用于gpu辅助网络话务监控和分析的技术的制作方法

用于gpu辅助网络话务监控和分析的技术的制作方法
【专利摘要】用于监控网络话务的技术包括一计算设备监控该计算设备的图形处理单元(GPU)处的网络话务。该计算设备基于所监控的网络话务的结果来管理计算设备的计算资源。计算资源可以包括一个或多个虚拟机，该一个或多个虚拟机用于处理要在计算设备的GPU处被监控的网络话务。描述和要求保护了其他实施例。
【专利说明】用于GPU辅助网络话务监控和分析的技术
[0001 ] 背景
[0002] -般而言，为了确保网络话务通信（即，网络分组/流)有效地流经它们的网络，网 络服务提供商（例如，互联网服务提供商（ISP)、电信服务提供商（TSP))持续地通过它们的 网络来监控网络话务（即，传入和传出网络分组/流）。例如，网络话务的这种持续监控可以 包括各种健康检验、资源分配/使用、应用使用、数据泄漏、入侵检测等等。传统上，话务监控 已经通过复制和/或过滤网络话务并且经由交换机和路由器上的端口镜像将经复制的和/ 或经过滤的网络话务重定向至专用于处理聚集网络话务的位于远程的网络设备（例如，专 属中间箱(middle-box))来执行。
[0003] 随着虚拟化技术--诸如虚拟机（VM)、软件定义网络（SDN)、网络功能虚拟化 (NFV)等一一的发展，网络服务提供商可以将之前在位于远程的专属硬件上运行的网络功 能合并至能在通用硬件上运行多个VM的单个商品服务器中。相应地，为了管理增加的网络 资源工作符合可能需要更有力的计算以及输入/输出资源。然而，卸载增加数量的网络带宽 以及关于系统资源的信息(实体及虚拟)可能引入等待时间并且增加带宽使用。通过使用现 有的方法，本地地执行网络话务监控和分需会导致降低的应用性能并且使可被分配来本地 执行网络话务监控和分析的有限平台资源(例如，中央处理单元(CPU)核、网络接口卡(NIC) 接口等)负重担。
[0004] 附图简述
[0005] 此处描述的概念通过示例图示并且不限于附图中。为图示的简洁和清楚，附图中 图示的元件不必要按比例绘制。在适当考虑时，在各附图之间重复用参考标记来指示相应 的或类似的元件。
[0006] 图1是用于监控和分析网络设备的网络话务的系统的至少一个实施例的简化框 图；
[0007] 图2是图1的系统的网络设备的至少一个实施例的简化框图；
[0008] 图3是可由图2的网络设备建立的环境的至少一个实施例的简化框图；
[0009] 图4是可由图2的网络设备建立的环境的另一实施例的简化框图；
[0010] 图5是可由图2的网络设备执行的使用网络话务监控数据来确定网络资源优化的 方法的至少一个实施例的简化流程图；
[0011] 图6是可由图2的网络设备执行的用于分配计算资源的方法的至少一个实施例的 简化流程图；以及
[0012] 图7是可由图2的网络设备执行的用于实施网络策略的方法的至少一个实施例的 简化流程图。
[0013] 附图的详细描述
[0014] 尽管本公开的概念可以有各种修改和替代形式，但其具体实施例已经在附图中通 过示例示出并且将在此详细描述。然而应当理解，无意将本公开的概念限制于所公开的特 定形式，而相反，本发明意图覆盖与本公开以及所附权利要求书一致的所有修改、等价物和 替代物。
[0015] 说明书中引用"一个实施例"、"一实施例"、"一说明性实施例"等等指示所述实施 例可以包括一种特定的特征、结构或特性，但买一个实施例可以或可以不必要包括该特定 的特征、结构或特性。此外，这种短语不必要指同一个实施例。而且，当结合一实施例描述一 特定的特征、结构或特性时，可以认为本领域的技术人员知道结合其他实施例来实施这种 特征、结构或特性，无论其他实施例是否明确描述。此外，应当理解，以"A、B和C中的至少一 个"形式的列表中包括的项目可以意味着(A); (B); (C); (A和B); (A和C); (B和C);或者(A、B 和C)。类似地，以"A、B或C中的至少一个"形式列出的项目可以意味着(A); (B); (C); (A和B); (A和C); (B和C);或者(A、B和C)。
[0016] 在一些情况下，所公开的实施例可以用硬件、固件、软件或者它们的任意组合来实 现。所公开的实施例也可以被实现为由一个或多个暂态或非暂态机器可读(例如，计算机可 读)存储介质携带或者存储的指令，该机器可读存储介质可由一个或多个处理器读取和执 行。机器可读存储介质可以被体现为用于存储或发射信息的任何存储设备、机制或其他实 体结构，所述信息的形式可由机器(例如，易失性或非易失性存储器、媒体光盘或其他媒体 设备)读取。
[0017] 在附图中，一些结构或方法特征可以以具体的排列和/或排序示出。然而应当理 解，这种具体的排列和/或排序不是必需的。然而，在一些实施例中，这种特征可以以与图示 附图中所示的方式和/或次序不同的方式和/或次序来排列。此外，在一特定附图中包括结 构或方法特征不意味着意指这种特征在全部实施例中都是必需的，在一些实施例中，这种 特征可以不被包括或者可以与其他特征组合。
[0018] 现在参照图1，在一说明性实施例中，一种用于监控和分析网络话务数据（即，关于 网络通信分组/流的数据)的系统100包括经由一个或多个网络设备106在网络104上通信的 计算设备102和远程计算设备110。在使用中，网络设备106通过网络104助益计算设备102和 远程计算设备110之间的网络通信（即，网络分组/流）。例如，计算设备102可以通过发送指 示计算设备102正在向远程计算设备110请求数据的一个或多个网络分组，来向远程计算设 备110请求数据。响应于该请求，远程计算设备110可以尝试经由一个或多个网络分组将响 应数据(即，负载)跨网络104传送至计算设备102。
