用于數(shù)據(jù)中心安全的混合防火墻的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明一般地涉及云計(jì)算安全���。具體地,涉及用于管理對虛擬化應(yīng)用的加防火墻和其他服務(wù)需要的硬件和軟件的系統(tǒng)和方法���。
【背景技術(shù)】
[0002]隨著云計(jì)算的快速演進(jìn)�����,在服務(wù)器上運(yùn)行的虛擬機(jī)上運(yùn)行計(jì)算機(jī)程序變得越來越普遍����。虛擬機(jī)(VM)是如物理機(jī)一樣���、執(zhí)行程序的機(jī)器(即����,計(jì)算機(jī))的軟件實(shí)現(xiàn)��。運(yùn)行虛擬機(jī)的物理硬件被稱為主機(jī)或主機(jī)計(jì)算機(jī)��,并且可以駐留在數(shù)據(jù)中心設(shè)施中��。
[0003]數(shù)據(jù)中心是用于容納計(jì)算機(jī)系統(tǒng)和關(guān)聯(lián)組件的設(shè)施,通常包括用于在計(jì)算機(jī)系統(tǒng)和外部網(wǎng)絡(luò)之間傳輸業(yè)務(wù)的路由器和交換機(jī)���。數(shù)據(jù)中心通常包括冗余電源和冗余數(shù)據(jù)通信連接��,以提供用于操作的可靠基礎(chǔ)設(shè)施并且最小化任何破壞的機(jī)會(huì)����。信息安全也是一個(gè)問題���,并且由于該原因����,數(shù)據(jù)中心必須提供安全的環(huán)境���,以最小化安全漏洞的任何機(jī)會(huì)��。
[0004]虛擬化具有優(yōu)于傳統(tǒng)計(jì)算環(huán)境的若干優(yōu)點(diǎn)���。在虛擬機(jī)上運(yùn)行的操作系統(tǒng)和應(yīng)用通常僅需要在虛擬機(jī)運(yùn)行的底層物理硬件上可用的全部資源的一部分。主機(jī)系統(tǒng)可以采用多個(gè)物理計(jì)算機(jī)��,其中的每一個(gè)運(yùn)行多個(gè)虛擬機(jī)��。虛擬機(jī)可以按需要被創(chuàng)建和關(guān)閉,因此僅按需要使用物理計(jì)算機(jī)的資源����。虛擬化應(yīng)用可以在一個(gè)或多個(gè)虛擬機(jī)上運(yùn)行,該一個(gè)或多個(gè)虛擬機(jī)可以按應(yīng)用需要被擴(kuò)大或縮小�����。
[0005]虛擬化的另一優(yōu)點(diǎn)是由用于操作虛擬機(jī)和將虛擬機(jī)從一個(gè)物理站點(diǎn)移動(dòng)到另一個(gè)或者在相同數(shù)據(jù)中心內(nèi)的主機(jī)之間移動(dòng)虛擬機(jī)的能力提供的靈活性�����。虛擬機(jī)可以被移動(dòng)��,以便于更好地利用主機(jī)機(jī)器并且提供擴(kuò)大或縮小尺寸的彈性����。
[0006]許多數(shù)據(jù)中心使用采用專用硬件和軟件的設(shè)施���,以在數(shù)據(jù)中心中提供各種服務(wù)���。這樣的服務(wù)可以包括防火墻服務(wù)、負(fù)載平衡服務(wù)�、統(tǒng)一威脅管理(UTM)服務(wù)���、入侵檢測和預(yù)防系統(tǒng)(IDS/IPS)、數(shù)據(jù)丟失預(yù)防(DLP)系統(tǒng)���、代理/網(wǎng)關(guān)服務(wù)和其他安全服務(wù)�。
[0007]圖1圖示了在提供防火墻和安全服務(wù)的數(shù)據(jù)中心100之前布置有硬件設(shè)施102的數(shù)據(jù)中心100�。數(shù)據(jù)中心100具有7個(gè)刀片(blade) 104、106��、108����、110、112���、114�����、116����。刀片
1-5���、104-112運(yùn)行由虛擬化層118管理的虛擬機(jī)VM1-VM10����。刀片6和7、114和116運(yùn)行由虛擬化層120管理的虛擬存儲組件VS1-VS4��。硬件防火墻102檢查并且過濾從網(wǎng)絡(luò)122到數(shù)據(jù)中心100的業(yè)務(wù)���?;谟糜跀?shù)據(jù)中心100的最大吞吐量來確定該防火墻102的容量���。在實(shí)踐中,這通常導(dǎo)致防火墻102的過大尺寸�����。
