CN114143087B - 一种虚拟机迁移系统及方法 - Google Patents

一种虚拟机迁移系统及方法 Download PDF

Info

Publication number
CN114143087B
CN114143087B CN202111448929.7A CN202111448929A CN114143087B CN 114143087 B CN114143087 B CN 114143087B CN 202111448929 A CN202111448929 A CN 202111448929A CN 114143087 B CN114143087 B CN 114143087B
Authority
CN
China
Prior art keywords
migration
virtual machine
information
virtual
target
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111448929.7A
Other languages
English (en)
Other versions
CN114143087A (zh
Inventor
黄永平
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202111448929.7A priority Critical patent/CN114143087B/zh
Publication of CN114143087A publication Critical patent/CN114143087A/zh
Application granted granted Critical
Publication of CN114143087B publication Critical patent/CN114143087B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/23Updating
    • G06F16/2358Change logging, detection, and notification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/245Query processing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/27Replication, distribution or synchronisation of data between databases or within a distributed database system; Distributed database system architectures therefor
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/4557Distribution of virtual machine instances; Migration and load balancing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45595Network integration; Enabling network access in virtual machine instances

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Software Systems (AREA)
  • Computational Linguistics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一种虚拟机迁移系统及方法,包括:安管平台在目标虚拟机进行迁移时,发送针对目标虚拟机的迁移通知信息至第一虚拟防火墙,第一虚拟防火墙根据迁移通知信息生成目标键值对,并将目标键值对添加至预设的全局键值数据库中,第二虚拟防火墙监控全局键值数据库中新增的目标键值对,并根据目标键值对与第一虚拟防火墙建立连接,第一虚拟防火墙将策略和会话信息同步至第二虚拟防火墙;安管平台在目标虚拟机的迁移动作完成时,发送迁移完成通知信息至第一虚拟防火墙;第一虚拟防火墙接收迁移完成通知信息,将第一虚拟防火墙中策略和会话信息进行删除,能够避免虚拟防护墙策略冗余的问题,保证虚拟防火墙性能,同时保证虚拟机的业务的通信性能不受影响。

Description

一种虚拟机迁移系统及方法
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种虚拟机迁移系统及方法。
背景技术
目前服务虚拟化技术已经广泛应用于各级数据中心,通过该技术可以在单台物理服务器上,虚拟化出多个相互独立的VM虚拟机,这些VM虚拟机可以被当作一个独立的物理服务器,其有自己的IP地址和MAC地址,有自己的操作系统和各种应用程序。出于对数据中心的安全运营、维护和管理的需要或由于服务器断电等其它原因有时需要对虚拟机进行迁移,即迁移到云环境下其它的服务器节点下,现有方法通常采用基于全量下发的安全策略管理方法,管理平台下发所有的安全策略至每个虚拟防护墙,当虚拟机发生迁移时,无论在哪个节点都会都能匹配到虚拟机对应的安全策略,然而在实践中发现,下发所有的安全策略至每个虚拟防护墙,容易导致虚拟防护墙策略冗余,从而使得策略匹配性能低,同时,在虚拟机迁移时无法同时迁移会话信息,从而影响该虚拟机的业务的通信性能。可见,现有的虚拟机迁移方法,容易导致虚拟防护墙策略冗余,降低策略匹配性能,同时也影响虚拟机的业务的通信性能。
发明内容
本申请实施例的目的在于提供一种虚拟机迁移系统及方法,能够避免虚拟防护墙策略冗余的问题,保证虚拟防火墙性能,同时保证虚拟机的业务的通信性能不受影响。
本申请实施例第一方面提供了一种虚拟机迁移系统,包括安管平台、第一虚拟防火墙、第二虚拟防火墙以及目标虚拟机,其中,
所述安管平台,用于在所述目标虚拟机进行迁移时,发送针对所述目标虚拟机的迁移通知信息至所述第一虚拟防火墙;
所述第一虚拟防火墙,用于接收所述迁移通知信息,并根据所述迁移通知信息生成目标键值对;以及将所述目标键值对添加至预设的全局键值数据库中,所述目标键值对包括迁移后的第二虚拟防火墙的通信地址以及所述目标虚拟机在所述第一虚拟防火墙上的策略和会话信息;
所述第二虚拟防火墙,用于监控所述全局键值数据库中新增的所述目标键值对,并根据所述目标键值对与所述第一虚拟防火墙建立连接;
所述第一虚拟防火墙,还用于将所述策略和会话信息同步至所述第二虚拟防火墙;
所述安管平台,还用于在所述目标虚拟机的迁移动作完成时,发送迁移完成通知信息至所述第一虚拟防火墙;
所述第一虚拟防火墙,还用于接收迁移完成通知信息,将所述第一虚拟防火墙中所述策略和会话信息进行删除。
在上述实现过程中,安管平台在目标虚拟机进行迁移时,发送针对目标虚拟机的迁移通知信息至第一虚拟防火墙,然后第一虚拟防火墙根据迁移通知信息生成目标键值对,并将目标键值对添加至预设的全局键值数据库中,第二虚拟防火墙再监控全局键值数据库中新增的目标键值对,并根据目标键值对与第一虚拟防火墙建立连接,第一虚拟防火墙将所述策略和会话信息同步至所述第二虚拟防火墙;进一步地,安管平台,在目标虚拟机的迁移动作完成时,发送迁移完成通知信息至第一虚拟防火墙;最后第一虚拟防火墙接收迁移完成通知信息,将第一虚拟防火墙中策略和会话信息进行删除,能够避免虚拟防护墙策略冗余的问题,保证虚拟防火墙性能,同时保证虚拟机的业务的通信性能不受影响。
进一步地,所述虚拟机迁移系统还包括云平台,其中,
所述云平台,用于在检测到所述目标虚拟机的迁移动作时,通过预先配置的认证信息发送所述目标虚拟机的迁移信息至所述安管平台;
