CN105991651A - 具有远程存储控制的网络接口设备 - Google Patents
具有远程存储控制的网络接口设备 Download PDFInfo
- Publication number
- CN105991651A CN105991651A CN201610091193.5A CN201610091193A CN105991651A CN 105991651 A CN105991651 A CN 105991651A CN 201610091193 A CN201610091193 A CN 201610091193A CN 105991651 A CN105991651 A CN 105991651A
- Authority
- CN
- China
- Prior art keywords
- network interface
- storage device
- interface unit
- data
- circuit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/85—Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/1004—Server selection for load balancing
- H04L67/1008—Server selection for load balancing based on parameters of servers, e.g. available memory or workload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2213/00—Indexing scheme relating to interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F2213/38—Universal adapter
- G06F2213/3808—Network interface controller
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
具有远程存储控制的网络接口设备。在某些实施例中,网络接口设备可包括接收器电路和远程存储设备控制电路。该远程存储设备控制电路可耦合到该接收器电路并且可与该接收器电路共享物理支撑。该远程存储设备控制电路可被配置成用于控制从该接收器电路到不与该远程存储设备控制电路共享物理支撑的远程存储设备的数据写入。
Description
技术领域
本公开总体上涉及计算网络领域,并且更具体地涉及网络接口设备。
背景
基于云的计算系统正日益受欢迎,但是性能可能超过基于云的操作的安全性。常规的方法要求用户和提供商在原始性能和安全特征之间进行选择。
附图简要描述
将结合附图通过以下详细描述容易地理解实施例。为了方便本描述,相同的参考标号指示相同的结构元素。通过举例而非通过限制在附图的图式中示出实施例。
图1是根据各个实施例的说明性远程存储系统的框图。
图2是根据各个实施例可包括在图1的远程存储系统的网络接口设备中的说明性接收器电路的框图。
图3是根据各个实施例的说明性监控系统的框图。
图4是根据各个实施例存储租户数据的方法的流程图。
图5是适合用于实践所公开的实施例中的各个实施例的示例计算设备的框图。
详细描述
在此公开的是具有远程存储控制的网络接口设备以及相关系统和方法。例如,在某些实施例中,网络接口设备可包括接收器电路和远程存储设备控制电路。该远程存储设备控制电路可耦合到该接收器电路并且可与该接收器电路共享物理支撑。该远程存储设备控制电路可被配置成用于控制从该接收器电路到不与该远程存储设备控制电路共享物理支撑的远程存储设备的数据写入。
在此公开的实施例中的各个实施例可提供带有嵌入式存储设备控制器(例如,嵌入式硬盘驱动器控制器)的网络接口控制器(NIC)。这种实施例可特别有益地应用在基于网络的大数据处理应用中,诸如大规模分布式计算(例如,使用Hadoop库)、计算组织结构、服务器应用(例如,基于Squid的高速缓存和转发web代理应用、传输控制协议(TCP)终端或其他互联网服务)。这些实施例还可在云服务器设置中有用,其中,主机计算设备管理对多个租户计算设备的存储和处理资源的访问进行管理(例如,用于代表租户实例化虚拟机)。
用于通过网络访问来自主机中的硬盘驱动器的数据的常规技术可能不能充分地保护数据免受恶意活动影响。具体地,在云存储系统中,租户可能不信任存储主机,它们也可能不信任其他租户。进而,存储主机可能不信任租户。当数据由存储主机写入存储、从存储擦除和/或读取时(例如,当之前由租户使用的非易失性存储器被重新分配给另一个租户时)租户的数据具有由存储主机进行恶意活动的风险并且甚至当数据静止时仍具有来自共享该存储的其他租户的风险。
在此公开的各个实施例可提供网络接口设备,该网络接口设备包括具有共同管芯或其他物理支撑(例如,封装、电路板)上的存储器设备(例如,固态驱动器)和处理设备(例如,中央处理单元(CPU))的网络接口控制器功能。具体地,通过将存储设备控制器(例如,硬盘控制器)嵌入在网络适配器中以便形成集成网络接口设备,集成网络接口设备可运行经加密的网络文件系统。该经加密的网络文件系统可独立于主机设备的操作系统,并且因此主机设备可管理每个租户的存储而无需能够解释所存储的数据。在这种场景中,租户和主机不需要信任彼此,只要它们各自信任网络接口设备的完整性。
在此公开的各个实施例还可改善将数据从远程存储设备提供给计算机网络。具体地,通过当提供数据时将主机计算设备从数据流路径移除,主机处理器可经历更少的超负荷(过度分页或上下文切换)并体验降低的利用率,从而增加主机处理器对其他计算任务的可用性。另外,在网络接口设备自身上执行数据处理可减少延迟并且消除对将数据拷贝到主机中央处理单元(CPU)和往回拷贝的需要。
在以下详细描述中,参考形成其一部分并且通过可实践的说明实施例示出的附图,其中,相同的标号指示相同的部件。应当理解可使用其他实施例以及可在不背离本公开的范围的情况下做出结构或逻辑改变。因此,不应以限制性的意义解释以下详细描述,并且实施例的范围由所附权利要求书及其等效方案定义。
各操作可被描述为按顺序的多个离散动作或操作,其方式为最有助于理解所要求保护的主题。然而,描述的顺序不应被解释为暗示这些操作必需依赖于顺序。具体而言,可不按展示顺序执行这些操作。可以用不同于所描述的实施例的顺序执行所描述的操作。可执行各附加操作和/或可在附加实施例中忽略所描述的操作。
