组的信息。
在一些实施例中,可以在集群上定义IP地址,例如vserverIP地址(VIP)。该IP地址可被定义为在集群的所有节点上可用(例如,条状地址),或者仅在单个或特定的节点上可用(例如,点状地址)。集群中的流量分布可以取决于IP地址的类型。例如,流量可被定向至特定的点状IP地址,或者根据条状IP地址被定向至任一节点。条状IP地址可以在集群的所有节点上有效。在集群上配置的、不指定所有者节点的IP地址可在所有集群节点上有效。点状IP地址可以在一个节点或节点子集上有效,并且由该节点或节点子集专有。IP地址可被分配给点状vserver,并且可被称为点状VIP。点状VIP可被分配给所识别的其中布置了vserverA的节点组中的每个节点。
在手动布置时,诸如集群系统(或设备)的操作员或管理员的用户,可以为每个点状vserver指定或提供布置。用户可经由任何类型或形式的接口(诸如命令行接口(CLI)或图形用户接口(GUI))指定或标识一个或多个点状vserver的布置或配置。举例来说,用于添加、绑定、更新和/或删除点状vserver及其布置的命令、指令或配置的一个实施例如下:
addnodegroup<name>[-strictYESINO]
bindnodegroup<name>-node<listofnodes>
setnodegroup<name>[-strictYESINO]
bindnodegroup<name>-{lbvserverlcsvserver.<name>[-force]
unbindnodegroup<name>-node<listofnodes>
unbindnodegroup<name>-{lbvserverlcsvserver}<name>[-force]
rmnodegroup<name>
配置点状vserver可包括多个步骤,其一个实施例包括下列步骤:(1)添加条状vserver,(2)创建节点组,(3)将节点绑定到该节点组,以及(4)将vserver绑定到该节点组。第一步可创建条状vserver。第二步可添加节点组的命名实体。该步骤可使用可选参数:-strict(严格)选项。-strict选项可以保证被绑定到该节点组的vserver可保留在该节点组中包括的节点上。第三步可将(一次可添加一个节点或者作为列表提供的)一组节点绑定到节点组。步骤4可以通过将vserver绑定到节点组,来将条状vserver转换为点状vserver。后续步骤可使用可选参数:-force(强制)选项。-force选项可保证vserver被绑定到节点组,并且可保证所有从属(dependent)vserver被迁移至该节点组。在某些实施例中,如果应用了-strict和-force两个选项,则配置可被拒绝(例如由集群拒绝)。在某些实施例中,如果存在任何从属vserver,并且如果应用了-strict选项而不是-force选项,则配置可被拒绝。
举例来说,配置在节点1、2和3处布置的点状负载平衡(LB)vservervi的命令/指令的一个实施例如下:
addIbvserverv1
addnodegroupv1group
bindnodegroupv1_group-node123
bindnodegroupv1_group-Ibvserverv1
示例A:举例来说,配置点状内容交换(CS)vservercs1以及被绑定到cs1的点状LBvserverv2和v3的命令/指令的一个实施例如下,其中cs1、v2和v3被布置在在节点1、3和5处:
addcsvservercs1
addlbvserverv2
addlbvserverv3
addnodegroupcs1_group
bindnodegroupcs1_group-node135
bindnodegroupcs1_group-csvservercs1
bindnodegroupcs1_group-lbvserverv2
bindnodegroupcs1group-lbvserverv3
bindcsvservercs1-lbvserverv2
bindcsvservercs1-lbvserverv3
示例B:举例而言,配置绑定到相同或给定节点组的所有vserver的迁移的方法的一个实施例,可以包括更新该节点组中的节点。假定存在如之前示例中所示的那样配置的CSvserver。要从节点组移除节点3并且向该组添加节点2、4和7,命令/指令的一个实施例如下:
unbindnodegroupcs1_group-node3
bindnodegroupcs1_group-node247
随着该更新,cs1_group包括节点1、2、4、5和7。这样,绑定到cs1_group的所有vserver可被迁移至新的节点集合。
举例来说,用户可以尝试按如下方式配置备份vserver。假定存在被绑定到节点组v4_group的LBvserverv4,该节点组v4_group具有节点2、4和6。并且,假定存在被绑定到节点组v5_group的另一个LBvserverv5,该节点组v5_group具有节点1、3和6。用户可以尝试使用如下命令将v5配置为v4的备份vserver:setlbvserverv4-backupVserverv5。在一些实施例中,该命令或配置可能被拒绝,例如,由于v4和v5被布置在不同的节点上。
以“强制”选项为例,假定CSvserver被配置为如在点状vserver示例A中讨论的那样。由于v3具有从属vserver,因此下列命令/配置可被拒绝:
addnodegroupnew_group
bindnodegroupnew_group-node246
bindnodegroupnew_group-lbvserverv3
为促使v3及其所有从属vserver移动至新的组,以下命令可有助于实现该结果:
bindnodegroupnew_group-lbvserverv3-force
这个命令可以首先从节点组csl_group解绑v3、v2和cs1,并且可以将这些vserver绑定到节点组new_group。-force选项可保证v3、v2和cs1被(结构地)移动至新的节点组。
以“严格”选项为例,考虑下列配置。
addnodegroupcsl_group-strictYES
bindnodegroupcsl_group-node135
bindnodegroupcsl_group-csvservercsl
bindnodegroupcsl_group-lbvserverv2
bindnodegroupcsl_group-lbvserverv3
bindcsvservercsl-lbvserverv2
bindcsvservercsl-lbvserverv3
当cs1_group中的节点离开集群时,集群可以(例如,从优先/偏好列表或PRL中)不选择备份节点来代替缺失的节点。在一些实施例中,PRL可包括给定键的节点的偏好列表或有序排列,以及集群的视图(例如OVS)。操作视图列表(OVS)可包括商定的可承载流量的有效节点集合。被绑定到csl_group的vserver可以仅驻留在该节点组的有效节点上。
在一些实施例中,可添加或(例如从集群或集群配置)移除节点。如果该节点(例如要被添加的节点)被绑定到节点组,则集群或CCO可检查该节点是否存在于集群配置中。如果该节点存在于集群配置中,则集群或CCO可允许该配置。否则,集群或CCO可拒绝该配置。
当(例如,使用应用于CCO的“rmclusternodeN”、或者应用于N的“rmclusterinstance#”)从集群配置中移除节点N时,集群或CCO可检查N是否是具有vserver绑定的节点组的部分。如果N是具有vserver绑定的节点组的部分,则集群或CCO可拒绝该命令。如果N是不具有任何vserver绑定的节点组的部分,则集群或CCO可允许该命令。并且,集群或CCO可从节点组中移除N。如果N不是任何节点组的部分,则集群或CCO可允许该命令。
在某些实施例中,可关联多个vserver,并且vserver中的一些可依赖于特定的vserver。vserver可与其他vserver直接或间接地相关或关联。在点状部署中,集群或CCO可要求所有相关的vserver被布置在相同的节点组中。这种要求可以保证依赖于相关vserver的任何统计存在于本地并且不需要对CCO进行任何聚合或查询。当vserver被绑定到(多个vserver的)关联体(association)时,集群或CCO可检查该vserver的节点组和关联体是否相同。如果节点组与关联体匹配,则集群或CCO可接受该配置。否则,集群或CCO可拒绝该配置。在点状vserver示例A中示出了成功的关联体配置的示例。
如果如在先前的示例中所示的,用-force选项迁移关联体中的一个vserver,则被绑定到该关联体的所有vserver可移动至新的节点组。如果用-force选项迁移任一vserver,则集群或CCO可以将直接(例如,作为CSvserver或组vserver的部分)或间接(例如,备份vserver及其成员的关联体、策略绑定等)相关的所有vserver迁移至新的节点组。为此,集群或CCO可利用或使用引用计数和/或依赖图。引用计数可确定vserver的直接从属vserver的数量。依赖图可标识或映射vserver之间的关系。
集群或CCO可以在vserver结构中维护或包含引用计数RC。在添加vserverV时,可能不存在依赖或关系。因此,V的RC=0。当V被绑定到关联体(例如CS或组vserver)时,集群或CCO可更新V和关联体的引用计数。假定V被绑定到CSvserverX,集群或CCO可将V和X的引用计数增加1。
当vserverVB被分配为V的备份vserver时,集群或CCO可将V和VB的引用计数增加1。如果存在包括vserverV1、V2…Vi的策略表达,则该表达中的每个vserver的引用计数可增加1。
