2]当数据中心内的虚拟机管理模块确定待迀移虚拟机后,可以向SDN控制模块发送 虚拟机迀移指令,该虚拟机迀移指令中包括源虚拟交换机标识和目的虚拟交换机标识。其 中,源虚拟交换机即部署有该待迀移虚拟机的源主机中的虚拟交换机,目的虚拟交换机即 该待迀移虚拟机迀移后的目的主机中的虚拟交换机。示例的,假设图5-2所示的业务虚拟机 VM1需要从第一虚拟交换机所在的主机迀移至第二虚拟交换机所在的主机,则虚拟机管理 模块可以确定源虚拟交换机为第一虚拟交换机,目的虚拟交换机为第二虚拟交换机,且该 虚拟机管理模块向SDN控制模块发送的虚拟机迀移指令中可以包括该第一虚拟交换机的标 识和第二虚拟交换机的标识。
[0173]步骤514、SDN控制模块在存储的握手信息中,获取该第一防火墙虚拟机上报的握 手信息。
[0174] SDN控制模块接收到的虚拟机迀移指令中还可以包括该待迀移虚拟机的标识,SDN 控制模块可以根据该待迀移虚拟机的标识,确定管理有该待迀移虚拟机的源虚拟交换机, 进而确定该源虚拟交换机所管理的第一防火墙虚拟机。之后,SDN控制模块即可从存储的握 手信息中,获取该第一防火墙虚拟机上报的握手信息。示例的,SDN控制模块可以将图5-2所 示的第一虚拟交换机所管理的防火墙虚拟机确定为第一防火墙虚拟机,并获取该第一防火 墙虚拟机上报的握手信息。
[0175]步骤515、SDN控制模块在该第一防火墙虚拟机上报的握手信息中确定该待迀移虚 拟机的握手信息
[0176] 由于第一防火墙虚拟机上报的握手信息中可以包括多个业务虚拟机的握手信息, 因此,SDN控制模块可以根据待迀移虚拟机的标识,从该第一防火墙虚拟机上报的握手信息 中确定并获取该待迀移虚拟机的握手信息。示例的,图5-2所示的第一虚拟交换机管理的第 一防火墙虚拟机上报的握手信息中可以包括VM1和VM2的握手信息,SDN控制模块可以根据 虚拟机迀移指令中包括的VM1的标识,确定该待迀移虚拟机VM1的握手信息。
[0177] 步骤516、SDN控制模块将该待迀移虚拟机的握手信息发送至该目的虚拟交换机标 识指示的目的虚拟交换机所管理的第二防火墙虚拟机。
[0178] 示例的,SDN控制模块可以将待迀移虚拟机VM1的握手信息发送至第二虚拟交换机 所管理的第二防火墙虚拟机。因此,当VM1迀移至第二虚拟交换机所在的主机后,该VM1中正 在进行的业务还可以继续执行,保证了业务虚拟机迀移时,业务虚拟机中业务的连续性。
[0179] 需要说明的时,SDN控制模块还可以将租用该待迀移虚拟机的租户所租用防火墙 服务的信息发送至该第二防火墙虚拟机,以便于该待迀移虚拟机迀移至目的虚拟交换机所 在的主机后,该目的虚拟交换机所管理的第二防火墙虚拟机还可以根据该租户所租用防火 墙服务的信息,对该待迀移虚拟机所发送的报文进行过滤处理。示例的,SDN控制模块还可 以将租用待迀移虚拟机VM1的租户所租用的防火墙服务的信息发送至该第二虚拟交换机所 管理的第二防火墙虚拟机。
[0180]综上所述,本发明实施例提供的报文过滤方法,SDN控制模块可以接收数据中心管 理模块发送的租户配置信息,并根据该租户配置信息为第一租户配置流表规则,该第一租 户为租用指示信息指示租用了防火墙服务的租户标识所指示的租户;再根据该租户配置信 息,确定第一虚拟交换机,该第一虚拟交换机管理有该第一租户的标识对应的虚拟机标识 所指示的第一业务虚拟机;最后,SDN控制模块可以将该第一租户的流表规则发送至该第一 虚拟交换机,以便于该第一虚拟交换机根据该第一租户的流表规则,将与该第一业务虚拟 机交互的报文,先转发至该第一虚拟交换机管理的防火墙虚拟机,因此,数据中心内部的业 务虚拟机之间通讯时,报文的转发过滤可以在虚拟交换机所管理的防火墙虚拟机中进行, 而无需再通过数据中心内部网络与外部网络之间部署的集中防火墙,因此数据中心内部网 络的扩容不再受到集中防火墙流量转发能力的限制,提高了数据中心业务扩展时的灵活 性。