[0019] 一般而言，网络分组在通过网络设106被处理时被监控。例如，网络设备106可以为 一个或多个虚拟机(VM)分配多个计算资源以便对网络分组执行各种网络功能或服务（例 如，防火墙服务、网络地址转换(NAT)服务、负载平衡服务、深度分组检测(DPI)服务、传输控 制协议(TCP)优化服务、4G/LTE网络服务等等）。相应地，网络设备106可以监控每个VM执行 特定服务来确定各种网络话务相关参数，诸如所分配的计算资源的效率水平、健康检验、带 宽使用、入侵检测、等等。与传统的网络话务监控系统(其中监控数据被卸载(offload)至远 程网络设备来进行处理并返回所处理的监控数据的结果)不同，网络设备106可以本地地分 析所监控的数据。
[0020] 为此，如下进一步详述，网络分组的相关处理由网络设备106的图形处理单元 (GPU)执行，该图形处理单元可能能够经由GPU的多个核来并行化网络分组处理(例如，网际 协议（IP)转发、散列化、模式匹配等等）。相应地，GPU可以通过提供可使用扩展并行性及许 多并行线程来执行数学运算的电子电路来补充中央处理单元(GPU)。结果，网络设备106的 CPU可以专用于其他任务，诸如应用性能管理。为了便于讨论，在此可以使用"图形处理单 元"或"GPU"来指图形处理单元、图形加速器或者其他类型的专用电子电路或设备，诸如被 配置为由网络设备106用来加速图形任务以及/或者执行会受益于经加速的处理(诸如网络 话务监控)的其他并行计算操作的通用GPU(GPGPU)或任何其他设备或电路。
[0021] 计算设备102可以被体现为能执行此处所述功能的任何类型的计算或计算设备， 包括但不限于:计算机、台式计算机、智能电话、工作站、膝上型电脑、笔记本电脑、平板电 脑、移动计算设备、可穿戴计算设备、网络设备、web设备、分布式计算系统、基于处理器的系 统、以及/或者消费者电子设备。类似地，远程计算设备110可以被体现为能执行此处所述功 能的任何类型的计算或计算设备，包括但不限于:计算机、台式计算机、智能电话、工作站、 膝上型电脑、笔记本电脑、平板电脑、移动计算设备、可穿戴计算设备、网络设备、web设备、 分布式计算系统、基于处理器的系统、以及/或者消费者电子设备。计算设备102和远程计算 设备110中的每一个可以包括在计算设备中常见的组件，诸如处理器、存储器、输入/输出子 系统、数据存储器、通信电路、等等。
[0022] 网络104可以被体现为任何类型的有线或无线通信网络，包括蜂窝网络(例如，全 球移动通信系统(GSM)、3G、长期演进(LTE)、全球微波接入互操作性(WiMAX)等）、数字订户 线(DSL)网络、电缆网络（例如，同轴网络、光纤网络等）、电话网络、局域网（LAN)或广域网 (WAN)、全球网络(例如，互联网）、或者它们的任意组合。此外，网络104可以包括为助益计算 设备102和远程计算设备110之间的通信所需的任何数量的网络设备106。
[0023] 在一些实施例中，网络设备106可另外连接至网络控制器108。网络控制器108可以 体现为、或以其他方式包括能提供用于执行此处所述功能的平台的任何类型的硬件、软件 和/或固件，诸如计算设备、多处理器系统、服务器(例如，单机式、机架安装式、刀片式等）、 网络设备、计算设备等。在一些实施例中，网络控制器108可以被配置为存储和/或维持网络 104的拓扑结构信息（即，网络设备106的排列和互连）以及/或者网络分组管理信息（例如， 网络分组/流管理/处理信息、对应于网络分组类型/流的策略、等等）例如，网络控制器108 可以被配置为充当软件定义联网（SDN)控制器、网络功能虚拟化(NFV)管理器以及网络配器 (ΜΑΝ0)等等。相应地，网络控制器108可以将网络流信息(例如，网络分组/流策略)发送(例 如，发射等)至能在SDN环境和/或NFV环境中操作的网络设备106。
[0024] 网络设备106可以被体现为能够助益计算设备102和远程计算设备110之间的有线 和/或无线网络通信的任何类型的计算设备。例如，网络设备106可以被体现为计算设备、接 入点、路由器、交换机、网络集线器、存储设备、计算设备、多处理器系统、服务器(例如，单机 式、机架安装式、刀片式等等）、网络设备(例如，实体或虚拟)等等。如图2所示，说明性的网 络设备106包括处理器202(即，CPU)、输入/输出（I/O)子系统204、GPU 206、GPU存储器208、 处理器存储器210、数据存储设备212、以及包括网络接口卡(NIC)216的通信电路214。当然， 在其他实施例中，网络设备106可以包括其他或附加组件，诸如那些在网络设备(例如，虚拟 化服务、驱动器、操作系统、调度器等）中常见的组件。此外，在一些实施例中，说明性组件中 的一个或多个可以被结合在另一组件内、或以其他方式形成另一组件的一部分。例如，在一 些实施例中，处理器存储器210或其部分可以被结合在处理器202中，以及/或者在一些实施 例中，GPU存储器208可以被结合在GPU 206中。
[0025] 处理器202可以被体现为能够执行此处所述的功能的任何类型的处理器。处理器 202可以被体现为单核或多核处理器、数字信号处理器、微控制器、或者其他处理器或处理/ 控制电路。I/O子系统204可以被体现为用于助益与处理器202、处理器存储器210、GPU 206、 GPU存储器208以及网络设备106的其他组件的输入/输出操作的电路和/或组件。例如，I/O 子系统204可以被体现为、或以其他方式包括存储器控制器集线器、输入/输出控制集线器、 集成的传感器集线器、固件设备、通信链路(即，点对点链路、总线链路、电线、电缆、光导、印 刷电路板迹线等等）以及/或者其他用于助益输入/输出操作的组件和子系统。在一些实施 例中，I/O子系统204可以形成片上系统(SoC)的一部分并且连同处理器202、GPU 206、GPU存 储器208、处理器存储器210以及网络设备106的其他组件被结合在单个集成电路芯片上。 [0026] GPU 206包括处理器核或并行处理器的阵列，它们中的每一个都可以执行多个并 行和并发的线程以处理特定类型的GPU任务。例如，在一些实施例中，GPU 206的处理器核可 以被配置为个别地处理3D渲染任务、映像(例如，2D图形）、视频以及视频编码/解码任务。 GPU 206可以被体现为外围设备（例如，在分立式的图形卡上），或者可以位于处理器202母 板上或在处理器202管芯上。
