[发明专利]用于多虚拟机设备的网络策略实现

说明书

技术领域

本申请总的涉及建立网络实现。本申请尤其涉及使用网络策略在虚拟化环境中建立网络实现。

背景技术

在许多虚拟化环境中，虚拟机联网策略是由系统管理员进行显示配置的，这些策略指示哪些网络可被虚拟机使用，哪些接口可被虚拟机用来建立网络以及虚拟机的网络安全策略。当虚拟化系统包括最小量的虚拟机，例如单个虚拟机时，通常可很容易地将网络策略硬编码到该虚拟化系统中。

当虚拟化环境包括多个虚拟机，显示和可预测地配置每个虚拟机是很困难的。配置每个虚拟机和管理联网配置所需的事件是非常多的。而且，管理每个联网配置和确保每个合适的安全策略被实施可能是繁重的。

一些系统中包括虚拟化环境，其中单台计算机上的虚拟机与本机上的其他虚拟机使用本地网络通信。在这些系统中，在那台计算机上有本地网络且不延伸到在不同计算机上的执行的其他虚拟机。在一些情况下，两台计算机通过本地网络连接，因此存在执行在这些计算机上的虚拟机之间能通过本地网络互相通信的需要。尽管一些系统支持执行在不同计算机上的虚拟机之间的本地网络，但通常要求为每台虚拟机单独配置网络。在这些系统中，管理员必须为每个虚拟机确定安全策略，接着使用该安全策略要求配置每个虚拟机。

因此需要一种解决多虚拟机环境中的网络配置的系统和方法。这样的系统和方法可以非显示地配置网络以及可使用多个不同的网络拓扑来为虚拟环境中的一个或多个虚拟机实现网络连接。而且，这样的系统可使用网络策略而不是为虚拟化环境中的每个虚拟机或者设备明确配置安全策略的方式来为特定设备或虚拟机指定安全要求。

发明内容

从最广义的意义上，本发明描述了使用网络策略创建网络组件和根据安全要求配置这些网络组件的方法和系统。使用网络策略而不是为虚拟化环境中每个虚拟机单独地创建或配置网络组件，这允许管理员可以动态配置网络而不是为每个虚拟机显示地配置网络拓扑。网络策略典型地是可移植性更强的并且不要求对虚拟化环境中的应用层作出改变。

在一个方面，此处描述了通过应用网络策略到计算设备的虚拟化环境内的现有网络配置来选择网络实现的方法。在计算设备上的虚拟化环境中执行的控制程序接收由虚拟机响应于生命周期事件产生的事件通知。响应于接收事件通知，控制程序调用应用网络策略到虚拟化环境中的现有网络配置的策略引擎。网络策略可相应于虚拟机、虚拟机的网络接口、或网络。接着，策略引擎识别具有符合该网络策略的属性的现有网络配置，并且选择符合该网络配置和网络策略的网络实现。

在一些实施例中，虚拟机可包括相应于包含网络策略的网络对象的虚拟接口对象。

在其他实施例中，事件通知可响应于诸如启动虚拟机、迁移虚拟机，重启虚拟机、或停止虚拟机的生命周期事件而发生。

在一个实施例中，控制程序可识别包括虚拟接口对象和网络对象的一个或多个网络配置。其中识别一个或多个网络配置可包括解析控制程序的工具堆栈的元数据。

在其他实施例中，事件通知可响应于请求执行服务器的生命周期事件而产生。可部分地基于虚拟机的网络策略来选择该执行服务器。

在一些实施例中，所应用的网络策略可指定网络通信是否要求加密。在其他实施例中，所应用的网络策略限制本地网络到单台主机。仍在另一个实施例中，网络策略指定用于传送网络通信一个或多个物理接口。

在其他方面，此处描述了通过应用网络策略到计算设备的虚拟化环境中的现有网络配置来选择网络实现的系统。该系统可包括在虚拟化环境中执行控制程序和策略引擎的计算设备。虚拟机可响应于生命周期事件产生事件通知。在一些情况下，控制程序接收该事件通知并响应于接收事件通知来调用策略引擎。该策略引擎可应用网络策略到虚拟化环境中现有的网络配置，其中网络策略相应于虚拟机。接着，策略引擎可识别至少一个具有符合网络策略的属性的现有网络配置，并且选择符合该网络策略和网络配置的网络实现。

附图说明

在下面的附图描述了此处描述的系统和方法的某些示意性实施例，其中相同的附图标记涉及相同的元件。这些所描述的实施例应被理解所公开的方法和系统的示意性说明，而不是对于本申请的任何限制。

图1A描述了提供对可执行应用程序的计算设备的远程访问的网络环境的实施例；

图1B和图1C是描述计算设备的实施例的框图；

图2A和图2B是描述虚拟化环境的实施例的框图；

图3A-3B是描述实现网络策略引擎的虚拟化环境的实施例的框图；

图4是描述选择网络实现的方法的实施例的流程图。

具体实施方式