用于虛擬化環(huán)境的基于動態(tài)策略的接口配置的制作方法
【專利摘要】在一個實施例中,一種方法包括:接收各自包括操作環(huán)境的一個或多個屬性的靜態(tài)配置文件��;接收動態(tài)配置文件�����,以基于與所述動態(tài)配置文件相關聯(lián)的所述靜態(tài)配置文件來標識接口的配置���;基于所述接口的所述操作環(huán)境使所述動態(tài)配置文件與所述靜態(tài)配置文件之一相關聯(lián)���;以及在識別出所述操作環(huán)境中的改變時自動地更新所述關聯(lián)�����。還公開了一種裝置���。
【專利說明】用于虛擬化環(huán)境的基于動態(tài)策略的接口配置
【技術領域】
[0001]本公開一般地涉及通信網(wǎng)絡,并且更具體地�,涉及用于虛擬化環(huán)境的基于策略的接口配置。
【背景技術】
[0002]虛擬化是允許一臺計算機通過跨多個系統(tǒng)共享單臺計算機的資源來做多臺計算機的工作的技術�。通過利用虛擬化,多個操作系統(tǒng)和應用能夠同時在相同的計算機上運行�����,從而提高硬件的利用率和靈活性����。虛擬化允許服務器被從底層硬件解耦,從而產(chǎn)生共享相同物理服務器硬件的多個虛擬機���。在虛擬機環(huán)境中����,虛擬交換機在服務器上的物理接口與虛擬機接口之間提供網(wǎng)絡連通性。現(xiàn)今的服務器的速度和容量在每個服務器上允許大量虛擬機�����,這產(chǎn)生需要被配置的許多虛擬接口�。可以在服務器之間移動虛擬機��,在這種情況下對用于虛擬機的策略的改變可能是需要的�。還可以存在對于物理接口產(chǎn)生策略改變的網(wǎng)絡改變�����。在常規(guī)系統(tǒng)中�����,這些策略改變通常要求人工干預或附加的管理工具�,導致增加的管理復雜性。
【專利附圖】
【附圖說明】
[0003]圖1圖示了在其中可以實現(xiàn)本文中所描述的實施例的網(wǎng)絡的示例�。
[0004]圖2描繪了在實現(xiàn)本文中所描述的實施例時有用的網(wǎng)絡設備的示例。
[0005]圖3圖示了服務管理器和網(wǎng)絡管理器與圖1的網(wǎng)絡中的組件的交互����。
[0006]圖4是圖示了依照一個實施例的用于基于動態(tài)策略的接口配置的過程的概述的流程圖���。
[0007]圖5圖示了數(shù)據(jù)中心之間的虛擬機遷移的示例。
[0008]圖6圖示了位于相同數(shù)據(jù)中心中的服務器集群之間的虛擬機遷移的示例��。
[0009]對應的附圖標記在全部附圖的數(shù)個視圖中指示對應的部分����。
【具體實施方式】[0010]鍵
[0011]在一個實施例中,方法一般地包括:接收各自包括操作環(huán)境的一個或多個屬性的靜態(tài)配置文件���;接收動態(tài)配置文件以基于與所述動態(tài)配置文件相關聯(lián)的靜態(tài)配置文件來標識接口的配置�;基于接口的操作環(huán)境使動態(tài)配置文件與靜態(tài)配置文件中的一個相關聯(lián)�����;以及在識別出操作環(huán)境中的改變時自動地更新關聯(lián)��。
[0012]在另一實施例中����,裝置一般地包括:存儲器,用于存儲各自包括操作環(huán)境的一個或多個屬性的靜態(tài)配置文件和用于基于與動態(tài)配置文件相關聯(lián)的靜態(tài)配置文件來標識接口的配置的動態(tài)配置文件���;以及處理器����,用于基于接口的操作環(huán)境使動態(tài)配置文件與靜態(tài)配置文件中的一個相關聯(lián),并且在識別出操作環(huán)境中的改變時自動地更新關聯(lián)�����。
[0013]示例實施例[0014]給出以下描述來使得本領域的普通技術人員能夠?qū)崿F(xiàn)和使用實施例�。特定實施例和應用的描述僅作為示例被提供,并且各種修改對于本領域的技術人員而言將是顯而易見的��。在不背離實施例的范圍的情況下����,本文中所描述的一般原理可以被應用于其它應用���。因此�,實施例將不限于所示出的那些�,而是將被給予與本文中所描述的原理和特征一致的最廣范圍。出于清楚的目的��,涉及在與實施例相關的【技術領域】中已知的技術材料的細節(jié)尚未被詳細地描述���。
