本發(fā)明涉及虛擬化網(wǎng)絡(luò)設(shè)計
技術(shù)領(lǐng)域:
:����,更具體地說,涉及一種虛擬機(jī)的遷移控制方法及裝置����。
背景技術(shù):
::隨著云計算、SDN����、虛擬化等理念和技術(shù)的不斷成熟,云計算生產(chǎn)環(huán)境部署的規(guī)模也在不斷增長�����,在云計算環(huán)境中�����,承載業(yè)務(wù)的虛擬機(jī)安全控制顯得至關(guān)重要�����。在新型數(shù)據(jù)中心中����,業(yè)務(wù)主機(jī)是根據(jù)業(yè)務(wù)的需求以及當(dāng)前服務(wù)器的壓力而隨需漂移的���,對應(yīng)的在新型數(shù)據(jù)中心中虛擬機(jī)的安全策略也需要跟隨虛擬機(jī)進(jìn)行遷移,現(xiàn)有技術(shù)中通常是當(dāng)虛擬機(jī)進(jìn)行遷移時����,需要在虛擬機(jī)完成遷移后通過配置iptables的方式實(shí)現(xiàn)該遷移后虛擬機(jī)的安全策略的配置�,也就是說需要在虛擬機(jī)完成遷移后重新為該虛擬機(jī)實(shí)現(xiàn)安全策略的配置,這種虛擬機(jī)的遷移方式存在安全策略的配置工作較復(fù)雜且對應(yīng)工作量較大的問題����。綜上所述,現(xiàn)有技術(shù)中實(shí)現(xiàn)虛擬機(jī)的遷移方式存在安全策略的配置工作較復(fù)雜且對應(yīng)工作量較大的問題����。技術(shù)實(shí)現(xiàn)要素:本發(fā)明的目的是提供一種虛擬機(jī)的遷移控制方法及裝置,以解決現(xiàn)有技術(shù)中實(shí)現(xiàn)虛擬機(jī)的遷移方式存在的安全策略的配置工作較復(fù)雜且對應(yīng)工作量較大的問題����。為了實(shí)現(xiàn)上述目的,本發(fā)明提供如下技術(shù)方案:一種虛擬機(jī)的遷移控制方法���,包括:當(dāng)虛擬機(jī)需要遷移至目標(biāo)虛擬交換機(jī)下時�����,控制所述虛擬機(jī)在當(dāng)前對應(yīng)的源虛擬交換機(jī)下下線�,并將所述源虛擬交換機(jī)中存儲的流表刪除,所述流表為所述虛擬機(jī)啟動時基于綁定至該虛擬機(jī)對應(yīng)邏輯端口的安全策略生成的�����,所述安全策略為所述虛擬機(jī)的報文轉(zhuǎn)發(fā)策略���;控制所述虛擬機(jī)在所述目標(biāo)虛擬交換機(jī)下重新上線���,并確定與所述虛擬機(jī)對應(yīng)的邏輯端口,基于與所述邏輯端口綁定的安全策略生成對應(yīng)的流表并下發(fā)至所述目標(biāo)虛擬交換機(jī)���。優(yōu)選的����,基于所述安全策略生成對應(yīng)的流表�,包括:基于所述安全策略生成對應(yīng)的openflow流表。優(yōu)選的��,確定與所述虛擬機(jī)對應(yīng)的邏輯端口�,包括:獲取所述虛擬機(jī)的ID��,并確定具有與所述虛擬機(jī)的ID相同的ID的邏輯端口為與所述虛擬機(jī)對應(yīng)的邏輯端口����。優(yōu)選的�����,還包括:指示所述目標(biāo)虛擬交換機(jī)基于所述openflow流表控制所述虛擬機(jī)的報文轉(zhuǎn)發(fā)��。