在一些实施例中,依赖图或表(后文有时示意性地称为“表”)可提供vserver关系在数据库中的表示。集群或CCO可维护关于vserver关系的表。该表可以包括关于每个vserver的行。每个vserver条目可以包括可保存与其相关的vserver的唯一标识符的列表。举例来说,集群或CCO可按如下方式建立或映射vserver关系。在添加vserveru时,可vserver可以不具有从属vserver。因此,u的依赖列表可以为空。如果u被绑定到关联体,例如被绑定到CSvserverX,则集群或CCO可更新u和X的依赖列表。集群或CCO可将X添加至u的依赖列表,并且反之亦然。如果vserverUb被分配给u作为备份,则集群或CCO可将u添加至Ub的依赖列表,并且反之亦然。如果存在包括vserverU1、U2...Ui的策略表达,则该表达中的每个vserver的依赖列表可包括所有其他的vserver。
举例来说,并且参考图10B中的vserver关系的示例实施例,可存在两个CSvserverX和Y。LBvservera、b和c可被绑定到Y。LBvserverc、d和e可被绑定到Y。Y可被分配作为X的备份vserver。vservera可由vserverf备份。vserverf可由vserverg备份,并且g可由vservere备份。图10B中示意性地示出每个vserver的引用计数。图10C示出与图10B相对应的依赖图的表示的一个实施例。
在某些场景的实施例中,节点可离开或加入集群。考虑下列用于示意和讨论的配置:
addcsvserverX
addIbvservera
addIbvserverb
addnodegroupng1
bindnodegroupng1-node135
bindnodeqroupng1-csvserverX
bindnodeqroupng1-lbvservera
bindnodegroupng1-lbvserverb
bindcsvserverX-lbvservera
bindcsvserverX-lbvserverb
如果节点1离开集群,则节点组ng1仅包括两个节点:3和5。由于vserverX、a和b被绑定到之前具有3个节点的节点组,因此,(如果可能)优选在动态的情况下继续保持点状深度3。为此,集群或CCO可(例如使用PRL)选择备用节点,来代替离开集群的节点。集群或CCO可要求所有从属vserver被布置在相同的节点处。因此,在集群或CCO选择备份节点时,集群或CCO可能需要保证从属vserver也选择了相同的备份节点。这可以按如下方式实现。集群或CCO可允许每个vserver独立地选择备份节点。然而,集群或CCO可保证所有的(从属)vserver选择相同的备份节点。每个vserver可使用节点组的唯一标识符的哈希来确定或计算选择(或者RPL列表)。集群或CCO可选择未包括在节点组中的第一有效节点作为备份节点。在-strict选项的情况下,集群或CCO可以不选择备份节点(例如使用PRL)来代替离开集群的节点。如果节点1加入集群,则集群或CCO可将vserver从备份节点移动至节点1。这可以按如下方式发生。当节点1例如加入集群时,每个vserver可确定节点1是否是节点组的部分。如果是,则集群或CCO可以移除vserver所在的备份节点中的一个,并且可将该vserver布置在节点1处。
在一些实施例或场景中,可发生点状vserver的迁移。当节点组中的节点被更新时,可发生第一类迁移。在该场景中,节点组中的节点被(例如用户)更新。因此,被绑定到相应节点组的所有vserver可迁移至新的节点集合。上文在示例B中讨论了该场景的示例。
在第二种情况下,如果不同的节点组被绑定到点状vserver,则可发生迁移。在该场景下,用户可将新的或不同的节点组绑定到(例如已被绑定到另一节点组的)点状vserver。考虑如下配置:
addlbvserverv1
addnodegroupng1
bindnodegroupng1-node123
bindnodegroupng1-lbvserverv1
如果我们执行如下命令将v1移动至节点组ng2(其具有节点2、4和5):bindnodegroupng2-lbvserverv1,则该命令可被拒绝,因为LBvserverv1已被绑定到节点组ng1。要将v1移动至节点组ng2,集群可将v1从节点组ng1解绑(例如,有效地使v1条状化),并且接着将v1绑定到新的节点组ng2:
unbindnodegroupng1-Ibvserverv1
bindnodegroupng2-lbvserverv1
以上命令首先将v1从节点组ng1解绑,随后将v1绑定到节点组ng2。然而,如果v1的引用计数非零(即RC>0),则解绑命令可被拒绝。因此,由于存在被绑定到ng1的v1的相关vserver,v1可保留在节点组ng1中,。
一种取代指定(后面是绑定命令的)解绑命令的可选方案是使用如下命令(例如,以简化用于迁移点状vserver的命令行):bindnodegroupng2-lbvserverv1–force。这个命令可以(例如在内部)移除与节点组ng1绑定的v1,并且接着可将v1与节点组ng2绑定。
如果RC>0,则以下方法可用于将v1及其所有从属vserver迁移至节点组ng2。再次参照图10B所示的vserver依赖图和图10C所示的表示的实施例,假定在最初所有vserver被绑定到节点组ng1。可按如下方式配置或定义节点组ng1。
addnodegroupng1
bindnodegroupng1-node123
下列命令可以尝试将b和b的所有从属vserver移动至节点组ng2:
addnodegroupng2
bindnodegroupng2-node245
bindnodegroupng2-lbvserverb-force
为此,集群或CCO可在依赖图上执行深度优先搜索(DFS),并且将所有从属vserver迁移至节点组ng2。该过程可以从vserverb开始。集群或CCO可将b移动至新的节点组。接着,集群或CCO可选择b的依赖列表中的第一孩子。在该示例中,集群或CCO可选择vserverX。集群或CCO可将X移动至新的节点组,并且随后选择X的第一孩子,即a。如果集群或CCO选择已被移除的节点,则集群或CCO可继续进行到下一孩子。如果vserver的依赖列表中的所有vserver被移动至新的节点组,则集群或CCO可回溯到该vserver的父亲。以这种方式继续,集群或CCO可将所有的从属vserver移动至新的节点组。
基于深度优先搜索迁移从属vserver的伪代码的一个示意性实施例如下:
基于上述方法的复杂度,用户或操作者可识别从属vserver的列表,并且将它们绑定到相同的节点组。该节点组可能不被用于其他vserver。如果用户或操作者期望将vserver迁移至新的节点集合,则用户或操作者需要做的就是更新节点组。上文在示例B中讨论了一个示例。
考虑下列使用“严格”选项的配置:
addcsvserverX
addIbvservera
addIbvserverb
addnodegroupn91-strictYES
bindnodegroupng1-node135
bindnodegroupng1-csvserverX
bindnodegroupng1-lbvservera
bindnodegroupng1-lbvserverb
bindcsvserverX-lbvservera
bindcsvserverX-lbvserverb
其中节点1、3和5被严格地绑定到节点组ng1。在一个实施例中,该配置的依赖图可被表示为:
X->a->b
a->X
b->X
如果用户执行如下命令:bindnodegroupng2-lbvserverb–force,则所有vserver(X、a和b)可移动至新的节点组ng2。可以仅将节点组ng1中的节点而不是vserver严格绑定到该组。相应地,上述命令可被接受。
被绑定到具有D个节点的节点组的vserverv的点状深度为D。vserver可被分为如下几类:(i)D=1,其中v仅在一个节点上有效,和(ii)D>1,其中v在不止一个节点上有效。
在一些实施例中,D=1可被称为有效-备份配置。这是一种特殊情况,其中vserver仅在一个节点上有效。为了保护离开集群的节点中的vserver,集群或CCO可提供PRL备份节点Nprl.。如果vserver的依赖列表为空,则可以使用vserver的唯一标识符来确定Nprl。如果依赖列表不为空,则可以使用节点组的唯一标识符来确定Nprl。Nprl是点状深度=1的情况下的特殊节点。只要被配置的主节点(例如,包括在节点组中的节点)有效,Nprl就可以不承载流量。可将所有会话(例如DHT条目)复制到Nprl。当主节点离开集群时,Nprl可以接收关于该vserver的流量。当Nprl在处理流量时,不存在备份。当主节点加入(重新加入)集群时,主节点可再次负责处理流量。如果用-strict选项来配置节点组,则集群或CCO可以不为被绑定到该节点组的任何vserver选择PRL备份。如果vserverv被绑定到具有1个节点的严格节点组,则不存在提供给v的PRL备份。因此,当主节点离开集群时,v的状态可被标记为“停止”。
在一些实施例中,D>1可被称为有效-有效配置。如果vserver被绑定到包括不止一个节点的节点组,则该节点组中的所有节点可承载流量。换句话说,该节点组中的所有节点可以有效地参与处理关于被绑定到该节点组的vserver的流量。此外,可以在这些节点之间复制或备份会话(例如DHT条目)。如果节点组中的任一节点离开集群,则可以选择备份来代替缺失的节点。
如果节点组配置有-strict选项,则集群或CCO可以不为被绑定到该节点组的任一vserver选择PRL备份。只要节点组中存在一个有效节点,则被绑定到该节点组的vserver可继续处理流量。那些vserver的状态可保持“活动”。
在一些实施例中,可发生从D=1到D>1的转变。考虑下列配置:
addlbvserverv1
addnodegroupn1
bindnodegroupn1-node3
bindnodegroupn1-lbvserverv1
