用于控制分组传输的服务器和方法与流程

本公开涉及一种用于控制分组传输的服务器和方法，并且更具体地涉及一种用于在网络功能虚拟化(nfv)环境中根据分组传输规则来控制虚拟机之间的分组传输以安全地发送和接收分组的服务器和方法。

背景技术：

网络路由已经由中央服务器的管理员管理，这导致当由不熟悉这种安全性的管理员来管理安全性时容易遭受黑客攻击。由于通信和网络技术的发展使得网络功能和nfv基础结构的一部分可以通过软件实现，因此需要一种技术，其中中央服务器可以控制虚拟机之间的通信并有效地通知分组是否在允许的虚拟机之间安全传输。

技术实现要素：

技术问题

本公开的实施例提供一种用于控制分组传输的中央服务器和方法，其中通过发送分组传输规则到主服务器来从主服务器接收用于通知接收到违反分组传输规则的分组传输请求的通知消息。

本公开的实施例提供了一种用于控制分组传输的中央服务器和方法，其中通过从主服务器接收分组传输规则来将用于通知接收到违反分组传输规则的分组传输请求的通知消息发送到中央服务器。

技术方案

根据本公开的第一方面，一种中央服务器包括：存储器，其存储至少一个程序；通信单元；以及至少一个处理器，被配置为通过执行所述至少一个程序来控制在多个虚拟机之间的分组的传输，其中，所述至少一个程序可以进一步包括用于执行以下操作的指令：基于与由多个主服务器提供的至少一个服务有关的网络服务描述符，通过对第一主服务器中的多个虚拟机中的至少一个进行分组来生成用于生成多个第一虚拟机组的第一组生成信息；将第一组生成信息发送到第一主服务器；基于所述网络服务描述符，生成与在多个第一虚拟服务器之间传输的分组有关的分组传输规则；将生成的分组传输规则发送到第一主服务器；当在第一主服务器中接收到违规的分组传输请求时从第一主服务器接收通知接收到违反发送的分组传输规则的分组传输请求的通知消息；以及输出从第一主服务器接收的通知消息。

根据本公开的第二方面，一种控制分组传输的方法包括：基于与由多个主服务器提供的至少一个服务有关的网络服务描述符，通过对第一主服务器中的多个虚拟机中的至少一个进行分组来生成用于生成多个第一虚拟机组的第一组生成信息；将第一组生成信息发送到第一主服务器；基于所述网络服务描述符，生成与在多个第一虚拟服务器之间传输的分组有关的分组传输规则；将所生成的分组传输规则发送到第一主服务器；当在第一主服务器中接收到违规的分组传输请求时从第一主服务器接收通知接收到违反发送的分组传输规则的分组传输请求的通知消息；以及输出从第一主服务器接收的通知消息。

根据本公开的第三方面，一种主服务器包括：存储器，存储至少一个程序；通信器；以及至少一个处理器，被配置为通过执行所述至少一个程序来控制虚拟机之间的分组传输，其中，所述至少一个程序包括：接收用于通过对主服务器中的多个虚拟机中的至少一个进行分组来生成多个虚拟机组的组生成信息；基于组生成信息来生成多个虚拟机组；一旦生成多个虚拟机组就用虚拟机组的标识信息来替换每个虚拟机组中的虚拟机的标识信息；从中央服务器接收与在多个虚拟机组之间传输的分组有关的分组传输规则；一旦接收到违反分组传输规则的分组传输请求，就向中央服务器发送通知接收到违规的分组传输请求的通知消息。

根据本公开的第四方面，一种计算机可读记录介质，在其上记录了程序，该程序在由计算机执行时执行根据本公开的第二方面的方法。

在一个实施例中，分组标签可以基于通过其从虚拟机输出分组的接口的名称和虚拟机的互联网协议(ip)地址来确定。

在一个实施例中，可以在多个第一虚拟机组之一中包括的虚拟机之间进行分组传输，而不管分组传输规则。

在一个实施例中，在第一主服务器中的多个虚拟机当中未被分组的第一虚拟机可能无法将分组发送到第一主服务器中的第二虚拟机和第二主服务器中的第三虚拟机。

在一个实施例中，所述至少一个程序还包括用于执行以下操作的指令：在指示虚拟机已输出分组的分组标签不匹配虚拟机组的替换后的标识信息时，基于从虚拟机输出的分组之间的分组传输规则来阻止对违规的分组的传输。

附图说明

图1示出根据实施例的中央服务器和主服务器彼此通信的示例。

图2是示出根据实施例的控制分组传输的方法的流程图。

图3是示出根据实施例的控制分组传输的方法的流程图。

图4示出了根据实施例的生成虚拟机组的示例。

图5a至图5c示出根据实施例的在虚拟机组之间传输分组的示例。

图6示出根据实施例的生成分组传输规则的示例。

图7示出根据实施例的更新虚拟机组和分组传输规则的示例。

图8示出了根据实施例的更新虚拟机组和分组传输规则的示例。

图9示出了根据实施例的基于来自管理员的与通知消息相对应的输入来更新分组传输规则的示例。

图10示出根据实施例的输出通知消息的示例。

图11是根据实施例的中央服务器的框图。

具体实施方式

根据一个实施例，中央服务器包括：存储器,其存储至少一个程序；通信单元；和至少一个处理器，被配置为通过执行至少一个程序来控制多个虚拟机之间的分组传输，其中，该至少一个程序可以进一步包括用于执行以下操作的指令：基于与由多个主服务器提供的至少一个服务有关的网络服务描述符，通过对第一主服务器中的多个虚拟机中的至少一个虚拟机进行分组来生成用于生成多个第一虚拟机组的第一组生成信息；将第一组生成信息发送到第一主服务器；基于网络服务描述符，生成与在多个第一虚拟服务器之间传输的分组有关的分组传输规则；将生成的分组传输规则发送到第一主服务器；当在第一主服务器中接收到违规的分组传输规则的请求时从第一主服务器接收通知接收到违反发送的分组传输规则的分组传输请求的通知消息；以及输出从第一主服务器接收的通知消息。

