CN104113574A - 一种广域网可信虚拟机的安全迁移方法及系统 - Google Patents

一种广域网可信虚拟机的安全迁移方法及系统 Download PDF

Info

Publication number
CN104113574A
CN104113574A CN201310138440.9A CN201310138440A CN104113574A CN 104113574 A CN104113574 A CN 104113574A CN 201310138440 A CN201310138440 A CN 201310138440A CN 104113574 A CN104113574 A CN 104113574A
Authority
CN
China
Prior art keywords
vtpm
virtual machine
migration
data center
vpnclient
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201310138440.9A
Other languages
English (en)
Other versions
CN104113574B (zh
Inventor
杨坤
宋�莹
孙毓忠
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Zhongke Flux Technology Co ltd
Original Assignee
Institute of Computing Technology of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Computing Technology of CAS filed Critical Institute of Computing Technology of CAS
Priority to CN201310138440.9A priority Critical patent/CN104113574B/zh
Publication of CN104113574A publication Critical patent/CN104113574A/zh
Application granted granted Critical
Publication of CN104113574B publication Critical patent/CN104113574B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提供一种广域网可信虚拟机的安全迁移方法及系统,其中方法包括:S1,在广域网上部署两个数据中心,该两个数据中心之间建立两层桥接模式的虚拟专用网络;S2,将所述虚拟机镜像文件拆分为模板和用户私有数据,将每个数据中心的硬件资源虚拟化,以虚拟机的形式向用户提供服务;S3,在两个数据中心之间通过部署虚拟可信平台创建并启动支持vTPM的可信虚拟机,生成与该可信虚拟机绑定的vTPM实例,加载TPM驱动;S4,根据vTPM实例对源端和目的端进行配置后,在源端对可信虚拟机的内存、CPU状态、磁盘、vTPM状态进行迁移,并在目的端进行恢复,实现vTPM和虚拟机的同步迁移。