在此,v1是点状深度为1的点状vserver。集群或CCO可计算PRL备用节点(Nprl)以备份会话(例如DHT条目),并且当主节点(例如节点3)不再是集群的部分时处理流量。通过将节点添加至节点组n1(例如,bindnodegroupn1-node14),v1的点状深度变为大于1。换句话说,v1可变为在不止一个节点上有效。因此,v1的PRL备份节点(Nprl)可能不再有效,并且集群/CCO可在作为备份的Nprl处移除v1的布置。集群/CCO可以另外在节点1和4处布置v1。因此,v1可变为在节点1、3和4上有效。所有三个节点可以处理关于v1的流量并且在它们之中备份会话(例如DHT条目)。
在一些实施例中,可发生从D>1到D=1的转变。当从节点组中移除节点使得节点的数量变为1时。只要存在绑定到该节点组的vserver,节点的数量就不可能为零。被绑定到该节点组的vserver的点状深度可以为1。换句话说,vserver从有效-有效配置转换为有效-备份配置。因此,(例如,如果节点组不是严格的)集群/CCO可为vserver选择PRL备份节点(Nprl)。只要主节点有效,Nprl就可能不处理流量。
在一些实施例中,可发生从严格绑定到非严格绑定的转换(或反之亦然)。考虑下列配置,其中用-strict选项添加节点组n1,并且节点3、4和5被绑定到该组:
addlbvserverv1
addnodegroupn1-strictYES
bindnodegroupn1-node345
bindnodegroupn1-Ibvserverv1
因此,当节点组中的节点离开集群时,不能选择v1的替代节点。假定节点4和5不在集群中,并且v1仅在一个节点上有效以及不存在备份。为使节点组n1为非严格,可执行如下命令:setnodegroupn1-strictNO。因此,可选择替代节点来代替不在集群中的节点。如果上述示例中节点4和5离开集群,则v1可被布置在节点3、N4和N5处,其中N4和N5分别是节点4和5的替代。另一方面,当我们从松绑定移动至严格绑定时,我们可以在代替节点(如果有)处移除vserver的布置。
在一些实施例中,可发生从条状vserver到点状vserver的转换(并且反之亦然)。根据配置的性质,在添加vserver时,默认可以是条状的。当被绑定到节点组时,该vserver变为点状的。我们可以应用先前讨论的方法以使所有从属vserver点状化。考虑RC>O的条状LBvserverv。为使v及其所有从属vserver在节点组ng1上点状化,我们可使用如下命令:bindnodegroupng1-lbvserverv–force。另一方面,当从节点组解绑vserver时,其可变为条状的。我们可将所有从属vserver转换为条状的。考虑在节点组ng1上的RC>0的点状LBvserverv'。要使v'及其所有从属vserver条状化,我们可以使用如下命令:unbindnodegroupng1-lbvserverv'–force。
在一些实施例中,集群可支持与点状vserver不同的点状服务。点状服务的配置可包含与点状vserver的特征类似的特征。例如,我们可以定义节点组,其是节点列表的命名实体。接着,用户可将服务绑定到节点组,以使得该服务点状化。当点状服务被绑定到vserver时,可使该vserver对于该服务的节点组来说是点状的。如果(例如在节点组ng1上的)点状服务被绑定到(例如在节点组ng2上的)点状vserver,则应该适当地处理从属vserver。点状vserver可依赖于其他vserver。此外,点状server可依赖于其他点状服务(例如绑定相同的节点组ng2)。因此,如果有的话(并且是可能的),绑定服务可能需要迁移vserver和/或服务。
在某些实施例中,在创建或添加点状vserver时,向分布式流分布器(DFD)注册vserverIP地址(VIP)和/或端口。DFD可以是控制业务流如何能够在集群中出现的模块或服务。这可以使用API(例如ReqisterService_ps()API,其使用参数processing_set和replica_set)来实现。在D=1的情况下,处理集合可以识别被绑定到节点组的节点。如果节点组不是严格的,则副本集合可识别PRL备份节点。当主节点(例如,被绑定到节点组的节点)有效时,DFD可将分组引导至该节点。当主节点停止时,DFD可将流量引导至副本集合中的节点。
在D>1的情况下,处理集合可识别被绑定到节点组的节点。如果节点N离开集群,则我们(例如使用PRL)选择节点来代替N。处理集合可被更新为包括代替节点。当N加入(重新加入)集群时,处理集合可被再次更新。代替节点可被移除并且N可被添加回来。然而,如果节点组是严格的,则我们不使用PRL来选择任何代替节点。处理集合可与节点组中的节点相同。
在条状vserver的情况下,可调用RegisterService()API来向DFD注册VIP和/或端口。DFD可使用PRL引导关于该VIP和/或端口的流量。
在某些实施例中,在更新或修改节点组时,可向DFD重新注册绑定到该节点组的所有vserver,以更新处理集合(和副本集合)。当新的节点组被绑定到点状vserver时,可进行向DFD的重新注册,以更新处理集合(和副本集合)。当从节点组解绑vserver时,vserver可变为条状的。可调用RegisterService()API来向DFD注册VIP和/或端口。DFD可随后使用PRL来引导关于该VIP/端口的流量。在某些实施例中,在删除vserver时,从DFD中注销VIP和/或端口。
在支持点状vserver的集群系统中,对应的DHT被配置为点状感知的。在点状部署中,对于为点状vserver创建的DHT条目的DHT的操作可被限制到相应vserver的节点组中的节点。例如,当为点状vserver创建会话时,还可以创建DHT条目。可在被绑定到该vserver的节点组的节点中的一个处复制该DHT条目。
在一些实施例中,集群系统可包括PRL的节点掩码。在DHT系统下,操作可基于PRL。生成PRL可以包括基于由应用(SSLVPN、LB或CS)提供的键的哈希,计算节点的排列。PRL生成可采用节点的位掩码以用来计算排列。以下是可用于各种部署的位掩码的示意性实施例:(i)条状的:节点位掩码可识别当前OVS(clGetCurrOvs());(ii)点状的,D=1:节点位掩码可识别被绑定到为其创建会话(和DHT条目)的vserver的节点组的节点;其还可以包括PRL备份节点(如果该节点组不是严格的);(iii)点状的,D>1:节点位掩码可识别被绑定到为其创建会话(和DHT条目)的vserver的节点组的节点。
为支持点状vserver,DHT条目、API和功能可被扩展为包含更多的特征或数据。DHT条目可包括另外的字段(例如,entityID和spotted_mask)。第一字段entityID可标识全局唯一标识符。在LB的情况下,该标识符可识别为其创建会话(和DHT条目)的vserver的全局唯一标识符。字段spotted_mask可标识被绑定到vserver的节点组的节点。对于D=1,字段real_owner可被包括在条目中,以标识点状实体的所有者节点。无论所有者节点是有效还是停止,real_owner表示被绑定到vserver的节点组的节点。对于条状场景,PRL可识别所有者节点和副本。在一些实施例中,对于与条状实体相对应的条目,real_owner和spotted_mask可被设置为-1。
集群系统可支持点状感知的DHTAPI(例如,dht_get_or_create和dht_put)。这些API可采用如下参数:(i)点状标志和(ii)spotted_mask。在条状场景下,spotted_mask可被配置为-1。点状标志可以仅用于D=1的场景。其可以指示条目是创建在所有者节点上(例如NS_DHT_SPOTTEO_OWNER),还是如由绑定到vserver的节点组的节点标识的备份节点上(例如NS_DIIT_SPOTTED_BACKUP)。如果点状标志指示条目被创建在所有者节点处,则DHT可将real_owner设置为本地节点。如果标志指示条目被创建在备份节点处,则由应用提供的掩码可标识所配置的相应点状实体的所有者。在这种情况下,DHT可将来自掩码和spotted_mask的real_owner设置为指示本地节点的位掩码(例如,指示所配置的点状实体的备份)。DHT可向与键相对应的所有者节点的所有者核发送请求,以为其创建条目。
一旦条目被创建,则(在所有者节点处的)所有者核可以尝试将条目复制到其副本节点。无论部署场景如何(例如,点状或条状),RPL可识别副本节点。然而,如之前讨论的,PRL的节点掩码可能不同。在条状场景下,节点掩码可包括集群当前的OVS(例如,经由clGetCurrOvs())。另一方面,在点状场景下,根据(clGetCurrOvs()|spotted_mask)获取节点掩码,例如来自节点组的当前有效节点和任意代替节点。在点状场景下,处理可包括确定副本是否可被执行。其中可能不允许复制条目的情况可以包括:(i)D>1:vserver的节点组中的(有效)节点的数量是1,并且节点组是严格的;(ii)D=1:节点组是严格的;(iii)D=1:实体被创建在备份节点处(当DFD将流量引导至备份节点)。在这种情况下,DHT可能不尝试复制条目。对于所有其他的情况,DHT可复制条目。
在一些实施例中,可执行DHT搜索(hunting)。被绑定到vserver的节点组的节点可加入(重新加入)集群的OVS。如果DHT创建请求到达这个节点,则DHT可搜索,以寻找在被绑定到节点组的其他(有效)节点处的现有条目。如果DHT没有找到在集群中的实体,则DHT可做出新的确定并且将其返回给请求者。否则,DHT可将恢复的条目返回给请求者。在D=1的情况下,如果创建请求到达点状vserver的PRL备份节点(例如,所配置的节点组中的节点停止)并且所有者核在其本地高速缓存中没有相应的条目,则该条目可能不存在于集群中的其他任何地方。因此,DHT可能不搜索该条目。相反,DHT可以做出新的确定并且将条目返回给请求者。
在一些实施例中,可更新点状掩码。当点状vserver的节点组被更新或者vserver被绑定到新的节点组时,可以更新相应的DHT条目。可以这样做以将DHT条目的spotted_mask与配置保持同步。考虑下列配置:
addIbvserverv1...
