專利名稱:可擴(kuò)充式安全服務(wù)器交替系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明是關(guān)于一種服務(wù)器系統(tǒng)架構(gòu),尤指一種可提高服務(wù)器安全性�����、可靠度與可
擴(kuò)充式安全服務(wù)器交替系統(tǒng)����。
背景技術(shù):
客戶-服務(wù)器作業(yè)(Client-Server Model)是目前網(wǎng)際網(wǎng)絡(luò)應(yīng)用的最主要模式, 舉凡網(wǎng)頁流覽(WWW Browsing)��、網(wǎng)格處理(Web Based Processing)��、網(wǎng)絡(luò)文件傳輸系統(tǒng) (Network File System)等應(yīng)用��,均以客戶_服務(wù)器的作業(yè)模式運行����。 隨著社會文明的數(shù)字化及網(wǎng)絡(luò)化,各項攸關(guān)民生�、文化、教育�����、以及商業(yè)交易的活 動,也已通過此種運作模式而普及于數(shù)字網(wǎng)絡(luò)的世界中����,此一現(xiàn)象同時也顯示了服務(wù)器系 統(tǒng)對人類文明的重要及不可替代性正與日倶增中。若網(wǎng)際網(wǎng)絡(luò)上的服務(wù)器系統(tǒng)產(chǎn)生故障而 無法提供服務(wù)�,或是遭到破壞而出現(xiàn)停止服務(wù)、數(shù)據(jù)毀損/外泄等情況���,其嚴(yán)重性將可癱瘓 整個文明社會的正常運作�。 鑒于客戶-服務(wù)器作業(yè)模式的重要���,各種提高服務(wù)器系統(tǒng)的安全性(Security)��、 可靠性(Reliability)�����、以及容錯性(Fault Tolerance)的技術(shù)及產(chǎn)品如雨后春笑般的出 現(xiàn)�。但各項技術(shù)/產(chǎn)品的著眼點及功效均著重于單一方面�����,提出針對特定一種目的的改善 技術(shù),而其主要技術(shù)則不外乎以資源分散(Distribution)與冗置(Redundancy)的方式��,確 保重要信息及處理引擎皆同時具有兩個以上的設(shè)置��,使服務(wù)器系統(tǒng)在遇上硬件故障或入侵 破壞時����,能具有備份資源而可立即替補(bǔ)���,期使能將損失降至最低����。 基于冗置技術(shù)與系統(tǒng)的負(fù)載分散�����,可以更進(jìn)一步應(yīng)用負(fù)載平衡 (workloadbalanced)來提升系統(tǒng)效能�����。有關(guān)此類的容錯系統(tǒng)����、提升系統(tǒng)可靠度、以及拓展 負(fù)載平衡以提升系統(tǒng)效能的技術(shù)頗多,例如美國公告第7����, 111, 115號專利案"Computer system and process for transferring multiple high bandwidth streamsof data between multiple storage units and multiple applications in a scalable andreliable manner"以及美國公告第7����, 203, 944號專利案"Migrating virtual machinesamong computer systems to balance load caused by virtual machines",禾肖
后將會針對此兩件專利有更進(jìn)一步的技術(shù)介紹�。 在系統(tǒng)安全方面,主要是利用層層的網(wǎng)絡(luò)防火墻���、以及防間碟/防毒軟件的進(jìn)駐 以防止服務(wù)器系統(tǒng)遭到惡意入侵及破壞���。此類有關(guān)服務(wù)器系統(tǒng)安全的技術(shù),包含軟件技術(shù) 實現(xiàn)的安全內(nèi)容管理(SCM)��,以及硬件技術(shù)相關(guān)的入侵防御系統(tǒng)(IPS)����、防火墻(FW)、入侵 檢測系統(tǒng)(IDS)與新興的整合式威脅管理(United Threat Management,UTM)等安全技術(shù)�。 其中,以硬件技術(shù)實現(xiàn)的整合式威脅管理技術(shù)為主流�,例如資安相關(guān)產(chǎn)業(yè)大廠Juniper公 司推出的SSG與NetScreen系列產(chǎn)品即以統(tǒng)合狀態(tài)防火墻����、IPSec VPN�����、 IPS����、防毒(如防 間諜軟件�����、防廣告軟件�、防釣魚攻擊)、防垃圾郵件和Web過濾等安全防護(hù)功能的方式同時 針對混合攻擊的多樣變化進(jìn)行檢測掃描��,以有效遏止此種威脅的入侵�����。
