虛擬防火墻的資源管理優(yōu)化處理方法和裝置制造方法
【專利摘要】本發(fā)明實施例公開了一種虛擬防火墻的資源管理優(yōu)化處理方法和裝置���,其中,方法包括:獲取整個物理防火墻設備的資源信息��,包括CPU與內(nèi)存資源����;分別獲取物理防火墻設備上每個虛擬防火墻的性能狀態(tài)���;根據(jù)每個虛擬防火墻的性能狀態(tài),在物理防火墻設備上的各虛擬防火墻之間動態(tài)分配CPU與內(nèi)存資源�����。本發(fā)明實施例可以對單個物理防火墻內(nèi)各虛擬防火墻進行合理的資源分配���,有效保證整個物理防火墻的安全穩(wěn)定���。
【專利說明】虛擬防火墻的資源管理優(yōu)化處理方法和裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡技術(shù),尤其是一種虛擬防火墻的資源管理優(yōu)化處理方法和裝置�。
【背景技術(shù)】
[0002]虛擬防火墻是基于物理防火墻提出的,它可以在單一的物理防火墻硬件平臺上提供多個防火墻的實例���,而這對于使用多個防火墻實例的用戶來說是透明的���,每個虛擬防火墻都可以看作是一臺獨立的設備。隨著云計算數(shù)據(jù)中心的大規(guī)模發(fā)展����,對網(wǎng)絡虛擬化能力要求的進一步提高,在網(wǎng)絡安全防護層面,虛擬防火墻的應用場景也越來越多�,高效管理虛擬防火墻資源,對單個物理防火墻內(nèi)的各個虛擬防火墻進行資源調(diào)度��,對保證企業(yè)及用戶的安全都具有重大意義����。
[0003]然而,在實現(xiàn)本發(fā)明的過程中��,發(fā)明人發(fā)現(xiàn)目前虛擬防火墻的資源管理主要采用平均分配原則���,即:單個物理防火墻內(nèi)的各個虛擬防火墻分配的資源相同,用戶不可控制虛擬防火墻的資源分配��,因此無法保證整個物理防火墻的安全穩(wěn)定���,需要進一步優(yōu)化�����。
【發(fā)明內(nèi)容】
[0004]本發(fā)明實施例所要解決的技術(shù)問題是:提供一種虛擬防火墻的資源管理優(yōu)化處理方法和裝置�����,以對單個物理防火墻內(nèi)各虛擬防火墻進行合理的資源分配���,有效保證整個物理防火墻的安全穩(wěn)定���。
[0005]本發(fā)明實施例提供的一種虛擬防火墻的資源管理優(yōu)化處理方法,包括:
[0006]獲取整個物理防火墻設備的資源信息�,包括中央控制器CPU與內(nèi)存資源;
[0007]分別獲取物理防火墻設備上每個虛擬防火墻的性能狀態(tài)�;
[0008]根據(jù)每個虛擬防火墻的性能狀態(tài),在物理防火墻設備上的各虛擬防火墻之間動態(tài)分配CPU與內(nèi)存資源����。
[0009]上述方法的一個具體實施例中,虛擬防火墻的性能狀態(tài)包括:虛擬防火墻對CPU資源與內(nèi)存資源的使用狀態(tài)����;
[0010]對CPU資源的使用狀態(tài)包括每秒新建連接速率與加解密流量大小���;
[0011]對內(nèi)存資源的使用狀態(tài)包括網(wǎng)絡地址轉(zhuǎn)換(NAT)條目數(shù)與狀態(tài)化信息條目數(shù)�����。
[0012]上述方法的一個具體實施例中�,所述獲取整個物理防火墻設備的資源信息之后,還包括:
[0013]將整個物理防火墻設備的資源轉(zhuǎn)換為該物理防火墻設備的資源支持的性能指標�;
[0014]分別獲取物理防火墻設備上每個虛擬防火墻的性能狀態(tài)之后,還包括:
[0015]判斷所述物理防火墻設備的資源支持的性能指標根據(jù)所述物理防火墻設備上所有虛擬防火墻的數(shù)量平均分配后�,是否可以支持所有虛擬防火墻的性能狀態(tài);
[0016]若可以支持所有虛擬防火墻的性能狀態(tài)���,采用平均分配原則�����,將物理防火墻設備的CPU與內(nèi)存資源平均分配給所述物理防火墻設備上的各虛擬防火墻����;
[0017]否則��,若無法支持所有虛擬防火墻的性能狀態(tài)����,執(zhí)行所述根據(jù)每個虛擬防火墻的性能狀態(tài)�����,在物理防火墻設備上的各虛擬防火墻之間動態(tài)分配CPU與內(nèi)存資源的操作���。
