RU2619716C1 - Способ управления рабочим множеством виртуальных вычислителей в виртуальной сетевой системе защиты информации - Google Patents

Способ управления рабочим множеством виртуальных вычислителей в виртуальной сетевой системе защиты информации Download PDF

Info

Publication number
RU2619716C1
RU2619716C1 RU2015154339A RU2015154339A RU2619716C1 RU 2619716 C1 RU2619716 C1 RU 2619716C1 RU 2015154339 A RU2015154339 A RU 2015154339A RU 2015154339 A RU2015154339 A RU 2015154339A RU 2619716 C1 RU2619716 C1 RU 2619716C1
Authority
RU
Russia
Prior art keywords
virtual
network
virtual computer
computers
workload
Prior art date
Application number
RU2015154339A
Other languages
English (en)
Inventor
Дмитрий Петрович Зегжда
Петр Дмитриевич Зегжда
Максим Олегович Калинин
Евгений Анатольевич Сухопаров
Александр Андреевич Минин
Original Assignee
Федеральное государственное автономное образовательное учреждение высшего образования "Санкт-Петербургский политехнический университет Петра Великого"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Федеральное государственное автономное образовательное учреждение высшего образования "Санкт-Петербургский политехнический университет Петра Великого" filed Critical Федеральное государственное автономное образовательное учреждение высшего образования "Санкт-Петербургский политехнический университет Петра Великого"
Priority to RU2015154339A priority Critical patent/RU2619716C1/ru
Application granted granted Critical
Publication of RU2619716C1 publication Critical patent/RU2619716C1/ru

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • G06F15/177Initialisation or configuration control
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45562Creating, deleting, cloning virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45575Starting, stopping, suspending or resuming virtual machine instances

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Изобретение относится к защите информации от несанкционированного доступа. Технический результат – повышение пропускной способности сетевой системы защиты информации. Способ управления рабочим множеством виртуальных вычислителей в виртуальной сетевой системе защиты информации включает обработку передаваемых по сети данных на уровне потоков путем кодирования и агрегации сетевых пакетов, а также балансировку трафика путем назначения виртуальных машин сетевым пакетам, при этом перед кодированием для сетевой системы защиты определяют максимально допустимые верхний и нижний пороги загруженности виртуального вычислителя, определяют загруженность каждого виртуального вычислителя, определяют максимально и минимально загруженные виртуальные вычислители в системе, включают новый виртуальный вычислитель тогда, когда для максимально загруженного виртуального вычислителя его загруженность превышает верхний порог загруженности виртуального вычислителя в системе, выключают минимально загруженный виртуальный вычислитель тогда, когда его загруженность не превышает нижнего порога загруженности виртуального вычислителя в системе, через равные промежутки времени повторно выполняют указанные действия над виртуальными вычислителями. 1 ил.