addnodegroupn1
bindnodegroupn1-node123
bindnodegroupn1-lbvserverv1
在创建会话时,相应DHT条目的spotted_mask可被设置为OxE(00001110)。vserverv1的任意DHT条目的所有者/副本/高速缓存的节点可以是1、2或3、在更新节点组n1时,spotted_mask改变。假定我们按如下方式更新节点组n1:
unbindnodegroupn1-node2
bindnodegroupn1-node04
因此,节点组n1中的节点可以是:0、1、3和4。v1的DHT条目的spotted_mask现在可以是Ox18(00011011)。另一方面,如果我们绑定新的节点组n2,则DHT条目的spotted_mask可能改变。例如,考虑如下配置:
addnodegroupn2
bindnodegroupn2-node124
bindnodegroupn1-lbvserverv1
在该示例中,v1的DHT条目的spotted_mask现在可以是Ox16(00010110)。
要更新spotted_mask,可使用后台任务。在更新vserver的节点组时(例如,在节点组中节点的列表改变,或者vserver被绑定到新的节点组),应用可调用DHT回调以更新vserver的spotted_mask。DHT可经由DHT后台任务,用新的spotted_mask来更新每个条目。为此,我们可以根据下列选项而继续进行:
选项1:DHT可维护小的哈希表,该哈希表将vserver映射到在DHT中未完全更新的vserver的新的点状掩码。DHT可维护从全局唯一entityID到spotted_mask的映射,以用于暂停更新。后台任务可遍历DHT条目的节点有序列表,并且可检查entitylD是否与暂停实体更新表中的任一ID相匹配。如果存在匹配,则DHT可检查spotted_mask是否需要被更新。
选项2:后台任务可穿过或遍历DHT条目的节点有序列表,并且可调用API来检索相应entitylD的spotted_mask。DHT可检查spotted_mask是否需要被更新。如果spotted_mask需要被更新,我们可如下继续进行:
(i)对于拥有的条目,spotted_mask可被更新。如果该节点不再是所有者节点,则条目被移动至新的所有者节点的高速缓存桶。最后,条目可能超时并且可能从表中被清除。如果本地节点/核是该条目的所有者节点/核,则可以检查副本节点是否改变。如果副本改变,则复制请求可被发送至新的副本。
(ii)对于副本条目,spotted_mask可被更新。如果该节点不再在spotted_mask内,则该条目可被移动至条目的所有者节点的高速缓存桶。如果本地节点/核是该条目的副本节点/所有者核,则检查该节点是否仍然是副本。如果该本地节点仍然是副本则无需做什么。否则,该条目可被移动至所有者节点的高速缓存桶。最后,该条目可能超时并且可从表中被清除。
(iii)对于高速缓存的条目,spotted_mask可被更新。最终,条目可从表中被清除。
在一些实施例中,可在严格绑定下配置节点组,或将节点组配置成严格节点组。如果vserver被绑定到严格节点组,则vserver可以位于/保留在节点组的有效节点中。如果节点组中的一个或多个节点从OVS离开,则vserver可以仅驻留在剩下的有效节点上。对于缺失/离开的节点可能不存在备份。
在某些实施例中,集群系统支持深度大于等于1、不超过该集群中的节点数量的点状vserver。对于D=1(有效-备份配置),vserver仅在一个节点上有效。然而,如果节点组不是严格的,则系统可提供备份节点。可使用PRL基于节点组的唯一标识符来确定该备份节点。如果主节点(例如,被绑定到节点组的节点)是有效的,则备用节点可以不承载流量。备份节点可用作副本节点,以用于DHT复制为该vserver创建的任何条目。当主节点离开集群时,备份节点可代替主节点来负责流量。
对于D>1(有效-有效配置),vserver可存在于不止一个节点上。所有被绑定到vserver的节点组的有效节点可接收流量。可在有效节点之中选择用于DHT条目的副本节点。在动态或节点改变的情况下,如果节点组不是严格的,则可以为节点组中的每个缺失/离开的节点选择代替节点,作为替代。如果所配置的节点(例如离开的节点)加入(重新加入)集群,则可将vserver从代替/替代节点移除,并且布置在被绑定到节点组的有效(例如重新加入的)节点处。
在某些实施例中,并且如之前所讨论的,可发生点状vserver的迁移。vserverv可被绑定到具有节点N1、N2…ND的节点组ng1。要将v迁移至新的节点n1、n2…nD的集合,如上文结合示例B讨论的,可例如用新的节点集合来更新节点组。系统可拒绝将点状vserver绑定至新的节点组。系统可拒绝将引用计数RC>0的vserver绑定到节点组。换句话说,如果vserver具有任何依赖性或关系,则系统可拒绝将该vserver绑定到节点组。要建立vserver之间的关系,系统可使依赖图中的所有vserver点状化,并且接着建立关系。
在一些实施例中,要使点状vserver条状化,如果引用计数不为0,则系统可拒绝将该vserver从节点组中解绑。要执行从节点组中解绑,系统可从该vserver的依赖图中移除所有关系,使得该vserver被条状化(例如,从节点组中解绑该vserver),然后再次建立关系。
在某些实施例中,可发生从属vserver的迁移。当点状vserver被绑定到新的节点组时,系统可将该vserver及其所有从属vserver(例如根据相应的依赖图)迁移至新的节点组。系统可移除针对建立关联以及从点状移动至条状部署(且反之亦然)所施加的限制。在一些实施例中,系统和方法根据点状深度提供点状vserver的自动布置。
现参照图10D,示出用于在装置集群中的装置子集上部署虚拟服务器的方法的一个实施例。该方法可包括在至少一个客户机和至少一个服务器中间的装置集群的第一装置识别要在集群的一个或多个装置上建立的第一虚拟服务器(1001)。第一装置可将包括装置集群中的装置子集的组关联至所识别的虚拟服务器(1003)。集群可响应于将该组关联至第一虚拟服务器,在该组中的每个装置上建立第一虚拟服务器(1005)。该组的每个装置上的每个虚拟服务器可分配有相同的互联网协议地址。
参考(1001)且详细而言,在至少一个客户机和至少一个服务器中间的装置集群的装置(例如第一装置)识别要在集群的一个或多个装置上建立的vserver(例如,第一虚拟服务器)。装置集群可以驻留在至少一个客户机和至少一个服务器中间的设备、网关或网络中的其他装置中。管理员或集群的配置可识别该装置,以促成或管理集群中虚拟服务器的建立。例如,管理员或配置可以在装置上识别和/或建立配置协调器或集群配置所有者(CCO)。CCO可以例如在启动主机设备或装置集群时,识别要建立的虚拟服务器。在一些实施例中,默认选择或从装置集群中随机选择(例如第一)装置,以识别vserver。装置可基于配置或配置更新,和/或基于一个或多个策略的应用(例如响应于接收外部请求),来识别要建立的虚拟服务器。装置可基于对特定服务或应用(例如负载平衡、内容交换或SSLVPN)的请求,识别要建立的虚拟服务器。
(例如第一)装置或CCO可将要建立的虚拟服务器标识为条状虚拟服务器或点状虚拟服务器。装置或CCO可基于对一个或多个相关服务或应用(例如,内容交换和分布式负载平衡)的请求或配置来标识虚拟服务器。在后面的示例中,装置或CCO可将虚拟服务器标识为内容交换虚拟服务器,其可与一个或多个从属vserver(例如负载平衡vserver)相关。
(例如第一)装置或CCO可确定是将vserver建立为条状vserver还是点状vserver。装置或CCO可基于相应的服务或应用(例如SSLVPN或GSLB)确定是建立条状vserver还是点状vserver。装置或CCO可基于下列中的一个或多个确定是建立条状vserver还是点状vserver:集群的结构或架构(例如,异构或同构装置/节点)、提供相应服务/应用所需的并行度和/或吞吐量、集群中有效/无效节点的配置、集群中节点的当前/预计的可用性,以及用户指定的指令或配置(例如,以对相应的服务/应用指定或分配特定节点)。在一些实施例中,所识别的第一vserver默认为条状的,并且第一装置可确定是否将第一vserver配置为点状vserver。
参考(1003)且详细而言,(例如第一)装置可将包括装置集群中的装置子集的组关联至所识别的虚拟服务器。该组可以包括装置集群中的一个或多个装置。装置可确定装置集群内的vserver的布置。装置可确定装置集群内的节点/装置,其中vserver将在该节点/装置上驻留或有效。装置可识别包括装置集群中的装置子集的组,集群中的每个装置包括多个处理核。装置可基于(例如由用户提供的)指令或配置选择或识别装置子集。可例如基于下列中的一个或多个识别装置子集:集群的结构或架构(例如,异构或同构装置/节点)、提供相应的服务/应用所需的并行度和/或吞吐量、集群中有效/无效节点的配置,以及集群中节点的当前/预计的可用性。
装置可将vserver绑定到该组或装置子集。在一些实施例中,装置可将包括单个装置的组(例如深度为1的节点组)绑定或关联至所识别的虚拟服务器。该装置可将包括多个装置(多达节点组深度Nc的装置,其中Nc是集群中装置的数量)的组绑定或关联至所识别的虚拟服务器。(例如第一)装置可将包括集群中所有装置的组绑定或关联至所识别的虚拟服务器,所识别的虚拟服务器从而包括条状vserver。装置或集群可向vserver分配或标识IP地址,该IP地址可被称为点状VIP。装置或集群可向(其中布置有vserverA的)所识别的节点组中的每个装置/节点指派或分配点状VIP。
在一些实施例中,集群或装置(例如第一装置)可接收建立第一虚拟服务器的请求。该请求可包括(例如由相应应用提供的)键。装置可以为vserver确定所有者装置。第一装置可基于键确定组中的所有者装置的第一核,以用于建立虚拟服务器。集群或第一装置可请求或指示第一核在哈希表(例如DHT)中为虚拟服务器的会话创建条目。第一核可创建DHT条目,该DHT条目包含上文中至少结合图9A-9B描述的DHT条目的一个或多个特征。所有者核可在条目中包括关于节点组的信息,例如组中装置子集的标识。在一些实施例中,条目可包括节点/装置的列表,或者节点组的引用或标识符。
参考(1005)并且详细而言,集群可响应于将节点组关联至虚拟服务器,在该组中的每个装置上建立或配置虚拟服务器。集群可在节点组的每个装置上部署、寄载、布置、复制或执行虚拟服务器。集群可跨节点组中的所有装置布置或执行虚拟服务器。节点组中的每个装置可执行vserver、vserver的部分或者vserver的副本。组的每个装置上的每个虚拟服务器可分配有相同的互联网协议地址(例如点状VIP)。组的每个装置可共享vserver的相同VIP。可基于共享VIP在节点组的一个或多个装置处接收定向至vserver的信息。
