在一个实施例中,一种方法包括:检测由第一物理主机执行的虚拟机向目的地物理主机的移动处理的启动;启动由第一网络实体执行的有状态处理的转移,并且向在第一物理主机中执行的虚拟机提供增强的网络服务,包括使得增强的网络服务的执行参数被发送至第二网络实体;以及完成虚拟机向目的地物理主机的移动处理,以响应检测到有状态处理正在第二网络实体中执行并且准备提供增强的网络服务以供目的地物理主机中的虚拟机执行。
【技术实现步骤摘要】
【国外来华专利技术】【专利摘要】在一个实施例中,一种方法包括:检测由第一物理主机执行的虚拟机向目的地物理主机的移动处理的启动;启动由第一网络实体执行的有状态处理的转移,并且向在第一物理主机中执行的虚拟机提供增强的网络服务,包括使得增强的网络服务的执行参数被发送至第二网络实体;以及完成虚拟机向目的地物理主机的移动处理,以响应检测到有状态处理正在第二网络实体中执行并且准备提供增强的网络服务以供目的地物理主机中的虚拟机执行。【专利说明】与虚拟机相关联的增强的网络服务的虚拟化移动
本公开总体涉及使得虚拟机可以动态地被从一个物理服务器移动到另一物理服务器的虚拟化技术。
技术介绍
该部分描述的是可能被采用的方法,但不一定是先前设想或采用过的方法。因此,除非以其他方式明确地指出,否则,本部分中所描述的任何方法相对本申请中的权利要求而言都不是现有技术,并且本部分中所描述的任何方法都不因为被包括在本部分中而被承认为现有技术。 云计算使得可以对可配置资源的共享池进行网络访问,这些资源能通过尽可能少的管理工作快速地被供应和发行。云计算可以基于一个或多个数据中心来实现,这些数据中心实现一个或多个被称为“服务器”的物理计算机器:在管理代理(management agent)的控制下,物理服务器分配计算和存储资源以形成“虚拟机”。虚拟机可以在管理代理的控制下提供计算服务。虚拟化技术使得虚拟机可以动态地被从一个物理服务器移动到目的地物理服务器,其中,目的地物理服务器可以处于相同的数据中心,也可以处于不同的数据中心。然而,动态地移动虚拟机的能力引入了多项挑战,这些挑战使得可移动的虚拟机对于改善的防火墙保护的需要成为必需。
技术实现思路
在一个实施例中,一种方法包括:检测由第一物理主机执行的虚拟机到目的地物理主机的移动处理的启动;启动对由第一网络实体执行的有状态处理(stateful process)的转移,并且为在第一网络实体中执行的虚拟机提供增强的网络服务,包括使得针对增强的网络服务的执行参数被发送到第二网络实体;以及完成虚拟机到目的地物理主机的移动处理,以响应检测到有状态处理正在第二网络实体中执行并且准备提供增强的网络服务以供目的地物理主机中的虚拟机执行。 在另一实施例中,一种装置包括第一电路和处理器电路。第一电路被配置为:检测由第一物理主机执行的虚拟机到目的地物理主机的移动处理的启动。处理器电路被配置为:启动对由第一网络实体执行的有状态处理的转移,并且为由第一物理主机执行的虚拟机提供增强的网络服务。处理器电路被配置为:使得针对增强的网络服务的执行参数被送到第二网络实体。处理器电路还被配置为:响应于检测到有状态处理正在第二网络实体中执行并准备提供增强的网络服务以供目的地物理主机中的虚拟机执行,完成虚拟机到目的地物理主机的移动处理。 【专利附图】【附图说明】 参照附图,其中,被赋予相同标号的要素在全文中表示同样的要素,并且其中: 图1A、1B和IC示出了根据示例实施例具有下述装置的示例系统:该装置用于在虚拟机从第一物理主机移动到第二物理主机的移动过程中将有状态处理(例如,防火墙处理)从第一网络实体移动到第二网络实体。 图2示出了根据示例实施例,用于将有状态处理转移给图1的第二网络实体并完成虚拟机到目的地主机的移动处理的示例装置。 图3示出了根据示例实施例,由图2的装置进行的将有状态处理转移给第二网络实体并将虚拟机移动到目的地主机的示例方法。 【具体实施方式】 具体实施例使得一个或多个虚拟机能够动态地被从数据中心中的一个物理机器(也称为“物理主机”)移动到第二物理机器,同时在向第二物理机器移动之前、期间以及之后维护虚拟机的防火墙保护。具体的实施例使得防火墙保护能够在提供防火墙服务的物理机器(也称为“网络实体”)之间动态地被转移,即使这些网络实体独立于并且不同于虚拟机的动态转移中涉及到的物理机器。 如果目的地物理主机由不同的防火墙设备服务,则将虚拟机从第一物理主机移动到目的地物理主机的传统技术会遇到问题。例如,假设(在移动之前执行虚拟机的)第一物理主机与保护第一物理主机的第一防火墙设备相关联,并且(在移动过程中接收虚拟机的)目的地物理主机由独立于并且不同于第一防火墙设备、第一物理主机以及目的地物理主机的第二防火墙设备来保护;还假设在第一防火墙设备的监督下,虚拟机在第一物理主机内执行过程中建立了多个网络连接(例如,传输控制协议(TCP)连接)。与目的地物理主机相关联的第二防火墙设备不知道虚拟机的执行状态,因此不知道在第一物理主机内建立的任何网络连接。因此,虚拟机一被转移到目的地物理主机,虚拟机在第一物理主机内执行过程中已经建立的任何网络连接就将被第二防火墙设备丢弃。 通过首先禁用防火墙设备来尝试移动虚拟机是不恰当的,因为这样的尝试使得虚拟机被暴露于数据中心外部的攻击。尝试在控制并转移虚拟机的相同的超级管理器(hypervisor)域内执行防火墙处理也是不恰当的,因为将与虚拟机处于相同的超级管理器域内的防火墙处理虚拟化需要充足的计算资源;因此,将与虚拟机处于相同的超级管理器域内的防火墙处理虚拟化不是可扩展的,尤其是在如果防火墙处理的优化依赖用于执行至少部分防火墙处理的专用集成电路的情况下。 根据示例实施例,第一防火墙设备(也称为源网络实体或第一网络实体)执行针对虚拟机的防火墙服务,而虚拟机在第一物理主机中被执行以提供虚拟化服务:第一防火墙设备将与防火墙服务相关联的执行状态变量转移到目的地防火墙设备与虚拟机从第一物理主机到第二物理主机的转移同时进行。换言之,第一防火墙设备将虚拟机的防火墙状态转移到目的地防火墙设备。目的地防火墙设备(也称为目的地网络实体)在激活在第二物理主机内执行的虚拟机之前,启动针对移动进第二物理主机的虚拟机的防火墙服务。 因此,示例实施例使得与虚拟机相关联的增强的网络服务的虚拟化移动能够进行,而不需要在虚拟机的移动过程中禁用增强的网络服务。而且,虚拟化移动可以以可扩展的方式来实现,而不对由虚拟机提供的虚拟化服务产生任何破坏。 图1A、1B和IC示出了根据示例实施例,具有用于在虚拟机(VM)18U^^n,“VM#7”)从第一物理主机20a向第二物理主机20b移动的过程中将有状态处理14(例如,防火墙处理(“F7”))从第一网络实体16a移动到第二网络实体16b的装置12的示例系统10。 图1A示出在虚拟机“VM#7” 18从第一物理主机20a向第二物理主机20b移动之前、并且在有状态处理“F7”14从第一网络实体16a向第二网络实体16b移动之前的示例系统10。第一物理主机20a和第二物理主机20b各自可以被实现为数据中心(DC)40内的基于多处理器的服务器,其中,数据中心40经由基于互联网协议(IP)的网络32(例如,局域网(LAN)和/或广域网(WAN))向用户提供虚拟化服务(例如,云计算服务)。 在超级管理器30的控制下,每个虚拟机在物理主机(例如,20a或20b)中被执行。每个超级管理器30使得多个虚拟机18能够同时在相应的物理主机20a或20b上被执行。例如,示例虚拟机“VM#1”、“VM#2”以及“VM#3” 18可以在由物理主机20b执行的超级管理器3本文档来自技高网...
【技术保护点】
一种方法,包括:检测由第一物理主机执行的虚拟机到目的地物理主机的移动处理的启动;启动由第一网络实体执行的有状态处理的转移,并且向在所述第一物理主机中执行的虚拟机提供增强的网络服务,包括使得增强的网络服务的执行参数被发送到第二网络实体;以及响应于检测到有状态处理正在第二网络实体中执行并且准备提供增强的网络服务以供目的地物理主机中的虚拟机来执行,完成虚拟机到目的地物理主机的移动处理。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:纳威达·沙姆司理,赛尔瓦托·塔拉洛,
申请(专利权)人:思科技术公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。