Description

Изобретение относится к области вычислительной техники, а именно к области защиты информации от несанкционированного доступа при ее передаче по открытым каналам связи и средствам коммутации в компьютерной сети общего пользования.
Информация в компьютерных сетях общего пользования передается по открытым каналам связи и средствам коммутации. Для защиты информации в таких сетях используются сетевые средства защиты информации, которые реализуют кодирование передаваемой по сети информации на уровне сетевых пакетов. Кодирование имеет особое значение на практике как способ обеспечения конфиденциальности информации, то есть защищенности данных от чтения программами, не имеющими прав доступа к передаваемому содержимому, но способными несанкционированно или случайно их получить.
В компьютерной сети сетевые средства защиты осуществляют кодирование данных в потоковом режиме, то есть путем обработки сетевого трафика, образованного пересылаемыми по сети сетевыми пакетами. Сетевой пакет представляет собой структурированный блок данных, передаваемый по сети и включающий служебный заголовок, содержащий данные об адресации пакета (IP-адрес вычислительной системы, отправившей данный пакет, и IP-адрес вычислительной системы, в которую пакет передается), и информационную часть, содержащую собственно пересылаемые по сети данные. В потоковом режиме содержимое каждого сетевого пакета, образующего сетевой трафик, преобразуется в новый, кодированный пакет, в котором адресная информация сохраняется, а информационная часть имеет другую, кодированную форму. После прохождения средства защиты сетевые пакеты передаются далее по сети уже в кодированном виде, и вследствие этого любая программа-нарушитель, получив несанкционированный доступ к содержимому кодированного пакета, не может нарушить его конфиденциальность, за счет чего обеспечивается защита пересылаемых данных. Подключение сетевых средств защиты информации к компьютерной сети приводит к повышению загрузки вычислительных ресурсов компьютерных систем, на которых функционируют сетевые средства защиты, и соответственно к снижению интегральной пропускной способности компьютерной сети в целом.
Для решения проблемы падения пропускной способности сети при включении сетевых средств защиты наращивают пропускную способность сетевой системы защиты путем физического увеличения вычислительной мощности сетевой системы защиты, реализуя кластерное подключение нескольких аппаратных сетевых процессоров или программируемых логических интегральных схем, выполняющих кодирование сетевых пакетов на аппаратном уровне. Однако кластерное соединение аппаратных вычислителей технически ограничено количеством соединений друг с другом, характеристиками физических сетевых интерфейсов на устройствах - максимально до 4 аппаратных вычислителей в связке (например, шифратор "ФПСУ-TLS" компании "Амикон" [http://amicon.ru/page.php?link=fpsu-tls], аппаратные шифраторы "Застава" компании "Элвис-Плюс", криптошлюз "Континент IPC-3000F" компании "Код безопасности" [http://www.securitycode.ru/products/apksh_kontinent/models/#k3000]).
Известны система и способ реализации многопоточной обработки сетевых пакетов при защите данных, передаваемых по компьютерной сети, подразумевающие использование нескольких аппаратных сетевых процессоров, на каждом из которых выполняется один виртуальный блок-вычислитель, представленный виртуальной машиной, в поддерживаемой операционной системе которой функционирует программное средство обработки сетевых пакетов. Эти решения компании Crossbeam предусматривают для обеспечения безопасности сетей обработку передаваемых по сети данных на уровне потоков путем агрегации и кодирования сетевых пакетов, а также балансировку трафика путем назначения виртуальных машин сетевым пакетам. Такая система представляет собой аппаратно-программное сетевое средство защиты информации типа middleware, образованное кластером виртуальных вычислителей, обрабатывающих сетевые пакеты, и функционирующее на единой аппаратной платформе. Недостатком данного решения является жесткая привязка кластера виртуальных вычислителей к аппаратной платформе, а именно - ограничение числа виртуальных машин, в которых обрабатывается сетевой трафик сетевых пакетов, к количеству аппаратных процессоров по отношению "один-к-одному", то есть одна виртуальная машина выполняется на одном аппаратном процессоре. Такое решение позволяет повысить производительность системы защиты и повысить пропускную способность сети, но оно жестко ограничено числом используемых процессоров и привязкой виртуальных вычислителей к аппаратным процессорам без возможности масштабирования вычислительной мощности при изменении числа сетевых пакетов, требующих обработки в единицу времени. Отсутствие масштабирования не позволяет добиться максимальной производительности и эластичности вычислительной мощности сетевого средства защиты (EP 2432188, G06N 3/04; H04L 29/06).
В основу изобретения положена задача создания способа управления рабочим множеством виртуальных вычислителей в виртуальной сетевой системе защиты информации, который обеспечивает повышение пропускной способности сетевой системы защиты информации за счет того, что в данном способе выполняется определение загруженности имеющихся в вычислительной системе аппаратных вычислительных ресурсов - процессоров - и дополнительно осуществляется управление рабочим множеством виртуальных вычислителей, в которых выполняется обработка сетевых пакетов. Виртуальный вычислитель в способе управления рабочим множеством виртуальных вычислителей в виртуальной сетевой системе защиты информации представляет собой виртуальную машину, которая может выполняться на любом логическом процессорном ядре, входящем в состав аппаратного обеспечения компьютерной системы, используемой в качестве аппаратной платформы для сетевого средства защиты. Логическое процессорное ядро - процессор, установленный в одном физическом процессоре. Поскольку аппаратные процессоры компьютерных систем поддерживают несколько логических процессорных ядер, а виртуальные вычислители могут выполняться на любом логическом ядре, то число виртуальных вычислителей ограничено не числом процессоров, а числом логических процессорных ядер. Все виртуальные вычислители не имеют жесткой привязки к процессорам и логическим процессорным ядрам, вследствие чего такая схема использования вычислительных ресурсов позволяет загружать любые логические процессорные ядра виртуальными вычислителями. Управление загрузкой логических процессорных ядер выполняется по гибкой схеме: с ростом числа поступающих на вход средства защиты сетевых пакетов, для которых должна выполняться операция кодирования, увеличивается число виртуальных вычислителей, с уменьшением числа - сокращается число загруженных виртуальных вычислителей. Способ управления рабочим множеством виртуальных вычислителей в виртуальной сетевой системе защиты информации обеспечивает динамическое масштабирование вычислительной мощности сетевого средства защиты информации путем поддержания числа активных одновременно работающих виртуальных вычислителей (рабочего множества виртуальных вычислителей), необходимого для максимально быстрой обработки сетевых пакетов с учетом имеющихся вычислительных ресурсов аппаратной платформы.