[0015]在虛擬環(huán)境中���,虛擬交換機在服務器上的物理接口與虛擬機接口之間提供聯(lián)網(wǎng)連通性���。虛擬機共享硬件資源而互不干擾,以使得數(shù)個操作系統(tǒng)和應用能夠在單個計算機上同時運行�。虛擬機可以例如在虛擬基礎設施中被用來動態(tài)地將物理資源映射到業(yè)務需要。每個服務器可以包括多個虛擬機并且單個虛擬交換域可以包含許多服務器�,從而產(chǎn)生要被配置的大量虛擬接口(端口)。
[0016]在一個示例中�����,網(wǎng)絡管理器使用虛擬交換機接口配置虛擬交換機和針對虛擬交換機上的虛擬端口的連通性約束以定義端口配置文件����。服務器(系統(tǒng))管理器配置虛擬機并且標識虛擬機接口應該被連接到的虛擬端口。
[0017]由于虛擬機的位置改變��,可能需要在虛擬機遷移之后修改虛擬機策略����。雖然策略改變在移動性域是受限于單個網(wǎng)絡(例如,數(shù)據(jù)中心)的第2層域時是有限的���,但是在現(xiàn)今的網(wǎng)絡中對策略改變的需要正在日益增加�����。例如�����,在虛擬機在數(shù)據(jù)中心或控制平面之間移動或者移動到具有不同的資源���、網(wǎng)絡服務的物理服務器或者接入到網(wǎng)絡段之后�,可能需要策略改變����。由于硬件或網(wǎng)絡拓撲中的改變(例如,在網(wǎng)絡故障之后)�,還可能需要對物理網(wǎng)絡接口的策略改變。在常規(guī)系統(tǒng)中���,這些策略改變通常要求附加的管理工具或人工干預來修改策略分配,這增加了服務器管理器和網(wǎng)絡管理器交互與管理復雜性��。
[0018]本文中所描述的實施例通過基于接口的操作環(huán)境動態(tài)地更新用于接口的策略來降低管理復雜性�����。操作環(huán)境例如可以是托管(host)與虛擬接口相關聯(lián)的虛擬機的服務器、與虛擬接口相關聯(lián)的虛擬機�、或與物理接口通信的物理設備。策略例如可以基于服務器的屬性(例如�,位置、服務IP地址�、服務層)而變化。這允許虛擬機基于虛擬機被托管在其上的服務器而實際上具有不同的策略�。如下面所述,網(wǎng)絡策略能夠在虛擬機遷移或其它網(wǎng)絡改變之后被配置一次并且自動地更新�����。接口配置基于上下文(context)(操作環(huán)境)被解釋���。管理復雜性通過去除為處于多個地方的相同虛擬機定義網(wǎng)絡策略的需要以及減少服務器管理器和網(wǎng)絡管理器交互來降低�����。實施例例如可以被用在企業(yè)或服務提供商環(huán)境中�。
[0019]現(xiàn)參考附圖��,并且首先參考圖1�����,示出了在其中可以實現(xiàn)本文中所描述的實施例的網(wǎng)絡的示例。為簡單起見���,僅少數(shù)節(jié)點被示出��。網(wǎng)絡包括與服務器(主機���、物理機)12、管理站14以及監(jiān)督器(supervisor)(例如��,虛擬監(jiān)督器模塊(VSM)) 16進行通信的物理交換機
10�����。管理站14例如可以是諸如可從加利福尼亞州帕洛阿爾托的VMware購得的VMware虛擬中心管理站之類的虛擬化管理平臺或任何其它管理設備�����。監(jiān)督器16可以位于經(jīng)由物理交換機10與服務器12和管理站14通信的物理器具(例如�����,服務器)上�����,或者VSM可以是安裝在網(wǎng)絡中的服務器12中的一個或另一個服務器或網(wǎng)絡設備處的虛擬器具(例如�����,虛擬機)���。在一個實施例中�����,虛擬監(jiān)督器模塊16通過利用如在下面詳細地描述的靜態(tài)配置文件26和動態(tài)配置文件28來提供對網(wǎng)絡策略的管理�����。
[0020]每個服務器12包括虛擬交換機(在本文還被稱為虛擬以太網(wǎng)模塊(VEM)) 20和一個或多個虛擬機(VM) 18�。諸如超級監(jiān)督器(hypervisor)(未示出)之類的虛擬機監(jiān)控器動態(tài)地將硬件資源分配給虛擬機18�。可以基于流量模式(traffic pattern)�����、硬件資源��、網(wǎng)絡服務或其它準則在服務器12之間以及跨越第2層或第3層邊界移動虛擬機18 (還被稱為vMotion、實時遷移或虛擬機遷移)�����。
