虚拟机部署制造技术

本文涉及虚拟机部署，描述了数据中心内的虚拟机部署技术。示例方法可包括：至少部分地基于虚拟机具有的与运行在物理机上的当前虚拟机的协同定位程度来确定虚拟机的共享威胁可能性；至少部分地基于与将所述虚拟机部署在所述物理机上相关联的优势水平来确定所述虚拟机的工作负荷威胁可能性；至少部分地基于所述共享威胁可能性和所述工作负荷威胁可能性的组合来确定所述虚拟机的威胁可能性；以及基于威胁可能性将所述虚拟机部署在所述物理机上。

【技术实现步骤摘要】

技术介绍
云计算已变得流行，这允许引入远程处理和/或存储能力以承载在本地进程上。云计算产生一些风险，例如数据和程序是否会被外部行为人偷窃和/或损坏。构建内部云结构可能看起来好像降低了风险，但是其会阻碍构建者实现更多的公共计算云所提供的经济优势和灵活性优势。随着云计算尤其是公共云而出现的安全担忧可能很多且多种多样。其中一些风险，诸如直接接管另一实体的代码和数据，会由于云计算服务直接监视这样的活动而变得更加困难，但是更多潜在的风险仍然存在。例如，侧信道攻击已经变成担忧，并且侧信道攻击可允许攻击者从虚拟机暗中获得数据，而无需非法侵入虚拟机。侧信道攻击可允许攻击者通过获得对目标虚拟机先前已经使用的存储单元的访问权来识别来自目标虚拟机的数据。
技术实现思路
一般地描述了包括用于确保虚拟机部署的安全的方法和系统的技术。示例方法可以包括：至少部分地基于虚拟机具有的与运行在物理机上的当前虚拟机的协同定位程度来确定所述虚拟机的共享威胁可能性。所述方法可以继续如下：至少部分地基于与将所述虚拟机部署在所述物理机上相关联的优势水平来确定所述虚拟机的工作负荷威胁可能性，以及至少部分地基于所述共享威胁可能性与所述工作负荷威胁可能性的组合来确定所述虚拟机的威胁可能性。该方法可以以如下结束：基于所述威胁可能性将所述虚拟机部署在所述物理机上。另一示例方法包括：接收虚拟机的标识以放入数据中心中，所述数据中心包括耦合到虚拟机部署接口的多个物理机。所述方法继续：至少部分
地基于所述虚拟机的配置文件(profile)来确定用于部署虚拟机的多个可用的物理机；以及估计用所述多个可用的物理机中的每一个部署所述虚拟机的相应的风险水平。该方法以如下结束：基于所述相应的风险水平，将所述虚拟机部署在所述多个可用的物理机中的物理机上。另一示例虚拟机部署安全技术可以包括计算机可读介质，所述计算机可读介质包括存储于其上的用于执行虚拟机部署过程的计算机可执行指令。该过程包括用于如下处理的代码：识别多个物理机；确定将虚拟机部署在所述多个物理机中的每一个上的共享威胁可能性；基于所述相应的共享威胁可能性和将所述虚拟机部署在所述多个物理机中的每一个上的优势来确定与将所述虚拟机部署在所述多个物理机中的每一个上相关联的威胁可能性；以及基于相应的威胁可能性将所述虚拟机部署在所述多个物理机中的选定的物理机上。虚拟机部署系统的另一示例包括用以使处理器执行如下操作的计算机可执行代码：确定可将虚拟机部署于其上的多个可用的物理机；确定将所述虚拟机部署在所述多个可用的物理机中的每一个上的共享威胁可能性；基于相应的共享威胁可能性和将所述虚拟机部署在所述多个可用的物理机中的每一个上的优势来确定与将所述虚拟机部署在所述多个可用的物理机中的每一个上相关联的威胁可能性；以及基于相应的威胁可能性将所述虚拟机部署在可用的物理机上。前面的概述仅仅是说明性的，而不意在以任何方式进行限制。除了上文所描述的说明性的方面、实施例和特征之外，另外的方面、实施例和特征将通过参考附图以及下面的详细说明而变得清楚。附图说明通过下面结合附图给出的详细说明和随附的权利要求，本公开的前述特征以及其它特征将变得更加彻底清楚。