Description

一种广域网可信虚拟机的安全迁移方法及系统
技术领域
本发明涉及虚拟机迁移领域,尤其涉及一种广域网可信虚拟机的安全迁移方法。
背景技术
近年来,虚拟化技术作为云计算关键技术之一,能提高数据中心服务器资源的利用率、降低管理难度,减少企业的IT成本,因而被企业广泛关注和使用。其中,虚拟机在线迁移技术,因其能对服务器资源进行灵活的分配和调度,被广泛应用于数据中心容灾备份、负载均衡以及数据中心节能等领域。
但是虚拟机的安全问题一直令人担忧。随着可信计算技术的发展,人们开始尝试将可信计算技术与虚拟化技术结合,来解决当前虚拟机中存在的安全问题。IBM的Stefan Berger等人在现有技术中设计并实现了虚拟可信平台模块(vTPM),将一个物理TPM虚拟成多个vTPM,每一个vTPM实例又和一个虚拟机进行绑定,为虚拟机提供完整的TPM功能。通过TPM信任链的传递,可以把信任链传递到客户虚拟机操作系统及应用上,保证虚拟机整个端的安全。同时,作者为vTPM实例设计了安全迁移协议,通过远程证明技术,保证了迁移过程网络接入端的可信。但其可信虚拟机迁移场景仅限于局域网内,不能保证广域网环境下可信虚拟机迁移过程中的数据传输安全和实时无缝迁移的实现。现有技术通过重新设计迁移协议,在现有协议基础上加入TLS握手协议,来保障数据传输中的安全。但其实现需要全部重新构建现有协议,非常复杂,且其关注的场景任然仅限于局域网。
随着数据中心业务需求的日益增长,限于局域网内的单个数据中心将无法满足业务的需求,广域网环境下多个数据中心资源的协调、统一,将成为企业的迫切要求。因此,广域网环境下的可信虚拟机安全迁移存在着极大的现实意义。目前,国内外研究可信虚拟机迁移的仅仅关注到其局域网内的应用场景,而广域网内的可信虚拟机安全迁移则很少有人研究。现有技术研究了基于TPM的终端数据的可信迁移,但没有涉及网络下的迁移。现有技术也提出了一种在广域网中计算平台间的对象迁移的安全协议框架,但本文迁移目标是计算平台上的单个对象而非整个虚拟机迁移,且没有考虑广域网的安全防范问题,因此仍与广域网中的可信虚拟机的安全迁移有较大区别。广域网内的可信虚拟机迁移与传统局域网内的虚拟机迁移相比存在着很大的差别,有下面几个需要面对的问题:
1)广域网迁移的数据安全问题。和局域网相比,广域网环境更加复杂。可信虚拟机迁移的信息会更多的暴露在不可信的环境下,如何保障虚拟域在网络中传输的安全性问题,这是广域网迁移面临的一个挑战。
2)广域网迁移需要解决IP重定向的问题。局域网内虚拟机迁移后IP在同一个网段内,通过ARP广播即可解决IP重定向的问题。而广域网内这种方法会失效,直接迁移,将导致虚拟机迁移后其上部署的业务无法正常运行。
3)广域网之间的网络的高延迟和低带宽问题。连接两个数据中心需要经过多重路由和链路,网络延迟大,带宽相对较小,增大了虚拟机迁移的总时间和宕机时间,影响运行在虚拟机中的业务。局域网内采用NFS分布式共享文件系统,共享磁盘,不需要迁移磁盘,而广域网由于其高延迟低带宽的特点,采用共享磁盘方式,会造成较大延时,因此广域网迁移一般不采用NFS共享磁盘的方式,而需要采用磁盘迁移的方式。
4)可信虚拟机需要额外迁移vTPM状态数据。与传统虚拟机相比,可信虚拟机需要TPM、前后端TPM驱动以及vTPM Manager等的支持。在迁移过程中,除了对内存、CPU和磁盘进行迁移外,还要求对与虚拟机绑定的vTPM实例及其数据状态进行迁移。其迁移过程比普通虚拟机迁移要复杂。如何整合虚拟机数据和vTPM实例数据让其正确的迁移到目的端并保持他们之间的绑定和交互关系,也是当前面临的挑战。
发明内容
为解决上述问题,本发明提供一种广域网可信虚拟机的安全迁移方法及系统,其将VPN技术和TPM&vTPM技术结合,以实现整条迁移链的安全与可信,保障可信虚拟机迁移过程的正确、高效和安全,突破可信虚拟机迁移仅限于局域网内的局限性,扩展可信技术使用的范围和灵活性的发明目的,为虚拟机的安全和防护提供新的应用场景及解决方案。
为实现上述发明目的,本发明提供一种广域网可信虚拟机的安全迁移方法,该方法包括:
步骤1,在广域网上部署两个数据中心,该两个数据中心之间通过建立两层桥接模式的虚拟专用网络进行网络连接,其中每个数据中心的业务节点运行虚拟机;
步骤2,将所述虚拟机镜像文件拆分为模板和用户私有数据,并将其分别储存于所述两个数据中心中的存储节点中,然后将每个数据中心的硬件资源虚拟化,以虚拟机的形式向用户提供服务;
步骤3,在所述两个数据中心之间通过部署虚拟可信平台创建并启动支持vTPM的可信虚拟机,并根据所述模板和用户私有数据生成与该可信虚拟机绑定的vTPM实例,然后加载TPM驱动;
步骤4,所述两个数据中心,一个作为源端,另一个作为目的端,根据所述vTPM实例对源端和目的端进行配置后,在源端对可信虚拟机的内存、CPU状态、磁盘、vTPM状态进行迁移,并在目的端进行恢复,实现vTPM和虚拟机的同步迁移。
进一步的,所述步骤1包括:
步骤11,在数据中心之外的广域网中随机选择一个节点作为VPNserver,每个数据中心选择一个节点作为VPNclient,所述VPNserver生成其建立服务和每个VPNclient请求连接时的认证文件,其中所述VPNserver为VPN服务器,VPNclient为VPN客户端;
步骤12,在所述VPNserver的配置文件中设置参数,包括:TCP协议,tap设备,IP地址,以及认证文件路径,之后启动VPNserver服务;
步骤13,所述每个数据中心选择一个节点作为VPNclient后将所述认证文件复制到该节点,并在VPNclient的配置文件中设置参数,包括:VPNserver的IP地址,TCP协议,tap设备,以及认证文件路径,之后启动VPNclient服务,所述VPNclient服务与VPNserver服务连接;
步骤14,在所述每个VPNclient上启动虚拟网桥,并将其与相应的tap设备对接;
步骤15,所述每个数据中心除VPNclient之外的节点上设置默认路由作为该数据中心的VPNclient的IP地址。
进一步的,所述步骤2包括:
步骤21,每个数据中心的所有存储节点形成统一的挂载接口,在该挂载接口上创建分布式文件系统的卷Volume,两个数据中心的Volume标记为Volume1、Volume2;
步骤22,将所述虚拟机镜像文件拆分为模板和用户私有数据,所述模板数据在用户请求服务时动态生成;
步骤22,将所述模板和用户私有数据分别存储于Volume1、Volume2。
进一步的,所述步骤3包括:
步骤31,在Dom0中加载TPM前端驱动,生成设备文件/dev/tpm0;
步骤32,在所述Dom0中加载TPM后端驱动,生成设备文件/dev/vtpm;
步骤33,配置并编译xen使其支持vTPM Manager、vTPM、及支持vTPM迁移;
步骤34,启动所述vTPM Manager,初始化监听线程;
步骤35,启动支持vTPM的可信虚拟机,在所述Dom0生成与虚拟机绑定的vTPM实例;
步骤36,在启动的可信虚拟机中加载所述TPM前端驱动。
进一步的,所述步骤4包括:
步骤41,在目的端开启vTPM实例迁移守护进程;
步骤42,在源端检查Hotplug脚本是否支持vTPM实例迁移,如果不支持,修改Hotplug脚本使其支持vTPM实例迁移,执行步骤43,若支持,直接执行步骤43;
步骤43,循环迭代拷贝虚拟机内存脏页到目的端;
步骤44,虚拟机进入停机拷贝阶段后,对剩余脏页、CPU状态、磁盘文件进行拷贝;
步骤45,停机拷贝后,激发vTPM迁移;
步骤46,vTPM迁移被激活后,调用脚本完成vTPM迁移的沟通迁移密钥;
步骤47,vTPM迁移调用沟通迁移密钥完成后,会继续调用脚本完成vTPM迁移的传送vTPM状态数据;
步骤48,在目的端恢复迁移过来的虚拟机,并对源端虚拟机及vTPM实例进行销毁。
为实现上述发明目的,本发明还提供一种广域网可信虚拟机的安全迁移系统,该系统包括:
建立连接模块,在广域网上部署两个数据中心,该两个数据中心之间通过建立两层桥接模式的虚拟专用网络进行网络连接,其中每个数据中心的业务节点运行虚拟机;
拆分处理模块,将所述虚拟机镜像文件拆分为模板和用户私有数据,并将其分别储存于所述两个数据中心中的存储节点中,然后将每个数据中心的硬件资源虚拟化,以虚拟机的形式向用户提供服务;
vTPM实例处理模块,在所述两个数据中心之间通过部署虚拟可信平台创建并启动支持vTPM的可信虚拟机,并根据所述模板和用户私有数据生成与该可信虚拟机绑定的vTPM实例,然后加载TPM驱动;
