用于數(shù)據(jù)中心安全的混合防火墻的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明一般地涉及云計算安全�����。具體地�����,涉及用于管理對虛擬化應(yīng)用的加防火墻和其他服務(wù)需要的硬件和軟件的系統(tǒng)和方法���。
【背景技術(shù)】
[0002]隨著云計算的快速演進�,在服務(wù)器上運行的虛擬機上運行計算機程序變得越來越普遍����。虛擬機(VM)是如物理機一樣、執(zhí)行程序的機器(即�����,計算機)的軟件實現(xiàn)���。運行虛擬機的物理硬件被稱為主機或主機計算機,并且可以駐留在數(shù)據(jù)中心設(shè)施中�����。
[0003]數(shù)據(jù)中心是用于容納計算機系統(tǒng)和關(guān)聯(lián)組件的設(shè)施,通常包括用于在計算機系統(tǒng)和外部網(wǎng)絡(luò)之間傳輸業(yè)務(wù)的路由器和交換機���。數(shù)據(jù)中心通常包括冗余電源和冗余數(shù)據(jù)通信連接����,以提供用于操作的可靠基礎(chǔ)設(shè)施并且最小化任何破壞的機會���。信息安全也是一個問題���,并且由于該原因,數(shù)據(jù)中心必須提供安全的環(huán)境���,以最小化安全漏洞的任何機會��。
[0004]虛擬化具有優(yōu)于傳統(tǒng)計算環(huán)境的若干優(yōu)點�。在虛擬機上運行的操作系統(tǒng)和應(yīng)用通常僅需要在虛擬機運行的底層物理硬件上可用的全部資源的一部分��。主機系統(tǒng)可以采用多個物理計算機��,其中的每一個運行多個虛擬機�����。虛擬機可以按需要被創(chuàng)建和關(guān)閉,因此僅按需要使用物理計算機的資源�。虛擬化應(yīng)用可以在一個或多個虛擬機上運行,該一個或多個虛擬機可以按應(yīng)用需要被擴大或縮小����。
[0005]虛擬化的另一優(yōu)點是由用于操作虛擬機和將虛擬機從一個物理站點移動到另一個或者在相同數(shù)據(jù)中心內(nèi)的主機之間移動虛擬機的能力提供的靈活性。虛擬機可以被移動��,以便于更好地利用主機機器并且提供擴大或縮小尺寸的彈性�。
[0006]許多數(shù)據(jù)中心使用采用專用硬件和軟件的設(shè)施,以在數(shù)據(jù)中心中提供各種服務(wù)����。這樣的服務(wù)可以包括防火墻服務(wù)、負載平衡服務(wù)���、統(tǒng)一威脅管理(UTM)服務(wù)��、入侵檢測和預(yù)防系統(tǒng)(IDS/IPS)�、數(shù)據(jù)丟失預(yù)防(DLP)系統(tǒng)�����、代理/網(wǎng)關(guān)服務(wù)和其他安全服務(wù)��。
[0007]圖1圖示了在提供防火墻和安全服務(wù)的數(shù)據(jù)中心100之前布置有硬件設(shè)施102的數(shù)據(jù)中心100����。數(shù)據(jù)中心100具有7個刀片(blade) 104、106���、108�����、110�、112����、114、116���。刀片
1-5����、104-112運行由虛擬化層118管理的虛擬機VM1-VM10����。刀片6和7��、114和116運行由虛擬化層120管理的虛擬存儲組件VS1-VS4����。硬件防火墻102檢查并且過濾從網(wǎng)絡(luò)122到數(shù)據(jù)中心100的業(yè)務(wù)�。基于用于數(shù)據(jù)中心100的最大吞吐量來確定該防火墻102的容量��。在實踐中��,這通常導(dǎo)致防火墻102的過大尺寸����。
