CN104954452B

CN104954452B - 一种虚拟化环境下密码卡资源动态控制方法

Info

Publication number: CN104954452B
Application number: CN201510293585.5A
Authority: CN
Inventors: 付才; 刘涛; 韩兰胜; 刘铭; 崔永泉; 汤学明; 骆婷
Original assignee: Huazhong University of Science and Technology
Current assignee: Huazhong University of Science and Technology
Priority date: 2015-06-02
Filing date: 2015-06-02
Publication date: 2018-12-28
Anticipated expiration: 2035-06-02
Also published as: CN104954452A

Abstract

本发明公开了一种在虚拟化环境下，对多个物理节点上的PCI‑E密码设备资源信息进行动态分配和实时监控的方法。该发明专利包括以下两个小部分:一是在单台物理服务器上，对物理密码卡设备的分配方法；二是在多台服务器情况下，对各台服务器上的物理密码卡的使用情况实时监控的一种方法。对于监控的内容包括使用该加密卡的虚拟化服务器的个数以及绑定虚拟化服务器的名称，同时还包括该密码卡加密和解密的数据量。

Description

一种虚拟化环境下密码卡资源动态控制方法

技术领域

本发明属于云计算技术领域，更具体地，涉及一种虚拟化环境下密码卡资源动态控制方法。

背景技术

虚拟化技术逐渐成为云计算中的核心技术，它提供了对物理服务器上资源最大化利用的一个切实可行的解决方案。另一方面，现在高性能的硬件设备价格昂贵，在没有虚拟化技术的前提下，这中昂贵的硬件设备，性能并没有得到最大程度上的利用。PCI-E密码设备就是其中的一种。

已有的专利发明已经给出了在虚拟化环境下，虚拟机中虚拟化PCI-E密码卡设备的方法，而且也成功实现了PCI-E密码卡设备的虚拟化。这为本发明提供了基础。

然而，在这种PCI-E密码卡设备虚拟化方法中，存在两点不足。一是没有考虑到单台物理机上有多块PCI-E密码设备时该如何在多个DomU之间分配使用该物理密码卡，做到密码设备的负载均衡；二是对该物理密码的状态信息，包括各个PCI-E密码设备当前在为哪台虚拟化服务器服务、各个PCI-E密码设备加密解密的数据量等信息进行实时监控。

发明内容

针对现有发明技术的缺陷，本发明目的在于找出一种适应多服务器多加密卡的情况下，对密码卡资源的控制方法，能够将硬件加密卡资源动态的分配给虚拟化服务器。

为了实现上述目的，本发明提供了一种虚拟化环境下密码卡资源动态控制方法，包括如下步骤：

(1)对硬件PCI-E密码卡设备，进行数据结构的封装，该封装的数据结构中包含了该硬件PCI-E密码卡设备的引用计数、累积加密数据量和累积解密数据量，以及绑定到该密码卡设备上的虚拟机序列；在单台物理服务器引导完成之后，加载驱动层的内核模块，完成该数据结构的初始化，建立硬件PCI-E密码卡设备序列(k₁,k₂…k_n)，其中k_i表示第i块PCI-E密码卡，n表示硬件PCI-E密码卡设备的数量，并且把硬件PCI-E密码卡设备的累积加密数据量(e₁,e₂,…,e_i,…,e_n)和累积解密数据量；(d₁,d₂,…,d_i,…,d_n)初始化为(0,0,…,…,0),e_i和d_i分别表示第i块硬件PCI-E密码卡设备的累积加密数据量和累积解密数据量，n表示硬件PCI-E加密卡设备的数量，初始化硬件PCI-E加密卡设备的引用计数序列(c₁,c₂,…,c_i,…,c_n)为(0,0,…,…,0)，其中c_i为第i块硬件PCI-E密码设备，你表示硬件PCI-E密码卡设备的数量；

(2)在虚拟化服务器DomU_i启动时，运行PCI-E密码卡资源分配算法，为该启动的虚拟化服务器分配并绑定一块硬件PCI-E密码卡设备；

(3)虚拟化服务器DomU_i启动之后，设根据PCI-E密码卡资源分配算法为其分配的硬件PCI-E密码卡设备为k_i，硬件PCI-E密码卡设备引用计数序列变为(c₁,c₂,…,c_i+1,…,c_n)，将新的硬件PCI-E密码卡设备的引用计数序列和该绑定的虚拟机序列信息从该单台物理服务器上发送到需要监控的物理服务器；

(4)记录物理PCI-E密码卡的资源累计加密数据量为(e₁,e₂,…,e_i,…,e_n)，在虚拟化服务器DomU_i请求一次加密后，更新硬件PCI-E密码卡设备累计加密数据量为(e₁,e₂,…,e_i+p,…,e_n)，其中p为设加密数据量；

