一種基于云計算的虛擬化系統(tǒng)及方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及云計算領(lǐng)域,特別涉及一種基于云計算的虛擬化系統(tǒng)及方法���。
【背景技術(shù)】
[0002]任意兩個通信點之間的通信�,無疑先要有若干中介設(shè)備相互連通�。從互聯(lián)網(wǎng)頂層冗佘容錯設(shè)計至今,經(jīng)過多年基于成功商用規(guī)模部署的發(fā)展����,在任意兩個通信點之間都已經(jīng)部署了具有很大冗佘度的中介設(shè)備����,兩點之間的互聯(lián)網(wǎng)路徑遠(yuǎn)不止一條,不同路徑應(yīng)該動態(tài)互補(bǔ)���,多條路徑的流量帶寬還可以疊加增大��。能否充分有效利用互聯(lián)網(wǎng)原始冗佘設(shè)計原理與多年成功的商業(yè)超提供(overprovis1n)部署所帶來的以及可以支持的高帶寬����、高容錯���、低成本等諸多優(yōu)良特性���,取決于部署在位的大量中介設(shè)備是如何被控制而工作的��。
[0003]然而����,很不幸���,基于包交換的轉(zhuǎn)發(fā)技術(shù)的基本原理是:當(dāng)通信點A要發(fā)一個包至Z時���,先由A生成一個包頭元數(shù)據(jù),指定B (如省缺網(wǎng)關(guān))解析A的包頭信息�����,由B生成一個新的包頭元數(shù)據(jù)�,指定轉(zhuǎn)發(fā)給C,…�,最終由Y(如Z的省缺網(wǎng)關(guān))生成一個新的也是最后一個包頭元數(shù)據(jù)讓Z收到A發(fā)出的payload數(shù)據(jù)。這樣的技術(shù)完全由轉(zhuǎn)發(fā)設(shè)備按接力跑方式聽從上一跳轉(zhuǎn)發(fā)設(shè)備指揮�,制作下一跳轉(zhuǎn)發(fā)路徑。很顯然��,由A制作發(fā)給B的�、由B制作發(fā)給C的�、…�、最后由Y制作發(fā)給Z的包頭元數(shù)據(jù)是先驗輸入,最終路徑是從先驗論得出的結(jié)果輸出�����,即:由這些中介設(shè)備聽從上一跳設(shè)備指令而得出的路徑當(dāng)然是固定不變的�,比如網(wǎng)絡(luò)包一旦離開了某個中介轉(zhuǎn)發(fā)設(shè)備(如B),后面路徑是否通暢���,該轉(zhuǎn)發(fā)設(shè)備(B)就再也無法參與路徑控制了��。這樣的控制與轉(zhuǎn)發(fā)混搭在一起的包交換技術(shù)當(dāng)然無法有效利用互聯(lián)網(wǎng)頂層設(shè)計以及后來多年成功商業(yè)規(guī)模部署,更無法利用超大冗佘流量帶寬�����,動態(tài)躲避擁塞��,和動態(tài)疊加流量帶寬���。
[0004]業(yè)界已經(jīng)正在逐步更新?lián)Q代包交換技術(shù)采用的轉(zhuǎn)發(fā)中介設(shè)備����,并提出了一些新的控制標(biāo)準(zhǔn),比如OpenFlow控制與轉(zhuǎn)發(fā)分離標(biāo)準(zhǔn)���。體現(xiàn)在云計算IaaS層(Infrastructure AsA Service)���,互聯(lián)網(wǎng)通信控制與轉(zhuǎn)發(fā)混搭目前仍然存在轉(zhuǎn)發(fā)中介設(shè)備造成的極大程度浪費互聯(lián)網(wǎng)帶寬資源的現(xiàn)狀。
【發(fā)明內(nèi)容】
[0005]為解決上述現(xiàn)有技術(shù)所存在的問題��,本發(fā)明提出了一種跨數(shù)據(jù)中心的安全云IaaS網(wǎng)絡(luò)���,使任意物理網(wǎng)段服務(wù)器無縫加盟并網(wǎng)�����,并且打破租戶邏輯網(wǎng)絡(luò)與底層物理網(wǎng)絡(luò)之間的耦合��。
[0006]本發(fā)明采用如下技術(shù)方案:一種基于云計算的虛擬化系統(tǒng)�,包括:
[0007]運行在VMM上的虛擬機(jī)���;
[0008]身份認(rèn)證模塊���,配置為響應(yīng)于租戶的請求生成虛擬機(jī),在一個VMM上為該虛擬機(jī)生成一個唯一標(biāo)識的身份UUID,對當(dāng)前服務(wù)VMM為該虛擬機(jī)的UUID身份進(jìn)行真實性認(rèn)證����;