[0021]虛擬機18經(jīng)由連接到虛擬交換機處的虛擬以太網(wǎng)接口的虛擬網(wǎng)絡接口卡(VNIC) 22與虛擬交換機20通信����。服務器12包括針對每個物理網(wǎng)絡接口卡(PNIC) 24的以太網(wǎng)端口??梢栽诙丝谕ǖ捞幘酆弦蕴W(wǎng)端口。虛擬交換機20經(jīng)由物理以太網(wǎng)接口與網(wǎng)絡通信����。虛擬交換機20在虛擬機18與物理網(wǎng)絡接口卡24之間交換流量。為簡單起見��,僅一個虛擬網(wǎng)絡接口卡22和一個物理網(wǎng)絡接口卡24在圖1中被示出���。每個虛擬機18與一個或多個虛擬接口 22相關聯(lián)���,并且每個物理服務器12與一個或多個物理接口 24相關聯(lián)。
[0022]在一個實施例中��,虛擬交換機20是駐留在托管虛擬機18的物理主機12中的分布式虛擬交換機的一部分�。該分布式虛擬交換機包括安裝在服務器12處的虛擬交換機(VEM) 20和虛擬監(jiān)督器模塊16�����。VSM16被配置成為虛擬機18提供控制平面功能性。虛擬交換機20在服務器12處提供交換能力并且作為與VSM16的控制平面相關聯(lián)的數(shù)據(jù)平面進行操作���。VSM16和虛擬交換機(VEM) 20 —起操作以形成如由管理站14所查看的分布式虛擬交換機����。應當理解的是�,圖1中所示出的分布式虛擬交換機僅是示例,并且在不背離實施例的范圍的情況下�����,可以使用具有不同配置或組件的其它虛擬化系統(tǒng)���。
[0023]在一個實施例中�,虛擬交換機配置文件(靜態(tài)配置文件)26被用來為服務器12分配屬性和策略�����,并且上下文感知(context-aware)端口配置文件(動態(tài)配置文件)28被用來基于與物理服務器相關聯(lián)的屬性將特征和策略映射到特定端口��。這允許附連到相同配置文件的虛擬機18基于虛擬機正在其上運行的服務器12而具有不同的主動策略。在一個實施例中����,配置文件26、28被存儲在虛擬監(jiān)督器模塊16處�。配置文件26、28還可以被存儲在管理站14或分布式交換機正在其上運行或與其通信的任何網(wǎng)絡設備處�����。本文中所使用的術語“配置文件”可以指的是用來定義可以應用于(虛擬的或物理的)接口的策略或特征的任何容器或?qū)ο蟆?br>
[0024]應當理解的是�����,圖1中所示出和本文所描述的網(wǎng)絡僅是示例��,并且在不背離實施例的范圍的情況下�����,本文中所描述的實施例可以被實現(xiàn)在具有不同網(wǎng)絡拓撲和網(wǎng)絡設備的網(wǎng)絡中�。
[0025]可以被用來實現(xiàn)本文中所描述的實施例的網(wǎng)絡設備(例如,服務器�����、器具)30的示例在圖2中被示出。在一個實施例中�����,網(wǎng)絡設備30是可以用硬件�����、軟件或其任何組合實現(xiàn)的可編程機器���。設備30包括一個或多個處理器32、存儲器34以及網(wǎng)絡接口 36����。存儲器34可以是易失性存儲裝置或非易失性儲存裝置,其存儲各種應用�����、模塊以及數(shù)據(jù)以由處理器32執(zhí)行和使用����。存儲器34例如可以包括配置文件38 (例如,虛擬交換機配置文件�、上下文感知端口配置文件)�����。
[0026]邏輯可以被編碼在一個或多個有形計算機可讀介質(zhì)中以由處理器32執(zhí)行���。例如,處理器32可以執(zhí)行在諸如存儲器34之類的計算機可讀介質(zhì)中存儲的代碼��。計算機可讀介質(zhì)例如可以是電子的(例如���,隨機存取存儲器(RAM)��、只讀存儲器(ROM)����、可擦可編程只讀存儲器(EPROM))��、磁的���、光的(例如,CD�����、DVD)、電磁的�����、半導體技術�����、或任何其它適合的介質(zhì)�。
[0027]網(wǎng)絡接口 36可以包括一個或多個接口(線卡�����、端口)以用于接收數(shù)據(jù)或者將數(shù)據(jù)發(fā)送到其它設備��。接口 36例如可以包括用于連接到計算機或網(wǎng)絡的以太網(wǎng)接口��。
[0028]應當理解的是��,在圖2中示出和上面描述的網(wǎng)絡設備僅是示例�����,并且在不背離實施例的范圍的情況下�����,可以使用具有不同組件和配置的網(wǎng)絡設備。
[0029]在一個實施例中��,提供了描述物理服務器和它們的屬性的構造(在本文中被稱為虛擬交換機配置文件或靜態(tài)配置文件)��。虛擬交換機配置文件與端口配置文件相關聯(lián)(在本文中被稱為上下文感知端口配置文件或動態(tài)配置文件)����。這允許附連到上下文感知端口配置文件的虛擬機基于虛擬機被托管在其上的服務器12而實際上具有不同的策略。
