一種云平臺虛擬化流量的監(jiān)控方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及虛擬機(jī)領(lǐng)域���,特別是涉及一種云平臺虛擬化流量的監(jiān)控方法及裝置���。
【背景技術(shù)】
[0002]虛擬機(jī)(Virtual Machine)是指通過軟件模擬的具有完整硬件系統(tǒng)功能的、運(yùn)行在一個完全隔離環(huán)境中的完整計算機(jī)系統(tǒng)���。每個虛擬機(jī)可以獨(dú)立運(yùn)行���,可以安裝各種軟件與應(yīng)用。由于虛擬機(jī)是一臺計算機(jī)虛擬化實(shí)現(xiàn)多臺計算機(jī)的功能�����,其整體性能也會被各個虛擬機(jī)所分配劃分,劃分虛擬機(jī)越多�����,各個虛擬機(jī)所分配的中央處理器CPU�、內(nèi)存、存儲空間資源也越少��,因此組件虛擬機(jī)要求計算機(jī)的配置越高越好���,通常應(yīng)用于服務(wù)器行業(yè)。
[0003]虛擬機(jī)在現(xiàn)實(shí)中的作用非常大�,尤其是在企業(yè)中的應(yīng)用非常廣泛。由于企業(yè)服務(wù)器通常配置很高�,在企業(yè)中為了滿足處理各種復(fù)雜業(yè)務(wù)的需求,通常會將一臺服務(wù)器劃分出具有各自獨(dú)立的網(wǎng)間協(xié)議IP地址的多個虛擬機(jī)�,并為不同部門分配不同數(shù)量的虛擬機(jī)以供各部門專用。每個虛擬機(jī)都可以使用自身分配的資源處理業(yè)務(wù)�����,還可以通過交換設(shè)備實(shí)現(xiàn)不同部門的虛擬機(jī)之間的數(shù)據(jù)傳送���。
[0004]在傳統(tǒng)的虛擬機(jī)使用過程中�����,發(fā)明人發(fā)現(xiàn):不同部門的虛擬機(jī)之間具有較高的數(shù)據(jù)隔離特性�,跨部門虛擬機(jī)之間的數(shù)據(jù)傳送很容易導(dǎo)致病毒文件或木馬文件在各個部門間的傳播,使企業(yè)網(wǎng)絡(luò)環(huán)境出現(xiàn)安全隱患�。
【發(fā)明內(nèi)容】
[0005]有鑒于此,本發(fā)明提出了一種云平臺虛擬化流量的監(jiān)控方法及裝置�����,主要目的在于解決跨部門虛擬機(jī)之間的數(shù)據(jù)傳送存在安全隱患的問題��。
[0006]依據(jù)本發(fā)明的第一個方面���,本發(fā)明提供了一種云平臺虛擬化流量的監(jiān)控方法����,包括:
[0007]獲取宿主機(jī)內(nèi)部虛擬機(jī)的分組信息���,宿主機(jī)內(nèi)包含至少兩個虛擬機(jī)分組����,每個虛擬機(jī)分組中至少包含一個虛擬機(jī);
[0008]監(jiān)測虛擬機(jī)之間的數(shù)據(jù)迀移��;
[0009]根據(jù)分組信息查找邊界數(shù)據(jù)����,邊界數(shù)據(jù)為不同分組中虛擬機(jī)之間所迀移的數(shù)據(jù);
[0010]將邊界數(shù)據(jù)牽弓I到防火墻中進(jìn)行過濾����。
[0011]依據(jù)本發(fā)明的第二個方面,本發(fā)明提供了一種云平臺虛擬化流量的監(jiān)控裝置����,該裝置通常位于交換設(shè)備中,包括:
[0012]獲取單元�,用于獲取宿主機(jī)內(nèi)部虛擬機(jī)的分組信息�����,宿主機(jī)內(nèi)包含至少兩個虛擬機(jī)分組�,每個虛擬機(jī)分組中至少包含一個虛擬機(jī);
[0013]監(jiān)測單元����,用于監(jiān)測虛擬機(jī)之間的數(shù)據(jù)迀移��;
