用於虛擬化基礎設施管理環境的系統和方法

2023-06-19 20:17:31 1

專利名稱：用於虛擬化基礎設施管理環境的系統和方法
技術領域：
本公開一般涉及數據處理系統網絡架構。公開背景網絡服務提供方逐漸增加地使用公共硬體或網絡來向多個不同客戶端遞送信息 和服務。重要的是維護網絡架構和服務遞送中各個客戶端之間的安全。公開概述根據各個所公開實施例，提供了一種安全網絡架構。該安全網絡架構包括連接 成與物理交換機組通信的多個數據處理系統伺服器，每個數據處理系統伺服器執行一虛 擬機軟體組件。該安全網絡架構還包括實現虛擬化邏輯艙的數據處理系統，該數據處理 系統連接成經由物理交換機組與該多個數據處理系統伺服器通信。該虛擬化邏輯艙包括 各自與這些虛擬機組件中不同的一個虛擬機組件相對應的多個虛擬組件。根據另一所公開的實施例，提供了一種安全網絡架構，其包括第一架構部分， 第一架構部分包括連接成與物理交換機組通信的多個數據處理系統伺服器，每個數據處 理系統伺服器執行一虛擬機軟體組件。該安全網絡架構還包括第二架構部分，第二架構 部分包括各自實現至少一個虛擬化邏輯艙的多個數據處理系統，每個數據處理系統連接 成經由物理交換機組與這多個數據處理系統伺服器通信。每個虛擬化邏輯艙包括各自與 這些虛擬機組件中不同的一個虛擬機組件相對應的多個虛擬組件。該安全網絡架構還包 括客戶端接口，其連接至每個數據處理系統以允許在網絡上對這些虛擬化邏輯艙的安全 客戶端訪問。第一架構部分與直接客戶端訪問隔離。根據又一所公開的實施例，提供了一種用於在安全網絡架構中提供服務的方 法。該方法包括在連接成與物理交換機組通信的多個數據處理系統伺服器中的每一個數 據處理系統伺服器上執行虛擬機軟體組件。該方法還包括在數據處理系統中實現虛擬 化邏輯艙，該數據處理系統連接成經由該物理交換機組與這多個數據處理系統伺服器通 信。該虛擬化邏輯艙包括各自與這些虛擬機組件中不同的一個虛擬機組件相對應的多個 虛擬組件。前述內容已較寬泛地勾勒出本公開的特徵和技術優勢，從而本領域技術人員可 以更好地理解下面的詳細描述。本公開的其他特徵和優點將在此後描述，它們構成權利 要求的主題。本領域技術人員將領會，他們可以現成地將所公開的構思和具體實施例用 作改動或設計用於實施與本公開相同的目的的其他結構的基礎。本領域技術人員還將認 識到，此類等效構造不脫離本公開以其廣義形式的精神和範圍。在著手下面的詳細描述之前，闡述貫穿本專利文檔使用的某些措辭或短語的定
4義可能是有利的。術語「包含」和「包括」及其派生詞表示非限制性包括；術語「或」 是包含性的，意味著和/或；短語「與……相關聯」和「與之相關聯」及其派生詞可表 示包括、被包括、與之互連、包含、被包含、與之連接、與之耦合、可與之通信、與之 協作、交織、並列、接近、限於、具有、具有其性質等；以及術語「控制器」表示控制 至少一個操作的任何設備、系統或其部分，無論此類設備是以硬體、固件、軟體或者硬 件、固件、軟體中的至少兩者的某種組合來實現的。應注意，與任何特定控制器相關聯 的功能可以是集中式的或分布式的，無論是本地還是遠程地。貫穿本專利文檔提供了某 些措辭和短語的定義，且本領域普通技術人員將理解，此類定義適用於此類所定義措辭 和短語的先前以及將來使用的許多(即使不是全部)實例。附圖簡述為了更全面地理解本公開及其優點，現在結合附圖參閱以下描述，附圖中相似 的標號指示相似的對象，且其中