Технический результат - расширение функциональных возможностей сетевой системы защиты информации, передаваемой в компьютерной сети, по динамическому наращиванию пропускной способности за счет управления рабочим множеством виртуальных вычислителей. При этом сетевая система защиты информации функционирует на базе виртуального вычислительного кластера, представленного совокупностью виртуальных вычислителей - виртуальных машин, работающих на логических процессорных ядрах. Предельное количество виртуальных вычислителей, выполняющих обработку сетевых пакетов, взаимооднозначно соответствует числу виртуальных машин, что, в свою очередь, определяется предельным числом логических процессорных ядер. Управление рабочим множеством виртуальных вычислителей является адаптивным, то есть актуальное число активных в данный момент времени виртуальных вычислителей, одновременно работающих в компьютерной системе и выполняющих обработку сетевых пакетов, зависит от загруженности вычислительных ресурсов аппаратной платформы и от интенсивности входящего сетевого трафика, то есть от количества поступающих сетевых пакетов на вход сетевой системы защиты в единицу времени.
Поступающие сетевые пакеты распределяются равноправно между виртуальными вычислителями, чтобы обеспечить их равномерную загрузку. При достижении полной загрузки ресурсов всех работающих виртуальных вычислителей из сетевых пакетов формируются очереди ожидания к соответствующим виртуальным вычислителям. При этом достигается повышение пропускной способности сетевой системы защиты информации за счет того, что одновременно функционирует множество виртуальных вычислителей, выполняющих кодирование сетевых пактов, причем адаптивное управление числом активных виртуальных вычислителей обеспечивает полную загрузку аппаратных процессоров с учетом использования всех логических процессорных ядер (отношение "многие-к-одному", то есть множество виртуальных вычислителей функционирует на каждом физическом процессоре). С ростом интенсивности входящего сетевого трафика число виртуальных вычислителей не остается прежним, а увеличивается, и наоборот - при снижении интенсивности входящего трафика число активных виртуальных вычислителей снижается. Такой способ адаптивного управления вычислителями в сетевой системы защиты информации позволяет добиться эффективного использования аппаратных компонентов, поскольку в моменты пиковой загрузки все ресурсы могут быть задействованы в своей максимально возможной вычислительной мощности, а в моменты снижения нагрузки неиспользуемые ресурсы могут быть отключены. Таким образом обеспечивается адекватное нагрузке и энергоэффективное использование физических вычислительных ресурсов при одновременном соблюдении требований по повышению пропускной способности сети и по адаптации пропускной способности сетевой системы защиты к интенсивности сетевого трафика.
Решение данной технической задачи обеспечивается тем, что в способе управления рабочим множеством виртуальных вычислителей в виртуальной сетевой системе защиты информации, включающем обработку передаваемых по сети данных на уровне потоков путем кодирования и агрегации сетевых пакетов, а также балансировку трафика путем назначения виртуальных машин сетевым пакетам, в котором перед кодированием для сетевой системы защиты определяют максимально допустимые верхний и нижний пороги загруженности виртуального вычислителя; определяют загруженность каждого виртуального вычислителя; определяют максимально и минимально загруженные виртуальные вычислители в системе; включают новый виртуальный вычислитель тогда, когда для максимально загруженного виртуального вычислителя его загруженность превышает верхний порог загруженности виртуального вычислителя в системе; выключают минимально загруженный виртуальный вычислитель тогда, когда его загруженность не превышает нижнего порога загруженности виртуального вычислителя в системе; через равные промежутки времени повторно выполняют указанные действия над виртуальными вычислителями.
Изобретение поясняется с помощью фиг. 1, на которой приведена схема осуществления способа.
Для распределения сетевого трафика между виртуальными вычислителями и определения загруженности виртуальных вычислителей осуществляют управление рабочим множеством виртуальных вычислителей. Для этого определяют порог загруженности виртуальных вычислителей 1, далее определяют максимально и минимально загруженные виртуальные вычислители 2, затем сопоставляют загруженности виртуальных вычислителей с порогами загруженности 3 и изменяют число работающих виртуальных вычислителей 4. Через равные промежутки времени повторно выполняют указанные действия над виртуальными вычислителями с шага 2.
Для масштабирования системы в способе управления рабочим множеством виртуальных вычислителей в виртуальной сетевой системе защиты информации используется реактивный подход к определению числа вычислителей. Реактивность заключается в том, что способ управления рабочим множеством виртуальных вычислителей в виртуальной сетевой системе защиты информации учитывает текущие показатели загруженности вычислительной системы и позволяет изменить число вычислителей (загрузить новые виртуальные вычислители или выгрузить неиспользуемые виртуальные вычислители) в соответствии с пороговым критерием. Использование пороговых значений позволяет быстро принять решение, и объем данных, требуемых для этого, невелик.
Способ управления рабочим множеством виртуальных вычислителей в виртуальной сетевой системе защиты информации опирается только на текущие параметры и показатели вычислителей:
a) Ci - пропускная способность виртуального вычислителя Vi (максимально возможное число обрабатываемых сетевых пактов в единицу времени), где i - индексный номер виртуального вычислителя, который может изменяться от 1 до N, где N - максимальное количество виртуальных вычислителей, которое может одновременно работать на данной аппаратной платформе;
б) Pi - число сетевых пакетов, отправленных на обработку виртуальному вычислителю Vi за t единиц времени;
в)
Figure 00000001
- загруженность виртуального вычислителя Vi.
В способе управления рабочим множеством виртуальных вычислителей в виртуальной сетевой системе защиты информации использован принцип "максимума-минимума". Пусть Hmax=max Hi. Включение нового виртуального вычислителя выполняют тогда, когда Hmin≥Δmax, где Δmax - максимально допустимый верхний порог загруженности виртуального вычислителя. Выключение одного из виртуальных вычислителей, обрабатывающих сетевые пакеты, производят тогда, когда Hmax≤Δmin, где Δmin - минимально допустимый нижний порог загруженности виртуального вычислителя. При этом выполняется соотношение Δminmax.
Например, задают следующие значения порогов: Δmax=95%. Тогда при наличии всего двух вычислителей после выключения оставшийся вычислитель может быть загружен на 100%. Аналогично при достижении пороговой загруженности 95% подключается еще один вычислитель, и при включении дополнительного вычислителя ожидаемая загруженность на все вычислители в последующий период времени должна снизиться, при этом минимальное ожидаемое значение загрузки -
Figure 00000002
.
После распределения сетевых потоков по виртуальным вычислителям в каждом из них выполняется кодирование сетевых пакетов. Затем на стадии агрегации формируется кодированный сетевой трафик, поступающий на выход сетевого средства защиты.
Способ управления рабочим множеством виртуальных вычислителей в виртуальной сетевой системе защиты информации позволяет кодировать одновременно множество сетевых пакетов, используя совокупность виртуальных вычислителей, и контролировать использование вычислительных ресурсов (процессоров), необходимых для кодирования сетевых пакетов. За счет добавления этапа управления данный способ позволяет повысить пропускную способность сетевых средств защиты информации, одновременно обеспечивая загруженность вычислительных ресурсов согласно интенсивности обрабатываемого трафика сетевых пакетов и энергоэффективность аппаратной платформы. Данное решение позволяет повысить эффективность использования защитных механизмов в широкополосных компьютерных сетях.

