br>[0221]综上所述,本发明实施例提供的报文过滤设备,第一虚拟交换机接收到SDN控制模 块发送的流表规则后,可以根据该流表规则将与该第一业务虚拟机交互的报文先转发至该 第一虚拟交换机管理的防火墙虚拟机,以便于该防火墙虚拟机根据预设的防火墙安全策 略,对该报文进行安全过滤,因此,数据中心内部的业务虚拟机之间通讯时,报文的转发过 滤可以在虚拟交换机所管理的防火墙虚拟机中进行,而无需再通过数据中心内部网络与外 部网络之间部署的集中防火墙,因此数据中心内部网络的扩容不再受到传统集中防火墙流 量转发能力的限制,提高了数据中心业务扩展时的灵活性。
[0222]图8-2是本发明实施例提供的再一种报文过滤设备的结构示意图,该设备位于数 据中心中的SDN控制模块管理的第一虚拟交换机,该第一虚拟交换机管理有防火墙虚拟机 以及至少一个业务虚拟机,如图8-2所示,该设备800包括:
[0223]第一接收单元801,用于接收SDN控制模块发送的流表规则,该流表规则是该SDN控 制模块根据数据中心管理模块发送的租户配置信息为第一租户配置的,该租户配置信息包 括:至少一个租户标识,以及每个该租户标识对应的虚拟机标识和租用指示信息,该租用指 示信息用于指示该租户标识指定的租户是否租用防火墙服务,该第一租户为该租用指示信 息指示租用了防火墙服务的租户标识所指示的租户。
[0224]第一转发单元802,用于根据该流表规则,将与该第一业务虚拟机交互的报文,先 转发至该第一虚拟交换机管理的防火墙虚拟机,以便于该防火墙虚拟机根据预设的防火墙 安全策略,对该报文进行安全过滤,该第一业务虚拟机为该第一租户的标识对应的虚拟机 标识所指示的虚拟机。
[0225] 第二接收单元803,用于接收该防火墙虚拟机发送的通过安全过滤后的该报文。
[0226] 第二转发单元804,用于根据该流表规则,对通过安全过滤后的该报文进行转发。
[0227] 可选的,该第一转发单元802,还用于:
[0228] 根据该流表规则,判断该报文中的目的端口标识所指示的目的端口是否为该数据 中心内业务虚拟机的端口;
[0229] 当该报文中的目的端口标识所指示的目的端口为该数据中心内业务虚拟机的端 口时,将该报文转发至该第一虚拟交换机管理的防火墙虚拟机。
[0230]综上所述,本发明实施例提供的报文过滤设备,第一虚拟交换机接收到SDN控制模 块发送的流表规则后,可以根据该流表规则将将第一业务虚拟机所发送的报文转发至该第 一虚拟交换机管理的防火墙虚拟机,以便于该防火墙虚拟机根据预设的防火墙安全策略, 对该报文进行安全过滤,因此,数据中心内部的业务虚拟机之间通讯时,报文的转发过滤可 以在虚拟交换机所管理的防火墙虚拟机中进行,而无需再通过数据中心内部网络与外部网 络之间部署的集中防火墙,因此数据中心内部网络的扩容不再受到传统集中防火墙流量转 发能力的限制,提高了数据中心业务扩展时的灵活性。
[0231] 关于上述实施例中的设备,其中各个单元执行操作的具体方式已经在有关该方法 的实施例中进行了详细描述,此处将不做详细阐述说明。
[0232] 图9是本发明实施例提供的一种计算机设备的结构示意图,如图9所示,该计算机 设备包括至少一个处理器901 (例如CPU),至少一个网络接口 902或者其他通信接口,存储器 903和至少一个通信总线904,用于实现这些器件之间的连接通信。处理器901用于执行存储 器903中存储的可执行模块,例如计算机执行指令。存储器903可能包含高速随机存取存储 器(RAM:RandomAccess Memory),也可能还包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个网络接口902(可以是有线或者无线)实 现该计算机设备与至少一个其他网元之间的通信连接,可以使用互联网,广域网,本地网, 城域网等。在一些实施方式中,存储器903存储了计算机执行指令9031,处理器901可以执行 该计算机执行指令9031来实现SDN控制模块,并使得该SDN控制模块执行下述报文过滤方 法:
[0233] 接收数据中心管理模块发送的租户配置信息,该租户配置信息包括:至少一个租 户标识,以及每个该租户标识对应的虚拟机标识和租用指示信息,该租用指示信息用于指 示该租户标识指定的租户是否租用防火墙服务;
[0234] 根据该租户配置信息为第一租户配置流表规则,该第一租户为该租用指示信息指 示租用了防火墙服务的租户标识所指示的租户;
[0235] 根据该租户配置信息,确定第一虚拟交换机,该第一虚拟交换机管理有该第一租 户的标识对应的虚拟机标识所指示的第一业务虚拟机;
[0236] 将该第一租户的流表规则发送至该第一虚拟交换机,以便于该第一虚拟交换机根 据该第一租户的流表规则,将与该第一业务虚拟机交互的报文,先转发至该第一虚拟交换 机管理的防火墙虚拟机,以使得该防火墙虚拟机根据预设的防火墙安全策略对该报文进行 安全过滤。
[0237] 其中,与该第一业务虚拟机交互的报文可以包括:该第一业务虚拟机向数据中心 内其他业务虚拟机发送的报文、数据中心内其他业务虚拟机向该第一业务虚拟机发送的报 文以及该第一业务虚拟机访问数据中心外部网络时所发送的报文。
[0238] 可选的,该方法还包括:
[0239] SDN控制模块在该根据该租户配置信息,确定第一虚拟交换机之后,还可以向该第 一虚拟交换机管理的防火墙虚拟机发送该流表规则,以便该防火墙虚拟机根据该流表规则 将通过安全过滤后的该报文发送至该第一虚拟交换机。
[0240] 可选的,SDN控制模块在该将该第一租户的流表规则发送至该第一虚拟交换机之 后,还可以接收虚拟机管理模块发送的虚拟机迀移指令,该虚拟机迀移指令中包括源虚拟 交换机标识和目的虚拟交换机标识;
[0241] SDN控制模块能够获取该源虚拟交换机标识指示的源虚拟交换机所管理的第一防 火墙虚拟机中存储的该待迀移虚拟机的握手信息,并将该待迀移虚拟机的握手信息发送至 该目的虚拟交换机标识指示的目的虚拟交换机所管理的第二防火墙虚拟机。因此,当待迀 移虚拟机迀移至目的虚拟交换机所在的主机后,该待迀移虚拟机中正在进行的业务还可以 继续执行,保证了业务虚拟机迀移时,业务虚拟机中业务的连续性。
[0242] 可选的,SDN控制模块在该接收虚拟机迀移指令之前,还可以接收每个该虚拟交换 机管理的防火墙虚拟机上报的握手信息,并存储该握手信息;
[0243] 其中,SDN控制模块获取源虚拟交换机标识指示的源虚拟交换机所管理的第一防 火墙虚拟机中存储的该待迀移虚拟机的握手信息的过程可以包括:
[0244] 在存储的握手信息中,获取该第一防火墙虚拟机上报的握手信息;
[0245] 在该第一防火墙虚拟机上报的握手信息中确定该待迀移虚拟机的握手信息。
[0246] 可选的,SDN控制模块在该将该第一租户的流表规则发送至该第一虚拟交换机之 前,还可以向每个该虚拟交换机管理的防火墙虚拟机发送预设的防火墙安全策略,以便防 火墙虚拟机可以根据该预设的防火墙安全策略对报文进行安全过滤。
