專利名稱:服務(wù)環(huán)境中虛擬機(jī)的安全動(dòng)態(tài)遷移的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及虛擬化的領(lǐng)域,并且更具體地涉及在虛擬化環(huán)境中遷移虛擬機(jī)。
背景技術(shù):
幾十年來(lái),計(jì)算意味著應(yīng)用和支持平臺(tái)。直到二十世紀(jì)后期,主機(jī)計(jì)算環(huán)境包括處理器核心、輸入/輸出、存儲(chǔ)器和固定存儲(chǔ)的硬件基礎(chǔ)設(shè)施,硬件基礎(chǔ)設(shè)施的組合支持操作系統(tǒng),操作系統(tǒng)接著支持每次單個(gè)應(yīng)用的運(yùn)行。逐漸地,隨著處理器能力成指數(shù)增長(zhǎng),操作系統(tǒng)的先進(jìn)形式實(shí)現(xiàn)模擬和實(shí)際多任務(wù),使得多應(yīng)用可以在同一主機(jī)計(jì)算環(huán)境中運(yùn)行。最初,應(yīng)用是對(duì)核心對(duì)象文件和相關(guān)資源文件以外依賴很少的獨(dú)立邏輯束。然而, 隨著計(jì)算變成現(xiàn)代工業(yè)所必需的,應(yīng)用變得共同依賴于其它應(yīng)用的存在,使得應(yīng)用的必要環(huán)境不僅包括底層操作系統(tǒng)和支持硬件平臺(tái),而且包括其它關(guān)鍵應(yīng)用,包括應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)管理服務(wù)器、協(xié)作服務(wù)器和統(tǒng)稱為中間件的通信邏輯。然而,已知應(yīng)用復(fù)雜性和平臺(tái)互操作性,在單個(gè)硬件平臺(tái)中運(yùn)行的應(yīng)用的不同組合可以展示不同程度的性能和穩(wěn)定性。虛擬化作為一種技術(shù)致力于在硬件平臺(tái)和操作系統(tǒng)以及運(yùn)行應(yīng)用之間插入一層。 從商業(yè)連續(xù)性和故障恢復(fù)的觀點(diǎn)看,虛擬化提供了環(huán)境可移值性的固有優(yōu)點(diǎn)。具體地,移動(dòng)配置有多個(gè)不同應(yīng)用的整體環(huán)境是將虛擬映像從一個(gè)支持硬件平臺(tái)移動(dòng)到另一個(gè)支持硬件平臺(tái)的問(wèn)題。此外,更強(qiáng)大的計(jì)算環(huán)境可以支持多個(gè)不同虛擬映像的共存,始終維持各映像之間的虛擬分離。結(jié)果,一個(gè)虛擬映像中的故障情況不能危害同一硬件平臺(tái)中其它共存虛擬映像的完整性。虛擬機(jī)監(jiān)視器(本領(lǐng)域中已知為“管理程序(hypervisor) ” )管理每個(gè)虛擬映像和由硬件平臺(tái)提供的底層資源。在這點(diǎn)上,裸機(jī)(bare metal)管理程序直接在硬件平臺(tái)上運(yùn)行,非常像操作系統(tǒng)直接在硬件上運(yùn)行。比較起來(lái),托管管理程序(hosted hypervisor) 在主機(jī)操作系統(tǒng)中運(yùn)行。在任一情況下,管理程序可以支持已知為虛擬機(jī)(VM)映像的不同 “客戶操作系統(tǒng)映像”的操作,VM映像的數(shù)目?jī)H受保持VM映像的VM容器(container)的處理資源或硬件平臺(tái)本身限制。虛擬化已經(jīng)證明對(duì)于要求用于不同類型的應(yīng)用的分開(kāi)計(jì)算環(huán)境同時(shí)受限于單個(gè)硬件平臺(tái)的那些終端用戶特別有用。例如,已知專用于(native to) 一種類型的硬件平臺(tái)的主要操作系統(tǒng)提供專用于不同硬件平臺(tái)的虛擬化客戶操作系統(tǒng),使得要求客戶操作系統(tǒng)存在的各應(yīng)用可以與要求主要操作系統(tǒng)存在的其它應(yīng)用共存。以此方式,終端用戶不需要提供每個(gè)用于支持不同類型的應(yīng)用的分開(kāi)的計(jì)算環(huán)境。