圖1描繪了其中可實現一實施例的數據處理系統的框圖；以及圖2描繪了根據所公開實施例的安全網絡架構。詳細描述以下討論的圖1到2以及本專利文檔中用於描述本公開的原理的各種實施例僅作 為說明且不應以任何方式解釋成限制本公開的範圍。本領域技術人員將理解，本公開的 原理可在任何適當地安排的設備中實現。本申請的眾多發明性教導將參照示例性的非限 制性實施例來描述。提供其中集成了虛擬化技術以支持多承租人解決方案的安全網絡架構已成為願 望，但總是要求損害安全等級才能遞送該功能。雖然虛擬化技術提供了支持跨「非軍事 化區」(DMZ)集成到其虛擬化技術中的手段，但使用該手段意味著增加數據跨過DMZ 安全區的風險。圖1描繪了其中可實現一實施例的數據處理系統的框圖。所描繪的數據處理系 統包括連接到二級高速緩存/橋104的處理器102，該二級高速緩存/橋104又連接到局 部系統總線106。局部系統總線106可以是例如外圍組件互連(PCI)架構總線。所描繪 的示例中還連接到局部系統總線的是主存儲器108和圖形適配器110。圖形適配器110可 連接到顯示器111。諸如區域網(LAN)/廣域網/無線(例如，WiFi)適配器112之類的其他外圍設 備也可連接到局部系統總線106。擴展總線接口 114將局部系統總線106連接到輸入/輸 出(I/O)總線116。I/O總線116連接到鍵盤/滑鼠適配器118、盤控制器120以及I/O 適配器122。盤控制器120可連接到存儲126，存儲126可以是任何合適的機器可使用或 機器可讀存儲介質，包括但不限於非易失性硬編碼型介質，諸如只讀存儲器(ROM)或可 擦除電可編程只讀存儲器(EEPROM)、磁帶存儲，以及用戶可記錄型介質，諸如軟盤、 硬碟驅動和緊緻盤只讀存儲器(CD-ROM)或數字多功能盤(DVD)，以及其他已知的光、 電或磁存儲設備。所示的示例中還連接到I/O總線116的是音頻適配器124，揚聲器(未示出)可 連接到音頻適配器124以播放聲音。鍵盤/滑鼠適配器118提供諸如設備、跟蹤球、跟 蹤指針等定點設備(未示出)的連接。
本領域普通技術人員將領會，圖1中描繪的硬體出於特定原因而改變。例如， 諸如光碟驅動等其他外圍設備也可被使用以補充或替代所描繪的硬體。提供所描述的示 例僅是為了解釋且並不意味著暗示關於本公開的架構限制。根據本公開的一實施例的數據處理系統包括採用圖形用戶界面的作業系統。該 作業系統準許在圖形用戶界面中同時呈現多個顯示窗口，每個顯示窗口提供至不同應用 或至相同應用的不同實例的界面。圖形用戶界面中的光標可由用戶通過定點設備來操 縱。可改變光標的位置和/或可生成諸如點擊滑鼠按鈕之類的事件以致動合需響應。各種商用作業系統之一若被合適地修改則可被採用，諸如位於美國華盛頓州雷 蒙德的微軟公司的產品Microsoft Windows 的一個版本。根據本公開如所描述地修改或 創建作業系統。LAN/WAN/無線適配器112可連接到網絡130(不是數據處理系統100的一部 分)，網絡130可以是任何公共或私有數據處理系統網絡或網絡組合，如本領域技術人員 已知的，包括網際網路。數據處理系統100可在網絡130上與伺服器系統140通信，服務 器系統140也不是數據處理系統100的一部分，但可被實現為例如單獨的數據處理系統 100。根據本公開的虛擬化基礎設施管理(VIM)環境通過將虛擬化技術分為兩半來 解決常見的虛擬化問題。