[0247] 综上所述,本发明实施例提供的计算机设备,可以接收数据中心管理模块发送的 租户配置信息,并根据该租户配置信息为第一租户配置流表规则;再根据该租户配置信息, 确定第一虚拟交换机,该第一虚拟交换机管理有该第一租户的标识对应的虚拟机标识所指 示的第一业务虚拟机;最后,该计算机设备可以将该第一租户的流表规则发送至该第一虚 拟交换机,以便于该第一虚拟交换机根据该第一租户的流表规则,将与该第一业务虚拟机 交互的报文先转发至该第一虚拟交换机管理的防火墙虚拟机,以使得该防火墙虚拟机根据 预设的防火墙安全策略对该报文进行安全过滤,因此,数据中心内部业务虚拟机之间通讯 时,报文的转发过滤可以在虚拟交换机所管理的防火墙虚拟机中进行,而无需再通过数据 中心内部网络与外部网络之间部署的集中防火墙,数据中心内部网络的扩容不再受到集中 防火墙流量转发能力的限制,提高了数据中心业务扩展时的灵活性。
[0248]图10是本发明实施例提供的另一种计算机设备的结构示意图,如图10所示,该计 算机设备包括至少一个处理器1001 (例如CPU),至少一个网络接口 1002或者其他通信接口, 存储器1003,和至少一个通信总线1004,用于实现这些器件之间的连接通信。处理器1001用 于执行存储器1003中存储的可执行模块,例如计算机执行指令。存储器1003可能包含高速 随机存取存储器(RAM:Random Access Memory),也可能还包括非不稳定的存储器(nonvolatile memory) ,例如至少一个磁盘存储器。通过至少一个网络接口 1002( 可以是有线或 者无线)实现该计算机设备与至少一个其他网元之间的通信连接,可以使用互联网,广域 网,本地网,城域网等。在一些实施方式中,存储器1003存储了计算机执行指令10031,处理 器1001可以执行该计算机执行指令10031来实现防火墙虚拟机,并使得该防火墙虚拟机执 行下述报文过滤方法:
[0249]接收该SDN控制模块发送的流表规则,该流表规则是该SDN控制模块根据数据中心 管理模块发送的租户配置信息为第一租户配置的,该租户配置信息包括:至少一个租户标 识,以及每个该租户标识对应的虚拟机标识和租用指示信息,该租用指示信息用于指示该 租户标识指定的租户是否租用防火墙服务,该第一租户为该租用指示信息指示租用了防火 墙服务的租户标识所指示的租户;
[0250] 接收该第一虚拟交换机发送的报文,该报文是指与该第一业务虚拟机交互的报 文;
[0251] 根据预设的防火墙安全策略,对该报文进行安全过滤;
[0252] 根据该流表规则,将通过安全过滤后的该报文转发至该第一虚拟交换机,以便该 第一虚拟交换机根据该流表规则对通过安全过滤后的该报文进行转发。
[0253] 可选的,防火墙虚拟机在该接收该第一虚拟交换机发送的报文之前,还可以接收 该SDN控制模块发送的预设的防火墙安全策略。
[0254] 防火墙虚拟机在该接收SDN控制模块发送的流表规则之后,还可以周期性地向该 SDN控制模块上报该防火墙虚拟机中存储的该第一虚拟交换机管理的业务虚拟机的握手信 息。
[0255] 综上所述,本发明实施例提供的计算机设备,该设备在接收到SDN控制模块发送的 流表规则后,可以根据该流表规则将安全过滤后的报文转发至第一虚拟交换机,以便该第 一虚拟交换机根据该流表规则对通过安全过滤后的该报文进行转发。因此,数据中心内部 的业务虚拟机之间通讯时,报文的转发过滤可以在虚拟交换机所管理的防火墙虚拟机中进 行,而无需再通过数据中心内部网络与外部网络之间部署的集中防火墙,因此数据中心内 部网络的扩容不再受到集中防火墙流量转发能力的限制,提高了数据中心业务扩展时的灵 活性。
[0256] 图11是本发明实施例提供的又一种计算机设备的结构示意图,如图11所示,该计 算机设备包括至少一个处理器1101(例如CPU),至少一个网络接口 1102或者其他通信接口, 存储器1103,和至少一个通信总线1104,用于实现这些内部器件之间的连接通信。处理器 1101用于执行存储器1103中存储的可执行模块,例如计算机执行指令。存储器1103可能包 含高速随机存取存储器0^^:1^11(1〇11^〇〇6 8 3 16111〇巧),也可能还包括非不稳定的存储器 (non-volatile memory),例如至少一个磁盘存储器。通过至少一个网络接口 1102(可以是 有线或者无线)实现该计算机设备与至少一个其他网元之间的通信连接,可以使用互联网, 广域网,本地网,城域网等。在一些实施方式中,存储器1103存储了计算机执行指令11031, 处理器1101可以执行该计算机执行指令11031来实现第一虚拟交换机,并使得该第一虚拟 交换机执行下述报文过滤方法:
[0257] 接收SDN控制模块发送的流表规则,该流表规则是该SDN控制模块根据数据中心管 理模块发送的租户配置信息为第一租户配置的,该租户配置信息包括:至少一个租户标识, 以及每个该租户标识对应的虚拟机标识和租用指示信息,该租用指示信息用于指示该租户 标识指定的租户是否租用防火墙服务,该第一租户为该租用指示信息指示租用了防火墙服 务的租户标识所指示的租户;
[0258] 根据该流表规则,将与该第一业务虚拟机交互的报文,先转发至该第一虚拟交换 机管理的防火墙虚拟机,以便于该防火墙虚拟机根据预设的防火墙安全策略,对该报文进 行安全过滤,该第一业务虚拟机为该第一租户的标识对应的虚拟机标识所指示的虚拟机。
[0259] 可选的,第一虚拟交换机根据该流表规则,将与该第一业务虚拟机交互的报文,先 转发至该第一虚拟交换机管理的防火墙虚拟机的过程包括:
[0260] 判断该报文中的目的端口标识所指示的目的端口是否为该数据中心中的业务虚 拟机的端口;
[0261 ]当该目的端口为该数据中心中的业务虚拟机的端口时,第一虚拟交换机根据该流 表规则,将该报文转发至该第一虚拟交换机管理的防火墙虚拟机。
[0262] 可选地,当该目的端口不为该数据中心中的业务虚拟机的端口时,第一虚拟交换 机可以根据该流表规则,将该报文转发至数据中心内部网络与外部网络之间部署的集中防 火墙中,因此只有业务虚拟机访问外部网络时,业务虚拟机的报文才需要经过集中防火墙 进行安全过滤,降低了集中防火墙的流量压力。
[0263] 可选的,第一虚拟交换机根据该流表规则,将与该第一业务虚拟机交互的报文,先 转发至该第一虚拟交换机管理的防火墙虚拟机的过程包括:
[0264] 判断该报文中的源端口标识所指示的目的端口是否为该数据中心中的业务虚拟 机的端口;
[0265] 当该源端口为该数据中心中的业务虚拟机的端口时,第一虚拟交换机根据该流表 规则,将该报文转发至该第一虚拟交换机管理的防火墙虚拟机。
[0266] 可选的,第一虚拟交换机在该根据该流表规则,将与该第一业务虚拟机交互的报 文,先转发至该第一虚拟交换机管理的防火墙虚拟机之后,该方法还包括:接收该防火墙虚 拟机发送的通过安全过滤后的该报文;
[0267] 根据该流表规则,对通过安全过滤后的该报文进行转发。
[0268]综上所述,本发明实施例提供的计算机设备,该计算机设备接收到SDN控制模块发 送的流表规则后,可以根据该流表规则将与该第一业务虚拟机交互的报文先转发至该第一 虚拟交换机管理的防火墙虚拟机,以便于该防火墙虚拟机根据预设的防火墙安全策略,对 该报文进行安全过滤,因此,数据中心内部的业务虚拟机之间通讯时,报文的转发过滤可以 在虚拟交换机所管理的防火墙虚拟机中进行,而无需再通过数据中心内部网络与外部网络 之间部署的集中防火墙,因此数据中心内部网络的扩容不再受到传统集中防火墙流量转发 能力的限制,