向虛擬云基礎(chǔ)結(jié)構(gòu)提供虛擬安全裝置架構(gòu)的制作方法
【技術(shù)領(lǐng)域】
[0001] 本公開總體關(guān)于虛擬化技術(shù),更具體地說�,本公開關(guān)于向虛擬云基礎(chǔ)結(jié)構(gòu)提供虛 擬安全裝置架構(gòu)。
【背景技術(shù)】
[0002] 虛擬化技術(shù)的演變已與向云計算的發(fā)展相一致�,并且從某種程度上說,已與向云 計算的發(fā)展合并���。一般而言����,虛擬化使得計算平臺的硬件特性變得模糊�����,并且轉(zhuǎn)而呈現(xiàn)了可 主管其他平臺(包括完整的操作系統(tǒng))的抽象平臺�����。一種流行的虛擬化技術(shù)是部署管理程 序(也被稱為虛擬機管理器)��,該管理程序可允許訪客軟件(包括完整的操作系統(tǒng))在抽象 的主機平臺上并發(fā)地運行。該管理程序可向其訪客軟件提供模擬的計算環(huán)境(通常被稱為 "虛擬機")���。因此���,多個不同的操作系統(tǒng)可在例如單個物理機器上的管理程序下運行。
[0003] 云計算通常使用作為諸如因特網(wǎng)之類的網(wǎng)絡(luò)上的服務(wù)被遞送的計算資源��。在云計 算中�����,各種遠程計算機�����、服務(wù)器和數(shù)據(jù)存儲系統(tǒng)可通過存儲數(shù)據(jù)和主管應(yīng)用來提供服務(wù)����。最 終用戶計算機可經(jīng)由web瀏覽器或提供對主機的網(wǎng)絡(luò)訪問的其他應(yīng)用,訪問云基礎(chǔ)結(jié)構(gòu)中 的多個應(yīng)用���。通常���,在云基礎(chǔ)結(jié)構(gòu)中提供計算�、存儲和網(wǎng)絡(luò)資源���,從而有效地將工作負荷從 本地網(wǎng)絡(luò)轉(zhuǎn)移到云網(wǎng)絡(luò)���。
[0004] 應(yīng)用于云基礎(chǔ)結(jié)構(gòu)的虛擬化可提供多個益處。具體而言����,虛擬化的云基礎(chǔ)結(jié)構(gòu)能 夠使該基礎(chǔ)結(jié)構(gòu)中物理機器的輸出最大化��;能夠使消費者僅購買其使用或想要的資源����;并 且能夠提供響應(yīng)消費者網(wǎng)絡(luò)資源要求中的改變的靈活性和速度。然而�,隨著虛擬化云基礎(chǔ) 結(jié)構(gòu)的使用繼續(xù)增長,虛擬機可能變成更受惡意攻擊青睞的目標(biāo)�。雖然云虛擬化提供了許 多優(yōu)勢,但是����,由于虛擬化基礎(chǔ)結(jié)構(gòu)的性質(zhì)是要啟用對新資源的快速配置,因此其也呈現(xiàn)出 獨有的安全挑戰(zhàn)��。因此,針對提供安全的虛擬化云基礎(chǔ)結(jié)構(gòu)��,仍存在著許多挑戰(zhàn)�。
【附圖說明】
[0005] 為了提供對本公開及本公開的特征和優(yōu)勢的更完整的理解,結(jié)合所附附圖引用下 列描述���,其中����,相同的附圖標(biāo)記表示相同的部件�����,其中:
[0006] 圖1是根據(jù)本公開的實施例的���、用于在虛擬云基礎(chǔ)結(jié)構(gòu)中提供虛擬安全裝置架構(gòu) 的系統(tǒng)的框圖��;
[0007] 圖2是根據(jù)實施例的虛擬化計算系統(tǒng)的框圖�;
[0008] 圖3是示出根據(jù)實施例的��、具有系統(tǒng)的附加細節(jié)的示例虛擬化計算系統(tǒng)的框圖��;
[0009] 圖4是示出根據(jù)實施例的��、虛擬化計算系統(tǒng)中的系統(tǒng)的高層級實現(xiàn)場景的框圖;
[0010] 圖5是示出根據(jù)該系統(tǒng)的實施例的��、使用介質(zhì)訪問控制(MC)地址的源路由技術(shù) 的框圖�����;