這兩半中的每一半具有其專用的銅線或網絡埠以連接到 其自己的合適DMZ。線下(below-the-line)連接用於虛擬化主存平臺自身，而線上 (above-the-line)連接是虛擬化消費者應用。線上連接使用虛擬區域網(VLAN)標記和論證作為支持一個以上客戶端DMZ中 的虛擬化需要的手段，同時維持這些網絡連接的容量和高可用性。置於VIM內的虛擬化技術具有幫助保證該安全網絡的完整性和隔離的特定網絡 路由模式。本公開避免了與每個DMZ內要求虛擬化能力的單獨物理虛擬化場有關的問題、 以及與降低DMZ的安全標準並允許數據在DMZ區之間流動有關的問題。所公開的實施例將虛擬化技術置於相同的DMZ內，從而允許綜合利用能力與正 在消費該能力的訪客系統處於相同的安全風險等級。降低安全槓以允許跨DMZ支持允許 數據保護問題存在。雖然在單客戶端環境中單個客戶端可籤字同意這些增加的風險，但在多承租人 環境中，不存在能為該環境內的其他人授權增加的風險的單個客戶端。所公開的VIM消 除了該額外風險，並提供所要求的潔淨網絡分離而不引入任何額外風險。根據各種實施例的VIM模型的虛擬化能力被分成兩部分「線上」使用和「線 下」使用。如本文中所使用的，線上使用是指消費虛擬化的應用所要求的連通性(用於管 理、備份、監視、訪問等)。線上架構部分是向客戶端和客戶端系統提供服務的網絡架構 部分。如本文中所使用的，線下使用是指主機自身為了被管理和支持所要求的連通 性。線下架構部分是提供和實現本文中所描述的虛擬化功能的網絡架構部分，並且與客 戶端和客戶端系統隔離。
這種將連通性分成兩個相異部分使得能創建圍繞主存場的安全區。在沒有虛 擬化技術的情況下，主機場只能支持單個DMZ。有了虛擬化技術，主機場能支持多個 DMZ。只要虛擬化技術連接到相同的物理交換機基礎設施，則跨DMZ和跨邏輯艙使用 就是可能的。VIM是網絡工程和虛擬化基礎設施的結合。因此，兩個組件的安全限制對所支 持的DMZ和艙的寬度加以限制。如今的主要限制因素在於，網絡設備必須在艙類型之間 維護高級物理交換機結構等級的物理分離。因此，每個常規VIM也將被限於其基於該相 同的限制所能支持的事項。圖2描繪了根據所公開實施例的安全網絡架構。圖2示出了這些單獨DMZ的創 建並且可被用來從單個虛擬化場支持多個DMZ。該圖示出了 VIMDMZ200伺服器場，其 包括伺服器202、伺服器204、伺服器206和伺服器208。這些伺服器中的每一個可支持 諸如常規和市售軟體包的虛擬組件，包括諸如VMware、Solaris、Oracle VM、SunxVM、 MS虛擬伺服器、SUNLDOMS、Oracle網格、DB2和SQL伺服器軟體系統之類的包，用 於向客戶端284提供各種服務。VIMDMS 200中的每個伺服器202、204、206、208連接成與物理交換機組220
通{曰。還連接到物理交換機組220的是虛擬化邏輯DMZ艙230、232和234，其中每一 個虛擬化邏輯DMZ艙可使用諸如數據處理系統100之類的一個或多個數據處理系統來實 現，或者可在單個數據處理系統上實現一個以上虛擬化邏輯DMZ艙。所公開的實施例 提供安全數據網絡(SDN)。SDN將該網絡劃分成艙和子艙或即DMZ。所公開的VIM 通過使VIM網絡與SDN自身的相同基礎工程對準來維護SDN的完整性。這通過將對虛 擬化技術的主機使用與消費使用分開的網絡設備，每物理交換機組(PSB) 220實現一 VIM DMZ 200。