KR20100080382A - 네트워크 인터페이스 컴포넌트에 대한 가입 요청을 관리하는 장치 및 방법 - Google Patents

네트워크 인터페이스 컴포넌트에 대한 가입 요청을 관리하는 장치 및 방법 Download PDF

Info

Publication number
KR20100080382A
KR20100080382A KR1020090129601A KR20090129601A KR20100080382A KR 20100080382 A KR20100080382 A KR 20100080382A KR 1020090129601 A KR1020090129601 A KR 1020090129601A KR 20090129601 A KR20090129601 A KR 20090129601A KR 20100080382 A KR20100080382 A KR 20100080382A
Authority
KR
South Korea
Prior art keywords
network interface
interface component
configuration
management controller
virtual
Prior art date
Application number
KR1020090129601A
Other languages
English (en)
Other versions
KR101120304B1 (ko
Inventor
라비 사히타
데이비드 더햄
아룬 라그후나스
라즈 케이. 라마누잔
파르타사라시 사란감
Original Assignee
인텔 코오퍼레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인텔 코오퍼레이션 filed Critical 인텔 코오퍼레이션
Publication of KR20100080382A publication Critical patent/KR20100080382A/ko
Application granted granted Critical
Publication of KR101120304B1 publication Critical patent/KR101120304B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45595Network integration; Enabling network access in virtual machine instances
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

몇몇 실시예에 있어서, 프로세서 기반의 시스템은 적어도 하나의 프로세서, 적어도 하나의 프로세서에 결합되는 적어도 하나의 메모리, 네트워크 인터페이스 컴포넌트, 및 관리 컨트롤러를 포함할 수 있다. 관리 컨트롤러는 가상 머신에 대한 가입 요청에 관한 정보를 수신하고, 가입 요청에 기초하여 네트워크 인터페이스 컴포넌트에 대한 구성 정보를 생성하고, 구성 정보를 네트워크 인터페이스 컴포넌트에 제공하도록 구성될 수 있다. 다른 실시예들이 개시되고 청구되어 있다.
네트워크 인터페이스 컴포넌트, 구성 정보, 가입 요청, 관리 컨트롤러

