DE112016005933T5 - Technologien zum Durchsetzen einer Netzwerkzugriffssteuerung fiir virtuelle Maschinen - Google Patents

Technologien zum Durchsetzen einer Netzwerkzugriffssteuerung fiir virtuelle Maschinen Download PDF

Info

Publication number
DE112016005933T5
DE112016005933T5 DE112016005933.7T DE112016005933T DE112016005933T5 DE 112016005933 T5 DE112016005933 T5 DE 112016005933T5 DE 112016005933 T DE112016005933 T DE 112016005933T DE 112016005933 T5 DE112016005933 T5 DE 112016005933T5
Authority
DE
Germany
Prior art keywords
virtual machine
access
network
computing device
privilege level
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE112016005933.7T
Other languages
English (en)
Inventor
Stephen T. Palermo
Hari K. Tadepalli
Rashmin N. Patel
Andrew J. Herdrich
Edwin Verplanke
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intel Corp
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Publication of DE112016005933T5 publication Critical patent/DE112016005933T5/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0806Configuration setting for initial configuration or provisioning, e.g. plug-and-play
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0894Policy-based network configuration management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0895Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0823Errors, e.g. transmission errors
    • H04L43/0847Transmission error
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Technologien zum Durchsetzen einer Netzwerkzugriffssteuerung für virtuelle Maschinen umfassen eine Netzwerk-Computervorrichtung, die mehrere virtuelle Maschinen aufweist. Die Netzwerk-Computervorrichtung ist dazu eingerichtet, eine Zugriffsanfrage von einer virtuellen Funktion zu empfangen, die einer anfragenden virtuellen Maschine der Netzwerk-Computervorrichtung zugewiesen ist. Die Netzwerk-Computervorrichtung ist außerdem dazu eingerichtet, eine erste Privilegierungsstufe, die der anfragenden Maschine zugewiesen ist, und eine zweite Privilegierungsstufe, die der angefragten virtuellen Maschine zugewiesen ist, zu bestimmen und auf Grundlage eines Vergleichs der ersten und der zweiten Privilegierungsstufe zu bestimmen, ob die anfragende virtuelle Maschine dazu autorisiert ist, auf die angefragte virtuelle Maschine zuzugreifen. Nach der Bestimmung, dass die anfragende virtuelle Maschine dazu autorisiert ist, auf die angefragte virtuelle Maschine zuzugreifen, ist die Netzwerk-Computervorrichtung außerdem dazu eingerichtet, der anfragenden virtuellen Maschine Zugriff auf die angefragte virtuelle Maschine zu gewähren. Weitere Ausführungsformen sind vorliegend beschrieben.

