TWI480738B

TWI480738B - 藉由最佳化叢集特定組態之使用的處理種類來分割叢集間之處理

Info

Publication number: TWI480738B
Application number: TW100123397A
Authority: TW
Inventors: Dan C Kang
Original assignee: Neodana Inc
Priority date: 2010-07-01
Filing date: 2011-07-01
Publication date: 2015-04-11
Also published as: US20160378538A1; CN103038749A; CN103038749B; CN107608755A; US20130145375A1; US9959139B2; US20180246760A1; US10579426B2; TW201214139A; US9477524B2; WO2012003486A1

Description

藉由最佳化叢集特定組態之使用的處理種類來分割叢集間之處理

本方法及系統係關於電腦系統，且更明確而言，係關於虛擬化及雲端安全性。

此申請案主張2010年7月1日申請之名為「A System and Method for Cloud Security Management」之臨時申請案第61/360,658號的優先權，該案以引用之方式完全併入本文中。

在計算中，虛擬化為建立某些物件(諸如，硬體平台、作業系統、儲存器件或網路資源)之虛擬(而非實際)版本。

虛擬化為企業IT之整體趨勢之部分，企業IT包括：自主計算，其為IT環境將能夠基於所感知之活動管理其自身的一情形；及公用程式計算，其中電腦處理能力被視為用戶端可僅在需要時支付以獲得之公用程式。虛擬化之常見目標為使系統管理任務集中化，同時改良可調整性及工作負載。

使用高速個人電腦及智慧型行動器件之大量使用者之聚集顯著增加虛擬化環境中所需之封包處理效能。對每一封包之處理為區分及保障服務所必要的。綠色計算正變為限制電力消耗所必須的。又，必須縮短基礎結構部署排程以達成較快收益產生。

包括多核心CPU及硬體工業標準(諸如，AMC、快速PCI(PCI Express)、AdvancedTCA及刀鋒中心(Blade Center))之最近技術改良可達成預期效能等級，同時提供在整合與電力消耗比方面具有卓越效能之可調整解決方案。此亦意謂將需要高效能軟體封包處理來有效率地實施不同協定且確保充足之服務品質。大多數進階網路已採用分級(class-based)服務品質的概念，因此該等網路需要每封包處理以用於在封包服務之間進行區分。

資料中心與遠端使用者之間的訊務係使用IPSec加密且需要硬體密碼引擎之輔助。多核心技術提供必要處理能力且以較低電力消耗提供進階網路所需之高整合度。然而，軟體設計複雜性持續，從而使開發及整合困難。結果為妨礙基於多核心之解決方案之部署。

隨著虛擬化及雲端計算逐漸變得愈來愈風行，可將現存伺服器在邏輯上分組為可用資源之單一、大的集區。將此等器件之容量聚集至可用資源之單一集區中使得能夠有效率地利用伺服器，此導致資本及操作費用兩者的相關減少。然而，虛擬化使傳統安全性措施不足以保護以免受虛擬環境中之新出現的安全性威脅。此係歸因於在伺服器與儲存子系統之間的資料路徑中缺乏主保護。保護之缺乏阻止企業體驗主資料中心轉變的全部益處。

雖然雲端計算常常被視為增加安全性風險且引入新威脅媒介(vector)，但其亦呈現改良安全性之令人激動之機會。雲端之特性(諸如，標準化、自動化及至基礎結構中之增加之可見性)可顯著地提高安全性等級。在隔離網域中執行計算服務，在運動中及靜止時提供資料之預設加密，及經由虛擬儲存器控制資料均已變成可改良可信度及減少資料損失的活動。另外，硬化之執行階段影像之自動佈建(provisioning)及回收可減少攻擊表面及改良鑑識(forensics)。

本發明揭示一種用於虛擬化及雲端安全性之系統及方法。根據一實施例，一系統包含：一第一多核心處理叢集及一第二多核心處理叢集，其與一網路介面卡通信；及軟體指令。當由該第二多核心處理叢集執行該等軟體指令時，該等指令使該第二多核心處理叢集接收一對一服務之請求，建立一新虛擬機或調用一現存虛擬機以服務該請求，且將指示該服務之成功完成的一所要結果傳回至該第一多核心處理叢集。

包括作為本說明書之部分的隨附圖式說明目前較佳實施例，且與上文所提供之一般描述及下文所給出之較佳實施例的詳細描述一起用以解釋及教示本文中所揭示之原理。

應注意，諸圖未必按比例繪製，且結構或功能類似之元件貫穿諸圖通常由相似參考數字表示以用於說明性目的。亦應注意，諸圖僅意欲促進對本文中所描述之各種實施例之描述。諸圖不描述本文中所揭示之教示之每一態樣且不限制申請專利範圍的範疇。

揭示一種用於虛擬化及雲端安全性之系統及方法。根據一實施例，一系統包含：一第一多核心處理叢集及一第二多核心處理叢集，其與一網路介面卡通信；及軟體指令。當由該第二多核心處理叢集執行該等軟體指令時，該等指令使該第二多核心處理叢集接收一對一服務之請求；建立一新虛擬機或調用一現存虛擬機以服務該請求；及將指示該服務之成功完成的一所要結果傳回至該第一多核心處理叢集。

根據一實施例，本系統提供快速路徑封包處理之有效實施以利用由多核心處理器提供之效能益處。為達成安全性目的，本系統包括完整、全面及即用之網路連接特徵集合，該等網路連接特徵包括：VLAN、鏈路聚集、GRE封裝、經由IP隧道傳輸之GTP及IP、藉由虛擬路由管理、路由及虛擬路由之第3層轉遞、每封包QoS及篩選(ACL)、IPSec、SVTI、IKEv1及IKEv2。

根據一實施例，本系統可與一控制平面作業系統(OS)完全整合以用於最大程度地再使用軟體、簡化整合及隱藏多核心設計複雜性。本系統在具有用於與內建式加速器(諸如，密碼引擎)介接之統一高階API的多核心平台上執行，且在包括低成本高容量硬體之不同多核心架構及用於網路裝備之大ATCA組態上進行調整。本系統提供開放架構以使整合容易。

