[发明专利]虚拟化环境中的网络过滤

说明书

技术领域

本发明总体上涉及数据处理，更具体而言，涉及包括虚拟网络的数据处理环境。

背景技术

总的来说，“公用计算(utility computing)”指一种计算模型，其中处理、存储和网络资源、软件及数据可以让客户端计算机系统和其它客户端设备（例如，移动电话或媒体播放器）按需进行访问，这非常像熟悉的住宅公用服务，诸如水和电。在有些实现中，分配让客户端设备访问和使用的具体计算资源（例如，服务器、存储驱动器等）是由公用计算提供商及其消费者之间的服务协定规定的。在通常称为“云计算”的其它实现中，底层信息技术（IT）基础设施的细节对公用计算的消费者是透明的。

云计算是通过对远端计算网站的容易访问（例如，经互联网或者私有的社团网络）来促进的并且常常采取云消费者可以通过web浏览器访问和使用的基于web的资源、工具或应用的形式，就好像这些资源、工具或应用是安装在云消费者的计算机系统上的本地程序一样。通常期望商业性云实现能够满足云消费者的服务质量（QoS）需求，这个需求可以在服务水平协议（SLA）中规定。在典型的云实现中，云消费者消费作为服务的计算资源并且只为所使用的资源付费。

公用计算的采用已经通过虚拟化的广泛使用得以促进，其中虚拟化是计算资源的虚拟（而不是实际）版本的创建，其中计算资源是例如操作系统、服务器、存储设备、网络资源等。例如，虚拟机（VM），也称为逻辑分区（LPAR），是像物理机器一样执行指令的物理机器（例如，计算机系统）的软件实现。VM可以归类为系统VM或过程VM。系统VM提供支持完整操作系统（OS），诸如Windows、Linux、AIX、Android等，及其所关联应用的执行的完整系统平台。另一方面，过程VM通常设计成运行单个程序并且支持单个过程。在任何一种情况下，运行在VM上的任何应用软件都受限于那个VM提供的资源和抽象。因此，由公共IT基础设施提供的实际资源可以通过多个VM的部署得到有效管理和利用，其中这多个VM有可能来自多个不同公用计算的消费者。

实际IT资源的虚拟化和VM的管理一般是由称为VM监视器（VMM）或超级管理程序（hypervisor）的软件提供的。在各种实现中，超级管理程序可以运行在裸硬件上（类型1或者本机超级管理程序）或者运行在操作系统之上（类型2或者托管超级管理程序）。

在一种典型的虚拟化计算环境中，VM可以利用常规的联网协议彼此通信并且与公用计算环境的IT基础设施中的物理实体通信。如本领域中已知的，常规的联网协议通常以众所周知的七层开放系统互连（OSI）模型为前提，该OSI模型（按升序）包括物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。通过用虚拟网络连接替换常规的物理层连接，使VM能够与其它网络实体通信，就好像VM是物理网络元件一样。

这里所公开的是用于增强这种虚拟计算环境中的网络过滤的技术。

发明内容

在至少一种实施例中，物理主机执行实例化至少一个虚拟机（VM）以及虚拟输入/输出服务器（VIOS）的超级管理程序或虚拟机监视器（VMM）。VIOS通过参考策略数据结构来确定对于与VM网络传送的分组的处置(disposition)，其中处置包括丢弃分组和转发分组之一。其后，将所确定的处置应用到与该分组同一分组流中的后续分组。

附图说明

图1是根据一种实施例的数据处理环境的高级框图；

图2绘出了根据一种实施例的图1的示例性数据处理环境中虚拟和物理资源的分层；

图3是根据一种实施例的数据处理系统的高级框图；

图4是根据一种实施例的采用虚拟联网的数据处理环境的一部分的第一高级框图；

图5是根据一种实施例的支持基于策略的网络过滤的虚拟I/O服务器（VIOS）和超级管理程序的组件的更详细视图；

图6是根据一种实施例的用于在虚拟网络环境中进行网络过滤的示例性过程的高级逻辑流程图；

图7说明了根据一种实施例的图5中流高速缓存的示例性实施例；

图8绘出了可以用于实现图5中所绘出的任意过滤策略数据结构的示例性树数据结构；及

图9是根据一种实施例的图5的VIOS流过滤器的操作的高级逻辑流程图。

具体实施方式