迁移处理模块,所述两个数据中心,一个作为源端,另一个作为目的端,根据所述vTPM实例对源端和目的端进行配置后,在源端对可信虚拟机的内存、CPU状态、磁盘、vTPM状态进行迁移,并在目的端进行恢复,实现vTPM和虚拟机的同步迁移。
进一步的,所述建立连接模块包括:
VPNserver处理模块,在数据中心之外的广域网中随机选择一个节点作为VPNserver,每个数据中心选择一个节点作为VPNclient,所述VPNserver生成其建立服务和每个VPNclient请求连接时的认证文件,其中所述VPNserver为VPN服务器,VPNclient为VPN客户端;
参数设置模块,在所述VPNserver的配置文件中设置参数,包括:TCP协议,tap设备,IP地址,以及认证文件路径,之后启动VPNserver服务;
VPNclient处理模块,所述每个数据中心选择一个节点作为VPNclient后将所述认证文件复制到该节点,并在VPNclient的配置文件中设置参数,包括:VPNserver的IP地址,TCP协议,tap设备,以及认证文件路径,之后启动VPNclient服务,所述VPNclient服务与VPNserver服务连接;
虚拟处理模块,在所述每个VPNclient上启动虚拟网桥,并将其与相应的tap设备对接;
IP地址处理模块,所述每个数据中心除VPNclient之外的节点上设置默认路由作为该数据中心的VPNclient的IP地址。
进一步的,所述拆分处理模块包括:
接口处理模块,每个数据中心的所有存储节点形成统一的挂载接口,在该挂载接口上创建分布式文件系统的卷Volume,两个数据中心的Volume标记为Volume1、Volume2;
拆分模块,将所述虚拟机镜像文件拆分为模板和用户私有数据,所述模板数据在用户请求服务时动态生成;
存储模块,将所述模板和用户私有数据分别存储于Volume1、Volume2。
进一步的,所述vTPM实例处理模块包括:
加载前端模块,在Dom0中加载TPM前端驱动,生成设备文件/dev/tpm0;
加载后端模块,在所述Dom0中加载TPM后端驱动,生成设备文件/dev/vtpm;
配置处理模块,配置并编译xen使其支持vTPM Manager、vTPM、及支持vTPM迁移;
初始化模块,启动所述vTPM Manager,初始化监听线程;
vTPM实例生成模块,启动支持vTPM的可信虚拟机,在所述Dom0生成与虚拟机绑定的vTPM实例;
加载处理模块,在启动的可信虚拟机中加载所述TPM前端驱动。
进一步的,所述迁移处理模块包括:
进程开启模块,在目的端开启vTPM实例迁移守护进程;
检查处理模块,在源端检查Hotplug脚本是否支持vTPM实例迁移,如果不支持,修改Hotplug脚本使其支持vTPM实例迁移,执行迭代处理模块,若支持,直接执行迭代处理模块;
迭代处理模块,循环迭代拷贝虚拟机内存脏页到目的端;
拷贝处理模块,虚拟机进入停机拷贝阶段后,对剩余脏页、CPU状态、磁盘文件进行拷贝;
激发迁移模块,停机拷贝后,激发vTPM迁移;
调用处理模块,vTPM迁移被激活后,调用脚本完成vTPM迁移的沟通迁移密钥;
vTPM数据传送模块,vTPM迁移调用沟通迁移密钥完成后,会继续调用脚本完成vTPM迁移的传送vTPM状态数据;
销毁处理模块,在目的端恢复迁移过来的虚拟机,并对源端虚拟机及vTPM实例进行销毁。
本发明的有益功效在于:
通过克服广域网迁移过程中遇到的挑战和困难,保障了可信虚拟机迁移过程的正确、高效和安全。通过将局域网内的可信虚拟机迁移扩展到了广域网环境,突破了可信虚拟机迁移仅限于局域网内的局限性,扩展了可信技术使用的范围和灵活性,为虚拟机的安全和防护提供了新的应用场景及解决方案。
以下结合附图和具体实施例对本发明进行详细描述,但不作为对本发明的限定。
附图说明
图1是本发明的广域网可信虚拟机的安全迁移方法流程图;
图2是本发明的广域网可信虚拟机的安全迁移系统示意图;
图3是本发明的一实施例的广域网可信虚拟机的安全迁移系统示意图;
图4是本发明的一实施例的广域网可信虚拟机的安全迁移系统示意图。
具体实施方式
本发明将VPN技术和TPM&vTPM技术结合,实现了虚拟机迁移端、接入端、网络传输,整条迁移链的安全与可信。与现有技术的安全迁移协议相比,本专利的不用重新构建安全迁移协议,直接采用现有VPN(OpenVPN)中SSL机制,大大减少了实现的难度,以及产品的兼容性。所述虚拟化环境为Xen虚拟化环境,所述可信虚拟机为支持TPM可信计算功能的虚拟机,所叙安全迁移,指对传输端进行可信验证,并借助VPN安全协议对传输过程进行加密处理。
图1是本发明的广域网可信虚拟机的安全迁移方法流程图。如图1所示,该方法包括:
S1,在广域网上部署两个数据中心,该两个数据中心之间通过建立两层桥接模式的虚拟专用网络进行网络连接,其中每个数据中心的业务节点运行虚拟机;
S2,将所述虚拟机镜像文件拆分为模板和用户私有数据,并将其分别储存于所述两个数据中心中的存储节点中,然后将每个数据中心的硬件资源虚拟化,以虚拟机的形式向用户提供服务;
S3,在所述两个数据中心之间通过部署虚拟可信平台创建并启动支持vTPM的可信虚拟机,并根据所述模板和用户私有数据生成与该可信虚拟机绑定的vTPM实例,然后加载TPM驱动;
S4,所述两个数据中心,一个作为源端,另一个作为目的端,根据所述vTPM实例对源端和目的端进行配置后,在源端对可信虚拟机的内存、CPU状态、磁盘、vTPM状态进行迁移,并在目的端进行恢复,实现vTPM和虚拟机的同步迁移。
进一步的,所述S1包括:
步骤11,在数据中心之外的广域网中随机选择一个节点作为VPNserver,每个数据中心选择一个节点作为VPNclient,所述VPNserver生成其建立服务和每个VPNclient请求连接时的认证文件,其中所述VPNserver为VPN服务器,VPNclient为VPN客户端;
步骤12,在所述VPNserver的配置文件中设置参数,包括:TCP协议,tap设备,IP地址,以及认证文件路径,之后启动VPNserver服务;
步骤13,所述每个数据中心选择一个节点作为VPNclient后将所述认证文件复制到该节点,并在VPNclient的配置文件中设置参数,包括:VPNserver的IP地址,TCP协议,tap设备,以及认证文件路径,之后启动VPNclient服务,所述VPNclient服务与VPNserver服务连接;
步骤14,在所述每个VPNclient上启动虚拟网桥,并将其与相应的tap设备对接;
步骤15,所述每个数据中心除VPNclient之外的节点上设置默认路由作为该数据中心的VPNclient的IP地址。
进一步的,所述S2包括:
步骤21,每个数据中心的所有存储节点形成统一的挂载接口,在该挂载接口上创建分布式文件系统的卷Volume,两个数据中心的Volume标记为Volume1、Volume2;
步骤22,将所述虚拟机镜像文件拆分为模板和用户私有数据,所述模板数据在用户请求服务时动态生成;
步骤22,将所述模板和用户私有数据分别存储于Volume1、Volume2。
进一步的,所述S3包括:
步骤31,在Dom0中加载TPM前端驱动,生成设备文件/dev/tpm0;
步骤32,在所述Dom0中加载TPM后端驱动,生成设备文件/dev/vtpm;
步骤33,配置并编译xen使其支持vTPM Manager、vTPM、及支持vTPM迁移;
步骤34,启动所述vTPM Manager,初始化监听线程;
步骤35,启动支持vTPM的可信虚拟机,在所述Dom0生成与虚拟机绑定的vTPM实例;
步骤36,在启动的可信虚拟机中加载所述TPM前端驱动。
进一步的,所述S4包括:
步骤41,在目的端开启vTPM实例迁移守护进程;
步骤42,在源端检查Hotplug脚本是否支持vTPM实例迁移,如果不支持,修改Hotplug脚本使其支持vTPM实例迁移,执行步骤43,若支持,直接执行步骤43;
步骤43,循环迭代拷贝虚拟机内存脏页到目的端;
步骤44,虚拟机进入停机拷贝阶段后,对剩余脏页、CPU状态、磁盘文件进行拷贝;
步骤45,停机拷贝后,激发vTPM迁移;
步骤46,vTPM迁移被激活后,调用脚本完成vTPM迁移的沟通迁移密钥;
步骤47,vTPM迁移调用沟通迁移密钥完成后,会继续调用脚本完成vTPM迁移的传送vTPM状态数据;
