一种云平台虚拟化流量的监控方法及装置的制造方法
【技术领域】
[0001]本发明涉及虚拟机领域,特别是涉及一种云平台虚拟化流量的监控方法及装置。
【背景技术】
[0002]虚拟机(Virtual Machine)是指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。每个虚拟机可以独立运行,可以安装各种软件与应用。由于虚拟机是一台计算机虚拟化实现多台计算机的功能,其整体性能也会被各个虚拟机所分配划分,划分虚拟机越多,各个虚拟机所分配的中央处理器CPU、内存、存储空间资源也越少,因此组件虚拟机要求计算机的配置越高越好,通常应用于服务器行业。
[0003]虚拟机在现实中的作用非常大,尤其是在企业中的应用非常广泛。由于企业服务器通常配置很高,在企业中为了满足处理各种复杂业务的需求,通常会将一台服务器划分出具有各自独立的网间协议IP地址的多个虚拟机,并为不同部门分配不同数量的虚拟机以供各部门专用。每个虚拟机都可以使用自身分配的资源处理业务,还可以通过交换设备实现不同部门的虚拟机之间的数据传送。
[0004]在传统的虚拟机使用过程中,发明人发现:不同部门的虚拟机之间具有较高的数据隔离特性,跨部门虚拟机之间的数据传送很容易导致病毒文件或木马文件在各个部门间的传播,使企业网络环境出现安全隐患。
【发明内容】
[0005]有鉴于此,本发明提出了一种云平台虚拟化流量的监控方法及装置,主要目的在于解决跨部门虚拟机之间的数据传送存在安全隐患的问题。
[0006]依据本发明的第一个方面,本发明提供了一种云平台虚拟化流量的监控方法,包括:
[0007]获取宿主机内部虚拟机的分组信息,宿主机内包含至少两个虚拟机分组,每个虚拟机分组中至少包含一个虚拟机;
[0008]监测虚拟机之间的数据迀移;
[0009]根据分组信息查找边界数据,边界数据为不同分组中虚拟机之间所迀移的数据;
[0010]将边界数据牵弓I到防火墙中进行过滤。
[0011]依据本发明的第二个方面,本发明提供了一种云平台虚拟化流量的监控装置,该装置通常位于交换设备中,包括:
[0012]获取单元,用于获取宿主机内部虚拟机的分组信息,宿主机内包含至少两个虚拟机分组,每个虚拟机分组中至少包含一个虚拟机;
[0013]监测单元,用于监测虚拟机之间的数据迀移;
[0014]查找单元,用于根据获取单元获取的分组信息查找边界数据,边界数据为不同分组中虚拟机之间所迀移的数据;
[0015]牵引单元,用于将查找单元查找的边界数据牵弓I到防火墙中进行过滤。
[0016]借由上述技术方案,本发明实施例提供的云平台虚拟化流量的监控方法及装置,能够监测虚拟机之间的数据迀移,并根据获取的宿主机内部虚拟机的分组信息查找到不同分组中虚拟机之间所迀移的数据,也就是边界数据,并将边界数据牵引到防火墙中进行过滤。与现有技术中由于不同分组或不同部门虚拟机之间具有较高的数据隔离特性,跨组或跨部门虚拟机之间的数据传送很容易传播病毒文件或木马文件的缺点相比,本发明通过对虚拟机之间的数据迀移进行监控,查找出跨组迀移的边界数据,对边界数据进行防火墙过滤,有效保证跨组迀移的数据以及不同分组虚拟机的安全性。
[0017]上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的【具体实施方式】。
【附图说明】
[0018]通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
[0019]图1示出了本发明实施例提供的一种云平台虚拟化流量的监控方法的流程图;
[0020]图2示出了本发明实施例提供的一种云平台虚拟化流量的监控装置的组成框图;
[0021]图3示出了本发明实施例提供的一种云平台虚拟化流量的监控装置的组成框图;
[0022]图4示出了本发明实施例提供的一种云平台虚拟化流量的监控装置的组成框图。
【具体实施方式】
[0023]下面将参照附图更加详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
[0024]在企业中为了满足处理各种复杂业务的需求,通常会将一台服务器划分出具有各自独立的网间协议IP地址的多个虚拟机,并为不同部门分配不同数量的虚拟机以供各部门专用。每个虚拟机都可以使用自身分配的资源处理业务,还可以通过交换设备实现不同部门的虚拟机之间的数据传送。但是由于不同部门的虚拟机之间具有较高的数据隔离特性,跨部门虚拟机之间的数据传送很容易导致病毒文件或木马文件在各个部门间的传播,使企业网络环境出现安全隐患。
[0025]为了解决跨部门虚拟机之间的数据传送存在安全隐患的问题,本发明实施例提供了一种云平台虚拟化流量的监控方法,该方法主要用于交换设备一侧。如图1所示,该方法包括:
[0026]101、获取宿主机内部虚拟机的分组信息。
[0027]通常宿主机的整体配置较高,为了满足不同部门的业务需求,往往会根据宿主机的CPU、内存、硬盘资源在宿主机内部划分出多个虚拟机,并为不同部门分配不同数量的虚拟机供其使用。宿主机内部划分的多个虚拟机具有各自独立的IP地址以及各自所属的分组标记,它们可以称为分组信息。在本发明实施例对云平台虚拟化流量的监控过程中,需要执行步骤101获取宿主机内部虚拟机的分组信息。其中,在本发明实施例中的宿主机包含至少两个虚拟机分组,每个虚拟机分组中至少包含一个虚拟机。
[0028]102、监测虚拟机之间的数据迀移。
[0029]在不同虚拟机之间的数据传送过程中,发送数据的虚拟机称为源虚拟机,接收数据的虚拟机称为目标虚拟机,源虚拟机发送的数据需要通过交换设备识别后才能转发给目标虚拟机。本实施例中的步骤102监测虚拟机之间的数据迀移的过程在本质上就是通过交换设备获取到发送数据的源虚拟机和接收数据的目标虚拟机的过程。
[0030]103、根据分组信息查找边界数据。
[0031]在实际数据传送的过程中,同一部门的虚拟机之间可以进行数据传送,不同部门的虚拟机之间也可以进行传送。但是基于不同部门的虚拟机之间具有较高的数据隔离特性,因此对不同部门的虚拟机之间传送的数据具有较高的安全性要求。在本发明实施例中将不同分组的虚拟机之间传送的数据定义为边界数据。在本实施例的步骤103中需要根据获取的宿主机内部虚拟机的分组信息,从各个虚拟机之间传送的数据中查找到边界数据,通常对这些边界数据具有较高的安全性要求。
[0032]104、将边界数据牵引到防火墙中进行过滤。
[0033]当在步骤103中获取到边界数据后,将边界数据牵引到防火墙中进行过滤,避免存在安全隐患的数据跨部门传送。
[0034]本发明实施