[0011] 圖6是示出在該系統(tǒng)的實施例中的�����、使用硬連線端口的源路由技術(shù)的框圖�����;
[0012] 圖7是示出根據(jù)該系統(tǒng)的實施例的���、用于路由源虛擬機的流的方法的簡化流程 圖;
[0013] 圖8是示出根據(jù)使用開放流(OpenFlow)交換機的系統(tǒng)的實施例的攔截機制的框 圖�;
[0014] 圖9是示出根據(jù)使用開放流交換機的系統(tǒng)的實施例的攔截機制的過程的簡化流 程圖;
[0015] 圖10是示出根據(jù)該系統(tǒng)的實施例的�����、硬連線的攔截機制的示例場景的框圖���;
[0016] 圖11是示出根據(jù)該系統(tǒng)的另一實施例的����、硬連線的攔截機制的示例場景的框圖;
[0017] 圖12是示出根據(jù)該系統(tǒng)的實施例的��、硬件攔截機制的過程的簡化流程圖�����;
[0018] 圖13是示出根據(jù)該系統(tǒng)的實施例的���、另一攔截機制的示例場景的框圖�����;
[0019] 圖14是示出該系統(tǒng)的實施例的附加的潛在操作的簡化的交互圖�;
[0020] 圖15是示出根據(jù)該系統(tǒng)的實施例的策略管理器的過程的簡化流程圖�����;
[0021] 圖16是示出根據(jù)該系統(tǒng)的實施例的分配管理器的過程的簡化流程圖��;
[0022] 圖17A-17C是示出在虛擬云基礎(chǔ)結(jié)構(gòu)中提供虛擬安全裝置架構(gòu)的系統(tǒng)的實施例 的過程的示例操作的框圖�;以及
[0023] 圖18是示出根據(jù)該系統(tǒng)的實施例的分配管理器的過程的簡化流程圖�����;
[0024] 示例實施例的詳細描沐
[0025] 概述
[0026] 示例實施例中的方法包括:檢測虛擬網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)的虛擬服務(wù)器中的虛擬機的改 變��;確定是否在該虛擬服務(wù)器中配置了虛擬安全裝置��;以及發(fā)送在該虛擬服務(wù)器中創(chuàng)建該 虛擬安全裝置的請求��。該方法進一步包括:當(dāng)在該虛擬機中創(chuàng)建該虛擬安全裝置時���,允許該 虛擬機啟動。該虛擬安全裝置對從該虛擬機發(fā)送來的網(wǎng)絡(luò)分組執(zhí)行安全檢查���。在更具體的 實施例中,該方法進一步包括:在該虛擬服務(wù)器中創(chuàng)建攔截機制以攔截來自該虛擬機的網(wǎng) 絡(luò)分組�。在進一步的實施例中,一個或多個安全策略標(biāo)識用于處理來自該虛擬機的網(wǎng)絡(luò)分 組的一個或多個虛擬安全裝置�。
[0027] 在另一示例實施例中的方法包括:輪詢虛擬網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)的虛擬服務(wù)器中的虛擬 安全裝置以確定該虛擬安全裝置的利用率;如果該利用率高于上閾值量���,則向云管理器發(fā) 送增加該用于該虛擬安全裝置的計算資源的請求��;以及當(dāng)該利用率低于下閾值量時����,向該 云管理器發(fā)送減少用于該虛擬安全裝置的計算資源的請求。在該方法中���,將與該虛擬服務(wù) 器中的一個或多個虛擬機相關(guān)聯(lián)的多個網(wǎng)絡(luò)分組路由到該虛擬安全裝置中��。在更具體的實 施例中�,在將網(wǎng)絡(luò)分組路由到該虛擬安全裝置中之前�,攔截該網(wǎng)絡(luò)分組。
[0028] 示例實施例