Claims (7)

  1. Способ управления рабочим множеством виртуальных вычислителей в виртуальной сетевой системе защиты информации, включающий обработку передаваемых по сети данных на уровне потоков путем кодирования и агрегации сетевых пакетов, а также балансировку трафика путем назначения виртуальных машин сетевым пакетам, отличающийся тем, что перед кодированием
  2. для сетевой системы защиты определяют максимально допустимые верхний и нижний пороги загруженности виртуального вычислителя;
  3. определяют загруженность каждого виртуального вычислителя;
  4. определяют максимально и минимально загруженные виртуальные вычислители в системе;
  5. включают новый виртуальный вычислитель тогда, когда для максимально загруженного виртуального вычислителя его загруженность превышает верхний порог загруженности виртуального вычислителя в системе;
  6. выключают минимально загруженный виртуальный вычислитель тогда, когда его загруженность не превышает нижнего порога загруженности виртуального вычислителя в системе;
  7. через равные промежутки времени повторно выполняют указанные действия над виртуальными вычислителями.
RU2015154339A 2015-12-18 2015-12-18 Способ управления рабочим множеством виртуальных вычислителей в виртуальной сетевой системе защиты информации RU2619716C1 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2015154339A RU2619716C1 (ru) 2015-12-18 2015-12-18 Способ управления рабочим множеством виртуальных вычислителей в виртуальной сетевой системе защиты информации

