解决虚拟机迁移与IPsec机制冲突的方法、设备及介质与流程

解决虚拟机迁移与ipsec机制冲突的方法、设备及介质
技术领域
1.本发明涉及云计算技术领域，尤其涉及一种解决虚拟机迁移与ipsec机制冲突的方法、设备及介质。


背景技术：

2.目前，在云数据中心内，虚拟机在不同物理机间进行迁移的情况时有发生，为保证虚拟机持续提供服务，要求在其迁移前后自身的ip地址和mac地址保持不变。
3.ip网络普遍采用ipsec技术对数据在网络传输时提供加密保护。在实际应用中，因为标准ipsec机制需要将ipsec网关与被保护的主机或子网进行绑定，所以在ipsec环境下，虚拟机维持地址不变进行动态迁移、无需人工干预即能持续提供服务的需求无法得到满足，虚拟机迁移后需要对涉及与该虚拟机通信提供保护的所有ipsec网关进行安全策略调整，在大规模网络中，所涉及的配置工作量大且容易出错，因此急需一种解决虚拟机迁移与ipsec机制冲突的办法，以满足虚拟机灵活迁移的需求。目前，尚未发现涉及该方法的相关研究。


技术实现要素：

4.针对云数据中心vpc内采用ipsec技术进行网络层数据保护的环境下，虚拟机迁移后的用户业务无法自动恢复、安全策略调整工作量大且容易出错等问题，本发明提出一种解决虚拟机迁移与ipsec机制冲突的方法、设备及介质。
5.本发明采用的技术方案如下：一种解决虚拟机迁移与ipsec机制冲突的方法，包括以下步骤：s1. 业务发起方的ipsec网关与虚拟私有云vpc内其它的ipsec网关通过因特网密钥交换协议ike协商建立协商安全联盟即ike sa；s2. 在ike sa的保护下，业务发起方的ipsec网关将选定的ipsec sa信息发送到其它的ipsec网关以建立ipsec sa，使虚拟机在不同的ipsec网关所保护的物理机之间迁移时业务能够自动恢复。
6.进一步地，步骤s1之前还包括以下步骤：ipsec网关预留spi段，不做自动分配；业务发起方的ipsec网关生成业务密钥，从预留的spi段中选取一个未使用的spi值，指定报文封装模式为传输模式，指定使用的认证算法及加密算法，建立外出方向ipsec sa。
7.进一步地，步骤s2中，其它的ipsec网关收到业务发起方发送的ipsec sa信息后，能够建立进入方向ipsec sa，从而使业务发起方的ipsec网关能够与vpc中其它的ipsec网关建立具有相同的spi及密钥的ipsec sa。
8.进一步地，步骤s2中，当接收业务的虚拟机迁移到其它物理机上后，业务发起方的ipsec网关加密后的报文将被转发至新的ipsec网关。
9.进一步地，步骤s2中，新的ipsec网关通过检索报文中的spi能够找到之前建立的
进入方向ipsec sa，实现对报文的解密。
10.进一步地，所述ipsec sa信息包括spi、密钥、封装模式、安全协议、认证算法和加密算法。
11.一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，其特征在于，所述处理器执行所述计算机程序时实现上述解决虚拟机迁移与ipsec机制冲突的方法的步骤。
12.一种计算机可读存储介质，存储有计算机程序，所述计算机程序被处理器执行时实现上述解决虚拟机迁移与ipsec机制冲突的方法的步骤。
13.本发明的有益效果在于：在ipsec保护的虚拟私有云环境中，当虚拟机在不同物理机之间迁移时，通常需要手动配置涉及该虚拟机业务的所有ipsec网关的安全策略，才能实现虚拟机迁移后的业务正常访问。在规模较大的网络实施ipsec后，虚拟机迁移后存在业务中断、手工配置工作量大等问题。本发明具有业务不中断、无需调整配置等优点，实现了在ipsec环境下的虚拟机动态迁移，适合在虚拟私有云中应用。
附图说明
14.图1是本发明实施例1的工作流程图。
15.图2是本发明实施例1的业务流程图（虚拟机迁移前）。
16.图3是本发明实施例1的业务流程图（虚拟机迁移后）。
具体实施方式
17.为了对本发明的技术特征、目的和效果有更加清楚的理解，现说明本发明的具体实施方式。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明，即所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。
