TWI548998B

TWI548998B - 連接分類

Info

Publication number: TWI548998B
Application number: TW104107716A
Authority: TW
Inventors: 賈斯汀Ｅ約克
Original assignee: 惠普研發公司
Priority date: 2014-04-10
Filing date: 2015-03-11
Publication date: 2016-09-11
Also published as: US20170149696A1; WO2015156812A1; TW201539197A

Description

連接分類

本發明係有關於一種連接分類。

現代的高效能計算系統可以包含一藏納多種計算資源的機箱。此等計算資源可以是呈卡匣(cartridge)之形式。就其本質而言，每一卡匣均可以是一獨立的電腦，並且包含構成一電腦的許多元件。例如，每一卡匣均可以包含一或多個處理器、記憶體、持久性儲存器以及網路介面控制器。每一卡匣均可以包含全部或僅部分之前述元件。

此外，機箱本身可以提供被該機箱內的卡匣所共用的資源。舉例而言，機箱可以提供一或多個電源供應器，可被用以供電給該等卡匣。同樣地，機箱可以提供冷卻資源，例如風扇，以冷卻該機箱以及該機箱內的卡匣。機箱亦可以提供網路資源以讓該等卡匣能夠與位於該機箱內部及外部的計算資源進行通訊。

本發明係揭示一種系統，包含：一機箱管理器，用以從一卡匣接收連接分類，該等連接分類定義該卡匣之所欲網路連接性質；以及一網路交換機，用以從該機箱管理器接收該等卡匣連接分類，該網路交換機另用以根據該等連接分類組構該卡匣之網路連接性質。

本發明另揭示一種非暫態性處理器可讀取媒體，其上包含一組指令，當該組指令由一處理器執行之時，致使該處理器：接收一卡匣連接分類；根據該連接分類決定用於該卡匣之一網路連接；並且連接該卡匣至所決定之該網路連接。

本發明另再揭示一種裝置，包含：一網路連接，以將該裝置連接至一網路；一記憶體，儲存一連接分類，該連接分類決定該裝置被連接至何網路；以及一裝置管理器，用以將該連接分類傳遞至一機箱管理器。

100‧‧‧機箱

110‧‧‧機箱管理器

120‧‧‧網路交換機

121-1…10‧‧‧連接埠

130-1…n‧‧‧卡匣

131-1…n‧‧‧連接分類儲存器

132-1…n‧‧‧卡匣管理器

133-1…n(a,b)‧‧‧網路介面控制器

200‧‧‧機箱

210‧‧‧機箱管理器

220‧‧‧網路交換機

221-1…11‧‧‧連接埠

222‧‧‧處理器

223‧‧‧非暫態性處理器可讀取媒體

224‧‧‧連接分類指令

225‧‧‧網路連接指令

226‧‧‧外部VLAN

227‧‧‧販售商VLAN

228‧‧‧基礎設施VLAN

230-1…n‧‧‧卡匣

231-1‧‧‧連接分類儲存器

232-1‧‧‧卡匣管理器

233-1…n(a,b)‧‧‧網路介面控制器

240‧‧‧靜態基礎設施

241‧‧‧網路介面控制器

310‧‧‧區塊

320‧‧‧區塊

330‧‧‧區塊

410‧‧‧區塊

420‧‧‧區塊

430‧‧‧區塊

440‧‧‧區塊

450‧‧‧區塊

460‧‧‧區塊

圖1描繪可以使用本文所述之連接分類技術之一示例性卡匣式機箱系統。

圖2描繪可以使用本文所述之連接分類技術的另一示例性卡匣式機箱系統。

圖3係用以將一卡匣連接至一使用本文所述連接分類技術的網路連接之一高階流程圖之一示例。

圖4係用以將一卡匣連接至一使用本文所述連接分類技術的網路連接之一高階流程圖之另一示例。

位於一機箱中的一些卡匣可以被指派以提供生產工作負載。位於一機箱中的生產卡匣(production cartridge)可以連接至一外部網路，此亦可以被稱為一生產網路(production network)。生產網路係可以將通往外部世界的連接性質提供給卡匣的網路。舉例而言，上述之外部網路可以是一企業內部網路(intranet)或者網際網路(Internet)。一示例性應用可以是一裝滿正在運行網站伺服器(web server)之卡匣的機箱。每一卡匣均可以被稱為一生產卡匣，且可以透過生產網路耦接至網際網路。