[0014]查找單元���,用于根據(jù)獲取單元獲取的分組信息查找邊界數(shù)據(jù),邊界數(shù)據(jù)為不同分組中虛擬機(jī)之間所迀移的數(shù)據(jù)�����;
[0015]牽引單元�,用于將查找單元查找的邊界數(shù)據(jù)牽弓I到防火墻中進(jìn)行過濾。
[0016]借由上述技術(shù)方案��,本發(fā)明實(shí)施例提供的云平臺虛擬化流量的監(jiān)控方法及裝置�����,能夠監(jiān)測虛擬機(jī)之間的數(shù)據(jù)迀移�����,并根據(jù)獲取的宿主機(jī)內(nèi)部虛擬機(jī)的分組信息查找到不同分組中虛擬機(jī)之間所迀移的數(shù)據(jù)���,也就是邊界數(shù)據(jù)�����,并將邊界數(shù)據(jù)牽引到防火墻中進(jìn)行過濾�。與現(xiàn)有技術(shù)中由于不同分組或不同部門虛擬機(jī)之間具有較高的數(shù)據(jù)隔離特性,跨組或跨部門虛擬機(jī)之間的數(shù)據(jù)傳送很容易傳播病毒文件或木馬文件的缺點(diǎn)相比���,本發(fā)明通過對虛擬機(jī)之間的數(shù)據(jù)迀移進(jìn)行監(jiān)控�����,查找出跨組迀移的邊界數(shù)據(jù)�,對邊界數(shù)據(jù)進(jìn)行防火墻過濾��,有效保證跨組迀移的數(shù)據(jù)以及不同分組虛擬機(jī)的安全性�����。
[0017]上述說明僅是本發(fā)明技術(shù)方案的概述���,為了能夠更清楚了解本發(fā)明的技術(shù)手段,而可依照說明書的內(nèi)容予以實(shí)施���,并且為了讓本發(fā)明的上述和其它目的�、特征和優(yōu)點(diǎn)能夠更明顯易懂����,以下特舉本發(fā)明的【具體實(shí)施方式】����。
【附圖說明】
[0018]通過閱讀下文優(yōu)選實(shí)施方式的詳細(xì)描述�����,各種其他的優(yōu)點(diǎn)和益處對于本領(lǐng)域普通技術(shù)人員將變得清楚明了��。附圖僅用于示出優(yōu)選實(shí)施方式的目的�����,而并不認(rèn)為是對本發(fā)明的限制���。而且在整個附圖中�����,用相同的參考符號表示相同的部件��。在附圖中:
[0019]圖1示出了本發(fā)明實(shí)施例提供的一種云平臺虛擬化流量的監(jiān)控方法的流程圖�;
[0020]圖2示出了本發(fā)明實(shí)施例提供的一種云平臺虛擬化流量的監(jiān)控裝置的組成框圖;
[0021]圖3示出了本發(fā)明實(shí)施例提供的一種云平臺虛擬化流量的監(jiān)控裝置的組成框圖��;
[0022]圖4示出了本發(fā)明實(shí)施例提供的一種云平臺虛擬化流量的監(jiān)控裝置的組成框圖�����。
【具體實(shí)施方式】
[0023]下面將參照附圖更加詳細(xì)地描述本公開的示例性實(shí)施例�。雖然附圖中顯示了本公開的示例性實(shí)施例,然而應(yīng)當(dāng)理解��,可以以各種形式實(shí)現(xiàn)本公開而不應(yīng)被這里闡述的實(shí)施例所限制�。相反,提供這些實(shí)施例是為了能夠更透徹地理解本公開�����,并且能夠?qū)⒈竟_的范圍完整的傳達(dá)給本領(lǐng)域的技術(shù)人員���。
[0024]在企業(yè)中為了滿足處理各種復(fù)雜業(yè)務(wù)的需求�,通常會將一臺服務(wù)器劃分出具有各自獨(dú)立的網(wǎng)間協(xié)議IP地址的多個虛擬機(jī)���,并為不同部門分配不同數(shù)量的虛擬機(jī)以供各部門專用���。每個虛擬機(jī)都可以使用自身分配的資源處理業(yè)務(wù)�����,還可以通過交換設(shè)備實(shí)現(xiàn)不同部門的虛擬機(jī)之間的數(shù)據(jù)傳送。但是由于不同部門的虛擬機(jī)之間具有較高的數(shù)據(jù)隔離特性�,跨部門虛擬機(jī)之間的數(shù)據(jù)傳送很容易導(dǎo)致病毒文件或木馬文件在各個部門間的傳播,使企業(yè)網(wǎng)絡(luò)環(huán)境出現(xiàn)安全隱患�����。