[0181]需要说明的是,本发明实施例提供的报文过滤方法的步骤的先后顺序可以进行适 当调整,步骤也可以根据情况进行相应增减。任何熟悉本技术领域的技术人员在本发明揭 露的技术范围内,可轻易想到变化的方法,都应涵盖在本发明的保护范围之内,因此不再赘 述。
[0182] 图6-1是本发明实施例提供的一种报文过滤设备的结构示意图,该设备位于数据 中心中的SDN控制模块中,该SDN控制模块管理有至少一个虚拟交换机,每个该虚拟交换机 管理有防火墙虚拟机以及至少一个业务虚拟机,如图6-1所示,该设备600包括:
[0183] 第一接收单元601,用于接收数据中心管理模块发送的租户配置信息,该租户配置 信息包括:至少一个租户标识,以及每个该租户标识对应的虚拟机标识和租用指示信息,该 租用指示信息用于指示该租户标识指定的租户是否租用防火墙服务。
[0184] 配置单元602,用于根据该租户配置信息为第一租户配置流表规则,该第一租户为 该租用指示信息指示租用了防火墙服务的租户标识所指示的租户。
[0185] 确定单元603,用于根据该租户配置信息,确定第一虚拟交换机,该第一虚拟交换 机管理有该第一租户的标识对应的虚拟机标识所指示的第一业务虚拟机。
[0186] 第一发送单元604,用于将该第一租户的流表规则发送至该第一虚拟交换机,以便 于该第一虚拟交换机根据该第一租户的流表规则,将与该第一业务虚拟机交互的报文,先 转发至该第一虚拟交换机管理的防火墙虚拟机,以使得该防火墙虚拟机根据预设的防火墙 安全策略对该报文进行安全过滤。
[0187] 综上所述,本发明实施例提供的报文过滤设备,SDN控制模块可以接收数据中心管 理模块发送的租户配置信息,并根据该租户配置信息为第一租户配置流表规则,该第一租 户为租用指示信息指示租用了防火墙服务的租户标识所指示的租户;再根据该租户配置信 息,确定第一虚拟交换机,该第一虚拟交换机管理有该第一租户的标识对应的虚拟机标识 所指示的第一业务虚拟机;最后,SDN控制模块可以将该第一租户的流表规则发送至该第一 虚拟交换机,以便于该第一虚拟交换机根据该第一租户的流表规则,将与该第一业务虚拟 机交互的报文先转发至该第一虚拟交换机管理的防火墙虚拟机,因此,数据中心内部的业 务虚拟机之间通讯时,报文的转发过滤可以在虚拟交换机所管理的防火墙虚拟机中进行, 而无需再通过数据中心内部网络与外部网络之间部署的集中防火墙,因此数据中心内部网 络的扩容不再受到集中防火墙流量转发能力的限制,提高了数据中心业务扩展时的灵活 性。
[0188] 图6-2是本发明实施例提供的另一种报文过滤设备的结构示意图,该设备位于数 据中心中的SDN控制模块中,该SDN控制模块管理有至少一个虚拟交换机,每个该虚拟交换 机管理有防火墙虚拟机以及至少一个业务虚拟机,如图6-2所示,该设备600包括:
[0189] 第一接收单元601,用于接收数据中心管理模块发送的租户配置信息,该租户配置 信息包括:至少一个租户标识,以及每个该租户标识对应的虚拟机标识和租用指示信息,该 租用指示信息用于指示该租户标识指定的租户是否租用防火墙服务。
[0190] 配置单元602,用于根据该租户配置信息为第一租户配置流表规则,该第一租户为 该租用指示信息指示租用了防火墙服务的租户标识所指示的租户。
[0191 ]确定单元603,用于根据该租户配置信息,确定第一虚拟交换机,该第一虚拟交换 机管理有该第一租户的标识对应的虚拟机标识所指示的第一业务虚拟机。
