在虛擬化多租戶環(huán)境中供應(yīng)安全客戶域的制作方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明一般地設(shè)及用于管理多租戶數(shù)據(jù)處理環(huán)境的方法、系統(tǒng)和計算機(jī)程序產(chǎn) 品。更特別地，本發(fā)明設(shè)及用于在虛擬化多租戶環(huán)境中供應(yīng)安全客戶域的方法、系統(tǒng)和計算 機(jī)程序產(chǎn)品。
【背景技術(shù)】
[0002] 某些數(shù)據(jù)處理系統(tǒng)被配置為同時處理數(shù)個工作負(fù)載。例如，配置在單個的主機(jī)數(shù) 據(jù)處理系統(tǒng)上的單獨的虛擬數(shù)據(jù)處理系統(tǒng)、諸如單獨的虛擬機(jī)（VM)經(jīng)常為不同的客戶或 應(yīng)用處理單獨的工作負(fù)載。
[0003] 在大規(guī)模數(shù)據(jù)處理環(huán)境、例如數(shù)據(jù)中屯、中，在任何給定時間，數(shù)W千計的VM可W 在一個主機(jī)上運行，同時，在該數(shù)據(jù)中屯、中，即使沒有數(shù)千也有數(shù)百臺運樣的主機(jī)在運行。 虛擬化數(shù)據(jù)處理環(huán)境、例如運里所說的數(shù)據(jù)中屯、常常被稱為"云"，其在按需基礎(chǔ)上向數(shù)個 客戶提供計算資源和計算服務(wù)。
[0004] 為了處理客戶工作負(fù)載、滿足服務(wù)水平需求W及許多其他原因，在計算節(jié)點上按 照需要安裝或生成VM。進(jìn)一步地，為了不同目的可能需要VM的不同配置。例如，當(dāng)僅僅為 了向用戶提供一個通用計算平臺來生成VM時，生成的VM可W僅僅帶有基本的操作系統(tǒng)而 沒有應(yīng)用。在另一個例子中，當(dāng)一個新的VM需要提供應(yīng)用服務(wù)時，該生成的VM可W帶有操 作系統(tǒng)W及在其上配置的應(yīng)用服務(wù)器。
[0005] 類似地，可朗尋許多不同的VM配置預(yù)先配置為模板映像（模板）。當(dāng)需要在一個 計算節(jié)點上生成具有特定預(yù)定配置的VM時，從模板存儲器、例如數(shù)據(jù)庫或文件系統(tǒng)中選擇 一個合適的模板，并安裝在該計算節(jié)點上，W生成具有所期望配置的VM。

【發(fā)明內(nèi)容】

[0006] 例示實施例提供了用于在虛擬多租戶環(huán)境中提供安全用戶域的方法、系統(tǒng)和計算 機(jī)程序產(chǎn)品。一個實施例通過使用處理器在客戶域中為客戶配置虛擬機(jī)（VM)。該實施例通 過使用處理器在VM中配置第一虛擬網(wǎng)絡(luò)接口（VNIC)，其中第一VNIC使得VM上的應(yīng)用可W 訪問在客戶域中的第二VM中的第二應(yīng)用。該實施例通過使用處理器將第一網(wǎng)絡(luò)地址分配 給第一VNIC，其中第一網(wǎng)絡(luò)地址位于為客戶域選擇的第一地址范圍內(nèi)。該實施例通過使用 處理器在VM中配置第二VNIC，其中，第二VNIC使得在客戶域之外的第Ξ應(yīng)用可W訪問在 客戶域中的VM，W及，其中，第二VNIC被配置為使用由第Ξ應(yīng)用的服務(wù)器使用的尋址規(guī)范。 該實施例通過使用處理器在VM中配置第ΞVNIC，其中，第ΞVNIC使得從第一應(yīng)用可W訪問 在客戶域之外執(zhí)行的第四應(yīng)用，W及，其中，第SVNIC被配置為使用由第四應(yīng)用的服務(wù)器 使用的尋址規(guī)范，從而確保與客戶域有關(guān)的數(shù)據(jù)通信不受與第二客戶域有關(guān)的數(shù)據(jù)通信的 干擾。