該機箱亦可以包含一組構件，透過一基礎設施網路(infrastructure network)進行通訊。例如，共用元件，諸如風扇及電源供應器可能需要彼此通訊並與該機箱內的其他構件進行通訊。此外，可能存在某些卡匣，其可以被稱為基礎設施卡匣，需要透過該基礎設施網路進行通訊。例如，一防火牆卡匣(firewall cartridge)可被用以提供防火牆服務。此防火牆卡匣可能需要透過基礎設施網路及生產網路，或者可能僅透過生產網路，進行通訊。在一些情形之中，一基礎設施卡匣可能需要與相同類型的其他卡匣形成獨立於該基礎設施網路之外的一獨立網路的能力。

當一基礎設施卡匣需要建立通往其他基礎設施卡匣或者通往機箱之基礎設施網路的隔離網路連接之時，可能出現問題。雖然提供一使用者針對基礎設施卡匣手動地組構所欲之連接的能力是可能的，但此種手動組構可能易於發生使用者錯誤。例如，使用者可能不當地組構一基礎設施卡匣以存取生產網路，或者不當地組構一生產卡匣以存取基礎設施網路。使問題更為嚴重的是，即使並無惡意，一使用者仍可能不當地以某種方式組構一生產卡匣，使得基礎設施網路的完整性受損。例如，在一防火牆基礎設施卡匣的情形，一個通往生產網路的連接可能被不當地組構，而使得該防火牆基礎設施卡匣遭受來自生產網路的攻擊。

本文所述之技術透過一種附帶於每一卡匣的連接分類之使用而克服此等問題，該卡匣係一生產卡匣或一基礎設施卡匣。上述的連接分類係儲存於每一卡匣之上，使得使用者無法輕易地對其進行修改。例如，該連接分類可以在工廠設定，且不提供使用者任何變更該連接分類的功能。在其他實例之中，變更該連接分類所需要的任何工具或應用程序之散佈可以加以限制。應理解的是，該連接分類一般而言係由卡匣販售商設定，且不能夠被卡匣的終端使用者輕易變更。

該連接分類可以由機箱使用以決定該卡匣被允許連接至哪些網路。機箱可以從卡匣擷取該連接分類，且僅允許通往特定網路的連接。機箱可以進一步限制從外部來源對網路的存取，藉由檢視通訊流量的特性並判定該通訊流量是否被允許存取網路或者應被忽略。由於連接分類無法由使用者輕易地修改，故卡匣販售商可以指定卡匣被允許連接哪些網路，且終端使用者無法輕易地改寫該等指定。

圖1描繪可以使用本文所述之連接分類技術之一示例性卡匣式機箱系統。機箱100可以包含一機箱管理器110、一網路交換機120、以及卡匣130-1…n。應能理解的是，本文所述之機箱100僅係一示例，且本文所述之技術並不依存於單一機箱管理器、交換機、或者任何特定數目之卡匣。舉例而言，一機箱可以具有一個以上的機箱管理器或者可以具有一個以上的網路交換機。此外，其可以具有任何數目之卡匣。

機箱管理器110可以對機箱及機箱內的卡匣提供管理控制器的功能。例如，該機箱管理器可以提供通往一外部管理網路(圖中未顯示)之連接，讓該機箱管理器能夠組構該等卡匣並且監測該等卡匣的運作。該機箱管理器可以提供類似於一機架式伺服器(rack mount server)中之一基板管理控制器(Baseboard Management Controller)所提供的功能。該機箱管理器可以耦接至卡匣130-1…n中的每一者。在一些示例性實施方式之中，介於該機箱管理器與該等卡匣之間的連接可以是一直接連接或者可以是一透過私人網路之連接。該連接之特定形式並不重要，但所應理解的是該機箱管理器能夠與該等卡匣進行通訊。此外，該機箱管理器可以耦接至一網路交換機120。同樣地，該連接之特定形式並不重要，而是應理解的是該機箱管理器可以與該網路交換機進行通訊。