[0029] 圖1是根據(jù)本公開的實施例的����、用于在虛擬云基礎(chǔ)結(jié)構(gòu)中提供虛擬安全裝置架構(gòu) 的通信系統(tǒng)100的示例圖示。通信系統(tǒng)100可表示虛擬云基礎(chǔ)結(jié)構(gòu)����,其包括硬件層110、 虛擬化層(一般通過虛擬機管理器(VMM) 120來表示)����、一組核資源135、虛擬化桌面基礎(chǔ) 結(jié)構(gòu)(VDI) 130和云管理器150����。硬件層110可包括服務(wù)器112����、其他網(wǎng)絡(luò)設(shè)備116和存儲 114�。核資源135可包括用于啟用并管理對包括例如內(nèi)部網(wǎng)絡(luò)、無線網(wǎng)絡(luò)���、因特網(wǎng)等的各種 網(wǎng)絡(luò)的訪問的網(wǎng)絡(luò)協(xié)議�。在一個示例實現(xiàn)方案中���,核資源135可包括:動態(tài)主機配置協(xié)議 (DHCP)聯(lián)網(wǎng)協(xié)議服務(wù)器136 ;域名服務(wù)(DNS) 137 ;以及認證�����、授權(quán)�����、計費(AAA)聯(lián)網(wǎng)協(xié)議服 務(wù)器138?��?商峁┨摂M安全系統(tǒng)160以實現(xiàn)對通信系統(tǒng)100中虛擬安全裝置架構(gòu)的供應(yīng)和 管理��。虛擬安全系統(tǒng)可包括策略層170��、安全管理器175��、分配層180和攔截層190�����。
[0030] 通常���,可在任何合適類型的網(wǎng)絡(luò)或任何合適拓撲結(jié)構(gòu)的網(wǎng)絡(luò)(例如��,內(nèi)聯(lián)網(wǎng)����、外聯(lián) 網(wǎng)�、1^、14隊11^���、麻隊¥1^����、¥?隊蜂窩網(wǎng)絡(luò)等)中或在其合適的組合中(包括有線和/或 無線通信)實現(xiàn)通信系統(tǒng)100���。圖1中的多個元件可通過簡單的接口或通過提供用于網(wǎng)絡(luò) 通信的可行的路徑的任何其他合適的連接(有線的或無線的)彼此耦合�����。此外�����,可基于特 定的配置需求組合這些元件中的任意一個或多個�����,或?qū)⑦@些元件中的任意一個或多個從該 架構(gòu)中去除�。
[0031] 網(wǎng)絡(luò)話務(wù)是網(wǎng)絡(luò)通信的形式,并且其包括分組(packet)����、幀、信號�、數(shù)據(jù)等,可根據(jù) 任何合適的通信消息收發(fā)協(xié)議對其進行發(fā)送和接收���。合適的通信消息收發(fā)協(xié)議可包括多層 的方案�����,例如�,開放系統(tǒng)互聯(lián)(OSI)模型及其任意的衍生或變型(如����,TCP/IP)。此外�����,消息��、 請求���、響應(yīng)和查詢是網(wǎng)絡(luò)話務(wù)的多種形式�����,因此可包括分組��、幀���、信號和數(shù)據(jù)等。在諸如TCP/ IP之類的某些通信協(xié)議中����,可將單個消息�����、請求���、響應(yīng)或查詢分解成定義"分組流"的多個 分組。本文中也可將分組流(packet stream)稱為"流"(flow)�,該流可包括非字節(jié)流交換 (例如,IP上語音(VOIP)或域名服務(wù)消息)�。此外,也可通過多個特性來標(biāo)識流����,這些特性 包括但不限于,5元組(即��,源IP地址�、目的地IP地址、源端口�、目的地端口和IP協(xié)議)、裝 置的物理端口����、虛擬端口���、VXLAN、和/或VLAN��。如本文中所使用����,術(shù)語"數(shù)據(jù)"是指任何類型 的二進制��、數(shù)值����、語音、視頻����、文本、或腳本數(shù)據(jù)��,或者任何類型的源或目標(biāo)代碼��,或者可從電 子設(shè)備和/或網(wǎng)絡(luò)中的一點傳遞到另一點的����、任何合適的格式的任何其他合適的信息�。
