CN110365577A - 一种安全资源池的引流系统 - Google Patents

Abstract

本申请提供一种安全资源池的引流系统，涉及网络安全技术领域，用以解决主备安全资源池切换速度慢的问题。该系统中，第一引流虚拟机和第二引流虚拟机分别部署在不同的资源池宿主机上；出口路由器将数据中心的数据传输至虚拟地址的拥有者的资源池宿主机；若部署虚拟地址的拥有者的资源池宿主机发生故障，则共用虚拟地址的另一资源池宿主机部署的引流虚拟机为虚拟地址的新的拥有者，以使虚拟地址的新的拥有者对数据中心的数据进行安全检查。这样，由于将虚拟地址作为出口路由器的下一跳IP地址，即使资源池宿主机下线，也无需更改出口路由器的下一跳IP地址，不依赖于资源池控制器的决策，仅切换虚拟地址的拥有者即可，资源池切换速度快。

Description

一种安全资源池的引流系统

技术领域

本申请涉及网络安全技术领域，尤其涉及一种安全资源池的引流系统。

背景技术

当前随着虚拟化、云计算的兴起，云端把计算资源、网络资源、存储资源等等虚拟化之后以服务的形式提供给租户，做到了资源的按需分配、快速部署。在这个演进的浪潮中，传统盒式部署的安全产品已经跟不上云计算的步伐，固定的部署方式，无法在云计算中对不断变化的网络和计算资源进行及时、按需的防护，造成云计算中心的安全隐患。随着等保2.0的推进，对云计算安全作出了明确的规范，各安全厂商陆续推出能够适应云计算特点的安全能力池化产品，即安全资源池。

在安全资源池中，安全厂商将传统安全盒式产品进行虚拟化并通过SDN方式对引流进行按需编排，即让数据流经指定的一系列虚拟化安全设备，实现安全防护。安全资源池属于数据中心Underlay网络的一部分，所以安全资源池也要与数据中心Underlay的数通网络达到同样的可靠性和故障收敛速度。同时在安全资源池中，还必须支持平滑扩容和多数据中心接入，这就对安全资源池的部署提出了很高的要求。

然而，现有技术中安全资源池部署方案中存在着故障发现延迟、主备安全资源池切换速度慢、还存在着安全资源池处理资源浪费的问题。

发明内容

为了对数据中心进行安全防护，解决现有技术中故障发现延迟和检测结果的有效性低的问题，本申请实施例提供一种安全资源池的引流系统。

第一方面，本申请实施例提供一种安全资源池的引流系统，该系统包括：至少一个数据中心、至少两个资源池宿主机、第一引流虚拟机和第二引流虚拟机；所述第一引流虚拟机和所述第二引流虚拟机相互为备用关系；

各数据中心通过各自的出口路由器与所述资源池宿主机连接；

所述第一引流虚拟机和所述第二引流虚拟机分别部署在不同的所述资源池宿主机上，且用于对数据中心的数据进行安全检查；

其中，在所述第一引流虚拟机和第二引流虚拟机运行VRRP协议，所述第一引流虚拟机和所述第二引流虚拟机共用虚拟地址；同一时刻所述虚拟地址的拥有者为所述第一引流虚拟机或者所述第二引流虚拟机；

所述虚拟地址为所述出口路由器的下一跳IP地址，所述出口路由器将数据中心的数据传输至所述虚拟地址的拥有者的资源池宿主机；

若部署所述虚拟地址的拥有者的资源池宿主机发生故障，则共用所述虚拟地址的另一资源池宿主机部署的引流虚拟机为所述虚拟地址的新的拥有者，以使所述虚拟地址的新的拥有者对数据中心的数据进行安全检查。

可选的，所述系统还包括：两个集群交换机；同一数据中心的出口路由器的数量为至少两个；

所述至少两个出口路由器通过虚拟局域网与所述两个集群交换机连接，其中每个出口路由器连接一个集群交换机；且，相邻两个出口路由器和所述两个集群交换机形成口字型组网结构；

所述至少两个出口路由器中相邻的出口路由器之间通过虚拟局域网连接，所述两个集群交换机之间通过虚拟局域网连接；其中，所述两个集群交换机和所述至少两个出口路由器运行生成树协议。

可选的，集群交换机和/或出口路由器，在探测到由所述出口路由器和所述集群交换机构成的环形链路时，通过所述生成树协议的标准计算得到所述环形链路上需要阻断的端口，并阻断所述端口；以及探测到所述环形链路上的端口出现故障时，打开阻断的所述端口。