Description

네트워크 인터페이스 컴포넌트에 대한 가입 요청을 관리하는 장치 및 방법{APPARATUS AND METHOD FOR MANAGING SUBSCRIPTION REQUESTS FOR A NETWORK INTERFACE COMPONENT}
본 발명은 가상 머신에 관한 것이다. 특히, 본 발명의 몇몇 실시예들은 네트워크 인터페이스 컴포넌트에 대한 가입 요청을 관리하는 장치 및 방법에 관한 것이다.
가상화 기술은 하나의 시스템이 다수의 게스트 운영체제들을 가상 머신(VM)에서 운용할 수 있도록 할 수 있다. 이러한 가상 머신들은 TCP/IP와 같은 표준 네트워킹 프로토콜을 통해 서로 및 다른 물리적 머신들과 통신할 수 있다. 일부 시스템들에서는 가상 머신에 네크워크 기기를 제공할 수 있다. 이러한 가상 머신 기반의 네트워크 기기를 가상 인라인 네트워크 기기(VINA; Virtual Inline Network Appliances)라 할 수 있다.
다양한 본 발명의 특징들은 첨부 도면에서 예시된 바와 같이 이하의 바람직 한 실시예들의 설명으로부터 더 명확하게 될 것이며, 여기서, 동일한 참조 부호는 대략 도면들을 통해서 동일한 부분들을 지칭한다. 도면들은 반드시 스케일될 필요는 없으나, 그 대신 본 발명의 원리를 예시할 때 강조된다.
이하의 설명에 있어서, 설명을 위해서 이에 한하지는 않지만, 특정한 구조, 아키텍쳐, 인터페이스, 기술, 등의 특정한 세부사항들이 본 발명의 다양한 양태들의 완전한 이해를 제공하기 위하여 명시되어 있다. 그러나, 본 개시물의 이익을 향유하는 당업자에게는, 본 발명의 다양한 양태들이 이러한 세부사항들로부터 일탈하지 않는 다른 예들에서 실시될 수 있다는 것을 이해할 것이다. 특정 예들에 있어서, 공지의 장치, 회로, 및 방법들의 설명은 불필요한 세부설명으로 본 발명의 설명을 불명확하게 하지 않도록 생략된다.
도 1을 참조하면, 본 발명의 몇몇 실시예들에 따른 프로세서 기반의 시스템(10)은 적어도 하나의 프로세서(11), 적어도 하나의 프로세서(11)에 결합되는 적어도 하나의 메모리(12), 네트워크 인터페이스 컴포넌트(NIC)(13), 및 관리 컨트롤러(14)를 포함할 수 있다. 예를 들어, 관리 컨트롤러(14)는 가상 머신에 대한 가입 요청에 관련된 정보를 수신하고, 가입 요청에 기초하여 네트워크 인터페이스 컴포넌트(13)에 대한 구성 정보를 생성하고, 네트워크 인터페이스 컴포넌트(13)에 대하여 구성 정보를 제공하도록 구성될 수 있다. 예를 들어, 가상 머신은 가상 인라인 네트워크 기기를 포함할 수 있으며, 가상 인라인 네트워크 기기는 가입 요청을 직접 발행할 수 있다(예컨대, 관리 컨트롤러(14)에 대하여). 본 발명의 몇몇 실시예들에 있어서, 시스템(10)은 복수의 가상 인라인 네트워크 기기를 포함할 수 있으 며, 관리 컨트롤러(14)는 복수의 가상 인라인 네트워크 기기로부터 가입 요청을 수신하고, 복수의 가상 인라인 네트워크 기기로부터 수신된 가입 요청 전부에 기초하여 네트워크 인터페이스 컴포넌트(13)에 대한 필터 구성을 생성하고, 필터 구성을 네트워크 인터페이스 컴포넌트(13)에 적용하도록 구성될 수 있다.
예를 들어, 네트워크 인터페이스 컴포넌트(13)는 하드웨어 메일박스(15)를 포함할 수 있으며, 관리 컨트롤러(14)는 하드웨어 메일박스(15)를 통해 네트워크 인터페이스 컴포넌트(13)에 구성 정보를 제공할 수 있다. 본 발명의 몇몇 실시예들에 있어서, 관리 컨트롤러(14)는 네트워크 프로토콜을 통해 네트워크 인터페이스 컴포넌트에 구성 정보를 제공할 수 있다.
예를 들어, 본 발명의 몇몇 실시예들에 있어서, 가입 요청은 가상 함수 구성에 대하여 설정된 구성 비트에 해당할 수 있다. 예를 들어, 구성 비트는 BIOS(Basic Input Output System)에 의해 설정될 수 있다. 예를 들어, 본 발명의 몇몇 실시예들에 있어서, 관리 컨트롤러(14)는 가상 머신이 이동된다면 네트워크 인터페이스 컴포넌트(13)의 구성에 관련되는 정보를 마이그레이션(migration)시키도록 더 구성될 수 있다. 예를 들어, 마이그레이션은 외부 스위치로부터의 신호에 응답하여 수행될 수 있다.
도 2를 참조하면, 관리 컨트롤러(20)는 컨트롤러(21)와 코드(22)를 포함할 수 있으며, 여기서, 코드(22)가 컨트롤러(21)에 의해 실행되는 때에, 관리 컨트롤러(20)는 가상 머신에 대한 가입 요청에 관한 정보를 수신하고, 가입 요청에 기초하여 네트워크 인터페이스 컴포넌트에 대한 구성 정보를 생성하고, 구성 정보를 네 트워크 인터페이스 컴포넌트에 제공하도록 구성된다. 예를 들어, 컨트롤러(21)는 마이크로-컨트롤러(예컨대, 특수 목적의 프로세서)일 수 있다. 예를 들어, 코드(22)는 메모리에 저장되는 펌웨어를 포함할 수 있다. 예를 들어, 컨트롤러(21)와 동일한 집적 회로에 메모리가 배치될 수 있다.
예를 들어, 본 발명의 몇몇 실시예들에 있어서, 가상 머신은 가상 인라인 네트워크 기기를 포함할 수 있으며, 가상 인라인 네트워크 기기는 가입 요청을 직접 발행할 수 있다. 예를 들어, 관리 컨트롤러(20)는 복수의 가상 인라인 네트워크 기기로부터 가입 요청을 수신하고, 복수의 가상 인라인 네트워크 기기로부터 수신되는 가입 요청 전부에 기초하여 네트워크 인터페이스 컴포넌트에 대한 필터 구성을 생성하고, 필터 구성을 네트워크 인터페이스 컴포넌트에 적용하도록 구성될 수 있다.
예를 들어, 본 발명의 몇몇 실시예들에 있어서, 네트워크 인터페이스 컴포넌트는 하드웨어 메일박스를 포함할 수 있으며, 관리 컨트롤러(20)는 하드웨어 메일박스를 통해 네트워크 인터페이스 컴포넌트에 대하여 구성 정보를 제공할 수 있다. 예를 들어, 본 발명의 몇몇 실시예들에 있어서, 관리 컨트롤러(20)는 네트워크 프로토콜을 통해 네트워크 인터페이스 컴포넌트에 구성 정보를 제공할 수 있다.
예를 들어, 본 발명의 몇몇 실시예들에 있어서, 가입 요청은 가상 함수 구성에 대하여 설정된 구성 비트에 해당할 수 있다. 예를 들어, 구성 비트는 BIOS(Basic Input Output System)에 의해 설정될 수 있다. 예를 들어, 본 발명의 몇몇 실시예들에 있어서, 관리 컨트롤러(20)는 가상 머신이 이동되면 네트워크 인 터페이스 컴포넌트의 구성에 관한 정보를 마이그레이션시키도록 더 구성될 수 있다. 예를 들어, 마이그레이션은 외부 스위치로부터의 신호에 응답하여 수행될 수 있다.