[0032] 出于對通信系統(tǒng)100的某些示例技術(shù)進行說明的目的����,理解可橫跨該虛擬云基礎(chǔ) 結(jié)構(gòu)的通信是重要的?�?蓪⑾铝谢A(chǔ)信息視為可恰當(dāng)?shù)亟忉尡竟_的基礎(chǔ)����。
[0033] 具有專用的本地硬件資源的網(wǎng)絡(luò)正快速地由基于云的虛擬基礎(chǔ)結(jié)構(gòu)取代。諸如企 業(yè)�、學(xué)校、政府機構(gòu)之類的組織機構(gòu)正開始認可將信息技術(shù)卸載到基于云的虛擬基礎(chǔ)結(jié)構(gòu) 中的優(yōu)勢�。
[0034] 一種類型的云虛擬化包括為非虛擬化數(shù)據(jù)中心中的每個網(wǎng)絡(luò)分配虛擬網(wǎng)絡(luò)。也可 在虛擬網(wǎng)絡(luò)上使每個物理機器虛擬化��。一般而言�����,在該實現(xiàn)方案中��,該虛擬基礎(chǔ)結(jié)構(gòu)與物理 基礎(chǔ)結(jié)構(gòu)平行�。存在著在該配置中提供安全的一些能力,包括簡單地維持與在使用虛擬化 之前所使用的相同的安全����。
[0035] 另一虛擬化解決方案基于平坦的����、非結(jié)構(gòu)化網(wǎng)絡(luò)�����,在該網(wǎng)絡(luò)中�,將服務(wù)器及其內(nèi)部 網(wǎng)絡(luò)全部連接在單個的�、平坦的網(wǎng)絡(luò)中,而沒有諸如路由器或防火墻之類的網(wǎng)絡(luò)元件給予 該網(wǎng)絡(luò)與該網(wǎng)絡(luò)的目的有關(guān)的結(jié)構(gòu)�。平坦化的網(wǎng)絡(luò)允許基于特定實體的需求來分配網(wǎng)絡(luò)的 某些部分。例如�����,信息技術(shù)(IT)管理員可基于計算����、存儲和網(wǎng)絡(luò)要求來分配虛擬化的數(shù)據(jù) 中心的部分?��?商峁┕芾砜刂婆_以允許該IT管理員請求可在虛擬化基礎(chǔ)結(jié)構(gòu)中的任何地 方創(chuàng)建的所期望數(shù)目的網(wǎng)絡(luò)����、所期望數(shù)量的處理能力和所期望數(shù)量的數(shù)據(jù)存儲。由此���,可在 該虛擬基礎(chǔ)結(jié)構(gòu)中的任何地方創(chuàng)建多個虛擬機���,而這對于實體(或用戶)而言是透明的。 此外���,可基于管理該基礎(chǔ)結(jié)構(gòu)時的特定需求��,在該基礎(chǔ)結(jié)構(gòu)之內(nèi)移動虛擬機���、網(wǎng)絡(luò)和數(shù)據(jù)存 儲。此類改變對于實體而言也可以是透明的��。該實體可訪問其經(jīng)分配的計算����、網(wǎng)絡(luò)和數(shù)據(jù) 存儲資源,而實際上不需要了解其資源的物理位置���。
[0036] 在結(jié)構(gòu)化網(wǎng)絡(luò)中�����,網(wǎng)絡(luò)管理員通常估計或測量網(wǎng)絡(luò)使用�,并決定要在哪里分配安 全裝備以及要分配什么類型的安全裝備。這通常導(dǎo)致安全裝置的相對靜態(tài)而昂貴的部署�, 因為需要過分配(over-allocate)這些裝置以滿足隨著時間的推移的網(wǎng)絡(luò)話務(wù)的突發(fā)性 或增長。在平坦化的虛擬云網(wǎng)絡(luò)之內(nèi)透明地添加和移動資源的能力可在部署所期望的網(wǎng)絡(luò) 資源時提供顯著的靈活性�。然而,在網(wǎng)絡(luò)拓撲結(jié)構(gòu)中的戰(zhàn)略點處定位安全設(shè)備的通常的實 施方式與部署向管理軟件提供優(yōu)越的靈活性的��、平坦的�、非結(jié)構(gòu)化的網(wǎng)絡(luò)相沖突��。所需要的 是取決于載荷來使用系統(tǒng)資源����,并且隨著安全需求改變而提供靈活性和可伸縮性的安全解 決方案。
