本發(fā)明實施例涉及通信領(lǐng)域,尤其涉及一種虛擬機異常的監(jiān)測方法和裝置。
背景技術(shù):
隨著云計算的興起,云服務(wù)在企業(yè)中開始得到越來越多實際應(yīng)用。云服務(wù)呈現(xiàn)一個棧式結(jié)構(gòu),自上而下依次為應(yīng)用服務(wù)(Software as a Service,簡稱SaaS)、平臺服務(wù)(Platform as a Service,簡稱PaaS)、基礎(chǔ)設(shè)施服務(wù)(Infrastructure as a Service,簡稱IaaS)。OpenStack作為一種IaaS組件,為云計算基礎(chǔ)設(shè)施服務(wù)提供解決方案,例如采用OpenStack的企業(yè)私有云操作系統(tǒng),操作系統(tǒng)的數(shù)據(jù)可能分布在數(shù)百個相互連接的計算機、存儲設(shè)備和其他物理機上,當操作系統(tǒng)接收到用戶創(chuàng)建子網(wǎng)或虛擬機(Virtual Machine,簡稱VM)的指令時,OpenStack會將該指令下發(fā)至物理機,并更新相應(yīng)的記錄,物理機上的虛擬機管理器(hypervisor)在物理機上完成創(chuàng)建虛擬機的操作,并將創(chuàng)建結(jié)果反饋至OpenStack。但是若物理機未收到OpenStack下發(fā)的任何指令,而直接在物理機上進行的任何操作都不會反饋至OpenStack。若物理機遭受外部攻擊導(dǎo)致虛擬機出現(xiàn)異常情況,例如在物理機上非法創(chuàng)建或刪除虛擬機、篡改已有正常虛擬機的虛擬局域網(wǎng)(Virtual Local Area Network,簡稱VLAN)標簽,或通過篡改物理服務(wù)器上VLAN與虛擬可擴展局域網(wǎng)(Virtual Extensible Local Area Network,簡稱VxLAN)的對應(yīng)關(guān)系而將某一臺或幾臺虛擬機移動到另外一個網(wǎng)絡(luò)等,而OpenStack無法感知到虛擬機出現(xiàn)的異常,從而造成安全隱患,例如數(shù)據(jù)丟失、占用運算資源等。通常采用分析日志文件的方式進行異常實體的檢測,由于外部攻擊物理機而導(dǎo)致的虛擬機的異常,并不會反饋至OpenStack,所以在OpenStack上的日志文件并沒有記錄,所以并不能準確檢測到是否存在異常虛擬機。
在計算機網(wǎng)絡(luò)中,每一個子網(wǎng)可以劃分為多個不同的VLAN,一個VLAN就是一個廣播域,不同的廣播域是相互隔離的。現(xiàn)有技術(shù)中,采用PING整個子網(wǎng)的方式檢測網(wǎng)絡(luò)中的異常實體,如圖1所示,在一個IP為192.168.1.0/24的子網(wǎng)100中有一臺物理機101,物理機101上創(chuàng)建虛擬機104、虛擬機105、虛擬機106和虛擬機107等,將虛擬機104和虛擬機105放入至虛擬局域網(wǎng)一102中,將虛擬機106和虛擬機107放入至虛擬局域網(wǎng)二103中。在子網(wǎng)100中至少有一個交換機,用于執(zhí)行PING命令,如果交換機在虛擬局域網(wǎng)102中,向虛擬機104和虛擬機105發(fā)送ARP請求,獲取虛擬機104和虛擬機105的MAC地址;由于虛擬局域網(wǎng)一102和虛擬局域網(wǎng)二103是相互隔離的,處于虛擬局域網(wǎng)二103中的虛擬機106和虛擬機107收不到ARP請求,所以如果在虛擬局域網(wǎng)二103出現(xiàn)了異常虛擬機,OpenStack是檢測不出來的??梢?,現(xiàn)有技術(shù)中的方法無法準確的識別出異常虛擬機。
技術(shù)實現(xiàn)要素:
本發(fā)明實施例提供一種虛擬機異常的監(jiān)測方法和裝置,用以準確的識別出異常虛擬機。
本發(fā)明實施例提供了一種虛擬機異常的監(jiān)測方法,適用于包括至少一個物理服務(wù)器的網(wǎng)絡(luò)系統(tǒng),每個物理服務(wù)器上包括至少一個虛擬機,針對每個物理服務(wù)器,該方法包括:
從物理服務(wù)器上獲取第一映射關(guān)系;其中,第一映射關(guān)系中包括物理服務(wù)器上已建立的虛擬機的標識與物理服務(wù)器的標識之間的映射關(guān)系;從云計算管理平臺上獲取第二映射關(guān)系;其中,第二映射關(guān)系包括云計算管理平臺向物理服務(wù)器下發(fā)的創(chuàng)建虛擬機的指令所對應(yīng)的虛擬機的標識與物理服務(wù)器的標識之間的映射關(guān)系;在確定第一映射關(guān)系與第二映射關(guān)系不同時,確定虛擬機存在異常。
可選地,第一映射關(guān)系還包括物理服務(wù)器上已建立的虛擬機的標識與虛擬機所屬的虛擬局域網(wǎng)的標識之間的映射關(guān)系;第二映射關(guān)系中還包括云計算管理平臺向物理服務(wù)器下發(fā)的創(chuàng)建虛擬機的指令所對應(yīng)的虛擬機的標識與虛擬機所屬的虛擬局域網(wǎng)的標識之間的映射關(guān)系;
從物理服務(wù)器上獲取第一映射關(guān)系,包括:采集物理服務(wù)器的端口標識;根據(jù)確定出的物理服務(wù)器的端口標識所對應(yīng)的虛擬局域網(wǎng)的標識,確定出物理服務(wù)器包括的虛擬局域網(wǎng)的標識;獲取物理服務(wù)器中的虛擬機管理器數(shù)據(jù)表;其中,虛擬機管理器數(shù)據(jù)表中包括網(wǎng)絡(luò)系統(tǒng)中已建立的虛擬機的標識與虛擬機所屬的虛擬局域網(wǎng)的標識之間的映射關(guān)系;根據(jù)物理服務(wù)器包括的虛擬局域網(wǎng)的標識,從虛擬機管理器數(shù)據(jù)表中確定出物理服務(wù)器中包括的虛擬局域網(wǎng)的標識對應(yīng)的已建立的虛擬機的標識,得到物理服務(wù)器上已建立的虛擬機的標識與物理服務(wù)器的標識之間的映射關(guān)系;根據(jù)物理服務(wù)器上已建立的虛擬機的標識與物理服務(wù)器的標識之間的映射關(guān)系,以及物理服務(wù)器中包括的虛擬局域網(wǎng)的標識對應(yīng)的已建立的虛擬機的標識,得到第一映射關(guān)系。
可選地,第一映射關(guān)系還包括物理服務(wù)器上已建立的虛擬機的標識與虛擬可擴展局域網(wǎng)的標識之間的映射關(guān)系;第二映射關(guān)系中還包括物理服務(wù)器上已建立的虛擬機的標識與虛擬可擴展局域網(wǎng)的標識之間的映射關(guān)系;
