本发明涉及虚拟化网络设计
技术领域:
:,更具体地说,涉及一种虚拟机的迁移控制方法及装置。
背景技术:
::随着云计算、SDN、虚拟化等理念和技术的不断成熟,云计算生产环境部署的规模也在不断增长,在云计算环境中,承载业务的虚拟机安全控制显得至关重要。在新型数据中心中,业务主机是根据业务的需求以及当前服务器的压力而随需漂移的,对应的在新型数据中心中虚拟机的安全策略也需要跟随虚拟机进行迁移,现有技术中通常是当虚拟机进行迁移时,需要在虚拟机完成迁移后通过配置iptables的方式实现该迁移后虚拟机的安全策略的配置,也就是说需要在虚拟机完成迁移后重新为该虚拟机实现安全策略的配置,这种虚拟机的迁移方式存在安全策略的配置工作较复杂且对应工作量较大的问题。综上所述,现有技术中实现虚拟机的迁移方式存在安全策略的配置工作较复杂且对应工作量较大的问题。技术实现要素:本发明的目的是提供一种虚拟机的迁移控制方法及装置,以解决现有技术中实现虚拟机的迁移方式存在的安全策略的配置工作较复杂且对应工作量较大的问题。为了实现上述目的,本发明提供如下技术方案:一种虚拟机的迁移控制方法,包括:当虚拟机需要迁移至目标虚拟交换机下时,控制所述虚拟机在当前对应的源虚拟交换机下下线,并将所述源虚拟交换机中存储的流表删除,所述流表为所述虚拟机启动时基于绑定至该虚拟机对应逻辑端口的安全策略生成的,所述安全策略为所述虚拟机的报文转发策略;控制所述虚拟机在所述目标虚拟交换机下重新上线,并确定与所述虚拟机对应的逻辑端口,基于与所述逻辑端口绑定的安全策略生成对应的流表并下发至所述目标虚拟交换机。优选的,基于所述安全策略生成对应的流表,包括:基于所述安全策略生成对应的openflow流表。优选的,确定与所述虚拟机对应的逻辑端口,包括:获取所述虚拟机的ID,并确定具有与所述虚拟机的ID相同的ID的逻辑端口为与所述虚拟机对应的逻辑端口。优选的,还包括:指示所述目标虚拟交换机基于所述openflow流表控制所述虚拟机的报文转发。一种虚拟机的迁移控制装置,包括:下线模块,用于:当虚拟机需要迁移至目标虚拟交换机下时,控制所述虚拟机在当前对应的源虚拟交换机下下线,并将所述源虚拟交换机中存储的流表删除,所述流表为所述虚拟机启动时基于绑定至该虚拟机对应逻辑端口的安全策略生成的,所述安全策略为所述虚拟机的报文转发策略;迁移模块,用于:控制所述虚拟机在所述目标虚拟交换机下重新上线,并确定与所述虚拟机对应的逻辑端口,基于与所述逻辑端口绑定的安全策略生成对应的流表并下发至所述目标虚拟交换机。优选的,所述迁移模块包括:生成单元,用于基于所述安全策略生成对应的openflow流表。优选的,所述迁移模块包括:确定单元,用于获取所述虚拟机的ID,并确定具有与所述虚拟机的ID相同的ID的逻辑端口为与所述虚拟机对应的逻辑端口。优选的,还包括:指示模块,用于:指示所述目标虚拟交换机基于所述openflow流表控制所述虚拟机的报文转发。本发明提供了一种虚拟机的迁移控制方法及装置,其中该方法包括:当虚拟机需要迁移至目标虚拟交换机下时,控制所述虚拟机在当前对应的源虚拟交换机下下线,并将所述源虚拟交换机中存储的流表删除,所述流表为所述虚拟机启动时基于绑定至该虚拟机对应逻辑端口的安全策略生成的,所述安全策略为所述虚拟机的报文转发策略;控制所述虚拟机在所述目标虚拟交换机下重新上线,并确定与所述虚拟机对应的逻辑端口,基于与所述逻辑端口绑定的安全策略生成对应的流表并下发至所述目标虚拟交换机。本发明实施例提供的技术方案中,如果需要对虚拟机进行迁移,则只需控制虚拟机在当前对应的源虚拟交换机下下线,删除该源虚拟交换机中存储的流表,并控制虚拟机在目标虚拟交换机下上线,将流表下发至该目标虚拟机中,而流表是基于与虚拟机对应的逻辑端口绑定的安全策略对应,由此无需像现有技术中一样在虚拟机发生迁移时对其安全策略进行重新配置,而是通过逻辑端口绑定与虚拟机对应的安全策略,进而基于该安全策略生成控制虚拟机进行报文转发的流表后下发至对应虚拟交换机中,简单易操作的同时大大降低了工作量。附图说明为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。图1为本发明实施例提供的一种虚拟机的迁移控制方法的流程图;图2为本发明实施例提供的一种虚拟机的迁移控制方法中迁移过程的网络拓扑示意图;图3为本发明实施例提供的一种虚拟机的迁移控制装置的结构示意图。具体实施方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。请参阅图1,其示出了本发明实施例提供的一种虚拟机的迁移控制方法的流程图,可以包括以下步骤:S11:当虚拟机需要迁移至目标虚拟交换机下时,控制虚拟机在当前对应的源虚拟交换机下下线,并将源虚拟交换机中存储的流表删除,流表为虚拟机启动时基于绑定至该虚拟机对应逻辑端口的安全策略生成的,安全策略为虚拟机的报文转发策略。需要说明的是,当虚拟机启动时,感知到虚拟机的启动事件,可以查找到预先创建的与虚拟机对应的逻辑端口,并将该逻辑端口与虚拟机对应的安全策略进行绑定,其中,安全策略为虚拟机的报文转发策略;进而生成与安全策略对应的流表并将流表下发至虚拟机当前对应的源虚拟交换机上,指示该源虚拟交换机对流表进行存储,并基于该流表对虚拟机的报文转发进行监视和控制。S12:控制虚拟机在目标虚拟交换机下重新上线,并确定与虚拟机对应的逻辑端口,基于与逻辑端口绑定的安全策略生成对应的流表并下发至目标虚拟交换机。如图2所示,源虚拟交换机用虚拟交换机1表示,目标虚拟交换机用虚拟交换机2表示,虚拟机用虚拟机1表示,当虚拟机1需要由虚拟交换机1下迁移至虚拟交换机2下时,将虚拟交换机1中存储的流表删除,并控制虚拟机1由虚拟交换机1下下线,并控制虚拟机1由虚拟交换机2下上线,将与逻辑端口对应的安全策略对应流表下发至虚拟交换机2中。本发明实施例提供的技术方案中,如果需要对虚拟机进行迁移,则只需控制虚拟机在当前对应的源虚拟交换机下下线,删除该源虚拟交换机中存储的流表,并控制虚拟机在目标虚拟交换机下上线,将流表下发至该目标虚拟机中,而流表是基于与虚拟机对应的逻辑端口绑定的安全策略对应,由此无需像现有技术中一样在虚拟机发生迁移时对其安全策略进行重新配置,而是通过逻辑端口绑定与虚拟机对应的安全策略,进而基于该安全策略生成控制虚拟机进行报文转发的流表后下发至对应虚拟交换机中,简单易操作的同时大大降低了工作量。本发明实施例提供的一种虚拟机的迁移控制方法,基于安全策略生成对应的流表,可以包括:基于安全策略生成对应的openflow流表。本发明实施例中基于安全策略生成对应的openflow流表,以供对应虚拟交换机基于该流表对应的openflow标准协议,利用其控制与转发分离的特性,指导虚拟机的报文转发来实现其交换和路由功能。需要说明的是,openflow流表具有灵活和可扩展性,采用openflow流表指导虚拟机的报文转发,代替传统网络通过配置iptables来实现过滤规则的方式,能够实现逻辑端口安全的功能,从而大大降低配置的复杂度,增加虚拟化网络的灵活性和扩展性。另外需要说明的是,基于安全策略生成对应的openflow流表与现有对应技术方案的实现原理一致,例如:在虚拟机的虚拟机端口2配置一条安全策略不允许广播报文进入该虚拟机,对应openfllow流表则为:cookie=0x6500001622d2ba,duration=774.577s,table=0,n_packets=524,n_bytes=51352,priority=65535,in_port=2,dl_dst=ff:ff:ff:ff:ff:ffactions=drop。本发明实施例提供的一种虚拟机的迁移控制方法,确定与虚拟机对应的逻辑端口,可以包括:获取虚拟机的ID,并确定具有与虚拟机的ID相同的ID的逻辑端口为与虚拟机对应的逻辑端口。另外需要说明的是,逻辑端口是预先创建的,每个逻辑端口均具有对应的ID,且该ID与对应虚拟机的ID保持一致,因此在确定与虚拟机对应的逻辑端口时,即为确定出与虚拟机的ID具有相同ID的逻辑端口,由此能够方便快捷的实现对应逻辑端口的查询与获取。本发明实施例提供的一种虚拟机的迁移控制方法,还可以包括:指示目标虚拟交换机基于openflow流表控制虚拟机的报文转发。目标虚拟交换机基于openflow流表控制虚拟机的报文转发与现有对应技术方案的实现原理一致,使用openflow流表可以非常容易的控制虚拟机的报文转发,例如用户配置虚拟机的2号虚拟机端口不允许源ip为10.1.1.1的报文通过,则对应的openflow流表如下,对应的action动作就是drop丢弃,以达到流量控制目的:cookie=0x6500001622d2ba,duration=774.577s,table=0,n_packets=524,n_bytes=51352,priority=65535,in_port=2,nw_src=10.1.1.1,actions=drop。又如openflow流表为:cookie=0x6500001622d2ba,duration=774.577s,table=0,n_packets=524,n_bytes=51352,priority=65535,in_port=2,actions=output:1,则目标交换虚拟机则控制由虚拟机的2号虚拟机端口进入的报文全部转发到1号虚拟机端口;等。通过使用openflow流表控制报文转发,使控制与转发分离,可以简单、高效的指导报文转发,符合云计算基础架构设计理念,控制面与转发面解耦,提高设计的灵活性,并且可以根据报文特征下发流表转发规则,以提高设计的适用性。本发明实施例还提供了一种虚拟机的迁移控制装置,如图3所示,可以包括:下线模块11,用于:当虚拟机需要迁移至目标虚拟交换机下时,控制虚拟机在当前对应的源虚拟交换机下下线,并将源虚拟交换机中存储的流表删除,流表为虚拟机启动时基于绑定至该虚拟机对应逻辑端口的安全策略生成的,安全策略为虚拟机的报文转发策略;迁移模块12,用于:控制虚拟机在目标虚拟交换机下重新上线,并确定与虚拟机对应的逻辑端口,基于与逻辑端口绑定的安全策略生成对应的流表并下发至目标虚拟交换机。本发明实施例提供的一种虚拟机的迁移控制装置,迁移模块可以包括:生成单元,用于基于安全策略生成对应的openflow流表。本发明实施例提供的一种虚拟机的迁移控制装置,迁移模块可以包括:确定单元,用于获取虚拟机的ID,并确定具有与虚拟机的ID相同的ID的逻辑端口为与虚拟机对应的逻辑端口。本发明实施例提供的一种虚拟机的迁移控制装置,还可以包括:指示模块,用于:指示所述目标虚拟交换机基于所述openflow流表控制所述虚拟机的报文转发。本发明实施例提供的一种虚拟机的迁移控制装置中相关部分的说明请参见本发明实施例提供的一种虚拟机的迁移控制方法中对应部分的详细说明,在此不再赘述。对所公开的实施例的上述说明,使本领域技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。当前第1页1 2 3 当前第1页1 2 3