收藏
下载资源 加入会员免费下载

验证虚拟机.pdf

上传人:g**** 文档编号:1003664 上传时间:2018-03-24 格式:PDF 页数:23 大小:696.66KB
返回 下载 相关 举报
摘要
申请专利号:

CN200980158275.5

 申请日:

2009.01.23
公开号:

CN102362258A

 公开日:

2012.02.22
当前法律状态:

授权

 有效性:

有权
法律详情:

专利权的转移IPC(主分类):G06F 9/44登记生效日:20170122变更事项:专利权人变更前权利人:惠普开发有限公司变更后权利人:慧与发展有限责任合伙企业变更事项:地址变更前权利人:美国德克萨斯州变更后权利人:美国德克萨斯州|||授权|||实质审查的生效IPC(主分类):G06F 9/44申请日:20090123|||公开
IPC分类号:

G06F9/44; G06F15/16

 主分类号:

G06F9/44
申请人:

惠普开发有限公司
发明人:

D. 格拉夫
地址:

美国德克萨斯州
优先权:

专利代理机构:

中国专利代理(香港)有限公司 72001

 代理人:

刘金凤;王洪斌
PDF下载: PDF下载
内容摘要

根据一个实施例,对虚拟机属性进行验证。从所述虚拟机(152)在上面执行的主机(120)获得(320)关于虚拟机(152)的属性的信息(142)。从所述虚拟机(152)获得330实际虚拟机属性(162)。通过比较关于所述属性的所述信息(142)与所述实际虚拟机属性(162)来确定(340)在关于所述属性的所述信息(142)与所述实际虚拟机属性(162)之间的差异。

权利要求书

1: 一种验证虚拟机的计算机实施的方法, 所述方法包括 : 从虚拟机 (152, 154, 156, 158) 在上面执行的主机 (120, 130) 获得 (320) 关于所述 虚拟机 (152, 154, 156, 158) 的一个或多个属性的信息 (142, 144, 146, 148) ; 从所述虚拟机 (152, 154, 156, 158) 获得 (330) 一个或多个实际虚拟机属性 (162, 164, 166, 168) ; 以及 通过比较关于所述属性的所述信息 (142, 144, 146, 148) 与所述实际虚拟机属性 (162, 164, 166, 168) 来确定 (340) 在关于所述属性的所述信息 (142, 144, 146, 148) 与所述实际虚拟机属性 (162, 164, 166, 168) 之间是否存在差异。
2: 如权利要求 1 所述的计算机实施的方法 : 进一步包括从网络地图 (170) 访问 (401) 一个或多个预期虚拟机属性 (182, 184, 186, 188) ; 并且 其中所述确定 (340) 是否存在差异进一步包括 确定 (402) 在由所述网络地图 (170) 提供的所述预期虚拟机属性 (182, 184, 186, 188) 与从所述主机 (120) 获得的关于所述属性的所述信息 (142, 144, 146, 148) 之间是 否存在差异, 以及 确定 (403) 在由所述网络地图 (170) 提供的所述预期虚拟机属性 (182, 184, 186, 188) 与从所述虚拟机 (152, 154, 156, 158) 所获得的所述实际虚拟机属性 (162, 164, 166, 168) 之间是否存在差异。
3: 如权利要求 2 所述的计算机实施的方法 : 进一步包括访问 (404) 规则 (190) 以获得所述虚拟机 (152, 154, 156, 158) 的一个 或多个虚拟机规则属性 (192, 194, 196, 198) ; 并且 其中所述确定 (340) 是否存在差异进一步包括确定 (405) 在来自所述网络地图 (170) 的所述预期虚拟机属性 (182, 184, 186, 188) 与所述虚拟机规则属性 (192, 194, 196, 198) 之间是否存在差异。
4: 如权利要求 1 至 3 中的任一项所述的计算机实施的方法 : 进一步包括访问 (404) 规则 (190) 以获得所述虚拟机 (152, 154, 156, 158) 的一个 或多个虚拟机规则属性 (192, 194, 196, 198) ; 并且 其中所述确定 (340) 是否存在差异进一步包括 确定 (406) 在所述虚拟机规则属性 (192, 194, 196, 198) 与从所述主机 (120, 130) 获得的关于所述属性的所述信息 (142, 144, 146, 148) 之间是否存在差异, 以及 确定 (407) 在所述虚拟机规则属性 (192, 194, 196, 198) 与从所述虚拟机 (152, 154, 156, 158) 获得的所述实际虚拟机属性 (162) 之间是否存在差异。
5: 如前述任一项权利要求所述的计算机实施的方法, 其中, 所述属性选自包括下述 项的组 : 分配给所述虚拟机 (152, 154, 156, 158) 的处理器的数量 ; 分配给所述虚拟机 (152, 154, 156, 158) 的存储器的量 ; 由所述虚拟机 (152, 154, 156, 158) 使用的存储 磁盘的数量和大小 ; 磁盘通道的最大输入 / 输出 (I/O) 速率 ; 与所述虚拟机 (152, 154, 156, 158) 相关联的网络接口卡 (NIC) 的数量以及与所述虚拟机 (152, 154, 156, 158) 相 关联的每个 NIC 的所述最大 I/O 速率。
6: 一种用于验证虚拟机的设备, 所述设备包括 : 2 用于执行指令的处理器 ; 和 计算机可读介质, 其中所述处理器所执行的所述指令存储在所述计算机可读介质上, 其中所述处理器执行实现以下各项的所述指令 : 虚拟机属性信息存取器 (210), 其被配置成用于从所述虚拟机 (152, 154, 156, 158) 在上面执行的主机 (120, 130) 获得 (320) 关于虚拟机 (152, 154, 156, 158) 的一个或多 个属性的信息 (142, 144, 146, 148) ; 实际虚拟机属性存取器 (220), 其被配置成用于从所述虚拟机 (152, 154, 156, 158) 获得 (330) 一个或多个实际虚拟机属性 (162, 164, 166, 168) ; 以及 虚拟机属性差异确定器 (230), 其被配置成用于通过比较关于所述属性的所述信息 (142, 144, 146, 148) 与所述实际虚拟机属性 (162, 164, 166, 168) 来确定 (340) 在关 于所述属性的所述信息 (152, 154, 156, 158) 与所述实际虚拟机属性 (162, 164, 166, 168) 之间是否存在差异。
7: 如权利要求 6 所述的设备, 进一步包括 : 预期虚拟机属性存取器 (240), 其被配置成用于从网络地图 (170) 访问 (401) 一个或多 个预期虚拟机属性 (182, 184, 186, 188) ; 并且 所述虚拟机属性差异确定器 (230) 被配置成用于 确定 (402) 在由所述网络地图 (170) 提供的所述预期虚拟机属性 (182, 184, 186, 188) 与从所述主机 (120) 获得的关于所述属性的所述信息 (142, 144, 146, 148) 之间是 否存在差异, 并且 确定 (403) 在由所述网络地图 (170) 提供的所述预期虚拟机属性 (182, 184, 186, 188) 与从所述虚拟机 (152, 154, 156, 158) 获得的所述实际虚拟机属性 (162, 164, 166, 168) 之间是否存在差异。
8: 如权利要求 7 所述的设备, 进一步包括 : 虚拟机规则属性存取器 (250), 其被配置成用于访问 (404) 规则 (190) 以获得所述虚拟 机 (152, 154, 156, 158) 的一个或多个虚拟机规则属性 (192, 194, 196, 198) ; 并且 所述虚拟机属性差异确定器 (230) 被配置成用于确定 (405) 在来自所述网络地图 (170) 的所述预期虚拟机属性 (182, 184, 186, 188) 与所述虚拟机规则属性 (192, 194, 196, 198) 之间是否存在差异。
9: 如权利要求 6 至 8 中的任一项所述的设备, 进一步包括 : 虚拟机规则属性存取器 (250), 其被配置成用于访问 (404) 规则 (190) 以获得所述虚拟 机 (152, 154, 156, 158) 的一个或多个虚拟机规则属性 (192, 194, 196, 198) ; 并且 所述虚拟机属性差异确定器 (230) 被配置成用于 确定 (406) 在所述虚拟机规则属性 (192, 194, 196, 198) 与从所述主机 (120、 130) 获得的关于所述属性的所述信息 (142, 144, 146, 148) 之间是否存在差异, 以及 确定 (407) 在所述虚拟机规则属性 (192, 194, 196, 198) 与从所述虚拟机 (152, 154, 156, 158) 获得的所述实际虚拟机属性 (162, 164, 166, 168) 之间是否存在差异。
10: 如权利要求 6 至 9 中的任一项所述的设备, 其中, 所述设备进一步包括 : 位置存取器, 其被配置成用于访问所述主机 (120, 130) 的位置 (1721, 1722) 和所述 虚拟机 (152, 154, 156, 158) 的位置 (1741, 1742, 1743, 1744), 其中所述位置 (1721, 3 1722, 1741, 1742, 1743, 1744) 被存储在网络地图 (170) 中 ; 所述虚拟机属性信息存取器 (310) 使用所述位置 (1721, 1722) 作为获得 (320) 关于 属性的所述信息 (142, 144, 146, 148) 的一部分 ; 并且 所述实际虚拟机属性存取器 (320) 使用所述位置 (1741, 1742, 1743, 1744) 作为获 得 (340) 所述实际虚拟机属性 (162, 164, 166, 168) 的一部分。
11: 一种计算机可读存储介质, 其具有存储在其上的用于使计算机系统执行验证虚拟 机的方法的计算机可读程序指令, 所述方法包括 : 从虚拟机 (152, 154, 156, 158) 在上面执行的主机 (120、 130) 获得 (320) 关于所述 虚拟机 (152, 154, 156, 158) 的一个或多个属性的信息 (142, 144, 146, 148) ; 从所述虚拟机 (152, 154, 156, 158) 获得 (330) 一个或多个实际虚拟机属性 (162, 164, 166, 168) ; 以及 通过比较关于所述属性的所述信息 (142, 144, 146, 148) 与所述实际虚拟机属性 (162, 164, 166, 168) 来确定在关于所述属性的所述信息 (142, 144, 146, 148) 与所述 实际虚拟机属性 (162, 164, 166, 168) 之间是否存在差异。
12: 如权利要求 11 所述的计算机可读存储介质 : 其中所述方法进一步包括从网络地图 (170) 访问 (401) 一个或多个预期虚拟机属性 (182, 184, 186, 188) ; 并且 其中所述确定 (340) 是否存在差异进一步包括用于进行以下动作的指令 确定 (402) 在由所述网络地图 (170) 提供的所述预期虚拟机属性 (182, 184, 186, 188) 与从所述主机 (120、 130) 获得的关于所述属性的所述信息 (142, 144, 146, 148) 之 间是否存在差异, 以及 确定 (403) 在由所述网络地图 (170) 提供的所述预期虚拟机属性 (182, 184, 186, 188) 与从所述虚拟机 (152, 154, 156, 158) 获得的所述实际虚拟机属性 (162, 164, 166, 168) 之间是否存在差异。
13: 如权利要求 12 所述的计算机可读存储介质 : 其中所述方法进一步包括访问 (404) 规则 (190) 以获得所述虚拟机 (152, 154, 156, 158) 的一个或多个虚拟机规则属性 (192, 194, 196, 198) ; 并且 其中所述确定 (340) 是否存在差异进一步包括用于确定 (405) 在来自所述网络地图 (170) 的所述预期虚拟机属性 (182, 184, 186, 188) 与所述虚拟机规则属性 (192, 194, 196, 198) 之间是否存在差异的指令。
14: 如权利要求 11 所述的计算机可读存储介质 : 其中所述方法进一步包括访问 (404) 规则 (190) 以获得所述虚拟机 (152, 154, 156, 158) 的一个或多个虚拟机规则属性 (192, 194, 196, 198) ; 并且 其中所述确定 (340) 是否存在差异进一步包括用于进行以下动作的指令 确定 (406) 在所述虚拟机规则属性 (192, 194, 196, 198) 与从所述主机 (120、 130) 获得的关于所述属性的所述信息 (142, 144, 146, 148) 之间是否存在差异, 以及 确定 (407) 在所述虚拟机规则属性 (192, 194, 196, 198) 与从所述虚拟机 (152, 154, 156, 158) 获得的所述实际虚拟机属性 (162, 164, 166, 168) 之间是否存在差异。
15: 如权利要求 11 所述的计算机可读存储介质, 其中, 所述方法进一步包括 : 4 使用公用控制器来自动地更新所述网络地图 (170), 其中所述公用控制器与自动地向 所述主机 (120, 130) 进行供应的公用数据中心相关联。