一種虛擬機(jī)的遷移控制裝置�,包括:下線模塊���,用于:當(dāng)虛擬機(jī)需要遷移至目標(biāo)虛擬交換機(jī)下時�,控制所述虛擬機(jī)在當(dāng)前對應(yīng)的源虛擬交換機(jī)下下線�����,并將所述源虛擬交換機(jī)中存儲的流表刪除���,所述流表為所述虛擬機(jī)啟動時基于綁定至該虛擬機(jī)對應(yīng)邏輯端口的安全策略生成的���,所述安全策略為所述虛擬機(jī)的報文轉(zhuǎn)發(fā)策略���;遷移模塊,用于:控制所述虛擬機(jī)在所述目標(biāo)虛擬交換機(jī)下重新上線����,并確定與所述虛擬機(jī)對應(yīng)的邏輯端口,基于與所述邏輯端口綁定的安全策略生成對應(yīng)的流表并下發(fā)至所述目標(biāo)虛擬交換機(jī)�����。優(yōu)選的��,所述遷移模塊包括:生成單元���,用于基于所述安全策略生成對應(yīng)的openflow流表�。優(yōu)選的�����,所述遷移模塊包括:確定單元���,用于獲取所述虛擬機(jī)的ID�,并確定具有與所述虛擬機(jī)的ID相同的ID的邏輯端口為與所述虛擬機(jī)對應(yīng)的邏輯端口���。優(yōu)選的��,還包括:指示模塊��,用于:指示所述目標(biāo)虛擬交換機(jī)基于所述openflow流表控制所述虛擬機(jī)的報文轉(zhuǎn)發(fā)��。本發(fā)明提供了一種虛擬機(jī)的遷移控制方法及裝置�,其中該方法包括:當(dāng)虛擬機(jī)需要遷移至目標(biāo)虛擬交換機(jī)下時,控制所述虛擬機(jī)在當(dāng)前對應(yīng)的源虛擬交換機(jī)下下線��,并將所述源虛擬交換機(jī)中存儲的流表刪除����,所述流表為所述虛擬機(jī)啟動時基于綁定至該虛擬機(jī)對應(yīng)邏輯端口的安全策略生成的,所述安全策略為所述虛擬機(jī)的報文轉(zhuǎn)發(fā)策略���;控制所述虛擬機(jī)在所述目標(biāo)虛擬交換機(jī)下重新上線,并確定與所述虛擬機(jī)對應(yīng)的邏輯端口�����,基于與所述邏輯端口綁定的安全策略生成對應(yīng)的流表并下發(fā)至所述目標(biāo)虛擬交換機(jī)�。本發(fā)明實(shí)施例提供的技術(shù)方案中,如果需要對虛擬機(jī)進(jìn)行遷移�,則只需控制虛擬機(jī)在當(dāng)前對應(yīng)的源虛擬交換機(jī)下下線��,刪除該源虛擬交換機(jī)中存儲的流表�,并控制虛擬機(jī)在目標(biāo)虛擬交換機(jī)下上線��,將流表下發(fā)至該目標(biāo)虛擬機(jī)中�,而流表是基于與虛擬機(jī)對應(yīng)的邏輯端口綁定的安全策略對應(yīng),由此無需像現(xiàn)有技術(shù)中一樣在虛擬機(jī)發(fā)生遷移時對其安全策略進(jìn)行重新配置�,而是通過邏輯端口綁定與虛擬機(jī)對應(yīng)的安全策略,進(jìn)而基于該安全策略生成控制虛擬機(jī)進(jìn)行報文轉(zhuǎn)發(fā)的流表后下發(fā)至對應(yīng)虛擬交換機(jī)中��,簡單易操作的同時大大降低了工作量��。附圖說明為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案�����,下面將對實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹�,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的實(shí)施例�,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動的前提下�,還可以根據(jù)提供的附圖獲得其他的附圖。圖1為本發(fā)明實(shí)施例提供的一種虛擬機(jī)的遷移控制方法的流程圖�;圖2為本發(fā)明實(shí)施例提供的一種虛擬機(jī)的遷移控制方法中遷移過程的網(wǎng)絡(luò)拓?fù)涫疽鈭D;圖3為本發(fā)明實(shí)施例提供的一種虛擬機(jī)的遷移控制裝置的結(jié)構(gòu)示意圖����。