与虚拟机相关联的增强的网络服务的虚拟化移动的制作方法

与虚拟机相关联的增强的网络服务的虚拟化移动的制作方法
【专利摘要】在一个实施例中，一种方法包括：检测由第一物理主机执行的虚拟机向目的地物理主机的移动处理的启动；启动由第一网络实体执行的有状态处理的转移，并且向在第一物理主机中执行的虚拟机提供增强的网络服务，包括使得增强的网络服务的执行参数被发送至第二网络实体；以及完成虚拟机向目的地物理主机的移动处理，以响应检测到有状态处理正在第二网络实体中执行并且准备提供增强的网络服务以供目的地物理主机中的虚拟机执行。
【专利说明】与虚拟机相关联的增强的网络服务的虚拟化移动

【技术领域】
[0001]本公开总体涉及使得虚拟机可以动态地被从一个物理服务器移动到另一物理服务器的虚拟化技术。

【背景技术】
[0002]该部分描述的是可能被采用的方法，但不一定是先前设想或采用过的方法。因此，除非以其他方式明确地指出，否则，本部分中所描述的任何方法相对本申请中的权利要求而言都不是现有技术，并且本部分中所描述的任何方法都不因为被包括在本部分中而被承认为现有技术。
[0003]云计算使得可以对可配置资源的共享池进行网络访问，这些资源能通过尽可能少的管理工作快速地被供应和发行。云计算可以基于一个或多个数据中心来实现，这些数据中心实现一个或多个被称为“服务器”的物理计算机器:在管理代理(management agent)的控制下，物理服务器分配计算和存储资源以形成“虚拟机”。虚拟机可以在管理代理的控制下提供计算服务。虚拟化技术使得虚拟机可以动态地被从一个物理服务器移动到目的地物理服务器，其中，目的地物理服务器可以处于相同的数据中心，也可以处于不同的数据中心。然而，动态地移动虚拟机的能力引入了多项挑战，这些挑战使得可移动的虚拟机对于改善的防火墙保护的需要成为必需。


【发明内容】

[0004]在一个实施例中，一种方法包括:检测由第一物理主机执行的虚拟机到目的地物理主机的移动处理的启动；启动对由第一网络实体执行的有状态处理(stateful process)的转移，并且为在第一网络实体中执行的虚拟机提供增强的网络服务，包括使得针对增强的网络服务的执行参数被发送到第二网络实体；以及完成虚拟机到目的地物理主机的移动处理，以响应检测到有状态处理正在第二网络实体中执行并且准备提供增强的网络服务以供目的地物理主机中的虚拟机执行。
[0005]在另一实施例中，一种装置包括第一电路和处理器电路。第一电路被配置为:检测由第一物理主机执行的虚拟机到目的地物理主机的移动处理的启动。处理器电路被配置为:启动对由第一网络实体执行的有状态处理的转移，并且为由第一物理主机执行的虚拟机提供增强的网络服务。处理器电路被配置为:使得针对增强的网络服务的执行参数被送到第二网络实体。处理器电路还被配置为:响应于检测到有状态处理正在第二网络实体中执行并准备提供增强的网络服务以供目的地物理主机中的虚拟机执行，完成虚拟机到目的地物理主机的移动处理。

【专利附图】

【附图说明】
[0006]参照附图，其中，被赋予相同标号的要素在全文中表示同样的要素，并且其中:
[0007]图1A、1B和IC示出了根据示例实施例具有下述装置的示例系统:该装置用于在虚拟机从第一物理主机移动到第二物理主机的移动过程中将有状态处理(例如，防火墙处理)从第一网络实体移动到第二网络实体。
[0008]图2示出了根据示例实施例，用于将有状态处理转移给图1的第二网络实体并完成虚拟机到目的地主机的移动处理的示例装置。
[0009]图3示出了根据示例实施例，由图2的装置进行的将有状态处理转移给第二网络实体并将虚拟机移动到目的地主机的示例方法。

【具体实施方式】
[0010]具体实施例使得一个或多个虚拟机能够动态地被从数据中心中的一个物理机器(也称为“物理主机”)移动到第二物理机器，同时在向第二物理机器移动之前、期间以及之后维护虚拟机的防火墙保护。具体的实施例使得防火墙保护能够在提供防火墙服务的物理机器(也称为“网络实体”)之间动态地被转移，即使这些网络实体独立于并且不同于虚拟机的动态转移中涉及到的物理机器。
