本发明专利技术提供一种基于策略感知的虚拟机迁移方法,该方法包括以下步骤:I、确定安全策略的中间件;II、确定前端服务器和后端服务器的资源需求和配置需求;III、构建flow安全图;IV、生成可达矩阵;V、增加策略映射函数,实现虚拟机迁移IP地址变更后的安全策略转换;VI、虚拟机迁移。该方法通过在虚拟机迁移过程中加入安全策略迁移感知机制,避免虚拟机迁移导致的策略违反和安全漏洞。
【技术实现步骤摘要】
本专利技术涉及一种云计算
的方法,具体涉及一种基于策略感知的虚拟机迁 移方法。
技术介绍
随着云计算的优势得到越来越多的企业和用户的认可,如何将企业应用或用户程 序迁移到云计算平台中去以及如何实现已有云平台中动态资源调度逐渐成为研究热点。一 方面,相关统计数据表明,超过70 %的企业决策者认为将传统应用进行云迁移是解决企业 数据中心随着业务种类日益增多导致的管理困难问题的有效途径。另一方面,为了增加已 有云平台中应用部署的灵活性,动态资源调度是提供云计算弹性资源供给的必要前提。无 论是将应用进行云迁移还是实现动态资源调度,均涉及到虚拟机在线迁移问题。由于大量 应用对性能、时延、在线服务时间等要求非常严格,且已有大多数分布式、结构化应用系统 的安全策略(如负载均衡、应用加速、防火墙、入侵检测等)已经配置到底层物理设备上,因 此实现这些应用虚拟机的热迁移不仅有服务中断时长问题,而且还存在如何保证迁移前后 的安全策略还能保持一致的问题。缺少对策略感知的虚拟机热迁移将导致严重的策略违反 和安全漏洞。 互联网业界和学术研究领域提出了部分解决办法,比如VMWare公司提出了虚拟 服务域的概念,允许一组虚拟机通过一台虚拟备设进行安全防护,虚拟机组所有数据传输 都将发往该虚拟安全防护设备进行策略检查,从而避免热迁移导致的安全问题。由于引入 了虚拟设备作为一组虚拟机数据传输的出口,该设备可能会成为传输的瓶颈。Voltaire公 司的一款数据中心交换机也实现了对端口策略迁移的支持。上述方法均在虚拟机的第一跳 实现,可以归为终端策略一类。事实上,许多策略分散在网络中,例如,入侵检测和防火墙往 往部署在整个网络的出入口,适用于所有网络中的应用,而不仅仅是在某个应用的某个虚 拟机的下一跳。可见,当进行这些传统应用的云迁移或虚拟机热迁移时,已有的方法并不适 用。
技术实现思路
为了克服上述现有技术的缺陷,本专利技术提供了一种基于策略感知的虚拟机迁移方 法。 为了实现上述专利技术目的,本专利技术采取如下技术方案: -种基于策略感知的虚拟机迁移方法,其改进之处在于:所述方法包括以下步 骤: I、确定安全策略的中间件; II、确定前端服务器和后端服务器的资源需求和配置需求; III、构建flow安全图; IV、生成可达矩阵; V、增加策略映射函数,实现虚拟机迁移IP地址变更后的安全策略转换; VI、虚拟机迁移。 进一步的,所述中间件包括骨干路由器、防火墙安全规则、负载均衡策略、入侵检 测规则和接入路由器。 进一步的,所述资源需求包括计算资源、中间件和网络带宽,所述配置需求包括允 许的服务项。 进一步的,所述步骤III包括:以云服务器节点为顶点,以所述云服务器节点之间 的实际连接为边,构造 flow安全图;标识所述云服务器节点的资源需求和配置要求二元 组。 进一步的,所述步骤IV包括:根据所述flow安全图所示的访问路径,确定所述可 达矩阵的单元的内容。 进一步的,确定所述可达矩阵的单元的内容包括:判断所述flow安全图是否存在 安全策略节点,若所述flow安全图无安全策略节点,则所述可达矩阵中相应单元为空,表 示两个网络实体之间完全可达;若所述flow安全图上有多个安全策略,则所述可达矩阵中 相应单元为多个安全策略取交集。 进一步的,所述步骤VI包括: S601、提取虚拟机迁移前的可达矩阵; S602、通过分割所述可达矩阵过滤迁移后的所述虚拟机和未迁移的所述虚拟机的 通信流量; S603、通过多项式算法确定迁移后的安全图的最小割,确定安全策略的流量过滤 范围,获得迁移后虚拟机的可达矩阵; S604、更新flow安全图,获得迁移后包含迁移虚拟机和未迁移虚拟机在内的flow 安全图。 进一步的,所述步骤S602中,所述虚拟机的迁移包括本地迁移和跨域迁移,过滤 方法包括: 当为本地迁移时,迁移后的所述虚拟机和未迁移的所述虚拟机之间依然为本地通 信,可达矩阵未发生变化;当为跨域迁移,迁移后的所述虚拟机与未迁移的所述虚拟机之间 通过互联网进行通信,所述虚拟机迁移到另一个管理域中后为区分本地流量和异地流量, 对可达矩阵单元进行区分。 与现有技术相比,本专利技术的有益效果在于: 1、本专利技术的方法提出了,通过虚拟机迁移过 程中加入安全策略迁移感知机制,实现虚拟机迁移前后的策略一致性,避免虚拟机迁移导 致的策略违反和安全漏洞。 2、本专利技术的方法提出了两种策略感知机制,一是可达矩阵,二是flow安全图。通 过迁移前抽离安全图和可达矩阵,得到的安全图和可达矩阵随虚拟机迁移一起迁移并嵌入 到虚拟机迁移后的运行环境中,最终实现虚拟机迁移前后的策略一致性。 3、本专利技术的方法提出了 flow安全图生成方法,通过为虚拟机访问路径上的所有 安全中间件添加相应的标签,标识每个节点的资源需求和配置要求二元组,得到flow安全 图。 4、本专利技术的方法提出了可达矩阵生成方法,通过确定安全策略中间件,包含骨干 /接入网络设备ACL、防火墙安全规则、负载均衡策略、入侵检测规则、硬件加速等的策略组 合,并采用多项式算法确定迁移后的安全图的最小割,从而确定每个安全策略的流量过滤 范围,进而可以得到迁移虚拟机的可达矩阵。 5、本专利技术的方法实现了可达矩阵的分割机制,通过分割可达矩阵区分迁移后的虚 拟机和未迁移的虚拟机之间的通信流量,实现了对本地迁移和跨域迁移两种不同场景的支 持。 【附图说明】 图1为本实施例的迁移前可达矩阵和flow安全图生成示意图; 图2为本实施例的虚拟机迁移过程中策略迁移工作过程流程图; 图3为本实施例的虚拟机迁移后策略安装工作过程流程图。 【具体实施方式】 下面结合附图对本专利技术作进一步说明。 本专利技术提供了,该方法在虚拟机迁移过程中 加入安全策略迁移感知机制,避免虚拟机迁移导致的策略违反和安全漏洞。该方法引入两 种新机制,一、可达矩阵,二、flow安全图。 虚拟机迁移前通过构建flow安全图,为虚拟机访问路径上的所有安全中间件添 加相应的标签,生成迁移前可达矩阵;迁移过程中,通过分割可达矩阵实现虚拟机迁移后与 原应用其他组件虚拟机之间的非必要通信流量的过滤;迁移后,通过在安装可达矩阵中所 示策略,嵌入虚拟机迁移后的flow安全图,最终实现虚拟机迁移前后的策略一致性。该方 法包括以下步骤: I、确定安全策略的中间件;其中,中间件包括骨干路由器、防火墙安全规则、负载 均衡策略、入侵检测规则和接入路由器。 II、确定前端服务器和后端服务器的资源需求和配置需求;其中,资源需求包括计 算资源、中间件和网络带宽,配置需求包括允许的服务项。 III、构建flow安全图;以云服务器节点为顶点,所述云服务器节点之间的实际连 接为边,构造 flow安全图;标识所述云服务器节点的资源需求和配置要求二元组:二元组 (资源需求,配置要求)。 IV、生成可达矩阵;根据所述flow安全图描述的访问路径,确定所述可达矩阵的 单元的内容。 所述可达矩阵的单元的内容的确定包括以下步骤:判断所述flow安全本文档来自技高网...
【技术保护点】
一种基于策略感知的虚拟机迁移方法,其特征在于:所述方法包括以下步骤:I、确定安全策略的中间件;II、确定前端服务器和后端服务器的资源需求和配置需求;III、构建flow安全图;IV、生成可达矩阵;V、增加策略映射函数,实现虚拟机迁移IP地址变更后的安全策略转换;VI、虚拟机迁移。
【技术特征摘要】
1. 一种基于策略感知的虚拟机迁移方法,其特征在于:所述方法包括以下步骤:1. 确定安全策略的中间件; II、 确定前端服务器和后端服务器的资源需求和配置需求; III、 构建flow安全图; IV、 生成可达矩阵; V、 增加策略映射函数,实现虚拟机迁移IP地址变更后的安全策略转换; VI、 虚拟机迁移。2. 如权利要求1所述的方法,其特征在于:所述中间件包括骨干路由器、防火墙安全规 贝1J、负载均衡策略、入侵检测规则和接入路由器。3. 如权利要求1所述的方法,其特征在于:所述资源需求包括计算资源、中间件和网络 带宽,所述配置需求包括允许的服务项。4. 如权利要求1所述的方法,其特征在于:所述步骤III包括:以云服务器节点为顶 点,以所述云服务器节点之间的实际连接为边,构造 flow安全图;标识所述云服务器节点 的资源需求和配置要求二元组。5. 如权利要求1所述的方法,其特征在于:所述步骤IV包括:根据所述flow安全图所 示的访问路径,确定所述可达矩阵的单元的内容。6. 如权利要求5所述的方法,其特征在于:确定所述可达矩阵的单元的内容包括:判断 所述flow安全图是...
【专利技术属性】
技术研发人员:黄道超,张鸿,刘欣然,杜鹏,
申请(专利权)人:国家计算机网络与信息安全管理中心,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。