本申請公開了一種虛擬化場景下虛擬機熱遷移的數據加密方法及設備，包括：基于Kubernetes云原生架構，為一個節點Node配置多個應用實例Pod，并將虛擬機運行于Pod中；為任一節點配置一個代理應用實例AgentPod，以基于所述AgentPod管理所述任一節點的Pod和虛擬機；在虛擬機執行熱遷移的情況下，在源端節點的AgentPod和目標端節點的AgentPod分別臨時啟動一個Proxy代理，以使得源端節點的Proxy代理與目標端節點的Proxy代理之間通過預設通信方式進行交互，并在數據傳輸過程中實現加密。本申請的方法在kubernetes的場景下，虛擬機運行在Pod中，虛擬機熱遷移通過代理實現數據的傳輸，從而通過代理來實現虛擬機的熱遷移，支持自定義數據傳輸，支持多種靈活的加密方式。

技術領域

本申請涉及計算機技術領域，尤其涉及一種虛擬化場景下虛擬機熱遷移的數據加密方法及設備。

背景技術

虛擬機(Virtual Machine)指通過軟件模擬的具有完整硬件系統功能的、運行在一個完全隔離環境中的完整計算機系統。在實體計算機中能夠完成的工作在虛擬機中都能夠實現。在計算機中創建虛擬機時，需要將實體機的部分硬盤和內存容量作為虛擬機的硬盤和內存容量。每個虛擬機都有獨立的CMOS、硬盤和操作系統，可以像使用實體機一樣對虛擬機進行操作。

基于openstack搭建的虛擬化平臺上，虛擬機熱遷移加密有兩種方式：

方式一、利用libvirt加密

首先創建根證書、服務端證書、客戶端證書。

將根證書、服務端證書和客戶端證書拷貝到每個計算節點的固定目錄下。

修改/etc/libvirt/libvirtd.conf的配置，配置listen_tls＝1。

修改/etc/nova/nova.conf的配置，在libvirt的配置下live_migration_tunnelled＝true。

重啟nova服務和libvirtd。

方式二、利用qemu加密

首先創建根證書、服務端證書、客戶端證書。

將根證書、服務端證書和客戶端證書拷貝到每個計算節點的固定目錄下。

修改/etc/libvirt/qemu.conf配置，migrate_tls_x509_cert_dir＝/var/lib/nova/qemu，migrate_tls_x509_verify＝1。

修改/etc/nova/nova.conf的配置，#live_migration_tunnelled＝true//注釋或者刪除掉用libvirt加密，live_migration_with_native_tls＝true。

重啟nova服務。

現有的兩種方式的缺點：

1、支持的加密方式少，依賴libvirt模塊和qemu模塊支持的種類，而他們僅能支持TCP/TLS加密。

2、不能精細化控制，無法設置具體的虛機熱遷移時是加密傳輸還是非加密傳輸。

3、對開源代碼libvirt、qemu依賴，擴展性不好，例如無法支持國密。

發明內容

本申請實施例提供一種虛擬化場景下虛擬機熱遷移的數據加密方法及設備，用以實現在kubernetes的場景下，虛擬機熱遷移通過代理實現數據的傳輸。

本申請實施例提供一種虛擬化場景下虛擬機熱遷移的數據加密方法，包括：