[0037] 根據(jù)一個示例實施例����,通信系統(tǒng)100可解決與在虛擬云基礎(chǔ)結(jié)構(gòu)中提供安全相關(guān) 聯(lián)的前述問題。更具體地說����,通信系統(tǒng)100的虛擬安全系統(tǒng)160包括在前端�、網(wǎng)絡(luò)流層級上 的�����、將網(wǎng)絡(luò)話務(wù)的分組路由到后端安全過程中的分配層�。該分配層可執(zhí)行確定對于特定的 數(shù)據(jù)需要哪些后端安全過程的策略功能。然后�����,該分配層可執(zhí)行路由活動�����,從而按正確的順 序?qū)⒎纸M發(fā)送至正確的安全過程中�����。該后端安全過程可對網(wǎng)絡(luò)話務(wù)執(zhí)行計算密集型安全功 能�。該分配層可接收分組,這些分組可以是來自源虛擬機而被攔截的���,可使用若干不同的攔 截技術(shù)來實現(xiàn)該攔截��。通過使用網(wǎng)絡(luò)接口卡技術(shù)(如���,SR-IOV)和硬件交換能力的配置或 通過整合進開放流交換機架構(gòu)��,可將虛擬安全系統(tǒng)160的攔截層配置成用于攔截往返于虛 擬交換機的分組��。虛擬交換機422-2也可提供基于API的攔截機制�����。
[0038] 使用分配管理器���,可在VMM中創(chuàng)建用于以虛擬安全裝置(VSA)的形式實現(xiàn)安全控 制的彈性(或靈活的)系統(tǒng)?��?墒謩拥貙⒃拕?wù)路由至分配管理器����,并且進而路由至VSA��。在 另一實施例中���,攔截機制允許由分配管理器攔截話務(wù),并且不利用手動路由操作而將話務(wù) 路由至VSA?��?蓪⒃撓到y(tǒng)配置成用于監(jiān)測這些VSA�,并且請求改變以增加或減少這些VSA對 VMM資源(CPU��、存儲器�、存儲)的使用以及/并且增加或減少該VMM中VSA的數(shù)量。所請求 的改變可基于引入的載荷����、所配置的載荷限制和/或該VMM中現(xiàn)有的虛擬機的安全策略。策 略層可改善用于隨著虛擬基礎(chǔ)結(jié)構(gòu)改變而配置所期望的安全控制的彈性(或靈活的)機制 的響應(yīng)性�����。該策略層可檢測對該虛擬基礎(chǔ)結(jié)構(gòu)中的虛擬機的改變或針對現(xiàn)有的虛擬機的新 的或更新的安全策略�,并且可與分配層通信以設(shè)置和配置可由策略要求的任何攔截機制和 附加的后端安全過程。由此�����,可根據(jù)需要�,以虛擬安全裝置的形式對后端安全過程進行分配 和解除分配。此外��,處理功率中的增量可以是小的,使得虛擬安全系統(tǒng)160不需要過分配諸 如VSA之類的安全處理資源���。相應(yīng)地����,伴隨對所呈現(xiàn)的載荷更多和更少的使用�,該彈性(或 靈活的)安全系統(tǒng)可分別擴大和收縮。
[0039] 轉(zhuǎn)到圖1中的基礎(chǔ)結(jié)構(gòu)����,圖1示出通信系統(tǒng)100,其中提供了虛擬安全系統(tǒng)160的 分層的視圖。通信系統(tǒng)100表示虛擬云基礎(chǔ)結(jié)構(gòu)����,該虛擬云基礎(chǔ)結(jié)構(gòu)分別向一個或多個實 體提供所分配的資源和網(wǎng)絡(luò)??捎捎脩敉ㄟ^諸如因特網(wǎng)、另一廣域網(wǎng)(WAN)�����、虛擬私有網(wǎng)絡(luò) (VPN)等之類的合適的公共或私有網(wǎng)絡(luò)來訪問所分配的資源和網(wǎng)絡(luò)���。
[0040] 可用虛擬云基礎(chǔ)結(jié)構(gòu)來配置通信系統(tǒng)100,在該虛擬云基礎(chǔ)結(jié)構(gòu)中���,將VMM 120的 層表示在物理網(wǎng)絡(luò)設(shè)備116上的、統(tǒng)一的單個層上��,使得該網(wǎng)絡(luò)的結(jié)構(gòu)平坦化��。VMM 120表 示在硬件層110之上運行����,并且管理和監(jiān)測通信系統(tǒng)100中的虛擬機的VMM或管理程序。平 坦化的VMM 120允許在通信系統(tǒng)100中容易地創(chuàng)建虛擬機����,并且允許在硬件層110的不同 的底層硬件組件之間容易地移動虛擬機。
[0041] 虛擬安全系統(tǒng)160允許用戶以彈性虛擬安全裝置(VSA)架構(gòu)的形式分配安全��?��??根據(jù)需要分配和解除分配VSA�,從而將策略定義的安全控制應(yīng)用于虛擬機的網(wǎng)絡(luò)話務(wù)中��。策 略層170表示通信系統(tǒng)100中所提供的��,用于存儲針對通信系統(tǒng)100中的虛擬機的用戶定 義的��、系統(tǒng)定義的或默認的安全策略的一個或多個策略管理器?��?山?jīng)由云管理器150創(chuàng)建 或移動虛擬機��?����?蓪⒃乒芾砥?50配置成用于允許用戶請求通信系統(tǒng)100的虛擬云基礎(chǔ)結(jié) 構(gòu)中所期望的特定的計算��、硬件和網(wǎng)絡(luò)資源�?�?蓪⒉呗詫?70的一個或多個策略管理器配 置成用于與云管理器150通信��。安全管理器175可使用戶能夠在經(jīng)由云管理器150添加或 移動虛擬機時��,提供針對這些虛擬機的策略����;當(dāng)安全需求改變時,提供針對現(xiàn)有的虛擬機的 策略����;或者提供針對可能需要應(yīng)用默認的策略的、還未知的虛擬機的策略����。在一些實例中, 可整合安全管理器175和云管理器150��??蓪⑦@些管理器作為全系統(tǒng)范圍的管理服務(wù)提供 給通信系統(tǒng)100中所配置的一個或多個網(wǎng)絡(luò)。也可在專用硬件(如�,專用服務(wù)器和存儲) 上實現(xiàn)這些管理器,并且這些管理器可利用或不利用虛擬化來運行��。在實施例中����,一個或多 個網(wǎng)絡(luò)可與特定的實體(例如,企業(yè)����、公司、學(xué)校�����、政府機構(gòu)或其他組織)相關(guān)聯(lián)���。
[0042] 策略層170也可與分配層180交互���。分配層180可包括在每個虛擬化服務(wù)器上的�、 用于設(shè)置并配置攔截層190的攔截機制的分配管理器��。在攔截層190中����,攔截來自虛擬機 的網(wǎng)絡(luò)話務(wù),并將其提供給分配層180�����。分配層180將網(wǎng)絡(luò)話務(wù)路由至合適的安全控制��,這 些安全控制可以是虛擬安全裝置形式的�。也可將分配層180配置成用于與云管理器150交 互,從而在需要時分配并配置虛擬安全裝置����。例如,可在添加或移動虛擬機時���,在針對虛擬 機的安全策略改變時��,以及在基于其他事件(例如��,當(dāng)新類型的虛擬機加入網(wǎng)絡(luò)時)添加或 更新策略時創(chuàng)建虛擬安全裝置�。
[0043] 通信系統(tǒng)100也可包括核資源135,該核資源135提供用于啟用網(wǎng)絡(luò)通信的各種聯(lián) 網(wǎng)協(xié)議��。在實施例中�����,核資源135可包括AAA服務(wù)器138,該AAA服務(wù)器138向計算機提供 認證����、授權(quán)和計費管理以供其連接并使用網(wǎng)絡(luò)服務(wù)。用于AAA服務(wù)器的一個示例聯(lián)網(wǎng)協(xié)議 是遠程認證撥號用戶服務(wù)(RADIUS)聯(lián)網(wǎng)協(xié)議��。核資源135也可包括DHCP服務(wù)器136,該 DHCP服務(wù)器136將包括用戶端點的網(wǎng)絡(luò)元件配置成用于啟用在網(wǎng)際協(xié)議(IP)網(wǎng)絡(luò)上的通 信���。DNS服務(wù)器137可提供目錄服務(wù)以提供對應(yīng)于人類可讀標(biāo)識符(如��,統(tǒng)一的資源定位 符)的內(nèi)部系統(tǒng)地址�����?�?稍谔摂M機中或在通信系統(tǒng)100的專用硬件上提供各種核資源�����。