为了本公开的目的,短语“A和/或B”是指(A)、(B)、或(A和B)。为了本公开的目的,短语“A、B和/或C”是指(A)、(B)、(C)、(A和B)、(A和C)、(B和C)或(A、B和C)。
本描述可使用短语“在实施例中”或“在各实施例中”,其可各自指代相同或不同实施例中的一个或多个。如在此所使用的,短语“耦合”可以指两个或更多个元件直接物理接触或电接触或者两个或更多个元件不直接与彼此接触但是仍与彼此合作或交互(例如,经由一个或多个中间元件,其可执行其自身的变换或具有其自身的效果)。例如,当两个元件都与共同的元件(例如,存储器设备)通信时,两个元件可耦合到彼此。此外,如结合本公开的实施例所使用的,术语“包括(comprising)”、“包括(including)”、“具有(having)”等等是同义的。如在此所使用的,术语“模块”可指代、作为其一部分、或包括特定用途集成电路(“ASIC”)、电子电路、执行一个或多个软件或固件程序的处理器(共享、专用或分组)和/或存储器(共享、专用或分组)、组合式逻辑电路、和/或其他合适的提供所描述的功能性的组件。如在此所使用的,信号可由组件“接收”,如果其是在该组件外部或内部生成的,并且由该组件确认和/或处理。
如在此所使用的,如果第一和第二设备不共享物理支撑,则第一设备可被称为“远离”第二设备。如果第一和第二设备共享物理支撑,则第一设备可被称为第二设备“本地”的。在此描述了物理支撑的多个示例。
图1是根据各个实施例的说明性远程存储系统100的框图。远程存储系统100可包括网络接口设备102。网络接口设备102可耦合到计算机网络104并且可从包括在计算机网络104中的计算设备(未示出)接收数据和/或向包括在计算机网络104中的计算设备(未示出)传送数据传送到。可根据常规技术进行计算机网络104和网络接口设备102之间的数据通信并且将不进一步详细地讨论。具体地,网络接口设备102可根据网络接口卡实现的任何常规技术从和/或向计算机网络104接收数据并传输数据。网络接口设备102还可执行通常由网络接口卡执行的其他功能以及在此公开的教导。例如,在某些实施例中,网络接口设备102可实现NIC上系统(SoNIC)的特征。在某些实施例中,网络接口设备102可与软件定义网络(SDN)应用一起使用。
网络接口设备102可耦合到远程存储设备106并且可在远程存储设备106上存储数据和/或从其检索数据。远程存储设备106可不与网络接口设备102共享物理支撑。例如,远程存储设备106可被包括在与网络接口设备102的壳体不同的壳体中。在另一个示例中,远程存储设备106可包括与网络接口设备102的一个或多个电路板不同的一个或多个电路板。在另一个示例中,远程存储设备106可位于与网络接口设备102不同的房间或建筑物中。远程存储设备106可包括例如盘驱动器(例如,硬盘驱动器)和/或固态驱动器。例如,远程存储设备106可以是独立盘的冗余阵列(RAID)。
网络接口设备102可控制将数据从计算机网络104写入远程存储设备106。例如,在某些实施例中,网络接口设备102可被配置成用于从计算机网络104接收数据、在该数据上执行一个或多个安全操作以便生成经处理数据以及致使使用网络接口设备102上的文件系统将经处理数据写入远程存储设备106。在某些实施例中,网络接口设备102可被配置成用于从包括在计算机网络104中的租户计算设备接收数据、基于网络接口设备102上的文件系统生成用于存储该数据的存储控制信号以及提供这些存储控制信号以便传送到远程存储设备106(例如,通过总线)。以下进一步详细地描述各个实施例。
网络接口设备102可耦合到主机计算设备108(例如,经由总线,诸如外围组件互连Express(PCIe)总线)。在某些实施例中,网络接口设备102(通过其控制远程存储设备106的能力)可对于主机计算设备108而言表现为本地存储设备。在某些实施例中,网络接口设备102可为远程存储设备106提供文件系统,并且可针对主机计算设备108对该文件系统进行加密,从而使得主机计算设备108无法适当地读取存储在远程存储设备106中的数据。
在某些实施例中,网络接口设备102可直接为远程存储设备106实现经加密的网络文件系统而不是在主机计算设备108的操作系统内实现文件系统。如上所述,该架构可解决租户计算设备与主机计算设备108之间以及不同的租户计算设备之间(例如,在共享非易失性存储器资源上执行的读/写/擦除操作)的信任问题。
在某些实施例中,主机计算设备108可耦合到远程存储设备106。在某些这种实施例中,当针对主机计算设备108对由网络接口设备102存储在远程存储设备106上数据进行加密时,主机计算设备108可能不能解释该数据。然而,主机计算设备108能够在该数据上执行维护任务,诸如将该数据备份到另一个存储设备或确定有多少存储被占用。在某些实施例中,主机计算设备108可不直接耦合到远程存储设备106,而是,主机计算设备108可仅仅通过网络接口设备102与远程存储设备106交互。
转向网络接口设备102的组件,网络接口设备102可包括接收器电路110和远程存储设备控制电路118。接收器电路110可被配置成用于从计算机网络104的一个或多个计算设备接收数据。远程存储设备控制电路118可耦合到接收器电路110。在某些实施例中,远程存储设备控制电路118可与接收器电路110共享物理支撑。例如,接收器电路110和远程存储设备控制电路118可都被包括在共同的壳体中。在另一个示例中,接收器电路110和远程存储设备控制电路118可共享共同的电路板。在另一个示例中,接收器电路110和远程存储设备控制电路118可共享机架式服务器系统中的共同的机架。在另一个示例中,接收器电路110和远程存储设备控制电路118可包括在共同的网络接口卡(例如,附加卡)、片上系统(SoC)或芯片组中。在另一个示例中,接收器电路110和远程存储设备控制电路118可包括在共同的网络交换机中。在另一个示例中,接收器电路110和远程存储设备控制电路118可共享共同的管芯或封装。
远程存储设备控制电路118可控制将数据从接收器电路110写入远程存储设备106。在某些实施例中,远程存储设备控制电路118可经由PCIe总线耦合到远程存储设备106。在某些实施例中,远程存储设备控制电路118可为远程存储设备106提供文件系统,并且因此可致使根据文件系统将数据写入远程存储设备106并且从其读取数据。如上所述,在某些实施例中,可对这种文件系统进行加密。例如,可使用经由安全通道(例如,经由到网络接口设备102中的受信硬件的安全外壳(SSH)连接,诸如板管理控制器,如下所述)从计算机网络104的租户计算设备提供给网络接口设备102的加密密钥对文件系统进行加密。在某些实施例中,远程存储设备控制电路118可具有端点,该端点带有连接到主机计算设备108的PCIe总线的PCIe连接器,并且还可具有用于远程存储设备106的数据连接器。该数据连接器可以是例如串行高级技术附件(SATA)、小型计算机系统接口(SCSI)、Thunderbolt、或其他连接器。在这种实施例中,远程存储设备106可以对主机计算设备108和处理电路114都可见。