[0009]迀移模塊,用于為UUID綁定生成一個公鑰�、私鑰的密鑰對以及公鑰PKI證書;調(diào)用預(yù)定義的可信計算證書迀移標(biāo)準(zhǔn)���,將當(dāng)前服務(wù)VMM所保護(hù)的虛擬機(jī)私鑰安全迀移至目標(biāo)VMM ����;
[0010]數(shù)據(jù)管理模塊�,用于在租戶為虛擬機(jī)的身份定義通信策略后,管理與維護(hù)所述通信策略以及用于證明虛擬機(jī)身份真實性的PKI證書�����;
[0011 ] 其中���,所述虛擬機(jī)包括至少一個源虛擬機(jī)和目標(biāo)虛擬機(jī),當(dāng)源虛擬機(jī)向目標(biāo)虛擬機(jī)發(fā)出連接請求時����,目標(biāo)虛擬機(jī)驗證源VMM所證明的虛擬機(jī)身份的真實性,根據(jù)所述通信策略確定是否允許該連接請求。
[0012]優(yōu)選地����,其中所述連接請求的輸入數(shù)據(jù)中不含有任何網(wǎng)絡(luò)包元數(shù)據(jù)信息,源VMM發(fā)起請求時用到的目標(biāo)地址是目標(biāo)虛擬機(jī)當(dāng)前使用的臨時地址��,該臨時地址是由服務(wù)于目標(biāo)虛擬機(jī)的目標(biāo)VMM臨時動態(tài)分配給目標(biāo)虛擬機(jī)的地址�����。
[0013]優(yōu)選地�����,其中當(dāng)虛擬機(jī)身份的真實性驗證通過并且允許該連接請求時��,租戶組織的內(nèi)部私有網(wǎng)絡(luò)是一個定義在虛擬機(jī)身份上的網(wǎng)絡(luò)�����,與虛擬機(jī)所處的物理網(wǎng)絡(luò)屬性無關(guān)�。
[0014]優(yōu)選地,其中所述身份認(rèn)證模塊進(jìn)行身份驗證進(jìn)一步包括:
[0015]該私鑰被當(dāng)前服務(wù)VMM所在服務(wù)器上的可信計算系統(tǒng)保護(hù)與管理�,當(dāng)前服務(wù)VMM為該虛擬機(jī)身份真實性認(rèn)證所做出數(shù)字簽名,對該虛擬機(jī)的身份做出真實性驗證�����。
[0016]優(yōu)選地,其中所述源虛擬機(jī)對目標(biāo)虛擬機(jī)的身份驗證進(jìn)一步包括:
[0017]當(dāng)身份為IDl的源虛擬機(jī)向身份為ID2的目標(biāo)虛擬機(jī)發(fā)出連接請求時�,為源虛擬機(jī)服務(wù)的當(dāng)前VMM從源虛擬機(jī)截獲網(wǎng)絡(luò)包,用網(wǎng)絡(luò)包中的目標(biāo)地址向數(shù)據(jù)管理模塊查詢目標(biāo)虛擬機(jī)的身份及租戶定義的通信策略�;
[0018]數(shù)據(jù)管理模塊收到源VMM發(fā)來的查詢請求后,驗證源VMM證明的身份IDl的真實性��,驗證通過后����,向源VMM返回目標(biāo)虛擬機(jī)的身份ID2,以及租戶定義的通信策略�����;
[0019]源VMM驗證ID2的身份真實性以及查看通信策略�;如果身份驗證正確,而且所定義的策略中允許IDl與ID2通信����,則允許源虛擬機(jī)和目標(biāo)虛擬機(jī)的連接連接請求;否則從源虛擬機(jī)禁止通信�。
[0020]優(yōu)選地��,其中所述源虛擬機(jī)和目標(biāo)虛擬機(jī)分別位于不同物理位置的任意兩個數(shù)據(jù)中心,通過連接進(jìn)行并網(wǎng)��,最大化公網(wǎng)流量及冗佘帶寬的利用�。
[0021]優(yōu)選地,其中所述通信策略是由租戶利用SDN方法對私有網(wǎng)絡(luò)的QoS進(jìn)行的定義�����。
[0022]優(yōu)選地����,該系統(tǒng)運行在云計算IaaS層。
[0023]優(yōu)選地��,租戶的私有網(wǎng)絡(luò)中不存在任何集中控制點�����,并且所述連接全部在虛擬機(jī)的當(dāng)前服務(wù)VMM中內(nèi)部處理��。
[0024]根據(jù)本發(fā)明的另一方面���,提供了一種基于云計算的虛擬化方法�,包括:
[0025]響應(yīng)于租戶的請求��,生成虛擬機(jī),
