一种方法和装置,其使用虚拟专用网在并行计算机系统上提供数据安全性。访问建立机制在节点中建立访问控制数据,所述访问控制数据描述了保护哪些虚拟网络以及哪些应用有权访问受保护的虚拟网络。当应用访问受保护的虚拟网络上的数据时,网络访问机制确定数据受到保护并拦截数据访问。在内核中的网络访问机制还可根据对虚拟网络尝试的访问的种类来执行规则。可以通过对内核中的访问控制机制的系统调用进行对专用网络的授权访问。所述访问控制机制通过访问控制列表或其他安全策略实施有关可通过系统分发哪些数据的策略决策。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及多节点计算机系统领域,更具体地说,涉及在多节点计算机系统上使 用虚拟专用网保护数据空间。
技术介绍
持续开发超级计算机和其他多节点计算机系统来应付复杂的计算作业。一种类 型的多节点计算机系统是大规模并行计算机系统。国际商业机器公司(IBM)以名称Blue Gene (蓝色基因)开发了一系列此类大型并行计算机。Blue Gene/L系统是一种其中计算 节点的当前最大数目为65,536的高密度可伸缩系统。Blue Gene/L节点包括具有2个CPU 和存储器的单个ASIC (专用集成电路)。整个计算机容纳在64个机架或机柜中,每个机架 中具有32个节点板。诸如Blue Gene之类的计算机系统包含大量节点,每个节点都有自己的处理器和 本地存储器。所述节点与若干通信网络相连。通信网络将各节点连接成逻辑树网络。在所 述逻辑树网络中,各节点与位于树顶部的输入-输出(I/O)节点相连。在Blue Gene中,每 个节点卡具有两个计算节点,每个计算节点具有两个处理器。节点板上安放16个节点卡, 而每个机架上安放32个节点板。节点板上具有插槽,用于安插2个I/O卡,每个I/O卡具 有2个I/O节点。可以在与I/O节点通信的虚拟树网络中配置两个节点板上的节点。诸如Blue Gene之类的多节点计算机系统支持内存数据库(in memorydatabase)。 内存数据库是其中数据库的某个部分或整个数据库完全驻留在存储器中而非大容量存储 装置中的数据库。内存数据库可针对数据库搜索或查询提供极其快速的响应。对于所有 计算机系统而言,需要关心的问题是数据安全性。某些现有技术的数据安全性技术可能无 法在并行计算机系统上,尤其是在带有内存数据库的并行计算机系统上有效实现或轻松实 现。在没有有效的方法来提供数据安全性的情况下,多节点计算机系统将继续受到数 据安全性降低以及计算机系统效率降低的困扰。
技术实现思路
描述了一种用于在并行计算机系统上使用连接系统节点的虚拟专用网提供数据 安全性的装置和方法。访问建立机制在所述节点中建立访问控制数据,所述访问控制数据 描述了哪些虚拟网络受保护以及何种应用有权访问受保护的虚拟网络。这允许在系统内实 现针对公共数据的查询、数据传输或数据迁移。当应用访问受保护的虚拟网络上的数据时, 网络访问机制确定数据受到保护并拦截数据访问。位于内核中的所述网络访问机制还可根 据对所述虚拟网络尝试的访问的种类而执行规则。例如,如果应用尝试对专用网络进行数 据查询,则内核可终止该应用或向该应用返回错误代码。在所示实例中,所述访问控制机制 通过系统调用提供对受保护数据的访问。在受保护的网络上仅允许授权的访问。可以通过 对系统内核中的所述访问控制机制的系统调用来进行对专用网络的授权访问。所述访问控制机制通过访问控制列表或其他安全策略实施有关可通过系统分发哪些数据的策略决策。此处的描述和实例针对诸如Blue Gene体系结构之类的大规模并行计算机系统, 但是此处的权利要求明确扩展到在网络结构中布置多个处理器的其他并行计算机系统。从第一方面来看,本专利技术提供了一种多节点计算机系统,所述系统包括多个计算 节点,所述多个计算节点通过多个虚拟网络相连,每个计算节点都包括处理器和存储器;访 问建立机制,其配置所述计算节点上的访问控制数据以指示所述多个虚拟网络中的至少一 个虚拟网络为虚拟专用网;以及访问控制机制,其根据所述访问控制数据来控制通过所述 多个虚拟网络对所述多个计算节点上的存储器中的数据的访问。优选地,本专利技术提供了一种多节点计算机系统,其中所述多节点计算机系统为大 规模并行计算机系统。优选地,本专利技术提供了一种多节点计算机系统,其中所述访问建立机制配置类路 由表以建立所述多个虚拟网络。优选地,本专利技术提供了一种多节点计算机系统,其中从以下项选择所述访问控制 数据类标识ID、指示所述类ID为专用的专用标志,以及列出被授权访问所述虚拟专用网 的应用的可用性列表。优选地,本专利技术提供了一种多节点计算机系统,其中所述访问控制机制位于所述 计算节点的系统内核中并允许通过对所述系统内核的系统调用来访问被授权的应用。优选地,本专利技术提供了一种多节点计算机系统,其中所述访问控制机制拦截未被 授权访问所述虚拟专用网上的数据的应用的读/写操作并生成失败指示。优选地,本专利技术提供了一种多节点计算机系统,其中所述多个计算节点布置在虚 拟树网中并进一步包括与所述树网的顶部相连以允许所述计算节点与大规模并行计算机 系统的服务节点通信的I/O节点。从另一方面来看,本专利技术提供了一种计算机实现的用于在多节点计算机系统中使 用虚拟网络提供数据安全性的方法,所述方法包括以下步骤确定要保护的节点;通过配 置计算节点上的访问控制数据以指示多个虚拟网络之一为虚拟专用网来建立虚拟专用网, 从而使所确定的节点成为受保护的节点;以及根据所述虚拟专用网上的节点内的系统内核 中的所述访问控制数据,通过访问控制机制提供对所述节点的保护。优选地,本专利技术提供了一种方法,其中所述多节点计算机系统为大规模并行计算 机系统。优选地,本专利技术提供了一种方法,所述方法还包括以下步骤允许一个或多个应用 通过对所述系统内核中的所述访问控制机制的系统调用来访问受保护的节点。优选地,本专利技术提供一种方法,其中建立虚拟专用网的步骤包括配置类路由表以 建立所述多个虚拟网络。优选地,本专利技术提供了一种方法,其中从以下项选择所述访问控制数据类标识 ID、指示所述类ID为专用的专用标志,以及列出被授权访问所述虚拟专用网的应用的可用 性列表。优选地,本专利技术提供了一种方法,其中所述访问控制机制拦截未被授权访问所述 虚拟专用网上的数据的应用的读/写操作并生成失败指示。从另一方面来看,本专利技术提供了一种用于在多节点计算机系统中使用虚拟网络提5供数据安全性的方法,所述方法包括以下步骤确定大规模并行计算机系统中要保护的节 点;通过配置类路由表以建立多个虚拟网络,以及通过配置计算节点上的访问控制数据以 指示所述多个虚拟网络之一为虚拟专用网来建立虚拟专用网,从而使所确定的节点成为受 保护的节点;通过拦截未被授予访问虚拟专用网上的数据的应用的读/写操作并生成失败 指示,来根据所述节点内的系统内核中的访问控制数据经由访问控制机制为所述虚拟专用 网上的节点提供保护;以及允许一个或多个应用通过对所述系统内核中的所述访问控制机 制的系统调用来访问受保护的节点。从另一方面来看,本专利技术提供了一件计算机可读制品,所述制品包括访问建立机 制,其配置使用多个虚拟网络相连的多个计算节点上的访问控制数据,其中所述访问控制 数据指示虚拟网络为虚拟专用网以及何种应用有权访问所述虚拟专用网;访问控制机制, 其根据所述访问控制数据来控制通过所述多个虚拟网络对所述多个计算节点上的存储器 中的数据的访问;以及有形计算机可记录介质,其承载所述访问建立机制和所述访问控制 机制。优选地,本专利技术提供了一件制品,其中所述访问建立机制配置类路由表以建立多 个虚拟网络。优选地,本专利技术提供了一件制品,其中从以下项选择所述访问控制数据类标识 ID、指示所述类ID为专用的专用标志,以及列出被授权访问所述虚拟专用网的应用的可用 性列表。优选地,本专利技术提供了一件制品,其中所述访问控本文档来自技高网...
【技术保护点】
一种多节点计算机系统,所述系统包括:多个计算节点,所述多个计算节点通过多个虚拟网络相连,每个计算节点都包括处理器和存储器;访问建立机制,其配置所述计算节点上的访问控制数据以指示所述多个虚拟网络中的至少一个虚拟网络为虚拟专用网;以及访问控制机制,其根据所述访问控制数据来控制通过所述多个虚拟网络对所述多个计算节点上的存储器中的数据的访问。
【技术特征摘要】
【国外来华专利技术】US 2008-1-23 12/018,237一种多节点计算机系统,所述系统包括多个计算节点,所述多个计算节点通过多个虚拟网络相连,每个计算节点都包括处理器和存储器;访问建立机制,其配置所述计算节点上的访问控制数据以指示所述多个虚拟网络中的至少一个虚拟网络为虚拟专用网;以及访问控制机制,其根据所述访问控制数据来控制通过所述多个虚拟网络对所述多个计算节点上的存储器中的数据的访问。2.如权利要求1中所述的多节点计算机系统,其中所述多节点计算机系统为大规模并 行计算机系统。3.如权利要求1中所述的多节点计算机系统,其中所述访问建立机制配置类路由表以 建立所述多个虚拟网络。4.如权利要求1中所述的多节点计算机系统,其中从以下项选择所述访问控制数据 类标识ID、指示所述类ID为专用的专用标志,以及列出被授权访问所述虚拟专用网的应用 的可用性列表。5.如权利要求1中所述的多节点计算机系统,其中所述访问控制机制位于所述计算节 点的系统内核中并允许通过对所述系统内核的系统调用来访问被授权的应用。6.如权利要求1中所述的多节点计算机系统,其中所述访问控制机制拦截未被授权访 问所述虚拟专用网上的数据的应用的读/写操作并生成失败指示。7.如权利要求1中所述的多节点计算机系统,其中所述多个计算节点布置在虚拟树网 中并进一步包括与所述树网的顶部相连以允许所述计算节点与大规模并...
【专利技术属性】
技术研发人员:A彼得斯,GR里卡德,CJ阿切尔,BE史密斯,A西德尼克,
申请(专利权)人:国际商业机器公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。