根據(jù)物理服務(wù)器上已建立的虛擬機的標識與物理服務(wù)器之間的映射關(guān)系,以及物理服務(wù)器中包括的虛擬局域網(wǎng)的標識對應(yīng)的已建立的虛擬機的標識,得到所第一映射關(guān)系,包括:獲取物理服務(wù)器中的虛擬交換機的流規(guī)則配置表;其中,開源虛擬交換機的流規(guī)則配置表中包括物理服務(wù)器中包括的虛擬局域網(wǎng)的標識與虛擬可擴展局域網(wǎng)的標識的映射關(guān)系;根據(jù)確定出的物理服務(wù)器中包括的虛擬局域網(wǎng)的標識對應(yīng)的已建立的虛擬機的標識,以及虛擬交換機的流規(guī)則配置表,確定出物理服務(wù)器上已建立的虛擬機的標識與虛擬可擴展局域網(wǎng)的標識之間的映射關(guān)系;根據(jù)物理服務(wù)器上已建立的虛擬機的標識與物理服務(wù)器的標識之間的映射關(guān)系、物理服務(wù)器中包括的虛擬局域網(wǎng)的標識對應(yīng)的已建立的虛擬機的標識,以及物理服務(wù)器上已建立的虛擬機的標識與虛擬可擴展局域網(wǎng)的標識之間的映射關(guān)系,得到所第一映射關(guān)系。
可選地,確定第一映射關(guān)系與第二映射關(guān)系不同,包括:在確定至少存在一個虛擬機的標識滿足以下預(yù)設(shè)條件中的任一個或任多個時,確定第一映射關(guān)系與第二映射關(guān)系不同;其中,預(yù)設(shè)條件包括:該虛擬機的標識僅存在于第一映射關(guān)系中,或者僅存在于第二映射關(guān)系中;該虛擬機的標識存在于第一映射關(guān)系和第二映射關(guān)系中,該虛擬機的標識在第一映射關(guān)系中對應(yīng)的虛擬局域網(wǎng)的標識與在第二映射關(guān)系中對應(yīng)的虛擬局域網(wǎng)的標識不同;該虛擬機的標識存在于第一映射關(guān)系和第二映射關(guān)系中,該虛擬機的標識在第一映射關(guān)系中對應(yīng)的虛擬可擴展局域網(wǎng)的標識與在第二映射關(guān)系中對應(yīng)的虛擬可擴展局域網(wǎng)的標識不相同;該虛擬機的標識存在于第一映射關(guān)系和第二映射關(guān)系中,該虛擬機的標識在第一映射關(guān)系中對應(yīng)的物理服務(wù)器的標識與在第二映射關(guān)系中對應(yīng)的物理服務(wù)器的標識不同。
可選地,從物理服務(wù)器上獲取第一映射關(guān)系之前,還包括:對網(wǎng)絡(luò)系統(tǒng)中物理服務(wù)器上的虛擬機進行監(jiān)控,并確定物理服務(wù)器上的虛擬機發(fā)生變化;其中,虛擬機發(fā)生變化包括以下內(nèi)容中的任一項或任多項:虛擬機的創(chuàng)建、刪除、虛擬機對應(yīng)的虛擬局域網(wǎng)的標識的變更、虛擬機對應(yīng)的虛擬可擴展局域網(wǎng)的標識的變更、虛擬機對應(yīng)的物理服務(wù)器的標識的變更。
本發(fā)明實施例提供了一種用于監(jiān)測虛擬機異常的裝置,適用于包括至少一個物理服務(wù)器的網(wǎng)絡(luò)系統(tǒng),每個物理服務(wù)器上包括至少一個虛擬機;該裝置包括:獲取單元和處理單元;其中:
獲取單元,用于從物理服務(wù)器上獲取第一映射關(guān)系;其中,第一映射關(guān)系中包括物理服務(wù)器上已建立的虛擬機的標識與物理服務(wù)器的標識之間的映射關(guān)系;從云計算管理平臺上獲取第二映射關(guān)系;其中,第二映射關(guān)系包括云計算管理平臺向物理服務(wù)器下發(fā)的創(chuàng)建虛擬機的指令所對應(yīng)的虛擬機的標識與物理服務(wù)器的標識之間的映射關(guān)系;
處理單元,用于在確定第一映射關(guān)系與第二映射關(guān)系不同時,確定虛擬機存在異常。
可選地,第一映射關(guān)系還包括物理服務(wù)器上已建立的虛擬機的標識與虛擬機所屬的虛擬局域網(wǎng)的標識之間的映射關(guān)系;第二映射關(guān)系中還包括云計算管理平臺向物理服務(wù)器下發(fā)的創(chuàng)建虛擬機的指令所對應(yīng)的虛擬機的標識與虛擬機所屬的虛擬局域網(wǎng)的標識之間的映射關(guān)系。
獲取單元,用于:采集物理服務(wù)器的端口標識;獲取物理服務(wù)器中的虛擬機管理器數(shù)據(jù)表;其中,虛擬機管理器數(shù)據(jù)表中包括網(wǎng)絡(luò)系統(tǒng)中已建立的虛擬機的標識與虛擬機所屬的虛擬局域網(wǎng)的標識之間的映射關(guān)系。
處理單元,用于:根據(jù)確定出的物理服務(wù)器的端口標識所對應(yīng)的虛擬局域網(wǎng)的標識,確定出物理服務(wù)器包括的虛擬局域網(wǎng)的標識;根據(jù)物理服務(wù)器包括的虛擬局域網(wǎng)的標識,從虛擬機管理器數(shù)據(jù)表中確定出物理服務(wù)器中包括的虛擬局域網(wǎng)的標識對應(yīng)的已建立的虛擬機的標識,得到物理服務(wù)器上已建立的虛擬機的標識與物理服務(wù)器的標識之間的映射關(guān)系;根據(jù)物理服務(wù)器上已建立的虛擬機的標識與物理服務(wù)器的標識之間的映射關(guān)系,以及物理服務(wù)器中包括的虛擬局域網(wǎng)的標識對應(yīng)的已建立的虛擬機的標識,得到第一映射關(guān)系。
可選地,第一映射關(guān)系還包括物理服務(wù)器上已建立的虛擬機的標識與虛擬可擴展局域網(wǎng)的標識之間的映射關(guān)系;第二映射關(guān)系中還包括物理服務(wù)器上已建立的虛擬機的標識與虛擬可擴展局域網(wǎng)的標識之間的映射關(guān)系;獲取單元,用于:獲取物理服務(wù)器中的虛擬交換機的流規(guī)則配置表;其中,開源虛擬交換機的流規(guī)則配置表中包括物理服務(wù)器中包括的虛擬局域網(wǎng)的標識與虛擬可擴展局域網(wǎng)的標識的映射關(guān)系。
處理單元,用于:根據(jù)確定出的物理服務(wù)器中包括的虛擬局域網(wǎng)的標識對應(yīng)的已建立的虛擬機的標識,以及虛擬交換機的流規(guī)則配置表,確定出物理服務(wù)器上已建立的虛擬機的標識與虛擬可擴展局域網(wǎng)的標識之間的映射關(guān)系;根據(jù)物理服務(wù)器上已建立的虛擬機的標識與物理服務(wù)器的標識之間的映射關(guān)系、物理服務(wù)器中包括的虛擬局域網(wǎng)的標識對應(yīng)的已建立的虛擬機的標識,以及物理服務(wù)器上已建立的虛擬機的標識與虛擬可擴展局域網(wǎng)的標識之間的映射關(guān)系,得到所第一映射關(guān)系。