도 3을 참조하면, 본 발명의 몇몇 실시예들에 있어서, 네트워크 인터페이스 컴포넌트에 대한 가입 요청들을 관리하는 방법은, 관리 컨트롤러에서 가상 머신에 대한 가입 요청에 관한 정보를 수신하는 단계(예컨대, 블록 30), 가입 요청에 기초하여 관리 컨트롤러에서 네트워크 인터페이스 컴포넌트에 대한 구성 정보를 생성하는 단계(예컨대, 블록 31), 관리 컨트롤러부터 네트워크 인터페이스 컴포넌트에 구성 정보를 제공하는 단계(예컨대, 블록 32)를 포함할 수 있다. 예를 들어, 가입 요청에 관한 정보를 수신하는 단계는, 관리 컨트롤러에서 가상 인라인 네트워크 기기로부터 가입 요청에 관한 정보를 수신하는 단계(단계 33)를 포함할 수 있다. 본 발명의 몇몇 실시예들에서는, 복수의 가상 인라인 네트워크 기기로부터 가입 요청을 수신하는 단계(예컨대, 블록 34), 복수의 가상 인라인 네트워크 기기로부터 수신되는 가입 요청 전부에 기초하여 네트워크 인터페이스 컴포넌트에 대한 필터 구성을 생성하는 단계(예컨대, 블록 35), 네트워크 인터페이스 컴포넌트에 대하여 필터 구성을 적용하는 단계(예컨대, 블록 36)를 더 포함할 수 있다
도 4를 참조하면, 본 발명의 몇몇 실시예들에 있어서, 네트워크 인터페이스 컴포넌트는 하드웨어 메일박스를 포함할 수 있으며, 관리 컨트롤러로부터 네트워크 인터페이스 컴포넌트에 구성 정보를 제공하는 단계는, 하드웨어 메일박스를 통해 관리 컨트롤러로부터 네트워크 인터페이스 컴포넌트에 구성 정보를 제공하는 단계 를 포함할 수 있다(예컨대, 블록 40).
도 5를 참조하면, 본 발명의 몇몇 실시예에 있어서, 관리 컨트롤러로부터 네트워크 인터페이스 컴포넌트에 구성 정보를 제공하는 단계는, 네트워크 프로토콜을 통해 관리 컨트롤러로부터 네트워크 인터페이스 컴포넌트에 구성 정보를 제공하는 단계를 포함할 수 있다(예컨대, 블록 50).
도 6을 참조하면, 본 발명의 몇몇 실시예들에 있어서, 가입 요청은 가상 함수 구성에 대하여 설정되는 구성 비트에 해당할 수 있다(예컨대, 블록 60). 예를 들어, 구성 비트는 BIOS에 의해 설정될 수 있다(예컨대, 블록 61).
도 7을 참조하면, 본 발명이 몇몇 실시예는 가상 머신이 이동되면 네트워크 인터페이스 컴포넌트의 구성에 관한 정보를 마이그레이션(migrate)시키는 것을 더 포함할 수 있다(예컨대, 블록 70). 예를 들어, 네트워크 인터페이스 컴포넌트의 구성에 관한 정보를 마이그레이션시키는 단계는, 외부 스위치로부터의 신호에 응답하여 네트워크 인터페이스 컴포넌트의 구성에 관한 정보를 마이그레이션시키는 단계를 포함할 수 있다(예컨대, 블록 71).
본 발명의 몇몇 실시예들에서는, 가상화 기술, 네트워크 검사, 및/또는 10 기가비트급 이더넷 등의 고속 네트워크 프로토콜을 갖는 유틸리티를 찾을 수 있다. 예를 들어, 가상화 기술의 몇몇 어플리케이션은 하나의 서버가 가상 머신(VM)들에서 다수의 게스트 운영 체제들을 운용할 수 있도록 할 수 있다. 이러한 가상 머신들은 서로 및 다른 물리적 머신들과 TCP/IP 등의 표준 네트워킹 프로토콜을 통해 통신할 수 있다. 효율성을 위하여, 가상 머신간의 통신은 데이터 센터의 나머지에 진입하지 않도록 하는 것이 바람직할 수 있다. 그러나, 데이터 센터 보안을 위하여, 가상 머신간 트래픽(예컨대, VINA를 갖는)을 감시하는 것이 바람직하거나 필요로 될 수 있다.
예를 들어, VINA는 검사 대상의 가상 머신간 통신의 중간에 자신을 투입할 수 있다. 예를 들어, 가상 머신 모니터(VMM; Virtual Machine Monitor)는 게스트 가상 머신(Guest VMs)들에 대하여 가상 NIC들을 노출시키도록 네트워크 IOVM(Input Output Virtual Machine)를 사용할 수 있다. 모든 가상 머신간(VM to VM) 통신은 플랫폼 상의 하나의 로컬 개체(즉, IOVM)를 통과할 수 있으며, 그 후, IOVM은 패킷들을 보안 기기에 라우팅할 수 있다. 보안 기기들은 VMM간(VMM to VMM)과는 상이할 수 있는 구성 인터페이스를 통해 패킷 타입들에 가입하여야 한다.
또 다른 예에 있어서, 플랫폼은 SR-IOV(Single Root Input Output Virtualization)가 가능한 NIC를 가질 수 있다. SR-IOV에 있어서, VMM은 가상 NIC들을 VM들에 노출시킬 필요는 없다. 그 대신, VMM은 VM에 의해 바로 제어될 수 있는 가상화된 하드웨어 큐인 가상 함수(VF; Virtual Function)를 노출시킬 수 있다. 이 경우에, VM이 VINA 기능을 가지면, VM은 VMM이 제공된 API/인터페이스를 통해 여전히 가입하여야 하며, 그렇다면, API/인터페이스는 VMM에 의해 제어되는 NIC 물리 함수(PF)를 통해서 필터들을 구성한다. VMM(또는 드라이버 VM)은 VINA가 패킷들 및 패킷 이벤트들에 가입되도록 API를 제공한다. 그 후, 하이퍼바이저(Hypervisor)는 다양한 등록된 인라인 기기로부터의 대조 요청들(collating requests)에 기초하여 NIC 물리 함수를 구성한다.
용이하게는, 본 발명의 몇몇 실시예들에서는 VMM이 제공된 인터페이스에 의존하지 않고 VINA들이 직접 패킷 플로우에 가입할 수 있도록 SR-IOV 가능한 NIC을 구성하는 하드웨어 지향의 방법을 제공할 수 있다. 용이하게는, 본 발명의 몇몇 실시예들에서는, 구성 코드를 마이크로-컨트롤러 펌웨어에 고립시킴으로써 요구되는 인에블링(enabling)을 감소시키고, 및/또는 구성 접근(configuration access)의 보안을 증가시킬 수 있다. 용이하게는, 본 발명의 몇몇 실시예들에서는, VM이 하나의 서버에서 또 다른 서버로 이동되는 때에, 물리적 기기들이 보안 정책들을 관리 마이크로-컨트롤러에 대한 구성 인터페이스를 통해 네트워크 스위치로부터 NIC로 이동시킬 수 있도록 물리적 네트워크 기기들이 VINA가 인에블된 플랫폼(VINA-enabled platform)과 상호작용하도록 할 수 있다.