[0027] GPU存储器208和处理器存储器210可以被体现为任何类型的易失性或非易失性存 储器或者能执行此处所述功能的数据存储器。在操作中，处理器存储器210可以存储在计算 设备102的操作期间使用的各种数据和软件，诸如操作系统、应用、程序、库和驱动器。例如， 处理器存储器210的各部分可以至少暂时存储命令缓冲器以及由处理器202创建的GPU命 令，GPU存储器208的各部分可以至少存储通过例如直接存储器存取(DMA)从处理器存储器 210接收到的GPU命令。GPU存储器208在通信上耦合至GPU206,处理器存储器210类似地经由 I/O子系统204通信地耦合至处理器202。
[0028] 数据存储设备212可以被体现为任何类型的设备或者被配置用于数据的短期或长 期存储的设备，诸如例如，存储器设备和电路、存储器卡、硬盘驱动器、固态驱动器或者其他 数据存储设备。数据存储设备212可以包括存储网络设备106的数据和固件代码的系统分 区。数据存储设备212还可以包括存储网络设备106的操作系统的数据文件和可执行件的操 作系统分区。
[0029] 通信电路214可以被体现为能够允许网络设备106和计算设备102之间的网络104 上通信的任何通信电路、设备或其集合、另一网络设备106、网络控制器108、以及/或者远程 计算设备110。通信电路214可以被配置为使用任一个或多个通信技术(例如，有线或无线通 信）以及相关联的协议(例如，以太网、蓝牙?、Wi-F:i?、WiMAX等)来实施这种通信。
[0030] 通信电路214另外包括网络接口卡(NI0216AIC 216可以将计算设备102、远程计 算设备110以及/或者另一网络设备106连接至网络设备106之一。NIC 216可以被体现为一 个或多个附加板、子卡、网络接口卡、控制器芯片、芯片集或者可由网络设备106使用的其他 设备。例如，NIC 216可以被体现为通过诸如PCI快线这样的扩展总线耦合至I/O子系统204 的扩展卡。
[0031] 现在参照图3,在一实施例中，网络设备106在操作期间建立环境300。说明性的环 境300包括网络通信模块310、网络话务监控模块320、网络资源管理模块330以及网络策略 实施模块340。环境300的模块、逻辑以及其他组件中的每一个可以被体现为硬件、软件、固 件或者它们的组合。例如，环境300的模块、逻辑以及其他组件的每一个可以形成处理器202 或网络设备106的其他硬件组件的一部分，或者以其他方式由处理器202或网络设备106的 其他硬件组件所建立。如此，在一些实施例中，环境300的模块中的一个或多个可以被体现 为电路或电子设备的集合(例如，网络话务监控电路、网络资源管理电路、网络策略实施电 路等等）。在说明性的环境300中，网络设备106包括网络策略数据302、网络话务数据304以 及网络资源分配数据306,它们中的每一个都可由网络设备106的各种模块和/或子模块来 访问。应当理解，网络设备106可以包括网络设备中常见的其他组件、子组件、模块和设备， 为描述清楚未在图3中图示。
[0032] 网络通信模块310被配置为促进去往和来自网络设备106的进入和外出网络通信 (例如，网络话务、网络分组、网络流等等）。换言之，网络通信模块310被配置为接收和处理 自一个计算设备(例如，计算设备102、另一网络设备106、远程计算设备110)接收到的网络 分组、并且准备和发射网络分组至另一计算设备(例如，计算设备102、另一网络设备106、远 程计算设备110)。相应地，在一些实施例中，网络通信模块310的功能的至少一部分可由通 信电路214执行，且更具体地由NIC 216执行。
[0033] 网络话务监控模块320被配置为确定网络话务的监控结果。相应地，网络话务监控 模块320可以监控去往和来自网络设备106(例如，经由NIC216)的网络话务、以及由网络设 备106内部始发的网络话务。应当理解，在一些实施例中，网络话务监控模块320的一个或多 个功能可由GPU 206执行以利用GPU 206的并行处理能力并且降低处理器202上的工作负 荷。网络话务监控模块320可以包括网络话务接口模块322，网络话务接口模块322用于与当 前由网络设备106执行的各种VM、应用等接口以用于接收网络话务和/或网络话务相关信息 作为到网络话务监控模块320的输入。在一些实施例中，网络话务接口模块322可以经由共 享存储器、外围组件互连快线(PCIe)等接收网络话务。此外，在一些实施例中，关于网络话 务的数据可以被包括在网络话务数据304中，所述关于网络话务的数据诸如网络分组签名、 相关联的流、网际协议(IP)地址/端口源/目的地等等。
[0034] 网络话务监控模块320可另外包括网络话务分析模块324来分析网络话务。例如， 网络话务分析模块324可以基于当前拓扑结构、计算资源的分配、网络相关策略以及/或者 正由网络设备106执行的各种VM、应用等的使用来监控特定的网络话务。在一些实施例中， 网络话务监控模块320可另外包括资源优化确定模块326以确定网络资源优化推荐(例如， 用于运行虚拟服务的多个VM、存储器至VM的分配、等等）。此外，在一些实施例中，资源优化 确定模块326可以将网络资源优化推荐提供至网络资源管理模块330。在一些实施例中，与 监控网络话务有关的数据可以被包括在网络话务数据304中。
[0035]网络资源管理模块330被配置为基于网络设备106的性能（例如，端对端吞吐量、等 待时间等等)能力和当前工作负荷来管理网络设备106的计算、或网络资源的分配。为此，如 图4所示，网络资源管理模块330可能能够实例化（即，创建)VM、挂起VM、关闭（即，关掉)VM、 以及将网络话务重定向至硬件加速器以进行较快的处理。在一些实施例中，网络资源分配 可以基于网络资源优化推荐，该网络资源优化推荐可以是从网络话务监控模块320接收的。 应当理解，在一些实施例中，网络资源管理模块330的一个或多个功能可由处理器202和/或 GPU 206执行。还应当理解，网络话务监控模块320和网络资源管理模块330可以经由共享存 储器通信。在一些实施例中，网络资源管理模块330所执行的一个或多个功能可由各子模块 执行，例如，由虚拟资源管理模块332和/或物理资源管理模块334执行。
