界数据。
[0057]进一步的,查找单元23还用于当一个源虚拟机向至少两个目标虚拟机分别迀移相同的数据时,分别确定迀移到各个目标虚拟机中的数据是否为边界数据。
[0058]进一步的,牵引单元24包括:
[0059]备份模块241,用于对边界数据进行备份,获得备份边界数据;
[0060]牵引模块242,用于将备份边界数据牵引到防火墙中进行过滤;
[0061]转发模块243,用于对原边界数据进行转发。
[0062]进一步的,如图4所示,该装置还包括:
[0063]标记单元25,用于在牵引单元24对边界数据进行备份之后,对备份边界数据对应的原边界数据进行字段标记,以便在存在至少两个交换设备的情况下,防止其他交换设备对原边界数据重复进行备份。
[0064]本发明实施例提供的云平台虚拟化流量的监控装置,能够监测虚拟机之间的数据迀移,并根据获取的宿主机内部虚拟机的分组信息查找到不同分组中虚拟机之间所迀移的数据,也就是边界数据,并将边界数据牵弓I到防火墙中进行过滤。与现有技术中由于不同分组或不同部门虚拟机之间具有较高的数据隔离特性,跨组或跨部门虚拟机之间的数据传送很容易传播病毒文件或木马文件的缺点相比,本发明通过对虚拟机之间的数据迀移进行监控,查找出跨组迀移的边界数据,对边界数据进行防火墙过滤,有效保证跨组迀移的数据以及不同分组虚拟机的安全性。
[0065]此外,本实施例在交换设备接收到传送的数据后,对确定的边界数据进行备份,将备份边界数据牵引到防火墙进行过滤的同时将原边界数据进行转发,既能保证边界数据传送的及时性又能对边界数据的安全性进行过滤,在发现边界数据存在安全隐患时及时通知目标虚拟机对该边界数据进行查杀。此外,交换设备将边界数据进行备份后,对原边界数据进行字段标记,以便在存在至少两个交换设备的情况下,防止其他交换设备对原边界数据重复进行备份以及备份后的过滤,从而极大的降低重复备份和过滤数据对处理资源的浪费。
[0066]本发明的实施例公开了:
[0067]Al、一种云平台虚拟化流量的监控方法,其特征在于,所述方法包括:
[0068]获取宿主机内部虚拟机的分组信息,所述宿主机内包含至少两个虚拟机分组,每个虚拟机分组中至少包含一个虚拟机;
[0069]监测虚拟机之间的数据迀移;
[0070]根据所述分组信息查找边界数据,所述边界数据为不同分组中虚拟机之间所迀移的数据;
[0071 ] 将所述边界数据牵弓I到防火墙中进行过滤。
[0072]A2、根据权利要求Al所述的方法,其特征在于,所述获取宿主机内部虚拟机的分组信息,包括:
[0073]获取云平台下发的所述分组信息。
[0074]A3、根据权利要求A2所述的方法,其特征在于,所述分组信息为网络拓扑结构表,所述网络拓扑结构表用于记录所有虚拟机的网间协议IP地址及分组标记。
[0075]A4、根据权利要求A3所述的方法,其特征在于,所述监测虚拟机之间的数据迀移,包括:
[0076]分别获取源虚拟机和目标虚拟机的IP地址。
[0077]A5、根据权利要求A4所述的方法,其特征在于,所述根据所述分组信息查找边界数据,包括:
[0078]根据获取的IP地址,在所述网络拓扑结构表分别查找对应所述源虚拟机和所述目标虚拟机的分组标记;
[0079]若查找到的两个分组标记不相同,则确定所述源虚拟机与所述目标虚拟机之间迀移的数据为所述边界数据。
[0080]A6、根据权利要求A5所述的方法,其特征在于,若一个源虚拟机向至少两个目标虚拟机分别迀移相同的数据,则所述根据所述分组信息查找边界数据,包括:
[0081]分别确定迀移到各个目标虚拟机中的数据是否为所述边界数据。
[0082]A7、根据权利要求Al所述的方法,其特征在于,所述将所述边界数据牵引到防火墙中进行过滤,包括:
[0083]对所述边界数据进行备份,获得备份边界数据;
[0084]将所述备份边界数据牵引到所述防火墙中进行过滤,并对原边界数据进行转发。
[0085]AS、根据权利要求A7所述的方法,其特征在于,在所述对所述边界数据进行备份之后,所述方法进一步包括:
[0086]对备份边界数据对应的原边界数据进行字段标记,以便在存在至少两个交换设备的情况下,防止其他交换设备对所述原边界数据重复进行备份。
[0087]B9、一种云平台虚拟化流量的监控装置,其特征在于,所述装置包括:
[0088]获取单元,用于获取宿主机内部虚拟机的分组信息,所述宿主机内包含至少两个虚拟机分组,每个虚拟机分组中至少包含一个虚拟机;
[0089]监测单元,用于监测虚拟机之间的数据迀移;
[0090]查找单元,用于根据所述获取单元获取的所述分组信息查找边界数据,所述边界数据为不同分组中虚拟机之间所迀移的数据;
[0091]牵引单元,用于将所述查找单元查找的所述边界数据牵引到防火墙中进行过滤。
[0092]B10、根据权利要求B9所述的装置,其特征在于,所述获取单元用于获取云平台下发的所述分组信息。
[0093]B11、根据权利要求BlO所述的装置,其特征在于,所述获取单元获取的所述分组信息为网络拓扑结构表,所述网络拓扑结构表用于记录所有虚拟机的网间协议IP地址及分组标记。
[0094]B12、根据权利要求Bll所述的装置,其特征在于,所述监测单元用于分别获取源虚拟机和目标虚拟机的IP地址。
[0095]B13、根据权利要求B12所述的装置,其特征在于,所述查找单元包括:
[0096]查找模块,用于根据获取的IP地址,在所述网络拓扑结构表分别查找对应所述源虚拟机和所述目标虚拟机的分组标记;
[0097]判断模块,用于判断所述查找模块查找到的两个分组标记不相同时,确定所述源虚拟机与所述目标虚拟机之间迀移的数据为所述边界数据。
[0098]B14、根据权利要求B13所述的装置,其特征在于,所述查找单元还用于当一个源虚拟机向至少两个目标虚拟机分别迀移相同的数据时,分别确定迀移到各个目标虚拟机中的数据是否为所述边界数据。
[0099]B15、根据权利要求B9所述的装置,其特征在于,所述牵引单元包括:
[0100]备份模块,用于对所述边界数据进行备份,获得备份边界数据;
[0101]牵引模块,用于将所述备份边界数据牵引到所述防火墙中进行过滤;
[0102]转发模块,用于对原边界数据进行转发。
[0103]B16、根据权利要求B15所述的装置,其特征在于,所述装置还包括:
[0104]标记单元,用于在所述牵引单元对所述边界数据进行备份之后,对备份边界数据对应的原边界数据进行字段标记,以便在存在至少两个交换设备的情况下,防止其他交换设备对所述原边界数据重复进行备份。
[0105]在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
[0106]可以理解的是,上述方法及装置中的相关特征可以相互参考。另外,上述实施例中的“第一”、“第二”等是用于区分各实施例,而并不代表各实施例