步骤48,在目的端恢复迁移过来的虚拟机,并对源端虚拟机及vTPM实例进行销毁。
图2是本发明的广域网可信虚拟机的安全迁移系统示意图。如图2所示,该系统包括:
建立连接模块100,在广域网上部署两个数据中心,该两个数据中心之间通过建立两层桥接模式的虚拟专用网络进行网络连接,其中每个数据中心的业务节点运行虚拟机;
拆分处理模块200,将所述虚拟机镜像文件拆分为模板和用户私有数据,并将其分别储存于所述两个数据中心中的存储节点中,然后将每个数据中心的硬件资源虚拟化,以虚拟机的形式向用户提供服务;
vTPM实例处理模块300,在所述两个数据中心之间通过部署虚拟可信平台创建并启动支持vTPM的可信虚拟机,并根据所述模板和用户私有数据生成与该可信虚拟机绑定的vTPM实例,然后加载TPM驱动;
迁移处理模块400,所述两个数据中心,一个作为源端,另一个作为目的端,根据所述vTPM实例对源端和目的端进行配置后,在源端对可信虚拟机的内存、CPU状态、磁盘、vTPM状态进行迁移,并在目的端进行恢复,实现vTPM和虚拟机的同步迁移。
进一步的,所述建立连接模块100包括:
VPNserver处理模块,在数据中心之外的广域网中随机选择一个节点作为VPNserver,每个数据中心选择一个节点作为VPNclient,所述VPNserver生成其建立服务和每个VPNclient请求连接时的认证文件,其中所述VPNserver为VPN服务器,VPNclient为VPN客户端;
参数设置模块,在所述VPNserver的配置文件中设置参数,包括:TCP协议,tap设备,IP地址,以及认证文件路径,之后启动VPNserver服务;
VPNclient处理模块,所述每个数据中心选择一个节点作为VPNclient后将所述认证文件复制到该节点,并在VPNclient的配置文件中设置参数,包括:VPNserver的IP地址,TCP协议,tap设备,以及认证文件路径,之后启动VPNclient服务,所述VPNclient服务与VPNserver服务连接;
虚拟处理模块,在所述每个VPNclient上启动虚拟网桥,并将其与相应的tap设备对接;
IP地址处理模块,所述每个数据中心除VPNclient之外的节点上设置默认路由作为该数据中心的VPNclient的IP地址。
进一步的,所述拆分处理模块200包括:
接口处理模块,每个数据中心的所有存储节点形成统一的挂载接口,在该挂载接口上创建分布式文件系统的卷Volume,两个数据中心的Volume标记为Volume1、Volume2;
拆分模块,将所述虚拟机镜像文件拆分为模板和用户私有数据,所述模板数据在用户请求服务时动态生成;
存储模块,将所述模板和用户私有数据分别存储于Volume1、Volume2。
进一步的,所述vTPM实例处理模块300包括:
加载前端模块,在Dom0中加载TPM前端驱动,生成设备文件/dev/tpm0;
加载后端模块,在所述Dom0中加载TPM后端驱动,生成设备文件/dev/vtpm;
配置处理模块,配置并编译xen使其支持vTPM Manager、vTPM、及支持vTPM迁移;
初始化模块,启动所述vTPM Manager,初始化监听线程;
vTPM实例生成模块,启动支持vTPM的可信虚拟机,在所述Dom0生成与虚拟机绑定的vTPM实例;
加载处理模块,在启动的可信虚拟机中加载所述TPM前端驱动。
进一步的,所述迁移处理模块400包括:
进程开启模块,在目的端开启vTPM实例迁移守护进程;
检查处理模块,在源端检查Hotplug脚本是否支持vTPM实例迁移,如果不支持,修改Hotplug脚本使其支持vTPM实例迁移,执行迭代处理模块,若支持,直接执行迭代处理模块;
迭代处理模块,循环迭代拷贝虚拟机内存脏页到目的端;
拷贝处理模块,虚拟机进入停机拷贝阶段后,对剩余脏页、CPU状态、磁盘文件进行拷贝;
激发迁移模块,停机拷贝后,激发vTPM迁移;
调用处理模块,vTPM迁移被激活后,调用脚本完成vTPM迁移的沟通迁移密钥;
vTPM数据传送模块,vTPM迁移调用沟通迁移密钥完成后,会继续调用脚本完成vTPM迁移的传送vTPM状态数据;
销毁处理模块,在目的端恢复迁移过来的虚拟机,并对源端虚拟机及vTPM实例进行销毁。
下面结合图3和4介绍本发明的一实施例,以OpenVPN-2.1.3作为建立数据中心之间连接的工具,Gluster-3.2.0作为每个数据中心存储虚拟机镜像的文件系统,Xen-4.1.0虚拟化平台为例,业务节点上的Dom0和存储节点上使用升级到linux-2.6.39.1内核的suse11操作系统,展开实现一种跨广域网可信虚拟机在线迁移方法的进一步说明。
可信虚拟机跨广域网在线迁移架构图,如图3所示,其中实线部分代表迁移前源端和目的端可信虚拟平台部署情况及跨广域网迁移的整体网络架构,虚线部分代表迁移到目的端的可信虚拟机部署情况。可信虚拟机跨广域网迁移方法流程图,如图4所示,描述了步骤C和步骤D关键步骤,重点描述了vTPM实例迁移step1和step2中相关对象的交互过程。其中vtpm_migrator和vtpm_migratord分别负责源端和目的端的vTPM状态数据的迁移工作,xc_domain_save和xc_domain_restore分别负责源端和目的端VM的迁移工作(包括内存、cpu状态、磁盘),vtpmd为vTPM实例守护进程,vtpm-impl代表用来解析、执行用户和系统命令的脚本,vtpm_manager则负责传达和执行vtpmd和虚拟机交互的指令,箭头及注射代表对象之间的具体交互行为。实施包括以下步骤:
A.两个Datacenter之间通过VPN建立虚拟专用的网络连接通道,使得连接后Vlan1和Vlan2中的所有节点可以通过原有IP地址通信。具体的一个实施步骤为:
A1.在Datacenter1和Datacenter2之外的广域网中选择一个节点作为VPNserver,IP地址为202.201.46.156。在其上生成自己建立服务和每个VPNclient请求连接时需要的认证文件,包括:.ca.Key,.crt,.crs,和.pem等文件。
本步骤中所述的认证文件,均由VPNserver生成,其.ca文件只有一个,VPNserver和VPNclient使用同一文件,.pem文件只为VPNserver使用,其余认证文件,每个节点之上都使用同一套,且互不相同。
A2.在VPNserver中的配置文件中设置协议为TCP,tap模式,tap设备使用的虚拟IP地址为10.10.0.0,以及认证文件路径。启动服务。
A3.Datacenter1中选择一个节点作为VPNclient,该节点拥有两个网络适配器,其中eth0上IP为11.11.11.88地址属于VLan1,eth1上为广域网上的IP地址,将VPNserver生成的认证文件复制到该节点,同样在配置文件中设置VPNserver的IP地址为202.201.46.156,TCP协议,tap设备,以及认证文件路径,启动服务。
A4.在Vlan1中的VPNclient上启动虚拟网桥vpnbr0,将其与tap0设备对接。并在eth0上设置到Datacenter2的net。
A5.数据中心中除VPNclient之外的业务节点上的设置默认路由为11.11.11.88。
本步骤中B3-B5以Datacenter1为例,Datacenter2同理实施。连接后两个数据中心的节点可以相互通信。
B.每个数据中心包括多个业务节点和存储节点,并属于同一逻辑局域网,虚拟机镜像文件template和Qcow存储于独立节点上的文件系统中。具体的一个实施步骤为:
B1.两个数据中心Datacenter1和Datacenter2。Datacenter1中的所有节点属于Vlan1,每个节点的IP地址为11.11.11.X。Datacenter2中的所有节点属于Vlan2,每个节点的IP地址为12.12.12.X。
步骤A1中所述“Vlan”为逻辑局域网。
B2.所有存储节点运行glusterfs server,并将所有存储节点通过glusterfs的peer功能绑定形成统一的挂载接口,在其中创建两个Volume分别为Vol-template和Vol-vm。
B3.所有业务节点运行xen-4.1.0虚拟化计算环境和Glusterfs client,并且挂载存储节点上的Vol-template到本地路径/vm/template,挂载Vol-vm到本地路径/home/vm下。
B4.Vol-template中存储模板镜像template,Vol-vm中存储用户私有数据Qcow。
