[发明专利]一种基于策略感知的虚拟机迁移方法

说明书

技术领域

本发明涉及一种云计算技术领域的方法，具体涉及一种基于策略感知的虚拟机迁移方法。

背景技术

随着云计算的优势得到越来越多的企业和用户的认可，如何将企业应用或用户程序迁移到云计算平台中去以及如何实现已有云平台中动态资源调度逐渐成为研究热点。一方面，相关统计数据表明，超过70％的企业决策者认为将传统应用进行云迁移是解决企业数据中心随着业务种类日益增多导致的管理困难问题的有效途径。另一方面，为了增加已有云平台中应用部署的灵活性，动态资源调度是提供云计算弹性资源供给的必要前提。无论是将应用进行云迁移还是实现动态资源调度，均涉及到虚拟机在线迁移问题。由于大量应用对性能、时延、在线服务时间等要求非常严格，且已有大多数分布式、结构化应用系统的安全策略(如负载均衡、应用加速、防火墙、入侵检测等)已经配置到底层物理设备上，因此实现这些应用虚拟机的热迁移不仅有服务中断时长问题，而且还存在如何保证迁移前后的安全策略还能保持一致的问题。缺少对策略感知的虚拟机热迁移将导致严重的策略违反和安全漏洞。

互联网业界和学术研究领域提出了部分解决办法，比如VMWare公司提出了虚拟服务域的概念，允许一组虚拟机通过一台虚拟备设进行安全防护，虚拟机组所有数据传输都将发往该虚拟安全防护设备进行策略检查，从而避免热迁移导致的安全问题。由于引入了虚拟设备作为一组虚拟机数据传输的出口，该设备可能会成为传输的瓶颈。Voltaire公司的一款数据中心交换机也实现了对端口策略迁移的支持。上述方法均在虚拟机的第一跳实现，可以归为终端策略一类。事实上，许多策略分散在网络中，例如，入侵检测和防火墙往往部署在整个网络的出入口，适用于所有网络中的应用，而不仅仅是在某个应用的某个虚拟机的下一跳。可见，当进行这些传统应用的云迁移或虚拟机热迁移时，已有的方法并不适用。

发明内容

为了克服上述现有技术的缺陷，本发明提供了一种基于策略感知的虚拟机迁移方法。

为了实现上述发明目的，本发明采取如下技术方案：

一种基于策略感知的虚拟机迁移方法，其改进之处在于：所述方法包括以下步骤：

I、确定安全策略的中间件；

II、确定前端服务器和后端服务器的资源需求和配置需求；

III、构建flow安全图；

IV、生成可达矩阵；

V、增加策略映射函数，实现虚拟机迁移IP地址变更后的安全策略转换；

VI、虚拟机迁移。

进一步的，所述中间件包括骨干路由器、防火墙安全规则、负载均衡策略、入侵检测规则和接入路由器。

进一步的，所述资源需求包括计算资源、中间件和网络带宽，所述配置需求包括允许的服务项。

进一步的，所述步骤III包括：以云服务器节点为顶点，以所述云服务器节点之间的实际连接为边，构造flow安全图；标识所述云服务器节点的资源需求和配置要求二元组。

进一步的，所述步骤IV包括：根据所述flow安全图所示的访问路径，确定所述可达矩阵的单元的内容。

进一步的，确定所述可达矩阵的单元的内容包括：判断所述flow安全图是否存在安全策略节点，若所述flow安全图无安全策略节点，则所述可达矩阵中相应单元为空，表示两个网络实体之间完全可达；若所述flow安全图上有多个安全策略，则所述可达矩阵中相应单元为多个安全策略取交集。

进一步的，所述步骤VI包括：

S601、提取虚拟机迁移前的可达矩阵；

S602、通过分割所述可达矩阵过滤迁移后的所述虚拟机和未迁移的所述虚拟机的通信流量；

S603、通过多项式算法确定迁移后的安全图的最小割，确定安全策略的流量过滤范围，获得迁移后虚拟机的可达矩阵；

S604、更新flow安全图，获得迁移后包含迁移虚拟机和未迁移虚拟机在内的flow安全图。

进一步的，所述步骤S602中，所述虚拟机的迁移包括本地迁移和跨域迁移，过滤方法包括：

当为本地迁移时，迁移后的所述虚拟机和未迁移的所述虚拟机之间依然为本地通信，可达矩阵未发生变化；当为跨域迁移，迁移后的所述虚拟机与未迁移的所述虚拟机之间通过互联网进行通信，所述虚拟机迁移到另一个管理域中后为区分本地流量和异地流量，对可达矩阵单元进行区分。

与现有技术相比，本发明的有益效果在于：

1、本发明的方法提出了一种基于策略感知的虚拟机迁移方法，通过虚拟机迁移过程中加入安全策略迁移感知机制，实现虚拟机迁移前后的策略一致性，避免虚拟机迁移导致的策略违反和安全漏洞。