[0036]网络策略实施模块340被配置为实施网络策略(例如，基于网络流的路由策略和/ 或切换策略等等）。换言之，网络策略实施模块340被配置成检测和校正不符合网络策略的 网络话务。例如，为了校正被检测为不符合网络策略的网络话务，可以采取各种校正性动 作，诸如改变切换策略、切换路由策略、以及/或者基于网络策略丢弃特定的网络分组/流。 在一些实施例中，网络策略可以基于网络分组/流的类型、网络分组的工作负荷的类型、等 等。此外，在一些实施例中，与网络策略有关的数据可以被包括在网络策略数据302中。 [0037] 现在参照图4,示出网络设备106的操作环境400。说明性的操作环境400包括图3的 网络话务监控模块320、网络资源管理模块330以及网络策略实施模块340、以及虚拟交换机 410。尽管网络话务监控模块320在说明性的操作环境400中被示出为在GPU 206上运行，但 应当理解，在一些实施例中，网络资源管理模块330可另外在GPU 206上运行。
[0038]在说明性的操作环境400中，网络设备正在执行第一虚拟机(被指定为VM(1)402) 和第二虚拟机(被指定为VM(N)406)(即，网络设备106上运行的"第N个"虚拟机，其中"N"是 正整数并且指定网络设备106上运行的一个或多个附加虚拟机）。￥]\1(1)402和VM(N)406的每 一个包括相应的应用，分别是第一应用404和"第N"应用408。应当理解，VM 402、406中的一 个或多个可以运行多于一个应用。应用404、408可以指示任何类型的服务或当前经由VM 402、406对于网络分组执行的其他网络处理功能，诸如防火墙、网络地址转换(NAT)、负载平 衡、深度分组检查(DPI )、传输控制协议(TCP)优化、等等。例如，VM 402、406可以被配置为充 当由多个VM组成的服务链，该多个VM用于基于各种因素(诸如类型、流、工作负荷、目的地等 等)对网络分组执行特定的服务。
[0039]虚拟交换机410可以被配置成管理网络话务监控模块320、网络资源管理模块330 和网络策略实施模块340之间的网络话务相关信息的内部数据传输。例如，网络话务监控模 块320可以接收要被内部处理的经镜像和/或复制的网络话务（即，在本地VM 402、406上运 行的应用404、408)、以及来自位于外部的计算设备(例如，计算设备102、另一网络设备106、 远程计算设备110)的传入话务。此外，网络策略实施模块340也可以镜像和/或复制网络话 务以便基于网络策略来执行检查。相应地，虚拟交换机410可以被配置成助益经镜像和/或 复制的网络话务在VM 402、406和网络话务监控模块320、网络资源管理模块330以及/或者 网络策略实施模块340之间的传输。
[0040] 在一些实施例中，如前所述，网络设备106可以连接至位于网络设备106外部的网 络控制器108。还如前所述，网络控制器108可以与网络策略实施模块340通信以提供网络策 略信息，并且如以下进一步详述，网络控制器108可另外与网络话务监控模块320通信。
[0041] 现在参照图5,在使用中，网络设备106可以执行用于基于网络话务监控数据来确 定网络资源优化的方法500。应当理解，在一些实施例中，说明性方法500的功能的至少一部 分可以经由网络话务监控模块320来执行，该网络话务监控模块320可由GPU 206建立。方法 500开始于方框502，其中网络设备106接收要被监控的网络话务(例如，网络分组、网络流、 等等）。在一些实施例中，网络设备106可以请求基于网络策略和/或网络设备106的当前配 置（即，目前正由网络设备106执行的应用和/或VM的数量和/或其间的互连)仅接收特定的 网络话务(例如，一类型的网络分组、一类型的流、一类型的工作负荷、等等）。
[0042]网络设备106所接收的网络话务可以被体现为由网络设备106生成和/或处理的任 何类型的内部和/或外部网络通信。例如，在一些实施例中，在方框504中，接收到的网络话 务可以经由本地执行的网络应用或设备而生成。另外或替代地，在一些实施例中，在方框 506中，网络话务可以从运行各种服务的本地执行的VM(例如，本地执行的网络应用，如图4 所示)接收到，以处理网络话务，诸如防火墙、NAT、负载平衡器、DPI、TCP优化等等。应当理 解，在这种实施例中，要被监控的接收到的网络话务可以是经复制的或镜像的网络话务。在 一些实施例中，在方框508,网络设备106可以另外地或替代地接收源自于位于外部的物理 计算设备的网络话务，所述位于外部的物理计算设备诸如计算设备102、另一网络设备106 以及/或者远程计算设备110。
[0043]在方框510,网络设备106使用GPU 206执行网络话务镜像。与要求经由实体链路基 于监控和/或集中式实体将网络话务传送至位于外部的专属硬件的监控网络话务的传统方 法不同，网络设备106利用GPU 206的计算功率（即，并行化、无状态、并发等等)来监控和分 析话务。相应地，利用GPU 206会导致增加的安全性、能量效率以及资源利用，而同时降低可 归因于发射网络话务的带宽使用和等待时间。在一些实施例中，要被监控的网络话务可以 基于网络设备106的网络策略和/或当前配置(例如，来自网络资源管理模块330的输入)来 确定。例如，如果网络资源管理模块330检测到VM的资源使用的增加，则网络资源管理模块 330可以请求分析流经该VM的网络话务以标识已增加的资源使用的原因。