C.通过配置并启动vTPM、vTPM Manager、TPM前后端驱动、TPM原生驱动及支持vTPM的DomU,搭建一个能为多个DomU提供独立的基于TPM的可信计算功能的平台。其中C1-C4在xen和Dom0上搭建可信虚拟平台,C5-C6在C1-C4的基础上创建可信虚拟机。针对本实例需要在迁移的源端和目的端同时执行步骤C1-C4搭建可信虚拟平台,同时在源端执行步骤C5-C6创建一台可信虚拟机。Dom0是Xen虚拟框架中起管理的域,用于管理其他Dom,同时为其他Dom与Xen的交互提供一些接口等功能。此外Dom0作为一个完整的操作系统在Xen的实现中也起到了关键作用,将一些原本应该在Xen中实现的功能转移到了Dom0中实现。vTPM Manager是vTPM架构下对vTPM进行管理控制的实体。
C1.在Dom0中加载TPM前端驱动。在主机BIOS中开启对TPM芯片的支持,在打过Xen补丁的linux内核中通过make menuconfig开启Dom0对TPM原生驱动的支持,重新编译内核,配置好后,进入Dom0,使用命令modrpbetpm_tis force=1tpm_tis=1加载TPM原生驱动模块,完成后会自动生成TPM原生驱动设备文件/dev/tpm0。Xen是一种虚拟机监视器,通过类虚拟化、基于硬件的全虚拟化等方式可以在一台物理主机上虚拟出多套物理设备并在其上运行操作系统。
C2.在Dom0中加载TPM后端驱动。在打过Xen补丁的linux内核中通过make menuconfig开启dom0对TPM后端驱动的支持,然后重新编译内核,并配置好开机启动项。重启后,使用modrpobe tpmbk命令加载TPM后端驱动,此时会自动生成TPM驱动设备文件:/dev/vtpm。
C3.配置并编译xen使其支持vTPM Manager、vTPM、与vTPM迁移。开启xen-4.1.0/Config.mk的vtpm tools工具,使其支持vTPM Manager。在tools/vtpm/Rules.mk中开启BUILD_EMULATOR=y,自动下载tpm emulator,并通过相应的emulator补丁,生成vTPM。同时将tools/vtpm_manager/manager/dmictl.c中代码修改为dmi_type=VTPM_TYPE_MIGRATABLE,使vTPM实例能支持迁移功能。配置完成后,使用命令make tools;make xen;makeinstall-tools;make install-xen重新安装xen。
C4.在shell中输入Vtpm_manager命令,启动vTPM Manager工具。vTPMManager在启动的时候会先获取物理TPM的Ownership,然后生成HotplugListener、Vtpm Listener、Backend Linstener三个监听线程。
C5.启动支持vTPM的虚拟机,在Dom0生成与虚拟机绑定的vTPM实例。启动支持vTPM的虚拟机,在Dom0生成与虚拟机绑定的vTPM实例。在虚拟机的配置文件中添加vtpm=['instance=1,backend=0'],当Dom0执行xm create指令创建一个新的DomU时通过执行相关脚本与xenstore进行读写操作,让Hotplug Listener得知有新的DomU启动。并令经过改进后的TPM Emulator作为vTPM,受vTPM Manager的控制。当Hotplug Listener得知有新的DomU启动时就创建一个vTPM实例,并与DomU绑定。
C6.在DomU内加载TPM前端驱动。在DomU内核中通过make menuconfig开启内核图形化配置界面。在路径Device driver>Character device>TPMDevices下设置Xen TPM Interface为可加载模块,重新编译内核,并配置启动选项,重启系统后通过命令modprobe tpm_xenu加载TPM前端驱动。通过命令cat/sys/devices/xen/vtpm-0/pcrs可以查看TPM对应的PCR寄存器的值。
D.可信虚拟机迁移。在源端进行D2配置和目的端进行D1配置后,开始在源端对可信虚拟机的内存、CPU状态、磁盘、vTPM状态进行迁移,并在目的端进行恢复。其中,D3-D4完成内存、CPU状态、磁盘的迁移,D5-D7完成vTPM状态的迁移,D8在目的端恢复迁移的虚拟机。
D1.在目的端的shell终端中执行vtpm_migratord命令,开启vTPM实例迁移守护进程vtpm_migratord,该进程负责在目的端监听并相应vTPM实例数据的迁移。
D2.在源端检查hotplug脚本是否支持vTPM实例迁移。为了支持vTPM实例迁移,需要通过修改/etc/xen/xend-config.sxp中的外部迁移工具选项,(external-migration-tool/etc/xen/scripts/external-device-migrate),获取外部迁移工具external-device-migrate,使虚拟机迁移在停机拷贝期间能自动调用vtpm_migrator命令完成vTPM实例的迁移。若Hotplug脚本不支持vTPM实例迁移,将无法继续之后的步骤。因此需要修改Hotplug脚本以使其能够支持vTPM的实例迁移。
D3.循环迭代拷贝虚拟机内存脏页到目的主机。在shell终端中输入xmmigrate-l server12.12.12.X后相关的python脚本会调用xc_domain_save进程,将虚拟机内存脏页的循环迭代传送到目的虚拟机中,目的端由xc_domain_restore进程对传送的内存数据进行处理。当达到循环迭代拷贝停机条件时,虚拟机结束循环迭代拷贝,并进入停机拷贝阶段。
D4.虚拟机进入停机拷贝极端后,xc_domain_save对剩余脏页、CPU状态、磁盘文件进行拷贝。xc_domain_save会先完成对剩余脏页的拷贝,然后对CPU状态进行拷贝。对磁盘文件的拷贝需要在xc_domain_save添加对Qcow磁盘文件传送的功能,同时目的端在xc_domain_restore添加对Qcow文件接收的功能。
D5.停机拷贝后,激发vTPM迁移。在D4进行的同时,xc_domain_save会将虚拟机的停机状态存储到xenstore中,Dom0中会有一个守护进程一直监听虚拟机的状态,一旦状态变为停机状态时,会开始对vTPM实例进行迁移。
D6.vTPM迁移被激活后,调用脚本vtpm-impl.sh执行vtpm_migrator12.12.12.X server81命令,完成vTPM迁移的step1:沟通迁移密钥。Vtpm-impl.sh脚本将相应的参数传递给vtpm_migrator,vtpm_migrator向目的端的vtpm_migratord守护进程申请vTPM迁移密钥。目的端的vtpm_migratord通过给本地的vtpm_manager发送VTPM_ORD_GET_MIG_KEY命令获取迁移密钥,并返还给源端的vtpm_migrator。Vtpm_migrator通过向本地vtpm_manager发送VTPM_ORD_LOAD_MIG_KEY加载目的端迁移密钥(其中vTPM实例号8通过xenstore-ls|grep instance查询获取)。
D7.vTPM迁移step1完成后,会继续调用vtpm-impl.sh脚本执行vtpm_migrator12.12.12.X server82完成vTPM迁移的step2:传送vTPM状态数据。Vtpm-impl.sh脚本会将相应的参数传递给vtpm_migrator,vtpm_migrator会向本地的vtpm_manager发送VTPM_ORD_MIGRATE_OUT命令要求vtpm_manager对实例8停止运行,并对实例的状态数据打包返回给vtpm_migrator。Vtpm_migrator发送vTPM实例状态数据给目的端的vtpm_migratord。vtpm_migratord通过向本地vtpm_manager发送VTPM_ORD_MIGRATE_IN解包并加载vTPM状态数据,并启动vTPM实例。
D8.在目的端恢复迁移过来的虚拟机,发送消息对源端虚拟机及vTPM实例进行销毁。
当然,本发明还可有其它多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。