网络接口设备102可包括安全电路112。安全电路112可耦合到接收器电路110和远程存储设备控制电路118,并且可被配置成对来自接收器电路110的数据执行一个或多个安全操作。例如,在某些实施例中,安全电路112可在接收器电路110所接收的数据中的至少一些上执行深度数据包(packet)检测。如在此所使用的,“深度数据包检测”可指代在其中检查进入网络分组的数据部分的过滤过程。在某些实施例中,安全电路112可对接收器电路110所接收的数据中的至少一些进行加密。例如,安全电路112可执行该加密以便使得远程存储设备106(例如,针对主机计算设备108)的文件系统安全。在某些实施例中,安全电路112可对在接收器电路110接收的数据实现防火墙。在某些实施例中,安全电路112可对接收器电路110所接收的数据实现反病毒或恶意软件活动检测操作。通过在网络接口设备102上执行安全操作,可监控租户计算设备的活动,而不管是否为远程存储系统100中的那个租户主存虚拟机的安全设置。在某些实施例中,安全电路112可执行通常包括在网络安全监控中的任何合适的安全操作(例如,数据收集和模式识别以便标识恶意活动)。
安全电路112可与接收器电路110共享物理支撑(例如,根据以上描述的示例中的任何示例)。在某些实施例中,安全电路112可包括板管理控制器(例如,管理引擎或融合安全和管理引擎),并且这些安全操作中的一个或多个可由板管理控制器执行。板管理控制器可包括被配置成用于执行平台管理操作的一个或多个专用处理器和存储器设备。在某些实施例中,板管理控制器可被配置成用于与租户所操作的远程计算设备(例如,包括在计算机网络104中的租户计算设备)建立经加密的受信通道以便允许租户计算设备配置网络接口设备102中的密码密钥和其他安全特征而无需主机计算设备108中存在密钥密钥或其他敏感信息。
网络接口设备102可包括本地存储设备控制电路116和本地存储设备120。本地存储设备120可与接收器电路110共享物理支撑(例如,根据以上讨论的示例中的任何示例)并且可耦合到本地存储设备控制电路116。本地存储设备控制电路116可耦合到接收器电路110并且可与接收器电路110共享物理支撑。本地存储设备控制电路116可被配置成控制向本地存储设备120写入数据以及从其读取数据。本地存储设备120可以是例如非易失性存储器。
网络接口设备102可包括处理电路114。处理电路114可包括一个或多个处理设备和相关联的存储器,并且可耦合到接收器电路110。在某些实施例中,处理电路114可与接收器电路110共享物理支撑(例如,根据以上描述的示例中的任何示例)。在某些实施例中,远程存储设备控制电路118可具有到处理电路114的PCIe端点(例如,嵌入式CPU)。在其中远程存储设备控制电路118具有与连接到主机计算设备108的PCIe总线的PCIe连接器的端点并且还具有用于远程存储设备106的数据连接器的实施例中,远程存储设备106可以对主机计算设备108和处理电路114都是可见的。处理电路114可被配置成用于将接收器电路110所接收的数据直接存储到本地存储设备120、远程存储设备106或两者。在某些实施例中,处理电路114可提供用于有待在接收器电路110所接收的数据上进行的各个操作的指令。例如,处理电路114可在存储之前指引安全电路112压缩有待存储在远程存储设备106或本地存储设备120中的数据。
在某些实施例中,处理电路114可被配置成运行大数据应用(例如,Hadoop应用),并且将经处理数据提供给计算机网络104(例如,通过MAC2 126,如图2所示并且在以下讨论)。处理电路114还可耦合到本地存储设备控制电路116,从而使得处理电路114可访问本地存储设备120(例如,以便用作Hadoop数据的高速缓存)。在某些实施例中,安全电路112可在大数据应用的输入和/或输出上执行安全操作(例如,根据安全策略)。这可以用内联方式完成而无需数据拷贝并且可包括隐私过滤和深度数据包检测操作。
在某些实施例中,主机计算设备108(例如,主机计算设备108的CPU)可访问远程存储设备106。如果处理电路114和主机计算设备108的操作系统运行远程存储设备106的文件系统的相同实现方式,主机计算设备108和处理电路114可查看远程存储设备106上的相同数据。在某些实施例中,可通过要求将远程存储设备106安装为由主机计算设备108只读来约束将远程存储设备106用作共享硬盘驱动器以便避免数据损坏。这对于其中主机计算设备108的操作限于相对于远程存储设备106的数据备份和其他管理任务的实现方式可能是足够的。主机计算设备108可自身具有能够包含用于主机计算设备108的操作系统的存储设备(例如,硬盘驱动器)以及用于存储设备的不可由网络接口设备102可见的文件系统。主机计算设备108可从这个存储设备引导。
在某些实施例中,处理电路114可实现规定应当指引接收器电路110接收的哪些网络通信量存储在本地存储设备120中以及应当指引接收器电路110接收的哪些网络通信量存储在远程存储设备106中的网络管理策略(存储在处理电路114的处理设备可访问的存储中)。该网络管理策略可采取任何期望的形式,并且在此讨论网络管理策略的多个示例。
在某些实施例中,处理电路114所实现的网络管理策略可提供统一的软件定义网络(SDN)策略和软件定义存储(SDS)策略。这可使得能够实现网络功能虚拟化(NFV),其中,联网和存储期望每租户安全模型(从而使得多个租户共享相同的主机,同时系统保护它们不受彼此影响)。每个租户可以具有其自身的网络地址设置、分组标签(这确保仅仅具有适当证书的用户才能看到网络通信量)、安全设置、安全联网设置和密钥、带宽分配和选择性层加密(SLE)以及延迟SLE。在某些实施例中,当在主机计算设备108所管理的远程存储设备之间迁移虚拟化网络功能或虚拟机的租户实例化时,这些实例化的私钥可与数据一起存储并且被自动地移动。
在某些实施例中,处理电路114所实现的网络管理策略可提供分层数据访问系统。希望具有对数据的更快访问的租户计算设备可被网络管理策略分配本地存储设备120中的存储(其可以是例如嵌入式固态驱动器并且可用于对频繁地使用的块或文件系统进行高速缓存),而其他租户计算设备可主要依赖于远程存储设备106中的存储。
