虚拟机的逻辑端口认证制造技术

计算机系统认证虚拟机的逻辑端口。逻辑网络维护具有该逻辑端口的逻辑交换机的逻辑网络数据。虚拟交换机标识虚拟机的逻辑端口认证请求，并传输逻辑端口认证请求。逻辑端口认证器接收逻辑端口认证请求，并传输逻辑端口认证请求以递送到认证数据库。逻辑端口认证器接收由认证数据库传输的逻辑端口认证响应，其准许虚拟机的逻辑端口认证请求并传输逻辑端口的授权数据。当虚拟机响应于授权数据使用逻辑端口时，虚拟交换机传输虚拟机的用户数据。

Logical Port Authentication for Virtual Machines

【技术实现步骤摘要】
【国外来华专利技术】虚拟机的逻辑端口认证M·纳拉帕雷迪和A·卡特雷卡相关申请本申请涉及并要求2016年12月22日提交的名称为“虚拟机的逻辑端口认证(LOGICALPORTAUTHENTICATIONFORVIRTUALMACHINES)”的美国非临时专利申请15/387,828的优先权，其全部内容通过引用并入本文。
技术介绍
计算机硬件执行操作系统软件和用户应用软件。计算机硬件包括组件，诸如中央处理单元(CPU)、随机存取存储器(RAM)、网络接口卡(NIC)和数据存储驱动器。CPU执行操作系统软件以控制计算机硬件。CPU执行用户应用软件以与操作系统软件交互。操作系统软件代表用户应用软件控制计算机硬件。引入虚拟化软件以免除计算机硬件和用户应用软件之间的接口。虚拟化软件与支持用户应用程序的操作系统软件交互-称为客户操作系统和客户应用程序。虚拟化软件还与各种计算机硬件交互，包括CPU、RAM、NIC和存储驱动器。虚拟化软件包括超级管理程序(hypervisor)和虚拟机。虚拟机软件包括虚拟CPU、虚拟RAM、虚拟NIC和虚拟存储驱动器。客户操作系统与虚拟机而不是物理计算机硬件交互。例如，客户操作系统为数据通信服务调用虚拟NIC。超级管理程序实现虚拟交换机以网络化虚拟机。虚拟交换机在单个主机上运行的各个虚拟机之间交换数据。虚拟交换机还在虚拟机和物理NIC之间交换数据，以便将那些虚拟机与通常在其他主机和其他系统上的其他虚拟机连接起来。为了协助网络用户，超级管理程序可以允许在其控制平面中部署逻辑网络覆盖以服务虚拟机。例如，客户用户应用程序调用其客户OS来交换应用程序数据。客户OS命令虚拟NIC交换应用程序数据，虚拟NIC与超级管理程序实例化的虚拟交换机交换数据。基于逻辑网络覆盖，超级管理程序可以将出口流量的逻辑目的地地址从虚拟机转换为物理主机目的地地址，并利用寻址到目的地虚拟机的主机的新网络分组报头来封装出口流量。同样，超级管理程序可以解封目的地为本地虚拟机的分组，以维持虚拟机驻留在逻辑网络上的错觉。逻辑网络管理器在超级管理程序控制平面中的多个超级管理程序上分配逻辑网络覆盖。超级管理程序使用逻辑网络覆盖来经由虚拟交换机和执行封装(encapsulation)和解封(decapsulation)操作的相关隧道端点将逻辑网络流量从虚拟NIC转换为的封装的物理网络流量。遗憾的是，当虚拟机使用逻辑网络覆盖中的逻辑端口时，逻辑网络和虚拟网络不能有效且高效地控制虚拟机和虚拟交换机之间的访问。虚拟交换机向使用逻辑端口的虚拟机提供的开放访问促进了差的服务质量。某些虚拟机可能会过度使用逻辑端口，而其虚拟交换机会以其他虚拟机为代价。已经开发了控制对数据网络的访问的技术。例如，电气和电子工程师协会(IEEE)标准802.1x规定了可扩展认证协议(EAP)。EAP通常用于控制对局域网(LAN)的计算机访问。EAP尚未针对提供逻辑网络覆盖的虚拟交换机进行优化。
技术实现思路