在服務(wù)器系統(tǒng)的容錯技術(shù)方面��,主要是將冗置的重要信息分散于不同的冗置儲存裝置之中���,當(dāng)信息遺失時則可以利用冗置的信息恢復(fù)原本狀態(tài)���。 例如前述美國公告第7��, 111��, 115號專利在儲存數(shù)據(jù)的處理上�����,是將數(shù)據(jù)分割成區(qū) 段(segments)的形式�,每個區(qū)段均會額外的復(fù)制相同的一份�,且區(qū)段將隨機(jī)分散并儲存于 不同的儲存單元里,并利用數(shù)據(jù)庫形式的區(qū)段管理機(jī)制紀(jì)錄所有區(qū)段分散的情況����、冗置區(qū) 段的分布以及儲存單元的狀況,管理機(jī)制通過不斷發(fā)送信息與儲存單元相互溝通判斷儲存 單元是否發(fā)生故障�。而當(dāng)儲存單元故障發(fā)生時,管理機(jī)制可以利用儲存在不同儲存單元的 冗置區(qū)段���,將因儲存單元故障所造成的數(shù)據(jù)遺失加以恢復(fù)���。當(dāng)使用者存取數(shù)據(jù)時��,系統(tǒng)可找 到分散在不同儲存單元中最短回應(yīng)序列提供使用者存取�。此美國專利通過數(shù)據(jù)冗置以及數(shù) 據(jù)分散的方式�����,達(dá)到系統(tǒng)容錯并更進(jìn)一步提升效能�。 而前述7, 203�, 944美國專利主要針對服務(wù)器系統(tǒng)的效能提升,是利用多處理引擎 配合虛擬機(jī)器的系統(tǒng)軟件技術(shù)��,使處理引擎可以同時執(zhí)行一個至多個虛擬機(jī)器��,且虛擬機(jī) 器系統(tǒng)軟件可以使虛擬機(jī)器去除在處理引擎執(zhí)行的相依性��,并通過一個共享的儲存裝置儲 存虛擬機(jī)器以達(dá)成搬遷虛擬機(jī)器在不同處理引擎上執(zhí)行���,并配合一系統(tǒng)負(fù)載評估機(jī)制,評 估處理各引擎之間目前的工作負(fù)載����,將虛擬機(jī)器搬遷至負(fù)載較小的處理引擎上執(zhí)行,使處 理引擎之間的工作負(fù)載能平均分散����,達(dá)到負(fù)載平衡進(jìn)而提升效能�����。 如同前述介紹的美國專利����,目前所提出針對各式服務(wù)器系統(tǒng)的安全性/可靠度/ 容錯等技術(shù)均只是針對單一特定目的而研發(fā)�,并未有單一的專門技術(shù),能同時滿足多項目 的���,并能結(jié)合系統(tǒng)的架構(gòu)特性�����,以動態(tài)的服務(wù)器服務(wù)引擎的快速置換����,達(dá)到服務(wù)器群組的工 作負(fù)載平衡(Workload Balance)��,充分發(fā)揮硬件環(huán)境的處理效能��。 雖然整合式威脅管理(UTM)在資安市場迅速發(fā)展并且受到資安各界肯定����,各家資 安廠商紛紛號稱其產(chǎn)品具備UTM整合式的安全解決方案�����。然而���,探其架構(gòu)不外乎是迭床架 屋式的單純相加概念,換言之��,是將許多不同功能的單元進(jìn)行串接����,在不同功能單元之間不 斷的重復(fù)拆解封包、組裝封包動作�����,如此拼湊式的整合服務(wù)將無法使設(shè)備發(fā)揮應(yīng)有的效能��, 并且將會面臨整合性管理的挑戰(zhàn)�����。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種可擴(kuò)充式安全服務(wù)器交替系統(tǒng)����,針對服務(wù)器系的安全防
護(hù)、服務(wù)器系統(tǒng)的容錯技術(shù)��、以及服務(wù)器系統(tǒng)的效能提升及負(fù)載平衡等各方面加以整合����。 本發(fā)明的可擴(kuò)充式安全服務(wù)器交替系統(tǒng)是包含有 多個服務(wù)器群組,各服務(wù)器群組內(nèi)具有 多個主機(jī)��,各主機(jī)是以虛擬機(jī)器提供至少一種服務(wù)器服務(wù)�; —群組控制器,是通過專線連接各主機(jī)以傳達(dá)命令�����、傳送數(shù)據(jù)及收集各主機(jī)的工 作負(fù)載信息�����,其中��,各群組控制器借著專屬交聯(lián)線路建立聯(lián)系�����,使任一服務(wù)器群組所提供的 服務(wù)器服務(wù)可轉(zhuǎn)移至其它服務(wù)器群組繼續(xù)運行;及 —后端儲存控制模塊��,是連接于一安全后端儲存單元與前述各服務(wù)器群組之間�, 用以控制各群組控制器對該安全后端儲存單元的文件存取。
前述各群組控制器可進(jìn)一步包含有 —通訊單元���,是供連接至前述專屬交聯(lián)線路��,使群組控制器通過專屬交聯(lián)線路彼 此溝通并交換信息���;