도 8을 참조하면, 서버 플랫폼은 2 이상의 게스트 운영체제들(예컨대, 1 내지 n으로 넘버링됨), 2 이상의 VINA(예컨대, 1 내지 N으로 넘버링됨), VMM, 2 이상의 VF들 및 PF를 포함하는 NIC, 및 NIC에 결합되는 SMC를 포함할 수 있다. NIC는 또한 IT 콘솔 및 네트워크 스위치/파이어월에 연결될 수 있다. 예를 들어, 본 발명으 몇몇 실시예에 있어서, 특정한 패킷들 또는 플로우들을 수신하는 VINA들은 이러한 패킷 종류들에 대한 가입을 발행할 수 있다. 이러한 가입 메시지들은 VMM에 의해 VINA에 지정되는 가상 함수(채널)를 통해 보내질 수 있다. 가입 메시지들은 그 후 네트워크 인터페이스 상의 하드웨어 필터들을 사용하여 SMC(System Management Controller)에 라우팅될 수 있다. 예를 들어, VINA는 SMC를 통해 자신의 필터 구성을 선택할 수 있다. 예를 들어, SMC는 내부 버스를 통해 플랫폼 상의 시스템 디바이스들을 관리하기 위하여 사용될 수 있는 마이크로-컨트롤러일 수 있다. SMC는 또한 SMC를 통해 플랫폼 상의 디바이스들을 안전하게 구성할 수 있는 관리 콘솔들 및 플랫폼 외부의 디바이스들과 통신하도록 하는 네트워크 스택을 가질 수도 있다.
본 발명의 몇몇 실시예들에 있어서, SMC는 플랫폼 상에 존재하는 VINA들 전부로부터 가입을 수신할 수 있으며, 물리 함수를 통해(예컨대, 또는 SMC만이 액세스할 수 있는 내부 관리 버스들을 통해) NIC에 적용되는 최종 필터 구성을 생성할 수 있다. 예를 들어, 도 8의 루트 1 및 루트 2는 SMC에 의해 작성되는 2개의 샘플 라우팅 구성에 해당할 수 있다.
예를 들어, 본 발명의 몇몇 실시예들에 있어서, VINA는 이에 발송예정인 패킷들에 명시적으로 가입할 수 있다. 예를 들어, 다양한 레벨의 가능한 동적 구성이 존재할 수 있다. 간단한 예의 구성에 있어서, VINA는 자신의 특정한 가상 함수를 통해 이에 보내지게되는 패킷들 전부를 요청할 수 있다. 향상된 예의 구성에 있어서, VINA는 필터 구성을 발행함으로써 특정한 종류의 패킷들만이 이에 보내지도록 요청할 수 있다.
용이하게는, 본 발명의 몇몇 실시예들에서는, 다이렉트(direct) 구성을 허용하도록 NIC에 대한 다이렉트 하드웨어 구현을 제공할 수 있다. 예를 들어, 본 발명의 몇몇 실시예들에 있어서, 구성 요청들을 NIC에 보내기 위하여 VF-PF 하드웨어 메일박스가 활용될 수 있다. 예를 들어, 하드웨어 메일박스는 SR-IOV가 가능한 NIC 상에 제공될 수 있다. 예를 들어, 본 발명의 몇몇 실시예들에 있어서, 플랫폼 상에서 SMC와 NIC와의 사이에 정보를 교환하기 위하여 네트워크 프로토콜이 활용될 수 있다. 그 후, NIC는 VINA 가입들에 대응하는 SMC로부터 수신되는 정보에 기초하여 필터들을 구성할 수 있다.
예를 들어, 이하와 같이 SMC에 트래픽을 재지향시키기 위하여 NIC의 필터들을 사용하여 대역내 구성 방법이 지원될 수 있다. SMC는 NIC HW의 MNG 필터들 필드에 예비 포트와 L3 목적지 어드레스를 프로그램한다. VMM은 (VT-d를 통해) NIC VF를 인라인 기기 VM에 다이렉트 지정한다. 기동 시에, VINA는 자신의 가입 법칙과 예비 포트를 안전하게 확보하기 위한 자신의 관리 서비스에, 기기 동작을 위한 NIC의 안전한 구성에 사용하기 위한 L3/L4 목적지 어드레스를 연결한다. 기기는 또한 예비 포트와 사용할 L3/L4 어드레스로 정적으로 구성될 수도 있다. 기동 시에, SMC는 로컬 플랫폼로부터 발원하는 트래픽을 라우팅하도록 NIC 필터들을 구성하고, 이 기준을 SMC에 라우팅되도록 매칭시킨다. VINA는 또한 VINA가 가능한 플랫폼 NIC를 구성하고 있는 것을 보장할 수 있도록, 그리고 SMC가 VINA가 플랫폼 상의 VM간 트래픽의 라우팅을 구성하도록 승인된 것을 인증할 수 있도록 SMC와 상호 인증하기 위하여 필요한 보안 크레덴셜(credential)(예를 들어, 인증서 또는 공유키)을 취득할 수도 있다. VINA가 마이그레이션되는 경우, 마이그레이션되었던 목적지 하드웨어 플랫폼 상의 새로운 NIC에 대하여 이러한 동작을 반복할 수 있다.
그 후, VINA는 구성 패킷을 검사하여 VMM에 의해 이에 지정되는 가상 함수를 통해 예비 포트와 목적지 어드레스에 전송하도록 원하는 패킷에 대한 가입을 갖는 네트워크 필터 구성을 포함하는 패킷들을 마련할 수 있다. 이러한 가입 패킷들은 SMC에 라우팅되며, SMC는 NIC에 대한 최종 필터 리스트를 생성하기 전에 VINA 전부로부터 가입 정보를 대조한다. SMC는 NIC에 대한 다이렉트 구성 인터페이스를 통해 NIC를 프로그래밍한다. VINA가 가입 갱신 메시지를 통해 필터를 갱신 또는 삭제하면, SMC는 다른 라우트들 상에서 가입이 갖는 변화를 반영하도록 하나보다 많은 필터를 갱신할 필요가 있을 수 있다. 또한, SMC 펌웨어는 VINA들로부터 이중 구성을 위한 필터들을 결합하고 축약할 수 있으며, 플랫폼 상의 관리 콘솔 또는 제어 VM에 충돌(법칙들이 축약될 수 없거나 우선순위 충돌이 존재한다면)들을 검출하여 역으로 보고할 수 있다.
용이하게는, 호스트(또는 VMM)에 대하여 관리능력 필터링된 트래픽(manageability filtered traffic)이 전달되지 않게 되기 때문에, 악의적인 VM은 보안 크레덴셜, 예비 포트(16비트) 및 IPv4 또는 IPv6 L3/L4 어드레스(32 또는 128 비트)에 액세스하지 않을 것이다.
본 발명의 몇몇 실시예들에 있어서, VINA 기능성에 대하여 VF가 사용될 수 있도록 하기 위하여 BIOS 등의 시스템 소프트웨어에 의해 함축적인 가입 요청 및 구성이 수행될 수 있다. 예를 들어, 가상 함수 구성에 대한 구성 비트를 설정함으로써 가입이 이루어질 수도 있다. 예를 들어, VF가 VINA-인에이블된 것으로 식별되는 때에, VINA에 트래픽이 흐르도록 NIC 라우팅 구성에 VINA가 추가되는 것이 함축될 수 있다.
