虚拟化环境中的网络过滤制造技术

本发明专利技术公开涉及虚拟化环境中的网络过滤。物理主机执行实例化至少一个虚拟机(VM)及虚拟输入／输出服务器(VIOS)的超级管理程序或虚拟机监视器(VMM)。VIOS通过参考策略数据结构来确定对于与VM网络传送的分组的处置，其中处置包括丢弃分组和转发分组之一。其后，将所确定的处置应用到与所述分组同一分组流中的后续分组。

【技术实现步骤摘要】
【国外来华专利技术】虚拟化环境中的网络过滤
本专利技术总体上涉及数据处理，更具体而言，涉及包括虚拟网络的数据处理环境。
技术介绍
总的来说，“公用计算(utilitycomputing)”指一种计算模型，其中处理、存储和网络资源、软件及数据可以让客户端计算机系统和其它客户端设备（例如，移动电话或媒体播放器）按需进行访问，这非常像熟悉的住宅公用服务，诸如水和电。在有些实现中，分配让客户端设备访问和使用的具体计算资源（例如，服务器、存储驱动器等）是由公用计算提供商及其消费者之间的服务协定规定的。在通常称为“云计算”的其它实现中，底层信息技术（IT）基础设施的细节对公用计算的消费者是透明的。云计算是通过对远端计算网站的容易访问（例如，经互联网或者私有的社团网络）来促进的并且常常采取云消费者可以通过web浏览器访问和使用的基于web的资源、工具或应用的形式，就好像这些资源、工具或应用是安装在云消费者的计算机系统上的本地程序一样。通常期望商业性云实现能够满足云消费者的服务质量（QoS）需求，这个需求可以在服务水平协议（SLA）中规定。在典型的云实现中，云消费者消费作为服务的计算资源并且只为所使用的资源付费。公用计算的采用已经通过虚拟化的广泛使用得以促进，其中虚拟化是计算资源的虚拟（而不是实际）版本的创建，其中计算资源是例如操作系统、服务器、存储设备、网络资源等。例如，虚拟机（VM），也称为逻辑分区（LPAR），是像物理机器一样执行指令的物理机器（例如，计算机系统）的软件实现。VM可以归类为系统VM或过程VM。系统VM提供支持完整操作系统（OS），诸如Windows、Linux、AIX、Android等，及其所关联应用的执行的完整系统平台。另一方面，过程VM通常设计成运行单个程序并且支持单个过程。在任何一种情况下，运行在VM上的任何应用软件都受限于那个VM提供的资源和抽象。因此，由公共IT基础设施提供的实际资源可以通过多个VM的部署得到有效管理和利用，其中这多个VM有可能来自多个不同公用计算的消费者。实际IT资源的虚拟化和VM的管理一般是由称为VM监视器（VMM）或超级管理程序（hypervisor）的软件提供的。在各种实现中，超级管理程序可以运行在裸硬件上（类型1或者本机超级管理程序）或者运行在操作系统之上（类型2或者托管超级管理程序）。在一种典型的虚拟化计算环境中，VM可以利用常规的联网协议彼此通信并且与公用计算环境的IT基础设施中的物理实体通信。如本领域中已知的，常规的联网协议通常以众所周知的七层开放系统互连（OSI）模型为前提，该OSI模型（按升序）包括物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。通过用虚拟网络连接替换常规的物理层连接，使VM能够与其它网络实体通信，就好像VM是物理网络元件一样。这里所公开的是用于增强这种虚拟计算环境中的网络过滤的技术。
技术实现思路