所述安管平台,还用于接收所述迁移信息;并根据所述迁移信息生成迁移通知信息,并执行所述的发送针对所述目标虚拟机的迁移通知信息至所述第一虚拟防火墙的步骤。
在上述实现过程中,在目标虚拟机迁移之前,云平台能够感知目标虚拟机的迁移动作并及时通过预先配置的认证信息发送目标虚拟机的迁移信息至安管平台。
进一步地,所述云平台,还用于在检测到所述目标虚拟机的迁移动作完成时,发送所述目标虚拟机的迁移完成状态信息至所述安管平台;
所述安管平台,还用于接收所述迁移完成状态信息,并根据所述迁移完成状态信息生成迁移完成通知信息,并执行所述的发送迁移完成通知信息至所述第一虚拟防火墙。
在上述实现过程中,云平台还能够感知目标虚拟机的迁移完成动作,并及时发送目标虚拟机的迁移完成状态信息至安管平台。
进一步地,所述安管平台,还用于在所述云平台检测到所述目标虚拟机的迁移动作之前,注册对接过的所述云平台的相关信息,并根据所述相关信息获取所述云平台的认证信息,其中,所述认证信息包括虚拟机迁移通知函数以及所述安管平台的通信地址;
所述云平台,还用于获取所述认证信息并存储,以及判断是否检测到所述目标虚拟机的迁移动作,如果是,执行所述的通过预先配置的认证信息发送所述目标虚拟机的迁移信息至所述安管平台。
进一步地,所述安管平台,在根据所述相关信息获取所述云平台的认证信息时,具体用于根据所述相关信息调用所述云平台的认证接口进行用户密码认证,并判断是否认证通过;如果认证通过,则获取安管认证证书;并对所述安管认证证书进行解密处理,得到认证信息;以及根据所述认证信息在所述云平台注册虚拟机迁移函数,并将所述认证信息发送至所述云平台进行存储。
本申请实施例第二方面提供了一种虚拟机迁移方法,应用于第一方面所述的第一虚拟防火墙,所述第一虚拟防火墙为目标虚拟机迁移前对应的虚拟防火墙,包括:
接收安管平台发送的针对所述目标虚拟机迁移通知信息;
根据所述迁移通知信息生成目标键值对;所述目标键值对包括迁移后的第二虚拟防火墙的通信地址以及所述目标虚拟机在所述第一虚拟防火墙上的策略和会话信息;
将所述目标键值对添加至预设的全局键值数据库中,以使所述第二虚拟防火墙监控到所述全局键值数据库中新增的所述目标键值对,并根据所述目标键值对与所述第一虚拟防火墙建立连接;
将所述策略和会话信息同步至所述第二虚拟防火墙;
接收所述安管平台发送针对所述目标虚拟机的迁移完成通知信息,将所述第一虚拟防火墙中所述目标虚拟机的所述策略和会话信息进行删除。
在上述实现过程中,第一虚拟防火墙能够与第二虚拟防火墙建立连接,并在目标虚拟机进行迁移时,将对应的策略和会话信息同步至第二虚拟防火墙,从而避免虚拟防护墙策略冗余的问题,保证虚拟防火墙性能,同时保证虚拟机的业务的通信性能不受影响。
本申请实施例第三方面提供了一种虚拟机迁移方法,应用于第一方面所述的安管平台,包括:
在所述目标虚拟机进行迁移时,发送针对所述目标虚拟机的迁移通知信息至第一虚拟防火墙,以使所述第一虚拟防火墙与迁移后的第二虚拟防火墙建立连接,并将所述目标虚拟机在所述第一虚拟防火墙上的策略和会话信息同步到所述第二虚拟防火墙上;
在所述目标虚拟机的迁移动作完成时,发送迁移完成通知信息至所述第一虚拟防火墙,以使所述第一虚拟防火墙根据所述迁移完成通知信息将所述第一虚拟防火墙中所述策略和会话信息进行删除。
在上述实现过程中,实施上述实施方式,能够在目标虚拟机进行迁移时,将对应的策略和会话信息从第一虚拟防火墙同步至第二虚拟防火墙,从而避免虚拟防护墙策略冗余的问题,保证虚拟防火墙性能,同时保证虚拟机的业务的通信性能不受影响。
进一步地,在发送针对所述目标虚拟机的迁移通知信息至所述第一虚拟防火墙之前,所述方法还包括:
注册对接过的云平台的相关信息,并根据所述相关信息调用所述云平台的认证接口进行用户密码认证;
判断是否认证通过;
如果是,则获取安管认证证书;
对所述安管认证证书进行解密处理,得到认证信息;
根据所述认证信息在所述云平台注册虚拟机迁移函数,并将所述认证信息发送至所述云平台进行存储;其中,所述认证信息包括虚拟机迁移通知函数以及所述安管平台的通信地址。
本申请实施例第四方面提供了一种电子设备,包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行本申请实施例第一方面中任一项所述的虚拟机迁移方法。
本申请实施例第五方面提供了一种计算机可读存储介质,其存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行本申请实施例第一方面中任一项所述的虚拟机迁移方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种虚拟机迁移系统的信息交互流程示意图;
图2为本申请实施例提供的另一种虚拟机迁移方法的流程示意图;
图3为本申请实施例提供的一种虚拟机迁移方法的流程示意图;
图4是本申请实施例提供的一种虚拟机动态迁移的示意图;
图5是本申请实施例提供的一种安管平台在云平台注册虚拟机迁移通知函数的交互示意图;
图6是本申请实施例提供的一种迁移信息的示意图;
图7是本申请实施例提供的一种虚拟防火墙的结构示意图;
图8是本申请实施例提供的一种访问目标虚拟机的流量的流程示意图。
图标:110-安管平台;120-第一虚拟防火墙;130-第二虚拟防火墙;140-目标虚拟机;sever1-服务器1;sever2-服务器2;vFW1-虚拟防火墙1;vFW2-虚拟防火墙2;VM1、VM2、VM3、VM2’、VM3’-虚拟机。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
实施例1
请参看图1,图1为本申请实施例提供了一种虚拟机迁移系统的流程示意图。其中,该虚拟机迁移系统包括安管平台110、第一虚拟防火墙120、第二虚拟防火墙130、目标虚拟机140以及云平台150。
S201、安管平台110在云平台150检测到目标虚拟机140的迁移动作之前,注册对接过的云平台150的相关信息,并根据相关信息获取云平台150的认证信息。
本申请实施例中,认证信息包括虚拟机迁移通知函数以及安管平台110的通信地址等,对此本申请实施例不作限定。
本申请实施例中,该虚拟机迁移系统的场景前提是云平台150管理的多节点部署了分布式虚拟防火墙。
本申请实施例中,安管平台110具体为集中安全管理平台。
本申请实施例中,该云平台150具体可以为vmWare的vCenter、浪潮的Incloud等,对此本申请实施例不作限定。
本申请实施例中,通过云平台150能够实现对数据中心所有服务器下所有虚拟机的创建、配置、销毁等运维管理等,对此本申请实施例不作限定。
请一并参阅图4,图4是本申请实施例提供的一种虚拟机动态迁移的示意图。如图4所示,云平台150还能够支持虚拟机(VM1)的动态迁移,如图4中步骤1所示。
如图4所示,sever1表示服务器1,sever2表示服务器2,在服务器1上部署有三台虚拟机(即VM1、VM2、VM3)和一个虚拟防火墙1(即vFW1),在服务器2上部署有两台虚拟机(即VM2’、VM3’)和一个虚拟防火墙2(即vFW2),vFW1即上述第一虚拟防火墙120,vFW2即上述第二虚拟防火墙130,VM1即上述目标虚拟机140,由服务器1迁移至服务器2,对应策略和会话信息由vFW1迁移至vFW2。
作为一种可选的实施方式,安管平台110,在根据相关信息获取云平台150的认证信息时,具体用于根据相关信息调用云平台150的认证接口进行用户密码认证,并判断是否认证通过;如果认证通过,则获取安管认证证书;并对安管认证证书进行解密处理,得到认证信息;以及根据认证信息在云平台150注册虚拟机迁移函数,并将认证信息发送至云平台150进行存储。
在上述实施方式中,虚拟机迁移通知函数具体可以为通知URL接口等,对此本申请实施例不作限定。
在上述实施方式中,认证接口具体可以为restful认证接口,对此本申请实施例不作限定。
S202、云平台150获取认证信息并存储。
请一并参阅图5,图5是本申请实施例提供的一种安管平台110在云平台150注册虚拟机迁移通知函数的交互示意图。如图5所示,云平台150在感知虚拟机迁移动作之前,安管平台110在云平台150注册虚拟机迁移通知函数,包括:
第一步、安管平台110注册对接过的云平台150的相关信息,具体地,该相关信息包括云管理平台的通信地址、用户名和密码等,对此本申请实施例不作限定。
第二步、安管平台110根据相关信息,调用云平台150的restful认证接口,以使云平台150根据用户名和密码进行认证,并判断是否认证通过,如果认证通过,则会接收到返回的一个通过哈希加密的安管认证证书(即图5所示的哈希加密证书1)。
第三步、安管平台110解密安管认证证书,得到认证信息,其中,认证信息包括拼接IP、虚拟机迁移通知函数以及新的安管认证证书(即图5所示的安管平台认证证书2)。然后,再调用云平台150注册该虚拟机迁移通知函数。
第四步、云平台150在认证通过后存储该认证信息。
第五步、云平台150在感知到虚拟机的迁移等动作时,就会调用该通知URL接口通知安管平台110。
第六步、安管平台110接收到云平台150上报的目标虚拟机140的迁移信息后,再执行步骤S205~步骤S213。
S203、云平台150判断是否检测到目标虚拟机140的迁移动作,如果是,执行步骤S204;如果否,继续执行步骤S203判断是否检测到目标虚拟机140的迁移动作。
本申请实施例中,当目标虚拟机140达到了预先配置迁移条件后,开始自动迁移到新服务器位置,如图4中虚拟机vm1的迁移。
S204、云平台150通过预先配置的认证信息发送目标虚拟机140的迁移信息至安管平台110。
本申请实施例中,云平台150能够感知目标虚拟机140迁移动作,当检测到目标虚拟机140的迁移动作时,则立即通过虚拟机迁移通知函数上报目标虚拟机140的迁移信息至安管平台110。
本申请实施例中,目标虚拟机140的迁移信息如图6所示,包括虚机迁移状态(即目标虚拟机140的迁移状态)、虚机IP(即目标虚拟机140的IP地址)、虚机MAC(即目标虚拟机140的MAC地址)、原服务器IP(即第一虚拟防火墙120对应服务器的IP地址)、原节点墙IP(即第一虚拟防火墙120的IP地址)、新服务器IP(即第二虚拟防火墙130对应服务器的IP地址)以及新节点墙IP(即第二虚拟防火墙130的IP地址)等,对此本申请实施例不作限定。
本申请实施例中,虚拟机又称为虚机。
在步骤S203之后,还包括以下步骤:
本申请实施例中,实施上述步骤S202~步骤S206,能够避免虚拟防护墙策略冗余的问题,保证虚拟防火墙性能,同时保证虚拟机的业务的通信性能不受影响。
S205、安管平台110接收迁移信息;并根据迁移信息生成迁移通知信息。
S206、安管平台110发送针对目标虚拟机140的迁移通知信息至第一虚拟防火墙120。
本申请实施例中,第一虚拟防火墙120为目标虚拟机140迁移前对应的虚拟防火墙,第一虚拟防火墙120会目标虚拟机140迁移后对应的防火墙。
本申请实施例中,迁移通知信息包括目标虚拟机140的迁移信息等,对此本申请实施例不作限定。
本申请实施例中,安管平台110下发迁移通知信息给第一虚拟防火墙120,告知迁移的目标虚拟机140、迁移后新服务器的信息、第二虚拟防火墙130的信息等,对此本申请实施例不作限定。
S207、第一虚拟防火墙120接收迁移通知信息,并根据迁移通知信息生成目标键值对;以及将目标键值对添加至预设的全局键值数据库中。
本申请实施例中,分布式虚拟防火墙集群中,每个虚拟防火墙上都运行着一个代理程序,该代理程序具体可以为AGENT程序,AGENT程序具有ETCD服务,如图7所示。
本申请实施例中,ETCD服务是一个高可用的分布式键值数据库,可用于服务发现。
本申请实施例中,目标键值对包括迁移后的第二虚拟防火墙130的通信地址以及目标虚拟机140在第一虚拟防火墙120上的策略和会话信息等,对此本申请实施例不作限定。
本申请实施例中,目标键值对可以表示为[/vfw/session/IP,data],其中,IP为第二虚拟防火墙130的通信地址,data包括策略和会话信息。
本申请实施例中,第一虚拟防火墙120接收到迁移通知后,收集策略和会话信息,设置键值对。具体地,第一虚拟防火墙120接收到迁移通知信息时,则通过代理程序开始基于目标虚拟机140的IP搜索防火墙策略链表、基础对象链表及连接会话链表等信息,从而得到策略和会话信息。最后根据策略和会话信息以及迁移信息生成目标键值对。
在步骤S207之后,还包括以下步骤:
S208、第二虚拟防火墙130监控全局键值数据库中新增的目标键值对,并根据目标键值对与第一虚拟防火墙120建立连接。
本申请实施例中,该全局键值数据库具体可以为ETCD服务。
本申请实施例中,第二虚拟防火墙130监听到目标键值对中的“/vfw/session/IP”发生变化,则与第一虚拟防火墙120建立连接,开始同步,获取目标键值对的data信息。
本申请实施例中,第一虚拟防火墙120与第二虚拟防火墙130建立连接,第二虚拟防火墙130策略和会话信息,并能够立即应用该策略和会话信息,从而使得目标虚拟机140在迁移前后,其会话业务不受影响。
本申请实施例中,该策略和会话信息包括目标虚拟机140的相关基础对象、安全策略及会话列表信息等,对此本申请实施例不作限定。
本申请实施例中,第二虚拟防火墙130的AGENT程序再根据获取的data信息,序列化相应的策略和会话结构下发给第二虚拟防火墙130,从而实现策略和会话信息的同步,每个节点虚拟防火墙策略匹配的效率明显提高。
S209、第一虚拟防火墙120将策略和会话信息同步至第二虚拟防火墙130。
本申请实施例中,第二虚拟防火墙130在接收策略和会话信息之后,会立即应用该策略和会话信息,以使目标虚拟机140在迁移前后会话业务不受影响。
本申请实施例中,通过步骤S207~步骤S209,能够实现第一虚拟防火墙120与第二虚拟防火墙130之间建立连接并实现策略和会话信息的同步,相比于管理平台从第一虚拟防火墙120获取策略信息,并将该策略信息转发至第二虚拟防火墙,提升了策略同步的效率,同时,还能够在同步策略的同时,同时同步相应的会话信息,从而使得目标虚拟机140在迁移前后,其会话业务不受影响。
S210、云平台150在检测到目标虚拟机140的迁移动作完成时,发送目标虚拟机140的迁移完成状态信息至安管平台110。
S211、安管平台110接收迁移完成状态信息,并根据迁移完成状态信息生成迁移完成通知信息。
S212、安管平台110发送迁移完成通知信息至第一虚拟防火墙120。
S213、第一虚拟防火墙120接收迁移完成通知信息,将第一虚拟防火墙120中策略和会话信息进行删除。
本申请实施例中,目标虚拟机140在迁移的过程中第一虚拟防火墙120中与之匹配的会话不会被删除,当目标虚拟机140迁移完成后才会被删除。
本申请实施例中,云平台150在感知到目标虚拟机140迁移完成时,通知安管平台110迁移完成状态信息,安管平台110再下发迁移完成通知信息值第一虚拟防火墙120第一虚拟防火墙120的AGENT程序接收到迁移完成通知信息后则会销毁目标虚拟机140的策略和会话信息。
本申请实施例中,访问目标虚拟机140的流量流程如图8所示,迁移后第一虚拟防火墙120变更为第二虚拟防火墙130,流量途径顺序还是一样的;从而实现目标虚拟机140无论在迁移中还是迁移后,与之相关的安全策略匹配的业务都能正常通信。
可见,实施本实施例所描述的虚拟机迁移系统,以解决分布式防护墙架构下安全策略下发效率低,策略匹配效率低以及虚拟机迁移前后与之相关业务的正常通信问题;同时能够避免虚拟防护墙策略冗余的问题,保证虚拟防火墙性能,同时保证虚拟机的业务的通信性能不受影响。
实施例2
请参看图2,图2为本申请实施例提供的另一种虚拟机迁移方法的流程示意图。如图2所示,其中,该虚拟机迁移方法应用于实施例1所示的第一虚拟防火墙120,包括:
S301、接收安管平台110发送的针对目标虚拟机140迁移通知信息。