在一些实施例中,远程存储系统100可用于使得能够进行比常规的存储系统所实现的更干净的安全引导。在这种实施例中,可经由网络接口设备102将经加密的和/或经签名的引导镜像下载到远程存储设备106中(例如,通过安全通道,诸如到板管理控制器的安全外壳(SSH)安全通道)并且对其解密并验证以便由处理电路114使用。本地存储设备120可被加密并且加密密钥可不暴露给主机计算设备108(而是仅暴露于网络接口设备102的处理电路)。
图2是可被包括在网络接口设备102中的接收器电路110的实施例的框图。接收器电路110可包括用于接收来自计算机网络104的数据的物理(PHY)层122。媒体访问控制(MAC)1 124可从PHY层122接收该数据并且可经由复用器(MUX 180)耦合到MAC 2 126和MAC 3 128。MUX180可被控制(例如,由专用电路)以便将数据分组路由到MAC 2 126或路由到MAC 2 128,这取决于分组的目的地址。MAC 2 126可向处理电路114提供数据,并且MAC 3 128可将该数据提供给主机计算设备108。在一些实施例中,MAC 1 124、MAC 2 126和/或MAC 3 128可被包括在单个集成电路中(例如,作为集成电路的逻辑方面)。
图3是根据各个实施例的说明性监控系统300的框图。监控系统300可包括远程存储系统100,并且具体地可包括网络接口设备102。监控系统300还被示出为包括常规的组件(即,常规网络接口设备130、常规存储控制器146以及与常规存储控制器146通信的远程存储设备148),从而使得远程存储系统100和常规存储系统之间的操作差异可被突出显示。在某些实施例中,监控系统300可不包括常规组件。
监控系统300可被配置成用于执行安全监控。例如审计机关、服务水平协议或监督实体可要求网络操作的安全监控。在某些这种实施例中,设备所接收的网络通信量必须被存储在非易失性存储上(例如,用于稍后分析)。该网络通信量可被每流、每订户(例如,根据国际移动用户识别码(IMSI)、根据用户身份模块标识符(SIM ID))、每租户、每服务质量、每计费实体、或任何其他准则来标识。
监控系统300包括主机计算设备108具有多个组件的实施例,包括网络接口设备驱动器132、安全监控模块134、安全监控应用136、虚拟机138、其他应用140、压缩电路142以及SATA电路144。安全监控模块134可以是被配置成用于检查数据模式(例如,病毒签名或攻击分组)的硬件组件,而安全监控应用136可以是被配置成用于对安全监控模块134检测到的模式进行响应的软件。网络接口设备驱动器132可以是常规的驱动器,并且可以使得主机计算设备108能够与网络接口设备102以及常规的网络接口设备130接口连接。
图3中的不同的线条类型示出了监控系统300中的不同数据流路径。常规的路径由实线给出。具体地,在常规系统中,来自计算机网络104的数据将被经由网络接口设备驱动器132路由通过常规的网络接口设备130并且进入主机计算设备108。该数据在由压缩电路142压缩并且发送通过SATA 144以便经由总线传输到常规存储控制器146之前被路由通过安全监控模块134并且通过安全监控应用136。常规存储控制器146然后将指引将经压缩数据存储到远程存储设备148。
与此相反,在远程存储系统100的某些实施例中,来自计算机网络104的数据被路由到网络接口设备102并且然后被网络接口设备102直接存储在远程存储设备106中,如虚线所指示的。在某些实施例中,网络接口设备102可以经由网络接口设备驱动器132与主机计算设备108通信,但是待存储在远程存储设备106中的数据无需通过网络接口设备驱动器132。网络接口设备102可根据由安全监控应用136提供给网络接口设备102的网络管理策略(如虚线所示)将数据存储在远程存储设备106中(和/或存储在本地存储中,诸如本地存储设备120,未在图3中示出)。
例如,网络管理策略可包括软件定义网络策略和软件定义存储策略,并且网络接口设备102可处理有待监控的通信量(基于策略),包括使用网络接口设备102上的压缩引擎(例如,包括在安全电路112或处理电路114中)压缩通信量。网络接口设备102可然后使用远程存储设备控制电路118将通信量传输到远程存储设备106(例如,RAID)。可以使用软件定义网络控制器、软件定义存储控制器或策略编排器将策略安全地传送到网络接口设备102(例如,通过将策略传送到在主机设备108的操作系统或虚拟机管理器中运行的平台策略代理,然后使用包括在主机设备108中的驱动器传送到网络接口设备102)。
图4是根据各个实施例存储租户数据的方法400的流程图。尽管为了说明的目的示出为在具体的序列中执行,方法400的操作(以及在此描述的其他方法)可在合适时平行地或以任何其他顺序执行。例如,对于有待存储的不同数据子集,涉及生成存储控制信号的操作可与涉及提供存储控制信号的操作平行地执行。
为了说明的目的,方法400的操作(以及在此描述的其他方法)可被描述为由网络接口设备102执行,但是方法400的操作(以及在此描述的其他方法)可由任何适当配置的电路执行。方法400的操作中的任何操作(以及在此描述的其他方法)可根据在此描述的网络接口设备102的实施例中的任何合适的实施例执行。
在402,网络接口设备102(例如,接收器电路110)可从租户计算设备(例如,被包括在计算机网络104中)接收数据。
在404,网络接口设备102(例如,远程存储设备控制器电路118)可生成用于在402接收的数据的存储的存储控制信号。控制信号可指引远程存储设备106(例如,硬盘驱动器)基于包括在网络接口设备102上的文件系统存储数据。远程存储设备106和网络接口设备102可不共享物理支撑。在某些实施例中,文件系统被加密并且不可由耦合到网络接口设备102的主机计算设备108理解。
在406,网络接口设备102(例如,远程存储设备控制器电路118)可提供存储控制信号以便传送到远程存储设备106。406的供应可在总线(诸如PCIe总线)上发生。
可作为方法400的一部分执行其他操作。例如,网络接口设备102(例如,安全电路112)可在404处生成存储控制信号之前在所接收的数据上执行安全操作。安全操作可包括例如防火墙操作、反病毒检测、深度数据包检测或恶意活动检测。
图5是根据某些实施例适合用于实践所公开的实施例的各个方面的示例计算设备500的框图。例如,计算设备500可用作主机计算设备108和/或包括在计算机网络104中的计算设备之一(例如,租户计算设备)。