应理解的是，这些附图仅描绘了依照本公开的若干示例，并且因此不应被视为对其范围的限制，将通过使用附图利用附加的特异性和细节对本公开进行说明，在附图中：图1是实现虚拟机部署安全的数据中心的示例框图；图2是示出各种级别的可能的硬件协同定位的数据中心服务器的示例框图；图3是用以图示出工作负荷威胁可能性的示例虚拟机部署情景；图4是用以确定虚拟机的风险可能性的方法的示例流程图；图5是用以将虚拟机安全地部署在数据中心中的方法的示例流程图；图6是图示出被布置用于虚拟机部署安全的示例计算装置的框图；以及图7是图示出被布置用以存储用于虚拟机部署安全的指令的示例计算机程序产品的框图；它们全部根据本公开的至少一些实施例而被布置。具体实施方式在下面的详细说明中，将参考附图，附图构成详细说明的一部分。在附图中，除非上下文另有规定，否则相似的符号通常标识相似的部件。在详细说明、附图和权利要求中所描述的说明性示例并不意味着限制。可以使用其它示例，并且可以做出其它改变，而不偏离本文呈现的主题的精神或范围。将易于理解的是，如本文中大致描述且如图中所图示的，本公开的各方面可以以各种不同的配置被布置、替代、组合、分离和设计，所有这些在本文中都被隐含地构思。本公开尤其针对一般地涉及虚拟机部署的方法、系统、产品、装置和/或设备，所述虚拟机部署包括风险分析以及降低或消除由例如云计算装置的数据中心中的恶意虚拟机执行的侧信道攻击的可能性的措施。这样的方法的示例实现方式可以包括：确定待部署到物理机上的虚拟机的威胁可能性。威胁可能性可以是共享威胁可能性和工作负荷威胁可能性的组合。共享威胁可能性可以至少部分地基于虚拟机具有的与物理机上的当前虚拟机运行的协同定位程度，并且工作负荷威胁可能性可以至少部分地基于与将虚拟机部署在同一物理机上相关联的优势水平。该示例方法随后可以基于威胁可能性将虚拟机部署在物理机上。然而，如果威胁可能性过大，则可将虚拟机部署在其它地方，和/或可以监视虚拟机以针对在协同定位的虚
拟机上执行侧信道攻击的迹象。图1是依照本公开的至少一些实施例布置的实现虚拟机部署安全的数据中心100的示例框图。数据中心100可以包括但不限于虚拟机部署(VMP)机器102以及多个服务器104-110。各服务器104-110中的每一个可以运行在各种容量水平(levels of capacity)和/或操作状态。各种容量水平和/或操作状态不是限制性的且在此被用来便于本公开的论述。VMP机器102可以是数据中心中包括的常规服务器，其可以执行虚拟机部署任务以及提供虚拟机计算容量。或者，VMP机器102可以是专用虚拟机部署和/或监视资源。VMP机器102在此还可被称为服务器102。服务器104-110可以是本领域技术人员已知的常规服务器，并且可以向数据中心100提供虚拟机容量。云计算提供商可以杠杆利用(leverage)诸如示例数据中心100的大数据中心，以向大量各种各样的客户端提供动态的、按需的(on-demand)计算资源。允许云计算照这样执行的一个工具是处理平台的虚拟化。客户端的计算平台可被虚拟化，从而使得在一个或多个物理机上运行、而不是在被束缚到特定物理机的平台上运行成为可能。如本文所使用的，“虚拟机”可以是指软件计算机，其像物理计算机一样包括它们自己的操作系统和应用，诸如说明和配置文件集合，并且它们由主机的物理资源来支持。虚拟机可以连同其它虚拟机一起而运行在(例如，寄宿在)单个物理机(例如，其主机的物理资源)上。单个物理机可能能够在任何时候供多个虚拟机寄宿并根据需要为每个虚拟机划分资源使用以便执行。多个虚拟机之间的协同定位量可由服务器、处理器和/或核设计来确定。例如，运行在同一服务器上的两个虚拟机可以使用服务器的不同区域并且可以在例如内存、处理器核、网络连接等的任何一个资源之上无重叠。相反，服务器芯片中的单个核可以一次供多个虚拟机寄宿并且那些虚拟机将可能共享例如处理器核、相关联的1级和2级高速缓存区域以及3级高速缓存区域。此外本文档来自技高网...