另外,不論客戶操作系統(tǒng)如何,對(duì)于單個(gè)硬件平臺(tái)的底層資源的訪問(wèn)保持不變。已經(jīng)部署虛擬化環(huán)境來(lái)在構(gòu)成應(yīng)用解決方案時(shí)集合不同VM中的不同相互依賴的應(yīng)用。例如,應(yīng)用服務(wù)器可以在一個(gè)VM中運(yùn)行,同時(shí)數(shù)據(jù)庫(kù)管理系統(tǒng)可以在不同VM中運(yùn)行, 并且此外同時(shí)Web服務(wù)器可以在另一 VM中運(yùn)行。每個(gè)VM可以在安全網(wǎng)絡(luò)中相互通信地耦合,然而,應(yīng)用的部署的任何給定一個(gè)可以動(dòng)態(tài)遷移到不同部署,而不干擾其它VM中的其它應(yīng)用的運(yùn)行。在典型的動(dòng)態(tài)遷移中,VM可以從一個(gè)主機(jī)服務(wù)器移動(dòng)到另一主機(jī)服務(wù)器,以便允許服務(wù)器維護(hù)或允許對(duì)于VM的硬件支持的改進(jìn)。動(dòng)態(tài)遷移在用于管理用于應(yīng)用解決方案的不同應(yīng)用的運(yùn)行的VM的安全計(jì)算環(huán)境中頻繁出現(xiàn)。另外,動(dòng)態(tài)遷移還在安全環(huán)境的外部出現(xiàn)。具體地,有時(shí)VM移動(dòng)到用于管理應(yīng)用解決方案的剩余應(yīng)用的剩余VM的安全計(jì)算環(huán)境外部的網(wǎng)絡(luò)環(huán)境。結(jié)果,由外部網(wǎng)絡(luò)中的VM管理的應(yīng)用和由安全計(jì)算環(huán)境中VM管理的應(yīng)用之間的通信可以通過(guò)來(lái)自安全計(jì)算環(huán)境外部的數(shù)據(jù)交換折衷。因此,到安全計(jì)算網(wǎng)絡(luò)外部的主機(jī)服務(wù)器的動(dòng)態(tài)遷移可能將安全性弱點(diǎn)引入應(yīng)用解決方案。
發(fā)明內(nèi)容
本發(fā)明的實(shí)施例解決本領(lǐng)域關(guān)于虛擬環(huán)境中動(dòng)態(tài)遷移的缺陷,并且提供一種用于安全計(jì)算環(huán)境外部的VM的安全動(dòng)態(tài)遷移的新穎的和非顯而易見(jiàn)的方法、系統(tǒng)和計(jì)算機(jī)程序。在本發(fā)明的實(shí)施例中,一種用于虛擬計(jì)算環(huán)境中VM的安全動(dòng)態(tài)遷移的方法可以包括選擇安全虛擬化計(jì)算環(huán)境中的VM用于動(dòng)態(tài)遷移到不同虛擬化計(jì)算環(huán)境,并且阻止與選擇的 VM和安全虛擬化計(jì)算環(huán)境中的其它VM的數(shù)據(jù)通信??梢詫⑦x擇的VM動(dòng)態(tài)遷移到不同虛擬化計(jì)算環(huán)境,并且可以在不同虛擬化計(jì)算環(huán)境中重啟VM。特別地,可以建立重啟的VM與安全虛擬化計(jì)算環(huán)境中至少一個(gè)其它VM之間的安全通信鏈路。最后,可以啟用重啟的VM與至少一個(gè)其它VM之間通過(guò)安全通信鏈路的數(shù)據(jù)通信。在本發(fā)明的另一實(shí)施例中,可以提供一種虛擬化計(jì)算數(shù)據(jù)處理系統(tǒng)。該系統(tǒng)可以包括安全虛擬化計(jì)算環(huán)境,其包括管理安全虛擬化計(jì)算環(huán)境中的VM的管理程序。該系統(tǒng)還可以包括不同虛擬化計(jì)算環(huán)境,其包括管理不同虛擬化計(jì)算環(huán)境中的VM的管理程序。注意到,動(dòng)態(tài)遷移邏輯可以耦合到安全虛擬化計(jì)算環(huán)境和不同虛擬化計(jì)算環(huán)境的每個(gè)。所述邏輯可以包括這樣的程序代碼,使得能夠選擇安全虛擬化計(jì)算環(huán)境中的VM 之一用于動(dòng)態(tài)遷移到不同虛擬化計(jì)算環(huán)境,并且阻止與選擇的VM和安全虛擬化計(jì)算環(huán)境中的其它VM的數(shù)據(jù)通信。