一种基于策略感知的虚拟机迁移方法

一种基于策略感知的虚拟机迁移方法
【专利摘要】本发明提供一种基于策略感知的虚拟机迁移方法，该方法包括以下步骤：I、确定安全策略的中间件；II、确定前端服务器和后端服务器的资源需求和配置需求；III、构建flow安全图；IV、生成可达矩阵；V、增加策略映射函数，实现虚拟机迁移IP地址变更后的安全策略转换；VI、虚拟机迁移。该方法通过在虚拟机迁移过程中加入安全策略迁移感知机制，避免虚拟机迁移导致的策略违反和安全漏洞。
【专利说明】一种基于策略感知的虚拟机迁移方法

【技术领域】
[0001] 本发明涉及一种云计算【技术领域】的方法，具体涉及一种基于策略感知的虚拟机迁 移方法。

【背景技术】
[0002] 随着云计算的优势得到越来越多的企业和用户的认可，如何将企业应用或用户程 序迁移到云计算平台中去以及如何实现已有云平台中动态资源调度逐渐成为研究热点。一 方面，相关统计数据表明，超过70 %的企业决策者认为将传统应用进行云迁移是解决企业 数据中心随着业务种类日益增多导致的管理困难问题的有效途径。另一方面，为了增加已 有云平台中应用部署的灵活性，动态资源调度是提供云计算弹性资源供给的必要前提。无 论是将应用进行云迁移还是实现动态资源调度，均涉及到虚拟机在线迁移问题。由于大量 应用对性能、时延、在线服务时间等要求非常严格，且已有大多数分布式、结构化应用系统 的安全策略（如负载均衡、应用加速、防火墙、入侵检测等）已经配置到底层物理设备上，因 此实现这些应用虚拟机的热迁移不仅有服务中断时长问题，而且还存在如何保证迁移前后 的安全策略还能保持一致的问题。缺少对策略感知的虚拟机热迁移将导致严重的策略违反 和安全漏洞。
[0003] 互联网业界和学术研究领域提出了部分解决办法，比如VMWare公司提出了虚拟 服务域的概念，允许一组虚拟机通过一台虚拟备设进行安全防护，虚拟机组所有数据传输 都将发往该虚拟安全防护设备进行策略检查，从而避免热迁移导致的安全问题。由于引入 了虚拟设备作为一组虚拟机数据传输的出口，该设备可能会成为传输的瓶颈。Voltaire公 司的一款数据中心交换机也实现了对端口策略迁移的支持。上述方法均在虚拟机的第一跳 实现，可以归为终端策略一类。事实上，许多策略分散在网络中，例如，入侵检测和防火墙往 往部署在整个网络的出入口，适用于所有网络中的应用，而不仅仅是在某个应用的某个虚 拟机的下一跳。可见，当进行这些传统应用的云迁移或虚拟机热迁移时，已有的方法并不适 用。