如果组包括不止一个装置,则集群可允许该组的每个装置接收流量。集群可将vserver配置为跨组的所有装置有效。如果组包括不止一个装置,则集群可在该组的每个装置处复制vserver的会话,并且可允许该组的每个装置接收与该会话相对应的流量。例如,集群或CCO可请求或指示每个节点组成员中的一个或多个核执行下列中的一个或多个:向所有者核请求会话信息、(例如,基于会话信息)建立会话的副本、接收与该会话相关联的分组,以及处理该分组。如果组包括不止一个装置,则集群可在该组的每个剩余装置处复制该会话的哈希表条目。例如,集群或CCO可请求或指示每个节点组成员中的一个或多个核用该会话的条目来更新本地高速缓存或DHT。
在一些实施例中,节点组的装置可接收来自客户机的请求,例如访问会话的请求。该请求可包括之前讨论的键。装置可响应于该请求,基于该请求中包括的键经由哈希表提供关于会话的信息。例如,如上文结合图9A-9B讨论的,装置可使用该键在DHT中进行哈希,以检索会话信息。
在某些实施例中,CCO或集群可在所识别的组内建立另一vserver(例如,第二虚拟服务器),第二虚拟服务器包括依赖于第一虚拟服务器的虚拟服务器。例如,第二虚拟服务器可包括LBvserver,该LBvserver依赖于包括CSvserver的第一vserver或者与该第一vserver相关。CCO或集群可在所识别的绑定第一vserver的节点组内建立与第一vserver相关的多个vserver。
在某些实施例中,如果组仅包括一个装置,则CCO或集群可以为该(例如第一)装置标识备份装置。可(例如基于之前讨论的PRL)从装置集群中标识备份装置。在一些实施例中,CCO或集群可基于第一虚拟服务器的标识符来标识备份装置。CCO或集群可标识备份装置并且在备份装置上复制会话。如果第一装置有效,则可以阻止备份装置接收流量。在一些实施例中,可在严格绑定下配置节点组,或将节点组配置为严格节点组。如果vserver被绑定到严格节点组,则vserver可位于/保留在节点组的有效节点中。如果节点组中的一个或多个节点从OVS离开,则vserver可以仅在剩余有效节点上驻留。对于缺失/离开的节点,可能不存在备份。
在某些实施例中,集群可以例如基于用户指示或配置更新,将虚拟服务器迁移至包括装置集群中的第二装置子集的第二组。集群或CCO可将依赖于虚拟服务器的其他虚拟服务器迁移至第二组。集群或CCO可将依赖于虚拟服务器的其他虚拟服务器迁移至该虚拟服务器被绑定到的装置/节点。当点状vserver被绑定到新的节点组时,系统可将该vserver及其所有从属vserver(例如根据相应的依赖图)迁移至新的节点组。在一些实施例中,如果所有者/第一装置离开集群,则集群或CCO可将依赖于第一虚拟服务器的每个虚拟服务器迁移至所有者/第一装置的备份装置。
应该理解,上文描述的系统可提供这些组件的任意多个或每一个并且这些组件可以在独立机器上提供,或者在一些实施例中,可在分布式系统的多个机器上提供。此外,上述系统和方法可作为在一件或多件产品上实现或在其中实现的一个或多个计算机可读程序或可执行指令而被提供。所述产品可以是闪存卡、硬盘、CD-ROM、闪存存储卡、PROM、RAM、ROM或磁带。通常,计算机可读程序可以任何编程语言来实现,如LISP、PERL、C、C++、C#、PROLOG,或者诸如JAVA的任何字节码语言。软件程序或可执行指令可以作为目标代码被存储在一件或多件产品上或其中。
尽管已经根据特定的实施例具体示出和描述了本发明,然而本领域技术人员应理解,可以做出对形式和细节的各种修改,而不背离本文公开的本发明的精神和范围。
Claims (20)
1.一种用于在装置集群中的装置子集上部署虚拟服务器的方法,所述方法包括:
(a)由在至少一个客户机和至少一个服务器中间的装置集群的第一装置识别要在集群的一个或多个装置上建立的第一虚拟服务器;
(b)由所述第一装置将包括所述装置集群中的装置子集的组关联至所识别的虚拟服务器;以及
(c)响应于将所述组关联至所述第一虚拟服务器,在所述组中的每个装置上建立所述第一虚拟服务器,所述组的每个装置上的每个虚拟服务器被分配有相同的互联网协议地址。
2.根据权利要求1所述的方法,还包括在所识别的组内建立第二虚拟服务器,所述第二虚拟服务器包括依赖于所述第一虚拟服务器的虚拟服务器。
3.根据权利要求1所述的方法,其中(b)包括识别包括所述装置集群中的装置子集的组,集群中的每个装置包括多个处理核。
4.根据权利要求1所述的方法,还包括将所述第一虚拟服务器迁移至包括所述装置集群中的第二装置子集的第二组,并且将依赖于所述第一虚拟服务器的虚拟服务器迁移至所述第二组。
5.根据权利要求1所述的方法,还包括接收对于建立所述第一虚拟服务器的、包括键的请求,以及基于所述键,确定所述组中的所有者装置的第一核以用于建立所述第一虚拟服务器。
6.根据权利要求5所述的方法,还包括请求所述第一核在哈希表中为所述第一虚拟服务器的会话创建条目。
7.根据权利要求6所述的方法,还包括在所述条目中包括所述组中的装置子集的标识。
8.根据权利要求6所述的方法,还包括如果所述组包括不止一个装置,则在所述组的每个剩余装置处复制所述会话的哈希表条目。
9.根据权利要求5所述的方法,还包括如果所述所有者装置离开所述集群,则将依赖于所述第一虚拟服务器的每个虚拟服务器迁移至所述所有者装置的备份装置。
10.根据权利要求6所述的方法,还包括响应于来自客户机的、对于访问所述会话的第二请求,基于在所述第二请求中包括的键经由所述哈希表提供关于所述会话的信息。
11.一种用于在装置集群中的装置子集上部署虚拟服务器的系统,所述系统包括:
在至少一个客户机和至少一个服务器中间的装置集群;
要在所述集群的一个或多个装置上建立的第一虚拟服务器;以及
所述集群的第一装置,其识别要在所述集群的一个或多个装置上建立的所述第一虚拟服务器,以及将包括所述装置集群中的装置子集的组关联至所识别的虚拟服务器,响应于将所述组关联至所述第一虚拟服务器而将所述第一虚拟服务器建立在所述组中的每个装置上,所述组的每个装置上的每个虚拟服务器被分配有相同的互联网协议地址。
12.根据权利要求11所述的系统,其中,所述集群在所识别的组内建立第二虚拟服务器,所述第二虚拟服务器包括依赖于所述第一虚拟服务器的虚拟服务器。
13.根据权利要求11所述的系统,其中,所述第一装置识别包括所述装置集群中的装置子集的组,所述集群中的每个装置包括多个处理核。
14.根据权利要求11所述的系统,其中,所述集群响应于将所述第一虚拟服务器迁移至包括所述装置集群中的第二装置子集的第二组,将依赖于所述第一虚拟服务器的虚拟服务器迁移至所述第二组。
15.根据权利要求11所述的系统,其中,所述第一装置接收对于建立所述第一虚拟服务器的、包括键的请求,并且基于所述键,确定所述组中的所有者装置的第一核以用于建立所述第一虚拟服务器。
16.根据权利要求15所述的系统,其中,所述第一装置请求所述第一核在哈希表中为所述第一虚拟服务器的会话创建条目。
17.根据权利要求16所述的系统,其中,所述第一核在所述条目中包括所述组中的装置子集的标识。
18.根据权利要求16所述的系统,其中,如果所述组包括不止一个装置,则所述集群在所述组的每个剩余装置处复制所述会话的哈希表条目。
19.根据权利要求15所述的系统,其中,如果所述所有者装置离开所述集群,则所述集群将依赖于所述第一虚拟服务器的每个虚拟服务器迁移至所述所有者装置的备份装置。
20.根据权利要求16所述的系统,其中,所述第一核响应于来自客户机的、对于访问所述会话的第二请求,基于在所述第二请求中包括的键经由所述哈希表提供关于所述会话的信息。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US13/895,284 US9519518B2 (en) | 2013-05-15 | 2013-05-15 | Systems and methods for deploying a spotted virtual server in a cluster system |
US13/895284 | 2013-05-15 | ||
PCT/US2014/037495 WO2014186225A1 (en) | 2013-05-15 | 2014-05-09 | Systems and methods for deploying a spotted virtual server in a cluster system |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105393220A true CN105393220A (zh) | 2016-03-09 |
CN105393220B CN105393220B (zh) | 2018-11-23 |
Family
ID=50977082
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201480034141.3A Active CN105393220B (zh) | 2013-05-15 | 2014-05-09 | 用于在集群系统中部署点状虚拟服务器的系统和方法 |
Country Status (4)
Country | Link |
---|---|
US (1) | US9519518B2 (zh) |
EP (1) | EP2997471A1 (zh) |
CN (1) | CN105393220B (zh) |
WO (1) | WO2014186225A1 (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106506354A (zh) * | 2016-10-31 | 2017-03-15 | 杭州华三通信技术有限公司 | 一种报文传输方法和装置 |
CN108572845A (zh) * | 2018-03-15 | 2018-09-25 | 华为技术有限公司 | 分布式微服务集群的升级方法及相关系统 |
CN108833163A (zh) * | 2018-06-13 | 2018-11-16 | 平安科技(深圳)有限公司 | Linux虚拟服务器的创建方法、装置、计算机设备及存储介质 |
WO2019184164A1 (zh) * | 2018-03-30 | 2019-10-03 | 平安科技(深圳)有限公司 | 自动部署Kubernetes从节点的方法、装置、终端设备及可读存储介质 |
CN110688380A (zh) * | 2019-09-24 | 2020-01-14 | 无锡科技职业学院 | 适用于存储空间受限的设备的通讯录防重构建方法 |
CN111448788A (zh) * | 2017-10-18 | 2020-07-24 | 思杰系统有限公司 | 用于基于saas的应用的ssl优化的跟踪ssl会话状态的方法 |
CN111581158A (zh) * | 2020-05-04 | 2020-08-25 | 上海维信荟智金融科技有限公司 | 分布式文件存储方法及系统 |
CN113868679A (zh) * | 2021-09-15 | 2021-12-31 | 聚好看科技股份有限公司 | 一种集群的加密方法及装置 |
Families Citing this family (62)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9448847B2 (en) | 2011-07-15 | 2016-09-20 | Throughputer, Inc. | Concurrent program execution optimization |
