機(jī)啟動,其中,所述 虛擬安全裝置對從所述虛擬機(jī)發(fā)送來的網(wǎng)絡(luò)分組執(zhí)行安全檢查。
[0190] 實(shí)施例的示例進(jìn)一步包括:在所述虛擬服務(wù)器中創(chuàng)建攔截機(jī)制以攔截來自所述虛 擬機(jī)的所述網(wǎng)絡(luò)分組。
[0191] 實(shí)施例的示例進(jìn)一步包括,所述創(chuàng)建所述攔截機(jī)制包括:將被連接至所述虛擬機(jī) 的虛擬交換機(jī)的邏輯重新配置為用于迫使來自所述虛擬機(jī)的所述網(wǎng)絡(luò)分組去往物理網(wǎng)絡(luò) 接口卡;以及將虛擬網(wǎng)絡(luò)接口卡(vNIC)的邏輯重新配置為用于防止所述網(wǎng)絡(luò)分組通過所 述 vNIC。
[0192] 實(shí)施例的示例進(jìn)一步包括,所述攔截機(jī)制包括,基于單根輸入/輸出虛擬化 (SR-IOV)規(guī)范對網(wǎng)絡(luò)分組進(jìn)行的硬件攔截。
[0193] 示例實(shí)施例的示例進(jìn)一步包括,所述改變包括將所述虛擬機(jī)從第二虛擬服務(wù)器移 動到所述虛擬服務(wù)器中,所述方法進(jìn)一步包括:從所述第二虛擬服務(wù)器中刪除第二虛擬安 全裝置;以及將所述第二虛擬服務(wù)器中的虛擬交換機(jī)的邏輯重新配置成用于經(jīng)由虛擬網(wǎng)絡(luò) 接口卡進(jìn)行通信,其中,當(dāng)所述虛擬機(jī)在所述第二虛擬服務(wù)器中運(yùn)行時,將所述第二虛擬安 全裝置配置成用于處理來自所述虛擬機(jī)的被攔截的網(wǎng)絡(luò)分組。
[0194] 實(shí)施例的示例進(jìn)一步包括:一個或多個安全策略標(biāo)識用于處理來自所述虛擬機(jī)的 所述網(wǎng)絡(luò)分組的一個或多個虛擬安全裝置。
[0195] 實(shí)施例的示例進(jìn)一步包括:所述一個或多個安全策略標(biāo)識所述一個或多個虛擬安 全裝置處理來自所述虛擬機(jī)的所述網(wǎng)絡(luò)分組的順序。
[0196] 實(shí)施例的示例進(jìn)一步包括:查詢所述虛擬服務(wù)器上的所述虛擬安全裝置以確定所 述虛擬安全裝置的利用率;以及接收對所述查詢的響應(yīng)。
[0197] 實(shí)施例的示例進(jìn)一步包括:當(dāng)所述響應(yīng)指示所述虛擬安全裝置需要更多的容量 時,發(fā)送在所述虛擬服務(wù)器中創(chuàng)建第二虛擬安全裝置的請求。
[0198] 實(shí)施例的示例進(jìn)一步包括:防止將所述網(wǎng)絡(luò)分組發(fā)送到所述虛擬安全裝置中;以 及當(dāng)所述響應(yīng)指示所述虛擬安全裝置未充分利用時,在所述虛擬安全裝置空閑的時候刪除 所述虛擬安全裝置。
[0199] 實(shí)施例的示例進(jìn)一步包括:當(dāng)所述響應(yīng)指示所述虛擬安全裝置過利用時,發(fā)送向 所述虛擬安全裝置分配更多處理資源和更多存儲器中的至少一者的請求。如本文中所使用 的,術(shù)語"至少一個"意思可以是列表中的一個或列表中的組合。例如,A、B和C中的至少 一個意思可以是A、B或C或者A、B、C的任意組合。
[0200] 實(shí)施例的示例進(jìn)一步包括:針對所述虛擬機(jī)檢測到的所述改變包括以下情況之 一:將所述虛擬機(jī)添加到所述虛擬服務(wù)器中;或者將所述虛擬機(jī)從另一虛擬服務(wù)器移動到 所述虛擬服務(wù)器中。