可選地,處理單元,用于:在確定至少存在一個虛擬機的標識滿足以下預(yù)設(shè)條件中的任一個或任多個時,確定第一映射關(guān)系與第二映射關(guān)系不同;其中,預(yù)設(shè)條件包括:該虛擬機的標識僅存在于第一映射關(guān)系中,或者僅存在于第二映射關(guān)系中;該虛擬機的標識存在于第一映射關(guān)系和第二映射關(guān)系中,該虛擬機的標識在第一映射關(guān)系中對應(yīng)的虛擬局域網(wǎng)的標識與在第二映射關(guān)系中對應(yīng)的虛擬局域網(wǎng)的標識不同;該虛擬機的標識存在于第一映射關(guān)系和第二映射關(guān)系中,該虛擬機的標識在第一映射關(guān)系中對應(yīng)的虛擬可擴展局域網(wǎng)的標識與在第二映射關(guān)系中對應(yīng)的虛擬可擴展局域網(wǎng)的標識不相同;該虛擬機的標識存在于第一映射關(guān)系和第二映射關(guān)系中,該虛擬機的標識在第一映射關(guān)系中對應(yīng)的物理服務(wù)器的標識與在第二映射關(guān)系中對應(yīng)的物理服務(wù)器的標識不同。
可選地,裝置還包括監(jiān)控單元;
監(jiān)控單元,用于:對網(wǎng)絡(luò)系統(tǒng)中物理服務(wù)器上的虛擬機進行監(jiān)控,并通過處理單元確定物理服務(wù)器上的虛擬機發(fā)生變化;其中,虛擬機發(fā)生變化包括以下內(nèi)容中的任一項或任多項:虛擬機的創(chuàng)建、刪除、虛擬機對應(yīng)的虛擬局域網(wǎng)的標識的變更、虛擬機對應(yīng)的虛擬可擴展局域網(wǎng)的標識的變更、虛擬機對應(yīng)的物理服務(wù)器的標識的變更。
本發(fā)明實施例中提供一種虛擬機異常的監(jiān)測方法,適用于包括至少一個物理服務(wù)器的網(wǎng)絡(luò)系統(tǒng),每個物理服務(wù)器上包括至少一個虛擬機,針對每個物理服務(wù)器,該方法包括:從物理服務(wù)器上獲取第一映射關(guān)系;其中,第一映射關(guān)系中包括物理服務(wù)器上已建立的虛擬機的標識與物理服務(wù)器的標識之間的映射關(guān)系;從云計算管理平臺上獲取第二映射關(guān)系;其中,第二映射關(guān)系包括云計算管理平臺向物理服務(wù)器下發(fā)的創(chuàng)建虛擬機的指令所對應(yīng)的虛擬機的標識與物理服務(wù)器的標識之間的映射關(guān)系;在確定第一映射關(guān)系與第二映射關(guān)系不同時,確定虛擬機存在異常。由于從物理服務(wù)器上獲取的第一映射關(guān)系和從云計算管理平臺上獲取的第二映射關(guān)系進行比較,若比較結(jié)果為不相同,則確定虛擬機存在異常,相比較于現(xiàn)有技術(shù)中只根據(jù)云計算管理平臺上記錄的虛擬機的狀態(tài)檢測虛擬機異常的方式,本方案的方法能夠準確的檢測出物理服務(wù)器上的異常虛擬機。
附圖說明
為了更清楚地說明本發(fā)明實施例中的技術(shù)方案,下面將對實施例描述中所需要使用的附圖作簡要介紹。
圖1為現(xiàn)有技術(shù)中網(wǎng)絡(luò)結(jié)構(gòu)示意圖;
圖2為本發(fā)明實施例提供的一種虛擬機異常的監(jiān)測系統(tǒng)架構(gòu)示意圖;
圖3為本發(fā)明實施例提供的一種虛擬機異常的監(jiān)測方法流程示意圖;
圖3a為本發(fā)明實施例提供的在另一種虛擬機異常的監(jiān)測方法流程示意圖;
圖4為本發(fā)明實施例提供的一種用于監(jiān)測虛擬機異常的裝置的結(jié)構(gòu)示意圖。
具體實施方式
為了使本發(fā)明的目的、技術(shù)方案及有益效果更加清楚明白,以下結(jié)合附圖及實施例,對本發(fā)明進行進一步詳細說明。應(yīng)當理解,此處所描述的具體實施例僅僅用以解釋本發(fā)明,并不用于限定本發(fā)明。
圖2示例性示出了本發(fā)明實施例適用的一種虛擬機異常的監(jiān)測系統(tǒng)架構(gòu)示意圖,包括至少一個物理服務(wù)器的網(wǎng)絡(luò)系統(tǒng),每個物理服務(wù)器上包括至少一個虛擬機,每個虛擬機和物理服務(wù)器上的端口連接,如圖2所示,該系統(tǒng)架構(gòu)2000包括物理服務(wù)器一2100、虛擬局域網(wǎng)2140、虛擬局域網(wǎng)2150、物理服務(wù)器二2200、虛擬局域網(wǎng)2240、虛擬局域網(wǎng)2250、虛擬可擴展局域網(wǎng)2300、用于虛擬機異常的監(jiān)測的裝置2400;可選地,用于虛擬機異常的監(jiān)測的裝置2400可連接每個物理服務(wù)器。
物理服務(wù)器一2100上包括端口2110、端口2120和hypervisor2130;物理服務(wù)器一2100上的端口2110連接虛擬機2111、虛擬機2112、虛擬機2113,端口2120連接虛擬機2121、虛擬機2122;端口2110處于虛擬局域網(wǎng)2140中,端口2120處于虛擬局域網(wǎng)2150中;hypervisor2130用于執(zhí)行在物理服務(wù)器一2100上創(chuàng)建虛擬機的操作。
物理服務(wù)器二2200上包括端口2210、端口2220和hypervisor2230;物理服務(wù)器二2200上的端口2210連接虛擬機2211,端口2220連接虛擬機2221、虛擬機2222;端口2210處于虛擬局域網(wǎng)2240中,端口2220處于虛擬局域網(wǎng)2250中;hypervisor2230用于執(zhí)行在物理服務(wù)器二2200上創(chuàng)建虛擬機的操作。
物理服務(wù)器一2100上的端口2120和物理服務(wù)器二2200上包括端口2210處于虛擬可擴展局域網(wǎng)2300。
圖3示例性示出了本發(fā)明實施例提供的一種虛擬機異常的監(jiān)測方法流程示意圖。
基于圖2所示的系統(tǒng)架構(gòu),如圖3所示,本發(fā)明實施例提供的一種虛擬機異常的監(jiān)測方法,適用于包括至少一個物理服務(wù)器的網(wǎng)絡(luò)系統(tǒng),每個物理服務(wù)器上包括至少一個虛擬機,針對每個物理服務(wù)器,方法包括以下步驟:
步驟S3001:用于監(jiān)測虛擬機異常的裝置從物理服務(wù)器上獲取第一映射關(guān)系;其中,第一映射關(guān)系中包括物理服務(wù)器上已建立的虛擬機的標識與物理服務(wù)器的標識之間的映射關(guān)系;
步驟S3002:用于監(jiān)測虛擬機異常的裝置從云計算管理平臺上獲取第二映射關(guān)系;其中,第二映射關(guān)系包括云計算管理平臺向物理服務(wù)器下發(fā)的創(chuàng)建虛擬機的指令所對應(yīng)的虛擬機的標識與物理服務(wù)器的標識之間的映射關(guān)系;
步驟S3003:用于監(jiān)測虛擬機異常的裝置在確定第一映射關(guān)系與第二映射關(guān)系不同時,確定虛擬機存在異常。