[0008]如果數(shù)據(jù)中心100的硬件在未來升級并且數(shù)據(jù)中心100的總?cè)萘吭黾樱瑒t防火墻設(shè)施102也將需要被升級��,以滿足日益增加的業(yè)務(wù)需求�����。該類型的操作可能需要服務(wù)中斷���、硬件/軟件升級的投資和高操作成本����。
[0009]由硬件設(shè)施提供的服務(wù)的虛擬化也蓄勢待發(fā)���。例如��,虛擬防火墻(VF)是完全在虛擬化環(huán)境內(nèi)運行的網(wǎng)絡(luò)防火墻服務(wù)�,其可以提供與由物理網(wǎng)絡(luò)防火墻或防火墻服務(wù)設(shè)備傳統(tǒng)上提供的相同的分組過濾和監(jiān)視��。
[0010]圖2圖示了采用純虛擬防火墻的數(shù)據(jù)中心200�����。數(shù)據(jù)中心200具有7個刀片204�、206、208�����、210��、212�����、214和216。刀片1_5��、204_212運行由虛擬化層218管理的虛擬機VM1-VM10����。刀片6和7、214和216運行由虛擬化層220管理的虛擬存儲組件VS1-VS4�。刀片4和5、210和212可以被配置到運行加防火墻應(yīng)用的虛擬機VM7-VM10或更簡單地稱為“虛擬防火墻”���。刀片4�、210可以一直專用于虛擬防火墻�����,而刀片5�、212可以在流量增加時被指配給防火墻。當流量減少時���,可以釋放這些虛擬機VM9和VM10����。類似于圖1的硬件防火墻102����,虛擬防火墻可以檢查并且過濾從網(wǎng)絡(luò)222到數(shù)據(jù)中心200的流量�����。虛擬化的防火墻服務(wù)允許資源按流量需要調(diào)整��。
[0011]因此,希望提供一種用于集成硬件和虛擬防火墻組件并且減輕相關(guān)聯(lián)的可擴展性問題的系統(tǒng)和方法����。
【發(fā)明內(nèi)容】
[0012]本發(fā)明的目的在于消除或減輕現(xiàn)有技術(shù)的至少一個缺點。
[0013]在本發(fā)明的第一方面���,提供了一種用于管理與虛擬化應(yīng)用相關(guān)的防火墻需要的方法����。包括處理器的云計算管理實體確定與第一多個應(yīng)用虛擬機和第二多個防火墻虛擬機相關(guān)聯(lián)的虛擬化應(yīng)用需要在第一多個中的增加數(shù)目的應(yīng)用虛擬機��。確定增加數(shù)目的應(yīng)用虛擬機需要增加數(shù)目的防火墻虛擬機����。應(yīng)用虛擬機被實例化;并且防火墻虛擬機被實例化����。
[0014]在本發(fā)明的第一方面的實施例中���,根據(jù)檢測到與虛擬化應(yīng)用相關(guān)聯(lián)的防火墻比率閾值被增加數(shù)目的應(yīng)用虛擬機超過,確定所需要的增加數(shù)目的防火墻虛擬機�����。防火墻比率閾值可以被包括在虛擬化應(yīng)用的部署時配置的應(yīng)用簡檔中�。虛擬化應(yīng)用可以被托管在第一多個應(yīng)用虛擬機上,并且第二多個防火墻虛擬機可以提供用于與虛擬化應(yīng)用相關(guān)聯(lián)的流量的加防火墻服務(wù)���。
[0015]在另一實施例中����,該方法進一步包括:將應(yīng)用虛擬機的所需要的增加的數(shù)目與第二多個中的防火墻虛擬機的數(shù)目作比較����。
[0016]在另一實施例中,該方法進一步包括:計算應(yīng)用虛擬機的所需要的增加的數(shù)目與第二多個中的防火墻虛擬機的數(shù)目的比率�����;以及將所計算的比率與關(guān)聯(lián)于虛擬化應(yīng)用的防火墻比率需要作比較�。
[0017]在另一實施例中����,該方法進一步包括:將第一多個中的所需要的增加數(shù)目的應(yīng)用虛擬機的帶寬容量與第二多個中的防火墻虛擬機的帶寬容量作比較�。