根據一實施例，本系統之一態樣包括自資料中心中之伺服器卸載封包處理。本系統之又一態樣包括併入額外軟體堆疊以支援安全性及其他應用程式功能。

根據一實施例，提供安全性軟體堆疊、UTM(統一威脅管理)或企業安全性堆疊。除了在系統上透明地執行之軟體以外，亦存在可由包含於下文所描述之硬體刀鋒中之多核心處理叢集加速的安全性相關功能。

根據一實施例，本系統之另一態樣包括提供虛擬化安全性。虛擬化安全平台為雲端計算安全平台之基礎，且包括額外軟體以自虛擬化伺服器卸載封包處理及安全性功能。根據一實施例，實情為，封包處理及安全性功能接著由作為本系統之部分的封包處理虛擬機及安全性虛擬機來處置。

對於現存客戶，虛擬化安全性軟體係經由安全鏈路及遠端呼叫中心而自遠端伺服器下載至現存使用者之系統上。對於新使用者，該軟體經預先安裝且隨著隨附硬體一起遞送。一旦軟體在初始電力開啟後經載入，客戶之應用程式便取決於安全性應用程式而下載至各種硬體模組上之軟體之上。

由本系統提供之益處之簡要概述包括以下各者：

‧虛擬及實體設備至伺服器虛擬化中之整合；

‧虛擬機認知；

‧每一虛擬機上之安全性策略之實施；

‧虛擬機之可見性及控制；

‧由設備及安全性軟體之組合所提供的安全性；

‧端點資料保護；

‧訊務及安全性功能之加速；

‧用於第三方安全性軟體供應商之開放軟體構架；

‧主機效能損失之消除；及

‧資料安全性。

本系統包括整合於標準伺服器平台中之分散式即時計算能力。可將分散式即時計算叢集視作伺服器群，且當增加工作負載時可按需求增加伺服器群資源。可快速啟動、撤銷啟動、升級或部署伺服器群資源。

本系統之效能可調整性係二維的：水平及垂直。相同設備功能可藉由同質架構而垂直地擴展，且不同設備功能可藉由異質架構而水平地擴展。下文更詳細地解釋同質及異質架構。

本系統提供電力消耗最佳化。應用程式載入驅動方法提供最佳電力消耗利用。按需求啟用及停用資源以遵循綠色能源策略。

本系統之軟體程式化模型提供：所有現存應用程式無需被重寫，且所有新出現之新應用程式可透明地執行。

圖1說明根據一實施例之供本系統使用之例示性系統層級佈局。應用程式伺服器101正執行伺服器應用程式103。應用程式伺服器101具有作業系統(OS)104、驅動程式106、中間軟體通信端107及中間軟體代理程式105。應用程式伺服器101正執行用於封包及應用程式處理或安全性軟體之多核心叢集108，且經由PCI-e(快速PCI)底板109與網路介面卡(NIC)110通信。網路介面卡(NIC)110提供網路111存取。根據本文中所揭示之實施例，中間軟體通信端107及代理程式105與虛擬化及雲端安全性系統102通信。

圖2說明根據一實施例之供本系統使用的包括虛擬化及雲端安全性架構之例示性系統層級佈局。應用程式伺服器201正執行伺服器應用程式203。應用程式伺服器201具有作業系統(OS)204、驅動程式206、中間軟體通信端207及中間軟體代理程式205。應用程式伺服器201正執行用於伺服器應用程式之多核心叢集208。應用程式伺服器201需要封包處理及安全性功能，且彼等請求係由虛擬化及雲端安全性系統(VCSS)202攔截及服務。該等服務可經由中間軟體通信端207及代理程式205通信。根據本文中所揭示之實施例，中間軟體通信端207及代理程式205與虛擬化及雲端安全性系統(VCSS)202通信。根據一實施例，VCSS 202包括：硬體刀鋒，其具有插入至PCI-e底板209中之多核心處理叢集211；及最小軟體堆疊，其包括網路通信端代理程式214、即時作業系統(RTOS)213及控制/資料平面軟體堆疊212。VCSS 202亦可包括安全性支援215及應用程式層伺服器代理程式216。中間軟體通信端207及代理程式205亦可關於服務請求而與應用程式伺服器代理程式216通信。應用程式伺服器代理程式216與RTOS 213、控制/資料軟體堆疊212及網路通信端代理程式214通信以經由PCIe底板209經網路介面卡(NIC)210而經HW/多核心處理叢集來伺服請求。網路介面卡(NIC)210提供網路217存取。下文緊跟著進行對控制/資料平面堆疊212及安全性軟體215之更詳細描述。

硬體(HW)刀鋒/多核心叢集211提供用於開發智慧型網路連接及安全平台之硬體，支援對智慧型網路/安全性加速之增長需求及對聚合資料中心應用程式(諸如，儲存、安全性、深層封包檢查(DPI)、防火牆、WAN最佳化及應用程式遞送(ADC)計算)之應用程式卸載。HW/多核心叢集211包含多核心處理器叢集(例如，Freescale之P4080E QorIQ)、DDR記憶體、快閃記憶體、10 Gb或1 Gb網路介面、迷你SD/MMC卡槽、USB埠、串列控制台埠及電池備援式(battery backed)RTC。組態硬體之軟體包括即時OS(亦即，Linux及在Linux下之驅動程式)以控制硬體區塊及功能。

一般而言，多核心叢集及在多核心叢集中之安全性硬體加速單元可處置適當功能以用於實施DPI/DDI(深層封包檢查/深層資料檢查)。舉例而言，協定分析包括HTTP、SIP及SNMP；內容格式包括XML、HTML/JavaScript；且型樣匹配包括IPS型樣及病毒型樣。