—工作負(fù)載監(jiān)視單元,是負(fù)責(zé)接收從主機(jī)端傳送出來的工作負(fù)載信息及網(wǎng)絡(luò)流量 負(fù)載信息����,并且判斷是否逼近或超過一預(yù)設(shè)的負(fù)載容忍邊界; —排程單元����,其內(nèi)部儲存服務(wù)器暴露時間、主機(jī)負(fù)載上限等排程相關(guān)的參數(shù)設(shè)定��, 并且負(fù)責(zé)根據(jù)設(shè)定已排定各主機(jī)所負(fù)責(zé)的服務(wù)器服務(wù)�,安排各主機(jī)周期性地工作切換、時 間與周期計算而提供服務(wù)器的服務(wù)排程工作�,且于前述工作負(fù)載監(jiān)視單元判斷有主機(jī)逼近 或超過一預(yù)設(shè)的負(fù)載容忍邊界,接收工作負(fù)載監(jiān)視單元發(fā)出的一中斷要求�����,以更改排程參 數(shù)�����,將該逼近或超過預(yù)設(shè)負(fù)載容忍邊界的主機(jī)從排程清單中暫時剔除�����,待該主機(jī)負(fù)載恢復(fù) 正常后才重新加入排程清單���; —核心控制單元�����,是依據(jù)排程單元提供的排程信息����,對各主機(jī)下達(dá)各項工作命令����、 服務(wù)要求進(jìn)行派送�,將服務(wù)要求轉(zhuǎn)送給后端的主機(jī)進(jìn)行處理���,又核心控制單元更進(jìn)一步連 接有一后端儲存接口�����、多個主機(jī)切換模塊��、一通訊模塊��、一公共網(wǎng)絡(luò)接口及一終端控制模 塊��。 前述各主機(jī)可包含有一基礎(chǔ)硬件單元�����、一主機(jī)作業(yè)系統(tǒng)���、一虛擬機(jī)器監(jiān)視器與一 主機(jī)控制模塊。 該虛擬機(jī)器監(jiān)視器是建立出多個虛擬機(jī)器���,各虛擬機(jī)器提供單一種服務(wù)器服務(wù)且 彼此相互獨立并與主機(jī)作業(yè)系統(tǒng)相隔絕��,而主機(jī)控制模塊將通過該虛擬機(jī)器監(jiān)視器以設(shè)定 各虛擬機(jī)器的虛擬硬件環(huán)境并控制各虛擬機(jī)器的啟動�����、關(guān)閉�、快照��、及還原并驗證服務(wù)器文 件系統(tǒng)的完整性���。 本發(fā)明利用具延展特性(Scalability)的硬件架構(gòu)�����,結(jié)合嵌入式系統(tǒng)技術(shù)�、虛擬 機(jī)器的系統(tǒng)軟件技術(shù)�、網(wǎng)絡(luò)協(xié)定功能、以及分散式處理等技術(shù)����,利用一群主機(jī)(Host)資源, 通過特定的交連及控制協(xié)調(diào)機(jī)制�,使有限的硬件能滿足大量的服務(wù)器系統(tǒng)的處理需求,在 負(fù)載平衡的原則下有效的發(fā)揮所有的處理能力�����,同時利用冗置的理念,使系統(tǒng)故障時不 致導(dǎo)致服務(wù)的錯誤或中斷�,達(dá)到容錯理論中優(yōu)雅下降(Grace Degradation)的目的。此 外�����,本發(fā)明還提出入侵排除(Intrusion Elimination)的概念�,能在與目前所有入侵檢測 (Intrusion Detection)及入侵預(yù)防(Intrusion Prevention)技術(shù)相容的情況下,在產(chǎn)生 即使遭遇系統(tǒng)入侵��,也能在極短時間內(nèi)還原正常(Recovery)�����,排除入侵的功能�。
圖1是本發(fā)明的系統(tǒng)架構(gòu)圖。 圖2是本發(fā)明一服務(wù)器群組(server pool)的架構(gòu)圖, 圖3是本發(fā)明一主機(jī)(Host)的架構(gòu)圖�����。 圖4是本發(fā)明的服務(wù)器群組中的主機(jī)的運行狀態(tài)機(jī)�。 圖5是本發(fā)明數(shù)據(jù)更新流程圖。 附圖標(biāo)號 10服務(wù)器群組 IIO群組控制器 lll通訊單元 112工作負(fù)載監(jiān)視單元 113排程單元 114核心控制單元 115后端儲存接口 116主機(jī)切換模塊 117通訊模塊
118公共網(wǎng)絡(luò)接口 120主機(jī) 122主機(jī)作業(yè)系統(tǒng) 124虛擬機(jī)器
119終端控制模塊 121基礎(chǔ)硬件單元 123虛擬機(jī)器監(jiān)視器 125主機(jī)控制模塊 20后端儲存控制模塊30安全后端儲存單元
40專屬交聯(lián)線路
具體實施例方式
請參考圖1所示���,本發(fā)明的系統(tǒng)主要包含多個服務(wù)器群組(Server Pool) 10����、一后 端儲存控制模塊20及一安全后端儲存單元30。 各服務(wù)器群組10內(nèi)包含一作為核心的群組控制器(Pool Controller) 110以及多 個主機(jī)(HOST) 120���,該群組控制器IIO通過專線連接各主機(jī)120以傳達(dá)命令、傳送數(shù)據(jù)及收 集來自一公共網(wǎng)絡(luò)接口 118的流量負(fù)載與收集各主機(jī)120的工作負(fù)載(Workload)信息��,其 中����,各群組控制器110借著專屬交聯(lián)線路(Interconnection Network) 40建立聯(lián)系,故可擴(kuò) 充連結(jié)多個服務(wù)器群組10讓彼此能夠溝通相互支援��,該專屬交聯(lián)線路40可由多種拓?fù)湫?