【技术保护点】
一种方法，包括：通过处理器至少部分地基于虚拟机具有的与运行在物理机上的当前虚拟机的协同定位程度来确定所述虚拟机的共享威胁可能性；通过所述处理器至少部分地基于与将所述虚拟机部署在所述物理机上相关联的优势水平来确定所述虚拟机的工作负荷威胁可能性；通过所述处理器至少部分地基于所述共享威胁可能性和所述工作负荷威胁可能性的组合来确定所述虚拟机的威胁可能性；以及通过所述处理器基于所述威胁可能性将所述虚拟机部署在所述物理机上。

【技术特征摘要】
2015.03.23 US 14/665,7261.一种方法，包括：通过处理器至少部分地基于虚拟机具有的与运行在物理机上的当前虚拟机的协同定位程度来确定所述虚拟机的共享威胁可能性；通过所述处理器至少部分地基于与将所述虚拟机部署在所述物理机上相关联的优势水平来确定所述虚拟机的工作负荷威胁可能性；通过所述处理器至少部分地基于所述共享威胁可能性和所述工作负荷威胁可能性的组合来确定所述虚拟机的威胁可能性；以及通过所述处理器基于所述威胁可能性将所述虚拟机部署在所述物理机上。2.如权利要求1所述的方法，其中通过处理器至少部分地基于虚拟机具有的与运行在物理机上的当前虚拟机的协同定位程度来确定所述虚拟机的共享威胁可能性包括：确定所述虚拟机将具有的与所述当前虚拟机的对所述物理机的资源共享量，并且其中更高的资源共享量指示更高的共享威胁可能性。3.如权利要求1所述的方法，其中更高的协同定位程度增大所述共享威胁可能性，并且其中在所述物理机上的所述协同定位程度包括板级、芯片级和核级。4.如权利要求1所述的方法，其中通过处理器至少部分地基于虚拟机具有的与运行在物理机上的当前虚拟机的协同定位程度来确定所述虚拟机的共享威胁可能性包括：确定所述虚拟机将在所述物理机上协同定位的当前虚拟机的数量。5.如权利要求4所述的方法，其中当所述虚拟机与单个当前虚拟机协同定位时，所述共享威胁可能性为最大值。6.如权利要求1所述的方法，其中通过所述处理器至少部分地基于与将所述虚拟机部署在所述物理机上相关联的优势水平来确定所述虚拟机的工作负荷威胁可能性包括：确定所述虚拟机的配置文件以及将所述配置文件与所述物理机上的所述当前虚拟机的配置文件进行比较。7.如权利要求6所述的方法，其中将所述配置文件与所述物理机上的所述当前虚拟机的配置文件进行比较包括：确定所述虚拟机的配置文件与运行在所述物理机上的所述当前虚拟机的配置文件互补程度，并且其中所述虚拟机配置文件和所述当前虚拟机配置文件互补程度的增大使所述优势增大，并且其中所述优势的增大指示增大的工作负荷威胁可能性。8.如权利要求7所述的方法，其中所述虚拟机的配置文件描述所述虚拟机的多个资源需求，并且其中所述资源需求包括处理器使用、网络使用、内存使用或它们的组合。9.一种非暂态计算机可读介质，包括存储于其上的计算机可执行指令，所述计算机可执行指令用以执行虚拟机部署过程，所述过程包括：识别多个物理机；确定将所述虚拟机部署在所述多个物理机中的每一个上的共享威胁可能性；基于相应的共享威胁可能性和将所述虚拟机部署在所述多个物理机中的每个物理机上的优势来确定与将所述虚拟机部署在所述多个物理机中的每一个上相关联的威胁可能性；以及基于相应的威胁可能性将所述虚拟机部署在所述多个物理机中的选定的物理机上。10.如权利要求9所述的非暂态计算机可读介质，其中确定将所述虚拟机部署在相应的所述多个物理机中的每一个上的共享威胁可能性至少部分地是基于所述虚拟机将具有的与所述多个物理机中的每个物理机上的当前虚拟机的共享级别。11.如权利要求10所述的非暂态计算机可读介质，其中所述虚拟机将具有的与所述多个物理机中的每个物理机上的当前虚拟机的共享级别指示所述虚拟机将具有的与当前虚拟机的协同定位程度。12.如权利要求11所述的非暂态计算机可读介质，其中所述共享威胁水平针对增大的协同定位程度而增大。13.如权利...

【专利技术属性】
技术研发人员：K·S·法恩，E·克鲁格里克，
申请(专利权)人：英派尔科技开发有限公司，
类型：发明
国别省市：美国;US