[0044] 在方框512,网络设备106确定在网络话务监控期间是否检测到异常。如果是，则网 络设备106向网络策略实施模块340提供异常的指示。如果不是，网络设备106前进至方框 516。在方框516,网络设备105确定是否要本地地分析网络话务监控数据（即，网络话务监控 的结果）。换言之，网络设备106确定网络设备106是否内部地分析网络话务监控数据，或者 与网络设备106进行外部网络通信的网络控制器(例如，图1的网络控制器108)是否要分析 网络话务监控数据。
[0045] 如果网络设备106确定网络控制器108要分析网络话务监控数据，则网络设备106 在方框518将网络话务监控数据传送至网络控制器108以供分析。在方框520,网络设备从网 络控制器108接收一个或多个网络资源优化(例如，应用/VM配置变化、网络话务监控算法变 化等等）。如果网络设备106确定要本地地分析网络话务监控数据，则网络设备106在方框 522基于网络话务监控数据来确定一个或多个网络资源优化(例如，到VM的虚拟处理器分 配、存储器的分配、等等）。
[0046] 在方框524,网络设备106将网络资源优化和/或网络话务监控数据传送至网络资 源管理模块330。例如，如果网络话务监控显示出对VM要求负载压力(payload)的网络话务 量的增加，则网络设备106可以将该增加以及所需的对VM的负载压力传送至网络资源管理 模块330。
[0047] 现在参照图6,在使用中，网络设备106可以执行用于分配计算或网络资源的方法 600。应当理解，在一些实施例中，说明性方法600的功能可以经由网络资源管理模块330来 执行。方法600开始于方框602,其中网络设备106接收网络话务监控数据和(诸）资源优化。 在一些实施例中，在方框604,网络设备106可以从网络话务监控模块320接收网络话务监控 数据和资源优化。
[0048] 在方框606,网络设备106基于网络话务监控数据和资源优化来确定是否应当作出 任何资源分配变化。在方框608,网络设备106基于在方框606确定的网络资源分配变化(若 可应用）来管理任何网络资源分配变化。在一些实施例中，在方框610中，网络设备106可以 分配网络设备106的附加和/或较少的计算资源。例如，如果网络设备106接收网络话务的增 加的指示，则网络设备106可以分配附加计算资源（即，创建附加VM、改变处理器分配、调节 存储器分配、等等）。附加地或替代地，在一些实施例中，在方框612,网络设备106可以将网 络话务中的一些重定向至硬件加速器以进行较快的处理。例如，如果网络设备106接收到要 求加密的数量增加的网络流的指示，则网络设备106可以将网络话务重定向至硬件加速器 以实现较佳的吞吐量。
[0049] 在方框614,网络设备106基于在方框608作出的网络资源分配变化来确定指示任 何网络话务监控变化的反馈。在方框616,网络设备106将所确定的反馈传送至网络话务监 控模块320,网络话务监控模块320可以使用该所确定的反馈来确定要监控哪个网络话务。
[0050] 现在参照图7,在使用中，网络设备106可以执行用于实施网络策略的方法700。应 当理解，在一些实施例中，说明性方法700的功能的至少一部分可以经由网络策略实施模块 340来执行。方法700开始于方框702,其中网络设备106接收到所检测的异常的指示。在一些 实施例中，在方框704,网络设备106可以从网络话务监控模块320接收所检测的异常的指 示。例如，如果网络话务监控模块320检测到网络流或网络分组的异常行为(例如，网络分组 的签名对应于已知的攻击签名），则网络话务监控模块320可以提供指示该异常行为的指 示。此外，作为在GPU 206上执行网络话务监控的结果，在网络分组或网络流被一个或多个 VM处理的同时（即，在运行时)可以检测到对异常的检测。
[0051 ] 在方框706,网络设备106确定网络控制器108是否正提供网络设备106要实施的网 络策略。如果是，则在方框708,网络设备从网络控制器108检索最近的网络策略信息。应当 理解，在一些实施例中，网络策略信息可以从网络控制器108被自动推送至网络设备106,而 不是此处所述的拉动实现方式。如果网络设备106确定网络控制器108并非正提供网络策 略，则方法700前进至方框710。
[0052]在方框710,网络设备106采取校正动作来实施与异常相关联的网络策略。在一些 实施例中，在方框712,网络设备106可以基于与异常相关联的网络策略来管理（即，改变)虚 拟交换机(例如，图4的虚拟交换机）的切换/路由策略。另外或替代地，在一些实施例中，在 方框714中，在可疑的网络流/分组从网络设备106被传送之前，网络设备106可以丢弃与异 常相关联的存疑的网络流/分组。应当理解，网络设备106可以实施网络设备106被配置为或 者能够实施的任何数量的其他网络策略。
[0053] 示例
[0054] 以下提供了此处公开的技术的说明性示例。所述技术的一个实施例可以包括以下 描述的各示例中的任一个或多个以及任意组合。
[0055] 示例1包括用于监控网络话务的计算设备，所述计算设备包括网络资源管理模块 以及图形处理单元，所述网络资源管理模块用于管理计算设备的计算资源，其中所述计算 资源包括用于处理网络话务的一个或多个虚拟机，所述图形处理单元用于建立网络话务监 控模块以便在图形处理单元处监控由一个或多个虚拟机所处理的网络话务。
[0056] 示例2包括示例1的主题，且其中网络话务监控模块进一步用于将所监控的网络话 务的结果传送至网络控制器，且其中网络资源管理模块进一步用于基于所监控的网络话务 的结果从网络控制器接收一个或多个网络资源优化推荐。
[0057] 示例3包括示例1和2的任一个的主题，且其中网络控制器与计算设备进行远程网 络通信。
[0058] 示例4包括示例1 一3的任一个的主题，且其中监控网络话务包括基于一个或多个 虚拟机的当前拓扑结构来监控网络话务。
[0059] 示例5包括示例1-4的任一个的主题，且其中监控网络话务包括基于一个或多个网 络策略来监控网络话务。
[0060] 示例6包括示例1-5的任一个的主题，且其中监控网络话务包括基于计算设备的计 算资源的当前分配来监控网络话务。
