用于在运行虚拟化计算环境的宿主计算设备中的网络接口控制器(NIC)中的网络策略的高效和安全实现的技术。在某些实施例中,所述NIC可以绕开所述宿主计算设备的父分区而处理分组并直接向分组的目的地转发分组。特别地,在某些实施例中,所述NIC可以存储用于处理分组和直接向虚拟机(VM)转发分组的网络策略信息。如果所述NIC不能处理分组,则所述NIC可以将所述分组转发到所述父分区。在某些实施例中,所述NIC可以使用封装协议来在分组报头中传送地址信息。在某些实施例中,该地址信息可以由所述NIC经由安全信道传输到所述父分区。所述NIC还可以绕开所述父分区从所述VM获取已加密地址并对其进行解密以用于路由分组。
【技术实现步骤摘要】
网络策略向网络接口卡的安全和高效卸载
本专利申请根据35 U. S. C. § 119(e)要求对2011年9月7日提交的命名为“A SCALABLE AND FLEXIBLE DATA CENTER NETWORK USING GENERIC ROUTING ENCAPSULATION”, 序号61/532,002的美国临时专利申请和2012年2月I日提交的命名为“GRE OFFLOAD FOR SR-1OV NICS”,序号61/593,772的美国临时专利申请的优先权,其全部内容通过参考引入于此。
技术介绍
虚拟化计算是一种用于在单一物理计算设备上创建多个虚拟机的技术。这通常通过将计算设备的软件和存储器划分为多个逻辑分区来达到,其中,所述逻辑分区的每个可以做虚拟机的操作系统的宿主。分区中的一个通常被指定为父或根分区,其中,该父或根分区将对物理硬件和服务的访问委托给虚拟机。在一些场景中,可以在驻留于物理网络上的计算设备中的虚拟机之间建立虚拟网络。例如,由多个物理服务器组成的数据中心可以为例如公司和其它组织的企业提供虚拟局域网(VLAN)。所述VLAN通常被设计为提供安全和隔离(关于可达性)的环境,在该环境中用于将企业内的计算机和共享资源互连。虚拟机可以通过由父分区酌情访问宿主计算机的硬件部件来与其它虚拟机或物理设备通信。网络接口控制器(NIC)是允许计算设备与物理网络接合(interface)和进行通信的部件。NIC包括基础电路,该基础电路用于实现例如以太网或互联网协议的通信协议;并且还包括有限存储器,该有限存储器用于存储与通信协议关联的网络地址,例如媒体访问控制(MAC)或IP地址。可以为每个虚拟机指派网络地址,该网络地址可以是对应于与该虚拟机关联的虚拟网络的虚拟地址。通过将在虚拟网络上进行通信的虚拟机所识别的虚拟地址转化为在物理网络上进行通信的硬件部件所识别的物理地址,可以实现对数据进行路由。该地址转化可以由父分区执行,其中,父分区负责路由去往和来自宿主计算设备内的合适虚拟机的数据流量。另外,父分区可以负责为宿主设备上的虚拟机实现其它网络策略,例如访问控制和授权。在虚拟化计算环境中通常关心安全性。宿主计算设备通常将对硬件和连网信息的访问限于仅父分区。该集中权限防止虚拟机潜在地不论偶然还是恶意地相互干扰。同样, 可以对拥有由计算设备宿留的虚拟机的租户授予特定安全级别并与使用同一宿主设备的其它租户隔离。
技术实现思路
在一个实施例中,提供了一种网络接口控制器,该网络接口控制器适于用作运行虚拟化计算环境的计算设备的一部分,所述虚拟化计算环境包括父分区和至少一个 虚拟机。所述网络接口控制器包括包含数据结构的存储器和适于转发接收的分组的处理器。所述转发包括确定与所述分组关联的地址信息,以及至少部分上基于该地址信息确定用于将所述分组转发到目的地的映射信息是否出现在所述数据结构中。如果所述映射信息出现在所述数据结构中,则所述映射信息被用于将所述分组发送到所述目的地。如果所述映射信息未出现在所述数据结构中,则所述分组被发送到所述父分区。在另一实施例中,提供了一种网络接口控制器,所述网络接口控制器适于用作运行虚拟化计算环境的计算设备的一部分,所述虚拟化计算环境包括父分区和至少一个虚拟机。所述网络接口控制器包括适于转发接收的分组的处理器。所述转发包括接收分组和执行所述分组的虚拟化地址处理的至少一部分。至少部分上基于所述虚拟化地址处理的结果转发所述分组。在进一步的实施例中,提供了一种网络接口控制器,所述网络接口控制器适于用作运行虚拟化计算环境的计算设备的一部分,所述虚拟化计算环境包括父分区和至少一个虚拟机。所述网络接口控制器包括处理器和至少一个包含指令的计算机存储介质,其中,所述指令当被所述处理器执行时执行一种方法。所述方法包括从所述至少一个虚拟机接收分组和加密的地址信息,以及对所述加密的地址信息进行解密。所述方法进一步包括通过将所述解密的地址信息插入所述分组的报头中来对所述分组进行封装,以及将所述封装的分组发送到外部网络。在进一步的实施例中,提供了一种将计算设备运转为实现虚拟化计算环境的方法,其中,所述虚拟化计算环境包括父分区和至少一个虚拟机。所述方法包括所述虚拟机从所述父分区请求地址信息。所述方法还包括所述父分区对所述请求的地址信息进行加密和将所述加密的地址信息发送到所述虚拟机。此外,所述方法包括所述虚拟机使用所述加密的地址信息将分组发送到所述计算设备的网络接口控制器。在进一步的实施例中,提供了一种将计算设备运转为实现虚拟化计算环境的方法,其中,所述虚拟化计算环境包括父分区和至少一个虚拟机。所述方法包括所述虚拟机确定满足准则的映射信息,并请求所述父分区向网络接口控制器发送满足所述准则的所述映射信息。所述方法进一步包括所述父分区向所述网络接口控制器发送所述请求的映射信息。前述是对本专利技术的非限制性总结,本专利技术由所附权利要求定义。附图说明附图不旨在按比例画出。在附图中,各种图中示出的每个相同或近似相同的部件用相同数字来表示。为清楚起见,并非每个部件都可以在每个图中被标记出。在附图中。图1是某些实施例可以在其中运转的示例性计算系统的略图。图2A是使用常规技术来传送数据的运行虚拟化计算环境的宿主计算设备的示意图。图2B是使用常规 技术来接收数据的运行虚拟化计算环境的宿主计算设备的示意图。图3是在虚拟化计算环境中传送信息的方法的实施例的流程图,其中,网络接口控制器(NIC)适于在所述虚拟化计算环境中实现网络策略。图4A是运行虚拟化计算环境的宿主计算设备中的传送路径的实施例的示意图,其中,网络接口控制器(NIC)适于在所述虚拟化计算环境中实现网络策略。图4B是运行虚拟化计算环境的宿主计算设备中的接收路径的实施例的示意图, 其中,网络接口控制器(NIC)适于在所述虚拟化计算环境中实现网络策略。图5是VM请求将信息从父分区卸载到NIC的方法的实施例的流程图。图6是运行虚拟化计算环境的宿主计算设备的实施例的示意图,其中,在所述虚拟化计算环境中,虚拟机请求将信息卸载到适于实现网络策略的网络接口控制器(NIC)。图7A是与分组关联的路由和地址信息的实施例的简化图,其中,所述分组在虚拟化计算环境中进行传送,网络接口控制器(NIC)适于在虚拟化计算环境中实现网络策略。图7B是与NIC中的虚拟端口关联的路由和地址信息的一个实施例的简化图,其中,所述NIC适于在虚拟化计算环境中实现网络策略。图7C是路由和地址信息的一个实施例的简化图,所述路由和地址信息被存储在运行虚拟化计算环境的宿主计算设备中并被其使用。图7D是包括报头的已封装分组的实施例的简化图,所述报头适于被运行虚拟化计算环境的宿主计算设备使用。图8是在运行虚拟化计算环境的宿主计算设备中传送数据的方法的实施例的流程图,其中,在所述虚拟化计算环境中,NIC适于执行封装,并且使用带外数据与父分区通信映射信息。图9是运行虚拟化计算环境的宿主计算设备中的传送路径的实施例的示意图,其中,在所述虚拟化计算环境中,NIC适于执行封装,并且使用带外数据与父分区通信映射信肩、O图10是运行虚拟化计算环境的宿主计算设备中接收数据的方法的实施例的流程图,其中,在所述虚拟化计算环境中,NIC适于执行封本文档来自技高网...
【技术保护点】
一种适于用作运行虚拟化计算环境的计算设备(400)的一部分的网络接口控制器(408),所述虚拟化计算环境包括父分区(404)和至少一个虚拟机(402),所述网络接口控制器包括:包含数据结构(420)的存储器(412);以及适于转发接收的分组的处理器(410),所述转发包括:?????确定(304)与所述分组关联的地址信息;?????至少部分上基于所述地址信息,确定(306)用于将所述分组转发到目的地的映射信息是否出现在所述数据结构(420)中;?????如果所述映射信息出现在所述数据结构(420)中,则使用所述映射信息将所述分组发送(310)到所述目的地;以及?????如果所述映射信息未出现在所述数据结构中,则将所述分组发送(312)到所述父分区。
【技术特征摘要】
2011.09.07 US 61/532,002;2012.08.02 US 13/565,3691.一种适于用作运行虚拟化计算环境的计算设备(400)的一部分的网络接口控制器(408),所述虚拟化计算环境包括父分区(404)和至少一个虚拟机(402),所述网络接口控制器包括 包含数据结构(420)的存储器(412);以及 适于转发接收的分组的处理器(410),所述转发包括 确定(304)与所述分组关联的地址信息;至少部分上基于所述地址信息,确定(306)用于将所述分组转发到目的地的映射信息是否出现在所述数据结构(420)中;如果所述映射信息出现在所述数据结构(420)中,则使用所述映射信息将所述分组发送(310)到所述目的地;以及如果所述映射信息未出现在所述数据结构中,则将所述分组发送(312)到所述父分区。2.根据权利要求1的网络接口控制器,其中,所述数据结构包含映射表,所述映射表将所述地址信息与所述目的地的地址相关联。3.根据权利要求1的网络接口控制器,其中,所述数据结构包含安全策略,所述安全策略指示指派给所述分组的授权级别。4.一种适于用作运行虚拟化计算环境的计算设备(400)的一部分的网络接口控制器(408),所述虚拟化计算环境包括父分区(404)和至少一个虚拟机(402),所述网络接口控制器包括 适于转发接收的分组的处理器(410),所述转发包括 接收(302)分组; 执行(308)对所述分组的虚拟化地址处理的至少一部分;以及 至少部分基于所述虚拟化地址处理的一部分转发(310)所述分组。5.根据权利要求4的网络接口控制器,其中 接收所述分组进一步包括从外部网络接收所述分组; 执行虚拟化地址处理的至少一部分包括,通过从所述分组的报头获取地址信息而对所述分组进行解封装;以及 转发所述分组包括将所述已解封装的分组和所述地址信息发送到所述父分区。6.根据权利要求4的网络接口控制器,其中 接收所述分组进一步包括从所述父分区接收所述分组和地址信息; 执...
【专利技术属性】
技术研发人员:M斯里哈兰,NA文卡塔拉迈亚,王俞舜,AG格林伯格,A达巴格,P加格,DM费尔斯通,
申请(专利权)人:微软公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。