[0018]在另一實施例中,該方法進一步包括:將第一多個中的所需要的增加數(shù)目的應(yīng)用虛擬機的帶寬容量與第二多個中的防火墻虛擬機的帶寬容量和為了由虛擬化應(yīng)用使用而提供的硬件防火墻的帶寬的總和作比較��。
[0019]在另一實施例中�����,該方法進一步包括下述步驟:確定增加數(shù)目的應(yīng)用虛擬機需要增加數(shù)目的負載平衡虛擬機��;以及實例化負載平衡虛擬機��。
[0020]在另一實施例中��,該方法進一步包括下述步驟:確定虛擬化應(yīng)用需要第一多個中的減少數(shù)目的應(yīng)用虛擬機��;確定減少數(shù)目的應(yīng)用虛擬機需要減少數(shù)目的防火墻虛擬機����;關(guān)閉應(yīng)用虛擬機����;以及關(guān)閉防火墻虛擬機��。
[0021]在本發(fā)明的第二方面中��,提供了一種云管理實體��,包括用于存儲指令的存儲器和配置為執(zhí)行指令的處理引擎����。處理引擎被配置為確定與第一多個應(yīng)用虛擬機和第二多個防火墻虛擬機相關(guān)聯(lián)的虛擬化應(yīng)用需要在第一多個中的增加數(shù)目的應(yīng)用虛擬機���。該處理引擎確定增加數(shù)目的應(yīng)用虛擬機需要增加數(shù)目的防火墻虛擬機����。該處理引擎實例化應(yīng)用虛擬機并且實例化防火墻虛擬機�����。
[0022]在本發(fā)明的第二方面的實施例中�����,云管理實體進一步包括通信接口���,該通信接口用于與第一多個應(yīng)用虛擬機和第二多個防火墻虛擬機進行通信�。
[0023]在另一實施例中,響應(yīng)于檢測到與虛擬化應(yīng)用相關(guān)聯(lián)的防火墻比率閾值被超過來進行需要增加數(shù)目的防火墻虛擬機的確定�����。防火墻比率閾值可以通過處理引擎被包括在虛擬化應(yīng)用的部署時配置的應(yīng)用簡檔中����。虛擬化應(yīng)用可以被托管在第一多個應(yīng)用虛擬機上,并且第二多個防火墻虛擬機可以針對與虛擬化應(yīng)用相關(guān)聯(lián)的流量提供加防火墻服務(wù)�����。
[0024]在另一實施例中�,處理引擎將第一多個中的應(yīng)用虛擬機的所需要的增加的數(shù)目與第二多個中的防火墻虛擬機的數(shù)目作比較。
[0025]在另一實施例中�,處理引擎計算第一多個中的應(yīng)用虛擬機的所需要的增加的數(shù)目與第二多個中的防火墻虛擬機的數(shù)目的比率���;以及將所計算的比率與關(guān)聯(lián)于虛擬化應(yīng)用的防火墻比率閾值作比較��。
[0026]在另一實施例中�����,處理引擎將第一多個中的增加數(shù)目的應(yīng)用虛擬機的帶寬容量與第二多個中的防火墻虛擬機的帶寬容量作比較����。
[0027]在另一實施例中,處理引擎將第一多個中的增加數(shù)目的應(yīng)用虛擬機的帶寬容量與第二多個中的防火墻虛擬機的帶寬容量和為了由虛擬化應(yīng)用使用而提供的硬件防火墻的帶寬容量的總和作比較����。
[0028]在結(jié)合附圖回顧對本發(fā)明的具體實施例的以下描述時,本發(fā)明的其他方面和特征對于本領(lǐng)域普通技術(shù)人員來說將是明顯的��。
【附圖說明】
[0029]現(xiàn)在將僅通過示例的方式�����,參考附圖來描述本發(fā)明的實施例���,在附圖中:
[0030]圖1是具有硬件防火墻的現(xiàn)有技術(shù)的數(shù)據(jù)中心的框圖�;
[0031]圖2是具有虛擬防火墻的現(xiàn)有技術(shù)的數(shù)據(jù)中心的框圖���;