说明书


验证虚拟机

    背景技术 现代数据中心经常采用虚拟服务器技术, 其中大量的虚拟化计算机服务器在相对 较少数量的主机服务器上执行。主机服务器是通常所说的 “主机” 的示例而虚拟化计算机 服务器是通常所说的 “虚拟机” 的示例。
     怀有恶意的个体可以重新配置虚拟机来犯罪。例如, 怀有恶意的个体可以增加处 理器的数量和网络带宽以为跨越网络进行拒绝服务 (DOS) 攻击做准备。在另一示例中, 例 如, 为了隐藏信息, 怀有恶意的个体可以增加虚拟机的磁盘空间。进一步地, 怀有恶意的个 体可以将构造 (construct) 放置在虚拟机上, 从而使得虚拟机将报告其具有预期的配置, 以屏蔽或隐藏所做出的恶意修改。 怀有恶意的个体也可以将构造放置在主机上来隐藏恶意 修改。提供适当的注意来确保虚拟机的安全性和完整性可能是昂贵的。
     附图说明 被并入对实施例的本说明中并且形成对实施例的本说明的一部分的附图图示了 本发明的各种实施例, 并且与本说明一起用来解释在下文中所讨论的原理 : 图 1 是根据一个实施例的、 用于验证虚拟机属性的方框图。
     图 2 是根据一个实施例的、 用于验证虚拟机属性的虚拟机验证器的方框图。
     图 3 和图 4 是根据各种实施例的、 用于验证虚拟机属性的计算机实施的方法的流 程图的方框图。
     除非具体地指出, 在本简要说明中所提到的图不应该被理解成是按比例绘制的。
     具体实施方式
     现将详细地参考本主题的各种实施例, 本主题的示例被图示在附图中。虽然在本 文中讨论了各种实施例, 但是将理解的是, 它们并不意图限于这些实施例。相反地, 所呈现 的实施例意图函盖替换、 修改和等同变化, 这些都可以被包括在如由随附权利要求所限定 的各种实施例的精神和范围之内。 此外, 在对实施例的以下说明中, 为了提供对本主题的实 施例的彻底理解陈述了许多具体的细节。 然而, 在没有这些具体的细节的情况下, 可以实现 各实施例。在其它实例中, 未对熟知的方法、 过程、 部件和电路进行详细的描述以便不会不 必要地使所描述的实施例的各方面模糊。
     概念和术语 除非具体地说明否则如根据以下的讨论显而易见的, 应当理解的是, 贯穿对实施例的 本说明, 利用诸如 “获得” 、 “访问” 、 “确定” 、 “使用” 、 “通信” 、 “选择” 、 “接收” 、 “生成” 、 “报告” 、 “使用” 、 “供应” 、 “配置” 、 “修改” 、 “验证” 等的术语的讨论指代计算机系统或电子计算设备的 行为和过程。 计算机系统或类似的电子计算设备对计算机系统的寄存器和存储器内的表示 为物理 ( 电子的 ) 量的数据进行操作并且将其变换为类似地表示为在计算机系统存储器或 寄存器或其它这样的信息存储、 传输或显示设备内的物理量的其它数据。本主题的某些实 施例也很适于其它计算机系统 ( 诸如, 例如光学和虚拟计算机 ) 的使用。讨论的介绍 参考图 1, 随着虚拟化的到来, 虚拟机 152、 154、 156、 158 能够在主机 120、 130 上执行。 虚拟机 (virtual machine, VM) 152、 154、 156、 158 具有各自的属性 162、 164、 166、 168( 在本 文中被称为 “实际虚拟机属性” ), 所述虚拟机被配置成与各自的属性一起执行。虚拟机属 性的几个示例包括分配的处理器的数量、 分配的存储器的量以及存储磁盘的数量和大小。
     主机 120、 130 也可以具有关于它们各自的虚拟机 152、 154、 156、 158 的属性的信息 122、 132。例如, VM 152 和 154 在主机 120 上执行。VM 156 和 158 在主机 130 上执行。主 机 120 具有关于 VM 152 的属性的信息 142 和关于 VM 154 的属性的信息 144。主机 130 具 有关于 VM 156 的属性的信息 146 和关于 VM 158 的属性的信息 148。
     在主机 120、 130 所具有的关于虚拟机 152、 154、 156、 158 的信息 142、 144、 146、 148 与 VM 152、 154、 156、 158 的实际属性 162、 164、 166、 168 之间可能存在差异。例如, 为了实行 犯罪, 怀有恶意的人可以修改实际属性 162、 164、 166、 168。在另一示例中, 由于配置错误或 者程序设计错误可能存在差异。因此, 根据一个实施例, 虚拟机验证器 200 将主机 120、 130 的关于虚拟机的属性的信息 142、 144、 146、 148 与实际虚拟机属性 162、 164、 166、 168 进行比 较以确定是否存在任何差异。 主机 120、 130 的关于其各自的虚拟机 152、 154、 156、 158 的信息 142、 144、 146、 148 和实际 VM 属性 162、 164、 166、 168 是与虚拟机属性有关的信息的源的示例, 可以将它们进 行比较以确定是否存在差异。与虚拟机属性有关的信息的源的其它示例是与网络地图 170 相关联的预期属性 176 以及规则 190。根据各种实施例, 虚拟机验证器 200 能够比较主机 120、 130 的信息 122、 132、 实际属性 162、 164、 166、 168、 预期属性 176 和规则 190 的各种组 合以确定在它们中的任何两个或多个之间是否存在差异。根据一个实施例, 虚拟机验证器 200 生成包括该虚拟机验证器 200 所确定的差异中的一个或多个的报告 199。如在本文中 所描述的, 虚拟机验证器 200 自动地确定差异。例如, 虚拟机验证器 200 能够连续地或周期 性地确定差异。
     虚拟机验证器 200 可以例如通过网络 179 与主机 120、 130、 网络地图 170 和规则 190 中的任何一个或多个进行通信或对其进行访问。该网络 179 可以是本地局域网或者因 特网。
     公用数据中心 公用数据中心 (UDC) 被用于自动地并且动态地供应来自资源池的资源, 以创建通常所 说的资源 “农场” 的计算环境。当不再使用计算环境时, UDC 能够将资源返回给池。UDC 能够 使用已返回的资源来自动地并且动态地供应另一计算环境 ( 通常也被称为 “重新供应” )。 除了别的以外, 能够被供应和重新供应的资源的示例是存储器、 联网构造、 服务器、 交换机、 计算机、 装置和网络元件 ( 诸如路由器 ) 以及虚拟机。服务器和计算机是 “计算资源” 的示 例。负载平衡器和防火墙是 “装置” 的示例。
     公用控制器 (UC)178( 图 1) 通常与 UDC 相关联。 除了别的以外, 公用控制器 178 管 理资源池并且确保农场的分段以提供一个农场与其它农场的安全隔离。 计算资源和装置通 常专用于农场 ( 也被称为 “专用资源” ), 而存储器和联网构造能够在农场之间被共享 ( 也 被称为 “共享资源” )。公用控制器 178 可以监控共享资源、 将故障或者重要事件 (诸如入侵 尝试) 警告给网络操作中心。
     公用控制器 178 能够被用于更新网络地图 170。根据一个实施例, 公用控制器 178 使用网络地图 170 作为至与数据中心相关联的资源的导引。例如, 每当通过公用控制器来 供应、 配置、 重新供应或重新配置新的资源, 公用控制器 178 可以更新网络地图 170。术语 “供应” 应该包括初始供应和重新供应。术语 “配置” 应该包括初始配置和重新配置。
     公用控制器 178 的示例包括但不限于 : HPTM Insight Control(HPTM 洞察控制 器) 、 HPTM Virtual connect(HPTM 虚 拟 连 接) 、 HPTM Insight Dynamics Virtual Server Environment(VSE) (HPTM 洞察动态虚拟服务器环境) 、 HPTM Storage Works (HPTM 存储件) 。公 TM 用数据中心的示例包括但不限于 : HP 的 Adaptive Infrastructure as a Service(作为 TM 服务的适应性基础设施) 和 HP 的 Flexible Computing Services(灵活计算服务) 。
     可以使用一个或多个公用控制器产品来例如利用公用计算模型以例如通过根据 需要供应和重新供应资源来动态地提供数据中心资源而使数据中心自动化。 这样的数据中 心能够被称作公用数据中心。术语 “云计算” 也已经被应用于这种类型的数据中心。使用 数据中心, 客户能够购买通过因特网交付的计算能力和信息存储器。
     主机和虚拟机 根据一个实施例, 主机 120、 130 是具有使虚拟机 152、 154、 156、 158 能够在主机 120、 130 上面执行的操作系统的硬件。主机 120、 130 可以是服务器机器。 根据一个实施例, 虚拟机 152、 154、 156、 158 是在主机 120、 130 的操作系统的上面 执行的系统镜像。虚拟机 152、 154、 156、 158 犹如它自身是机器一样地运行。虚拟机软件产 TM 品的一个示例是 VMware Inc. 的 VMwareTM 产品。
     为了修改虚拟机 152、 154、 156、 158 的实际属性 162、 164、 166、 168、 或者为了修改 主机 120、 130 的关于虚拟机的属性的信息 122、 132、 或其组合, 怀有恶意的个体可以利用与 虚拟机 152、 154、 156、 158 相关联的安全性设施, 如将变得更加明显的那样。各种实施例提 供用于检测恶意修改。
     可以利用由在网络操作中心 (NOC) 中的管理员所下发的命令来控制和配置主机 120、 130 以及虚拟机 152、 154、 156、 158。公用控制器 (UC) 能够被用来自动地供应和配置在 主机上的虚拟机。
     虚拟机属性 虚拟机属性是虚拟机被配置具有的属性。 虚拟机属性的示例包括但不限于分配给虚拟 机的处理器的数量、 分配给虚拟机的存储器的量、 由虚拟机所使用的存储磁盘的数量和大 小、 磁盘通道的最大输入 / 输出 (I/O) 速率、 与虚拟机相关联的网络接口卡 (NIC) 的数量、 每个 NIC 的最大 I/O 速率。
     虚拟机实际上被配置具有的虚拟机属性被称为 “实际虚拟机属性” 。实际 VM 属性 的示例是 162、 164、 166、 168。主机 120、 130 也可以包括关于主机 120、 130 将其虚拟机 152、 154、 156、 158 的属性 142、 144、 146、 148 理解成是什么的信息 122、 132。例如, 主机 120 具有 关于正在它上面执行的虚拟机 152、 154 的信息 142 和 144, 并且主机 130 具有关于正在它上 面执行的虚拟机 156、 158 的信息 146 和 148。