可选的，若各数据中心的出口路由器中每相邻的两出口路由器构成出口路由器组，不同出口路由器组采用不同的虚拟局域网，且不同数据中心的出口路由器的虚拟局域网不同。

可选的，同一数据中心的出口路由器的下一跳IP地址相同，不同数据中心的出口路由器的下一跳IP地址不同。

可选的，各数据中心通过各自的出口路由器与所述资源池宿主机连接，包括：

所述出口路由器通过所述集群交换机的bond端口与资源池宿主机连接；其中，一个资源池宿主机与两个集群交换机的bond端口连接。

可选的，所述bond端口包括至少两个接口，所述bond端口具体用于：

若所述bond端口的任一接口均可用，则根据五元组确定传输所述数据中心的数据的接口；

若所述bond端口的至少一个接口发生故障，则通过未发生故障的接口传输所述数据中心的数据；

可选的，所述虚拟地址的拥有者是通过所述第一虚拟机和所述第二虚拟机协商确定的，或者，

所述虚拟地址的拥有者是预先确定的。

第二方面，本申请实施例还提供一种基于安全资源池的安全检查方法，该方法包括：

第二引流虚拟机若未获得虚拟地址的权限，则检测第一引流虚拟机是否发生故障；其中，在所述第一引流虚拟机和第二引流虚拟机运行VRRP协议，同一时刻所述虚拟地址的拥有者为所述第一引流虚拟机或者所述第二引流虚拟机；所述第一引流虚拟机和所述第二引流虚拟机互为备用关系；所述第一引流虚拟机和所述第二引流虚拟机分别部署在不同的资源池宿主机上；

若所述第一引流虚拟机发生故障，则确定获得所述虚拟地址的权限；

接收数据中心的数据；其中，所述虚拟地址为所述数据中心的出口路由器的下一跳IP地址；

对所述数据进行安全检查；

若所述第一引流虚拟机未发生故障，则返回执行检测所述第一引流虚拟机是否发生故障的步骤。

可选的，第二引流虚拟机若未获得虚拟地址的权限，则检测第一引流虚拟机是否发生故障之前，所述方法还包括：

与所述第一引流虚拟机协商所述虚拟地址的拥有者；其中，所述数据中心的数据是由所述虚拟地址的拥有者进行安全检查的。

第三方面，本申请另一实施例还提供了一种计算装置，包括至少一个处理器；以及与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行本申请实施例提供的基于安全资源池的安全检查方法。

第四方面，本申请另一实施例还提供了一种计算机存储介质，其中，所述计算机存储介质存储有计算机可执行指令，所述计算机可执行指令用于使计算机执行本申请实施例中的基于安全资源池的安全检查方法。

本申请实施例提供的一种安全资源池的引流系统，由于将虚拟地址作为出口路由器的下一跳IP地址，所以，即使资源池宿主机下线，也无需更改出口路由器的下一跳IP地址，不依赖于资源池控制器的决策，仅切换虚拟地址的拥有者即可，资源池切换速度快，且通过VRRP协议提高了检测结果的有效性。

本申请的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本申请而了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例中所需要使用的附图作简单地介绍，显而易见地，下面所介绍的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例中常规的安全资源池结构示意图；

图2为本申请实施例中一种安全资源池的引流系统的结构示意图；

图3为本申请实施例中另一种安全资源池的引流系统的结构示意图；

图4为本申请实施例中一种故障保护机制的示意图；

图5为本申请实施例中另一种安全资源池的引流系统的结构示意图；

图6为本申请实施例中另一种故障保护机制的示意图；

图7为本申请实施例中另一种故障保护机制的示意图；

图8为本申请实施例中一种基于安全资源池的安全检查方法的流程示意图；

图9为本申请实施例中一种基于安全资源池的安全检查装置示意图；

图10为根据本申请实施方式的计算装置结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。

为了能够清楚的了解本申请实施例提供的技术方案，下面对常规的安全资源池部署方案进行说明：

参阅图1，为常规的安全资源池结构示意图。如图1所示，主安全资源池和备安全资源池与引流交换机Core Switch以双上行方式连接。Core Switch将策略路由器的下一跳IP地址设置为主安全资源池IP地址，数据中心Router的数据由策略路由器通过Core Switch发送至主安全资源池。