在至少一种实施例中，物理主机执行实例化至少一个虚拟机（VM）以及虚拟输入/输出服务器（VIOS）的超级管理程序或虚拟机监视器（VMM）。VIOS通过参考策略数据结构来确定对于与VM网络传送的分组的处置(disposition)，其中处置包括丢弃分组和转发分组之一。其后，将所确定的处置应用到与该分组同一分组流中的后续分组。附图说明图1是根据一种实施例的数据处理环境的高级框图；图2绘出了根据一种实施例的图1的示例性数据处理环境中虚拟和物理资源的分层；图3是根据一种实施例的数据处理系统的高级框图；图4是根据一种实施例的采用虚拟联网的数据处理环境的一部分的第一高级框图；图5是根据一种实施例的支持基于策略的网络过滤的虚拟I/O服务器（VIOS）和超级管理程序的组件的更详细视图；图6是根据一种实施例的用于在虚拟网络环境中进行网络过滤的示例性过程的高级逻辑流程图；图7说明了根据一种实施例的图5中流高速缓存的示例性实施例；图8绘出了可以用于实现图5中所绘出的任意过滤策略数据结构的示例性树数据结构；及图9是根据一种实施例的图5的VIOS流过滤器的操作的高级逻辑流程图。具体实施方式现在参考附图并且特别参考图1，说明了根据一种实施例的示例性数据处理环境100的高级框图。如所示出的，数据处理环境100，在所绘出的实施例中它是云计算环境，包括统称为云102的计算资源的集合。云102中的计算资源为了通信而互连在一起并且可以在一个或多个网络（诸如私有、社区、公共或者混合云或者其组合）中物理或虚拟地分组（未示出）。以这种方式，数据处理环境100可以把基础设施、平台和/或软件作为客户端设备110可访问的服务来提供，其中客户端设备诸如个人（例如，台式、膝上型、上网本、平板或手持式）计算机110a、智能电话110b、服务器计算机系统110c以及消费者电子产品，诸如媒体播放器（例如，机顶盒、数字多样化盘（DVD）播放器或者数码录像机（DVR））110d。应当理解，图1中所示的客户端设备110的类型仅仅是说明性的而且客户端设备110可以是能够经分组网络通信并且访问集合110中计算资源的服务的任何类型的电子设备。图2是绘出根据一种实施例的驻留在图1的云102的集合中的虚拟和物理资源的分层图。应当理解，图2中所示出的计算资源、层和功能仅仅是说明性的而且所要求保护的专利技术的实施例不限于此。如所绘出的，云102包括物理层200、虚拟化层204、服务管理层206和工作负载层(workloadslayer)208。物理层200包括可以用于实例化虚拟实体以供云服务提供商及其消费者使用的各种物理硬件和软件组件。作为一个例子，硬件组件可以包括大型机（例如，系统）、精简指令集计算机（RISC）体系结构服务器（例如，IBM系统）、IBM系统、IBM系统、存储设备（例如，闪存驱动器、磁性驱动器、光学驱动器、带驱动器等）、物理网络及联网组件（例如，路由器、交换机等）。软件组件可以包括虚拟机监视器（VMM）或超级管理程序软件、操作系统软件（例如，AIX、Windows、Linux、VMware、Android等）、网络应用服务器软件（例如，IBM应用服务器软件，它包括web服务器软件）和数据库软件（例如，IBM数据库软件）。IBM、zSeries、pSeries、xSeries、BladeCenter、WebSphere和DB2是InternationalBusinessMachinesCorporation在世界各地的许多司法管辖区注册的商标。物理层200的资源可以通过管理软件202以统一的方式跨云102管理。在所绘出的实施例中，管理软件202包括管理物理层200的物理计算平台、网络和存储资源的平台管理（PM）软件202a，及管理部署在物理计算平台上的超级管理程序（VMM）的VMM管理（VMMM）软件202b。管理软件2002可以例如运行在物理层200中被指定为管理控制台的物理计算平台上。驻留在云102的物理层200中的计算资源被一个或多个超级管理程序虚拟化并管理。超级管理程序给出包括虚拟实体（例如，虚拟服务器、虚拟储存装置、虚拟网络（包括虚拟私有网络））、虚拟应用和虚拟客户端的虚拟化层204。如前面所讨论的，这些虚拟实体可以由云消费者的客户端设备110按需访问，其中这些虚拟实体是物理层200中基础资源的抽象本文档来自技高网...

【技术保护点】
一种进行数据处理的方法，包括：物理主机执行实例化至少一个虚拟机（VM）和虚拟输入/输出服务器（VIOS）的超级管理程序；VIOS通过参考策略数据结构来确定对于与至少一个VM网络传送的分组的处置，所述处置包括丢弃分组和转发分组之一；及其后，将所确定的处置应用到与所述分组同一分组流中的后续分组。

【技术特征摘要】
【国外来华专利技术】2011.07.29 US 13/194,0901.一种进行数据处理的方法，包括：物理主机执行虚拟机监视器VMM，所述VMM实例化独立于所述VMM的至少一个虚拟机VM，其中，所述至少一个VM中的至少一个VM被配置为用于提供输入/输出服务的虚拟输入/输出服务器VIOS；VIOS通过参考策略数据结构来确定对于与至少一个VM网络传送的分组的处置，所述处置包括丢弃分组和转发分组之一；在所述VMM的流高速缓存中与表征分组流的密钥关联地高速缓存为所述分组确定的处置；及其后，所述VMM在所述流高速缓存中访问所确定的处置，并将所确定的处置应用到与所述分组同一分组流中的后续分组而不需要参考所述策略数据结构。2.如权利要求1所述的方法，其中所述密钥是散列密钥，并且：所述方法进一步包括：根据后续分组中的报头值元组生成散列密钥并且所述VMM利用所生成的散列密钥访问流高速缓存中所确定的处置。3.如权利要求2所述的方法，还包括：在VIOS中实现流高速缓存。4.如权利要求1所述的方法，其中：所述方法包括：VIOS维护策略数据结构；及策略数据结构包括识别对其不施行网络过滤的至少一个VM中一个或多个VM的至少一个旁路数据结构。5.如权利要求1所述的方法，其中：所述方法包括：VIOS维护策略数据结构；所述至少一个VM包括多个VM；策略数据结构包括识别多个VM中从网络过滤中被排除出去的VM的排除数据结构；及所述确定包括：确定在全都在排除列表中被识别的VM之间转发分组流中的分组。6.如权利要求1所述的方法，其中：所述方法包括：VIOS维护策略数据结构；所述至少一个VM包括多个VM；及策略数据结构包括识别多个VM中的至少一个允许VM的允许主机数据结构，其中容许隔离VM与所述允许VM通信，否则所述隔离VM被禁止使用网络通信。7.一种数据处理装置，包括：虚拟机监视器VMM，用于实例化独立于所述VMM的至少一个虚拟机VM，其中，所述至少一个VM中的至少一个VM被配置为用于提供输入/输出服务的虚拟输入/输出服务器VIOS；用于通过参考VIOS的策略数据结构来确定对于与至少一个虚拟机VM网络传送的分组的处置的模块，所述处置包括丢弃分组和转发分组之一；及用于在流高速缓存中与表征分组流的散列密钥关联地高速缓存为所述分组确定的处置的模块；所述VMM用于在所述流高速缓存中访问所确定的处置，并将所确定的处置应用到与所述分组同一分组流中的后续分组而不需要参考所述策略数据结构。8.如权利要求7所述的装置，其中所述密钥是散列密钥，并且所述装置还包括：用于根据后续分组中的报头值元组生成散列密钥的模块；所述VMM用于利用所生成的散列密钥访问流高速缓存中所确定的处置。9.如权利要求7所述的装置，其中所述装置还包括用于在VIOS中实现流高速缓存的模块。10.如权利要求7所述的...

【专利技术属性】
技术研发人员：J·J·芬格，S·P·马伦，B·B·雷迪，T·J·霍夫曼，
申请(专利权)人：国际商业机器公司，
类型：
国别省市：