US9674193B1 (en) | 2013-07-30 | 2017-06-06 | Juniper Networks, Inc. | Aggregation and disbursement of licenses in distributed networks |
US9712460B1 (en) * | 2013-08-26 | 2017-07-18 | F5 Networks, Inc. | Matching port pick for RSS disaggregation hashing |
US9544293B2 (en) | 2013-09-20 | 2017-01-10 | Oracle International Corporation | Global unified session identifier across multiple data centers |
US9866640B2 (en) | 2013-09-20 | 2018-01-09 | Oracle International Corporation | Cookie based session management |
US9473394B1 (en) * | 2014-01-10 | 2016-10-18 | Juniper Networks, Inc. | Proactive flow table for virtual networks |
US10530935B1 (en) * | 2014-04-04 | 2020-01-07 | 8×8, Inc. | Support services for virtual data centers |
US9628436B1 (en) | 2014-04-04 | 2017-04-18 | 8X8, Inc. | User-configurable dynamic DNS mapping for virtual services |
US10862948B1 (en) | 2014-04-04 | 2020-12-08 | 8X8, Inc. | Virtual data centers |
US10397407B1 (en) | 2014-04-24 | 2019-08-27 | 8X8, Inc. | Apparatus and method for user configuration and reporting of virtual services |
US9652514B2 (en) * | 2014-05-20 | 2017-05-16 | Citrix Systems, Inc. | Systems and methods for redirect handling |
US9654552B2 (en) * | 2014-08-21 | 2017-05-16 | Google Technology Holdings LLC | Methods and systems for delegating group ownership for the formation of a new group |
US11138537B2 (en) * | 2014-09-17 | 2021-10-05 | International Business Machines Corporation | Data volume-based server hardware sizing using edge case analysis |
US9553853B2 (en) * | 2014-12-23 | 2017-01-24 | Intel Corporation | Techniques for load balancing in a packet distribution system |
US10693724B1 (en) * | 2015-02-25 | 2020-06-23 | Amazon Technologies, Inc. | Context-sensitive techniques for optimizing network connectivity |
US10701037B2 (en) | 2015-05-27 | 2020-06-30 | Ping Identity Corporation | Scalable proxy clusters |
US9769147B2 (en) | 2015-06-29 | 2017-09-19 | Oracle International Corporation | Session activity tracking for session adoption across multiple data centers |
US10693859B2 (en) | 2015-07-30 | 2020-06-23 | Oracle International Corporation | Restricting access for a single sign-on (SSO) session |
US9860168B1 (en) * | 2015-09-21 | 2018-01-02 | Amazon Technologies, Inc. | Network packet header modification for hardware-based packet processing |
US10185311B2 (en) | 2015-10-08 | 2019-01-22 | King Fahd University Of Petroleum And Minerals | Methods and apparatus to design collaborative automation systems based on data distribution service middleware |
US10581826B2 (en) | 2015-10-22 | 2020-03-03 | Oracle International Corporation | Run-time trust management system for access impersonation |
US10454936B2 (en) | 2015-10-23 | 2019-10-22 | Oracle International Corporation | Access manager session management strategy |
US10505982B2 (en) | 2015-10-23 | 2019-12-10 | Oracle International Corporation | Managing security agents in a distributed environment |
US10218698B2 (en) * | 2015-10-29 | 2019-02-26 | Verizon Patent And Licensing Inc. | Using a mobile device number (MDN) service in multifactor authentication |
US10284621B2 (en) * | 2015-11-09 | 2019-05-07 | International Business Machines Corporation | Session management |
US10009235B2 (en) * | 2015-12-07 | 2018-06-26 | Bank Of America Corporation | Messaging queue spinning engine |
US10067809B2 (en) | 2016-04-20 | 2018-09-04 | International Business Machines Corporation | System and method for batch transport using hardware accelerators |
US10970133B2 (en) | 2016-04-20 | 2021-04-06 | International Business Machines Corporation | System and method for hardware acceleration for operator parallelization with streams |
BR112018076673B1 (pt) * | 2016-06-23 | 2022-07-19 | Centurion Dk A/S | Sistema para facilitar transações em tempo real |
US10169120B2 (en) * | 2016-06-24 | 2019-01-01 | International Business Machines Corporation | Redundant software stack |
US10623501B2 (en) | 2016-09-15 | 2020-04-14 | Oracle International Corporation | Techniques for configuring sessions across clients |
US10587580B2 (en) | 2016-10-26 | 2020-03-10 | Ping Identity Corporation | Methods and systems for API deception environment and API traffic control and security |
US10826841B2 (en) | 2016-12-06 | 2020-11-03 | Microsoft Technology Licensing, Llc | Modification of queue affinity to cores based on utilization |
US10715424B2 (en) | 2016-12-06 | 2020-07-14 | Microsoft Technology Licensing, Llc | Network traffic management with queues affinitized to one or more cores |
US10554554B2 (en) | 2016-12-06 | 2020-02-04 | Microsoft Technology Licensing, Llc | Hybrid network processing load distribution in computing systems |