Claims (10)

1.一种广域网可信虚拟机的安全迁移方法,其特征在于,包括:
步骤1,在广域网上部署两个数据中心,该两个数据中心之间通过建立两层桥接模式的虚拟专用网络进行网络连接,其中每个数据中心的业务节点运行虚拟机;
步骤2,将所述虚拟机镜像文件拆分为模板和用户私有数据,并将其分别储存于所述两个数据中心中的存储节点中,然后将每个数据中心的硬件资源虚拟化,以虚拟机的形式向用户提供服务;
步骤3,在所述两个数据中心之间通过部署虚拟可信平台创建并启动支持vTPM的可信虚拟机,并根据所述模板和用户私有数据生成与该可信虚拟机绑定的vTPM实例,然后加载TPM驱动;
步骤4,所述两个数据中心,一个作为源端,另一个作为目的端,根据所述vTPM实例对源端和目的端进行配置后,在源端对可信虚拟机的内存、CPU状态、磁盘、vTPM状态进行迁移,并在目的端进行恢复,实现vTPM和虚拟机的同步迁移。
2.如权利要求1所述的广域网可信虚拟机的安全迁移方法,其特征在于,所述步骤1包括:
步骤11,在数据中心之外的广域网中随机选择一个节点作为VPNserver,每个数据中心选择一个节点作为VPNclient,所述VPNserver生成其建立服务和每个VPNclient请求连接时的认证文件,其中所述VPNserver为VPN服务器,VPNclient为VPN客户端;
步骤12,在所述VPNserver的配置文件中设置参数,包括:TCP协议,tap设备,IP地址,以及认证文件路径,之后启动VPNserver服务;
步骤13,所述每个数据中心选择一个节点作为VPNclient后将所述认证文件复制到该节点,并在VPNclient的配置文件中设置参数,包括:VPNserver的IP地址,TCP协议,tap设备,以及认证文件路径,之后启动VPNclient服务,所述VPNclient服务与VPNserver服务连接;
步骤14,在所述每个VPNclient上启动虚拟网桥,并将其与相应的tap设备对接;
步骤15,所述每个数据中心除VPNclient之外的节点上设置默认路由作为该数据中心的VPNclient的IP地址。
3.如权利要求1所述的广域网可信虚拟机的安全迁移方法,其特征在于,所述步骤2包括:
步骤21,每个数据中心的所有存储节点形成统一的挂载接口,在该挂载接口上创建分布式文件系统的卷Volume,两个数据中心的Volume标记为Volume1、Volume2;
步骤22,将所述虚拟机镜像文件拆分为模板和用户私有数据,所述模板数据在用户请求服务时动态生成;
步骤22,将所述模板和用户私有数据分别存储于Volume1、Volume2。
4.如权利要求1所述的广域网可信虚拟机的安全迁移方法,其特征在于,所述步骤3包括:
步骤31,在Dom0中加载TPM前端驱动,生成设备文件/dev/tpm0;
步骤32,在所述Dom0中加载TPM后端驱动,生成设备文件/dev/vtpm;
步骤33,配置并编译xen使其支持vTPM Manager、vTPM、及支持vTPM迁移;
步骤34,启动所述vTPM Manager,初始化监听线程;
步骤35,启动支持vTPM的可信虚拟机,在所述Dom0生成与虚拟机绑定的vTPM实例;
步骤36,在启动的可信虚拟机中加载所述TPM前端驱动。
5.如权利要求1所述的广域网可信虚拟机的安全迁移方法,其特征在于,所述步骤4包括:
步骤41,在目的端开启vTPM实例迁移守护进程;
步骤42,在源端检查Hotplug脚本是否支持vTPM实例迁移,如果不支持,修改Hotplug脚本使其支持vTPM实例迁移,执行步骤43,若支持,直接执行步骤43;
步骤43,循环迭代拷贝虚拟机内存脏页到目的端;
步骤44,虚拟机进入停机拷贝阶段后,对剩余脏页、CPU状态、磁盘文件进行拷贝;
步骤45,停机拷贝后,激发vTPM迁移;
步骤46,vTPM迁移被激活后,调用脚本完成vTPM迁移的沟通迁移密钥;
步骤47,vTPM迁移调用沟通迁移密钥完成后,会继续调用脚本完成vTPM迁移的传送vTPM状态数据;
步骤48,在目的端恢复迁移过来的虚拟机,并对源端虚拟机及vTPM实例进行销毁。
6.一种广域网可信虚拟机的安全迁移系统,其特征在于,包括:
建立连接模块,在广域网上部署两个数据中心,该两个数据中心之间通过建立两层桥接模式的虚拟专用网络进行网络连接,其中每个数据中心的业务节点运行虚拟机;
拆分处理模块,将所述虚拟机镜像文件拆分为模板和用户私有数据,并将其分别储存于所述两个数据中心中的存储节点中,然后将每个数据中心的硬件资源虚拟化,以虚拟机的形式向用户提供服务;
vTPM实例处理模块,在所述两个数据中心之间通过部署虚拟可信平台创建并启动支持vTPM的可信虚拟机,并根据所述模板和用户私有数据生成与该可信虚拟机绑定的vTPM实例,然后加载TPM驱动;
迁移处理模块,所述两个数据中心,一个作为源端,另一个作为目的端,根据所述vTPM实例对源端和目的端进行配置后,在源端对可信虚拟机的内存、CPU状态、磁盘、vTPM状态进行迁移,并在目的端进行恢复,实现vTPM和虚拟机的同步迁移。
7.如权利要求6所述的广域网可信虚拟机的安全迁移系统,其特征在于,所述建立连接模块包括:
VPNserver处理模块,在数据中心之外的广域网中随机选择一个节点作为VPNserver,每个数据中心选择一个节点作为VPNclient,所述VPNserver生成其建立服务和每个VPNclient请求连接时的认证文件,其中所述VPNserver为VPN服务器,VPNclient为VPN客户端;
参数设置模块,在所述VPNserver的配置文件中设置参数,包括:TCP协议,tap设备,IP地址,以及认证文件路径,之后启动VPNserver服务;
VPNclient处理模块,所述每个数据中心选择一个节点作为VPNclient后将所述认证文件复制到该节点,并在VPNclient的配置文件中设置参数,包括:VPNserver的IP地址,TCP协议,tap设备,以及认证文件路径,之后启动VPNclient服务,所述VPNclient服务与VPNserver服务连接;
虚拟处理模块,在所述每个VPNclient上启动虚拟网桥,并将其与相应的tap设备对接;
IP地址处理模块,所述每个数据中心除VPNclient之外的节点上设置默认路由作为该数据中心的VPNclient的IP地址。
8.如权利要求6所述的广域网可信虚拟机的安全迁移系统,其特征在于,所述拆分处理模块包括:
接口处理模块,每个数据中心的所有存储节点形成统一的挂载接口,在该挂载接口上创建分布式文件系统的卷Volume,两个数据中心的Volume标记为Volume1、Volume2;
拆分模块,将所述虚拟机镜像文件拆分为模板和用户私有数据,所述模板数据在用户请求服务时动态生成;
存储模块,将所述模板和用户私有数据分别存储于Volume1、Volume2。
9.如权利要求6所述的广域网可信虚拟机的安全迁移系统,其特征在于,所述vTPM实例处理模块包括:
加载前端模块,在Dom0中加载TPM前端驱动,生成设备文件/dev/tpm0;
加载后端模块,在所述Dom0中加载TPM后端驱动,生成设备文件/dev/vtpm;
配置处理模块,配置并编译xen使其支持vTPM Manager、vTPM、及支持vTPM迁移;
初始化模块,启动所述vTPM Manager,初始化监听线程;
vTPM实例生成模块,启动支持vTPM的可信虚拟机,在所述Dom0生成与虚拟机绑定的vTPM实例;
加载处理模块,在启动的可信虚拟机中加载所述TPM前端驱动。
10.如权利要求6所述的广域网可信虚拟机的安全迁移系统,其特征在于,所述迁移处理模块包括:
进程开启模块,在目的端开启vTPM实例迁移守护进程;
检查处理模块,在源端检查Hotplug脚本是否支持vTPM实例迁移,如果不支持,修改Hotplug脚本使其支持vTPM实例迁移,执行迭代处理模块,若支持,直接执行迭代处理模块;
迭代处理模块,循环迭代拷贝虚拟机内存脏页到目的端;
拷贝处理模块,虚拟机进入停机拷贝阶段后,对剩余脏页、CPU状态、磁盘文件进行拷贝;
激发迁移模块,停机拷贝后,激发vTPM迁移;
调用处理模块,vTPM迁移被激活后,调用脚本完成vTPM迁移的沟通迁移密钥;
vTPM数据传送模块,vTPM迁移调用沟通迁移密钥完成后,会继续调用脚本完成vTPM迁移的传送vTPM状态数据;
销毁处理模块,在目的端恢复迁移过来的虚拟机,并对源端虚拟机及vTPM实例进行销毁。
CN201310138440.9A 2013-04-19 2013-04-19 一种广域网可信虚拟机的安全迁移方法及系统 Active CN104113574B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201310138440.9A CN104113574B (zh) 2013-04-19 2013-04-19 一种广域网可信虚拟机的安全迁移方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310138440.9A CN104113574B (zh) 2013-04-19 2013-04-19 一种广域网可信虚拟机的安全迁移方法及系统

