[发明专利]在多节点计算机系统上使用虚拟专用网保护数据空间

说明书

技术领域

本发明涉及多节点计算机系统领域，更具体地说，涉及在多节点计算机系统上使用虚拟专用网保护数据空间。

背景技术

持续开发超级计算机和其他多节点计算机系统来应付复杂的计算作业。一种类型的多节点计算机系统是大规模并行计算机系统。国际商业机器公司(IBM)以名称Blue Gene(蓝色基因)开发了一系列此类大型并行计算机。Blue Gene/L系统是一种其中计算节点的当前最大数目为65,536的高密度可伸缩系统。Blue Gene/L节点包括具有2个CPU和存储器的单个ASIC(专用集成电路)。整个计算机容纳在64个机架或机柜中，每个机架中具有32个节点板。

诸如Blue Gene之类的计算机系统包含大量节点，每个节点都有自己的处理器和本地存储器。所述节点与若干通信网络相连。通信网络将各节点连接成逻辑树网络。在所述逻辑树网络中，各节点与位于树顶部的输入-输出(I/O)节点相连。在Blue Gene中，每个节点卡具有两个计算节点，每个计算节点具有两个处理器。节点板上安放16个节点卡，而每个机架上安放32个节点板。节点板上具有插槽，用于安插2个I/O卡，每个I/O卡具有2个I/O节点。可以在与I/O节点通信的虚拟树网络中配置两个节点板上的节点。

诸如Blue Gene之类的多节点计算机系统支持内存数据库(in memorydatabase)。内存数据库是其中数据库的某个部分或整个数据库完全驻留在存储器中而非大容量存储装置中的数据库。内存数据库可针对数据库搜索或查询提供极其快速的响应。对于所有计算机系统而言，需要关心的问题是数据安全性。某些现有技术的数据安全性技术可能无法在并行计算机系统上，尤其是在带有内存数据库的并行计算机系统上有效实现或轻松实现。

在没有有效的方法来提供数据安全性的情况下，多节点计算机系统将继续受到数据安全性降低以及计算机系统效率降低的困扰。

发明内容

描述了一种用于在并行计算机系统上使用连接系统节点的虚拟专用网提供数据安全性的装置和方法。访问建立机制在所述节点中建立访问控制数据，所述访问控制数据描述了哪些虚拟网络受保护以及何种应用有权访问受保护的虚拟网络。这允许在系统内实现针对公共数据的查询、数据传输或数据迁移。当应用访问受保护的虚拟网络上的数据时，网络访问机制确定数据受到保护并拦截数据访问。位于内核中的所述网络访问机制还可根据对所述虚拟网络尝试的访问的种类而执行规则。例如，如果应用尝试对专用网络进行数据查询，则内核可终止该应用或向该应用返回错误代码。在所示实例中，所述访问控制机制通过系统调用提供对受保护数据的访问。在受保护的网络上仅允许授权的访问。可以通过对系统内核中的所述访问控制机制的系统调用来进行对专用网络的授权访问。所述访问控制机制通过访问控制列表或其他安全策略实施有关可通过系统分发哪些数据的策略决策。

此处的描述和实例针对诸如Blue Gene体系结构之类的大规模并行计算机系统，但是此处的权利要求明确扩展到在网络结构中布置多个处理器的其他并行计算机系统。

从第一方面来看，本发明提供了一种多节点计算机系统，所述系统包括：多个计算节点，所述多个计算节点通过多个虚拟网络相连，每个计算节点都包括处理器和存储器；访问建立机制，其配置所述计算节点上的访问控制数据以指示所述多个虚拟网络中的至少一个虚拟网络为虚拟专用网；以及访问控制机制，其根据所述访问控制数据来控制通过所述多个虚拟网络对所述多个计算节点上的存储器中的数据的访问。

优选地，本发明提供了一种多节点计算机系统，其中所述多节点计算机系统为大规模并行计算机系统。

优选地，本发明提供了一种多节点计算机系统，其中所述访问建立机制配置类路由表以建立所述多个虚拟网络。

优选地，本发明提供了一种多节点计算机系统，其中从以下项选择所述访问控制数据：类标识ID、指示所述类ID为专用的专用标志，以及列出被授权访问所述虚拟专用网的应用的可用性列表。

优选地，本发明提供了一种多节点计算机系统，其中所述访问控制机制位于所述计算节点的系统内核中并允许通过对所述系统内核的系统调用来访问被授权的应用。

优选地，本发明提供了一种多节点计算机系统，其中所述访问控制机制拦截未被授权访问所述虚拟专用网上的数据的应用的读/写操作并生成失败指示。

优选地，本发明提供了一种多节点计算机系统，其中所述多个计算节点布置在虚拟树网中并进一步包括与所述树网的顶部相连以允许所述计算节点与大规模并行计算机系统的服务节点通信的I/O节点。