[0011]如果目的地物理主机由不同的防火墙设备服务，则将虚拟机从第一物理主机移动到目的地物理主机的传统技术会遇到问题。例如，假设(在移动之前执行虚拟机的)第一物理主机与保护第一物理主机的第一防火墙设备相关联，并且(在移动过程中接收虚拟机的)目的地物理主机由独立于并且不同于第一防火墙设备、第一物理主机以及目的地物理主机的第二防火墙设备来保护；还假设在第一防火墙设备的监督下，虚拟机在第一物理主机内执行过程中建立了多个网络连接(例如，传输控制协议(TCP)连接)。与目的地物理主机相关联的第二防火墙设备不知道虚拟机的执行状态，因此不知道在第一物理主机内建立的任何网络连接。因此，虚拟机一被转移到目的地物理主机，虚拟机在第一物理主机内执行过程中已经建立的任何网络连接就将被第二防火墙设备丢弃。
[0012]通过首先禁用防火墙设备来尝试移动虚拟机是不恰当的，因为这样的尝试使得虚拟机被暴露于数据中心外部的攻击。尝试在控制并转移虚拟机的相同的超级管理器(hypervisor)域内执行防火墙处理也是不恰当的，因为将与虚拟机处于相同的超级管理器域内的防火墙处理虚拟化需要充足的计算资源；因此，将与虚拟机处于相同的超级管理器域内的防火墙处理虚拟化不是可扩展的，尤其是在如果防火墙处理的优化依赖用于执行至少部分防火墙处理的专用集成电路的情况下。
[0013]根据示例实施例，第一防火墙设备(也称为源网络实体或第一网络实体)执行针对虚拟机的防火墙服务，而虚拟机在第一物理主机中被执行以提供虚拟化服务:第一防火墙设备将与防火墙服务相关联的执行状态变量转移到目的地防火墙设备与虚拟机从第一物理主机到第二物理主机的转移同时进行。换言之，第一防火墙设备将虚拟机的防火墙状态转移到目的地防火墙设备。目的地防火墙设备(也称为目的地网络实体)在激活在第二物理主机内执行的虚拟机之前，启动针对移动进第二物理主机的虚拟机的防火墙服务。
[0014]因此，示例实施例使得与虚拟机相关联的增强的网络服务的虚拟化移动能够进行，而不需要在虚拟机的移动过程中禁用增强的网络服务。而且，虚拟化移动可以以可扩展的方式来实现，而不对由虚拟机提供的虚拟化服务产生任何破坏。
[0015]图1A、1B和IC示出了根据示例实施例，具有用于在虚拟机(VM)18U^^n，“VM#7”)从第一物理主机20a向第二物理主机20b移动的过程中将有状态处理14(例如，防火墙处理(“F7”))从第一网络实体16a移动到第二网络实体16b的装置12的示例系统10。
[0016]图1A示出在虚拟机“VM#7” 18从第一物理主机20a向第二物理主机20b移动之前、并且在有状态处理“F7”14从第一网络实体16a向第二网络实体16b移动之前的示例系统10。第一物理主机20a和第二物理主机20b各自可以被实现为数据中心(DC)40内的基于多处理器的服务器，其中，数据中心40经由基于互联网协议(IP)的网络32(例如，局域网(LAN)和/或广域网(WAN))向用户提供虚拟化服务(例如，云计算服务)。
[0017]在超级管理器30的控制下，每个虚拟机在物理主机(例如，20a或20b)中被执行。每个超级管理器30使得多个虚拟机18能够同时在相应的物理主机20a或20b上被执行。例如，示例虚拟机“VM#1”、“VM#2”以及“VM#3” 18可以在由物理主机20b执行的超级管理器30的控制下在物理主机20b中同时被执行；示例虚拟机“VM#4”、“VM#5”、“VM#6”以及“VM#7” 18可以在由第一物理主机20a执行的超级管理器30的控制下在第一物理主机20a中同时被执行。每个虚拟机18可以包括其自身的操作系统实例和一个或多个提供虚拟化服务的应用实例。示例性的超级管理器30是从Palo Alto, California的VMware, Inc.可得的VMware ESX主机。
[0018]每个数据中心还可以包括:一个或多个访问交换机34、一个或多个分布式交换机36以及将相应的数据中心40连接到IP网络32的一个或多个IP路由器(或等效交换机)38。访问交换机34的示例可以包括来自San Jose, California的Cisco Systems的Cisco Catalyst 6500系列交换机。示例性的分布式交换机36可以包括来自CiscoSystems 的 Cisco Catalyst 6500 系列交换机。因此,Cisco Catalyst 6500 系列交换机可以实现与访问交换机34和/或分布式交换机36相关联的操作。