【发明内容】

[0004] 为了克服上述现有技术的缺陷，本发明提供了一种基于策略感知的虚拟机迁移方 法。
[0005] 为了实现上述发明目的，本发明采取如下技术方案：
[0006] -种基于策略感知的虚拟机迁移方法，其改进之处在于：所述方法包括以下步 骤：
[0007] I、确定安全策略的中间件；
[0008] II、确定前端服务器和后端服务器的资源需求和配置需求；
[0009] III、构建flow安全图；
[0010] IV、生成可达矩阵；
[0011] V、增加策略映射函数，实现虚拟机迁移IP地址变更后的安全策略转换；
[0012] VI、虚拟机迁移。
[0013] 进一步的，所述中间件包括骨干路由器、防火墙安全规则、负载均衡策略、入侵检 测规则和接入路由器。
[0014] 进一步的，所述资源需求包括计算资源、中间件和网络带宽，所述配置需求包括允 许的服务项。
[0015] 进一步的，所述步骤III包括：以云服务器节点为顶点，以所述云服务器节点之间 的实际连接为边，构造 flow安全图；标识所述云服务器节点的资源需求和配置要求二元 组。
[0016] 进一步的，所述步骤IV包括：根据所述flow安全图所示的访问路径，确定所述可 达矩阵的单元的内容。
[0017] 进一步的，确定所述可达矩阵的单元的内容包括：判断所述flow安全图是否存在 安全策略节点，若所述flow安全图无安全策略节点，则所述可达矩阵中相应单元为空，表 示两个网络实体之间完全可达；若所述flow安全图上有多个安全策略，则所述可达矩阵中 相应单元为多个安全策略取交集。
[0018] 进一步的，所述步骤VI包括：
[0019] S601、提取虚拟机迁移前的可达矩阵；
[0020] S602、通过分割所述可达矩阵过滤迁移后的所述虚拟机和未迁移的所述虚拟机的 通信流量；
[0021] S603、通过多项式算法确定迁移后的安全图的最小割，确定安全策略的流量过滤 范围，获得迁移后虚拟机的可达矩阵；
[0022] S604、更新flow安全图，获得迁移后包含迁移虚拟机和未迁移虚拟机在内的flow 安全图。
[0023] 进一步的，所述步骤S602中，所述虚拟机的迁移包括本地迁移和跨域迁移，过滤 方法包括：
[0024] 当为本地迁移时，迁移后的所述虚拟机和未迁移的所述虚拟机之间依然为本地通 信，可达矩阵未发生变化；当为跨域迁移，迁移后的所述虚拟机与未迁移的所述虚拟机之间 通过互联网进行通信，所述虚拟机迁移到另一个管理域中后为区分本地流量和异地流量， 对可达矩阵单元进行区分。
[0025] 与现有技术相比，本发明的有益效果在于：
[0026] 1、本发明的方法提出了一种基于策略感知的虚拟机迁移方法，通过虚拟机迁移过 程中加入安全策略迁移感知机制，实现虚拟机迁移前后的策略一致性，避免虚拟机迁移导 致的策略违反和安全漏洞。
[0027] 2、本发明的方法提出了两种策略感知机制，一是可达矩阵，二是flow安全图。通 过迁移前抽离安全图和可达矩阵，得到的安全图和可达矩阵随虚拟机迁移一起迁移并嵌入 到虚拟机迁移后的运行环境中，最终实现虚拟机迁移前后的策略一致性。
[0028] 3、本发明的方法提出了 flow安全图生成方法，通过为虚拟机访问路径上的所有 安全中间件添加相应的标签，标识每个节点的资源需求和配置要求二元组，得到flow安全 图。
[0029] 4、本发明的方法提出了可达矩阵生成方法，通过确定安全策略中间件，包含骨干 /接入网络设备ACL、防火墙安全规则、负载均衡策略、入侵检测规则、硬件加速等的策略组 合，并采用多项式算法确定迁移后的安全图的最小割，从而确定每个安全策略的流量过滤 范围，进而可以得到迁移虚拟机的可达矩阵。
[0030] 5、本发明的方法实现了可达矩阵的分割机制，通过分割可达矩阵区分迁移后的虚 拟机和未迁移的虚拟机之间的通信流量，实现了对本地迁移和跨域迁移两种不同场景的支 持。

【专利附图】

【附图说明】
[0031] 图1为本实施例的迁移前可达矩阵和flow安全图生成示意图；
[0032] 图2为本实施例的虚拟机迁移过程中策略迁移工作过程流程图；
[0033] 图3为本实施例的虚拟机迁移后策略安装工作过程流程图。