具體實(shí)施方式下面將結(jié)合本發(fā)明實(shí)施例中的附圖��,對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚�、完整地描述����,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例�,而不是全部的實(shí)施例?;诒景l(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實(shí)施例�,都屬于本發(fā)明保護(hù)的范圍。請參閱圖1�,其示出了本發(fā)明實(shí)施例提供的一種虛擬機(jī)的遷移控制方法的流程圖,可以包括以下步驟:S11:當(dāng)虛擬機(jī)需要遷移至目標(biāo)虛擬交換機(jī)下時����,控制虛擬機(jī)在當(dāng)前對應(yīng)的源虛擬交換機(jī)下下線�����,并將源虛擬交換機(jī)中存儲的流表刪除�,流表為虛擬機(jī)啟動時基于綁定至該虛擬機(jī)對應(yīng)邏輯端口的安全策略生成的�����,安全策略為虛擬機(jī)的報文轉(zhuǎn)發(fā)策略�����。需要說明的是���,當(dāng)虛擬機(jī)啟動時,感知到虛擬機(jī)的啟動事件�����,可以查找到預(yù)先創(chuàng)建的與虛擬機(jī)對應(yīng)的邏輯端口���,并將該邏輯端口與虛擬機(jī)對應(yīng)的安全策略進(jìn)行綁定��,其中���,安全策略為虛擬機(jī)的報文轉(zhuǎn)發(fā)策略;進(jìn)而生成與安全策略對應(yīng)的流表并將流表下發(fā)至虛擬機(jī)當(dāng)前對應(yīng)的源虛擬交換機(jī)上���,指示該源虛擬交換機(jī)對流表進(jìn)行存儲����,并基于該流表對虛擬機(jī)的報文轉(zhuǎn)發(fā)進(jìn)行監(jiān)視和控制。S12:控制虛擬機(jī)在目標(biāo)虛擬交換機(jī)下重新上線���,并確定與虛擬機(jī)對應(yīng)的邏輯端口��,基于與邏輯端口綁定的安全策略生成對應(yīng)的流表并下發(fā)至目標(biāo)虛擬交換機(jī)�。如圖2所示���,源虛擬交換機(jī)用虛擬交換機(jī)1表示�,目標(biāo)虛擬交換機(jī)用虛擬交換機(jī)2表示���,虛擬機(jī)用虛擬機(jī)1表示��,當(dāng)虛擬機(jī)1需要由虛擬交換機(jī)1下遷移至虛擬交換機(jī)2下時�,將虛擬交換機(jī)1中存儲的流表刪除����,并控制虛擬機(jī)1由虛擬交換機(jī)1下下線,并控制虛擬機(jī)1由虛擬交換機(jī)2下上線����,將與邏輯端口對應(yīng)的安全策略對應(yīng)流表下發(fā)至虛擬交換機(jī)2中。本發(fā)明實(shí)施例提供的技術(shù)方案中�,如果需要對虛擬機(jī)進(jìn)行遷移,則只需控制虛擬機(jī)在當(dāng)前對應(yīng)的源虛擬交換機(jī)下下線�,刪除該源虛擬交換機(jī)中存儲的流表,并控制虛擬機(jī)在目標(biāo)虛擬交換機(jī)下上線�����,將流表下發(fā)至該目標(biāo)虛擬機(jī)中��,而流表是基于與虛擬機(jī)對應(yīng)的邏輯端口綁定的安全策略對應(yīng)�,由此無需像現(xiàn)有技術(shù)中一樣在虛擬機(jī)發(fā)生遷移時對其安全策略進(jìn)行重新配置,而是通過邏輯端口綁定與虛擬機(jī)對應(yīng)的安全策略�,進(jìn)而基于該安全策略生成控制虛擬機(jī)進(jìn)行報文轉(zhuǎn)發(fā)的流表后下發(fā)至對應(yīng)虛擬交換機(jī)中,簡單易操作的同時大大降低了工作量���。