卡匣130-1…n可以提供計算資源。例如，該等卡匣可以包含處理器、記憶體、持久性儲存器以及網路介面控制器(NIC)或者該等構件的任何子集。基於說明的簡便，圖中並未顯示諸如處理器、記憶體及持久性儲存器等構件。應當理解的是，每一個卡匣(配合機箱)均可以包含提供一獨立伺服器之功能所需之構件。例如，卡匣可以包含前述之計算構件，同時自機箱接收電力和冷卻資源。

每一卡匣均可以包含一卡匣管理器131-1，其耦接至一連接分類132-1儲存器。該卡匣管理器可以是一處理器、一微控制器、一複雜可程式邏輯裝置(CPLD)、一現場可程式邏輯閘陣列(FPGA)或者任何其他適當之裝置。前述之連接分類儲存器可以是能夠儲存連接分類資訊的任何適當的持久性儲存構件。適當構件之一些示例可以包含快閃記憶體(FLASH memory)、靜態隨機存取記憶體(SRAM)、憶阻式記憶體(Memristor based memory)、電性可抹除可程式化記憶體(EEPROM)或者適用於儲存一連接分類的任何其他構件。對於連接分類儲存器的寫入存取可以被限制。例如，對於連接分類的寫入存取可以受限於提供卡匣的販售商。應理解的是，終端使用者通常不具有易於存取以用來修改儲存於連接分類儲存器中的資料之機制。由於對於連接分類儲存器的寫入存取係受限制的，故基於此說明之目的，可以假定其中儲存的連接分類係正確且未經不當修改的。

卡匣管理器可以耦接至連接分類儲存器，使得卡匣管理器可以擷取連接分類。卡匣管理器可以進一步被用以將連接分類傳遞至機箱管理器。應能理解的是，本文所述之技術並不依存於使用於機箱管理器、卡匣管理器或者連接分類儲存器的任何特別類型之構件。透過任何類型之專用或共用連接，允許一連接分類之儲存於一卡匣之上、一卡匣管理器對於連接分類之擷取以及發送連接分類至一機箱管理器之任何構件，均適於配合本文所述之技術使用。

每一卡匣130-1…n均亦可以包含一或多個網路介面控制器(NIC)133-1…n(a,b)。基於此說明之目的，每一卡匣均被顯示成具有二個NIC，然而應能理解的是，本文所述之技術並不依存於任何特定數目之NIC。每一NIC均可以耦接至位於一網路交換機120上之一連接埠，如下文所述。該網路交換機可以決定每一NIC連接至哪個網路，其進而又決定卡匣能夠連接至哪些網路。

網路交換機120可以包含任何數目之連接埠121-1…n。基於此說明之目的，圖中顯示有限數目之連接埠，然而應能理解的是，本文所述之技術並不受限於任何數目之連接埠。如圖所示，連接埠121-1…8可以耦接至卡匣130之NIC 133，從而讓該等卡匣能夠存取連接至交換機120的網路。連接埠121-9可以耦接至機箱管理器，從而讓機箱管理器110能夠與網路交換機進行通訊。例如，該機箱管理器可以將連接分類資訊從每一卡匣傳遞至網路交換機。網路交換機亦可以包含連接埠121-10，其耦接至一外部網路(圖中未顯示)，其亦可以被稱為一生產網路。基於本說明之目的，該生產網路係一個能夠由生產卡匣存取之網路。此係對比於販售商網路或者基礎設施網路，此更詳細地描述於下。在一些情形之中，生產網路可以連接至一較大之網路，例如網際網路。

在運作時，開機之後，卡匣管理器131-1可以讀取儲存於連接分類儲存器132-1之中的連接分類資訊。該連接分類可以包含諸如包含於卡匣上的NIC 133之數目，以及該等NIC預定連接至哪些網路的資訊。卡匣管理器可以將該等連接分類資訊傳遞至機箱管理器110。

機箱管理器110可以從卡匣130-1接收連接分類資訊。機箱管理器可以將該等連接分類資訊傳遞至網路交換機120。網路交換機接著可以使用該等連接分類資訊以致能連接至卡匣130之NIC 133-1(a,b)的連接埠121。該等連接分類資訊可被用以判定網路交換機120之每一連接埠121被連接至哪個網路。網路之隔離參照圖2進一步詳述於後。

圖2描繪可以使用本文所述之連接分類技術的另一示例性卡匣式機箱系統。描繪於圖2之中的元件類似於圖1。例如，機箱200、機箱管理器210、卡匣230、網路交換機220以及包含於其中的構件均類似於圖1之中顯示的機箱100、機箱管理器110、卡匣130以及網路交換機120。基於簡明的目的，該等元件之說明在圖2之中不予重複。

除了先前所述之元件，機箱200亦可以包含靜態基礎設施240。此靜態基礎設施可以包含使用於機箱200之一般性支承功能的元件。例如，諸如電源供應器及冷卻風扇等項目可以回報狀態或者藉由機箱管理器加以組構。因此，此等靜態基礎設施構件可以連接至一個能夠由機箱管理器透過一基礎設施網路存取之網路。然而，此等元件將無須連接至外部網路，例如生產網路。各種網路之隔離進一步詳述於後。

網路交換機220可以包含一處理器222。耦接至該處理器者可以是一其上包含一組指令之非暫態性處理器可讀取媒體223，當該組指令由該處理器執行之時，致使該處理器實施本文所述之技術。例如，該媒體可以包含連接分類指令224及網路連接指令225。該等連接分類指令可以包含讓網路交換機能夠自卡匣接收連接分類以及對所接收的分類適當地加以處理的指令。該等網路連接指令可以致使該處理器設定及強制施行各種網路，如同下文之進一步詳細描述。

網路交換機220亦可以包含用以形成幾個不同虛擬區域網路(virtual local area network；VLAN)的構造。例如，該網路交換機被顯示成包含一外部VLAN 226、一販售商VLAN 227、以及一基礎設施VLAN 228。應能理解的是，顯示三個VLAN僅係基於說明之目的，並非藉以限制。本文所述之技術並不受限於所示VLAN之數目或類型。一VLAN係網路交換機所使用的一種用以隔離可能正共用相同實體交換機的網路通訊流量的技術。在一典型的VLAN之中，每一封包(packet)均可以被標記以一識別符，其可以被稱為一VLAN識別符。每一連接埠均可以同樣地係關聯於一或多個VLAN識別符。網路交換機確保封包僅被傳送於包含匹配VLAN識別符的連接埠。例如，一連接埠可以係關聯於一第一VLAN識別符。一個係關聯於一第二、不同VLAN識別符之封包不能被傳送於係關聯於該第一VLAN識別符之連接埠。有關VLAN之運作進一步詳述於後。

運作之時，一卡匣230可以被開機。例如，卡匣230-1可以被開機。位於該卡匣上的卡匣管理器232-1可以讀取連接分類231-1。卡匣管理器從而可以將該等連接分類資訊傳遞至機箱管理器。該等連接分類資訊可以指出NIC 233-1(a,b)預定連接至哪些網路。例如，連接分類資訊可以指出NIC將連接至預設網路，其亦可以被稱為外部網路，如同由外部VLAN 226識別符所定義。機箱管理器可以將該等連接分類指示傳遞至機箱管理器210。前述之網路交換機，使用該等連接分類指令，可以自機箱管理器取得連接分類指示。

網路交換機從而可以組構連接至卡匣230-1之NIC 233-1(a,b)的連接埠221-1、221-2，使得該等連接埠係關聯於上述之預設網路。因此，連接埠221-1、221-2接收的所有封包均可以被標記以預設VLAN識別符。此外，連接埠221-10可以連接生產網路(圖中未顯示)且亦被標記以該預設VLAN識別符。因此，透過係關聯於外部VLAN的連接埠所接收的封包可以透過生產網路傳遞。同樣地，源自生產網路的資料封包可以與NIC 233-1(a,b)進行通訊，因為該等NIC被連接分類標識成隸屬於外部VLAN。

一類似程序可以發生於卡匣230-2。為了說明簡便起見，在本說明的其餘部分，由卡匣管理器擷取連接分類以及自機箱管理器傳送該等分類至網路交換機之程序不予重複。然而，應當理解的是，此程序每當卡匣開機即發生於每一卡匣。在卡匣230-2之情形，NIC 233-2(a)可以係關聯於外部VLAN，正如同上文有關卡匣230-1之描述。因此，網路交換機可以將連接埠221-3關聯於於預設VLAN識別符。同樣地，如上所述，NIC 233-2(a)可以從而係關聯於生產網路。

然而，用於NIC 233-2(b)的連接分類可以指出NIC 233-2(b) 應隸屬於販售商VLAN 227。在一示例性實施方式之中，對於一販售商VLAN之連接分類可以由一特定販售商所將使用之一特定販售商識別符(ID)所指出。因此，包含一包含該販售商ID之連接分類的所有NIC會在同一販售商VLAN之內耦接在一起。應能理解的是，雖然圖中僅顯示一販售商VLAN 227，但其可以存在任何數目之不同販售商VLAN。例如，一卡匣之每一販售商均可以建立其本身的販售商VLAN。做為另一示例，單一販售商可以具有多個販售商ID，使得其可以建立多個販售商網路，即使該等卡匣係來自同一販售商。應當理解的是，連接分類可被用以指出一NIC應連接至一販售商VLAN。

在本示例之中，就卡匣230-2及NIC 233-2(b)而言，該NIC係連接至位於網路交換機之上的連接埠221-4。上述之網路交換機，使用網路連接指令225，可以在抵達連接埠221-4上的所有封包標記以販售商VLAN之VLAN識別符。該連接埠亦可以係關聯於販售商VLAN。此外，網路交換機可以確保被標記以販售商VLAN識別符的封包僅被傳送至亦係關聯於販售商VLAN的連接埠，如同下文的進一步詳細描述。

卡匣230-3可以經歷一個如上所述將連接分類發送至網路交換機之類似程序。在此運作性示例之中，用於NIC 233-3(a)的連接分類可以指出該NIC將被連接至販售商VLAN。因此，該網路交換機可以組構連接埠221-5用來將全部的輸入封包(incoming packet)標記以販售商VLAN之VLAN識別符，並且亦將該連接埠關聯於販售商VLAN。

NIC 233-2(b)和233-3(a)與販售商VLAN的關聯意味透過各別連接埠221-4與221-5從該等NIC進入交換機的所有封包均可以被標記以販售商VLAN 227之VLAN識別符。一旦一輸入封包已被標記以販售商VLAN識別符，該被標記之封包即僅能被傳送至係關聯於該販售商VLAN的連接埠。此例中，僅連接埠221-4及221-5係關聯於販售商VLAN。因此，一販售商網路已然被建立於卡匣230-2及230-3的NIC 233-2(b)與233-3(a)之間。為了進一步增加安全性，網路交換機可以捨棄已經包含一販售商VLAN識別符的任何接收到的封包。此確保一惡意的參與者無法透過識別符一不同連接埠(例如，連接埠221-10，其連接至外部網路)傳送已經被標記以販售商VLAN識別符之封包而存取販售商VLAN。換言之，安全性得以增加，因為網路交換機係將封包標記以一販售商VLAN識別符之唯一實體。交換機所接收的已經被標記的任何封包均表示一詐欺性封包。

繼續該運作性示例，NIC 233-3(b)可以具有指出該NIC應連接至基礎設施VLAN 228之一連接分類。如前所述，機箱可以包含一基礎設施VLAN以致能機箱之內被使用於基礎設施用途的構件之間的通訊。風扇與電源供應器(圖中未顯示)係此等構件的一些實例。基礎設施VLAN可以是類似於一販售商VLAN，類似之處在於存取係受限的。在基礎設施VLAN的情形，存取可以被限制至諸如靜態基礎設施240及係關聯於該靜態基礎設施之NIC 241等構件。應能理解的是，靜態基礎設施240並非想要描繪單一裝置，而是代表機箱之內可以使用通往基礎設施網路之連接的所有構件。