所述程序代碼還可以使得能夠?qū)⑦x擇的VM動(dòng)態(tài)遷移到不同虛擬化計(jì)算環(huán)境,并且在不同虛擬化計(jì)算環(huán)境中重啟VM。此外,所述程序代碼還可以使得能夠建立重啟的VM與安全虛擬化計(jì)算環(huán)境中至少一個(gè)其它VM之間的安全通信鏈路。最后,所述程序代碼還可以使得能夠啟用重啟的VM與至少一個(gè)其它VM之間通過(guò)安全通信鏈路的數(shù)據(jù)通信。將在以下描述中部分地闡述本發(fā)明的額外方面,并且部分地將是從描述顯而易見(jiàn),或者可以通過(guò)本發(fā)明的實(shí)踐獲知。將通過(guò)在權(quán)利要求中特別指出的元件和組合實(shí)現(xiàn)和獲得本發(fā)明的各方面。要理解的是,前述一般描述和以下詳細(xì)描述僅僅是示例性和說(shuō)明性的,并且不像權(quán)利要求一樣限制本發(fā)明。根據(jù)一個(gè)方面,一種包括計(jì)算機(jī)可用介質(zhì)的計(jì)算機(jī)程序產(chǎn)品,所述計(jì)算機(jī)可用介質(zhì)收錄用于虛擬計(jì)算環(huán)境中虛擬機(jī)(VM)的安全動(dòng)態(tài)遷移的計(jì)算機(jī)可用程序代碼,所述計(jì)算機(jī)程序產(chǎn)品包括用于選擇安全虛擬化計(jì)算環(huán)境中的VM用于動(dòng)態(tài)遷移到不同虛擬化計(jì)算環(huán)境、并且阻止與選擇的VM和安全虛擬化計(jì)算環(huán)境中的其它VM的數(shù)據(jù)通信的計(jì)算機(jī)可用程序代碼;用于將選擇的VM動(dòng)態(tài)遷移到不同虛擬化計(jì)算環(huán)境、并且在不同虛擬化計(jì)算環(huán)境中重啟VM的計(jì)算機(jī)可用程序代碼;用于建立重啟的VM與安全虛擬化計(jì)算環(huán)境中至少一個(gè)其它VM之間的安全通信鏈路的計(jì)算機(jī)可用程序代碼;以及用于啟用重啟的VM與至少一個(gè)其它VM之間通過(guò)安全通信鏈路的數(shù)據(jù)通信的計(jì)算機(jī)可用程序代碼。
現(xiàn)在僅通過(guò)示例的方式,參照以下附圖描述本發(fā)明的優(yōu)選實(shí)施例圖1是根據(jù)優(yōu)選實(shí)施例的、虛擬化計(jì)算環(huán)境中的安全動(dòng)態(tài)遷移的過(guò)程的圖示說(shuō)明;圖2是根據(jù)優(yōu)選實(shí)施例的、為安全動(dòng)態(tài)遷移配置的虛擬計(jì)算數(shù)據(jù)處理系統(tǒng)的示意性圖示;以及圖3是根據(jù)優(yōu)選實(shí)施例的、圖示虛擬化計(jì)算環(huán)境中的安全動(dòng)態(tài)遷移的過(guò)程的流程圖。
具體實(shí)施例方式本發(fā)明的實(shí)施例提供一種用于虛擬化計(jì)算環(huán)境中的安全動(dòng)態(tài)遷移的方法、系統(tǒng)和計(jì)算機(jī)程序產(chǎn)品。根據(jù)本發(fā)明的實(shí)施例,可以在安全的虛擬化環(huán)境中安排一組VM,每個(gè)VM 作為用于計(jì)算應(yīng)用的應(yīng)用組件的主機(jī)。各VM中選擇的VM可以通過(guò)不安全的計(jì)算機(jī)通信網(wǎng)絡(luò)(例如全球因特網(wǎng))動(dòng)態(tài)遷移到通信地耦合到安全虛擬化環(huán)境的不同虛擬化環(huán)境中的主機(jī)。然而,在動(dòng)態(tài)遷移的過(guò)程中,在動(dòng)態(tài)遷移之前可以終止選擇的VM和其它VM之間的通信。 此后,可以在不同的虛擬化環(huán)境中重啟選擇的VM,并且可以在選擇的VM和其它VM之間建立安全通道(tunnel)。最后,選擇的VM和其它VM可以經(jīng)由該通道通過(guò)計(jì)算機(jī)通信網(wǎng)絡(luò)互操作,以便確保它們之間的安全數(shù)據(jù)通信。在圖示中,圖1繪圖地描述虛擬化計(jì)算環(huán)境中安全動(dòng)態(tài)遷移的過(guò)程。如圖1所示, 可以提供安全虛擬化環(huán)境110A,以包括通過(guò)托管應(yīng)用組件相互互操作的多個(gè)不同VM 130、 140,以便形成復(fù)合應(yīng)用。VM 130、140的每個(gè)可以通過(guò)內(nèi)部通信鏈路150相互通信。VM 130、 140中選擇的VM 140可以通過(guò)計(jì)算機(jī)通信網(wǎng)絡(luò)120動(dòng)態(tài)遷移到通信地耦合到安全虛擬化環(huán)境IlOA的不同虛擬化環(huán)境110B。然而,在執(zhí)行選擇的VM 140的動(dòng)態(tài)遷移之前,可以停用支持與其它VM130的通信鏈路150的網(wǎng)絡(luò)接口 160,或者可以通過(guò)網(wǎng)絡(luò)接口 160的管理停用或者抑制選擇的VM 140 和其它VM 130之間的通信量。一旦選擇的VM 140已經(jīng)動(dòng)態(tài)遷移到不同的虛擬化環(huán)境110B, 就可以通過(guò)計(jì)算機(jī)通信網(wǎng)絡(luò)120在選擇的VM 140和其它VM 130之間建立安全通信鏈路 170。在這點(diǎn)上,對(duì)于安全通信鏈路170符合因特網(wǎng)協(xié)議(IP)安全性(IPSec)的程度,可以為安全通信鏈路170建立IPSec策略180,并且結(jié)合選擇的VM 140安裝。此后,可以啟用選擇的VM 140和其它VM 130之間的互操作。結(jié)合圖1描述的過(guò)程可以在虛擬計(jì)算數(shù)據(jù)處理系統(tǒng)中實(shí)施。在圖示中,圖2示意性示出配置用于安全動(dòng)態(tài)遷移的虛擬計(jì)算數(shù)據(jù)處理系統(tǒng)。該系統(tǒng)可以包括通過(guò)計(jì)算機(jī)通信網(wǎng)絡(luò)220(例如,全球因特網(wǎng))通信地耦合到不同虛擬化計(jì)算環(huán)境210B的安全虛擬化計(jì)算環(huán)境210A。安全虛擬化計(jì)算環(huán)境210A可以包括支持管理程序MOA的操作的至少一個(gè)主機(jī)服務(wù)器230A。管理程序MOA接著可以管理多個(gè)不同VM 260A的操作,并且每個(gè)VM 260A 可以作為組合來(lái)提供計(jì)算應(yīng)用的一個(gè)或多個(gè)應(yīng)用組件(未示出)的運(yùn)行的主機(jī)。不同虛擬化計(jì)算環(huán)境210B還可以包括支持管理程序MOB的操作的至少一個(gè)主機(jī)服務(wù)器230B。管理程序MOB接著可以管理多個(gè)不同VM ^OB的操作,并且每個(gè)VM 260B 可以作為組合來(lái)提供計(jì)算應(yīng)用的一個(gè)或多個(gè)應(yīng)用組件(未示出)的運(yùn)行的主機(jī)。值得注意的,動(dòng)態(tài)遷移邏輯300可以耦合到安全虛擬化計(jì)算環(huán)境210A和不同虛擬化計(jì)算環(huán)境210B 兩者。動(dòng)態(tài)遷移邏輯300可以包括程序代碼,使得能夠在維持安全虛擬化計(jì)算環(huán)境210A和不同虛擬化計(jì)算環(huán)境210B之間的數(shù)據(jù)通信的安全性的同時(shí),將VM ^OA中選擇的一個(gè)從安全虛擬化計(jì)算環(huán)境210A動(dòng)態(tài)遷移到不同虛擬化計(jì)算環(huán)境210B。具體地,當(dāng)將VM 260A中選擇的一個(gè)動(dòng)態(tài)遷移到不同虛擬化計(jì)算環(huán)境210B作為不同虛擬化計(jì)算環(huán)境210B中的VM 260B時(shí),動(dòng)態(tài)遷移邏輯300的程序代碼可以使得能夠配置用于主機(jī)服務(wù)器230A的網(wǎng)絡(luò)適配器250A停用、過(guò)濾或者阻止安全虛擬化計(jì)算環(huán)境210A中的VM ^OA之間的數(shù)據(jù)通信。此外,動(dòng)態(tài)遷移邏輯300的程序代碼可以使得能夠在不同虛擬化計(jì)算環(huán)境210B中重啟VM 260B中動(dòng)態(tài)遷移的一個(gè),并且重新建立VM 260B中動(dòng)態(tài)遷移的一個(gè)與安全虛擬化計(jì)算環(huán)境210A中的VM 260A之間的數(shù)據(jù)通信。特別地,在建立主機(jī)服務(wù)器230B和主機(jī)服務(wù)器230A之間的通道時(shí),IPSec策略 270B可以與用于主機(jī)服務(wù)器230B的網(wǎng)絡(luò)適配器250B相關(guān)聯(lián)。同樣地,在建立主機(jī)服務(wù)器 230A和主機(jī)服務(wù)器230B之間的通道時(shí),IPSec策略270A可以與用于主機(jī)服務(wù)器230A的網(wǎng)絡(luò)適配器250A相關(guān)聯(lián)。當(dāng)然,要認(rèn)識(shí)到該通道不但可以容納分別由管理程序M0A、240B管理的VM 260AJ60B之間流動(dòng)的通信量,而且容納如邊緣路由器和安全性裝置的中間設(shè)備之間流動(dòng)的通信量,以命名幾個(gè)示例。一旦已經(jīng)建立通道,動(dòng)態(tài)遷移邏輯300的程序代碼就可以使得能夠恢復(fù)不同虛擬化計(jì)算環(huán)境210B中的VM 260B中動(dòng)態(tài)遷移的一個(gè)與安全虛擬化計(jì)算環(huán)境210A中VM 260A之間的數(shù)據(jù)通信。在動(dòng)態(tài)遷移邏輯300的操作的進(jìn)一步圖示中,圖3是圖示虛擬化計(jì)算環(huán)境中的安全動(dòng)態(tài)遷移的過(guò)程的流程圖。在塊310開(kāi)始,可以選擇安全虛擬化計(jì)算環(huán)境中的VM用于動(dòng)態(tài)遷移,并且在塊315中,與安全虛擬化計(jì)算環(huán)境分開(kāi)的不同虛擬化計(jì)算環(huán)境可以作為VM 的動(dòng)態(tài)遷移的目標(biāo)。在塊320中,可以停用與選擇的VM的數(shù)據(jù)通信,并且在塊325中,可以在安全虛擬化計(jì)算環(huán)境中關(guān)閉VM。在塊330中,可以將選擇的VM動(dòng)態(tài)遷移到不同虛擬化計(jì)算環(huán)境。在確定塊335中, 可以確定用于選擇的VM的整個(gè)子網(wǎng)絡(luò)是否已經(jīng)移動(dòng)到不同虛擬化計(jì)算環(huán)境。如果是,則在塊340中,可以建立安全虛擬化計(jì)算環(huán)境和不同虛擬化計(jì)算環(huán)境之間的通道,以便將意圖用于選擇的VM的安全虛擬化計(jì)算環(huán)境中的通信量重新定向到不同虛擬化計(jì)算環(huán)境。在塊 345中,可以在不同虛擬化計(jì)算環(huán)境中重啟選擇的VM,并且可以結(jié)合選擇的VM配置和安裝 IPSec策略,在確定塊355中,可以確定在選擇的VM和其它通信實(shí)體之間非管理連接是否持續(xù)。如果是,則在塊360中,可以檢索已經(jīng)安全的非管理連接的列表,例如通過(guò)IPkc、應(yīng)用透明(AT)傳送層安全性(TLQ和無(wú)條件TLS端口保護(hù)的那些連接。在塊365中,非管理連接中的剩余的不安全連接可以重置,并且重新建立為安全連接。此后,在塊370中,可以啟用不同虛擬化計(jì)算環(huán)境中的VM和安全虛擬化計(jì)算環(huán)境中的其它VM之間的數(shù)據(jù)通信。在確定塊375中,可以再次確定用于選擇的VM的整個(gè)子網(wǎng)絡(luò)是否已經(jīng)移動(dòng)到不同虛擬化計(jì)算環(huán)境。如果是,則在塊380中,可以檢查用于安全虛擬化計(jì)算環(huán)境的路由核心,以便確定合適的路由配置是否已經(jīng)傳送到路由核心,從而啟用數(shù)據(jù)分組到不同虛擬化計(jì)算環(huán)境的路由,而不管通道。在確定塊385中,可以確定是否已經(jīng)更新路由核心,以啟用數(shù)據(jù)分組到不同虛擬化計(jì)算環(huán)境的路由,而不管通道。如果否,則可以在塊380中再次檢查路由核心。然而,一旦已經(jīng)更新路由核心,在塊390中就可以移除通道, 并且過(guò)程可以在塊395中結(jié)束。本發(fā)明的實(shí)施例可以取整體硬件實(shí)施例、整體軟件實(shí)施例或包含硬件和軟件元件的實(shí)施例的形式。在優(yōu)選實(shí)施例中,以包括但不限于固件、駐留軟件、微代碼等的軟件實(shí)施本發(fā)明。此外,本發(fā)明可以采取可從計(jì)算機(jī)可用或計(jì)算機(jī)可讀介質(zhì)存取的計(jì)算機(jī)程序產(chǎn)品的形式,計(jì)算機(jī)可用或計(jì)算機(jī)可讀介質(zhì)提供用于由或結(jié)合計(jì)算機(jī)或任何指令執(zhí)行系統(tǒng)使用的程序代碼。為了描述的目的,計(jì)算機(jī)可用或計(jì)算機(jī)可讀介質(zhì)可以是任何裝置,其可以包含、存儲(chǔ)、通信、傳播或傳送用于由或結(jié)合指令執(zhí)行系統(tǒng)、裝置或設(shè)備使用的程序。介質(zhì)可以是電、 磁、光、電磁、紅外或半導(dǎo)體系統(tǒng)(或者裝置或設(shè)備)或傳播介質(zhì)。計(jì)算機(jī)可讀介質(zhì)的示例包括半導(dǎo)體或固態(tài)存儲(chǔ)器、磁帶、可移除計(jì)算機(jī)磁盤(pán)、隨機(jī)存取存儲(chǔ)器(RAM)、只讀存儲(chǔ)器 (ROM)、硬磁盤(pán)和光盤(pán)。光盤(pán)的當(dāng)前示例包括致密盤(pán)-只讀存儲(chǔ)器(⑶-ROM)、致密盤(pán)-讀/ 寫(xiě)(CD-R/W)和 DVD。適于存儲(chǔ)和/或運(yùn)行程序代碼的數(shù)據(jù)處理系統(tǒng)將包括至少一個(gè)通過(guò)系統(tǒng)總線直接或間接耦合到存儲(chǔ)器元件的處理器。存儲(chǔ)器元件可以包括在程序代碼的實(shí)際運(yùn)行期間采用的本地存儲(chǔ)器、大容量存儲(chǔ)、以及高速緩沖存儲(chǔ)器,該高速緩沖存儲(chǔ)器提供至少一些程序代碼的臨時(shí)存儲(chǔ),以便減少在運(yùn)行期間必須從大容量存儲(chǔ)檢索代碼的次數(shù)。輸入/輸出或者I/O設(shè)備(包括但不限于鍵盤(pán)、顯示器、頂定點(diǎn)設(shè)備等)可以直接或通過(guò)居間I/O控制器耦合到系統(tǒng)。網(wǎng)絡(luò)適配器也可以耦合到系統(tǒng),以便使得數(shù)據(jù)處理系統(tǒng)能夠變得通過(guò)居間的私有或公開(kāi)網(wǎng)絡(luò)耦合到其它數(shù)據(jù)處理系統(tǒng)或者遠(yuǎn)程打印機(jī)或者存儲(chǔ)設(shè)備。調(diào)制解調(diào)器、電纜調(diào)制解調(diào)器和以太網(wǎng)卡僅僅是幾個(gè)當(dāng)前可用類型的網(wǎng)絡(luò)適配器。
權(quán)利要求
1.一種用于虛擬化計(jì)算環(huán)境中的虛擬機(jī)(VM)的安全動(dòng)態(tài)遷移的方法,所述方法包括 選擇安全虛擬化計(jì)算環(huán)境中的VM用于動(dòng)態(tài)遷移到不同虛擬化計(jì)算環(huán)境,并且阻止與選擇的VM和安全虛擬化計(jì)算環(huán)境中的其它VM的數(shù)據(jù)通信;將選擇的VM動(dòng)態(tài)遷移到不同虛擬化計(jì)算環(huán)境,并且在不同虛擬化計(jì)算環(huán)境中重啟VM; 建立重啟的VM與安全虛擬化計(jì)算環(huán)境中至少一個(gè)其它VM之間的安全通信鏈路;以及啟用重啟的VM與至少一個(gè)其它VM之間通過(guò)安全通信鏈路的數(shù)據(jù)通信。
2.如權(quán)利要求1所述的方法,還包括添加安全虛擬化計(jì)算環(huán)境的路由核心與重啟的VM之間的通道;以及響應(yīng)于確定對(duì)于路由核心的更新,允許從安全虛擬化計(jì)算環(huán)境中的VM到重啟的VM的數(shù)據(jù)分組的路由,移除所述通道。
3.如權(quán)利要求1或2所述的方法,其中建立重啟的VM與安全虛擬化計(jì)算環(huán)境中至少一個(gè)其它VM之間的安全通信鏈路,包括配置用于重啟的VM與安全虛擬化計(jì)算環(huán)境中至少一個(gè)其它VM之間的安全通信的因特網(wǎng)協(xié)議(IP)安全性(IPkc)策略;以及根據(jù)配置的IPSec策略,建立重啟的VM與安全虛擬化計(jì)算環(huán)境中至少一個(gè)其它VM之間的符合IPkc的通信鏈路。
4.如權(quán)利要求1、2或3所述的方法,其中啟用重啟的VM與至少一個(gè)其它VM之間通過(guò)安全通信鏈路的數(shù)據(jù)通信,還包括確定在選擇的VM和其它通信實(shí)體之間持續(xù)的非管理連接; 識(shí)別非管理連接中的不安全連接;以及將識(shí)別的非管理連接中的不安全連接重置為安全連接,并且將非管理連接中的不安全連接重新建立為安全連接。
5.一種虛擬化計(jì)算數(shù)據(jù)處理系統(tǒng),包括安全虛擬化計(jì)算環(huán)境,其包括管理安全虛擬化計(jì)算環(huán)境中的多個(gè)虛擬機(jī)(VM)的管理程序;不同虛擬化計(jì)算環(huán)境,其包括管理不同虛擬化計(jì)算環(huán)境中的多個(gè)VM的管理程序; 耦合到安全虛擬化計(jì)算環(huán)境和不同虛擬化計(jì)算環(huán)境的每個(gè)的動(dòng)態(tài)遷移邏輯,所述邏輯包括這樣的程序代碼,其使得能夠選擇安全虛擬化計(jì)算環(huán)境中的VM之一用于動(dòng)態(tài)遷移到不同虛擬化計(jì)算環(huán)境,并且阻止與選擇的VM和安全虛擬化計(jì)算環(huán)境中的其它VM的數(shù)據(jù)通信,以將選擇的VM動(dòng)態(tài)遷移到不同虛擬化計(jì)算環(huán)境,并且在不同虛擬化計(jì)算環(huán)境中重啟 VM,建立重啟的VM與安全虛擬化計(jì)算環(huán)境中至少一個(gè)其它VM之間的安全通信鏈路,以及啟用重啟的VM與至少一個(gè)其它VM之間通過(guò)安全通信鏈路的數(shù)據(jù)通信。
6.如權(quán)利要求5所述的系統(tǒng),其中安全通信鏈路是符合因特網(wǎng)協(xié)議(IP)安全性 (IPSec)的安全通信鏈路。
7.如權(quán)利要求5或6所述的系統(tǒng),其中所述程序代碼還可操作用于 添加安全虛擬化計(jì)算環(huán)境的路由核心與重啟的VM之間的通道;以及響應(yīng)于確定對(duì)于路由核心的更新,允許從安全虛擬化計(jì)算環(huán)境中的VM到重啟的VM的數(shù)據(jù)分組的路由,移除所述通道。
8.如權(quán)利要求5到7的任一所述的系統(tǒng),其中為了建立重啟的VM與安全虛擬化計(jì)算環(huán)境中至少一個(gè)其它VM之間的安全通信鏈路,所述程序代碼可操作用于配置用于重啟的VM與安全虛擬化計(jì)算環(huán)境中至少一個(gè)其它VM之間的安全通信的因特網(wǎng)協(xié)議(IP)安全性(IPkc)策略;以及根據(jù)配置的IPSec策略,建立重啟的VM與安全虛擬化計(jì)算環(huán)境中至少一個(gè)其它VM之間的符合IPkc的通信鏈路。
9.如權(quán)利要求5到8的任一所述的系統(tǒng),其中為了啟用重啟的VM與至少一個(gè)其它VM 之間通過(guò)安全通信鏈路的數(shù)據(jù)通信,所述程序代碼可操作用于確定選擇的VM和其它通信實(shí)體之間持續(xù)的非管理連接; 識(shí)別非管理連接中的不安全連接;以及將識(shí)別的非管理連接中的不安全連接重置為安全連接,并且將非管理連接中的不安全連接重新建立為安全連接。
10.一種包括計(jì)算機(jī)可用介質(zhì)的計(jì)算機(jī)程序產(chǎn)品,所述計(jì)算機(jī)可用介質(zhì)收錄用于虛擬計(jì)算環(huán)境中的虛擬機(jī)(VM)的安全動(dòng)態(tài)遷移的計(jì)算機(jī)可用程序代碼,所述計(jì)算機(jī)程序產(chǎn)品包括用于選擇安全虛擬化計(jì)算環(huán)境中的VM用于動(dòng)態(tài)遷移到不同虛擬化計(jì)算環(huán)境、并且阻止與選擇的VM和安全虛擬化計(jì)算環(huán)境中的其它VM的數(shù)據(jù)通信的計(jì)算機(jī)可用程序代碼;用于將選擇的VM動(dòng)態(tài)遷移到不同虛擬化計(jì)算環(huán)境、并且在不同虛擬化計(jì)算環(huán)境中重啟VM的計(jì)算機(jī)可用程序代碼;用于建立重啟的VM與安全虛擬化計(jì)算環(huán)境中至少一個(gè)其它VM之間的安全通信鏈路的計(jì)算機(jī)可用程序代碼;以及用于啟用重啟的VM與至少一個(gè)其它VM之間通過(guò)安全通信鏈路的數(shù)據(jù)通信的計(jì)算機(jī)可用程序代碼。
11.如權(quán)利要求10所述的計(jì)算機(jī)程序產(chǎn)品,還包括用于添加安全虛擬化計(jì)算環(huán)境的路由核心與重啟的VM之間的通道的計(jì)算機(jī)可用程序代碼;以及用于響應(yīng)于確定對(duì)于路由核心的更新、允許從安全虛擬化計(jì)算環(huán)境中的VM到重啟的 VM的數(shù)據(jù)分組的路由、移除所述通道的計(jì)算機(jī)可用程序代碼。
12.如權(quán)利要求10或11所述的計(jì)算機(jī)程序產(chǎn)品,其中用于建立重啟的VM與安全虛擬化計(jì)算環(huán)境中至少一個(gè)其它VM之間的安全通信鏈路的計(jì)算機(jī)可用程序代碼,包括用于配置用于重啟的VM與安全虛擬化計(jì)算環(huán)境中至少一個(gè)其它VM之間的安全通信的因特網(wǎng)協(xié)議(IP)安全性(IPkc)策略的計(jì)算機(jī)可用程序代碼;以及用于根據(jù)配置的IPkc策略、建立重啟的VM與安全虛擬化計(jì)算環(huán)境中至少一個(gè)其它VM 之間的符合IPkc的通信鏈路的計(jì)算機(jī)可用程序代碼。
13.如權(quán)利要求10、11或12所述的計(jì)算機(jī)程序產(chǎn)品,其中用于啟用重啟的VM與至少一個(gè)其它VM之間通過(guò)安全通信鏈路的數(shù)據(jù)通信的計(jì)算機(jī)可用程序代碼,還包括用于確定選擇的VM和其它通信實(shí)體之間持續(xù)的非管理連接的計(jì)算機(jī)可用程序代碼; 用于識(shí)別非管理連接中的不安全連接的計(jì)算機(jī)可用程序代碼;以及用于將識(shí)別的非管理連接中的不安全連接重置為安全連接、并且將非管理連接中的不安全連接重建為安全連接的計(jì)算機(jī)可用程序代碼。
14. 一種包括程序代碼部件的計(jì)算機(jī)程序,所述程序代碼部件適于當(dāng)在計(jì)算機(jī)上運(yùn)行所述程序時(shí)執(zhí)行權(quán)利要求1到4的任一的方法。
全文摘要
在本發(fā)明的實(shí)施例中,一種用于虛擬化計(jì)算環(huán)境中的虛擬機(jī)(VM)的安全動(dòng)態(tài)遷移的方法可以包括選擇安全虛擬化計(jì)算環(huán)境中的VM用于動(dòng)態(tài)遷移到不同虛擬化計(jì)算環(huán)境,并且阻止與選擇的VM和安全虛擬化計(jì)算環(huán)境中的其它VM的數(shù)據(jù)通信??梢詫⑦x擇的VM動(dòng)態(tài)遷移到不同虛擬化計(jì)算環(huán)境,并且可以在不同虛擬化計(jì)算環(huán)境中重啟VM。特別地,可以建立重啟的VM與安全虛擬化計(jì)算環(huán)境中至少一個(gè)其它VM之間的安全通信鏈路。最后,可以啟用重啟的VM與至少一個(gè)其它VM之間通過(guò)安全通信鏈路的數(shù)據(jù)通信。
文檔編號(hào)G06F9/455GK102160036SQ200980135877
公開(kāi)日2011年8月17日 申請(qǐng)日期2009年9月10日 優(yōu)先權(quán)日2008年9月15日
發(fā)明者小林伍德.H.奧弗比, 拉普.T.哈因, 西瓦拉姆.戈蒂穆卡拉, 邁克爾.勞, 迪娜卡蘭.約瑟夫, 韋斯利.M.迪瓦恩 申請(qǐng)人:國(guó)際商業(yè)機(jī)器公司