18.实施例1如图1所示，本实施例提供了一种解决虚拟机迁移与ipsec机制冲突的方法，包括以下步骤：s1. ipsec网关预留spi段，不做自动分配；s2. 业务发起方的ipsec网关生成业务密钥，从预留的spi段中选取一个未使用的spi值，指定报文封装模式为传输模式，指定使用的认证算法及加密算法，建立外出方向ipsec sa；s3. 业务发起方的ipsec网关与虚拟私有云vpc内其它的ipsec网关通过因特网密钥交换协议ike协商建立协商安全联盟即ike sa；s4. 在ike sa的保护下，业务发起方的ipsec网关将选定的ipsec sa信息发送到其它的ipsec网关以建立ipsec sa，使虚拟机在不同的ipsec网关所保护的物理机之间迁移时业务能够自动恢复。具体地，其它的ipsec网关收到业务发起方发送的ipsec sa信息后建立进入方向ipsec sa，这样业务发起方的ipsec网关就能够与vpc中其它的ipsec网关建立
具有相同的spi及密钥的ipsec sa。
19.优选地，当接收业务的虚拟机迁移到其它物理机上后，业务发起方的ipsec网关加密后的报文将被转发至新的ipsec网关，新的ipsec网关通过检索报文中的spi能够找到之前建立的进入方向ipsec sa，实现对报文的解密。
20.优选地，ipsec sa信息包括spi、密钥、封装模式、安全协议、认证算法和加密算法。
21.下面以部署到ipsec环境下的虚拟机1、虚拟机2、虚拟机3为例，对该方法进行详细说明。在该例子中，首先是部署在物理机1上的虚拟机1和部署在物理机2上的虚拟机2之间进行通信，其中虚拟机1作为业务发起方，虚拟机2作为业务接收方；之后，将虚拟机2从物理机2迁移到物理机3，迁移完成后，在未对虚拟机2的ip及mac网络地址、ipsec网关配置进行任何修改的情况下，虚拟机1访问虚拟机2业务依然正常。
22.业务访问流程如图2和图3所示，步骤如下：（1）ipsec网关1选择spi，生成业务密钥，指定封装模式、加密算法和认证算法，建立外出方向ipsec sa。
23.（2）ipsec网关1向ipsec网关2发起ike协商。
24.（3）ipsec网关1与ipsec网关2完成ike协商，建立安全通道。
25.（4）ipsec网关1通过安全通道将选择的spi、业务密钥、封装模式、加密算法和认证算法发送给ipsec网关2。
26.（5）ipsec网关2建立spi号为y的进入方向ipsec sa。
27.（6）ipsec网关1与ipsec网关2之间维持ipsec sa加密通道。
28.（7）ipsec网关1向ipsec网关3发起ike协商。
29.（8）ipsec网关1与ipsec网关3完成ike协商，建立安全通道。
30.（9）ipsec网关1通过安全通道将指定的spi、业务密钥、封装模式、加密算法和认证算法发送给ipsec网关3。
31.（10）ipsec网关3建立spi号为y的进入方向ipsec sa。
32.（11）ipsec网关1与ipsec网关3之间维持ipsec sa加密通道。
33.（12）虚拟机1访问虚拟机2上的服务，报文经过ipsec网关1时被其按照spi号为y的安全策略进行加密，加密后的报文被交换机转发到ipsec网关2，ipsec网关2运用spi号为y的安全策略，对报文进行解密，发送到虚拟机2，实现虚拟机1与2之间的加密访问。
34.（13）虚拟机2进行迁移，从物理机2迁移到物理机3。
35.（14）虚拟机1继续访问虚拟机2的服务，报文经过ipsec网关1时被其按照spi号为y的安全策略进行加密，加密后的报文被交换机转发到ipsec网关3，ipsec网关3运用spi号为y的安全策略，对报文进行解密，发送到虚拟机2，实现虚拟机1与迁移后的虚拟机2之间的加密访问。
36.（15）虚拟机2从物理机2到物理机3的动态迁移完成。
37.实施例2本实施例在实施例1的基础上：本实施例提供了一种计算机设备，包括存储器和处理器，该存储器存储有计算机程序，该处理器执行该计算机程序时实现实施例1的解决虚拟机迁移与ipsec机制冲突的方法的步骤。其中，计算机程序可以为源代码形式、对象代码形式、可执行文件或者某些中间
形式等。
38.实施例3本实施例在实施例1的基础上：本实施例提供了一种计算机可读存储介质，存储有计算机程序，该计算机程序被处理器执行时实现实施例1的解决虚拟机迁移与ipsec机制冲突的方法的步骤。其中，计算机程序可以为源代码形式、对象代码形式、可执行文件或者某些中间形式等。存储介质包括：能够携带计算机程序代码的任何实体或装置、记录介质、计算机存储器、只读存储器(rom)、随机存取存储器(ram)、电载波信号、电信信号以及软件分发介质等。需要说明的是，存储介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减，例如在某些司法管辖区，根据立法和专利实践，存储介质不包括电载波信号和电信信号。
39.需要说明的是，对于前述的方法实施例，为了简便描述，故将其表述为一系列的动作组合，但是本领域技术人员应该知悉，本技术并不受所描述的动作顺序的限制，因为依据本技术，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本技术所必须的。