[0018]上述方法的一個具體實施例中��,物理防火墻設備的資源支持的性能指標包括最大并發(fā)連接數(shù)和每秒新建連接速率����。
[0019]上述方法的一個具體實施例中�,分別獲取物理防火墻設備上每個虛擬防火墻的性能狀態(tài)之前,還包括:
[0020]查詢是否預先設定了物理防火墻設備上的各虛擬防火墻之間對CPU與內(nèi)存資源的分配數(shù)值或分配比例����;
[0021]若預先設定了物理防火墻設備上的各虛擬防火墻之間對CPU與內(nèi)存資源的分配數(shù)值或分配比例,則按照預先設定的分配數(shù)值或分配比例�����,在物理防火墻設備上的各虛擬防火墻之間對CPU與內(nèi)存資源進行分配���;
[0022]否則���,若未預先設定物理防火墻設備上的各虛擬防火墻之間對CPU與內(nèi)存資源的分配數(shù)值或分配比例,執(zhí)行所述分別獲取物理防火墻設備上每個虛擬防火墻的性能狀態(tài)的操作�。
[0023]上述方法的一個具體實施例中,按照預設周期執(zhí)行所述分別獲取物理防火墻設備上每個虛擬防火墻的性能狀態(tài)的操作���。
[0024]上述方法的一個具體實施例中�����,在物理防火墻設備上的各虛擬防火墻之間動態(tài)分配CPU與內(nèi)存資源包括:
[0025]根據(jù)各虛擬防火墻對CPU資源的使用狀態(tài)之間的正比例�����,在各虛擬防火墻之間動態(tài)分配物理防火墻設備的CPU資源�;以及,根據(jù)各虛擬防火墻對內(nèi)存資源的使用狀態(tài)之間的正比例�����,在各虛擬防火墻之間動態(tài)分配物理防火墻設備的內(nèi)存資源����。
[0026]本發(fā)明實施例提供的一種虛擬防火墻的資源管理優(yōu)化處理裝置����,包括:
[0027]物理資源獲取單元,用于獲取整個物理防火墻設備的資源信息����,包括CPU與內(nèi)存資源��;
[0028]虛擬防火墻資源獲取單元���,用于分別獲取物理防火墻設備上每個虛擬防火墻的性能狀態(tài);
[0029]資源分配單元���,用于根據(jù)每個虛擬防火墻的性能狀態(tài)���,在物理防火墻設備上的各虛擬防火墻之間動態(tài)分配CPU與內(nèi)存資源。
[0030]上述裝置的一個具體實施例中�,虛擬防火墻的性能狀態(tài)包括:虛擬防火墻對CPU資源與內(nèi)存資源的使用狀態(tài);
[0031]對CPU資源的使用狀態(tài)包括每秒新建連接速率與加解密流量大?�?��;
[0032]對內(nèi)存資源的使用狀態(tài)包括NAT條目數(shù)與狀態(tài)化信息條目數(shù)�����。
[0033]上述裝置的一個具體實施例中�����,所述物理資源獲取單元���,還用于在獲取整個物理防火墻設備的資源信息之后��,將整個物理防火墻設備的資源轉(zhuǎn)換為該物理防火墻設備的資源支持的性能指標;
[0034]所述資源分配單元����,還用于判斷所述物理防火墻設備的資源支持的性能指標根據(jù)所述物理防火墻設備上所有虛擬防火墻的數(shù)量平均分配后����,是否可以支持所有虛擬防火墻的性能狀態(tài);若可以支持所有虛擬防火墻的性能狀態(tài)���,采用平均分配原則�,將物理防火墻設備的CPU與內(nèi)存資源平均分配給所述物理防火墻設備上的各虛擬防火墻�����;否則���,若無法支持所有虛擬防火墻的性能狀態(tài),執(zhí)行所述根據(jù)每個虛擬防火墻的性能狀態(tài)����,在物理防火墻設備上的各虛擬防火墻之間動態(tài)分配CPU與內(nèi)存資源的操作��。
[0035]上述裝置的一個具體實施例中�����,物理防火墻設備的資源支持的性能指標包括最大并發(fā)連接數(shù)和每秒新建連接速率����。
[0036]上述裝置的一個具體實施例中���,所述資源分配單元��,還用于查詢是否預先設定了物理防火墻設備上的各虛擬防火墻之間對CPU與內(nèi)存資源的分配數(shù)值或分配比例��;若預先設定了物理防火墻設備上的各虛擬防火墻之間對CPU與內(nèi)存資源的分配數(shù)值或分配比例��,則按照預先設定的分配數(shù)值或分配比例�,在物理防火墻設備上的各虛擬防火墻之間對CPU與內(nèi)存資源進行分配��;