本發(fā)明實施例中,由于從物理服務(wù)器上獲取的第一映射關(guān)系,包括物理服務(wù)器上已建立的虛擬機的標識與物理服務(wù)器的標識之間的映射關(guān)系;從云計算管理平臺上獲取的第二映射關(guān)系,包括云計算管理平臺向物理服務(wù)器下發(fā)的創(chuàng)建虛擬機的指令所對應(yīng)的虛擬機的標識與物理服務(wù)器的標識之間的映射關(guān)系;將第一映射關(guān)系和第二映射關(guān)系進行比較,若比較結(jié)果為不相同,則確定虛擬機存在異常,相比較于現(xiàn)有技術(shù)中只根據(jù)云計算管理平臺上記錄的虛擬機的狀態(tài)檢測虛擬機異常的方式,本方案的方法能夠準確的檢測出物理服務(wù)器上的異常虛擬機。
可選地,云計算管理平臺的管理系統(tǒng)可以有多種,本發(fā)明實施例提供一種可選的管理系統(tǒng)OpenStack;云計算管理平臺通過管理系統(tǒng)向物理服務(wù)器下發(fā)創(chuàng)建虛擬機的指令時,會在管理系統(tǒng)中更新相應(yīng)的記錄,物理服務(wù)器接收到創(chuàng)建虛擬機的指令,會通過物理服務(wù)器上的hypervisor在物理服務(wù)器上完成創(chuàng)建虛擬機的操作,hypervisor將創(chuàng)建結(jié)果反饋至管理系統(tǒng),管理系統(tǒng)中記錄了管理系統(tǒng)向物理服務(wù)器下發(fā)創(chuàng)建虛擬機的指令所對應(yīng)的虛擬機的標識與物理服務(wù)器的標識之間的映射關(guān)系。但是,OpenStack僅作了由上而下的下發(fā)指令、以及由下而上的反饋指令執(zhí)行結(jié)果的過程,而物理服務(wù)器上未接收到OpenStack下發(fā)的指令而進行的任何操作都不會反饋至OpenStack。在OpenStack環(huán)境下,增刪虛擬機或子網(wǎng)等行為,最后都是通過接口調(diào)用相關(guān)組件在物理層面進行具體操作來完成的,這些操作并沒有對應(yīng)的日志記錄,因此傳統(tǒng)的依靠日志分析的方法在OpenStack環(huán)境下會存在較大疏漏。
可選地,物理服務(wù)器上已建立的虛擬機的標識,包括:管理系統(tǒng)向物理服務(wù)器下發(fā)創(chuàng)建虛擬機的指令所對應(yīng)的虛擬機的標識、物理服務(wù)器自行創(chuàng)建的虛擬機的標識、物理服務(wù)器遭受外部攻擊創(chuàng)建的虛擬機的標識等。
例如,云計算管理平臺通過管理系統(tǒng)向物理服務(wù)器一下發(fā)創(chuàng)建虛擬機的指令,通過hypervisor在物理服務(wù)器上創(chuàng)建了三臺虛擬機,分別為虛擬機一、虛擬機二、虛擬機三,其標識分別為:VM1、VM2、VM3,云計算管理平臺記錄的虛擬機的標識為VM1、VM2、VM3;物理服務(wù)器一的標識為PC1;若物理服務(wù)器遭受外部攻擊,通過hypervisor在物理機上又創(chuàng)建了兩臺虛擬機,分別為虛擬機四、虛擬機五,其標識分別為VM4、VM5;物理服務(wù)器遭受外部攻擊創(chuàng)建的兩臺虛擬機,并未將虛擬機四、虛擬機五反饋至云計算管理平臺,因此在云計算管理平臺上并未記錄。從物理服務(wù)器上獲取的第一映射關(guān)系包括VM1、VM2、VM3、VM4、VM5與PC1的映射關(guān)系;從云計算管理平臺上獲取的第二映射關(guān)系包括VM1、VM2、VM3與PC1的映射關(guān)系;第一映射關(guān)系與第二映射關(guān)系不同,因此,可以確定虛擬機異常。如此,本發(fā)明實施例提供的方法可以根據(jù)物理服務(wù)器上已建立的虛擬機的標識和管理系統(tǒng)向物理服務(wù)器下發(fā)創(chuàng)建虛擬機的指令所對應(yīng)的虛擬機的標識,檢測出物理服務(wù)器上自行創(chuàng)建的虛擬機的標識和物理服務(wù)器遭受外部攻擊創(chuàng)建的虛擬機的標識,從而檢測出在物理服務(wù)器上是否有增刪虛擬機的情況。
可選地,第一映射關(guān)系還包括物理服務(wù)器上已建立的虛擬機的標識與虛擬機所屬的VLAN的標識之間的映射關(guān)系;第二映射關(guān)系中還包括云計算管理平臺向物理服務(wù)器下發(fā)的創(chuàng)建虛擬機的指令所對應(yīng)的虛擬機的標識與虛擬機所屬的VLAN的標識之間的映射關(guān)系;從物理服務(wù)器上獲取第一映射關(guān)系,包括:采集物理服務(wù)器的端口標識;根據(jù)確定出的物理服務(wù)器的端口標識所對應(yīng)的VLAN的標識,確定出物理服務(wù)器包括的VLAN的標識;獲取物理服務(wù)器中的hypervisor數(shù)據(jù)表;其中,hypervisor數(shù)據(jù)表中包括網(wǎng)絡(luò)系統(tǒng)中已建立的虛擬機的標識與虛擬機所屬的VLAN的標識之間的映射關(guān)系;根據(jù)物理服務(wù)器包括的VLAN的標識,從hypervisor數(shù)據(jù)表中確定出物理服務(wù)器中包括的VLAN的標識對應(yīng)的已建立的虛擬機的標識,得到物理服務(wù)器上已建立的虛擬機的標識與物理服務(wù)器的標識之間的映射關(guān)系;根據(jù)物理服務(wù)器上已建立的虛擬機的標識與物理服務(wù)器的標識之間的映射關(guān)系,以及物理服務(wù)器中包括的VLAN的標識對應(yīng)的已建立的虛擬機的標識,得到所第一映射關(guān)系。
例如物理服務(wù)器一上有兩個端口,分別為端口一和端口二,端口一上連接虛擬機一、虛擬機二、虛擬機三,端口二連接虛擬機四、虛擬機五,端口一處于中,端口二處于虛擬局域網(wǎng)二。采集到端口一的標識和端口二的標識分別為Port1和Port2;根據(jù)Port1、Port2、Port1對應(yīng)的虛擬局域網(wǎng)一的標識VLAN1、Port2對應(yīng)的虛擬局域網(wǎng)二的標識VLAN2,確定出物理服務(wù)器一包括的VLAN的標識為VLAN1和VLAN2。
可選的,虛擬機管理器數(shù)據(jù)表為虛擬機管理器在物理服務(wù)器上創(chuàng)建虛擬機的相應(yīng)記錄,虛擬機管理器數(shù)據(jù)表包括虛擬局域網(wǎng)的標識和虛擬機的標識VM1、VM2、VM3、VM4、VM5之間的映射關(guān)系,其中,VLAN1對應(yīng)VM1、VM2、VM3,VLAN2對應(yīng)VM4、VM5;物理服務(wù)器一的標識為PC1;根據(jù)上述關(guān)系,可獲得第一映射關(guān)系:PC1對應(yīng)VLAN1和VLAN2,VLAN1對應(yīng)于VM1、VM2、VM3,VLAN2對應(yīng)VM4、VM5。