[0201] 實(shí)施例的示例進(jìn)一步包括:當(dāng)將所述虛擬機(jī)添加到所述虛擬服務(wù)器時,或者當(dāng)將 所述虛擬機(jī)移動到不同的服務(wù)器時,通過應(yīng)用編程接口(API)檢測所述改變。
[0202] 實(shí)施例的示例進(jìn)一步包括:針對所述虛擬機(jī)檢測到的所述改變包括以下情況之 一:請求針對所述虛擬機(jī)的新的安全策略;或者更新所述虛擬機(jī)的安全策略。
[0203] 實(shí)施例的示例進(jìn)一步包括:如果沒有在所述虛擬服務(wù)器中配置所述虛擬安全裝 置,則阻止所述虛擬機(jī)。
[0204] 實(shí)施例的示例進(jìn)一步包括:所述虛擬安全裝置對被發(fā)送到所述虛擬機(jī)的網(wǎng)絡(luò)分組 執(zhí)行安全檢查。
[0205] 實(shí)施例的示例進(jìn)一步包括:在允許在所述虛擬服務(wù)器中啟動所述虛擬機(jī)之后,由 所述虛擬服務(wù)器中的開放流交換機(jī)攔截來自所述虛擬機(jī)的分組流的第一流出網(wǎng)絡(luò)分組,所 述方法進(jìn)一步包括:基于安全策略,生成用于所述流出網(wǎng)絡(luò)分組的流路由,其中,所述開放 流交換機(jī)根據(jù)所述流路由來路由所述流出網(wǎng)絡(luò)分組。
[0206] 一個或多個實(shí)施例可提供設(shè)備,所述設(shè)備包括:策略管理器虛擬機(jī),在處理器上執(zhí) 行,將所述策略管理器虛擬機(jī)配置成用于:檢測虛擬網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)的虛擬服務(wù)器中的訪客 虛擬機(jī)的改變;確定是否在所述虛擬服務(wù)器中配置了虛擬安全裝置;以及當(dāng)在所述虛擬機(jī) 中創(chuàng)建了所述虛擬安全裝置時,允許所述虛擬機(jī)啟動,其中,所述虛擬安全裝置對從所述虛 擬機(jī)發(fā)送來的網(wǎng)絡(luò)分組執(zhí)行安全檢查。
[0207] 實(shí)施例的示例進(jìn)一步包括分配管理器虛擬機(jī),其在處理器上執(zhí)行,所述分配管理 器虛擬機(jī)配置成用于發(fā)送在所述虛擬服務(wù)器中創(chuàng)建所述虛擬安全裝置的請求。
[0208] 實(shí)施例的示例進(jìn)一步包括:所述分配管理器進(jìn)一步配置成用于在所述虛擬服務(wù)器 中創(chuàng)建攔截機(jī)制以攔截來自所述虛擬機(jī)的所述網(wǎng)絡(luò)分組。
[0209] 實(shí)施例的示例進(jìn)一步包括,其中所述創(chuàng)建所述攔截機(jī)制包括:將被連接至所述虛 擬機(jī)的虛擬交換機(jī)的邏輯重新配置為用于迫使來自所述虛擬機(jī)的所述網(wǎng)絡(luò)分組去往物理 網(wǎng)絡(luò)接口卡;以及將虛擬網(wǎng)絡(luò)接口卡(vNIC)的邏輯重新配置為用于防止所述網(wǎng)絡(luò)分組通 過所述vNIC。
[0210] 一個或多個實(shí)施例可提供至少一種機(jī)器可訪問存儲介質(zhì),具有存儲于其上的多條 指令,當(dāng)在機(jī)器上執(zhí)行所述多條指令時,所述多條指令使所述機(jī)器用于:檢測虛擬網(wǎng)絡(luò)基礎(chǔ) 結(jié)構(gòu)的虛擬服務(wù)器中的虛擬機(jī)的改變;確定是否在所述虛擬服務(wù)器中配置了虛擬安全裝 置;發(fā)送在所述虛擬服務(wù)器中創(chuàng)建所述虛擬安全裝置的請求;以及當(dāng)在所述虛擬機(jī)中創(chuàng)建 了所述虛擬安全裝置時,允許所述虛擬機(jī)啟動,其中,所述虛擬安全裝置對從所述虛擬機(jī)發(fā) 送來的網(wǎng)絡(luò)分組執(zhí)行安全檢查。