[0037]否則�����,若未預先設定物理防火墻設備上的各虛擬防火墻之間對CPU與內(nèi)存資源的分配數(shù)值或分配比例,則指示所述虛擬防火墻資源獲取單元分別獲取物理防火墻設備上每個虛擬防火墻的性能狀態(tài)�����。
[0038]上述裝置的一個具體實施例中����,所述虛擬防火墻資源獲取單元���,具體按照預設周期分別獲取物理防火墻設備上每個虛擬防火墻的性能狀態(tài)�。
[0039]上述裝置的一個具體實施例中���,所述資源分配單元��,具體根據(jù)各虛擬防火墻對CPU資源的使用狀態(tài)之間的正比例���,在各虛擬防火墻之間動態(tài)分配物理防火墻設備的CPU資源;以及�,根據(jù)各虛擬防火墻對內(nèi)存資源的使用狀態(tài)之間的正比例,在各虛擬防火墻之間動態(tài)分配物理防火墻設備的內(nèi)存資源�。
[0040]基于本發(fā)明上述實施例提供的虛擬防火墻的資源管理優(yōu)化處理方法和裝置,可以分別獲取物理防火墻設備上每個虛擬防火墻的性能狀態(tài)�����,例如����,各虛擬防火墻的連接數(shù)、穿越流量等數(shù)據(jù)�����,根據(jù)各虛擬防火墻的性能狀態(tài)�,在物理防火墻設備上的各虛擬防火墻之間動態(tài)分配CPU與內(nèi)存資源,實現(xiàn)了單個物理防火墻內(nèi)各虛擬防火墻進行合理的資源分配�,最大程度保證了整個物理防火墻的安全穩(wěn)定。
[0041]下面通過附圖和實施例��,對本發(fā)明的技術(shù)方案做進一步的詳細描述����。
【專利附圖】
【附圖說明】
[0042]構(gòu)成說明書的一部分的附圖描述了本發(fā)明的實施例,并且連同描述一起用于解釋本發(fā)明的原理�����。
[0043]參照附圖��,根據(jù)下面的詳細描述,可以更加清楚地理解本發(fā)明�����,其中:
[0044]圖1為本發(fā)明虛擬防火墻的資源管理優(yōu)化處理方法一個實施例的流程圖��。
[0045]圖2為本發(fā)明虛擬防火墻的資源管理優(yōu)化處理方法另一個實施例的流程圖����。
[0046]圖3為本發(fā)明虛擬防火墻的資源管理優(yōu)化處理方法又一個實施例的流程圖。
[0047]圖4為本發(fā)明虛擬防火墻的資源管理優(yōu)化處理裝置一個實施例的結(jié)構(gòu)示意圖�����。
【具體實施方式】
[0048]現(xiàn)在將參照附圖來詳細描述本發(fā)明的各種示例性實施例���。應注意到:除非另外具體說明�,否則在這些實施例中闡述的部件和步驟的相對布置����、數(shù)字表達式和數(shù)值不限制本發(fā)明的范圍。
[0049]同時�,應當明白,為了便于描述��,附圖中所示出的各個部分的尺寸并不是按照實際的比例關(guān)系繪制的。
[0050]以下對至少一個示例性實施例的描述實際上僅僅是說明性的��,決不作為對本發(fā)明及其應用或使用的任何限制�。
[0051]對于相關(guān)領(lǐng)域普通技術(shù)人員已知的技術(shù)、方法和設備可能不作詳細討論���,但在適當情況下,所述技術(shù)����、方法和設備應當被視為說明書的一部分。
[0052]在這里示出和討論的所有示例中��,任何具體值應被解釋為僅僅是示例性的���,而不是作為限制��。因此����,示例性實施例的其它示例可以具有不同的值����。
[0053]應注意到:相似的標號和字母在下面的附圖中表示類似項�,因此����,一旦某一項在一個附圖中被定義,則在隨后的附圖中不需要對其進行進一步討論���。
[0054]現(xiàn)有技術(shù)中���,物理防火墻設備對其中虛擬防火墻(VFW)的資源分配都是平均分配原則,即:有N個虛擬防火墻的話���,每個虛擬防火墻可以分到的資源為物理防火墻設備資源的1/N����,這種資源平均分配方式在每個虛擬防火墻獲得的資源充足�����,不存在資源競爭關(guān)系時���,能良好運作����,但是當存在資源緊缺的虛擬防火墻時,這種資源平均分配方式顯然不合理�,存在的缺點是平均分配原則在某些情況下不符合實際情況。例如�����,一個物理防火墻設備中包括兩個虛擬防火墻VFWl和VFW2���,在同一時間段內(nèi)VFWl需要的資源較多����,超過物理防火墻設備資源的1/2,而VFW2則比較空閑����,占用物理防火墻資源的1/5都不到����,這時平均分配方式顯然是不合理的,會造成VFWl資源欠缺����,而VFW2則資源過剩����。