[0030]虛擬交換機配置文件(靜態(tài)配置文件)26是與虛擬交換機20正在其上操作的物理服務器12相關聯(lián)的屬性(策略��,特征�,規(guī)則,屬性)的靜態(tài)容器��。虛擬交換機配置文件26定義策略在其中被解釋的上下文��。虛擬交換機配置文件26例如包括諸如服務器集群��、CPU的數(shù)目��、存儲器��、主機名、域名����、管理IP地址或網(wǎng)絡服務設備IP地址之類的獲知的屬性,以及諸如位置(例如�,San Jose)、虛擬機的最大數(shù)目�����、ACL(訪問控制列表)等之類的分配的屬性或策略�。虛擬交換機配置文件26可以包含跨虛擬交換機20上的所有端口(接口)22應用的策略或基于獲知的屬性來定義配置文件的成員的規(guī)則(例如,具有標識特定位置的域名的所有虛擬機)����。一個或多個端口的端口配置文件或接口配置可以覆蓋(override)跨虛擬交換機20的所有端口應用的虛擬交換機配置文件策略��。手動映射或規(guī)則可以被用來定義虛擬交換機的繼承配置文件���。例如�����,成員可以包括其中管理IP在子網(wǎng)X中的所有虛擬交換機�、不在集群Y中的所有虛擬交換機、或其中名稱和特定域名相匹配的所有虛擬交換機�����。在站點內(nèi)的虛擬交換機還可以在不同的配置文件中���。
[0031]下面是一個虛擬交換機配置文件的示例:
[0032]NxlOOO(conf)#vem-profile SJC-VEM
[0033]NxlOOO(conf-vem-prof)#profile membership match domainsjc.cisc0.com
[0034]NxlOOO(conf-vem-prof)#location SJC
[0035]NxlOOO(conf-vem-prof)#vn-service ip addressl72.1.1.102
[0036]在上述示例中的虛擬交換機配置文件SJC-VEM的屬性包括域名(sjc.cisco,com)��、位置(San Jose(SJC))以及服務設備 IP 地址(172.1.1.102)�����。
[0037]虛擬交換機配置文件是策略可以在其中被解釋的上下文的一個示例����。靜態(tài)配置文件還可以包括其它上下文�,諸如虛擬機、用戶�����、網(wǎng)絡���、域或其它操作環(huán)境�����。在下面所描述的上下文感知配置文件可以基于一個或多個上下文(例如����,虛擬交換機配置文件、虛擬機配置文件��、虛擬交換機和虛擬機配置文件)而被解析�����。
[0038]上下文感知端口配置文件(動態(tài)配置文件)28是基于與上下文相關聯(lián)的屬性被解釋的動態(tài)策略容器對象��。上下文感知端口配置文件28基于所關聯(lián)的靜態(tài)配置文件26(例如���,虛擬交換機配置文件)來評估端口(虛擬接口����、物理接口)的有效配置�。動態(tài)配置文件可以代替(或附加到)正規(guī)(非上下文感知)端口配置文件被應用于接口�����。端口配置策略例如可以包括VLAN和PVLAN設定、ACL����、QoS (服務質(zhì)量)策略、端口安全�、速率限制或可以被應用于接口(例如,虛擬接口���、物理接口����、與虛擬接口相關聯(lián)的虛擬機��、與物理接口相關聯(lián)的物理設備)的任何其它配置參數(shù)�。
[0039]存在用來將上下文感知端口配置文件28鏈接(關聯(lián))到上下文(例如,虛擬交換機配置文件)26的各種方式�。下面描述了兩個示例。[0040]在第一示例中�����,針對每組虛擬交換機定義了上下文(例如����,以下示例中的context-foo��、context_bar)并且針對在端口配置文件定義內(nèi)的虛擬交換機定義了策略���。多個配置文件可以使用相同的上下文。
[0041 ]上下文感知端口配置文件:
[0042]NxlOOO(conf)#Port-profile type context context-foo
[0043]NxlOOO(conf-port-prof)switchport access vlanlOO
[0044]NxlOOO (conf-port-prof) vn-service ip address a.b.c.d