本發(fā)明實(shí)施例提供的一種虛擬機(jī)的遷移控制方法�,基于安全策略生成對應(yīng)的流表���,可以包括:基于安全策略生成對應(yīng)的openflow流表��。本發(fā)明實(shí)施例中基于安全策略生成對應(yīng)的openflow流表���,以供對應(yīng)虛擬交換機(jī)基于該流表對應(yīng)的openflow標(biāo)準(zhǔn)協(xié)議��,利用其控制與轉(zhuǎn)發(fā)分離的特性����,指導(dǎo)虛擬機(jī)的報文轉(zhuǎn)發(fā)來實(shí)現(xiàn)其交換和路由功能���。需要說明的是�,openflow流表具有靈活和可擴(kuò)展性��,采用openflow流表指導(dǎo)虛擬機(jī)的報文轉(zhuǎn)發(fā)��,代替?zhèn)鹘y(tǒng)網(wǎng)絡(luò)通過配置iptables來實(shí)現(xiàn)過濾規(guī)則的方式��,能夠?qū)崿F(xiàn)邏輯端口安全的功能�,從而大大降低配置的復(fù)雜度,增加虛擬化網(wǎng)絡(luò)的靈活性和擴(kuò)展性�。另外需要說明的是,基于安全策略生成對應(yīng)的openflow流表與現(xiàn)有對應(yīng)技術(shù)方案的實(shí)現(xiàn)原理一致�,例如:在虛擬機(jī)的虛擬機(jī)端口2配置一條安全策略不允許廣播報文進(jìn)入該虛擬機(jī),對應(yīng)openfllow流表則為:cookie=0x6500001622d2ba����,duration=774.577s�,table=0���,n_packets=524�����,n_bytes=51352,priority=65535���,in_port=2�����,dl_dst=ff:ff:ff:ff:ff:ffactions=drop��。本發(fā)明實(shí)施例提供的一種虛擬機(jī)的遷移控制方法����,確定與虛擬機(jī)對應(yīng)的邏輯端口�����,可以包括:獲取虛擬機(jī)的ID���,并確定具有與虛擬機(jī)的ID相同的ID的邏輯端口為與虛擬機(jī)對應(yīng)的邏輯端口�。另外需要說明的是,邏輯端口是預(yù)先創(chuàng)建的�,每個邏輯端口均具有對應(yīng)的ID,且該ID與對應(yīng)虛擬機(jī)的ID保持一致�,因此在確定與虛擬機(jī)對應(yīng)的邏輯端口時,即為確定出與虛擬機(jī)的ID具有相同ID的邏輯端口�,由此能夠方便快捷的實(shí)現(xiàn)對應(yīng)邏輯端口的查詢與獲取。本發(fā)明實(shí)施例提供的一種虛擬機(jī)的遷移控制方法����,還可以包括:指示目標(biāo)虛擬交換機(jī)基于openflow流表控制虛擬機(jī)的報文轉(zhuǎn)發(fā)。目標(biāo)虛擬交換機(jī)基于openflow流表控制虛擬機(jī)的報文轉(zhuǎn)發(fā)與現(xiàn)有對應(yīng)技術(shù)方案的實(shí)現(xiàn)原理一致����,使用openflow流表可以非常容易的控制虛擬機(jī)的報文轉(zhuǎn)發(fā),例如用戶配置虛擬機(jī)的2號虛擬機(jī)端口不允許源ip為10.1.1.1的報文通過�����,則對應(yīng)的openflow流表如下���,對應(yīng)的action動作就是drop丟棄�,以達(dá)到流量控制目的:cookie=0x6500001622d2ba,duration=774.577s,table=0,n_packets=524,n_bytes=51352,priority=65535,in_port=2,nw_src=10.1.1.1,actions=drop����。