[发明专利]在多租户环境中提供用于安全网络通信的集成防火墙的系统和方法

说明书

集成防火墙在多租户环境中提供安全性，多租户环境具有基于连接的交换结构，其将提供多个数据库服务的数据库服务器与托管数据库服务消费者的多个数据库服务直接连接，每个数据库服务消费者具有不同的数据库服务消费者身份。集成到每个数据库服务器中的防火墙功能通过丢弃不包括数据库服务消费者身份的通信分组并结合访问控制列表使用数据库服务消费者身份来控制从数据库服务消费者到数据库服务的访问来提供访问控制。访问控制包括基于所述访问控制列表的地址解析访问控制、连接建立访问控制和数据交换访问控制。集成防火墙经由InfiniBand网络使得数据库服务器和应用服务器能够直接连接，从而提供防火墙功能而无需单独的中间防火墙设备或安全性节点。

版权声明：

本专利文档的公开内容的一部分包含受版权保护的素材。版权拥有者不反对任何人对专利文档或专利公开内容按照在专利商标局的专利文件或记录中出现的那样进行传真复制，但是除此之外在任何情况下都保留所有版权。

技术领域

本发明一般而言涉及计算机系统，并且具体而言涉及在网络环境中提供安全通信。

背景技术

互连网络在下一代超级计算机、集群和数据中心中发挥有益的作用。随着更大云计算体系架构的引入，与传统网络和存储相关联的性能和管理瓶颈已成为重要的问题。下一代数据中心可以包括具有用于托管应用的多个计算节点的中间件机器系统。这种中间件机器系统的一个例子是Exalogic计算机设备。下一代数据中心还可以包括数据库服务器系统。数据库服务器系统的一个例子是Exadata数据库云服务器。中间件机器系统与数据库服务器系统协作工作。存储在数据库服务器系统中的数据被使用和检索，用于中间件机器系统中的计算机操作，在中间件机器系统中生成或修改的数据被存储在数据库服务器系统中。因此，中间件机器系统和数据库服务器系统之间的连接可靠、高速、低延迟和具有低协议开销的高带宽是重要的。例如，已经见到InfiniBand(IB)技术日益增长地部署为云计算结构的基础。InfiniBand是基于连接的通信协议，其使用可以支持中间件机器系统和数据库服务器系统之间的远程直接存储器访问(RDMA)操作等的交换结构拓扑。

但是，数据中心通常由多个租户共享。多个租户可以是例如云计算环境中的不同公司实体。即使在数据中心专用于单个公司实体的情况下，也可能存在不同部门形式的多个租户(诸如财务、人力资源、工程等)，其拥有必须对其它部门保持私密的数据。在多租户环境中，数据被保护以及可以被授权的租户和相关联的用户访问并且不能被未授权的租户和相关联的用户访问是重要的或必要的。同样，中间件机器系统中的应用与特定租户相关联，并且因此数据库服务器系统中的数据对某些应用应当是可访问的，而对其它应用应当是不可访问。

保护数据免于未授权访问的常规方式是使用防火墙设备。防火墙设备(诸如以太网防火墙设备)可以放置在位于共享以太网介质中的中间件机器系统和数据库服务器系统之间。防火墙设备控制对数据库服务的访问，使得用于这种服务的端口对授权租户及其相关联的应用可用，而对未授权的租户及其相关联的应用不可用。但是，使用这种防火墙设备必然防止中间件机器系统和数据库服务器系统之间的直接连接，并且充当了间接连接的瓶颈。没有InfiniBand防火墙设备当前可用。因此，如果需要/指定防火墙，则应当使用常规的以太网防火墙设备(等等)。但是，使用常规的以太网防火墙设备引入了额外的联网开销，并且产生限制系统可扩展性的瓶颈。使用常规的以太网防火墙设备排除了使用基于高速连接的交换结构(诸如，InfiniBand)以及这种基于连接的交换结构提供给在中间件机器系统和数据库服务器系统之间执行的操作的优化。