[0055]在實現(xiàn)本發(fā)明實施例的過程中�,發(fā)明人創(chuàng)造性地認識到,影響防火墻性能的因素主要是CPU占用率和內(nèi)存大小��,因此���,在給各虛擬防火墻分配資源時���,充分計算整個物理防火墻設備上各虛擬防火墻的資源使用情況(也稱為:性能狀態(tài)),按照起對資源需求的正比�����,在各虛擬防火墻之間動態(tài)地合理分配CPU和內(nèi)存資源�����,從而保證各虛擬防火墻處于相對平衡穩(wěn)定的狀態(tài)��,從而實現(xiàn)了防火墻整體的安全�。
[0056]圖1為本發(fā)明虛擬防火墻的資源管理優(yōu)化處理方法一個實施例的流程圖��。如圖1所示,該實施例虛擬防火墻的資源管理優(yōu)化處理方法包括:
[0057]110�,獲取整個物理防火墻設備的資源信息,包括中央控制器(CPU)與內(nèi)存資源����,即:內(nèi)存大小,CPU個數(shù)�,如果CPU是多核架構(gòu),.每個CPU核的個數(shù)等信息���。
[0058]120���,分別獲取物理防火墻設備上每個虛擬防火墻的性能狀態(tài)����,即:虛擬防火墻的資源使用需求情況�。
[0059]示例性地,本發(fā)明的各實施例中��,虛擬防火墻的性能狀態(tài)可以包括但不限于:虛擬防火墻對CPU資源與內(nèi)存資源的使用狀態(tài)��。其中��,對CPU資源的使用狀態(tài)可以包括但不限于每秒新建連接速率與加解密流量大小�;對內(nèi)存資源的使用狀態(tài)可以包括但不限于網(wǎng)絡地址轉(zhuǎn)換(NAT)條目數(shù)與狀態(tài)化信息條目數(shù)。
[0060]130����,根據(jù)每個虛擬防火墻的性能狀態(tài),在物理防火墻設備上的各虛擬防火墻之間動態(tài)分配CPU與內(nèi)存資源��。
[0061]本發(fā)明上述實施例提供的虛擬防火墻的資源管理優(yōu)化處理方法���,可以分別獲取物理防火墻設備上每個虛擬防火墻的性能狀態(tài),例如��,各虛擬防火墻的連接數(shù)�����、穿越流量等數(shù)據(jù)��,根據(jù)各虛擬防火墻的性能狀態(tài)��,在物理防火墻設備上的各虛擬防火墻之間動態(tài)分配CPU與內(nèi)存資源����,實現(xiàn)了單個物理防火墻內(nèi)各虛擬防火墻進行合理的資源分配��,最大程度保證了整個物理防火墻的安全穩(wěn)定��。
[0062]圖2為本發(fā)明虛擬防火墻的資源管理優(yōu)化處理方法另一個實施例的流程圖�。如圖2所示���,該實施例虛擬防火墻的資源管理優(yōu)化處理方法包括:
[0063]210����,獲取整個物理防火墻設備的資源信息�����,包括CPU與內(nèi)存資源����。
[0064]220���,將整個物理防火墻設備的資源轉(zhuǎn)換為該物理防火墻設備的資源支持的性能指標���,例如最大并發(fā)連接數(shù)和每秒新建連接速率。
[0065]230,分別獲取物理防火墻設備上每個虛擬防火墻的性能狀態(tài)�。
[0066]240�����,判斷物理防火墻設備的資源支持的性能指標根據(jù)物理防火墻設備上所有虛擬防火墻的數(shù)量平均分配后��,是否可以支持所有虛擬防火墻的性能狀態(tài)���。
[0067]若可以支持所有虛擬防火墻的性能狀態(tài)�,執(zhí)行250的操作�����。否則��,若無法支持所有虛擬防火墻的性能狀態(tài)�����,執(zhí)行260的操作��。
[0068]250�,采用平均分配原則,將物理防火墻設備的CPU與內(nèi)存資源平均分配給物理防火墻設備上的各虛擬防火墻。
[0069]之后�����,不執(zhí)行本實施例的后續(xù)流程�。
[0070]260,根據(jù)每個虛擬防火墻的性能狀態(tài)��,在物理防火墻設備上的各虛擬防火墻之間動態(tài)分配CPU與內(nèi)存資源�����。
[0071]對上述實施例舉例說明如下:
[0072]假設某物理防火墻設備的內(nèi)存為2GB���,CPU為一個4核CPU����。
[0073]假設該物理防火墻設備的資源支持的性能指標極限為最大并發(fā)連接數(shù)100萬�,每秒新建連接速率為10萬/秒。當該物理防火墻設備存在兩個虛擬防火墻VFW1����、VFW2�����,每個虛擬防火墻的性能狀態(tài)(即:資源使用需求)實際情況是最大并發(fā)連接數(shù)低于50萬,新建連接速率低于5萬/秒�,并且不存在數(shù)據(jù)的加解密時,兩個虛擬防火墻VFW1��、VFW2平均分配物理防火墻設備的內(nèi)存和CPU資源也能運作良好�。
[0074]但是當虛擬防火墻VFWl的并發(fā)連接需求達到75萬,新建連接速率6萬/秒�,而VFW2的并發(fā)連接需求是10萬,新建連接速率2萬/秒時���,平均分配物理防火墻設備的內(nèi)存和CPU資源顯然是不合理的����,這時就必須按各虛擬防火墻對資源使用需求的正比對物理防火墻設備的內(nèi)存資源和CPU資源進行分配����。
[0075]圖3為本發(fā)明虛擬防火墻的資源管理優(yōu)化處理方法又一個實施例的流程圖。如圖3所示���,該實施例虛擬防火墻的資源管理優(yōu)化處理方法包括:
[0076]310��,獲取整個物理防火墻設備的資源信息��,包括CPU與內(nèi)存資源���。
[0077]320��,查詢是否預先設定了物理防火墻設備上的各虛擬防火墻之間對CPU與內(nèi)存資源的分配數(shù)值或分配比例��。
[0078]若預先設定了物理防火墻設備上的各虛擬防火墻之間對CPU與內(nèi)存資源的分配數(shù)值或分配比例��,則執(zhí)行330的操作�。否則���,若未預先設定物理防火墻設備上的各虛擬防火墻之間對CPU與內(nèi)存資源的分配數(shù)值或分配比例��,執(zhí)行340的操作����。
[0079]330�,按照預先設定的分配數(shù)值或分配比例,在物理防火墻設備上的各虛擬防火墻之間對CPU與內(nèi)存資源進行分配�����。
[0080]之后���,不執(zhí)行本實施例的后續(xù)流程��。
[0081]340����,分別獲取物理防火墻設備上每個虛擬防火墻的性能狀態(tài)����。
[0082]350,根據(jù)每個虛擬防火墻的性能狀態(tài)����,在物理防火墻設備上的各虛擬防火墻之間動態(tài)分配CPU與內(nèi)存資源。
[0083]根據(jù)本發(fā)明的一個具體示例而非限制����,在本發(fā)明虛擬防火墻的資源管理優(yōu)化處理方法的上述各實施例中,具體可以按照預設周期來執(zhí)行分別獲取物理防火墻設備上每個虛擬防火墻的性能狀態(tài)的操作��。從而在物理防火墻設備上的各虛擬防火墻之間周期性地動態(tài)分配CPU與內(nèi)存資源���。
[0084]另外�����,根據(jù)本發(fā)明的一個具體示例而非限制���,在物理防火墻設備上的各虛擬防火墻之間動態(tài)分配CPU與內(nèi)存資源時���,具體可以通過如下方式實現(xiàn):
[0085]根據(jù)各虛擬防火墻對CPU資源的使用狀態(tài)之間的正比例,在各虛擬防火墻之間動態(tài)分配物理防火墻設備的CPU資源��;以及
[0086]根據(jù)各虛擬防火墻對內(nèi)存資源的使用狀態(tài)之間的正比例��,在各虛擬防火墻之間動態(tài)分配物理防火墻設備的內(nèi)存資源�。
[0087]圖4為本發(fā)明虛擬防火墻的資源管理優(yōu)化處理裝置一個實施例的結(jié)構(gòu)示意圖。該實施例的資源管理優(yōu)化處理裝置可用于實現(xiàn)本發(fā)明上述各資源管理優(yōu)化處理方法實施例���。如圖4所示��,其包括物理資源獲取單元��、虛擬防火墻資源獲取單元與資源分配單元��。其中:
[0088]物理資源獲取單元�,用于獲取整個物理防火墻設備的資源信息����,包括CPU與內(nèi)存資源�����。
[0089]虛擬防火墻資源獲取單元����,用于分別獲取物理防火墻設備上每個虛擬防火墻的性能狀態(tài)��。示例性地���,本發(fā)明的各實施例中,虛擬防火墻的性能狀態(tài)可以包括但不限于:虛擬防火墻對CPU資源與內(nèi)存資源的使用狀態(tài)�。其中,對CPU資源的使用狀態(tài)可以包括但不限于每秒新建連接速率與加解密流量大?��?�;對內(nèi)存資源的使用狀態(tài)可以包括但不限于網(wǎng)絡地址轉(zhuǎn)換(NAT)條目數(shù)與狀態(tài)化信息條目數(shù)�����。
[0090]資源分配單元�,用于根據(jù)每個虛擬防火墻的性能狀態(tài)�,在物理防火墻設備上的各虛擬防火墻之間動態(tài)分配CPU與內(nèi)存資源��。
[0091]本發(fā)明上述實施例提供的虛擬防火墻的資源管理優(yōu)化處理裝置����,可以分別獲取物理防火墻設備上每個虛擬防火墻的性能狀態(tài)��,例如���,各虛擬防火墻的連接數(shù)、穿越流量等數(shù)據(jù)����,根據(jù)各虛擬防火墻的性能狀態(tài),在物理防火墻設備上的各虛擬防火墻之間動態(tài)分配CPU與內(nèi)存資源����,實現(xiàn)了單個物理防火墻內(nèi)各虛擬防火墻進行合理的資源分配,最大程度保證了整個物理防火墻的安全穩(wěn)定���。
[0092]在本發(fā)明虛擬防火墻的資源管理優(yōu)化處理裝置的另一個實施例中�,物理資源獲取單元還可用于在獲取整個物理防火墻設備的資源信息之后���,將整個物理防火墻設備的資源轉(zhuǎn)換為該物理防火墻設備的資源支持的性能指標���,例如����,最大并發(fā)連接數(shù)和每秒新建連接速率���。相應地�,資源分配單元還可用于判斷物理防火墻設備的資源支持的性能指標根據(jù)物理防火墻設備上所有虛擬防火墻的數(shù)量平均分配后���,是否可以支持所有虛擬防火墻的性能狀態(tài);若可以支持所有虛擬防火墻的性能狀態(tài)����,采用平均分配原則,將物理防火墻設備的CPU與內(nèi)存資源平均分配給物理防火墻設備上的各虛擬防火墻�����;否則���,若無法支持所有虛擬防火墻的性能狀態(tài)����,執(zhí)行根據(jù)每個虛擬防火墻的性能狀態(tài),在物理防火墻設備上的各虛擬防火墻之間動態(tài)分配CPU與內(nèi)存資源的操作�。
[0093]在本發(fā)明虛擬防火墻的資源管理優(yōu)化處理裝置的又一個實施例中,資源分配單元還可用于查詢是否預先設定了物理防火墻設備上的各虛擬防火墻之間對CPU與內(nèi)存資源的分配數(shù)值或分配比例�;若預先設定了物理防火墻設備上的各虛擬防火墻之間對CPU與內(nèi)存資源的分配數(shù)值或分配比例,則按照預先設定的分配數(shù)值或分配比例�,在物理防火墻設備上的各虛擬防火墻之間對CPU與內(nèi)存資源進行分配。否則�,若未預先設定物理防火墻設備上的各虛擬防火墻之間對CPU與內(nèi)存資源的分配數(shù)值或分配比例,則指示虛擬防火墻資源獲取單元分別獲取物理防火墻設備上每個虛擬防火墻的性能狀態(tài)��。
[0094]根據(jù)本發(fā)明虛擬防火墻的資源管理優(yōu)化處理裝置各實施例的一個具體示例而非限制�,虛擬防火墻資源獲取單元具體可以按照預設周期分別獲取物理防火墻設備上每個虛擬防火墻的性能狀態(tài)。
[0095]根據(jù)本發(fā)明虛擬防火墻的資源管理優(yōu)化處理裝置各實施例的另一個具體示例而非限制���,資源分配單元具體可以根據(jù)各虛擬防火墻對CPU資源的使用狀態(tài)之間的正比例�����,在各虛擬防火墻之間動態(tài)分配物理防火墻設備的CPU資源�;以及�,根據(jù)各虛擬防火墻對內(nèi)存資源的使用狀態(tài)之間的正比例,在各虛擬防火墻之間動態(tài)分配物理防火墻設備的內(nèi)存資源���。
[0096]本說明書中各個實施例均采用遞進的方式描述��,每個實施例重點說明的都是與其它實施例的不同之處��,各個實施例之間相同或相似的部分相互參見即可�����。對于裝置實施例而言�����,由于其與方法實施例基本對應��,所以描述的比較簡單���,相關(guān)之處參見方法實施例的部分說明即可。
[0097]可能以許多方式來實現(xiàn)本發(fā)明的方法�����、裝置���。例如�,可通過軟件、硬件�、固件或者軟件、硬件�����、固件的任何組合來實現(xiàn)本發(fā)明的方法和裝置�����。用于所述方法的步驟的上述順序僅是為了進行說明�,本發(fā)明的方法的步驟不限于以上具體描述的順序,除非以其它方式特別說明���。此外���,在一些實施例中,還可將本發(fā)明實施為記錄在記錄介質(zhì)中的程序�,這些程序包括用于實現(xiàn)根據(jù)本發(fā)明的方法的機器可讀指令。因而�����,本發(fā)明還覆蓋存儲用于執(zhí)行根據(jù)本發(fā)明的方法的程序的記錄介質(zhì)��。
[0098]本領(lǐng)域普通技術(shù)人員可以理解:實現(xiàn)上述方法實施例的全部或部分步驟可以通過程序指令相關(guān)的硬件來完成,前述的程序可以存儲于一計算機可讀取存儲介質(zhì)中����,該程序在執(zhí)行時,執(zhí)行包括上述方法實施例的步驟���;而前述的存儲介質(zhì)包括:R0M����、RAM���、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)�����。
[0099]本發(fā)明的描述是為了示例和描述起見而給出的�,而并不是無遺漏的或者將本發(fā)明限于所公開的形式����。很多修改和變化對于本領(lǐng)域的普通技術(shù)人員而言是顯然的����。選擇和描述實施例是為了更好說明本發(fā)明的原理和實際應用��,并且使本領(lǐng)域的普通技術(shù)人員能夠理解本發(fā)明從而設計適于特定用途的帶有各種修改的各種實施例���。
【權(quán)利要求】
1.一種虛擬防火墻的資源管理優(yōu)化處理方法,其特征在于��,包括: 獲取整個物理防火墻設備的資源信息�,包括中央控制器CPU與內(nèi)存資源; 分別獲取物理防火墻設備上每個虛擬防火墻的性能狀態(tài)�����; 根據(jù)每個虛擬防火墻的性能狀態(tài)��,在物理防火墻設備上的各虛擬防火墻之間動態(tài)分配CPU與內(nèi)存資源�����。
2.根據(jù)權(quán)利要求1所述的方法��,其特征在于����,虛擬防火墻的性能狀態(tài)包括:虛擬防火墻對CPU資源與內(nèi)存資源的使用狀態(tài); 對CPU資源的使用狀態(tài)包括每秒新建連接速率與加解密流量大?����。? 對內(nèi)存資源的使用狀態(tài)包括網(wǎng)絡地址轉(zhuǎn)換(NAT)條目數(shù)與狀態(tài)化信息條目數(shù)���。
3.根據(jù)權(quán)利要求2所述的方法��,其特征在于�,所述獲取整個物理防火墻設備的資源信息之后���,還包括: 將整個物理防火墻設備的資源轉(zhuǎn)換為該物理防火墻設備的資源支持的性能指標��; 分別獲取物理防火墻設備上每個虛擬防火墻的性能狀態(tài)之后��,還包括: 判斷所述物理防火墻設備的資源支持的性能指標根據(jù)所述物理防火墻設備上所有虛擬防火墻的數(shù)量平均分配后�����,是否可以支持所有虛擬防火墻的性能狀態(tài)�����; 若可以支持所有虛擬防火墻的性能狀態(tài)��,采用平均分配原則��,將物理防火墻設備的CPU與內(nèi)存資源平均分配給所述物理防火墻設備上的各虛擬防火墻��; 否則��,若無法支持所有虛擬防火墻的性能狀態(tài)����,執(zhí)行所述根據(jù)每個虛擬防火墻的性能狀態(tài)�����,在物理防火墻設備上的各虛擬防火墻之間動態(tài)分配CPU與內(nèi)存資源的操作�。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于�,物理防火墻設備的資源支持的性能指標包括最大并發(fā)連接數(shù)和每秒新建連接速率。
5.根據(jù)權(quán)利要求2所述的方法���,其特征在于��,分別獲取物理防火墻設備上每個虛擬防火墻的性能狀態(tài)之前�����,還包括: 查詢是否預先設定了物理防火墻設備上的各虛擬防火墻之間對CPU與內(nèi)存資源的分配數(shù)值或分配比例�����; 若預先設定了物理防火墻設備上的各虛擬防火墻之間對CPU與內(nèi)存資源的分配數(shù)值或分配比例����,則按照預先設定的分配數(shù)值或分配比例,在物理防火墻設備上的各虛擬防火墻之間對CPU與內(nèi)存資源進行分配�; 否則,若未預先設定物理防火墻設備上的各虛擬防火墻之間對CPU與內(nèi)存資源的分配數(shù)值或分配比例�����,執(zhí)行所述分別獲取物理防火墻設備上每個虛擬防火墻的性能狀態(tài)的操作����。
6.根據(jù)權(quán)利要求2至5任意一項所述的方法,其特征在于����,按照預設周期執(zhí)行所述分別獲取物理防火墻設備上每個虛擬防火墻的性能狀態(tài)的操作。
7.根據(jù)權(quán)利要求6所述的方法���,其特征在于����,在物理防火墻設備上的各虛擬防火墻之間動態(tài)分配CPU與內(nèi)存資源包括: 根據(jù)各虛擬防火墻對CPU資源的使用狀態(tài)之間的正比例,在各虛擬防火墻之間動態(tài)分配物理防火墻設備的CPU資源���;以及,根據(jù)各虛擬防火墻對內(nèi)存資源的使用狀態(tài)之間的正比例�,在各虛擬防火墻之間動態(tài)分配物理防火墻設備的內(nèi)存資源。
8.—種虛擬防火墻的資源管理優(yōu)化處理裝置�����,其特征在于��,包括: 物理資源獲取單元���,用于獲取整個物理防火墻設備的資源信息���,包括CPU與內(nèi)存資源; 虛擬防火墻資源獲取單元����,用于分別獲取物理防火墻設備上每個虛擬防火墻的性能狀態(tài); 資源分配單元�����,用于根據(jù)每個虛擬防火墻的性能狀態(tài),在物理防火墻設備上的各虛擬防火墻之間動態(tài)分配CPU與內(nèi)存資源���。
9.根據(jù)權(quán)利要求8所述的裝置�����,其特征在于��,虛擬防火墻的性能狀態(tài)包括:虛擬防火墻對CPU資源與內(nèi)存資源的使用狀態(tài)��; 對CPU資源的使用狀態(tài)包括每秒新建連接速率與加解密流量大?���?��; 對內(nèi)存資源的使用狀態(tài)包括NAT條目數(shù)與狀態(tài)化信息條目數(shù)����。
10.根據(jù)權(quán)利要求9所述的裝置����,其特征在于�����,所述物理資源獲取單元�,還用于在獲取整個物理防火墻設備的資源信息之后���,將整個物理防火墻設備的資源轉(zhuǎn)換為該物理防火墻設備的資源支持的性能指標���; 所述資源分配單元����,還用于判斷所述物理防火墻設備的資源支持的性能指標根據(jù)所述物理防火墻設備上所有虛擬防火墻的數(shù)量平均分配后,是否可以支持所有虛擬防火墻的性能狀態(tài)��;若可以支持所有虛擬防火墻的性能狀態(tài)�����,采用平均分配原則���,將物理防火墻設備的CPU與內(nèi)存資源平均分配給所述物理防火墻設備上的各虛擬防火墻����;否則,若無法支持所有虛擬防火墻的性能狀態(tài)���,執(zhí)行所述根據(jù)每個虛擬防火墻的性能狀態(tài)�����,在物理防火墻設備上的各虛擬防火墻之間動態(tài)分配CPU與內(nèi)存資源的操作��。
11.根據(jù)權(quán)利要求10所述的裝置��,其特征在于��,物理防火墻設備的資源支持的性能指標包括最大并發(fā)連接數(shù)和每秒新建連接速率�����。
12.根據(jù)權(quán)利要求9所述的裝置�����,其特征在于���,所述資源分配單元,還用于查詢是否預先設定了物理防火墻設備上的各虛擬防火墻之間對CPU與內(nèi)存資源的分配數(shù)值或分配比例����;若預先設定了物理防火墻設備上的各虛擬防火墻之間對CPU與內(nèi)存資源的分配數(shù)值或分配比例�,則按照預先設定的分配數(shù)值或分配比例�����,在物理防火墻設備上的各虛擬防火墻之間對CPU與內(nèi)存資源進行分配�; 否則,若未預先設定物理防火墻設備上的各虛擬防火墻之間對CPU與內(nèi)存資源的分配數(shù)值或分配比例����,則指示所述虛擬防火墻資源獲取單元分別獲取物理防火墻設備上每個虛擬防火墻的性能狀態(tài)。
13.根據(jù)權(quán)利要求9至12任意一項所述的裝置�����,其特征在于���,所述虛擬防火墻資源獲取單元,具體按照預設周期分別獲取物理防火墻設備上每個虛擬防火墻的性能狀態(tài)�����。
14.根據(jù)權(quán)利要求13所述的裝置�,其特征在于����,所述資源分配單元���,具體根據(jù)各虛擬防火墻對CPU資源的使用狀態(tài)之間的正比例��,在各虛擬防火墻之間動態(tài)分配物理防火墻設備的CPU資源��;以及��,根據(jù)各虛擬防火墻對內(nèi)存資源的使用狀態(tài)之間的正比例�����,在各虛擬防火墻之間動態(tài)分配物理防火墻設備的內(nèi)存資源����。
【文檔編號】H04L29/06GK104518897SQ201310459965
【公開日】2015年4月15日 申請日期:2013年9月30日 優(yōu)先權(quán)日:2013年9月30日
【發(fā)明者】肖宇峰, 劉東鑫, 沈軍, 金華敏 申請人:中國電信股份有限公司