[0061] 示例7包括示例1-6的任一个的主题，且其中监控网络话务包括基于一个或多个虚 拟机的当前使用来监控网络话务。
[0062] 示例8包括示例1-7的任一个的主题，且其中网络话务包括由计算设备接收到的网 络话务。
[0063] 示例9包括示例1-8的任一个的主题，且其中网络话务包括由计算设备始发的网络 话务。
[0064] 示例10包括示例1-9的任一个的主题，且其中网络话务包括由计算设备接收到的 网络话务以及由计算设备始发的网络话务。
[0065]示例11包括示例1-10的任一个的主题，且其中网络话务监控模块进一步基于网络 话务监控的结果确定一个或多个网络资源优化推荐。
[0066]示例12包括示例1-11的任一个的主题，且其中网络资源管理模块进一步基于一个 或多个网络资源优化推荐来调节计算资源的分配。
[0067] 示例13包括示例1-12的任一个的主题，且其中计算资源还包括计算设备的存储器 的可分配部分，且其中调节计算资源的分配包括调节计算资源的存储器至一个或多个虚拟 机的分配。
[0068] 示例14包括示例1-13的任一个的主题，且其中计算资源还包括计算设备的处理器 的可分配部分，且其中调节计算资源的分配包括调节计算资源的处理器至一个或多个虚拟 机的分配。
[0069] 示例15包括示例1-14的任一个的主题，且其中调节计算资源的分配包括将网络话 务的至少一部分重定向至硬件加速器。
[0070] 示例16包括示例1-15的任一个的主题，且其中调节计算资源的分配包括创建附加 虚拟机。
[0071] 示例17包括示例1-16的任一个的主题，且其中调节计算资源的分配包括挂起一个 或多个虚拟机中的一个或多个。
[0072] 示例18包括示例1-17的任一个的主题，且其中调节计算资源的分配包括关闭一个 或多个虚拟机中的一个或多个。
[0073] 示例19包括示例1-18的任一个的主题，且进一步包括网络策略实施模块，所述网 络策略实施模块用于检测不符合网络策略的网络话务并且对该网络话务采取校正动作以 符合该网络策略而实施。
[0074] 示例20包括示例1-19的任一个的主题，且其中对网络话务采取校正动作包括丢弃 与不符合该网络策略的网络话务相关联的一个或多个网络分组。
[0075] 示例21包括示例1-20的任一个的主题，且其中对网络话务采取校正动作包括改变 与不符合该网络策略的网络话务相关联的路由策略。
[0076] 示例22包括示例1-21的任一个的主题，且其中对网络话务采取校正动作包括改变 与不符合该网络策略的网络话务相关联的切换策略。
[0077]示例23包括一种用于监控网络话务的方法，所述方法包括：由计算设备管理计算 设备的计算资源，其中计算资源包括用于处理网络话务的一个或多个虚拟机；以及由计算 设备的图形处理单元(GPU)来监控由一个或多个虚拟机所处理的网络话务。
[0078] 示例24包括示例23的主题，且进一步包括:将所监控的网络话务的结果传送至与 计算设备进行网络通信的网络控制器；以及基于所监控的网络话务的结果从网络控制器接 收一个或多个网络资源优化推荐。
[0079]示例25包括示例23和24的任一个的主题，且其中将所监控的网络话务的结果传送 至网络控制器包括将所监控的网络话务的结果传送至与计算设备进行远程网络通信的网 络控制器。
[0080] 示例26包括示例23-25的任一个的主题，且其中监控网络话务包括基于一个或多 个虚拟机的当前拓扑结构来监控网络话务。
[0081] 示例27包括示例23-26的任一个的主题，且其中监控网络话务包括基于一个或多 个网络策略来监控网络话务。
[0082] 示例28包括示例23-27的任一个的主题，且其中监控网络话务包括基于计算设备 的计算资源的当前分配来监控网络话务。
[0083] 示例29包括示例23-28的任一个的主题，且其中监控网络话务包括基于一个或多 个虚拟机的当前使用来监控网络话务。
[0084] 示例30包括示例23-29的任一个的主题，且其中监控网络话务包括监控由计算设 备接收到的网络话务。
[0085] 示例31包括示例23-30的任一个的主题，且其中监控网络话务包括监控由计算设 备始发的网络话务。
[0086] 示例32包括示例23-31的任一个的主题，且其中监控网络话务包括监控由计算设 备接收到的网络话务以及由计算设备始发的网络话务。
[0087] 示例33包括示例23-32的任一个的主题，且还包括基于所监控的网络话务的结果 来确定一个或多个网络资源优化推荐。示例34包括示例23-33的任一个的主题，且还包括基 于一个或多个网络资源优化推荐来调节计算资源的分配。
[0088] 示例35包括示例23-34的任一个的主题，且其中计算资源还包括计算设备的存储 器的可分配部分，且其中调节计算资源的分配包括调节计算资源的存储器至一个或多个虚 拟机的分配。
[0089] 示例36包括示例23-35的任一个的主题，且其中计算资源还包括计算设备的处理 器的可分配部分，且其中调节计算资源的分配包括调节计算资源的处理器至一个或多个虚 拟机的分配。
[0090] 示例37包括示例23-36的任一个的主题，且其中调节计算资源的分配包括将网络 话务的至少一部分重定向至硬件加速器。
[0091] 示例38包括示例23-37的任一个的主题，且其中调节计算资源的分配包括创建附 加虚拟机。
[0092] 示例39包括示例23-38的任一个的主题，且其中调节计算资源的分配包括挂起一 个或多个虚拟机中的一个或多个。
[0093] 示例40包括示例23-39的任一个的主题，且其中调节计算资源的分配包括关闭一 个或多个虚拟机中的一个或多个。
[0094] 示例41包括示例23-40的任一个的主题，且进一步包括:检测不符合网络策略的网 络话务;以及对该网络话务采取校正动作以符合该网络策略而实施。
[0095] 示例42包括示例23-41的任一个的主题，且其中对网络话务采取校正动作包括丢 弃与不符合该网络策略的网络话务相关联的一个或多个网络分组。