[0007] 另一個實施例包括一個或多個計算機(jī)可讀有形存儲設(shè)備。該實施例進(jìn)一步包括存 儲在一個或多個存儲設(shè)備中的至少一個上的程序指令，用于在客戶域中為客戶配置虛擬機(jī) (VM)。該實施例進(jìn)一步包括存儲在一個或多個存儲設(shè)備中的至少一個上的程序指令，用于 在VM中配置第一虛擬網(wǎng)絡(luò)接口（VNIC)，其中第一VNIC使得VM上的應(yīng)用可W訪問在客戶域 中的第二VM中的第二應(yīng)用。該實施例進(jìn)一步包括存儲在一個或多個存儲設(shè)備中的至少一 個上的程序指令，用于將第一網(wǎng)絡(luò)地址分配給第一VNIC，其中第一網(wǎng)絡(luò)地址位于為客戶域 選擇的第一地址范圍內(nèi)。該實施例進(jìn)一步包括存儲在一個或多個存儲設(shè)備中的至少一個上 的程序指令，用于在VM中配置第二VNIC，其中，第二VNIC使得在客戶域之外的第Ξ應(yīng)用可 W訪問在客戶域中的VM，W及，其中，第二VNIC被配置為使用由第Ξ應(yīng)用的服務(wù)器使用的 尋址規(guī)范。該實施例進(jìn)一步包括存儲在一個或多個存儲設(shè)備中的至少一個上的程序指令， 用于在VM中配置第ΞVNIC，其中，第ΞVNIC使得從第一應(yīng)用可W訪問在客戶域之外執(zhí)行的 第四應(yīng)用，W及，其中，第ΞVNIC被配置為使用由第四應(yīng)用的服務(wù)器使用的尋址規(guī)范，從而 確保與客戶域有關(guān)的數(shù)據(jù)通信不受與第二客戶域有關(guān)的數(shù)據(jù)通信的干擾。
[0008] 另一個實施例包括一個或多個處理器，一個或多個計算機(jī)可讀存儲器W及一個或 多個計算機(jī)可讀有形存儲設(shè)備。該實施例進(jìn)一步包括存儲在一個或多個存儲設(shè)備中的至少 一個上、經(jīng)由一個或多個存儲器中的至少一個、由一個或多個處理器中的至少一個執(zhí)行的 程序指令，用于在客戶域中為客戶配置虛擬機(jī)（VM)。該實施例進(jìn)一步包括存儲在一個或多 個存儲設(shè)備中的至少一個上、經(jīng)由一個或多個存儲器中的至少一個、由一個或多個處理器 中的至少一個執(zhí)行的程序指令，用于在VM中配置第一虛擬網(wǎng)絡(luò)接口（VNIC)，其中第一VNIC 使得VM上的應(yīng)用可W訪問在客戶域中的第二VM中的第二應(yīng)用。該實施例進(jìn)一步包括存儲 在一個或多個存儲設(shè)備中的至少一個上、經(jīng)由一個或多個存儲器中的至少一個、由一個或 多個處理器中的至少一個執(zhí)行的程序指令，用于將第一網(wǎng)絡(luò)地址分配給第一VNIC，其中第 一網(wǎng)絡(luò)地址位于為客戶域選擇的第一地址范圍內(nèi)。該實施例進(jìn)一步包括存儲在一個或多個 存儲設(shè)備中的至少一個上、經(jīng)由一個或多個存儲器中的至少一個、由一個或多個處理器中 的至少一個執(zhí)行的程序指令，用于在VM中配置第二VNIC，其中，第二VNIC使得在客戶域之 外的第Ξ應(yīng)用可W訪問在客戶域中的VM，W及，其中，第二VNIC被配置為使用由第Ξ應(yīng)用 的服務(wù)器使用的尋址規(guī)范。