US10873501B2 (en) * | 2016-12-09 | 2020-12-22 | Vmware, Inc. | Methods, systems and apparatus to propagate node configuration changes to services in a distributed environment |
CN108243206B (zh) * | 2016-12-23 | 2019-03-29 | 中科星图股份有限公司 | 一种服务器集群区域管理方法 |
CN106603316B (zh) * | 2017-02-08 | 2019-05-14 | 北京启明星辰信息安全技术有限公司 | 一种集群的部署方法、第一服务器和第二服务器 |
US11290438B2 (en) | 2017-07-07 | 2022-03-29 | Oracle International Corporation | Managing session access across multiple data centers |
US11233777B2 (en) * | 2017-07-24 | 2022-01-25 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
US11089113B2 (en) | 2017-08-07 | 2021-08-10 | Citrix Systems, Inc. | Systems and methods to retain existing connections so that there is no connection loss when nodes are added to a cluster for capacity or when a node is taken out from the cluster for maintenance |
US11050730B2 (en) | 2017-09-27 | 2021-06-29 | Oracle International Corporation | Maintaining session stickiness across authentication and authorization channels for access management |
US10157275B1 (en) | 2017-10-12 | 2018-12-18 | Oracle International Corporation | Techniques for access management based on multi-factor authentication including knowledge-based authentication |
EP4020282A1 (en) | 2017-10-13 | 2022-06-29 | Ping Identity Corporation | Methods and apparatus for analyzing sequences of application programming interface traffic to identify potential malicious actions |
US10871912B2 (en) * | 2017-12-21 | 2020-12-22 | Apple Inc. | Techniques for facilitating processing checkpoints between computing devices |
US10771435B2 (en) * | 2018-11-20 | 2020-09-08 | Netskope, Inc. | Zero trust and zero knowledge application access system |
US11496475B2 (en) | 2019-01-04 | 2022-11-08 | Ping Identity Corporation | Methods and systems for data traffic based adaptive security |
US11032241B2 (en) * | 2019-01-08 | 2021-06-08 | Walmart Apollo, Llc | Systems and methods for application level fault injection for parallel tests |
US10798185B2 (en) * | 2019-01-08 | 2020-10-06 | Walmart Apollo, Llc | Systems and methods for automated session identifier propagation |
US11082337B2 (en) | 2019-02-15 | 2021-08-03 | Juniper Networks, Inc. | Support for multiple virtual networks over an underlay network topology |
CN109981734A (zh) * | 2019-02-21 | 2019-07-05 | 广东星辉天拓互动娱乐有限公司 | 一种基于互联网的全球业务加速方法 |
US11134078B2 (en) | 2019-07-10 | 2021-09-28 | Oracle International Corporation | User-specific session timeouts |
US20210367883A1 (en) * | 2020-05-22 | 2021-11-25 | Juniper Networks, Inc. | Bitmask route target in targeted distribution of information using a routing protocol |
US20220004428A1 (en) * | 2020-07-02 | 2022-01-06 | International Business Machines Corporation | Artificial intelligence optimized cloud migration |
CN114490100B (zh) * | 2020-10-27 | 2024-06-04 | 中移物联网有限公司 | 一种消息队列遥测传输负载均衡方法、装置及服务器 |
US11368544B2 (en) * | 2020-10-30 | 2022-06-21 | Capital One Services, Llc | Scalable server-based web scripting with user input |
US11502908B1 (en) | 2021-06-02 | 2022-11-15 | Zscaler, Inc. | Geo tagging for advanced analytics and policy enforcement on remote devices |
US11863391B2 (en) | 2021-06-04 | 2024-01-02 | Zscaler, Inc. | Distributed telemetry and policy gateway in the cloud for remote devices |
US11418582B1 (en) * | 2021-07-06 | 2022-08-16 | Citrix Systems, Inc. | Priority-based transport connection control |
US11329905B1 (en) | 2021-08-19 | 2022-05-10 | Zscaler, Inc. | Distributed adaptive probability for population selection of remote devices in a network |
CN114116181B (zh) * | 2022-01-20 | 2022-05-24 | 湖南云畅网络科技有限公司 | 一种分布式的数据分析任务调度系统及方法 |
US11968093B1 (en) * | 2022-09-20 | 2024-04-23 | Gen Digital Inc. | Efficient scaling of a domain name system service architecture |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030018927A1 (en) * | 2001-07-23 | 2003-01-23 | Gadir Omar M.A. | High-availability cluster virtual server system |
CN1619498A (zh) * | 2003-11-21 | 2005-05-25 | 国际商业机器公司 | 动态调整活动资源的工作负荷的方法和系统 |
CN1777107A (zh) * | 2004-11-17 | 2006-05-24 | 雷西昂公司 | 高性能计算(hpc)系统中的按需式例示 |
US20080222267A1 (en) * | 2007-03-09 | 2008-09-11 | Horn Ray C | Method and system for web cluster server |
US20110131645A1 (en) * | 2009-11-30 | 2011-06-02 | Johnson Robert A | Load balancing and failover of gateway devices |
US20120159235A1 (en) * | 2010-12-20 | 2012-06-21 | Josephine Suganthi | Systems and Methods for Implementing Connection Mirroring in a Multi-Core System |
US20130007239A1 (en) * | 2011-06-30 | 2013-01-03 | Mugdha Agarwal | Systems and methods for transparent layer 2 redirection to any service |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8316110B1 (en) * | 2003-12-18 | 2012-11-20 | Symantec Operating Corporation | System and method for clustering standalone server applications and extending cluster functionality |