Description

  • QUERVERWEIS AUF VERWANDTE ANMELDUNG
  • Die vorliegende Anmeldung beansprucht die Priorität der am 22. Dezember 2015 eingereichten US-Gebrauchsmusteranmeldung Nr. 14/979,134 mit dem Titel „TECHNOLOGIES FOR ENFORCING NETWORK ACCESS CONTROL OF VIRTUAL MACHINES“ (Technologien zum Durchsetzen einer Netzwerkzugriffssteuerung für virtuelle Maschinen).
  • STAND DER TECHNIK
  • Netzwerkbetreiber und Anbieter von Datenübertragungsdiensten sind typischerweise auf komplexe, großräumige Datenzentren angewiesen, die eine Vielzahl von Netzwerk-Computervorrichtungen (z. B. Server, Switches (Netzwerkweichen), Router usw.) zum Verarbeiten von Netzwerkverkehr aufweisen, der durch das Datenzentrum läuft. Gewisse Datenzentrum-Betriebsvorgänge laufen typischerweise in Containern bzw. virtuellen Maschinen (VMs) in einer virtualisierten Umgebung der Netzwerk-Computervorrichtungen ab, um Skalierbarkeit beim Erfüllen der Nachfrage nach Netzwerkverkehrsverarbeitung bereitzustellen und die Betriebskosten zu reduzieren. Um die funktionalitätsermöglichende physische Hardware einer Netzwerk-Computervorrichtung, auf welcher eine VM läuft, mit der virtuellen Umgebung der VM zu koordinieren, muss die VM typischerweise eine virtualisierte Instanz einer virtuellen Funktion exponieren. Zum Beispiel kann eine virtuelle Funktion, wie etwa eine virtuelle PCI Express- (PCIe) Funktion, einen Mechanismus zum direkten Transfer von Daten zwischen der VM und einer Netzwerkschnittstellensteuereinheit (NIC - Network Interface Controller) der Netzwerk-Computervorrichtung bereitstellen. Dazu ist die Netzwerk-Computervorrichtung im Allgemeinen auf einen virtuellen Funktionstreiber zum Verwalten der virtuellen Funktion (z. B. Lesen/Schreiben des Konfigurationsraums der virtuellen Funktion) angewiesen.
  • Figurenliste
  • Die vorliegend beschriebenen Konzepte sind in den beigefügten Figuren veranschaulicht, die beispielhaft und nicht einschränkend aufzufassen sind. Aus Gründen der einfacheren und klareren Darstellung sind die in den Figuren gezeigten Elemente nicht notwendigerweise maßstabgerecht gezeichnet. Wo dies als angemessen erachtet wurde, wurden in verschiedenen Figuren Bezugszeichen wiederholt, um übereinstimmende bzw. vergleichbare Elemente aufzuzeigen.
    • 1 ist ein vereinfachtes Blockdiagramm mindestens einer Ausführungsform eines Systems zum Durchsetzen einer Netzwerkzugriffssteuerung für virtuelle Maschinen durch eine Netzwerk-Computervorrichtung;
    • 2 ist ein vereinfachtes Blockdiagramm mindestens einer Ausführungsform der Netzwerk-Computervorrichtung des Systems aus 1;
    • 3 ist ein vereinfachtes Blockdiagramm mindestens einer Ausführungsform einer Umgebung, die durch die Netzwerk-Computervorrichtung des Systems aus 2 eingerichtet sein kann;
    • 4 ist ein vereinfachtes Blockdiagramm einer weiteren Ausführungsform einer Umgebung, die durch die Netzwerk-Computervorrichtung des Systems aus 2 eingerichtet sein kann;
    • 5 ist ein vereinfachtes Flussdiagramm mindestens einer Ausführungsform eines Verfahrens zum Zuweisen einer Privilegierungsstufe an eine initialisierte virtuelle Maschine, welches von der Netzwerk-Computervorrichtung aus 2 ausgeführt werden kann; und
    • 6 ist ein vereinfachtes Flussdiagramm mindestens einer Ausführungsform eines Verfahrens zum Durchsetzen einer Netzwerkzugriffssteuerung einer initialisierten virtuellen Maschine, welches von der Netzwerk-Computervorrichtung aus 2 ausgeführt werden kann.
  • AUSFÜHRLICHE BESCHREIBUNG DER ZEICHNUNGEN
  • Während die Konzepte der vorliegenden Offenbarung in diversen Abwandlungen oder alternativen Formen vorliegen können, sind spezielle Ausführungsformen davon in den Zeichnungen beispielhaft gezeigt und werden nachfolgend ausführlich beschrieben. Es versteht sich jedoch, dass keine Absicht besteht, die Konzepte der vorliegenden Offenbarung auf die konkreten offenbarten Formen einzuschränken. Es ist im Gegenteil beabsichtigt, alle Abwandlungen, Äquivalente und Alternativen abzudecken, die mit der vorliegenden Offenbarung und den beigefügten Ansprüchen vereinbar sind.
  • Bezüge in der Beschreibung auf „eine Ausführungsform“, „eine veranschaulichende Ausführungsform“ usw. zeigen an, dass die beschriebene Ausführungsform konkrete Merkmale, Kennzeichen oder Strukturen aufweisen kann, es muss jedoch nicht notwendigerweise jede Ausführungsform diese Merkmale, Kennzeichen oder Strukturen aufweisen. Außerdem beziehen sich derartige Ausdrücke nicht notwendigerweise auf dieselbe Ausführungsform. Ferner wird zu bedenken gegeben, dass es im Bereich der Kenntnisse eines Fachmanns liegt, konkrete Merkmale, Strukturen oder Kennzeichen, die in Verbindung mit einer Ausführungsform beschrieben werden, auch in Verbindung mit anderen Ausführungsformen umzusetzen, unabhängig davon, ob diese explizit beschrieben sind oder nicht. Außerdem wird darauf hingewiesen, dass die Bedeutung einer Liste der Gestalt „wenigstens eines von A, B und C“ sein kann: (A); (B); (C); (A und B); (A und C); (B und C); oder (A, B und C). Auf analoge Weise kann eine Auflistung der Gestalt „wenigstens eines von A, B oder C“ bedeuten: (A); (B); (C); (A und B); (A und C); (B und C); oder (A, B und C).
  • Die offenbarten Ausführungsformen können in manchen Fällen als Hardware, Firmware, Software oder als eine beliebige Kombination daraus implementiert sein. Die offenbarten Ausführungsformen können auch als Anweisungen implementiert sein, die auf einem oder mehreren flüchtigen oder nicht flüchtigen maschinenlesbaren (z. B. computerlesbaren) Speichermedien (z. B. Speicher, Datenspeicher usw.) gespeichert sind oder in diesen enthalten sind, und welche durch einen oder mehrere Prozessoren gelesen und ausgeführt werden können. Ein maschinenlesbares Speichermedium kann als beliebige Speichervorrichtung, -anordnung oder andere physische Struktur zum Speichern oder Übertragen von Informationen in einer Gestalt ausgebildet sein, die durch eine Maschine lesbar ist (z. B. ein flüchtiger oder nicht flüchtiger Speicher, eine Medienscheibe oder andere Medieneinrichtung).
  • In den Zeichnungen können manche Struktur- oder Verfahrensmerkmale in konkreter Anordnung und/oder Reihenfolge gezeigt sein. Es versteht sich jedoch, dass derartige konkrete Anordnungen und/oder Reihenfolgen nicht immer erforderlich sind. Stattdessen können derartige Merkmale in manchen Ausführungsformen auf andere Weise und/oder in anderer Reihenfolge als in den veranschaulichenden Figuren gezeigt angeordnet sein. Außerdem soll die Aufnahme eines Struktur- oder Verfahrensmerkmals in eine bestimmte Figur nicht implizieren, dass ein derartiges Merkmal in allen Ausführungsformen benötigt wird, und es kann in manchen Ausführungsformen nicht enthalten oder mit anderen Merkmalen kombiniert sein.
  • Es wird nun auf 1 Bezug genommen. In einer veranschaulichenden Ausführungsform umfasst ein System 100 zum Durchsetzen einer Netzwerkzugriffssteuerung für virtuelle Maschinen einen Quell-Endpunktknoten 102, der über eine Netzwerk-Computervorrichtung 106 eines Netzwerks 104 kommunikativ mit einem Ziel-Endpunktknoten 110 gekoppelt ist. In dem Netzwerk 104 des veranschaulichenden Systems 100 ist zwar nur eine einzige Netzwerk-Computervorrichtung 106 gezeigt, es versteht sich jedoch, dass das Netzwerk 104 mehrere Netzwerk-Computervorrichtungen 106 aufweisen kann, die in diversen Architekturen konfiguriert sind.
  • Im Betrieb führt die Netzwerk-Computervorrichtung 106 diverse Vorgänge (z. B. Dienste) an Netzwerkverkehr (d. h. Netzwerkpaketen, Nachrichten usw.) durch, der bei der Netzwerk-Computervorrichtung 106 empfangen wird. Es versteht sich, dass der empfangene Netzwerkverkehr verworfen oder weitergeleitet werden kann, etwa an weitere Netzwerk-Computervorrichtungen, die kommunikativ mit der Netzwerk-Computervorrichtung 106 gekoppelt sind, oder an den Ziel-Endpunktknoten 110. Um den Netzwerkverkehr zu verarbeiten, ist die Netzwerk-Computervorrichtung 106 dazu eingerichtet, mehrere virtuelle Maschinen (VMs) auf der Netzwerk-Computervorrichtung 106 hochzufahren. Demgemäß ist die Netzwerk-Computervorrichtung 106 dazu eingerichtet, virtuelle Repräsentationen physikalischer Komponenten der Netzwerk-Computervorrichtung 106 auf virtualisierte Komponenten der diversen VMs abzubilden.
  • Zum Beispiel kann eine virtuelle Netzwerkschnittstellensteuerung (NIC) durch die Netzwerk-Computereinrichtung 106 initialisiert sein, um Kommunikation zwischen einer physischen NIC (siehe z. B. die NIC 212 aus 2) und der virtuellen NIC zu erleichtern. Bei einer derartigen Ausführungsform kann ein Virtuelle-Maschinen-Monitor (VMM - Virtual Machine Monitor) (siehe z. B. den VMM 418 aus 4) implementiert sein, um die virtuellen NICs gegenüber allen instanziierten VMs derart zu exponieren, dass die gesamte VM-zu-VM-Kommunikation eine einzige logische Entität (d. h. den VMM) durchläuft. Auf ähnliche Weise kann der VMM dazu eingerichtet sein, virtuelle Funktionen und virtuelle Funktionstreiber zur Zuweisung an die VMs zu erzeugen, um Kommunikation bzw. Datenübertragungen zwischen der physischen NIC und der virtuellen NIC zu verwalten. Es sei darauf hingewiesen, dass in manchen Ausführungsformen auf einer oder mehreren anderen Netzwerk-Computervorrichtungen, die kommunikativ mit der Netzwerk-Computervorrichtung 106 gekoppelt sind, eine oder mehrere der VMs gestartet werden können.
  • Die Flusslenkungsfähigkeiten der NIC 212 sind dazu eingerichtet, Netzwerkverkehr zu den passenden virtuellen Funktionen (z. B. mittels einer von dem VMM etablierten Zugriffssteuerungsliste (ACL - Access Control List)) der VMs zu lenken; während der Verarbeitung des Netzwerkverkehrs sind die virtuellen Funktionstreiber jedoch anfällig für Manipulationen durch disruptive Netzwerkpakete, wie etwa durch fehlerhafte Netzwerkpakete, ungültige Speicherzugriffsanfragen, Zugriffsanfragen auf beschränkte Speicherbereiche, Zugriffsanfragen auf beschränkte Hardware usw., welche typischerweise zu einem Reset der virtuellen Einrichtung führen, um nach Erkennung eines disruptiven Netzwerkpakets einen Zustand der virtuellen Einrichtung zu löschen.
  • Um im Voraus zu bestimmen, ob der Netzwerkverkehr zulässig ist (z. B. innerhalb einer anderen VM der Netzwerk-Computervorrichtung 106, über eine andere VM zu einem außerhalb der Netzwerk-Computervorrichtung 106 befindlichen Host usw.), ist demgemäß die Netzwerk-Computervorrichtung 106 (d.h. die NIC 212) dazu eingerichtet, hardwarebasierte VM-Privilegierungsstufen zu implementieren. Dazu bestimmt der VMM, wie nachstehend ausführlicher beschrieben ist, nach Initialisierung der VM, ob die VM privilegiert oder nicht privilegiert ist, und er speichert die Privilegierungsstufe (d. h. eine privilegierte Stufe oder eine nicht privilegierte Stufe) an einem sicheren Ort wie etwa in einer Netzwerkprivilegierungsstufen-Tabelle in einem sicheren Speicher der NIC (siehe z. B. den sicheren Speicher 214 der NIC 212 aus 2). Anders ausgedrückt ist die Netzwerk-Computervorrichtung 106 dazu eingerichtet, die Netzwerkprivilegien, nicht aber die Ausführungsprivilegien, der VM zu steuern.
  • Der Quell-Endpunktknoten 102 und/oder der Ziel-Endpunktknoten 110 können als beliebiger Typ von Rechner- oder Computervorrichtung ausgebildet sein, die in der Lage ist, die vorliegend beschriebenen Funktionen auszuführen, einschließlich, jedoch nicht beschränkt auf: eine tragbare Computervorrichtung (z. B., Smartphone, Tablet, Laptop, Notebook, Wearable usw.) mit mobiler Hardware (z. B., Prozessor, Speicher, Schaltkreisen zur drahtlosen Kommunikation usw.) und Software (z. B., einem Betriebssystem) zur Unterstützung von mobiler Architektur und Portabilität, ein Computer, ein Server (z. B., Stand-alone-, Rackmount-, Blade-Server usw.), eine Netzwerk-Appliance (z. B. physisch oder virtuell), eine Web-Appliance ein verteiltes Computersystem, ein prozessorbasiertes System und/oder ein Multiprozessorsystem.