如所示,计算设备500包括数个处理设备或处理器核502和系统存储器504。出于本申请的目的,包括权利要求书,术语“处理器”和“处理器核”可被认为是同义词,除非上下文明确地以其他方式要求。此外,计算系统500可包括大容量存储设备506(诸如磁盘、硬盘驱动器、致密盘只读存储器(CDROM)等等)、输入/输出设备508(诸如显示器、键盘、光标控制等等)和通信接口510(诸如网络接口卡、调制解调器等等)。这些元件可经由表示一个或多个总线(例如,PCIe总线)的系统总线512耦合到彼此。在多条总线的情况下,它们可由一个或多个总线桥(未示出)桥接。
这些元件各自可执行本领域已知的其常规功能。具体地,系统存储器504和大容量存储设备506可用于存储实现图4的方法或其各部分的编程指令的工作拷贝和永久拷贝,在此统一标记为计算逻辑522。各组件可由处理器502所支持的汇编指令或可编译到这种指令中的高级语言(诸如例如C)实现。
编程指令的永久版本可在出厂时通过例如机器可访问分布介质(未示出)(诸如致密盘(CD))或通过通信接口510(例如,从分布式服务器(未示出))被放入永久存储506中。元件502-512的构成是已知的,并且因此将不进一步描述。
用于执行上述技术的计算机可读介质(包括非瞬态计算机可读介质)、方法、系统和设备是在此公开的实施例的说明性示例。此外,上述交互中的其他设备可被配置成用于执行各种所公开的技术。
以下段落提供在此描述的实施例的非限制性示例。示例1是一种网络接口设备,包括:接收器电路;以及第一存储设备控制电路,耦合到该接收器电路并且与该接收器电路共享物理支撑,用于控制从该接收器电路到第一存储设备的数据写入,其中,该第一存储设备不与该第一存储设备控制电路共享物理支撑。
示例2可包括示例1所述的主题,并且可进一步包括:安全电路,耦合到该接收器电路并且与该接收器电路共享物理支撑,用于对来自该接收器电路的数据执行一个或多个安全操作以便生成经处理的数据;其中,该远程存储设备控制电路用于致使将经处理数据存储在该第一存储设备上。
示例3可包括示例2所述的主题,并且可进一步规定该一个或多个安全操作包括检查进入网络分组的数据部分。
示例4可包括示例2至3中任一项所述的主题,并且可进一步指定该一个或多个安全操作包括加密。
示例5可包括示例2至4中任一项所述的主题,其中,该安全电路包括板管理控制器。
示例6可包括示例1至5中任一项所述的主题,并且可进一步包括:第二存储设备,与该接收器电路共享物理支撑;以及第二存储设备控制电路,耦合到该接收器电路并且与该接收器电路共享物理支撑,用于控制从该接收器电路到该第二存储设备的数据写入。
示例7可包括示例1至6中任一项所述的主题,并且可进一步包括:处理设备,耦合到该接收器电路并且与该接收器电路共享物理支撑;其中:该接收器电路用于接收网络管理策略,并且该处理设备用于指导根据该网络管理策略在该第一存储设备中存储由该接收器电路接收的网络通信量。
示例8可包括示例7所述的主题,其中,该处理设备用于指导在将该网络通信量存储在该第一存储设备中之前压缩该网络通信量。
示例9可包括示例1至8中任一项所述的主题,其中,该网络接口设备包括在网络接口卡、片上系统或芯片组中。
示例10可包括示例1至9中任一项所述的主题,其中,该第一存储设备包括硬盘驱动器或固态驱动器。
示例11可包括示例1至10中任一项所述的主题,其中,该第一存储设备控制电路经由外围组件互连Express总线耦合到该第一存储设备。
示例12可包括示例1至11中任一项所述的主题,其中,该物理支撑是电路板。
示例13是其上具有指令的一个或多个计算机可读介质(例如,非瞬态计算机可读介质),响应于由网络接口设备的一个或多个处理设备执行,该指令致使该网络接口设备:从计算网络接收数据;对该数据执行一个或多个安全操作以便生成经处理数据;以及致使使用该网络接口设备上的文件系统将该经处理数据写入不与该网络接口设备共享物理支撑的第一存储设备。
示例14可包括示例13所述的主题,其中,该第一存储设备包括硬盘驱动器。
示例15可包括示例13至14中任一项所述的主题,其中,该文件系统是使用经由安全通道从租户计算设备提供给该网络接口设备的加密密钥加密的。
示例16可包括示例13至15中任一项所述的主题,其中,该网络接口设备经由总线耦合到主机计算设备,并且其中,该网络接口设备对于该主机计算设备看着像本地存储设备。
示例17可包括示例13至16中任一项所述的主题,其中,该第一存储设备经由总线耦合到主机计算设备,并且其中,该文件系统被针对该主机计算设备加密。
示例18可包括示例13至17中任一项所述的主题,进一步在其上具有指令,响应于由该网络接口设备的该一个或多个处理设备执行,该指令致使该网络接口设备:从该计算网络接收第二数据;确定该第二数据有待存储在与该网络接口设备共享物理支撑的第二存储设备中;以及致使将该第二数据存储在该第二存储设备中。
示例19可包括示例13至18中任一项所述的主题,其中,该网络接口设备是网络交换机。
示例20可包括示例13至19中任一项所述的主题,其中,该第一存储设备包括固态驱动器。
示例21是一种存储租户数据的方法,包括:在网络接口设备处从租户计算设备接收数据;该网络接口设备的第一存储设备控制电路基于该网络接口设备上的文件系统生成用于将该数据存储在第一存储设备上的存储控制信号,其中,该第一存储设备不与该网络接口设备共享物理支撑;以及提供该存储控制信号以便通过总线传送到该第一存储设备。
示例22可包括示例21所述的主题,其中,该总线是外围组件互连Express总线。
示例23可包括示例21至22中任一项所述的主题,其中,该文件系统被加密并且不可由耦合到该网络接口设备的主机计算设备理解。
示例24可包括示例21至23中任一项所述的主题,并且可进一步包括:在生成存储控制信号之前在所接收的数据上执行安全操作,其中,该安全操作包括防火墙操作、反病毒检测或恶意软件活动检测。
示例25可包括示例21至24中任一项所述的主题,其中,该第一存储设备包括固态驱动器。
示例26是其上具有指令的一种或多种计算机可读介质(例如,非瞬态计算机可读介质),响应于由计算设备的一个或多个处理设备执行,该指令致使该计算设备执行如示例21至25中任一项所述的方法或在此公开的方法中的任何方法。
示例27是一种包括用于执行示例21至25中任一项所述的方法或在此公开的方法中的任何方法的装置的系统。
示例28是一种网络接口设备,该网络接口设备包括用于从计算机网络接收数据的装置;以及用于控制将数据从用于接收数据的该装置写入第一存储设备的装置;其中,该第一存储设备不与用于控制数据写入的该装置共享物理支撑,并且用于接收数据的该装置与用于控制数据写入的该装置共享物理支撑。