[0211] 實(shí)施例的示例進(jìn)一步包括,所述改變包括將所述虛擬機(jī)從第二虛擬服務(wù)器移動到 所述虛擬服務(wù)器中,所述方法進(jìn)一步包括:從所述第二虛擬服務(wù)器中刪除第二虛擬安全裝 置;以及將所述第二虛擬服務(wù)器中的虛擬交換機(jī)的邏輯重新配置成用于經(jīng)由虛擬網(wǎng)絡(luò)接口 卡進(jìn)行通信,其中,當(dāng)所述虛擬機(jī)在所述第二虛擬服務(wù)器中運(yùn)行時,將所述第二虛擬安全裝 置配置成用于處理來自所述虛擬機(jī)的被攔截的網(wǎng)絡(luò)分組。
[0212] 實(shí)施例的示例進(jìn)一步包括:一個或多個安全策略標(biāo)識用于處理來自所述虛擬機(jī)的 所述網(wǎng)絡(luò)分組的一個或多個虛擬安全裝置。
[0213] 一個或多個實(shí)施例可提供方法,所述方法包括:輪詢虛擬網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)的虛擬服 務(wù)器中的虛擬安全裝置以確定所述虛擬安全裝置的利用率;如果所述利用率在上閾值量 之上,則向云管理器發(fā)送增加用于所述虛擬安全裝置的計算資源的請求;以及如果所述利 用率在下閾值量之下,則向所述云管理器發(fā)送減少用于所述虛擬安全裝置的計算資源的請 求,其中,將與所述虛擬服務(wù)器中的一個或多個虛擬機(jī)相關(guān)聯(lián)的多個網(wǎng)絡(luò)分組路由到所述 虛擬安全裝置中。
[0214] 實(shí)施例的示例進(jìn)一步包括:在將所述多個網(wǎng)絡(luò)分組路由到所述虛擬安全裝置中之 前,攔截所述多個網(wǎng)絡(luò)分組。
[0215] 一個或多個實(shí)施例可提供方法,所述方法包括:輪詢虛擬網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)的虛擬服 務(wù)器中的虛擬安全裝置以確定所述虛擬安全裝置的利用率;如果所述利用率在上閾值量之 上,則向云管理器發(fā)送在所述虛擬服務(wù)器中創(chuàng)建另一虛擬安全裝置的請求;并且其中,將與 所述虛擬服務(wù)器中的一個或多個虛擬機(jī)相關(guān)聯(lián)的多個網(wǎng)絡(luò)分組路由到所述虛擬安全裝置 中。
[0216] 實(shí)施例的示例進(jìn)一步包括:在將所述多個網(wǎng)絡(luò)分組路由到所述虛擬安全裝置中之 前,攔截所述多個網(wǎng)絡(luò)分組。
[0217] 一個或多個實(shí)施例可提供方法,所述方法包括:輪詢虛擬網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)的虛擬服 務(wù)器中的虛擬安全裝置以確定所述虛擬安全裝置的利用率;如果確定沒有安全策略要求由 所述虛擬安全裝置處理所述虛擬服務(wù)器的虛擬機(jī),則防止將新的網(wǎng)絡(luò)分組路由到所述虛擬 安全裝置;以及當(dāng)所述虛擬安全裝置空閑的時候,向云管理器發(fā)送去除所述虛擬服務(wù)器中 的所述虛擬安全裝置的請求,其中,將與所述虛擬服務(wù)器中的一個或多個虛擬機(jī)相關(guān)聯(lián)的、 先前所發(fā)送的多個網(wǎng)絡(luò)分組路由到所述虛擬安全裝置。
[0218] 實(shí)施例的示例進(jìn)一步包括:在將所述先前所發(fā)送的多個網(wǎng)絡(luò)分組路由到所述虛擬 安全裝置中之前,攔截所述先前所發(fā)送的多個網(wǎng)絡(luò)分組。
【主權(quán)項(xiàng)】
1. 至少一種機(jī)器可訪問存儲介質(zhì),具有存儲于其上的多條指令,當(dāng)在機(jī)器上執(zhí)行所述 多條指令時,所述多條指令使所述機(jī)器用于: 檢測虛擬網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)的虛擬服務(wù)器中的虛擬機(jī)的改變; 確定是否在所述虛擬服務(wù)器中配置了虛擬安全裝置; 發(fā)送在所述虛擬服務(wù)器中創(chuàng)建所述虛擬安全裝置的請求;W及 當(dāng)在所述虛擬機(jī)中創(chuàng)建了所述虛擬安全裝置時,允許所述虛擬機(jī)啟動,其中,所述虛擬 安全裝置對從所述虛擬機(jī)發(fā)送來的網(wǎng)絡(luò)分組執(zhí)行安全檢查。
2. 如權(quán)利要求1所述的至少一種機(jī)器可訪問存儲介質(zhì),其特征在于,當(dāng)在所述機(jī)器上 執(zhí)行所述多條指令時,所述多條指令進(jìn)一步使所述機(jī)器用于: 在所述虛擬服務(wù)器中創(chuàng)建攔截機(jī)制W攔截來自所述虛擬機(jī)的所述網(wǎng)絡(luò)分組。
3. 如權(quán)利要求2所述的至少一種機(jī)器可訪問存儲介質(zhì),其特征在于,當(dāng)在所述機(jī)器上 執(zhí)行所述多條指令時,所述多條指令進(jìn)一步使所述機(jī)器用于: 將被連接至所述虛擬機(jī)的虛擬交換機(jī)的邏輯重新配置為用于迫使來自所述虛擬機(jī)的 所述網(wǎng)絡(luò)分組去往物理網(wǎng)絡(luò)接口卡;W及 將虛擬網(wǎng)絡(luò)接口卡(vNIC)的邏輯重新配置為用于防止所述網(wǎng)絡(luò)分組通過所述vNIC。
4. 如權(quán)利要求2所述的至少一種機(jī)器可訪問存儲介質(zhì),其特征在于,所述攔截機(jī)制包 括;基于單根輸入/輸出虛擬化(SR-IOV)規(guī)范對網(wǎng)絡(luò)分組進(jìn)行的硬件攔截。
5. 如權(quán)利要求1所述的至少一種機(jī)器可訪問存儲介質(zhì),其特征在于,所述改變包括將 所述虛擬機(jī)從第二虛擬服務(wù)器移動到所述虛擬服務(wù)器中,其中,當(dāng)在所述機(jī)器上執(zhí)行所述 多條指令時,所述指令進(jìn)一步使所述機(jī)器用于: 從所述第二虛擬服務(wù)器中刪除第二虛擬安全裝置;W及 將所述第二虛擬服務(wù)器中的虛擬交換機(jī)的邏輯重新配置成用于經(jīng)由虛擬網(wǎng)絡(luò)接口卡 進(jìn)行通信,其中,當(dāng)所述虛擬機(jī)在所述第二虛擬服務(wù)器中運(yùn)行時,將所述第二虛擬安全裝置 配置成用于處理來自所述虛擬機(jī)的被攔截的網(wǎng)絡(luò)分組。
6. 如權(quán)利要求1所述的至少一種機(jī)器可訪問存儲介質(zhì),其特征在于,一個或多個安全 策略標(biāo)識用于處理來自所述虛擬機(jī)的所述網(wǎng)絡(luò)分組的一個或多個虛擬安全裝置。
7. 如權(quán)利要求6所述的至少一種機(jī)器可訪問存儲介質(zhì),其特征在于,所述一個或多個 安全策略標(biāo)識所述一個或多個虛擬安全裝置處理來自所述虛擬機(jī)的所述網(wǎng)絡(luò)分組的順序。
8. 如權(quán)利要求1所述的至少一種機(jī)器可訪問存儲介質(zhì),其特征在于,當(dāng)在所述機(jī)器上 執(zhí)行所述多條指令時,所述多條指令進(jìn)一步使所述機(jī)器用于: 查詢所述虛擬服務(wù)器上的所述虛擬安全裝置W確定所述虛擬安全裝置的利用率;W及 接收對所述查詢的響應(yīng)。
9. 如權(quán)利要求8所述的至少一種機(jī)器可訪問存儲介質(zhì),其特征在于,當(dāng)在所述機(jī)器上 執(zhí)行所述多條指令時,所述多條指令進(jìn)一步使所述機(jī)器用于: 當(dāng)所述響應(yīng)指示所述虛擬安全裝置需要更多的容量時,發(fā)送在所述虛擬服務(wù)器中創(chuàng)建 第二虛擬安全裝置的請求。
10. 如權(quán)利要求8所述的至少一種機(jī)器可訪問存儲介質(zhì),其特征在于,當(dāng)在所述機(jī)器上 執(zhí)行所述多條指令時,所述多條指令進(jìn)一步使所述機(jī)器用于: 防止將所述網(wǎng)絡(luò)分組發(fā)送到所述虛擬安全裝置中;W及 當(dāng)所述響應(yīng)指示所述虛擬安全裝置未充分利用時,在所述虛擬安全裝置空閑的時候刪 除所述虛擬安全裝置。
11. 如權(quán)利要求8所述的至少一種機(jī)器可訪問存儲介質(zhì),其特征在于,當(dāng)在所述機(jī)器上 執(zhí)行所述多條指令時,所述多條指令進(jìn)一步使所述機(jī)器用于: 當(dāng)所述響應(yīng)指示所述虛擬安全裝置過利用時,發(fā)送向所述虛擬安全裝置分配更多處理 資源和更多存儲器中的至少一者的請求。
12. 如權(quán)利要求1-4、6-11中任意一項(xiàng)所述的至少一種機(jī)器可訪問存儲介質(zhì),其特征在 于,針對所述虛擬機(jī)檢測到的所述改變包括W下情況之一;將所述虛擬機(jī)添加到所述虛擬 服務(wù)器中;或者將所述虛擬機(jī)從另一虛擬服務(wù)器移動到所述虛擬服務(wù)器中。
13. 如權(quán)利要求1-4、6-11中任意一項(xiàng)所述的至少一種機(jī)器可訪問存儲介質(zhì),其特征在 于,當(dāng)將所述虛擬機(jī)添加到所述虛擬服務(wù)器時,或者當(dāng)將所述虛擬機(jī)移動到不同的服務(wù)器 時,通過應(yīng)用編程接口(API)檢測所述改變。
14. 如權(quán)利要求1、6和7-11中任意一項(xiàng)所述的至少一種機(jī)器可訪問存儲介質(zhì),其特征 在于,針對所述虛擬機(jī)檢測到的所述改變包括W下情況之一;請求針對所述虛擬機(jī)的新的 安全策略;或者更新所述虛擬機(jī)的安全策略。
15. 如權(quán)利要求1-11中任意一項(xiàng)所述的至少一種機(jī)器可訪問存儲介質(zhì),其特征在于, 當(dāng)在所述機(jī)器上執(zhí)行所述多條指令時,所述多條指令進(jìn)一步使所述機(jī)器用于: 如果沒有在所述虛擬服務(wù)器中配置所述虛擬安全裝置,則阻止所述虛擬機(jī)。
16. 如權(quán)利要求1-11中任意一項(xiàng)所述的至少一種機(jī)器可訪問存儲介質(zhì),其特征在于, 在允許在所述虛擬服務(wù)器中啟動所述虛擬機(jī)之后,由所述虛擬服務(wù)器中的開放流交換機(jī)攔 截來自所述虛擬機(jī)的分組流的第一流出網(wǎng)絡(luò)分組,其中,當(dāng)在所述機(jī)器上執(zhí)行所述多條指 令時,所述指令進(jìn)一步使所述機(jī)器用于: 基于安全策略,生成用于所述流出網(wǎng)絡(luò)分組的流路由,其中,所述開放流交換機(jī)根據(jù)所 述流路由來路由所述流出網(wǎng)絡(luò)分組。