【具体实施方式】
[0034] 下面结合附图对本发明作进一步说明。
[0035] 本发明提供了一种基于策略感知的虚拟机迁移方法，该方法在虚拟机迁移过程中 加入安全策略迁移感知机制，避免虚拟机迁移导致的策略违反和安全漏洞。该方法引入两 种新机制，一、可达矩阵，二、flow安全图。
[0036] 虚拟机迁移前通过构建flow安全图，为虚拟机访问路径上的所有安全中间件添 加相应的标签，生成迁移前可达矩阵；迁移过程中，通过分割可达矩阵实现虚拟机迁移后与 原应用其他组件虚拟机之间的非必要通信流量的过滤；迁移后，通过在安装可达矩阵中所 示策略，嵌入虚拟机迁移后的flow安全图，最终实现虚拟机迁移前后的策略一致性。该方 法包括以下步骤：
[0037] I、确定安全策略的中间件；其中，中间件包括骨干路由器、防火墙安全规则、负载 均衡策略、入侵检测规则和接入路由器。
[0038] II、确定前端服务器和后端服务器的资源需求和配置需求；其中，资源需求包括计 算资源、中间件和网络带宽，配置需求包括允许的服务项。
[0039] III、构建flow安全图；以云服务器节点为顶点，所述云服务器节点之间的实际连 接为边，构造 flow安全图；标识所述云服务器节点的资源需求和配置要求二元组：二元组 (资源需求，配置要求）。
[0040] IV、生成可达矩阵；根据所述flow安全图描述的访问路径，确定所述可达矩阵的 单元的内容。
[0041] 所述可达矩阵的单元的内容的确定包括以下步骤：判断所述flow安全图是否存 在安全策略节点，若所述flow安全图无安全策略节点，则所述可达矩阵中相应单元为空， 表示两个网络实体之间完全可达；若所述flow安全图上有多个安全策略，则所述可达矩阵 中相应单元为多个安全策略取交集。
[0042] V、增加策略映射函数，实现虚拟机迁移IP地址变更后的安全策略转换；
[0043] VI、虚拟机迁移；具体包括以下步骤：
[0044] S601、提取虚拟机迁移前的可达矩阵；
[0045] S602、通过分割所述可达矩阵过滤迁移后的所述虚拟机和未迁移的所述虚拟机的 通信流量；
[0046] S603、通过多项式算法确定迁移后的安全图的最小割，确定安全策略的流量过滤 范围，获得迁移后虚拟机的可达矩阵；
[0047] S604、更新flow安全图，获得迁移后包含迁移虚拟机和未迁移虚拟机在内的flow 安全图。
[0048] 如图1所示，图1为本实施例的虚拟机迁移前可达矩阵和flow安全图生成示意 图；该虚拟机迁移的系统包括：
[0049] 测试机：分布式云计算平台上各云服务器节点，所述云服务器节点包括物理服务 器和物理服务器上各虚拟机；
[0050] 前端（FE)虚拟机：测试机上运行的Web前端虚拟机；
[0051] 后端（BE)虚拟机：测试机上运行的数据库服务器虚拟机；
[0052] 骨干路由器：分布式云计算平台的网络设备；
[0053] 防火墙：分布式云计算平台集成的防火墙设备，进行NAT转换及包过滤规则设定；
[0054] 入侵检测：分布式云平台集成的入侵检测设备，用于对后台数据库等安全级别较 高的后端设备进行安全保护；
[0055] 负载均衡：完成多个前端设备的Web访问负载均衡。
[0056] 结合附图对本实施例的方法做进一步说明，该方法包括：
[0057] I、确定安全策略中包括骨干路由器ACL、防火墙安全规则、负载均衡策略、入侵检 测规则、及接入路由器ACL等的中间件。
[0058] II、确定前端服务器FE1、FE2和后端服务器BE1、BE2的资源需求和配置需求，资源 需求包括计算资源、中间件、网络带宽等，配置需求则包含允许的服务项。
[0059] III、以云服务器节点为顶点，以云服务器节点之间的实际连接为边，构造 flow安 全图，并标识每个节点的资源需求和配置要求二元组，如图1所示，（20,1)表示前端虚拟机 需要20个虚拟机和1类允许的服务项（Web服务），或表示后端虚拟机需要20个虚拟机和 1类允许的服务项（数据库服务器）；
[0060] IV、根据flow安全图，生成可达矩阵。根据flow安全图描述了不同网络实体之间 的访问路径，确定可达矩阵单元的内容。
[0061] 若flow安全图上没有安全策略节点，则可达矩阵中相应单元为空，表示两个网络 实体之间的完全可达；若flow安全图上有多个安全策略，则可达矩阵中相应单元为多个安 全策略取交集，如互联网用户访问前端虚拟机FE1的策略为A1 n F n LB n A2 ;
[0062] 上述安全策略节点为包括防火墙、IPS、负载均衡等的部署策略的中间件节点。
[0063] V、由于虚拟机迁移可能会改变IP地址，例如，假设前端虚拟机FE1迁移前的IP地 址为IPold FE1，前端虚拟机FE1通过9000端口和BE1的虚拟机通信；迁移后前端虚拟机 FE1的IP地址IPnew FE1依然能同BE1通信。因此，增加策略映射函数M(Policy Mapper)， 实现虚拟机迁移IP地址变更后的安全策略转换；
[0064] VI、虚拟机迁移。
[0065] 上述策略映射函数M (Policy Mapper)主要用于在有IP地址变更的迁移场景下，实 现安全策略（具体包括：路由器ACL、防火墙安全规则、负载均衡策略、入侵检测规则等）中 IP地址关联内容的批量替换，实现迁移前IP地址到迁移后新分配的IP地址之间的映射变 换。
[0066] 如图2、3所示，图2、3分别为本实施例的虚拟机迁移过程中策略迁移工作过程流 程图和虚拟机迁移后策略安装工作过程流程图。结合图2、3对以上步骤V、VI进一步说明， 本实施例中，虚拟机迁移包括以下步骤：
[0067] S601、从虚拟机迁移前所在的网络环境中提取可达矩阵。若访问路径上没有安全 策略，则可达矩阵中相应单元为空，表示两个网络实体之间的完全可达；若访问路径上有多 个安全策略，则可达矩阵中相应单元为多个安全策略取交集，如互联网用户访问前端虚拟 机FE1的策略为A1 n F n LB n A2。当迁移前后IP地址不一致时，采用策略映射函数Μ转 换虚拟机迁移IP地址变更后的安全策略。
[0068] S602、虚拟机迁移后需要过滤不必要的通信流量，特别是迁移后的虚拟机和未迁 移的虚拟机之间的通信流量需要经过本地过滤，具体通过对可达矩阵进行分割实现。根据 虚拟机迁移的场景有如下两种情形：
[0069] (1)本地迁移。本地迁移并未只是端口策略变化，由于迁移后的虚拟机和未迁移的 虚拟机之间的通信依然为本地通信，其可达矩阵未发生变化。
[0070] (2)跨域迁移。跨域迁移后，迁移后的虚拟机与未迁移的虚拟机之间的通信路径可 能需要经过互联网进行（比如，建立VPN隧道连接两个不同的数据中心），当虚拟机迁移到 另一个管理域中后，可达矩阵中为了区分本地流量和异地流量，对可达矩阵单元进行了区 分，如图3所示，阴影部分为迁移后的异地流量，其他部分为本地流量。
[0071] S603、安全策略安装。通过多项式算法确定迁移后的安全图的最小割，从而确定每 个安全策略的流量过滤范围，进而可以得到迁移虚拟机的可达矩阵。
[0072] S604、上一步骤中的得到的最小割的割边集由一组安全策略安装的位置（网络节 点）组成，每个割边包含一个设备接口和流量传输方向。
[0073] S605、更新flow安全图，得到迁移后包含迁移虚拟机和未迁移虚拟机在内的flow 安全图。
[0074] 最后应当说明的是：以上实施例仅用以说明本发明的技术方案而非对其限制，尽 管参照上述实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解：依然 可以对本发明的【具体实施方式】进行修改或者等同替换，而未脱离本发明精神和范围的任何 修改或者等同替换，其均应涵盖在本发明的权利要求范围当中。
【权利要求】
1. 一种基于策略感知的虚拟机迁移方法，其特征在于：所述方法包括以下步骤：
1. 确定安全策略的中间件； II、 确定前端服务器和后端服务器的资源需求和配置需求； III、 构建flow安全图； IV、 生成可达矩阵； V、 增加策略映射函数，实现虚拟机迁移IP地址变更后的安全策略转换； VI、 虚拟机迁移。
2. 如权利要求1所述的方法，其特征在于：所述中间件包括骨干路由器、防火墙安全规 贝1J、负载均衡策略、入侵检测规则和接入路由器。
3. 如权利要求1所述的方法，其特征在于：所述资源需求包括计算资源、中间件和网络 带宽，所述配置需求包括允许的服务项。
4. 如权利要求1所述的方法，其特征在于：所述步骤III包括：以云服务器节点为顶 点，以所述云服务器节点之间的实际连接为边，构造 flow安全图；标识所述云服务器节点 的资源需求和配置要求二元组。
5. 如权利要求1所述的方法，其特征在于：所述步骤IV包括：根据所述flow安全图所 示的访问路径，确定所述可达矩阵的单元的内容。
6. 如权利要求5所述的方法，其特征在于：确定所述可达矩阵的单元的内容包括：判断 所述flow安全图是否存在安全策略节点，若所述flow安全图无安全策略节点，则所述可达 矩阵中相应单元为空，表示两个网络实体之间完全可达；若所述flow安全图上有多个安全 策略，则所述可达矩阵中相应单元为多个安全策略取交集。
7. 如权利要求1所述的方法，其特征在于：所述步骤VI包括： 5601、 提取虚拟机迁移前的可达矩阵； 5602、 通过分割所述可达矩阵过滤迁移后的所述虚拟机和未迁移的所述虚拟机的通信 流量； 5603、 通过多项式算法确定迁移后的安全图的最小割，确定安全策略的流量过滤范围， 获得迁移后虚拟机的可达矩阵； 5604、 更新flow安全图，获得迁移后包含迁移虚拟机和未迁移虚拟机在内的flow安全 图。
8. 如权利要求7所述的方法，其特征在于：所述步骤S602中，所述虚拟机的迁移包括 本地迁移和跨域迁移，过滤方法包括： 当为本地迁移时，迁移后的所述虚拟机和未迁移的所述虚拟机之间依然为本地通信， 可达矩阵未发生变化；当为跨域迁移，迁移后的所述虚拟机与未迁移的所述虚拟机之间通 过互联网进行通信，所述虚拟机迁移到另一个管理域中后为区分本地流量和异地流量，对 可达矩阵单元进行区分。
【文档编号】G06F9/455GK104050038SQ201410301165
【公开日】2014年9月17日 申请日期:2014年6月27日 优先权日:2014年6月27日
【发明者】黄道超, 张鸿, 刘欣然, 杜鹏 申请人:国家计算机网络与信息安全管理中心