主安全资源池不断使用ping(网络诊断工具)探测，探测与Core Switch之间的链路状态。若探测到链路出现故障，则通知资源池控制服务器链路出现故障的提示信息，资源池控制服务器接收到该提示信息后，通知Core Switch将策略路由器的下一跳IP地址设置为备安全资源池IP地址。同时，资源池控制器使用ping探测，探测主安全资源池的状态，若发现主安全资源池宕机，则通知Core Switch将策略路由器的下一跳IP地址设置为备安全资源池IP地址。

同样的，备安全资源池也不断使用ping探测，探测与Core Switch之间的链路状态。若探测到链路出现故障，则通知资源池控制器，使得资源池控制通知Core Switch修改策略路由器的下一跳IP地址。同时，资源池控制器使用ping探测，探测备安全资源池的状态，若发现备安全资源池宕机，则通知Core Switch修改策略路由器的下一跳IP地址。

但是，由于ping探测使用的ping包在Core Switch上处理优先级较低，可能被延迟处理造成探测错误。并且，由于所有的探测结果需要汇总到资源池控制器，也会导致故障发现的延迟。此外，由于在发现故障后，需要资源池控制器与Core Switch交互，修改策略路由器的下一跳IP地址，这样会导致主备安全资源池切换耗时长的问题。尤其是在存在大量的策略路由器时，会加剧切换耗时长的问题，也会导致策略路由器正常业务流量被中断时间较长。不仅如此，在安全资源池与Core Switch之间的链路出现问题时，也需要切换主备安全资源池，不能充分利用安全资源池的处理能力，造成处理资源浪费。

为了解决上述问题，本申请实施例提供一种安全资源池的引流系统。参阅图2，为本申请实施例中一种安全资源池的引流系统的结构示意图。该系统包括：数据中心200、数据中心200的出口路由器X和数据中心200的出口路由器Y，集群交换机A和集群交换机B，资源池宿主机1、资源池宿主机2、资源池宿主机3和资源池宿主机4。

其中，数据中心200通过出口路由器X与集群交换机A连接，以及数据中心200通过出口路由器Y与集群交换机B连接。具体的，出口路由器X通过虚拟局域网与集群交换机A连接，出口路由器Y通过虚拟局域网与集群交换机B连接。出口路由器X与出口路由器Y通过虚拟局域网连接，集群交换机A与集群交换机B通过虚拟局域网连接。资源池宿主机1和资源池宿主机2分别通过bonda端口和bondc与集群交换机A连接，资源池宿主机1和资源池宿主机2分别通过bondb端口和bondd端口与集群交换机B连接。资源池宿主机3和资源池宿主机4分别通过bonde端口和bondg端口与集群交换机A连接，资源池宿主机3和资源池宿主机4分别通过bondf端口和bondh端口与集群交换机B连接。

下面为了能够清楚地了解本申请提供的技术方案，首先介绍本申请实施例中集群交换机与出口路由器之间的连接方法。

参阅图3，为本申请实施例中另一种安全资源池的引流系统的结构示意图。具体的，数据中心200的出口路由器X通过虚拟局域网与集群交换机A连接，数据中心200的出口路由器Y通过虚拟局域网与集群交换机B连接。出口路由器X与出口路由器Y通过虚拟局域网连接，集群交换机A与集群交换机B通过虚拟局域网连接。

可选的，各数据中心的出口路由器中每相邻的两出口路由器构成出口路由器组，不同出口路由器组采用不同的虚拟局域网。例如，数据中心200的出口路由器X和出口路由器Y构成数据中心200的出口路由器组。数据中心200的出口路由器R(图中未示出)和出口路由器T(图中未示出)构成数据中心200的另一出口路由器组。则，出口路由器X和出口路由器Y的虚拟局域网，与出口路由器R和出口路由器T的虚拟局域网不同。不同数据中心的出口路由器的虚拟局域网不同。例如，数据中心200的虚拟局域网与数据中心210(图中未示出)的虚拟局域网不同。

可选的，同一数据中心的出口路由器的下一跳IP地址相同，例如，数据中心200的出口路由器X和出口路由器Y的下一跳IP地址相同。不同数据中心的出口路由器的下一跳IP地址不同，例如，数据中心200的出口路由器的下一跳IP地址与数据中心210的出口路由器的下一跳IP地址不同。

