[发明专利]云系统中的基于安全处理的控制平面功能虚拟化

说明书

基于安全处理器的区域用于保护云环境(诸如包括计算节点的超会聚云)中的一个或多个软件定义的控制功能或元素。一个或多个安全区域在环境内实例化。控制平面(诸如基于NFV的控制平面元件)被托管在安全区域内，所述安全区域本身被实例化在所述安全区域内可以被虚拟化或集成。控制平面具有相关联的数据平面，其元素跨计算节点中的一个或多个。一个或多个API提供控制平面与位于安全区域外部的不同数据平面元件之间的连通性。基于NFV的控制平面通过API向分布式数据平面提供配置信息(例如，路由表)。通过使用存储器内工作量保护安全地主控控制平面，该方法确保加载时的完整性，并且例如由特权攻击者或其他系统进程实时地保护控制平面免受危害。

技术领域

本公开总体上涉及数据中心操作环境中的数据处理系统。

背景技术

众所周知的信息技术(IT)交付模型(delivery model)是云计算，通过该云计算，共享资源、软件和信息在互联网上被按需提供给计算机和其他设备。云计算显著地降低了IT成本和复杂性，同时改善了工作量优化和服务交付。云计算资源通常容纳在运行一个或多个网络应用的大型服务器群中，通常使用虚拟化架构，其中，应用在映射到数据中心设施中的物理服务器上的虚拟服务器或所谓的“虚拟机”(VM)内运行。虚拟机通常在管理程序之上运行，该管理程序是将物理资源分配给虚拟机的控制程序。

在云计算环境内，将多个IT组件(如服务器、存储设备等)分组成单个计算包以产生所谓的聚合式基础设施也是众所周知的。最近，这个概念被进一步扩展以提供超会聚(hyperconverged)基础设施(HCI)，其是指其中虚拟化所有元件的完全软件定义的基础设施。这些超会聚解决方案通过具有虚拟化和自动化能力的现场基础设施来实现公共云状体验。它们提供了模块化、可扩展构建块中的可靠存储、快速网络、可扩展性和极强大计算的组合。当需要时，容易通过增加节点来生长集群。这种类型的商业上可获得的解决方案是由Nutanix支持的Hyperconverged Systems，是将Nutanix企业云平台软件与IBM系统相结合的超会聚基础设施(HCI)解决方案。集成解决方案的目标在于要求具有易于管理和简单规模的基础设施的事务和认知分析工作负载。

在当前超会聚云解决方案中，网络是软件定义的，采用不与专用硬件绑定而是充当冗余高度可用的虚拟化或容器化元素的网络功能虚拟化(NFV)控制平面功能的形式。这些可以由基本路由/交换机控制平面功能、负载平衡、防火墙和/或更复杂的更高层网络能力(诸如下一个代防火墙)组成。在操作中，它们例如通过一组公共API向高度分布式数据平面提供配置信息。然而，在当前系统中，这些关键功能不一定具有完整性或对特权攻击的抗性的任何特殊保证，因此使得特权系统级攻击者或受损过程能够例如通过攻击网络控制平面功能而导致系统范围的受损或中断。

仍然需要解决这个问题。

发明内容

基于安全处理器的区域用于保护云环境(如包括计算节点的超会聚云)中的一个或多个软件定义的控制功能或元素。一个或多个安全区域在环境内实例化。控制平面(诸如基于NFV的控制平面元件)被托管在安全区域内，所述安全区域本身被实例化在所述安全区域内可以被虚拟化或集成。控制平面具有相关联的数据平面，其元素跨计算节点中的一个或多个。一个或多个API提供控制平面与位于安全区域外部的不同数据平面元件之间的连通性。基于NFV的控制平面通过API向分布式数据平面提供配置信息(例如，路由表)。通过使用存储器内工作量保护来安全地托管控制平面，该方法在加载时确保完整性，并且例如由特权攻击者或可能是恶意的其他系统进程来实时地保护控制平面免受危害。

前述内容已经概述了所公开的主题的一些更相关的特征。这些特征应当被解释为仅仅是说明性的。通过以不同方式应用所公开的主题或通过修改如将描述的主题，可以获得许多其他有益的结果。

附图说明

为了更完整地理解该主题及其优点，现在参考结合附图进行的以下描述，在附图中：