[0045]NxlOOO (, conf) #Port-prof ile type context context-bar
[0046]NxlOOO(conf-port-prof)switchport access vlan200
[0047]NxlOOO (conf-port-prof) vn-service ip address w.x.y.z
[0048]虛擬交換機配置文件:
[0049]NxlOOO (conf) #vem-prof ile SJC
[0050]NxlOOO(conf-vem-profile)#location SJC
[0051]NxlOOO(conf-vem-prof ile)#contextIcontext-foo
[0052]NxlOOO (conf) #vem-prof i Ie RTP
[0053]NxlOOO(conf-vem-profile)#location RTP
[0054]NxlOOO (conf-vem-prof ile)#contextIcontext-bar
[0055]上面的每個上下文感知端口配置文件組中的端口配置文件類型上下文是不能夠繼承其它配置文件且本身不是上下文感知的靜態(tài)容器�。
[0056]在將端口配置文件鏈接到虛擬交換機配置文件的第二示例中,上下文變量(例如����,以下示例中的contextl、context2)針對端口配置文件被定義并且被定義在每個虛擬交換機配置文件內(nèi)�����。策略然后被與上下文變量相關聯(lián)(例如�����,在以下示例中使vem-piOfileSJC 與 contextl 相關聯(lián)或者使 vem-profile RTP 與 context2 相關聯(lián))�����。
[0057]上下文感知端口配置文件:
[0058]NxlOOO(conf)#Port-profile type context context-foo
[0059]NxlOOO (conf-port-prof)switchport access vlanlOO
[0060]NxlOOO(conf-port-prof)profIe contextl
[0061]NxlOOO(conf-port-prof)associate vem-profile SJC
[0062]NxlOOO(conf-port-prof)inherit context-foo
[0063]NxlOOO (conf-vem-prof ile) #vn-service ip address a.b.c.d
[0064]NxlOOO(conf-port-prof)profile context2
[0065]NxlOOO(conf-port-prof)associate vem-profile RTP
[0066]NxlOOO(conf-port-prof)switchport access vlan200
[0067]NxlOOO (conf-vem-prof ile) #vn-service ip address w.x.y.z
[0068]NxlOOO(conf-port-prof)profile default
[0069]NxlOOO(conf-port-prof)inherit context-foo
[0070]虛擬交換機配置文件:
[0071]NxlOOO (conf) #vem-prof ile SJC
[0072]NxlOOO(conf-vem-profile)#location SJC[0073]NxlOOO(conf)#vem-profile RTP
[0074]NxlOOO(conf-vem-profile)#location RTP
[0075]NxlOOO(conf-vem-profile)#vn-scrvice ip address u.v.w.x
[0076]如果不存在匹配的虛擬交換機配置文件�,則“配置文件默認(profile default)”提供默認上下文�����。
[0077]應當理解的是,本文中所描述的用于虛擬交換機配置文件和上下文感知端口配置文件的格式和用來將虛擬交換機配置文件鏈接到上下文感知端口文件的方法僅是示例�,并且在不背離實施例的范圍的情況下,可以使用其它格式和方法����。
[0078]配置文件可以包含大量特征?����?梢詾榻o定虛擬網(wǎng)絡接口卡選擇一個以上的動態(tài)配置文件�,因為能夠存在一個以上的組,其中一個組包括第一組特征并且另一組包括第二組特征�����,同時這些組是正交且可加的����。