具体实施时，在出口路由器X、出口路由器Y、集群交换机A和集群交换机B上运行生成树协议。具体的，可以是STP(Spanning Tree Protocol,生成树)协议，或者是RSTP(RapidSpanning Tree Protocol,快速生成树)协议。本申请实施例中以STP协议为例，做进一步说明。

在出口路由器X、出口路由器Y、集群交换机A和集群交换机B上运行STP协议，探测网络拓扑结构。在探测到由所述出口路由器和所述集群交换机构成的环形链路时，通过所述生成树协议的标准计算得到所述环形链路上需要阻断的端口，并阻断所述端口。在探测到所述环形链路上的端口出现故障时，打开阻断的所述端口。

具体的，根据STP协议的标准计算出根桥。具体实施时，通过网桥ID选举根桥。网桥ID由桥优先级值和桥MAC(Media Access Control Address)地址两部分组成。优先选取桥优先级低的设备作为根桥，若桥优先级相同，则选取MAC地址较小的设备作为网桥。具体实施时，桥优先级可以自行配置。

例如，出口路由器X的桥ID为优先级32768，MAC地址00D0.FFA3.B084；出口路由器Y的桥ID为优先级4096，MAC地址0030.A323.E39E，集群交换机A的桥ID为优先级32766，MAC地址000D.2800.B101，集群交换机B的桥ID为优先级4077，MAC地址为0030.2800.B101,则确定集群交换机B的优先级最低，确定集群交换机B为根桥。

又例如，出口路由器X的桥ID为优先级32768，MAC地址00D0.FFA3.B084；出口路由器Y的桥ID为优先级32768，MAC地址0030.A323.E39E，集群交换机A的桥ID为优先级32768，MAC地址000D.2800.B101，集群交换机B的桥ID为优先级32768，MAC地址为0030.2800.B101，则确定优先级相同，选择MAC地址较小的作为根桥。其中，集群交换机A的MAC地址较小，则确定集群交换机A为根桥。

在本申请实施例中，以集群交换机A为根桥为例，做进一步解释。进一步的，确定根端口。具体实施时，根端口为通往根桥的链路开销最小的端口。其中，带宽越大链路开销越小，优先级越高。除根桥以外的设备上只存在一个根端口，根桥上不存在根端口。本实施例中的根端口如图3中灰色端口所示。

进一步的，在各个设备中除根端口之外的端口中，确定指定端口。集群交换机B、出口路由器X和出口路由器Y皆有剩余端口，将这些剩余端口作为待定端口。则，需要比较集群交换机B、出口路由器X和出口路由器Y中的根端口到根桥的开销。开销最低的设备的待定端口为指定端口。若开销相同，则需要出口路由器X、集群交换机B和出口路由器Y交换BPDU(Bridge Protocol Data Unit，网桥协议数据单元)，此时，桥ID较低者会赢得竞争，则桥ID较低的设备的端口为指定端口(如图3中白色端口)。而桥ID较高的设备的端口被认定为非指定端口(如图3中黑色端口)。

最终，指定端口以及根端口用于进行数据传输，而非指定端口则被禁用。

具体实施时，集群交换机A、集群交换机B、出口路由器X和出口路由器Y可以不断的探测网络拓扑结构，在发现环形链路上的端口出现故障时，打开被禁用的非指定端口。

上述系统，由于使用了STP协议，相对于ping探测能够快速的发现故障，不会出现延迟。并且，由于不依赖于资源池控制器做出决策将决策下发，能够在故障时快速打开阻断的端口，以保证数据的正常传输，解决了由于出口路由器故障导致业务被中断时间较长的问题。此外，只在端口发生故障时，不需要切换主备资源池，仅切换端口即可，能够充分利用资源池的处理能力。

参阅图4，为本申请实施例中一种故障保护机制的示意图。

如图4所示，用户通过Internet访问数据中心A和数据中心B。该场景中，Trunk表示串口，Acess Vlan表示接入的虚拟局域网、vlanif3表示虚拟局域网协议；下图中相同符号含义相同，本申请不再赘述。

数据中心A的出口路由器A1和数据中心A的出口路由器A2构成数据中心A的出口路由器集POD1，数据中心B的出口路由器B1和数据中心B的出口路由器B2构成POD2。其中，为POD1部署虚拟局域网vlan3，为POD2部署vlan4。GE表示vlan串口。引流虚拟机用于接收数据中心的数据，安全虚拟机用于对引流虚拟机接受的数据进行安全防护。图4中，线路1由GE1-GE2-GE3-GE4-GE5构成，线路2由GE6-GE7-GE8-GE9-GE4-GE5构成，线路1和线路2表示数据中心A的数据流向，叉表示线路故障。