式所實現(xiàn)���,如總線網(wǎng)絡(luò)拓?fù)?��、星狀網(wǎng)絡(luò)拓?fù)洹h(huán)狀網(wǎng)絡(luò)拓?fù)浠蚧旌鲜骄W(wǎng)絡(luò)拓?fù)涞刃问?���,或?以其他網(wǎng)絡(luò)技術(shù)所完成�����;各主機(jī)120內(nèi)建構(gòu)有一個或多個不同的服務(wù)器����,提供一種至多種 不同或相同的服務(wù)器服務(wù)�,群組控制器110平時根據(jù)設(shè)定以排定各主機(jī)120所負(fù)責(zé)的服務(wù) 器服務(wù),并安排各主機(jī)120周期性的作工作切換���,使各服務(wù)器能通過在主機(jī)120間的切換而 達(dá)到系統(tǒng)還原(system recovery)的排除入侵效果�����,而當(dāng)其中一服務(wù)器群組10內(nèi)的服務(wù)器 發(fā)生故障或超過負(fù)載容忍邊界時�����,能通過群組控制器110的管控將服務(wù)器工作負(fù)載轉(zhuǎn)移至 同群組其它主機(jī)120負(fù)擔(dān)�,亦可利用群組控制器110通過該專屬交聯(lián)線路40與其它群組控 制器110溝通��,并且可要求其它服務(wù)器群組10提供協(xié)助�。 該后端儲存控制模塊20,是連接于安全后端儲存單元30與各服務(wù)器群組之間10, 用以控制各群組控制器110對安全后端儲存單元30的文件存?。辉诤蠖藘Υ婵刂颇K20 與安全后端儲存單元30兩者之間可利用一個或多個總線(Bus)連結(jié)�,或是通過網(wǎng)絡(luò)接口 互相連結(jié)如NAS (Network Attached Storage) 、 NFS (Network File System) �����、 SAN (Storage Area Network)等技術(shù)實現(xiàn)����。而該后端儲存控制模塊20可以利用現(xiàn)有技術(shù)的硬件元件 (hardware component)或客制邏輯電路、電腦硬件接口卡或以軟件的方式實現(xiàn)�,設(shè)置于安 全后端儲存單元30之中或獨立于安全后端儲存單元30外�����。 該安全后端儲存單元(Secure Backend Storage) 30可為各種形式的儲存架構(gòu) (storage architecture)���,是連接前述后端儲存控制模塊20且儲存著每一服務(wù)器群組10 所各自擁有的服務(wù)器數(shù)據(jù)��,當(dāng)服務(wù)器群組10所屬的群組控制器110欲要求存取該安全后端 儲存單元30的文件時��,必須經(jīng)由后端儲存控制模塊20確認(rèn)發(fā)出要求的群組控制器110����,決 定文件是否屬于要求存取的群組控制器110所擁有的數(shù)據(jù),而此一認(rèn)證機(jī)制可以隨著任一 服務(wù)器群組10必須轉(zhuǎn)移到其他伺服群組10接手工作時��,同時獲取該安全后端儲存單元30 的認(rèn)證�,以允許存取轉(zhuǎn)出的原服務(wù)器群組10其服務(wù)器資源。 請參考圖2所示��,為前述服務(wù)器群組(Server Pool) 110的細(xì)部架構(gòu)圖��,該群組控 制器IIO可根據(jù)各主機(jī)120的工作負(fù)載狀態(tài)及使用者事先設(shè)定的一服務(wù)器暴露時間以決定需由哪一主機(jī)120執(zhí)行服務(wù)器服務(wù)及上線�����、交替����、還原(Recovery)時機(jī),群組控制器110的 內(nèi)部主要包含一通訊單元111���、一工作負(fù)載監(jiān)視單元(Workload Monitor) 112����、一排程單元 (Schedule Component) 113以及一核心控制單元(Control Kernel) 114�����,而核心控制單元 114更進(jìn)一步連接多個模塊或接口 ,包含有 —后端儲存接口 (backend storage interface) 115����,是與前述后端儲存控制模塊
20連接; 多個主機(jī)切換模塊(host switch module) 116,是分別與不同的主機(jī)120連接以傳 輸數(shù)據(jù)及指令����; —通訊模土央(communication module) 117,是連接前述專屬交聯(lián)線路40及通訊單 元111 ; —公共網(wǎng)絡(luò)接口 (public network interface) 118����,是供連接至公共網(wǎng)絡(luò) (Internet),為一具有TCP/IP通訊能力的網(wǎng)絡(luò)實體連線接口����,接收客戶端(client)的服務(wù) 要求(request)�,并將接收到的服務(wù)要求傳遞給核心控制單元114進(jìn)行服務(wù)分配;