HW/多核心叢集之其他實施例可包括不同多核心叢集(諸如，來自Cavium Networks、Netlogic及Tilera之多核心叢集)(例如)以加速其他新出現之功能。舉例而言，Cavium Networks之Nitrox系列有助於實施其他安全性措施，且Tilera之GX系列有助於實施多媒體串流傳輸及壓縮/解壓縮應用程式。雖然所描繪之實施例包括PCI-e形狀因素，但在不脫離本系統之精神的情況下可使用ATCA及刀鋒中心及其他形狀因數。

即時作業系統(RTOS)213為意欲伺服即時應用程式請求之作業系統(OS)。RTOS之關鍵特性為其關於其接受及完成應用程式之任務所採用的時間量之一致性的程度；可變性為抖動。硬即時作業系統相比於軟即時作業系統具有較少抖動。主要設計目標並非高輸送量，而是軟或硬效能分類之保證。通常或一般可滿足期限(deadline)之RTOS為軟即時OS，但若其可確定性地滿足期限，則其為硬即時OS。

即時OS具有用於排程之進階演算法。排程器靈活性使得能夠達成對處理程序優先權之較寬電腦系統協調(orchestration)，但即時OS更常專用於應用程式之窄集合。即時OS之關鍵因素為最小中斷延時及最小執行緒切換延時。然而，相比針對即時OS在一給定時段內可執行之工作量，即時OS針對其可如何快速或如何預測地回應而更有價值。即時OS之實例包括來自Windriver之VxWorks或Linux。

根據一實施例，安全性軟體215包含以下各者中之一或多者：具有NAT(網路位址轉譯)之狀態防火牆、IPSec VPN、SSLVPN、IDS(入侵偵測系統)及IPS(入侵預防系統)、應用程式訊務節流、防病毒及反間諜程式軟體、應用程式防火牆(HTTP及SIP)、L4至L7負載平衡器、訊務管制(policing)及塑形、虛擬化及雲端計算支援，及對web服務、行動器件及社會網路連接之支援。以下表1提供對模組之描述。

根據一實施例，安全性之硬體加速具有用於協定分析之深層封包檢查/深層資料檢查(DDP/DDI)。DDP/DDI使得安全性設備及安全功能性之部署能夠增加。

應用程式層伺服器代理程式216伺服由應用程式用戶端代理程式205及207發送至應用程式伺服器216之不同應用程式以伺服彼等請求。該等服務可為用戶端希望伺服器代表用戶端完成之任何即時及計算密集型任務。一旦完成服務，則伺服器基於在其與用戶端之間定義的交握機制經由介面將結果遞送至用戶端。

圖3說明根據一實施例之供本系統使用的例示性軟體基礎結構。例示性軟體基礎結構301包括對豐富內容媒體(rich content media,RCM)應用程式302之支援。基礎結構301包括處理程序間通信303及對各種作業系統304之支援。基礎結構301包括RCM構架305、通用API 306、對各種編碼解碼器及程式庫擴展307之支援、系統構架308及資料構架309。

應用程式構架302可經由API(應用程式設計介面)介接至任何豐富內容多媒體應用程式或來自各種來源之軟體服務(SOA)。應用程式可來自一或多個群組，該一或多個群組包括安全性、安全性解密/加密、視訊壓縮/解壓縮、音訊壓縮/解壓縮、影像壓縮(imaging compression)/解壓縮(定義為文字、音訊或視訊及圖形)與用於遠端或本端來源之解碼及編碼之組合。在此狀況下，編碼為壓縮技術且解碼為解壓縮技術。內容來源可來自在伺服器、PC或其他行動器件上執行之本端器件。內容來源可為經由自伺服器、web伺服器、應用程式伺服器、資料中心中之資料庫伺服器執行之LAN、WAN的遠端裝置或經由網際網路存取之任何雲端計算應用程式。

較新應用程式(例如，型樣辨識)可自基本文字、音訊、視訊及影像擴展以藉由特殊演算法在遠端或本端執行來編碼及解碼。換言之，應用程式構架可經擴展以藉由特殊演算法介接型樣辨識應用程式從而自本端伺服器、PC或行動器件壓縮及解壓縮或自來自網際網路之遠端雲端計算資源遠端地壓縮及解壓縮。

處理程序間通信303在叢集、作業系統、系統互連及超管理器上發生。例示性實施例包括用於處理程序間通信之如下文所解釋之DDS。重點包括：經由分散式發訊息傳遞之通信(IPC)；OS、平台及互連獨立；對系統規模之透明性及在不修改程式碼的情況下重組態；多個生產者及消費者；分散式處理間通信技術；基於訊息之協定或資料中心分散式資料服務；透明之應用程式至應用程式連接；可靠遞送通信模組；作業系統獨立(Windows、Linux及Unix)；硬體平台獨立(RISC、DSP或其他者)。

通信標準資料散佈服務(Data Distribution Service；DDS)使得能夠達成系統可調整性，該可調整性可支援通信要求之範圍自固定及行動器件之同級間通信變化至巨大的群通信，該等器件具有間歇及高度可變之通信規範。

DDS標準特別適合於散佈即時資料以用於記錄以及用於一般分散式應用程式開發及系統整合。DDS指定經設計以用於啟用即時資料散佈之API。其使用發佈-訂用通信模型且支援訊息傳遞及資料物件中心資料模型兩者。DDS提供關於基於內容之篩選及轉變、每資料流連接性監測、冗餘、複製、遞送努力(delivery effort)及定序，以及自然發現之若干增強的能力。此外，DDS提供關於資料物件生命週期管理、最佳努力及可預測遞送、遞送定序、資源管理及狀態通知之新能力。

RCM構架305提供核心服務(SOA)以用於在203應用程式上執行之應用程式與企業SOA當中之通信，或跨越多個基於即時之作業系統及在本系統上執行之基於處理器SOA之應用程式而擴展。RCM構架305提供經由分散式發訊息傳遞之通信(IPC)及基於資料中心DDS之分散式訊息通信。其為OS、平台及互連獨立的，對系統規模為透明的且可在不修改程式碼之情況下重組態。構架支援至RDMS儲存器中之事件記錄及檢查。

