CN109587105A - 基于策略的网络服务指纹识别 - Google Patents

基于策略的网络服务指纹识别 Download PDF

Info

Publication number
CN109587105A
CN109587105A CN201810995332.6A CN201810995332A CN109587105A CN 109587105 A CN109587105 A CN 109587105A CN 201810995332 A CN201810995332 A CN 201810995332A CN 109587105 A CN109587105 A CN 109587105A
Authority
CN
China
Prior art keywords
vnf
platform
data center
composer
tfpd
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201810995332.6A
Other languages
English (en)
Inventor
D.鲍尔
P.弗莱明
M.J.麦克格拉思
J.肯尼
D.孔特
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intel Corp
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Publication of CN109587105A publication Critical patent/CN109587105A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0806Configuration setting for initial configuration or provisioning, e.g. plug-and-play
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0894Policy-based network configuration management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0895Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0896Bandwidth or capacity management, i.e. automatically increasing or decreasing capacities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/40Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using virtualisation of network functions or resources, e.g. SDN or NFV entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/20Arrangements for monitoring or testing data switching networks the monitoring system or the monitored elements being virtualised, abstracted or software-defined entities, e.g. SDN or NFV
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

一种数据中心编排器,其包括:硬件平台;主机构造接口,用来将编排器在通信上耦合到网络;编排器引擎,用来提供数据中心编排功能;以及数据结构,所述数据结构包括网络功能虚拟化定义(NFVD)实例,所述NFVD实例包括用于在主机平台上实例化虚拟网络功能(VNF)的定义,所述定义包括用于所述VNF的遥测指纹策略描述(TFPD),其中所述TFPD包括用来收集从对于所述主机平台可用的遥测数据的集合选择的遥测数据的信息。

Description

基于策略的网络服务指纹识别
技术领域
本公开一般涉及云计算领域,以及更具体来说(尽管不是排他性地)涉及用于基于策略的网络服务指纹识别的系统和方法。
背景技术
在一些现代数据中心,装置或设备的功能可捆绑到特定的固定硬件配置。更确切地,处理、存储器、存储装置和加速器功能可在一些情况下从不同位置被聚合,以形成虚拟“复合节点”。当代网络可包括托管大量通用硬件服务器装置(其包含在例如服务器架中并且由管理程序来控制)的数据中心。各硬件装置可运行虚拟装置(例如工作负载服务器或虚拟桌面)的一个或多个实例。
附图说明
在以下的详细描述结合附图被阅读时,根据该详细描述来最佳地理解本公开。要强调的是,按照工业上的标准实践,各种特征不一定按比例绘制,而是仅是出于说明目的来被使用。在显式或隐式地示出比例的情况下,它仅提供一个说明性示例。在其他实施例中,为了论述的清楚起见,各种特征的尺寸可任意增加或减小。
图1是按照本说明书的一个或多个示例、具有网络连通性的数据中心的被选择组件的框图。
图2是按照本说明书的一个或多个示例的末端用户计算装置的被选择组件的框图。
图3是按照本说明书的一个或多个示例的网络功能虚拟化(NFV)架构的框图。
图4是按照本说明书的一个或多个示例的示例计算系统的框图。
图5是按照本说明书的实施例所执行的方法的流程图。
图6是按照本说明书的一个或多个示例的计算平台的组件的框图。
图7是按照本说明书的一个或多个示例的中央处理器(CPU)的框图。
具体实施方式
以下公开提供用于实现本公开的不同特征的许多不同实施例或示例。组件和布置的具体示例在下面被描述以简化本公开。这些无疑只是示例而不是旨在要进行限制。此外,本公开可在各个示例中重复参考标号和/或字母。这种重复是为了简洁和清楚起见,而不是本质上规定所论述的各个实施例和/或配置之间的关系。不同实施例可具有不同优点,且没有特定优点一定是任何实施例所要求的。
当代计算平台(例如Intel®或类似公司所提供的硬件平台)可包括监测装置性能并且做出关于资源供应的决定的能力。例如,在诸如可由云服务提供商(CSP)所提供的大数据中心中,硬件平台可包括机架安装式服务器,其具有诸如处理器、存储器、存储池、加速器和其他类似资源的计算资源。在本文中使用时,“云计算”包括网络连接计算资源和技术,其实现对数据、资源和/或技术的无处不在的(常常是全球的)访问。云资源的特征一般在于按照当前工作负载和需要动态指配资源的极大灵活性。这能够例如经由虚拟化来实现,其中资源(例如硬件、存储装置和网络)经由软件抽象层和/或箱化来被提供给虚拟机(VM),其中网络功能的实例在“箱”(其相互分隔,但是共享基础操作系统、存储器和驱动器资源)中被提供。当代Intel®处理器具体提供对采集平台度量的专用硬件支持,例如Intel®资源调配技术(RDT),其展示对诸如末级高速缓存(LLC)使用和存储器吞吐量的性质的有价值的认识。
这些性质可用来确定平台装置的负担有多重,并且因而可用来做出关于是否分配以及何时分配附加计算资源以使得装置不会成为瓶颈的决定。
此类决定通常在硬件平台级做出。但是随着软件定义的网络化(SDN)的增加使用,并且特别是随着网络功能虚拟化(NFV)的增加使用,虚拟网络功能(VNF)本身的性能能够对效率和资源利用具有显著影响。此外,虽然硬件平台可提供大量有用平台度量,但是这些度量并非全部同样可适用于每个VNF。例如,通用计算主机可获益于相比大分布式存储控制器(其可获益于相比服务于3D交叉点(3DXP)快速永久存储器的存储服务器不同的度量)不同的度量。因此,如果度量作为整体被收集用于硬件平台,则那些度量可能没有对于各个工作负载来被优化。此外,如果在同一物理平台上托管多于一个VNF(在当代数据中心,情况经常是这样),则平台度量单独可能不会给出用于每个VNF工作负载的最有用数据。
本说明书的实施例为针对运行时间度量的收集提供网络服务或VNF特定的指纹识别策略。作为非限制性示例,该策略可包括特定的网络功能虚拟化基础设施(NFVI)度量以及平台(例如Intel®架构)特定的度量(其除了运行时间之外还在部署时被使用,以个性化对于给定VNF的度量收集)。所收集度量可由指纹分析模块(FAM)用来监测和校正影响VNF或服务的问题。
本说明书的FAM的实施例与现有遥测系统进行互操作。现有遥测系统可收集和处理大量度量和事件(其以高频率从平台被展示,但是没有对于给定服务来被个性化)。存储和分析大量数据,并且在一些实施例中可从这些中提取有意义信息。
本说明书的实施例通过基于例如服务保证相关的感兴趣上下文(例如吞吐量、等待时间、抖动或者任何其他值得期望的度量)提供VNF或服务的个性化度量指纹,来对这个过程进行改进。这减少关于任何特定VNF所收集和监测的度量的数量。确切地,度量可基于每VNF来被收集,以支持唯一VNF特定服务组件分析。在一实施例中,FAM将用于网络服务的指纹与用于给定上下文(例如吞吐量、等待时间、抖动或其他上下文)的已知良好指纹进行比较。指纹提供将完整服务栈的复杂度和多个构面与VNF服务交互封装在单个表示中的机制。这可提供优于使用单独或原子度量的方式的优点。
例如,多个度量可组合,以产生合成复合度量(即,指纹),其表示在递送要求的等级的服务保证的同时在正常操作条件下的系统的指纹。合成度量或指纹可在某个时间窗口上反复被计算,以产生服务行为模式,该模式能够用于针对指纹的比较目的。用于比较服务度量的其他方式包括跨多个平台向量(作为非限制性示例,例如存储器、CPU利用、网络输入/输出(I/O)或频域分布)的雷达标绘图。在一些实施例中,当合成指纹与基准相差某个程度(例如诸如相差某个数量的标准偏差)时,则可引发告警,并且可采取校正动作。
本说明书的FAM的实施例包括按照各种不同物理格式来实施FAM的能力。例如,FAM能够是专用集成电路(ASIC)或者具有专用功能的现场可编程门阵列(FPGA),或者能够是在主机平台上或者在专用虚拟机本身上运行的软件模块。在一些实施例中,FAM可以是或者包括硬件加速器。FAM还能够包括在一个或多个非暂态有形计算机可读介质(包括非易失性存储装置、闪存、只读存储器(ROM))上编码的指令、用于对FPGA进行编程的指令、FPGA本身或者直接编码到硬件中(例如在ASIC中)的逻辑。在包括FPGA或ASIC的实施例中,一个优点是指纹与基准的极高速比较以及对可缩放性的支持,包括比较多个指纹(其近实时地检查服务性能的不同方面)的能力。
现在将更具体参照附图来描述用于基于策略的网络服务指纹识别的系统和方法。应当注意,在整个附图中,可重复某些参考标号,以指示特定装置或块跨附图是完全或基本上一致的。但是,这不是要旨在暗示所公开的各个实施例之间的任何特定关系。在某些示例中,一类元件可通过特定参考标号(“微件10”)来被引用,而该类元件的各个种类或示例可通过连字符号连接的标号(“第一特定微件10-1”和“第二特定微件10-2”)来被引用。
图1是按照本说明书的一个或多个示例、具有到云服务提供商(CSP)102的网络100的连通性的数据中心的被选择组件的框图。作为非限制性示例,CSP 102可以是传统企业数据中心、企业“私有云”或“公共云”,其提供诸如以下的服务:基础设施即服务(IaaS)、平台即服务(PaaS)或者软件即服务(SaaS)。
CSP 102可供应某个数量的工作负载集群118,其可以是如下服务器集群:单独服务器、刀片服务器、机架安装式服务器,或者任何其他适当的服务器拓扑。在这个说明性示例中,示出两个工作负载集群118-1和118-2,其每个提供在机柜148中的机架安装式服务器146。
在这个图示中,工作负载集群118被示出为符合机架单元(“U”)标准的模块化工作负载集群,其中可构建19英寸宽的标准机架,以适应42个单元(42U),其各自为1.75英寸高和大约36英寸深。在这种情况下,诸如处理器、存储器、存储装置、加速器和交换机的计算资源可纳入从1至42的机架单元的某个倍数。
每个服务器146可托管独立操作系统并且提供服务器功能,或者服务器可虚拟化,在此情况下,它们可在虚拟机管理器(VMM)、管理程序和/或编排器的控制之下,并且可托管一个或多个虚拟机、虚拟服务器或虚拟设备。这些服务器机架可共同位于单个数据中心中,或者可位于不同的地理数据中心。取决于合同,一些服务器146可具体地专用于某些企业客户或租户,而其他服务器可被共享。
数据中心中的各种装置可经由交换构造(fabric)170(其可包括一个或多个高速路由和/或交换装置)进行相互连接。交换构造170可提供“北-南”业务(例如去往和来自广域网(WAN)、例如因特网的业务)以及“东-西”业务(例如跨数据中心的业务)二者。在历史上,北-南业务占网络业务的大块,但是随着web和基于NFV的网络服务变得更加复杂和分布,东-西业务量已经上升。在许多数据中心中,东-西业务现在占业务的大多数。
此外,随着每个服务器146的能力增加,业务量可进一步增加。例如,每个服务器146可提供多个处理器插槽,其中每个插槽接纳具有四至八个核的处理器连同用于核的充分的存储器。因此,每个服务器可托管大量VM,其各自生成其自己的业务。
为了适应数据中心中的大的业务量,可提供高能力的交换构造170。交换构造170在这个示例中示为“平坦”网络,其中各服务器146可具有到机架顶(ToR)交换机120的直接连接(例如“星形”配置),并且各ToR交换机120可耦合到核心交换机130。这个二层平坦网络架构仅作为说明性示例示出。在其他示例中,可使用其他架构,作为非限制性示例例如基于“Clos”架构的三层星形或叶脊形(又称作“胖树”拓扑)、中心辐射拓扑、网格拓扑、环形拓扑或者3-D网格拓扑。
该构造本身可通过任何适当互连来提供。例如,每个服务器146可包括Intel®主机构造接口(HFI)、网络接口卡(NIC)或另一主接口。主接口本身可经由互连或总线(例如PCI、PCIe等)耦合到一个或多个处理器,以及在一些情况下,这个互连总线可被认为是构造170的部分。
互连技术可通过单个互连或者混合互连来提供,例如在PCIe提供芯片上通信的情况下,1Gb或10Gb铜以太网提供到ToR交换机120的相对短的连接,以及光缆提供到核心交换机130的相对较长的连接。作为非限制性示例,互连技术包括Intel® Omni-Path™、TrueScale™、超路径互连(UPI)(以前称作QPI或KTI)、FibreChannel、以太网、以太网上的FibreChannel(FCoE)、InfiniBand、PCI、PCIe或光纤,这里只列举几个。这些的一部分将比其他部分更适合于某些部署或功能,以及选择用于即时应用的适当构造是技术人员的实践。
但是要注意的是,虽然本文中作为说明提供高端构造(例如Omni-Path™),但是更一般来说,构造170对于特定的应用可以是任何适当的互连或总线。在一些情况下,这个云包括遗留互连,例如局域网(LAN)、令牌环网、同步光网络(SONET)、异步传输模式(ATM)网络、无线网络(例如Wi-Fi和蓝牙)、“简易老式电话系统”(POTS)互连等。还明确地被预期的是,在将来,新网络技术将出现,以补充或替代这里所列出的技术中的一些,以及任何此类将来网络拓扑和技术能够是或者形成构造170的部分。
在某些实施例中,构造170可如最初在OSI七层网络模型中概述的在各种“层”上提供通信服务。在当代实践中,没有严格遵守OSI模型。一般来说,层1和2常常称作“以太网”层(尽管在大数据中心中,以太网已经常常通过更新的技术来被替代)。层3和4常常被称作传输控制协议/因特网协议(TCP/IP)层(其可进一步细分为TCP和IP层)。层5-7可称作“应用层”。这些层定义作为有用框架被公开,而不是要旨在进行限制。
图2是按照本说明书的一个或多个示例的数据中心200的框图。在各个实施例中,数据中心200可以是与图1的网络100相同的数据中心,或者可以是不同数据中心。附加视图在图2中被提供,以示出数据中心200的不同方面。
在这个示例中,提供构造270,以互连数据中心200的各个方面。构造270可与图1的构造170相同,或者可以是不同结构。如上所述,构造270可通过任何适当互连技术来被提供。在这个示例中,Intel® Omni-Path™被用作说明性和非限制性示例。
如图所示,数据中心200包括多个逻辑元件,其形成多个节点。应当理解,各节点可由物理服务器、服务器群组或其他硬件来提供。各服务器可运行适合于其应用的一个或多个虚拟机。
节点0 208是处理节点,其包括处理器插槽0和处理器插槽1。处理器可以是例如具有多个核、例如4或8个核的Intel® Xeon™处理器。节点0 208可配置成例如通过托管多个虚拟机或虚拟设备来提供网络或工作负载功能。
处理器插槽0与处理器插槽1之间的板载通信可通过板载上行链路278来被提供。这可提供在所述两个处理器插槽之间的超高速短长度互连,使得运行于节点0 208上的虚拟机能够以超高速相互通信。为了促进这个通信,虚拟交换机(vSwitch)可在节点0 208(其可被认为是构造270的部分)上被供应。
节点0 208经由HFI 272来连接到构造270。HFI 272可连接到Intel® Omni-Path™构造。在一些示例中,与构造270的通信可例如通过提供经由Omni-Path™的UPI隧道传递来被进行隧道传递。
因为数据中心200可按照分布式方式提供许多功能(其在前几代是板载提供的),所以可提供高能力HFI 272。HFI 272可工作在每秒数千兆位的速度,以及在一些情况下可与节点0 208紧密耦合。例如,在一些实施例中,用于HFI 272的逻辑与片上系统上的处理器直接集成。这提供HFI 272与处理器插槽之间的极高速通信,而无需中间总线装置(其可将附加等待时间引入构造中)。但是,这并不暗示不包括其中通过传统总线来提供HFI 272的实施例。而是明确地预期,在一些示例中,HFI 272可在总线、例如PCIe总线(其是PCI的串行化版本,该版本提供比传统PCI要高的速度)上被提供。在整个数据中心200中,各种节点可提供不同类型的HFI 272,例如板载HFI和插件HFI。还应当注意,片上系统中的某些块可作为知识产权(IP)块来被提供,其能够作为模块化单元被投入集成电路中。因此,HFI 272在一些情况下可从此类IP块被导出。
注意,在“网络是设备”方式中,节点0 208可提供有限或者没有提供板载存储器或存储装置。节点0 208而是可主要依靠分布式服务,例如存储器服务器和网络化存储服务器。在板上,节点0 208可以仅提供充分存储器和存储装置,以引导装置,并且使它与构造270进行通信。这种分布式架构因当代数据中心的极高的速度而是可能的,并且可以是有利的,因为不需要为各节点超额供应资源。而是可在多个节点之间动态供应大的高速或专用存储器池,使得各节点有权访问大资源池,但是那些资源在那个特定节点不需要它们时不会闲置。
在这个示例中,节点1存储器服务器204和节点2存储服务器210提供节点0 208的操作存储器和存储能力。例如,存储器服务器节点1 204可提供远程直接存储器存取(RDMA),由此节点0 208可按照DMA方式经由构造270来访问节点1 204上的存储器资源,与它将如何访问其自己的板载存储器相似。由存储器服务器204所提供的存储器可以是传统存储器、例如双倍数据速率类型3(DDR3)动态随机存取存储器(DRAM)(其是易失性的),或者可以是更奇异类型的存储器,例如像Intel®3D CrosspointTM(3DXP)的永久快速存储器(PFM)(其工作在类似DRAM的速度,但是非易失性的)。
类似地,不是为节点0 208提供板载硬盘,而是可提供存储服务器节点2 210。存储服务器210可提供网络化磁盘簇(NBOD)、PFM、独立盘冗余阵列(RAID)、独立节点冗余阵列(RAIN)、网络附连存储装置(NAS)、光存储装置、磁带驱动器或者其他非易失性存储器解决方案。
因此,在执行其指定功能中,节点0 208可从存储器服务器204来访问存储器,并且将结果存储在存储服务器210所提供的存储装置上。这些装置的每个经由HFI 272(其提供使这些技术成为可能的快速通信)耦合到构造270。
作为进一步说明,还描绘了节点3 206。节点3 206还包括HFI 272连同通过上行链路内部连接的两个处理器插槽。但是,与节点0 208不同,节点3 206包括其自己的板载存储器222和存储装置250。因此,节点3 206可配置成主要在板上执行其功能,并且可以不被要求依靠存储器服务器204和存储服务器210。但是,在适当情况下,节点3 206可与节点0 208相似地采用分布式资源来补充其自己的板载存储器222和存储装置250。
本文所公开的各种组件的基本构建块可称作“逻辑元件”。逻辑元件可包括硬件(包括例如软件可编程处理器、ASIC或FPGA)、外部硬件(数字、模拟或混合信号)、软件、往复软件、服务、驱动器、接口、组件、模块、算法、传感器、组件、固件、微代码、可编程逻辑或者能够进行协调以实现逻辑操作的对象。此外,一些逻辑元件由有形非暂态计算机可读介质(其上存储了可执行指令以用于指示处理器执行某个任务)来提供。作为非限制性示例,这种非暂态介质能够包括例如硬盘、固态存储器或盘、只读存储器(ROM)、永久快速存储器(RFM)(例如Intel® 3D Crosspoint™)、外部存储装置、独立盘冗余阵列(RAID)、独立节点冗余阵列(RAIN)、网络附连存储装置(NAS)、光存储装置、磁带驱动器、备份系统、云存储或者以上所述的任何组合。这种介质还能够包括指令,所述指令被编程到FPGA中或者被编码在处理器或ASIC上的硬件中。
图3是按照本说明书的一个或多个示例的网络功能虚拟化(NFV)架构的框图。NFV是网络虚拟化的第二非限制性特性,但是有时被看作是独立实体。NFV最初被设想为提供用于电信服务的降低的资本支出(Capex)和操作费用(Opex)的方法。NFV的一个重要特征是采用在虚拟环境内在商用货架产品(COTS)硬件上运行的虚拟设备来替代专有专用硬件设备。除了Capex和Opex节省之外,NFV还提供更灵便和可适配网络。当网络负载发生变化时,能够供应(“起转”)或去除(“停转”)虚拟网络功能(VNF),以满足网络需求。例如,在高负载时间中,更多负载平衡器VNF可起转,以便将业务分发给更多工作负载服务器(它们本身可以是虚拟机)。在经历更可疑的业务的时间中,可需要附加防火墙或深度分组检查(DPI)设备。
因为NFV作为电信特征而开始,所以许多NFV实例集中在电信上。但是,NFV并不局限于电信服务。广义来说,NFV包括在网络功能虚拟化基础设施(NFVI)内运行的一个或多个VNF。通常,VNF是在线服务功能,其独立于工作负载服务器或其他节点。这些VNF能够一起被链式连接为服务链,该服务链可通过虚拟子网络来定义,并且可包括提供幕后工作的一连串网络服务(例如安全性、登录、记帐等)。
在图3的示例中,NFV编排器(NFVO)302管理在NFVI 304上运行的多个VNF。NFV要求非平凡的资源管理,例如在每个VNF的适当数量的实例之间分配超大的计算资源池,管理VNF之间的连接,确定要分配每个VNF的多少实例,并且管理存储器、存储装置和网络连接。这可要求复杂软件管理,因而要求对于NFV编排器302的需要。
要注意,NFV编排器302本身通常被虚拟化(而不是专用的硬件设备)。NFV编排器302可集成在现有SDN系统内,其中操作支持系统(OSS)管理SDN。这可与虚拟基础设施管理(VIM)系统(例如OpenStack)进行交互,以提供NFV资源。NFVI 304可包括硬件、软件和其他基础设施,以使VNF能够运行。这可包括一个或数个机架的刀片或插槽服务器 (包括例如处理器、存储器和存储装置)、一个或多个数据中心、跨一个或多个地理位置分布的其他硬件资源、硬件交换机或网络接口。NFVI 304还可包括软件架构,其使管理程序能够运行并且由NFV编排器302来管理。在NFVI 304上运行的是多个虚拟机,其中每个在这个示例中是提供虚拟服务设备的VNF。作为非限制性和说明性示例,这些包括:VNF 1 310,其是防火墙;VNF2 312,其是入侵检测系统;VNF 3 314,其是负载平衡器;VNF 4 316,其是路由器;VNF 5318,其是会话边界控制器;VNF 6 320,其是深度分组检查(DPI)服务;VNF 7 322,其是网络地址转换(NAT)模块;VNF 8 324,其提供呼叫安全关联;以及VNF 9 326,其是被起转以满足增加的需求的第二负载平衡器。
防火墙310是安全设备,其基于将业务与“防火墙规则”的列表进行匹配来监测和控制业务(进来和外出二者)。防火墙310可以是在相对受信任(例如内部)网络与相对不受信任网络(例如因特网)之间的屏障。一旦业务通过了防火墙310的检查,则它可被转发到网络的其他部分。
入侵检测312针对恶意活动或策略违规来对网络进行监测。事故可被向安全管理员报告,或者由安全信息和事件管理(SIEM)系统来收集和分析。在一些情况下,入侵检测312还可包括防病毒或者防恶意软件扫描仪。
负载平衡器314和326可将业务转交给一组基本上相同的工作负载服务器,来以公平的方式分发工作。在一个示例中,负载平衡器供应多个业务“桶”,并且将每个桶指配给工作负载服务器。进来的业务基于某一因素(例如源IP地址的哈希)来被指配给桶。因为哈希被假定是公平均匀地分布的,所以每个工作负载服务器接收适当业务量。
路由器316在网络或者子网络之间转发分组。例如,路由器316可包括一个或多个入口接口和多个出口接口,其中每个出口接口与资源、子网络、虚拟专用网络或另一分割关联。当业务在入口接口上进入时,路由器316确定它应当前往什么目的地,并且将分组路由到适当出口接口。
会话边界控制器318控制IP上语音(VoIP)信令以及设立、进行和终止呼叫的媒体流。在这个上下文中,“会话”指代通信事件(例如“呼叫”)。“边界”指代网络的两个不同部分的分界线(与防火墙类似)。
DPI设备320提供深度分组检查,包括不仅检查报头,而且还检查分组的内容,以搜索潜在地不需要的内容(PUC)(例如协议违约行为、恶意软件、病毒、垃圾邮件或入侵)。
NAT模块322提供网络地址转换服务,以便将一个IP地址空间重新映射到另一个(例如将专用子网络内的地址映射到更大的因特网上)。
呼叫安全关联324创建用于呼叫或其他会话的安全关联(参见上述会话边界控制器318)。保持这个安全关联可以是关键的,因为如果安全关联断掉,则呼叫可被丢弃。
图3的图示示出多个VNF已经被供应并且存在于NFVI 304内。这个附图不一定示出VNF与更大网络之间的任何关系。
图4是按照本说明书的一个或多个示例的示例计算系统400的框图。
在这个示例中,计算系统400包括多个计算节点402,即,在这个示例中为节点402-1、402-2和402-3。应当理解,计算系统(例如系统400)可以仅包括一个硬件节点402,或者可包括许多硬件节点402,其包括比在此图中仅作为说明性示例所示的要多许多的硬件节点。
可包含编排器444,以供应和管理多个VNF 408。例如,编排器444可包括基础设施即服务(IaaS)驱动器或者网络栈(例如OpenStack),或者可以是或包括虚拟机管理器和/或管理程序。
编排器444能够指示节点402-1按照VNF描述符(VNFD)452来供应多个VNF 408。这个描述符定义可被要求用来部署VNF的资源,包括处理资源、存储器资源、存储分配、带宽、加速器以及VNF 408可要求的任何其他资源。
某些现有VNFD 452没有包括供VNF的收集的度量。但是按照本说明书的实施例,遥测指纹策略描述(TFPD)也可在VNFD 452内被提供。此TFPD是一种数据结构,其可包含当实例化VNF时用来构建用于该VNF实例的指纹策略的“配方”。在某些实施例中,VNF的供应可包括按照可用度量来过滤可用主机平台。例如,不具有支持TFPD的必要度量的主机平台可不被考虑为在之上进行VNF实例化的候选者。
TFPD的实施例可被配置成提供度量的任何适当集合,包括例如用于测量性能、安全性和/或可靠性的度量。
在部署时,VNFD 452由编排器444来解释。编排器444可包含称作策略合理化模块448的子系统,其接收在VNFD 452中定义的TFPD(作为输入)连同对于指纹识别所要求的上下文(例如性能、安全性、可靠性等)。策略合理化模块448还可接收用于NFVI节点内的资源的任何可用度量作为输入。
策略合理化模块448在每指纹基础上向VNF度量策略服务436(其在节点402-1上运行)输出策略。注意,在这个示例中,VNF 1 408-1、VNF 2 408-2和VNF 3 408-3全部已经在节点402-1上被供应,因此,策略合理化模块448将向VNF度量策略服务436输出到VNF度量策略服务436的每虚拟机的单独策略。
遥测收集器412也可被提供在节点402-1上。作为非限制性示例,遥测收集器412可从性能监测单元(PMU)416、可靠性、可用性和可服务性(RAS)块420、高速缓存监测器424、RDT 428(或类似硬件度量装置)和/或其他传感器432来收集度量。
所收集度量可存储在平台度量440中。遥测收集器412然后可向可用的平台度量440应用策略过滤器,该策略过滤器对每个VNF 408是特定的。这基于每成分有选择性地识别度量,并且还可包括其他配置细节,例如(作为非限制性示例)收集的频率。遥测收集器412还可基于每VNF来标记度量数据,或者换言之,每个度量可与对应VNF 408(其正消耗或使用与那个度量关联的资源)关联。因此,由VNF 1 408-1所使用的硬件资源可按照VNF 1408-1来标记,而分配给VNF 2 408-2的其他硬件资源(即,存储器的不同区域、高速缓存、存储装置、硬件加速器或其他资源)可具有针对VNF 2 408-2被标记的它们的相应度量。
在一个示例中,由遥测收集器412所收集和标记的数据可向指纹分析模块(FAM)456展示。FAM 456可包括参考指纹,其可例如由VNFD 452来提供,并且FAM 456还可按照特定VNF 408的当前操作度量来计算操作指纹。FAM 456将参考指纹与操作指纹进行比较,并且可在滑动窗口上或者按照瞬态变化(例如标准偏差)来计算变化。注意,指纹可以是复合或合成度量,其包括多个因子。因此,单个度量中的小变化可能不足以产生告警条件。但是,离开正常范围达到超过可接受的阈值的程度的单独度量可能是引起标志告警条件的原因。但是,指纹的使用还有利地意味着,如果复合指纹度量随时间推移而超出容差,则这也能够用来标志条件,即使各个度量全部处于它们各自容差之内。
有利地,使度量基于每VNF来被标记支持实现指纹(其能够用来识别VNF间影响,例如有噪邻居)的能力。FAM 456可将给定感兴趣上下文的当前指纹与那个上下文的参考指纹进行比较。