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2015154339A RU2619716C1 (ru) 2015-12-18 2015-12-18 Способ управления рабочим множеством виртуальных вычислителей в виртуальной сетевой системе защиты информации

Publications (1)

Publication Number Publication Date
RU2619716C1 true RU2619716C1 (ru) 2017-05-17

Family

ID=58716165

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2015154339A RU2619716C1 (ru) 2015-12-18 2015-12-18 Способ управления рабочим множеством виртуальных вычислителей в виртуальной сетевой системе защиты информации

Country Status (1)

Country Link
RU (1) RU2619716C1 (ru)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040025044A1 (en) * 2002-07-30 2004-02-05 Day Christopher W. Intrusion detection system
US20100333089A1 (en) * 2009-06-29 2010-12-30 Vanish Talwar Coordinated reliability management of virtual machines in a virtualized system
EP2432188A1 (en) * 2005-12-13 2012-03-21 Crossbeam Systems, Inc. Systems and methods for processing data flows
RU2530270C2 (ru) * 2012-10-23 2014-10-10 Федеральное государственное автономное образовательное учреждение высшего профессионального образования "Национальный исследовательский ядерный университет "МИФИ" (НИЯУ МИФИ) Виртуальная потоковая вычислительная система, основанная на информационной модели искусственной нейросети и нейрона

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040025044A1 (en) * 2002-07-30 2004-02-05 Day Christopher W. Intrusion detection system
EP2432188A1 (en) * 2005-12-13 2012-03-21 Crossbeam Systems, Inc. Systems and methods for processing data flows
US20100333089A1 (en) * 2009-06-29 2010-12-30 Vanish Talwar Coordinated reliability management of virtual machines in a virtualized system
RU2530270C2 (ru) * 2012-10-23 2014-10-10 Федеральное государственное автономное образовательное учреждение высшего профессионального образования "Национальный исследовательский ядерный университет "МИФИ" (НИЯУ МИФИ) Виртуальная потоковая вычислительная система, основанная на информационной модели искусственной нейросети и нейрона

Similar Documents

Publication Publication Date Title
US10445850B2 (en) Technologies for offloading network packet processing to a GPU
US20230412459A1 (en) Technologies for dynamically selecting resources for virtual switching
CN105814543B (zh) 用于增加负荷密度和改进能效的功率平衡
US20160378570A1 (en) Techniques for Offloading Computational Tasks between Nodes
Faraci et al. An analytical model to design and manage a green SDN/NFV CPE node
US9559968B2 (en) Technique for achieving low latency in data center network environments
US10019280B2 (en) Technologies for dynamically managing data bus bandwidth usage of virtual machines in a network device
EP3238408A1 (en) Techniques to deliver security and network policies to a virtual network function
CN105511954A (zh) 一种报文处理方法及装置
JP6783850B2 (ja) データトラフィックを制限するための方法及びシステム
CN102301664B (zh) 多核处理器的流分发方法及装置
US11301020B2 (en) Data center power management
Yildirim et al. Network-aware end-to-end data throughput optimization
Han et al. SAVE: Energy-aware virtual data center embedding and traffic engineering using SDN
CN112437023A (zh) 虚拟化安全网元数据处理方法、系统、介质和云平台
Gandhi et al. HALO: Heterogeneity-aware load balancing
RU2619716C1 (ru) Способ управления рабочим множеством виртуальных вычислителей в виртуальной сетевой системе защиты информации
WO2018137363A1 (zh) 一种用于调整虚拟机加速能力的加速能力调整方法及装置
CN104393985A (zh) 一种基于多网卡技术的密码机
US10097474B1 (en) Shared rate limiting
Lee et al. Dynamic network scheduling for virtual routers
RU2625046C2 (ru) Способ многопоточной защиты сетевого трафика и система для его осуществления
JP2016220126A (ja) ネットワーク処理システム、ネットワークシステムの管理方法及び通信装置
CN112866131B (zh) 一种流量负载均衡方法、装置、设备及介质
US9258273B2 (en) Duplicating packets efficiently within a network security appliance

Legal Events

Date Code Title Description
QB4A Licence on use of patent

Free format text: LICENCE FORMERLY AGREED ON 20200723

Effective date: 20200723