系統構架308包括本端硬體叢集及資源排程器及管理、佈建(provisioning)、組態、重定位及遠端存取。多個即時OS組態支援以下各者：

‧AMP(不對稱即時多處理)：不同OS控制不同HW叢集，如控制/資料平面

‧SMP(對稱即時多處理)：相同類型之應用程式正執行於相同HW叢集上，如資料平面

‧處理間通信：各種OSes之間的通信

‧全球資源排程器及叢集之管理

‧全球及區域資源載入、統計及遷移

‧虛擬化基礎結構介面及叢集之管理。

基於IP之網路應用程式可分割為三個基本元素：資料平面、控制平面及管理平面。

資料平面為一網路節點之子系統，其自一介面接收封包及發送封包，以由適用協定所需之某一方式處理該等封包，且在適當時遞送、丟棄或轉遞該等封包。對於路由功能，資料平面由路由器用以對封包作出轉遞決策之程序(演算法)之集合組成。演算法定義來自所接收封包之資訊以在其轉遞表中尋找特定資料項，以及路由功能用於尋找該資料項的精確程序。資料平面自較高階處理器卸載封包轉遞。對於資料平面接收及未定址以用於遞送至節點自身之封包中的大部分或全部，其執行所有需要的處理。類似地，對於IPSec功能，安全閘道器查核安全性關聯(Security Association)對於傳入流是否有效，且若有效，則資料平面在本端尋找資訊以將安全性關聯應用至封包。

控制平面維持可用以改變由資料平面所使用之資料的資訊。維持此資訊需要處置複雜發信號協定。在資料平面中實施此等協定將導致不良轉遞效能。管理此等協定之常見方式為使資料平面偵測傳入之發信號封包且在本端將該等封包轉遞至控制平面。控制平面發信號協定可更新資料平面資訊且將輸出之發信號封包注入資料平面中。此架構起作用，此係因為發信號訊務為全球訊務之極小部分。對於路由功能，控制平面由一或多個路由協定組成，該一或多個路由協定提供路由資訊在路由器之間的交換，以及路由器用以將此資訊轉換至轉遞表中的程序(演算法)。資料平面一偵測到路由封包就將其轉遞至控制平面以使路由協定計算新路線、添加或刪除路線。轉遞表係藉由此新資訊更新。當路由協定必須發送封包時，封包被注入於資料平面中以待在傳出流中發送。對於IPSec安全性功能，用於密鑰交換管理之發信號協定(諸如，IKE或IKEv2)位於控制平面中。傳入之IKE封包在本端經轉遞至控制平面。當更換密鑰時，位於資料平面中之安全性關聯藉由控制平面更新。傳出之IKE封包經注入於資料平面中以待在傳出流中發送。

為了提供針對下一代網路應用程式之完整解決方案，當相比於在網際網路起始時的簡單TCP/IP堆疊，封包處理在現今要複雜得多。參看本文中針對控制平面及資料平面之定義的描述。高速處理必須集中於簡單處理且在快速路徑或資料平面中進行。軟體堆疊正執行於由多個CPU核心進行以處置資料平面任務之資料平面上。將複雜處理委派(delegate)至慢速路徑及控制平面。快速路徑必須整合大量協定且經設計以使得添加新協定將不會損失整個系統之效能。

常見網路使用狀況係由VPN/IPSec隧道構成之狀況及聚集HTTP之Gbps、視訊及音訊串流之狀況。由於L3/L7協定經加密，因此僅由流親和性構成之資料平面設計不能將特定核心指派至該等協定中之每一者。此情形僅在一旦所有預IPSec處理及有效負載之解密完成後成為可能。在每一層級處，若封包不能在快速路徑層級處加以處置，則可發生異常。實施額外協定在初始呼叫流中添加測試且需要更多指令。總效能將較低。然而，存在一些軟體設計規則，其可導致特徵及效能之間的優良折衷。

管理平面提供至整個系統中之系統管理介面。其含有支援操作系統管理、管理或組態/佈建動作之處理程序，諸如：

‧用於支援統計資料收集及聚集之設施

‧對管理協定之實施之支援

‧經由Web網頁或傳統SNMP管理之命令列介面、圖形使用者組態介面。亦可實施基於XML之更複雜的解決方案。

本系統支援豐富內容多媒體(RCM)應用程式。由於豐富內容多媒體應用程式消耗及產生大量不同類型之資料，因此在現今具有能夠處理、操縱、傳輸/接收及擷取/儲存所有各種資料(例如，資料、語音、音訊及視訊)之分散式資料構架係極為重要的。本系統亦支援下文表2中所列出之其他豐富資料類型，且不限於影像處理、型樣辨識、話音辨識及動畫。資料類型可自基本類型格式擴展且變成多個固有資料類型之組合資料類型。因為複雜資料類型傳輸及接收端將需要在傳輸之前將極其複雜之資料串流「壓縮」至某一特定工業標準或專屬演算法中，所以在接收點之端處需要將資料「重建構」回成原始資料類型。視訊資料在藉由特定演算法壓縮之後可變成不同資料類型，亦即，MPEG4及H.264。相同情況適用於音訊資料。因此，在目的地處之資料重建構之前需要支援某些類型之資料同步機制。新出現之應用程式可與藉由類似於上文所陳述之描述的表列出的任何資料類型混合。

在網路中心計算模型內，令人畏縮之挑戰為管理分散式資料及促進彼資料之區域化管理。處理此等要求之一架構方法通常稱作分散式資料庫。分散式資料庫模型之益處在於，其保證對企業為關鍵之所有資訊的連續即時可用性且促進位置透明軟體之設計，此直接影響軟體模組再使用。

軟體應用程式跨越動態網路獲得對即時改變之資訊的可靠瞬時存取。架構獨特地將同級間資料散佈服務網路連接及即時記憶體內資料庫管理系統(DBMS)整合至完整解決方案中，該解決方案在動態組態之網路環境中管理快速改變資料之儲存、擷取及散佈。其保證對企業為關鍵之所有資訊的連續即時可用性。DDS技術用以使得能夠達成用於分散式資料庫管理之真實非集中式資料結構，而DBMS技術用以提供即時DDS資料之持續性(persistence)。

