公开(公告)号：GB2529367A

公开(公告)日：2016-02-17

申请号：GB201522203

申请日：2014-06-06

Applicant: IBM

Inventor： DONNELLAN SEAN ,  FLOYD ROBART K III ,  MONACO ROBERT P ,  MUELLER HOLGER ,  ROBINSON JOSEPH D

IPC: G06F9/455

Abstract: To provision a secure customer domain in a virtualized multi-tenant environment, a virtual machine (VM) is configured for a customer in the customer domain. A first, second, and third virtual network interfaces (VNICs) are configured in the VM. The first VNIC has a first network address within a first address range selected for the customer domain and enables an application on the VM to access a second application in a second VM in the customer domain. The second VNIC enables a third application outside the customer domain to access the VM in the customer domain. The second VNIC is configured to use an addressing specification used by a server of the third application. The third VNIC enables access from the first application to a fourth application executing outside the customer domain. The third VNIC is configured to use an addressing specification used by a server of the fourth application.

公开(公告)号：DE112014002799B4

公开(公告)日：2020-02-20

申请号：DE112014002799

申请日：2014-06-06

Applicant: IBM

Inventor： DONNELLAN SEAN ,  FLOYD III ROBART K ,  MONACO ROBERT P ,  MUELLER HOLGER ,  ROBINSON JOSEPH D

IPC: G06F21/62 ,  G06F9/455 ,  G06F21/53

Abstract: Ein Verfahren für eine Absicherung einer Kundendomäne in einer virtuellen Mehr-Mieter-Umgebung, wobei das Verfahren aufweist:- Konfigurieren, durch einen Prozessor, einer virtuellen Maschine (VM) für einen Kunden in der Kundendomäne;- Konfigurieren, durch den Prozessor, eines ersten virtuellen Netzwerk-Interface (VNIC) in der VM, wobei das erste VNIC es einer ersten Anwendung auf der VM ermöglicht, auf eine zweite Anwendung in einer zweiten VM in der Kundendomäne zuzugreifen;- Zuweisen, durch den Prozessor, einer ersten Netzwerkadresse zu dem ersten VNIC, wobei die erste Netzwerkadresse innerhalb eines ersten Netzwerkadressbereiches liegt, der für die Kundendomäne ausgewählt ist;- Konfigurieren, durch den Prozessor, eines zweiten VNIC in der VM, wobei das zweite VNIC es einer dritten Anwendung außerhalb der Kundendomäne ermöglicht, auf die VM in der Kundendomäne zuzugreifen, wobei das zweite VNIC konfiguriert ist, eine Adressierungsspezifikation zu nutzen, die von einem Server der dritten Anwendung verwendet wird; und- Konfigurieren, durch den Prozessor, eines dritten VNIC in der VM, wobei das dritte VNIC es der ersten Anwendung ermöglicht, auf eine vierte Anwendung zuzugreifen, die außerhalb der Kundendomäne ausgeführt wird, und wobei das dritte VNIC konfiguriert ist, um eine Adressierungsspezifikation zu nutzen, die von einem Server für die vierte Anwendung verwendet wird, wodurch eine Datenkommunikation, die der Kundendomäne zugehörig ist, gegenüber Einflüssen von einer Datenkommunikation, die einer zweiten Kundendomäne zugehörig ist, abgesichert ist, und wobei die VM, die zweite VM, die dritte VM und die vierte VM auf einer logisch partitionierten Plattform implementiert sind.

公开(公告)号：DE112014002799T5

公开(公告)日：2016-03-10

申请号：DE112014002799

申请日：2014-06-06

Applicant: IBM

Inventor： DONNELLAN SEAN ,  FLOYD III ROBART K ,  MONACO ROBERT P ,  MUELLER HOLGER ,  ROBINSON JOSEPH D

IPC: G06F21/62

Abstract: Um eine sichere Kunden-Domäne in einer virtualisierten Mehr-Mieter-Umgebung bereit zu stellen, wird eine virtuelle Maschine (VM) in einer Kunden-Domäne konfiguriert. Ein erstes, ein zweites und ein drittes Netzwerk-Interface (VNICs) wird in der VM konfiguriert. Der erste VNIC hat eine erste Netzwerkadresse in einem ersten Adressbereich für eine Kunden-Domäne und ermöglicht es einer Anwendung in der VM auf eine zweite Anwendung in einer zweiten VM in der Kunden-Domäne zuzugreifen. Der zweite VNIC ermöglicht einer dritten Anwendung außerhalb der Kunden-Domäne auf die VM in der Kunden-Domäne zuzugreifen. Das zweite VNIC ist konfiguriert, um eine Adressspezifikation zu nutzen, die von dem Server und der dritten Anwendung genutzt werden. Das dritte VNIC ermöglicht einen Zugriff von der ersten Anwendung zu einer vierten Anwendung, die außerhalb der Kunden-Domäne ausgeführt wird. Das dritte VNIC ist konfiguriert, eine Adressspezifikation zu nutzen, die von dem Server der vierten Anwendung genutzt wird.

公开(公告)号：GB2529126A

公开(公告)日：2016-02-10

申请号：GB201522128

申请日：2014-05-28

Applicant: IBM

Inventor： FLOYD ROBERT K III ,  MANDALIA BAIJU D ,  MONACO ROBERT P ,  VISWANATHAN MAHESH

IPC: H04L47/32

Abstract: An approach for regional firewall clustering for optimal state-sharing of different sites in a virtualized/networked (e.g.,cloud) computing environment is provided. In a typical embodiment, each firewall in a given region is informed of its peer firewalls via a registration process with a centralized server. Each firewall opens up an Internet protocol (IP)-based communication channel to each of its peers in the region to share state table information. This allows for asymmetrical firewall flows through the network and allows routing protocols to ascertain the best path to a given destination without having to take firewall placement into consideration.

公开(公告)号：DE112014000358T5

公开(公告)日：2015-10-08

申请号：DE112014000358

申请日：2014-05-28

Applicant: IBM

Inventor： FLOYD III ROBERT K ,  MONACO ROBERT P ,  VISWANATHAN MAHESH ,  MANDALIA BAIJU D

IPC: H04L47/32

Abstract: Bereitgestellt wird ein Ansatz für ein regionales Firewall-Clustering zum optimalen gemeinsamen Zugreifen auf einen Zustand verschiedener Standorte in einer virtualisierten/vernetzten (z. B. Cloud-)Datenverarbeitungsumgebung. Bei einer typischen Ausführungsform wird jede Firewall in einer gegebenen Region über einen Registrierungsprozess bei einem zentralen Server über ihre Peer-Firewalls informiert. Jede Firewall eröffnet einen auf einem Internet-Protokoll (IP) beruhenden Datenübertragungskanal zu jedem ihrer Peers in der Region, um gemeinsam auf Zustandstabellendaten zuzugreifen. Dies ermöglicht asymmetrische Firewall-Datenflüsse durch das Netzwerk und gestattet Routing-Protokollen, den besten Pfad zu einem gegebenen Ziel zu ermitteln, ohne dafür die Position einer Firewall berücksichtigen zu müssen.