技術領域

本發明涉及虛擬化的領域，并且更具體地涉及在虛擬化環境中遷移虛擬機。

背景技術

幾十年來，計算意味著應用和支持平臺。直到二十世紀后期，主機計算環境包括處理器核心、輸入/輸出、存儲器和固定存儲的硬件基礎設施，硬件基礎設施的組合支持操作系統，操作系統接著支持每次單個應用的運行。逐漸地，隨著處理器能力成指數增長，操作系統的先進形式實現模擬和實際多任務，使得多應用可以在同一主機計算環境中運行。

最初，應用是對核心對象文件和相關資源文件以外依賴很少的獨立邏輯束。然而，隨著計算變成現代工業所必需的，應用變得共同依賴于其它應用的存在，使得應用的必要環境不僅包括底層操作系統和支持硬件平臺，而且包括其它關鍵應用，包括應用服務器、數據庫管理服務器、協作服務器和統稱為中間件的通信邏輯。然而，已知應用復雜性和平臺互操作性，在單個硬件平臺中運行的應用的不同組合可以展示不同程度的性能和穩定性。

虛擬化作為一種技術致力于在硬件平臺和操作系統以及運行應用之間插入一層。從商業連續性和故障恢復的觀點看，虛擬化提供了環境可移值性的固有優點。具體地，移動配置有多個不同應用的整體環境是將虛擬映像從一個支持硬件平臺移動到另一個支持硬件平臺的問題。此外，更強大的計算環境可以支持多個不同虛擬映像的共存，始終維持各映像之間的虛擬分離。結果，一個虛擬映像中的故障情況不能危害同一硬件平臺中其它共存虛擬映像的完整性。

虛擬機監視器(本領域中已知為“管理程序(hypervisor)”)管理每個虛擬映像和由硬件平臺提供的底層資源。在這點上，裸機(bare?metal)管理程序直接在硬件平臺上運行，非常像操作系統直接在硬件上運行。比較起來，托管管理程序(hosted?hypervisor)在主機操作系統中運行。在任一情況下，管理程序可以支持已知為虛擬機(VM)映像的不同“客戶操作系統映像”的操作，VM映像的數目僅受保持VM映像的VM容器(container)的處理資源或硬件平臺本身限制。

虛擬化已經證明對于要求用于不同類型的應用的分開計算環境同時受限于單個硬件平臺的那些終端用戶特別有用。例如，已知專用于(native?to)一種類型的硬件平臺的主要操作系統提供專用于不同硬件平臺的虛擬化客戶操作系統，使得要求客戶操作系統存在的各應用可以與要求主要操作系統存在的其它應用共存。以此方式，終端用戶不需要提供每個用于支持不同類型的應用的分開的計算環境。另外，不論客戶操作系統如何，對于單個硬件平臺的底層資源的訪問保持不變。

已經部署虛擬化環境來在構成應用解決方案時集合不同VM中的不同相互依賴的應用。例如，應用服務器可以在一個VM中運行，同時數據庫管理系統可以在不同VM中運行，并且此外同時Web服務器可以在另一VM中運行。每個VM可以在安全網絡中相互通信地耦合，然而，應用的部署的任何給定一個可以動態遷移到不同部署，而不干擾其它VM中的其它應用的運行。在典型的動態遷移中，VM可以從一個主機服務器移動到另一主機服務器，以便允許服務器維護或允許對于VM的硬件支持的改進。

動態遷移在用于管理用于應用解決方案的不同應用的運行的VM的安全計算環境中頻繁出現。另外，動態遷移還在安全環境的外部出現。具體地，有時VM移動到用于管理應用解決方案的剩余應用的剩余VM的安全計算環境外部的網絡環境。結果，由外部網絡中的VM管理的應用和由安全計算環境中VM管理的應用之間的通信可以通過來自安全計算環境外部的數據交換折衷。因此，到安全計算網絡外部的主機服務器的動態遷移可能將安全性弱點引入應用解決方案。

發明內容

本發明的實施例解決本領域關于虛擬環境中動態遷移的缺陷，并且提供一種用于安全計算環境外部的VM的安全動態遷移的新穎的和非顯而易見的方法、系統和計算機程序。在本發明的實施例中，一種用于虛擬計算環境中VM的安全動態遷移的方法可以包括選擇安全虛擬化計算環境中的VM用于動態遷移到不同虛擬化計算環境，并且阻止與選擇的VM和安全虛擬化計算環境中的其它VM的數據通信。可以將選擇的VM動態遷移到不同虛擬化計算環境，并且可以在不同虛擬化計算環境中重啟VM。特別地，可以建立重啟的VM與安全虛擬化計算環境中至少一個其它VM之間的安全通信鏈路。最后，可以啟用重啟的VM與至少一個其它VM之間通過安全通信鏈路的數據通信。