[0025]為了解決跨部門虛擬機(jī)之間的數(shù)據(jù)傳送存在安全隱患的問題��,本發(fā)明實(shí)施例提供了一種云平臺虛擬化流量的監(jiān)控方法���,該方法主要用于交換設(shè)備一側(cè)�。如圖1所示�,該方法包括:
[0026]101、獲取宿主機(jī)內(nèi)部虛擬機(jī)的分組信息����。
[0027]通常宿主機(jī)的整體配置較高,為了滿足不同部門的業(yè)務(wù)需求����,往往會根據(jù)宿主機(jī)的CPU、內(nèi)存、硬盤資源在宿主機(jī)內(nèi)部劃分出多個虛擬機(jī)�,并為不同部門分配不同數(shù)量的虛擬機(jī)供其使用。宿主機(jī)內(nèi)部劃分的多個虛擬機(jī)具有各自獨(dú)立的IP地址以及各自所屬的分組標(biāo)記�,它們可以稱為分組信息。在本發(fā)明實(shí)施例對云平臺虛擬化流量的監(jiān)控過程中����,需要執(zhí)行步驟101獲取宿主機(jī)內(nèi)部虛擬機(jī)的分組信息。其中��,在本發(fā)明實(shí)施例中的宿主機(jī)包含至少兩個虛擬機(jī)分組���,每個虛擬機(jī)分組中至少包含一個虛擬機(jī)��。
[0028]102�、監(jiān)測虛擬機(jī)之間的數(shù)據(jù)迀移��。
[0029]在不同虛擬機(jī)之間的數(shù)據(jù)傳送過程中����,發(fā)送數(shù)據(jù)的虛擬機(jī)稱為源虛擬機(jī),接收數(shù)據(jù)的虛擬機(jī)稱為目標(biāo)虛擬機(jī)�,源虛擬機(jī)發(fā)送的數(shù)據(jù)需要通過交換設(shè)備識別后才能轉(zhuǎn)發(fā)給目標(biāo)虛擬機(jī)。本實(shí)施例中的步驟102監(jiān)測虛擬機(jī)之間的數(shù)據(jù)迀移的過程在本質(zhì)上就是通過交換設(shè)備獲取到發(fā)送數(shù)據(jù)的源虛擬機(jī)和接收數(shù)據(jù)的目標(biāo)虛擬機(jī)的過程����。
[0030]103�、根據(jù)分組信息查找邊界數(shù)據(jù)���。
[0031]在實(shí)際數(shù)據(jù)傳送的過程中,同一部門的虛擬機(jī)之間可以進(jìn)行數(shù)據(jù)傳送�����,不同部門的虛擬機(jī)之間也可以進(jìn)行傳送�����。但是基于不同部門的虛擬機(jī)之間具有較高的數(shù)據(jù)隔離特性��,因此對不同部門的虛擬機(jī)之間傳送的數(shù)據(jù)具有較高的安全性要求�。在本發(fā)明實(shí)施例中將不同分組的虛擬機(jī)之間傳送的數(shù)據(jù)定義為邊界數(shù)據(jù)。在本實(shí)施例的步驟103中需要根據(jù)獲取的宿主機(jī)內(nèi)部虛擬機(jī)的分組信息����,從各個虛擬機(jī)之間傳送的數(shù)據(jù)中查找到邊界數(shù)據(jù),通常對這些邊界數(shù)據(jù)具有較高的安全性要求��。
[0032]104���、將邊界數(shù)據(jù)牽引到防火墻中進(jìn)行過濾�����。
[0033]當(dāng)在步驟103中獲取到邊界數(shù)據(jù)后����,將邊界數(shù)據(jù)牽引到防火墻中進(jìn)行過濾,避免存在安全隱患的數(shù)據(jù)跨部門傳送��。
[0034]本發(fā)明實(shí)施