具体实施时，在A1、A2、集群交换机1和集群交换机2之间运行STTP协议。在发现GE2故障、或者GE3故障，或者GE2和GE3之间的线路故障时，可打开被禁用的GE串口，使得Internet访问数据中心A的数据能够被传输至资源池宿主机1。也即使用图4中线路2来接替故障线路的工作。

接下来介绍本申请实施例中一种安全资源池的引流系统的集群交换机与资源池宿主机的连接方法。

参阅图5，为本申请实施例中另一种安全资源池的引流系统的结构示意图。其中，资源池宿主机1和资源池宿主机2分别通过bonda端口和bondc与集群交换机A连接，资源池宿主机1和资源池宿主机2分别通过bondb端口和bondd端口与集群交换机B连接。

可选的，各bond端口包括至少两个接口。本申请实施例中以bond端口包括两个接口为例进行说明。

bonda端口包括接口m和接口n，在接口m和接口n均可以用时，bonda端口根据五元组确定传输数据中心的数据的接口。或者，还可以在接口m和接口n随机选择一个接口传输数据中心的数据。

例如，在接口m和接口n均可用时，bonda接口随机选择接口m传输数据中心的数据。

在接口m或接口n故障时，则通过未发生故障的接口传输所述数据中心的数据。例如，bonda端口在检测到接口m故障时，则通过接口n传输数据中心的数据。

参阅图6，为本申请实施例中另一种故障保护机制的示意图。图6中线路1由GE1-GE2-GE3-GE4-GE5构成，线路2由GE1-GE2-GE3-GE4-GE10构成。Bond1接口由GE5和GE10构成。

在Bond1接口检测到GE5串口故障时，线路1故障无法传输数据。此时，通过未故障的GE10串口将数据中心A的数据传输至资源池宿主机1中，也即使用图6中的线路2来接替故障线路的工作。

具体实施时，该系统还包括第一引流虚拟机和第二引流虚拟机。第一引流虚拟机部署在资源池宿主机1中，第二引流虚拟机部署在资源池宿主机2中。在所述第一引流虚拟机和第二引流虚拟机运行VRRP(Virtual Router Redundancy Protocol,虚拟路由器冗余协议)协议，第一引流虚拟机和第二引流虚拟机共用虚拟地址，虚拟地址在第一引流虚拟机或者第二引流虚拟机生效。

参阅图7，为本申请实施例中另一种故障保护机制的示意图。图7中线路1由GE1-GE2-GE3-GE4-GE5构成，线路2由GE1-GE2-GE3-GE11-GE12构成。

其中，资源池宿主机1中部署的引流虚拟机为虚拟地址的拥有者。资源池宿主2实时探测资源池宿主机1的在线状态，若探测到资源池宿主机1离线，则线路1故障无法传输数据。此时，资源池宿主机2中部署的引流虚拟机为虚拟地址的新的拥有者。资源池宿主机2通过线路2接收用户通过Internet访问数据中心A的数据。

具体的，将虚拟地址作为数据中心的出口路由器的下一跳IP，用于接收数据中心的数据。第一引流虚拟机和第二引流虚拟机确定虚拟地址的拥有者。具体实施时，虚拟地址的拥有者可以是第一引流虚拟机和第二引流虚拟机协商得到的，也可以是预先确定的，本申请不做具体限定。

在一个可能的实施例中，第一引流虚拟机和第二引流虚拟机通过协商确定第一引流虚拟机为虚拟地址的拥有者。则，资源池宿主机1接收数据中心的数据，对接收的数据进行安全检查。

同时，第二引流虚拟机不断探测第一引流虚拟机的在线状态，若确定第一引流虚拟机不在线，则将虚拟地址的拥有者确定为自身，即第二引流虚拟机。此时，资源池宿主机2接收数据中心的数据，对接收的数据进行安全检查。