VIM還解決客戶端艙要求，從而提供允許該技術的更低成本實現和更高利用率 的相同的增加安全性，同時消除了在跨DMZ區實現虛擬化主存時遭遇的許多風險。虛擬 組件和與虛擬組件相關聯的數據在邏輯上與其他虛擬化邏輯艙和其他虛擬組件分開。在常規系統中，各種虛擬機伺服器場必須被置於SDN的每個子艙DMZ中。這增 加了裝備成本，降低了綜合利用率，並且由於增加的裝備要求而需要額外的管理成本。相反，所公開的VIM允許跨SDN的艙以及客戶端艙綜合利用各種虛擬化場以得 到更多利用。這通過提供虛擬化邏輯DMZ艙230、232和234來實現。虛擬化邏輯DMZ艙230、232和234中的每一個可具有伺服器202、204、206和 208上支持的一個或多個軟體包的虛擬實例。例如，在邏輯DMZ艙230中，虛擬組件 240實際上在伺服器202上執行，虛擬組件242實際上在伺服器204上執行，而虛擬組件 244實際上在伺服器208上執行。在邏輯DMZ艙232中，虛擬組件246實際上在伺服器 202上執行，虛擬組件248實際上在伺服器206上執行，而虛擬組件250實際上在伺服器 208上執行。在邏輯DMZ艙234中，虛擬組件252實際上在伺服器204上執行，虛擬組 件254實際上在伺服器206上執行，而虛擬組件256實際上在伺服器208上執行。虛擬化邏輯艙因此對客戶端系統表現為就像該虛擬化邏輯艙是各自執行虛擬機 軟體組件的這多個伺服器一樣。以此方式，每個邏輯DMZ組件能夠支持虛擬組件，就像該邏輯DMZ是具有支持每個組件的專用硬體的物理DMZ伺服器場一樣。虛擬化邏輯DMZ艙230、232和234(或其中實現它們的數據處理系統)中的每 一個被連接到相應的客戶端接口 280，以在網絡282上與各個客戶端284通信。客戶端 接口 280可包括任何數目的常規聯網組件，包括路由器和防火牆。在一些所公開實施例 中，虛擬組件和其他服務至客戶端284的服務遞送是使用諸如2007年9月5日提交的針 對「 System and Method for Secure Service Delivery (用於安全服務遞送的系統和方法)」的 美國專利申請序列號11/899,288中描述的安全服務遞送網絡來完成的，其中虛擬化邏輯 DMZ艙230、232和234中的每一個充當如其中所描述的服務遞送艙。至少一個客戶端 系統能經由至客戶端接口 280的網絡連接與虛擬化邏輯艙通信。注意，儘管該示例性說明示出了 3個邏輯DMZ艙和4個伺服器，但是各種實現 在VIM DMZ中可包括任何數目的伺服器並且可包括任何數目的邏輯DMZ艙，如可能需 要的。在各種實施例中，虛擬化基礎設施管理是網絡工程與附連到物理交換機以跨附 連到該相同交換機組的所有DMZ實現虛擬化的虛擬化能力的組合。VIM DMZ主存物理基礎設施的管理接口，該管理接口是為了在該物理基礎設施 內創建虛擬機實例而建立的。該VIM DMZ並非主要是為了支持虛擬機實例的管理接口。 然而，通過使用虛擬聯網技術，VIM內的虛擬機實例上的接口能與服務遞送網絡廣播域 的管理或任何其他事項相關聯，因此在該廣播域內表現為「真實的」接口。VIM的「線上」部分(示為部分260)包括物理交換機組220和虛擬化邏輯DMZ 艙230、232和234，以及去往客戶端接口 280的任何LAN話務。線上功能包括作業話 務(負載平衡和非負載平衡兩者)、資料庫、以及客戶端/訪客管理/BUR話務。