本發(fā)明的一些實(shí)施例提供了一種新穎的體系架構(gòu)，其用于捕獲執(zhí)行一個(gè)或多個(gè)機(jī)器的主機(jī)計(jì)算機(jī)上的上下文屬性，以及用于消費(fèi)所捕獲的上下文屬性以在主機(jī)計(jì)算機(jī)上執(zhí)行服務(wù)。在一些實(shí)施例中，機(jī)器是虛擬機(jī)(VM)，在其它實(shí)施例中是容器，或者在其它實(shí)施例中是VM和容器的混合。一些實(shí)施例在每臺(tái)機(jī)器上執(zhí)行客戶內(nèi)省(GI)代理，需要從該代理捕獲上下文屬性。除了在每個(gè)主機(jī)計(jì)算機(jī)上執(zhí)行一個(gè)或多個(gè)機(jī)器之外，這些實(shí)施例還在每個(gè)主機(jī)計(jì)算機(jī)上執(zhí)行上下文引擎和一個(gè)或多個(gè)基于屬性的服務(wù)引擎。通過主機(jī)上的機(jī)器的GI代理，在一些實(shí)施例中那個(gè)主機(jī)的上下文引擎收集與網(wǎng)絡(luò)事件和/或機(jī)器上的處理事件相關(guān)聯(lián)的上下文屬性。上下文引擎然后向服務(wù)引擎提供上下文屬性，服務(wù)引擎進(jìn)而使用這些上下文屬性來識(shí)別服務(wù)規(guī)則以進(jìn)行處理。

背景技術(shù)

歷史上，中間盒服務(wù)一直是在企業(yè)或數(shù)據(jù)中心的網(wǎng)絡(luò)拓?fù)渲械囊粋€(gè)或多個(gè)點(diǎn)處實(shí)現(xiàn)的硬件電器。隨著軟件定義聯(lián)網(wǎng)(SDN)和網(wǎng)絡(luò)虛擬化的出現(xiàn)，傳統(tǒng)硬件電器無法利用SDN和網(wǎng)絡(luò)虛擬化提供的靈活性和控制。因而，近年來，一些人已經(jīng)提出了在主機(jī)上提供中間盒服務(wù)的各種方法。但是，這些中間盒解決方案中的大多數(shù)都沒有利用可以為主機(jī)上的每個(gè)數(shù)據(jù)消息流捕獲的豐富上下文數(shù)據(jù)。對(duì)此的一個(gè)原因是現(xiàn)有技術(shù)不提供用于過濾數(shù)千個(gè)捕獲的上下文屬性以便高效地處理根據(jù)更小的上下文屬性集定義的服務(wù)規(guī)則的高效分布式方案。

發(fā)明內(nèi)容

本發(fā)明的一些實(shí)施例提供了一種新穎的體系架構(gòu)，用于捕獲執(zhí)行一個(gè)或多個(gè)機(jī)器的主機(jī)計(jì)算機(jī)上的上下文屬性，以及用于消費(fèi)所捕獲的上下文屬性以在主機(jī)計(jì)算機(jī)上執(zhí)行服務(wù)。在一些實(shí)施例中，機(jī)器是虛擬機(jī)(VM)，在其它實(shí)施例中是容器，或者在其它實(shí)施例中是VM和容器的混合。

一些實(shí)施例在每臺(tái)機(jī)器上執(zhí)行客戶內(nèi)省(GI)代理，需要從中捕獲上下文屬性。除了在每個(gè)主機(jī)計(jì)算機(jī)上執(zhí)行一個(gè)或多個(gè)機(jī)器之外，這些實(shí)施例還在每個(gè)主機(jī)計(jì)算機(jī)上執(zhí)行上下文引擎和一個(gè)或多個(gè)基于屬性的服務(wù)引擎。通過主機(jī)上的機(jī)器的GI代理，在一些實(shí)施例中，那個(gè)主機(jī)的上下文引擎收集與網(wǎng)絡(luò)事件和/或機(jī)器上的處理事件相關(guān)聯(lián)的上下文屬性。如下面進(jìn)一步描述的，上下文引擎然后向服務(wù)引擎提供上下文屬性，服務(wù)引擎進(jìn)而使用這些上下文屬性來識(shí)別服務(wù)規(guī)則，這些服務(wù)規(guī)則指定要對(duì)在機(jī)器上執(zhí)行的處理和/或由機(jī)器發(fā)送或?yàn)闄C(jī)器接收的數(shù)據(jù)消息流執(zhí)行的基于上下文的服務(wù)。

在一些實(shí)施例中，主機(jī)的上下文引擎通過各種不同方式從那個(gè)主機(jī)上的機(jī)器的GI代理收集上下文屬性。例如，在一些實(shí)施例中，機(jī)器上的GI代理向機(jī)器的操作系統(tǒng)中的一個(gè)或多個(gè)模塊(例如，內(nèi)核空間模塊或用戶空間模塊)注冊(cè)鉤子(例如，回調(diào))以用于所有新的網(wǎng)絡(luò)連接事件和所有新的處理事件。

在發(fā)生新的網(wǎng)絡(luò)連接事件后，GI代理從OS接收回調(diào)，并且基于這個(gè)回調(diào)向上下文引擎提供網(wǎng)絡(luò)事件標(biāo)識(shí)符。網(wǎng)絡(luò)事件標(biāo)識(shí)符提供與網(wǎng)絡(luò)事件有關(guān)的屬性集。在一些實(shí)施例中，這些網(wǎng)絡(luò)事件屬性包括所請(qǐng)求的網(wǎng)絡(luò)連接的五元組標(biāo)識(shí)符(即，源端口和IP地址、目的地端口和IP地址及協(xié)議)，請(qǐng)求網(wǎng)絡(luò)連接的處理的處理標(biāo)識(shí)符，與發(fā)出請(qǐng)求的處理相關(guān)聯(lián)的用戶標(biāo)識(shí)符，以及與發(fā)出請(qǐng)求的處理相關(guān)聯(lián)的組標(biāo)識(shí)符(例如，活動(dòng)目錄(AD)標(biāo)識(shí)符)。

在一些實(shí)施例中，上下文引擎指示GI代理從OS模塊收集與其隨網(wǎng)絡(luò)事件接收的處理標(biāo)識(shí)符(ID)相關(guān)聯(lián)的附加處理參數(shù)。在一些實(shí)施例中，這些附加的處理參數(shù)包括處理名稱、處理散列、具有命令行參數(shù)的處理路徑、處理網(wǎng)絡(luò)連接、處理加載的模塊，以及指定處理對(duì)機(jī)器的一個(gè)或多個(gè)資源的消耗(例如，中央處理單元消耗、網(wǎng)絡(luò)消耗和存儲(chǔ)器消耗)的一個(gè)或多個(gè)處理消耗參數(shù)。代替使用處理標(biāo)識(shí)符來向GI代理查詢與網(wǎng)絡(luò)事件相關(guān)聯(lián)的附加處理參數(shù)，其它實(shí)施例中的上下文引擎在GI代理向上下文引擎報(bào)告網(wǎng)絡(luò)事件時(shí)一次性接收與網(wǎng)絡(luò)事件相關(guān)聯(lián)的所有處理參數(shù)。

在一些實(shí)施例中，機(jī)器上的OS保持新的網(wǎng)絡(luò)事件(即，不開始發(fā)送針對(duì)網(wǎng)絡(luò)事件的數(shù)據(jù)消息)，直到機(jī)器上的GI代理指示它繼續(xù)處理網(wǎng)絡(luò)事件。在這些實(shí)施例的一些當(dāng)中，GI代理僅允許OS在上下文引擎已經(jīng)收集了這個(gè)事件的所有所需屬性之后(例如，在從上下文引擎接收到指定其已經(jīng)接收到對(duì)于新網(wǎng)絡(luò)事件其所需的所有處理或網(wǎng)絡(luò)屬性的消息之后)繼續(xù)處理網(wǎng)絡(luò)事件。