[0096] 示例43包括示例23-42的任一个的主题，且其中对网络话务采取校正动作包括改 变与不符合该网络策略的网络话务相关联的路由策略之一。
[0097] 示例44包括示例23-43的任一个的主题，且其中对网络话务采取校正动作包括改 变与不符合该网络策略的网络话务相关联的切换策略之一。
[0098]示例45包括一种计算设备，所述计算设备包括处理器和存储器，所述存储器中存 储有多个指令，所述多个指令在由处理器执行时使所述计算设备执行示例23-44的任一个 的方法。
[0099]示例46包括一个或多个机器可读存储介质，所述一个或多个机器可读存储介质上 存储有多个指令，所述多个指令响应于被执行而使一计算设备执行示例23-44的任一个的 方法。
[0100] 示例47包括一种用于监控网络话务的计算设备，所述计算设备包括：用于由计算 设备管理计算设备的计算资源的装置，其中计算资源包括用于处理网络话务的一个或多个 虚拟机；以及用于由计算设备的图形处理单元(GPU)来监控由一个或多个虚拟机所处理的 网络话务的装置。
[0101] 示例48包括示例47的主题，且进一步包括：用于将所监控的网络话务的结果传送 至网络控制器的装置；以及用于基于所监控的网络话务的结果从网络控制器接收一个或多 个网络资源优化推荐的装置。
[0102] 示例49包括示例47和48的任一个的主题，且其中用于将所监控的网络话务的结果 传送至网络控制器的装置包括用于将所监控的网络话务的结果传送至与计算设备进行远 程网络通信的网络控制器的装置。
[0103] 示例50包括示例47-49的任一个的主题，且其中监控网络话务的装置包括用于基 于一个或多个虚拟机的当前拓扑结构来监控网络话务的装置。
[0104] 示例51包括示例47-50的任一个的主题，且其中监控网络话务的装置包括用于基 于一个或多个网络策略来监控网络话务的装置。
[0105] 示例52包括示例47-51的任一个的主题，且其中监控网络话务的装置包括用于基 于计算设备的计算资源的当前分配来监控网络话务的装置。
[0106] 示例53包括示例47-52的任一个的主题，且其中监控网络话务的装置包括用于基 于一个或多个虚拟机的当前使用来监控网络话务的装置。
[0107] 示例54包括示例47-53的任一个的主题，且其中监控网络话务的装置包括用于监 控由计算设备接收到的网络话务的装置。
[0108] 示例55包括示例47-54的任一个的主题，且其中监控网络话务的装置包括用于监 控由计算设备始发的网络话务的装置。
[0109] 示例56包括示例47-55的任一个的主题，且其中监控网络话务的装置包括用于监 控由计算设备接收到的网络话务以及由计算设备始发的网络话务的装置。
[0110] 示例57包括示例47-56的任一个的主题，且还包括用于基于所监控的网络话务的 结果来确定一个或多个网络资源优化推荐的装置。
[0111] 示例58包括示例47-57的任一个的主题，且还包括用于基于一个或多个网络资源 优化推荐来调节计算资源的分配的装置。
[0112] 示例59包括示例47-58的任一个的主题，且其中计算资源还包括计算设备的存储 器的可分配部分，且其中用于调节计算资源的分配的装置包括用于调节计算资源的存储器 至一个或多个虚拟机的分配的装置。
[0113] 示例60包括示例47-59的任一个的主题，且其中计算资源还包括计算设备的处理 器的可分配部分，且其中用于调节计算资源的分配的装置包括用于调节计算资源的处理器 至一个或多个虚拟机的分配的装置。
[0114] 示例61包括示例47-60的任一个的主题，且其中用于调节计算资源的分配的装置 包括用于将网络话务的至少一部分重定向至硬件加速器的装置。
[0115] 示例62包括示例47-61的任一个的主题，且其中用于调节计算资源的分配的装置 包括用于创建附加虚拟机的装置。
[0116] 示例63包括示例47-62的任一个的主题，且其中用于调节计算资源的分配的装置 包括用于挂起一个或多个虚拟机中的一个或多个的装置。
[0117] 示例64包括示例47-63的任一个的主题，且其中用于调节计算资源的分配的装置 包括用于挂起一个或多个虚拟机中的一个或多个的装置。
[0118] 示例65包括示例47-64的任一个的主题，且进一步包括：用于检测不符合网络策略 的网络话务的装置；以及用于对该网络话务采取校正动作以符合该网络策略而实施的装 置。
[0119] 示例66包括示例47-65的任一个的主题，且其中用于对网络话务采取校正动作的 装置包括用于丢弃与不符合该网络策略的网络话务相关联的一个或多个网络分组的装置。 [0120]示例67包括示例47-66的任一个的主题，且其中用于对网络话务采取校正动作的 装置包括用于改变与不符合该网络策略的网络话务相关联的路由策略之一的装置。
[0121]示例68包括示例47-67的任一个的主题，且其中用于对网络话务采取校正动作的 装置包括用于改变与不符合该网络策略的网络话务相关联的切换策略之一的装置。
【主权项】
1. 一种用于监控网络话务的计算设备，所述计算设备包括： 网络资源管理模块，用于管理所述计算设备的计算资源，其中所述计算资源包括用于 处理所述网络话务的一个或多个虚拟机;以及 网络话务监控模块，用于由图形处理单元来监控由所述一个或多个虚拟机所处理的网 络话务。2. 如权利要求1所述的计算设备，其特征在于，所述网络话务监控模块进一步将所监控 的网络话务的结果传送至网络控制器，且其中所述网络资源管理模块进一步基于所监控的 网络话务的结果从所述网络控制器接收一个或多个网络资源优化推荐。3. 如权利要求1所述的计算设备，其特征在于，监控网络话务包括基于以下各项中的至 少一个来监控网络话务:所述一个或多个虚拟机的当前拓扑结构、一个或多个网络策略、所 述计算设备的计算资源的当前分配、或者所述一个或多个虚拟机的当前使用。4. 如权利要求1所述的计算设备，其特征在于，所述网络话务包括以下各项中的至少一 个：由所述计算设备所接收的网络话务;以及由所述计算设备始发的网络话务。5. 如权利要求1所述的计算设备，其特征在于，所述网络话务监控模块进一步基于网络 话务监控的结果来确定一个或多个网络资源优化推荐。