公开的方式

在下文中，将参考附图详细描述本公开的实施例，以使本领域普通技术人员能够容易地实施这些实施例。然而，本公开可以以各种形式实现，并且不限于本文描述的本公开的实施例。为了清楚地描述本公开，已经从附图中省略了与描述不相关的部分，并且在整个说明书中相同的附图标记指代相同的部分。

在对本公开的实施例的描述中，当一个部件连接到另一部件时，该部件不仅直接连接到另一部件而且通过插入其中的另一设备电连接到另一部件。当假定某个部件包括某个组件时，术语“包括”是指相应的组件可以进一步包括其他组件，除非写明了与该相应组件相反的特定含义。

在下文中，将参考附图描述实施例。

图1示出根据实施例的其中中央服务器和主服务器彼此通信的示例。

参考图1，中央服务器100可以与第一主服务器200和第二主服务器300通信。在网络功能虚拟化(nfv)环境中，安装在多个主服务器中的虚拟机的安全性由软件管理，因此为了增强安全性在第一主服务器200和第二主服务器300之间的通信可能需要单独的分组传输规则。

中央服务器100可以基于与由多个主服务器提供的至少一个服务有关的网络服务描述符来生成分组传输规则。可以从通信标准化组织提供网络服务描述符。中央服务器100可以将每个主服务器与另一主服务器的通信所需的分组传输规则分发给多个主服务器。在一个实施例中，中央服务器100可以将分组传输规则发送到第一主服务器200和第二主服务器300。第一主服务器200和第二主服务器300可以基于从中央服务器100接收到的分组传输规则隔离第一主服务器200和第二主服务器300中安装的多个虚拟机中的至少一个或者在多个虚拟机之间建立通信环境。因此，第一主服务器200和第二主服务器300可以通过允许不违反分组传输规则的分组传输来增强安全性。

中央服务器100、第一主服务器200和第二主服务器300可以是但不限于通过诸如云服务器、网络服务器等之类的网络提供信息或服务的计算设备或程序。中央服务器100可以是能够将分组传输规则发送到第一主服务器200和/或第二主服务器300并从第一主服务器200和/或第二主服务器300接收通知消息的任何类型的设备。第一主服务器200和第二主服务器300可以是能够从中央服务器100接收分组传输规则并且向中央服务器100发送通知消息的任何类型的设备。

中央服务器100可以通过特定网络与第一主服务器200和第二主服务器s300通信以控制各种虚拟机之间的分组传输。在一个实施例中，网络可以包括局域网(lan)、广域网(wan)、增值网络(van)、移动无线电通信网络、卫星通信网络及以上网络的组合。网络还可以是数据通信网络(作为使每个网络实体能够平滑通信的全面含义)并且可以是其中集成上述异构通信网络的形式，而且可以包括有线互联网、无线互联网和移动无线通信网络。例如，无线通信可以包括但不限于无线lan(无线保真，wi-fi)、蓝牙、低功耗蓝牙、zigbee、wi-fi直连(wfd)、超宽带(uwb)、红外数据协会(irda)、近场通信(nfc)等。

图2是示出根据实施例的控制分组传输的方法的流程图。

在操作s210中，中央服务器100可基于与多个主服务器提供的至少一个服务有关的描述符，通过对第一主服务器200中的多个虚拟机中的至少一个进行分组来生成用于生成多个第一虚拟机组的第一组生成信息。

虽然描述了通过对第一主服务器200中的多个虚拟机中的至少一个进行分组来生成用于生成多个第一虚拟机组的第一组生成信息，但是在一个实施例中第一主服务器200可以包括一个虚拟机。第一主服务器200可以通过对一个虚拟机进行分组来生成用于生成一个第一虚拟机组的第一组生成信息。可选地，第一主服务器200可以包括多个虚拟机，并且通过对多个虚拟机中的至少一个进行分组来生成用于生成一个第一虚拟机组的第一组生成信息。稍后将参考图4描述基于网络服务描述符生成第一组生成信息的示例。

虽然描述了对一个主服务器中的多个虚拟机中的至少一个进行分组，但是中央服务器100还可以基于网络服务描述符对不同主服务器中的多个虚拟机进行分组。例如，中央服务器100可以通过对第一主服务器200中的至少一个虚拟机和第二主服务器300中的至少一个虚拟机进行分组来生成用于生成第三虚拟机组的第三组生成信息。

在操作s220中，中央服务器100可以将第一组生成信息发送到第一主服务器200。在一个实施例中，中央服务器100可以将第一组生成信息发送到第一主服务器200，使得第一主服务器200通过多个第一虚拟机组提供服务。在一个实施例中，第一主服务器200可以请求中央服务器100向其发送第一组生成信息以生成多个第一虚拟机组。中央服务器100可以响应于来自第一主服务器200的请求将第一组生成信息发送到第一主服务器200。中央服务器100可以通过特定网络与第一主服务器200通信并通过特定网络发送第一组生成信息到第一主服务器200。