[0026]在VMM上為該虛擬機(jī)生成一個唯一標(biāo)識的身份UUID����,對當(dāng)前服務(wù)VMM為該虛擬機(jī)的UUID身份進(jìn)行真實性認(rèn)證;
[0027]為UUID綁定生成一個公鑰����、私鑰的密鑰對以及公鑰PKI證書;
[0028]調(diào)用預(yù)定義的可信計算證書迀移標(biāo)準(zhǔn)�,將當(dāng)前服務(wù)VMM所保護(hù)的虛擬機(jī)私鑰安全迀移至目標(biāo)VMM ;
[0029]在租戶為虛擬機(jī)的身份定義通信策略后,將所述通信策略以及用于證明虛擬機(jī)身份真實性的PKI證書交由數(shù)據(jù)管理模塊統(tǒng)一維護(hù)�����;
[0030]當(dāng)身份為IDl的源虛擬機(jī)向身份為ID2的目標(biāo)虛擬機(jī)發(fā)出連接請求時�,為源虛擬機(jī)服務(wù)的源VMM從源虛擬機(jī)截獲網(wǎng)絡(luò)包,用網(wǎng)絡(luò)包中的目標(biāo)地址向數(shù)據(jù)管理模塊查詢目標(biāo)虛擬機(jī)的身份及租戶定義的通信策略����;
[0031 ] 所述數(shù)據(jù)管理模塊收到源VMM發(fā)來的查詢請求后,驗證源VMM證明的身份IDl的真實性�����,驗證通過后���,向源VMM返回目標(biāo)虛擬機(jī)的身份ID2���,以及租戶定義的通信策略;
[0032]源VMM驗證ID2的身份真實性以及查看通信策略��;如果身份驗證正確�,則根據(jù)所定義的策略中是否允許IDl與ID2通信,確定是否允許源虛擬機(jī)和目標(biāo)虛擬機(jī)的連接���。
[0033]相比于現(xiàn)有技術(shù)���,本發(fā)明的技術(shù)方案的安全云IaaS網(wǎng)絡(luò)支持跨數(shù)據(jù)中心并網(wǎng),支持雙活多地躲災(zāi)����,網(wǎng)絡(luò)流量疊加和網(wǎng)絡(luò)擁塞路徑動態(tài)規(guī)避,任意物理網(wǎng)段服務(wù)器均可無縫加入網(wǎng)絡(luò)中�����,租戶邏輯網(wǎng)絡(luò)徹底與底層物理網(wǎng)絡(luò)不相耦合�,實現(xiàn)了可信安全云計算。
【附圖說明】
[0034]圖1是根據(jù)本發(fā)明實施例的基于云計算的虛擬化系統(tǒng)的示意圖�����。
【具體實施方式】
[0035]多種方式可以用于(包括實施為過程;裝置�;系統(tǒng);物質(zhì)組成��;在計算機(jī)可讀存儲介質(zhì)上包括的計算機(jī)程序產(chǎn)品��;和/或處理器(諸如如下處理器����,該處理器被配置成執(zhí)行在耦合到處理器的存儲器上存儲的和/或由該存儲器提供的指令))實施本發(fā)明。在本說明書中�,這些實施或者本發(fā)明可以采用的任何其他形式可以稱為技術(shù)。一般而言���,可以在本發(fā)明的范圍內(nèi)變更公開的過程的步驟順序��。除非另有明示����,描述為被配置成執(zhí)行任務(wù)的部件(諸如處理器或者存儲器)可以實施為被臨時配置成在給定時間執(zhí)行該任務(wù)的一般部件或者被制造成執(zhí)行該任務(wù)的具體部件��。
[0036]下文與圖示本發(fā)明原理的附圖一起提供對本發(fā)明一個或者多個實施例的詳細(xì)描述。結(jié)合這樣的實施例描述本發(fā)明�����,但是本發(fā)明不限于任何實施例�。本發(fā)明的范圍僅由權(quán)利要求書限定,并且本發(fā)明涵蓋諸多替代��、修改和等同物�。在下文描述中闡述諸多具體細(xì)節(jié)以便提供對本發(fā)明的透徹理解���。出于示例的目的而提供這些細(xì)節(jié)�,并且無這些具體細(xì)節(jié)中的一些或者所有細(xì)節(jié)也可以根據(jù)權(quán)利要求書實現(xiàn)本發(fā)明�����。
[0037]本發(fā)明的目的在于提供一種跨數(shù)據(jù)中心的云計算方法以及云IaaS網(wǎng)絡(luò)���,克服現(xiàn)有技術(shù)中存在的問題���。
[0038]只有依靠并網(wǎng),云網(wǎng)絡(luò)才能將規(guī)模不斷擴(kuò)大���,并且躲避區(qū)域性災(zāi)難�����。如果按傳統(tǒng)私有intranet技術(shù)組建云網(wǎng)絡(luò)�,