[发明专利]使用物理网络交换机保护虚拟化计算环境的方法和装置

说明书

技术领域

本发明一般地涉及物理网络交换机，具体地说，涉及用于使用物理网络交换机保护虚拟化计算环境的技术。

背景技术

术语“效用计算”用于指一种计算模型，其中处理、存储和网络资源、软件以及数据可由客户端计算机系统和其他客户端设备（例如，移动电话或媒体播放器）按需访问，非常像熟悉的诸如水电的住宅公用服务。在某些实施方式中，为了客户端设备访问和使用而分配的特定计算资源（例如，服务器、存储驱动器等）由效用计算提供商及其客户之间的服务协议指定。在其他实施方式中（通常称为“云计算”），底层信息技术（IT）基础架构的详细信息对于效用计算客户来说是透明的。

云计算通过易于访问远程计算网站（例如，通过因特网或专用公司网络）而变得容易，并且经常采取基于Web的资源、工具或应用的形式，云客户可以通过Web浏览器访问和使用这些资源、工具或应用，就好像这些资源、工具或应用是安装在云客户的计算机系统上的本地程序那样。商业云实施方式通常需要满足云客户的服务质量（QoS）要求，该要求可以在服务级别协议（SLA）中指定。在一种典型的云实施方式中，云客户作为服务而消费计算资源并且仅针对使用的资源付费。

虚拟化的广泛使用促进了效用计算的采用，虚拟化是指创建虚拟（而非实际）版本的计算资源（例如，操作系统、服务器、存储设备、网络资源等）。例如，虚拟机（VM）（也称为逻辑分区（LPAR））是像物理机器那样执行指令的物理机器（例如，计算机系统）的软件实施方式。VM可被分类为系统VM或进程VM。系统VM提供完整的系统平台，此平台支持执行诸如Windows、Linux、AIX、Android之类的完整操作系统（OS）及其关联的应用。另一方面，进程VM通常设计为运行单个程序和支持单个进程。在每种情况下，在VM上运行的任何应用软件都受限于此VM提供的资源和抽象。因此，通过部署可能与多个不同效用计算客户关联的多个VM，可以有效地管理和使用公共IT基础架构所提供的实际资源。

通常由称为VM监视器（VMM）或系统管理程序的软件提供实际IT资源的虚拟化和VM的管理。在各种实施方式中，VMM可以在裸机硬件上运行（类型1或本机VMM）或者在操作系统上运行（类型2或托管VMM）。

在典型的虚拟化计算环境中，VM可以使用常规联网协议相互通信以及与效用计算环境的IT基础架构中的物理实体通信。如本领域所公知的，常规联网协议通常基于众所周知的七层开放系统互连（OSI）模型，此模型包括（按升序）物理层、数据链路层、网络层、传输层、会话层、表示层以及应用层。通过使用虚拟网络连接代替常规物理层连接实现VM与其他网络实体通信，就好像VM是物理网络元素那样。

在公知的物理网络交换机上部署的软件被配置为根据与VM关联的介质访问控制（MAC）地址来标识VM。所述软件允许用户通过各种标识符（例如，网际协议（IP）地址、通用唯一标识符（UUID）和名称）创建VM组、将VM添加到组并指定VM。

发明内容

一种用于保护虚拟化计算环境的技术包括从在网络交换机的物理端口上接收的分组取回标识信息。还取回在所接收分组中标识的虚拟机的端口分配数据（由虚拟机监视器和虚拟机监视器管理站之一维护）。将来自所接收分组的所述标识信息与所述端口分配数据相比较以判定所述虚拟机是否被分配到所述端口。响应于判定所述虚拟机被分配到所述端口，将所述分组转发到在所述分组中指定的目的地。响应于判定所述虚拟机未被分配到所述端口，阻止所述分组。

附图说明

图1是根据一个实施例的数据处理环境的高级方块图；

图2示出了根据一个实施例的图1的示例性数据处理环境中的虚拟和物理资源的分层；

图3是根据一个实施例的数据处理系统的高级方块图；

图4是根据一个实施例的在物理网络交换机处实施网络安全性的数据处理环境的相关部分的高级方块图；

图5是根据一个实施例配置的物理网络交换机的相关部分的高级方块图；以及

图6是根据一个实施例的使用物理网络交换机保护数据处理环境的示例性方法的高级逻辑流程图。

具体实施方式