[0044] 虛擬化的桌面基礎(chǔ)結(jié)構(gòu)(VDI) 130可在例如通信系統(tǒng)100的虛擬云基礎(chǔ)結(jié)構(gòu)中的 遠程服務(wù)器上啟用桌面虛擬化���。在一個示例中����,可針對每一個物理桌面創(chuàng)建單獨的虛擬機�����。 也可針對給定的實體��,在虛擬云基礎(chǔ)結(jié)構(gòu)中分配并創(chuàng)建其他虛擬機��?���?稍谔摂M機中虛擬化 通常經(jīng)由網(wǎng)絡(luò)所提供的多項服務(wù),并且由VMM 120管理這些服務(wù)�����。可在通信系統(tǒng)100的虛 擬機中實現(xiàn)的服務(wù)的示例包括消息收發(fā)服務(wù)和業(yè)務(wù)專用服務(wù)(例如�,工程應(yīng)用、計費應(yīng)用��、 生產(chǎn)應(yīng)用�����、法律應(yīng)用等)���。
[0045] 在一個示例實現(xiàn)方案中,硬件層110的多個元件是網(wǎng)絡(luò)元件��,其旨在涵蓋網(wǎng)絡(luò)裝 置���、防火墻�、服務(wù)器��、路由器��、交換機����、網(wǎng)關(guān)��、橋接器�、負載平衡器�、處理器、模塊或可用于在網(wǎng) 絡(luò)環(huán)境中交換信息的任何其他合適的設(shè)備����、組件、元件或?qū)ο?��。網(wǎng)絡(luò)元件可包括促進其自身 的操作的任何合適的硬件�、軟件���、組件����、模塊或?qū)ο?�,以及用于在網(wǎng)絡(luò)環(huán)境中接收����、發(fā)送和/ 或以其他方式傳遞數(shù)據(jù)或信息的合適的接口��。這可包括允許有效地交換數(shù)據(jù)或信息的合適 的算法和通信協(xié)議�����。
[0046] 在和與通信系統(tǒng)100相關(guān)聯(lián)的內(nèi)部結(jié)構(gòu)有關(guān)的方面����,硬件層110的多個元件可包 括用于存儲在本文所概述的操作中所使用的信息的存儲元件���。硬件層110的元件可將信息 保持在任何合適的存儲元件(例如�,隨機存儲存儲器(RAM)����、只讀存儲器(ROM)���、可擦可編程 ROM (EPROM)�����、電可擦可編程ROM (EEPROM)����、專用集成電路(ASIC)等)、軟件�、硬件,或者在合 適時基于特定需求的任何其他合適的組件�����、設(shè)備����、元件或?qū)ο笾小?yīng)當(dāng)將本文所討論的存儲 器項(如����,存儲114)中的任何一項理解為被涵蓋在廣義術(shù)語"存儲器元件"之內(nèi)?���?稍谌?何數(shù)據(jù)庫、寄存器����、隊列、表���、高速緩存�、控制列表或其他存儲結(jié)構(gòu)(可在任何合適的時間范 圍引用它們?nèi)浚┲刑峁┯赏ㄐ畔到y(tǒng)100使用、跟蹤����、發(fā)送或接收的、并且在虛擬安全系統(tǒng) 160中的信息��。如本文中所使用的那樣�����,可將任何此類存儲選項包括在廣義術(shù)語"存儲器元 件"之內(nèi)���。
[0047] 在某些示例實現(xiàn)方案中����,可由在一個或多個有形介質(zhì)(例如����,ASIC中所提供的嵌 入式邏輯�、數(shù)字信號處理器(DSP)指令、由處理器執(zhí)行的軟件(潛在地包括目標(biāo)代碼和源代 碼)或其他類似的機器等)中進行編碼的邏輯來實現(xiàn)本文中所概括的功能���,該有形介質(zhì)可 包括非瞬態(tài)介質(zhì)�。