(5)记录物理PCI-E密码卡资源的累计解密数据量为(d₁,d₂,…,d_i,…,d_n),在虚拟化服务器DomU_i请求一次解密后，更新硬件PCI-E密码卡设备累计解密数据量为(d₁,d₂,…,d_i+q,…,d_n)，其中q为解密数据量；

(6)在虚拟化服务器DomU_i关机时，取消加密卡绑定，更新(c₁,c₂,…,c_i+1,…,c_n)为(c₁,c₂,…,c_i,…,c_n)；但是该密码卡的加密数据量序列(e₁,e₂,…,e_i+p,…,e_n)和解密数据量序列(d₁,d₂,…,d_i+q,…,d_n)不变，同时将新的硬件PCI-E密码卡设备的引用计数序列和该绑定的虚拟机序列信息从该单台物理服务器上发送到需要监控的物理服务器；

(7)驱动加载之后，在驱动层创建内核线程，负责实时将硬件PCI-E加密卡设备的引用计数序列、绑定的虚拟机序列和累积加密数据量和累积解密数据量发送给应用层。

通过本发明所构思的以上技术方案，与现有技术相比，本发明具有以下的有益效果：

(1)、由于步骤(1)、步骤(2)和步骤(3),本发明专利满足了在单台物理服务器上对多块硬件PCI-E密码卡设备动态地分配给虚拟化服务器，给出了一个负载均衡的解决方案。

(3)、由于步骤(3)和步骤(6)，本发明给出了在多台物理服务器的情况下，对各台物理服务器上的硬件PCI-E加密卡与虚拟化服务器之间的绑定信息进行实时监控。

(2)、由于步骤(4)和步骤(5),本发明给出了对于多台物理服务器的情况下，对于各台物理服务器上的硬件PCI-E密码卡设备的累积加密和解密数据量进行实时的监控。

附图说明

图1为本发明实施例中单台服务器上多块密码卡设备动态绑定示意图；

图2为本发明实施例中多服务器情况下物理密码卡资源状态监控示意图。图中从服务器在实际情况中有多台。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。此外，下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。

本发明提供了一种虚拟化环境下密码卡资源动态控制方法，该方法用于虚拟化平台下，包括Xen、KVM、VMWARE但不限于这三种虚拟化平台，在不同***下均可行。具体地，所述方法包括如下步骤：

(1)对硬件PCI-E密码卡设备，进行数据结构的封装，该封装的数据结构中包含了该硬件PCI-E密码卡设备的引用计数、累积加密数据量和累积解密数据量，以及绑定到该密码卡设备上的虚拟机序列。在单台物理服务器引导完成之后，加载驱动层的内核模块，完成该数据结构的初始化，建立硬件PCI-E密码卡设备序列(k₁,k₂…k_n)，其中k_i表示第i块PCI-E密码卡，并且把硬件PCI-E密码卡设备的累积加密数据量(e₁,e₂,…,e_i,…,e_n)和累积解密数据量(d₁,d₂,…,d_i,…,d_n)初始化为(0,0,…,…,0),e_i和d_i分别表示第i块硬件PCI-E密码卡设备的累积加密数据量和累积解密数据量。

具体地，在驱动层的实现上，采用内核链表保存硬件加密卡的数据结构。

(2)在虚拟化服务器DomU_i启动时，运行PCI-E密码卡资源分配算法，为该启动的虚拟化服务器分配并绑定一块硬件PCI-E密码卡设备。

如图1所示，为本发明实施例中单台服务器上多块密码卡设备动态绑定示意图。图中所示为Dom0中只有两块PCI-E密码卡的情形。途中实线表示在虚拟机启动时动态绑定的加密卡，虚线表示***管理员指定的绑定关系。图中所示表示为DomU1和DomUk+1分配两块密码卡。

具体地，PCI-E密码卡资源绑定具体步骤为：

(2.1)搜寻硬件PCI-E密码设备引用计数序列(c₁,c₂,…,c_j,…,c_n)，其中c_j表示第j块密码卡的引用计数，找到最小的引用计数c_i，PCI-E密码卡资源分配算法本次运行所选择出的硬件PCI-E密码卡设备为k_i。

(2.2)更新硬件PCI-E密码卡设备的引用计数序列(c₁,c₂,…,c_i+1,…,c_n)，并且将需要绑定硬件PCI-E密码卡设备k_i的虚拟化服务器DomU_i加入到k_i的虚拟机列表中。

(3)虚拟化服务器DomU_i启动之后，根据PCI-E密码卡资源分配算法，为其分配的硬件PCI-E密码卡设备为k_i，硬件PCI-E密码卡设备引用计数序列变为(c₁,c₂,…,c_i+1,…,c_n)。此时硬件PCI-E密码卡状态已经发生改变，将新的硬件PCI-E密码卡设备的引用计数序列和该绑定的虚拟机序列信息从该单台物理服务器上发送到需要监控的物理服务器。

(4)虚拟化服务器启动之后，***管理员可以根据虚拟化服务器的业务需求为虚拟化服务器另外再指派虚加密卡。***管理员在在监控服务器上为指定的虚拟机选择添加硬件PCI-E密码卡设备，该添加指令(DomU_i,n),表示为虚拟化服务器DomU_i添加n块硬件PCI-E密码卡设备。虚拟机所在单台物理服务器接收到该指令后，将其传递至驱动层。驱动层执行密码卡指派算法。

具体地，密码卡指派算法：

(4.1)驱动层接收到(DomU_i,n)命令之后，检查指派命令的合法性，主要检查n是否大于该物理服务器上密码卡总数量，如果大于则拒绝指定。

(4.2)检索物理硬件PCI-E密码卡设备链表，找到n块密码卡，这些密码卡满足如下条件：{k_j+1…k_j+n|k_j+1…k_j+n是未绑定到DomU_i且是硬件PCI-E密码卡设备序列中引用最小的n块硬件PCI-E密码卡设备}。

(4.3)增加该n块密码卡的引用计数，引用序列变为(c₁,c₂,…,c_i+1,…,c_j+k+1,…,c_n)，其中(c_j+k)表示刚刚分配给虚拟化服务器DomU_i的硬件PCI-E加密卡设备引用计数，并将该虚拟化服务器DomU_i分别添加到硬件PCI-E密码卡设备的虚拟机序列中。

(4.4)将最新的硬件PCI-E加密卡设备的引用计数序列(c₁,c₂,…,c_i+1,…,c_j+k+1,…,c_n)状态信息发送给监控服务器。

(5)记录物理PCI-E密码卡的资源累计加密数据量为(e₁,e₂,…,e_i,…,e_n)，在虚拟化服务器DomU_i请求一次加密后，加密数据量为p，更新硬件PCI-E密码卡设备累计加密数据量为(e₁,e₂,…,e_i+p,…,e_n)。

(6)记录物理PCI-E密码卡资源的累计解密数据量为(d₁,d₂,…,d_i,…,d_n),在虚拟化服务器DomU_i请求一次解密后，解密数据量为q，则更新硬件PCI-E密码卡设备累计解密数据量为(d₁,d₂,…,d_i+q,…,d_n)。

由于硬件PCI-E密码卡设备加密和解密数据量的更新比较频繁，因此对于硬件PCI-E密码卡设备的累积加密和解密数据量信息，可以采用内核计时器的方式，每隔120秒，定期将数据发送给服务端一次。

(7)在虚拟化服务器DomU_i关机时，取消加密卡绑定，更新(c₁,c₂,…,c_i+1,…,c_n)为(c₁,c₂,…,c_i,…,c_n)。但是该密码卡的加密序列(e₁,e₂,…,e_i+p,…,e_n)和解密序列(d₁,d₂,…,d_i+q,…,d_n)不变。

(8)驱动加载之后，在驱动层创建内核线程，负责实时将硬件PCI-E加密卡设备的引用计数序列、绑定的虚拟机序列和累积加密数据量和累积解密数据量发送给应用层。

如图2所示，驱动层可以采用Netlink机制以广播的方式将这些信息发送到从服务器(单台物理服务器)的应用层，从服务器的应用层守护进程接收到该信息之后，以TCP链接的方式发送给主服务器(监控服务器)。

本领域的技术人员容易理解，以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims

1.一种虚拟化环境下密码卡资源动态控制方法，其特征在于，所述方法包括如下步骤：

(1)对硬件PCI-E密码卡设备，进行数据结构的封装，该封装的数据结构中包含了该硬件PCI-E密码卡设备的引用计数、累积加密数据量和累积解密数据量，以及绑定到该硬件PCI-E密码卡设备上的虚拟机序列；在单台物理服务器引导完成之后，加载驱动层的内核模块，完成该数据结构的初始化，建立硬件PCI-E密码卡设备序列(k₁,k₂…k_n)，其中k_i表示第i块硬件PCI-E密码卡设备，n表示硬件PCI-E密码卡设备的数量，并且把硬件PCI-E密码卡设备的累积加密数据量(e₁,e₂,…,e_i,…,e_n)和累积解密数据量(d₁,d₂,…,d_i,…,d_n)初始化为(0,0,…,0,…,0),e_i和d_i分别表示第i块硬件PCI-E密码卡设备的累积加密数据量和累积解密数据量,n表示硬件PCI-E密码卡设备的数量，初始化硬件PCI-E密码卡设备的引用计数序列(c₁,c₂,…,c_i,…,c_n)为(0,0,…,0,…,0)，其中c_i为第i块硬件PCI-E密码卡设备的引用次数，n表示硬件PCI-E密码卡设备的数量；

(4)记录硬件PCI-E密码卡设备的累积加密数据量为(e₁,e₂,…,e_i,…,e_n)，在虚拟化服务器DomU_i请求一次加密后，更新硬件PCI-E密码卡设备累积加密数据量为(e₁,e₂,…,e_i+p,…,e_n)，其中p为加密数据量；

(5)记录硬件PCI-E密码卡设备资源的累积解密数据量为(d₁,d₂,…,d_i,…,d_n),在虚拟化服务器DomU_i请求一次解密后，更新硬件PCI-E密码卡设备累积解密数据量为(d₁,d₂,…,d_i+q,…,d_n)，其中q为解密数据量；

(6)在虚拟化服务器DomU_i关机时，取消硬件PCI-E密码卡设备绑定，更新硬件PCI-E密码卡设备的引用计数序列(c₁,c₂,…,c_i+1,…,c_n)为(c₁,c₂,…,c_i,…,c_n)；但是该硬件PCI-E密码卡设备的累积加密数据量(e₁,e₂,…,e_i+p,…,e_n)和累积解密数据量(d₁,d₂,…,d_i+q,…,d_n)不变；

(7)驱动加载之后，在驱动层创建内核线程，负责实时将硬件PCI-E密码卡设备的引用计数序列、绑定的虚拟机序列和累积加密数据量和累积解密数据量发送给应用层；

在所述步骤(2)中PCI-E密码卡资源分配算法，具体为：

(2.1)搜寻硬件PCI-E密码卡设备引用计数序列(c₁,c₂,…,c_j,…,c_n)，其中c_j表示第j块硬件PCI-E密码卡设备的引用计数，找到最小的引用计数c_i，PCI-E密码卡资源分配算法本次运行所选择出的硬件PCI-E密码卡设备为k_i；

(2.2)更新硬件PCI-E密码卡设备的引用计数序列(c₁,c₂,…,c_i+1,…,c_n)，并且将需要绑定硬件PCI-E密码卡设备k_i的虚拟化服务器DomU_i加入到k_i的虚拟机序列中。

2.如权利要求1所述的方法，其特征在于，在所述步骤(3)之后，还包括：虚拟化服务器启动之后，根据虚拟化服务器的业务需求为虚拟化服务器另外再指派硬件PCI-E密码卡设备：在物理服务器上为指定的虚拟机选择添加硬件PCI-E密码卡设备，该添加指令(DomU_i,n),表示为虚拟化服务器DomU_i添加n块硬件PCI-E密码卡设备；虚拟机所在单台物理服务器接收到该指令后，将其传递至驱动层，驱动层执行密码卡指派算法。

3.如权利要求2所述的方法，其特征在于，所述硬件PCI-E密码卡设备指派算法具体为：

(4.1)驱动层接收到(DomU_i,n)命令之后，检查n是否大于该物理服务器上硬件PCI-E密码卡设备总数量，如果大于则拒绝指定；

(4.2)检索物理硬件PCI-E密码卡设备序列，找到n块硬件PCI-E密码卡设备，这些硬件PCI-E密码卡设备满足如下条件：{k_j+1…k_j+n|k_j+1…k_j+n是未绑定到DomU_i且是硬件PCI-E密码卡设备序列中引用计数最小的n块硬件PCI-E密码卡设备}；

(4.3)增加该n块硬件PCI-E密码卡设备的引用计数，引用计数序列变为(c₁,c₂,…,c_i+1,…,c_j+k+1,…,c_n)，其中(c_j+k)表示被分配给虚拟化服务器DomU_i后硬件PCI-E密码卡设备引用计数，并将该虚拟化服务器DomU_i分别添加到硬件PCI-E密码卡设备的虚拟机序列中；

(4.4)将最新的硬件PCI-E密码卡设备的引用计数序列(c₁,c₂,…,c_i+1,…,c_j+k+1,…,c_n)状态信息发送给物理服务器。

4.如权利要求1或2所述的方法，其特征在于，所述步骤(1)中，在驱动层的实现上，采用内核链表保存硬件PCI-E密码卡设备的数据结构。

5.如权利要求1或2所述的方法，其特征在于，在所述步骤(7)中驱动层采用Netlink机制以广播的方式将这些信息发送出去；应用层的守护进程接收到该信息之后，以TCP链接的方式发送给物理服务器。

6.如权利要求1或2所述的方法，其特征在于，对于硬件PCI-E密码卡设备的累积加密数据量信息和累积解密数据量信息，采用内核计时器的方式，每隔120秒，定期将数据发送给物理服务器一次。