一种用于云数据中心的网络流量追踪方法及装置与流程

本发明属于计算机领域，尤其涉及一种用于云数据中心的网络流量追踪方法及装置。

背景技术：

在传统数据中心中，数据中心前端计算网络主要由大量的二层接入设备及少量的三层设备组成，传统上是标准的三层结构。随着云数据中心的逐渐普及，特别是随着近来openstack社区的壮大以及相关技术的快速发展，sdn技术与openstack结合愈加的紧密。现今openstackneutron组件已经很好的支持l2,l3,dvr等技术。更多的网络功能将逐步转移到装有特定软件的商用服务器(如装有neutron组件的服务器)，减少网络设备的使用，促进了网络自动化以及灵活性。

有别于传统的网络，云计算数据中心大部分的网络流量是通过服务器内部的软件实现转发与控制的，经过一系列虚拟设备以及流量管控后，最终达到目的设备或虚拟机。因考虑路由隔离、安全策略制定、负载均衡等原因，openstack环境中实际的网络实现是较为复杂的，多个networknamespace的共存、openvswitch流表的管控等，导致网络流量的监控及追踪相较于传统网络较难实现且更为复杂。

鉴于以上问题，本发明提出了网络流量追踪方法，用于解决网络流量难以监控的问题。

技术实现要素：

本发明提供一种用于云数据中心的网络流量追踪方法及装置，以解决上述问题。

本发明提供一种用于云数据中心的网络流量追踪方法。上述方法包括以下步骤：

分析网络流量的流向路径；

根据分析结果追踪所述网络流量。

本发明还提供一种用于云数据中心的网络流量追踪装置，包括：分析单元和追踪单元，其中，所述分析单元与所述追踪单元连接，

所述分析单元，用于分析网络流量的流向路径；

所述追踪单元，用于根据所述分析单元的分析结果追踪所述网络流量。

通过以下方案：分析网络流量的流向路径；根据分析结果追踪所述网络流量。设计合理的追踪方法描述，使得快速追踪到租户网络里的数据流向，结合对底层网络虚拟化设备流控规则的分析，进而提升租户网络问题定位以及排查的效率。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1所示为本发明实施例1的用于云数据中心的网络流量追踪方法处理流程图；

图2所示为本发明实施例2的网络流量追踪示意图；

图3所示为本发明实施例3的用于云数据中心的网络流量追踪装置结构图。

具体实施方式

下文中将参考附图并结合实施例来详细说明本发明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

图1所示为本发明实施例1的用于云数据中心的网络流量追踪方法处理流程图，包括以下步骤：

步骤102：分析网络流量的流向路径。

步骤104：根据分析结果追踪所述网络流量。

进一步地，所述流向路径包括：一个或多个虚拟机连接至集成网桥，所述集成网桥对进出所述集成网桥的网络流量进行转发监控；

物理网桥连接物理网络，对进出所述物理网桥的网络流量进行虚拟局域网标识的转换，以使进入物理网络的网络流量具有虚拟局域网标识；

追踪经过所述物理网络进入物理交换机的网络流量，以进入其他物理机。

其中，来自虚拟机的网络流量通过linux网桥，并由linux网桥通过一对vethpair设备转发至集成网桥；

集成网桥通过标识隔离不同部分的网络流量，并将所述网络流量转发至物理网桥；

所述物理网桥通过本物理机的物理网卡将所述网络流量发送至所述物理交换机。

进一步地，来自其他物理机的网络流量通过所述物理网卡转发至所述物理网桥；

所述物理网桥将所述网络流量发送至集成网桥；

所述集成网桥根据流规则将所述网络流量的外部虚拟局域网标识转换为内部虚拟局域网标识，并将所述网络流量转发至vethpair设备；

所述vethpair设备将所述内部虚拟局域网标识去除之后，将所述网络流量转发至linux网桥；

所述linux网桥将所述网络流量转发至对应虚拟机。

进一步地，所述集成网桥通过流规则确定所述网络流量的转发路径；

所述物理网桥通过流规则完成所述虚拟局域网标识的转换。

上述方案针对openstack租户网络流量进行追踪，通过对计算节点以及网络节点中namespace的具体描述，然后通过ovs虚拟交互机网桥中openflow流表的具体分析，准确追踪到租户网络中网路流量的流向以及规则转换，为云计算中心中租户网络问题的定位排查提供了一种较为快捷、便捷的方法。

图2所示为本发明实施例2的网络流量追踪示意图。

如图2所示，node1、node2为两台物理机，其上运行虚拟网络设备以及虚拟机等云数据中心的基础组件。其关键功能组件有：

1)vm1是kvm虚拟机位于node1，属于vlan100。

2)vm2是kvm虚拟机位于node2，属于vlan100。

3)vm3是kvm虚拟机位于node2，属于vlan101。

4)br-int集成(integration)网桥，所有instance的虚拟网卡和其他虚拟网络设备都将连接到该网桥。

5)br-phv为ovs(openvswitch，开放虚拟交换机)物理网桥，用来连接物理网络。

所有的虚拟机都连接到同一个网桥br-int，openvswitch通过flowrule(流规则)来指定如何对进出br-int的数据进行转发，进而实现vlan之间的隔离。

首先追踪同vlan之间vm1到vm2的网络流量：

1)vm1的网络流量通过虚拟网卡tapxxx进入linuxbridge网桥。

2)linuxbridge网桥单纯的起到网络流量转发功能，在此添加linuxbridge网桥的意图是为了网络安全功能。

3)linuxbridge网桥通过一对vethpair设备将网络流量发送到br-int网桥。

4)br-int网桥通过flowrule(流规则)来指定如何对进出br-int的数据进行转发。

5)br-int通过tag隔离不同的port，这个tag可以看成内部的vlanid。

6)对于进入br-phy的网络流量，通过flowrule完成内部vlanid到外部vlanid的转换，从而使得进入到物理网络上的数据有正确的vlanid。

7)网络流量通过node1的物理网卡eth1直接发送到物理交换机，交换机通过物理vlan设置，转发到node2的eth1网卡，最终到达vm2。

分析vm2返回给vm1的网络流量：

1)vm2返回的流量通过node1的物理网卡eth1转发给br-phy网桥，br-phy网桥通过patchport直接转发给br-int网桥。

2)br-int网桥对于从patchport进入的流量按照flowrule规则进行转换，把外部vlan转换为内部vlan。

3)br-int网桥通过内部vlan标识将数据准确的发送到vm1所对应的vethpair设备，并将内部vlan标识去掉。

4)linuxbridge网桥接收到vethpair设备发送来的数据，通过tap设备发送给vm1虚拟机。

5)vm1虚拟机通过虚拟网卡接收到网络流量数据，从而完成数据的传输。

通过分析各种虚拟网络设备的构成以及对流量数据拆包分析，做到对数据流量的完整分析，分析flowrule明晰openstack的上层操作在底层虚拟设备规则生成上所产生的影响。深入openvswitch底层分析，可获得openvswitch较物理交换机而言有着更低的成本和更高的工作效率，一个虚拟交换机可以有几十个端口来连接虚拟机，而openvswitch本身占用的资源也非常小，且根据自己的选择灵活配置，可以对数据包进行接收分析处理，同时支持标准的管理接口和协议，如netflow、sflow、span、rspan等。

图3所示为本发明实施例3的用于云数据中心的网络流量追踪装置结构图。

如图3所示，根据本发明实施例的一种用于云数据中心的网络流量追踪装置，包括：分析单元302和追踪单元304，其中，所述分析单元302与所述追踪单元304连接，

所述分析单元302，用于分析网络流量的流向路径；

所述追踪单元304，用于根据所述分析单元302的分析结果追踪所述网络流量。

进一步地，所述流向路径包括：一个或多个虚拟机连接至集成网桥，所述集成网桥对进出所述集成网桥的网络流量进行转发监控；

物理网桥连接物理网络，对进出所述物理网桥的网络流量进行虚拟局域网标识的转换，以使进入物理网络的网络流量具有虚拟局域网标识；

追踪经过所述物理网络进入物理交换机的网络流量，以进入其他物理机。

进一步地，所述流向路径包括：来自虚拟机的网络流量通过linux网桥，并由linux网桥通过一对vethpair设备转发至集成网桥；

集成网桥通过标识隔离不同部分的网络流量，并将所述网络流量转发至物理网桥；

所述物理网桥通过本物理机的物理网卡将所述网络流量发送至所述物理交换机。

进一步地，所述流向路径包括：来自其他物理机的网络流量通过所述物理网卡转发至所述物理网桥；

所述物理网桥将所述网络流量发送至集成网桥；

所述集成网桥根据流规则将所述网络流量的外部虚拟局域网标识转换为内部虚拟局域网标识，并将所述网络流量转发至vethpair设备；

所述vethpair设备将所述内部虚拟局域网标识去除之后，将所述网络流量转发至linux网桥；

所述linux网桥将所述网络流量转发至对应虚拟机。

其中，所述集成网桥通过流规则确定所述网络流量的转发路径；

所述物理网桥通过流规则完成所述虚拟局域网标识的转换。

通过以下方案：分析网络流量的流向路径；根据分析结果追踪所述网络流量。设计合理的追踪方法描述，使得快速追踪到租户网络里的数据流向，结合对底层网络虚拟化设备流控规则的分析，进而提升租户网络问题定位以及排查的效率。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。