示例29可包括示例28所述的主题并且可进一步包括用于对来自用于接收数据的该装置执行一个或多个安全操作以便生成经处理数据的装置;其中,用于控制数据写入的该装置用于致使将该经处理数据存储在该第一存储设备上,并且用于执行一个或多个安全操作的该装置与用于接收数据的该装置共享物理支撑。
示例30可包括示例28至29中任一项所述的主题,并且可进一步包括第二存储设备,与用于接收数据的该装置共享物理支撑;以及用于控制将数据从用于接收数据的该装置写入该第二存储设备的装置。
Claims (18)
1.一种网络接口设备,包括:
接收器电路;以及
第一存储设备控制电路,耦合到所述接收器电路并且与所述接收器电路共享物理支撑,用于控制从所述接收器电路到第一存储设备的数据写入,其中,所述第一存储设备不与所述第一存储设备控制电路共享物理支撑。
2.如权利要求1所述的网络接口设备,进一步包括:
安全电路,耦合到所述接收器电路并且与所述接收器电路共享物理支撑,用于对来自所述接收器电路的数据执行一个或多个安全操作以便生成经处理的数据;
其中,所述远程存储设备控制电路用于致使将所述经处理的数据存储在所述第一存储设备上。
3.如权利要求2所述的网络接口设备,其特征在于,所述一个或多个安全操作包括检查进入网络分组的数据部分。
4.如权利要求2所述的网络接口设备,其特征在于,所述一个或多个安全操作包括加密。
5.如权利要求2所述的网络接口设备,其特征在于,所述安全电路包括板管理控制器。
6.如权利要求1至5中任一项所述的网络接口设备,进一步包括:
第二存储设备,与所述接收器电路共享物理支撑;以及
第二存储设备控制电路,耦合到所述接收器电路并且与所述接收器电路共享物理支撑,用于控制从所述接收器电路到所述第二存储设备的数据写入。
7.如权利要求1至5中任一项所述的网络接口设备,进一步包括:
处理设备,耦合到所述接收器电路并且与所述接收器电路共享物理支撑;
其中:
所述接收器电路用于接收网络管理策略,以及
所述处理设备用于根据所述网络管理策略指导在所述第一存储设备中存储由所述接收器电路接收的网络通信量。
8.如权利要求7所述的网络接口设备,其特征在于,所述处理设备用于指导在将所述网络通信量存储在所述第一存储设备中之前压缩所述网络通信量。
9.如权利要求1至5中任一项所述的网络接口设备,其特征在于,所述网络接口设备被包括在网络接口卡、片上系统或芯片组中。
10.如权利要求1至5中任一项所述的网络接口设备,其特征在于,所述第一存储设备包括硬盘驱动器或固态驱动器。
11.如权利要求1至5中任一项所述的网络接口设备,其特征在于,所述第一存储设备控制电路经由外围组件互连Express总线耦合到所述第一存储设备。
12.如权利要求1至5中任一项所述的网络接口设备,其特征在于,所述物理支撑是电路板。
13.一种存储租户数据的方法,包括:
在网络接口设备处从租户计算设备接收数据;
由所述网络接口设备的第一存储设备控制电路,基于所述网络接口设备上的文件系统,生成用于将所述数据存储在第一存储设备上的存储控制信号,其中,所述第一存储设备不与所述网络接口设备共享物理支撑;以及
提供所述存储控制信号以便通过总线传送到所述第一存储设备。
14.如权利要求13所述的方法,其特征在于,所述总线是外围组件互连Express总线。
15.如权利要求13所述的方法,其特征在于,所述文件系统被加密并且不可由耦合到所述网络接口设备的主机计算设备理解。
16.如权利要求13所述的方法,进一步包括:
在生成存储控制信号之前在所接收的数据上执行安全操作,其中,所述安全操作包括防火墙操作、反病毒检测或恶意软件活动检测。
17.如权利要求13所述的方法,其特征在于,所述第一存储设备包括固态驱动器。
18.其上具有指令的一种或多种计算机可读介质,响应于由计算设备的一个或多个处理设备执行,所述指令致使所述计算设备执行如权利要求13至17中任一项所述的方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/661,311 | 2015-03-18 | ||
| US14/661,311 US9661007B2 (en) | 2015-03-18 | 2015-03-18 | Network interface devices with remote storage control |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105991651A true CN105991651A (zh) | 2016-10-05 |
| CN105991651B CN105991651B (zh) | 2019-10-11 |
Family
ID=55521358
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610091193.5A Active CN105991651B (zh) | 2015-03-18 | 2016-02-18 | 具有远程存储控制的网络接口设备 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US9661007B2 (zh) |
| EP (1) | EP3070633B1 (zh) |
| CN (1) | CN105991651B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107329856A (zh) * | 2017-06-30 | 2017-11-07 | 郑州云海信息技术有限公司 | 一种基于raid的sds部署方法及系统 |
| WO2019084782A1 (en) * | 2017-10-31 | 2019-05-09 | EMC IP Holding Company LLC | Shadow address space for sharing storage |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9985877B2 (en) * | 2015-05-28 | 2018-05-29 | Avago Technologies General Ip (Singapore) Pte. Ltd. | Customer premises equipment virtualization |
| US11233850B2 (en) | 2018-04-17 | 2022-01-25 | Hewlett Packard Enterprise Development Lp | Replicating data over a public network |