     网络地图 170 包括虚拟机 152、 154、 156、 158 被预期具有的属性。这些属性被称为 “预期虚拟机属性” 。分别与虚拟机 152、 154、 156 以及 158 相对应的预期虚拟机属性 182、 184、 186、 188 是网络地图 170 的预期虚拟机属性的示例。
     规则 190 也能够被用来确定关于虚拟机属性的信息。能够被基于规则 190 来确定 的属性 192、 194、 196、 198 应该被称为 “VM 规则属性” 。
     网络地图 根据一个实施例, 网络地图 170 存储由例如与数据中心相关联的主机 120、 130 作为其 主机的虚拟机 152、 154、 156、 158 的预期 VM 属性 176。根据一个实施例, 网络地图 170 是机 器可读的。网络地图 170 可以由公用控制器来自动地更新。然而, 网络地图 170 可以由与 网络操作中心相关联的管理员来手动地更新。因此, 甚至在不包括公用控制器的系统 100 中也可以使用网络地图 170 作为验证虚拟机属性的一部分。
     网络地图 170 可以包括各虚拟机 152、 154、 156、 158 的预期属性 182、 184、 186、 188。 如图 1 中所描绘的, 预期 VM 属性 182 与 VM 152 相关, 预期 VM 属性 184 与 VM 154 相关, 预 期 VM 属性 186 与 VM 156 相关, 以及预期 VM 属性 188 与 VM 158 相关。
     网络地图 170 可以包括主机 120、 130 的位置 172 和虚拟机 152、 154、 156、 158 的位 置 174。主机 120 的位置被存储为位置 1721 并且主机 130 的位置被存储为网络地图 170 的 主机位置 172 的位置 1722。VM 152 的位置被存储为位置 1741, VM 154 的位置被存储为位 置 1742, VM 156 的位置被存储为位置 1743, 以及 VM 158 的位置被存储为位置 1744。根据 一个实施例, 主机 120、 130 或虚拟机 152、 154、 156、 158 的位置 172、 1722、 1741-1744 是因特 网协议 (IP) 地址。
     为了简单起见, 在网络地图 170 中分别地描绘主机位置 172、 VM 位置 174 以及预期 VM 属性 176。然而, 根据一个实施例, 与主机相关的信息被分组在一起并且与虚拟机相关的 信息被分组在一起。 例如, 主机的位置和在该主机上执行的虚拟机可能与该主机被组成组。 虚拟机的位置和该虚拟机的预期属性可能被分组在一起。更具体而言, 网络地图 170 可以 以表 2 中所示出的顺序包括其内容。
     表 2 根据一个实施例的、 内容与网络地图 170 相关联的顺序。描述 主机 120 的位置 VM152 的位置 VM152 的预期属性 VM154 的位置 VM154 的预期属性 主机 130 的位置 VM156 的位置 VM156 的预期属性 VM158 的位置 VM158 的预期属性
     附图标记 1721 1741 182 1742 184 1722 1743 186 1744 188根据一个实施例, 以信息出现在网络地图 170 中的顺序来访问关于 VM 属性的信息 的各种源。继续该示例, 从网络地图 170 来访问主机 120 的位置 1721, 并且使用主机 120 的 位置 1721 来定位主机 120 和访问关于虚拟机的属性的信息 122。 在网络地图 170 中访问 VM 152 的位置 1741 并且使用 VM 152 的位置 1741 来访问 VM 152 的实际属性 162。可以将 VM 152 的实际属性 162 与 VM 152 的预期属性 182 进行比较。在网络地图 170 中访问 VM 154 的位置 1742 并且使用 VM 154 的位置 1742 来访问 VM 154 的实际属性 164, 等等。
     根据一个实施例, 网络地图 170 不包括预期 VM 属性 176。在这种情况下, 各种实 施例可以使用主机位置 172 或 VM 位置 174、 或其组合。根据一个实施例, 网络地图 170 不包括 VM 位置 174。在这种情况下, 各种实施例可以使用主机位置 172 来访问主机 120、 130。 主机 120、 130 能够提供他们各自的 VM 152-158 的位置。
     根据一个实施例, 网络地图 170 被存储在数据库中。根据一个实施例, 网络地图 170 是 “配置管理数据库” 或者 CMDB。
     规则 规则 190 提供指定关于预期或禁用配置 ( 诸如预期或禁用 VM 属性 ) 的策略的方法。 违 反规则 190 使得能发现作为诙谐错误 (humor error) 或恶意活动的结果的配置。规则 190 能够包括为被用来配置虚拟机的属性指定的最小值和最大值, 以及在属性之间的关系的约 束。规则 190 能够容易地被改写成反映用于不同数据中心的不同策略。根据一个实施例, 规则 190 是以扩展标记语言 (XML) 来写成的。尽管规则 190 的示例中的许多示例使用 XML, 但是可以使用提供能够被用于指定规则 190 的语法的任何语言。
     规则 190 可以包括包含用于 VM 152-158 的一个或多个规则的 VM 规则属性 192、 194、 196、 198。如图 1 中所描绘的, VM 规则属性 192 与 VM 152 相关, VM 规则属性 194 与 VM 154 相关, VM 规则属性 196 与 VM 156 相关, 以及 VM 规则属性 198 与 VM 158 相关。为了简 便起见, 规则 190 被描绘成具有用于 VM 152、 154、 156、 158 中的每一个的 VM 规则属性 192、 194、 196、 198。然而, 规则可以与不止一个的 VM 152、 154、 156、 158 相关。例如, VM 规则属 性 192 和 VM 规则属性 196 两者都可以包括相同规则中的一个或多个。下面的表 1 描绘了 若干示例性规则。
     表1: 示例性规则如表 1 中所描绘的, 每个规则 1-6 包括各种子句。使用语法 (syntax) 来描述规则和 与那些规则 1-6 相关联的子句。除了别的以外, 子句的示例是规则名称 (rule name) 、 相 关性 (dependencies) 、 说明 (specifications) 。除了别的以外, 语法的示例包括后面是 用于引进子句的子句名称的左括号 < 和后面是斜线的左括号、 即 , ” 开始, 相关性以 “, ” 开始, 以及说明以“” 开始。规则名称以 结束, 相关性以 “” 结束, 说明以 结束。可以在子句的开始与子句的结束之间找到子句的 内容。例如, 参考第 1 个规则, 可以在作为说明子句的开始的 与作为说 明子句的结束的 之间找到 1 8
     子句能够嵌入在其它子句的内部。 例如参考规则 1, 子句 “ 1 ” 嵌入在说明子句的内部。
     规则 1-6 与用于各种虚拟机属性的最小和最大值相关。规则 1 指定虚拟机可以具 有不少于 1 个的处理器并且不多于 8 个的处理器。规则 2 在相关性子句中提到具有单个处 理器的任何虚拟机。 规则 2 的说明子句指示单个处理器 VM 可以具有不小于 200 兆字节 (MB) 的存储器和不大于 400MB 的存储器。规则 3 提到具有两个处理器的任何虚拟机。规则 3 的 说明子句指示双处理器 VM 可以具有不小于 2 千兆字节 (GB) 的磁盘空间和不大于 4GB 的磁 盘空间。规则 4 是磁盘与存储器比率规则。相关性子句指示规则 4 适用于具有 1GB 至 2GB 的磁盘空间的 VM。规则 4 的说明子句指示具有 1GB 至 2GB 的磁盘空间的任何虚拟机应该具 有不小于 200MB 的存储器和不大于 400MB 的存储器。规则 5 和 6 被用来基于与主机相关联 的虚拟机的数量来对主机进行分类。 规则 5 与称作 “Super-Alpha” 的大型主机相关, 所述大 型主机可以具有无论在何处的 0 个至 16 个的 VM。规则 6 与称作 “Alpha-Low” 的较小型主 机相关, 所述较小型主机可以具有无论在何处的 0 个至 4 个的 VM。使用标签 将名称 “Super-Alpha” 和 “Alpha-Low” 分别与规则 5 和 6 相关联。
     可以使用不同类型的规则 ( 诸如 VM 属性范围规则和 VM 属性关系规则 ) 来实现 VM 规则属性。在表 1 中示出的规则是 VM 属性范围规则的示例。在表 1 中示出的规则 4 是 VM 属性关系规则的示例。
     规则 190 也可以被用来指定 : 某些类型的设备使用大量的能量并且因此可连接 至大型交换机, 反之其它类型的设备使用相对小量的能量并且因此可连接至相对小的交换 机。
     根据一个实施例, 规则 190 被存储在数据库中。规则 190 和网络地图 170 可以被 存储在相同的数据库中。
     差异 除了别的以外, 在信息 122、 132、 162-168、 182-188 以及 190 的各种源之间的差异可能 是由于配置错误、 程序设计错误或怀有恶意的个体的行为。 除了别的以外, 差异的示例包括 信息 122、 132、 162-168、 182-188 以及 190 的源中的两个或多个具有用于虚拟机属性的不同 的值。更具体而言, 信息的源中的一个可以指示虚拟机具有 1 个处理器, 而另一信息源可以 指示同一虚拟机具有 2 个处理器。另一示例是信息的源中的两个指示用于虚拟机的不同量 的存储器。处理器的数量和分配的存储器的量仅仅是虚拟机属性的类型的两个示例。信息 的两个或多个源可以指示任何类型的虚拟机属性的差异。 信息的源包括但不限于实际虚拟 机属性值、 关于 VM 属性值的主机信息、 经由规则确定的属性 ( 也被称为 VM 规则属性 ) 以及 网络地图中的预期值。
     在又一示例中, 差异可以是 : 信息 122、 132、 162-168、 182-188 以及 190 的两个或多 个源指示虚拟机的不同数量。由于主机 120、 130 是物理的并且能够被看见, 所以可以通过检查来确定主机是否已经被移除或增加。然而, 虚拟机不能够被看见并且因此按照惯例难 以确定虚拟机是否已经被增加或已被从例如主机或数据中心移除。