在一个实施例中，当中央服务器100生成第三组生成信息时，中央服务器100可以将第三组生成信息发送到第一主服务器200和第二主服务器300。

在操作s230中，中央服务器100可基于网络服务描述符来生成与在多个第一虚拟机组之间传输的分组有关的分组传输规则。稍后将参考图6描述基于网络服务描述符生成分组传输规则的示例。

在操作s240中，中央服务器100可以将分组传输规则发送到第一主服务器200。在一个实施例中，中央服务器100可以通过特定网络与第一主服务器200通信并且通过特定网络发送分组传输规则到第一主服务器200。

在操作s250中，当第一主服务器200接收到违反分组传输规则的分组传输请求时，中央服务器100可以从第一主服务器200接收通知接收到违规的分组传输请求的通知消息。

在操作s260中，中央服务器100可以输出从第一主服务器200接收到的通知消息。在一个实施例中，中央服务器100可以将通知消息发送到外部显示设备以显示该通知消息或者中央服务器100可以在中央服务器100的显示器上显示该通知消息。在一个实施例中，该通知消息可以包括关于以下至少之一的信息：作为违反分组传输规则的分组的传输源的源虚拟机(sourcevm)、作为违法分组的传输目标的目的地虚拟机(destinationvm)、其中安装源虚拟机的主服务器或其中安装目的地虚拟机的主服务器。

稍后将参考图10描述输出通知消息的示例。

图3是示出根据实施例的控制分组传输的方法的流程图。

操作s310和s320对应于图2的操作s210和s220，因此将不进行详细描述。

在操作s330中，第一主服务器200可基于第一组生成信息来生成多个第一虚拟机组。在一个实施例中，第一主服务器200可以不基于第一组生成信息来生成多个第一虚拟机组。第一主服务器200可以基于第一组生成信息来生成一个或多个第一虚拟机组。稍后将参考图4描述基于第一组生成信息来生成第一虚拟机组的示例。

在操作s340中，当第一主服务器200生成多个第一虚拟机组时，第一主服务器200可以用第一虚拟机组的标识信息替换每个第一虚拟机组中的虚拟机的标识信息。在一个实施例中，可以包括唯一标识信息。每个虚拟机组可以具有唯一的标识信息。例如，标识信息可以是但不限于通用唯一标识符(uuid)，该通用唯一标识符是在软件建立中使用的标识符标准。

在一个实施例中，当第一主服务器200接收到用于将具有uuid“8365”的虚拟机分组到具有uuid“13356797”的虚拟机组的第一组生成信息时，第一主服务器200可以生成具有uuid为“133556797”的虚拟机组。作为第一主服务器200，当生成具有uuid“133556797”的虚拟机组时，可以删除具有uuid“8365”的虚拟机的uuid“8365”并分配虚拟机组的uuid“1234567890”。

操作s350和s360对应于图2的操作s230和s240，因此将不进行详细描述。

在操作s370中，一旦接收到违反分组传输规则的分组传输请求时，第一主服务器200可以阻止违反分组传输规则的分组的传输。在一个实施例中，当指示输出该分组的虚拟机的分组标签不匹配虚拟机组的替换后的标识信息时，第一主服务器200可以阻止从该虚拟机输出的分组当中违反分组传输规则的分组的传输。

在一个实施例中，可以基于通过其从虚拟机输出分组的接口的名称和虚拟机的互联网协议(ip)地址来确定分组标签。例如，在第一主服务器200中可以存储与第一主服务器200中包括的虚拟机相对应的虚拟机的输入接口的名称、输出接口的名称和虚拟机的ip地址。例如，虚拟机的输入接口可以不同于虚拟机的输出接口或者可以与虚拟机的输出接口集成为一个接口。可以通过黑客攻击来伪造虚拟机的ip地址，但是在创建虚拟机时唯一地确定输出分组的虚拟机的接口名称，因此不能伪造。于是即使伪造了ip地址，输出接口的名称也是真实的，所以不存在与伪造的ip地址和输出接口的真实名称匹配的虚拟机，从而从具有伪造ip地址的虚拟机输出的分组可能具有默认的分组标签。不存在与默认分组标签匹配的虚拟机的标识信息，从而阻止了给定默认分组标签的分组的传输，从而增强了网络安全性。例如，不可以伪造输出接口的名称，从而可以基于输出接口的名称和ip地址来确定分组标签，从而检测到被攻击的虚拟机。

在操作s380中，当第一主服务器200接收到违反分组传输规则的分组传输请求时，第一主服务器200可以向中央服务器100发送通知接收到违规的分组传输请求的通知消息。在一个实施例中，第一主服务器200可以基于分组标签和虚拟机的标识信息来检测是否接收到违反分组传输规则的分组传输请求。当第一主服务器200确定分组传输请求违反分组传输规则时，第一主服务器200可以忽略该违规的分组传输请求，同时向中央服务器100发送通知接收到违规的分组传输请求的通知消息。当第一主服务器200在从向中央服务器100发送通知消息起的预定时间内未从中央服务器100接收到用于控制与通知消息相对应的操作的输入时，第一主服务器200可以阻止违反分组传输规则的分组传输。第一主服务器200可以阻止违反分组传输规则的分组的传输，而不向中央服务器100发送通知消息。

操作s390可以对应于图2的操作s260，因此将不进行详细描述。

除非明确地提及或另外描述了根据本公开的方法的操作顺序，否则可以以适当的顺序执行操作。本公开不受提及操作的顺序的限制。例如，可以在操作s370之后执行操作s380，或者可以在操作s380之后执行操作s370，或者可以同时执行操作s370和s380。

