[发明专利]用于网络环境中虚拟化镜像的安全配置的系统和方法

权利要求书

1.一种用于在网络环境中安全布置虚拟镜像的方法，包括：

在网络环境中，由在刀片中执行的启动代理在所述刀片和配置服务器之间设立安全信道，其中所述刀片和所述配置服务器以多个参数互相认证和授权，其中所述启动代理从在向所述刀片提供网络连接性的交换机上执行的管理应用获取；

通过所述安全信道从所述配置服务器向所述刀片下载虚拟机监视器VMM的镜像，其中所述VMM能托管所述刀片上的多个虚拟机VM；以及

启动所述镜像以在所述刀片上实例化所述VMM。

2.如权利要求1所述的方法，其中所述启动包括：

在所述刀片的存储元件上加载所述镜像；以及

向所述镜像传输控制。

3.如权利要求1所述的方法，其中所述启动包括：

通过添加守护进程来修改所述镜像的根文件系统，从而使代理被包括在所述根文件系统中，其中所述代理可引发从所述配置服务器对对应于虚拟机的另一镜像的下载。

4.如权利要求3所述的方法，其中所述代理被配置为创建启动策略代理，所述启动策略代理能够联系所述配置服务器以获取所述另一镜像。

5.如权利要求1所述的方法，其中所述多个参数包括镜像参数、加密参数和网络参数，其中所述镜像参数包括镜像名称和路径、内核、内核启动选项、根文件系统和镜像类型，其中所述加密参数包括熵、配置服务器公钥、配置服务器私钥、证书和与刀片服务器共享的密钥，并且其中所述网络参数包括刀片互联网协议IP地址、网络掩码、网关IP地址、刀片标识符ID和配置服务器IP地址。

6.如权利要求1所述的方法，其中所述安全信道被使用传输层安全TLS协议设立。

7.如权利要求1所述的方法，其中所述镜像被使用超文本传输协议安全HTTPS协议下载。

8.如权利要求1所述的方法，其中所述多个参数的至少一部分被从管理所述刀片的交换机取得。

9.如权利要求1所述的方法，还包括：

在所述交换机处拦截来自所述刀片的基本输入/输出系统BIOS的启动请求；

以所述多个参数定制启动代理代码来生成启动代理，其中所述启动代理代码对于刀片服务器中的所有刀片都是有效的；以及

响应于所述启动请求向所述刀片传输所述启动代理。

10.如权利要求9所述的方法，其中所述启动代理的传输通过物理连接执行，所述物理连接是从由以下项组成的一组物理连接中选定的一个：

a)以太网连接；

b)光纤连接；以及

c)非以太网连接。

11.一种用于在网络环境中安全布置虚拟镜像的装置，包括：

存储元件，该存储元件用于存储数据；以及

处理器，该处理器执行与所述数据相关联的指令，其中所述处理器和所述存储元件合作以使所述装置被配置用于：

在网络环境中，由在刀片中执行的启动代理在所述刀片和配置服务器之间设立安全信道，其中所述刀片和所述配置服务器以多个参数互相认证和授权，其中所述启动代理从在向所述刀片提供网络连接性的交换机上执行的管理应用获取；

通过所述安全信道从所述配置服务器向所述刀片下载虚拟机监视器VMM的镜像，其中所述VMM能托管所述刀片上的多个虚拟机VM；以及

启动所述镜像以在所述刀片上实例化所述VMM。

12.如权利要求11所述的装置，其中所述启动包括：

通过添加守护进程来修改所述镜像的根文件系统，从而使代理被包括在所述根文件系统中，其中所述代理可引发从所述配置服务器对对应于虚拟机的另一镜像的下载。

13.如权利要求11所述的装置，其中所述多个参数包括镜像参数、加密参数和网络参数，并且其中所述网络参数包括刀片互联网协议IP地址、网络掩码、网关IP地址、刀片标识符ID和配置服务器IP地址。

14.如权利要求11所述的装置，其中所述安全信道被使用传输层安全TLS协议设立。

15.如权利要求11所述的装置，还被配置用于与能够执行包括下述项的管理应用进行通信：

在所述交换机处拦截来自所述刀片的基本输入/输出系统BIOS的启动请求；

以所述多个参数定制启动代理代码来生成启动代理，其中所述启动代理代码对于刀片服务器中的所有刀片都是有效的；以及

响应于所述启动请求向所述刀片传输所述启动代理。