| US10802715B2 (en) * | 2018-09-21 | 2020-10-13 | Microsoft Technology Licensing, Llc | Mounting a drive to multiple computing systems |
| US10944819B2 (en) | 2018-10-26 | 2021-03-09 | Hewlett Packard Enterprise Development Lp | Replication of an encrypted volume |
| US11151255B2 (en) * | 2018-10-26 | 2021-10-19 | Dell Products L.P. | Method to securely allow a customer to install and boot their own firmware, without compromising secure boot |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070150947A1 (en) * | 2005-12-22 | 2007-06-28 | Nortel Networks Limited | Method and apparatus for enhancing security on an enterprise network |
| CN101146066A (zh) * | 2006-08-31 | 2008-03-19 | 美国博通公司 | 网络接口设备、计算系统及传递数据的方法 |
| US20130185586A1 (en) * | 2012-01-18 | 2013-07-18 | LineRate Systems, Inc. | Self-healing of network service modules |
| US20130227301A1 (en) * | 2012-02-29 | 2013-08-29 | Apple Inc. | Using storage controller bus interfaces to secure data transfer between storage devices and hosts |
| US20150089221A1 (en) * | 2013-09-26 | 2015-03-26 | Dell Products L.P. | Secure Near Field Communication Server Information Handling System Support |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1276372C (zh) | 2000-09-29 | 2006-09-20 | 艾拉克瑞技术公司 | 智能网络存储接口系统和装置 |
| US8112513B2 (en) * | 2005-11-30 | 2012-02-07 | Microsoft Corporation | Multi-user display proxy server |
| US8599315B2 (en) * | 2007-07-25 | 2013-12-03 | Silicon Image, Inc. | On screen displays associated with remote video source devices |
| KR100936920B1 (ko) * | 2007-12-14 | 2010-01-18 | 한국전자통신연구원 | 원 타임 패스워드를 사용하는 관리 서버 예약 접속 방법,클라이언트 및 시스템 |
| WO2010127365A1 (en) * | 2009-05-01 | 2010-11-04 | Citrix Systems, Inc. | Systems and methods for establishing a cloud bridge between virtual storage resources |
| US10042415B2 (en) * | 2013-03-21 | 2018-08-07 | Avago Technologies General Ip (Singapore) Pte. Ltd. | Methods and apparatuses for computer power down |
| US9304563B2 (en) * | 2013-03-29 | 2016-04-05 | Dell Products, Lp | Battery management system |
| US20150106660A1 (en) * | 2013-10-16 | 2015-04-16 | Lenovo (Singapore) Pte. Ltd. | Controller access to host memory |
| US9596149B2 (en) * | 2014-04-23 | 2017-03-14 | Dell Products L.P. | Server information handling system NFC ticket management and fault storage |
| US20160227301A1 (en) * | 2015-01-29 | 2016-08-04 | Dominic John Goodwill | Transponder aggregator photonic chip with common design for both directions |
-
2015
- 2015-03-18 US US14/661,311 patent/US9661007B2/en active Active
-
2016
- 2016-02-01 EP EP16153672.7A patent/EP3070633B1/en active Active
- 2016-02-18 CN CN201610091193.5A patent/CN105991651B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070150947A1 (en) * | 2005-12-22 | 2007-06-28 | Nortel Networks Limited | Method and apparatus for enhancing security on an enterprise network |