  • Das Netzwerk 104 kann als beliebiger Typ von drahtgebundenem oder drahtlosem Kommunikationsnetzwerk ausgebildet sein, einschließlich eines Wireless Local Area Networks (WLAN), eines Wireless Personal Area Networks (WPAN), eines Mobilfunknetzwerks (z. B. Global System for Mobile Communications (GSM), Long Term Evolution (LTE) usw.), eines Telefonienetzwerks, eines Digital Subscriber Line (DSL-) Netzwerks, eines Kabelnetzwerks, eines lokalen Netzwerks (LAN - Local Area Network), eines Weitverkehrsnetzes (WAN - Wide Area Network), eines globalen Netzwerks (z. B. das Internet) oder einer beliebigen Kombination davon. Es versteht sich, dass bei derartigen Ausführungsformen das Netzwerk 104 als zentralisiertes Netzwerk dienen kann und es in manchen Ausführungsformen kommunikativ mit einem anderen Netzwerk (z. B. dem Internet) gekoppelt sein kann. Demgemäß kann das Netzwerk 104 entsprechend dem Bedürfnis, die Kommunikation zwischen dem Quell-Endpunktknoten 102 und dem Ziel-Endpunktknoten 110 zu erleichtern, vielerlei andere Netzwerk-Computervorrichtungen (z. B. virtuelle und physikalische Router, Switches, Netzwerk-Hubs, Server, Speichervorrichtungen, Rechnervorrichtungen usw.) aufweisen, welche, um die Klarheit der Beschreibung zu wahren, nicht gezeigt sind.
  • Die Netzwerk-Computervorrichtung 106 kann als beliebiger Typ von Netzwerkverkehr-Verarbeitungsvorrichtung ausgebildet sein, die in der Lage ist, die vorliegend beschriebenen Funktionen auszuführen, wie etwa, jedoch nicht beschränkt auf: ein Server (z. B. Stand-alone-, Rackmount-, Blade-Server usw.), eine Netzwerk-Appliance (z. B. physisch oder virtuell), ein Switch (z. B. Rackmount-, Stand-alone-, vollständig verwaltet, teilweise verwaltet, zu Vollduplex- und/oder Halbduplex-Kommunikationsmodus fähig usw.), ein Router, eine Web-Appliance ein verteiltes Computersystem, ein prozessorbasiertes System und/oder ein Multiprozessorsystem.
  • Wie in 2 gezeigt ist, weist die veranschaulichende Netzwerk-Computervorrichtung 106 einen Prozessor 202, ein Eingabe-/Ausgabe- (I/O-) Subsystem 204, einen Speicher 206, eine Datenspeichervorrichtung 208 und Kommunikationsschaltkreise 210 auf. Natürlich kann die Netzwerk-Computervorrichtung 106 in anderen Ausführungsformen andere bzw. weitere Komponenten aufweisen, wie etwa solche, die man oft in Computervorrichtungen vorfindet. Außerdem können in manchen Ausführungsformen eine oder mehrere der veranschaulichenden Komponenten in einer anderen Komponente integriert sein oder auf andere Art einen Abschnitt dieser ausbilden. Zum Beispiel kann in manchen Ausführungsformen der Speicher 206 oder können Abschnitte davon in dem Prozessor 202 integriert sein. Ferner können in manchen Ausführungsformen eine oder mehrere der veranschaulichenden Komponenten der Netzwerk-Computervorrichtung 106 weggelassen sein.
  • Der Prozessor 202 kann als beliebiger Typ von Prozessor ausgebildet sein, der in der Lage ist, die vorliegend beschriebenen Funktionen auszuführen. Der Prozessor 202 kann zum Beispiel als Einzelprozessor, Multikernprozessor(en), digitaler Signalprozessor, Mikrocontroller oder anderer Prozessor bzw. Verarbeitungs-/Steuerungs-Schaltung ausgebildet sein. Auf ähnliche Weise kann der Speicher 206 als beliebiger Typ von flüchtigem oder nicht flüchtigem Speicher oder Datenspeicher ausgebildet sein, der in der Lage ist, die vorliegend beschriebenen Funktionen auszuführen. Im Betrieb können im Speicher 206 diverse Daten und Software gespeichert werden bzw. sein, die während des Betriebs der Netzwerk-Computervorrichtung 106 verwendet werden, wie etwa Betriebssysteme, Anwendungen, Programme, Bibliotheken und Treiber.
  • Der Speicher 206 ist mit dem Prozessor 202 über das I/O-System 204 kommunikativ gekoppelt, welches als Schaltkreise und/oder Komponenten ausgebildet sein kann, um Eingabe-/Ausgabe-Vorgänge mit dem Prozessor 202, dem Speicher 206 und anderen Komponenten der Netzwerk-Computervorrichtung 106 zu erleichtern. Zum Beispiel kann das I/O-Subsystem 204 ausgebildet sein als oder anderweitig aufweisen: Speichersteuerungsknoten (Memory Controller Hubs), Eingabe-/Ausgabesteuerungsknoten, Firmwarevorrichtungen, Kommunikationsverbindungen (d. h. Punkt-zu-Punkt-Verbindungen, Bus-Verbindungen, Leitungen, Kabel, Lichtleiter, Leiterbahnen usw.) und/oder andere Komponenten und Subsysteme zur Erleichterung der Eingabe-/Ausgabe-Vorgänge. In manchen Ausführungsformen kann das I/O-Subsystem 204 einen Abschnitt eines Systems auf einem Chip (SoC - System on a Chip) ausbilden und zusammen mit dem Prozessor 202, dem Speicher 206 und anderen Komponenten der Netzwerk-Computervorrichtung 106 auf einem einzigen integrierten Schaltkreis-Chip integriert sein.
  • Die Datenspeichervorrichtung 208 kann als beliebiger Typ von Vorrichtung oder Vorrichtungen zur kurz- oder langfristigen Speicherung von Daten wie z. B. Speichervorrichtungen und -schaltungen, Speicherkarten, Festplatten, Festkörperlaufwerke (SSD) oder andere Datenspeichervorrichtungen ausgebildet sein. Es versteht sich, dass auf der Datenspeichervorrichtung 208 und/oder dem Speicher 206 (z. B. dem computerlesbaren Speichermedium), wie vorliegend beschrieben ist, diverse Daten gespeichert sein bzw. werden können, einschließlich Betriebssysteme, Anwendungen, Programme, Bibliotheken, Treiber, Anweisungen usw., die von einem Prozessor (z. B. dem Prozessor 202) der Netzwerk-Computervorrichtung 106 ausgeführt werden können.
  • Die Kommunikationsschaltkreise 210 können als beliebige Kommunikationsschaltung, -vorrichtung oder Ansammlung davon ausgebildet sein, die in der Lage ist, Kommunikation zwischen der Netzwerk-Computervorrichtung 106 und anderen Computervorrichtungen (z. B. dem Quell-Endpunktknoten 102, dem Ziel-Endpunktknoten 110, einer anderen Netzwerk-Computervorrichtung usw.) über ein Netzwerk (z. B. das Netzwerk 104) zu ermöglichen. Die Kommunikationsschaltkreise 210 können dazu eingerichtet sein, zur Bewerkstelligung einer derartigen Kommunikation eine oder mehrere beliebige Kommunikationstechnologien (z. B. drahtlose oder drahtgebundene Kommunikationstechnologien) und dazugehörige Protokolle (z. B. Ethernet, Bluetooth®, Wi-Fi®, WiMAX, LTE, 5G usw.) zu verwenden.
  • Die veranschaulichenden Kommunikationsschaltkreise 210 weisen eine NIC 212 auf. Die NIC 212 kann als eine oder mehrere Ergänzungskarten, Daughtercards, Netzwerkschnittstellenkarten, Steuerungschips, Chipsätze oder andere Vorrichtungen ausgebildet sein, die von der Netzwerk-Computervorrichtung 106 verwendet werden können. Zum Beispiel kann die NIC 212 in manchen Ausführungsformen in dem Prozessor 202 integriert sein, als über einen Erweiterungsbus (z. B. PCI Express) mit dem I/O-Subsystem 204 gekoppelte Erweiterungskarte oder als Teil eines SoCs ausgebildet sein, das einen oder mehrere Prozessoren umfasst, oder in einem Mehrchip-Gehäuse enthalten sein, das ebenfalls einen oder mehrere Prozessoren enthält. Zusätzlich oder alternativ dazu können in manchen Ausführungsformen Funktionalitäten der NIC 212 in einer oder mehreren Komponenten der Netzwerk-Computervorrichtung 106 auf Platinenebene, Steckplatzebene, Chipebene und/oder anderer Ebene integriert sein.
  • Die veranschaulichende NIC 212 weist einen sicheren Speicher 214 auf. Der sichere Speicher 214 der NIC 212 kann als beliebiger Typ von Speicher ausgebildet sein, der dazu eingerichtet ist, lokale Daten der NIC 212 sicher zu speichern. Es versteht sich, dass die NIC 212 in manchen Ausführungsformen ferner einen für die NIC 212 lokalen Prozessor (nicht gezeigt) aufweisen kann. In derartigen Ausführungsformen kann der lokale Prozessor der NIC 212 in der Lage sein, Funktionen (z. B. Replizierung, Netzwerkpaketverarbeitung usw.) auszuführen, die der NIC 212 zur Ausführung übergeben werden.
  • Es wird wieder auf 1 Bezug genommen. Das veranschaulichende Netzwerk 104 kann weiterhin eine Netzwerk-Steuereinheit 108 aufweisen, die mit der Netzwerk-Computervorrichtung 106 kommunikativ gekoppelt ist. Die Netzwerk-Steuereinheit 108 kann als beliebiger Typ von Einrichtung, Hardware, Software und/oder Firmware ausgebildet sein, die in der Lage ist, den Netzwerkpaketfluss zu lenken, Richtlinien der Netzwerk-Computervorrichtung 106 zu verwalten und die vorliegend beschriebenen Funktionen auszuführen, wie etwa, jedoch nicht beschränkt auf: ein Server (z. B. Stand-alone-, Rackmount- , Blade-Server usw.), eine Netzwerk-Appliance (z. B. physisch oder virtuell), ein Switch (z. B. Rackmount-, Stand-alone-, vollständig verwaltet, teilweise verwaltet, zu Vollduplex- und/oder Halbduplex-Kommunikationsmodus fähig usw.), ein Router, eine Web-Appliance ein verteiltes Computersystem, ein prozessorbasiertes System und/oder ein Multiprozessorsystem.
  • Die Netzwerk-Steuereinheit 108 kann dazu eingerichtet sein, der Netzwerk-Computervorrichtung 106 eine oder mehrere Richtlinien (z. B. Netzwerkrichtlinien) oder Anweisungen bereitzustellen. Es versteht sich, dass die Netzwerk-Steuereinheit 108 in manchen Ausführungsformen dazu eingerichtet sein kann, in einer softwaredefinierten Netzwerkumgebung (SDN-Umgebung, d. h. als SDN-Steuereinheit) und/oder einer Netzwerkfunktionsvirtualisierungs-Umgebung (NFV-Umgebung. d. h. als NFV-Verwalter und -Netzwerkorchestrator (MANO - Manager and Network Orchestrator)) betrieben zu werden. Daher kann die Netzwerk-Steuereinheit 108 Vorrichtungen und Komponenten aufweisen, die man gewöhnlich in einer Netzwerksteuerungsvorrichtung oder ähnlichen Computervorrichtungen vorfindet, wie etwa Prozessoren, Speicher, Kommunikationsschaltkreise und Datenspeichervorrichtungen, ähnlich den für die Netzwerk-Computervorrichtung 106 aus 2 beschriebenen, die jedoch in 1 aus Gründen der Klarheit der Beschreibung nicht gezeigt sind.
  • Es wird nun auf 3 Bezug genommen. In einer veranschaulichenden Ausführungsform richtet die Netzwerk-Computervorrichtung 106 im Betrieb eine Umgebung 300 ein. Die veranschaulichende Umgebung 300 umfasst ein Netzwerkkommunikationsmodul 310, ein Verwaltungsmodul 320 für virtuelle Maschinen, ein Datenfluss-Verwaltungsmodul 330 und ein Durchsetzungsmodul 340 für virtuelle Netzwerkrichtlinien. Alle Module, Logikelemente und andere Komponenten der Umgebung 300 können als Hardware, Software, Firmware oder als eine Kombination daraus ausgebildet sein. Zum Beispiel können alle Module, Logikelemente und andere Komponenten der Umgebung 300 einen Abschnitt des Prozessors 202, der Kommunikationsschaltkreise 210 (z. B. der NIC 212) und/oder anderer Hardwarekomponenten der Netzwerk-Computervorrichtung 106 ausbilden oder auf andere Weise durch diese eingerichtet sein. Daher können in manchen Ausführungsformen eines oder mehrere der Module der Umgebung 300 als Schaltkreise oder Ansammlung von elektrischen Vorrichtungen (z. B. Netzwerkkommunikationsschaltkreise 310, Verwaltungsschaltkreise 320 für virtuelle Maschinen, Datenfluss-Verwaltungsschaltkreise 330, Durchsetzungsschaltkreise 340 für virtuelle Netzwerkrichtlinien usw.) ausgebildet sein.
  • Die veranschaulichende Umgebung 300 der Netzwerk-Computervorrichtung 106 umfasst außerdem Netzwerkrichtliniendaten 302, Zugriffssteuerungsdaten 304 und Privilegierungsstufendaten 306, auf welche die diversen Module und/oder Submodule der Netzwerk-Computervorrichtung 106 zugreifen können. Es versteht sich, dass die Netzwerk-Computervorrichtung 106 andere Komponenten, Subkomponenten, Module, Submodule und/oder Vorrichtungen aufweisen kann, die man gewöhnlich in einer Computervorrichtung antrifft, die jedoch in 3 aus Gründen der Klarheit der Beschreibung nicht veranschaulicht sind.
  • Das Netzwerkkommunikationsmodul 310 ist dazu eingerichtet, an die Netzwerk-Computervorrichtung 106 eingehende und von dieser ausgehende Netzwerkkommunikation (z. B. Netzwerkverkehr, Netzwerkpakete, Netzwerkfluss usw.) zu erleichtern. Dazu ist das Netzwerkkommunikationsmodul 310 dazu eingerichtet, Netzwerkpakete von anderen Computervorrichtungen (z. B. dem Quell-Endpunktknoten 102, dem Ziel-Endpunktknoten 110, einer weiteren über das Netzwerk 104 mit der Netzwerk-Computervorrichtung 106 gekoppelten Netzwerk-Computervorrichtung usw.) zu empfangen und zu verarbeiten. Außerdem ist das Netzwerkkommunikationsmodul 310 dazu eingerichtet, Netzwerkpakete herzustellen und an eine andere Computervorrichtung (z. B. den Quell-Endpunktknoten 102, den Ziel-Endpunktknoten 110, eine weitere über das Netzwerk 104 mit der Netzwerk-Computervorrichtung 106 gekoppelte Netzwerk-Computervorrichtung usw.) zu übertragen. Demgemäß kann in manchen Ausführungsformen mindestens ein Abschnitt der Funktionalität des Netzwerkkommunikationsmoduls 310 durch die Kommunikationsschaltkreise 210, insbesondere durch die NIC 212, ausgeführt werden.