도 9 및 도 10을 참조하면, 본 발명의 몇몇 실시예들에 있어서, 외부 스위치(또는 물리적 기기)는 통신하고 있는 VM들 양측 모두가 동일한 플랫폼으로 이동 되는 때에, 플랫폼 NIC에 VM-VM 규칙을 이동시키기 위하여 SMC 인터페이스를 사용할 수 있다. 반대의 경우, VINA VM이 또 다른 플랫폼에 마이그레이션되는 때에, 목적지 플랫폼 상에서 VINA VM이 재개되자마자 트래픽이 올바르게 흐르도록, 새로운 NIC 물리 함수에 VINA 필터 가입을 이동시키기 위해 제1 플랫폼 상의 SMC는 다른 하나의 플랫폼 상의 SMC에 연락할 수 있다.
도 11을 참조하면, 본 발명의 몇몇 실시예들에서는, NIC를 초기화하고, VF들을 VINA들에 지정하는 것을 포함할 수 있다(예컨대, 블록 110). SMC는 VM 또는 네트워크로부터 패킷을 수신할 수 있다(예컨대, 블록 111). SMC는 패킷을 파싱하여, 관리 패킷인지 여부를 체크할 수 있다(예컨대, 블록 112). 관리 패킷이 아니면, 패킷은 NIC 필터들을 통해 운용될 수 있으며, 그렇지 않다면, NIC에 의해 처리될 수 있다(예컨대, 블록 113). 패킷이 관리 패킷인 경우, SMC는 수신된 패킷의 무결성을 인증하고 보장할 수 있다(예컨대, 블록 114). 패킷이 성공적으로 인증되면, SMC는 관리 패킷이 VINA 가입인지 여부를 판정하여, 기존 필터들을 통해 필터를 처리할 수 있다(예컨대, 블록 115). 예를 들어, SMC는 어떠한 필터 충돌이 발견되는지 여부를 판정할 수 있다(예컨대, 블록 116). 충돌이 발견되면, SMC는 오류 관리 패킷을 리턴할 수 있다(예컨대, 블록 117). 충돌이 발견되지 않으면, SMC는 VINA 라우팅 구성 및 필터 구성을 NIC 물리 함수를 통해 프로그래밍하고(예컨대, 블록 118), 성공 관리 패킷을 리턴할 수 있다(예컨대, 블록 119).
용이하게는, 본 발명의 몇몇 실시예들은 VMM이 제공된 인터페이스에 덜 의존하며, VMM이 제공된 인터페이스는 하나의 VMM 벤더에서부터 또 다른 벤더로 변화할 수 있다. 용이하게는, 본 발명의 몇몇 실시예들은 VMM 소프트웨어 인터페이스에 비하여 악의적인 소프트웨어로부터의 공격에 덜 취약할 수 있다. 예를 들어, 본 발명의 몇몇 실시예들은 이하의 장점들 중 하나 이상을 제공할 수 있다: NIC 기능들이 VINA VM들에 직접적으로 노출되어, 요구되는 임의의 인에이블링(enabling)을 감소시키고; VMM의 공격면은 NIC 구성 기능성을 시스템 관리 컨트롤러에 고립시킴으로써 감소될 수 있으며; 플랫폼들 간에 교환되는 트래픽이 물리적 네트워크로 스필링(spillng)하는 것을, 이러한 트래픽의 검사를 절충하지 않고 감소시킴으로써 네트워크 링크 사용이 향상되고; 및/또는 목적지 플랫폼 상의 규칙들을 미리 구성하기 위하여 SMC를 이용함으로써 VINA VM들의 마이그레이션을 간단화한다.
예를 들어, 본 발명의 몇몇 실시예들은 VMM이 임의의 소프트웨어 구성 또는 필터링 API을 노출시킬 것을 요구하지 않고서 보안 기기들에 의해 VM간의 트래픽이 검사되는 것을 보장할 수 있다. 예를 들어, 본 발명의 몇몇 실시예들은 SMC를 사용하여 SR-IOV NIC를 사용하는 경우, VINA들 간의 트래픽을 라우팅하는 다이렉트 구성을 제공할 수도 있다. 예를 들어, 본 발명의 일부 실시예들은 VINA VM들이 플랫폼에 마이그레이션하는 때에 스위치 구성을 NIC에 자동 이동시킴으로써 마이그레이션에 요구되는 링크 대역폭을 감소시킬 수 있다. 예를 들어, 본 발명의 몇몇 실시예들은 SMC 대 SMC 통신을 이용하여 VINA 규칙들의 간단한 마이그레이션을 제공할 수 있다.
본 명세서에 기재된 많은 실시예들은 특정 환경에 관련되는 용어를 활용하지만, 당업자라면, 본 발명은 이러한 특정한 실시예들에 한하지 않으며, 균등한 루틴 및/또는 구조들이 보안 특징이 요망되는 다른 프로세서 기반의 환경에서 구현될 수 있다는 것을 이해할 수 있을 것이다. 예를 들어, 몇몇 적용예에 있어서, SMC(System Management Controller)를 기타의 가능한 용어중에서도 서버 관리 컨트롤러 또는 서버 관리능력 컨트롤러라 할 수도 있다. 마찬가지로, 본 명세서에서 지칭되는 각종 컴포넌트들, 컨트롤러들, 가상 모듈들, 프로토콜들, 및 레지스터들은 균등한 구조를 제공하고, 및/또는 균등한 기능을 수행하면서 다른 플랫폼에서 다른 용어에 의해 설명될 수 있다. 당업자라면, 본 설명부의 이점이 제공된다면, 본 명세서에 기재된 실시예들 및 본 발명의 기타 실시예들에 따라서 다양한 방법, 회로, 및/또는 시스템들을 구현하도록 다수의 다양한 다른 회로 및 하드웨어 및/또는 소프트웨어의 조합이 구성될 수 있다는 것을 이해할 것이다.
전술한 본 발명의 양태들 및 기타의 양태들은 개별적으로 또는 결합하여 성취된다. 본 발명은 특정 청구항에서 명시적으로 요구되지 않는 이상 이러한 양태들 중 2 이상을 요구하는 것으로 상정되어서는 아니된다. 또한, 본 발명을 현재 바람직한 예들로 간주되는 것과 연계하여 설명되었지만, 본 발명은 개시된 예들에 한하지 않고, 이와 반대로, 본 발명의 개념과 범주 내에 포함되는 다양한 변형예와 균등한 구성들을 포괄하고자 하는 것으로 이해되어야 한다.
도 1은 본 발명의 몇몇 실시예들에 따른 전자 시스템의 블록도이다.
도 2는 본 발명의 몇몇 실시예들에 따른 관리 컨트롤러의 블록도이다.
도 3은 본 발명의 몇몇 실시예들에 따른 흐름도이다.
도 4는 본 발명의 몇몇 실시예들에 따른 또 다른 흐름도이다.
도 5는 본 발명의 몇몇 실시예들에 따른 또 다른 흐름도이다.
도 6은 본 발명의 몇몇 실시예들에 따른 또 다른 흐름도이다.
도 7은 본 발명의 몇몇 실시예들에 따른 또 다른 흐름도이다.
도 8은 본 발명의 몇몇 실시예들에 다른 또 다른 전자 시스템의 블록도이다.
도 9는 본 발명의 몇몇 실시예들에 다른 또 다른 전자 시스템의 블록도이다.
도 10은 본 발명의 몇몇 실시예들에 따른 또 다른 전자 시스템의 블록도이다.
도 11은 본 발명의 몇몇 실시예들에 따른 또 다른 흐름도이다.
<도면의 주요 부분에 대한 부호의 설명>
11: 프로세서
12: 메모리
13: 네트워크 인터페이스 컴포넌트
15: 하드웨어 메일박스
14: 관리 컨트롤러

