用于数据中心安全的混合防火墙的制作方法
【技术领域】
[0001]本发明一般地涉及云计算安全。具体地,涉及用于管理对虚拟化应用的加防火墙和其他服务需要的硬件和软件的系统和方法。
【背景技术】
[0002]随着云计算的快速演进,在服务器上运行的虚拟机上运行计算机程序变得越来越普遍。虚拟机(VM)是如物理机一样、执行程序的机器(即,计算机)的软件实现。运行虚拟机的物理硬件被称为主机或主机计算机,并且可以驻留在数据中心设施中。
[0003]数据中心是用于容纳计算机系统和关联组件的设施,通常包括用于在计算机系统和外部网络之间传输业务的路由器和交换机。数据中心通常包括冗余电源和冗余数据通信连接,以提供用于操作的可靠基础设施并且最小化任何破坏的机会。信息安全也是一个问题,并且由于该原因,数据中心必须提供安全的环境,以最小化安全漏洞的任何机会。
[0004]虚拟化具有优于传统计算环境的若干优点。在虚拟机上运行的操作系统和应用通常仅需要在虚拟机运行的底层物理硬件上可用的全部资源的一部分。主机系统可以采用多个物理计算机,其中的每一个运行多个虚拟机。虚拟机可以按需要被创建和关闭,因此仅按需要使用物理计算机的资源。虚拟化应用可以在一个或多个虚拟机上运行,该一个或多个虚拟机可以按应用需要被扩大或缩小。
[0005]虚拟化的另一优点是由用于操作虚拟机和将虚拟机从一个物理站点移动到另一个或者在相同数据中心内的主机之间移动虚拟机的能力提供的灵活性。虚拟机可以被移动,以便于更好地利用主机机器并且提供扩大或缩小尺寸的弹性。
[0006]许多数据中心使用采用专用硬件和软件的设施,以在数据中心中提供各种服务。这样的服务可以包括防火墙服务、负载平衡服务、统一威胁管理(UTM)服务、入侵检测和预防系统(IDS/IPS)、数据丢失预防(DLP)系统、代理/网关服务和其他安全服务。
[0007]图1图示了在提供防火墙和安全服务的数据中心100之前布置有硬件设施102的数据中心100。数据中心100具有7个刀片(blade) 104、106、108、110、112、114、116。刀片
1-5、104-112运行由虚拟化层118管理的虚拟机VM1-VM10。刀片6和7、114和116运行由虚拟化层120管理的虚拟存储组件VS1-VS4。硬件防火墙102检查并且过滤从网络122到数据中心100的业务。基于用于数据中心100的最大吞吐量来确定该防火墙102的容量。在实践中,这通常导致防火墙102的过大尺寸。
[0008]如果数据中心100的硬件在未来升级并且数据中心100的总容量增加,则防火墙设施102也将需要被升级,以满足日益增加的业务需求。该类型的操作可能需要服务中断、硬件/软件升级的投资和高操作成本。
[0009]由硬件设施提供的服务的虚拟化也蓄势待发。例如,虚拟防火墙(VF)是完全在虚拟化环境内运行的网络防火墙服务,其可以提供与由物理网络防火墙或防火墙服务设备传统上提供的相同的分组过滤和监视。
[0010]图2图示了采用纯虚拟防火墙的数据中心200。数据中心200具有7个刀片204、206、208、210、212、214和216。刀片1_5、204_212运行由虚拟化层218管理的虚拟机VM1-VM10。刀片6和7、214和216运行由虚拟化层220管理的虚拟存储组件VS1-VS4。刀片4和5、210和212可以被配置到运行加防火墙应用的虚拟机VM7-VM10或更简单地称为“虚拟防火墙”。刀片4、210可以一直专用于虚拟防火墙,而刀片5、212可以在流量增加时被指配给防火墙。当流量减少时,可以释放这些虚拟机VM9和VM10。类似于图1的硬件防火墙102,虚拟防火墙可以检查并且过滤从网络222到数据中心200的流量。虚拟化的防火墙服务允许资源按流量需要调整。
[0011]因此,希望提供一种用于集成硬件和虚拟防火墙组件并且减轻相关联的可扩展性问题的系统和方法。
【发明内容】
[0012]本发明的目的在于消除或减轻现有技术的至少一个缺点。