[0019]如图1A、IB和IC所示，第一物理主机20a、目的地物理主机20b、第一网络实体16a以及第二网络实体16b分别为不同且独立的物理机器。第一网络实体16a被配置为向在第一物理主机20a中执行的任何处理提供增强的网络服务(例如，防火墙保护)，并且第二网络实体16b被配置为向在物理主机20b中执行的任何处理提供增强的网络服务。因此，示出的由网络实体16a执行的防火墙处理“F7” 14只在物理主机20a内执行过程中向虚拟机“VM#7”18提供防火墙服务。
[0020]因此，第一网络实体16a和第二网络实体16b处于由物理主机20a和20b执行的超级管理器30的管理域的外部。而且，第一网络实体16a和第二网络实体16b各自可以包括专用集成电路(ASIC)以供增强的网络服务的至少一部分的优化执行。因此，在第一物理主机20a和目的地物理主机20b中执行的超级管理器30不同于并且独立于第一网络实体和第二网络实体16a和16b中执行的管理接口。
[0021]访问交换机34可以在虚拟交换机管理器(VSM)44的控制下建立针对虚拟分布式交换机42的物理网络连接。举例来说，虚拟分布式交换机42和虚拟交换机管理器44可以使用来自Cisco Systems的Cisco NexuslOOOV系列虚拟交换机模块来实现。
[0022]虚拟分布式交换机42使得虚拟机“VM#7”18能够在由装置12执行的管理实体46的控制下，经由通过网络32在分布式交换机36和路由器38之间建立的物理数据链路(层2)被从第一物理主机20a移动到目的地物理主机20b:也可以在分布式交换机36之间建立网络连接(层3)。在一个实施例中，网络32可以被实现为局域网，在相同的地理位置(例如，建筑物或校区)内的数据中心40之间提供数据中心互连；在另一实施例中，网络32可以被实现为连接分开几百英里或几千英里的数据中心40的广域网(例如，互联网)。
[0023]图2示出了根据示例实施例，用于将有状态处理“F7”14转移到第二网络实体16b、并且完成虚拟机“VM#7”18到目的地物理主机20b的移动处理的示例装置12。装置12被实现为诸如主机用户计算机之类的物理机器(也称为“物理主机”)，可以包括处理器电路22、存储器电路24以及接口电路26。处理器电路22可以被配置为基于经由接口电路26接收到的管理用户输入来执行管理实体46。接口电路26可以包括用户接口电路26a，用户接口电路26a被配置为经由附加键盘、指点设备(例如，鼠标或触摸板)等从管理用户接收用户输入。接口电路26还可以包括网络接口电路26b (例如，有线的或无线的网络接口卡)，网络接口电路26b被配置为根据规定的数据协议(例如，有线的或无线的以太网/IEEE 802)发送并接收有线或无线数据分组。
[0024]如上所述，用户接口电路26a和/或网络接口电路26b可以被配置为接收并检测来自管理用户的请求，以启动虚拟机“VM#7” 18和/或有状态处理“F7” 14的移动处理。管理实体46可以被配置为解释来自管理用户的请求，并且作为响应，将通知发送至超级管理器30以开始虚拟机“VM#7” 18向目的地物理主机20b的移动处理；管理实体46还可以同时将通知发送至在网络实体16a和16b中的每个网络实体中执行的管理接口，以启动有状态处理“F7”14向第二网络实体16b的转移。管理实体46的示例可以包括按照笨申请中描述的方式进行了修改的、来自VMware的VMware VMot1n。例如，VMot1n可以被修改以包括可执行的资源(例如，“插件”)，该资源使得VMot1n与在网络实体16a和16b中执行的管理接口进行通信和交互。
[0025]如图2所示，装置12还可以包括存储器电路24，存储器电路24被配置为存储计算/存储属性28 (例如，与管理实体46的执行有关的应用状态变量和数据)。
[0026]在一个实施例中，由有状态处理“F7” 14提供的增强的网络服务提供对虚拟机“VM#7” 18的防火墙保护。每个数据中心40可以包括被配置为向虚拟机18提供增强的网络服务(例如，防火墙服务)的一个或多个网络实体(例如，防火墙设备)16a、16b。尽管只示出向虚拟机“VM#7” 18提供防火墙保护的有状态处理“F7” 14，但是显然网络实体16a和16b各自可以为在相应的相关联的物理主机20a和20b中执行的虚拟机18提供独立且不同的有状态处理14。尽管增强的网络服务被示出为虚拟机18的防火墙保护，但是其他的增强的网络服务可以包括加密服务、虚拟专用网络(VPN)服务等。每个数据中心40可以包括用于为整个数据中心服务的单个防火墙设备16a，或者包括分别被配置成为相应服务器集群服务的多个防火墙设备。