图4示出了根据实施例的生成虚拟机组的示例。

如图4所示，中央服务器100可以通过对第一主服务器200中的第一至第三虚拟机420、430和440的多个虚拟机中的至少一个进行分组来生成用于生成至少一个虚拟机组的第一组生成信息410。如在网络服务描述符中所描述的，第一组产生信息410可以基于与由多个主服务器提供的至少一个服务有关的网络服务描述符来产生。例如，可以在网络服务描述符中指示出第一主服务器200中包括哪个虚拟网络功能(vnf)和虚拟网络功能组件(vnfc)。这里，vnf是用于执行网络服务的单独功能的单元，并且可以包括一个或多个vnfc。vnfc可以是虚拟机、容器等，或者在此为了方便起见将其描述为虚拟机。例如，在网络服务描述符中，可以描述为第一主服务器200可以包括第一虚拟机420、第二虚拟机430和第三虚拟机440，并且第二虚拟机430和第三虚拟机440包括在一个vnf中。

在一个实施例中，当虚拟机组最初被生成时，一个vnf可以对应于一个虚拟机组。因此，中央服务器100可以通过对第一主服务器200中的第二虚拟机430和第三虚拟机430进行分组来生成用于生成虚拟机组a的第一组生成信息410并发送第一组生成信息410到第一主服务器200。

在一个实施例中，第一主服务器200可以基于所生成的第一组生成信息410通过对第二虚拟机430和第三虚拟机440进行分组来生成虚拟机组a。可以在不考虑分组传输规则的情况而在一个虚拟机组中包含的多个虚拟机之间进行分组传输，从而可以在虚拟机组a中包含的第二虚拟机430和第三虚拟机440之间自由传输分组。但是，在没有分组传输规则的情况下，虚拟机组a中包含的虚拟机430和第三虚拟机440可能无法与未包含在虚拟机组a中的虚拟机进行通信。例如，第二虚拟机430可以发送分组到第三虚拟机440，但是不可以发送分组到第一虚拟机420。第一主服务器200中的多个虚拟机420、430和440当中的未被分组的第一虚拟机420不能与另一虚拟机通信。例如，第一虚拟机420不能向第二虚拟机430和第三虚拟机430发送分组。

图5a至图5c示出根据实施例的其中在虚拟机组之间传输分组的示例。

如图5a所示，在一个实施例中，中央服务器100可以基于网络服务描述符通过对第一主服务器200中的多个虚拟机中的至少一个进行分组来生成用于生成多个虚拟机组的第一组生成信息。

在一个实施例中，中央服务器100可以将第一组生成信息发送到第一主服务器200。例如，第一主服务器200可以将从中央服务器100接收的第一组生成信息存储在第一主服务器200的存储器中。在第一主服务器200中，可以通过基于所生成的第一组生成信息对第一主服务器200中的第一虚拟机520进行分组来生成虚拟机组b。在第一主服务器200中，可以通过基于所生成的第一组生成信息对第一主服务器200中的第二虚拟机530和第三虚拟机540进行分组来生成虚拟机组a。

在一个实施例中，中央服务器100可以基于网络服务描述符来生成与在第一主服务器200生成的虚拟机组a和虚拟机组b之间传输的分组有关的分组传输规则510。中央服务器100可以将分组传输规则510发送到第一主服务器200。例如，分组传输规则510可以是允许虚拟机组a和虚拟机组b之间进行通信的规则。根据分组传输规则510，可以在虚拟机组a中包括的第二虚拟机530和虚拟机组b中包括的第一虚拟机520之间自由地传输分组。也可以在虚拟机组a包括的第三虚拟机540和虚拟机组b中包括的第一虚拟机520之间自由地发送分组。

如图5b所示，在一个实施例中，中央服务器100可以通过基于网络服务描述符对第一主服务器200中的多个虚拟机中的至少一个进行分组来生成用于生成至少一个虚拟机组的第一组生成信息。中央服务器100还可以通过基于网络服务描述符对第二主服务器300中的多个虚拟机中的至少一个进行分组来生成用于生成至少一个虚拟机组的第二组生成信息。

在一个实施例中，中央服务器100可以将第一组生成信息发送到第一主服务器200并且将第二组生成信息发送到第二主服务器300。例如，第一主服务器200可以在第一主服务器200的存储器中存储从中央服务器100接收到的第一组生成信息。在第一主服务器200中，虚拟机组b可以基于生成的第一组生成信息通过对第一主服务器200中的第一虚拟机560进行分组来生成。例如，第二主服务器300可以将从中央服务器100接收的第二组生成信息存储在第二主服务器300的存储器中。在第二主服务器300中，虚拟机组a可以基于生成的第二组生成信息通过对第二主服务器300中的第二虚拟机570和第三虚拟机580进行分组来生成。

在一个实施例中，中央服务器100可以基于网络服务描述符来生成与在第一主服务器200生成的虚拟机组a和第二主服务器300生成的虚拟机组b之间传输的分组有关的分组传输规则550。中央服务器100可以将分组传输规则550发送到第一主服务器200和第二主服务器300。例如，分组传输规则550可以是用于允许虚拟机组a和虚拟机组b之间进行通信的规则。根据分组传输规则550，可以在虚拟机组a中包括的第二虚拟机570和虚拟机组b中包括的第一虚拟机560之间自由地传输分组。也可以在虚拟机组a中包括的第三虚拟机580和虚拟机组b中包括的第一虚拟机560之间自由地传输分组。

如图5c所示，中央服务器100可以通过基于网络服务描述符对第一主服务器200中的至少一个虚拟机和第二主服务器300中的至少一个虚拟机进行分组来生成用于生成第三虚拟机组的第三组生成信息。

在一个实施例中，中央服务器100可以通过对第一主服务器200中的第一虚拟机594和第二主服务器中的第三虚拟机598进行分组来生成用于生成虚拟机组a的第三组生成信息。中央服务器100可以将第一组生成信息410发送到第一主服务器200和第二主服务器300。中央服务器100可以通过对第一主服务器200中的多个虚拟机594和596中的第二虚拟机596进行分组来生成用于生成虚拟机组b的第一组生成信息。中央服务器100可以将第一组生成信息发送到第一主服务器200。

在一个实施例中，第一主服务器200和第二主服务器300可以通过基于第三组生成信息对第一虚拟机594和第三虚拟机598进行分组来生成虚拟机组a。可以不考虑分组传输规则而在一个虚拟机组中包括的多个虚拟机之间进行分组传输，从而可以在虚拟机组a中包括的第二虚拟机594和第三虚拟机598之间自由地传输分组。也就是说，可以在不同主服务器中的虚拟机之间的虚拟机组中自由传输分组。在第一主服务器200中，可以通过基于所生成的第一组生成信息对第二虚拟机596进行分组来生成虚拟机组b。

在一个实施例中，中央服务器100可以基于网络服务描述符来生成与由第一主服务器200和第二主服务器300所生成的虚拟机组a和由第一主服务器200所生成的虚拟机组b之间传输的分组有关的分组传输规则592。中央服务器100可以将分组传输规则550发送到第一主服务器200和第二主服务器300。例如，分组传输规则592可以是用于允许虚拟机组a和虚拟机组b之间进行通信的规则。根据分组传输规则592，可以在包括在虚拟机组a包括的第一虚拟机594和虚拟机组b包括的第二虚拟机596之间自由地传输分组。也可以在虚拟机组a包括的第三虚拟机598和虚拟机b包括的第二虚拟机596之间自由地传输分组。

图6是图解根据实施例的生成分组传输规则的示例。

如图6所示，中央服务器100可以基于网络服务描述符的转发图620来生成分组传输规则。在一个实施例中，转发图620可以以图的形式示出转发路径代码610，该转发路径代码610指示包括在网络服务描述符中的分组的流。例如，转发路径代码610可以是在nfv环境中使用的标准形式。

在一个实施例中，第一主服务器200可以包括分别对应于虚拟机组a、虚拟机组b和虚拟机组c的vnf1、vnf2和vnf3。在一个实施例中，第一主服务器200可以包括输入接口cp01630和输出接口cp02680。vnf1可以包括输入接口cp11640和输出接口cp12650，vnf2可以包括输入/输出接口cp21，vnf3可以包括输入接口cp31660和输出接口cp32670。示出转发路径代码610的转发图620指示出分组依次通过cp01630、cp11640、cp12650、cp31660、cp32670和cp02680，以便中央服务器100可以检测到允许从虚拟机组a到虚拟机组c的分组传输。中央服务器100可以生成允许在虚拟机组a和虚拟机组c之间进行分组传输的分组传输规则690。因此，中央服务器100基于网络服务描述符自动生成分组传输规则，从而提供用于根据分组传输规则控制分组传输的安全服务给不太了解安全策略的中央服务器100的管理员。

图7示出根据实施例的更新虚拟机组和分组传输规则的示例。

在一个实施例中，中央服务器100的管理员可以基于网络服务描述符来更新所生成的虚拟机组。中央服务器100可以通过接收来自管理员的虚拟机组生成代码710的输入，来指示至少一个主服务器除基于网络服务描述符生成的现有虚拟机组之外还生成新的虚拟机组。例如，每个虚拟机可以具有唯一的标识信息。每个虚拟机组可以具有唯一的标识信息。标识信息可以是通用唯一标识符(uuid)，它是软件建立中使用的标识符标准。如虚拟机组生成代码710中所述，中央服务器100可以基于来自管理员的输入来向主服务器发送用于将具有uuid“111111”的虚拟机和具有uuid“567822”的虚拟机分组为具有uuid“1234567890”的虚拟机组的命令。

在一个实施例中，当生成虚拟机组时，可以用虚拟机组的标识信息代替虚拟机组中的虚拟机的标识信息。例如，当生成具有uuid“1234567890”的虚拟机组时，包括具有uuid“111111”的虚拟机的主服务器可以删除uuid“111111”并给出uuid“1234567890”。包括具有uuid“567822”的虚拟机的主服务器可以删除uuid“567822”并给出uuid“1234567890”。

在一个实施例中，可以不考虑分组传输规则而在具有相同uuid的虚拟机之间自由地执行通信。例如，可以在具有替换后的uuid“1234567890”的虚拟机之间自由地传输分组。

在一个实施例中，中央服务器100可以通过从管理员接收虚拟机组去除代码720的输入来指示至少一个主服务器去除基于网络服务描述符所生成的多个现有虚拟机组中的至少一个。中央服务器100可以基于来自管理员的输入将用于移除具有uuid“1234567890”的虚拟机组和具有uuid“8888888888”的虚拟机组的命令发送到至少一个主服务器。

在一个实施例中，当去除虚拟机组时，可以用虚拟机组中的每个虚拟机的标识信息来替换虚拟机组的标识信息。例如，当去除具有uuid“1234567890”的虚拟机组时，包括具有uuid“1234567890”的虚拟机组的主服务器可以删除已经具有现有uuid“111111”的虚拟机的uuid“1234567890”并给出现有的uuid“111111”。主服务器可以删除已具有现有uuid“567822”的虚拟机的uuid“1234567890”并给出现有的uuid“567822”。

在一个实施例中，第一主服务器200中的多个虚拟机当中未被分组的第一虚拟机不能向第一主服务器200中的第二虚拟机和第二主服务器300中的第三虚拟机发送分组。例如，如果没有分组传输规则，则在具有不同uuid的虚拟机之间可能无法进行通信。例如，可以隔离具有uuid“111111”的虚拟机和具有uuid“567822”的虚拟机，此后在未从管理员接收到用于添加分组传输规则的情况下，虚拟机可被分组或者可能不能发送分组。

在一个实施例中，中央服务器100的管理员可以基于网络服务描述符来更新所生成的分组传输规则。管理员可以响应于通知接收到违反分组传输规则的请求的通知消息来更新分组传输规则或者可以在没有接收到通知消息的情况下更新分组传输规则。

在一个实施例中，中央服务器100可以从管理员接收用于添加分组传输规则的输入或用于删除分组传输规则的输入。例如，用于添加分组传输规则的输入可以是用于添加允许虚拟机组之间的分组传输的规则或不允许虚拟机组之间的分组传输的规则的输入。

在一个实施例中，中央服务器100可以通过从管理员接收分组传输规则添加代码730的输入来指示至少一个主服务器除基于网络服务描述符生成的现有分组传输规则之外还生成新的分组传输规则。中央服务器100可以基于来自管理员的输入来向至少一个服务器发送用于添加不允许在具有uuid“0100000456”的虚拟机组d和具有uuid“9876543210”的虚拟机组e之间进行分组传输的分组传输规则的命令。虚拟机组d和虚拟机组e之间的分组传输可能无法进行。

在一个实施例中，中央服务器100可以通过从管理员接收分组传输规则添加代码730的输入来指示至少一个主服务器删除基于网络服务描述符生成的现有分组传输规则中的至少一个。中央服务器100可以基于来自管理员的输入来向至少一个服务器发送用于删除不允许在具有uuid“0100000456”的虚拟机组d和具有uuid“9876543210”的虚拟机组e之间进行分组传输的分组传输规则的命令。虚拟机组d和虚拟机组e之间的分组传输是可能的。

在一个实施例中，可以存在多个管理中央服务器100的管理员。中央服务器100可以从多个管理员中的预设的第一类的第一管理员接收用于添加第一分组传输规则的输入和从多个管理员中的预设第二类的第二管理员接收用于添加第二分组传输规则的输入。例如，在第一分组传输规则与第二分组传输规则之间发生冲突的情况下，中央服务器100可以通过比较第一类别与第二类别来更新分组传输规则。例如，管理员的类别可以用代码“优先权”实现，其中较低的“优先权”可能意味着管理员的类别较高。例如，当第一分组传输规则允许虚拟机组a和虚拟机组b之间的分组传输，而第二分组传输规则不允许虚拟机组a和虚拟机组b之间的分组传输时，中央服务器100可以将第一类别与第二类别进行比较，并且当第一类别高于第二类别时根据第一分组传输规则向第一主服务器发送允许在虚拟机组a和虚拟机组b之间进行分组传输的请求。

图8示出了根据实施例的其中更新虚拟机组和分组传输规则的示例。

如以上参考图7所描述的，在一个实施例中，在没有输入代码的情况下中央服务器100的管理员可以基于网络服务描述符来更新所生成的虚拟机组和分组传输规则。

在一个实施例中，中央服务器100可以通过从管理员接收用于选择vnf安全管理条810的输入来显示vnf安全管理屏幕。在vnf安全管理屏幕上可以包括虚拟机组信息820。虚拟机组信息820可以包括虚拟机组的名称、虚拟机组的生成类型以及vnf目录id。虚拟机组的生成类型可以包括自动生成类型和手动生成类型，其中基于网络服务描述符生成的虚拟机组可以对应于自动生成类型，并且基于管理员的输入生成的虚拟机组可能对应于手动生成类型。对于与自动生成类型相对应的虚拟机组，一个虚拟机组对应于一个vnf，因此存在唯一的vnf目录id，但是对于与手动生成类型相对应的虚拟机组，一个虚拟机不对应于一个vnf，因此不能存在唯一的vnf目录id。当中央服务器100接收到用于选择虚拟机组信息820的一部分的输入时，可以显示指示相应虚拟机组的更多详细信息的虚拟机组详细信息830。在虚拟机组详细信息830中，可以包括在虚拟机组信息820中未包括的与虚拟机组中包括的虚拟机有关的信息。关于虚拟机的信息可以包括关于虚拟机的uuid、存储器、图像和ip地址的信息。

在一个实施例中，当中央服务器100从管理员接收到用于选择虚拟机组生成按钮840的输入时，可以显示用于选择要被分组到新的虚拟机组中的至少一个机器组的虚拟机选择窗口850。管理员可以通过虚拟机选择窗口850选择具有uuid“ldg-278db”的虚拟机和具有uuid“c68-d135xt”的虚拟机来生成新的虚拟机组。中央服务器100可以显示用于选择要对其应用新的分组传输规则的虚拟机组的虚拟机机器组选择窗口860。管理员可以通过虚拟机组选择窗口860添加允许在具有uuid“621d74f-556d4sb3b”的虚拟机组和具有uuid“bdb6sd5-qwe13qr7”的虚拟机组之间进行分组传输的分组传输规则。

图9示出根据实施例的基于与通知消息相对应的来自管理员的输入来更新分组传输规则的示例。

在一个实施例中，中央服务器100可以基于与通知消息920相对应的来自管理员910的输入来阻止930违反分组传输规则的分组的传输。例如，中央服务器100可以向安装了源虚拟机的源服务器发送用于请求终止960已输出违反分组传输规则的分组的源虚拟机的请求。例如，中央服务器100可以向安装了源虚拟机的源服务器发送用于重新安装970已输出违反分组传输规则的分组的源虚拟机的请求。例如，中央服务器100可以更新990分组传输规则以附加地限制或部分允许违反分组传输规则的分组的传输。例如，中央服务器100可以向安装了源虚拟机的源服务器发送用于分析980已输出违反分组传输规则的分组的源虚拟机的请求。例如，中央服务器100可以通过使用外部安全服务来分析源虚拟机以确定源虚拟机中是否存在安全问题。

在一个实施例中，中央服务器100不能从管理员910接收与通知消息920相对应的输入。例如，管理员910可以忽略940通知消息920。即使当管理员910忽略940通知消息920时，主服务器仍可以阻止违反分组传输规则的分组的传输，从而不允许违规分组的传输。

在一个实施例中，中央服务器100可以基于与通知消息920相对应的来自管理员910的输入，更新990分组传输规则以允许950传输违反分组传输规则的分组。

图10示出根据实施例的输出通知消息的示例。

中央服务器100可以输出从第一主服务器200接收到的通知消息。在一个实施例中，中央服务器100可以将通知消息发送到外部显示设备以显示通知消息或者可以在中央服务器100的显示器上显示通知消息。替代地，中央服务器100可以以语音形式输出通知消息。

在一个实施例中，通知消息可以包括关于以下各项中的至少一项的信息：作为违反分组传输规则的分组的传输源的源虚拟机、作为违规分组的传输目的地的目的地虚拟机、安装了源虚拟机的主服务器或安装了目的地虚拟机的主服务器。如图10所示，可以输出通知消息，该通知消息包括：安装了源虚拟机的主服务器的名称、包括源虚拟机的虚拟机组的uuid、源虚拟机的uuid、包括目的地虚拟机的虚拟机组的uuid以及目的地虚拟机的uuid。

在一个实施例中，管理员可以从输出通知消息中确定要发送到哪个虚拟机的哪个虚拟机的分组。此后，可以在动作条1010中设置要与输出通知消息相对应的输入。参照图9，例如管理员可以忽略该通知消息或者根据该通知消息阻止或允许违反分组传输规则的分组的传输。

图11是根据实施例的中央服务器的框图。

如图11所示，根据实施例的中央服务器100可以包括处理器1300、通信器1500和存储器1700。但是图11中所示的元件可能不是中央服务器100的必要元件。可以使用比图11中的实施例更多或更少的元件来实现中央服务器100。

例如，除了处理器1300、通信器1500和存储器1700之外，根据实施例的中央服务器100还可包括输入器(未示出)和输出器(未示出)。

输入器1100可以指示管理员用来输入控制中央服务器100的数据的装置。例如，输入器(未示出)可以包括但不限于小键盘、圆顶开关、触摸板(电容性覆盖型、电阻性覆盖型、红外线束型、声表面波型、积分应变仪型、压电效应型等)、拨轮、拨动开关等。

输入器(未示出)可以从管理员接收用于更新分组传输规则的输入。

输出器(未示出)可以输出音频信号或视频信号，并且可以包括显示器(未示出)和音频输出器(未示出)。

显示器(未示出)可以显示和输出由中央服务器100处理的信息。例如，显示器(未示出)可以显示用于更新虚拟机组和分组传输规则的用户界面。显示器(未示出)可以显示用于通知接收到违反分组传输规则的分组传输请求的通知消息。

音频输出器(未示出)可以输出从通信器1500接收的音频数据或存储在存储器1700中的音频数据。音频输出器1220可以输出与中央服务器100执行的功能(例如呼叫信号接收声音、消息接收声音、警报声等)有关的音频信号。

处理器1300通常可以控制中央设备100的整体操作。例如，处理器1300可以通过执行存储器1700这存储的程序来整体控制输入器(未示出)、输出器(未示出)和通信器1500。控制器1300通过执行存储在存储器1700中的程序来执行图1到图10中公开的中央处理器100的功能。处理器1300可以包括至少一个处理器。取决于其功能和作用，处理器1300可以包括多个处理器或集成形式的一个处理器。

在一个实施例中，处理器1300可以基于与多个主服务器提供的至少一个服务有关的网络服务描述符，通过对第一主服务器200中的多个虚拟机中的至少一个进行分组来生成用于生成多个第一虚拟机组的第一组生成信息。处理器1300可以控制通信器1500以将第一组生成信息发送到第一主服务器200。处理器1300还可以通过基于网络服务描述符对第二主服务器300中的多个虚拟机组中的至少一个进行分组来生成用于生成多个第二虚拟机组的第二组生成信息。处理器1300可以控制通信器1500将第二组生成信息发送到第二主服务器300。

在一个实施例中，处理器1300可以基于网络服务描述符来生成与在多个第一虚拟机组之间传输的分组有关的分组传输规则。处理器1300可以基于网络服务描述符来生成与在由第一主服务器200生成的多个第一虚拟机组与由第二主服务器300生成的多个第二虚拟机组之间传输的分组有关的分组传输规则。处理器1300可以控制通信器1500以将生成的分组传输规则发送到第一主服务器200和/或第二主服务器300。

在一个实施例中，当第一主服务器200接收到违反分组传输规则的分组传输请求时，处理器1300可以通过通信器1500从第一主服务器200接收通信消息，该通知消息通知接收到违规的分组传输请求。当第一主服务器200基于通过通信器1500发送的第一组生成信息来生成第一虚拟机组时，每个第一虚拟机组中的虚拟机的标识信息可以被第一虚拟机组的标识信息替代。当指示输出了该分组的虚拟机的分组标签不匹配第一虚拟机组的替换后的标识信息时，可以从第一主服务器200接收该通知消息。

在一个实施例中，处理器1300可以控制输出器(未示出)以输出从第一主服务器200接收的通知消息。

在一个实施例中，处理器1300可以基于来自中央服务器100的管理员的通过输入器(未示出)的输入来更新分组传输规则。例如，处理器1300可以基于与通知消息相对应的来自管理员的输入来更新分组传输规则以允许违反分组传输规则的分组的传输。例如，处理器1300可以基于与通知消息相对应的管理员的输入，控制通信器1500以向第一主服务器200发送用于重新安装已输出违规分组传输规则的分组的虚拟机的请求。例如，当存在多个管理员并且从预设的第一类的第一管理员更新的第一分组传输规则与从预设的第二类的第二管理员更新的第二分组传输规则之间发生冲突时，处理器1300可以通过比较第一类和第二类来更新分组传输规则。

通信器1500可以包括一个或多个使中央服务器100能够与第一主服务器200、第二主服务器300和另一设备(未示出)通信的元件。另一设备(未示出)可以是但不限于诸如中央服务器100的计算设备。例如，通信器1500可以包括移动通信器(未示出)。

移动通信器(未示出)可以通过移动通信网络向和从基站、外部终端、第一主服务器200或第二主服务器300中的至少一个发送和接收无线电信号。在此，无线电信号可以包括与语音呼叫信号、视频通信呼叫信号或文本/多媒体消息的发送/接收相对应的各种形式的数据。

在一个实施例中，通信器1500可以分别将第一组生成信息和第二组生成信息发送到第一主服务器200和第二主服务器300，并从第一主服务器200和第二主服务器200接收通知消息。在一个实施例中，通信器1500可以向另一设备(未示出)发送和接收第一组生成信息、第二组生成信息和分组传输规则的生成和传输所需的信息。

存储器1700可以存储用于处理和控制处理器1300的程序以及输入到中央服务器100或从中央服务器100输出的数据。

存储器1700可以包括闪存类型、硬盘类型、多媒体卡微型类型、卡类型存储器(例如安全数字(sd)或极限数字(xd)存储器等)、随机存取存储器(ram)、静态随机存取存储器(sram)、只读存储器(rom)、电可擦可编程只读存储器(eeprom)、可编程只读存储器仅内存(prom)、磁存储器、磁盘、光盘等中至少之一的存储介质。

存储器1700中存储的程序可以根据其功能而被分类为多个模块，例如用户界面(ui)模块(未示出)、触摸屏模块(未示出)、通知模块(未显示)等。

ui模块(未示出)为每个应用提供与中央服务器100交互工作的专用ui或图形ui(gui)。触摸屏模块(未示出)可以感测用户在触摸屏上的触摸手势并将关于该触摸手势的信息传递给处理器1300。根据一个实施例的触摸屏模块(未示出)可以识别并分析触摸码。触摸屏模块(未示出)可以配置有包括控制器的单独的硬件。

通知模块(未示出)生成用于通知中央服务器100的事件发生的信号。在中央服务器100中发生的事件的示例可以包括键信号输入等。通知模块(未示出)可以通过显示器(未示出)以视频信号的形式以及通过音频输出器(未示出)以音频信号的形式来输出通知信号。

例如，存储器1700可以存储与中央服务器100的至少一个其他元件有关的指令或数据。存储器还可以存储软件和/或程序。该程序可以包括内核、中间件、应用编程接口(api)和/或应用程序(或“应用”)等。

本公开的一些实施例可以用包括诸如计算机可执行程序模块之类的计算机可执行指令的记录介质来实现。计算机可读记录介质可以是计算机可访问的可用介质，并且包括易失性介质、非易失性介质、分离的介质和非分离的介质中的全部。计算机可读记录介质还可包括计算机存储介质。计算机存储介质包括易失性介质、非易失性介质、分离的介质和非分离的介质中的所有，其通过用于存储诸如计算机可读指令、数据结构、编程模块或其他数据之类的信息的方法或技术来实现。

在说明书中，术语“单元”可以是诸如处理器或电路的硬件组件和/或由诸如处理器的硬件组件执行的软件组件。

本公开所属领域的普通技术人员将理解，在不脱离本公开的技术精神或基本特征的情况下，可以以不同的详细方式来实现本公开。因此，本公开的前述实施例应被解释为仅是说明性的，而不应被解释为从所有方面进行限制。例如，被描述为单一类型的每个元件可以以分布式方式实现，并且同样地被描述为分布式的元件可以被实现为耦合类型。

本公开的范围由所附权利要求而不是详细描述来限定，并且权利要求的含义和范围以及从其等同物衍生的所有改变或修改形式应被认为落入本公开的范围内。