—終端控制模土央(console port module) 119�����,是包含如JTAG��、 USB、 RS232或PCI 接口以作為一管理者(administrator)與群組控制器110之間的溝通���,管理者可以通過此 接口與主機(jī)120連線而修改參數(shù)����,例如設(shè)定一服務(wù)器暴露時間�����。 前述通訊單元111為電腦之間的溝通控制元件���,是供連接至前述專屬交聯(lián)線路 40���,包含一組連接其他電腦協(xié)調(diào)/交換信息的軟硬件接口,以允許任一電腦可以通過通訊 單元(11)與其它電腦進(jìn)行通訊��、狀態(tài)監(jiān)測與支援呼叫(Callfor help�,CFH),使群組控制器 110能通過專屬交聯(lián)線路40彼此溝通并交換信息���,協(xié)調(diào)各服務(wù)器群組10間的服務(wù)器切換與 信息傳遞�。 前述工作負(fù)載監(jiān)視單元112為一包含軟件程式及接收信息裝置的處理機(jī)制���,負(fù)責(zé) 接收從主機(jī)120端傳送出來的工作負(fù)載信息����,并且判斷是否逼近(或超過) 一預(yù)設(shè)的負(fù)載 容忍邊界(boundary),如果是則對排程單元113發(fā)出中斷要求(Interrupt Request)���,并且 要求更改排程參數(shù)����,將該主機(jī)120從排程清單中暫時剔除���,待主機(jī)120負(fù)載恢復(fù)正常后才重 新加入排程清單��。 前述排程單元113為一包含排程邏輯及相關(guān)數(shù)據(jù)結(jié)構(gòu)的運算機(jī)制��,其內(nèi)部儲存時 間等排程相關(guān)的參數(shù)設(shè)定�,并且負(fù)責(zé)時間與周期計算而提供服務(wù)器的服務(wù)排程工作�����。
前述核心控制單元114則依據(jù)排程單元113提供的排程信息�,對各主機(jī)下達(dá)各項 工作命令���、服務(wù)要求進(jìn)行派送�����,將服務(wù)要求轉(zhuǎn)送(forward)給后端的服務(wù)器進(jìn)行處理���。
請參閱圖3所示��,是前述主機(jī)120的架構(gòu)圖�,是利用虛擬機(jī)器(VirtualMachine) 技術(shù)而建構(gòu)出多個服務(wù)器的環(huán)境���,各主機(jī)120是具有TCP/IP通訊能力的網(wǎng)絡(luò)實體連線接 口�,以傳送服務(wù)要求的處理回應(yīng)(response)給客戶端���,各主機(jī)120包含有
—基礎(chǔ)硬件單元121��,是包括中央處理器(CPU)����、存儲器(Memory)����、輸出/入設(shè)備及 本地儲存裝置(Local Storage)�����,該本地儲存裝置可以為任何形式的儲存裝置��,用以提供主 機(jī)120上虛擬機(jī)器使用��、備援�����、暫存等一切用途的空間�����; —主機(jī)作業(yè)系統(tǒng)(host 0S)122���,是安裝于主機(jī)120內(nèi)部,可以是Li皿x��、Windows等 任何常見的作業(yè)系統(tǒng)����; —虛擬機(jī)器監(jiān)視器123,為虛擬機(jī)器的控制管理程式�����,常見的有V麗are���、
8Virtualbox等���,不同于Java Virtual Machine(JVM)僅提供Java程式的執(zhí)行環(huán)境,本發(fā) 明的虛擬機(jī)器監(jiān)視器123可支援的模擬環(huán)境包括Unix-like�����、 Windows等作業(yè)系統(tǒng)���,可建 立出多個虛擬機(jī)器124����,通過虛擬機(jī)器124間具備相互獨立且與主機(jī)作業(yè)系統(tǒng)122隔絕的 特性�,令各別虛擬機(jī)器124提供單一服務(wù)器(server)服務(wù),目的在于使服務(wù)環(huán)境單純?nèi)菀?管理�����,同時不易因為其中一服務(wù)器服務(wù)出現(xiàn)故障時�����,影響其他服務(wù)的運作,在功能上負(fù)責(zé)提 供虛擬機(jī)器124與主機(jī)120的溝通接口 ���,并設(shè)定虛擬機(jī)器124的虛擬硬件環(huán)境(Memory����、 Disk����、Network等),并按照周期或依管理者需求���,可控制各虛擬機(jī)器124的啟動���、關(guān)閉、快照 (snapshot)��、及還原并驗證服務(wù)器文件系統(tǒng)的完整性��,其中���,該快照功能可將虛擬機(jī)器124 任何時刻的狀態(tài)完整備份于本地儲存裝置中���,本發(fā)明提出的還原機(jī)制則是利用此一功能���, 將虛擬機(jī)器124的快照備份完整還原�����,即便服務(wù)器遭受外界攻擊或任何因素造成故障����,均 能以還原機(jī)制還原虛擬機(jī)器124至初始狀態(tài),以確保服務(wù)器上線工作時的正確性��;