根據一實施例，嵌入式應用程式無需知曉SQL或OBDC語意，且未強制企業應用程式以知曉發佈-訂用語意。因此，資料庫變成遍及系統而分散之資料表的聚集。當節點藉由對表執行SQL插入(INSERT)、更新(UPDATE)或刪除(DELETE)陳述式來更新該表時，該更新主動地經推送至其他主機，該等主機需要經由即時發佈及訂用訊息傳遞對相同表之本端存取。此架構方法使得能夠即時複製任何數目個遠端資料表。

圖4說明根據一實施例之供本系統使用的例示性硬體基礎結構。主機406(對於主機之描述，參看圖1)經由主機及記憶體介面401與各種叢集通信。硬體基礎結構包括執行相同作業系統及應用程式之一或多個處理元件(PE1 402、PE2 403、PE3 405及PE4 404)之叢集。處理元件經由處理程序間通信407通信。

為了整合例示性硬體基礎結構之描述，返回參看上文所描述之硬體刀鋒。取決於硬體刀鋒之封裝密度，每一硬體刀鋒可包括(例如)Freescale之QorIQ 4080之一叢集(在一IC封裝內具有8個CPU)或多個叢集。一般而言，Freescale之一QorIQ 4080(作為一實例)叢集對應於圖4中之硬體基礎結構之處理元件的一叢集(例如，PE1...PE18)。

若安裝兩個硬體刀鋒且每一刀鋒具有相同類型之多核心叢集(例如，Freescale之QorIQ)，則其稱為同質擴展。在另一實施例中，硬體刀鋒具有在一刀鋒中包括一個以上叢集之容量。

若安裝兩個硬體刀鋒且第一刀鋒具有Freescale之QorIQ 4080且第二刀鋒具有Cavium Network之叢集OCTEON II CN68XX，則Freescale叢集對應於PE1...PE18且Cavium叢集對應於PE2...PE216(假設使用16個核心)。

主機406為一標準伺服器，其表示基於x86之叢集。其可執行伺服器應用程式。舉例而言，該主機可表示應用程式伺服器、web伺服器或資料庫伺服器。其可執行所有通用應用程式、I/O功能，及OS之其他系統相關任務。

圖5說明根據一實施例之供本系統使用的例示性硬體基礎結構實施。主機506經由主機及記憶體介面501與各種叢集通信。硬體基礎結構包括執行相同作業系統及應用程式之一或多個處理元件的叢集。在此實例中，PE1為執行三個串流之音訊引擎502，PE2為安全性引擎503，PE3為視訊編碼引擎505，且PE4為執行兩個串流之視訊解碼引擎。該等處理元件經由處理程序間通信507通信且具有共用記憶體508。

圖6說明根據一實施例之供本系統使用的具有虛擬化支援之例示性系統層級佈局。一應用程式伺服器601包括一或多個虛擬主機610、611。虛擬主機610及611包括具有作業系統(OS)及應用程式(App)之虛擬機(VM)。中間軟體612與VCSS 602通信且超管理器609及604處置資源排程及分配。伺服器601正執行用於封包及應用程式處理之多核心叢集608。多核心叢集經由PCI-e底板606與網路介面卡(NIC)607通信。網路介面卡(NIC)607提供網路615存取。VCSS 602包括具有多核心叢集605(HW/多核心)之硬體刀鋒、用於排程及分配資源之超管理器604、具有虛擬機支援之介面603，及若干安全性虛擬機功能(SF1、SF2...SFn)613及封包處理虛擬機功能(PKT1、PKT2...PKTn)614。

亦稱作虛擬機管理器(VMM)之超管理器609允許多個作業系統(稱為客體)同時在主機電腦上執行。超管理器被如此命名係因為其在概念上比監督程式高一個層級。超管理器向客體作業系統呈現虛擬操作平台且管理客體作業系統之執行。多種作業系統之多個執行個體可共用虛擬化之硬體資源。超管理器安裝於僅有任務為執行客體作業系統之伺服器硬體上。非超管理器虛擬化系統用於專用伺服器硬體上之類似任務，但亦通常用於桌上型、攜帶型及甚至手持型電腦上的任務。

主機超管理器609之實例包括由Vmware、Citrix及Microsoft提供之產品。在硬體刀鋒上之嵌入式超管理器之實例包括由Windriver及Green Hills Software提供的產品。

嵌入式超管理器604為基於即時之超管理器。嵌入式超管理器用於即時嵌入式虛擬化中。超管理器允許開發者在單一器件中充分利用多個作業系統，因此開發者可擴展及增強器件功能性；超管理器藉由增加可靠性及減少風險促進多核心處理器之採用；且超管理器提供對下一代嵌入式器件進行架構設計所需之新軟體組態選項。

若干安全性虛擬機功能(SF... 613)及封包處理虛擬機功能(PKT...614)及所有其他基於即時之虛擬機正共用HW/多核心叢集605。由於該等虛擬機功能及虛擬機呈軟體執行個體形式，因此其可在閒置狀態期間儲存於HW/多核心叢集605中之本端記憶體中且可由嵌入式超管理器604啟動。另外，在應用程式伺服器601中執行的超管理器609可基於執行之虛擬機610、611來啟動SF1...SFn或PKT1...PKTn。當虛擬機611需要至及自NIC 607之網路615存取之功能時，前端612轉換對介面603的服務請求。在介面603接收請求之後，其建立PKT1 614以執行該功能。相同情況適用於安全性功能(SF)。若虛擬機611需要安全性功能之服務，則前端612轉換對介面603之請求。介面603接著如伺服器般起作用以藉由調用虛擬機SF1或SF2...SFn來伺服該等安全性請求。

