本公开涉及具有统一软件视图的物理分布式控制平面防火墙。各个实施例包括用于经由计算机系统与分布式防火墙互连来处理事务的技术。分布式防火墙包括用于事务的各个发起方的单独防火墙和用于那些事务的各个目标的单独防火墙。因此,例如,事务沿从发起方到目标的最短路径进行,而不是被路由通过集中式防火墙。此外,例如,防火墙事务可以被重新映射,使得发起方经由统一的地址空间寻址发起方防火墙和目标防火墙,而不必为每个发起方防火墙和目标防火墙维护单独的基地址。因此,与现有方法相比,应用程序例如可以在计算机系统上执行性能增加的事务。增加的事务。增加的事务。
【技术实现步骤摘要】
具有统一软件视图的物理分布式控制平面防火墙
[0001]各个实施例总体上涉及并行处理计算架构,并且更具体地涉及具有统一软件视图的物理分布式控制平面防火墙。
技术介绍
[0002]除其他事项之外,计算机系统通常包括一个或更多个处理单元,诸如中央处理单元(CPU)和/或图形处理单元(GPU)、一个或更多个存储器系统、寄存器、输入/输出(I/O设备)等。在操作中,计算机系统的各个组件充当发起方、充当目标、或充当发起方和目标两者。当组件充当发起方时,该组件通过互连系统并朝向计算机系统中的被称为目标的另一组件指引事务,诸如加载操作或存储操作。在一些示例中,发起方可执行加载操作以从目标中包括的存储器位置和/或寄存器检索一个或更多个数据值。类似地,在一些示例中,发起方可执行存储操作以将一个或更多个数据值存储到目标中包括的存储器位置和/或寄存器。从发起方到目标的寄存器配置空间或其他控制空间的物理路径在本文中被称为控制平面。用作发起方的典型组件包括CPU和GPU。用作目标的典型组件包括存储器系统、寄存器和I/O设备。用作目标的I/O设备包括通用异步接收器/发送器(UART)、串行外围接口(SPI)、以太网控制器等。进一步,CPU可发起指定GPU或另一CPU作为目标的事务。类似地,GPU可发起将CPU或另一GPU指定为目标的事务。
[0003]通常,包括多个发起方和多个目标的计算机系统可以采用防火墙机制,或更简单地,出于安全目的的防火墙。防火墙充当安全系统,其监视和控制跨互连系统的传入和传出事务,以确保每个发起方仅访问该发起方被允许访问的存储器地址空间和/或其他目标。防火墙防止在一个发起方上执行的应用程序不经意地或故意地干扰在另一个发起方上执行的应用程序。利用防火墙,由发起方生成的每个事务由防火墙接收,并且防火墙确定发起方是否被授权将事务指向由事务指定的存储器地址空间和/或其他目标。如果防火墙确定发起方没有被授权将事务指向存储器地址空间和/或其他目标,则防火墙阻止该事务。另一方面,如果防火墙确定发起方被授权将事务指向存储器地址空间和/或其他目标,则防火墙允许事务继续进行。
[0004]将所有事务汇集到防火墙的这种方法可以在小规模至中等大小的计算机系统下很好地工作。然而,一些较大的计算机系统可能具有数百或甚至数千个发起方和目标。在这样的大型计算机系统中,因为防火墙处理成百上千的发起方的事务,所以防火墙可能变成瓶颈,导致带宽减少、延迟增加和计算能力降低,从而导致计算机系统的性能显著降低。
[0005]如上所述,在本领域中所需要的是用于在计算机系统中实现防火墙的更有效的技术。
技术实现思路
[0006]本公开的各个实施例阐述了一种用于经由互连来处理第一事务的计算机实现的方法。该方法包括确定第一事务是指向防火墙。该方法还包括中止第一事务的执行。所述方
法进一步包括修改在所述第一事务中包含的且呈第一存储器地址格式的存储器地址以生成呈第二存储器地址格式的经修改存储器地址。该方法还包括经由互连将包括经修改的存储器地址的第一事务传送到防火墙。
[0007]其他实施例包括但不限于实现所公开的技术的一个或更多个方面的系统、和包括用于执行所公开的技术的一个或更多个方面的指令的一个或更多个计算机可读介质、以及用于执行所公开的技术的一个或更多个方面的方法。
[0008]所公开的技术相对于现有技术的至少一个技术优点是,利用所公开的技术,防火墙被分布成使得每个发起方与单独的发起方防火墙相关联并且每个目标与目标防火墙相关联。每个事务沿着路径直接从与发起方相关联的发起方防火墙路由到与目标相关联的目标防火墙。因为事务不通过集中式防火墙进行路由,所以相对于现有方法,事务被更高效地处理。这些优点代表了对现有技术方法的一个或更多个技术改进。
附图说明
[0009]为了能够详细理解各个实施例的上述特征所阐述的方式,可以参考各个实施例得到以上简要概述的专利技术概念的更具体描述,在附图中示出了这些实施例中的一些实施例。然而,应注意,附图仅示出了本专利技术构思的典型实施例,并且因此不应被视为以任何方式限制范围,并且存在其他同样有效的实施例。
[0010]图1是被配置为实施各个实施例的一个或更多个方面的计算机系统的框图;
[0011]图2是根据各个实施例的用于图1的计算机系统的防火墙系统的框图;
[0012]图3A是根据各个实施例的防火墙系统的框图,该防火墙系统具有用于图1的计算机系统的集中式防火墙;
[0013]图3B是根据各个实施例的防火墙系统的框图,该防火墙系统具有用于图1的计算机系统的分布式防火墙;
[0014]图4A
‑
4B示出了根据各个实施例的用于经由图3B的互连和分布式防火墙来处理事务的方法步骤的流程图。
具体实施方式
[0015]在以下描述中,阐述了许多具体细节以便提供对各个实施例的更彻底的理解。然而,对于本领域技术人员将显而易见的是,可以在没有这些具体细节中的一个或更多个的情况下实践本专利技术构思。
[0016]系统概述
[0017]图1是被配置为实施各个实施例的一个或更多个方面的计算机系统100的框图。如图所示,计算机系统100包括但不限于经由存储器桥105和通信路径113耦合到并行处理子系统112的中央处理单元(CPU)102和系统存储器104。存储器桥105进一步经由通信路径106耦合至I/O(输入/输出)桥107,并且I/O桥107进而耦合至交换机116。
[0018]在操作中,I/O桥107被配置为从输入设备108(如键盘或鼠标)接收用户输入信息,并且经由通信路径106和存储器桥105将该输入信息转发至CPU 102以便进行处理。交换机116被配置为在I/O桥107和计算机系统100的其他组件(诸如网络适配器118和各个附加卡120和121)之间提供连接。
[0019]还如所示,I/O桥107耦合至系统盘114,所述系统盘可以被配置为存储由CPU 102和并行处理子系统112使用的内容和应用和数据。一般而言,系统盘114为应用和数据提供非易失性存储,并且可包括固定或可移动硬盘驱动器、闪存设备、和CD
‑
ROM(致密盘只读存储器)、DVD
‑
ROM(数字通用盘
‑
ROM)、蓝光、HD
‑
DVD(高清晰度DVD)、或其他磁、光、或固态存储设备。最后,虽然未明确示出,但是其他组件(诸如通用串行总线或其他端口连接、致密盘驱动器、数字通用盘驱动器、胶片记录设备等)也可以连接到I/O桥107。
[0020]在各个实施例中,存储器桥105可以是北桥芯片,并且I/O桥107可以是南桥芯片。此外,可以使用任何技术上合适的协议来实现通信路径106和113以及计算机系统100内的其他通信路径,包括但不限于AGP(加速图形端口)、超传输或本领域中已知的任何其他总线或点对点通信协议。
[0021]在一些实施例中,并行处理子系统112包括将像素递送至显示设备11本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种计算机实现的方法,用于经由互连处理第一事务,所述方法包括:确定所述第一事务指向防火墙;中止所述第一事务的执行;修改在所述第一事务中包括并呈第一存储器地址格式的存储器地址以生成呈第二存储器地址格式的经修改的存储器地址;以及经由所述互连将包括所述经修改的存储器地址的所述第一事务传送到所述防火墙。2.根据权利要求1所述的计算机实现的方法,其中:所述防火墙包括对第二事务执行第一授权功能的发起方防火墙,以及目标防火墙对所述第二事务执行第二授权功能。3.根据权利要求2所述的计算机实现的方法,其中所述第一授权功能包括确定与所述发起方防火墙相关联的发起方被授权将所述第二事务指向存储器地址空间,该存储器地址空间包括所述第二事务中包括的第二存储器地址。4.根据权利要求2所述的计算机实现的方法,其中所述第二授权功能包括确定与所述发起方防火墙相关联的发起方是否被授权将所述第二事务指向由所述目标防火墙保护的目标。5.根据权利要求1所述的计算机实现的方法,还包括:在中止所述第一事务的执行之后,将所述第一事务转发到防火墙重新映射器。6.根据权利要求1所述的计算机实现的方法,还包括:在修改所述第一事务中包括的所述存储器地址以生成所述经修改的存储器地址之后,将所述第一事务转发至与所述经修改的存储器地址相关联的地址空间。7.根据权利要求1所述的计算机实现的方法,其中所述防火墙包括发起方防火墙和目标防火墙,并且所述方法还包括:确定发起方和所述发起方防火墙或所述目标防火墙中的至少一个之间的通过在所述互连中包括的多个节点的路径;以及经由所述路径将所述第一事务从所述发起方传送至所述发起方防火墙或所述目标防火墙中的所述至少一个。8.根据权利要求1所述的计算机实现的方法,其中所述第一存储器地址格式包括:防火墙地址空间的基地址,所述防火墙地址空间包括与包括所述防火墙的多个防火墙相对应的多个地址空间;以及与所述防火墙相关联的偏移。9.根据权利要求1所述的计算机实现的方法,其中所述第二存储器地址格式包括:对应于防火墙的防火墙地址空间的基地址;以及与所述防火墙相关联的偏移。10.根据权利要求1所述的计算机实现的方法,其中所述防火墙包括被配置为执行多个发起方的授权功能的发起方防火墙。11.根据权利要求1...
【专利技术属性】
技术研发人员:J,
申请(专利权)人:辉达公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。