[0027]由处理器电路22执行的管理实体46可以包括用于控制由物理主机20a和20b执行的每个超级管理器30的逻辑管理接口。管理实体46还可以包括用于与虚拟交换机管理器44进行通信的逻辑管理接口(例如，应用编程接口(API))，从而使得随着虚拟机“VM#7”18的迁移，去往虚拟机“VM#7”18的网络流量能从第一物理主机20a被重定向至目的地物理主机20b，使得虚拟机“VM#7” 18能够经由虚拟分布式交换机42从第一物理主机20a移动到目的地物理主机20b (例如，“VMot1n” )。
[0028]管理实体46还可以包括用于与在每个网络实体16a和16b中执行的管理接口进行通信的逻辑管理接口(例如，API)。因此，基于使得将由网络实体16a使用的执行参数复制到网络实体16b，管理实体46可以将有状态处理“F7”(如图1A所示)复制给网络实体16b (如图1B所示)，以向第一物理主机20a中的虚拟机“VM#7” 18提供增强的网络服务。示例执行参数可以包括防火墙规则和防火墙状态，例如，由第一物理主机20a中执行的虚拟机“VM#7” 18打开的TCP连接的标识、在第一物理主机20a中执行的虚拟机“VM#7” 18的(一个或多个)IP地址、与虚拟机“VM#7”18进行通信的客户端的IP地址、防火墙规则被应用于的接口的标识、与正被移动的虚拟机“VM#7” 18有关的防火墙状态表等。
[0029]管理实体还可以使得第一网络实体16a去除当虚拟机“VM#7” 18在第一物理主机20a中被执行时用来执行针对防火墙服务的有状态处理“F7”14的执行参数，从而使得有状态处理能够被释放给在第一物理主机20a中执行的其他虚拟机18，如图1C所示。在第一网络实体16a中执行的有状态处理不一定被终止或被重新示例化，而是可以基于从网络实体16a删除与在物理主机20a内执行虚拟机“VM#7” 18相关联的执行参数来实现“软复位”。
[0030]如前所述，图1A示出在虚拟机“VM#7”18从第一物理主机20a向第二物理主机20b移动之前、并且在有状态处理“F7” 14从第一网络实体16a向第二网络实体16b移动之前的示例系统10。图1B示出将虚拟机“VM#7” 18 (例如，当在暂停状态时)复制到第二物理主机20b和将有状态处理“F7” 14(例如，当在暂停状态时)复制到第二网络实体16b的过渡。图1C示出基于虚拟机“VM#7” 18在第二物理主机20b中激活并基于虚拟机“VM#7” 18在第一物理主机20a中终止的虚拟机“VM#7” 18所完成的移动、以及基于有状态处理14在第二网络实体16b中激活并基于有状态处理14在第一网络实体16a中终止的有状态处理“F7” 14所完成的移动。
[0031]下面参照图3进行描述，由装置12中的处理器电路22所执行的管理实体46可以检测图1A中所示的虚拟机“VM#7” 18的移动处理的启动(例如，响应于经由用户接口电路26a和/或网络接口电路26b的用户输入)，并且作为响应，启动转移为虚拟机“VM#7”18提供增强的网络服务(例如，防火墙保护)的有状态处理(例如，防火墙处理)“F7”14。如图1B所示，在激活虚拟机“VM#7”18以从目的地物理主机20b提供虚拟化服务之前，管理实体46还可以确保有状态处理“F7” 14正在第二网络实体16b中执行并准备向在目的地物理主机20b中执行的虚拟机“VM#7” 18提供增强的网络服务(如图1B所示)。如图1C所示，管理实体46还可以将命令发送至第一物理主机20a中的超级管理器30以终止虚拟机“VM#7” 18，并且将命令发送至第一网络实体16a以从有状态处理14去除执行参数。