[0192] 第一发送单元604,用于将该第一租户的流表规则发送至该第一虚拟交换机,以便 于该第一虚拟交换机根据该第一租户的流表规则,将与该第一业务虚拟机交互的报文,先 转发至该第一虚拟交换机管理的防火墙虚拟机,以使得该防火墙虚拟机根据预设的防火墙 安全策略对该报文进行安全过滤。
[0193] 第二发送单元605,用于向该第一虚拟交换机管理的防火墙虚拟机发送该流表规 贝1J,以便该防火墙虚拟机根据该流表规则将通过安全过滤后的报文发送至该第一虚拟交换 机。
[0194] 第二接收单元606,用于接收虚拟机迀移指令,该虚拟机迀移指令中包括源虚拟交 换机标识和目的虚拟交换机标识。
[0195] 获取单元607,用于获取该源虚拟交换机标识指示的源虚拟交换机所管理的第一 防火墙虚拟机中存储的该待迀移虚拟机的握手信息。
[0196] 第三发送单元608,用于将该待迀移虚拟机的握手信息发送至该目的虚拟交换机 标识指示的目的虚拟交换机所管理的第二防火墙虚拟机。
[0197] 第三接收单元609,用于接收每个该虚拟交换机管理的防火墙虚拟机上报的握手 信息。
[0198] 存储单元610,用于存储该握手信息。
[0199] 第四发送单元611,用于向每个该虚拟交换机管理的防火墙虚拟机发送预设的防 火墙安全策略。
[0200] 可选的,该获取单元607,还用于:
[0201 ]在存储的握手信息中,获取该第一防火墙虚拟机上报的握手信息;
[0202]在该第一防火墙虚拟机上报的握手信息中确定该待迀移虚拟机的握手信息。
[0203]综上所述,本发明实施例提供的报文过滤设备,SDN控制模块可以接收数据中心管 理模块发送的租户配置信息,并根据该租户配置信息为第一租户配置流表规则,该第一租 户为租用指示信息指示租用了防火墙服务的租户标识所指示的租户;再根据该租户配置信 息,确定第一虚拟交换机,该第一虚拟交换机管理有该第一租户的标识对应的虚拟机标识 所指示的第一业务虚拟机;最后,SDN控制模块可以将该第一租户的流表规则发送至该第一 虚拟交换机,以便于该第一虚拟交换机根据该第一租户的流表规则,将与该第一业务虚拟 机交互的报文,先转发至该第一虚拟交换机管理的防火墙虚拟机,因此,数据中心内部的业 务虚拟机之间通讯时,报文的转发过滤可以在虚拟交换机所管理的防火墙虚拟机中进行, 而无需再通过数据中心内部网络与外部网络之间部署的集中防火墙,因此数据中心内部网 络的扩容不再受到集中防火墙流量转发能力的限制,提高了数据中心业务扩展时的灵活 性。
[0204]图7-1是本发明实施例提供的又一种报文过滤设备的结构示意图,该设备位于第 一虚拟交换机管理的防火墙虚拟机中,该第一虚拟交换机是由数据中心中的SDN控制模块 管理的,该第一虚拟交换机还管理有至少一个业务虚拟机,如图7-1所示,该设备700包括: [0205]第一接收单元701,用于接收该SDN控制模块发送的流表规则,该流表规则是该SDN 控制模块根据数据中心管理模块发送的租户配置信息为第一租户配置的,该租户配置信息 包括:至少一个租户标识,以及每个该租户标识对应的虚拟机标识和租用指示信息,该租用 指示信息用于指示该租户标识指定的租户是否租用防火墙服务,该第一租户为租用指示信 息指示租用了防火墙服务的租户标识所指示的租户。
[0206] 第二接收单元702,用于接收该第一虚拟交换机发送的报文,该报文是指与该第一 业务虚拟机交互的报文。
[0207] 安全过滤单元703,用于根据预设的防火墙安全策略,对该报文进行安全过滤。
[0208] 发送单元704,用于根据该流表规则,将通过安全过滤后的该报文转发至该第一虚 拟交换机,以便第一虚拟交换机根据该流表规则对通过安全过滤后的报文进行转发。
[0209]综上所述,本发明实施例提供的报文过滤设备,防火墙虚拟机接收到SDN控制模块 发送的流表规则后,可以根据该流表规则将通过安全过滤后的报文转发至第一虚拟交换 机,因此,数据中心内部的业务虚拟机之间通讯时,报文的转发过滤可以在虚拟交换机所管 理的防火墙虚拟机中进行,而无需再通过数据中心内部网络与外部网络之间部署的集中防 火墙,因此数据中心内部网络的扩容不再受到集中防火墙流量转发能力的限制,提高了数 据中心业务扩展时的灵活性。
[0210]图7-2是本发明实施例提供的再一种报文过滤设备的结构示意图,该设备位于第 一虚拟交换机管理的防火墙虚拟机中,该第一虚拟交换机是由数据中心中的SDN控制模块 管理的,该第一虚拟交换机还管理有至少一个业务虚拟机,如图7-2所示,该设备700包括: [0211]第一接收单元701,用于接收该SDN控制模块发送的流表规则,该流表规则是该SDN 控制模块根据数据中心管理模块发送的租户配置信息为第一租户配置的,该租户配置信息 包括:至少一个租户标识,以及每个该租户标识对应的虚拟机标识和租用指示信息,该租用 指示信息用于指示该租户标识指定的租户是否租用防火墙服务,该第一租户为该租用指示 信息指示租用了防火墙服务的租户标识所指示的租户。
[0212] 第二接收单元702,用于接收该第一虚拟交换机发送的报文,该报文是指与该第一 业务虚拟机交互的报文。
[0213] 安全过滤单元703,用于根据预设的防火墙安全策略,对该报文进行安全过滤。
[0214] 发送单元704,用于根据该流表规则,将通过安全过滤后的该报文转发至该第一虚 拟交换机,以便该第一虚拟交换机根据该流表规则对通过安全过滤后的报文进行转发。 [0215]第三接收单元705,用于接收该SDN控制模块发送的该预设的防火墙安全策略。 [0216]上报单元706,用于周期性地向该SDN控制模块上报该防火墙虚拟机中存储的该第 一虚拟交换机管理的业务虚拟机的握手信息。
[0217]综上所述,本发明实施例提供的报文过滤设备,防火墙虚拟机接收到SDN控制模块 发送的流表规则后,可以根据该流表规则将通过安全过滤后的报文转发至第一虚拟交换 机,因此,数据中心内部的业务虚拟机之间通讯时,报文的转发过滤可以在虚拟交换机所管 理的防火墙虚拟机中进行,而无需再通过数据中心内部网络与外部网络之间部署的集中防 火墙,因此数据中心内部网络的扩容不再受到集中防火墙流量转发能力的限制,提高了数 据中心业务扩展时的灵活性。
[0218]图8-1是本发明实施例提供的再一种报文过滤设备的结构示意图,该设备位于数 据中心中的SDN控制模块管理的第一虚拟交换机,该第一虚拟交换机管理有防火墙虚拟机 以及至少一个业务虚拟机,如图8-1所示,该设备800包括:
[0219]第一接收单元801,用于接收SDN控制模块发送的流表规则,该流表规则是该SDN控 制模块根据数据中心管理模块发送的租户配置信息为第一租户配置的,该租户配置信息包 括:至少一个租户标识,以及每个该租户标识对应的虚拟机标识和租用指示信息,该租用指 示信息用于指示该租户标识指定的租户是否租用防火墙服务,该第一租户为该租用指示信 息指示租用了防火墙服务的租户标识所指示的租户。
[0220]第一转发单元802,用于根据该流表规则,将与第一业务虚拟机交互的报文,先转 发至该第一虚拟交换机管理的防火墙虚拟机,以便于该防火墙虚拟机根据预设的防火墙安 全策略,对该报文进行安全过滤,该第一业务虚拟机为该第一租户的标识对应的虚拟机标 识所指示的虚拟机。<