在一个可能的实施例中，为了加快对数据中心的安全防护，可以分别在资源池宿主机1和资源池宿主机2中部署两个引流虚拟机。即，在资源池宿主机1中部署第一引流虚拟机和第三引流虚拟机，在资源池宿主机2中部署第二引流虚拟机和第四引流虚拟机。其中，第一引流虚拟机和第二引流虚拟机共用虚拟地址α，第三引流虚拟机和第四引流虚拟机共用虚拟地址β。并，预先确定第一引流虚拟机为虚拟地址α的拥有者，第四引流虚拟机为虚拟地址β的拥有者。

具体的，将数据中心200的出口路由器X的下一跳IP地址设置为虚拟地址α，数据中心200的出口路由器Y的下一跳IP地址设置为虚拟地址β。资源池宿主机1接收出口路由器X通过集群交换机A发送的数据中心的数据，资源池宿主机2接收出口路由器Y通过集群交换机B发送的数据中心的数据。即，资源池宿主机1和资源池宿主机2同时对接收的数据进行安全检查。

这样，能够充分利用资源池宿主机的处理资源，提高安全防护的效率。

若资源池宿主机1发生故障，则第二引流虚拟机为虚拟地址α的新的拥有者。所以，资源池宿主机2接收出口路由器X通过集群交换机A发送的数据中心的数据，接收出口路由器Y通过集群交换机B发送的数据中心的数据，对接收的数据进行安全检查。

上述系统，由于将虚拟地址作为出口路由器的下一跳IP地址，所以，即使资源池宿主机下线，也无需更改出口路由器的下一跳IP地址，不依赖于资源池控制器的决策，仅切换虚拟地址的拥有者即可，资源池切换速度快。

基于相同的发明构思，本申请实施例中还提供一种基于安全资源池的安全检查方法。参阅图8，为本申请实施例中一种基于安全资源池的安全检查方法的流程示意图，可以包括以下步骤：

步骤801：判断第二引流虚拟机是否获得虚拟地址的权限，若未获得则执行步骤802；若获得，则执行步骤804。

步骤802：检测第一引流虚拟机是否发生故障，若是，则执行步骤803；若否，则继续执行步骤802。

其中，在所述第一引流虚拟机和第二引流虚拟机运行VRRP协议，同一时刻所述虚拟地址的拥有者为所述第一引流虚拟机或者所述第二引流虚拟机；所述第一引流虚拟机和所述第二引流虚拟机互为备用关系；所述第一引流虚拟机和所述第二引流虚拟机分别部署在不同的资源池宿主机上；

步骤803：确定获得所述虚拟地址的权限，继续执行步骤804。

步骤804：接收数据中心的数据，继续执行步骤805。

步骤805：对所述数据进行安全检查。

可选的，执行步骤801之前，还包括：

与所述第一引流虚拟机协商所述虚拟地址的拥有者；其中，所述数据中心的数据是由所述虚拟地址的拥有者进行安全检查的。

基于相同的发明构思，还提供一种基于安全资源池的安全检查装置。参阅图9，为本申请实施例中一种基于安全资源池的安全检查装置示意图。该装置包括：

检测模块901，用于第二引流虚拟机若未获得虚拟地址的权限，则检测第一引流虚拟机是否发生故障；

其中，在所述第一引流虚拟机和第二引流虚拟机运行VRRP协议，同一时刻所述虚拟地址的拥有者为所述第一引流虚拟机或者所述第二引流虚拟机；所述第一引流虚拟机和所述第二引流虚拟机互为备用关系；所述第一引流虚拟机和所述第二引流虚拟机分别部署在不同的资源池宿主机上；

确定模块902，用于若所述第一引流虚拟机发生故障，则确定获得所述虚拟地址的权限；

接收模块903，用于接收数据中心的数据；其中，所述虚拟地址为所述数据中心的出口路由器的下一跳IP地址；

检查模块904，用于对所述数据进行安全检查；

返回模块905，用于若所述第一引流虚拟机未发生故障，则返回执行检测所述第一引流虚拟机是否发生故障的步骤。

可选的，所述装置还包括：

协商模块，用于第二引流虚拟机若未获得虚拟地址的权限，则检测第一引流虚拟机是否发生故障之前，与所述第一引流虚拟机协商所述虚拟地址的拥有者；其中，所述数据中心的数据是由所述虚拟地址的拥有者进行安全检查的。

在介绍了本申请示例性实施方式的一种安全资源池的引流系统、基于安全资源池的安全检查方法和装置之后，接下来，介绍根据本申请的另一示例性实施方式的计算装置。

所属技术领域的技术人员能够理解，本申请的各个方面可以实现为系统、方法或程序产品。因此，本申请的各个方面可以具体实现为以下形式，即：完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等)，或硬件和软件方面结合的实施方式，这里可以统称为“电路”、“模块”或“系统”。