VIM的「線下」部分(示為部分270)包括VIM DMZ 200、伺服器202、204、 206和208、以及其他組件，諸如虛擬化工具210和生命周期工具212。線下功能包括 VIM主機話務，諸如VIM管理/BUR、集群心跳互連私有雜項(cluster heartbeat-intercon nect-private-misc)和VIM VMotion (虛擬化實時遷移)話務。在各個實施例中，VIM是包含虛擬技術的DMZ以隔離對這些虛擬技術的管理。 對諸如VMotion等這些虛擬技術的管理與任何線上LAN話務隔離。VIM管理/BUR必 須與SDN工具艙通信，並且通常不經由NAT的IP位址通信。VIMDMZ去除了對NAT 的需要，因為其將線上和線下話務或客戶端話務與其中可能涉及多個客戶端數據的管理 話務分開。每個邏輯DMZ艙作為能個別地供應的DMZ起作用，以支持綜合服務艙 (LCS)、服務遞送艙(SDC)或專用艙。VIM艙提供管理支持虛擬機實例的物理基礎設施 的能力。這些管理能力包括供主機伺服器獲得對諸如管理、監視、備份和恢復、以及無 人值守控制臺管理等DCI服務的訪問的專用VLAN。然而，虛擬機實例能通過虛擬網絡訪問除控制臺服務外的這些服務。通過虛擬 聯網，虛擬機能按與物理機相同的方式聯網，並且可在單個伺服器內或跨多個伺服器構 建複雜網絡。虛擬網絡還將提供能訪問每個SDN艙內的作業廣播域的虛擬機接口，從而 允許這些虛擬機接口與物理上連接到這些廣播域的伺服器接口共享地址空間。圖2描繪了根據所公開實施例的線上和線下模型以及物理交換機組排列。
以下是VIM內採用的所公開虛擬化技術的各種實施例的各種特徵。一些實施例包括供訪客和局部區連接到資料庫實例的多資料庫埠連通性。這 些實施例由於增加的工作量密度和高速訪問需要以及可用性冗餘而提供相當大帶寬。一 些實施例包括用於訪客和局部區的多個作業埠連接(負載平衡和非負載平衡軌)。一些實施例包括按伺服器類型的顯式作業卡布局和埠指派以對準作業部署以 及支持轉換規劃開發和測試。一些實施例包括用於私有軌的冗餘埠，比如互連和集 群，以維護高可用性以及避免虛假集群故障。一些實施例包括埠映射的伺服器族排 列，以及用於一致伺服器分布的卡放置。一些實施例包括具有使該技術進入VIM的合適的所定義軌和SDN放置的SDN 網絡架構，連同VLAN標記在應用於該網絡架構時的批准使用模式。一些實施例包括用於VIM中的所有伺服器的物理(埠 )單獨管理/BUR軌。 一些實施例包括用於訪客、局部區和資料庫實例的數據話務(高速訪問)的物理上分開的 軌，以及用於訪客、局部區和DB實例的物理上分開的軌(埠)管理/BUR話務。一些 實施例包括用於訪客和局部區的作業話務(負載平衡和非負載平衡)的物理上分開的軌。一些實施例包括用於集群、互連和虛擬機軌的私有軌的專用埠，以及至數據 庫伺服器的多物理埠連通性以使數據軌有增加的帶寬和可用性冗餘。一些實施例包括 用於集成各種虛擬機包的私有軌的專用埠。每當需要多個DMZ來將工作量分到唯一性安全區時，就可以通過將每個安全區 實現為虛擬化邏輯DMZ艙來使用VIM。VIM的實現通過減少遞送虛擬化所需的物理服 務器的數量、建立它們所花的時間、並降低與使用該技術相關聯的安全風險而提供巨大 成本優勢。每當要求每艙有單個DMZ或多個DMZ以更改在虛擬化技術將被消費的相同 DMZ內運行該虛擬化技術時存在的攻擊足跡服務時，也可以使用VIM。