[0032]所公开的装置12的任意电路(包括处理器电路22、存储器电路24、接口电路26以及它们相关联的部件)可以以多种形式来实现。所公开的电路的示例实现方式包括由诸如可编程逻辑阵列(PLA)、现场可编程门阵列(FPGA)之类的逻辑阵列、或通过诸如专用集成电路(ASIC)之类的集成电路的掩码编程来实现的硬件逻辑。这些电路中的任何电路还可以使用由诸如微处理器电路(未示出)之类的相应的内部处理器电路执行的基于软件的可执行资源来实现，并且可以使用一个或多个集成电路来实现，其中，存储在内部存储器电路(例如，在存储器电路24中)中的可执行代码的执行使得(一个或多个)集成电路能够:实现处理器电路22将应用状态变量存储于处理器存储器中；创建运行本申请所描述的电路的操作的可执行应用资源(例如，应用实例)。因此，本说明书中术语“电路”的使用既针对基于硬件的电路，也针对基于软件的电路，其中，基于硬件的电路使用一个或多个集成电路来实现并且包括用于执行所描述的操作的逻辑，基于软件的电路包括处理器电路(使用一个或多个集成电路来实现)，该处理器电路包括用于存储应用状态数据和由处理器电路通过执行可执行代码来修改的应用变量的处理器存储器的预留部分。举例来说，存储器电路24可以使用诸如可编程只读存储器(PROM)或EPROM之类的非易失性存储器和/或诸如DRAM等之类的易失性存储器来实现。
[0033]而且，所提到的任何“输出消息”或“输出分组”(诸如此类)可以基于以数据结构的形式来创建消息/分组并将该数据结构存储在所公开的装置中的有形的存储器介质中(例如，在传输缓冲器中)来实现。所提到的任何“输出消息”或“输出分组”(诸如此类)还可以包括经由通信介质(例如，根据需要，有线的或无线的链路)将存储在有形的存储器介质中的消息/分组电传输(例如，根据需要，经由有线的电流或无线的电场)至另一网络节点(根据需要，还可以使用光传输)。类似地，所提到的任何“接收消息”或“接收分组”(诸如此类)可以基于所公开的装置检测通信介质上的消息/分组的电(或光)传输并且将检测到的传输作为数据结构存储在所公开的装置中的有形的存储器介质中(例如，接收缓冲器中)来实现。还应注意，存储器电路23可以通过处理器电路22动态地实现，例如，基于由处理器电路22执行的存储器地址赋值和分区。
[0034]图3示出了根据示例实施例，将有状态处理“F7” 14转移到第二网络实体16b并将虚拟机“VM#7” 18移动到目的地物理主机20b的、由图2的装置进行的示例方法。图3中所描述的步骤可以被实现为存储在计算机或机器可读的非暂态有形存储介质(例如，软盘、硬盘、R0M、EEPR0M、非易失性RAM、CD-ROM等)上的可执行代码，这些步骤基于使用一个或多个集成电路来实现的处理器电路执行代码来完成；本申请所描述的步骤还可以被实现为编码在一个或多个非暂态有形介质中的可执行逻辑以供执行(例如，可编程逻辑阵列或设备、现场可编程门阵列、可编程阵列逻辑、专用集成电路等)。
[0035]针对图1A的系统10，如图3所示，接口电路26被配置为在步骤50中检测由管理用户启动的由第一物理主机20a执行的虚拟机“VM#7” 18向目的地物理主机20b的移动处理。对移动处理的启动进行的检测可以基于装置12经由用户接口 26a和/或网络接口电路26b接收启动移动处理的管理用户请求。基于管理实体46的执行，处理器电路22检测来自管理用户的请求启动移动处理的请求。
[0036]在步骤52中，基于首先确定第二网络实体16b是否以与第一网络实体16a—致的方式进行配置，由处理器电路22执行的管理实体46启动有状态处理“F7” 14的转移。特别地，管理实体46确定第二网络实体16b是否能够执行有状态处理“F7”14，以向要在目的地物理主机20b中执行的虚拟机“VM#7”18提供增强的网络服务(例如，防火墙保护)。例如，管理实体46可以确定第二网络实体16b是否准许防火墙服务的虚拟化移动和/或第二网络实体16b是否包括兼容的硬件和/或软件资源，这些资源除了已经由第二网络实体16b执行的任何其他处理之外还准许有状态处理“F7” 14的转移和执行。示例硬件和/或软件资源可以包括核实第二网络实体16b具有足够的网络接口、具有足够的安全等级等。如果管理实体46确定第二网络实体16b的配置与第一网络实体16a的配置在不能够使得有状态处理F7” 14进行转移这个方面不一致，则在步骤54中警告被发送至管理用户，并且转移操作被终止。
[0037]假设管理实体46确定第二网络实体16b具有与第一网络实体16a—致的配置，准许转移有状态处理“G7” 14，则在步骤56中由处理器电路22执行的管理实体46可以将通知发送至在第一物理主机20a和目的地物理主机20b中的每个物理主机中执行的超级管理器30，以开始将虚拟机“VM#7”18移动到目的地物理主机20b的移动处理。(一个或多个)合适的通知还可以被发送至虚拟交换机管理器44以管理与虚拟机“VM#7”18的移动相关联的网络流量。