在一些可能的实施方式中，根据本申请的计算装置可以至少包括至少一个处理器、以及至少一个存储器。其中，存储器存储有程序代码，当程序代码被处理器执行时，使得处理器执行本说明书上述描述的根据本申请各种示例性实施方式的安全资源池的引流系统、基于安全资源池的安全检查方法中的步骤。例如，处理器可以执行如图8中所示的步骤801-步骤805。

下面参照图10来描述根据本申请的这种实施方式的计算装置130。图10显示的计算装置130仅仅是一个示例，不应对本申请实施例的功能和使用范围带来任何限制。

如图10所示，计算装置130以通用计算装置的形式表现。计算装置130的组件可以包括但不限于：上述至少一个处理器131、上述至少一个存储器132、连接不同系统组件(包括存储器132和处理器131)的总线133。

总线133表示几类总线结构中的一种或多种，包括存储器总线或者存储器控制器、外围总线、处理器或者使用多种总线结构中的任意总线结构的局域总线。

存储器132可以包括易失性存储器形式的可读介质，例如随机存取存储器(RAM)1321和/或高速缓存存储器1322，还可以进一步包括只读存储器(ROM)1323。

存储器132还可以包括具有一组(至少一个)程序模块1324的程序/实用工具1325，这样的程序模块1324包括但不限于：操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。

计算装置130也可以与一个或多个外部设备134(例如键盘、指向设备等)通信，还可与一个或者多个使得用户能与计算装置130交互的设备通信，和/或与使得该计算装置130能与一个或多个其它计算装置进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)端口135进行。并且，计算装置130还可以通过网络适配器136与一个或者多个网络(例如局域网(LAN)，广域网(WAN)和/或公共网络，例如因特网)通信。如图所示，网络适配器136通过总线133与用于计算装置130的其它模块通信。应当理解，尽管图中未示出，可以结合计算装置130使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据第二份存储系统等。

在一些可能的实施方式中，本申请提供的一种安全资源池的引流系统、基于安全资源池的安全检查方法的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当程序产品在计算机设备上运行时，程序代码用于使计算机设备执行本说明书上述描述的根据本申请各种示例性实施方式的一种安全资源池的引流系统、基于安全资源池的安全检查方法中的步骤，例如，计算机设备可以执行如图8中所示的步骤801-步骤805。

程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。

本申请的实施方式的用于安全资源池的引流系统、基于安全资源池的安全检查的程序产品可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码，并可以在计算装置上运行。然而，本申请的程序产品不限于此，在本文件中，可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。

可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括——但不限于——电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。

可读介质上包含的程序代码可以用任何适当的介质传输，包括——但不限于——无线、有线、光缆、RF等等，或者上述的任意合适的组合。

可以以一种或多种程序设计语言的任意组合来编写用于执行本申请操作的程序代码，程序设计语言包括面向对象的程序设计语言—诸如Java、C++等，还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算装置上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算装置上部分在远程计算装置上执行、或者完全在远程计算装置或服务器上执行。在涉及远程计算装置的情形中，远程计算装置可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算装置，或者，可以连接到外部计算装置(例如利用因特网服务提供商来通过因特网连接)。

应当注意，尽管在上文详细描述中提及了装置的若干单元或子单元，但是这种划分仅仅是示例性的并非强制性的。实际上，根据本申请的实施方式，上文描述的两个或更多单元的特征和功能可以在一个单元中具体化。反之，上文描述的一个单元的特征和功能可以进一步划分为由多个单元来具体化。

此外，尽管在附图中以特定顺序描述了本申请方法的操作，但是，这并非要求或者暗示必须按照该特定顺序来执行这些操作，或是必须执行全部所示的操作才能实现期望的结果。附加地或第二选地，可以省略某些步骤，将多个步骤合并为一个步骤执行，和/或将一个步骤分解为多个步骤执行。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本申请的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims (10)

1.一种安全资源池的引流系统，其特征在于，所述系统包括至少一个数据中心、至少两个资源池宿主机、第一引流虚拟机和第二引流虚拟机；所述第一引流虚拟机和所述第二引流虚拟机相互为备用关系；