這會減少對虛擬 化主存平臺的攻擊的預期風險等級，該攻擊可能破壞在該虛擬化平臺上運行的所有虛擬 化系統。根據所公開實施例的虛擬化可顯著節省每個環境的功率、冷卻以及總成本。在 標準SDN中對VIM的SDN使用預期將物理伺服器的成本減少多達三分之一，而在其他 地方，該節省預期更接近在不使用VIM的情況下的計劃的百分之八十。其艙內具有多個 DMZ的客戶端預期也得到類似的節省。各種開發、測試和集成環境中的VIM實現能減少遞送虛擬化所需的伺服器/設 備的數量。在那些環境中，虛擬化是安全的並且能通過允許客戶端和SDN艙綜合利用單 個VIM環境來展寬達到其最大潛力。該配置仿效單個VIM為整個SMC利用綜合主存環 境來支持所有需要。對虛擬化利用VIM還增強了無延遲地向該環境支持的任何DMZ中的應用快速供 應虛擬化資源的能力。容量問題被顯著減少，因為整個虛擬化場能支持所需的任何工作量。VIM管理/BUR軌VLAN 該VLAN將提供對綜合管理和備份服務的訪問。對 虛擬化主機的管理訪問通過該VLAN來供給。該VLAN不用於任何虛擬機或資料庫實例 的管理或備份活動。在VIM DMZ中，該VLAN提供從駐留在工具DMZ內的虛擬化工具管理物理主機伺服器的能力。該VLAN被廣告且優選地具有SDN尋址。VIM VM軌VLAN 該私有VIM DMZ軌存在於活動虛擬機鏡像從一個主機移到 另一個主機之處。主機伺服器內的這種移動有各種原因，負載平衡和故障是主要起因。 虛擬中心將(跨VIM管理/BUR軌)向主機傳達需要發生移動，隨後該動作將在該VIM VMVLAN軌上發生。僅VM主機伺服器主存在該軌上發生的伺服器通信，因此該VLAN 不被廣告並且優選地具有私有尋址。VIM集群心跳/互連/雜項VLAN軌該VIM VLAN軌將被用於在主機級發生
的集群需要或用於資料庫網格的互連。必須發生在主機級而不是發生在虛擬主機級的任 何其他通信將使用VIM DMZ內的該VLAN，因此該VLAN不被廣告且優選地具有私有尋址。VLAN標記IEEE 802.IQ (也稱為VLAN標記)是IEEE 802標準過程中的項
目，用於開發允許多個橋接網絡透明地共享相同物理網絡鏈路的機制而不在網絡之間洩 漏信息(即，主幹化)。IEEE 802.1Q也是該過程發行的標準的名稱，並且在常見使用 中，是用於在乙太網網絡上實現該機制的封裝協議的名稱。VLAN標記允許多個VLAN被配置在相同的銅線上。SDN的示例物理機(虛擬機)在物理上被插入有10根接插線的交換機。一 個虛擬訪客可以在LSC資料庫子艙中並且需要使用該數據VLAN，同時另一個虛擬訪客 可能在LSC內聯網中並且也具有數據VLAN，但它將是單獨的相異VLAN，因此VLAN 標記獲取並區分這兩個數據VLAN連接。通過使用虛擬交換機標記的虛擬機伺服器，在用於每個VLAN的虛擬交換機上 供應一個埠群，並且隨後虛擬機的虛擬接口被附連到該埠群而非直接附連到虛擬交 換機。該虛擬交換機埠群標記所有傳出幀並移除所有傳入幀的標記。它還確保一個 VLAN上的幀不會洩漏到不同VLAN中。虛擬IP規範虛擬IP位址(VIP)不與具體網絡接口相關聯。VIP的主要功能 是提供網絡接口之間的冗餘，以在伺服器之間浮動從而支持集群、負載平衡或伺服器上 運行的特定應用等。VIM 802.IQ-聚集以交換VLAN V-A，B，C-XX 在一些實施例中，這是從虛