[0013]在本发明的第一方面,提供了一种用于管理与虚拟化应用相关的防火墙需要的方法。包括处理器的云计算管理实体确定与第一多个应用虚拟机和第二多个防火墙虚拟机相关联的虚拟化应用需要在第一多个中的增加数目的应用虚拟机。确定增加数目的应用虚拟机需要增加数目的防火墙虚拟机。应用虚拟机被实例化;并且防火墙虚拟机被实例化。
[0014]在本发明的第一方面的实施例中,根据检测到与虚拟化应用相关联的防火墙比率阈值被增加数目的应用虚拟机超过,确定所需要的增加数目的防火墙虚拟机。防火墙比率阈值可以被包括在虚拟化应用的部署时配置的应用简档中。虚拟化应用可以被托管在第一多个应用虚拟机上,并且第二多个防火墙虚拟机可以提供用于与虚拟化应用相关联的流量的加防火墙服务。
[0015]在另一实施例中,该方法进一步包括:将应用虚拟机的所需要的增加的数目与第二多个中的防火墙虚拟机的数目作比较。
[0016]在另一实施例中,该方法进一步包括:计算应用虚拟机的所需要的增加的数目与第二多个中的防火墙虚拟机的数目的比率;以及将所计算的比率与关联于虚拟化应用的防火墙比率需要作比较。
[0017]在另一实施例中,该方法进一步包括:将第一多个中的所需要的增加数目的应用虚拟机的带宽容量与第二多个中的防火墙虚拟机的带宽容量作比较。
[0018]在另一实施例中,该方法进一步包括:将第一多个中的所需要的增加数目的应用虚拟机的带宽容量与第二多个中的防火墙虚拟机的带宽容量和为了由虚拟化应用使用而提供的硬件防火墙的带宽的总和作比较。
[0019]在另一实施例中,该方法进一步包括下述步骤:确定增加数目的应用虚拟机需要增加数目的负载平衡虚拟机;以及实例化负载平衡虚拟机。
[0020]在另一实施例中,该方法进一步包括下述步骤:确定虚拟化应用需要第一多个中的减少数目的应用虚拟机;确定减少数目的应用虚拟机需要减少数目的防火墙虚拟机;关闭应用虚拟机;以及关闭防火墙虚拟机。
[0021]在本发明的第二方面中,提供了一种云管理实体,包括用于存储指令的存储器和配置为执行指令的处理引擎。处理引擎被配置为确定与第一多个应用虚拟机和第二多个防火墙虚拟机相关联的虚拟化应用需要在第一多个中的增加数目的应用虚拟机。该处理引擎确定增加数目的应用虚拟机需要增加数目的防火墙虚拟机。该处理引擎实例化应用虚拟机并且实例化防火墙虚拟机。
[0022]在本发明的第二方面的实施例中,云管理实体进一步包括通信接口,该通信接口用于与第一多个应用虚拟机和第二多个防火墙虚拟机进行通信。
[0023]在另一实施例中,响应于检测到与虚拟化应用相关联的防火墙比率阈值被超过来进行需要增加数目的防火墙虚拟机的确定。防火墙比率阈值可以通过处理引擎被包括在虚拟化应用的部署时配置的应用简档中。虚拟化应用可以被托管在第一多个应用虚拟机上,并且第二多个防火墙虚拟机可以针对与虚拟化应用相关联的流量提供加防火墙服务。
[0024]在另一实施例中,处理引擎将第一多个中的应用虚拟机的所需要的增加的数目与第二多个中的防火墙虚拟机的数目作比较。
[0025]在另一实施例中,处理引擎计算第一多个中的应用虚拟机的所需要的增加的数目与第二多个中的防火墙虚拟机的数目的比率;以及将所计算的比率与关联于虚拟化应用的防火墙比率阈值作比较。
[0026]在另一实施例中,处理引擎将第一多个中的增加数目的应用虚拟机的带宽容量与第二多个中的防火墙虚拟机的带宽容量作比较。
[0027]在另一实施例中,处理引擎将第一多个中的增加数目的应用虚拟机的带宽容量与第二多个中的防火墙虚拟机的带宽容量和为了由虚拟化应用使用而提供的硬件防火墙的带宽容量的总和作比较。
[0028]在结合附图回顾对本发明的具体实施例的以下描述时,本发明的其他方面和特征对于本领域普通技术人员来说将是明显的。
【附图说明】
[0029]现在将仅通过示例的方式,参考附图来描述本发明的实施例,在附图中:
[0030]图1是具有硬件防火墙的现有技术的数据中心的框图;
[0031]图2是具有虚拟防火墙的现有技术的数据中心的框图;