各数据中心通过各自的出口路由器与所述资源池宿主机连接；

所述第一引流虚拟机和所述第二引流虚拟机分别部署在不同的所述资源池宿主机上，且用于对数据中心的数据进行安全检查；

其中，在所述第一引流虚拟机和第二引流虚拟机运行VRRP协议，所述第一引流虚拟机和所述第二引流虚拟机共用虚拟地址；同一时刻所述虚拟地址的拥有者为所述第一引流虚拟机或者所述第二引流虚拟机；

所述虚拟地址为所述出口路由器的下一跳IP地址，所述出口路由器将数据中心的数据传输至所述虚拟地址的拥有者的资源池宿主机；

若部署所述虚拟地址的拥有者的资源池宿主机发生故障，则共用所述虚拟地址的另一资源池宿主机部署的引流虚拟机为所述虚拟地址的新的拥有者，以使所述虚拟地址的新的拥有者对数据中心的数据进行安全检查。

2.根据权利要求1所述的系统，其特征在于，所述系统还包括：两个集群交换机；同一数据中心的出口路由器的数量为至少两个；

所述至少两个出口路由器通过虚拟局域网与所述两个集群交换机连接，其中每个出口路由器连接一个集群交换机；且，相邻两个出口路由器和所述两个集群交换机形成口字型组网结构；

所述至少两个出口路由器中相邻的出口路由器之间通过虚拟局域网连接，所述两个集群交换机之间通过虚拟局域网连接；其中，所述两个集群交换机和所述至少两个出口路由器运行生成树协议。

3.根据权利要求2所述的系统，其特征在于，

集群交换机和/或出口路由器，在探测到由所述出口路由器和所述集群交换机构成的环形链路时，通过所述生成树协议的标准计算得到所述环形链路上需要阻断的端口，并阻断所述端口；以及探测到所述环形链路上的端口出现故障时，打开阻断的所述端口。

4.根据权利要求2所述的系统，其特征在于，各数据中心的出口路由器中每相邻的两出口路由器构成出口路由器组，不同出口路由器组采用不同的虚拟局域网，且不同数据中心的出口路由器的虚拟局域网不同。

5.根据权利要求4所述的系统，其特征在于，

同一数据中心的出口路由器的下一跳IP地址相同，不同数据中心的出口路由器的下一跳IP地址不同。

6.根据权利要求2所述的系统，其特征在于，各数据中心通过各自的出口路由器与所述资源池宿主机连接，包括：

所述出口路由器通过所述集群交换机的bond端口与资源池宿主机连接；其中，一个资源池宿主机与两个集群交换机的bond端口连接。

7.根据权利要求6所述的系统，其特征在于，所述bond端口包括至少两个接口，所述bond端口具体用于：

若所述bond端口的任一接口均可用，则根据五元组确定传输数据中心的数据的接口；

若所述bond端口的至少一个接口发生故障，则通过未发生故障的接口传输数据中心的数据。

8.根据权利要求1所述的系统，其特征在于，所述虚拟地址的拥有者是通过所述第一虚拟机和所述第二虚拟机协商确定的，或者，

所述虚拟地址的拥有者是预先确定的。

9.一种基于安全资源池的安全检查方法，其特征在于，所述方法包括：

第二引流虚拟机若未获得虚拟地址的权限，则检测第一引流虚拟机是否发生故障；其中，在所述第一引流虚拟机和第二引流虚拟机运行VRRP协议，同一时刻所述虚拟地址的拥有者为所述第一引流虚拟机或者所述第二引流虚拟机；所述第一引流虚拟机和所述第二引流虚拟机互为备用关系；所述第一引流虚拟机和所述第二引流虚拟机分别部署在不同的资源池宿主机上；

若所述第一引流虚拟机发生故障，则确定获得所述虚拟地址的权限；

接收数据中心的数据；其中，所述虚拟地址为所述数据中心的出口路由器的下一跳IP地址；

对所述数据进行安全检查；

若所述第一引流虚拟机未发生故障，则返回执行检测所述第一引流虚拟机是否发生故障的步骤。

10.根据权利要求9所述的方法，其特征在于，第二引流虚拟机若未获得虚拟地址的权限，则检测第一引流虚拟机是否发生故障之前，所述方法还包括：

与所述第一引流虚拟机协商所述虚拟地址的拥有者；其中，所述数据中心的数据是由所述虚拟地址的拥有者进行安全检查的。