[0038]在步骤56中，管理实体46还可以启动有状态处理“F7”14从第一网络实体16a到第二网络实体16b的转移。管理实体46可以将启动转移的指令发送至在第一网络实体16a和第二网络实体16b中的每个网络实体中执行的管理接口。例如，管理实体46可以将指定正被移动的虚拟机“VM#7” 18的属性(例如，(一个或多个)IP地址、(一个或多个)MAC地址、VLAN属性等)的指令发送至网络实体16a和16b ;管理实体46还可以发送源物理主机20a和目的地物理主机20b的属性和/或源网络实体16a和目的地网络实体16b的属性。
[0039]管理实体46可以基于步骤58中确定对增强的网络服务的控制是否为集中式的而使得与增强的网络服务“F7” 14相关联的执行参数被发送到第二网络实体16b。如果在步骤58中，管理实体46确定对增强的网络设备的控制是集中式的，则在步骤60中，管理实体46可以从网络实体16a读取针对保护在第一物理主机20a执行过程中的虚拟机“VM#7” 18的有状态处理“F7” 14的执行参数。例如，管理实体46可以将针对与有状态处理“F7” 14相关联的执行参数的请求发送至在网络实体16a中执行的管理接口 ；响应于管理实体46从网络实体16a接收到执行参数，在步骤60中，管理实体46可以将执行参数转发(例如，写)到在目的地网络实体16b中执行的管理接口。
[0040]可替代地，如果在步骤58中管理实体16中没有实现集中式的控制，则在步骤62中，管理实体46可以向至第一网络实体16a发送将执行参数转移到第二网络实体16b的请求。
[0041]在网络实体16a和16b被实现为防火墙设备的一个实施例中，网络实体16a (也称为源防火墙设备)可以使用防火墙设备16a和16b之间共同的层2网络来转发防火墙处理“F7”14的防火墙规则和防火墙状态。例如，源防火墙设备16a和目的地防火墙设备16b 二者都可以在经由网络32而在两个数据中心40之间延伸的虚拟局域网(VLAN)上配置有接口。源防火墙设备16a可以使用TCP或互联网控制消息协议(ICMP)保活(ke印alive)探测消息来核实到目的地防火墙设备16b的IP连通性。源防火墙设备16a可以将针对有状态处理“F7”14的副本请求发送至目的地防火墙设备16b ;响应于源防火墙设备16a从目的地防火墙设备16b接收到副本应答，源防火墙设备16a可以将副本数据命令发送至目的地防火墙设备16b，其中，副本数据命令包括有状态处理“F7” 14的执行参数；源防火墙设备16a和目的地防火墙设备16b可以交换副本消息和应答消息，直到对执行参数的复制完成时为止。处理器电路22可以被配置为在完成虚拟机“VM#7”18到目的地物理主机20b的移动处理之前，使得第一网络实体16a在步骤62中将执行参数更新发送至第二网络实体16b。
[0042]也可以将步骤60和步骤62结合，用来将有状态处理“F7”14的执行参数从第一网络实体16a转移到第二网络实体16b。
[0043]可以使用各种方法来将防火墙规则从源防火墙设备16a移动到目的地防火墙设备16b。在一个实施例中，防火墙规则可以由管理实体46来限定，以使得防火墙规则由管理实体46来维护和提供(针对步骤60所描述的)。有状态处理“F7”14的防火墙策略还可以由源防火墙设备16a来解析，以使得应用到在第一物理主机20a中执行的虚拟机“VM#7”18的所有的规则(包括主机专用规则和为数据中心“数据中心2”40建立的超网的更广泛的规则)可以被移动到目的地防火墙设备16b。有状态处理“F7” 14的防火墙策略还可以从基于防火墙设备16a所保护的有关超网的更广泛的防火墙规则得出。
[0044]在另一实施例中，源防火墙设备16a和目的地防火墙设备16b可以被配置有层3接口，该层3接口经由IP网络32在两个数据中心40之间是可路由的，从而使得防火墙设备16a和16b驻留在通过层3网络进行通信的不同IP子网络上。
[0045]网络实体16a和16b中的每个网络实体被配置为当完成复制与增强的网络服务“F7” 14相关联的执行参数时将转移通知消息发送至管理实体46，使得暂停状态中的增强的网络服务“F7” 14能够同时启动，如图1B所示。因此，装置12分别从第一网络实体16a和从第二网络实体16b接收执行参数已成功地被转移到第二网络实体16b的通知。因此，执行管理实体46的处理器电路22被配置为基于来自网络实体16a和16b的通知消息，在步骤64中检测有状态处理“F7” 14正在第二网络实体16b中执行，并且准备向在目的地物理主机20b中执行的虚拟机“VM#7” 18提供增强的网络服务。
[0046]响应于步骤64中检测到通知(有状态处理“F7”14正在在第二网络实体16b中执行，并且准备提供增强的网络服务以供目的地物理主机20b中的虚拟机“V丽7，，18执行)，由处理器电路22执行的管理实体46被配置为在步骤66中完成虚拟机“VM#7”18向目的地物理主机20b的移动处理。处理器电路22被配置为检测虚拟机“VM#7”18向目的地物理主机20b的成功转移，例如，基于来自源超级管理器30和目的地超级管理器30中的每个超级管理器(在各自的物理主机20a和20b中执行)的成功消息，如图1B所示。如上所述，在图1B中所示的转移过程中，虚拟机“VM#7” 18和防火墙处理“F7” 14中的每个可以处于暂停状态。
[0047]管理实体46被配置为通过步骤68中将第一通知发送至第二网络实体16b以激活针对目的地物理主机20b中的虚拟机“VM#7”18的增强的网络服务“F7” 14并且将第二通知发送至第一网络实体16a以从有状态处理“F7” 14去除针对虚拟机“VM#7” 18的执行参数，以响应检测到的虚拟机“VM#7” 18的成功转移。一旦网络实体16b中的增强的网络服务“F7” 14被激活，管理实体46则可以将指令发送至物理主机20b中的超级管理器30来激活虚拟机“VM#7” 18，并且将指令发送至物理主机20a中的超级管理器30来终止虚拟机“VM#7” 18，如图1C所示。
[0048]根据示例实施例，诸如虚拟机的防火墙服务之类的增强的网络服务可以被动态转移，从而确保以可扩展的方式在移动的过程中对虚拟机进行连续保护。
[0049]尽管本公开的示例实施例已经结合目前被认为是实施所附权利要求中所指定的主题的最佳方式进行了描述，但是应当理解，这些示例实施例仅是说明性的，并不限制所附权利要求所指定的主题。
【权利要求】
1.一种方法，包括: 检测由第一物理主机执行的虚拟机到目的地物理主机的移动处理的启动； 启动由第一网络实体执行的有状态处理的转移，并且向在所述第一物理主机中执行的虚拟机提供增强的网络服务，包括使得增强的网络服务的执行参数被发送到第二网络实体；以及 响应于检测到有状态处理正在第二网络实体中执行并且准备提供增强的网络服务以供目的地物理主机中的虚拟机来执行，完成虚拟机到目的地物理主机的移动处理。
2.如权利要求1所述的方法，其中，所述有状态处理的增强的网络服务被用于所述虚拟机的防火墙保护。
3.如权利要求1所述的方法，其中，使得执行参数被发送至所述第二网络实体的步骤包括以下至少一项: 从所述第一网络实体读取执行参数，并且作为响应，向所述第二网络实体转发要被发送的执行参数；或者 向所述第一网络实体发送将所述执行参数转移到所述第二网络实体的请求。
4.如权利要求3所述的方法，其中，对正在所述第二网络实体中执行的有状态处理准备提供增强的网络服务进行的检测是基于从所述第一网络实体和从所述第二网络实体接收执行参数已经成功地被转移到所述第二网络实体的通知。
5.如权利要求1所述的方法，其中，所述第一物理主机、所述目的地物理主机、所述第一网络实体以及所述第二网络实体各自不同并且是独立的物理机器，所述第一网络实体和所述第二网络实体各自包括用于执行所述增强的网络服务中的至少一部分的专用集成电路。
6.如权利要求1所述的方法，其中: 所述检测包括检测向由物理主机所执行的管理实体进行的用户输入，所述用户输入请求启动移动处理；并且 所述启动包括:管理实体将第一通知发送至在第一物理主机和目的地物理主机中的每个物理主机中执行的超级管理器以开始移动处理，以及管理实体将用于启动转移的指令发送至在第一网络实体和第二网络实体中的每个网络实体中执行的管理接口，其中，在第一物理主机和目的地物理主机中执行的超级管理器不同于并且独立于在第一网络实体和第二网络实体中执行的管理接口。
7.如权利要求1所述的方法，其中，所述启动是基于管理实体确定所述第二网络实体被配置为与所述第一网络实体一致，以准许在第二网络实体中执行有状态处理以向在目的地物理主机中执行的虚拟机提供增强的网络服务。
8.如权利要求1所述的方法，还包括:在完成虚拟机到目的地物理主机的移动处理之前，使得所述第一网络实体将执行参数更新发送至所述第二网络实体。
