一种基于云计算的虚拟化系统及方法

一种基于云计算的虚拟化系统及方法
【技术领域】
[0001]本发明涉及云计算领域，特别涉及一种基于云计算的虚拟化系统及方法。
【背景技术】
[0002]任意两个通信点之间的通信，无疑先要有若干中介设备相互连通。从互联网顶层冗佘容错设计至今，经过多年基于成功商用规模部署的发展，在任意两个通信点之间都已经部署了具有很大冗佘度的中介设备，两点之间的互联网路径远不止一条，不同路径应该动态互补，多条路径的流量带宽还可以叠加增大。能否充分有效利用互联网原始冗佘设计原理与多年成功的商业超提供(overprovis1n)部署所带来的以及可以支持的高带宽、高容错、低成本等诸多优良特性，取决于部署在位的大量中介设备是如何被控制而工作的。
[0003]然而，很不幸，基于包交换的转发技术的基本原理是:当通信点A要发一个包至Z时，先由A生成一个包头元数据，指定B (如省缺网关)解析A的包头信息，由B生成一个新的包头元数据，指定转发给C，…，最终由Y(如Z的省缺网关)生成一个新的也是最后一个包头元数据让Z收到A发出的payload数据。这样的技术完全由转发设备按接力跑方式听从上一跳转发设备指挥，制作下一跳转发路径。很显然，由A制作发给B的、由B制作发给C的、…、最后由Y制作发给Z的包头元数据是先验输入，最终路径是从先验论得出的结果输出，即:由这些中介设备听从上一跳设备指令而得出的路径当然是固定不变的，比如网络包一旦离开了某个中介转发设备(如B)，后面路径是否通畅，该转发设备(B)就再也无法参与路径控制了。这样的控制与转发混搭在一起的包交换技术当然无法有效利用互联网顶层设计以及后来多年成功商业规模部署，更无法利用超大冗佘流量带宽，动态躲避拥塞，和动态叠加流量带宽。
[0004]业界已经正在逐步更新换代包交换技术采用的转发中介设备，并提出了一些新的控制标准，比如OpenFlow控制与转发分离标准。体现在云计算IaaS层(Infrastructure AsA Service)，互联网通信控制与转发混搭目前仍然存在转发中介设备造成的极大程度浪费互联网带宽资源的现状。

【发明内容】

[0005]为解决上述现有技术所存在的问题，本发明提出了一种跨数据中心的安全云IaaS网络，使任意物理网段服务器无缝加盟并网，并且打破租户逻辑网络与底层物理网络之间的耦合。
[0006]本发明采用如下技术方案:一种基于云计算的虚拟化系统，包括:
[0007]运行在VMM上的虚拟机；
[0008]身份认证模块，配置为响应于租户的请求生成虚拟机，在一个VMM上为该虚拟机生成一个唯一标识的身份UUID，对当前服务VMM为该虚拟机的UUID身份进行真实性认证；
[0009]迀移模块，用于为UUID绑定生成一个公钥、私钥的密钥对以及公钥PKI证书；调用预定义的可信计算证书迀移标准，将当前服务VMM所保护的虚拟机私钥安全迀移至目标VMM ；
[0010]数据管理模块，用于在租户为虚拟机的身份定义通信策略后，管理与维护所述通信策略以及用于证明虚拟机身份真实性的PKI证书；
[0011 ] 其中，所述虚拟机包括至少一个源虚拟机和目标虚拟机，当源虚拟机向目标虚拟机发出连接请求时，目标虚拟机验证源VMM所证明的虚拟机身份的真实性，根据所述通信策略确定是否允许该连接请求。
[0012]优选地，其中所述连接请求的输入数据中不含有任何网络包元数据信息，源VMM发起请求时用到的目标地址是目标虚拟机当前使用的临时地址，该临时地址是由服务于目标虚拟机的目标VMM临时动态分配给目标虚拟机的地址。
[0013]优选地，其中当虚拟机身份的真实性验证通过并且允许该连接请求时，租户组织的内部私有网络是一个定义在虚拟机身份上的网络，与虚拟机所处的物理网络属性无关。
[0014]优选地，其中所述身份认证模块进行身份验证进一步包括:
[0015]该私钥被当前服务VMM所在服务器上的可信计算系统保护与管理，当前服务VMM为该虚拟机身份真实性认证所做出数字签名，对该虚拟机的身份做出真实性验证。
[0016]优选地，其中所述源虚拟机对目标虚拟机的身份验证进一步包括:
[0017]当身份为IDl的源虚拟机向身份为ID2的目标虚拟机发出连接请求时，为源虚拟机服务的当前VMM从源虚拟机截获网络包，用网络包中的目标地址向数据管理模块查询目标虚拟机的身份及租户定义的通信策略；
[0018]数据管理模块收到源VMM发来的查询请求后，验证源VMM证明的身份IDl的真实性，验证通过后，向源VMM返回目标虚拟机的身份ID2，以及租户定义的通信策略；
[0019]源VMM验证ID2的身份真实性以及查看通信策略；如果身份验证正确，而且所定义的策略中允许IDl与ID2通信，则允许源虚拟机和目标虚拟机的连接连接请求；否则从源虚拟机禁止通信。
[0020]优选地，其中所述源虚拟机和目标虚拟机分别位于不同物理位置的任意两个数据中心，通过连接进行并网，最大化公网流量及冗佘带宽的利用。
[0021]优选地，其中所述通信策略是由租户利用SDN方法对私有网络的QoS进行的定义。
[0022]优选地，该系统运行在云计算IaaS层。
[0023]优选地，租户的私有网络中不存在任何集中控制点，并且所述连接全部在虚拟机的当前服务VMM中内部处理。
[0024]根据本发明的另一方面，提供了一种基于云计算的虚拟化方法，包括:
[0025]响应于租户的请求，生成虚拟机，
[0026]在VMM上为该虚拟机生成一个唯一标识的身份UUID，对当前服务VMM为该虚拟机的UUID身份进行真实性认证；
[0027]为UUID绑定生成一个公钥、私钥的密钥对以及公钥PKI证书；
[0028]调用预定义的可信计算证书迀移标准，将当前服务VMM所保护的虚拟机私钥安全迀移至目标VMM ;
[0029]在租户为虚拟机的身份定义通信策略后，将所述通信策略以及用于证明虚拟机身份真实性的PKI证书交由数据管理模块统一维护；
[0030]当身份为IDl的源虚拟机向身份为ID2的目标虚拟机发出连接请求时，为源虚拟机服务的源VMM从源虚拟机截获网络包，用网络包中的目标地址向数据管理模块查询目标虚拟机的身份及租户定义的通信策略；
[0031 ] 所述数据管理模块收到源VMM发来的查询请求后，验证源VMM证明的身份IDl的真实性，验证通过后，向源VMM返回目标虚拟机的身份ID2，以及租户定义的通信策略；
[0032]源VMM验证ID2的身份真实性以及查看通信策略；如果身份验证正确，则根据所定义的策略中是否允许IDl与ID2通信，确定是否允许源虚拟机和目标虚拟机的连接。
[0033]相比于现有技术，本发明的技术方案的安全云IaaS网络支持跨数据中心并网，支持双活多地躲灾，网络流量叠加和网络拥塞路径动态规避，任意物理网段服务器均可无缝加入网络中，租户逻辑网络彻底与底层物理网络不相耦合，实现了可信安全云计算。
【附图说明】
[0034]图1是根据本发明实施例的基于云计算的虚拟化系统的示意图。
【具体实施方式】
[0035]多种方式可以用于(包括实施为过程；装置；系统；物质组成；在计算机可读存储介质上包括的计算机程序产品；和/或处理器(诸如如下处理器，该处理器被配置成执行在耦合到处理器的存储器上存储的和/或由该存储器提供的指令))实施本发明。在本说明书中，这些实施或者本发明可以采用的任何其他形式可以称为技术。一般而言，可以在本发明的范围内变更公开的过程的步骤顺序。除非另有明示，描述为被配置成执行任务的部件(诸如处理器或者存储器)可以实施为被临时配置成在给定时间执行该任务的一般部件或者被制造成执行该任务的具体部件。
[0036]下文与图示本发明原理的附图一起提供对本发明一个或者多个实施例的详细描述。结合这样的实施例描述本发明，但是本发明不限于任何实施例。本发明的范围仅由权利要求书限定，并且本发明涵盖诸多替代、修改和等同物。在下文描述中阐述诸多具体细节以便提供对本发明的透彻理解。出于示例的目的而提供这些细节，并且无这些具体细节中的一些或者所有细节也可以根据权利要求书实现本发明。
[0037]本发明的目的在于提供一种跨数据中心的云计算方法以及云IaaS网络，克服现有技术中存在的问题。
[0038]只有依靠并网，云网络才能将规模不断扩大，并且躲避区域性灾难。如果按传统私有intranet技术组建云网络，