擬機實例的虛擬交換機接口中的每一個向分發層交換機攜帶數據的聚集主幹鏈路。該聚 集VLAN主幹將通過在ESC伺服器虛擬接入層交換機使用VLAN802.1Q標記來提供至任 何LSC、SDC或專用艙作業、負載平衡、或數據VLAN的虛擬機連接。在一些實施例 中，這些可以是源自與相同VLAN上的多個虛擬機接口對接的物理接口的專用連接。本領域技術人員將認識到，出於簡化和清楚，沒有在本文中描繪或描述適合與 本公開一起使用的所有數據處理系統的完整結構和操作。相反，僅描繪和描述了本公開 獨有的或者對於理解本公開所必需的數據處理系統的那部分。數據處理系統100的構造 和操作的其餘部分可符合本領域已知的各種目前實現和實踐中的任一種。重要的是注意到，雖然本公開包括完全功能性系統的上下文中的描述，但是 本領域技術人員將領會，本公開的機制的至少部分能夠以各種形式中任何形式的機器 可使用介質內所包含的指令的形式來分布，並且不管用於實際執行該分布的指令或信 號承載機制的特定類型如何，本公開都等同地適應。機器可使用或機器可讀介質的示例包括非易失性硬編碼型介質，諸如只讀存儲器(ROM)或可擦除電可編程只讀存 儲器(EEPROM)，以及用戶可記錄型介質，諸如軟盤、硬碟驅動和緊緻盤只讀存儲器 (CD-ROM)或數字多功能盤(DVD)。儘管已詳細描述了本公開的示例性實施例，本領域技術人員將理解，可作出本 文中所描述的各種改變、替換、變型和改進而不脫離本公開以其最廣義形式的精神和範圍。本申請中的描述皆不應被理解為暗示任何特定元件、步驟或功能是權利要求範 圍中必須包括的必要元素要求專利的主體的範圍僅由所附權利要求定義。而且，這些 權利要求皆不旨在援引35USC§112第6段，除非確切的措辭「用於……的裝置」後面 跟有分詞。
1權利要求
1.一種安全網絡架構，包括連接成與物理交換機組通信的多個數據處理系統伺服器，所述數據處理系統伺服器 中的每一個執行一虛擬機軟體組件；以及實現虛擬化邏輯艙的數據處理系統，所述數據處理系統連接成經由所述物理交換機 組與所述多個數據處理系統伺服器通信，其中所述虛擬化邏輯艙包括各自與所述虛擬機組件中不同的一個虛擬機組件相對應 的多個虛擬組件。
2.如權利要求1所述的安全網絡架構，其特徵在於，還包括連接到所述數據處理系統 的客戶端接口，其中至少一個客戶端系統能經由至所述客戶端接口的網絡連接與所述虛 擬化邏輯艙通信。
3.如權利要求1所述的安全網絡架構，其特徵在於，還包括實現第二虛擬化邏輯艙的 第二數據處理系統，所述第二數據處理系統連接成經由所述物理交換機組與所述多個數 據處理系統伺服器通信，其中所述第二虛擬化邏輯艙包括各自與所述虛擬機組件中不同 的一個虛擬機組件相對應的多個虛擬組件。
4.如權利要求1所述的安全網絡架構，其特徵在於，所述虛擬化邏輯艙對客戶端系統 表現為就像所述虛擬化邏輯艙是各自執行虛擬機軟體組件的所述多個數據處理系統服務 器一樣。
5.如權利要求1所述的安全網絡架構，其特徵在於，所述數據處理系統實現多個虛擬 化邏輯艙，每個虛擬化邏輯艙連接成經由所述物理交換機組與所述多個數據處理系統服 務器通信，並且其中每個虛擬化邏輯艙的安全不受每個其他虛擬化邏輯艙影響。
6.如權利要求1所述的安全網絡架構，其特徵在於，所述虛擬組件和與所述虛擬組件 相關聯的數據在邏輯上與其他虛擬化邏輯艙分開。
7.如權利要求1所述的安全網絡架構，其特徵在於，所述虛擬組件和與所述虛擬組件 相關聯的數據在邏輯上與其他虛擬組件分開。