US8924534B2 (en) * | 2009-10-27 | 2014-12-30 | Vmware, Inc. | Resource optimization and monitoring in virtualized infrastructure |
US8301746B2 (en) * | 2010-01-26 | 2012-10-30 | International Business Machines Corporation | Method and system for abstracting non-functional requirements based deployment of virtual machines |
US8510590B2 (en) * | 2010-03-17 | 2013-08-13 | Vmware, Inc. | Method and system for cluster resource management in a virtualized computing environment |
US8645529B2 (en) * | 2010-10-06 | 2014-02-04 | Infosys Limited | Automated service level management of applications in cloud computing environment |
US8615589B1 (en) * | 2011-06-27 | 2013-12-24 | Amazon Technologies, Inc. | Resource optimization recommendations |
US9176829B2 (en) * | 2011-07-01 | 2015-11-03 | Microsoft Technology Licensing, Llc | Managing recovery virtual machines in clustered environment |
US20140196038A1 (en) * | 2013-01-08 | 2014-07-10 | Commvault Systems, Inc. | Virtual machine management in a data storage system |
-
2013
- 2013-05-15 US US13/895,284 patent/US9519518B2/en active Active
-
2014
- 2014-05-09 CN CN201480034141.3A patent/CN105393220B/zh active Active
- 2014-05-09 EP EP14731449.6A patent/EP2997471A1/en not_active Ceased
- 2014-05-09 WO PCT/US2014/037495 patent/WO2014186225A1/en active Application Filing
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030018927A1 (en) * | 2001-07-23 | 2003-01-23 | Gadir Omar M.A. | High-availability cluster virtual server system |
CN1619498A (zh) * | 2003-11-21 | 2005-05-25 | 国际商业机器公司 | 动态调整活动资源的工作负荷的方法和系统 |
CN1777107A (zh) * | 2004-11-17 | 2006-05-24 | 雷西昂公司 | 高性能计算(hpc)系统中的按需式例示 |
US20080222267A1 (en) * | 2007-03-09 | 2008-09-11 | Horn Ray C | Method and system for web cluster server |
US20110131645A1 (en) * | 2009-11-30 | 2011-06-02 | Johnson Robert A | Load balancing and failover of gateway devices |
US20120159235A1 (en) * | 2010-12-20 | 2012-06-21 | Josephine Suganthi | Systems and Methods for Implementing Connection Mirroring in a Multi-Core System |
US20130007239A1 (en) * | 2011-06-30 | 2013-01-03 | Mugdha Agarwal | Systems and methods for transparent layer 2 redirection to any service |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106506354A (zh) * | 2016-10-31 | 2017-03-15 | 杭州华三通信技术有限公司 | 一种报文传输方法和装置 |
CN106506354B (zh) * | 2016-10-31 | 2021-02-26 | 新华三技术有限公司 | 一种报文传输方法和装置 |
CN111448788A (zh) * | 2017-10-18 | 2020-07-24 | 思杰系统有限公司 | 用于基于saas的应用的ssl优化的跟踪ssl会话状态的方法 |
CN111448788B (zh) * | 2017-10-18 | 2021-05-11 | 思杰系统有限公司 | 用于基于saas的应用的ssl优化的跟踪ssl会话状态的方法 |
CN108572845A (zh) * | 2018-03-15 | 2018-09-25 | 华为技术有限公司 | 分布式微服务集群的升级方法及相关系统 |
WO2019184164A1 (zh) * | 2018-03-30 | 2019-10-03 | 平安科技(深圳)有限公司 | 自动部署Kubernetes从节点的方法、装置、终端设备及可读存储介质 |
CN108833163B (zh) * | 2018-06-13 | 2020-08-28 | 平安科技(深圳)有限公司 | Linux虚拟服务器的创建方法、装置、计算机设备及存储介质 |
CN108833163A (zh) * | 2018-06-13 | 2018-11-16 | 平安科技(深圳)有限公司 | Linux虚拟服务器的创建方法、装置、计算机设备及存储介质 |
CN110688380A (zh) * | 2019-09-24 | 2020-01-14 | 无锡科技职业学院 | 适用于存储空间受限的设备的通讯录防重构建方法 |
CN110688380B (zh) * | 2019-09-24 | 2023-02-03 | 无锡科技职业学院 | 适用于存储空间受限的设备的通讯录防重构建方法 |
CN111581158A (zh) * | 2020-05-04 | 2020-08-25 | 上海维信荟智金融科技有限公司 | 分布式文件存储方法及系统 |
CN113868679A (zh) * | 2021-09-15 | 2021-12-31 | 聚好看科技股份有限公司 | 一种集群的加密方法及装置 |
CN113868679B (zh) * | 2021-09-15 | 2024-05-17 | 聚好看科技股份有限公司 | 一种集群的加密方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
WO2014186225A1 (en) | 2014-11-20 |
CN105393220B (zh) | 2018-11-23 |
EP2997471A1 (en) | 2016-03-23 |
US9519518B2 (en) | 2016-12-13 |
US20140344326A1 (en) | 2014-11-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105393220A (zh) | 用于在集群系统中部署点状虚拟服务器的系统和方法 | |
CN102460394B (zh) | 用于多核系统中的分布式哈希表的系统和方法 | |
CN102714657B (zh) | 用于经由tcp选项插入客户机ip地址的系统和方法 | |
CN102483707B (zh) | 在负载平衡的多核环境中保持源ip的系统和方法 | |
CN102771089B (zh) | 用于通过虚拟服务器混合模式处理IPv6和IPv4流量的系统和方法 | |
CN102217273B (zh) | 用于应用流畅性策略的系统和方法 | |
CN102783090B (zh) | 用于多核系统中的对象速率限制的系统和方法 | |
CN102549984B (zh) | 在多核架构中分组引导的系统和方法 | |
CN102763374B (zh) | 用于基于策略地集成到水平地部署的wan优化设备的系统和方法 | |
CN103155496B (zh) | 用于在多核系统中管理服务器发起的连接的系统和方法 | |
CN102771085B (zh) | 用于保持透明的端到端高速缓存重定向的系统和方法 | |
CN102714618B (zh) | 用于平台速率限制的系统和方法 | |
CN103583022B (zh) | 用于经由nic感知应用处理nic拥塞的系统和方法 | |
CN102771083B (zh) | 用于全局服务器负载平衡的IPv6和IPv4 DNS的混合模式的系统和方法 | |
CN102907055B (zh) | 用于在多核装置上进行链路负载平衡的系统和方法 | |
CN102771084B (zh) | 用于在多核gslb设备中管理静态邻近性的系统和方法 | |
CN103392320B (zh) | 对加密项目进行多层标记以提供额外的安全和有效的加密项目确定的系统和方法 | |
CN103202002B (zh) | 用于自负载平衡访问网关的系统和方法 | |
CN103650426B (zh) | 用于在公共云与私有云之间进行云桥接的系统和方法 | |
CN102549985B (zh) | 用于为互联网协议加速设备提供多核结构的系统和方法 | |
CN103154895B (zh) | 用于在多核系统中的核上管理cookie代理的系统和方法 | |
CN103119907B (zh) | 提供用于访问控制的智能组的系统和方法 | |
CN104364761A (zh) | 用于在集群网络中转发流量的系统和方法 | |
CN104365067A (zh) | 用于重组跨集群分发的分组的系统和方法 | |
CN103503424A (zh) | 用于实现多核系统中的连接镜像的系统和方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |