CN113709017B - 虚拟化流量的采集方法及装置 - Google Patents
虚拟化流量的采集方法及装置 Download PDFInfo
- Publication number
- CN113709017B CN113709017B CN202110941943.4A CN202110941943A CN113709017B CN 113709017 B CN113709017 B CN 113709017B CN 202110941943 A CN202110941943 A CN 202110941943A CN 113709017 B CN113709017 B CN 113709017B
- Authority
- CN
- China
- Prior art keywords
- network
- tenant
- control system
- flow
- mirror image
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2441—Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2483—Traffic characterised by specific attributes, e.g. priority or QoS involving identification of individual flows
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种虚拟化流量的采集方法及装置,其中该方法包括:全局控制系统创建每一租户业务网络与采集网络的映射关系;区域控制系统根据映射关系,为每一租户业务网络的待采集镜像流量创建虚拟镜像端口并配置采集参数;虚拟交换机根据采集参数将镜像流量通过镜像端口发送至对应的区域控制系统;区域控制系统对镜像流量进行类型识别,将不同类型的镜像流量分发给不同的应用分析系统;全局控制系统对区域控制系统的流量类型识别结果,流量分发结果及应用分析系统的分析结果进行关联分析,统一呈现每一租户业务网络的业务信息及安全信息。本发明可以实现多租户场景下准确地对租户内东西向流量进行监控,提高了租户云上业务的安全性。
Description
技术领域
本发明涉及云计算技术领域,尤其涉及一种虚拟化流量的采集方法及装置。
背景技术
本部分旨在为权利要求书中陈述的本发明实施例提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。
公有云通过划分租户实现物理资源的共享以及虚拟网络的隔离,提高了资源的利用率,同时云计算可以对资源进行灵活分配,弹性扩容,快速恢复,使得运维效率大大提高,降低了项目部署的周期,节省了运维成本。随着云计算的发展,越来越多的业务选择云上部署,东西向的流量越来越大,无论从业务角度还是安全角度,都有必要对东西向流量进行监控。
对于租户内的流量,现有传统的物理的流量采集手段都变得不可用。对于数据中心通过镜像端口的方式采集流量,也不能满足多租户的场景,因为汇聚之后的流量无法区分租户信息。
发明内容
本发明实施例提供一种基于软件定义的虚拟化流量采集方法,用以实现多租户场景下准确地对租户内东西向流量进行监控,提高租户云上业务的安全性,该方法包括:
全局控制系统根据租户业务网络信息及采集网络信息,创建每一租户业务网络与采集网络的映射关系;
区域控制系统根据所述映射关系,为每一租户业务网络的待采集镜像流量创建虚拟镜像端口并配置采集参数;所述虚拟镜像端口为采集网络隧道的端节点,所述隧道信息包括隧道的源端地址、目的端地址及租户业务网络在采集网络中的标识,所述隧道的源端地址为租户侧地址,目的端地址为区域控制系统的地址;
虚拟交换机根据所述采集参数将所述镜像流量通过所述镜像端口发送至对应的区域控制系统;
区域控制系统对所述镜像流量进行类型识别,根据流量类型识别结果,将不同类型的镜像流量分发给不同的应用分析系统,得到流量分发结果;
全局控制系统对区域控制系统的流量类型识别结果,流量分发结果及应用分析系统的分析结果进行关联分析,统一呈现每一租户业务网络的业务信息及安全信息。
本发明实施例还提供一种基于软件定义的虚拟化流量采集装置,用以实现多租户场景下准确地对租户内东西向流量进行监控,提高租户云上业务的安全性,该装置包括:
全局控制系统,用于根据租户业务网络信息及采集网络信息,创建每一租户业务网络与采集网络的映射关系;对区域控制系统的流量类型识别结果,流量分发结果及应用分析系统的分析结果进行关联分析,统一呈现每一租户业务网络的业务信息及安全信息;
区域控制系统,用于根据所述映射关系,为每一租户业务网络的待采集镜像流量创建虚拟镜像端口并配置采集参数;对所述镜像流量进行类型识别,根据流量类型识别结果,将不同类型的镜像流量分发给不同的应用分析系统,得到流量分发结果;所述虚拟镜像端口为采集网络隧道的端节点,所述隧道信息包括隧道的源端地址、目的端地址及租户业务网络在采集网络中的标识,所述隧道的源端地址为租户侧地址,目的端地址为区域控制系统的地址;
虚拟交换机,用于根据所述采集参数将所述镜像流量通过所述镜像端口发送至对应的区域控制系统。
本发明实施例还提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述虚拟化流量的采集方法。
本发明实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述所述虚拟化流量的采集方法的步骤。
本发明实施例中,虚拟化流量的采集方案,通过:全局控制系统根据租户业务网络信息及采集网络信息,创建每一租户业务网络与采集网络的映射关系;区域控制系统根据所述映射关系,为每一租户业务网络的待采集镜像流量创建虚拟镜像端口并配置采集参数;所述虚拟镜像端口为采集网络隧道的端节点,所述隧道信息包括隧道的源端地址、目的端地址及租户业务网络在采集网络中的标识,所述隧道的源端地址为租户侧地址,目的端地址为区域控制系统的地址;虚拟交换机根据所述采集参数将所述镜像流量通过所述镜像端口发送至对应的区域控制系统;区域控制系统对所述镜像流量进行类型识别,根据流量类型识别结果,将不同类型的镜像流量分发给不同的应用分析系统,得到流量分发结果;全局控制系统对区域控制系统的流量类型识别结果,流量分发结果及应用分析系统的分析结果进行关联分析,统一呈现每一租户业务网络的业务信息及安全信息,可以实现多租户场景下准确地对租户内东西向流量进行监控,提高了租户云上业务的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1为本发明实施例中虚拟化流量的采集方法的流程示意图;
图2为本发明实施例中镜像流量处理的流程示意图;
图3为本发明实施例中虚拟化流量的采集的架构示意图;
图4为本发明实施例中虚拟化流量的采集的一个实例示意图;
图5为本发明实施例中虚拟化流量的采集装置的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚明白,下面结合附图对本发明实施例做进一步详细说明。在此,本发明的示意性实施例及其说明用于解释本发明,但并不作为对本发明的限定。
现有技术中有的方案提供了跨租户的东西向流量采集方式,该方法主要是通过openstack API接口获取租户信息以及扩展Linux内核捕获待采集租户的流量,该方法只适用于openstack平台,对于其他的云管平台或者虚拟化平台,都需要适配不同的接口。
本发明提供了一种虚拟化流量的采集方案,该方案为一种基于软件定义的虚拟化流量采集方案,该方案将采集和分析及控制系统按照转发和控制分离的原则进行设计,转发面通过openvswitch实现跨租户的流量采集。openvswitch作为工业级的虚拟交换机,适用于大部分的虚拟化平台,不需要对接虚拟化管控系统。本发明提供了基于软件定义的虚拟化流量采集方案通过openvswitch实现跨租户的流量采集,方案更简单,更通用。下面对该基于软件定义的虚拟化流量采集方案进行详细介绍。
图1为本发明实施例中虚拟化流量的采集方法的流程示意图,如图1所示,该方法包括如下步骤:
步骤101:全局控制系统根据租户业务网络信息及采集网络信息,创建每一租户业务网络与采集网络的映射关系;
步骤102:区域控制系统根据所述映射关系,为每一租户业务网络的待采集镜像流量创建虚拟镜像端口并配置采集参数;所述虚拟镜像端口为采集网络隧道的端节点,所述隧道信息包括隧道的源端地址、目的端地址及租户业务网络在采集网络中的标识,所述隧道的源端地址为租户侧地址,目的端地址为区域控制系统的地址;
步骤103:虚拟交换机根据所述采集参数将所述镜像流量通过所述镜像端口发送至对应的区域控制系统;
步骤104:区域控制系统对所述镜像流量进行类型识别,根据流量类型识别结果,将不同类型的镜像流量分发给不同的应用分析系统,得到流量分发结果;
步骤105:全局控制系统对区域控制系统的流量类型识别结果,流量分发结果及应用分析系统的分析结果进行关联分析,统一呈现每一租户业务网络的业务信息及安全信息。
本发明实施例提供的虚拟化流量的采集方法实现了租户内流量的安全检测,提高了租户资产的安全性。下面进行详细介绍。
在一个实施例中,所述租户业务网络的类型可以为虚拟局域网VLAN或虚拟扩展局域网VXLAN的网络类型;所述采集网络的隧道可以为VXLAN隧道,通用路由协议封装的网络虚拟化NVGRE隧道,通用网络虚拟化封装GENEVE隧道或分段路由互联网协议第6版SRv6隧道。
具体实施时,上述网络类型和隧道的实施方式可以进一步提高虚拟化流量采集的安全性。
发明人发现:现有方案中,通过在租户VPC网络内部署采集探针,该采集探针接收镜像流量,并通过弹性IP的方式将流量信息传输到控制分析系统,该方法需要安装采集探针,采集探针以虚拟机的形式存在,占用了租户的计算资源,通过弹性IP的方式传输镜像流量,也浪费了弹性IP的资源。因此提出了如下实施方案。
在一个实施例中,所述租户业务网络与采集网络隔离部署,所述租户业务网络与采集网络的网络类型可以是一致的网络类型,也可以是不一致的网络类型。
具体实施时,租户的业务网络与采集网络进行隔离部署,采集网络不影响原有的租户业务网络的运行,不占用租户的计算资源以及网络资源。
在一个实施例中,在上述步骤101中,全局控制系统根据租户业务网络信息及采集网络信息,创建每一租户业务网络与采集网络的映射关系,可以包括:全局控制系统根据租户业务网络信息及采集网络信息,创建每一租户业务网络标识与采集网络中租户网络标识的映射关系。
具体实施时,全局控制系统建立租户网络标识与采集网络中租户网络标识的映射关系,根据该关系进行后续的隧道创建,进而进行虚拟化流量的采集,进一步地提高了虚拟化流量采集的安全性。
在一个实施例中,所述租户业务网络可以存在多个虚拟私有云VPC;
在上述步骤101中,全局控制系统根据租户业务网络信息及采集网络信息,创建每一租户业务网络与采集网络的映射关系,可以包括:全局控制系统根据租户业务网络信息及采集网络信息,创建多个租户VPC业务网络标识与采集网络中租户网络标识的映射关系。
具体实施时,当租户网络存在多个VPC时,可以建立多个租户VPC网络标识与采集网络中租户网络标识的映射关系。比如,租户网络为VLAN类型,采集网络可以对租户标识重新管理,使用VXLAN隧道来承载租户的镜像流量,即分配VNI来标识租户,进一步的,当多个VPC网络互通时,可以建立L3VNI标识租户,L2VNI标识租户下的VPC。
在一个实施例中,所述采集网络采用转发与控制分离技术,所述采集网络的控制面采用分级管理。
具体实施时,转发和控制分离,有利于全局控制,提高转发的效率,控制面分层设计是为了减少控制面的负担,提高控制面的处理效率,同时也更可靠。
在一个实施例中,在上述步骤101中,全局控制系统根据租户业务网络信息及采集网络信息,创建每一租户业务网络与采集网络的映射关系,可以包括:全局控制系统根据租户的VPC区域信息及租户在采集网络的标识信息,创建每一租户业务网络与采集网络的映射关系;根据所述映射关系,将虚拟镜像端口配置信息下发至VPC区域信息相关的区域控制系统;
在上述步骤102中,区域控制系统根据所述映射关系,为每一租户业务网络的待采集镜像流量创建虚拟镜像端口并配置采集参数,可以包括:区域控制系统根据所述配置信息(采集参数、承载镜像流量的隧道信息),在所述VPC的虚拟交换机上为每一租户业务网络的待采集镜像流量创建虚拟镜像端口并配置采集参数。
具体实施时,全局控制系统根据待采集租户流量的VPC区域信息选择VPC区域相关的区域控制系统,并将采集参数、承载镜像流量的隧道信息下发给区域控制系统。区域控制系统根据采集参数和隧道信息,在所述VPC的OVS(虚拟交换机)上创建虚拟镜像端口,并配置镜像过滤条件。
在一个实施例中,在上述步骤104中,如图2所示,区域控制系统对所述镜像流量进行类型识别,根据流量类型识别结果,将不同类型的镜像流量分发给不同的应用分析系统,得到流量分发结果,可以包括:
步骤1041:区域控制系统对所述镜像流量进行预处理,得到预处理后的镜像流量;
步骤1042:对所述预处理后的镜像流量进行类型识别,得到流量类型识别结果;
步骤1043:根据所述流量类型识别结果,将不同类型的镜像流量分发给不同的应用分析系统,得到流量分发结果。
具体实施时,区域控制系统首先对所述镜像流量进行预处理,预处理可以包括过滤、去重、标记等,之后再进行流量识别,进行相应分发,进一步提高虚拟化流量采集的精度和效率。
在一个实施例中,在上述步骤104中,区域控制系统对所述镜像流量进行类型识别,根据流量类型识别结果,将不同类型的镜像流量分发给不同的应用分析系统,得到流量分发结果,可以包括:
区域控制系统对所述镜像流量进行解封以及重新封装,对重新封装的镜像流量进行类型识别,根据流量类型识别结果,将不同类型的镜像流量分发给不同的应用分析系统,得到流量分发结果。
具体实施时,区域控制系统可以对镜像流量进行解封以及重新封装,分发给应用分析系统。部分应用分析系统可能不支持VXLAN或者GENEVE形式的封装报文,由区域控制系统对镜像流量进行重新解封装,重新封装为应用分析系统可识别的流量。
在一个实施例中,进一步优选地,上述虚拟化流量的采集方法还可以包括:全局控制系统监测租户业务网络的变化及租户配置的变更,根据监测结果实时更新采集网络的相关信息。
具体实施时,全局控制系统感知租户网络的变化以及租户配置的变更,实时更新采集参数以及隧道信息。当租户不再有采集需求时,全局控制系统可以根据租户的需求,删除采集相关的指令;当租户需求增加采集参数,或者修改采集参数时,全局系统向区域控制系统发布采集参数变更请求。区域控制系统根据全局控制系统的请求删除或者更新镜像接口;删除或者更新、增加采集参数。
在一个实施例中,进一步优选地,上述虚拟化流量的采集方法还可以包括:根据流量情况,横向扩展区域控制系统,通过采集网络中的租户网络标识区分不同的租户以及不同的租户业务网络。
具体实施时,区域控制系统可以服务于多个租户以及多个租户网络,根据流量情况,可以横向扩展区域控制系统,通过采集网络的租户网络标识区分不同的租户以及不同的租户网络。
为了便于理解本发明如何实施,下面再结合附图3和图4举一例子对本发明实施例提供的方法进行整体介绍。
本发明提供了基于软件定义的虚拟化流量采集方案,其架构图如图3所示:
全局控制系统:全局控制系统管理整个采集网络,对区域管控系统进行管理;获取租户的网络信息,并接受租户的采集参数配置;根据租户网络以及采集网络创建租户业务网络标识与采集网络中租户网络标识的映射关系。全局控制系统根据待采集流量的所属VPC的区域信息,选择合适的区域控制系统,并配置采集参数和隧道信息给区域控制系统。全局控制系统根据客户需求以及租户的变更,动态的调整采集参数以及隧道信息,并根据采集网络的租户网络标识,统一汇总各个应用分析系统的结果,并统一呈现。
区域控制系统:区域控制系统接收全局控制系统的采集指令以及流量处理规则(可以是接口,源IP地址,目的IP地址,协议号,源和目的端口号等。这些元素可以任意组合);根据采集参数和隧道信息,在所述VPC的OVS(虚拟交换机)上创建虚拟镜像端口,并配置镜像过滤条件;根据流量处理规则对所接收到的镜像流量进行预处理,并分发给应用分析系统。区域控制系统可以采用分布式部署方式。
转发面:转发面由虚拟交换机构成,根据区域控制系统的请求创建虚拟镜像端口,并创建镜像过滤条件,将镜像流量通过镜像接口进行封装,并发送给区域控制系统。
如图4所示,租户A根据自身的业务需求,希望对VPC-1中的VM1进行流量监控,VPC-1部署在某公有云的上海资源池可用区域A。实现步骤如下:
1.全局控制系统接收租户A的采集请求,即对VPC-A中的VM1进行流量采集。全局控制系统接收租户A的采集请求,即对VPC-A中的VM1进行流量采集。全局控制系统从云管平台获取待采集租户A的VPC网络信息,包括租户名称、租户网络类型、VPC(Virtual PrivateCloud,虚拟私有云)信息、子网信息、OVS以及接口信息、云主机信息。
租户的网络类型可以是VLAN(Virtual Local Area Network,虚拟局域网),VXLAN(Virtual Extensible Local Area Network,虚拟扩展局域网)等。本实施例中,租户网络为VXLAN类型。VPC所在区域为上海资源池可用区域A,在该区域的租户网络标识为VNI=200。VM1(虚拟机)与OVS(交换机)通过端口P1互联。
2.全局控制系统根据租户网络以及采集网络创建租户业务网络标识与采集网络中租户网络标识的映射关系,例如该“映射关系”可以是“租户网络标识VNI=200”与“租户在采集网络的标识VNI=3000”之间的关系。
在本发明实施中,租户的业务网络与采集网络进行隔离部署,采集网络不影响原有的租户业务网络的运行,不占用租户的计算资源以及网络资源;虚拟交换机属于租户网络内部原有组件,虚拟交换机部署于租户网络内部,采集网络采用二级设计(分层设计,上下两层),区域控制系统以及全局控制系统部署于其他的物理机或者虚拟机。
租户业务网络与采集网络的管理方式可以不一致,可以在采集网络对租户网络重新标识。全局控制系统建立租户网络标识与采集网络中租户网络标识的映射关系。当租户网络存在多个VPC时,可以建立多个租户VPC网络标识与采集网络中租户网络标识的映射关系。比如,租户网络为VLAN类型,采集网络可以对租户标识重新管理,使用VXLAN隧道来承载租户的镜像流量,即分配VNI来标识租户,进一步的,当多个VPC网络互通时,可以建立L3VNI标识租户,L2VNI标识租户下的VPC。
在本发明实施中,全局控制系统根据租户网络OVS的版本信息,确定OVS所支持的隧道类型,并为该租户网络在采集网络中重新分配网络标识VNI=3000。
采集网络的隧道封装类型可以为VXLAN,NVGRE(Network Virtualization usingGeneric Routing Encapsulation,通用路由协议封装的网络虚拟化)以及GENEVE(GenericNetwork Virtualization Encapsulation,通用网络虚拟化封装)。比如,VXLAN或者GENEVE,使用VNI(Virtual Network Identifier,网络标识符)来标识租户的VPC网络标识,NVGRE使用TNI(租户网络标识符,Tenant Network Identifier)。本实施例可以采用VXLAN隧道承载镜像流量。
3.全局控制系统根据所配置的待采集租户流量将采集参数,承载镜像流量的隧道信息下发给区域控制系统。
全局控制系统根据待采集租户流量的VPC区域信息选择VPC区域相关的区域控制系统,并将采集参数、承载镜像流量的隧道信息下发给区域控制系统;本示例中,VPC区域为上海资源池可用区域A,根据VPC的区域选择区域控制系统;本实施例中,采集参数为端口P1,即对P1端口的流量进行镜像,镜像到相关的镜像端口。
所述隧道信息可以包括租户在采集网络的标识信息VNI=3000以及镜像流量的隧道类型和端点地址。
上述“1-3”即为上述步骤101。
4.区域控制系统根据采集参数和隧道信息,在所述VPC的OVS(虚拟交换机)上创建虚拟镜像端口,并配置镜像过滤条件,即上述步骤102。
虚拟镜像端口为隧道的端节点,包括隧道的起始地址以及租户网络在采集网络中的标识;隧道的源端地址为租户侧地址,目的端为区域控制分析系统地址。
在本实施例中,区域控制系统创建虚拟镜像端口VXLAN-M端口,该端口中指定源端地址,目的端地址,端口号以及VNI=3000。
在本实施例中,镜像端口的源端地址已经存在,若镜像隧道所需的源端地址不存在,则需要增加虚拟网卡,进行源端地址的配置。
5.虚拟交换机根据采集参数将镜像流量通过虚拟镜像接口发送到区域控制系统A,即上述步骤103。
6.区域控制系统对流量进行预处理,并将流量发送给应用分析系统,即上述步骤104。
区域控制系统接收全局控制系统的配置信息(采集参数以及隧道信息),可以根据全局控制系统的配置信息创建、更新或者删除虚拟镜像端口,同时根据全局控制系统的指令,对流量进行预处理以及流量分发处理,预处理包括过滤、去重、标记等,进一步地,对流量进行识别,将不同类型的流量分发给不同的后端应用分析系统。
本发明实施例中,可以存着其他的安全分析系统、审计系统以及流量分析系统,在本发明中,统称为应用分析系统。区域控制系统根据全局控制系统的配置,将流量分发给不同的应用分析系统。
区域控制系统可以对镜像流量进行解封以及重新封装,分发给应用分析系统。部分应用分析系统可能不支持VXLAN或者GENEVE形式的封装报文,由区域控制系统对镜像流量进行重新解封装,重新封装为应用分析系统可识别的流量。
全局控制系统感知租户网络的变化以及租户配置的变更,实时更新采集参数以及隧道信息。当租户不再有采集需求时,全局控制系统可以根据租户的需求,删除采集相关的指令;当租户需求增加采集参数,或者修改采集参数时,全局系统向区域控制系统发布采集参数变更请求。区域控制系统根据全局控制系统的请求删除或者更新镜像接口;删除或者更新、增加采集参数。
区域控制系统可以服务于多个租户以及多个租户网络,根据流量情况,可以横向扩展区域控制系统,通过采集网络的租户网络标识区分不同的租户以及不同的租户网络。
可选地,区域控制系统可以请求SDN控制器或者云管平台配置虚拟镜像端口以及采集参数。
7.全局控制系统对区域控制系统以及安全分析系统的处理结果进行关联分析,呈现网络、业务、安全等信息,即上述步骤105。
全局控制系统根据租户网络在采集网络中的统一的标识对各个分析系统的分析结果进行关联分析,并汇总租户下多个VPC的流量分析结果,统一呈现租户侧业务的整体信息。
综上,本发明实施例提供的虚拟化流量的采集方法实现了:
1.租户业务网络与采集网络独立部署,采集网络采用软件定义的方式进行部署,使得采集网络更加地灵活,便于控制。
2.建立租户网络与采集网络的映射关系;通过OVERLAY(堆叠)承载租户的流量,实现多租户流量地统一监控。
3.通过OVS建立虚拟镜像端口,简单、通用。
本发明实施例中还提供了一种虚拟化流量的采集装置,如下面的实施例所述。由于该装置解决问题的原理与虚拟化流量的采集方法相似,因此该装置的实施可以参见虚拟化流量的采集方法的实施,重复之处不再赘述。
图5为本发明实施例中虚拟化流量的采集装置的结构示意图,如图5所示,该装置包括:
全局控制系统01,用于根据租户业务网络信息及采集网络信息,创建每一租户业务网络与采集网络的映射关系;对区域控制系统的流量类型识别结果,流量分发结果及应用分析系统的分析结果进行关联分析,统一呈现每一租户业务网络的业务信息及安全信息;
区域控制系统02,用于根据所述映射关系,为每一租户业务网络的待采集镜像流量创建虚拟镜像端口并配置采集参数;对所述镜像流量进行类型识别,根据流量类型识别结果,将不同类型的镜像流量分发给不同的应用分析系统,得到流量分发结果;所述虚拟镜像端口为采集网络隧道的端节点,所述隧道信息包括隧道的源端地址、目的端地址及租户业务网络在采集网络中的标识,所述隧道的源端地址为租户侧地址,目的端地址为区域控制系统的地址;
虚拟交换机03,用于根据所述采集参数将所述镜像流量通过所述镜像端口发送至对应的区域控制系统。
在一个实施例中,所述租户业务网络的类型为虚拟局域网VLAN或虚拟扩展局域网VXLAN的网络类型;所述采集网络的隧道为VXLAN隧道,通用路由协议封装的网络虚拟化NVGRE隧道,通用网络虚拟化封装GENEVE隧道或分段路由互联网协议第6版SRv6隧道。
在一个实施例中,所述租户业务网络与采集网络隔离部署,所述租户业务网络与采集网络的网络类型可以不一致,也可以一致。
在一个实施例中,全局控制系统具体用于:根据租户业务网络信息及采集网络信息,创建每一租户业务网络标识与采集网络中租户网络标识的映射关系。
在一个实施例中,所述租户业务网络存在多个虚拟私有云VPC;
全局控制系统具体用于:根据租户业务网络信息及采集网络信息,创建多个租户VPC业务网络标识与采集网络中租户网络标识的映射关系。
在一个实施例中,区域控制系统具体用于:
对所述镜像流量进行预处理,得到预处理后的镜像流量;
对所述预处理后的镜像流量进行类型识别,得到流量类型识别结果;
根据所述流量类型识别结果,将不同类型的镜像流量分发给不同的应用分析系统,得到流量分发结果。
在一个实施例中,所述采集网络采用转发与控制分离技术,所述采集网络的控制面采用分级管理。
在一个实施例中,全局控制系统具体用于:根据租户的VPC区域信息及租户在采集网络的标识信息,创建每一租户业务网络与采集网络的映射关系;根据所述映射关系,将虚拟镜像端口配置信息下发至VPC区域信息相关的区域控制系统;
区域控制系统具体用于:根据所述配置信息,在所述VPC的虚拟交换机上为每一租户业务网络的待采集镜像流量创建虚拟镜像端口并配置采集参数。
在一个实施例中,区域控制系统具体用于:
对所述镜像流量进行解封以及重新封装,对重新封装的镜像流量进行类型识别,根据流量类型识别结果,将不同类型的镜像流量分发给不同的应用分析系统,得到流量分发结果。
在一个实施例中,所述全局控制系统还用于监测租户业务网络的变化及租户配置的变更,根据监测结果实时更新采集网络的相关信息。
在一个实施例中,虚拟化流量的采集装置还可以包括:扩展单元,用于根据流量情况,横向扩展区域控制系统,通过采集网络中的租户网络标识区分不同的租户以及不同的租户业务网络。
本发明实施例还提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述虚拟化流量的采集方法。
本发明实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述所述虚拟化流量的采集方法的步骤。
本发明实施例中,虚拟化流量的采集方案,通过:全局控制系统根据租户业务网络信息及采集网络信息,创建每一租户业务网络与采集网络的映射关系;区域控制系统根据所述映射关系,为每一租户业务网络的待采集镜像流量创建虚拟镜像端口并配置采集参数;所述虚拟镜像端口为采集网络隧道的端节点,所述隧道信息包括隧道的源端地址、目的端地址及租户业务网络在采集网络中的标识,所述隧道的源端地址为租户侧地址,目的端地址为区域控制系统的地址;虚拟交换机根据所述采集参数将所述镜像流量通过所述镜像端口发送至对应的区域控制系统;区域控制系统对所述镜像流量进行类型识别,根据流量类型识别结果,将不同类型的镜像流量分发给不同的应用分析系统,得到流量分发结果;全局控制系统对区域控制系统的流量类型识别结果,流量分发结果及应用分析系统的分析结果进行关联分析,统一呈现每一租户业务网络的业务信息及安全信息,可以实现多租户场景下准确地对租户内东西向流量进行监控,提高了租户云上业务的安全性。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (22)
1.一种虚拟化流量的采集方法,其特征在于,包括:
全局控制系统根据租户业务网络信息及采集网络信息,创建每一租户业务网络标识与采集网络中租户网络标识的映射关系;
区域控制系统根据所述映射关系,为每一租户业务网络的待采集镜像流量创建虚拟镜像端口并配置采集参数;所述虚拟镜像端口为采集网络隧道的端节点,所述采集网络隧道的信息包括隧道的源端节点地址、目的端节点地址及租户业务网络在采集网络中的标识,所述隧道的源端节点地址为租户侧地址,目的端节点地址为区域控制系统的地址;
虚拟交换机根据所述采集参数将所述镜像流量通过所述镜像端口发送至对应的区域控制系统;
区域控制系统对所述镜像流量进行类型识别,根据流量类型识别结果,将不同类型的镜像流量分发给不同的应用分析系统,得到流量分发结果;
全局控制系统对区域控制系统的流量类型识别结果,流量分发结果及应用分析系统的分析结果进行关联分析,统一呈现每一租户业务网络的业务信息及安全信息。
2.如权利要求1所述的虚拟化流量的采集方法,其特征在于,所述租户业务网络的类型为虚拟局域网VLAN或虚拟扩展局域网VXLAN的网络类型;所述采集网络的隧道为VXLAN隧道,通用路由协议封装的网络虚拟化NVGRE隧道,通用网络虚拟化封装GENEVE隧道或分段路由互联网协议第6版SRv6隧道。
3.如权利要求1所述的虚拟化流量的采集方法,其特征在于,所述租户业务网络与采集网络隔离部署。
4.如权利要求1所述的虚拟化流量的采集方法,其特征在于,所述租户业务网络存在多个虚拟私有云VPC;
全局控制系统根据租户业务网络信息及采集网络信息,创建每一租户业务网络标识与采集网络中租户网络标识的映射关系,包括:全局控制系统根据租户业务网络信息及采集网络信息,创建每一租户VPC业务网络标识与采集网络中租户网络标识的映射关系。
5.如权利要求1所述的虚拟化流量的采集方法,其特征在于,区域控制系统对所述镜像流量进行类型识别,根据流量类型识别结果,将不同类型的镜像流量分发给不同的应用分析系统,得到流量分发结果,包括:
区域控制系统对所述镜像流量进行预处理,得到预处理后的镜像流量;
对所述预处理后的镜像流量进行类型识别,得到流量类型识别结果;
根据所述流量类型识别结果,将不同类型的镜像流量分发给不同的应用分析系统,得到流量分发结果。
6.如权利要求1所述的虚拟化流量的采集方法,其特征在于,所述采集网络采用转发与控制分离技术,所述采集网络的控制面采用分级管理。
7.如权利要求1所述的虚拟化流量的采集方法,其特征在于,全局控制系统根据租户业务网络信息及采集网络信息,创建每一租户业务网络标识与采集网络中租户网络标识的映射关系,包括:全局控制系统根据租户的VPC区域信息及租户在采集网络的标识信息,创建每一租户业务网络标识与采集网络中租户网络标识的映射关系;根据所述映射关系,将虚拟镜像端口配置信息下发至VPC区域信息相关的区域控制系统;
区域控制系统根据所述映射关系,为每一租户业务网络的待采集镜像流量创建虚拟镜像端口并配置采集参数,包括:区域控制系统根据所述配置信息,在所述VPC的虚拟交换机上为每一租户业务网络的待采集镜像流量创建虚拟镜像端口并配置采集参数。
8.如权利要求1所述的虚拟化流量的采集方法,其特征在于,区域控制系统对所述镜像流量进行类型识别,根据流量类型识别结果,将不同类型的镜像流量分发给不同的应用分析系统,得到流量分发结果,包括:
区域控制系统对所述镜像流量进行解封以及重新封装,对重新封装的镜像流量进行类型识别,根据流量类型识别结果,将不同类型的镜像流量分发给不同的应用分析系统,得到流量分发结果。
9.如权利要求1所述的虚拟化流量的采集方法,其特征在于,还包括:全局控制系统监测租户业务网络的变化及租户配置的变更,根据监测结果实时更新采集网络的相关信息。
10.如权利要求1所述的虚拟化流量的采集方法,其特征在于,还包括:根据流量情况,横向扩展区域控制系统,通过采集网络中的租户网络标识区分不同的租户以及不同的租户业务网络。
11.一种虚拟化流量的采集装置,其特征在于,包括:
全局控制系统,用于根据租户业务网络信息及采集网络信息,创建每一租户业务网络标识与采集网络中租户网络标识的映射关系;对区域控制系统的流量类型识别结果,流量分发结果及应用分析系统的分析结果进行关联分析,统一呈现每一租户业务网络的业务信息及安全信息;
区域控制系统,用于根据所述映射关系,为每一租户业务网络的待采集镜像流量创建虚拟镜像端口并配置采集参数;对所述镜像流量进行类型识别,根据流量类型识别结果,将不同类型的镜像流量分发给不同的应用分析系统,得到流量分发结果;所述虚拟镜像端口为采集网络隧道的端节点,所述采集网络隧道的信息包括隧道的源端节点地址、目的端节点地址及租户业务网络在采集网络中的标识,所述隧道的源端节点地址为租户侧地址,目的端节点地址为区域控制系统的地址;
虚拟交换机,用于根据所述采集参数将所述镜像流量通过所述镜像端口发送至对应的区域控制系统。
12.如权利要求11所述的虚拟化流量的采集装置,其特征在于,所述租户业务网络的类型为虚拟局域网VLAN或虚拟扩展局域网VXLAN的网络类型;所述采集网络的隧道为VXLAN隧道,通用路由协议封装的网络虚拟化NVGRE隧道,通用网络虚拟化封装GENEVE隧道或分段路由互联网协议第6版SRv6隧道。
13.如权利要求11所述的虚拟化流量的采集装置,其特征在于,所述租户业务网络与采集网络隔离部署。
14.如权利要求11所述的虚拟化流量的采集装置,其特征在于,所述租户业务网络存在多个虚拟私有云VPC;
全局控制系统具体用于:根据租户业务网络信息及采集网络信息,创建每一租户VPC业务网络标识与采集网络中租户网络标识的映射关系。
15.如权利要求11所述的虚拟化流量的采集装置,其特征在于,区域控制系统具体用于:
对所述镜像流量进行预处理,得到预处理后的镜像流量;
对所述预处理后的镜像流量进行类型识别,得到流量类型识别结果;
根据所述流量类型识别结果,将不同类型的镜像流量分发给不同的应用分析系统,得到流量分发结果。
16.如权利要求11所述的虚拟化流量的采集装置,其特征在于,所述采集网络采用转发与控制分离技术,所述采集网络的控制面采用分级管理。
17.如权利要求11所述的虚拟化流量的采集装置,其特征在于,全局控制系统具体用于:根据租户的VPC区域信息及租户在采集网络的标识信息,创建每一租户业务网络标识与采集网络中租户网络标识的映射关系;根据所述映射关系,将虚拟镜像端口配置信息下发至VPC区域信息相关的区域控制系统;
区域控制系统具体用于:根据所述配置信息,在所述VPC的虚拟交换机上为每一租户业务网络的待采集镜像流量创建虚拟镜像端口并配置采集参数。
18.如权利要求11所述的虚拟化流量的采集装置,其特征在于,区域控制系统具体用于:
对所述镜像流量进行解封以及重新封装,对重新封装的镜像流量进行类型识别,根据流量类型识别结果,将不同类型的镜像流量分发给不同的应用分析系统,得到流量分发结果。
19.如权利要求11所述的虚拟化流量的采集装置,其特征在于,所述全局控制系统还用于监测租户业务网络的变化及租户配置的变更,根据监测结果实时更新采集网络的相关信息。
20.如权利要求11所述的虚拟化流量的采集装置,其特征在于,还包括:扩展单元,用于根据流量情况,横向扩展区域控制系统,通过采集网络中的租户网络标识区分不同的租户以及不同的租户业务网络。
21.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至10任一所述方法。
22.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1至10任一所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110941943.4A CN113709017B (zh) | 2021-08-17 | 2021-08-17 | 虚拟化流量的采集方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110941943.4A CN113709017B (zh) | 2021-08-17 | 2021-08-17 | 虚拟化流量的采集方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113709017A CN113709017A (zh) | 2021-11-26 |
| CN113709017B true CN113709017B (zh) | 2022-10-04 |
Family
ID=78652993
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110941943.4A Active CN113709017B (zh) | 2021-08-17 | 2021-08-17 | 虚拟化流量的采集方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113709017B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116260756A (zh) * | 2021-12-10 | 2023-06-13 | 华为技术有限公司 | 一种报文转发的方法、装置及网络系统 |
| CN114448805B (zh) * | 2021-12-27 | 2024-07-30 | 天翼云科技有限公司 | 虚拟网络设备、虚拟叠加网络及配置、报文传输方法 |
| CN114285667B (zh) * | 2021-12-30 | 2023-06-02 | 湖南泛联新安信息科技有限公司 | 一种网络靶场流量实时采集系统及方法 |
| CN115208904B (zh) * | 2022-06-29 | 2024-06-04 | 深圳星云智联科技有限公司 | 流量监控方法及相关设备 |
| CN115550309A (zh) * | 2022-08-29 | 2022-12-30 | 紫光云技术有限公司 | 一种解决vpc互通地址重叠的方法 |
| CN115865802B (zh) * | 2023-02-01 | 2023-06-23 | 天翼云科技有限公司 | 虚拟实例的流量镜像方法、装置、虚拟机平台及存储介质 |
| CN117997778B (zh) * | 2023-12-29 | 2024-09-10 | 佛山市红狐物联网科技有限公司 | 基于镜像转发的流量数据处理方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107241283A (zh) * | 2017-05-23 | 2017-10-10 | 国家计算机网络与信息安全管理中心 | 一种跨主机租户的东西向网络流量镜像采集方法 |
| CN111049762A (zh) * | 2019-12-23 | 2020-04-21 | 上海金仕达软件科技有限公司 | 数据采集方法、装置、存储介质及交换机 |
| CN111683097A (zh) * | 2020-06-10 | 2020-09-18 | 广州市品高软件股份有限公司 | 一种基于两级架构的云网络流量监控系统 |
| CN111786973A (zh) * | 2020-06-19 | 2020-10-16 | 北京百度网讯科技有限公司 | 一种流日志采集方法、装置、设备和存储介质 |
| CN111953673A (zh) * | 2020-08-10 | 2020-11-17 | 深圳市联软科技股份有限公司 | 一种dns隐蔽隧道检测方法及系统 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9820316B2 (en) * | 2013-03-15 | 2017-11-14 | Aerohive Networks, Inc. | Preventing asymmetric routing using network tunneling |
| CN105284080B (zh) * | 2014-03-31 | 2018-12-07 | 华为技术有限公司 | 数据中心的虚拟网络管理方法及数据中心系统 |
| US9667656B2 (en) * | 2015-03-30 | 2017-05-30 | Amazon Technologies, Inc. | Networking flow logs for multi-tenant environments |
| CN112291232B (zh) * | 2020-10-27 | 2021-06-04 | 中国联合网络通信有限公司深圳市分公司 | 一种基于租户的安全能力和安全服务链管理平台 |
-
2021
- 2021-08-17 CN CN202110941943.4A patent/CN113709017B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107241283A (zh) * | 2017-05-23 | 2017-10-10 | 国家计算机网络与信息安全管理中心 | 一种跨主机租户的东西向网络流量镜像采集方法 |
| CN111049762A (zh) * | 2019-12-23 | 2020-04-21 | 上海金仕达软件科技有限公司 | 数据采集方法、装置、存储介质及交换机 |
| CN111683097A (zh) * | 2020-06-10 | 2020-09-18 | 广州市品高软件股份有限公司 | 一种基于两级架构的云网络流量监控系统 |
| CN111786973A (zh) * | 2020-06-19 | 2020-10-16 | 北京百度网讯科技有限公司 | 一种流日志采集方法、装置、设备和存储介质 |
| CN111953673A (zh) * | 2020-08-10 | 2020-11-17 | 深圳市联软科技股份有限公司 | 一种dns隐蔽隧道检测方法及系统 |
Non-Patent Citations (2)
| Title |
|---|
| A Control-Plane Traffic Analysis Tool for LTE Network;Jing Wang,Wenli Zhou,Huan Wang,Luying Chen;《2014 Sixth International Conference on Intelligent Human-Machine Systems and Cybernetics》;20141009;全文 * |
| 基于Hadoop的移动互联网网站与服务器流量分析;李婷婷;《中国优秀硕士学位论文全文数据库》;20150415;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113709017A (zh) | 2021-11-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113709017B (zh) | 虚拟化流量的采集方法及装置 | |
| US11429369B2 (en) | Distributed upgrade in virtualized computing environments | |
| US12047232B2 (en) | Initializing network device and server configurations in a data center | |
| CN107580083B (zh) | 一种容器ip地址分配的方法和系统 | |
| JP6435050B2 (ja) | クラウドシステムにおけるリソース管理 | |
| EP3304855B1 (en) | Automatic software upgrade | |
| EP3125117B1 (en) | Update management system and update management method | |
| EP3285439A1 (en) | Network service lifecycle management method and device | |
| US8863138B2 (en) | Application service performance in cloud computing | |
| US11640315B2 (en) | Multi-site virtual infrastructure orchestration of network service in hybrid cloud environments | |
| US20210109816A1 (en) | Method and system to discover and manage distributed applications in virtualization environments | |
| US20160381126A1 (en) | Distributed network services | |
| RU2683630C2 (ru) | Способ обновления дескриптора сетевой службы nsd и устройство | |
| US20170078114A1 (en) | Network system, inter-site network cooperation control apparatus, network control method, and program | |
| KR20170058201A (ko) | 다중 클라우드 환경에서의 가상 네트워크 제공 시스템 및 그 방법 | |
| CN103595801B (zh) | 一种云计算系统及其虚拟机实时监控方法 | |
| US20160173417A1 (en) | Tag conversion apparatus | |
| CN114006839A (zh) | 一种基于eBPF的流量采集方法及装置 | |
| Narantuya et al. | Service-aware cloud-to-cloud migration of multiple virtual machines | |
| US11947425B2 (en) | Storage volume snapshot object management | |
| US12008392B2 (en) | Application component identification and analysis in a virtualized computing system | |
| CN108667750B (zh) | 虚拟资源管理方法及装置 | |
| CN109067573B (zh) | 一种流量调度方法及装置 | |
| CN108881482B (zh) | 一种流量迁移方法、装置及系统 | |
| US10491476B2 (en) | Extending a virtual local area network across a layer 2 data center interconnect |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |