WO2011009406A1 - 数据处理系统和方法 - Google Patents

Description

数据处理系统和方法 本申请要求于 2009年 7月 22日提交中国专利局， 申请号为

200910089754.8, 发明名称为 "数据处理系统和方法" 的中国专利申请 的优先权， 其全部内容通过引用结合在本申请中。 技术领域

本发明实施例涉及计算机技术领域，尤其涉及一种数据处理系统和方法。 背景技术

虚拟化的起源可以追溯到大型机的时代。 由于大型机的成本昂贵、 处 理能力强， 部分厂家开始开发虚拟化系统， 以便让不同用户在同一大型机 上运行不同操作系统及应用环境， 是目前的虚拟化技术的雏形。 随着基于 X86构架的计算机处理能力越来越高，虚拟化的需求也就越来越高。起初， 虚拟化的目的只停留在整合资源， 提高资源利用率方面， 但随着虚拟化技 运营等方面， 都开始对虚拟化技术有了大量的需求。

目前虚拟化技术中硬件构架对虚拟化的支持还停留单纯依靠中央处 理器 （ Central Processing Unit; 以下简称： CPU ) 的层面， 其原因在于， 目前所提供的虚拟化功能几乎都由软件来实现， 包括不同虚拟机之间的数 据传输、 数据交换等， 因此， 与物理机之间进行数据传输或交换相比， 不 同虚拟机之间做文件传输或交换时， 承载虚拟机运行的物理机的 CPU的 资源消耗以及 CPU和内存的总资源消耗均较大， 占用了大量的系统资源， 导致了服务器在数据传输、 数据交换上的造成了巨大的资源消耗， 无法支 撑太大数据流量， 使导致整个系统的性能和速率大幅度下降。 发明内容

本发明实施例提供一种数据处理系统和方法， 用以减少虚拟机之间进行 数据处理时对承载其运行的物理机的 CPU和内存的占用，降低系统资源消耗， 提高系统的运行性能和速率。

本发明实施例提供一种数据处理系统， 包括： 硬件平台、 虚拟化平台、 物理机以及至少二个虚拟机， 所述虚拟机运行在虚拟化平台上， 所述物理机 用于承载所述虚拟化平台， 所述物理机通过系统总线与硬件平台连接， 所述 硬件平台用于对第一虚拟机发送的数据进行处理， 并将处理后的数据发送给 第二虚拟机。

本发明实施例提供一种数据处理方法， 包括：

硬件平台通过系统总线接收第一虚拟机发送的数据；

硬件平台对所述第一虚拟机发送的数据进行处理后发送至第二虚拟机； 所述第一虚拟机与所述第二虚拟机运行于同一个虚拟化平台上。

本发明实施例所述的数据处理系统和方法， 通过硬件平台处理各个虚拟 机之间的数据传输或数据交换，减少虚拟机对承载其运行的物理机的 CPU和 内存的占用， 降低系统资源消耗， 提高系统的运行性能和速率。 附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案， 下面将对实 施例或现有技术描述中所需要使用的附图作简单地介绍， 显而易见地， 下面 描述中的附图仅仅是本发明的一些实施例， 对于本领域普通技术人员来讲， 在不付出创造性劳动性的前提下， 还可以根据这些附图获得其他的附图。

图 1为本发明实施例一提供的数据处理系统一种结构示意图；

图 2为本发明实施例一提供的数据处理系统另一种结构示意图； 图 3为本发明实施例一提供的数据处理系统中物理机与硬件平台连接的 结构示意图；

图 4为本发明实施例二提供的数据处理系统结构示意图；

图 5为本发明实施例三提供的数据处理方法的流程图。 具体实施方式

下面将结合本发明实施例中的附图， 对本发明实施例中的技术方案进行 清楚、 完整地描述， 显然， 所描述的实施例仅仅是本发明一部分实施例， 而 不是全部的实施例。 基于本发明中的实施例， 本领域普通技术人员在没有做 出创造性劳动前提下所获得的所有其他实施例， 都属于本发明保护的范围。

图 1为本发明实施例一提供的数据处理系统一种结构示意图， 图 1 中所 示为一台物理机承载一个虚拟化平台的情况， 该数据处理系统包括： 硬件平 台 5、 虚拟化平台 1、 物理机 3以及至少二个虚拟机 2, 虚拟机 2包括第一虚 拟机 21和第二虚拟机 22, 物理机 3通过系统总线与硬件平台 5连接， 物理 机 3用于承载虚拟化平台 1 , 虚拟机 2在虚拟化平台 1上运行， 硬件平台 5 用于对第一虚拟机 21发送的数据进行处理，并将处理后的数据发送给第二虚 拟机 22。

其中虚拟机 2是通过软件模拟的具有完整硬件系统功能的、 运行在一个 完全隔离环境中的完整计算机系统。 虚拟化平台 1是指将多个虚拟机通过软 件模拟形成一个具有完整硬件系统功能的、 支持多个虚拟机交互运行的计算 机软件平台。

进一步地， 在本发明实施例所述数据处理系统中， 除了图 1 中的一个虚 拟化平台通过一台物理机承载的情况外， 一个虚拟化平台也可以通过多个物 理机承载。 图 2为本发明实施例一提供的数据处理系统另一种结构示意图， 图 2描述的是多台物理机 3承载一个虚拟化平台 1的情况， 即虚拟机 2也可 以在基于多个物理机 3的单一虚拟化平台 1上运行。 其中物理机 3通过系统 总线与硬件平台 5连接，硬件平台 5可以对第一虚拟机 21发送的数据进行处 理， 并将处理后的数据发送给第二虚拟机 22。

图 3为本发明实施例一提供的数据处理系统中物理机与硬件平台连接的 结构示意图， 如图 3所示， 每个物理机 3由 CPU、 内存、 硬盘及其他硬件组 成， 其中， 物理机的 CPU、 内存、 硬盘等连接在系统总线上。 该系统总线上 还连接有硬件平台 5 ( Hardware platform )。 硬件平台 5与系统总线的连接可 以采用多种总线技术， 例如： 外设组件互连标准 （ Peripheral Component

Interconnect; 以下简称： PCI )、 PCIE ( PCI-Express )、高级技术附件（ Advanced

Technology Attachment;以下简称： ATA )、串行高级技术附件（ Serial Advanced Technology Attachment; 以下简称： SATA ) 、 串行连接小型计算机系统接口 ( Serial Attached Small Computer System Interface; 以下简称： SCSI ) 、 Infmiband或 Localbus等。

具体的， 在应用过程中， 可以通过将虚拟化平台中原本需要占用物理机 的 CPU和内存资源处理的数据 (例如： 采用软件完成第一虚拟机和第二虚拟 机的数据交换）设置为通过硬件平台进行处理， 通过硬件平台处理来自第一 虚拟机的数据， 再将处理后的数据发送至第二虚拟机。 其中硬件平台可以包 括但不限于以数据交换为核心的硬件平台、 以防火墙为核心的硬件平台、 以 病毒防御为核心的硬件平台、 以内容过滤为核心的硬件平台、 以数据加密和 / 或解密为核心的硬件平台。

具体的， 将硬件平台设计为以交换为核心的模块， 可以采用该硬件平台 处理第一虚拟机与第二虚拟机之间的数据二层交换和三层交换。 将硬件平台 设计为以防火墙为核心的模块， 可以采用该硬件平台实现虚拟机的防火墙功 能。 将硬件平台设计为以防病毒为核心的模块， 可以采用该硬件平台实现虚 拟机网络的病毒防御。 将硬件平台设计为以内容过滤为核心的模块， 可以采 用该硬件平台对来自第一虚拟机的数据包内容进行过滤， 从而可以提高第一 虚拟机与第二虚拟机之间数据流的信息安全。 将硬件平台设计为以数据加解 密为核心的模块， 可以通过对网络数据的封装、 加解密、 可靠性验证， 在各 个所述虚拟机之间建立虚拟通道、 安全通道或虚拟安全通道， 达到通过硬件 实现网络应用的扩展和数据安全的目的。

此外， 在具体的应用中， 也可以将实现多个功能的硬件模块集成为一个 硬件平台， 依靠硬件平台对虚拟机之间传输的数据进行相应的处理。 以减少虚拟机对物理机的 CPU和内存资源的占用， 减轻系统负担， 提高虚拟 机运行的效率。 此外， 还可以使该物理机能够支持较大的数据流量， 从而使 该物理机所承载的虚拟机功能扩展不受 CPU及内存资源的限制，提高虚拟机 的性能。

图 4为本发明实施例二提供的数据处理系统结构示意图， 如图 4所示， 在本发明虚拟化平台第一实施例的基础上， 以硬件平台为为以数据交换为核 心的硬件平台为例， 该数据处理系统包括： 虚拟化平台 1、 第一虚拟机 21、 第二虚拟机 22以及交换核心平台 51。 其中， 虚拟化平台 1 , 用于将多个虚拟 机通过软件模拟形成一个具有完整硬件系统功能的、 支持多个虚拟机交互运 行； 第一虚拟机 21和第二虚拟机 22均是通过软件模拟的具有完整硬件系统 功能的、 运行在一个完全隔离环境中的完整计算机系统； 交换核心平台 51 , 用于对在第一虚拟机 21 和第二虚拟机之间传输的数据进行二层交换和三层 交换， 具体的， 该数据交换过程中涉及的媒体介质访问控制 （Media Access Control; 以下简称： MAC ) 、 地址管理、 数据包寻址等均通过交换核心平台 51来处理， 从而可以提高虚拟机之间数据交换的处理速度。

进一步地， 当硬件平台为以防火墙为核心的硬件平台时， 可以通过该硬 件平台实现网络地址转换 ( Network Address Translation; 以下简称： NAT ) 、 访问控制等防火墙功能。

进一步地， 当硬件平台为以病毒防御为核心的硬件平台时， 可以通过该 硬件平台对虚拟机之间传输的数据包进行关键字检测、 恶意代码检测、 行为 监测等处理， 在虚拟机之间实现高效的病毒过滤和非法行为监控。

再进一步地， 当硬件平台为以内容过滤为核心的硬件平台时， 可以通过 该硬件平台对数据包进行内容监测、 跨包过滤、 标签查询等处理， 从而实现 对虚拟化平台内的虚拟机之间的数据流进行内容过滤。

再进一步地， 当硬件平台为以数据加密和 /或解密为核心的硬件平台时， 可以通过该硬件平台对虚拟化平台内第一虚拟机与第二虚拟机的数据进行加 密和 /或解密处理。

另外， 也可以将上述的多种平台集成在一个硬件平台中， 接入系统总线， 依靠硬件平台中的硬件对各个虚拟机的数据进行处理。

本实施例采用各种硬件平台， 实现虚拟化平台内的各个虚拟机之间的网 络、 数据、 系统的安全以及数据传输和緩存等功能， 从而可以减少对承载虚 拟机运行的物理机的 CPU和内存资源的占用， 减轻系统负担， 提高虚拟机运 行的性能和效率。 图 5为本发明实施例三提供的数据处理方法的流程图， 如图 5所示， 该 虚拟化平台的数据处理方法包括以下步骤：

步骤 301、 硬件平台通过系统总线接收第一虚拟机发送的数据； 可以理解的是， 虚拟机是通过软件模拟的具有完整硬件系统功能的、 运 行在一个完全隔离环境中的完整计算机系统。

步骤 302、 硬件平台对第一虚拟机发送的数据进行处理后发送至第二虚 拟机， 其中第一虚拟机与所述第二虚拟机运行于同一个虚拟化平台上。

其中， 虚拟化平台是指将多个虚拟机通过软件模拟形成一个具有完整硬 件系统功能的、 支持多个虚拟机交互运行的计算机软件平台。

其中， 硬件平台对第一虚拟机发送的数据进行处理后发送至第二虚拟机 的方法， 可以包括：

硬件平台将所述第一虚拟机发送的数据转发给所述第二虚拟机； 或者， 硬件平台将所述第一虚拟机发送的数据进行加密或解密处理后发送给所 述第二虚拟机； 或者，

硬件平台对所述第一虚拟机发送的数据进行安全检测， 并将通过安全检 测的数据发送给所述第二虚拟机。

具体的， 当硬件平台为以数据交换为核心的硬件平台时， 通过该硬件平 台内的硬件对第一虚拟机与第二虚拟机之间的数据流进行网卡介质访问控 制、 地址管理、 数据包寻址和服务质量的处理， 从而实现对第一虚拟机及第 二虚拟机之间的进行二层交换和三层交换。

当硬件平台为以防火墙为核心的硬件平台时， 通过该硬件平台中的硬件 对来自第一虚拟机的数据包进行安全检测、 权限控制、 网络地址转换、 访问 控制、 数据包过滤等处理， 并将处理后的数据发送至第二虚拟机， 从而提高 第一虚拟机与第二虚拟机之间数据传输的安全性。

当该硬件平台为以病毒防御为核心的硬件平台时， 可以通过该硬件平台 中的硬件对来自第一虚拟机的数据包进行核心关键字检测、 恶意代码检测和 行为监测等处理， 再将处理后的数据包发送至第二虚拟机， 从而实现对第一 虚拟机与第二虚拟机之间的数据进行病毒检测， 提高数据传输的安全性。 当该硬件平台为以内容过滤为核心的硬件平台时， 可以通过该硬件平台 对来自第一虚拟机的数据包进行内容检测、 跨包过滤、 标签查询等处理， 再 将处理后的数据发送至第二虚拟机， 从而实现对第一虚拟机与第二虚拟机之 间数据的安全检测， 提高数据传输的安全性。

当该硬件平台为以数据加密和 /或解密为核心的硬件平台时， 可以通过该 硬件平台对来自源虚拟的数据包进行加密和 /或解密处理，并将加密和 /或解密 后的数据发送至第二虚拟机， 从而在第一虚拟机与第二虚拟机之间建立安全 通道。 交换，可以减少虚拟机运行时对承载其运行的物理机的 CPU和内存资源的占 用， 从而提高虚拟机运行的性能和效率。

本领域普通技术人员可以理解： 实现上述方法实施例的全部或部分步骤 可以通过程序指令相关的硬件来完成， 前述的程序可以存储于一计算机可读 取存储介质中， 该程序在执行时， 执行包括上述方法实施例的步骤； 而前述 的存储介质包括： ROM、 RAM,磁碟或光盘等各种可以存储程序代码的介质。

最后应说明的是： 以上实施例仅用以说明本发明的技术方案， 而非对其 限制； 尽管参照前述实施例对本发明进行了详细的说明， 本领域的普通技术 人员应当理解： 其依然可以对前述各实施例所记载的技术方案进行修改， 或 者对其中部分技术特征进行等同替换； 而这些修改或者替换， 并不使相应技 术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims

权 利 要 求

1、 一种数据处理系统， 其特征在于， 包括： 硬件平台、 虚拟化平台、 物 理机以及至少二个虚拟机， 所述虚拟机运行在虚拟化平台上， 所述物理机用 于承载所述虚拟化平台， 所述物理机通过系统总线与硬件平台连接， 所述硬 件平台用于对第一虚拟机发送的数据进行处理， 并将处理后的数据发送给第 二虚拟机。

2、 根据权利要求 1所述数据处理系统， 其特征在于， 所述物理机用于承 载所述虚拟化平台包括： 至少一台所述物理机承载一个所述虚拟化平台。

3、 根据权利要求 1或 2所述的数据处理系统， 其特征在于： 所述硬件平 台包括以数据交换为核心的硬件平台、 以防火墙为核心的硬件平台、 以病毒 防御为核心的硬件平台、 以内容过滤为核心的硬件平台、 以数据加密和 /或解 密为核心的硬件平台。

4、 一种数据处理方法， 其特征在于， 包括：

硬件平台通过系统总线接收第一虚拟机发送的数据；

硬件平台对所述第一虚拟机发送的数据进行处理后发送至第二虚拟机； 所述第一虚拟机与所述第二虚拟机运行于同一个虚拟化平台上。

5、 根据权利要求 4所述数据处理方法， 其特征在于， 所述硬件平台对所 述第一虚拟机发送的数据进行处理后发送至第二虚拟机包括： 硬件平台将所 述第一虚拟机发送的数据转发给所述第二虚拟机。

6、 根据权利要求 4所述的数据处理方法， 其特征在于， 所述硬件平台对 所述第一虚拟机发送的数据进行处理后发送至第二虚拟机包括： 硬件平台将 所述第一虚拟机发送的数据进行加密或解密处理后发送给所述第二虚拟机。

7、 根据权利要求 4所述的数据处理方法， 其特征在于， 所述硬件平台对 所述第一虚拟机发送的数据进行处理后发送至第二虚拟机包括： 硬件平台对 所述第一虚拟机发送的数据进行安全检测， 并将通过安全检测的数据发送给 所述第二虚拟机。