[0079]圖3是圖示了服務器管理器和網(wǎng)絡管理器與圖1的網(wǎng)絡中的組件的交互的框圖。在一個示例中�,網(wǎng)絡管理器使用虛擬交換機接口 15配置虛擬交換機20和用于虛擬交換機上的虛擬端口的連通性限制以在監(jiān)督器16處定義端口配置文件。網(wǎng)絡管理器可以定義虛擬機18連接到的配置文件并且基于虛擬機能夠位于其上的物理服務器12來定義特定策略���。例如�����,端口配置文件可以使用命令行接口(CLI)來定義���。
[0080]一旦端口配置文件在監(jiān)督器16處被定義了����,端口配置文件(或端口組)就可以被發(fā)送到管理站14���。端口配置文件將被導出到管理站14��,以便服務器管理器能夠選擇要使用哪一個策略來定義虛擬機接口的連通性限制�����。服務器管理器選擇要使用哪一個配置策略并且將端口配置文件(或端口組)附連到虛擬機接口(或物理接口)�。服務器管理器可以使用管理站14配置虛擬機18并且確定哪些虛擬端口連接到哪些虛擬機接口�。這一信息然后被傳遞給虛擬交換機(例如,監(jiān)督器16)以用于端口 22�����、24的配置。服務器管理器僅需要將虛擬機18連接到上下文感知端口配置文件一次����。虛擬機18從它被連接到的配置文件得到它的策略并且得到針對它被托管在其上的物理服務器12的策略��。不管虛擬機18移動到哪里�,服務器管理器不需要改變它被連接到的配置文件,并且網(wǎng)絡管理器不需要改變針對虛擬機具有的端口配置文件的配置�。
[0081]實施例減少了服務器管理器和網(wǎng)絡管理器交互,因為所需要的唯一交互是標識所托管的虛擬機的類型和關于物理服務器的細節(jié)�,比如,位置等�。網(wǎng)絡策略僅需要被配置一次。虛擬機18能夠在整個網(wǎng)絡內(nèi)移動并且能夠基于虛擬機正在其中運行的操作環(huán)境來得到期望的行為����。并且,能夠被用來做出決策的服務器屬性被披露��。
[0082]圖4是圖示了依照一個實施例的用于基于動態(tài)策略的接口配置的過程的概述的流程圖���。在步驟40處��,網(wǎng)絡設備(例如��,監(jiān)督器16)接收標識托管虛擬機18的物理網(wǎng)絡設備(例如����,服務器、主機)12的屬性(策略��、規(guī)則�、特征、屬性)的靜態(tài)配置文件(例如��,虛擬交換機配置文件)26���。虛擬交換機配置文件可以例如由網(wǎng)絡管理器來鍵入���。在步驟42處動態(tài)配置文件(上下文感知端口配置文件)28被接收。該動態(tài)配置文件基于與動態(tài)配置文件相關聯(lián)的靜態(tài)配置文件或其它屬性來標識(解釋)接口的配置��。例如���,服務器管理器可以最初經(jīng)由管理站14將接口連接到動態(tài)配置文件并且監(jiān)督器16可以從管理站14接收映射��。動態(tài)配置文件基于接口的操作環(huán)境(例如�,接口位于在其上的服務器)而被與靜態(tài)配置文件相關聯(lián)(步驟44)。動態(tài)配置文件與靜態(tài)配置文件之間的關聯(lián)允許接口配置基于虛擬機18當前位于在其上的物理網(wǎng)絡設備的屬性或其它上下文被解釋��。例如����,虛擬機18可以接收其來自它被連接到的配置文件的策略和針對它當前被托管在其上的物理服務器12的策略。
[0083]在操作環(huán)境中的改變(例如����,虛擬機的遷移�����、網(wǎng)絡拓撲中的改變)之后���,靜態(tài)配置文件26與動態(tài)配置文件28之間的關聯(lián)被更新(步驟46)��。接口例如基于虛擬機18被連接的虛擬交換機20的配置文件被配置�����。還可以在網(wǎng)絡拓撲改變(例如�,在物理鏈路的遠端處的硬件中的改變���、主鏈路的故障)之后針對物理接口來更新動態(tài)配置文件與靜態(tài)配置文件之間的關聯(lián)�。不管虛擬機18移動到哪里,服務器管理器都不需要改變它被連接到的配置文件并且網(wǎng)絡管理器不需要改變端口配置文件的配置���。
[0084]應當理解的是��,圖4中所示出的過程僅是一個示例��,并且在不背離實施例的范圍的情況下���,步驟可以被修改、重排序或者組合�。
[0085]虛擬機18可以跨相同的或不同的控制平面或虛擬交換機域例如從一個服務器12移動到在相同的網(wǎng)絡或不同的網(wǎng)絡中的另一服務器,或者移動到具有有限資源�、不同服務的新的服務器,或者接入到網(wǎng)絡段�����。以下示例圖示了在虛擬機的遷移之后上下文感知端口配置文件如何可以被用來使虛擬機18與新的策略相關聯(lián)����。