在FAM 456检测到指纹中的差超过阈值(其可以是瞬态阈值,或者其可包括滑动窗口,其中它随时间推移而超过某个方差)的情况下,激发动作触发器可带有适当的元数据来被发送给编排器444,以使编排器444能够调整VNF 408的行为。这能够包括例如供应VNF408的附加实例,或者在性能度量未被满足的情况下分配附加资源或能力(例如存储器、存储装置、处理器或网络带宽),或者在超额供应的情况下降低能力(例如撤消分配VNF的实例,或者降低存储器、存储装置、处理器或网络带宽的分配),采取动作以增加VNF的性能(例如提升或降低服务质量(QoS)或服务级别协定(SLA)度量),在安全事件的情况下采取安全性动作(例如分配防火墙规则或流规则,检测DoS攻击等),校正硬件或软件故障,或者采取其他校正动作。
例如,指纹能够被用来检测例如源于有意拒绝服务攻击或恶意软件感染的异常行为的事件。在这个示例中,编排器444还能够采取适当动作,作为非限制性示例例如配置合乎期望的防火墙规则、运行防病毒扫描器、将受影响VNF 408放入沙箱或其他安全环境中或者运行防病毒服务。
注意,在一些实施例中,激发触发器可对某个周期触发指纹识别的速率的增加,以确保编排器444已成功地缓解问题。
这提供收集平台度量以识别影响服务的问题的极有效和针对性方法。通过使用指纹识别方式(除了单独的度量方式,或替代单独的度量方式),可识别更广泛的系统级别问题或系统问题,这与使用原子度量(其可以仅识别单独事件,或者可能因信号中的简单滞后而触发误报)相反。此外,展示和利用细粒度的度量收集(即,CPU、芯片组、NIC、SSD等)的能力具有充当平台区分器和新基础设施认识的来源的潜力。
图5是按照本说明书的实施例所执行的方法500的流程图。注意,图5的方法500仅作为说明来被提供,并且在方法500中执行的操作可适当地通过结合图4所示的装置中的任何装置或者通过任何其他适当装置来被执行。
在框504中,新VNF实例按照VNFD在硬件平台上被供应,正如先前示例所示。注意,在一些实施例中,供应可包括应用过滤器,例如为遥测能力查询多个主机平台,并且过滤出没有提供用于TFPD的最小遥测能力的主机平台。
在框508中,为新供应的VNF收集VNF特定的度量,包括在VNFD中指定的用来产出VNF的任何度量。
在框516中,接收和过滤可用平台度量512,以为VNF的当前实例准备操作指纹。操作指纹可与例如VNFD中指定的参考指纹进行比较,并且可计算任何差。这能够包括一次性比较,或者可包括在滑动窗口或其他时间周期上进行的比较。在一些实施例中,还可使用频域计算。
在决定框520中,确定是否存在在操作指纹中从参考指纹的变化。这能够包括确定是否存在超过特定阈值的变化或者可在某个时间窗口上计算的变化。
如果不存在变化,则控制返回到框508,并且只要VNF继续运行或者处于另外某个有用计划表之上,则度量能够例如继续被收集。
返回到框520,如果存在操作指纹与参考指纹之间的变化,则在框524中,可采取适当校正动作。此类校正动作可以是例如以上所述那些校正动作中的任一个。
在框598中,该方法结束。
图6是按照本说明书的一个或多个示例的计算平台602A的组件的框图。在所描绘的实施例中,平台602A、602B和602C连同数据中心管理平台606以及数据分析引擎604经由网络608来互连。在其他实施例中,计算机系统可包括任何适当数量(即,一个或多个)平台。在一些实施例中(例如当计算机系统仅包括单个平台时),系统管理平台606的全部或一部分可包含在平台602上。平台602可包括平台逻辑610,平台逻辑610具有一个或多个中央处理单元(CPU)612、存储器614(其可包括任何数量的不同模块)、芯片组616、通信接口618以及任何其他适当硬件和/或软件,用以执行管理程序620或者能够执行与运行于平台602上的应用关联的工作负载的其他操作系统。在一些实施例中,平台602可用作用于调用这些应用的一个或多个宾客系统622的主机平台。平台602A可表示任何适当计算环境,例如高性能计算环境、数据中心、通信服务提供商基础设施(例如演进分组核心的一个或多个部分)、存储器中计算环境、交通工具(例如汽车或飞机)的计算系统、物联网环境、工业控制系统、其他计算环境或者其组合。
在本公开的各个实施例中,监测多个硬件资源(例如核和非核)的累积应力和/或累积应力的速率,以及计算机平台602A的实体(例如系统管理平台606、管理程序620或其他操作系统)可按照应力信息来指配平台逻辑610的硬件资源来执行工作负载。在一些实施例中,自诊断能力可与应力监测相组合,以便更准确地确定硬件资源的健康。每个平台602可包括平台逻辑610。平台逻辑610包括一个或多个CPU 612、存储器614、一个或多个芯片组616和通信接口628以及能够实现平台602的功能性的其他逻辑。虽然示出三个平台,但是计算机平台602A可与任何适当数量的平台互连。在各个实施例中,平台602可驻留于电路板上,电路板被安装在机柜、机架或包括经过网络608(其可包括例如机架或底板交换机)被耦合在一起的多个平台的其他适当结构上。
CPU 612可各自包括任何适当数量的处理器核和支持逻辑(例如非核)。核可经过驻留于CPU 612和/或芯片组616上的一个或多个控制器相互耦合、耦合到存储器614、耦合到至少一个芯片组616和/或耦合到通信接口618。在具体实施例中,CPU 612被实施在插槽(其永久或可移除地耦合到平台602A)内。虽然示出四个CPU,但是平台602可包括任何适当数量的CPU。
存储器614可包括任何形式的易失性或者非易失性存储器,其包括但不限于磁介质(例如一个或多个磁带驱动器)、光介质、随机存取存储器(RAM)、只读存储器(ROM)、闪速存储器、可移除介质或者一个或多个任何其他适当的本地或远程存储器组件。存储器614可由平台602A用于短期、中期和/或长期存储。存储器614可存储平台逻辑610所利用的任何适当数据或信息,包括嵌入计算机可读介质中的软件和/或被结合在硬件中或者以其他方式存储(例如固件)的被编码逻辑。存储器614可存储CPU 612的核所使用的数据。在一些实施例中,存储器614还可包括用于指令的存储,所述指令可由CPU 612的核或其他处理元件(例如驻留于芯片组616上的逻辑)来执行,以提供与可管理引擎626或平台逻辑610的其他组件关联的功能性。平台602还可包括一个或多个芯片组616,其包括任何适当逻辑,以支持CPU612的操作。在各个实施例中,芯片组616可驻留于与CPU 612相同的管芯或封装上,或者驻留于一个或多个不同管芯或封装上。每个芯片组可支持任何适当数量的CPU 612。芯片组616还可包括一个或多个控制器,以便将平台逻辑610的其他组件(例如通信接口618或存储器614)耦合到一个或多个CPU。在所描绘的实施例中,每个芯片组616还包括可管理引擎626。可管理引擎626可包括任何适当逻辑,以支持芯片组616的操作。在具体实施例中,可管理引擎626(其又可称作创新引擎)能够从芯片组616、CPU 612和/或芯片组616所管理的存储器614、平台逻辑610的其他组件和/或平台逻辑610的组件之间的各种连接来收集实时遥测数据。在各个实施例中,所收集的遥测数据包括本文所述的应力信息。
在各个实施例中,可管理引擎626作为带外异步计算代理进行操作,其能够与平台逻辑610的各种元件进行接口,以便在不对CPU 612上的运行进程造成中断或造成最小中断的情况下来收集遥测数据。例如,可管理引擎626可包括芯片组616上的专用处理元件(例如处理器、控制器或另一逻辑),其提供可管理引擎626的功能性(例如通过执行软件指令),从而保存用于与平台逻辑610执行的工作负载关联的操作的CPU 612的处理周期。此外,用于可管理引擎626的专用逻辑可相对CPU 612异步操作,并且可采集至少一些的遥测数据,而不增加CPU上的负载。
可管理引擎626可处理它所收集的遥测数据(本文将提供对应力信息的处理的具体示例)。在各个实施例中,可管理引擎626向计算机系统中的其他元件(例如一个或多个管理程序620或其他操作系统和/或系统管理软件(其可运行于任何适当逻辑、例如系统管理平台606上))报告它所收集的数据和/或其处理结果。在具体实施例中,可在用于报告遥测数据的正常间隔之前报告关键事件,例如已经累积了过量应力的核(例如可在检测到时立即发送通知)。
另外,可管理引擎626可包括可编程代码,其可配置成设置特定芯片组616将管理哪一个(哪些)CPU 612和/或哪一个遥测数据将被收集。
芯片组616还各自包括通信接口628。通信接口628可用于芯片组616与一个或多个I/O装置、一个或多个网络608和/或耦合到网络608的一个或多个装置(例如系统管理平台606)之间的信令和/或数据的传递。例如,通信接口628可用来发送和接收网络业务、例如数据分组。在具体实施例中,通信接口628包括一个或多个物理网络接口控制器(NIC)、又称作网络接口卡或网络适配器。NIC可包括使用任何适当物理层和数据链路层标准(例如以太网(例如通过IEEE 802.3标准所定义的)、光纤信道、InfiniBand、Wi-Fi或另一适当标准)进行通信的电子电路。NIC可包括一个或多个物理端口,其可耦合到电缆(例如以太网电缆)。NIC可能够实现芯片组616的任何适当元件(例如可管理引擎626或交换机630)与耦合到网络608的另一个装置之间的通信。在各个实施例中,NIC可与芯片组相集成(即,可在与芯片组逻辑的其余部分相同的集成电路或电路板上),或者可在机电耦合到芯片组的不同集成电路或电路板上。
在具体实施例中,通信接口628可允许与可管理引擎626所执行的管理和监测功能关联的(例如在可管理引擎626与数据中心管理平台606之间的)数据的传递。在各个实施例中,可管理引擎626可利用通信接口628的元件(例如一个或多个NIC)来(例如向系统管理平台606)报告遥测数据,以便保留通信接口618的NIC的使用以用于与平台逻辑610所执行的工作负载关联的操作。
交换机630可耦合到通信接口628的各个端口(例如通过NIC提供的),并且可在这些端口与芯片组616的各个组件(例如耦合到CPU 612的一个或多个外设组件互连高速(PCIe)通道)之间交换数据。交换机630可以是物理或虚拟(即,软件)交换机。
平台逻辑610可包括附加通信接口618。与通信接口628相似,通信接口618可用于平台逻辑610与一个或多个网络608和耦合到网络608的一个或多个装置之间的信令和/或数据的传递。例如,通信接口618可用来发送和接收网络业务,例如数据分组。在具体实施例中,通信接口618包括一个或多个物理NIC。这些NIC可能够实现平台逻辑610的任何适当元件(例如CPU 512或存储器514)与耦合到网络608的另一个装置(例如其他平台的元件或者经过一个或多个网络耦合到网络608的远程计算装置)之间的通信。
平台逻辑610可接收并执行任何适当类型的工作负载。工作负载可包括利用平台逻辑610的一个或多个资源(例如一个或多个核或关联逻辑)的任何请求。例如,工作负载可包括:实例化软件组件(例如I/O装置驱动器624或宾客系统622)的请求;处理从虚拟机632或者平台602A外部的装置(例如耦合到网络608的网络节点)所接收的网络分组的请求;执行与宾客系统622、运行于平台602A上的应用、管理程序620或者运行于平台602A上的其他操作系统关联的进程或线程的请求;或者其他适当的处理请求。
虚拟机632可采用其自己的专用硬件来模拟计算机系统。虚拟机632可运行在管理程序620之上的宾客操作系统。平台逻辑610的组件(例如CPU 612、存储器614、芯片组616和通信接口618)可被虚拟化,使得在宾客操作系统看来虚拟机632具有其自己的专用组件。
虚拟机632可包括虚拟化NIC(vNIC),其由虚拟机用作其网络接口。vNIC可被指配媒体接入控制(MAC)地址或其他标识符,因而允许多个虚拟机632在网络中是单独可寻址的。
VNF 634可包括功能构建块的软件实现,其具有能够部署在虚拟化基础设施中的定义的接口和行为。在具体实施例中,VNF 634可包括一个或多个虚拟机632,其共同提供特定功能性(例如广域网(WAN)优化、虚拟专用网络(VPN)端接、防火墙操作、负载平衡操作、安全功能等)。运行于平台逻辑610的VNF 634可提供与经过专用硬件实现的传统网络组件相同的功能性。例如,VNF 634可包括执行任何适当NFV工作负载的组件,例如虚拟化演进分组核心(vEPC)组件、移动管理实体、第三代合作伙伴项目(3GPP)控制和数据平面组件等。
SFC 636是组织为链以执行一系列操作(例如网络分组处理操作)的一组VNF 634。服务功能链接可提供定义在网络中被拼接在一起以创建服务链的网络服务(例如防火墙、负载平衡器)的有序列表的能力。
管理程序620(又称作虚拟机监测器)可包括创建和运行宾客系统622的逻辑。管理程序620可给予虚拟机所运行的宾客操作系统虚拟操作平台(即,当虚拟机实际合并到单个硬件平台上时,对于虚拟机看起来像是它们正运行于独立的物理节点之上),并管理平台逻辑610对宾客操作系统的执行。管理程序620的服务可通过在软件中的虚拟化或者经过硬件辅助资源(其要求最小的软件干预)或者这两者来被提供。多种来宾操作系统的多个实例可由管理程序620来管理。各平台602可具有管理程序620的独立实例化。
管理程序620可以是原生或裸机管理程序,其直接运行于平台逻辑610上,以控制平台逻辑并且管理宾客操作系统。备选地,管理程序620可以是托管管理程序,其在主操作系统上运行,并且从主操作系统来抽象宾客操作系统。管理程序620可包括虚拟交换机638,其可向宾客系统622的虚拟机提供虚拟交换和/或路由功能。虚拟交换机638可包括逻辑交换构造,其将虚拟机632的vNIC相互耦合,因而创建虚拟网络,经过该虚拟网络,虚拟机可相互通信。
虚拟交换机638可包括软件元件,其使用平台逻辑610的组件来被执行。在各个实施例中,管理程序620可与任何适当实体(例如SDN控制器)进行通信,所述任何适当实体可使管理程序620响应于改变平台602中的条件(例如虚拟机632的添加或删除或者识别可被做出以增强平台性能的优化)而重新配置虚拟交换机638的参数。
管理程序620还可包括资源分配逻辑644,其可包括用于基于遥测数据(其可包括应力信息)来确定平台资源的分配的逻辑。资源分配逻辑644还可包括用于与平台602A的平台逻辑610实体的各种组件(例如平台逻辑610的组件)进行通信以实现此类优化的逻辑。
任何适当逻辑可做出这些优化决定中的一个或多个。例如,系统管理平台606;管理程序620或其他操作系统的资源分配逻辑644;或者计算机平台602A的其他逻辑可以能够做出此类决定。在各个实施例中,系统管理平台606可从多个平台602接收遥测数据并跨所述多个平台602管理工作负载布置。系统管理平台606可与管理程序620(例如按照带外方式)或者各种平台602的其他操作系统进行通信,以实现系统管理平台所指引的工作负载布置。
平台逻辑610的元件可按照任何适当方式耦合在一起。例如,总线可将组件中的任何组件耦合在一起。总线可包括任何已知互连,例如多点总线、网格互连、环形互连、点对点互连、串行互连、并行总线、一致(例如高速缓存一致)总线、分层协议架构、差分总线或Gunning收发器逻辑(GTL)总线。
计算机平台602A的元件可按照任何适当方式、例如经过一个或多个网络608耦合在一起。网络608可以是任何适当网络或者使用一个或多个适当网络化协议进行操作的一个或多个网络的组合。网络可表示用于接收和传送信息分组(其经过通信系统传播)的一系列节点、点和互连的通信路径。例如,网络可包括一个或多个防火墙、路由器、交换机、安全设备、防病毒服务器或其他有用网络装置。
图7示出按照某些实施例的中央处理单元(CPU)712的框图。虽然CPU 712描绘特定配置,但是CPU 712的核和其他组件可按照任何适当方式来布置。CPU 712可包括任何处理器或处理装置,例如微处理器、嵌入式处理器、数字信号处理器(DSP)、网络处理器、应用处理器、协处理器、片上系统(SOC)或者执行代码的其他装置。在所描绘的实施例中,CPU 712包括四个处理元件(在所描绘的实施例中的核730),其可包括不对称处理元件或者对称处理元件。但是,CPU 712可包括任何数量的处理元件,其可以是对称或者不对称的。
硬件处理元件的示例包括:线程单元;线程插槽;线程;进程单元;上下文;上下文单元;逻辑处理器;硬件线程;核;和/或能够保持处理器的状态(例如执行状态或架构状态)的任何其他元件。换言之,在一个实施例中,处理元件指代能够与代码(例如软件线程、操作系统、应用或其他代码)独立地关联的任何硬件。物理处理器(或处理器插座)通常指代集成电路,其潜在地包括任何数量的其他处理元件(例如核或硬件线程)。
核可指代位于集成电路上的逻辑,其能够保持独立的架构状态,其中每个独立地被保持的架构状态与至少一些专用执行资源关联。硬件线程可指代位于集成电路上的任何逻辑,其能够保持独立的架构状态,其中独立地被保持的架构状态共享对执行资源的接入。物理CPU可包括任何适当数量的核。在各个实施例中,核可包括一个或多个无序处理器核或者一个或多个有序处理器核。但是,核可从任何类型的核单独地被选择,例如原生核、软件管理的核、适于执行原生指令集架构(ISA)的核、适于执行转换的ISA的核、共同设计的核或者其他已知的核。在异构核环境(即,不对称核)中,某种形式的转换(例如二进制转换)可用来调度或执行在一个或两个核上的代码。
在所描绘的实施例中,核730A包括无序处理器,其具有用来取进入的指令、执行各种处理(例如缓存、解码、分支预测等)并且将指令/操作传递到无序(OOO)引擎的前端单元770。OOO引擎对解码的指令执行进一步处理。
前端770可包括耦合到取逻辑的解码模块,以便对所取元素进行解码。在一个实施例中,取逻辑包括与核730的线程插槽关联的各个序列器。通常,核730与第一ISA关联,其定义/指定在核730上可执行的指令。通常,作为第一ISA的部分的机器代码指令包括一部分指令(称作操作码),这部分指令引用/指定要执行的指令或操作。解码模块可包括从指令的操作码来识别这些指令并在流水线中传递解码的指令以便进行处理(如第一ISA所定义)的电路。在一个实施例中,核730的解码器识别相同ISA(或者其子集)。备选地,在异构核环境中,一个或多个核(例如核730B)的解码器可识别第二ISA(第一ISA的子集或者不同ISA)。
在所描绘的实施例中,无序引擎包括分配单元782,以便从前端单元770接收解码指令(其可采取一个或多个微指令或μop的形式),并且将它们分配给适当资源(例如寄存器等)。随后,将指令提供给保留站784,其保留资源,并且调度他们以供在多个执行单元786A-786N其中之一上执行。各种类型的执行单元可存在,包括例如算术逻辑单元(ALU)、加载和存储单元、向量处理单元(VPU)、浮点执行单元等等。来自这些不同执行单元的结果被提供给再安排缓冲器(ROB)788,其获取无序的结果,并且使它们返回正确程序顺序。
在所描绘的实施例中,前端单元770和无序引擎780均耦合到存储器分级结构的不同等级。具体所示的是指令级高速缓存772,其进而耦合到中级高速缓存776(其进而耦合到末级高速缓存795)。在一个实施例中,末级高速缓存795在片上(有时称作非核)单元790中实现。非核790可与系统存储器799进行通信,系统存储器799在所示实施例中经由嵌入式DRAM(eDRAM)来实现。OOO引擎780内的各种执行单元686与第一级高速缓存774进行通信,第一级高速缓存774还与中级高速缓存776进行通信。附加核730B-730D也可耦合到末级高速缓存795。
在具体实施例中,非核790可处于与核的电压域和/或频域分开的电压域和/或频域中。也就是说,非核790可由与用来向核供电的电源电压不同的电源电压来供电,和/或可操作在与核的操作频率不同的频率。
CPU 712还可包括功率控制单元(PCU)740。在各个实施例中,PCU 740可控制施加到核的每个(基于每核)和非核的电源电压和操作频率。PCU 740还在不执行工作负载时指示核或非核进入空闲状态(其中不供应电压和时钟)。
在各个实施例中,PCU 740可检测硬件资源(例如核和非核)的一个或多个应力特性。应力特性可包括置于硬件资源上的应力量的指示。作为示例,应力特性可以是:施加到硬件资源的电压或频率;在硬件资源所感测的功率级别、电流级别、或电压级别;在硬件资源所感测的温度;或者其他适当测量。在各个实施例中,特定应力特性的多个测量(例如在不同位置)可在特定时刻感测应力特性时被执行。在各个实施例中,PCU 740可以以任何适当间隔来检测应力特性。
在各个实施例中,PCU 740是与核730分立的组件。在具体实施例中,PCU 740以与核630所使用的时钟频率不同的时钟频率运行。在其中PCU是微控制器的一些实施例中,PCU740按照与核730所使用的ISA不同的ISA来执行指令。
在各个实施例中,CPU 712还可包括非易失性存储器750,以存储与核730或非核790关联的应力信息(例如应力特性、递增的应力值、累积的应力值、应力累积速率或者其他应力信息),使得当电力丢失时,应力信息被保持。
以上内容概述本文所公开主题的一个或多个实施例的特征。提供这些实施例,以便使本领域的技术人员(PHOSITA)能够更好地了解本公开的各个方面。某些充分被了解的术语以及基本的技术和/或标准可在不进行详细描述的情况下被引用。预计PHOSITA将拥有或能得到足够的在在那些技术和标准中的背景知识或信息以实践本说明书的教导。
PHOSITA将领会到,他们可易于将本公开用作用于设计或修改用于实现相同目的和/或实现本文所引入的实施例的相同优点的其他过程、结构或变化的基础。PHOSITA还将会认知到,此类等效构造没有背离本公开的精神和范围,并且他们可在本文中做出各种更改、置换和变更,而不背离本公开的精神和范围。
在以上描述中,一些或全部实施例的某些方面比为了实践所附权利要求所严格需要的还要详细地被描述。这些细节仅作为非限制性示例来被提供,以便于提供所公开实施例的上下文和图示。这类细节不应当被理解为是被要求的,并且不应当被“曲解”为权利要求作为限制。该短语可指代“一实施例”或“实施例”。这些短语以及对实施例的任何其他引用应当广义地被理解为指代一个或多个实施例的任何组合。此外,具体“实施例”中公开的若干特征也能够只分布于多个实施例。例如,如果在“一实施例”中公开特征1和2,则实施例A可具有特征1但没有特征2,而实施例B可具有特征2但没有特征1。
本说明书可按照框图形式提供图示,其中在分开的框中公开某些特征。这些应当被广义理解为公开各种特征如何互操作,但不是意在暗示那些特征必须必然在分开的硬件或软件中实施。此外,在单个框公开同一框中的多于一个特征的情况下,那些特征无需一定在同一硬件和/或软件中实施。例如,计算机“存储器”在一些情况下能够分布或映射在多级高速缓存或本地存储器、主存储器、电池支持的易失性存储器以及各种形式的永久存储器(例如硬盘、存储服务器、光盘、磁带驱动器等)之间。在某些实施例中,一些组件可被省略或合并。在一般意义上,附图中所描绘的布置在它们的表示中可以是更加逻辑的,而物理架构可包括这些元件的各种置换、组合和/或混合。无数可能设计配置能够用来实现本文概述的操作目标。相应地,关联基础设施具有无数的替换布置、设计选择、装置可能性、硬件配置、软件实现和设备选项。
本文中可引用计算机可读介质,其可以是有形和非暂态计算机可读介质。在本说明书中以及权利要求书通篇中使用时,“计算机可读介质”应当被理解为包括相同或不同类型的一个或多个计算机可读介质。作为非限制性示例,计算机可读介质可包括光盘驱动器(例如CD/DVD/蓝光)、硬盘驱动器、固态驱动器、闪速存储器或其他非易失性介质。计算机可读介质还能够包括诸如只读存储器(ROM)的介质、FPGA或ASIC,其配置成执行期望指令、被存储的用于将FPGA或ASIC编程为执行期望指令的指令、能够在硬件中集成到其他电路中的知识产权(IP)块、或者直接编码到硬件中的指令或在处理器(例如微处理器、数字信号处理器(DSP)、微控制器)上或者在适当情况下并且基于特定需要的任何其他适当组件、装置、元件或对象中的微代码。本文中的非暂态存储介质明确地意在包括任何非暂态专用或可编程硬件,其配置成提供所公开的操作或者使处理器执行所公开的操作。
各种元件在本说明书和权利要求书中通篇可“在通信上”、“电”、“机械”或者以其他方式相互“耦合”。这种耦合可以是直接、点对点耦合,或者可包括中间装置。例如,两个装置可经由控制器(其促进通信)在通信上相互耦合。装置可经由中间装置(例如信号增强器、电压分割器或缓冲器)相互电耦合。机械耦合的装置可间接地机械耦合。
本文中所公开的任何“模块”或“引擎”可指代或包括软件;软件栈;硬件、固件和/或软件的组合;配置成执行引擎或模块的功能的电路;或者如上所公开的任何计算机可读介质。这类模块或引擎在适当情况下可在硬件平台(其可包括硬件计算资源,例如处理器、存储器、存储装置、互连、网络和网络接口、加速器或其他适当硬件)上提供或者与硬件平台结合提供。这种硬件平台可作为单个单片装置(例如按照PC形状因子)来被提供,或者采用其中一些或部分功能是分布式的(例如高端数据中心中的“复合节点”,其中计算、存储器、存储装置和其他资源可动态地被分配并且无需是对彼此是本地的)来被提供。
本文中可公开有示出按照特定顺序执行的操作的流程图、信号流程图或其他图示。除非另外明确指出或者除非在特定上下文中被要求,否则顺序应当被理解为只是非限制性示例。此外,在其中一个操作被示为跟随另一个的情况下,其他中介操作也可发生,其可以是相关或者不相关的。一些操作还可同时或并行被执行。在其中操作被说成是“基于”或“按照”另一项或操作的情况下,这应当被理解为暗示操作至少部分基于或者至少部分按照另一项或操作。这不应当被理解为暗示该操作仅或者排他地基于或者仅或者排他地按照该项或操作。
本文中所公开的任何硬件元件的全部或部分可易于在片上系统(SoC)(包括中央处理单元(CPU)封装)中被提供。SoC表示一种集成电路(IC),其将计算机或其他电子系统的组件集成到单个芯片中。因此,例如,客户端装置或服务器装置可完全或部分地在SoC中被提供。SoC可包含数字、模拟、混合信号和射频功能,其全部可在单个芯片衬底上被提供。其他实施例可包括多芯片模块(MCM),其中多个芯片位于单个电子封装中,并且配置成通过电子封装相互密切交互。
在一般意义上,任何适当配置的电路或处理器能够执行与数据关联的任何类型的指令,以实现本文详述的操作。本文所公开的任何处理器能够将元件或制品(例如数据)从一种状态或事物变换成另一种状态或事物。此外,在处理器中被跟踪、发送、接收或存储的信息能够基于特定需要和实现在任何数据库、寄存器、表、高速缓存、队列、控制列表或存储结构中被提供,其全部能够在任何适当的时间帧中被引用。本文所公开的存储器或存储元件中的任一个应当被理解为适当地包含在广义术语‘存储器’和‘存储装置’中。
实现本文中所述的全部或部分功能性的计算机程序逻辑按照各种形式来被实施,包括但决不限于源代码形式、计算机可执行形式、机器指令或微码、可编程硬件和各种中间形式(例如由汇编器、编译器、链接器或定位器所生成的形式)。在一示例中,源代码包括采用各种编程语言(例如,对象代码、汇编语言或者供各种操作系统或操作环境使用的诸如OpenCL、FORTRAN、C、C++、JAVA或HTML之类的高级语言)或者采用硬件描述语言(例如Spice、Verilog和VHDL)所实现的一系列计算机程序指令。源代码可定义和使用各种数据结构和通信消息。源代码可采取计算机可执行形式(例如经由解释器),或者源代码可被转变(例如,经由转换器、汇编器或编译器)为计算机可执行形式或者被转变成中间形式,例如字节代码。在适当的情况下,以上所述的任一个可用来构建或描述适当分立或集成电路,无论是顺序的、组合的、状态机还是其他。
在一个示例实施例中,附图的任何数量的电路可在关联电子装置的板上实现。板能够是通用电路板,其能够容纳电子装置的内部电子系统的各种组件,并且还为其他外设提供连接器。任何适当处理器和存储器能够基于特定配置需要、处理需求和计算设计适当地耦合到板。注意,对于本文所提供的许多示例,可按照二个、三个、四个或更多电气组件来描述交互。但是,这只是为了清楚起见和举例而进行。应当领会到的是,系统能够按照任何适当方式来被合并或重新配置。按照类似的设计备选方案,附图的任何所示组件、模块和元件可按照各种可能的配置相组合,其全部落入本说明书的广义范围之内。
许多其他的更改、替换、变更、改变和修改是本领域的技术人员可确定的,并且本公开意在包含如落入所附权利要求书的范围之内的所有这类更改、替换、变更、改变和修改。为了帮助美国专利商标局(USPTO)以及还有在本申请上所发布的任何专利的任何读者理解在此所附的权利要求书,申请人希望指出,申请人:(a)并不预期所附权利要求的任一项调用35 U.S.C第112小节的第六(6)段(pre-AIA)或者同一小节的第(f)段(post-AIA),因为它在其提交日期存在,除非在具体权利要求中具体使用词语“用于…的部件”或者“用于…的步骤”;以及(b)并不预期通过本说明书中的任何陈述来以没有在所附权利要求书中另加明确反映的任何方式来限制本公开。
本公开/申请提供了如下的技术方案:
1.一种数据中心编排器,包括:
硬件平台;
主机构造接口,用来将所述编排器在通信上耦合到网络;
编排器引擎,用来提供数据中心编排功能;以及
数据结构,所述数据结构包括网络功能虚拟化定义(NFVD)实例,所述NFVD实例包括用于在主机平台上实例化虚拟网络功能(VNF)的定义,所述定义包括用于所述VNF的遥测指纹策略描述(TFPD),其中所述TFPD包括用来收集从对于所述主机平台可用的遥测数据的集合选择的遥测数据的信息。
2.如技术方案1所述的数据中心编排器,其中,所述TFPD包括多个上下文特定指纹。
3.如技术方案2所述的数据中心编排器,其中,从由性能、安全性和可靠性所组成的群组中选择所述上下文。
4.如技术方案1所述的数据中心编排器,还包括用来执行下列步骤的策略合理化模块:
按照所述VNFD来供应VNF实例;以及
应用所述TFPD,以构建用于所述VNF实例的指纹策略。
5.如技术方案4所述的数据中心编排器,其中,构建所述VNF策略包括从所述主机平台接收用于所述硬件平台的可用度量的列表。
6.如技术方案5所述的数据中心编排器,其中,供应所述VNF实例包括查询多个主机平台,并且过滤出将不提供所述TFPD所要求的遥测的主机平台。
7.如技术方案1所述的数据中心编排器,还包括指纹分析模块,所述指纹分析模块用来从所述VNF实例接收遥测,将所述遥测与参考指纹进行比较,并且按所述比较采取动作。
8.如技术方案7所述的数据中心编排器,其中,按所述比较采取动作包括采取安全性动作。
9.如技术方案7所述的数据中心编排器,其中,按所述比较采取动作包括采取可靠性动作。
10.如技术方案7所述的数据中心编排器,其中,按所述比较采取动作包括采取性能动作。
11.如技术方案10所述的数据中心编排器,其中,所述性能动作包括分配附加能力。
12.如技术方案10所述的数据中心编排器,其中,所述性能动作包括降低能力。
13.一个或多个有形非暂态计算机可读存储介质,其上存储有指令,所述指令用来促使硬件平台:
在通信上耦合网络;
提供数据中心编排功能;以及
分配数据结构,所述数据结构包括网络功能虚拟化定义(NFVD)实例,所述NFVD实例包括用于在主机平台上实例化虚拟网络功能(VNF)的定义,所述定义包括用于所述VNF的遥测指纹策略描述(TFPD),其中所述TFPD包括用来收集从对于所述主机平台可用的遥测数据的集合选择的遥测数据的信息。
14.如技术方案13所述的一个或多个有形非暂态计算机可读介质,其中,所述TFPD包括多个上下文特定指纹。
15.如技术方案14所述的一个或多个有形非暂态计算机可读介质,其中,从由性能、安全性和可靠性所组成的群组中选择所述上下文。
16.如技术方案13所述的一个或多个有形非暂态计算机可读介质,其中,所述指令还促使所述硬件平台:
按照所述VNFD来供应VNF实例;以及
应用所述TFPD,以构建用于所述VNF实例的指纹策略。
17.如技术方案16所述的一个或多个有形非暂态计算机可读介质,其中,构建所述VNF策略包括从所述主机平台接收用于所述硬件平台的可用度量的列表。
18.如技术方案17所述的一个或多个有形非暂态计算机可读介质,其中,供应所述VNF实例包括查询多个主机平台,并且过滤出将不提供所述TFPD所要求的遥测的主机平台。
19.如技术方案13所述的一个或多个有形非暂态计算机可读介质,其中,所述指令还促使所述硬件平台从所述VNF实例接收遥测,将所述遥测与参考指纹进行比较,并且按所述比较采取动作。
20.如技术方案19所述的一个或多个有形非暂态计算机可读介质,其中,按所述比较采取动作包括采取安全性动作。
21.如技术方案19所述的一个或多个有形非暂态计算机可读介质,其中,按所述比较采取动作包括采取可靠性动作。
22.如技术方案19所述的一个或多个有形非暂态计算机可读介质,其中,按所述比较采取动作包括采取性能动作。
23.如技术方案22所述的一个或多个有形非暂态计算机可读介质,其中,从由分配附加能力和降低能力所组成的群组中选择所述性能动作。
24.一种数据中心主机平台,包括:
硬件平台,所述硬件平台包括遥测收集能力;
主机构造接口,用来将所述硬件平台在通信上耦合到网络;
用来在所述硬件平台上运行虚拟网络功能(VNF)实例的逻辑;以及
遥测收集器,所述遥测收集器用来执行下列步骤:
接收所述VNF实例特定的遥测指纹策略;
按照所述遥测指纹策略从用于所述VNF的所述硬件平台收集遥测;以及
经由所述HFI向编排器报告所述遥测。
25.如技术方案24所述的数据中心主机平台,其中,收集遥测包括采用所述VNF实例特定的标签来标记遥测数据。
示例实现
作为说明来提供下列示例。
示例1包括一种数据中心编排器,其包括:硬件平台;主机构造接口,用来将所述编排器在通信上耦合到网络;编排器引擎,用来提供数据中心编排功能;以及数据结构,所述数据结构包括网络功能虚拟化定义(NFVD)实例,所述NFVD实例包括用于在主机平台上实例化虚拟网络功能(VNF)的定义,所述定义包括用于所述VNF的遥测指纹策略描述(TFPD),其中所述TFPD包括用来收集从对于所述主机平台可用的遥测数据的集合选择的遥测数据的信息。
示例2包括示例1所述的数据中心编排器,其中,所述TFPD包括多个上下文特定指纹。
示例3包括示例2所述的数据中心编排器,其中,从由性能、安全性和可靠性所组成的群组中选择所述上下文。
示例4包括示例1所述的数据中心编排器,还包括用来执行下列步骤的策略合理化模块:按照所述VNFD来供应VNF实例;以及应用所述TFPD,以构建用于所述VNF实例的指纹策略。
示例5包括示例4所述的数据中心编排器,其中,构建所述VNF策略包括从所述主机平台接收用于所述硬件平台的可用度量的列表。
示例6包括示例5所述的数据中心编排器,其中,供应所述VNF实例包括查询多个主机平台,并且过滤出将不提供所述TFPD所要求的遥测的主机平台。
示例7包括示例1-6任一项所述的数据中心编排器,还包括指纹分析模块,所述指纹分析模块用来从所述VNF实例接收遥测,将所述遥测与参考指纹进行比较,并且按所述比较采取动作。
示例8包括示例7所述的数据中心编排器,其中,按所述比较采取动作包括采取安全性动作。
示例9包括示例7所述的数据中心编排器,其中,按所述比较采取动作包括采取可靠性动作。
示例10包括示例7所述的数据中心编排器,其中,按所述比较采取动作包括采取性能动作。
示例11包括示例10所述的数据中心编排器,其中,所述性能动作包括分配附加能力。
示例12包括示例10所述的数据中心编排器,其中,所述性能动作包括降低能力。
示例13包括一个或多个有形非暂态计算机可读存储介质,其上存储有指令,所述指令用来促使硬件平台:在通信上耦合网络;提供数据中心编排功能;以及分配数据结构,所述数据结构包括网络功能虚拟化定义(NFVD)实例,所述NFVD实例包括用于在主机平台上实例化虚拟网络功能(VNF)的定义,所述定义包括用于所述VNF的遥测指纹策略描述(TFPD),其中所述TFPD包括用来收集从对于所述主机平台可用的遥测数据的集合选择的遥测数据的信息。
示例14包括示例13所述的一个或多个有形非暂态计算机可读介质,其中,所述TFPD包括多个上下文特定指纹。
示例15包括示例14所述的一个或多个有形非暂态计算机可读介质,其中,从由性能、安全性和可靠性所组成的群组中选择所述上下文。
示例16包括示例13所述的一个或多个有形非暂态计算机可读介质,其中,所述指令还促使所述硬件平台:按照所述VNFD来供应VNF实例;以及应用所述TFPD,以构建用于所述VNF实例的指纹策略。
示例17包括示例16所述的一个或多个有形非暂态计算机可读介质,其中,构建所述VNF策略包括从所述主机平台接收用于所述硬件平台的可用度量的列表。
示例18包括示例17所述的一个或多个有形非暂态计算机可读介质,其中,供应所述VNF实例包括查询多个主机平台,并且过滤出将不提供所述TFPD所要求的遥测的主机平台。
示例19包括示例13-18任一项所述的一个或多个有形非暂态计算机可读介质,其中,所述指令还促使所述硬件平台从所述VNF实例接收遥测,将所述遥测与参考指纹进行比较,并且按所述比较采取动作。
示例20包括示例19所述的一个或多个有形非暂态计算机可读介质,其中,按所述比较采取动作包括采取安全性动作。
示例21包括示例19所述的一个或多个有形非暂态计算机可读介质,其中,按所述比较采取动作包括采取可靠性动作。
示例22包括示例19所述的一个或多个有形非暂态计算机可读介质,其中,按所述比较采取动作包括采取性能动作。
示例23包括示例22所述的一个或多个有形非暂态计算机可读介质,其中,所述性能动作包括分配附加能力。
示例24包括示例22所述的一个或多个有形非暂态计算机可读介质,其中,所述性能动作包括降低能力。
示例25包括一种提供数据中心中的遥测的方法,包括:在通信上耦合网络;提供数据中心编排功能;以及分配数据结构,所述数据结构包括网络功能虚拟化定义(NFVD)实例,所述NFVD实例包括用于在主机平台上实例化虚拟网络功能(VNF)的定义,所述定义包括用于所述VNF的遥测指纹策略描述(TFPD),其中所述TFPD包括用来收集从对于所述主机平台可用的遥测数据的集合选择的遥测数据的信息。
示例26包括示例25所述的方法,其中,所述TFPD包括多个上下文特定指纹。
示例27包括示例26所述的方法,其中,从由性能、安全性和可靠性所组成的群组中选择所述上下文。
示例28包括示例25所述的方法,还包括:按照所述VNFD来供应VNF实例;以及应用所述TFPD,以构建用于所述VNF实例的指纹策略。
示例29包括示例28所述的方法,其中,构建所述VNF策略包括从所述主机平台接收用于所述硬件平台的可用度量的列表。
示例30包括示例29所述的方法,其中,供应所述VNF实例包括查询多个主机平台,并且过滤出将不提供所述TFPD所要求的遥测的主机平台。
示例31包括示例25-30任一项所述的方法,其中所述指令进一步促使所述硬件平台从所述VNF实例接收遥测,将所述遥测与参考指纹进行比较,并且按所述比较采取动作。
示例32包括示例31所述的方法,其中,按所述比较采取动作包括采取安全性动作。
示例33包括示例32所述的方法,其中,按所述比较采取动作包括采取可靠性动作。
示例34包括示例32所述的方法,其中,按所述比较采取动作包括采取性能动作。
示例35包括示例34所述的方法,其中,所述性能动作包括分配附加能力。
示例36包括示例34所述的方法,其中,所述性能动作包括降低能力。
示例37包括一种设备,其包括用于执行示例25-36任一项所述的方法的部件。
示例38包括示例37的设备,其中存储器包括机器可读指令,所述指令在被执行时促使设备执行示例25-36任一项所述的方法。
示例39包括示例37-38任一项所述的设备,其中设备是计算系统。
示例40包括含有指令的至少一个计算机可读介质,所述指令在被执行时实现如示例25-39任一项中所要求保护的方法或实现如示例25-39任一项中所要求保护的设备。
示例41包括一种数据中心主机平台,包括:硬件平台,所述硬件平台包括遥测收集能力;主机构造接口,用来将所述硬件平台在通信上耦合到网络;用来在所述硬件平台上运行虚拟网络功能(VNF)实例的逻辑;以及遥测收集器,所述遥测收集器用来执行下列步骤:接收所述VNF实例特定的遥测指纹策略;按照所述遥测指纹策略从用于所述VNF的所述硬件平台收集遥测;以及经由所述HFI向编排器报告所述遥测。
示例42包括示例41所述的数据中心主机平台,其中,收集遥测包括采用所述VNF实例特定的标签来标记遥测数据。

Claims (25)

1.一种数据中心编排器,包括:
硬件平台;
主机构造接口,用来将所述编排器在通信上耦合到网络;
编排器引擎,用来提供数据中心编排功能;以及
数据结构,所述数据结构包括网络功能虚拟化定义(NFVD)实例,所述NFVD实例包括用于在主机平台上实例化虚拟网络功能(VNF)的定义,所述定义包括用于所述VNF的遥测指纹策略描述(TFPD),其中所述TFPD包括用来收集从对于所述主机平台可用的遥测数据的集合选择的遥测数据的信息。
2.如权利要求1所述的数据中心编排器,其中,所述TFPD包括多个上下文特定指纹。
3.如权利要求2所述的数据中心编排器,其中,从由性能、安全性和可靠性所组成的群组中选择所述上下文。
4. 如权利要求1所述的数据中心编排器,还包括用来执行下列步骤的策略合理化模块:
按照所述VNFD来供应VNF实例;以及
应用所述TFPD,以构建用于所述VNF实例的指纹策略。
5.如权利要求4所述的数据中心编排器,其中,构建所述VNF策略包括从所述主机平台接收用于所述硬件平台的可用度量的列表。
6.如权利要求5所述的数据中心编排器,其中,供应所述VNF实例包括查询多个主机平台,并且过滤出将不提供所述TFPD所要求的遥测的主机平台。
7.如权利要求1-6任一项所述的数据中心编排器,还包括指纹分析模块,所述指纹分析模块用来从所述VNF实例接收遥测,将所述遥测与参考指纹进行比较,并且按所述比较采取动作。
8.如权利要求7所述的数据中心编排器,其中,按所述比较采取动作包括采取安全性动作。
9.如权利要求7所述的数据中心编排器,其中,按所述比较采取动作包括采取可靠性动作。
10.如权利要求7所述的数据中心编排器,其中,按所述比较采取动作包括采取性能动作。
11.如权利要求10所述的数据中心编排器,其中,所述性能动作包括分配附加能力。
12.如权利要求10所述的数据中心编排器,其中,所述性能动作包括降低能力。
13.一个或多个有形非暂态计算机可读存储介质,其上存储有指令,所述指令用来促使硬件平台:
在通信上耦合网络;
提供数据中心编排功能;以及
分配数据结构,所述数据结构包括网络功能虚拟化定义(NFVD)实例,所述NFVD实例包括用于在主机平台上实例化虚拟网络功能(VNF)的定义,所述定义包括用于所述VNF的遥测指纹策略描述(TFPD),其中所述TFPD包括用来收集从对于所述主机平台可用的遥测数据的集合选择的遥测数据的信息。
14.如权利要求13所述的一个或多个有形非暂态计算机可读介质,其中,所述TFPD包括多个上下文特定指纹。
15.如权利要求14所述的一个或多个有形非暂态计算机可读介质,其中,从由性能、安全性和可靠性所组成的群组中选择所述上下文。
16. 如权利要求13所述的一个或多个有形非暂态计算机可读介质,其中,所述指令还促使所述硬件平台:
按照所述VNFD来供应VNF实例;以及
应用所述TFPD,以构建用于所述VNF实例的指纹策略。
17.如权利要求16所述的一个或多个有形非暂态计算机可读介质,其中,构建所述VNF策略包括从所述主机平台接收用于所述硬件平台的可用度量的列表。
18.如权利要求17所述的一个或多个有形非暂态计算机可读介质,其中,供应所述VNF实例包括查询多个主机平台,并且过滤出将不提供所述TFPD所要求的遥测的主机平台。
19.如权利要求13-18任一项所述的一个或多个有形非暂态计算机可读介质,其中,所述指令还促使所述硬件平台从所述VNF实例接收遥测,将所述遥测与参考指纹进行比较,并且按所述比较采取动作。
20.如权利要求19所述的一个或多个有形非暂态计算机可读介质,其中,按所述比较采取动作包括采取安全性动作。
21.如权利要求19所述的一个或多个有形非暂态计算机可读介质,其中,按所述比较采取动作包括采取可靠性动作。
22.如权利要求19所述的一个或多个有形非暂态计算机可读介质,其中,按所述比较采取动作包括采取性能动作。
23.如权利要求22所述的一个或多个有形非暂态计算机可读介质,其中,所述性能动作包括分配附加能力。
24.如权利要求22所述的一个或多个有形非暂态计算机可读介质,其中,所述性能动作包括降低能力。
25.一种提供数据中心中的遥测的方法,包括:
在通信上耦合网络;
提供数据中心编排功能;以及
分配数据结构,所述数据结构包括网络功能虚拟化定义(NFVD)实例,所述NFVD实例包括用于在主机平台上实例化虚拟网络功能(VNF)的定义,所述定义包括用于所述VNF的遥测指纹策略描述(TFPD),其中所述TFPD包括用来收集从对于所述主机平台可用的遥测数据的集合选择的遥测数据的信息。
CN201810995332.6A 2017-09-29 2018-08-29 基于策略的网络服务指纹识别 Pending CN109587105A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US15/721373 2017-09-29
US15/721,373 US20190104022A1 (en) 2017-09-29 2017-09-29 Policy-based network service fingerprinting

Publications (1)

Publication Number Publication Date
CN109587105A true CN109587105A (zh) 2019-04-05

Family

ID=65896267

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810995332.6A Pending CN109587105A (zh) 2017-09-29 2018-08-29 基于策略的网络服务指纹识别

Country Status (2)

Country Link
US (1) US20190104022A1 (zh)
CN (1) CN109587105A (zh)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11909603B2 (en) * 2017-12-01 2024-02-20 Cisco Technology, Inc. Priority based resource management in a network functions virtualization (NFV) environment
US10826943B2 (en) * 2018-08-21 2020-11-03 At&T Intellectual Property I, L.P. Security controller
US10917308B2 (en) 2018-12-20 2021-02-09 Verizon Patent And Licensing Inc. Virtualized network service management and diagnostics
US10992542B2 (en) 2019-06-25 2021-04-27 Sciencelogic, Inc. System and method for the collection, generation, and distribution of synthetic metrics for computer system management
WO2020264079A1 (en) * 2019-06-25 2020-12-30 Sciencelogic, Inc. A system and method for the collection, generation, and distribution of synthetic metrics for computer system management
US20200136921A1 (en) * 2019-09-28 2020-04-30 Intel Corporation Methods, system, articles of manufacture, and apparatus to manage telemetry data in an edge environment
US11551117B1 (en) * 2019-10-25 2023-01-10 Reena Malhotra Policy based artificial intelligence engine
US11050640B1 (en) * 2019-12-13 2021-06-29 Cisco Technology, Inc. Network throughput assurance, anomaly detection and mitigation in service chain
WO2021155924A1 (en) * 2020-02-05 2021-08-12 Telefonaktiebolaget Lm Ericsson (Publ) Identifying an instance of a virtual network function
US20230068069A1 (en) * 2020-02-19 2023-03-02 Hewlett-Packard Development Company, L.P. Temporary probing agents for collecting data in a computing environment
US11349728B2 (en) * 2020-03-27 2022-05-31 EMC IP Holding Company LLC Dynamic resource allocation based on fingerprint extraction of workload telemetry data
US11005721B1 (en) * 2020-06-30 2021-05-11 Juniper Networks, Inc. Scalable control plane for telemetry data collection within a distributed computing system
US20200348973A1 (en) * 2020-07-08 2020-11-05 Intel Corporation Performance monitoring and resource management
US11936621B2 (en) * 2021-11-19 2024-03-19 The Bank Of New York Mellon Firewall drift monitoring and detection

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160043944A1 (en) * 2014-08-05 2016-02-11 Amdocs Software Systems Limited System, method, and computer program for augmenting a physical system utilizing a network function virtualization orchestrator (nfv-o)
US20160119379A1 (en) * 2014-10-26 2016-04-28 Mcafee, Inc. Security orchestration framework
US20160191512A1 (en) * 2014-12-27 2016-06-30 Mcafee, Inc. Predictive user authentication
US20170139729A1 (en) * 2015-11-18 2017-05-18 International Business Machines Corporation Management of a virtual machine in a virtualized computing environment based on a concurrency limit
US20170177396A1 (en) * 2015-12-22 2017-06-22 Stephen T. Palermo Methods and apparatus for multi-stage vm virtual network function and virtual service function chain acceleration for nfv and needs-based hardware acceleration
US20180357087A1 (en) * 2017-06-07 2018-12-13 At&T Intellectual Property I, L.P. Policy driven automation system for customer care

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160043944A1 (en) * 2014-08-05 2016-02-11 Amdocs Software Systems Limited System, method, and computer program for augmenting a physical system utilizing a network function virtualization orchestrator (nfv-o)
US20160119379A1 (en) * 2014-10-26 2016-04-28 Mcafee, Inc. Security orchestration framework
US20160191512A1 (en) * 2014-12-27 2016-06-30 Mcafee, Inc. Predictive user authentication
US20170139729A1 (en) * 2015-11-18 2017-05-18 International Business Machines Corporation Management of a virtual machine in a virtualized computing environment based on a concurrency limit
US20170177396A1 (en) * 2015-12-22 2017-06-22 Stephen T. Palermo Methods and apparatus for multi-stage vm virtual network function and virtual service function chain acceleration for nfv and needs-based hardware acceleration
US20180357087A1 (en) * 2017-06-07 2018-12-13 At&T Intellectual Property I, L.P. Policy driven automation system for customer care

Also Published As

Publication number Publication date
US20190104022A1 (en) 2019-04-04

Similar Documents

Publication Publication Date Title
CN109587105A (zh) 基于策略的网络服务指纹识别
US11809338B2 (en) Shared memory for intelligent network interface cards
CN104468688B (zh) 用于网络虚拟化的方法和设备
US11296956B2 (en) Oversubscribable resource allocation
US11394649B2 (en) Non-random flowlet-based routing
CN105409172B (zh) 逻辑交换机
CN112134741B (zh) 分布式系统中的客户导向的联网限制
US11095755B2 (en) Telemetry for disaggregated resources
US20180357086A1 (en) Container virtual switching
US9647904B2 (en) Customer-directed networking limits in distributed systems
CN115480869A (zh) 微服务架构
US20180239725A1 (en) Persistent Remote Direct Memory Access
US11178063B2 (en) Remote hardware acceleration
CN104380660B (zh) 用于在多核和集群系统中进行陷阱监控的系统和方法
CN107251514A (zh) 用于虚拟化网络的可扩缩安全架构的技术
CN107925588A (zh) 带外平台调整和配置
US20150149611A1 (en) Centralized Resource Usage Visualization Service For Large-Scale Network Topologies
CN109154896A (zh) 用于服务链负载平衡的系统和方法
US11477125B2 (en) Overload protection engine
CN105683918B (zh) 分布式系统中的集中式联网配置
JP2015056182A5 (zh)
US10616141B2 (en) Large scale fabric attached architecture
US20230185732A1 (en) Transparent encryption
US11327789B2 (en) Merged input/output operations from a plurality of virtual machines
CN108965239A (zh) 加速网络安全监控

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination