本发明实施例涉及云安全
技术领域:
:,尤其涉及一种数据的引流方法及装置。
背景技术:
::随着越来越多的企业部署私有云以及公有云技术,用户对云的安全运维问题也越来越重视。在云的安全运维过程中,云环境中的网络安全是一个重要的领域。目前通常采用服务链技术来灵活解决云网络安全问题,但是该种方式存在如下缺陷:其一,每种云平台都有自己的软件定义网络(softwaredefinednetwork,sdn),例如vmware的nsx,openstack的sfc,这导致运维人员需要采用不同的技术来进行数据引流,增加了运维的难度;其二,单个云平台的网络技术方案在快速演进,例如openstack,这导致运维人员需要根据快速演进的网络技术方案来相应学习运维技术,在很大很大上增加了运维人员的运维难度;其三,不断引入新技术,这同样增加了运维人员的学习负担;其四,现有运维技术较多侧重性能检测,而忽视了安全方面的运维能力。综上所述,现有技术中在对云平台的安全进行运维时存在运维难度较大以及运维能力较低的问题。技术实现要素:本发明实施例提供一种数据的引流方法及装置,以解决现有技术中在对云平台的安全进行运维时运维难度较大以及运维能力较低的问题。为了解决上述技术问题,第一方面,本发明实施例提供一种数据的引流方法,应用于云平台新建的linux网桥,其中所述云平台中的虚拟机和虚拟交换机通过所述linux网桥进行连接,所述虚拟机包括源虚拟机、目的虚拟机和用于执行引流操作的中间虚拟机;所述方法包括:当确定所述源虚拟机发送的数据流量的发送路径为流经所述中间虚拟机至所述目的虚拟机,且接收到所述源虚拟机发送的寻址请求时,将所述中间虚拟机的第一媒体访问控制mac地址反馈至所述源虚拟机,以使所述源虚拟机将第一mac地址确定为目的mac地址;当接收到所述源虚拟机发送的数据流量时,根据所述数据流量中携带的第一mac地址,将所述数据流量转发至所述中间虚拟机;当接收到所述中间虚拟机发送的数据流量时,将所述数据流量中的第一mac地址修改为所述目的虚拟机的第二mac地址;根据所述第二mac地址,将所述数据流量通过所述虚拟交换机转发至所述目的虚拟机。第二方面,本发明实施例提供一种数据的引流装置,应用于云平台新建的linux网桥,其中所述云平台中的虚拟机和虚拟交换机通过所述linux网桥进行连接,所述虚拟机包括源虚拟机、目的虚拟机和用于执行引流操作的中间虚拟机;所述装置包括:第一发送模块,用于当确定所述源虚拟机发送的数据流量的发送路径为流经所述中间虚拟机至所述目的虚拟机,且接收到所述源虚拟机发送的寻址请求时,将所述中间虚拟机的第一媒体访问控制mac地址反馈至所述源虚拟机,以使所述源虚拟机将第一mac地址确定为目的mac地址;第二发送模块,用于当接收到所述源虚拟机发送的数据流量时,根据所述数据流量中携带的第一mac地址,将所述数据流量转发至所述中间虚拟机;第一修改模块,用于当接收到所述中间虚拟机发送的数据流量时,将所述数据流量中的第一mac地址修改为所述目的虚拟机的第二mac地址;第三发送模块,用于根据所述第二mac地址,将所述数据流量通过所述虚拟交换机转发至所述目的虚拟机。第三方面,本发明实施例提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现所述的数据的引流方法的步骤。第四方面,本发明实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现所述的数据的引流方法的步骤。本发明实施例提供的数据的引流方法及装置,通过在云平台中虚拟机和虚拟交换机之间插入linux网桥,且linux网桥在接收到源虚拟机发送的寻址请求时,将中间虚拟机的第一mac地址反馈到源虚拟机作为目的mac地址,从而使得数据流量能够发送至中间虚拟机,然后通过将第一mac地址再修改为目的虚拟机的第二mac地址,将数据流量发送至目的虚拟机,实现了基于mac地址的修改来实现数据的引流,平滑了运维的学习曲线,在很大程度上降低了运维的难度,提高了安全运维的能力。附图说明为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1表示本发明实施例中云平台中各设备的结构示意图;图2表示本发明实施例中数据的引流方法的步骤流程图;图3表示本发明实施例中数据流量的发送路径示意图;图4表示本发明实施例中数据的引流装置的模块框图;图5表示本发明实施例中电子设备的实体结构示意图。具体实施方式为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。本发明实施例提供一种数据的引流方法,如图1所示,该引流方法应用于云平台新建的linux网桥,其中所述云平台中的虚拟机和虚拟交换机通过所述linux网桥进行连接,所述虚拟机包括源虚拟机、目的虚拟机和用于执行引流操作的中间虚拟机。具体的,在本实施例的架构中,包括源虚拟机、目的虚拟机和用于引流的中间虚拟机等虚拟机,还包括虚拟交换机,即虚拟网络,且所有的虚拟机均与linux网桥连接,linux网桥与虚拟交换机连接。具体的,linux网桥是所有操作的基础,可以为不同的云平台提供一个统一的引流操作平台。此外,具体的,中间虚拟机可以为安全虚拟机,以对流经的数据流量进行安全分析,并实现引流的效果。当然,在此需要说明的是,在此并不具体限定中间虚拟机的数量,即通过多个中间虚拟机转发数据流量的原理和通过一个中间虚拟机转发数据流量的原理相同。本实施例在下述中以一个中间虚拟机为例对数据的引流方法进行说明。此外,具体的,linux网桥上设置有虚拟扩展局域网(简称vxlan)接口,并开启该接口的代理(proxy)功能,以实现地址解析协议(简称arp协议)或者邻居发现协议(简称ndp协议)的代理应答功能。另外,具体的,linux网桥还能够采用ipneigh命令修改预先设置的邻居表和路由等,以用来辅助完成proxy功能,实现媒体访问控制(简称mac地址)的响应。另外,具体的,linux系统下的命令ebtables,能够对二层地址mac地址进行修改和过滤等。另外,具体的,linux网桥中还设置有二层转发表,即交换转发表,以记录mac地址和端口的对应关系,从而使得能够根据mac地址来找到对应的转发端口,实现数据流量的发送。这样,通过在原有的云平台中部署具有上述功能的linux网桥,使得能够linux网桥实现arp或ndp寻址请求的应答、mac地址的修改以及数据流量的转发,进而实现了基于mac地址修改的数据流量的引流效果,基于本实施例未引入其他演进技术,从而降低了引流技术的难度,提高了安全运维的能力。具体的,如图2所示,为应用于上述实施例中linux网桥的数据的引流的方法的步骤流程图,该方法包括如下步骤:步骤201:当确定源虚拟机发送的数据流量的发送路径为流经中间虚拟机至目的虚拟机,且接收到源虚拟机发送的寻址请求时,将中间虚拟机的第一媒体访问控制mac地址反馈至源虚拟机。在本步骤中,当确定源虚拟机发送的数据流量的发送路径为流经中间虚拟机至目的虚拟机,即源虚拟机发送的数据流量需要先发送至中间虚拟机进行引流,然后再发送至目的虚拟机时,若接收到源虚拟机发送的寻址请求时,可以将中间虚拟机的第一mac地址反馈至源虚拟机,以使源虚拟机将第一mac地址确定为目的mac地址,即使得源虚拟机能够将数据流量发送至中间虚拟机。具体的,该寻址请求可以为arp寻址请求或者ndp寻址请求。此外,具体的,所述寻址请求中携带有所述源虚拟机的源ip地址和所述目的虚拟机的目的ip地址;此时,在将所述中间虚拟机的第一mac地址反馈至所述源虚拟机之前,还需要将预先设置的邻居表中目的虚拟机的目的ip地址与目的虚拟机的第二mac地址之间的第一预设对应关系,修改为目的ip地址与中间虚拟机的第一mac地址之间的第二预设对应关系,得到修改后的邻居表;然后根据所述修改后的邻居表,得到所述目的ip地址所对应的第一mac地址。具体的,linux网桥中预先设置有邻居表,且邻居表中设置有所有虚拟机中每个虚拟机的ip地址与mac地址的预设对应关系,此时为了使得能够实现将数据流量引流至中间虚拟机,则linux网桥可以通过ipneigh命令修改邻居表,将邻居表中目的虚拟机的目的ip地址与目的虚拟机的第二mac地址的第一预设对应关系修改为目的ip地址与中间虚拟机的第一mac地址之间的第二预设对应关系,得到修改后的邻居表,从而使得能够在接收到寻址请求时,能够得到目的ip地址所对应的mac地址,即第一mac地址,并将第一mac地址反馈至源虚拟机。步骤202:当接收到源虚拟机发送的数据流量时,根据数据流量中携带的第一mac地址,将数据流量转发至中间虚拟机。在本步骤中,具体的,数据流量中携带有源虚拟机的第三mac地址和中间虚拟机的第一mac地址,且第一mac地址为目的mac地址。此时当接收到源虚拟机发送的数据流量时,可以根据数据流量中携带的第一mac地址,将数据流量转发至中间虚拟机,以实现数据流量的引流。其中,在根据所述数据流量中携带的第一mac地址,将所述数据流量转发至所述中间虚拟机时,可以根据预先设置的交换转发表中mac地址与虚拟机的端口信息之间的预设对应关系,获取所述第一mac地址所对应的中间虚拟机的端口信息;然后根据所述中间虚拟机的端口信息,将所述数据流量转发至所述中间虚拟机。具体的,linux网桥中预先设置有交换转发表,且交换转发表中记录有所有虚拟机中每个虚拟机的mac地址和虚拟机的端口信息之间的预设对应关系。这样,linux网桥在接收到数据流量时,可以查询该交换转发表,查询得到第一mac地址所对应的中间虚拟机的端口信息,从而使得能够通过该中间虚拟机的端口信息,将数据流量转发至中间虚拟机,进而实现基于mac地址修改的数据流量的引流。步骤203:当接收到中间虚拟机发送的数据流量时,将数据流量中的第一mac地址修改为目的虚拟机的第二mac地址。在本步骤中,具体的,当数据流量流经中间虚拟机并发出时,若linux网桥接收到中间虚拟机发送的数据流量,则将数据流量中的第一mac地址修改为目的虚拟机的第二mac地址,并将第二mac地址作为目的mac地址,以使得能够根据第二mac地址将数据流量转发到最终的目的虚拟机上。具体的,在将数据流量中的第一mac地址修改为目的虚拟机的第二mac地址时,可以根据修改前的预先设置的邻居表中目的虚拟机的目的ip地址与mac地址之间的对应关系,得到目的虚拟机的第二mac地址。步骤204:根据第二mac地址,将数据流量通过虚拟交换机转发至目的虚拟机。在本步骤中,具体的,在将数据流量中的第一mac地址修改为目的虚拟机的第二mac地址之后,可以根据第二mac地址,将数据流量通过虚拟交换机,即虚拟网络发送至目的虚拟机上,以完成流量数据从源虚拟机至目的虚拟机的传输。此外,具体的,在根据第二mac地址,将所述数据流量通过所述虚拟交换机转发至所述目的虚拟机时,可以根据预先设置的交换转发表中mac地址与虚拟机的端口信息之间的预设对应关系,获取所述第二mac地址所对应的目的虚拟机的端口信息;然后根据所述目的虚拟机的端口信息,将所述数据流量通过所述虚拟交换机转发至所述目的虚拟机。具体的,下面通过图3对整个实施例中的数据流量的传输过程进行说明。其中,在图3中,虚线表示数据流量从源虚拟机至目的虚拟机的传输示意线。具体的,从源虚拟机发出的数据流量,通过将目的ip地址对应的目的虚拟机的第二mac地址修改为中间虚拟机的第一mac地址,使得在linux网桥的转发后,能够到达中间虚拟机,此时中间虚拟机可以对数据流量进行安全分析等操作;此外,在中间虚拟机将数据流量发出后,linux网桥再将从中间虚拟机发出的数据流量中的目的mac地址由第一mac地址修改为目的虚拟机的第二mac地址,从而使得在通过linux网桥的转发后,能够通过虚拟网络,即虚拟交换机转发至目的虚拟机,进而实现数据流量的引流。这样,本实施例通过新插入的linux网桥,基于mac地址的修改实现了引流的效果,且基于未引入新的sdn技术,平滑了运维的学习曲线,且适用于部署有不同sdn方案的云平台,从而在很大程度上降低了运维的难度,提高了安全运维的能力。此外,进一步地,在本实施例中,在当确定所述源虚拟机发送的数据流量的发送路径为流经所述中间虚拟机至所述目的虚拟机之前,可以获取所述云平台中所有虚拟机、linux网桥和虚拟交换机构造的网络拓扑模型;然后根据所述网络拓扑模型,设置邻居表和交换转发表;其中,所述邻居表中记录有所有虚拟机中每个虚拟机的ip地址与mac地址之间的预设对应关系,所述交换转发表中记录有所有虚拟机中每个虚拟机的mac地址与端口信息之间的预设对应关系;并当监测到新增虚拟机的创建请求时,根据所述新增虚拟机,更新所述网络拓扑模型,并实时更新所述邻居表和交换转发表。在此以openstack环境对上述实施例进行说明。具体的,可以在openstack环境中部署neutronserviceplugin、neutron-agent-bridge-steering、virtdriver-plugin和proxy-agent等模块。其中,neutronserviceplugin模块一方面可以提供restapi,提供调度服务,还可以提供数据模型的维护以及信息同步和通知的功能,且任何数据的变动都会及时通知到相关的代理,即可以获取并维护所述云平台中所有虚拟机、linux网桥和虚拟交换机构造的网络拓扑模型。此外,具体的,neutron-agent-bridge-steering运行在计算节点上的代理,并按照网络组件neutron的规范编写,主要提供的功能有调度网桥的创建和状态监控,ebtables规则的维护,以及交换转发表的修改和维护,即根据所述网络拓扑模型,设置邻居表和交换转发表。另外,具体的,virtdriver-plugin,属于neutronagent的一个插件,需要修改配置文件,主要的作用就是影响虚拟网卡的创建,按照本发明的逻辑来创建虚拟网卡,以及虚拟网络所属的虚拟机交换机也要符合本发明的结构,且proxy-agent管理vxlan端口以及它的邻居表,同时它会主动发arp请求,即当监测到新增虚拟机的创建请求时,根据所述新增虚拟机,更新所述网络拓扑模型,并实时更新所述邻居表和交换转发表。这样,本实施例通过在云平台中虚拟机和虚拟交换机之间插入linux网桥,且linux网桥在接收到源虚拟机发送的寻址请求时,将中间虚拟机的第一mac地址反馈到源虚拟机作为目的mac地址,从而使得数据流量能够发送至中间虚拟机,然后通过将第一mac地址再修改为目的虚拟机的第二mac地址,将数据流量发送至目的虚拟机,实现了基于mac地址的修改来实现数据的引流,平滑了运维的学习曲线,在很大程度上降低了运维的难度,提高了安全运维的能力。此外,如图4所示,为本发明实施例中数据的引流装置的模块框图,该装置应用于云平台新建的linux网桥,其中所述云平台中的虚拟机和虚拟交换机通过所述linux网桥进行连接,所述虚拟机包括源虚拟机、目的虚拟机和用于执行引流操作的中间虚拟机;所述装置包括:第一发送模块401,用于当确定所述源虚拟机发送的数据流量的发送路径为流经所述中间虚拟机至所述目的虚拟机,且接收到所述源虚拟机发送的寻址请求时,将所述中间虚拟机的第一媒体访问控制mac地址反馈至所述源虚拟机,以使所述源虚拟机将第一mac地址确定为目的mac地址;第二发送模块402,用于当接收到所述源虚拟机发送的数据流量时,根据所述数据流量中携带的第一mac地址,将所述数据流量转发至所述中间虚拟机;第一修改模块403,用于当接收到所述中间虚拟机发送的数据流量时,将所述数据流量中的第一mac地址修改为所述目的虚拟机的第二mac地址;第三发送模块404,用于根据所述第二mac地址,将所述数据流量通过所述虚拟交换机转发至所述目的虚拟机。可选地,所述寻址请求中携带有所述源虚拟机的源ip地址和所述目的虚拟机的目的ip地址;所述装置还包括:第二修改模块,用于将预先设置的邻居表中目的虚拟机的目的ip地址与目的虚拟机的第二mac地址之间的第一预设对应关系,修改为目的ip地址与中间虚拟机的第一mac地址之间的第二预设对应关系,得到修改后的邻居表;第一获取模块,用于根据所述修改后的邻居表,得到所述目的ip地址所对应的第一mac地址。可选地,所述第二发送模块402包括:第一获取单元,用于根据预先设置的交换转发表中mac地址与虚拟机的端口信息之间的预设对应关系,获取所述第一mac地址所对应的中间虚拟机的端口信息;第一发送单元,用于根据所述中间虚拟机的端口信息,将所述数据流量转发至所述中间虚拟机。可选地,所述第三发送模块404包括:第二获取单元,用于根据预先设置的交换转发表中mac地址与虚拟机的端口信息之间的预设对应关系,获取所述第二mac地址所对应的目的虚拟机的端口信息;第二发送单元,用于根据所述目的虚拟机的端口信息,将所述数据流量通过所述虚拟交换机转发至所述目的虚拟机。可选地,所述装置还包括:第二获取模块,用于获取所述云平台中所有虚拟机、linux网桥和虚拟交换机构造的网络拓扑模型;设置模块,用于根据所述网络拓扑模型,设置邻居表和交换转发表;其中,所述邻居表中记录有所有虚拟机中每个虚拟机的ip地址与mac地址之间的预设对应关系,所述交换转发表中记录有所有虚拟机中每个虚拟机的mac地址与端口信息之间的预设对应关系;更新模块,用于当监测到新增虚拟机的创建请求时,根据所述新增虚拟机,更新所述网络拓扑模型,并实时更新所述邻居表和交换转发表。本实施例提供的数据的引流装置,通过在云平台中虚拟机和虚拟交换机之间插入linux网桥,且linux网桥在接收到源虚拟机发送的寻址请求时,将中间虚拟机的第一mac地址反馈到源虚拟机作为目的mac地址,从而使得数据流量能够发送至中间虚拟机,然后通过将第一mac地址再修改为目的虚拟机的第二mac地址,将数据流量发送至目的虚拟机,实现了基于mac地址的修改来实现数据的引流,平滑了运维的学习曲线,在很大程度上降低了运维的难度,提高了安全运维的能力。此外,如图5所示,为本发明实施例提供的电子设备的实体结构示意图,该电子设备可以包括:处理器(processor)510、通信接口(communicationsinterface)520、存储器(memory)530和通信总线540,其中,处理器510,通信接口520,存储器530通过通信总线540完成相互间的通信。处理器510可以调用存储在存储器530上并可在处理器510上运行的计算机程序,以执行上述各实施例提供的方法,例如包括:当确定所述源虚拟机发送的数据流量的发送路径为流经所述中间虚拟机至所述目的虚拟机,且接收到所述源虚拟机发送的寻址请求时,将所述中间虚拟机的第一媒体访问控制mac地址反馈至所述源虚拟机,以使所述源虚拟机将第一mac地址确定为目的mac地址;当接收到所述源虚拟机发送的数据流量时,根据所述数据流量中携带的第一mac地址,将所述数据流量转发至所述中间虚拟机;当接收到所述中间虚拟机发送的数据流量时,将所述数据流量中的第一mac地址修改为所述目的虚拟机的第二mac地址;根据所述第二mac地址,将所述数据流量通过所述虚拟交换机转发至所述目的虚拟机。此外,上述的存储器530中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:u盘、移动硬盘、只读存储器(rom,read-onlymemory)、随机存取存储器(ram,randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。本发明实施例还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各实施例提供的方法,例如包括:当确定所述源虚拟机发送的数据流量的发送路径为流经所述中间虚拟机至所述目的虚拟机,且接收到所述源虚拟机发送的寻址请求时,将所述中间虚拟机的第一媒体访问控制mac地址反馈至所述源虚拟机,以使所述源虚拟机将第一mac地址确定为目的mac地址;当接收到所述源虚拟机发送的数据流量时,根据所述数据流量中携带的第一mac地址,将所述数据流量转发至所述中间虚拟机;当接收到所述中间虚拟机发送的数据流量时,将所述数据流量中的第一mac地址修改为所述目的虚拟机的第二mac地址;根据所述第二mac地址,将所述数据流量通过所述虚拟交换机转发至所述目的虚拟机。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如rom/ram、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。当前第1页12当前第1页12