17. -種設(shè)備,包括: 策略管理器虛擬機(jī),在處理器上執(zhí)行,將所述策略管理器虛擬機(jī)配置成用于: 檢測虛擬網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)的虛擬服務(wù)器中的訪客虛擬機(jī)的改變; 確定是否在所述虛擬服務(wù)器中配置了虛擬安全裝置;W及 當(dāng)在所述虛擬機(jī)中創(chuàng)建了所述虛擬安全裝置時,允許所述虛擬機(jī)啟動,其中,所述虛擬 安全裝置對從所述虛擬機(jī)發(fā)送來的網(wǎng)絡(luò)分組執(zhí)行安全檢查。
18. 如權(quán)利要求17所述的設(shè)備,其特征在于,進(jìn)一步包括: 分配管理器虛擬機(jī),在處理器上執(zhí)行,所述分配管理器虛擬機(jī)配置成用于發(fā)送在所述 虛擬服務(wù)器中創(chuàng)建所述虛擬安全裝置的請求。
19. 如權(quán)利要求17-18中任意一項(xiàng)所述的設(shè)備,其特征在于,所述分配管理器進(jìn)一步配 置成用于: 在所述虛擬服務(wù)器中創(chuàng)建攔截機(jī)制W攔截來自所述虛擬機(jī)的所述網(wǎng)絡(luò)分組。
20. 如權(quán)利要求19所述的設(shè)備,其特征在于,所述分配管理器進(jìn)一步配置成用于: 將被連接至所述虛擬機(jī)的虛擬交換機(jī)的邏輯重新配置為用于迫使來自所述虛擬機(jī)的 所述網(wǎng)絡(luò)分組去往物理網(wǎng)絡(luò)接口卡;W及 將虛擬網(wǎng)絡(luò)接口卡(vNIC)的邏輯重新配置為用于防止所述網(wǎng)絡(luò)分組通過所述vNIC。
21. -種方法,包括: 檢測虛擬網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)的虛擬服務(wù)器中的虛擬機(jī)的改變; 確定是否在所述虛擬服務(wù)器中配置了虛擬安全裝置; 發(fā)送在所述虛擬服務(wù)器中創(chuàng)建所述虛擬安全裝置的請求; 當(dāng)在所述虛擬機(jī)中創(chuàng)建了所述虛擬安全裝置時,允許所述虛擬機(jī)啟動,其中,所述虛擬 安全裝置對從所述虛擬機(jī)發(fā)送來的網(wǎng)絡(luò)分組執(zhí)行安全檢查。
22. 如權(quán)利要求21所述的方法,其特征在于,所述改變包括將所述虛擬機(jī)從第二虛擬 服務(wù)器移動到所述虛擬服務(wù)器中,所述方法進(jìn)一步包括: 從所述第二虛擬服務(wù)器中刪除第二虛擬安全裝置;W及 將所述第二虛擬服務(wù)器中的虛擬交換機(jī)的邏輯重新配置成用于經(jīng)由虛擬網(wǎng)絡(luò)接口卡 進(jìn)行通信,其中,當(dāng)所述虛擬機(jī)在所述第二虛擬服務(wù)器中運(yùn)行時,將所述第二虛擬安全裝置 配置成用于處理來自所述虛擬機(jī)的被攔截的網(wǎng)絡(luò)分組。
23. 如權(quán)利要求21-22中任意一項(xiàng)所述的方法,其特征在于,一個或多個安全策略標(biāo)識 用于處理來自所述虛擬機(jī)的所述網(wǎng)絡(luò)分組的一個或多個虛擬安全裝置。
24. -種方法,包括; 輪詢虛擬網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)的虛擬服務(wù)器中的虛擬安全裝置W確定所述虛擬安全裝置的 利用率; 如果所述利用率在上闊值量之上,則向云管理器發(fā)送增加用于所述虛擬安全裝置的計 算資源的請求;W及 如果所述利用率在下闊值量之下,則向所述云管理器發(fā)送減少用于所述虛擬安全裝置 的計算資源的請求, 其中,將與所述虛擬服務(wù)器中的一個或多個虛擬機(jī)相關(guān)聯(lián)的多個網(wǎng)絡(luò)分組路由到所述 虛擬安全裝置中。
25. 如權(quán)利要求24所述的方法,其特征在于,在將所述多個網(wǎng)絡(luò)分組路由到所述虛擬 安全裝置中之前,攔截所述多個網(wǎng)絡(luò)分組。
26. -種方法,包括; 輪詢虛擬網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)的虛擬服務(wù)器中的虛擬安全裝置W確定所述虛擬安全裝置的 利用率; 如果所述利用率在上闊值量之上,則向云管理器發(fā)送在所述虛擬服務(wù)器中創(chuàng)建另一虛 擬安全裝置的請求;并且 其中,將與所述虛擬服務(wù)器中的一個或多個虛擬機(jī)相關(guān)聯(lián)的多個網(wǎng)絡(luò)分組路由到所述 虛擬安全裝置中。
27. 如權(quán)利要求26所述的方法,其特征在于,在將所述多個網(wǎng)絡(luò)分組路由到所述虛擬 安全裝置中之前,攔截所述多個網(wǎng)絡(luò)分組。
28. -種方法,包括; 輪詢虛擬網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)的虛擬服務(wù)器中的虛擬安全裝置W確定所述虛擬安全裝置的 利用率; 如果確定沒有安全策略要求由所述虛擬安全裝置處理所述虛擬服務(wù)器的虛擬機(jī),則防 止將新的網(wǎng)絡(luò)分組路由到所述虛擬安全裝置;w及 當(dāng)所述虛擬安全裝置空閑的時候,向云管理器發(fā)送去除所述虛擬服務(wù)器中的所述虛擬 安全裝置的請求, 其中,將與所述虛擬服務(wù)器中的一個或多個虛擬機(jī)相關(guān)聯(lián)的、先前所發(fā)送的多個網(wǎng)絡(luò) 分組路由到所述虛擬安全裝置。
29. 如權(quán)利要求28所述的方法,其特征在于,在將所述先前所發(fā)送的多個網(wǎng)絡(luò)分組路 由到所述虛擬安全裝置中之前,攔截所述先前所發(fā)送的多個網(wǎng)絡(luò)分組。
30. 至少一種機(jī)器可訪問存儲介質(zhì),具有存儲于其上的多條指令,當(dāng)在機(jī)器上執(zhí)行所 述多條指令時,所述多條指令使所述機(jī)器用于執(zhí)行如權(quán)利要求24-29中任意一項(xiàng)所述的方 法。
【專利摘要】實(shí)施例中的方法包括:檢測虛擬網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)的虛擬服務(wù)器中的虛擬機(jī)的改變;確定是否在該虛擬服務(wù)器中配置了虛擬安全裝置;以及發(fā)送在該虛擬服務(wù)器中創(chuàng)建該虛擬安全裝置的請求。該方法進(jìn)一步包括:當(dāng)在該虛擬機(jī)中創(chuàng)建該虛擬安全裝置時,允許該虛擬機(jī)啟動。該虛擬安全裝置對從該虛擬機(jī)發(fā)送來的網(wǎng)絡(luò)分組執(zhí)行安全檢查。在更具體的實(shí)施例中,該方法進(jìn)一步包括:在該虛擬服務(wù)器中創(chuàng)建攔截機(jī)制以攔截來自該虛擬機(jī)的網(wǎng)絡(luò)分組。在進(jìn)一步的實(shí)施例中,一個或多個安全策略標(biāo)識用于處理來自該虛擬機(jī)的網(wǎng)絡(luò)分組的一個或多個虛擬安全裝置。
【IPC分類】G06F21-50
【公開號】CN104685507
【申請?zhí)枴緾N201380050646
【發(fā)明人】G·H·庫伯, M·耐德勃, H·S·納卡尼
【申請人】邁克菲股份有限公司
【公開日】2015年6月3日
【申請日】2013年10月20日
【公告號】EP2909780A1, US20140115578, WO2014063129A1