又如openflow流表為:cookie=0x6500001622d2ba����,duration=774.577s���,table=0���,n_packets=524�,n_bytes=51352,priority=65535�����,in_port=2��,actions=output:1���,則目標(biāo)交換虛擬機(jī)則控制由虛擬機(jī)的2號虛擬機(jī)端口進(jìn)入的報文全部轉(zhuǎn)發(fā)到1號虛擬機(jī)端口���;等。通過使用openflow流表控制報文轉(zhuǎn)發(fā)��,使控制與轉(zhuǎn)發(fā)分離,可以簡單����、高效的指導(dǎo)報文轉(zhuǎn)發(fā),符合云計算基礎(chǔ)架構(gòu)設(shè)計理念��,控制面與轉(zhuǎn)發(fā)面解耦���,提高設(shè)計的靈活性��,并且可以根據(jù)報文特征下發(fā)流表轉(zhuǎn)發(fā)規(guī)則��,以提高設(shè)計的適用性����。本發(fā)明實(shí)施例還提供了一種虛擬機(jī)的遷移控制裝置��,如圖3所示����,可以包括:下線模塊11,用于:當(dāng)虛擬機(jī)需要遷移至目標(biāo)虛擬交換機(jī)下時����,控制虛擬機(jī)在當(dāng)前對應(yīng)的源虛擬交換機(jī)下下線��,并將源虛擬交換機(jī)中存儲的流表刪除�����,流表為虛擬機(jī)啟動時基于綁定至該虛擬機(jī)對應(yīng)邏輯端口的安全策略生成的��,安全策略為虛擬機(jī)的報文轉(zhuǎn)發(fā)策略���;遷移模塊12,用于:控制虛擬機(jī)在目標(biāo)虛擬交換機(jī)下重新上線�����,并確定與虛擬機(jī)對應(yīng)的邏輯端口���,基于與邏輯端口綁定的安全策略生成對應(yīng)的流表并下發(fā)至目標(biāo)虛擬交換機(jī)。本發(fā)明實(shí)施例提供的一種虛擬機(jī)的遷移控制裝置��,遷移模塊可以包括:生成單元�,用于基于安全策略生成對應(yīng)的openflow流表。本發(fā)明實(shí)施例提供的一種虛擬機(jī)的遷移控制裝置��,遷移模塊可以包括:確定單元�,用于獲取虛擬機(jī)的ID�,并確定具有與虛擬機(jī)的ID相同的ID的邏輯端口為與虛擬機(jī)對應(yīng)的邏輯端口�。本發(fā)明實(shí)施例提供的一種虛擬機(jī)的遷移控制裝置,還可以包括:指示模塊�,用于:指示所述目標(biāo)虛擬交換機(jī)基于所述openflow流表控制所述虛擬機(jī)的報文轉(zhuǎn)發(fā)。本發(fā)明實(shí)施例提供的一種虛擬機(jī)的遷移控制裝置中相關(guān)部分的說明請參見本發(fā)明實(shí)施例提供的一種虛擬機(jī)的遷移控制方法中對應(yīng)部分的詳細(xì)說明����,在此不再贅述。對所公開的實(shí)施例的上述說明����,使本領(lǐng)域技術(shù)人員能夠?qū)崿F(xiàn)或使用本發(fā)明。對這些實(shí)施例的多種修改對本領(lǐng)域技術(shù)人員來說將是顯而易見的���,本文中所定義的一般原理可以在不脫離本發(fā)明的精神或范圍的情況下����,在其它實(shí)施例中實(shí)現(xiàn)�����。因此�,本發(fā)明將不會被限制于本文所示的這些實(shí)施例,而是要符合與本文所公開的原理和新穎特點(diǎn)相一致的最寬的范圍。當(dāng)前第1頁1 2 3 當(dāng)前第1頁1 2 3