[0008]如果數(shù)據(jù)中心100的硬件在未來升級并且數(shù)據(jù)中心100的總?cè)萘吭黾?����,則防火墻設(shè)施102也將需要被升級��,以滿足日益增加的業(yè)務(wù)需求����。該類型的操作可能需要服務(wù)中斷��、硬件/軟件升級的投資和高操作成本���。
[0009]由硬件設(shè)施提供的服務(wù)的虛擬化也蓄勢待發(fā)。例如���,虛擬防火墻(VF)是完全在虛擬化環(huán)境內(nèi)運(yùn)行的網(wǎng)絡(luò)防火墻服務(wù)���,其可以提供與由物理網(wǎng)絡(luò)防火墻或防火墻服務(wù)設(shè)備傳統(tǒng)上提供的相同的分組過濾和監(jiān)視。
[0010]圖2圖示了采用純虛擬防火墻的數(shù)據(jù)中心200�。數(shù)據(jù)中心200具有7個(gè)刀片204、206�����、208�����、210���、212�、214和216。刀片1_5�����、204_212運(yùn)行由虛擬化層218管理的虛擬機(jī)VM1-VM10�����。刀片6和7����、214和216運(yùn)行由虛擬化層220管理的虛擬存儲組件VS1-VS4。刀片4和5����、210和212可以被配置到運(yùn)行加防火墻應(yīng)用的虛擬機(jī)VM7-VM10或更簡單地稱為“虛擬防火墻”�。刀片4、210可以一直專用于虛擬防火墻����,而刀片5、212可以在流量增加時(shí)被指配給防火墻���。當(dāng)流量減少時(shí)�����,可以釋放這些虛擬機(jī)VM9和VM10�����。類似于圖1的硬件防火墻102�,虛擬防火墻可以檢查并且過濾從網(wǎng)絡(luò)222到數(shù)據(jù)中心200的流量。虛擬化的防火墻服務(wù)允許資源按流量需要調(diào)整�����。
[0011]因此����,希望提供一種用于集成硬件和虛擬防火墻組件并且減輕相關(guān)聯(lián)的可擴(kuò)展性問題的系統(tǒng)和方法。
【發(fā)明內(nèi)容】
[0012]本發(fā)明的目的在于消除或減輕現(xiàn)有技術(shù)的至少一個(gè)缺點(diǎn)�。
[0013]在本發(fā)明的第一方面,提供了一種用于管理與虛擬化應(yīng)用相關(guān)的防火墻需要的方法�����。包括處理器的云計(jì)算管理實(shí)體確定與第一多個(gè)應(yīng)用虛擬機(jī)和第二多個(gè)防火墻虛擬機(jī)相關(guān)聯(lián)的虛擬化應(yīng)用需要在第一多個(gè)中的增加數(shù)目的應(yīng)用虛擬機(jī)���。確定增加數(shù)目的應(yīng)用虛擬機(jī)需要增加數(shù)目的防火墻虛擬機(jī)��。應(yīng)用虛擬機(jī)被實(shí)例化�;并且防火墻虛擬機(jī)被實(shí)例化。
[0014]在本發(fā)明的第一方面的實(shí)施例中�����,根據(jù)檢測到與虛擬化應(yīng)用相關(guān)聯(lián)的防火墻比率閾值被增加數(shù)目的應(yīng)用虛擬機(jī)超過���,確定所需要的增加數(shù)目的防火墻虛擬機(jī)��。防火墻比率閾值可以被包括在虛擬化應(yīng)用的部署時(shí)配置的應(yīng)用簡檔中���。虛擬化應(yīng)用可以被托管在第一多個(gè)應(yīng)用虛擬機(jī)上,并且第二多個(gè)防火墻虛擬機(jī)可以提供用于與虛擬化應(yīng)用相關(guān)聯(lián)的流量的加防火墻服務(wù)����。
[0015]在另一實(shí)施例中����,該方法進(jìn)一步包括:將應(yīng)用虛擬機(jī)的所需要的增加的數(shù)目與第二多個(gè)中的防火墻虛擬機(jī)的數(shù)目作比較。
[0016]在另一實(shí)施例中����,該方法進(jìn)一步包括:計(jì)算應(yīng)用虛擬機(jī)的所需要的增加的數(shù)目與第二多個(gè)中的防火墻虛擬機(jī)的數(shù)目的比率���;以及將所計(jì)算的比率與關(guān)聯(lián)于虛擬化應(yīng)用的防火墻比率需要作比較。
[0017]在另一實(shí)施例中�,該方法進(jìn)一步包括:將第一多個(gè)中的所需要的增加數(shù)目的應(yīng)用虛擬機(jī)的帶寬容量與第二多個(gè)中的防火墻虛擬機(jī)的帶寬容量作比較。