該實施例進(jìn)一步包括存儲在一個或多個存儲設(shè)備中的至少一個 上、經(jīng)由一個或多個存儲器中的至少一個、由一個或多個處理器中的至少一個執(zhí)行的程序 指令，用于在VM中配置第ΞVNIC，其中，第ΞVNIC使得從第一應(yīng)用可W訪問在客戶域之外 執(zhí)行的第四應(yīng)用，W及，其中，第ΞVNIC被配置為使用由第四應(yīng)用的服務(wù)器使用的尋址規(guī) 范，從而確保與客戶域有關(guān)的數(shù)據(jù)通信不受與第二客戶域有關(guān)的數(shù)據(jù)通信的干擾。
【附圖說明】
[0009] 在附帶的權(quán)利要求書中記載了被認(rèn)為是本發(fā)明特性的新穎特征。然而，當(dāng)結(jié)合附 圖閱讀，通過參考下面對例示實施例的詳細(xì)描述，將會更好地理解本發(fā)明自身W及其優(yōu)選 使用方式、其進(jìn)一步的目的和優(yōu)點，其中：
[0010] [圖1]圖1顯示了可W實現(xiàn)例示實施例的數(shù)據(jù)處理系統(tǒng)的方框圖； W11][圖引圖2顯示了可W實現(xiàn)例示實施例的邏輯分區(qū)平臺例子的方框圖；
[0012] [圖3]圖3顯示了根據(jù)例示實施例用于在虛擬化多租戶環(huán)境中供應(yīng)安全客戶域的 配置的方框圖；
[0013] [圖4]圖4顯示了根據(jù)例示實施例用于在虛擬化多租戶環(huán)境中供應(yīng)安全客戶域的 例示過程的流程圖；
[0014][圖引圖5顯示了根據(jù)例示實施例用于在虛擬化多租戶環(huán)境中供應(yīng)安全客戶域的 另一個例示過程的流程圖；W及
[0015][圖6]圖6顯示了根據(jù)例示實施例用于在虛擬化多租戶環(huán)境中供應(yīng)安全客戶域的 又一個例示過程的流程圖。
【具體實施方式】
[0016] 多租戶數(shù)據(jù)處理環(huán)境（多租戶環(huán)境）是一個托管有不止一個客戶的數(shù)據(jù)處理系統(tǒng) 的數(shù)據(jù)處理環(huán)境。虛擬化多租戶數(shù)據(jù)處理環(huán)境（虛擬化環(huán)境，虛擬化多租戶環(huán)境，VME，云） 是一個多租戶環(huán)境，在運里配置虛擬機(jī)來為數(shù)個客戶執(zhí)行計算任務(wù)。
[0017] 例示實施例認(rèn)識到，VME中的客戶典型地為不同目的配置有不同的VM。例如，客戶 可能有一個VM被配置為提供網(wǎng)絡(luò)服務(wù)，有另一個VM被配置為提供后端應(yīng)用支持，還有另一 個VM被配置為托管數(shù)據(jù)庫。類似地，可W為專口目的、混合使用或通用計算類似地配置任 意數(shù)目的VM。
[001引例示實施例進(jìn)一步認(rèn)識到，客戶通常會控制對其在VME中的應(yīng)用的配置。例如，除 了客戶被托管的VME的一些基本需求，客戶可W選擇任何因特網(wǎng)協(xié)議（I巧地址范圍來便利 在一個或多個VM上執(zhí)行的客戶的各種應(yīng)用之間的通信。VME的基本需求的一些例子是，為 管理目的應(yīng)該可W訪問客戶的VM，客戶的尋址不能與可在VME中可用的共享服務(wù)所用的尋 址相沖突。