—主機(jī)控制模塊125��,為主機(jī)120與群組控制器110的溝通接口模塊�,可以是 Java、C等任何相容于主機(jī)作業(yè)系統(tǒng)122的程式軟件或?qū)S每椭朴布涌诳?��,?fù)責(zé)接收來自 群組控制器110的命令�����,并轉(zhuǎn)達(dá)給該虛擬機(jī)器監(jiān)視器123���,使虛擬機(jī)器監(jiān)視器123依該命令 控制虛擬機(jī)器124���,其主要功能有 a.接收來自群組控制器110所下達(dá)的控制信號。 b.回傳給群組控制器110所有虛擬機(jī)器124的狀態(tài)��,包括服務(wù)器是否正常工作�,中 央處理器、存儲器的使用量��、網(wǎng)絡(luò)封包數(shù)量等負(fù)載信息���。 c.轉(zhuǎn)達(dá)控制命令給虛擬機(jī)器監(jiān)視器123���,包括關(guān)機(jī)、還原����、服務(wù)器系統(tǒng)文件完整性檢查。 d.接收虛擬機(jī)器監(jiān)視器123所回報的虛擬機(jī)器124的狀態(tài)信息��,包括服務(wù)器的服 務(wù)狀態(tài)與工作負(fù)載等內(nèi)容�����。 本發(fā)明在各服務(wù)器群組10的內(nèi)部運作方面,可由服務(wù)器的運作來分析服務(wù)器群 組10的功能特性�,分類為以下數(shù)種功能 I 、一般服務(wù)流程客戶端通過廣域網(wǎng)絡(luò)對系統(tǒng)要求網(wǎng)絡(luò)服務(wù)(如Web服務(wù)����、DNS 查詢...等),首先經(jīng)由公共網(wǎng)絡(luò)接口 118連線將服務(wù)要求遞交給群組控制器110的核心控 制單元114�����,依據(jù)排程單元113的排程結(jié)果(排程單元會隨著工作負(fù)載監(jiān)視單元112提供的 負(fù)載信息��、周期等參數(shù)進(jìn)行服務(wù)排程�,藉以達(dá)到工作負(fù)載平衡)��,決定將該服務(wù)要求轉(zhuǎn)送給 哪臺主機(jī)120上的哪個服務(wù)器�����,待服務(wù)器處理服務(wù)完畢���,其對應(yīng)的服務(wù)回應(yīng)直接傳送給客 戶端而不經(jīng)由群組控制器110裝置���。 n�����、周期性恢復(fù)機(jī)制(Periodical Recovery):請參考圖4所示�,為主機(jī)的運行 狀態(tài)機(jī)�,正常情況服務(wù)器會保持在運作(Active)狀態(tài),當(dāng)服務(wù)器上線服務(wù)時間(暴露時 間)達(dá)到容忍限制時�����,核心控制單元114會要求服務(wù)器所在的主機(jī)120停止(Suspend) 該服務(wù)器系統(tǒng)的運作����,由主機(jī)120對服務(wù)器進(jìn)行系統(tǒng)完整性(System Integration)的驗 證(Verify),如圖5所示��,如果服務(wù)器系統(tǒng)的完整性驗證失敗���,則服務(wù)器上線服務(wù)時所更 動的數(shù)據(jù)將全部拋棄(drop)�����,若通過第一階段的系統(tǒng)驗證����,核心控制單元114將對主機(jī) 120進(jìn)行第二階段的系統(tǒng)完整性驗證,兩階段的完整性都通過驗證(Valid)后����,方可將服 務(wù)器上線服務(wù)后所更改到的數(shù)據(jù)寫回安全后端儲存單元30完成更新(Update)。接著核 心控制單元114要求主機(jī)120從安全后端儲存單元30讀取服務(wù)器鏡像檔進(jìn)行系統(tǒng)恢復(fù)
9(systemrecovery)�,完成后該服務(wù)器將進(jìn)入準(zhǔn)備(ready)狀態(tài)等待核心控制單元114分配 服務(wù)要求。 m�����、單一主機(jī)120負(fù)載異常處理機(jī)制工作負(fù)載監(jiān)視單元112會持續(xù)監(jiān)看主機(jī)120 的系統(tǒng)負(fù)載信息����,當(dāng)有負(fù)載信息超出負(fù)載容忍邊界或是主機(jī)120在預(yù)期時間內(nèi)未能正確遞 送負(fù)載信息給工作負(fù)載監(jiān)視單元112��,此時工作負(fù)載監(jiān)視單元112將對排程單元113發(fā)出中 斷要求��,并且通過內(nèi)部監(jiān)控演算機(jī)制要求排程單元113將異常的主機(jī)120暫時排除在服務(wù) 清單之外�����,工作負(fù)載監(jiān)視單元112仍會持續(xù)監(jiān)控該主機(jī)120狀態(tài)�����,待其恢復(fù)正常的運作狀態(tài) 后,工作負(fù)載監(jiān)視單元112將再次要求排程單元113將該主機(jī)120重新排入服務(wù)清單之中�����。
