技術領域

本發明涉及一種云計算技術領域的方法，具體涉及一種基于策略感知的虛擬機遷移方法。

背景技術

隨著云計算的優勢得到越來越多的企業和用戶的認可，如何將企業應用或用戶程序遷移到云計算平臺中去以及如何實現已有云平臺中動態資源調度逐漸成為研究熱點。一方面，相關統計數據表明，超過70％的企業決策者認為將傳統應用進行云遷移是解決企業數據中心隨著業務種類日益增多導致的管理困難問題的有效途徑。另一方面，為了增加已有云平臺中應用部署的靈活性，動態資源調度是提供云計算彈性資源供給的必要前提。無論是將應用進行云遷移還是實現動態資源調度，均涉及到虛擬機在線遷移問題。由于大量應用對性能、時延、在線服務時間等要求非常嚴格，且已有大多數分布式、結構化應用系統的安全策略(如負載均衡、應用加速、防火墻、入侵檢測等)已經配置到底層物理設備上，因此實現這些應用虛擬機的熱遷移不僅有服務中斷時長問題，而且還存在如何保證遷移前后的安全策略還能保持一致的問題。缺少對策略感知的虛擬機熱遷移將導致嚴重的策略違反和安全漏洞。

互聯網業界和學術研究領域提出了部分解決辦法，比如VMWare公司提出了虛擬服務域的概念，允許一組虛擬機通過一臺虛擬備設進行安全防護，虛擬機組所有數據傳輸都將發往該虛擬安全防護設備進行策略檢查，從而避免熱遷移導致的安全問題。由于引入了虛擬設備作為一組虛擬機數據傳輸的出口，該設備可能會成為傳輸的瓶頸。Voltaire公司的一款數據中心交換機也實現了對端口策略遷移的支持。上述方法均在虛擬機的第一跳實現，可以歸為終端策略一類。事實上，許多策略分散在網絡中，例如，入侵檢測和防火墻往往部署在整個網絡的出入口，適用于所有網絡中的應用，而不僅僅是在某個應用的某個虛擬機的下一跳。可見，當進行這些傳統應用的云遷移或虛擬機熱遷移時，已有的方法并不適用。

發明內容

為了克服上述現有技術的缺陷，本發明提供了一種基于策略感知的虛擬機遷移方法。

為了實現上述發明目的，本發明采取如下技術方案：

一種基于策略感知的虛擬機遷移方法，其改進之處在于：所述方法包括以下步驟：

I、確定安全策略的中間件；

II、確定前端服務器和后端服務器的資源需求和配置需求；

III、構建flow安全圖；

IV、生成可達矩陣；

V、增加策略映射函數，實現虛擬機遷移IP地址變更后的安全策略轉換；

VI、虛擬機遷移。

進一步的，所述中間件包括骨干路由器、防火墻安全規則、負載均衡策略、入侵檢測規則和接入路由器。

進一步的，所述資源需求包括計算資源、中間件和網絡帶寬，所述配置需求包括允許的服務項。

進一步的，所述步驟III包括：以云服務器節點為頂點，以所述云服務器節點之間的實際連接為邊，構造flow安全圖；標識所述云服務器節點的資源需求和配置要求二元組。

進一步的，所述步驟IV包括：根據所述flow安全圖所示的訪問路徑，確定所述可達矩陣的單元的內容。

進一步的，確定所述可達矩陣的單元的內容包括：判斷所述flow安全圖是否存在安全策略節點，若所述flow安全圖無安全策略節點，則所述可達矩陣中相應單元為空，表示兩個網絡實體之間完全可達；若所述flow安全圖上有多個安全策略，則所述可達矩陣中相應單元為多個安全策略取交集。

進一步的，所述步驟VI包括：

S601、提取虛擬機遷移前的可達矩陣；

S602、通過分割所述可達矩陣過濾遷移后的所述虛擬機和未遷移的所述虛擬機的通信流量；

S603、通過多項式算法確定遷移后的安全圖的最小割，確定安全策略的流量過濾范圍，獲得遷移后虛擬機的可達矩陣；

S604、更新flow安全圖，獲得遷移后包含遷移虛擬機和未遷移虛擬機在內的flow安全圖。

進一步的，所述步驟S602中，所述虛擬機的遷移包括本地遷移和跨域遷移，過濾方法包括：

當為本地遷移時，遷移后的所述虛擬機和未遷移的所述虛擬機之間依然為本地通信，可達矩陣未發生變化；當為跨域遷移，遷移后的所述虛擬機與未遷移的所述虛擬機之間通過互聯網進行通信，所述虛擬機遷移到另一個管理域中后為區分本地流量和異地流量，對可達矩陣單元進行區分。

與現有技術相比，本發明的有益效果在于：

1、本發明的方法提出了一種基于策略感知的虛擬機遷移方法，通過虛擬機遷移過程中加入安全策略遷移感知機制，實現虛擬機遷移前后的策略一致性，避免虛擬機遷移導致的策略違反和安全漏洞。