根據一實施例，基於雲端之架構提供用於雲端安全性的模型，該模型由駐留於安全虛擬化執行階段層之上的服務導向式架構(SOA)安全層組成。雲端遞送服務層為複雜之分散式SOA環境。不同服務在企業內跨越不同雲端而擴展。服務可常駐於連接於一起以形成單一雲端應用程式之不同系統管理或安全性網域中。一SOA安全模型完全適用於雲端。一web服務(WS)協定堆疊形成SOA安全之基礎且因此亦形成雲端安全性之基礎。

SOA之一態樣為容易地整合來自不同提供者之不同服務的能力。相比於大多數企業SOA環境，雲端計算更進一步推動此模型，此係因為雲端有時支援大量租戶、服務及標準。此支援係以高度動態及敏捷之方式且在極其複雜之信任關係下提供。詳言之，雲端SOA有時支援大的且開放的使用者群體，且其不可假設在雲端提供者與用戶之間建立關係。

一般熟習此項技術者應理解，本系統不限於具有目前所揭示之多核心叢集組態之實施，且包括任何適當替代者之實施例達成本目標。

一般熟習此項技術者應理解，本系統不限於具有安全性軟體應用程式之實施，且包括音訊壓縮/解壓縮、視訊壓縮/解壓縮、影像壓縮/解壓縮、話音壓縮/解壓縮或任何適當替代者之實施例達成本目標。

在上文之描述中，僅出於解釋之目的，闡述特定命名法以提供對本發明之詳盡理解。然而，熟習此項技術者將顯而易見，不需要此等特定細節實踐本發明之教示。

本文中之詳細描述之一些部分依據對電腦記憶體內之資料位元的操作的演算法及符號表示來呈現。此等演算法描述及表示為熟習資料處理技術者用以向其他熟習此項技術者最有效地傳達其工作之要點的手段。在此且大體而言設想演算法為導致一所要結果之步驟之自相一致序列。該等步驟為需要實體操縱物理量之步驟。通常(但未必)，此等量採用能夠被儲存、傳送、組合、比較及以其他方式操縱之電信號或磁信號的形式。已證明將此等信號稱為位元、值、元素、符號、字元、項、數或其類似者時常(主要出於普通用途)為便利的。

然而，應記住，所有此等及類似術語應與適當物理量相關聯且僅為應用於此等量之便利標記。除非如自以下論述中顯而易見之另外特定聲明，否則應瞭解，遍及該描述，利用諸如「處理」或「計算」或「運算」或「判定」或「顯示」或其類似者之術語的論述指代電腦系統或類似電子計算器件之動作及程序，該電腦系統或類似電子計算器件操縱表示為電腦系統之暫存器及記憶體內之物理(電子)量且將其轉變為類似地表示為電腦系統記憶體或暫存器或其他此種資訊儲存、傳輸或顯示器件內之物理量的其他資料。

本發明亦係關於一種用於執行本文中之操作之裝置。此裝置可特定建構以用於所需目的，或此裝置可包含一通用電腦，該電腦藉由儲存於其中之一電腦程式選擇性地啟動或重組態。此電腦程式可儲存於電腦可讀儲存媒體中，該電腦可讀儲存媒體諸如(但不限於)任何類型之磁碟，包括軟性磁碟、光學磁碟、CD-ROM及磁光碟、唯讀記憶體(ROM)、隨機存取記憶體(RAM)、EPROM、EEPROM、磁卡或光卡或適用於儲存電子指令之任何類型之媒體，且該等媒體中之每一者耦接至一電腦系統匯流排。

本文中所呈現之演算法並非固有地係關於任何特定電腦或其他裝置。各種通用系統、電腦伺服器或個人電腦可根據本文中之教示與程式一起使用，或建構更特定裝置以執行所需方法步驟可證明為便利的。自以下描述將看出多種此等系統所需之結構。應瞭解，多種程式設計語言可用以實施如本文所描述之本發明的教示。

此外，代表實例之各種特徵與附屬請求項可以未特定及顯式地列舉之方式組合，以便提供本教示之額外有用實施例。亦明確注意，出於原始揭示內容之目的以及出於限制所主張之標的的目的，所有值範圍或實體之群組之指示揭示每一可能中間值或中間實體。亦明確注意，諸圖中所展示之組件之尺寸及形狀經設計以有助於理解實踐本教示的方式，但不意欲限制實例中所展示之尺寸及形狀。

揭示一種用於虛擬化及雲端安全性之系統及方法。儘管已關於特定實例及子系統描述了各種實施例，但一般熟習此項技術者將顯而易見，本文中所揭示之概念不限於此等特定實例或子系統，而亦擴展至其他實施例。如在以下申請專利範圍中所指定之所有此等其他實施例包括於此等概念的範疇內。

101．．．應用程式伺服器

102．．．虛擬化及雲端安全性系統(VCSS)

103．．．伺服器應用程式

104．．．作業系統(OS)

105．．．中間軟體代理程式

106．．．驅動程式

107．．．中間軟體通信端

108．．．多核心叢集

109．．．PCI-e(快速PCI)底板

110．．．網路介面卡(NIC)

111．．．網路

201．．．應用程式伺服器

202．．．虛擬化及雲端安全性系統(VCSS)

203．．．伺服器應用程式

204．．．作業系統(OS)

205．．．中間軟體代理程式

206．．．驅動程式

207．．．中間軟體通信端

208．．．多核心叢集

209．．．PCI-e底板

210．．．網路介面卡(NIC)

211．．．多核心處理叢集/HW/多核心叢集

212．．．控制/資料平面軟體堆疊

213．．．即時作業系統(RTOS)

214．．．網路通信端代理程式

215．．．安全性支援/安全性軟體

216．．．應用程式層伺服器代理程式

217．．．網路

301．．．軟體基礎結構

302．．．豐富內容媒體(RCM)應用程式

303．．．處理程序間通信

304．．．作業系統

305．．．RCM構架

306．．．通用API

307．．．編碼解碼器及程式庫擴展

308．．．系統構架

309．．．資料構架

401．．．主機及記憶體介面

402．．．處理元件(PE)1

403．．．處理元件(PE)2

404．．．處理元件(PE)4

405．．．處理元件(PE)3

406．．．主機

407．．．處理程序間通信

501．．．主機及記憶體介面

502．．．音訊引擎

503．．．安全引擎

505．．．視訊編碼引擎

506．．．主機

507．．．處理程序間通信

508．．．共用記憶體

601．．．應用程式伺服器

602．．．虛擬化及雲端安全性系統(VCSS)