8.—種安全網絡架構，包括第一架構部分，包括連接成與物理交換機組通信的多個數據處理系統伺服器，所述 數據處理系統伺服器中的每一個執行一虛擬機軟體組件；以及第二架構部分，包括各自實現至少一個虛擬化邏輯艙的多個數據處理系統，每個數 據處理系統連接成經由所述物理交換機組與所述多個數據處理系統伺服器通信，其中每 個虛擬化邏輯艙包括各自與所述虛擬機組件中不同的一個虛擬機組件相對應的多個虛擬 組件；以及客戶端接口，其連接至每個數據處理系統以允許在網絡上對所述虛擬化邏輯艙的安 全客戶端訪問，其中所述第一架構部分與直接客戶端訪問隔離。
9.如權利要求8所述的安全網絡架構，其特徵在於，所述虛擬化邏輯艙對客戶端系統 表現為就像所述虛擬化邏輯艙是各自執行虛擬機軟體組件的所述多個數據處理系統伺服器一樣。
10.如權利要求8所述的安全網絡架構，其特徵在於，所述數據處理系統實現多個虛 擬化邏輯艙，每個虛擬化邏輯艙連接成經由所述物理交換機組與所述多個數據處理系統伺服器通信，並且其中每個虛擬化邏輯艙的安全不受每個其他虛擬化邏輯艙影響。
11.如權利要求8所述的安全網絡架構，其特徵在於，所述虛擬組件和與所述虛擬組 件相關聯的數據在邏輯上與其他虛擬化邏輯艙分開。
12.如權利要求8所述的安全網絡架構，其特徵在於，所述虛擬組件和與所述虛擬組 件相關聯的數據在邏輯上與其他虛擬組件分開。
13.—種用於在安全網絡架構中提供服務的方法，包括在連接成與物理交換機組通信的多個數據處理系統伺服器中的每一個數據處理系統 伺服器上執行虛擬機軟體組件；以及在數據處理系統中實現虛擬化邏輯艙，所述數據處理系統連接成經由所述物理交換 機組與所述多個數據處理系統伺服器通信，其中所述虛擬化邏輯艙包括各自與所述虛擬機組件中不同的一個虛擬機組件相對應 的多個虛擬組件。
14.如權利要求13所述的方法，其特徵在於，還包括由所述虛擬化邏輯艙經由連接至 所述數據處理系統的客戶端接口與客戶端系統通信。
15.如權利要求13所述的方法，其特徵在於，所述虛擬化邏輯艙對客戶端系統表現 為就像所述虛擬化邏輯艙是各自執行虛擬機軟體組件的所述多個數據處理系統伺服器一樣。
16.如權利要求13所述的方法，其特徵在於，還包括在所述數據處理系統中實現多個 虛擬化邏輯艙，每個虛擬化邏輯艙連接成經由所述物理交換機組與所述多個數據處理系 統伺服器通信，並且其中每個虛擬化邏輯艙的安全不受每個其他虛擬化邏輯艙影響。
17.如權利要求13所述的方法，其特徵在於，所述虛擬組件和與所述虛擬組件相關聯 的數據在邏輯上與其他虛擬化邏輯艙分開。
18.如權利要求13所述的方法，其特徵在於，所述虛擬組件和與所述虛擬組件相關聯 的數據在邏輯上與其他虛擬組件分開。
全文摘要
一種安全網絡架構。該安全網絡架構包括連接成與物理交換機組通信的多個數據處理系統伺服器，每個數據處理系統伺服器執行虛擬機軟體組件。該安全網絡架構還包括實現虛擬化邏輯艙的數據處理系統，該數據處理系統連接成經由物理交換機組與該多個數據處理系統伺服器通信。該虛擬化邏輯艙包括各自與這些虛擬機組件中不同的一個虛擬機組件相對應的多個虛擬組件。
文檔編號G06F21/00GK102027484SQ200980117601
公開日2011年4月20日 申請日期2009年7月24日 優先權日2008年7月29日
發明者B·E·施蒂克斯, R·J·亞當斯 申請人:惠普發展公司，有限責任合夥企業