[0018]在另一實(shí)施例中�����,該方法進(jìn)一步包括:將第一多個(gè)中的所需要的增加數(shù)目的應(yīng)用虛擬機(jī)的帶寬容量與第二多個(gè)中的防火墻虛擬機(jī)的帶寬容量和為了由虛擬化應(yīng)用使用而提供的硬件防火墻的帶寬的總和作比較�。
[0019]在另一實(shí)施例中,該方法進(jìn)一步包括下述步驟:確定增加數(shù)目的應(yīng)用虛擬機(jī)需要增加數(shù)目的負(fù)載平衡虛擬機(jī)�;以及實(shí)例化負(fù)載平衡虛擬機(jī)。
[0020]在另一實(shí)施例中�����,該方法進(jìn)一步包括下述步驟:確定虛擬化應(yīng)用需要第一多個(gè)中的減少數(shù)目的應(yīng)用虛擬機(jī)����;確定減少數(shù)目的應(yīng)用虛擬機(jī)需要減少數(shù)目的防火墻虛擬機(jī);關(guān)閉應(yīng)用虛擬機(jī)��;以及關(guān)閉防火墻虛擬機(jī)��。
[0021]在本發(fā)明的第二方面中,提供了一種云管理實(shí)體���,包括用于存儲指令的存儲器和配置為執(zhí)行指令的處理引擎�����。處理引擎被配置為確定與第一多個(gè)應(yīng)用虛擬機(jī)和第二多個(gè)防火墻虛擬機(jī)相關(guān)聯(lián)的虛擬化應(yīng)用需要在第一多個(gè)中的增加數(shù)目的應(yīng)用虛擬機(jī)��。該處理引擎確定增加數(shù)目的應(yīng)用虛擬機(jī)需要增加數(shù)目的防火墻虛擬機(jī)����。該處理引擎實(shí)例化應(yīng)用虛擬機(jī)并且實(shí)例化防火墻虛擬機(jī)�����。
[0022]在本發(fā)明的第二方面的實(shí)施例中���,云管理實(shí)體進(jìn)一步包括通信接口��,該通信接口用于與第一多個(gè)應(yīng)用虛擬機(jī)和第二多個(gè)防火墻虛擬機(jī)進(jìn)行通信���。
[0023]在另一實(shí)施例中,響應(yīng)于檢測到與虛擬化應(yīng)用相關(guān)聯(lián)的防火墻比率閾值被超過來進(jìn)行需要增加數(shù)目的防火墻虛擬機(jī)的確定����。防火墻比率閾值可以通過處理引擎被包括在虛擬化應(yīng)用的部署時(shí)配置的應(yīng)用簡檔中。虛擬化應(yīng)用可以被托管在第一多個(gè)應(yīng)用虛擬機(jī)上�����,并且第二多個(gè)防火墻虛擬機(jī)可以針對與虛擬化應(yīng)用相關(guān)聯(lián)的流量提供加防火墻服務(wù)����。
[0024]在另一實(shí)施例中,處理引擎將第一多個(gè)中的應(yīng)用虛擬機(jī)的所需要的增加的數(shù)目與第二多個(gè)中的防火墻虛擬機(jī)的數(shù)目作比較�。
[0025]在另一實(shí)施例中,處理引擎計(jì)算第一多個(gè)中的應(yīng)用虛擬機(jī)的所需要的增加的數(shù)目與第二多個(gè)中的防火墻虛擬機(jī)的數(shù)目的比率�;以及將所計(jì)算的比率與關(guān)聯(lián)于虛擬化應(yīng)用的防火墻比率閾值作比較。
[0026]在另一實(shí)施例中�,處理引擎將第一多個(gè)中的增加數(shù)目的應(yīng)用虛擬機(jī)的帶寬容量與第二多個(gè)中的防火墻虛擬機(jī)的帶寬容量作比較。
[0027]在另一實(shí)施例中����,處理引擎將第一多個(gè)中的增加數(shù)目的應(yīng)用虛擬機(jī)的帶寬容量與第二多個(gè)中的防火墻虛擬機(jī)的帶寬容量和為了由虛擬化應(yīng)用使用而提供的硬件防火墻的帶寬容量的總和作比較。
[0028]在結(jié)合附圖回顧對本發(fā)明的具體實(shí)施例的以下描述時(shí)�����,本發(fā)明的其他方面和特征對于本領(lǐng)域普通技術(shù)人員來說將是明顯的�����。
【附圖說明】
[0029]現(xiàn)在將僅通過示例的方式,參考附圖來描述本發(fā)明的實(shí)施例��,在附圖中:
[0030]圖1是具有硬件防火墻的現(xiàn)有技術(shù)的數(shù)據(jù)中心的框圖�����;
[0031]圖2是具有虛擬防火墻的現(xiàn)有技術(shù)的數(shù)據(jù)中心的框圖��;