603．．．具有虛擬機支援之介面

604．．．超管理器

605．．．HW/多核心叢集

606．．．PCI-e底板

607．．．網路介面卡(NIC)

608．．．多核心叢集

609．．．超管理器

610．．．虛擬主機

611．．．虛擬主機

612．．．前端/中間軟體

613．．．安全性虛擬機功能

614．．．封包處理虛擬機功能

615．．．網路

圖1說明根據一實施例之供本系統使用的例示性系統層級佈局。

圖2說明根據一實施例之供本系統使用的包括虛擬化及雲端安全性架構之例示性系統層級佈局。

圖3說明根據一實施例之供本系統使用的例示性軟體基礎結構。

圖4說明根據一實施例之供本系統使用的例示性硬體基礎結構。

圖5說明根據一實施例之供本系統使用的例示性硬體基礎結構實施。

圖6說明根據一實施例之供本系統使用的具有虛擬化支援之例示性系統層級佈局。

201‧‧‧應用程式伺服器

202‧‧‧虛擬化及雲端安全性系統(VCSS)

203‧‧‧伺服器應用程式

204‧‧‧作業系統(OS)

205‧‧‧中間軟體代理程式

206‧‧‧驅動程式

207‧‧‧中間軟體通信端

208‧‧‧多核心叢集

209‧‧‧PCI-e底板

210‧‧‧網路介面卡(NIC)

211‧‧‧多核心處理叢集/HW/多核心叢集

212‧‧‧控制/資料平面軟體堆疊

213‧‧‧即時作業系統(RTOS)