IV�����、服務(wù)器群組10整體負(fù)載異常處理機(jī)制若有太多的主機(jī)120發(fā)生異常狀況���,將 會導(dǎo)致某些主機(jī)120長時間處在高負(fù)載或是導(dǎo)致整體服務(wù)器群組10當(dāng)機(jī)�����,此時工作負(fù)載監(jiān) 視單元112會直接發(fā)送一中斷要求給核心控制單元114�,核心控制單元114將通過一熱線 (Hot 1 ine)聯(lián)系該通訊單元111要求與其他的群組控制器110進(jìn)行溝通協(xié)調(diào)�,最后交由備援 (Hot-spare)或負(fù)載較輕的服務(wù)器群組10接手繼續(xù)服務(wù)。
綜上所述�,本發(fā)明可擴(kuò)充式安全服務(wù)器交替系統(tǒng)是可達(dá)成下述功效
1、利用特定的控制機(jī)制(群組控制器)�,連接數(shù)臺計算機(jī)系統(tǒng)以建立多個服務(wù)器 服務(wù)的服務(wù)器群組架構(gòu),并通過該群組控制器的管制協(xié)調(diào)���,使服務(wù)器系統(tǒng)能根據(jù)各主機(jī)工 作量及服務(wù)器服務(wù)狀態(tài)而動態(tài)轉(zhuǎn)移硬件環(huán)境��,達(dá)到硬件主積極服務(wù)器的工作負(fù)載平衡���,使 系統(tǒng)發(fā)揮最佳的效率�����。 2����、以虛擬機(jī)器的技術(shù)為基礎(chǔ)���,建立主機(jī)系統(tǒng)的安全保護(hù)及服務(wù)器系統(tǒng)在主機(jī)間的
快速切換��,并利用此一快速切換能力,使各服務(wù)器能按使用者要求做周期性及特定情況時
的還原初始狀態(tài)的動作��,縱使服務(wù)器遭受入侵也能迅速排除�����,達(dá)到入侵容忍的效果�。 3�、通過特定的專屬交連線路�����,使各服務(wù)器群組的群組控制器能互相連線溝通�,達(dá)
到彼此支援的功能,如此將可使負(fù)載過重或主機(jī)硬件故障過多的群組能將所負(fù)責(zé)的服務(wù)
器服務(wù)功能快速的轉(zhuǎn)移至其它群組負(fù)責(zé)�����,達(dá)到達(dá)到容錯(Fault Tolerance)與優(yōu)雅下降
(Grace Degradation)的系統(tǒng)容錯效果�����。
10
權(quán)利要求
一種可擴(kuò)充式安全服務(wù)器交替系統(tǒng)���,其特征在于�,所述的可擴(kuò)充式安全服務(wù)器交替系統(tǒng)包含有多個服務(wù)器群組�,各服務(wù)器群組內(nèi)具有多個主機(jī),各主機(jī)是以虛擬機(jī)器提供至少一種服務(wù)器服務(wù)�����;一群組控制器����,是通過專線連接各主機(jī)以傳達(dá)命令�����、傳送數(shù)據(jù)及收集各主機(jī)的工作負(fù)載信息�,其中����,各群組控制器平時根據(jù)設(shè)定安排各主機(jī)周期性地工作交換,使各服務(wù)器能通過在主機(jī)間的切換而達(dá)到系統(tǒng)還原的入侵排除效果�,所述群組控制器借著專屬交聯(lián)線路建立聯(lián)系,使任一服務(wù)器群組所提供的服務(wù)器服務(wù)可轉(zhuǎn)移至其它服務(wù)器群組繼續(xù)運行��;及一后端儲存控制模塊���,是連接于一安全后端儲存單元與前述各服務(wù)器群組之間�����,用以控制各群組控制器對所述安全后端儲存單元的文件存取。
2. 如權(quán)利要求1所述的可擴(kuò)充式安全服務(wù)器交替系統(tǒng)�,其特征在于,前述接受轉(zhuǎn)移的 服務(wù)器群組是取得原服務(wù)器群組向所述安全后端儲存單元存取數(shù)據(jù)的權(quán)限�。
3. 如權(quán)利要求2所述的可擴(kuò)充式安全服務(wù)器交替系統(tǒng)���,其特征在于,所述后端儲存控 制模塊是對要求存取所述安全后端儲存單元的群組控制器進(jìn)行認(rèn)證�����,以區(qū)分各群組服務(wù)器 對所述安全后端儲存單元進(jìn)行存取的權(quán)限��。
4. 如權(quán)利要求2所述的可擴(kuò)充式安全服務(wù)器交替系統(tǒng)�����,其特征在于����,當(dāng)任一服務(wù)器群 組所提供的服務(wù)器及網(wǎng)絡(luò)服務(wù)轉(zhuǎn)移至其它服務(wù)器群組繼續(xù)運行時,是轉(zhuǎn)移分散至多個服務(wù) 器群組�。
5. 如權(quán)利要求1所述的可擴(kuò)充式安全服務(wù)器交替系統(tǒng),其特征在于����,所述服務(wù)器群組 于其所屬的服務(wù)器服務(wù)發(fā)生故障或超過一負(fù)載容忍邊界時,其群組控制器對其它服務(wù)器群 組發(fā)出請求協(xié)助的要求��。