Claims (27)

  1. 프로세서 기반의 시스템으로서,
    적어도 하나의 프로세서;
    상기 적어도 하나의 프로세서에 결합되는 적어도 하나의 메모리;
    네트워크 인터페이스 컴포넌트; 및
    관리 컨트롤러
    를 포함하고,
    상기 관리 컨트롤러는,
    가상 머신에 대한 가입 요청에 관한 정보를 수신하고;
    상기 가입 요청에 기초하여 상기 네트워크 인터페이스 컴포넌트에 대한 구성 정보를 생성하고;
    상기 구성 정보를 상기 네트워크 인터페이스 컴포넌트에 제공하도록 구성되는 프로세서 기반의 시스템.
  2. 제1항에 있어서,
    상기 가상 머신은 가상 인라인 네트워크 기기를 포함하며,
    상기 가상 인라인 네트워크 기기는 상기 가입 요청을 직접 발행하는 프로세서 기반의 시스템.
  3. 제2항에 있어서,
    상기 시스템은 복수의 가상 인라인 네트워크 기기를 포함하며,
    상기 관리 컨트롤러는,
    상기 복수의 가상 인라인 네트워크 기기로부터 가입 요청들을 수신하고;
    상기 복수의 가상 인라인 네트워크 기기로부터 수신된 가입 요청들 전부에 기초하여 상기 네트워크 인터페이스 컴포넌트에 대한 필터 구성을 생성하고;
    상기 필터 구성을 상기 네트워크 인터페이스 컴포넌트에 적용하도록 구성되는 프로세서 기반의 시스템.
  4. 제1항에 있어서,
    상기 네트워크 인터페이스 컴포넌트는 하드웨어 메일박스를 포함하며,
    상기 관리 컨트롤러는 상기 하드웨어 메일박스를 통해 상기 구성 정보를 상기 네트워크 인터페이스 컴포넌트에 제공하는 프로세서 기반의 시스템.
  5. 제1항에 있어서,
    상기 관리 컨트롤러는 네트워크 프로토콜을 통해 상기 구성 정보를 상기 네트워크 인터페이스 컴포넌트에 제공하는 프로세서 기반의 시스템.
  6. 제1항에 있어서,
    가입 요청은 가상 함수 구성에 대하여 설정된 구성 비트에 대응하는 프로세 서 기반의 시스템.
  7. 제6항에 있어서,
    상기 구성 비트는 BIOS(Basic Input Output System)에 의해 설정되는 프로세서 기반의 시스템.
  8. 제1항에 있어서,
    상기 관리 컨트롤러는 상기 가상 머신이 이동되면 상기 네트워크 인터페이스 컴포넌트의 구성에 관한 정보를 마이그레이션(migration)시키도록 더 구성되는 프로세서 기반의 시스템.
  9. 제8항에 있어서,
    상기 마이그레이션은 외부 스위치로부터의 신호에 응답하여 수행되는 프로세서 기반의 시스템.
  10. 관리 컨트롤러로서,
    컨트롤러 및 코드를 포함하고,
    상기 코드가 상기 컨트롤러에 의해 실행될 때에, 상기 관리 컨트롤러는,
    가상 머신에 대한 가입 요청에 관한 정보를 수신하고;
    상기 가입 요청에 기초하여 네트워크 인터페이스 컴포넌트에 대한 구성 정보 를 생성하고;
    상기 구성 정보를 상기 네트워크 인터페이스 컴포넌트에 제공하도록 구성되는 관리 컨트롤러.
  11. 제10항에 있어서,
    상기 가상 머신은 가상 인라인 네트워크 기기를 포함하며,
    상기 가상 인라인 네트워크 기기는 상기 가입 요청을 직접 발행하는 관리 컨트롤러.
  12. 제11항에 있어서,
    상기 관리 컨트롤러는,
    복수의 가상 인라인 네트워크 기기로부터 가입 요청들을 수신하고;
    상기 복수의 가상 인라인 네트워크 기기로부터 수신된 상기 가입 요청들 전부에 기초하여 상기 네트워크 인터페이스 컴포넌트에 대한 필터 구성을 생성하고; 및
    상기 필터 구성을 상기 네트워크 인터페이스 컴포넌트에 적용하도록 구성되는 관리 컨트롤러.
  13. 제10항에 있어서,
    상기 네트워크 인터페이스 컴포넌트는 하드웨어 메일박스를 포함하며,
    상기 관리 컨트롤러는 상기 하드웨어 메일박스를 통해 상기 구성 정보를 상기 네트워크 인터페이스 컴포넌트에 제공하는 관리 컨트롤러.
  14. 제10항에 있어서,
    상기 관리 컨트롤러는 네트워크 프로토콜을 통해 상기 구성 정보를 상기 네트워크 인터페이스 컴포넌트에 제공하는 관리 컨트롤러.
  15. 제10항에 있어서,
    상기 가입 요청은 가상 함수 구성에 대하여 설정된 구성 비트에 대응하는 관리 컨트롤러.
  16. 제15항에 있어서,
    상기 구성 비트는 BIOS(Basic Input Output System)에 의해 설정되는 관리 컨트롤러.
  17. 제10항에 있어서,
    상기 관리 컨트롤러는 상기 가상 머신이 이동되면 상기 네트워크 인터페이스 컴포넌트의 구성에 관한 정보를 마이그레이션시키도록 더 구성되는 관리 컨트롤러.
  18. 제17항에 있어서,
    상기 마이그레이션은 외부 스위치로부터의 신호에 응답하여 수행되는 관리 컨트롤러.
  19. 네트워크 인터페이스 컴포넌트에 대한 가입 요청들을 관리하는 방법으로서,
    관리 컨트롤러에서 가상 머신에 대한 가입 요청에 관한 정보를 수신하는 단계;
    상기 가입 요청에 기초하여 상기 관리 컨트롤러에서 상기 네트워크 인터페이스 컴포넌트에 대한 구성 정보를 생성하는 단계; 및
    상기 구성 정보를 상기 관리 컨트롤러로부터 상기 네트워크 인터페이스 컴포넌트로 제공하는 단계
    를 포함하는 가입 요청 관리 방법.
  20. 제19항에 있어서,
    상기 가입 요청에 관한 정보를 수신하는 단계는,
    상기 관리 컨트롤러에서 가상 인라인 네트워크 기기로부터 상기 가입 요청에 관한 정보를 수신하는 단계를 포함하는 가입 요청 관리 방법.
  21. 제20항에 있어서,
    복수의 가상 인라인 네트워크 기기로부터 가입 요청들을 수신하는 단계;
    상기 복수의 가상 인라인 네트워크 기기로부터 수신된 가입 요청들 전부에 기초하여 상기 네트워크 인터페이스 컴포넌트에 대한 필터 구성을 생성하는 단계; 및
    상기 필터 구성을 상기 네트워크 인터페이스 컴포넌트에 적용하는 단계를 더 포함하는 가입 요청 관리 방법.
  22. 제19항에 있어서,
    상기 네트워크 인터페이스 컴포넌트는 하드웨어 메일박스를 포함하며,
    상기 구성 정보를 상기 관리 컨트롤러로부터 상기 네트워크 인터페이스 컴포넌트로 제공하는 단계는, 상기 하드웨어 메일박스를 통해 상기 관리 컨트롤러로부터 상기 네트워크 인터페이스 컴포넌트로 상기 구성 정보를 제공하는 단계를 포함하는 가입 요청 관리 방법.
  23. 제19항에 있어서,
    상기 구성 정보를 상기 관리 컨트롤러로부터 상기 네트워크 인터페이스 컴포넌트에 제공하는 단계는, 네트워크 프로토콜을 통해 상기 관리 컨트롤러로부터 상기 네트워크 인터페이스 컴포넌트로 상기 구성 정보를 제공하는 단계를 포함하는 가입 요청 관리 방법.
  24. 제19항에 있어서,
    상기 가입 요청은 가상 함수 구성에 대하여 설정된 구성 비트에 대응하는 가 입 요청 관리 방법.
  25. 제24항에 있어서,
    상기 구성 비트는 BIOS(Basic Input Output System)에 의해 설정되는 가입 요청 관리 방법.
  26. 제19항에 있어서,
    상기 가상 머신이 이동되면 상기 네트워크 인터페이스 컴포넌트의 구성에 관한 정보를 마이그레이션시키는 단계를 더 포함하는 가입 요청 관리 방법.
  27. 제26항에 있어서,
    상기 네트워크 인터페이스 컴포넌트의 구성에 관한 정보를 마이그레이션시키는 단계는, 외부 스위치로부터의 신호에 응답하여 상기 네트워크 인터페이스 컴포넌트의 구성에 관한 정보를 마이그레이션시키는 단계를 포함하는 가입 요청 관리 방법.
KR1020090129601A 2008-12-30 2009-12-23 네트워크 인터페이스 컴포넌트에 대한 가입 요청을 관리하는 장치 및 방법 KR101120304B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US12/317,896 2008-12-30
US12/317,896 US8032660B2 (en) 2008-12-30 2008-12-30 Apparatus and method for managing subscription requests for a network interface component