214‧‧‧網路通信端代理程式

215‧‧‧安全性支援/安全性軟體

216‧‧‧應用程式層伺服器代理程式

217‧‧‧網路

Claims

一種分散式計算系統，其包含：一網路介面、及/或PCI-e介面及/或處理程序間通信鏈路；一耦接至該網路介面、及/或PCI-e介面及/或處理程序間通信鏈路之多個多核心處理叢集之一第一集合，其中多個多核心處理叢集之該第一集合包含一或多個具有多個相同指令集合之硬體叢集，其中多個多核心處理叢集之該第一集合經組態以執行一多任務作業系統，其中經組態以在多任務作業系統下執行多個指令集合；一耦接至該網路介面、及/或PCI-e介面及/或處理程序間通信鏈路之多個多核心處理叢集之一第二集合，其具有與多個多核心處理叢集之該第一集合不同之多個指令組合，耦接至多個多核心處理叢集之該第一集合，其中多個多核心處理叢集之該第二集合包含具有多個相同或非相同指令集合之一或多個相同或非相同硬體叢集，其中多個多核心處理叢集之該第二集合經組態以執行一相同或非相同即時作業系統，其中經組態以在即時作業系統下執行多個相同或非相同指令集合；多個即時作業代理程式之一集合，其在該即時作業系統下執行在多個多核心叢集之該第二集合上，多個多核心叢集之該第二集合經組態以自多個多核心處理叢集之該第一集合接收多個相同或非相同即時處理請求並經由該網路介面、及/或PCI-e介面及/或處理程序間通信鏈路傳回多個即時處理請求之多個結果給多個多核心處理叢集之該第一集合；及/或多個即時服務之一集合，其在該即時作業系統下執行在多個多核心叢集之該第二集合上，多個多核心叢集之該第二集合經組態以自多個多核心處理叢集之該第一集合接收多個相同或非相同即時處理服務請求並經由該網路介面、及/或PCI-e介面及/或處理程序間通信鏈路傳回多個即時處理服務之多個結果給多個多核心處理叢集之該第一集合；及/或多個即時應用程式之一集合，其在該即時作業系統下執行在多個多核心叢集之該第二集合上，多個多核心叢集之該第二集合經組態以自多個多核心處理叢集之該第一集合接收多個相同或非相同即時處理應用程式請求並經由該網路介面、及/或PCI-e介面及/或處理程序間通信鏈路傳回多個即時處理應用程式之該等結果給多個多核心處理叢集之該第一集合。
如請求項1之分散式計算系統，其中多個多核心處理叢集之該第二集合進一步包含多個即時超管理器，該等即時超管理器協調多個相同或非相同多個多核心處理叢集以自多個多核心處理叢集之該第一集合之該等請求分配多個相同或非相同虛擬機給多個服務；且多個虛擬機由多個多核心處理叢集之該第二集合所執行，該多個多核心處理叢集之該第二集合由該等相同或非相同即時超管理器管理。
如請求項1之分散式計算系統，其中多個多核心處理叢集之該第一集合係由一多任務超管理器或一多任務作業系統所管理。
如請求項2之分散式計算系統，其中多個多核心處理叢集之該第一集合係由一多任務超管理器或一多任務作業系統管理。
如請求項4之分散式計算系統，其進一步包含：多個在多個多核心處理叢集之該第二集合中執行之相同或非相同即時軟體應用程式層伺服器代理程式；及自多個在多個多核心處理叢集之該第一集合中執行之對應的中間軟體用戶端代理程式伺服該多個服務；及/或多個即時軟體應用程式層伺服器代理程式，其進一步執行多個新即時程式編碼或多個即時虛擬機，該多個新即時程式編碼或多個即時虛擬機係藉由多個多核心處理叢集之第一集合中之該中間軟體用戶端代理程式及多個中間軟體通信端所下載且下載到多個多核心處理叢集之該第二集合而由該等應用程式層伺服器代理程式執行；在多個多核心處理叢集之該第一集合中經由一網路連接、及/或PCI-e介面及/或處理程序間通信鏈路發送回到中間軟體用戶端代理程式及多個中間軟體通信端之來自多個多核心處理叢集之該第二集合之多個要求服務之該等結果、程式執行或多個虛擬機執行。
如請求項1之分散式計算系統，其中在多個即時應用程式堆疊中之該等即時應用程式或在多個即時堆疊中在多個多核心處理叢集之該第二集合上之多個虛擬機執行包含多個封包處理功能、多個應用程式節流功能、多個編碼分析功能、多個針對包含L4至L7間之多個網路層之負載平衡功能，及/或多個訊務管制、多個塑形處理及多個QoS功能之一或多個集合。
如請求項6之分散式計算系統，其進一步包含多個程式編碼或在多個即時應用程式軟體堆疊中執行之多個虛擬機，或在多個多核心處理叢集之該第二集合上之多個虛擬機執行堆疊具有多個安全性功能、多個具有網路位址轉譯之狀態防火牆、多個IPsec虛擬私人網路、多個SSLVPN處理、多個入侵偵測系統、多個入侵預防系統、多個反病毒處理、多個反間諜程式處理、多個應用程式防火牆之一或多個集合。
如請求項1之分散式計算系統，其中多個多核心處理叢集之該第二集合包含複數種叢集，其具有用以最佳化多個不同作業之至少兩種不同叢集。
如請求項8之分散式計算系統，其中該等不同作業包含影像處理、加密處理、視訊處理、壓縮及解壓縮處理、及型樣辨識處理。
如請求項8之分散式計算系統，其中多個多個多核心處理叢集之該第二集合包含複數個叢集之每一種類，且每一種類叢集可具有多於一個的叢集。
一種在一分散式系統上計算之方法，其包含：使用包含具有多個相同指令集合之一或多個硬體叢集之一多任務多核心處理叢集執行多個應用程式處理，其中多個多任務叢集經組態以執行一相同多任務作業系統且在多任務作業系統下執行多個指令集合；執行包含一或多個相同或非相同硬體叢集之多個即時作業叢集，該一或多個相同或非相同硬體叢集具有多個相同或非相同指令集合，其中該等即時多核心處理叢集經組態以執行相同或非相同即時作業系統，該相同或非相同即時作業系統經組態以在即時作業系統下執行多個指令集合；解析多個請求之多個作業為即時和非即時；自該等多任務多核心處理叢集發送該等即時請求至該等相同或非相同即時作業叢集；自該等即時作業叢集經由一網路連接、及/或PCI-e介面及/或處理程序間通信鏈路提供多個請求之多個相同或非相同即時處理結果至該等多任務叢集；解析多個服務之多個作業為即時和非即時；自該等多任務多核心處理叢集發送該等即時服務至該等相同或非相同即時作業叢集；自該等即時作業叢集經由一網路連接、及/或PCI-e介面及/或處理程序間通信鏈路提供多個服務之多個相同或非相同即時結果至該等多任務叢集；解析多個應用程式之多個作業為即時和非即時；自該等多任務多核心處理叢集發送該等即時應用程式至該等相同或非相同即時作業叢集；及自該等即時作業叢集經由一網路連接、及/或PCI-e介面及/或處理程序間通信鏈路提供多個應用程式之多個相同或非相同即時結果至該等多任務叢集。
如請求項11之方法，其中該等即時作業叢集進一步包含多個即時超管理器，該等即時超管理器協調多個相同或非相同即時作業叢集以自多個多任務叢集之該等請求分配多個相同或非相同虛擬機給多個服務，且多個虛擬機由多個多核心處理叢集之該第二集合所執行，該多個多核心處理叢集之該第二集合由該等相同或非相同即時超管理器管理。
如請求項11之方法，其中該等多任務叢集由一多任務超管理器或一多任務作業系統管理。
如請求項12之方法，其中該等多任務叢集由一多任務超管理器或一多任務作業系統管理。
如請求項14之方法，其進一步包含：在該等即時作業叢集中執行多個相同或非相同應用程式軟體層伺服器代理程式；及在該多任務叢集中執行來自對應的中間軟體用戶端代理程式及中間軟體通信端之多個請求之多個服務，及/或執行多個新即時程式編碼或多個虛擬機執行個體，該多個新即時程式編碼或多個虛擬機執行個體係藉由多個多核心處理叢集之該第一集合中之該中間軟體用戶端代理程式及多個中間軟體通信端所下載且下載到多個即時處理叢集而由多個應用程式層伺服器代理程式執行；經由一網路連接、及/或PCI-e介面及/或處理程序間通信鏈路發送回到多個多核心處理叢集之第一集合之多個中間軟體用戶端代理程式及多個中間軟體通信端之來自多個即時處理叢集之多個要求服務之該等結果、程式執行或多個虛擬機執行。
如請求項15之方法，其中在多個即時應用程式軟體堆疊中之該即時應用程式或在多個即時堆疊中之多個虛擬機執行包括在該等即時叢集中之多個封包處理功能、多個應用程式節流功能、多個編碼分析功能、多個負載平衡器功能、多個訊務管制、多個塑形處理及多個QoS功能之一或多個集合。
如請求項16之方法，其進一步包含：在多個即時應用程式軟體堆疊中之多個程式編碼或多個虛擬機具有以下多個即時功能安全性功能、防火牆功能、具有網路位址轉譯之狀態防火牆處理；起始一IPsec虛擬私人網路；執行一SSLVPN處理；及即時處置入侵偵測及/或預防。
如請求項17之方法，其進一步包含：在多個即時應用程式軟體堆疊中之多個程式編碼或多個虛擬機，其具有以下多個即時功能即時執行一反病毒處理；即時執行一反間諜程式處理；及即時執行一應用程式防火牆。
如請求項14之方法，其中該等即時作業叢集包含複數種叢集，其具有用以最佳化多個不同作業之至少兩種不同叢集。
如請求項19之方法，其中該等不同作業包含影像處理、加密處理、視訊處理、壓縮及解壓縮處理、及型樣辨識處理。
如請求項19之方法，其中該即時作業叢集包含複數個叢集之每一種類，且每一種類叢集可具有多於一個的叢集。