Publications (2)

Publication Number Publication Date
CN104113574A true CN104113574A (zh) 2014-10-22
CN104113574B CN104113574B (zh) 2017-04-12

Family

ID=51710207

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310138440.9A Active CN104113574B (zh) 2013-04-19 2013-04-19 一种广域网可信虚拟机的安全迁移方法及系统

Country Status (1)

Country Link
CN (1) CN104113574B (zh)

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104461779A (zh) * 2014-11-28 2015-03-25 华为技术有限公司 一种分布式数据的存储方法、装置及系统
CN105450450A (zh) * 2015-12-01 2016-03-30 深圳市深信服电子科技有限公司 虚拟网络参数配置方法和装置
CN105988826A (zh) * 2015-01-29 2016-10-05 上海庆科信息技术有限公司 一种操控方法及装置
CN106610863A (zh) * 2015-10-21 2017-05-03 华为技术有限公司 虚拟机可信迁移方法及装置
CN107872402A (zh) * 2017-11-15 2018-04-03 北京奇艺世纪科技有限公司 全局流量调度的方法、装置及电子设备
CN108255579A (zh) * 2018-01-11 2018-07-06 浪潮(北京)电子信息产业有限公司 一种基于kvm平台的虚拟机管理方法及装置
CN108469982A (zh) * 2018-03-12 2018-08-31 华中科技大学 一种容器在线迁移方法
CN109086118A (zh) * 2018-07-25 2018-12-25 浪潮(北京)电子信息产业有限公司 基于KVM的vTPM虚拟机迁移方法、装置及设备
CN109240712A (zh) * 2018-08-22 2019-01-18 深信服科技股份有限公司 一种安全工作空间的数据迁移方法及终端、存储介质
CN110121857A (zh) * 2016-12-30 2019-08-13 华为技术有限公司 一种凭据分发的方法和设备
CN111090491A (zh) * 2019-07-03 2020-05-01 杭州海康威视系统技术有限公司 虚拟机任务状态的恢复方法、装置及电子设备
CN111600775A (zh) * 2020-05-15 2020-08-28 苏州浪潮智能科技有限公司 一种集群加密迁移的安全性测试方法、装置、设备和介质
WO2021184983A1 (zh) * 2020-03-16 2021-09-23 华为技术有限公司 一种虚拟机迁移方法及相关设备

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101405694A (zh) * 2006-03-21 2009-04-08 国际商业机器公司 迁移虚拟tpm实例以及保留该实例的唯一性和完整性的方法和装置
CN102209024A (zh) * 2010-03-30 2011-10-05 株式会社日立制作所 虚拟机的迁移方法以及系统
US8074262B2 (en) * 2005-05-13 2011-12-06 Intel Corporation Method and apparatus for migrating virtual trusted platform modules
US8108668B2 (en) * 2006-06-26 2012-01-31 Intel Corporation Associating a multi-context trusted platform module with distributed platforms
CN102455942A (zh) * 2010-12-02 2012-05-16 中标软件有限公司 一种广域网虚拟机动态迁移方法及系统
US8259948B2 (en) * 2007-12-29 2012-09-04 Intel Corporation Virtual TPM key migration using hardware keys

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8074262B2 (en) * 2005-05-13 2011-12-06 Intel Corporation Method and apparatus for migrating virtual trusted platform modules
CN101405694A (zh) * 2006-03-21 2009-04-08 国际商业机器公司 迁移虚拟tpm实例以及保留该实例的唯一性和完整性的方法和装置
US8108668B2 (en) * 2006-06-26 2012-01-31 Intel Corporation Associating a multi-context trusted platform module with distributed platforms
US8259948B2 (en) * 2007-12-29 2012-09-04 Intel Corporation Virtual TPM key migration using hardware keys
CN102209024A (zh) * 2010-03-30 2011-10-05 株式会社日立制作所 虚拟机的迁移方法以及系统
CN102455942A (zh) * 2010-12-02 2012-05-16 中标软件有限公司 一种广域网虚拟机动态迁移方法及系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
XIN WAN: "An improved vTPM migration protocol based trusted channel", 《SYSTEMS AND INFORMATICS (ICSAI)》 *
李生智: "可信虚拟域迁移技术研究", 《中国优秀硕士学位论文全文数据库 信息科技辑》 *

Cited By (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104461779B (zh) * 2014-11-28 2018-02-23 华为技术有限公司 一种分布式数据的存储方法、装置及系统
CN104461779A (zh) * 2014-11-28 2015-03-25 华为技术有限公司 一种分布式数据的存储方法、装置及系统
CN105988826A (zh) * 2015-01-29 2016-10-05 上海庆科信息技术有限公司 一种操控方法及装置
CN105988826B (zh) * 2015-01-29 2020-06-09 阿里云计算有限公司 一种操控方法及装置
CN106610863A (zh) * 2015-10-21 2017-05-03 华为技术有限公司 虚拟机可信迁移方法及装置
CN106610863B (zh) * 2015-10-21 2020-01-10 华为技术有限公司 虚拟机可信迁移方法及装置
CN105450450B (zh) * 2015-12-01 2019-07-12 深信服科技股份有限公司 虚拟网络参数配置方法和装置
CN105450450A (zh) * 2015-12-01 2016-03-30 深圳市深信服电子科技有限公司 虚拟网络参数配置方法和装置
CN110121857B (zh) * 2016-12-30 2021-02-09 华为技术有限公司 一种凭据分发的方法和设备
CN110121857A (zh) * 2016-12-30 2019-08-13 华为技术有限公司 一种凭据分发的方法和设备
CN107872402A (zh) * 2017-11-15 2018-04-03 北京奇艺世纪科技有限公司 全局流量调度的方法、装置及电子设备
CN108255579A (zh) * 2018-01-11 2018-07-06 浪潮(北京)电子信息产业有限公司 一种基于kvm平台的虚拟机管理方法及装置
CN108469982A (zh) * 2018-03-12 2018-08-31 华中科技大学 一种容器在线迁移方法
CN108469982B (zh) * 2018-03-12 2021-03-26 华中科技大学 一种容器在线迁移方法
CN109086118A (zh) * 2018-07-25 2018-12-25 浪潮(北京)电子信息产业有限公司 基于KVM的vTPM虚拟机迁移方法、装置及设备
CN109240712A (zh) * 2018-08-22 2019-01-18 深信服科技股份有限公司 一种安全工作空间的数据迁移方法及终端、存储介质
CN109240712B (zh) * 2018-08-22 2022-03-22 深信服科技股份有限公司 一种安全工作空间的数据迁移方法及终端、存储介质
CN111090491A (zh) * 2019-07-03 2020-05-01 杭州海康威视系统技术有限公司 虚拟机任务状态的恢复方法、装置及电子设备
WO2021184983A1 (zh) * 2020-03-16 2021-09-23 华为技术有限公司 一种虚拟机迁移方法及相关设备
CN111600775A (zh) * 2020-05-15 2020-08-28 苏州浪潮智能科技有限公司 一种集群加密迁移的安全性测试方法、装置、设备和介质
CN111600775B (zh) * 2020-05-15 2022-02-22 苏州浪潮智能科技有限公司 一种集群加密迁移的安全性测试方法、装置、设备和介质

Also Published As

Publication number Publication date
CN104113574B (zh) 2017-04-12

Similar Documents

Publication Publication Date Title
CN104113574A (zh) 一种广域网可信虚拟机的安全迁移方法及系统
US11870642B2 (en) Network policy generation for continuous deployment
US10250685B2 (en) Creating layer 2 extension networks in a hybrid cloud computing system
US10892942B2 (en) Container-based cloud exchange disaster recovery
US9329894B2 (en) Method and apparatus for extending local area networks between clouds and permanently migrating virtual machines using static network addresses
US9201704B2 (en) System and method for migrating application virtual machines in a network environment
US9430256B2 (en) Method and apparatus for migrating virtual machines between cloud computing facilities using multiple extended local virtual networks and static network addresses
US9135050B2 (en) Extensible network configuration management
US20230107891A1 (en) User interface for cloud native software-defined network architectures
KR20220060525A (ko) 보안성 향상된, 자동적으로 배치되는 정보 기술(it) 시스템 및 방법
US8875132B2 (en) Method and apparatus for implementing virtual proxy to support heterogeneous systems management
US20210344719A1 (en) Secure invocation of network security entities
US11567672B2 (en) Data and configuration integrity checking post-rollback using backups in virtualized computing environments
US20230336414A1 (en) Network policy generation for continuous deployment
EP4160409A1 (en) Cloud native software-defined network architecture for multiple clusters
EP4160411A1 (en) Virtual network routers for cloud native software-defined network architectures
Bai et al. A novel vsftp-based kvm virtualization cloud deployment scheme
US11645158B2 (en) Automated rollback in virtualized computing environments
Lombard Migrating and Consuming Workloads on VMC
EP4395268A1 (en) Network policy validation
US20240036934A1 (en) Virtual edge devices
US20110060815A1 (en) Automatic attachment of server hosts to storage hostgroups in distributed environment
Jamaati Modern IT Infrastructure With OpenStack
CN117099082A (zh) 用于云原生软件定义网络架构的用户界面

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20240320

Address after: Room 711C, Floor 7, Building A, Yard 19, Ronghua Middle Road, Daxing District, Beijing Economic-Technological Development Area, 100176

Patentee after: Beijing Zhongke Flux Technology Co.,Ltd.

Country or region after: China

Address before: 100190 No. 6 South Road, Zhongguancun Academy of Sciences, Beijing, Haidian District

Patentee before: Institute of Computing Technology, Chinese Academy of Sciences

Country or region before: China

TR01 Transfer of patent right