Publications (2)

Publication Number Publication Date
KR20100080382A true KR20100080382A (ko) 2010-07-08
KR101120304B1 KR101120304B1 (ko) 2012-03-06

Family

ID=42009753

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090129601A KR101120304B1 (ko) 2008-12-30 2009-12-23 네트워크 인터페이스 컴포넌트에 대한 가입 요청을 관리하는 장치 및 방법

Country Status (5)

Country Link
US (1) US8032660B2 (ko)
EP (1) EP2204948B1 (ko)
JP (1) JP5203346B2 (ko)
KR (1) KR101120304B1 (ko)
CN (1) CN101800658B (ko)

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100299421A1 (en) * 2007-10-04 2010-11-25 Robby Gurdan Digital multimedia network with hierarchical parameter control protocol
US9210140B2 (en) * 2009-08-19 2015-12-08 Solarflare Communications, Inc. Remote functionality selection
US9158567B2 (en) * 2009-10-20 2015-10-13 Dell Products, Lp System and method for reconfigurable network services using modified network configuration with modified bandwith capacity in dynamic virtualization environments
JP2012048546A (ja) * 2010-08-27 2012-03-08 Hitachi Ltd 計算機システム、i/oデバイス制御方法、及びi/oドロワ
US8775590B2 (en) * 2010-09-02 2014-07-08 International Business Machines Corporation Reactive monitoring of guests in a hypervisor environment
US9736116B2 (en) * 2014-07-28 2017-08-15 Intel Corporation Cooperated approach to network packet filtering
US8776055B2 (en) * 2011-05-18 2014-07-08 Vmware, Inc. Combining profiles based on priorities
RU2472215C1 (ru) 2011-12-28 2013-01-10 Закрытое акционерное общество "Лаборатория Касперского" Способ выявления неизвестных программ с использованием эмуляции процесса загрузки
US9116736B2 (en) * 2012-04-02 2015-08-25 Cisco Technology, Inc. Virtualized movement of enhanced network services associated with a virtual machine
US9548962B2 (en) * 2012-05-11 2017-01-17 Alcatel Lucent Apparatus and method for providing a fluid security layer
US9571507B2 (en) * 2012-10-21 2017-02-14 Mcafee, Inc. Providing a virtual security appliance architecture to a virtual cloud infrastructure
US9306768B2 (en) * 2012-11-07 2016-04-05 Cisco Technology, Inc. System and method for propagating virtualization awareness in a network environment
CN103049331B (zh) * 2012-12-06 2015-09-23 华中科技大学 一种虚拟功能的动态调度方法
US9489210B2 (en) * 2013-03-07 2016-11-08 International Business Machines Corporation Implementing configuration preserving relocation of SRIOV adapter
US9350632B2 (en) 2013-09-23 2016-05-24 Intel Corporation Detection and handling of virtual network appliance failures
US20160149877A1 (en) * 2014-06-05 2016-05-26 Cavium, Inc. Systems and methods for cloud-based web service security management basedon hardware security module
CN106982133B (zh) * 2016-01-18 2020-12-29 中兴通讯股份有限公司 一种更改虚拟网卡配置信息的方法、设备及系统
WO2018015059A1 (en) * 2016-07-18 2018-01-25 Telefonaktiebolaget Lm Ericsson (Publ) Security of ciphering and integrity protection
CN107992352A (zh) * 2016-10-26 2018-05-04 阿里巴巴集团控股有限公司 用于虚拟化场景的数据交互方法及设备
US10445272B2 (en) * 2018-07-05 2019-10-15 Intel Corporation Network function virtualization architecture with device isolation
CN111698175B (zh) * 2020-06-24 2023-09-19 北京经纬恒润科技股份有限公司 一种用于网关的报文收发方法及系统