[0019] 例示實施例進(jìn)一步認(rèn)識到，客戶期望其VM和應(yīng)用組（客戶域）相對于其他客戶域 是安全的。換句話說，除非是有意的，去往或來自一個客戶域的通信應(yīng)該不會與去往或來自 另一個客戶域的通信相干擾。
[0020] 例示實施例認(rèn)識到，確保VME中的客戶域安全是個難題。運種困難的原因之一例 如是，在VME中，由一個客戶選擇的地址范圍可能會不經(jīng)意地與另一個客戶選擇的地址范 圍相重疊。
[0021] 例示實施例認(rèn)識到，實施一個嚴(yán)格的地址范圍分離政策是不現(xiàn)實的、困難的并且 昂貴的。例如，為了實施運樣一個政策，可能需要修改客戶應(yīng)用的代碼，運對于客戶來說可 能是無法接受的。再例如，在當(dāng)前可用的VME架構(gòu)內(nèi)實施運樣一個政策需要對一個或多個 現(xiàn)有的客戶域進(jìn)行配置或者重新配置，來實現(xiàn)一個新的客戶域或修改一個客戶域。
[0022] 例示實施例進(jìn)一步認(rèn)識到，在當(dāng)前可用的VME架構(gòu)中，必須使用硬件設(shè)備來將客 戶域與向管理應(yīng)用和共享工具提供服務(wù)的服務(wù)器隔離開來。因此，當(dāng)VME中的客戶域改變 時，必須增加、移除或改變硬件元件。運種硬件改變是昂貴的，并且仍然需要嚴(yán)格的地址范 圍分離政策類型的解決方案來解決客戶域地址范圍重疊的問題。
[0023] 用于描述本發(fā)明的例示實施例總體上針對和解決與多租戶環(huán)境有關(guān)的上述問題 和其他問題。例示實施例提供了用于在虛擬化多租戶環(huán)境中供應(yīng)安全客戶域的方法、系統(tǒng) 和計算機(jī)程序產(chǎn)品。
[0024] 例示實施例提供了在客戶域配置組件的方式，使得即使客戶域使用與VME中的另 一個客戶域重疊的地址范圍，客戶域也不會受到在VME中的其他客戶域的干擾。例示實施 例進(jìn)一步提供了用于確?？蛻粲蚺c管理和共享工具之間的分離、W便不需要為該分離配置 硬件元件的技術(shù)。運里所描述的技術(shù)、過程和操作方式可W在用于VM的模板中實現(xiàn)，使得 當(dāng)在客戶域中構(gòu)造VM時，在多租戶環(huán)境中不需要作出硬件改變的情況下用本公開所描述 的方式配置該VM。
[0025] 相對于特定數(shù)據(jù)處理系統(tǒng)、環(huán)境、組件和應(yīng)用，僅僅作為例子描述了例示實施例。 運種物品的任何具體表現(xiàn)都不意圖限制本發(fā)明。任何適合于數(shù)據(jù)處理系統(tǒng)、環(huán)境、組件和應(yīng) 用的具體表現(xiàn)都可W在該例示實施例的范圍內(nèi)進(jìn)行選擇。
[00%] 此外，例示實施例可W相對于任何類型的數(shù)據(jù)、數(shù)據(jù)源或通過數(shù)據(jù)網(wǎng)絡(luò)對數(shù)據(jù)源 的訪問來實現(xiàn)。在本發(fā)明的范圍內(nèi)，任何類型的數(shù)據(jù)存儲設(shè)備可W將數(shù)據(jù)提供給在本地數(shù) 據(jù)處理系統(tǒng)或通過數(shù)據(jù)網(wǎng)絡(luò)的本發(fā)明的實施例。
[0027] 使用特定的代碼、設(shè)計、架構(gòu)、協(xié)議、布局、圖表和工具對例示實施例進(jìn)行了描述， 其僅作為示例，且不限制例示實施例。此外，為