[0086]圖5圖示了虛擬機18從一個數(shù)據(jù)中心(數(shù)據(jù)中心A) 50中的第一服務器12到另一數(shù)據(jù)中心(數(shù)據(jù)中心B)中的第二服務器的遷移。兩個數(shù)據(jù)中心50跨可以跨越一個或多個網(wǎng)絡的數(shù)據(jù)中心互連通信�。每個數(shù)據(jù)中心50使用不同的虛擬安全網(wǎng)關(VSG A�、VSG B))52�。發(fā)送到虛擬機18或從虛擬機18發(fā)送來的流量,或者從虛擬機發(fā)送到虛擬機的流量被重定向至虛擬安全網(wǎng)關52����。該虛擬安全網(wǎng)關強制執(zhí)行策略以便為虛擬數(shù)據(jù)中心和云計算環(huán)境提供安全依從性和可信接入。當虛擬機18從數(shù)據(jù)中心A移動到數(shù)據(jù)中心B時�����,針對附連到該虛擬機的虛擬接口的上下文感知端口配置文件與針對位于數(shù)據(jù)中心B中的服務器12的虛擬交換機配置文件相關聯(lián)����,該數(shù)據(jù)中心B標識VSG B的服務IP地址����。這消除了通過數(shù)據(jù)中心互連使業(yè)務重定向的需要。
[0087]圖5中所示出的虛擬安全網(wǎng)關52僅是網(wǎng)絡服務設備的一個示例�,并且本文中所描述的實施例可以與其它服務設備一起使用來基于虛擬機的位置使虛擬機18與服務設備相關聯(lián)??梢曰谥T如位置之類的虛擬交換機屬性而變化的網(wǎng)絡服務的示例包括L2/L3定位符/ID分離協(xié)議(LISP)、動態(tài)主機配置協(xié)議(DHCP)中繼��、網(wǎng)絡流輸出(export)���、ACL日志源或目的地IP地址����。
[0088]圖6圖示了其中虛擬機18基于它們的位置得到不同層的服務的示例。在一個示例中��,數(shù)據(jù)中心60包括兩層(第I層�����、第2層)服務器集群��。托管在第I層集群中的服務器12上的虛擬機18接收與托管在第2層集群中的服務器上的虛擬機不同的服務等級��。兩個集群中的虛擬機18可以具有共同的網(wǎng)絡策略(例如���,ACL)��。在常規(guī)系統(tǒng)中����,網(wǎng)絡管理器為客戶的虛擬機創(chuàng)建一個配置文件�,并且然后當客戶服務等級改變時需要以新的服務等級來創(chuàng)建其它配置文件。并且�����,服務器管理器需要關于新的配置文件的信息以在移動到新的服務等級集群后將該虛擬機連接到新的服務等級集群。本文中所描述的實施例消除了當服務等級改變時創(chuàng)建新的配置文件的需要�。虛擬機18被簡單地移動到新的服務等級集群,并且上下文感知端口配置文件基于虛擬機所位于的新的服務器12自動地更新配置文件�����。例如���,如果第I層集群中的虛擬機被移動到第2層集群��,則該虛擬機不需要被映射到不同的配置文件����。在遷移之后�,虛擬機18可以得到例如不同的保證帶寬�。虛擬機18保持被連接到單個端口配置文件并且仍然能夠基于它們被托管在其上的服務器12(所連接到的虛擬交換機)得到不同層的服務。這減少了服務器管理器和網(wǎng)絡管理器交互�����。
[0089]策略改變還可能是因為認證或用戶�����。例如,可以存在靜態(tài)策略“思科-出向-端口 -配置文件(cisco—eng一port一prof ile) ”并且基于登錄的用戶����,某些參數(shù)可以針對該策略動態(tài)地隨著用戶從其登錄的位置而改變。
[0090]物理接口 24(圖1)還可以被與一個或多個上下文感知端口配置文件相關聯(lián)�。可以在網(wǎng)絡拓撲改變之后更新這些�。例如,上游硬件(例如�,物理交換機)中的改變或物理鏈路之一中的故障可以產(chǎn)生基于新的上下文的配置文件的改變。
[0091]盡管已經(jīng)依照所示出的實施例描述了方法和裝置�,但是本領域的普通技術人員將容易地認識到,在不背離實施例的范圍的情況下�,能夠做出變化。因此����,意圖是,包含在上述描述中和在附圖中示出的所有內(nèi)容應該被解釋為說明性的而不是限制性意義的�����。
【權利要求】
1.一種方法�����,包括: 在網(wǎng)絡設備處接收各自包括操作環(huán)境的一個或多個屬性的靜態(tài)配置文件; 在所述網(wǎng)絡設備處接收動態(tài)配置文件����,以基于與所述動態(tài)配置文件相關聯(lián)的所述靜態(tài)配置文件來標識接口的配置; 基于所述接口的所述操作環(huán)境使所述動態(tài)配置文件與所述靜態(tài)配置文件之一相關聯(lián)����;以及 在識別到所述操作環(huán)境中的改變時自動地更新所述關聯(lián)。
2.根據(jù)權利要求1所述的方法����,其中所述操作環(huán)境包括虛擬機主機。
3.根據(jù)權利要求2所述的方法��,其中識別所述操控環(huán)境中的改變包括:識別與所述接口相關聯(lián)的虛擬機從 所述虛擬機主機到另一虛擬機主機的移動���。
4.根據(jù)權利要求2所述的方法�����,其中所述靜態(tài)配置文件屬性包括所述虛擬機主機的位置。
5.根據(jù)權利要求2所述的方法���,其中所述靜態(tài)配置文件屬性包括分配給所述虛擬機主機的策略�。
6.根據(jù)權利要求2所述的方法,其中所述靜態(tài)配置文件被與在所述虛擬機主機處操作的虛擬交換機相關聯(lián)�����。
7.根據(jù)權利要求2所述的方法��,其中多個動態(tài)配置文件被選擇并且應用于所述接口��、并且被合并以形成接口配置����。
8.根據(jù)權利要求1所述的方法,其中所述接口包括與虛擬機相關聯(lián)的虛擬接口����,并且其中所述操作環(huán)境包括所述虛擬機位于其上的服務器。
9.根據(jù)權利要求1所述的方法���,其中所述接口包括物理接口并且其中所述操作環(huán)境包括網(wǎng)絡拓撲�����。
10.根據(jù)權利要求1所述的方法�����,其中所述靜態(tài)配置文件屬性包括網(wǎng)絡服務設備的地址�。
11.根據(jù)權利要求1所述的方法,其中所述操作環(huán)境包括與服務等級相關聯(lián)的服務器集群�。
12.被編碼在一個或多個有形計算機可讀介質(zhì)上用于執(zhí)行的邏輯,并且當所述邏輯被執(zhí)行時能操作來: 存儲各自包括操作環(huán)境的一個或多個屬性的靜態(tài)配置文件��; 存儲動態(tài)配置文件���,以基于與所述動態(tài)配置文件相關聯(lián)的所述靜態(tài)配置文件來標識接口的配置���; 基于所述接口的所述操作環(huán)境使所述動態(tài)配置文件與所述靜態(tài)配置文件之一相關聯(lián);以及 在識別到所述操作環(huán)境中的改變時自動地更新所述關聯(lián)����。
13.根據(jù)權利要求12所述的邏輯,其中所述操作環(huán)境包括虛擬機主機���。
14.根據(jù)權利要求13所述的邏輯�����,其中識別所述操作環(huán)境中的改變包括:識別與所述接口相關聯(lián)的虛擬機從所述虛擬機主機到另一虛擬機主機的移動���。
15.根據(jù)權利要求13所述的邏輯,其中所述靜態(tài)配置文件屬性包括所述虛擬機主機的位置�。
16.根據(jù)權利要求13所述的邏輯,其中所述靜態(tài)配置文件屬性包括分配給所述虛擬機主機的策略���。
17.根據(jù)權利要求12所述的邏輯����,其中所述接口包括物理接口并且其中所述操作環(huán)境包括網(wǎng)絡拓撲����。
18.根據(jù)權利要求12所述的邏輯,其中所述靜態(tài)配置文件屬性包括網(wǎng)絡服務設備的地址����。
19.根據(jù)權利要求12所述的邏輯,其中所述操作環(huán)境包括與服務等級相關聯(lián)的服務器集群���。
20.一種裝置���,其包括: 存儲器,用于存儲各自包括操作環(huán)境的一個或多個屬性的靜態(tài)配置文件和用于基于與動態(tài)配置文件相關聯(lián)的所述靜態(tài)配置文件來標識接口的配置的所述動態(tài)配置文件;以及處理器�����,用于基于所述接口的所述操作環(huán)境使所述動態(tài)配置文件與所述靜態(tài)配置文件之一相關聯(lián)�,并且在識別 出所述操作環(huán)境中的改變時自動地更新所述關聯(lián)。
【文檔編號】H04L12/24GK103930873SQ201280054401
【公開日】2014年7月16日 申請日期:2012年11月1日 優(yōu)先權日:2011年11月10日
【發(fā)明者】阿奴瑞格·米塔爾, 樸拉薩德·米里婭勒, 馬克·巴克 申請人:思科技術公司