Family Cites Families (43)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3629190B2 (ja) * 2000-08-31 2005-03-16 株式会社東芝 携帯端末、ローカル無線サーバ、及び申し込みサーバ
US7072958B2 (en) 2001-07-30 2006-07-04 Intel Corporation Identifying network management policies
US7254133B2 (en) 2002-07-15 2007-08-07 Intel Corporation Prevention of denial of service attacks
US7684400B2 (en) 2002-08-08 2010-03-23 Intel Corporation Logarithmic time range-based multifield-correlation packet classification
US7443854B2 (en) 2003-04-02 2008-10-28 Intel Corporation Methods and apparatus to route packets in a policy driven networked environment
US7548944B2 (en) 2003-07-15 2009-06-16 Intel Corporation Statistics collection framework for a network processor
US7536674B2 (en) 2003-08-13 2009-05-19 Intel Corporation Method and system for configuring network processing software to exploit packet flow data locality
US7752635B2 (en) * 2003-12-18 2010-07-06 Intel Corporation System and method for configuring a virtual network interface card
US7440461B2 (en) 2003-12-23 2008-10-21 Intel Corporation Methods and apparatus for detecting patterns in a data stream
US8473844B2 (en) * 2004-03-26 2013-06-25 Harman International Industries, Incorporated Audio related system link management
US7558966B2 (en) 2004-06-09 2009-07-07 Intel Corporation Notifying remote administrator of platform integrity determination
US7441272B2 (en) 2004-06-09 2008-10-21 Intel Corporation Techniques for self-isolation of networked devices
US9329905B2 (en) * 2004-10-15 2016-05-03 Emc Corporation Method and apparatus for configuring, monitoring and/or managing resource groups including a virtual machine
US7594269B2 (en) 2004-10-29 2009-09-22 Intel Corporation Platform-based identification of host software circumvention
US7797749B2 (en) 2004-11-03 2010-09-14 Intel Corporation Defending against worm or virus attacks on networks
US7536479B2 (en) 2004-11-09 2009-05-19 Intel Corporation Local and remote network based management of an operating system-independent processor
US7865908B2 (en) 2005-03-11 2011-01-04 Microsoft Corporation VM network traffic monitoring and filtering on the host
US7483423B2 (en) 2005-03-30 2009-01-27 Intel Corporation Authenticity of communications traffic
US7739517B2 (en) 2005-03-31 2010-06-15 Intel Corporation Hardware-based authentication of a software program
US7424711B2 (en) 2005-06-29 2008-09-09 Intel Corporation Architecture and system for host management
US7761674B2 (en) 2005-12-30 2010-07-20 Intel Corporation Identifier associated with memory locations for managing memory accesses
US7739724B2 (en) 2005-06-30 2010-06-15 Intel Corporation Techniques for authenticated posture reporting and associated enforcement of network access
US7669242B2 (en) 2005-06-30 2010-02-23 Intel Corporation Agent presence monitor configured to execute in a secure environment
US8090919B2 (en) 2007-12-31 2012-01-03 Intel Corporation System and method for high performance secure access to a trusted platform module on a hardware virtualization platform
US7571298B2 (en) 2005-06-30 2009-08-04 Intel Corporation Systems and methods for host virtual memory reconstitution
US7467285B2 (en) 2005-07-27 2008-12-16 Intel Corporation Maintaining shadow page tables in a sequestered memory region
US7748037B2 (en) 2005-09-22 2010-06-29 Intel Corporation Validating a memory type modification attempt
US20070079307A1 (en) 2005-09-30 2007-04-05 Puneet Dhawan Virtual machine based network carriers
US7725573B2 (en) 2005-11-29 2010-05-25 Intel Corporation Methods and apparatus for supporting agile run-time network systems via identification and execution of most efficient application code in view of changing network traffic conditions
US7703126B2 (en) 2006-03-31 2010-04-20 Intel Corporation Hierarchical trust based posture reporting and policy enforcement
US7624242B2 (en) 2006-03-31 2009-11-24 Intel Corporation Operating system agnostic sharing of proteced memory using memory identifiers
US7598966B2 (en) * 2006-05-03 2009-10-06 Honeywell International Inc. Methods and systems for automatically rendering information on a display of a building information system
US7512768B2 (en) 2006-07-21 2009-03-31 Intel Corporation Dynamically sharing a stack between different code segments
US20080059811A1 (en) 2006-09-06 2008-03-06 Ravi Sahita Tamper resistant networking
US7802050B2 (en) 2006-09-29 2010-09-21 Intel Corporation Monitoring a target agent execution pattern on a VT-enabled system
US8381209B2 (en) 2007-01-03 2013-02-19 International Business Machines Corporation Moveable access control list (ACL) mechanisms for hypervisors and virtual machines and virtual port firewalls
US7694189B2 (en) 2007-02-28 2010-04-06 Red Hat, Inc. Method and system for remote monitoring subscription service
US8214483B2 (en) 2007-02-28 2012-07-03 Red Hat, Inc. Method and system for continuous availability subscription service
US7757035B2 (en) 2007-06-26 2010-07-13 Intel Corporation Method for optimizing virtualization technology and memory protections using processor-extensions for page table and page directory striping
US8042190B2 (en) 2007-12-31 2011-10-18 Intel Corporation Pre-boot protected memory channel
US8839237B2 (en) 2007-12-31 2014-09-16 Intel Corporation Method and apparatus for tamper resistant communication in a virtualization enabled platform
US8316211B2 (en) 2008-06-30 2012-11-20 Intel Corporation Generating multiple address space identifiers per virtual machine to switch between protected micro-contexts
US8447808B2 (en) * 2008-09-19 2013-05-21 International Business Machines Corporation Virtual presence server

Also Published As

Publication number Publication date
EP2204948A3 (en) 2010-10-20
US20100169507A1 (en) 2010-07-01
JP5203346B2 (ja) 2013-06-05
KR101120304B1 (ko) 2012-03-06
JP2010157226A (ja) 2010-07-15
EP2204948B1 (en) 2013-05-29
CN101800658A (zh) 2010-08-11
CN101800658B (zh) 2014-08-20
EP2204948A2 (en) 2010-07-07
US8032660B2 (en) 2011-10-04

Similar Documents

Publication Publication Date Title
KR101120304B1 (ko) 네트워크 인터페이스 컴포넌트에 대한 가입 요청을 관리하는 장치 및 방법
US20210344692A1 (en) Providing a virtual security appliance architecture to a virtual cloud infrastructure
CN110099014B (zh) 云计算系统中报文处理的方法和主机
US9178912B2 (en) Virtual device context (VDC) integration for network services
US8743894B2 (en) Bridge port between hardware LAN and virtual switch
US9106529B2 (en) Virtual network configuration and management
JP2019528005A (ja) クラウドコンピューティングシステムにおいて仮想マシンが物理サーバにアクセスするための方法、装置、およびシステム
US10846121B2 (en) Using nano-services to secure multi-tenant networking in datacenters
US11063856B2 (en) Virtual network function monitoring in a network function virtualization deployment
US10116622B2 (en) Secure communication channel using a blade server
WO2013024377A1 (en) Virtual network overlays
CN114070723B (zh) 裸金属服务器的虚拟网络配置方法、系统及智能网卡
US11563799B2 (en) Peripheral device enabling virtualized computing service extensions
JP2010282447A (ja) 仮想計算機システム、そのアクセス制御方法及び通信装置
US11520530B2 (en) Peripheral device for configuring compute instances at client-selected servers
WO2012168872A1 (en) Virtual network configuration and management
US10554552B2 (en) Monitoring network addresses and managing data transfer

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150130

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20160127

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20170201

Year of fee payment: 6

LAPS Lapse due to unpaid annual fee