如前所述，NIC 233-3(b)可以具有指出該NIC應連接至基礎設施VLAN 228之一連接分類。上述之網路交換機，同樣地使用該等網路連接指令，可以將連接埠221-6關聯於基礎設施VLAN。此外，經由連接埠221-6接收之封包可以被標記以基礎設施VLAN之VLAN識別符。正如上文有關販售商VLAN之敘述，基礎設施VLAN上的通訊流量因此被外部VLAN 226及販售商VLAN 227隔離。

卡匣230-n可以具有一連接分類被組構成連接至基礎設施VLAN 228之NIC 233-n(a)，同時NIC 233-n(b)被組構成連接至外部VLAN 226。

應能理解的是，上述之網路連接僅係通往不同網路的連接可能性之示例。本文所述之技術並不限於任何特定集合之網路連接。舉例而言，針對幾個卡匣所描述之連接顯示一卡匣之一NIC連接至一網路(例如，販售商網路)，而其他NIC則連接至一不同網路。在一些情況之中，此可以是合於所願的，因為其提供給卡匣在二網路之間橋接通訊流量的能力。在其他情況之中，橋接通訊流量可能是不被接受的。本文所述之技術根據連接分類判定網路連接，且具備彈性，使得通往網路的連接被留給卡匣販售商決定。

圖3係用以將一卡匣連接至一使用本文所述連接分類技術的網路連接之一高階流程圖之一示例。在區塊310之中，一卡匣連接分類可以被接收。如同闡釋於上者，該卡匣連接分類可以被儲存於卡匣之上且當該卡匣初次開機之時被擷取出來。

在區塊320之中，可以根據該連接分類判定該卡匣之一網路連接。該連接分類可以決定卡匣上的每一NIC應該被連接至哪些網路。例如，該等網路可以由VLAN定義之。在區塊330之中，卡匣可以被連接至所決定的網路連接。在一些示例性實施方式之中，通往所決定的網路之連接可以透過使用VLAN標記。

圖4係用以將一卡匣連接至一使用本文所述連接分類技術的網路連接之一高階流程圖之另一示例。在區塊410之中，一卡匣連接分類可以被接收自一機箱管理器。如同前文之闡述，卡匣及機箱管理器在卡匣開機之時可以交換卡匣連接分類資訊。機箱管理器接著可以將連接分類資訊從卡匣轉送到網路交換機。

在區塊420之中，如前所述，可以根據連接分類判定該卡匣之一網路連接。在一示例性實施方式之中，該網路連接可以是透過VLAN的使用決定之，如前所述，且進一步詳述於後。在區塊430之中，卡匣可以被連接至所決定的網路連接。在一示例性實施方式之中，通往一網路之連接可以藉由使用VLAN標記加以決定。

在區塊440之中，輸入封包可以根據所接收之連接分類被標記以一VLAN識別符。如同前文之闡釋，將全部的輸入封包標記以一個由所欲網路連接所決定之VLAN標籤係提供網路交換機將輸入封包隔離成分離的邏輯網路之能力，儘管事實上該等卡匣係實際共用相同的實體交換機結構。因此，分離之網路得以建立，不需要多餘的交換機硬體。

在區塊450之中，已經被標記以一VLAN識別符的輸入封包可以被捨棄。如前所述，為了確保來自各個卡匣的封包通往如同藉由VLAN ID所指定的同一網路，交換機可以被指定成對輸入封包加入標記之實體。因此，若一輸入封包已經包含一VLAN識別符，則此表示交換機並未標記該封包。此可以是一入侵企圖之指示，此時一外部封包來源正在嘗試取得VLAN的存取權。藉由捨棄所有不具備網路交換機所加入的VLAN識別符之封包，可以確保此等外部入侵企圖無法得逞。在區塊460之中，被標記以VLAN識別符之封包可以被傳送至卡匣。因此，由於交換機係對封包加入標記之實體，且交換機僅根據連接分類對封包加入標記，故其可以確保包含一特定VLAN識別符之封包實際上隸屬於一特定網路，該網路由該VLAN識別符所定義。