可選地,一個物理服務(wù)器為一個計算節(jié)點,本發(fā)明實施例中通過從計算節(jié)點上的采集端口信息,然后通過虛擬機管理器數(shù)據(jù)表進行映射查詢,獲得單個計算節(jié)點上的虛擬局域網(wǎng)與虛擬機的標識的對應(yīng)關(guān)系,得到第一映射關(guān)系。若出現(xiàn)篡改已有正常虛擬機所屬的虛擬局域網(wǎng)的情況,現(xiàn)有技術(shù)并不能檢測出這種情況下虛擬機的異常。本發(fā)明實施例通過第一映射關(guān)系與第二映射關(guān)系之間的比較結(jié)果,檢測出是否出現(xiàn)虛擬機所屬的虛擬局域網(wǎng)是否被篡改,若比較結(jié)果不相同,則確定出單個計算節(jié)點上的虛擬機存在異常。
可選地,第一映射關(guān)系還包括物理服務(wù)器上已建立的虛擬機的標識與VxLAN的標識之間的映射關(guān)系;第二映射關(guān)系中還包括物理服務(wù)器上已建立的虛擬機的標識與VxLAN的標識之間的映射關(guān)系;根據(jù)物理服務(wù)器上已建立的虛擬機的標識與物理服務(wù)器之間的映射關(guān)系,以及物理服務(wù)器中包括的VLAN的標識對應(yīng)的已建立的虛擬機的標識,得到所第一映射關(guān)系,包括:獲取物理服務(wù)器中的虛擬交換機的流規(guī)則配置表;其中虛擬交換機的流規(guī)則配置表中包括物理服務(wù)器中包括的VLAN的標識與VxLAN的標識的映射關(guān)系;根據(jù)確定出的物理服務(wù)器中包括的VLAN的標識對應(yīng)的已建立的虛擬機的標識,以及虛擬交換機的流規(guī)則配置表,確定出物理服務(wù)器上已建立的虛擬機的標識與VxLAN的標識之間的映射關(guān)系;根據(jù)物理服務(wù)器上已建立的虛擬機的標識與物理服務(wù)器的標識之間的映射關(guān)系、物理服務(wù)器中包括的VLAN的標識對應(yīng)的已建立的虛擬機的標識,以及物理服務(wù)器上已建立的虛擬機的標識與VxLAN的標識之間的映射關(guān)系,得到所第一映射關(guān)系。
可選地,每個物理服務(wù)器至少包括一個虛擬交換機,比如虛擬交換機為Open VSwitch,虛擬交換機上記錄的流規(guī)則配置表包括該物理服務(wù)器中包括的虛擬局域網(wǎng)的標識與虛擬可擴展局域網(wǎng)的標識的映射關(guān)系。例如有兩個物理服務(wù)器,分別為物理服務(wù)器一、物理服務(wù)器二;物理服務(wù)器一上有兩個端口,分別為端口一和端口二;端口一上連接虛擬機一、虛擬機二、虛擬機三,處于虛擬局域網(wǎng)一中;端口二連接虛擬機四、虛擬機五,端口二處于虛擬局域網(wǎng)二中;物理服務(wù)器二上有兩個端口,分別為端口三和端口四;端口三連接虛擬機六、虛擬機七,端口三處于虛擬局域網(wǎng)三中;端口四連接虛擬機八,端口四處于虛擬局域網(wǎng)四中;物理服務(wù)器一的端口一和物理服務(wù)器二的端口三處于虛擬可擴展局域網(wǎng)一中;物理服務(wù)器一的端口二和物理服務(wù)器二的端口四處于虛擬可擴展局域網(wǎng)二中。
物理服務(wù)器一上的虛擬交換機的流規(guī)則配置表包括虛擬局域網(wǎng)一的標識VLAN1和虛擬可擴展局域網(wǎng)一的標識VxLAN1的映射關(guān)系、以及虛擬局域網(wǎng)二的標識VLAN2和虛擬可擴展局域網(wǎng)二的標識VxLAN2的映射關(guān)系;物理服務(wù)器二上的虛擬交換機的流規(guī)則配置表包括虛擬局域網(wǎng)三的標識VLAN3和虛擬可擴展局域網(wǎng)一的標識VxLAN1的映射關(guān)系、以及虛擬局域網(wǎng)四的標識VLAN4和虛擬可擴展局域網(wǎng)二的標識VxLAN2的映射關(guān)系。
物理服務(wù)器一的標識為PC1,物理服務(wù)器一的標識PC1與物理服務(wù)器一上已建立的虛擬機一的標識VM1、虛擬機二的標識VM2、虛擬機三的標識VM3、虛擬機四的標識VM4、虛擬機五的標識VM5之間的映射關(guān)系為:PC1對應(yīng)于VM1、VM2、VM3、VM4、VM5;物理服務(wù)器一中包括的虛擬局域網(wǎng)一的標識VLAN1對應(yīng)的虛擬機一的標識VM1、虛擬機二的標識VM2、虛擬機三的標識VM3。物理服務(wù)器一中包括的虛擬局域網(wǎng)二的標識VLAN2對應(yīng)的虛擬機四的標識VM4、虛擬機五的標識VM5。
物理服務(wù)器二的標識為PC2,物理服務(wù)器二的標識PC2與物理服務(wù)器二上已建立的虛擬機六的標識VM6、虛擬機七的標識VM7、虛擬機八的標識VM8之間的映射關(guān)系為:PC2對應(yīng)于VM6、VM7、VM8;物理服務(wù)器二中包括的虛擬局域網(wǎng)三的標識VLAN3對應(yīng)的虛擬機六的標識VM6、虛擬機七的標識VM7。物理服務(wù)器二中包括的虛擬局域網(wǎng)四的標識VLAN4對應(yīng)的虛擬機八的標識VM8。
根據(jù)上述關(guān)系可以得到第一映射關(guān)系為:PC1對應(yīng)VLAN1和VLAN2,VLAN1對應(yīng)于VM1、VM2、VM3,VLAN2對應(yīng)VM4、VM5;PC2對應(yīng)VLAN3和VLAN4,VLAN3對應(yīng)VM6、VM7,VLAN4對應(yīng)VM8;VxLAN1對應(yīng)VLAN1和VLAN3,VxLAN2對應(yīng)VLAN2和VLAN4。如此,根據(jù)單個物理服務(wù)器上虛擬局域網(wǎng)的標識和虛擬可擴展局域網(wǎng)的標識之間的映射關(guān)系,可獲得網(wǎng)絡(luò)系統(tǒng)中所有的物理服務(wù)器上虛擬局域網(wǎng)的標識和虛擬可擴展局域網(wǎng)之間的映射關(guān)系。若出現(xiàn)篡改物理服務(wù)器上虛擬局域網(wǎng)的標識和虛擬可擴展局域網(wǎng)之間的對應(yīng)關(guān)系的情況,現(xiàn)有技術(shù)并不能檢測出這種情況下虛擬機的異常;本發(fā)明實施例通過網(wǎng)絡(luò)系統(tǒng)中所有的物理服務(wù)器上已建立的虛擬機的標識、物理服務(wù)器中包括的虛擬局域網(wǎng)的標識和虛擬可擴展局域網(wǎng)的標識之間的映射關(guān)系,檢測出虛擬機的異常。
可選地,確定第一映射關(guān)系與第二映射關(guān)系不同,包括:在確定至少存在一個虛擬機的標識滿足以下預(yù)設(shè)條件中的任一個或任多個時,確定第一映射關(guān)系與第二映射關(guān)系不同。其中,預(yù)設(shè)條件包括以下四個條件:
條件一:該虛擬機的標識僅存在于第一映射關(guān)系中,或者僅存在于第二映射關(guān)系中。例如,物理服務(wù)器一中創(chuàng)建了虛擬機一、虛擬機二、虛擬機三,虛擬機一的標識、虛擬機二的標識、虛擬機三的標識分別為VM1、VM2、VM3;第一映射關(guān)系中包括的虛擬機的標識為VM1、VM2、VM3,而第二映射關(guān)系中包括的虛擬機的標識為VM1、VM2,其中VM3僅存在于第一映射關(guān)系,因此物理服務(wù)器一中非法創(chuàng)建了虛擬機三,則確定虛擬機異常。
條件二:該虛擬機的標識存在于第一映射關(guān)系和第二映射關(guān)系中,該虛擬機的標識在第一映射關(guān)系中對應(yīng)的VLAN的標識與在第二映射關(guān)系中對應(yīng)的VLAN的標識不同。例如,物理服務(wù)器一中創(chuàng)建了虛擬機一、虛擬機二、虛擬機三,虛擬機一、虛擬機二、虛擬機三的標識分別為VM1、VM2、VM3;虛擬機一、虛擬機二處于虛擬局域網(wǎng)一中,虛擬機三處于虛擬局域網(wǎng)二中;第一映射關(guān)系中包括的虛擬機一的標識VM1和虛擬機二的標識VM2對應(yīng)虛擬局域網(wǎng)一的標識VLAN1,虛擬機三的標識VM3對應(yīng)虛擬局域網(wǎng)二的標識VLAN2;而第二映射關(guān)系中包括的虛擬機一的標識VM1對應(yīng)虛擬局域網(wǎng)一的標識VLAN1,虛擬機二的標識VM2和虛擬機三的標識VM3對應(yīng)虛擬局域網(wǎng)二的標識VLAN2;因此物理服務(wù)器一上的虛擬機二的標識VM2對應(yīng)的虛擬局域網(wǎng)的標識VLAN1和在云計算管理平臺中記錄的虛擬機二的標識VM2對應(yīng)的虛擬局域網(wǎng)的標識VLAN2不同,則確定虛擬機二異常。
條件三:該虛擬機的標識存在于第一映射關(guān)系和第二映射關(guān)系中,該虛擬機的標識在第一映射關(guān)系中對應(yīng)的VxLAN的標識與在第二映射關(guān)系中對應(yīng)的VxLAN的標識不相同。例如,物理服務(wù)器一中創(chuàng)建了虛擬機一、虛擬機二、虛擬機三,虛擬機一、虛擬機二、虛擬機三的標識分別為VM1、VM2、VM3;虛擬機一、虛擬機二處于虛擬可擴展局域網(wǎng)一中,虛擬機三處于虛擬可擴展局域網(wǎng)二中;第一映射關(guān)系中包括的虛擬機一的標識VM1和虛擬機二的標識VM2對應(yīng)虛擬可擴展局域網(wǎng)一VxLAN1,虛擬機三的標識VM3對應(yīng)虛擬可擴展局域網(wǎng)二VxLAN2;而第二映射關(guān)系中包括的虛擬機一的標識VM1對應(yīng)虛擬可擴展局域網(wǎng)一VxLAN1,虛擬機二的標識VM2和虛擬機三的標識VM3對應(yīng)虛擬可擴展局域網(wǎng)二VxLAN2;因此物理服務(wù)器一上的虛擬機二的標識VM2對應(yīng)的虛擬可擴展局域網(wǎng)的標識VxLAN1和在云計算管理平臺中記錄的虛擬機二的標識VM2對應(yīng)的虛擬可擴展局域網(wǎng)的標識VxLAN2不同,則確定虛擬機二異常。
條件四:該虛擬機的標識存在于第一映射關(guān)系和第二映射關(guān)系中,該虛擬機的標識在第一映射關(guān)系中對應(yīng)的物理服務(wù)器的標識與在第二映射關(guān)系中對應(yīng)的物理服務(wù)器的標識不同。例如,網(wǎng)絡(luò)系統(tǒng)中有兩個物理服務(wù)器,分別為物理服務(wù)器一和物理服務(wù)器二,物理服務(wù)器一中創(chuàng)建了虛擬機一、虛擬機二,虛擬機一的標識、虛擬機二的標識分別為VM1、VM2;物理服務(wù)器二中創(chuàng)建了虛擬機三,虛擬機三的標識VM3;第一映射關(guān)系中的虛擬機一的標識VM1和虛擬機二的標識VM2對應(yīng)物理服務(wù)器一的標識PC1,虛擬機三的標識VM3對應(yīng)物理服務(wù)器二的標識PC2;而第二映射關(guān)系中的虛擬機一的標識VM1對應(yīng)物理服務(wù)器一的標識PC1,虛擬機二的標識VM2和虛擬機三的標識VM3對應(yīng)物理服務(wù)器二的標識PC2;因此虛擬機二的標識在第一映射關(guān)系和第二映射關(guān)系對應(yīng)的物理服務(wù)器的標識不同,確定虛擬機二異常。
根據(jù)上述四個預(yù)設(shè)條件,判斷第一映射關(guān)系與第二映射關(guān)系是否相同,如此,可全面的檢測出云平臺可能出現(xiàn)的虛擬機異常的情況。
可選地,從物理服務(wù)器上獲取第一映射關(guān)系之前,還包括:對網(wǎng)絡(luò)系統(tǒng)中物理服務(wù)器上的虛擬機進行監(jiān)控,并確定物理服務(wù)器上的虛擬機發(fā)生變化;其中,虛擬機發(fā)生變化包括以下內(nèi)容中的任一項或任多項:虛擬機的創(chuàng)建、刪除、虛擬機對應(yīng)的VLAN的標識的變更、虛擬機對應(yīng)的VxLAN的標識的變更、虛擬機對應(yīng)的物理服務(wù)器的標識的變更。
本發(fā)明實施例中,采用事件觸發(fā)機制對網(wǎng)絡(luò)系統(tǒng)中物理服務(wù)器上的虛擬機進行監(jiān)控,只有當監(jiān)控到虛擬機發(fā)生變化才會開始后續(xù)操作,比如采集物理服務(wù)器的端口標識和獲取物理服務(wù)器中的虛擬交換機的流規(guī)則配置表等。如此,用于虛擬機異常的監(jiān)測的裝置不用每次都都全網(wǎng)收集所有的信息,僅在虛擬機發(fā)生變化時才收集變化的信息,從而避免了計算開銷和網(wǎng)絡(luò)開銷。同時,用于虛擬機異常的監(jiān)測的裝置通過從原有的OpenStack體系外讀取一些數(shù)據(jù),不介入OpenStack管理體系之中,因此是一種非入侵的方法,不會對原有的云管理系統(tǒng)以及流程產(chǎn)生影響。
為了更清楚的介紹上述方法流程,本發(fā)明實施例提供以下示例。
圖3a示例性示出了本發(fā)明實施例提供的另一種虛擬機異常的監(jiān)測方法流程示意圖,基于圖2所示的系統(tǒng)架構(gòu),如圖3a所示,該方法包括以下步驟:
步驟S3101:用于監(jiān)測虛擬機異常的裝置對網(wǎng)絡(luò)系統(tǒng)中物理服務(wù)器上的虛擬機進行監(jiān)控;
步驟S3102:用于監(jiān)測虛擬機異常的裝置確定物理服務(wù)器上的虛擬機是否發(fā)生變化;若是,則執(zhí)行步驟S3103;若否,則執(zhí)行步驟S3114;
步驟S3103:用于監(jiān)測虛擬機異常的裝置采集物理服務(wù)器的端口標識;
步驟S3104:用于監(jiān)測虛擬機異常的裝置根據(jù)確定出的物理服務(wù)器的端口標識所對應(yīng)的虛擬局域網(wǎng)的標識,確定出物理服務(wù)器包括的虛擬局域網(wǎng)的標識;
步驟S3105:用于監(jiān)測虛擬機異常的裝置獲取物理服務(wù)器中的虛擬機管理器數(shù)據(jù)表;
步驟S3106:用于監(jiān)測虛擬機異常的裝置根據(jù)物理服務(wù)器包括的虛擬局域網(wǎng)的標識,從虛擬機管理器數(shù)據(jù)表中確定出物理服務(wù)器中包括的虛擬局域網(wǎng)的標識對應(yīng)的已建立的虛擬機的標識,得到物理服務(wù)器上已建立的虛擬機的標識與物理服務(wù)器的標識之間的映射關(guān)系;