计算机系统认证虚拟机的逻辑端口。逻辑网络维护具有该逻辑端口的逻辑交换机的逻辑网络数据。虚拟交换机标识虚拟机的逻辑端口认证请求，并传输逻辑端口认证请求。逻辑端口认证器接收逻辑端口认证请求，并传输逻辑端口认证请求以递送到认证数据库。逻辑端口认证器接收由认证数据库传输的逻辑端口认证响应，其准许虚拟机的逻辑端口认证请求并传输逻辑端口的授权数据。当虚拟机响应于授权数据使用逻辑端口时，虚拟交换机传输虚拟机的用户数据。附图说明图1示出了用于认证虚拟机的逻辑端口的计算机系统。图2示出了用于认证虚拟机的逻辑端口的计算机系统。图3示出了使用逻辑网络控制器来认证虚拟机的逻辑端口的计算机系统。图4示出了计算机系统的操作，其使用逻辑网络控制器来认证虚拟机的逻辑端口。图5示出了使用超级管理程序来认证虚拟机的逻辑端口的计算机系统。图6示出了使用超级管理程序来认证虚拟机的逻辑端口的计算机系统的操作。图7示出了使用逻辑网络管理器来认证虚拟机的逻辑端口的计算机系统。图8示出了使用逻辑网络管理器来认证虚拟机的逻辑端口的计算机系统的操作。图9示出了用于认证虚拟机的逻辑端口的计算机系统的操作。具体实施方式图1示出了用于认证虚拟机的逻辑端口的计算机系统100。计算机系统100包括多个主机计算机，这些主机计算机配置有软件并且通过数据通信网络耦合。在图1中，计算机系统100针对用户、逻辑网络、虚拟网络和硬件垂直分成四层。计算机系统100也水平地分成左边的数据平面和右边的控制平面。在数据平面中，硬件包括物理网络接口(P-NIC)、中央处理单元(CPU)、随机存取存储器(RAM)、存储设备、局域网(LAN)和广域网(WAN)。在数据平面中，虚拟网络包括超级管理程序、虚拟交换机(V-SW)和虚拟机。数据平面中的用户层包括客户操作系统(OS)和用户应用程序。在控制平面中，硬件还包括相同或不同的P-NIC、CPU、RAM、存储设备、LAN和WAN。除了虚拟网络(V-NET)控制器之外，控制平面中的虚拟网络还包括超级管理程序和虚拟机。逻辑网络驻留在控制平面中并且包括逻辑网络管理器(L-NETMNG)和逻辑网络控制器(L-NETCNT)。逻辑网络管理器支持逻辑网络结构，如具有逻辑端口(L-PORTS)的逻辑交换机(L-SW)。用户层的控制平面包括操作员、计算机等。在操作中，用户控制平面(操作员、机器、计算机)指示逻辑网络管理器构建具有逻辑交换机的逻辑网络，其具有逻辑端口。例如，用户可以操作图形显示以实例化逻辑交换机，然后将虚拟机连接到逻辑交换机上的逻辑端口。逻辑网络管理器将逻辑网络数据分发到超级管理程序，以在超级管理程序控制平面中形成分布式逻辑交换机。超级管理程序指示数据平面中的虚拟交换机响应于由控制平面指定的逻辑网络要求来传输用户数据。如果用户在逻辑交换机上启用逻辑端口认证，则逻辑网络管理器指示超级管理程序关闭支持逻辑交换机上的逻辑端口的虚拟交换机数据路径。除非逻辑端口认证首先成功用于虚拟机和逻辑端口，否则这些虚拟交换机不会传递使用其中这些逻辑端口之一的虚拟机的用户数据。虚拟交换机扫描来自虚拟机的用户数据以用于逻辑端口认证请求。如果虚拟交换机检测到逻辑端口认证请求，则虚拟交换机将该请求传输到超级管理程序。超级管理程序传输逻辑端口认证请求以由逻辑端口认证数据库进行认证。下面描述了各种选项以执行此认证。超级管理程序可以将逻辑端口认证请求直接传输到逻辑端口认证数据库(未示出)。超级管理程序可以将逻辑端口认证请求传输到访问逻辑端口认证数据库的逻辑网络控制器。超级管理程序还可以将逻辑端口认证请求传输到作为逻辑端口认证数据库操作的逻辑网络管理器。逻辑端口认证数据库确定逻辑端口认证状态并传输逻辑端口认证响应，其指示正/负认证结果以及可能的实现的定时器或策略。超级管理程序从逻辑端口认证数据库、逻辑网络控制器或逻辑网络管理器接收逻辑端口认证响应。超级管理程序指示虚拟交换机传输使用其经认证的逻辑端口的虚拟机的用户数据。虚拟交换机仍将阻止使用该逻辑端口的未经认证的虚拟机的用户数据传输。在数据平面中，客户应用程序和操作系统与虚拟机交换用户数据，并且虚拟机与虚拟交换机交换用户数据。响应于正逻辑端口认证，虚拟交换机现在与另一个虚拟机或P-NIC交换用户数据。有利地，本文档来自技高网...

【技术保护点】
1.一种操作计算机系统以认证虚拟机的逻辑端口的方法，所述方法包括：虚拟交换机标识所述虚拟机的逻辑端口认证请求，并将所述逻辑端口认证请求传输到逻辑端口认证器；所述逻辑端口认证器接收所述逻辑端口认证请求，基于认证数据库确定是否准许所述逻辑端口认证请求，以及如果准许，则将所述逻辑端口认证请求的授权数据传输到所述虚拟交换机；以及当所述虚拟机响应于所述授权数据使用所述逻辑端口时，所述虚拟交换机传输所述虚拟机的用户数据。

【技术特征摘要】
【国外来华专利技术】2016.12.22 US 15/387,8281.一种操作计算机系统以认证虚拟机的逻辑端口的方法，所述方法包括：虚拟交换机标识所述虚拟机的逻辑端口认证请求，并将所述逻辑端口认证请求传输到逻辑端口认证器；所述逻辑端口认证器接收所述逻辑端口认证请求，基于认证数据库确定是否准许所述逻辑端口认证请求，以及如果准许，则将所述逻辑端口认证请求的授权数据传输到所述虚拟交换机；以及当所述虚拟机响应于所述授权数据使用所述逻辑端口时，所述虚拟交换机传输所述虚拟机的用户数据。2.如权利要求1所述的方法，其中所述逻辑端口认证器包括超级管理程序。3.如权利要求1所述的方法，其中所述逻辑端口认证器包括逻辑网络控制器。4.如权利要求1所述的方法，其中所述认证数据库包括逻辑网络管理器。5.如权利要求1所述的方法，还包括：本地控制平面(LCP)接收由所述虚拟交换机传输的所述逻辑端口认证请求，并传输所述逻辑端口认证请求以递送到所述逻辑端口认证器；以及所述LCP接收由所述逻辑端口认证器传输的逻辑端口认证响应，并响应于所述授权数据，配置所述虚拟交换机以在所述虚拟机使用所述逻辑端口时传输所述虚拟机的所述用户数据。6.如权利要求1所述的方法，其中：所述虚拟交换机标识所述虚拟机的所述逻辑端口认证请求包括：所述虚拟交换机标识虚拟网络接口的所述逻辑端口认证请求；以及当所述虚拟机使用所述逻辑端口时，所述虚拟交换机传输所述虚拟机的所述用户数据包括：当所述虚拟网络接口使用所述逻辑端口时，所述虚拟交换机传输所述虚拟网络接口的所述用户数据。7.如权利要求1所述的方法，其中所述虚拟交换机标识所述虚拟机的所述逻辑端口认证请求包括：所述虚拟交换机标识可扩展认证协议(EAP)端口认证请求。8.如权利要求1所述的方法，还包括从所述认证数据库接收所述虚拟机的经认证的使用令牌，并且其中当所述虚拟机使用所述逻辑端口时，所述虚拟交换机传输所述虚拟机的所述用户数据包括：当所述虚拟机使用所述逻辑端口时，所述虚拟交换机消耗所述经认证的使用令牌。9.如权利要求1所述的方法，其中：所述逻辑端口认证器接收所述逻辑端口认证请求还包括：超级管理程序接收所述虚拟机的虚拟接口附加数据；所述逻辑端口认证器传输所述逻辑端口认证请求包括：所述超级管理程序响应于所述虚拟接口附加数据传输所述逻辑端口认证请求；所述逻辑端口认证器接收逻辑端口认证响应包括：本地控制平面(LCP)接收由逻辑网络管理器传输的所述虚拟机的经认证的使用令牌；以及当所述虚拟机使用所述逻辑端口时，所述虚拟交换机传输所述虚拟机的所述用户数据包括：当所述虚拟机使用所述逻辑端口时，所述虚拟交换机消耗所述经认证的使用令牌。10.如权利要求1所述的方法，其中基于所述认证数据库确定是否准许所述逻辑端口认证请求包括：基于所述认证数据库、虚拟网络接口数据、虚拟交换机数据和与所述逻辑端口认证请求相关联的逻辑端口数据，确定是否准许所述逻辑端口认证请求。11.一种用于认证虚拟机的逻辑端口的计算机设备，所述计算机设备包括：虚拟交换机计算机处理指令，其在被执行时被配置为：指示计算机处理电路标识所述虚拟机的逻辑端口认证请求，并将所述逻辑端口认证请求传输到逻辑端口认证器；逻辑端口认证器计算机处理指令，其在被执行时...

【专利技术属性】
技术研发人员：M·纳拉帕雷迪，A·卡特雷卡，
申请(专利权)人：NICIRA股份有限公司，
类型：发明
国别省市：美国,US