     不管可以采取何种安全措施来保护设施, 怀有恶意的个体可能都能够修改虚拟机 152-158 的实际 VM 属性 162-168。怀有恶意的个体可能也能够修改主机 120、 130 所具有的 关于虚拟机的属性的信息 142、 144、 146、 148。例如, 怀有恶意的个体可以修改 VM 152 的实 际 VM 属性 162 和用于同一虚拟机 152 的主机 120 的信息 142 两者中的存储器分配属性的 量。在这种情况下, 将与实际 VM 属性 162 中的存储器分配属性相关联的值与主机 120 的信 息 142 进行比较将不会使能检测。 然而, 仍然可以通过以下方式来检测到恶意的修改 : 计算 在主机 120 所具有的用于其所有虚拟机 152、 154 的信息 142 和 144 中指示的存储器的量的 总和 A, 并且计算在用于与主机 120 相关联的所有虚拟机 152、 154 的实际 VM 属性 162、 164 中指示的所有的存储器的量的总和 B, 然后将总和 A 与总和 B 进行比较。 如果怀有恶意的个 体从虚拟机 152 偷取了存储器并且修改了该虚拟机 152 的实际 VM 属性 162, 则在总和 A 与 总和 B 之间将存在差异。如果怀有恶意的个体从虚拟机 152 偷取了存储器并且修改了该虚 拟机 152 的实际 VM 属性 162 和主机 120 的关于该同一虚拟机 152 的信息 142, 则在总和 A 与网络地图 170 中的预期值之间存在差异, 或者在总和 B 与网络地图 170 之间可能存在差 异, 或两者都存在差异。
     根据一个实施例, 将主机 120、 130 的关于虚拟机 152-158 的信息 122、 132 或虚拟 机 152-158 的实际 VM 属性 162-168 或其组合与网络地图 170 或规则 190 或者其组合进行 比较。即使怀有恶意的个体成功修改了虚拟机 152 的实际 VM 属性 162 和主机 120 的关于 虚拟机 152 的信息 142, 该个体将还是不能够修改网络地图 170 或规则 190。
     虚拟机验证器 图 2 描绘了根据一个实施例的、 用于验证虚拟机属性的虚拟机验证器的方框图。在图 2 中表示特征的方框能够不同于如所图示的那样来布置, 并且能够实现另外的或比在本文 中所描述的更少的特征。进一步地, 由图 2 中的方框所表示的特征能够以各种方式相结合。 能够使用软件、 硬件、 固件或其组合来实现虚拟机验证器 200。
     如图 2 中所描绘的, 虚拟机验证器 200 包括虚拟机属性信息存取器 210( 在本文中 被称为 “属性信息存取器” )、 实际虚拟机属性存取器 220( 在本文中被称为 “实际属性存取 器” )、 虚拟机属性差异确定器 230( 在本文中被称为 “差异确定器” )、 以及在至少某些实施 例中的预期虚拟机属性存取器 240( 在本文中被称为 “预期属性存取器” ) 和虚拟机规则属 性存取器 250( 在本文中被称为 “规则属性存取器” )。
     属性信息存取器 210 被配置成用于从虚拟机在上面执行的主机获得关于虚拟机 的属性的信息。实际属性存取器 220 被配置成用于从虚拟机获得实际虚拟机属性。差异确 定器 230 被配置成用于通过比较关于属性的信息与实际虚拟机属性来确定在关于属性的 信息与实际虚拟机属性之间是否存在差异。
     预期属性存储器 240 被配置成用于从网络地图 170 访问预期虚拟机属性。规则属 性存取器 250 被配置成用于访问规则以获得虚拟机的虚拟机规则属性。
     根据一个实施例, 差异确定器 230 确定在关于 VM 属性的信息 142、 实际 VM 属性 162、 预期 VM 属性 182 以及特定的虚拟机 152 的 VM 规则属性 192 中的任何两个或多个之间 的差异。根据一个实施例, 虚拟机验证器 200 是一种设备。根据一个实施例, 该设备可以包 括具有计算机可读存储介质, 在该计算机可读存储介质上存储有指令, 其中所述指令实现 210、 220、 230、 240、 250。该设备可以包括执行存储在计算机可读存储介质上的指令的处理 器。
     用于验证虚拟机属性的计算机实施的方法的举例说明 图 3 和图 4 是根据各种实施例的、 用于验证虚拟机属性的计算机实施的方法的流程图。 尽管在流程图 300 和 400 中公开了具体的步骤, 但是此类步骤是示例性的。也就是, 本发明 的实施例很适于执行各种其它步骤或在流程图 300 和 400 中叙述的步骤的变体。应该理解 的是, 流程图 300 和 400 中的步骤可以以不同于所呈现的顺序的顺序来执行, 并且可以执行 流程图 300 和 400 中的步骤的并非全部。
     对流程图 300( 图 3) 的以下描述参考图 1。
     在 310 处, 方法开始。
     在 320 处, 从虚拟机 152 在上面执行的主机 120 获得关于虚拟机 152 的属性的信 息 142。主机 120 的位置 1721 可以从网络地图 170 来获得并且被用来从主机 120 获得信息 142。
     在 330 处, 从虚拟机 152 获得实际虚拟机属性 162。虚拟机 152 的位置 1741 可以 从网络地图 170 来获得并且被用来从虚拟机 152 获得实际虚拟机属性 162。 可选地, 虚拟机 152 的位置可以从作为虚拟机 152 的主机的主机 120 获得。
     在 340 处, 通过将信息 142 与实际虚拟机属性 162 进行比较来确定关于属性的信 息 142 与实际虚拟机属性 162 之间的一个或多个差异。
     在 350 处, 方法结束。
     对流程图 400( 图 4) 的以下描述参考图 1。
     在 401 处, 从网络地图 170 访问虚拟机 152 的预期虚拟机属性 182。
     在 402 处, 确定在 401 处从网络地图 170 所获得的预期虚拟机属性 182 与在 320 处从主机 120 所获得的关于虚拟机 152 的属性的信息 142 之间的差异。
     在 403 处, 确定在 401 处从网络地图 170 所获得的预期虚拟机属性 182 与在 330 处从虚拟机 152 所获得的实际虚拟机属性 162 之间的差异。
     在 404 处, 访问规则 190 以获得虚拟机 152 的虚拟机规则属性 192。规则 190 可以 包括用于多于一个的虚拟机 152、 154、 156、 158 的规则。因此, 可以搜索规则 190 以得到与 虚拟机 152 相关的属性 192。
     在 405 处, 确定在 401 处从网络地图 170 所获得的预期虚拟机属性 182 与在 404 处从规则 190 所获得的虚拟机规则属性 192 之间的差异。
     在 406 处, 确定在 404 处所获得的虚拟机规则属性 192 与在 320 处从主机 120 所 获得的关于虚拟机 152 的属性的信息 142 之间的差异。
     在 407 处, 确定在 404 处所获得的虚拟机规则属性 192 与在 330 处所获得的实际 虚拟机属性 162 之间的差异。
     可以生成在 340、 403、 405 或 406 处 ( 图 3 和图 4) 所确定的差异中的任何一个或 多个的报告。报告 199 可以由虚拟机验证器 200 来生成。报告 199 可以被打印在纸上或者 可以被保持为存储在电子设备上的数字信息。尽管在虚拟机 152 的实际虚拟机属性 162、 从主机 120 所获得的关于虚拟机 152 的属性的信息 142、 网络地图 170 的与虚拟机 152 相对应的预期属性 182 以及虚拟机规则 属性 192 的背景下对 320-340 以及 401-406 进行了描述, 但是除了别的以外, 各种实施例都 很适于确定在 144、 164、 184 与 194 之间、 或在 146、 166、 186 与 196 之间、 或在 148、 168、 188 与 198 之间的差异。在另一示例中, 差异可以通过将各信息组彼此进行比较来确定。在具 体示例中, 可以计算在主机 120 所具有的关于其所有虚拟机 142、 154 的信息 142 和 144 中 报告的存储器的量的总和 A, 并且可以计算在用于与主机 120 相关联的全部虚拟机 152、 154 的实际 VM 属性 162、 164 中报告的所有的存储器的量的总和 B。可以将总和 A 与总和 B 进 行比较。如果怀有恶意的个体从虚拟机 152 偷取了存储器并且修改了该虚拟机 152 的实际 VM 属性 162 和主机 120 的关于该同一虚拟机 152 的信息 142, 则在总和 A 与总和 B 之间将 存在差异。
     尽管以顺序描绘了操作 401-407, 但是可以执行操作 401-407 的其它排列。例如, 可以执行操作 401-403 而不执行 404-407。可以执行操作 401、 404 以及 405, 而不执行操作 402、 403、 406 以及 407。可以执行操作 404、 406 以及 407, 而不执行操作 401-403 以及 405。
     进一步地, 如在本文中所讨论的, 根据一个实施例, 以信息出现在网络地图 170 中 的顺序来访问关于 VM 属性的信息的各种源 122、 132、 162、 164、 166、 168、 182、 184、 186、 188、 190。表 2 描绘了信息在网络地图 170 中可以出现的顺序的示例。 根据一个实施例, 属性信息存取器 210 执行操作 220, 实际属性存取器 220 执行操 作 330, 预期属性存取器 240 执行操作 401, 规则属性存取器 250 执行操作 404, 并且差异确 定器 230 执行操作 340。差异确定器 3230 也可以执行操作 402、 403、 405-407 中的任何一个 或多个。
     计算机可读存储介质 在本文中所描述的实施例中的任何一个或多个都能够使用计算机可读存储介质和驻 留在例如计算机系统或类似设备的计算机可读介质中的计算机可执行指令来实现。 计算机 可读存储介质可以是指令能够存储在上面的任何种类的存储器。 计算机可读存储介质的示 例包括但不限于磁盘、 紧致盘 (CD)、 数字多功能设备 (DVD)、 只读存储器 (ROM)、 闪存, 等等。 如上文中所描述的, 在一个实施例中, 本发明的实施例的某些过程和步骤被实现为驻留在 计算机系统的计算机可读存储存储器内部并且由计算机系统的处理器来执行的一系列指 令 ( 例如, 软件程序 )。当被执行时, 所述指令使计算机系统实现本发明的实施例的功能。
     结论 已经以各种组合对各种实施例进行了描述。 然而, 可以结合任何两个或更多个实施例。 进一步地, 任何实施例都可以与任何其它实施例相分开地被使用。
     这样描述了本主题的示例实施例。尽管已经采用特定于结构特征和 / 或方法行为 的语言描述了本主题的各种实施例, 但是应该理解的是, 随附权利要求未必限于在上文中 所描述的具体特征或行为。相反地, 在上文中所描述的具体特征和行为被公开作为实现各 权利要求的示例形式。
    

验证虚拟机.pdf_第1页
第1页 / 共23页
验证虚拟机.pdf_第2页
第2页 / 共23页
验证虚拟机.pdf_第3页
第3页 / 共23页
点击查看更多>>
资源描述

《验证虚拟机.pdf》由会员分享,可在线阅读,更多相关《验证虚拟机.pdf(23页珍藏版)》请在专利查询网上搜索。

1、10申请公布号CN102362258A43申请公布日20120222CN102362258ACN102362258A21申请号200980158275522申请日20090123G06F9/44200601G06F15/1620060171申请人惠普开发有限公司地址美国德克萨斯州72发明人D格拉夫74专利代理机构中国专利代理香港有限公司72001代理人刘金凤王洪斌54发明名称验证虚拟机57摘要根据一个实施例,对虚拟机属性进行验证。从所述虚拟机152在上面执行的主机120获得320关于虚拟机152的属性的信息142。从所述虚拟机152获得330实际虚拟机属性162。通过比较关于所述属性的所述信息。

2、142与所述实际虚拟机属性162来确定340在关于所述属性的所述信息142与所述实际虚拟机属性162之间的差异。85PCT申请进入国家阶段日2011092386PCT申请的申请数据PCT/US2009/0318982009012387PCT申请的公布数据WO2010/085255EN2010072951INTCL19中华人民共和国国家知识产权局12发明专利申请权利要求书4页说明书10页附图4页按照条约第19条修改的权利要求书4页CN102362275A1/4页21一种验证虚拟机的计算机实施的方法,所述方法包括从虚拟机152,154,156,158在上面执行的主机120,130获得320关于所述。

3、虚拟机152,154,156,158的一个或多个属性的信息142,144,146,148;从所述虚拟机152,154,156,158获得330一个或多个实际虚拟机属性162,164,166,168;以及通过比较关于所述属性的所述信息142,144,146,148与所述实际虚拟机属性162,164,166,168来确定340在关于所述属性的所述信息142,144,146,148与所述实际虚拟机属性162,164,166,168之间是否存在差异。2如权利要求1所述的计算机实施的方法进一步包括从网络地图170访问401一个或多个预期虚拟机属性182,184,186,188;并且其中所述确定340是否。

4、存在差异进一步包括确定402在由所述网络地图170提供的所述预期虚拟机属性182,184,186,188与从所述主机120获得的关于所述属性的所述信息142,144,146,148之间是否存在差异,以及确定403在由所述网络地图170提供的所述预期虚拟机属性182,184,186,188与从所述虚拟机152,154,156,158所获得的所述实际虚拟机属性162,164,166,168之间是否存在差异。3如权利要求2所述的计算机实施的方法进一步包括访问404规则190以获得所述虚拟机152,154,156,158的一个或多个虚拟机规则属性192,194,196,198;并且其中所述确定340是。

5、否存在差异进一步包括确定405在来自所述网络地图170的所述预期虚拟机属性182,184,186,188与所述虚拟机规则属性192,194,196,198之间是否存在差异。4如权利要求1至3中的任一项所述的计算机实施的方法进一步包括访问404规则190以获得所述虚拟机152,154,156,158的一个或多个虚拟机规则属性192,194,196,198;并且其中所述确定340是否存在差异进一步包括确定406在所述虚拟机规则属性192,194,196,198与从所述主机120,130获得的关于所述属性的所述信息142,144,146,148之间是否存在差异,以及确定407在所述虚拟机规则属性19。

6、2,194,196,198与从所述虚拟机152,154,156,158获得的所述实际虚拟机属性(162)之间是否存在差异。5如前述任一项权利要求所述的计算机实施的方法,其中,所述属性选自包括下述项的组分配给所述虚拟机152,154,156,158的处理器的数量;分配给所述虚拟机152,154,156,158的存储器的量;由所述虚拟机152,154,156,158使用的存储磁盘的数量和大小;磁盘通道的最大输入/输出I/O速率;与所述虚拟机152,154,156,158相关联的网络接口卡NIC的数量以及与所述虚拟机152,154,156,158相关联的每个NIC的所述最大I/O速率。6一种用于验证。

7、虚拟机的设备,所述设备包括权利要求书CN102362258ACN102362275A2/4页3用于执行指令的处理器;和计算机可读介质,其中所述处理器所执行的所述指令存储在所述计算机可读介质上,其中所述处理器执行实现以下各项的所述指令虚拟机属性信息存取器210,其被配置成用于从所述虚拟机152,154,156,158在上面执行的主机120,130获得320关于虚拟机152,154,156,158的一个或多个属性的信息142,144,146,148;实际虚拟机属性存取器220,其被配置成用于从所述虚拟机152,154,156,158获得330一个或多个实际虚拟机属性162,164,166,168;。

8、以及虚拟机属性差异确定器230,其被配置成用于通过比较关于所述属性的所述信息142,144,146,148与所述实际虚拟机属性162,164,166,168来确定340在关于所述属性的所述信息152,154,156,158与所述实际虚拟机属性162,164,166,168之间是否存在差异。7如权利要求6所述的设备,进一步包括预期虚拟机属性存取器240,其被配置成用于从网络地图170访问401一个或多个预期虚拟机属性182,184,186,188;并且所述虚拟机属性差异确定器230被配置成用于确定402在由所述网络地图170提供的所述预期虚拟机属性182,184,186,188与从所述主机120。

9、获得的关于所述属性的所述信息142,144,146,148之间是否存在差异,并且确定403在由所述网络地图170提供的所述预期虚拟机属性182,184,186,188与从所述虚拟机152,154,156,158获得的所述实际虚拟机属性162,164,166,168之间是否存在差异。8如权利要求7所述的设备,进一步包括虚拟机规则属性存取器250,其被配置成用于访问404规则190以获得所述虚拟机152,154,156,158的一个或多个虚拟机规则属性192,194,196,198;并且所述虚拟机属性差异确定器230被配置成用于确定405在来自所述网络地图170的所述预期虚拟机属性182,184,。

10、186,188与所述虚拟机规则属性192,194,196,198之间是否存在差异。9如权利要求6至8中的任一项所述的设备,进一步包括虚拟机规则属性存取器250,其被配置成用于访问404规则190以获得所述虚拟机152,154,156,158的一个或多个虚拟机规则属性192,194,196,198;并且所述虚拟机属性差异确定器230被配置成用于确定406在所述虚拟机规则属性192,194,196,198与从所述主机120、130获得的关于所述属性的所述信息142,144,146,148之间是否存在差异,以及确定407在所述虚拟机规则属性192,194,196,198与从所述虚拟机152,154,。

11、156,158获得的所述实际虚拟机属性162,164,166,168之间是否存在差异。10如权利要求6至9中的任一项所述的设备,其中,所述设备进一步包括位置存取器,其被配置成用于访问所述主机120,130的位置1721,1722和所述虚拟机152,154,156,158的位置1741,1742,1743,1744,其中所述位置1721,权利要求书CN102362258ACN102362275A3/4页41722,1741,1742,1743,1744被存储在网络地图170中;所述虚拟机属性信息存取器310使用所述位置1721,1722作为获得320关于属性的所述信息142,144,146,14。

12、8的一部分;并且所述实际虚拟机属性存取器320使用所述位置(1741,1742,1743,1744作为获得340所述实际虚拟机属性162,164,166,168的一部分。11一种计算机可读存储介质,其具有存储在其上的用于使计算机系统执行验证虚拟机的方法的计算机可读程序指令,所述方法包括从虚拟机152,154,156,158在上面执行的主机120、130获得320关于所述虚拟机152,154,156,158的一个或多个属性的信息142,144,146,148;从所述虚拟机152,154,156,158获得330一个或多个实际虚拟机属性162,164,166,168;以及通过比较关于所述属性的所述。

13、信息142,144,146,148与所述实际虚拟机属性162,164,166,168来确定在关于所述属性的所述信息142,144,146,148与所述实际虚拟机属性162,164,166,168之间是否存在差异。12如权利要求11所述的计算机可读存储介质其中所述方法进一步包括从网络地图170访问401一个或多个预期虚拟机属性182,184,186,188;并且其中所述确定340是否存在差异进一步包括用于进行以下动作的指令确定402在由所述网络地图170提供的所述预期虚拟机属性182,184,186,188与从所述主机120、130获得的关于所述属性的所述信息142,144,146,148之间是。

14、否存在差异,以及确定403在由所述网络地图170提供的所述预期虚拟机属性182,184,186,188与从所述虚拟机152,154,156,158获得的所述实际虚拟机属性162,164,166,168之间是否存在差异。13如权利要求12所述的计算机可读存储介质其中所述方法进一步包括访问404规则190以获得所述虚拟机152,154,156,158的一个或多个虚拟机规则属性192,194,196,198;并且其中所述确定340是否存在差异进一步包括用于确定405在来自所述网络地图170的所述预期虚拟机属性182,184,186,188与所述虚拟机规则属性192,194,196,198之间是否存在。

15、差异的指令。14如权利要求11所述的计算机可读存储介质其中所述方法进一步包括访问404规则190以获得所述虚拟机152,154,156,158的一个或多个虚拟机规则属性192,194,196,198;并且其中所述确定340是否存在差异进一步包括用于进行以下动作的指令确定406在所述虚拟机规则属性192,194,196,198与从所述主机120、130获得的关于所述属性的所述信息142,144,146,148之间是否存在差异,以及确定407在所述虚拟机规则属性192,194,196,198与从所述虚拟机152,154,156,158获得的所述实际虚拟机属性162,164,166,168之间是否存。

16、在差异。15如权利要求11所述的计算机可读存储介质,其中,所述方法进一步包括权利要求书CN102362258ACN102362275A4/4页5使用公用控制器来自动地更新所述网络地图170,其中所述公用控制器与自动地向所述主机120,130进行供应的公用数据中心相关联。权利要求书CN102362258ACN102362275A1/10页6验证虚拟机背景技术0001现代数据中心经常采用虚拟服务器技术,其中大量的虚拟化计算机服务器在相对较少数量的主机服务器上执行。主机服务器是通常所说的“主机”的示例而虚拟化计算机服务器是通常所说的“虚拟机”的示例。0002怀有恶意的个体可以重新配置虚拟机来犯罪。例。

17、如,怀有恶意的个体可以增加处理器的数量和网络带宽以为跨越网络进行拒绝服务DOS攻击做准备。在另一示例中,例如,为了隐藏信息,怀有恶意的个体可以增加虚拟机的磁盘空间。进一步地,怀有恶意的个体可以将构造CONSTRUCT放置在虚拟机上,从而使得虚拟机将报告其具有预期的配置,以屏蔽或隐藏所做出的恶意修改。怀有恶意的个体也可以将构造放置在主机上来隐藏恶意修改。提供适当的注意来确保虚拟机的安全性和完整性可能是昂贵的。附图说明0003被并入对实施例的本说明中并且形成对实施例的本说明的一部分的附图图示了本发明的各种实施例,并且与本说明一起用来解释在下文中所讨论的原理图1是根据一个实施例的、用于验证虚拟机属性。

18、的方框图。0004图2是根据一个实施例的、用于验证虚拟机属性的虚拟机验证器的方框图。0005图3和图4是根据各种实施例的、用于验证虚拟机属性的计算机实施的方法的流程图的方框图。0006除非具体地指出,在本简要说明中所提到的图不应该被理解成是按比例绘制的。具体实施方式0007现将详细地参考本主题的各种实施例,本主题的示例被图示在附图中。虽然在本文中讨论了各种实施例,但是将理解的是,它们并不意图限于这些实施例。相反地,所呈现的实施例意图函盖替换、修改和等同变化,这些都可以被包括在如由随附权利要求所限定的各种实施例的精神和范围之内。此外,在对实施例的以下说明中,为了提供对本主题的实施例的彻底理解陈述。

19、了许多具体的细节。然而,在没有这些具体的细节的情况下,可以实现各实施例。在其它实例中,未对熟知的方法、过程、部件和电路进行详细的描述以便不会不必要地使所描述的实施例的各方面模糊。0008概念和术语除非具体地说明否则如根据以下的讨论显而易见的,应当理解的是,贯穿对实施例的本说明,利用诸如“获得”、“访问”、“确定”、“使用”、“通信”、“选择”、“接收”、“生成”、“报告”、“使用”、“供应”、“配置”、“修改”、“验证”等的术语的讨论指代计算机系统或电子计算设备的行为和过程。计算机系统或类似的电子计算设备对计算机系统的寄存器和存储器内的表示为物理电子的量的数据进行操作并且将其变换为类似地表示为。

20、在计算机系统存储器或寄存器或其它这样的信息存储、传输或显示设备内的物理量的其它数据。本主题的某些实施例也很适于其它计算机系统诸如,例如光学和虚拟计算机的使用。说明书CN102362258ACN102362275A2/10页70009讨论的介绍参考图1,随着虚拟化的到来,虚拟机152、154、156、158能够在主机120、130上执行。虚拟机(VIRTUALMACHINE,VM)152、154、156、158具有各自的属性162、164、166、168在本文中被称为“实际虚拟机属性”,所述虚拟机被配置成与各自的属性一起执行。虚拟机属性的几个示例包括分配的处理器的数量、分配的存储器的量以及存储磁。

21、盘的数量和大小。0010主机120、130也可以具有关于它们各自的虚拟机152、154、156、158的属性的信息122、132。例如,VM152和154在主机120上执行。VM156和158在主机130上执行。主机120具有关于VM152的属性的信息142和关于VM154的属性的信息144。主机130具有关于VM156的属性的信息146和关于VM158的属性的信息148。0011在主机120、130所具有的关于虚拟机152、154、156、158的信息142、144、146、148与VM152、154、156、158的实际属性162、164、166、168之间可能存在差异。例如,为了实行犯罪。

22、,怀有恶意的人可以修改实际属性162、164、166、168。在另一示例中,由于配置错误或者程序设计错误可能存在差异。因此,根据一个实施例,虚拟机验证器200将主机120、130的关于虚拟机的属性的信息142、144、146、148与实际虚拟机属性162、164、166、168进行比较以确定是否存在任何差异。0012主机120、130的关于其各自的虚拟机152、154、156、158的信息142、144、146、148和实际VM属性162、164、166、168是与虚拟机属性有关的信息的源的示例,可以将它们进行比较以确定是否存在差异。与虚拟机属性有关的信息的源的其它示例是与网络地图170相关联。

23、的预期属性176以及规则190。根据各种实施例,虚拟机验证器200能够比较主机120、130的信息122、132、实际属性162、164、166、168、预期属性176和规则190的各种组合以确定在它们中的任何两个或多个之间是否存在差异。根据一个实施例,虚拟机验证器200生成包括该虚拟机验证器200所确定的差异中的一个或多个的报告199。如在本文中所描述的,虚拟机验证器200自动地确定差异。例如,虚拟机验证器200能够连续地或周期性地确定差异。0013虚拟机验证器200可以例如通过网络179与主机120、130、网络地图170和规则190中的任何一个或多个进行通信或对其进行访问。该网络179可。

24、以是本地局域网或者因特网。0014公用数据中心公用数据中心UDC被用于自动地并且动态地供应来自资源池的资源,以创建通常所说的资源“农场”的计算环境。当不再使用计算环境时,UDC能够将资源返回给池。UDC能够使用已返回的资源来自动地并且动态地供应另一计算环境通常也被称为“重新供应”。除了别的以外,能够被供应和重新供应的资源的示例是存储器、联网构造、服务器、交换机、计算机、装置和网络元件诸如路由器以及虚拟机。服务器和计算机是“计算资源”的示例。负载平衡器和防火墙是“装置”的示例。0015公用控制器UC178图1通常与UDC相关联。除了别的以外,公用控制器178管理资源池并且确保农场的分段以提供一个。

25、农场与其它农场的安全隔离。计算资源和装置通常专用于农场也被称为“专用资源”,而存储器和联网构造能够在农场之间被共享也被称为“共享资源”。公用控制器178可以监控共享资源、将故障或者重要事件(诸如入侵尝试)警告给网络操作中心。说明书CN102362258ACN102362275A3/10页80016公用控制器178能够被用于更新网络地图170。根据一个实施例,公用控制器178使用网络地图170作为至与数据中心相关联的资源的导引。例如,每当通过公用控制器来供应、配置、重新供应或重新配置新的资源,公用控制器178可以更新网络地图170。术语“供应”应该包括初始供应和重新供应。术语“配置”应该包括初始。

26、配置和重新配置。0017公用控制器178的示例包括但不限于HPTMINSIGHTCONTROL(HPTM洞察控制器)、HPTMVIRTUALCONNECT(HPTM虚拟连接)、HPTMINSIGHTDYNAMICSVIRTUALSERVERENVIRONMENTVSE(HPTM洞察动态虚拟服务器环境)、HPTMSTORAGEWORKS(HPTM存储件)。公用数据中心的示例包括但不限于HPTM的ADAPTIVEINFRASTRUCTUREASASERVICE(作为服务的适应性基础设施)和HPTM的FLEXIBLECOMPUTINGSERVICES(灵活计算服务)。0018可以使用一个或多个公用控。

27、制器产品来例如利用公用计算模型以例如通过根据需要供应和重新供应资源来动态地提供数据中心资源而使数据中心自动化。这样的数据中心能够被称作公用数据中心。术语“云计算”也已经被应用于这种类型的数据中心。使用数据中心,客户能够购买通过因特网交付的计算能力和信息存储器。0019主机和虚拟机根据一个实施例,主机120、130是具有使虚拟机152、154、156、158能够在主机120、130上面执行的操作系统的硬件。主机120、130可以是服务器机器。0020根据一个实施例,虚拟机152、154、156、158是在主机120、130的操作系统的上面执行的系统镜像。虚拟机152、154、156、158犹如它。

28、自身是机器一样地运行。虚拟机软件产品的一个示例是VMWAREINCTM的VMWARETM产品。0021为了修改虚拟机152、154、156、158的实际属性162、164、166、168、或者为了修改主机120、130的关于虚拟机的属性的信息122、132、或其组合,怀有恶意的个体可以利用与虚拟机152、154、156、158相关联的安全性设施,如将变得更加明显的那样。各种实施例提供用于检测恶意修改。0022可以利用由在网络操作中心NOC中的管理员所下发的命令来控制和配置主机120、130以及虚拟机152、154、156、158。公用控制器UC能够被用来自动地供应和配置在主机上的虚拟机。002。

29、3虚拟机属性虚拟机属性是虚拟机被配置具有的属性。虚拟机属性的示例包括但不限于分配给虚拟机的处理器的数量、分配给虚拟机的存储器的量、由虚拟机所使用的存储磁盘的数量和大小、磁盘通道的最大输入/输出I/O速率、与虚拟机相关联的网络接口卡NIC的数量、每个NIC的最大I/O速率。0024虚拟机实际上被配置具有的虚拟机属性被称为“实际虚拟机属性”。实际VM属性的示例是162、164、166、168。主机120、130也可以包括关于主机120、130将其虚拟机152、154、156、158的属性142、144、146、148理解成是什么的信息122、132。例如,主机120具有关于正在它上面执行的虚拟机1。

30、52、154的信息142和144,并且主机130具有关于正在它上面执行的虚拟机156、158的信息146和148。0025网络地图170包括虚拟机152、154、156、158被预期具有的属性。这些属性被称为“预期虚拟机属性”。分别与虚拟机152、154、156以及158相对应的预期虚拟机属性182、184、186、188是网络地图170的预期虚拟机属性的示例。说明书CN102362258ACN102362275A4/10页90026规则190也能够被用来确定关于虚拟机属性的信息。能够被基于规则190来确定的属性192、194、196、198应该被称为“VM规则属性”。0027网络地图根据一个。

31、实施例,网络地图170存储由例如与数据中心相关联的主机120、130作为其主机的虚拟机152、154、156、158的预期VM属性176。根据一个实施例,网络地图170是机器可读的。网络地图170可以由公用控制器来自动地更新。然而,网络地图170可以由与网络操作中心相关联的管理员来手动地更新。因此,甚至在不包括公用控制器的系统100中也可以使用网络地图170作为验证虚拟机属性的一部分。0028网络地图170可以包括各虚拟机152、154、156、158的预期属性182、184、186、188。如图1中所描绘的,预期VM属性182与VM152相关,预期VM属性184与VM154相关,预期VM属性。

32、186与VM156相关,以及预期VM属性188与VM158相关。0029网络地图170可以包括主机120、130的位置172和虚拟机152、154、156、158的位置174。主机120的位置被存储为位置1721并且主机130的位置被存储为网络地图170的主机位置172的位置1722。VM152的位置被存储为位置1741,VM154的位置被存储为位置1742,VM156的位置被存储为位置1743,以及VM158的位置被存储为位置1744。根据一个实施例,主机120、130或虚拟机152、154、156、158的位置172、1722、17411744是因特网协议IP地址。0030为了简单起见,在。

33、网络地图170中分别地描绘主机位置172、VM位置174以及预期VM属性176。然而,根据一个实施例,与主机相关的信息被分组在一起并且与虚拟机相关的信息被分组在一起。例如,主机的位置和在该主机上执行的虚拟机可能与该主机被组成组。虚拟机的位置和该虚拟机的预期属性可能被分组在一起。更具体而言,网络地图170可以以表2中所示出的顺序包括其内容。0031表2根据一个实施例的、内容与网络地图170相关联的顺序。描述附图标记主机120的位置1721VM152的位置1741VM152的预期属性182VM154的位置1742VM154的预期属性184主机130的位置1722VM156的位置1743VM156的。

34、预期属性186VM158的位置1744VM158的预期属性1880032根据一个实施例,以信息出现在网络地图170中的顺序来访问关于VM属性的信息的各种源。继续该示例,从网络地图170来访问主机120的位置1721,并且使用主机120的位置1721来定位主机120和访问关于虚拟机的属性的信息122。在网络地图170中访问VM152的位置1741并且使用VM152的位置1741来访问VM152的实际属性162。可以将VM152的实际属性162与VM152的预期属性182进行比较。在网络地图170中访问VM154的位置1742并且使用VM154的位置1742来访问VM154的实际属性164,等等。。

35、0033根据一个实施例,网络地图170不包括预期VM属性176。在这种情况下,各种实施例可以使用主机位置172或VM位置174、或其组合。根据一个实施例,网络地图170不说明书CN102362258ACN102362275A5/10页10包括VM位置174。在这种情况下,各种实施例可以使用主机位置172来访问主机120、130。主机120、130能够提供他们各自的VM152158的位置。0034根据一个实施例,网络地图170被存储在数据库中。根据一个实施例,网络地图170是“配置管理数据库”或者CMDB。0035规则规则190提供指定关于预期或禁用配置诸如预期或禁用VM属性的策略的方法。违反规。

36、则190使得能发现作为诙谐错误(HUMORERROR)或恶意活动的结果的配置。规则190能够包括为被用来配置虚拟机的属性指定的最小值和最大值,以及在属性之间的关系的约束。规则190能够容易地被改写成反映用于不同数据中心的不同策略。根据一个实施例,规则190是以扩展标记语言XML来写成的。尽管规则190的示例中的许多示例使用XML,但是可以使用提供能够被用于指定规则190的语法的任何语言。0036规则190可以包括包含用于VM152158的一个或多个规则的VM规则属性192、194、196、198。如图1中所描绘的,VM规则属性192与VM152相关,VM规则属性194与VM154相关,VM规则。

37、属性196与VM156相关,以及VM规则属性198与VM158相关。为了简便起见,规则190被描绘成具有用于VM152、154、156、158中的每一个的VM规则属性192、194、196、198。然而,规则可以与不止一个的VM152、154、156、158相关。例如,VM规则属性192和VM规则属性196两者都可以包括相同规则中的一个或多个。下面的表1描绘了若干示例性规则。0037表1示例性规则说明书CN102362258ACN102362275A6/10页11如表1中所描绘的,每个规则16包括各种子句。使用语法(SYNTAX)来描述规则和与那些规则16相关联的子句。除了别的以外,子句的示例。

38、是规则名称(RULENAME)、相关性(DEPENDENCIES)、说明(SPECIFICATIONS)。除了别的以外,语法的示例包括后面是用于引进子句的子句名称的左括号,”开始,相关性以“,”开始,以及说明以说明书CN102362258ACN102362275A7/10页12“”开始。规则名称以结束,相关性以“”结束,说明以结束。可以在子句的开始与子句的结束之间找到子句的内容。例如,参考第1个规则,可以在作为说明子句的开始的与作为说明子句的结束的之间找到18。0038子句能够嵌入在其它子句的内部。例如参考规则1,子句“1”嵌入在说明子句的内部。0039规则16与用于各种虚拟机属性的最小和最大。

39、值相关。规则1指定虚拟机可以具有不少于1个的处理器并且不多于8个的处理器。规则2在相关性子句中提到具有单个处理器的任何虚拟机。规则2的说明子句指示单个处理器VM可以具有不小于200兆字节MB的存储器和不大于400MB的存储器。规则3提到具有两个处理器的任何虚拟机。规则3的说明子句指示双处理器VM可以具有不小于2千兆字节GB的磁盘空间和不大于4GB的磁盘空间。规则4是磁盘与存储器比率规则。相关性子句指示规则4适用于具有1GB至2GB的磁盘空间的VM。规则4的说明子句指示具有1GB至2GB的磁盘空间的任何虚拟机应该具有不小于200MB的存储器和不大于400MB的存储器。规则5和6被用来基于与主机相。

40、关联的虚拟机的数量来对主机进行分类。规则5与称作“SUPERALPHA”的大型主机相关,所述大型主机可以具有无论在何处的0个至16个的VM。规则6与称作“ALPHALOW”的较小型主机相关,所述较小型主机可以具有无论在何处的0个至4个的VM。使用标签和将名称“SUPERALPHA”和“ALPHALOW”分别与规则5和6相关联。0040可以使用不同类型的规则诸如VM属性范围规则和VM属性关系规则来实现VM规则属性。在表1中示出的规则是VM属性范围规则的示例。在表1中示出的规则4是VM属性关系规则的示例。0041规则190也可以被用来指定某些类型的设备使用大量的能量并且因此可连接至大型交换机,反之。

41、其它类型的设备使用相对小量的能量并且因此可连接至相对小的交换机。0042根据一个实施例,规则190被存储在数据库中。规则190和网络地图170可以被存储在相同的数据库中。0043差异除了别的以外,在信息122、132、162168、182188以及190的各种源之间的差异可能是由于配置错误、程序设计错误或怀有恶意的个体的行为。除了别的以外,差异的示例包括信息122、132、162168、182188以及190的源中的两个或多个具有用于虚拟机属性的不同的值。更具体而言,信息的源中的一个可以指示虚拟机具有1个处理器,而另一信息源可以指示同一虚拟机具有2个处理器。另一示例是信息的源中的两个指示用于虚。

42、拟机的不同量的存储器。处理器的数量和分配的存储器的量仅仅是虚拟机属性的类型的两个示例。信息的两个或多个源可以指示任何类型的虚拟机属性的差异。信息的源包括但不限于实际虚拟机属性值、关于VM属性值的主机信息、经由规则确定的属性也被称为VM规则属性以及网络地图中的预期值。0044在又一示例中,差异可以是信息122、132、162168、182188以及190的两个或多个源指示虚拟机的不同数量。由于主机120、130是物理的并且能够被看见,所以可以通过说明书CN102362258ACN102362275A8/10页13检查来确定主机是否已经被移除或增加。然而,虚拟机不能够被看见并且因此按照惯例难以确定。

43、虚拟机是否已经被增加或已被从例如主机或数据中心移除。0045不管可以采取何种安全措施来保护设施,怀有恶意的个体可能都能够修改虚拟机152158的实际VM属性162168。怀有恶意的个体可能也能够修改主机120、130所具有的关于虚拟机的属性的信息142、144、146、148。例如,怀有恶意的个体可以修改VM152的实际VM属性162和用于同一虚拟机152的主机120的信息142两者中的存储器分配属性的量。在这种情况下,将与实际VM属性162中的存储器分配属性相关联的值与主机120的信息142进行比较将不会使能检测。然而,仍然可以通过以下方式来检测到恶意的修改计算在主机120所具有的用于其所有。

44、虚拟机152、154的信息142和144中指示的存储器的量的总和A,并且计算在用于与主机120相关联的所有虚拟机152、154的实际VM属性162、164中指示的所有的存储器的量的总和B,然后将总和A与总和B进行比较。如果怀有恶意的个体从虚拟机152偷取了存储器并且修改了该虚拟机152的实际VM属性162,则在总和A与总和B之间将存在差异。如果怀有恶意的个体从虚拟机152偷取了存储器并且修改了该虚拟机152的实际VM属性162和主机120的关于该同一虚拟机152的信息142,则在总和A与网络地图170中的预期值之间存在差异,或者在总和B与网络地图170之间可能存在差异,或两者都存在差异。004。

45、6根据一个实施例,将主机120、130的关于虚拟机152158的信息122、132或虚拟机152158的实际VM属性162168或其组合与网络地图170或规则190或者其组合进行比较。即使怀有恶意的个体成功修改了虚拟机152的实际VM属性162和主机120的关于虚拟机152的信息142,该个体将还是不能够修改网络地图170或规则190。0047虚拟机验证器图2描绘了根据一个实施例的、用于验证虚拟机属性的虚拟机验证器的方框图。在图2中表示特征的方框能够不同于如所图示的那样来布置,并且能够实现另外的或比在本文中所描述的更少的特征。进一步地,由图2中的方框所表示的特征能够以各种方式相结合。能够使用软。

46、件、硬件、固件或其组合来实现虚拟机验证器200。0048如图2中所描绘的,虚拟机验证器200包括虚拟机属性信息存取器210在本文中被称为“属性信息存取器”、实际虚拟机属性存取器220在本文中被称为“实际属性存取器”、虚拟机属性差异确定器230在本文中被称为“差异确定器”、以及在至少某些实施例中的预期虚拟机属性存取器240在本文中被称为“预期属性存取器”和虚拟机规则属性存取器250在本文中被称为“规则属性存取器”。0049属性信息存取器210被配置成用于从虚拟机在上面执行的主机获得关于虚拟机的属性的信息。实际属性存取器220被配置成用于从虚拟机获得实际虚拟机属性。差异确定器230被配置成用于通过。

47、比较关于属性的信息与实际虚拟机属性来确定在关于属性的信息与实际虚拟机属性之间是否存在差异。0050预期属性存储器240被配置成用于从网络地图170访问预期虚拟机属性。规则属性存取器250被配置成用于访问规则以获得虚拟机的虚拟机规则属性。0051根据一个实施例,差异确定器230确定在关于VM属性的信息142、实际VM属性162、预期VM属性182以及特定的虚拟机152的VM规则属性192中的任何两个或多个之间的差异。说明书CN102362258ACN102362275A9/10页140052根据一个实施例,虚拟机验证器200是一种设备。根据一个实施例,该设备可以包括具有计算机可读存储介质,在该计。

48、算机可读存储介质上存储有指令,其中所述指令实现210、220、230、240、250。该设备可以包括执行存储在计算机可读存储介质上的指令的处理器。0053用于验证虚拟机属性的计算机实施的方法的举例说明图3和图4是根据各种实施例的、用于验证虚拟机属性的计算机实施的方法的流程图。尽管在流程图300和400中公开了具体的步骤,但是此类步骤是示例性的。也就是,本发明的实施例很适于执行各种其它步骤或在流程图300和400中叙述的步骤的变体。应该理解的是,流程图300和400中的步骤可以以不同于所呈现的顺序的顺序来执行,并且可以执行流程图300和400中的步骤的并非全部。0054对流程图300图3的以下描。

49、述参考图1。0055在310处,方法开始。0056在320处,从虚拟机152在上面执行的主机120获得关于虚拟机152的属性的信息142。主机120的位置1721可以从网络地图170来获得并且被用来从主机120获得信息142。0057在330处,从虚拟机152获得实际虚拟机属性162。虚拟机152的位置1741可以从网络地图170来获得并且被用来从虚拟机152获得实际虚拟机属性162。可选地,虚拟机152的位置可以从作为虚拟机152的主机的主机120获得。0058在340处,通过将信息142与实际虚拟机属性162进行比较来确定关于属性的信息142与实际虚拟机属性162之间的一个或多个差异。00。

50、59在350处,方法结束。0060对流程图400图4的以下描述参考图1。0061在401处,从网络地图170访问虚拟机152的预期虚拟机属性182。0062在402处,确定在401处从网络地图170所获得的预期虚拟机属性182与在320处从主机120所获得的关于虚拟机152的属性的信息142之间的差异。0063在403处,确定在401处从网络地图170所获得的预期虚拟机属性182与在330处从虚拟机152所获得的实际虚拟机属性162之间的差异。0064在404处,访问规则190以获得虚拟机152的虚拟机规则属性192。规则190可以包括用于多于一个的虚拟机152、154、156、158的规则。。

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 物理 > 计算;推算;计数


copyright@ 2017-2020 zhuanlichaxun.net网站版权所有
经营许可证编号:粤ICP备2021068784号-1