步驟S3107:用于監(jiān)測虛擬機異常的裝置獲取物理服務(wù)器中的開源虛擬交換機的流規(guī)則配置表;
步驟S3108:用于監(jiān)測虛擬機異常的裝置根據(jù)確定出的物理服務(wù)器中包括的虛擬局域網(wǎng)的標識對應(yīng)的已建立的虛擬機的標識,以及開源虛擬交換機的流規(guī)則配置表,確定出物理服務(wù)器上已建立的虛擬機的標識與虛擬可擴展局域網(wǎng)的標識之間的映射關(guān)系;
步驟S3109:用于監(jiān)測虛擬機異常的裝置根據(jù)物理服務(wù)器上已建立的虛擬機的標識與物理服務(wù)器的標識之間的映射關(guān)系、物理服務(wù)器中包括的虛擬局域網(wǎng)的標識對應(yīng)的已建立的虛擬機的標識,以及物理服務(wù)器上已建立的虛擬機的標識與虛擬可擴展局域網(wǎng)的標識之間的映射關(guān)系,得到第一映射關(guān)系。
步驟S3110:用于監(jiān)測虛擬機異常的裝置從云計算管理平臺上獲取第二映射關(guān)系;其中,第二映射關(guān)系包括云計算管理平臺向物理服務(wù)器下發(fā)的創(chuàng)建虛擬機的指令所對應(yīng)的虛擬機的標識與物理服務(wù)器的標識之間的映射關(guān)系;
步驟S3111:用于監(jiān)測虛擬機異常的裝置確定是否至少存在一個虛擬機的標識滿足預(yù)設(shè)條件中的任一個或任多個;若是,則執(zhí)行步驟S3112;若否,則執(zhí)行步驟S3114;
上述預(yù)設(shè)條件包括:該虛擬機的標識僅存在于第一映射關(guān)系中,或者僅存在于第二映射關(guān)系中;
該虛擬機的標識存在于第一映射關(guān)系和第二映射關(guān)系中,該虛擬機的標識在第一映射關(guān)系中對應(yīng)的虛擬局域網(wǎng)的標識與在第二映射關(guān)系中對應(yīng)的虛擬局域網(wǎng)的標識不同;
該虛擬機的標識存在于第一映射關(guān)系和第二映射關(guān)系中,該虛擬機的標識在第一映射關(guān)系中對應(yīng)的虛擬可擴展局域網(wǎng)的標識與在第二映射關(guān)系中對應(yīng)的虛擬可擴展局域網(wǎng)的標識不相同;
該虛擬機的標識存在于第一映射關(guān)系和第二映射關(guān)系中,該虛擬機的標識在第一映射關(guān)系中對應(yīng)的物理服務(wù)器的標識與在第二映射關(guān)系中對應(yīng)的物理服務(wù)器的標識不同。
步驟S3112:用于監(jiān)測虛擬機異常的裝置確定第一映射關(guān)系與第二映射關(guān)系不同;
步驟S3113:用于監(jiān)測虛擬機異常的裝置確定虛擬機存在異常。
步驟S3114:用于監(jiān)測虛擬機異常的裝置確定虛擬機不存在異常。
從上述內(nèi)容可以看出:本發(fā)明實施例中提供了一種虛擬機異常的監(jiān)測的方法,本發(fā)明實施例中提供一種虛擬機異常的監(jiān)測方法,適用于包括至少一個物理服務(wù)器的網(wǎng)絡(luò)系統(tǒng),每個物理服務(wù)器上包括至少一個虛擬機,針對每個物理服務(wù)器,該方法包括:從物理服務(wù)器上獲取第一映射關(guān)系;其中,第一映射關(guān)系中包括物理服務(wù)器上已建立的虛擬機的標識與物理服務(wù)器的標識之間的映射關(guān)系;從云計算管理平臺上獲取第二映射關(guān)系;其中,第二映射關(guān)系包括云計算管理平臺向物理服務(wù)器下發(fā)的創(chuàng)建虛擬機的指令所對應(yīng)的虛擬機的標識與物理服務(wù)器的標識之間的映射關(guān)系;在確定第一映射關(guān)系與第二映射關(guān)系不同時,確定虛擬機存在異常。由于從物理服務(wù)器上獲取的第一映射關(guān)系,包括物理服務(wù)器上已建立的虛擬機的標識與物理服務(wù)器的標識之間的映射關(guān)系;從云計算管理平臺上獲取的第二映射關(guān)系,包括云計算管理平臺向物理服務(wù)器下發(fā)的創(chuàng)建虛擬機的指令所對應(yīng)的虛擬機的標識與物理服務(wù)器的標識之間的映射關(guān)系;將第一映射關(guān)系和第二映射關(guān)系進行比較,若比較結(jié)果為不相同,則確定虛擬機存在異常,相比較于現(xiàn)有技術(shù)中只根據(jù)云計算管理平臺上記錄的虛擬機的狀態(tài)檢測虛擬機異常的方式,本方案的方法能夠準確的檢測出物理服務(wù)器上的異常虛擬機。
圖4示例性示出了本發(fā)明實施例提供的一種用于監(jiān)測虛擬機異常的裝置的結(jié)構(gòu)示意圖。
基于相同構(gòu)思,本發(fā)明實施例提供的一種用于監(jiān)測虛擬機異常的裝置,用于執(zhí)行上述方法流程,適用于包括至少一個物理服務(wù)器的網(wǎng)絡(luò)系統(tǒng),每個物理服務(wù)器上包括至少一個虛擬機;如圖4所示,該裝置400包括獲取單元401、處理單元402和監(jiān)控單元403;其中:
獲取單元401,用于從物理服務(wù)器上獲取第一映射關(guān)系;其中,第一映射關(guān)系中包括物理服務(wù)器上已建立的虛擬機的標識與物理服務(wù)器的標識之間的映射關(guān)系;從云計算管理平臺上獲取第二映射關(guān)系;其中,第二映射關(guān)系包括云計算管理平臺向物理服務(wù)器下發(fā)的創(chuàng)建虛擬機的指令所對應(yīng)的虛擬機的標識與物理服務(wù)器的標識之間的映射關(guān)系;
處理單元402,用于在確定第一映射關(guān)系與第二映射關(guān)系不同時,確定虛擬機存在異常。
可選地,第一映射關(guān)系還包括物理服務(wù)器上已建立的虛擬機的標識與虛擬機所屬的虛擬局域網(wǎng)的標識之間的映射關(guān)系;第二映射關(guān)系中還包括云計算管理平臺向物理服務(wù)器下發(fā)的創(chuàng)建虛擬機的指令所對應(yīng)的虛擬機的標識與虛擬機所屬的虛擬局域網(wǎng)的標識之間的映射關(guān)系;
獲取單元401,用于:采集物理服務(wù)器的端口標識;獲取物理服務(wù)器中的虛擬機管理器數(shù)據(jù)表;其中,虛擬機管理器數(shù)據(jù)表中包括網(wǎng)絡(luò)系統(tǒng)中已建立的虛擬機的標識與虛擬機所屬的虛擬局域網(wǎng)的標識之間的映射關(guān)系;
處理單元402,用于:根據(jù)確定出的物理服務(wù)器的端口標識所對應(yīng)的虛擬局域網(wǎng)的標識,確定出物理服務(wù)器包括的虛擬局域網(wǎng)的標識;根據(jù)物理服務(wù)器包括的虛擬局域網(wǎng)的標識,從虛擬機管理器數(shù)據(jù)表中確定出物理服務(wù)器中包括的虛擬局域網(wǎng)的標識對應(yīng)的已建立的虛擬機的標識,得到物理服務(wù)器上已建立的虛擬機的標識與物理服務(wù)器的標識之間的映射關(guān)系;根據(jù)物理服務(wù)器上已建立的虛擬機的標識與物理服務(wù)器的標識之間的映射關(guān)系,以及物理服務(wù)器中包括的虛擬局域網(wǎng)的標識對應(yīng)的已建立的虛擬機的標識,得到第一映射關(guān)系。
可選地,第一映射關(guān)系還包括物理服務(wù)器上已建立的虛擬機的標識與虛擬可擴展局域網(wǎng)的標識之間的映射關(guān)系;第二映射關(guān)系中還包括物理服務(wù)器上已建立的虛擬機的標識與虛擬可擴展局域網(wǎng)的標識之間的映射關(guān)系;
獲取單元401,用于:獲取物理服務(wù)器中的虛擬交換機的流規(guī)則配置表;其中,開源虛擬交換機的流規(guī)則配置表中包括物理服務(wù)器中包括的虛擬局域網(wǎng)的標識與虛擬可擴展局域網(wǎng)的標識的映射關(guān)系;
處理單元402,用于:根據(jù)確定出的物理服務(wù)器中包括的虛擬局域網(wǎng)的標識對應(yīng)的已建立的虛擬機的標識,以及虛擬交換機的流規(guī)則配置表,確定出物理服務(wù)器上已建立的虛擬機的標識與虛擬可擴展局域網(wǎng)的標識之間的映射關(guān)系;根據(jù)物理服務(wù)器上已建立的虛擬機的標識與物理服務(wù)器的標識之間的映射關(guān)系、物理服務(wù)器中包括的虛擬局域網(wǎng)的標識對應(yīng)的已建立的虛擬機的標識,以及物理服務(wù)器上已建立的虛擬機的標識與虛擬可擴展局域網(wǎng)的標識之間的映射關(guān)系,得到所第一映射關(guān)系。
可選地,處理單元402,用于:在確定至少存在一個虛擬機的標識滿足以下預(yù)設(shè)條件中的任一個或任多個時,確定第一映射關(guān)系與第二映射關(guān)系不同;其中,預(yù)設(shè)條件包括:該虛擬機的標識僅存在于第一映射關(guān)系中,或者僅存在于第二映射關(guān)系中;該虛擬機的標識存在于第一映射關(guān)系和第二映射關(guān)系中,該虛擬機的標識在第一映射關(guān)系中對應(yīng)的虛擬局域網(wǎng)的標識與在第二映射關(guān)系中對應(yīng)的虛擬局域網(wǎng)的標識不同;該虛擬機的標識存在于第一映射關(guān)系和第二映射關(guān)系中,該虛擬機的標識在第一映射關(guān)系中對應(yīng)的虛擬可擴展局域網(wǎng)的標識與在第二映射關(guān)系中對應(yīng)的虛擬可擴展局域網(wǎng)的標識不相同;該虛擬機的標識存在于第一映射關(guān)系和第二映射關(guān)系中,該虛擬機的標識在第一映射關(guān)系中對應(yīng)的物理服務(wù)器的標識與在第二映射關(guān)系中對應(yīng)的物理服務(wù)器的標識不同。
可選地,監(jiān)控單元403,用于:對網(wǎng)絡(luò)系統(tǒng)中物理服務(wù)器上的虛擬機進行監(jiān)控,并通過處理單元402確定物理服務(wù)器上的虛擬機發(fā)生變化;其中,虛擬機發(fā)生變化包括以下內(nèi)容中的任一項或任多項:虛擬機的創(chuàng)建、刪除、虛擬機對應(yīng)的虛擬局域網(wǎng)的標識的變更、虛擬機對應(yīng)的虛擬可擴展局域網(wǎng)的標識的變更、虛擬機對應(yīng)的物理服務(wù)器的標識的變更。
上述內(nèi)容可以看出:由于從物理服務(wù)器上獲取的第一映射關(guān)系,包括物理服務(wù)器上已建立的虛擬機的標識與物理服務(wù)器的標識之間的映射關(guān)系;從云計算管理平臺上獲取的第二映射關(guān)系,包括云計算管理平臺向物理服務(wù)器下發(fā)的創(chuàng)建虛擬機的指令所對應(yīng)的虛擬機的標識與物理服務(wù)器的標識之間的映射關(guān)系;將第一映射關(guān)系和第二映射關(guān)系進行比較,若比較結(jié)果為不相同,則確定虛擬機存在異常,相比較于現(xiàn)有技術(shù)中只根據(jù)云計算管理平臺上記錄的虛擬機的狀態(tài)檢測虛擬機異常的方式,本方案的方法能夠準確的檢測出物理服務(wù)器上的異常虛擬機。
本領(lǐng)域內(nèi)的技術(shù)人員應(yīng)明白,本發(fā)明的實施例可提供為方法、或計算機程序產(chǎn)品。因此,本發(fā)明可采用完全硬件實施例、完全軟件實施例、或結(jié)合軟件和硬件方面的實施例的形式。而且,本發(fā)明可采用在一個或多個其中包含有計算機可用程序代碼的計算機可用存儲介質(zhì)(包括但不限于磁盤存儲器、CD-ROM、光學(xué)存儲器等)上實施的計算機程序產(chǎn)品的形式。
本發(fā)明是參照根據(jù)本發(fā)明實施例的方法、設(shè)備(系統(tǒng))、和計算機程序產(chǎn)品的流程圖和/或方框圖來描述的。應(yīng)理解可由計算機程序指令實現(xiàn)流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合??商峁┻@些計算機程序指令到通用計算機、專用計算機、嵌入式處理機或其他可編程數(shù)據(jù)處理設(shè)備的處理器以產(chǎn)生一個機器,使得通過計算機或其他可編程數(shù)據(jù)處理設(shè)備的處理器執(zhí)行的指令產(chǎn)生用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的裝置。
這些計算機程序指令也可存儲在能引導(dǎo)計算機或其他可編程數(shù)據(jù)處理設(shè)備以特定方式工作的計算機可讀存儲器中,使得存儲在該計算機可讀存儲器中的指令產(chǎn)生包括指令裝置的制造品,該指令裝置實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能。
這些計算機程序指令也可裝載到計算機或其他可編程數(shù)據(jù)處理設(shè)備上,使得在計算機或其他可編程設(shè)備上執(zhí)行一系列操作步驟以產(chǎn)生計算機實現(xiàn)的處理,從而在計算機或其他可編程設(shè)備上執(zhí)行的指令提供用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的步驟。
盡管已描述了本發(fā)明的優(yōu)選實施例,但本領(lǐng)域內(nèi)的技術(shù)人員一旦得知了基本創(chuàng)造性概念,則可對這些實施例作出另外的變更和修改。所以,所附權(quán)利要求意欲解釋為包括優(yōu)選實施例以及落入本發(fā)明范圍的所有變更和修改。
顯然,本領(lǐng)域的技術(shù)人員可以對本發(fā)明進行各種改動和變型而不脫離本發(fā)明的精神和范圍。這樣,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi),則本發(fā)明也意圖包含這些改動和變型在內(nèi)。