6. 如權(quán)利要求1所述的可擴(kuò)充式安全服務(wù)器交替系統(tǒng),其特征在于�,各群組控制器包 含有一通訊單元,是供連接至前述專屬交聯(lián)線路�,使群組控制器通過專屬交聯(lián)線路彼此溝 通并交換信息;一工作負(fù)載監(jiān)視單元����,是負(fù)責(zé)接收從主機(jī)端傳送出來的工作負(fù)載信息及網(wǎng)絡(luò)流量負(fù)載 信息,并且判斷是否逼近或超過一預(yù)設(shè)的負(fù)載容忍邊界����;一排程單元,其內(nèi)部儲存服務(wù)器暴露時間����、主機(jī)負(fù)載上限等排程相關(guān)的參數(shù)設(shè)定,并且 負(fù)責(zé)根據(jù)設(shè)定已排定各主機(jī)所負(fù)責(zé)的服務(wù)器服務(wù)���,安排各主機(jī)周期性地工作切換���、時間與 周期計算而提供服務(wù)器的服務(wù)排程工作,且于前述工作負(fù)載監(jiān)視單元判斷有主機(jī)逼近或超 過一預(yù)設(shè)的負(fù)載容忍邊界�,接收工作負(fù)載監(jiān)視單元發(fā)出的一中斷要求,以更改排程參數(shù)���,將 所述逼近或超過預(yù)設(shè)負(fù)載容忍邊界的主機(jī)從排程清單中暫時剔除���,待所述主機(jī)負(fù)載恢復(fù)正 常后才重新加入排程清單;一核心控制單元��,是依據(jù)排程單元提供的排程信息�,對各主機(jī)下達(dá)各項工作命令、服務(wù) 要求進(jìn)行派送���,將服務(wù)要求轉(zhuǎn)送給后端的主機(jī)進(jìn)行處理����。
7. 如權(quán)利要求1所述的可擴(kuò)充式安全服務(wù)器交替系統(tǒng)����,其特征在于,所述核心控制單 元更進(jìn)一步連接有一后端儲存接口�,是與前述后端儲存控制模塊連接; 多個主機(jī)切換模塊�����,是分別與不同的主機(jī)連接以傳輸數(shù)據(jù)及指令�;一通訊模塊,是連接前述專屬交聯(lián)線路及通訊單元;一公共網(wǎng)絡(luò)接口 �,是供連接至公共網(wǎng)絡(luò),以接收客戶端的服務(wù)要求�,并將接收到的服務(wù) 要求傳遞給核心控制單元進(jìn)行服務(wù)分配;一終端控制模塊�����,是供一管理者通過終端控制模塊與主機(jī)連線而修改參數(shù)�。
8. 如權(quán)利要求1 、6或7所述的可擴(kuò)充式安全服務(wù)器交替系統(tǒng)�����,其特征在于��,各主機(jī)包含有一基礎(chǔ)硬件單元�,是包括中央處理器、存儲器�����、輸出/入設(shè)備及本地儲存裝置����; 一主機(jī)作業(yè)系統(tǒng)��,是安裝于主機(jī)內(nèi)部��;一虛擬機(jī)器監(jiān)視器����,是建立出多個虛擬機(jī)器�,所述多個虛擬機(jī)器間是相互獨立且與主 機(jī)作業(yè)系統(tǒng)相隔絕����,各虛擬機(jī)器提供單一種服務(wù)器服務(wù),所述虛擬機(jī)器監(jiān)視器是設(shè)定各虛 擬機(jī)器的虛擬硬件環(huán)境并控制各虛擬機(jī)器的啟動��、關(guān)閉����、快照、及還原并驗證服務(wù)器文件系 統(tǒng)的完整性�;一主機(jī)控制模塊,為主機(jī)與群組控制器的溝通接口模塊���,負(fù)責(zé)接收來自群組控制器的 命令�����,并轉(zhuǎn)達(dá)給所述虛擬機(jī)器監(jiān)視器�����,使虛擬機(jī)器監(jiān)視器依所述命令控制虛擬機(jī)器�����。
9. 如權(quán)利要求8所述的可擴(kuò)充式安全服務(wù)器交替系統(tǒng)�����,其特征在于�,所述快照功能是 將虛擬機(jī)器任何時刻的狀態(tài)完整備份于所述本地儲存裝置中,以供服務(wù)器遭受外界攻擊或 任何因素造成故障�����,還原虛擬機(jī)器至初始狀態(tài)����。
全文摘要
本發(fā)明是一種可擴(kuò)充式安全服務(wù)器交替系統(tǒng),是提供多個服務(wù)器群組����、一后端儲存控制模塊及一安全后端儲存單元����,其中�,各服務(wù)器群組具有一群組控制器及復(fù)數(shù)臺主機(jī),該群組控制器是連接所屬主機(jī)以傳達(dá)命令��、傳送數(shù)據(jù)及收集各主機(jī)的工作負(fù)載信息���,各群組控制器借著專屬交聯(lián)線路建立聯(lián)系,當(dāng)任一服務(wù)器群組所提供的服務(wù)器服務(wù)發(fā)生故障或超過一負(fù)載容忍邊界時��,其群組控制器對其它服務(wù)器群組發(fā)出請求協(xié)助的要求����,以轉(zhuǎn)移至其它服務(wù)器群組繼續(xù)運行。
文檔編號H04L29/06GK101778091SQ20091000222
公開日2010年7月14日 申請日期2009年1月8日 優(yōu)先權(quán)日2009年1月8日
發(fā)明者王壘 申請人:王壘