9.如权利要求1所述的方法，其中，所述完成包括: 检测所述虚拟机向所述目的地物理主机的成功转移；并且 通过将第一通知发送至所述第二网络实体以给目的地物理主机中的虚拟机激活增强的网络服务并且将第二通知发送至第一网络实体以从有状态处理去除所述虚拟机的执行参数，来响应检测到所述虚拟机的成功转移。
10.一种装置，包括: 第一电路，所述第一电路被配置为检测由第一物理主机执行的虚拟机向目的地物理主机的移动处理的启动；以及 处理器电路，所述处理器电路被配置为启动由第一网络实体执行的有状态处理的转移，并且向在第一物理主机中执行的虚拟机提供增强的网络服务，所述处理器电路被配置为使得增强的网络服务的执行参数被发送至第二网络实体； 所述处理器电路还被配置为:响应于检测到有状态处理正在所述第二网络实体中执行并准备提供增强的网络服务以供目的地物理主机中的虚拟机执行，完成虚拟机到目的地物理主机的移动处理。
11.如权利要求10所述的装置，其中，所述有状态处理的增强的网络服务被用于所述虚拟机的防火墙保护。
12.如权利要求10所述的装置，其中，所述处理器电路被配置为基于以下至少一项来使得执行参数被发送至所述第二网络实体: 从所述第一网络实体读取执行参数，并且作为响应，向所述第二网络实体转发要被发送的执行参数；或者 向所述第一网络实体发送将执行参数转移到所述第二网络实体的请求。
13.如权利要求12所述的装置，其中，所述处理器电路被配置为:基于从第一网络实体和从第二网络实体接收执行参数已经成功地被转移到第二网络实体的通知，来检测正在第二网络实体中执行的有状态处理准备提供增强的网络服务。
14.如权利要求10所述的装置，其中，所述第一物理主机、所述目的地物理主机、所述第一网络实体以及所述第二网络实体各自不同并且是独立的物理机器，所述第一网络实体和所述第二网络实体各自包括用于执行所述增强的网络服务中的至少一部分的专用集成电路。
15.如权利要求10所述的装置，其中: 所述第一电路包括被配置为从管理用户接收启动移动处理的请求的用户接口电路或网络接口电路中的至少一个电路； 所述处理器电路被配置为执行管理实体，所述管理实体检测来自管理用户的请求，所述用户输入请求启动移动处理； 由处理器电路执行的管理实体被配置为将第一通知发送至在第一物理主机和目的地物理主机中的每个物理主机中执行的超级管理器以开始移动处理，并且管理实体将启动转移的指令发送至在第一网络实体和第二网络实体中的每个网络实体中执行的管理接口，在所述第一物理主机和所述目的地物理主机中执行的超级管理器不同于并且独立于在所述第一网络实体和所述第二网络实体中执行的管理接口。
16.如权利要求10所述的装置，其中，所述启动是基于由所述处理器电路执行的管理实体确定所述第二网络实体被配置为与所述第一网络实体一致，以准许执行第二网络实体中的有状态处理以向在目的地物理主机中执行的虚拟机提供增强的网络服务。
17.如权利要求10所述的装置，其中，所述处理器电路被配置为:在完成所述虚拟机到所述目的地物理主机的移动处理之前，使得所述第一网络实体将执行参数更新发送至所述第二网络实体。
18.如权利要求10所述的装置，其中，所述完成包括: 检测所述虚拟机到所述目的地物理主机的成功转移；以及 通过将第一通知发送至所述第二网络实体以给所述目的地物理主机中的虚拟机激活增强的网络服务并且将第二通知发送至所述第一网络实体以从有状态处理去除所述虚拟机的执行参数，来响应检测到所述虚拟机的成功转移。
19.一种编码在一个或多个非暂态有形介质中以供执行的逻辑，所述逻辑在被执行时可操作来: 检测由第一物理主机执行的虚拟机向目的地物理主机的移动处理的启动； 启动由第一网络实体执行的有状态处理的转移，并且向在第一物理主机中执行的虚拟机提供增强的网络服务，包括使得增强的网络服务的执行参数被发送至第二网络实体；以及 响应于检测到有状态处理正在第二网络实体中执行并且准备提供增强的网络服务以供目的地物理主机中的虚拟机来执行，完成虚拟机向目的地物理主机的移动处理。
20.如权利要求19所述的逻辑，其中，所述有状态处理的增强的网络服务被用于所述虚拟机的防火墙保护。
【文档编号】G06F9/455GK104205051SQ201380016875
【公开日】2014年12月10日 申请日期:2013年3月29日 优先权日:2012年4月2日
【发明者】纳威达·沙姆司理, 赛尔瓦托·塔拉洛 申请人:思科技术公司