  • Das Verwaltungsmodul 320 für virtuelle Maschinen ist dazu eingerichtet, die VMs der Netzwerk-Computervorrichtung 106 sowie alle damit verknüpften virtuellen Funktionen (siehe z. B. die VMs 400 und virtuellen Funktionen 410 aus 4) zu verwalten. Dazu ist das Verwaltungsmodul 320 für virtuelle Maschinen dazu eingerichtet, die VMs basierend auf den diversen auf den Netzwerkverkehr anzuwendenden Dienstfunktionen (z. B. basierend auf Dienstfunktionen einer Dienstfunktionskette, die dem Netzwerkpaketstrom entspricht) zu implementieren (d. h. hochzufahren, die Instanziierung durchzuführen usw.) und zu schießen (d. h. herunterzufahren, aus dem Netzwerk zu entfernen usw.). Demgemäß ist das Verwaltungsmodul 320 für virtuelle Maschinen dazu eingerichtet, alle mit den jeweiligen VMs verknüpften virtuellen Funktionstreiber zu verwalten.
  • Das Datenfluss-Verwaltungsmodul 330 ist dazu eingerichtet, den Fluss eingehenden Netzwerkverkehrs zu den passenden virtuellen Funktionen zu lenken. Anders gesagt ist das Datenfluss-Verwaltungsmodul 330 dazu eingerichtet, ein beabsichtigtes Ziel (z. B. eine VM) zu bestimmen, zu dem eingehender Netzwerkverkehr zu lenken ist (d. h., basierend auf einer Zugriffsanfrage), und den eingehenden Netzwerkverkehr zu einer Schnittstelle des beabsichtigten Ziels (d. h., einer virtuellen Funktion der VM) zu lenken. Vor dem Lenken des Netzwerkverkehrs zu dem beabsichtigten wird die Zugriffsanfrage jedoch mit einer virtuellen Netzwerkrichtlinie abgeglichen. Dies kann etwa das Durchsetzungsmodul 340 für virtuelle Netzwerkrichtlinien durchführen. In manchen Ausführungsformen kann die virtuelle Netzwerkrichtlinie in den Netzwerkrichtliniendaten 302 gespeichert sein. Es versteht sich, dass die Zugriffsanfrage eine VM-zu-VM-Zugriffsanfrage, eine VM-zu-Netzwerk-Zugriffsanfrage (d. h., externer Netzwerkverkehr von oder zu einer anderen VM) usw. sein kann. Es versteht sich ferner, dass mindestens ein Abschnitt der vorstehend beschriebenen Flusslenkungsfähigkeiten der NIC 212 von dem Datenfluss-Verwaltungsmodul 330 ausgeführt werden können.
  • Das Durchsetzungsmodul 340 für virtuelle Netzwerkrichtlinien ist dazu eingerichtet, die virtuellen Netzwerkrichtlinien der Netzwerk-Computervorrichtung 106 (z. B. VM-zu-VM-Verkehrsrichtlinien, externe Verkehrsrichtlinien usw.) durchzusetzen. Demgemäß ist das Durchsetzungsmodul 340 für virtuelle Netzwerkrichtlinien dazu eingerichtet, Paketverarbeitungsentscheidungen (z. B., ob eine Zugriffsanfrage gewährt wird) basierend auf den Richtlinieninformationen (z. B., einer Privilegierungsstufe, die mit der VM verknüpft ist, die Ausgangspunkt der Anfrage ist, im Weiteren auch „anfragende VM“, und/oder mit der VM verknüpft ist, die Ziel der Anfrage ist, im Weiteren auch „Ziel-VM“, „angefragte VM“ oder „angefragte virtuelle Maschine“) zu treffen. Dazu weist das veranschaulichende Durchsetzungsmodul 340 für virtuelle Netzwerkrichtlinien ein Richtlinientabellenzugriffsmodul 342, ein Privilegierungsstufen-Bestimmungsmodul 344 und ein Modul 346 zur Bestimmung autorisierten Zugriffs auf.
  • Das Richtlinientabellenzugriffsmodul 342 ist dazu eingerichtet, auf eine Zugriffssteuerungsliste (ACL) zuzugreifen, die von dem VMM eingerichtet ist, der steuert, welcher Netzwerkverkehr zwischen den VMs erlaubt ist. Zum Beispiel bestimmt der VMM nach der Initialisierung einer VM, ob die VM privilegiert oder nicht privilegiert ist, und er speichert diese Information in der ACL. In manchen Ausführungsformen können derartige Informationen in den Zugriffssteuerungsdaten 304 gespeichert sein. Die virtuellen Netzwerkrichtlinieninformationen können auf einer Kennung des Netzwerkpakets basieren, die in einem Header des Netzwerkpakets enthalten sein kann, wie zum Beispiel einer MAC-(Media Access Control-) Adresse der VM, die Ausgangspunkt der Netzwerkzugriffssteuerungsanfrage ist, der MAC-Adresse der Ziel-VM. Es versteht sich, dass die virtuellen Netzwerkrichtlinien von einer Netzwerk-Steuereinheit oder einem NetzwerkOrchestrator (z. B. die Netzwerk-Steuereinheit 108) empfangen werden können.
  • Das Privilegierungsstufen-Bestimmungsmodul 344 ist dazu eingerichtet, eine Privilegierungsstufe einer Zugriff anfragenden VM und eine Privilegierungsstufe einer Ziel-VM zu bestimmen. Es versteht sich, dass die anfragende VM und die Ziel-VM, je nach Typ der Anfrage, dieselbe oder verschiedene VMs sein können. Zur Bestimmung der Privilegierungsstufen ist das Privilegierungsstufen-Bestimmungsmodul 344 dazu eingerichtet, auf eine VM-Netzwerkprivilegierungsstufentabelle zuzugreifen, die Privilegierungsstufen aller VMs sowie für jede der VMs eine entsprechende Kennung (z. B. eine Domänenkennung) umfasst. In manchen Ausführungsformen kann die VM-Netzwerkprivilegierungsstufentabelle (d. h., die Privilegierungsstufen und entsprechende Kennungen) in den Privilegierungsstufendaten 306 gespeichert sein. Es versteht sich, dass in manchen Ausführungsformen die Privilegierungsstufendaten 306 in einem sicheren Abschnitt (z. B., dem sicheren Speicher 214) der NIC 212 gespeichert sein können, welcher zum Beispiel unter Verwendung einer vertrauenswürdigen Plattformmodultechnologie gesichert sein kann.
  • Das Modul 346 zur Bestimmung autorisierten Zugriffs ist dazu eingerichtet, zu bestimmen, ob das Übertragen der Zugriffsanfrage an die Ziel-VM gestattet ist, das etwa von dem Datenfluss-Verwaltungsmodul 330 durchgeführt werden kann. Dazu ist das Modul 346 zur Bestimmung autorisierten Zugriffs dazu eingerichtet, die Privilegierungsstufe der Zugriff anfragenden VM und die Privilegierungsstufe der Ziel-VM zu vergleichen, welche etwa von dem Privilegierungsstufen-Bestimmungsmodul 344 bestimmt sein können.
  • Es wird nun auf 4 Bezug genommen. In einer weiteren veranschaulichenden Ausführungsform richtet die Netzwerk-Computervorrichtung 106 im Betrieb eine Umgebung 400 ein. Die veranschaulichende Umgebung 400 umfasst mehrere VMs 402, die auf der Netzwerk-Computervorrichtung 106 ausgeführt werden und jeweils mit einer der mehreren virtuellen Funktionen 410 der NIC 212 kommunikativ gekoppelt sind. Die veranschaulichenden VMs 402 umfassen eine erste VM, die als VM(1) 404 bezeichnet ist, eine zweite VM, die als VM(2) 406 bezeichnet ist, und eine dritte VM, die als VM(N) 408 bezeichnet ist (d. h., als „Nter“ Rechenknoten der VMs 402, wobei „N“ eine positive Ganzzahl ist und eine oder mehrere zusätzliche VMs 402 bezeichnet). Die veranschaulichenden virtuellen Funktionen 410 umfassen eine erste virtuelle Funktion, die als VF(1) 412 bezeichnet ist, eine zweite virtuelle Funktion, die als VF(2) 414 bezeichnet ist, und eine dritte virtuelle Funktion, die als VF(N) 416 bezeichnet ist (d. h., als „N-ter“ Rechenknoten der virtuellen Funktionen 410, wobei „N“ eine positive Ganzzahl ist und eine oder mehrere zusätzliche virtuelle Funktionen 410 bezeichnet). Alle virtuellen Funktionen 408 werden von der NIC 212 verwaltet und der Verkehr zwischen ihnen wird von dem Datenfluss-Verwaltungsmodul 330 aus 3 verwaltet, welches vorstehend ausführlich beschrieben ist. Das Datenfluss-Verwaltungsmodul 330 ist ferner mit dem Durchsetzungsmodul 340 für virtuelle Netzwerkrichtlinien aus 3 gekoppelt, welches ebenso vorstehend ausführlich beschrieben ist. Wie gezeigt ist, umfasst die NIC 212 der veranschaulichenden Umgebung 400 die Privilegierungsstufendaten 306 aus 3.
  • Wie außerdem zuvor beschrieben wurde, werden die Inhalte der Privilegierungsstufendaten 306 (d. h., Privilegierungsstufen und entsprechende VM-Kennungen) von dem VMM 418 verwaltet, welcher mit der NIC 212 kommunikativ gekoppelt ist. Der VMM 418 ist verantwortlich für die Steuerung und Handhabung der Ausführung privilegierter Anweisungen. Anders als herkömmliche Technologien, die dazu eingerichtet sind, zu verhindern, dass Anwendungen ausgeführt werden oder auf gemeinschaftliche Plattformressourcen zugreifen, ist die Netzwerk-Computervorrichtung 106 dazu eingerichtet, wie zuvor beschrieben wurde, unerwünschten Netzwerkverkehr zu blockieren, bevor der unerwünschte Netzwerkverkehr über ihre entsprechende virtuelle Funktion zu einer konkreten VM gelenkt wird. Demgemäß ist die Netzwerk-Computervorrichtung 106 dazu eingerichtet, die Netzwerkprivilegien, nicht aber die Ausführungsprivilegien, der VM zu steuern. Dazu ist die Netzwerk-Computervorrichtung 106 dazu eingerichtet, während des Implementierens der Dienste, die das VM-Hostnetzwerk betreffen, Netzwerkprivilegierungsstufeninformationen, etwa von der Netzwerk-Steuereinheit 108, zu empfangen. Nachdem die Netzwerk-Steuereinheit 108 einen geeigneten Knoten ausgewählt hat, weist die Netzwerk-Steuereinheit 108 den VMM 418 dazu an, die benötigte Privilegierungsstufe anzuwenden, welche etwa in der zuvor beschriebenen VM-Netzwerkprivilegierungsstufentabelle gespeichert sein kann.
  • Es wird nun auf 5 Bezug genommen. Im Betrieb kann die Netzwerk-Computervorrichtung 106 ein Verfahren 500 zum Zuweisen einer Privilegierungsstufe an eine initialisierte VM ausführen. Es versteht sich, dass das Verfahren 500 für anfängliche oder nicht registrierte Zugriffsanfragen ausgeführt werden kann. Das Verfahren 500 beginnt mit Block 502, in welchem die Netzwerk-Computervorrichtung 106 bestimmt, ob die Netzwerk-Computervorrichtung 106 (nach erfolgter Instanziierung) die Initialisierung einer VM (z. B. einer der VMs 402 aus 4) angefragt hat. Falls ja, wird das Verfahren 500 mit Block 504 fortgesetzt, in welchem die Netzwerk-Computervorrichtung 106 eine Privilegierungsstufe (z. B., eine privilegierte Stufe oder eine nicht privilegierte Stufe) der zu initialisierenden VM bestimmt. Wie zuvor beschrieben wurde, kann die Privilegierungsstufe von einer Netzwerk-Steuereinheit 108 bestimmt werden und mit oder nach erfolgtem Empfang einer Anfrage nach Initialisierung der VM empfangen werden.
  • In Block 506 speichert die Netzwerk-Computervorrichtung 106 die Privilegierungsstufe der zu initialisierenden VM mit einer Kennung der zu initialisierenden VM. In manchen Ausführungsformen speichert die Netzwerk-Computervorrichtung 106 in Block 508 die Privilegierungsstufe in einem Eintrag der VM-Netzwerkprivilegierungsstufentabelle. Zusätzlich oder alternativ dazu speichert die Netzwerk-Computervorrichtung 106 in manchen Ausführungsformen in Block 510 die Privilegierungsstufe und die Kennung der VM in einem sicheren Speicher der NIC (z. B. dem sicheren Speicher 214 der NIC 212 aus 2). In Block 512 initialisiert die Netzwerk-Computervorrichtung 106 die VM. In Block 514 initialisiert die Netzwerk-Computervorrichtung 106 die virtuelle Funktion und die virtuellen Funktionstreiber der in Block 512 initialisierten VM. In Block 516 weist die Netzwerk-Computervorrichtung 106 die initialisierte virtuelle Funktion der in Block 512 initialisierten VM zu.
  • Es wird nun auf 6 Bezug genommen. Im Betrieb kann die Netzwerk-Computervorrichtung 106 ein Verfahren 600 zum Durchsetzen einer Netzwerkzugriffssteuerung für eine initialisierte virtuelle Maschine ausführen. Es versteht sich, dass das Verfahren 600 nach anfänglichen oder nicht registrierten Zugriffsanfragen ausgeführt werden kann, welche wie im Verfahren 500 aus 5 beschrieben eingerichtet wurden. Das Verfahren 600 beginnt mit Block 602, in welchem die Netzwerk-Computervorrichtung 106 bestimmt, ob (z. B. durch das Datenfluss-Verwaltungsmodul 330 aus 3 und 4) eine Zugriffsanfrage von einer VM empfangen wurde. Wie zuvor beschrieben wurde, kann die Zugriffsanfrage eine VM-zu-VM-Zugriffsanfrage, eine VM-zu-Netzwerk-Zugriffsanfrage (d. h., externer Netzwerkverkehr von oder zu einer anderen VM) usw. sein. Wenn die Netzwerk-Computervorrichtung 106 bestimmt, dass eine Zugriffsanfrage von der VM empfangen wurde, bestimmt die Netzwerk-Computervorrichtung 106 eine Privilegierungsstufe der anfragenden VM, von welcher die Zugriffsanfrage stammt. Dazu bestimmt die Netzwerk-Computervorrichtung 106 in manchen Ausführungsformen in Block 606 die Privilegierungsstufe der anfragenden VM basierend auf einem Eintrag der VM-Netzwerkprivilegierungsstufentabelle, welcher der anfragenden VM entspricht.
  • In Block 608 bestimmt die Netzwerk-Computervorrichtung 106 eine Privilegierungsstufe der Ziel-VM, auf welche Zugriff angefragt wurde. Dazu bestimmt die Netzwerk-Computervorrichtung 106 in manchen Ausführungsformen in Block 610 die Privilegierungsstufe der Ziel-VM basierend auf einem Eintrag der VM-Netzwerkprivilegierungsstufentabelle, welcher der Ziel-VM entspricht. In Block 612 bestimmt die Netzwerk-Computervorrichtung 106, ob die VM, die Netzwerkzugriff anfragt, (d. h., die anfragende VM) dazu autorisiert ist, auf die Ziel-VM zuzugreifen. Dazu vergleicht die Netzwerk-Computervorrichtung 106 in Block 614 die in Block 604 bestimmte Privilegierungsstufe der anfragenden VM mit der in Block 608 bestimmten Privilegierungsstufe der Ziel-VM.
  • In Block 616 bestimmt die Netzwerk-Computervorrichtung 106, ob der Netzwerkzugriff von der anfragenden VM aus auf die Ziel-VM basierend auf den Netzwerkrichtlinien autorisiert ist. Falls nicht, springt das Verfahren 600 zu Block 618, in welchem die Zugriffsanfrage verweigert wird; andernfalls, wenn der angefragte Zugriff autorisiert ist, springt das Verfahren 600 stattdessen zu Block 620, in welchem die Zugriffsanfrage gewährt wird. Wenn zum Beispiel die Netzwerk-Computervorrichtung 106 bestimmt, dass die Privilegierungsstufe, die der anfragenden VM zugewiesen ist, eine privilegierte Stufe ist und dass die Privilegierungsstufe, die der Ziel-VM zugewiesen ist, eine privilegierte Stufe ist, kann die Netzwerk-Computervorrichtung 106 gestatten, dass die Zugriffsanfrage über die entsprechende virtuelle Funktion zu der Ziel-VM gelenkt wird.
  • In einem anderen Beispiel kann die Netzwerk-Computervorrichtung 106, wenn sie bestimmt, dass die Privilegierungsstufe, die der anfragenden VM zugewiesen ist, eine privilegierte Stufe ist und dass die Privilegierungsstufe, die der Ziel-VM zugewiesen ist, eine nicht privilegierte Stufe ist, gestatten, dass die Zugriffsanfrage über die entsprechende virtuelle Funktion an die Ziel-VM gelenkt wird. In einem weiteren Beispiel kann die Netzwerk-Computervorrichtung 106, wenn sie bestimmt, dass die Privilegierungsstufe, die der anfragenden VM zugewiesen ist, eine nicht privilegierte Stufe ist und dass die Privilegierungsstufe, die der Ziel-VM zugewiesen ist, eine privilegierte Stufe ist, verweigern, dass die Zugriffsanfrage über die entsprechende virtuelle Funktion zu der Ziel-VM gelenkt wird.
  • Es versteht sich, dass zumindest ein Abschnitt eines der oder beider Verfahren 500 und 600 von der NIC 212 der Netzwerk-Computervorrichtung 106 ausgeführt werden kann. Es versteht sich ferner, dass in manchen Ausführungsformen eines der oder beide Verfahren 500 und 600 als diverse Anweisungen ausgebildet sein können, die auf einem computerlesbaren Medium gespeichert sind und von dem Prozessor 202, der NIC 212 und/oder anderen Komponenten der Netzwerk-Computervorrichtung 106 ausgeführt werden können, um die Netzwerk-Computervorrichtung 106 dazu zu veranlassen, die Verfahren 500 und 600 durchzuführen. Das computerlesbare Medium kann als beliebiger Typ von Medium ausgebildet sein, das von der Netzwerk-Computervorrichtung 106 gelesen werden kann, einschließlich, jedoch nicht beschränkt auf: den Speicher 206, die Datenspeichervorrichtung 208, einen sicheren Speicher 214 der NIC 212, andere Speicher- oder Datenspeichervorrichtungen der Netzwerk-Computervorrichtung 106, tragbare Medien, die durch eine periphere Vorrichtung der Netzwerk-Computervorrichtung 106 lesbar sind, und/oder andere Medien.
  • BEISPIELE
  • Veranschaulichende Beispiele der vorliegend offenbarten Technologien sind nachstehend bereitgestellt. Eine Ausführungsform der Technologien kann ein beliebiges, mehrere beliebige oder eine beliebige Kombination der nachstehend beschriebenen Beispiele umfassen.
  • Beispiel 1 umfasst eine Netzwerk-Computervorrichtung zum Durchsetzen einer Netzwerkzugriffssteuerung für virtuelle Maschinen, wobei die Netzwerk-Computervorrichtung eine oder mehrere Prozessoren; und eine oder mehrere Datenspeichervorrichtungen mit darin gespeicherten mehreren Anweisungen aufweist, welche bei Ausführung durch den einen oder die mehreren Prozessoren die Netzwerk-Computervorrichtung dazu veranlassen: eine Zugriffsanfrage von einer virtuellen Funktion zu empfangen, die einer anfragenden virtuellen Maschine zugewiesen ist, wobei die anfragende virtuelle Maschine eine von mehreren auf der Netzwerk-Computervorrichtung initialisierten virtuellen Maschinen ist, wobei die Zugriffsanfrage eine Anfrage nach Zugriff auf mindestens einen Abschnitt einer angefragten virtuellen Maschine umfasst, wobei die angefragte virtuelle Maschine eine der mehreren auf der Netzwerk-Computervorrichtung initialisierten virtuellen Maschinen ist; eine erste Privilegierungsstufe, die der anfragenden Maschine zugewiesen ist, und eine zweite Privilegierungsstufe, die der angefragten virtuellen Maschine zugewiesen ist, zu bestimmen; auf Grundlage eines Vergleichs der ersten und der zweiten Privilegierungsstufe zu bestimmen, ob die anfragende virtuelle Maschine dazu autorisiert ist, auf die angefragte virtuelle Maschine zuzugreifen; und als Reaktion auf eine Bestimmung, dass die anfragende virtuelle Maschine autorisiert ist, auf die angefragte virtuelle Maschine zuzugreifen, der anfragenden virtuellen Maschine Zugriff auf die angefragte virtuelle Maschine zu gewähren.
  • Beispiel 2 umfasst den Gegenstand aus Beispiel 1, wobei die mehreren Anweisungen ferner die Netzwerk-Computervorrichtung dazu veranlassen, jede der mehreren virtuellen Maschinen zu initialisieren; und jeder der mehreren virtuellen Maschinen eine Privilegierungsstufe zuzuweisen, wobei die Privilegierungsstufe eine privilegierte Stufe oder eine nicht privilegierte Stufe umfasst.
  • Beispiel 3 umfasst den Gegenstand aus einem der Beispiele 1 und 2, wobei die mehreren Anweisungen ferner die Netzwerk-Computervorrichtung dazu veranlassen, für jede der mehreren virtuellen Maschinen eine oder mehrere virtuelle Funktionen zu initialisieren; und jede der einen oder mehreren virtuellen Funktionen einer entsprechenden der mehreren virtuellen Maschinen zuzuweisen.
  • Beispiel 4 umfasst den Gegenstand aus einem der Beispiele 1 bis 3, wobei das Zuweisen der Privilegierungsstufe an jede der mehreren virtuellen Maschinen ein Zuweisen der ersten Privilegierungsstufe an die anfragende virtuelle Maschine und der zweiten Privilegierungsstufe an die angefragte virtuelle Maschine umfasst.
  • Beispiel 5 umfasst den Gegenstand aus einem der Beispiele 1 bis 4, wobei das Gewähren von Zugriff auf die angefragte virtuelle Maschine für die anfragende virtuelle Maschine umfasst, Zugriff folgend auf eine Bestimmung zu gewähren, dass die erste Privilegierungsstufe der privilegierten Stufe und die zweite Privilegierungsstufe der privilegierten Stufe entspricht.
  • Beispiel 6 umfasst den Gegenstand aus einem der Beispiele 1 bis 5, wobei das Gewähren von Zugriff auf die angefragte virtuelle Maschine für die anfragende virtuelle Maschine umfasst, Zugriff folgend auf eine Bestimmung zu gewähren, dass die erste Privilegierungsstufe der privilegierten Stufe und die zweite Privilegierungsstufe der nicht privilegierten Stufe entspricht.
  • Beispiel 7 umfasst den Gegenstand aus einem der Beispiele 1 bis 6, wobei die mehreren Anweisungen ferner die Netzwerk-Computervorrichtung dazu veranlassen, als Reaktion auf eine Bestimmung, dass die anfragende virtuelle Maschine nicht zum Zugriff auf die angefragte virtuelle Maschine autorisiert ist, der anfragenden virtuellen Maschine den Zugriff auf die angefragte virtuelle Maschine zu verweigern.
  • Beispiel 8 umfasst den Gegenstand aus einem der Beispiele 1 bis 7, wobei das Zuweisen der Privilegierungsstufe an jede der mehreren virtuellen Maschinen umfasst, der anfragenden virtuellen Maschine die erste Privilegierungsstufe und der angefragten virtuellen Maschine die zweite Privilegierungsstufe zuzuweisen, und wobei das Verweigern des Zugriffs auf die angefragte virtuelle Maschine für die anfragende virtuelle Maschine umfasst, den Zugriff folgend auf eine Bestimmung zu verweigern, dass die erste Privilegierungsstufe der nicht privilegierten Stufe und die zweite Privilegierungsstufe der privilegierten Stufe entspricht.
  • Beispiel 9 umfasst den Gegenstand aus einem der Beispiele 1 bis 8, wobei das Gewähren von Zugriff auf die angefragte virtuelle Maschine für die anfragende virtuelle Maschine umfasst, Zugriff zu gewähren, der auf mindestens den der Zugriffsanfrage entsprechenden Abschnitt der angefragten virtuellen Maschine beschränkt ist.
  • Beispiel 10 umfasst den Gegenstand aus einem der Beispiele 1 bis 9, wobei es sich bei der ersten und der angefragten virtuellen Maschine um dieselbe virtuelle Maschine handelt.
  • Beispiel 11 umfasst den Gegenstand aus einem der Beispiele 1 bis 10, wobei es sich bei der ersten und der angefragten virtuellen Maschine um verschiedene virtuelle Maschinen handelt.
  • Beispiel 12 umfasst den Gegenstand aus einem der Beispiele 1 bis 11, wobei die Zugriffsanfrage eine VM-zu-VM-Zugriffsanfrage oder eine VM-zu-Netzwerk-Zugriffsanfrage umfasst.
  • Beispiel 13 umfasst ein Verfahren zum Durchsetzen einer Netzwerkzugriffssteuerung für virtuelle Maschinen, wobei das Verfahren umfasst: Empfangen, durch eine Netzwerk-Computervorrichtung, einer Zugriffsanfrage von einer virtuellen Funktion, die einer anfragenden virtuellen Maschine zugewiesen ist, wobei die anfragende virtuelle Maschine eine von mehreren auf der Netzwerk-Computervorrichtung initialisierten virtuellen Maschinen ist, wobei die Zugriffsanfrage eine Anfrage nach Zugriff auf mindestens einen Abschnitt einer angefragten virtuellen Maschine umfasst, wobei die angefragte virtuelle Maschine eine der mehreren auf der Netzwerk-Computervorrichtung initialisierten virtuellen Maschinen ist; Bestimmen, durch die Netzwerk-Computervorrichtung, einer ersten Privilegierungsstufe, die der anfragenden Maschine zugewiesen ist, und einer zweiten Privilegierungsstufe, die der angefragten virtuellen Maschine zugewiesen ist; Bestimmen, durch die Netzwerk-Computervorrichtung, auf Grundlage eines Vergleichs der ersten und der zweiten Privilegierungsstufe, ob die anfragende virtuelle Maschine dazu autorisiert ist, auf die angefragte virtuelle Maschine zuzugreifen; und Gewähren, durch die Netzwerk-Computervorrichtung und als Reaktion auf eine Bestimmung, dass die anfragende virtuelle Maschine dazu autorisiert ist, auf die angefragte virtuelle Maschine zuzugreifen, von Zugriff auf die angefragte virtuelle Maschine für die anfragende virtuelle Maschine.
  • Beispiel 14 umfasst den Gegenstand aus Beispiel 13 und umfasst ferner: Initialisieren, durch die Netzwerk-Computervorrichtung, von jeder der mehreren virtuellen Maschinen; und Zuweisen, durch die Netzwerk-Computervorrichtung, einer Privilegierungsstufe an jede der mehreren virtuellen Maschinen, wobei die Privilegierungsstufe eine privilegierte Stufe oder eine nicht privilegierte Stufe umfasst.
  • Beispiel 15 umfasst den Gegenstand aus einem der Beispiele 13 und 14 und umfasst ferner: Initialisieren, durch die Netzwerk-Computervorrichtung, von einer oder mehreren virtuellen Funktionen für jede der mehreren virtuellen Maschinen; und Zuweisen, durch die Netzwerk-Computervorrichtung, von jeder der einen oder mehreren virtuellen Funktionen an eine entsprechende der mehreren virtuellen Maschinen.
  • Beispiel 16 umfasst den Gegenstand aus einem der Beispiele 13 bis 15, wobei das Zuweisen der Privilegierungsstufe an jede der mehreren virtuellen Maschinen ein Zuweisen der ersten Privilegierungsstufe an die anfragende virtuelle Maschine und der zweiten Privilegierungsstufe an die angefragte virtuelle Maschine umfasst.
  • Beispiel 17 umfasst den Gegenstand aus einem der Beispiele 13 bis 16, wobei das Gewähren von Zugriff auf die angefragte virtuelle Maschine für die anfragende virtuelle Maschine umfasst, Zugriff folgend auf eine Bestimmung zu gewähren, dass die erste Privilegierungsstufe der privilegierten Stufe und die zweite Privilegierungsstufe der privilegierten Stufe entspricht.
  • Beispiel 18 umfasst den Gegenstand aus einem der Beispiele 13 bis 17, wobei das Gewähren von Zugriff, durch die Netzwerk-Computervorrichtung, auf die angefragte virtuelle Maschine für die anfragende virtuelle Maschine umfasst, Zugriff folgend auf eine Bestimmung zu gewähren, dass die erste Privilegierungsstufe der privilegierten Stufe und die zweite Privilegierungsstufe der nicht privilegierten Stufe entspricht.
  • Beispiel 19 umfasst den Gegenstand aus einem der Beispiele 13 bis 18 und umfasst ferner: Verweigern, durch die Netzwerk-Computervorrichtung und als Reaktion auf eine Bestimmung, dass die anfragende virtuelle Maschine nicht zum Zugriff auf die angefragte virtuelle Maschine autorisiert ist, des Zugriffs auf die angefragte virtuelle Maschine für die anfragende virtuelle Maschine.
  • Beispiel 20 umfasst den Gegenstand aus einem der Beispiele 13 bis 19, wobei das Zuweisen der Privilegierungsstufe an jede der mehreren virtuellen Maschinen umfasst, der anfragenden virtuellen Maschine die erste Privilegierungsstufe und der angefragten virtuellen Maschine die zweite Privilegierungsstufe zuzuweisen, und wobei das Verweigern des Zugriffs auf die angefragte virtuelle Maschine für die anfragende virtuelle Maschine umfasst, den Zugriff folgend auf eine Bestimmung zu verweigern, dass die erste Privilegierungsstufe der nicht privilegierten Stufe und die zweite Privilegierungsstufe der privilegierten Stufe entspricht.
  • Beispiel 21 umfasst den Gegenstand aus einem der Beispiele 13 bis 20, wobei das Gewähren von Zugriff auf die angefragte virtuelle Maschine für die anfragende virtuelle Maschine umfasst, Zugriff zu gewähren, der auf mindestens den der Zugriffsanfrage entsprechenden Abschnitt der angefragten virtuellen Maschine beschränkt ist.
  • Beispiel 22 umfasst den Gegenstand aus einem der Beispiele 13 bis 21, wobei es sich bei der ersten und der angefragten virtuellen Maschine um dieselbe virtuelle Maschine handelt.
  • Beispiel 23 umfasst den Gegenstand aus einem der Beispiele 13 bis 22, wobei es sich bei der ersten und der angefragten virtuellen Maschine um verschiedene virtuelle Maschinen handelt.
  • Beispiel 24 umfasst den Gegenstand aus einem der Beispiele 13 bis 23, wobei das Empfangen der Zugriffsanfrage Empfangen einer VM-zu-VM-Zugriffsanfrage oder einer VM-zu-Netzwerk-Zugriffsanfrage umfasst.
  • Beispiel 25 umfasst eine Netzwerk-Computervorrichtung mit einem Prozessor; und einem Speicher mit darin gespeicherten mehreren Anweisungen, welche bei Ausführung durch den Prozessor die Netzwerk-Computervorrichtung dazu veranlassen, das Verfahren aus einem der Beispiele 13 bis 24 durchzuführen.
  • Beispiel 26 umfasst ein oder mehrere maschinenlesbare Speichermedien mit mehreren darauf gespeicherten Anweisungen, die als Reaktion auf ihre Ausführung dazu führen, dass eine Netzwerk-Computervorrichtung das Verfahren aus einem der Beispiele 13 bis 24 durchführt.
  • Beispiel 27 umfasst eine Netzwerk-Computervorrichtung zum Durchsetzen einer Netzwerkzugriffssteuerung für virtuelle Maschinen, wobei die Netzwerk-Computervorrichtung aufweist: Netzwerk-Kommunikationsschaltkreise, die eingerichtet sind zum Empfangen einer Zugriffsanfrage von einer virtuellen Funktion, die einer anfragenden virtuellen Maschine zugewiesen ist, wobei die anfragende virtuelle Maschine eine von mehreren auf der Netzwerk-Computervorrichtung initialisierten virtuellen Maschinen ist, wobei die Zugriffsanfrage eine Anfrage nach Zugriff auf mindestens einen Abschnitt einer angefragten virtuellen Maschine umfasst, wobei die angefragte virtuelle Maschine eine der mehreren auf der Netzwerk-Computervorrichtung initialisierten virtuellen Maschinen ist; Durchsetzungsschaltkreise für Netzwerkrichtlinien virtueller Maschinen, die eingerichtet sind zum (i) Bestimmen einer ersten Privilegierungsstufe, die der anfragenden Maschine zugewiesen ist, und einer zweiten Privilegierungsstufe, die der angefragten virtuellen Maschine zugewiesen ist, und (ii) Bestimmen auf Grundlage eines Vergleichs der ersten und der zweiten Privilegierungsstufe, ob die anfragende virtuelle Maschine dazu autorisiert ist, auf die angefragte virtuelle Maschine zuzugreifen; Datenfluss-Verwaltungsschaltkreise, die eingerichtet sind zum Gewähren, als Reaktion auf eine Bestimmung, dass die anfragende virtuelle Maschine autorisiert ist, auf die angefragte virtuelle Maschine zuzugreifen, von Zugriff auf die angefragte virtuelle Maschine für die anfragende virtuelle Maschine.
  • Beispiel 28 umfasst den Gegenstand aus Beispiel 27 und umfasst ferner Verwaltungsschaltkreise für virtuelle Maschinen, die eingerichtet sind zum Initialisieren jeder der mehreren virtuellen Maschinen, wobei die Durchsetzungsschaltkreise für Netzwerkrichtlinien virtueller Maschinen ferner dazu eingerichtet sind, jeder der mehreren virtuellen Maschinen eine Privilegierungsstufe zuzuweisen, wobei die Privilegierungsstufe eine privilegierte Stufe oder eine nicht privilegierte Stufe umfasst.
  • Beispiel 29 umfasst den Gegenstand aus einem der Beispiele 27 und 28, wobei die Verwaltungsschaltkreise für virtuelle Maschinen ferner dazu eingerichtet sind, (i) für jede der mehreren virtuellen Maschinen eine oder mehrere virtuelle Funktionen zu initialisieren und (ii) jede der einen oder mehreren virtuellen Funktionen einer entsprechenden der mehreren virtuellen Maschinen zuzuweisen.
  • Beispiel 30 umfasst den Gegenstand aus einem der Beispiele 27 bis 29, wobei das Zuweisen der Privilegierungsstufe an jede der mehreren virtuellen Maschinen ein Zuweisen der ersten Privilegierungsstufe an die anfragende virtuelle Maschine und der zweiten Privilegierungsstufe an die angefragte virtuelle Maschine umfasst.
  • Beispiel 31 umfasst den Gegenstand aus einem der Beispiele 27 bis 30, wobei das Gewähren von Zugriff auf die angefragte virtuelle Maschine für die anfragende virtuelle Maschine umfasst, Zugriff folgend auf eine Bestimmung zu gewähren, dass die erste Privilegierungsstufe der privilegierten Stufe und die zweite Privilegierungsstufe der privilegierten Stufe entspricht.
  • Beispiel 32 umfasst den Gegenstand aus einem der Beispiele 27 bis 31, wobei das Gewähren von Zugriff auf die angefragte virtuelle Maschine für die anfragende virtuelle Maschine umfasst, Zugriff folgend auf eine Bestimmung zu gewähren, dass die erste Privilegierungsstufe der privilegierten Stufe und die zweite Privilegierungsstufe der nicht privilegierten Stufe entspricht.
  • Beispiel 33 umfasst den Gegenstand aus einem der Beispiele 27 bis 32, wobei die Datenfluss-Verwaltungsschaltkreise ferner dazu eingerichtet sind, als Reaktion auf eine Bestimmung, dass die anfragende virtuelle Maschine nicht zum Zugriff auf die angefragte virtuelle Maschine autorisiert ist, den Zugriff auf die angefragte virtuelle Maschine für die anfragende virtuelle Maschine zu verweigern.
  • Beispiel 34 umfasst den Gegenstand aus einem der Beispiele 27 bis 33, wobei das Zuweisen der Privilegierungsstufe an jede der mehreren virtuellen Maschinen umfasst, der anfragenden virtuellen Maschine die erste Privilegierungsstufe und der angefragten virtuellen Maschine die zweite Privilegierungsstufe zuzuweisen, und wobei das Verweigern des Zugriffs auf die angefragte virtuelle Maschine für die anfragende virtuelle Maschine umfasst, den Zugriff folgend auf eine Bestimmung zu verweigern, dass die erste Privilegierungsstufe der nicht privilegierten Stufe und die zweite Privilegierungsstufe der privilegierten Stufe entspricht.
  • Beispiel 35 umfasst den Gegenstand aus einem der Beispiele 27 bis 34, wobei das Gewähren von Zugriff auf die angefragte virtuelle Maschine für die anfragende virtuelle Maschine umfasst, Zugriff zu gewähren, der auf mindestens den der Zugriffsanfrage entsprechenden Abschnitt der angefragten virtuellen Maschine beschränkt ist.
  • Beispiel 36 umfasst den Gegenstand aus einem der Beispiele 27 bis 35, wobei es sich bei der ersten und der angefragten virtuellen Maschine um dieselbe virtuelle Maschine handelt.
  • Beispiel 37 umfasst den Gegenstand aus einem der Beispiele 27 bis 36, und es handelt sich bei der ersten und der angefragten virtuellen Maschine um verschiedene virtuelle Maschinen.
  • Beispiel 38 umfasst den Gegenstand aus einem der Beispiele 27 bis 37, wobei die Zugriffsanfrage eine VM-zu-VM-Zugriffsanfrage oder eine VM-zu-Netzwerk-Zugriffsanfrage umfasst.
  • Beispiel 39 umfasst eine Netzwerk-Computervorrichtung zum Durchsetzen einer Netzwerkzugriffssteuerung für virtuelle Maschinen, wobei die Netzwerk-Computervorrichtung aufweist: Netzwerk-Kommunikationsschaltkreise, die eingerichtet sind zum Empfangen einer Zugriffsanfrage von einer virtuellen Funktion, die einer anfragenden virtuellen Maschine zugewiesen ist, wobei die anfragende virtuelle Maschine eine von mehreren auf der Netzwerk-Computervorrichtung initialisierten virtuellen Maschinen ist, wobei die Zugriffsanfrage eine Anfrage nach Zugriff auf mindestens einen Abschnitt einer angefragten virtuellen Maschine umfasst, wobei die angefragte virtuelle Maschine eine der mehreren auf der Netzwerk-Computervorrichtung initialisierten virtuellen Maschinen ist; Mittel zum Bestimmen einer ersten Privilegierungsstufe, die der anfragenden Maschine zugewiesen ist, und einer zweiten Privilegierungsstufe, die der angefragten virtuellen Maschine zugewiesen ist; Mittel zum Bestimmen, auf Grundlage eines Vergleichs der ersten und der zweiten Privilegierungsstufe, ob die anfragende virtuelle Maschine dazu autorisiert ist, auf die angefragte virtuelle Maschine zuzugreifen; Datenfluss-Verwaltungsschaltkreise, die eingerichtet sind zum Gewähren, als Reaktion auf eine Bestimmung, dass die anfragende virtuelle Maschine autorisiert ist, auf die angefragte virtuelle Maschine zuzugreifen, von Zugriff auf die angefragte virtuelle Maschine für die anfragende virtuelle Maschine.
  • Beispiel 40 umfasst den Gegenstand aus Beispiel 39 und umfasst ferner Verwaltungsschaltkreise für virtuelle Maschinen, die eingerichtet sind zum Initialisieren jeder der mehreren virtuellen Maschinen, wobei die Durchsetzungsschaltkreise für Netzwerkrichtlinien virtueller Maschinen ferner dazu eingerichtet sind, jeder der mehreren virtuellen Maschinen eine Privilegierungsstufe zuzuweisen, wobei die Privilegierungsstufe eine privilegierte Stufe oder eine nicht privilegierte Stufe umfasst.
  • Beispiel 41 umfasst den Gegenstand aus einem der Beispiele 39 und 40, wobei die Verwaltungsschaltkreise für virtuelle Maschinen ferner eingerichtet sind, (i) für jede der mehreren virtuellen Maschinen eine oder mehrere virtuelle Funktionen zu initialisieren und (ii) jede der einen oder mehreren virtuellen Funktionen einer entsprechenden der mehreren virtuellen Maschinen zuzuweisen.
  • Beispiel 42 umfasst den Gegenstand aus einem der Beispiele 39 bis 41, wobei das Zuweisen der Privilegierungsstufe an jede der mehreren virtuellen Maschinen ein Zuweisen der ersten Privilegierungsstufe an die anfragende virtuelle Maschine und der zweiten Privilegierungsstufe an die angefragte virtuelle Maschine umfasst.
  • Beispiel 43 umfasst den Gegenstand aus einem der Beispiele 39 bis 42, wobei das Gewähren von Zugriff auf die angefragte virtuelle Maschine für die anfragende virtuelle Maschine umfasst, Zugriff folgend auf eine Bestimmung zu gewähren, dass die erste Privilegierungsstufe der privilegierten Stufe und die zweite Privilegierungsstufe der privilegierten Stufe entspricht.
  • Beispiel 44 umfasst den Gegenstand aus einem der Beispiele 39 bis 43, wobei das Gewähren von Zugriff auf die angefragte virtuelle Maschine für die anfragende virtuelle Maschine umfasst, Zugriff folgend auf eine Bestimmung zu gewähren, dass die erste Privilegierungsstufe der privilegierten Stufe und die zweite Privilegierungsstufe der nicht privilegierten Stufe entspricht.
  • Beispiel 45 umfasst den Gegenstand aus einem der Beispiele 39 bis 44, wobei die Datenfluss-Verwaltungsschaltkreise ferner dazu eingerichtet sind, als Reaktion auf eine Bestimmung, dass die anfragende virtuelle Maschine nicht zum Zugriff auf die angefragte virtuelle Maschine autorisiert ist, den Zugriff auf die angefragte virtuelle Maschine für die anfragende virtuelle Maschine zu verweigern.
  • Beispiel 46 umfasst den Gegenstand aus einem der Beispiele 39 bis 45, wobei die Mittel zum Zuweisen der Privilegierungsstufe an jede der mehreren virtuellen Maschinen Mittel zum Zuweisen der ersten Privilegierungsstufe an die anfragende virtuelle Maschine und zum Zuweisen der zweiten Privilegierungsstufe an die angefragte virtuelle Maschine umfassen und wobei das Verweigern des Zugriffs auf die angefragte virtuelle Maschine für die anfragende virtuelle Maschine umfasst, den Zugriff folgend auf eine Bestimmung zu verweigern, dass die erste Privilegierungsstufe der nicht privilegierten Stufe und die zweite Privilegierungsstufe der privilegierten Stufe entspricht.
  • Beispiel 47 umfasst den Gegenstand aus einem der Beispiele 39 bis 46, wobei das Gewähren von Zugriff auf die angefragte virtuelle Maschine für die anfragende virtuelle Maschine umfasst, Zugriff zu gewähren, der auf mindestens den der Zugriffsanfrage entsprechenden Abschnitt der angefragten virtuellen Maschine beschränkt ist.
  • Beispiel 48 umfasst den Gegenstand aus einem der Beispiele 39 bis 47, wobei es sich bei der ersten und der angefragten virtuellen Maschine um dieselbe virtuelle Maschine handelt.
  • Beispiel 49 umfasst den Gegenstand aus einem der Beispiele 39 bis 48, wobei es sich bei der ersten und der angefragten virtuellen Maschine um verschiedene virtuelle Maschinen handelt.
  • Beispiel 50 umfasst den Gegenstand aus einem der Beispiele 39 bis 49, wobei die Zugriffsanfrage eine VM-zu-VM-Zugriffsanfrage oder eine VM-zu-Netzwerk-Zugriffsanfrage umfasst.

Claims (25)

  1. Netzwerk-Computervorrichtung zum Durchsetzen einer Netzwerkzugriffssteuerung für virtuelle Maschinen, wobei die Netzwerk-Computervorrichtung aufweist: einen oder mehrere Prozessoren; und eine oder mehrere Datenspeichervorrichtungen mit darin gespeicherten mehreren Anweisungen, welche bei Ausführung durch den einen oder die mehreren Prozessoren die Netzwerk-Computervorrichtung dazu veranlassen: eine Zugriffsanfrage von einer virtuellen Funktion zu empfangen, die einer anfragenden virtuellen Maschine zugewiesen ist, wobei die anfragende virtuelle Maschine eine von mehreren auf der Netzwerk-Computervorrichtung initialisierten virtuellen Maschinen ist, wobei die Zugriffsanfrage eine Anfrage nach Zugriff auf mindestens einen Abschnitt einer angefragten virtuellen Maschine umfasst, wobei die angefragte virtuelle Maschine eine von den mehreren auf der Netzwerk-Computervorrichtung initialisierten virtuellen Maschinen ist; eine erste Privilegierungsstufe, die der anfragenden Maschine zugewiesen ist, und eine zweite Privilegierungsstufe, die der angefragten virtuellen Maschine zugewiesen ist, zu bestimmen; auf Grundlage eines Vergleichs der ersten und der zweiten Privilegierungsstufe zu bestimmen, ob die anfragende virtuelle Maschine dazu autorisiert ist, auf die angefragte virtuelle Maschine zuzugreifen; und als Reaktion auf eine Bestimmung, dass die anfragende virtuelle Maschine autorisiert ist, auf die angefragte virtuelle Maschine zuzugreifen, der anfragenden virtuellen Maschine Zugriff auf die angefragte virtuelle Maschine zu gewähren.
  2. Netzwerk-Computervorrichtung nach Anspruch 1, wobei die mehreren Anweisungen ferner die Netzwerk-Computervorrichtung dazu veranlassen: jede der mehreren virtuellen Maschinen zu initialisieren; und jeder der mehreren virtuellen Maschinen eine Privilegierungsstufe zuzuweisen, wobei die Privilegierungsstufe eine privilegierte Stufe oder eine nicht privilegierte Stufe umfasst.
  3. Netzwerk-Computervorrichtung nach Anspruch 2, wobei die mehreren Anweisungen ferner die Netzwerk-Computervorrichtung dazu veranlassen: für jede der mehreren virtuellen Maschinen eine oder mehrere virtuelle Funktionen zu initialisieren; und jede der einen oder mehreren virtuellen Funktionen einer entsprechenden der mehreren virtuellen Maschinen zuzuweisen.
  4. Netzwerk-Computervorrichtung nach Anspruch 2, wobei das Zuweisen der Privilegierungsstufe an jede der mehreren virtuellen Maschinen ein Zuweisen der ersten Privilegierungsstufe an die anfragende virtuelle Maschine und der zweiten Privilegierungsstufe an die angefragte virtuelle Maschine umfasst.
  5. Netzwerk-Computervorrichtung nach Anspruch 4, wobei das Gewähren von Zugriff auf die angefragte virtuelle Maschine für die anfragende virtuelle Maschine umfasst, Zugriff folgend auf eine Bestimmung zu gewähren, dass die erste Privilegierungsstufe der privilegierten Stufe und die zweite Privilegierungsstufe der privilegierten Stufe entspricht.
  6. Netzwerk-Computervorrichtung nach Anspruch 4, wobei das Gewähren von Zugriff auf die angefragte virtuelle Maschine für die anfragende virtuelle Maschine umfasst, Zugriff folgend auf eine Bestimmung, dass die erste Privilegierungsstufe der privilegierten Stufe und die zweite Privilegierungsstufe der nicht privilegierten Stufe entspricht, zu gewähren.
  7. Netzwerk-Computervorrichtung nach Anspruch 2, wobei die mehreren Anweisungen ferner die Netzwerk-Computervorrichtung dazu veranlassen, als Reaktion auf eine Bestimmung, dass die anfragende virtuelle Maschine nicht zum Zugriff auf die angefragte virtuelle Maschine autorisiert ist, der anfragenden virtuellen Maschine den Zugriff auf die angefragte virtuelle Maschine zu verweigern.
  8. Netzwerk-Computervorrichtung nach Anspruch 7, wobei das Zuweisen der Privilegierungsstufe an jede der mehreren virtuellen Maschinen umfasst, der anfragenden virtuellen Maschine die erste Privilegierungsstufe und der angefragten virtuellen Maschine die zweite Privilegierungsstufe zuzuweisen, und wobei das Verweigern des Zugriffs auf die angefragte virtuelle Maschine für die anfragende virtuelle Maschine umfasst, den Zugriff folgend auf eine Bestimmung, dass die erste Privilegierungsstufe der nicht privilegierten Stufe und die zweite Privilegierungsstufe der privilegierten Stufe entspricht, zu verweigern.
  9. Netzwerk-Computervorrichtung nach Anspruch 1, wobei das Gewähren von Zugriff auf die angefragte virtuelle Maschine für die anfragende virtuelle Maschine umfasst, Zugriff zu gewähren, der auf mindestens den der Zugriffsanfrage entsprechenden Abschnitt der angefragten virtuellen Maschine beschränkt ist.
  10. Netzwerk-Computervorrichtung nach Anspruch 1, wobei es sich bei der ersten und der angefragten virtuellen Maschine um dieselbe virtuelle Maschine handelt.
  11. Netzwerk-Computervorrichtung nach Anspruch 1, wobei es sich bei der ersten und der angefragten virtuellen Maschine um verschiedene virtuelle Maschinen handelt.
  12. Netzwerk-Computervorrichtung nach Anspruch 1, wobei die Zugriffsanfrage eine VM-zu-VM-Zugriffsanfrage oder eine VM-zu-Netzwerk-Zugriffsanfrage umfasst.
  13. Verfahren zum Durchsetzen einer Netzwerkzugriffssteuerung für virtuelle Maschinen, wobei das Verfahren umfasst: Empfangen, durch eine Netzwerk-Computervorrichtung, einer Zugriffsanfrage von einer virtuellen Funktion, die einer anfragenden virtuellen Maschine zugewiesen ist, wobei die anfragende virtuelle Maschine eine von mehreren auf der Netzwerk-Computervorrichtung initialisierten virtuellen Maschinen ist, wobei die Zugriffsanfrage eine Anfrage nach Zugriff auf mindestens einen Abschnitt einer angefragten virtuellen Maschine umfasst, wobei die angefragte virtuelle Maschine eine der mehreren auf der Netzwerk-Computervorrichtung initialisierten virtuellen Maschinen ist; Bestimmen, durch die Netzwerk-Computervorrichtung, einer ersten Privilegierungsstufe, die der anfragenden Maschine zugewiesen ist, und einer zweiten Privilegierungsstufe, die der angefragten virtuellen Maschine zugewiesen ist; Bestimmen, durch die Netzwerk-Computervorrichtung, auf Grundlage eines Vergleichs der ersten und der zweiten Privilegierungsstufe, ob die anfragende virtuelle Maschine dazu autorisiert ist, auf die angefragte virtuelle Maschine zuzugreifen; und Gewähren, durch die Netzwerk-Computervorrichtung und als Reaktion auf eine Bestimmung, dass die anfragende virtuelle Maschine dazu autorisiert ist, auf die angefragte virtuelle Maschine zuzugreifen, von Zugriff auf die angefragte virtuelle Maschine für die anfragende virtuelle Maschine.
  14. Verfahren nach Anspruch 13, ferner umfassend: Initialisieren, durch die Netzwerk-Computervorrichtung, von jeder der mehreren virtuellen Maschinen; und Zuweisen, durch die Netzwerk-Computervorrichtung, einer Privilegierungsstufe an jede der mehreren virtuellen Maschinen, wobei die Privilegierungsstufe eine privilegierte Stufe oder eine nicht privilegierte Stufe umfasst.
  15. Verfahren nach Anspruch 14, ferner umfassend: Initialisieren, durch die Netzwerk-Computervorrichtung, von einer oder mehreren virtuellen Funktionen für jede der mehreren virtuellen Maschinen; und Zuweisen, durch die Netzwerk-Computervorrichtung, von jeder der einen oder mehreren virtuellen Funktionen an eine entsprechende der mehreren virtuellen Maschinen.
  16. Verfahren nach Anspruch 14, wobei das Zuweisen der Privilegierungsstufe an jede der mehreren virtuellen Maschinen ein Zuweisen der ersten Privilegierungsstufe an die anfragende virtuelle Maschine und der zweiten Privilegierungsstufe an die angefragte virtuelle Maschine umfasst.
  17. Verfahren nach Anspruch 16, wobei das Gewähren von Zugriff auf die angefragte virtuelle Maschine für die anfragende virtuelle Maschine umfasst: Gewähren von Zugriff folgend auf eine Bestimmung, dass die erste Privilegierungsstufe der privilegierten Stufe und die zweite Privilegierungsstufe der privilegierten Stufe entspricht, oder eine Bestimmung, dass die erste Privilegierungsstufe der privilegierten Stufe und die zweite Privilegierungsstufe der nicht privilegierten Stufe entspricht.
  18. Verfahren nach Anspruch 14, ferner umfassend: Verweigern, durch die Netzwerk-Computervorrichtung und als Reaktion auf eine Bestimmung, dass die anfragende virtuelle Maschine nicht autorisiert ist, auf die angefragte virtuelle Maschine zuzugreifen, von Zugriff auf die angefragte virtuelle Maschine für die anfragende virtuelle Maschine.
  19. Verfahren nach Anspruch 18, wobei das Zuweisen der Privilegierungsstufe an jede der mehreren virtuellen Maschinen ein Zuweisen der ersten Privilegierungsstufe an die anfragende virtuelle Maschine und der zweiten Privilegierungsstufe an die angefragte virtuelle Maschine umfasst und wobei das Verweigern des Zugriffs auf die angefragte virtuelle Maschine für die anfragende virtuelle Maschine ein Verweigern des Zugriffs folgend auf eine Bestimmung umfasst, dass die erste Privilegierungsstufe der nicht privilegierten Stufe und die zweite Privilegierungsstufe der privilegierten Stufe entspricht.
  20. Verfahren nach Anspruch 13, wobei das Gewähren von Zugriff auf die angefragte virtuelle Maschine für die anfragende virtuelle Maschine ein Gewähren von Zugriff umfasst, der auf mindestens den der Zugriffsanfrage entsprechenden Abschnitt der angefragten virtuellen Maschine beschränkt ist.
  21. Verfahren nach Anspruch 13, wobei es sich bei der ersten und der angefragten virtuellen Maschine um dieselbe virtuelle Maschine handelt.
  22. Verfahren nach Anspruch 13, wobei es sich bei der ersten und der angefragten virtuellen Maschine um verschiedene virtuelle Maschinen handelt.
  23. Verfahren nach Anspruch 13, wobei das Empfangen der Zugriffsanfrage umfasst: Empfangen einer VM-zu-VM-Zugriffsanfrage oder einer VM-zu-Netzwerk-Zugriffsanfrage.
  24. Netzwerk-Computervorrichtung, die Folgendes aufweist: einen Prozessor; und einen Speicher mit darin gespeicherten mehreren Anweisungen, welche bei Ausführung durch den Prozessor die Netzwerk-Computervorrichtung dazu veranlassen, das Verfahren nach einem der Ansprüche 13 bis 23 durchzuführen.
  25. Maschinenlesbares Speichermedium oder maschinenlesbare Speichermedien mit mehreren darauf gespeicherten Anweisungen, die als Reaktion auf ihre Ausführung dazu führen, dass eine Netzwerk-Computervorrichtung das Verfahren nach einem der Ansprüche 13 bis 23 durchführt.
DE112016005933.7T 2015-12-22 2016-11-22 Technologien zum Durchsetzen einer Netzwerkzugriffssteuerung fiir virtuelle Maschinen Pending DE112016005933T5 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US14/979,134 2015-12-22
US14/979,134 US20170180325A1 (en) 2015-12-22 2015-12-22 Technologies for enforcing network access control of virtual machines
PCT/US2016/063334 WO2017112256A1 (en) 2015-12-22 2016-11-22 Technologies for enforcing network access control of virtual machines

Publications (1)

Publication Number Publication Date
DE112016005933T5 true DE112016005933T5 (de) 2018-10-25

Family

ID=59064719

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112016005933.7T Pending DE112016005933T5 (de) 2015-12-22 2016-11-22 Technologien zum Durchsetzen einer Netzwerkzugriffssteuerung fiir virtuelle Maschinen

Country Status (4)

Country Link
US (1) US20170180325A1 (de)
CN (1) CN108292234A (de)
DE (1) DE112016005933T5 (de)
WO (1) WO2017112256A1 (de)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107005495B (zh) * 2017-01-20 2020-03-27 华为技术有限公司 用于转发数据包的方法、网卡、主机设备和计算机系统
US10699003B2 (en) * 2017-01-23 2020-06-30 Hysolate Ltd. Virtual air-gapped endpoint, and methods thereof
CN108459563B (zh) * 2017-02-17 2022-05-17 西门子公司 一种现场数据处理方法、设备和系统
US10680898B2 (en) * 2018-03-06 2020-06-09 At&T Intellectual Property I, L.P. Mini-cloud deployment system
US11822946B2 (en) * 2018-06-28 2023-11-21 Cable Television Laboratories, Inc. Systems and methods for secure network management of virtual network functions
US11563677B1 (en) * 2018-06-28 2023-01-24 Cable Television Laboratories, Inc. Systems and methods for secure network management of virtual network function
US11822964B2 (en) * 2020-06-03 2023-11-21 Baidu Usa Llc Data protection with static resource partition for data processing accelerators
KR20220003757A (ko) * 2020-07-02 2022-01-11 에스케이하이닉스 주식회사 메모리 시스템 및 메모리 시스템의 동작방법
US11442770B2 (en) * 2020-10-13 2022-09-13 BedRock Systems, Inc. Formally verified trusted computing base with active security and policy enforcement
US20230341889A1 (en) * 2022-04-26 2023-10-26 Hewlett Packard Enterprise Development Lp Virtual precision time protocol clock devices for virtual nodes

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7757231B2 (en) * 2004-12-10 2010-07-13 Intel Corporation System and method to deprivilege components of a virtual machine monitor
US7840964B2 (en) * 2005-12-30 2010-11-23 Intel Corporation Mechanism to transition control between components in a virtual machine environment
US7801128B2 (en) * 2006-03-31 2010-09-21 Amazon Technologies, Inc. Managing communications between computing nodes
US7490191B2 (en) * 2006-09-22 2009-02-10 Intel Corporation Sharing information between guests in a virtual machine environment
US20110125949A1 (en) * 2009-11-22 2011-05-26 Jayaram Mudigonda Routing packet from first virtual machine to second virtual machine of a computing device
US8826033B1 (en) * 2009-12-22 2014-09-02 Emc Corporation Data protection using virtual-machine-specific stable system values
CN102571698B (zh) * 2010-12-17 2017-03-22 中国移动通信集团公司 一种虚拟机访问权限的控制方法、系统及装置
US8893274B2 (en) * 2011-08-03 2014-11-18 Trend Micro, Inc. Cross-VM network filtering
CN102929690A (zh) * 2012-11-07 2013-02-13 曙光云计算技术有限公司 虚拟机访问控制的方法和装置
US9170956B2 (en) * 2013-02-07 2015-10-27 Texas Instruments Incorporated System and method for virtual hardware memory protection
CN104901923B (zh) * 2014-03-04 2018-12-25 新华三技术有限公司 一种虚拟机访问装置和方法
CN104735071A (zh) * 2015-03-27 2015-06-24 浪潮集团有限公司 一种虚拟机之间的网络访问控制实现方法

Also Published As

Publication number Publication date
US20170180325A1 (en) 2017-06-22
WO2017112256A1 (en) 2017-06-29
CN108292234A (zh) 2018-07-17

Similar Documents

Publication Publication Date Title
DE112016005933T5 (de) Technologien zum Durchsetzen einer Netzwerkzugriffssteuerung fiir virtuelle Maschinen
DE102015108145B4 (de) Lokale Dienstverkettung mit virtuellen Maschinen und virtualisierten Behältern in software-definierter Vernetzung
DE112013000731B4 (de) Skalierbare virtuelle Geräte-Cloud
DE112017001762T5 (de) Technologien für den einsatz dynamischer underlay-netzwerke in cloud-computing-infrastrukturen
CN111919418B (zh) 按需安全策略提供
DE112020006859T5 (de) Beibehaltung von speicher-namensraum-identifizierern für die migration von virtualisierten ausführungsumgebungen im laufenden betrieb
DE112008002550B4 (de) Verfahren und System für virtuelle Schnittstellenkommunikation
DE102018004046A1 (de) Nichtflüchtiger Speicher-Express über Fabric (NVMeOF) unter Verwendung eines Volumenverwaltungsgeräts
DE112012004550B4 (de) Verfahren, System und Vorrichtung zur Zustandsmigration für einen Remote Direct Memory Access-Adapter in einer virtuellen Umgebung
DE112013000395B4 (de) Vorrichtung, verfahren und computerlesbarer speicher zur richtliniendurchsetzung in rechenumgebung
US10042678B2 (en) Lock management method and system, method and apparatus for configuring lock management system
DE102019105193A1 (de) Technologien zum beschleunigen von edge-vorrichtungsarbeitslasten
DE112021006003T5 (de) Intelligente datenebenenbeschleunigung durch auslagern zu verteilten smart- network-interfaces
DE112012003776T5 (de) Migration logischer Partitionen mit zustandsbehafteten Auslagerungsdatenverbindungen während des laufenden Betriebs unter Verwendung der Kontextherauslösung und -einfügung
DE112011100392T5 (de) Ressourcenaffinität durch dynamisches hinzufügen oder entfernen von warteschlangenpaaren für netzadapter mit software zur empfangsseitigen skalierung (rss)
US10303647B2 (en) Access control in peer-to-peer transactions over a peripheral component bus
DE112008002888T5 (de) Hardwarevorrichtungsschnittstelle, die Transaktionsauthentifizierung unterstützt
DE112012003808T5 (de) Ermittlung der Migration des Netzwerkadapter-Hardwarezustands in einer zustandsbehafteten Umgebung
DE112012003342T5 (de) Dynamisches Anpassen und Begrenzen der Größe des Netzwerkadapterspeichers zur Speicherung von Umsetzungseinträgen für virtuelle Funktionen
DE102016103492A1 (de) Technologien für überwachung und analyse von gpu-unterstütztem netzwerkverkehr
DE102018202432A1 (de) Strukturunterstützung für die Dienstgüte
DE102018115251A1 (de) Technologien zum Schutz eines virtuellen Maschinenspeichers
DE112012002404B4 (de) Konfiguration und Management virtueller Netzwerke
DE102015102692A1 (de) Verfahren zum Optimieren von Netzdatenströmen in einem eingeschränkten System
DE112017001654T5 (de) Technologien für regionsgerichtete cacheverwaltung

Legal Events

Date Code Title Description
R012 Request for examination validly filed