| CN101146066A (zh) * | 2006-08-31 | 2008-03-19 | 美国博通公司 | 网络接口设备、计算系统及传递数据的方法 |
| US20130185586A1 (en) * | 2012-01-18 | 2013-07-18 | LineRate Systems, Inc. | Self-healing of network service modules |
| US20130227301A1 (en) * | 2012-02-29 | 2013-08-29 | Apple Inc. | Using storage controller bus interfaces to secure data transfer between storage devices and hosts |
| US20150089221A1 (en) * | 2013-09-26 | 2015-03-26 | Dell Products L.P. | Secure Near Field Communication Server Information Handling System Support |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107329856A (zh) * | 2017-06-30 | 2017-11-07 | 郑州云海信息技术有限公司 | 一种基于raid的sds部署方法及系统 |
| WO2019084782A1 (en) * | 2017-10-31 | 2019-05-09 | EMC IP Holding Company LLC | Shadow address space for sharing storage |
| US10936502B2 (en) | 2017-10-31 | 2021-03-02 | EMC IP Holding Company LLC | Shadow address space for sharing storage |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105991651B (zh) | 2019-10-11 |
| EP3070633A1 (en) | 2016-09-21 |
| US9661007B2 (en) | 2017-05-23 |
| US20160277425A1 (en) | 2016-09-22 |
| EP3070633B1 (en) | 2019-08-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105991651A (zh) | 具有远程存储控制的网络接口设备 | |
| US10073747B2 (en) | Reducing recovery time in disaster recovery/replication setup with multitier backend storage | |
| CN110073355A (zh) | 服务器上的安全执行环境 | |
| JP6580035B2 (ja) | 事前設定および事前起動計算リソース | |
| US10936553B2 (en) | Intelligent file system with transparent storage tiering | |
| CN102110197B (zh) | 多核处理器的计算环境中实现tpm的方法及其系统 | |
| CN113934508A (zh) | 对驻留在kubernetes持久卷上的数据静态加密数据的方法 | |
| US20160364252A1 (en) | Migrating servers into a secured environment | |
| CN105453039A (zh) | 用于在高输入/输出负载环境中即时恢复虚拟机的系统和方法 | |
| US10853307B2 (en) | System and method for a host application to access and verify contents within non-volatile storage of an information handling system | |
| CN103685408A (zh) | 以存储区域网络提供读取基础镜像的服务器、主机及方法 | |
| AU2021236350B2 (en) | Virtual machine perfect forward secrecy | |
| US10884818B2 (en) | Increasing processing capacity of virtual machines | |
| US10884845B2 (en) | Increasing processing capacity of processor cores during initial program load processing | |
| US11755374B2 (en) | Cloud resource audit system | |
| JP7465045B2 (ja) | 異常イベントに対する仮想マシンの処理能力の増加 | |
| US11379335B2 (en) | Self-reporting remote copy performance on a consistency group | |
| US11288001B1 (en) | Self-clearing data move assist (DMA) engine | |
| US11640249B2 (en) | Access verification on portable mass storage devices | |
| US11709607B2 (en) | Storage block address list entry transform architecture | |
| US10936427B2 (en) | Disaster recovery data fetching control |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |