與虛擬機(jī)相關(guān)聯(lián)的增強(qiáng)的網(wǎng)絡(luò)服務(wù)的虛擬化移動(dòng)的制作方法
【專利摘要】在一個(gè)實(shí)施例中�,一種方法包括:檢測(cè)由第一物理主機(jī)執(zhí)行的虛擬機(jī)向目的地物理主機(jī)的移動(dòng)處理的啟動(dòng);啟動(dòng)由第一網(wǎng)絡(luò)實(shí)體執(zhí)行的有狀態(tài)處理的轉(zhuǎn)移��,并且向在第一物理主機(jī)中執(zhí)行的虛擬機(jī)提供增強(qiáng)的網(wǎng)絡(luò)服務(wù)�����,包括使得增強(qiáng)的網(wǎng)絡(luò)服務(wù)的執(zhí)行參數(shù)被發(fā)送至第二網(wǎng)絡(luò)實(shí)體���;以及完成虛擬機(jī)向目的地物理主機(jī)的移動(dòng)處理��,以響應(yīng)檢測(cè)到有狀態(tài)處理正在第二網(wǎng)絡(luò)實(shí)體中執(zhí)行并且準(zhǔn)備提供增強(qiáng)的網(wǎng)絡(luò)服務(wù)以供目的地物理主機(jī)中的虛擬機(jī)執(zhí)行。
【專利說明】與虛擬機(jī)相關(guān)聯(lián)的增強(qiáng)的網(wǎng)絡(luò)服務(wù)的虛擬化移動(dòng)
【技術(shù)領(lǐng)域】
[0001]本公開總體涉及使得虛擬機(jī)可以動(dòng)態(tài)地被從一個(gè)物理服務(wù)器移動(dòng)到另一物理服務(wù)器的虛擬化技術(shù)�。
【背景技術(shù)】
[0002]該部分描述的是可能被采用的方法,但不一定是先前設(shè)想或采用過的方法��。因此�,除非以其他方式明確地指出,否則��,本部分中所描述的任何方法相對(duì)本申請(qǐng)中的權(quán)利要求而言都不是現(xiàn)有技術(shù)�����,并且本部分中所描述的任何方法都不因?yàn)楸话ㄔ诒静糠种卸怀姓J(rèn)為現(xiàn)有技術(shù)。
[0003]云計(jì)算使得可以對(duì)可配置資源的共享池進(jìn)行網(wǎng)絡(luò)訪問�,這些資源能通過盡可能少的管理工作快速地被供應(yīng)和發(fā)行。云計(jì)算可以基于一個(gè)或多個(gè)數(shù)據(jù)中心來實(shí)現(xiàn)��,這些數(shù)據(jù)中心實(shí)現(xiàn)一個(gè)或多個(gè)被稱為“服務(wù)器”的物理計(jì)算機(jī)器:在管理代理(management agent)的控制下�,物理服務(wù)器分配計(jì)算和存儲(chǔ)資源以形成“虛擬機(jī)”。虛擬機(jī)可以在管理代理的控制下提供計(jì)算服務(wù)�����。虛擬化技術(shù)使得虛擬機(jī)可以動(dòng)態(tài)地被從一個(gè)物理服務(wù)器移動(dòng)到目的地物理服務(wù)器�,其中,目的地物理服務(wù)器可以處于相同的數(shù)據(jù)中心��,也可以處于不同的數(shù)據(jù)中心��。然而�����,動(dòng)態(tài)地移動(dòng)虛擬機(jī)的能力引入了多項(xiàng)挑戰(zhàn)���,這些挑戰(zhàn)使得可移動(dòng)的虛擬機(jī)對(duì)于改善的防火墻保護(hù)的需要成為必需��。
【發(fā)明內(nèi)容】
[0004]在一個(gè)實(shí)施例中��,一種方法包括:檢測(cè)由第一物理主機(jī)執(zhí)行的虛擬機(jī)到目的地物理主機(jī)的移動(dòng)處理的啟動(dòng)��;啟動(dòng)對(duì)由第一網(wǎng)絡(luò)實(shí)體執(zhí)行的有狀態(tài)處理(stateful process)的轉(zhuǎn)移���,并且為在第一網(wǎng)絡(luò)實(shí)體中執(zhí)行的虛擬機(jī)提供增強(qiáng)的網(wǎng)絡(luò)服務(wù)�����,包括使得針對(duì)增強(qiáng)的網(wǎng)絡(luò)服務(wù)的執(zhí)行參數(shù)被發(fā)送到第二網(wǎng)絡(luò)實(shí)體�;以及完成虛擬機(jī)到目的地物理主機(jī)的移動(dòng)處理���,以響應(yīng)檢測(cè)到有狀態(tài)處理正在第二網(wǎng)絡(luò)實(shí)體中執(zhí)行并且準(zhǔn)備提供增強(qiáng)的網(wǎng)絡(luò)服務(wù)以供目的地物理主機(jī)中的虛擬機(jī)執(zhí)行�����。
[0005]在另一實(shí)施例中,一種裝置包括第一電路和處理器電路��。第一電路被配置為:檢測(cè)由第一物理主機(jī)執(zhí)行的虛擬機(jī)到目的地物理主機(jī)的移動(dòng)處理的啟動(dòng)����。處理器電路被配置為:啟動(dòng)對(duì)由第一網(wǎng)絡(luò)實(shí)體執(zhí)行的有狀態(tài)處理的轉(zhuǎn)移,并且為由第一物理主機(jī)執(zhí)行的虛擬機(jī)提供增強(qiáng)的網(wǎng)絡(luò)服務(wù)�����。處理器電路被配置為:使得針對(duì)增強(qiáng)的網(wǎng)絡(luò)服務(wù)的執(zhí)行參數(shù)被送到第二網(wǎng)絡(luò)實(shí)體。處理器電路還被配置為:響應(yīng)于檢測(cè)到有狀態(tài)處理正在第二網(wǎng)絡(luò)實(shí)體中執(zhí)行并準(zhǔn)備提供增強(qiáng)的網(wǎng)絡(luò)服務(wù)以供目的地物理主機(jī)中的虛擬機(jī)執(zhí)行��,完成虛擬機(jī)到目的地物理主機(jī)的移動(dòng)處理����。
【專利附圖】
【附圖說明】
[0006]參照附圖,其中�����,被賦予相同標(biāo)號(hào)的要素在全文中表示同樣的要素����,并且其中:
[0007]圖1A、1B和IC示出了根據(jù)示例實(shí)施例具有下述裝置的示例系統(tǒng):該裝置用于在虛擬機(jī)從第一物理主機(jī)移動(dòng)到第二物理主機(jī)的移動(dòng)過程中將有狀態(tài)處理(例如���,防火墻處理)從第一網(wǎng)絡(luò)實(shí)體移動(dòng)到第二網(wǎng)絡(luò)實(shí)體��。
[0008]圖2示出了根據(jù)示例實(shí)施例����,用于將有狀態(tài)處理轉(zhuǎn)移給圖1的第二網(wǎng)絡(luò)實(shí)體并完成虛擬機(jī)到目的地主機(jī)的移動(dòng)處理的示例裝置。
[0009]圖3示出了根據(jù)示例實(shí)施例��,由圖2的裝置進(jìn)行的將有狀態(tài)處理轉(zhuǎn)移給第二網(wǎng)絡(luò)實(shí)體并將虛擬機(jī)移動(dòng)到目的地主機(jī)的示例方法����。
【具體實(shí)施方式】
[0010]具體實(shí)施例使得一個(gè)或多個(gè)虛擬機(jī)能夠動(dòng)態(tài)地被從數(shù)據(jù)中心中的一個(gè)物理機(jī)器(也稱為“物理主機(jī)”)移動(dòng)到第二物理機(jī)器,同時(shí)在向第二物理機(jī)器移動(dòng)之前�、期間以及之后維護(hù)虛擬機(jī)的防火墻保護(hù)。具體的實(shí)施例使得防火墻保護(hù)能夠在提供防火墻服務(wù)的物理機(jī)器(也稱為“網(wǎng)絡(luò)實(shí)體”)之間動(dòng)態(tài)地被轉(zhuǎn)移�,即使這些網(wǎng)絡(luò)實(shí)體獨(dú)立于并且不同于虛擬機(jī)的動(dòng)態(tài)轉(zhuǎn)移中涉及到的物理機(jī)器。
[0011]如果目的地物理主機(jī)由不同的防火墻設(shè)備服務(wù)���,則將虛擬機(jī)從第一物理主機(jī)移動(dòng)到目的地物理主機(jī)的傳統(tǒng)技術(shù)會(huì)遇到問題����。例如��,假設(shè)(在移動(dòng)之前執(zhí)行虛擬機(jī)的)第一物理主機(jī)與保護(hù)第一物理主機(jī)的第一防火墻設(shè)備相關(guān)聯(lián)����,并且(在移動(dòng)過程中接收虛擬機(jī)的)目的地物理主機(jī)由獨(dú)立于并且不同于第一防火墻設(shè)備��、第一物理主機(jī)以及目的地物理主機(jī)的第二防火墻設(shè)備來保護(hù)�����;還假設(shè)在第一防火墻設(shè)備的監(jiān)督下,虛擬機(jī)在第一物理主機(jī)內(nèi)執(zhí)行過程中建立了多個(gè)網(wǎng)絡(luò)連接(例如���,傳輸控制協(xié)議(TCP)連接)�。與目的地物理主機(jī)相關(guān)聯(lián)的第二防火墻設(shè)備不知道虛擬機(jī)的執(zhí)行狀態(tài)���,因此不知道在第一物理主機(jī)內(nèi)建立的任何網(wǎng)絡(luò)連接���。因此,虛擬機(jī)一被轉(zhuǎn)移到目的地物理主機(jī)�����,虛擬機(jī)在第一物理主機(jī)內(nèi)執(zhí)行過程中已經(jīng)建立的任何網(wǎng)絡(luò)連接就將被第二防火墻設(shè)備丟棄�。
[0012]通過首先禁用防火墻設(shè)備來嘗試移動(dòng)虛擬機(jī)是不恰當(dāng)?shù)模驗(yàn)檫@樣的嘗試使得虛擬機(jī)被暴露于數(shù)據(jù)中心外部的攻擊����。嘗試在控制并轉(zhuǎn)移虛擬機(jī)的相同的超級(jí)管理器(hypervisor)域內(nèi)執(zhí)行防火墻處理也是不恰當(dāng)?shù)模驗(yàn)閷⑴c虛擬機(jī)處于相同的超級(jí)管理器域內(nèi)的防火墻處理虛擬化需要充足的計(jì)算資源�����;因此,將與虛擬機(jī)處于相同的超級(jí)管理器域內(nèi)的防火墻處理虛擬化不是可擴(kuò)展的����,尤其是在如果防火墻處理的優(yōu)化依賴用于執(zhí)行至少部分防火墻處理的專用集成電路的情況下。
[0013]根據(jù)示例實(shí)施例��,第一防火墻設(shè)備(也稱為源網(wǎng)絡(luò)實(shí)體或第一網(wǎng)絡(luò)實(shí)體)執(zhí)行針對(duì)虛擬機(jī)的防火墻服務(wù)��,而虛擬機(jī)在第一物理主機(jī)中被執(zhí)行以提供虛擬化服務(wù):第一防火墻設(shè)備將與防火墻服務(wù)相關(guān)聯(lián)的執(zhí)行狀態(tài)變量轉(zhuǎn)移到目的地防火墻設(shè)備與虛擬機(jī)從第一物理主機(jī)到第二物理主機(jī)的轉(zhuǎn)移同時(shí)進(jìn)行����。換言之,第一防火墻設(shè)備將虛擬機(jī)的防火墻狀態(tài)轉(zhuǎn)移到目的地防火墻設(shè)備���。目的地防火墻設(shè)備(也稱為目的地網(wǎng)絡(luò)實(shí)體)在激活在第二物理主機(jī)內(nèi)執(zhí)行的虛擬機(jī)之前�,啟動(dòng)針對(duì)移動(dòng)進(jìn)第二物理主機(jī)的虛擬機(jī)的防火墻服務(wù)。
[0014]因此,示例實(shí)施例使得與虛擬機(jī)相關(guān)聯(lián)的增強(qiáng)的網(wǎng)絡(luò)服務(wù)的虛擬化移動(dòng)能夠進(jìn)行��,而不需要在虛擬機(jī)的移動(dòng)過程中禁用增強(qiáng)的網(wǎng)絡(luò)服務(wù)。而且,虛擬化移動(dòng)可以以可擴(kuò)展的方式來實(shí)現(xiàn),而不對(duì)由虛擬機(jī)提供的虛擬化服務(wù)產(chǎn)生任何破壞�����。
[0015]圖1A��、1B和IC示出了根據(jù)示例實(shí)施例����,具有用于在虛擬機(jī)(VM)18U^^n�����,“VM#7”)從第一物理主機(jī)20a向第二物理主機(jī)20b移動(dòng)的過程中將有狀態(tài)處理14(例如���,防火墻處理(“F7”))從第一網(wǎng)絡(luò)實(shí)體16a移動(dòng)到第二網(wǎng)絡(luò)實(shí)體16b的裝置12的示例系統(tǒng)10���。
[0016]圖1A示出在虛擬機(jī)“VM#7” 18從第一物理主機(jī)20a向第二物理主機(jī)20b移動(dòng)之前、并且在有狀態(tài)處理“F7”14從第一網(wǎng)絡(luò)實(shí)體16a向第二網(wǎng)絡(luò)實(shí)體16b移動(dòng)之前的示例系統(tǒng)10����。第一物理主機(jī)20a和第二物理主機(jī)20b各自可以被實(shí)現(xiàn)為數(shù)據(jù)中心(DC)40內(nèi)的基于多處理器的服務(wù)器,其中�����,數(shù)據(jù)中心40經(jīng)由基于互聯(lián)網(wǎng)協(xié)議(IP)的網(wǎng)絡(luò)32(例如�,局域網(wǎng)(LAN)和/或廣域網(wǎng)(WAN))向用戶提供虛擬化服務(wù)(例如,云計(jì)算服務(wù))����。
[0017]在超級(jí)管理器30的控制下����,每個(gè)虛擬機(jī)在物理主機(jī)(例如�����,20a或20b)中被執(zhí)行����。每個(gè)超級(jí)管理器30使得多個(gè)虛擬機(jī)18能夠同時(shí)在相應(yīng)的物理主機(jī)20a或20b上被執(zhí)行。例如���,示例虛擬機(jī)“VM#1”�����、“VM#2”以及“VM#3” 18可以在由物理主機(jī)20b執(zhí)行的超級(jí)管理器30的控制下在物理主機(jī)20b中同時(shí)被執(zhí)行����;示例虛擬機(jī)“VM#4”�、“VM#5”、“VM#6”以及“VM#7” 18可以在由第一物理主機(jī)20a執(zhí)行的超級(jí)管理器30的控制下在第一物理主機(jī)20a中同時(shí)被執(zhí)行�����。每個(gè)虛擬機(jī)18可以包括其自身的操作系統(tǒng)實(shí)例和一個(gè)或多個(gè)提供虛擬化服務(wù)的應(yīng)用實(shí)例。示例性的超級(jí)管理器30是從Palo Alto, California的VMware, Inc.可得的VMware ESX主機(jī)���。
[0018]每個(gè)數(shù)據(jù)中心還可以包括:一個(gè)或多個(gè)訪問交換機(jī)34、一個(gè)或多個(gè)分布式交換機(jī)36以及將相應(yīng)的數(shù)據(jù)中心40連接到IP網(wǎng)絡(luò)32的一個(gè)或多個(gè)IP路由器(或等效交換機(jī))38��。訪問交換機(jī)34的示例可以包括來自San Jose, California的Cisco Systems的Cisco Catalyst 6500系列交換機(jī)�����。示例性的分布式交換機(jī)36可以包括來自CiscoSystems 的 Cisco Catalyst 6500 系列交換機(jī)�。因此,Cisco Catalyst 6500 系列交換機(jī)可以實(shí)現(xiàn)與訪問交換機(jī)34和/或分布式交換機(jī)36相關(guān)聯(lián)的操作。
[0019]如圖1A���、IB和IC所示����,第一物理主機(jī)20a����、目的地物理主機(jī)20b、第一網(wǎng)絡(luò)實(shí)體16a以及第二網(wǎng)絡(luò)實(shí)體16b分別為不同且獨(dú)立的物理機(jī)器���。第一網(wǎng)絡(luò)實(shí)體16a被配置為向在第一物理主機(jī)20a中執(zhí)行的任何處理提供增強(qiáng)的網(wǎng)絡(luò)服務(wù)(例如����,防火墻保護(hù)),并且第二網(wǎng)絡(luò)實(shí)體16b被配置為向在物理主機(jī)20b中執(zhí)行的任何處理提供增強(qiáng)的網(wǎng)絡(luò)服務(wù)�。因此,示出的由網(wǎng)絡(luò)實(shí)體16a執(zhí)行的防火墻處理“F7” 14只在物理主機(jī)20a內(nèi)執(zhí)行過程中向虛擬機(jī)“VM#7”18提供防火墻服務(wù)�。
[0020]因此,第一網(wǎng)絡(luò)實(shí)體16a和第二網(wǎng)絡(luò)實(shí)體16b處于由物理主機(jī)20a和20b執(zhí)行的超級(jí)管理器30的管理域的外部���。而且��,第一網(wǎng)絡(luò)實(shí)體16a和第二網(wǎng)絡(luò)實(shí)體16b各自可以包括專用集成電路(ASIC)以供增強(qiáng)的網(wǎng)絡(luò)服務(wù)的至少一部分的優(yōu)化執(zhí)行���。因此,在第一物理主機(jī)20a和目的地物理主機(jī)20b中執(zhí)行的超級(jí)管理器30不同于并且獨(dú)立于第一網(wǎng)絡(luò)實(shí)體和第二網(wǎng)絡(luò)實(shí)體16a和16b中執(zhí)行的管理接口����。
[0021]訪問交換機(jī)34可以在虛擬交換機(jī)管理器(VSM)44的控制下建立針對(duì)虛擬分布式交換機(jī)42的物理網(wǎng)絡(luò)連接。舉例來說�,虛擬分布式交換機(jī)42和虛擬交換機(jī)管理器44可以使用來自Cisco Systems的Cisco NexuslOOOV系列虛擬交換機(jī)模塊來實(shí)現(xiàn)。
[0022]虛擬分布式交換機(jī)42使得虛擬機(jī)“VM#7”18能夠在由裝置12執(zhí)行的管理實(shí)體46的控制下����,經(jīng)由通過網(wǎng)絡(luò)32在分布式交換機(jī)36和路由器38之間建立的物理數(shù)據(jù)鏈路(層2)被從第一物理主機(jī)20a移動(dòng)到目的地物理主機(jī)20b:也可以在分布式交換機(jī)36之間建立網(wǎng)絡(luò)連接(層3)�。在一個(gè)實(shí)施例中�����,網(wǎng)絡(luò)32可以被實(shí)現(xiàn)為局域網(wǎng)�����,在相同的地理位置(例如��,建筑物或校區(qū))內(nèi)的數(shù)據(jù)中心40之間提供數(shù)據(jù)中心互連��;在另一實(shí)施例中�����,網(wǎng)絡(luò)32可以被實(shí)現(xiàn)為連接分開幾百英里或幾千英里的數(shù)據(jù)中心40的廣域網(wǎng)(例如�����,互聯(lián)網(wǎng))��。
[0023]圖2示出了根據(jù)示例實(shí)施例�,用于將有狀態(tài)處理“F7”14轉(zhuǎn)移到第二網(wǎng)絡(luò)實(shí)體16b���、并且完成虛擬機(jī)“VM#7”18到目的地物理主機(jī)20b的移動(dòng)處理的示例裝置12�����。裝置12被實(shí)現(xiàn)為諸如主機(jī)用戶計(jì)算機(jī)之類的物理機(jī)器(也稱為“物理主機(jī)”)����,可以包括處理器電路22、存儲(chǔ)器電路24以及接口電路26��。處理器電路22可以被配置為基于經(jīng)由接口電路26接收到的管理用戶輸入來執(zhí)行管理實(shí)體46���。接口電路26可以包括用戶接口電路26a���,用戶接口電路26a被配置為經(jīng)由附加鍵盤、指點(diǎn)設(shè)備(例如�,鼠標(biāo)或觸摸板)等從管理用戶接收用戶輸入。接口電路26還可以包括網(wǎng)絡(luò)接口電路26b (例如����,有線的或無線的網(wǎng)絡(luò)接口卡),網(wǎng)絡(luò)接口電路26b被配置為根據(jù)規(guī)定的數(shù)據(jù)協(xié)議(例如��,有線的或無線的以太網(wǎng)/IEEE 802)發(fā)送并接收有線或無線數(shù)據(jù)分組。
[0024]如上所述�,用戶接口電路26a和/或網(wǎng)絡(luò)接口電路26b可以被配置為接收并檢測(cè)來自管理用戶的請(qǐng)求,以啟動(dòng)虛擬機(jī)“VM#7” 18和/或有狀態(tài)處理“F7” 14的移動(dòng)處理����。管理實(shí)體46可以被配置為解釋來自管理用戶的請(qǐng)求,并且作為響應(yīng)�����,將通知發(fā)送至超級(jí)管理器30以開始虛擬機(jī)“VM#7” 18向目的地物理主機(jī)20b的移動(dòng)處理�;管理實(shí)體46還可以同時(shí)將通知發(fā)送至在網(wǎng)絡(luò)實(shí)體16a和16b中的每個(gè)網(wǎng)絡(luò)實(shí)體中執(zhí)行的管理接口,以啟動(dòng)有狀態(tài)處理“F7”14向第二網(wǎng)絡(luò)實(shí)體16b的轉(zhuǎn)移�����。管理實(shí)體46的示例可以包括按照笨申請(qǐng)中描述的方式進(jìn)行了修改的�、來自VMware的VMware VMot1n�。例如,VMot1n可以被修改以包括可執(zhí)行的資源(例如����,“插件”),該資源使得VMot1n與在網(wǎng)絡(luò)實(shí)體16a和16b中執(zhí)行的管理接口進(jìn)行通信和交互��。
[0025]如圖2所示,裝置12還可以包括存儲(chǔ)器電路24��,存儲(chǔ)器電路24被配置為存儲(chǔ)計(jì)算/存儲(chǔ)屬性28 (例如��,與管理實(shí)體46的執(zhí)行有關(guān)的應(yīng)用狀態(tài)變量和數(shù)據(jù))����。
[0026]在一個(gè)實(shí)施例中,由有狀態(tài)處理“F7” 14提供的增強(qiáng)的網(wǎng)絡(luò)服務(wù)提供對(duì)虛擬機(jī)“VM#7” 18的防火墻保護(hù)��。每個(gè)數(shù)據(jù)中心40可以包括被配置為向虛擬機(jī)18提供增強(qiáng)的網(wǎng)絡(luò)服務(wù)(例如�����,防火墻服務(wù))的一個(gè)或多個(gè)網(wǎng)絡(luò)實(shí)體(例如��,防火墻設(shè)備)16a�、16b。盡管只示出向虛擬機(jī)“VM#7” 18提供防火墻保護(hù)的有狀態(tài)處理“F7” 14���,但是顯然網(wǎng)絡(luò)實(shí)體16a和16b各自可以為在相應(yīng)的相關(guān)聯(lián)的物理主機(jī)20a和20b中執(zhí)行的虛擬機(jī)18提供獨(dú)立且不同的有狀態(tài)處理14��。盡管增強(qiáng)的網(wǎng)絡(luò)服務(wù)被示出為虛擬機(jī)18的防火墻保護(hù)�����,但是其他的增強(qiáng)的網(wǎng)絡(luò)服務(wù)可以包括加密服務(wù)�����、虛擬專用網(wǎng)絡(luò)(VPN)服務(wù)等���。每個(gè)數(shù)據(jù)中心40可以包括用于為整個(gè)數(shù)據(jù)中心服務(wù)的單個(gè)防火墻設(shè)備16a�����,或者包括分別被配置成為相應(yīng)服務(wù)器集群服務(wù)的多個(gè)防火墻設(shè)備��。
[0027]由處理器電路22執(zhí)行的管理實(shí)體46可以包括用于控制由物理主機(jī)20a和20b執(zhí)行的每個(gè)超級(jí)管理器30的邏輯管理接口����。管理實(shí)體46還可以包括用于與虛擬交換機(jī)管理器44進(jìn)行通信的邏輯管理接口(例如���,應(yīng)用編程接口(API)),從而使得隨著虛擬機(jī)“VM#7”18的遷移���,去往虛擬機(jī)“VM#7”18的網(wǎng)絡(luò)流量能從第一物理主機(jī)20a被重定向至目的地物理主機(jī)20b����,使得虛擬機(jī)“VM#7” 18能夠經(jīng)由虛擬分布式交換機(jī)42從第一物理主機(jī)20a移動(dòng)到目的地物理主機(jī)20b (例如,“VMot1n” )��。
[0028]管理實(shí)體46還可以包括用于與在每個(gè)網(wǎng)絡(luò)實(shí)體16a和16b中執(zhí)行的管理接口進(jìn)行通信的邏輯管理接口(例如�,API)。因此�,基于使得將由網(wǎng)絡(luò)實(shí)體16a使用的執(zhí)行參數(shù)復(fù)制到網(wǎng)絡(luò)實(shí)體16b,管理實(shí)體46可以將有狀態(tài)處理“F7”(如圖1A所示)復(fù)制給網(wǎng)絡(luò)實(shí)體16b (如圖1B所示)��,以向第一物理主機(jī)20a中的虛擬機(jī)“VM#7” 18提供增強(qiáng)的網(wǎng)絡(luò)服務(wù)��。示例執(zhí)行參數(shù)可以包括防火墻規(guī)則和防火墻狀態(tài)����,例如,由第一物理主機(jī)20a中執(zhí)行的虛擬機(jī)“VM#7” 18打開的TCP連接的標(biāo)識(shí)�����、在第一物理主機(jī)20a中執(zhí)行的虛擬機(jī)“VM#7” 18的(一個(gè)或多個(gè))IP地址���、與虛擬機(jī)“VM#7”18進(jìn)行通信的客戶端的IP地址����、防火墻規(guī)則被應(yīng)用于的接口的標(biāo)識(shí)��、與正被移動(dòng)的虛擬機(jī)“VM#7” 18有關(guān)的防火墻狀態(tài)表等。
[0029]管理實(shí)體還可以使得第一網(wǎng)絡(luò)實(shí)體16a去除當(dāng)虛擬機(jī)“VM#7” 18在第一物理主機(jī)20a中被執(zhí)行時(shí)用來執(zhí)行針對(duì)防火墻服務(wù)的有狀態(tài)處理“F7”14的執(zhí)行參數(shù)��,從而使得有狀態(tài)處理能夠被釋放給在第一物理主機(jī)20a中執(zhí)行的其他虛擬機(jī)18�,如圖1C所示。在第一網(wǎng)絡(luò)實(shí)體16a中執(zhí)行的有狀態(tài)處理不一定被終止或被重新示例化���,而是可以基于從網(wǎng)絡(luò)實(shí)體16a刪除與在物理主機(jī)20a內(nèi)執(zhí)行虛擬機(jī)“VM#7” 18相關(guān)聯(lián)的執(zhí)行參數(shù)來實(shí)現(xiàn)“軟復(fù)位”�����。
[0030]如前所述���,圖1A示出在虛擬機(jī)“VM#7”18從第一物理主機(jī)20a向第二物理主機(jī)20b移動(dòng)之前、并且在有狀態(tài)處理“F7” 14從第一網(wǎng)絡(luò)實(shí)體16a向第二網(wǎng)絡(luò)實(shí)體16b移動(dòng)之前的示例系統(tǒng)10��。圖1B示出將虛擬機(jī)“VM#7” 18 (例如���,當(dāng)在暫停狀態(tài)時(shí))復(fù)制到第二物理主機(jī)20b和將有狀態(tài)處理“F7” 14(例如����,當(dāng)在暫停狀態(tài)時(shí))復(fù)制到第二網(wǎng)絡(luò)實(shí)體16b的過渡��。圖1C示出基于虛擬機(jī)“VM#7” 18在第二物理主機(jī)20b中激活并基于虛擬機(jī)“VM#7” 18在第一物理主機(jī)20a中終止的虛擬機(jī)“VM#7” 18所完成的移動(dòng)�����、以及基于有狀態(tài)處理14在第二網(wǎng)絡(luò)實(shí)體16b中激活并基于有狀態(tài)處理14在第一網(wǎng)絡(luò)實(shí)體16a中終止的有狀態(tài)處理“F7” 14所完成的移動(dòng)��。
[0031]下面參照?qǐng)D3進(jìn)行描述��,由裝置12中的處理器電路22所執(zhí)行的管理實(shí)體46可以檢測(cè)圖1A中所示的虛擬機(jī)“VM#7” 18的移動(dòng)處理的啟動(dòng)(例如��,響應(yīng)于經(jīng)由用戶接口電路26a和/或網(wǎng)絡(luò)接口電路26b的用戶輸入)�����,并且作為響應(yīng)�����,啟動(dòng)轉(zhuǎn)移為虛擬機(jī)“VM#7”18提供增強(qiáng)的網(wǎng)絡(luò)服務(wù)(例如�,防火墻保護(hù))的有狀態(tài)處理(例如,防火墻處理)“F7”14�����。如圖1B所示�����,在激活虛擬機(jī)“VM#7”18以從目的地物理主機(jī)20b提供虛擬化服務(wù)之前,管理實(shí)體46還可以確保有狀態(tài)處理“F7” 14正在第二網(wǎng)絡(luò)實(shí)體16b中執(zhí)行并準(zhǔn)備向在目的地物理主機(jī)20b中執(zhí)行的虛擬機(jī)“VM#7” 18提供增強(qiáng)的網(wǎng)絡(luò)服務(wù)(如圖1B所示)���。如圖1C所示�����,管理實(shí)體46還可以將命令發(fā)送至第一物理主機(jī)20a中的超級(jí)管理器30以終止虛擬機(jī)“VM#7” 18�����,并且將命令發(fā)送至第一網(wǎng)絡(luò)實(shí)體16a以從有狀態(tài)處理14去除執(zhí)行參數(shù)�����。
[0032]所公開的裝置12的任意電路(包括處理器電路22����、存儲(chǔ)器電路24����、接口電路26以及它們相關(guān)聯(lián)的部件)可以以多種形式來實(shí)現(xiàn)。所公開的電路的示例實(shí)現(xiàn)方式包括由諸如可編程邏輯陣列(PLA)���、現(xiàn)場可編程門陣列(FPGA)之類的邏輯陣列�����、或通過諸如專用集成電路(ASIC)之類的集成電路的掩碼編程來實(shí)現(xiàn)的硬件邏輯�。這些電路中的任何電路還可以使用由諸如微處理器電路(未示出)之類的相應(yīng)的內(nèi)部處理器電路執(zhí)行的基于軟件的可執(zhí)行資源來實(shí)現(xiàn)���,并且可以使用一個(gè)或多個(gè)集成電路來實(shí)現(xiàn)�����,其中�����,存儲(chǔ)在內(nèi)部存儲(chǔ)器電路(例如���,在存儲(chǔ)器電路24中)中的可執(zhí)行代碼的執(zhí)行使得(一個(gè)或多個(gè))集成電路能夠:實(shí)現(xiàn)處理器電路22將應(yīng)用狀態(tài)變量存儲(chǔ)于處理器存儲(chǔ)器中;創(chuàng)建運(yùn)行本申請(qǐng)所描述的電路的操作的可執(zhí)行應(yīng)用資源(例如�����,應(yīng)用實(shí)例)�。因此,本說明書中術(shù)語“電路”的使用既針對(duì)基于硬件的電路����,也針對(duì)基于軟件的電路�����,其中�����,基于硬件的電路使用一個(gè)或多個(gè)集成電路來實(shí)現(xiàn)并且包括用于執(zhí)行所描述的操作的邏輯���,基于軟件的電路包括處理器電路(使用一個(gè)或多個(gè)集成電路來實(shí)現(xiàn)),該處理器電路包括用于存儲(chǔ)應(yīng)用狀態(tài)數(shù)據(jù)和由處理器電路通過執(zhí)行可執(zhí)行代碼來修改的應(yīng)用變量的處理器存儲(chǔ)器的預(yù)留部分���。舉例來說�����,存儲(chǔ)器電路24可以使用諸如可編程只讀存儲(chǔ)器(PROM)或EPROM之類的非易失性存儲(chǔ)器和/或諸如DRAM等之類的易失性存儲(chǔ)器來實(shí)現(xiàn)�����。
[0033]而且�,所提到的任何“輸出消息”或“輸出分組”(諸如此類)可以基于以數(shù)據(jù)結(jié)構(gòu)的形式來創(chuàng)建消息/分組并將該數(shù)據(jù)結(jié)構(gòu)存儲(chǔ)在所公開的裝置中的有形的存儲(chǔ)器介質(zhì)中(例如,在傳輸緩沖器中)來實(shí)現(xiàn)�。所提到的任何“輸出消息”或“輸出分組”(諸如此類)還可以包括經(jīng)由通信介質(zhì)(例如,根據(jù)需要���,有線的或無線的鏈路)將存儲(chǔ)在有形的存儲(chǔ)器介質(zhì)中的消息/分組電傳輸(例如����,根據(jù)需要���,經(jīng)由有線的電流或無線的電場)至另一網(wǎng)絡(luò)節(jié)點(diǎn)(根據(jù)需要,還可以使用光傳輸)����。類似地,所提到的任何“接收消息”或“接收分組”(諸如此類)可以基于所公開的裝置檢測(cè)通信介質(zhì)上的消息/分組的電(或光)傳輸并且將檢測(cè)到的傳輸作為數(shù)據(jù)結(jié)構(gòu)存儲(chǔ)在所公開的裝置中的有形的存儲(chǔ)器介質(zhì)中(例如�����,接收緩沖器中)來實(shí)現(xiàn)�。還應(yīng)注意,存儲(chǔ)器電路23可以通過處理器電路22動(dòng)態(tài)地實(shí)現(xiàn)���,例如����,基于由處理器電路22執(zhí)行的存儲(chǔ)器地址賦值和分區(qū)。
[0034]圖3示出了根據(jù)示例實(shí)施例��,將有狀態(tài)處理“F7” 14轉(zhuǎn)移到第二網(wǎng)絡(luò)實(shí)體16b并將虛擬機(jī)“VM#7” 18移動(dòng)到目的地物理主機(jī)20b的�、由圖2的裝置進(jìn)行的示例方法。圖3中所描述的步驟可以被實(shí)現(xiàn)為存儲(chǔ)在計(jì)算機(jī)或機(jī)器可讀的非暫態(tài)有形存儲(chǔ)介質(zhì)(例如���,軟盤���、硬盤、R0M�����、EEPR0M����、非易失性RAM、CD-ROM等)上的可執(zhí)行代碼�,這些步驟基于使用一個(gè)或多個(gè)集成電路來實(shí)現(xiàn)的處理器電路執(zhí)行代碼來完成;本申請(qǐng)所描述的步驟還可以被實(shí)現(xiàn)為編碼在一個(gè)或多個(gè)非暫態(tài)有形介質(zhì)中的可執(zhí)行邏輯以供執(zhí)行(例如�,可編程邏輯陣列或設(shè)備、現(xiàn)場可編程門陣列��、可編程陣列邏輯、專用集成電路等)�。
[0035]針對(duì)圖1A的系統(tǒng)10,如圖3所示�����,接口電路26被配置為在步驟50中檢測(cè)由管理用戶啟動(dòng)的由第一物理主機(jī)20a執(zhí)行的虛擬機(jī)“VM#7” 18向目的地物理主機(jī)20b的移動(dòng)處理�。對(duì)移動(dòng)處理的啟動(dòng)進(jìn)行的檢測(cè)可以基于裝置12經(jīng)由用戶接口 26a和/或網(wǎng)絡(luò)接口電路26b接收啟動(dòng)移動(dòng)處理的管理用戶請(qǐng)求?����;诠芾韺?shí)體46的執(zhí)行��,處理器電路22檢測(cè)來自管理用戶的請(qǐng)求啟動(dòng)移動(dòng)處理的請(qǐng)求���。
[0036]在步驟52中,基于首先確定第二網(wǎng)絡(luò)實(shí)體16b是否以與第一網(wǎng)絡(luò)實(shí)體16a—致的方式進(jìn)行配置�����,由處理器電路22執(zhí)行的管理實(shí)體46啟動(dòng)有狀態(tài)處理“F7” 14的轉(zhuǎn)移�����。特別地,管理實(shí)體46確定第二網(wǎng)絡(luò)實(shí)體16b是否能夠執(zhí)行有狀態(tài)處理“F7”14�����,以向要在目的地物理主機(jī)20b中執(zhí)行的虛擬機(jī)“VM#7”18提供增強(qiáng)的網(wǎng)絡(luò)服務(wù)(例如�,防火墻保護(hù))。例如�,管理實(shí)體46可以確定第二網(wǎng)絡(luò)實(shí)體16b是否準(zhǔn)許防火墻服務(wù)的虛擬化移動(dòng)和/或第二網(wǎng)絡(luò)實(shí)體16b是否包括兼容的硬件和/或軟件資源,這些資源除了已經(jīng)由第二網(wǎng)絡(luò)實(shí)體16b執(zhí)行的任何其他處理之外還準(zhǔn)許有狀態(tài)處理“F7” 14的轉(zhuǎn)移和執(zhí)行�。示例硬件和/或軟件資源可以包括核實(shí)第二網(wǎng)絡(luò)實(shí)體16b具有足夠的網(wǎng)絡(luò)接口、具有足夠的安全等級(jí)等�。如果管理實(shí)體46確定第二網(wǎng)絡(luò)實(shí)體16b的配置與第一網(wǎng)絡(luò)實(shí)體16a的配置在不能夠使得有狀態(tài)處理F7” 14進(jìn)行轉(zhuǎn)移這個(gè)方面不一致,則在步驟54中警告被發(fā)送至管理用戶�,并且轉(zhuǎn)移操作被終止。
[0037]假設(shè)管理實(shí)體46確定第二網(wǎng)絡(luò)實(shí)體16b具有與第一網(wǎng)絡(luò)實(shí)體16a—致的配置��,準(zhǔn)許轉(zhuǎn)移有狀態(tài)處理“G7” 14�����,則在步驟56中由處理器電路22執(zhí)行的管理實(shí)體46可以將通知發(fā)送至在第一物理主機(jī)20a和目的地物理主機(jī)20b中的每個(gè)物理主機(jī)中執(zhí)行的超級(jí)管理器30�,以開始將虛擬機(jī)“VM#7”18移動(dòng)到目的地物理主機(jī)20b的移動(dòng)處理。(一個(gè)或多個(gè))合適的通知還可以被發(fā)送至虛擬交換機(jī)管理器44以管理與虛擬機(jī)“VM#7”18的移動(dòng)相關(guān)聯(lián)的網(wǎng)絡(luò)流量����。
[0038]在步驟56中����,管理實(shí)體46還可以啟動(dòng)有狀態(tài)處理“F7”14從第一網(wǎng)絡(luò)實(shí)體16a到第二網(wǎng)絡(luò)實(shí)體16b的轉(zhuǎn)移���。管理實(shí)體46可以將啟動(dòng)轉(zhuǎn)移的指令發(fā)送至在第一網(wǎng)絡(luò)實(shí)體16a和第二網(wǎng)絡(luò)實(shí)體16b中的每個(gè)網(wǎng)絡(luò)實(shí)體中執(zhí)行的管理接口��。例如��,管理實(shí)體46可以將指定正被移動(dòng)的虛擬機(jī)“VM#7” 18的屬性(例如����,(一個(gè)或多個(gè))IP地址���、(一個(gè)或多個(gè))MAC地址、VLAN屬性等)的指令發(fā)送至網(wǎng)絡(luò)實(shí)體16a和16b ;管理實(shí)體46還可以發(fā)送源物理主機(jī)20a和目的地物理主機(jī)20b的屬性和/或源網(wǎng)絡(luò)實(shí)體16a和目的地網(wǎng)絡(luò)實(shí)體16b的屬性���。
[0039]管理實(shí)體46可以基于步驟58中確定對(duì)增強(qiáng)的網(wǎng)絡(luò)服務(wù)的控制是否為集中式的而使得與增強(qiáng)的網(wǎng)絡(luò)服務(wù)“F7” 14相關(guān)聯(lián)的執(zhí)行參數(shù)被發(fā)送到第二網(wǎng)絡(luò)實(shí)體16b�。如果在步驟58中���,管理實(shí)體46確定對(duì)增強(qiáng)的網(wǎng)絡(luò)設(shè)備的控制是集中式的�����,則在步驟60中��,管理實(shí)體46可以從網(wǎng)絡(luò)實(shí)體16a讀取針對(duì)保護(hù)在第一物理主機(jī)20a執(zhí)行過程中的虛擬機(jī)“VM#7” 18的有狀態(tài)處理“F7” 14的執(zhí)行參數(shù)����。例如,管理實(shí)體46可以將針對(duì)與有狀態(tài)處理“F7” 14相關(guān)聯(lián)的執(zhí)行參數(shù)的請(qǐng)求發(fā)送至在網(wǎng)絡(luò)實(shí)體16a中執(zhí)行的管理接口 �����;響應(yīng)于管理實(shí)體46從網(wǎng)絡(luò)實(shí)體16a接收到執(zhí)行參數(shù)���,在步驟60中�����,管理實(shí)體46可以將執(zhí)行參數(shù)轉(zhuǎn)發(fā)(例如�����,寫)到在目的地網(wǎng)絡(luò)實(shí)體16b中執(zhí)行的管理接口�。
[0040]可替代地�,如果在步驟58中管理實(shí)體16中沒有實(shí)現(xiàn)集中式的控制,則在步驟62中�,管理實(shí)體46可以向至第一網(wǎng)絡(luò)實(shí)體16a發(fā)送將執(zhí)行參數(shù)轉(zhuǎn)移到第二網(wǎng)絡(luò)實(shí)體16b的請(qǐng)求����。
[0041]在網(wǎng)絡(luò)實(shí)體16a和16b被實(shí)現(xiàn)為防火墻設(shè)備的一個(gè)實(shí)施例中����,網(wǎng)絡(luò)實(shí)體16a (也稱為源防火墻設(shè)備)可以使用防火墻設(shè)備16a和16b之間共同的層2網(wǎng)絡(luò)來轉(zhuǎn)發(fā)防火墻處理“F7”14的防火墻規(guī)則和防火墻狀態(tài)。例如���,源防火墻設(shè)備16a和目的地防火墻設(shè)備16b 二者都可以在經(jīng)由網(wǎng)絡(luò)32而在兩個(gè)數(shù)據(jù)中心40之間延伸的虛擬局域網(wǎng)(VLAN)上配置有接口�����。源防火墻設(shè)備16a可以使用TCP或互聯(lián)網(wǎng)控制消息協(xié)議(ICMP)?��;?ke印alive)探測(cè)消息來核實(shí)到目的地防火墻設(shè)備16b的IP連通性。源防火墻設(shè)備16a可以將針對(duì)有狀態(tài)處理“F7”14的副本請(qǐng)求發(fā)送至目的地防火墻設(shè)備16b ;響應(yīng)于源防火墻設(shè)備16a從目的地防火墻設(shè)備16b接收到副本應(yīng)答�����,源防火墻設(shè)備16a可以將副本數(shù)據(jù)命令發(fā)送至目的地防火墻設(shè)備16b�����,其中����,副本數(shù)據(jù)命令包括有狀態(tài)處理“F7” 14的執(zhí)行參數(shù);源防火墻設(shè)備16a和目的地防火墻設(shè)備16b可以交換副本消息和應(yīng)答消息���,直到對(duì)執(zhí)行參數(shù)的復(fù)制完成時(shí)為止�����。處理器電路22可以被配置為在完成虛擬機(jī)“VM#7”18到目的地物理主機(jī)20b的移動(dòng)處理之前�,使得第一網(wǎng)絡(luò)實(shí)體16a在步驟62中將執(zhí)行參數(shù)更新發(fā)送至第二網(wǎng)絡(luò)實(shí)體16b��。
[0042]也可以將步驟60和步驟62結(jié)合���,用來將有狀態(tài)處理“F7”14的執(zhí)行參數(shù)從第一網(wǎng)絡(luò)實(shí)體16a轉(zhuǎn)移到第二網(wǎng)絡(luò)實(shí)體16b���。
[0043]可以使用各種方法來將防火墻規(guī)則從源防火墻設(shè)備16a移動(dòng)到目的地防火墻設(shè)備16b。在一個(gè)實(shí)施例中�����,防火墻規(guī)則可以由管理實(shí)體46來限定����,以使得防火墻規(guī)則由管理實(shí)體46來維護(hù)和提供(針對(duì)步驟60所描述的)����。有狀態(tài)處理“F7”14的防火墻策略還可以由源防火墻設(shè)備16a來解析����,以使得應(yīng)用到在第一物理主機(jī)20a中執(zhí)行的虛擬機(jī)“VM#7”18的所有的規(guī)則(包括主機(jī)專用規(guī)則和為數(shù)據(jù)中心“數(shù)據(jù)中心2”40建立的超網(wǎng)的更廣泛的規(guī)則)可以被移動(dòng)到目的地防火墻設(shè)備16b。有狀態(tài)處理“F7” 14的防火墻策略還可以從基于防火墻設(shè)備16a所保護(hù)的有關(guān)超網(wǎng)的更廣泛的防火墻規(guī)則得出�。
[0044]在另一實(shí)施例中,源防火墻設(shè)備16a和目的地防火墻設(shè)備16b可以被配置有層3接口��,該層3接口經(jīng)由IP網(wǎng)絡(luò)32在兩個(gè)數(shù)據(jù)中心40之間是可路由的�,從而使得防火墻設(shè)備16a和16b駐留在通過層3網(wǎng)絡(luò)進(jìn)行通信的不同IP子網(wǎng)絡(luò)上。
[0045]網(wǎng)絡(luò)實(shí)體16a和16b中的每個(gè)網(wǎng)絡(luò)實(shí)體被配置為當(dāng)完成復(fù)制與增強(qiáng)的網(wǎng)絡(luò)服務(wù)“F7” 14相關(guān)聯(lián)的執(zhí)行參數(shù)時(shí)將轉(zhuǎn)移通知消息發(fā)送至管理實(shí)體46���,使得暫停狀態(tài)中的增強(qiáng)的網(wǎng)絡(luò)服務(wù)“F7” 14能夠同時(shí)啟動(dòng)�,如圖1B所示�。因此,裝置12分別從第一網(wǎng)絡(luò)實(shí)體16a和從第二網(wǎng)絡(luò)實(shí)體16b接收?qǐng)?zhí)行參數(shù)已成功地被轉(zhuǎn)移到第二網(wǎng)絡(luò)實(shí)體16b的通知�����。因此���,執(zhí)行管理實(shí)體46的處理器電路22被配置為基于來自網(wǎng)絡(luò)實(shí)體16a和16b的通知消息���,在步驟64中檢測(cè)有狀態(tài)處理“F7” 14正在第二網(wǎng)絡(luò)實(shí)體16b中執(zhí)行,并且準(zhǔn)備向在目的地物理主機(jī)20b中執(zhí)行的虛擬機(jī)“VM#7” 18提供增強(qiáng)的網(wǎng)絡(luò)服務(wù)����。
[0046]響應(yīng)于步驟64中檢測(cè)到通知(有狀態(tài)處理“F7”14正在在第二網(wǎng)絡(luò)實(shí)體16b中執(zhí)行,并且準(zhǔn)備提供增強(qiáng)的網(wǎng)絡(luò)服務(wù)以供目的地物理主機(jī)20b中的虛擬機(jī)“V麗7��,�,18執(zhí)行),由處理器電路22執(zhí)行的管理實(shí)體46被配置為在步驟66中完成虛擬機(jī)“VM#7”18向目的地物理主機(jī)20b的移動(dòng)處理�����。處理器電路22被配置為檢測(cè)虛擬機(jī)“VM#7”18向目的地物理主機(jī)20b的成功轉(zhuǎn)移���,例如���,基于來自源超級(jí)管理器30和目的地超級(jí)管理器30中的每個(gè)超級(jí)管理器(在各自的物理主機(jī)20a和20b中執(zhí)行)的成功消息,如圖1B所示�����。如上所述,在圖1B中所示的轉(zhuǎn)移過程中����,虛擬機(jī)“VM#7” 18和防火墻處理“F7” 14中的每個(gè)可以處于暫停狀態(tài)。
[0047]管理實(shí)體46被配置為通過步驟68中將第一通知發(fā)送至第二網(wǎng)絡(luò)實(shí)體16b以激活針對(duì)目的地物理主機(jī)20b中的虛擬機(jī)“VM#7”18的增強(qiáng)的網(wǎng)絡(luò)服務(wù)“F7” 14并且將第二通知發(fā)送至第一網(wǎng)絡(luò)實(shí)體16a以從有狀態(tài)處理“F7” 14去除針對(duì)虛擬機(jī)“VM#7” 18的執(zhí)行參數(shù)����,以響應(yīng)檢測(cè)到的虛擬機(jī)“VM#7” 18的成功轉(zhuǎn)移。一旦網(wǎng)絡(luò)實(shí)體16b中的增強(qiáng)的網(wǎng)絡(luò)服務(wù)“F7” 14被激活�,管理實(shí)體46則可以將指令發(fā)送至物理主機(jī)20b中的超級(jí)管理器30來激活虛擬機(jī)“VM#7” 18,并且將指令發(fā)送至物理主機(jī)20a中的超級(jí)管理器30來終止虛擬機(jī)“VM#7” 18�����,如圖1C所示�����。
[0048]根據(jù)示例實(shí)施例����,諸如虛擬機(jī)的防火墻服務(wù)之類的增強(qiáng)的網(wǎng)絡(luò)服務(wù)可以被動(dòng)態(tài)轉(zhuǎn)移,從而確保以可擴(kuò)展的方式在移動(dòng)的過程中對(duì)虛擬機(jī)進(jìn)行連續(xù)保護(hù)����。
[0049]盡管本公開的示例實(shí)施例已經(jīng)結(jié)合目前被認(rèn)為是實(shí)施所附權(quán)利要求中所指定的主題的最佳方式進(jìn)行了描述��,但是應(yīng)當(dāng)理解�,這些示例實(shí)施例僅是說明性的�����,并不限制所附權(quán)利要求所指定的主題�����。
【權(quán)利要求】
1.一種方法�����,包括: 檢測(cè)由第一物理主機(jī)執(zhí)行的虛擬機(jī)到目的地物理主機(jī)的移動(dòng)處理的啟動(dòng)�; 啟動(dòng)由第一網(wǎng)絡(luò)實(shí)體執(zhí)行的有狀態(tài)處理的轉(zhuǎn)移���,并且向在所述第一物理主機(jī)中執(zhí)行的虛擬機(jī)提供增強(qiáng)的網(wǎng)絡(luò)服務(wù)�,包括使得增強(qiáng)的網(wǎng)絡(luò)服務(wù)的執(zhí)行參數(shù)被發(fā)送到第二網(wǎng)絡(luò)實(shí)體��;以及 響應(yīng)于檢測(cè)到有狀態(tài)處理正在第二網(wǎng)絡(luò)實(shí)體中執(zhí)行并且準(zhǔn)備提供增強(qiáng)的網(wǎng)絡(luò)服務(wù)以供目的地物理主機(jī)中的虛擬機(jī)來執(zhí)行�,完成虛擬機(jī)到目的地物理主機(jī)的移動(dòng)處理。
2.如權(quán)利要求1所述的方法�,其中���,所述有狀態(tài)處理的增強(qiáng)的網(wǎng)絡(luò)服務(wù)被用于所述虛擬機(jī)的防火墻保護(hù)。
3.如權(quán)利要求1所述的方法�����,其中���,使得執(zhí)行參數(shù)被發(fā)送至所述第二網(wǎng)絡(luò)實(shí)體的步驟包括以下至少一項(xiàng): 從所述第一網(wǎng)絡(luò)實(shí)體讀取執(zhí)行參數(shù)���,并且作為響應(yīng),向所述第二網(wǎng)絡(luò)實(shí)體轉(zhuǎn)發(fā)要被發(fā)送的執(zhí)行參數(shù)�����;或者 向所述第一網(wǎng)絡(luò)實(shí)體發(fā)送將所述執(zhí)行參數(shù)轉(zhuǎn)移到所述第二網(wǎng)絡(luò)實(shí)體的請(qǐng)求��。
4.如權(quán)利要求3所述的方法��,其中��,對(duì)正在所述第二網(wǎng)絡(luò)實(shí)體中執(zhí)行的有狀態(tài)處理準(zhǔn)備提供增強(qiáng)的網(wǎng)絡(luò)服務(wù)進(jìn)行的檢測(cè)是基于從所述第一網(wǎng)絡(luò)實(shí)體和從所述第二網(wǎng)絡(luò)實(shí)體接收?qǐng)?zhí)行參數(shù)已經(jīng)成功地被轉(zhuǎn)移到所述第二網(wǎng)絡(luò)實(shí)體的通知��。
5.如權(quán)利要求1所述的方法��,其中,所述第一物理主機(jī)�、所述目的地物理主機(jī)、所述第一網(wǎng)絡(luò)實(shí)體以及所述第二網(wǎng)絡(luò)實(shí)體各自不同并且是獨(dú)立的物理機(jī)器�����,所述第一網(wǎng)絡(luò)實(shí)體和所述第二網(wǎng)絡(luò)實(shí)體各自包括用于執(zhí)行所述增強(qiáng)的網(wǎng)絡(luò)服務(wù)中的至少一部分的專用集成電路�。
6.如權(quán)利要求1所述的方法�����,其中: 所述檢測(cè)包括檢測(cè)向由物理主機(jī)所執(zhí)行的管理實(shí)體進(jìn)行的用戶輸入���,所述用戶輸入請(qǐng)求啟動(dòng)移動(dòng)處理��;并且 所述啟動(dòng)包括:管理實(shí)體將第一通知發(fā)送至在第一物理主機(jī)和目的地物理主機(jī)中的每個(gè)物理主機(jī)中執(zhí)行的超級(jí)管理器以開始移動(dòng)處理��,以及管理實(shí)體將用于啟動(dòng)轉(zhuǎn)移的指令發(fā)送至在第一網(wǎng)絡(luò)實(shí)體和第二網(wǎng)絡(luò)實(shí)體中的每個(gè)網(wǎng)絡(luò)實(shí)體中執(zhí)行的管理接口�����,其中��,在第一物理主機(jī)和目的地物理主機(jī)中執(zhí)行的超級(jí)管理器不同于并且獨(dú)立于在第一網(wǎng)絡(luò)實(shí)體和第二網(wǎng)絡(luò)實(shí)體中執(zhí)行的管理接口�����。
7.如權(quán)利要求1所述的方法����,其中,所述啟動(dòng)是基于管理實(shí)體確定所述第二網(wǎng)絡(luò)實(shí)體被配置為與所述第一網(wǎng)絡(luò)實(shí)體一致�,以準(zhǔn)許在第二網(wǎng)絡(luò)實(shí)體中執(zhí)行有狀態(tài)處理以向在目的地物理主機(jī)中執(zhí)行的虛擬機(jī)提供增強(qiáng)的網(wǎng)絡(luò)服務(wù)。
8.如權(quán)利要求1所述的方法�����,還包括:在完成虛擬機(jī)到目的地物理主機(jī)的移動(dòng)處理之前�,使得所述第一網(wǎng)絡(luò)實(shí)體將執(zhí)行參數(shù)更新發(fā)送至所述第二網(wǎng)絡(luò)實(shí)體。
9.如權(quán)利要求1所述的方法����,其中,所述完成包括: 檢測(cè)所述虛擬機(jī)向所述目的地物理主機(jī)的成功轉(zhuǎn)移�����;并且 通過將第一通知發(fā)送至所述第二網(wǎng)絡(luò)實(shí)體以給目的地物理主機(jī)中的虛擬機(jī)激活增強(qiáng)的網(wǎng)絡(luò)服務(wù)并且將第二通知發(fā)送至第一網(wǎng)絡(luò)實(shí)體以從有狀態(tài)處理去除所述虛擬機(jī)的執(zhí)行參數(shù)�,來響應(yīng)檢測(cè)到所述虛擬機(jī)的成功轉(zhuǎn)移。
10.一種裝置�,包括: 第一電路����,所述第一電路被配置為檢測(cè)由第一物理主機(jī)執(zhí)行的虛擬機(jī)向目的地物理主機(jī)的移動(dòng)處理的啟動(dòng)�;以及 處理器電路,所述處理器電路被配置為啟動(dòng)由第一網(wǎng)絡(luò)實(shí)體執(zhí)行的有狀態(tài)處理的轉(zhuǎn)移��,并且向在第一物理主機(jī)中執(zhí)行的虛擬機(jī)提供增強(qiáng)的網(wǎng)絡(luò)服務(wù)�,所述處理器電路被配置為使得增強(qiáng)的網(wǎng)絡(luò)服務(wù)的執(zhí)行參數(shù)被發(fā)送至第二網(wǎng)絡(luò)實(shí)體; 所述處理器電路還被配置為:響應(yīng)于檢測(cè)到有狀態(tài)處理正在所述第二網(wǎng)絡(luò)實(shí)體中執(zhí)行并準(zhǔn)備提供增強(qiáng)的網(wǎng)絡(luò)服務(wù)以供目的地物理主機(jī)中的虛擬機(jī)執(zhí)行���,完成虛擬機(jī)到目的地物理主機(jī)的移動(dòng)處理。
11.如權(quán)利要求10所述的裝置�,其中,所述有狀態(tài)處理的增強(qiáng)的網(wǎng)絡(luò)服務(wù)被用于所述虛擬機(jī)的防火墻保護(hù)�。
12.如權(quán)利要求10所述的裝置,其中�����,所述處理器電路被配置為基于以下至少一項(xiàng)來使得執(zhí)行參數(shù)被發(fā)送至所述第二網(wǎng)絡(luò)實(shí)體: 從所述第一網(wǎng)絡(luò)實(shí)體讀取執(zhí)行參數(shù)���,并且作為響應(yīng)���,向所述第二網(wǎng)絡(luò)實(shí)體轉(zhuǎn)發(fā)要被發(fā)送的執(zhí)行參數(shù)��;或者 向所述第一網(wǎng)絡(luò)實(shí)體發(fā)送將執(zhí)行參數(shù)轉(zhuǎn)移到所述第二網(wǎng)絡(luò)實(shí)體的請(qǐng)求��。
13.如權(quán)利要求12所述的裝置�,其中��,所述處理器電路被配置為:基于從第一網(wǎng)絡(luò)實(shí)體和從第二網(wǎng)絡(luò)實(shí)體接收?qǐng)?zhí)行參數(shù)已經(jīng)成功地被轉(zhuǎn)移到第二網(wǎng)絡(luò)實(shí)體的通知���,來檢測(cè)正在第二網(wǎng)絡(luò)實(shí)體中執(zhí)行的有狀態(tài)處理準(zhǔn)備提供增強(qiáng)的網(wǎng)絡(luò)服務(wù)��。
14.如權(quán)利要求10所述的裝置��,其中����,所述第一物理主機(jī)����、所述目的地物理主機(jī)、所述第一網(wǎng)絡(luò)實(shí)體以及所述第二網(wǎng)絡(luò)實(shí)體各自不同并且是獨(dú)立的物理機(jī)器��,所述第一網(wǎng)絡(luò)實(shí)體和所述第二網(wǎng)絡(luò)實(shí)體各自包括用于執(zhí)行所述增強(qiáng)的網(wǎng)絡(luò)服務(wù)中的至少一部分的專用集成電路����。
15.如權(quán)利要求10所述的裝置�����,其中: 所述第一電路包括被配置為從管理用戶接收啟動(dòng)移動(dòng)處理的請(qǐng)求的用戶接口電路或網(wǎng)絡(luò)接口電路中的至少一個(gè)電路����; 所述處理器電路被配置為執(zhí)行管理實(shí)體�����,所述管理實(shí)體檢測(cè)來自管理用戶的請(qǐng)求���,所述用戶輸入請(qǐng)求啟動(dòng)移動(dòng)處理����; 由處理器電路執(zhí)行的管理實(shí)體被配置為將第一通知發(fā)送至在第一物理主機(jī)和目的地物理主機(jī)中的每個(gè)物理主機(jī)中執(zhí)行的超級(jí)管理器以開始移動(dòng)處理�,并且管理實(shí)體將啟動(dòng)轉(zhuǎn)移的指令發(fā)送至在第一網(wǎng)絡(luò)實(shí)體和第二網(wǎng)絡(luò)實(shí)體中的每個(gè)網(wǎng)絡(luò)實(shí)體中執(zhí)行的管理接口�����,在所述第一物理主機(jī)和所述目的地物理主機(jī)中執(zhí)行的超級(jí)管理器不同于并且獨(dú)立于在所述第一網(wǎng)絡(luò)實(shí)體和所述第二網(wǎng)絡(luò)實(shí)體中執(zhí)行的管理接口����。
16.如權(quán)利要求10所述的裝置�,其中����,所述啟動(dòng)是基于由所述處理器電路執(zhí)行的管理實(shí)體確定所述第二網(wǎng)絡(luò)實(shí)體被配置為與所述第一網(wǎng)絡(luò)實(shí)體一致,以準(zhǔn)許執(zhí)行第二網(wǎng)絡(luò)實(shí)體中的有狀態(tài)處理以向在目的地物理主機(jī)中執(zhí)行的虛擬機(jī)提供增強(qiáng)的網(wǎng)絡(luò)服務(wù)�����。
17.如權(quán)利要求10所述的裝置��,其中���,所述處理器電路被配置為:在完成所述虛擬機(jī)到所述目的地物理主機(jī)的移動(dòng)處理之前�,使得所述第一網(wǎng)絡(luò)實(shí)體將執(zhí)行參數(shù)更新發(fā)送至所述第二網(wǎng)絡(luò)實(shí)體�。
18.如權(quán)利要求10所述的裝置,其中���,所述完成包括: 檢測(cè)所述虛擬機(jī)到所述目的地物理主機(jī)的成功轉(zhuǎn)移���;以及 通過將第一通知發(fā)送至所述第二網(wǎng)絡(luò)實(shí)體以給所述目的地物理主機(jī)中的虛擬機(jī)激活增強(qiáng)的網(wǎng)絡(luò)服務(wù)并且將第二通知發(fā)送至所述第一網(wǎng)絡(luò)實(shí)體以從有狀態(tài)處理去除所述虛擬機(jī)的執(zhí)行參數(shù),來響應(yīng)檢測(cè)到所述虛擬機(jī)的成功轉(zhuǎn)移���。
19.一種編碼在一個(gè)或多個(gè)非暫態(tài)有形介質(zhì)中以供執(zhí)行的邏輯���,所述邏輯在被執(zhí)行時(shí)可操作來: 檢測(cè)由第一物理主機(jī)執(zhí)行的虛擬機(jī)向目的地物理主機(jī)的移動(dòng)處理的啟動(dòng)�����; 啟動(dòng)由第一網(wǎng)絡(luò)實(shí)體執(zhí)行的有狀態(tài)處理的轉(zhuǎn)移���,并且向在第一物理主機(jī)中執(zhí)行的虛擬機(jī)提供增強(qiáng)的網(wǎng)絡(luò)服務(wù),包括使得增強(qiáng)的網(wǎng)絡(luò)服務(wù)的執(zhí)行參數(shù)被發(fā)送至第二網(wǎng)絡(luò)實(shí)體��;以及 響應(yīng)于檢測(cè)到有狀態(tài)處理正在第二網(wǎng)絡(luò)實(shí)體中執(zhí)行并且準(zhǔn)備提供增強(qiáng)的網(wǎng)絡(luò)服務(wù)以供目的地物理主機(jī)中的虛擬機(jī)來執(zhí)行����,完成虛擬機(jī)向目的地物理主機(jī)的移動(dòng)處理。
20.如權(quán)利要求19所述的邏輯�����,其中�,所述有狀態(tài)處理的增強(qiáng)的網(wǎng)絡(luò)服務(wù)被用于所述虛擬機(jī)的防火墻保護(hù)����。
【文檔編號(hào)】G06F9/455GK104205051SQ201380016875
【公開日】2014年12月10日 申請(qǐng)日期:2013年3月29日 優(yōu)先權(quán)日:2012年4月2日
【發(fā)明者】納威達(dá)·沙姆司理, 賽爾瓦托·塔拉洛 申請(qǐng)人:思科技術(shù)公司