6. 如权利要求5所述的计算设备，其特征在于，所述网络资源管理模块进一步用于基于 所述一个或多个网络资源优化推荐来调节所述计算资源的分配。7. 如权利要求6所述的计算设备，其特征在于，进一步包括： 存储器；以及 处理器， 其中调节所述计算资源的分配包括调节以下至少之一 ：（i)调节所述计算设备的存储 器至所述一个或多个虚拟机的分配，（ii)调节所述计算设备的处理器至所述一个或多个虚 拟机的分配，（iii)将所述网络话务的至少一部分重定向至硬件加速器，（iv)创建附加虚拟 机，（v)挂起所述一个或多个虚拟机中的一个或多个，或者(vi)关闭所述一个或多个虚拟机 中的一个或多个。8. 如权利要求1所述的计算设备，其特征在于，进一步包括： 网络策略实施模块，用于（i)检测不符合网络策略的网络话务，以及（ii)响应于所述网 络话务的至少一部分不符合网络策略的确定，对所述网络话务采取校正动作以符合所述网 络策略而实施。9. 一种用于监控网络话务的计算设备，所述计算设备包括： 由所述计算设备管理所述计算设备的计算资源的装置，其中所述计算资源用于支持一 个或多个虚拟机以处理所述网络话务;以及 由所述计算设备的图形处理单元(GPU)监控由所述一个或多个虚拟机所处理的网络话 务的装置。10. 如权利要求9所述的计算设备，其特征在于，进一步包括： 用于将所监控的网络话务的结果传送至网络控制器的装置；以及 用于基于所监控的网络话务的结果从所述网络控制器接收一个或多个网络资源优化 推荐的装置。11. 如权利要求9所述的计算设备，其特征在于，用于监控网络话务的装置包括基于以 下各项中的至少一个来监控网络话务的装置:所述一个或多个虚拟机的当前拓扑结构、一 个或多个网络策略、所述计算设备的计算资源的当前分配、或者所述一个或多个虚拟机的 当前使用。12. 如权利要求9所述的计算设备，其特征在于，用于监控网络话务的装置包括用于监 控由所述计算设备所接收的网络话务以及由所述计算设备始发的网络话务中的至少一个 的装置。13. 如权利要求9所述的计算设备，其特征在于，进一步包括： 用于基于所监控的网络话务的结果来确定一个或多个网络资源优化推荐的装置；以及 用于基于所述一个或多个网络资源优化推荐来调节计算资源的分配的装置。14. 如权利要求13所述的计算设备，其特征在于，所述计算资源进一步包括所述计算设 备的存储器的可分配部分以及所述计算设备的处理器的可分配部分，以及 其中用于调节所述计算资源的装置包括以下至少之一 ：（i)用于调节所述计算设备的 存储器至所述一个或多个虚拟机的分配的装置，（i i)用于调节所述计算设备的处理器至所 述一个或多个虚拟机的分配的装置，（iii)用于将所述网络话务的至少一部分重定向至硬 件加速器、创建附加虚拟机的装置，（iv)用于挂起所述一个或多个虚拟机中的一个或多个 的装置，或者(v)用于关闭所述一个或多个虚拟机中的一个或多个的装置。15. 如权利要求9所述的计算设备，其特征在于，进一步包括： 用于检测不符合网络策略的网络话务的装置；以及 用于对所述网络话务采取校正动作以符合所述网络策略而实施的装置。16. 如权利要求15所述的计算设备，其特征在于，用于对所述网络话务采取校正动作的 装置包括以下至少之一 ：（i)用于丢弃与不符合所述网络策略的网络话务相关联的一个或 多个网络分组的装置，（ii)用于改变与不符合所述网络策略的网络话务相关联的路由策略 的装置，或者(iii)用于改变与不符合所述网络策略的网络话务相关联的切换策略的装置。17. -种用于监控网络话务的方法，所述方法包括： 由计算设备管理所述计算设备的计算资源，其中所述计算资源包括用于处理所述网络 话务的一个或多个虚拟机;以及 由所述计算设备的图形处理单元(GPU)监控由所述一个或多个虚拟机所处理的网络话 务。18. 如权利要求17所述的方法，其特征在于，进一步包括： 将所监控的网络话务的结果传送至网络控制器；以及 基于所监控的网络话务的结果从所述网络控制器接收一个或多个网络资源优化推荐。19. 如权利要求17所述的方法，其特征在于，监控网络话务包括基于以下各项中的至少 一个来监控所述网络话务:所述一个或多个虚拟机的当前拓扑结构、一个或多个网络策略、 所述计算设备的计算资源的当前分配、或者所述一个或多个虚拟机的当前使用。20. 如权利要求17所述的方法，其特征在于，监控网络话务包括监控以下各项中的至少 一个：由所述计算设备所接收的网络话务;以及由所述计算设备始发的网络话务。21. 如权利要求17所述的方法，其特征在于，进一步包括： 基于所监控的网络话务的结果来确定一个或多个网络资源优化推荐；以及 基于所述一个或多个网络资源优化推荐来调节所述计算资源的分配。22. 如权利要求21所述的方法，其特征在于，所述计算资源还包括所述计算设备的存储 器的可分配部分以及所述计算设备的处理器的可分配部分，且其中调节计算资源的分配包 括以下至少之一:调节所述计算设备的存储器至所述一个或多个虚拟机的分配、调节所述 计算设备的处理器至所述一个或多个虚拟机的分配、将所述网络话务的至少一部分重定向 至硬件加速器、创建附加虚拟机、挂起所述一个或多个虚拟机中的一个或多个、或者关闭所 述一个或多个虚拟机中的一个或多个。23. 如权利要求17所述的方法，其特征在于，进一步包括： 检测不符合网络策略的网络话务；以及 对所述网络话务采取校正动作以符合所述网络策略而实施。24. 如权利要求23所述的方法，其特征在于，对所述网络话务采取校正动作包括以下至 少之一:丢弃与不符合所述网络策略的网络话务相关联的一个或多个网络分组，改变与不 符合所述网络策略的网络话务相关联的路由策略，或者改变与不符合所述网络策略的网络 话务相关联的切换策略。
【文档编号】H04L12/26GK106027323SQ201610157999
【公开日】2016年10月12日
【申请日】2016年3月18日
【发明人】A·W·敏, J-s·蔡, J·曾, K·苏德, T-Y·C·泰
【申请人】英特尔公司