S302、根据迁移通知信息生成目标键值对;该目标键值对包括迁移后的第二虚拟防火墙130的通信地址以及目标虚拟机140在第一虚拟防火墙120上的策略和会话信息。
S303、将目标键值对添加至预设的全局键值数据库中,以使第二虚拟防火墙130监控到全局键值数据库中新增的目标键值对,并根据目标键值对与第一虚拟防火墙120建立连接。
S304、将策略和会话信息同步至第二虚拟防火墙130。
S305、接收安管平台110发送针对目标虚拟机140的迁移完成通知信息,将第一虚拟防火墙120中目标虚拟机140的策略和会话信息进行删除。
本申请实施例中,对于虚拟机迁移方法的解释说明可以参照实施例1中的描述,对此本实施例中不再多加赘述。
可见,实施本实施例所描述的虚拟机迁移方法,能够避免虚拟防护墙策略冗余的问题,保证虚拟防火墙性能,同时保证虚拟机的业务的通信性能不受影响。
实施例3
请参看图3,图3为本申请实施例提供的一种虚拟机迁移方法的流程示意图。如图3所示,该虚拟机迁移方法应用于实施例1的安管平台110,包括:
S401、注册对接过的云平台150的相关信息,并根据相关信息调用云平台150的认证接口进行用户密码认证。
S402、判断是否认证通过,如果是,则执行步骤S404~步骤S407;如果否,执行步骤S403。
S403、上报云平台150认证错误提示信息,并结束本流程。
S404、获取安管认证证书。
S405、对安管认证证书进行解密处理,得到认证信息;以及根据认证信息在云平台150注册虚拟机迁移函数。
在步骤S405之后,还包括以下步骤:
S406、将认证信息发送至云平台150进行存储;其中,认证信息包括虚拟机迁移通知函数以及安管平台110的通信地址。
S407、在目标虚拟机140进行迁移时,发送针对目标虚拟机140的迁移通知信息至第一虚拟防火墙120,以使第一虚拟防火墙120与迁移后的第二虚拟防火墙130建立连接,并将目标虚拟机140在第一虚拟防火墙120上的策略和会话信息同步到第二虚拟防火墙130上。
在步骤S407之后,还包括以下步骤:
S408、在目标虚拟机140的迁移动作完成时,发送迁移完成通知信息至第一虚拟防火墙120,以使第一虚拟防火墙120根据迁移完成通知信息将第一虚拟防火墙120中策略和会话信息进行删除。
本申请实施例中,对于虚拟机迁移方法的解释说明可以参照实施例1中的描述,对此本实施例中不再多加赘述。
可见,实施本实施例所描述的虚拟机迁移方法,能够避免虚拟防护墙策略冗余的问题,保证虚拟防火墙性能,同时保证虚拟机的业务的通信性能不受影响。
本申请实施例提供了一种电子设备,包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行本申请实施例2或实施例3中任一项虚拟机迁移方法。
本申请实施例提供了一种计算机可读存储介质,其存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行本申请实施例2或实施例3中任一项虚拟机迁移方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统和方法,也可以通过其它的方式实现。以上所描述的系统实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

Claims (9)

1.一种虚拟机迁移系统,其特征在于,包括安管平台、第一虚拟防火墙、第二虚拟防火墙以及目标虚拟机,其中,
所述安管平台,用于在所述目标虚拟机进行迁移时,发送针对所述目标虚拟机的迁移通知信息至所述第一虚拟防火墙;
所述第一虚拟防火墙,用于接收所述迁移通知信息,并根据所述迁移通知信息生成目标键值对;以及将所述目标键值对添加至预设的全局键值数据库中,所述目标键值对包括迁移后的第二虚拟防火墙的通信地址以及所述目标虚拟机在所述第一虚拟防火墙上的策略和会话信息;
所述第二虚拟防火墙,用于监控所述全局键值数据库中新增的所述目标键值对,并根据所述目标键值对与所述第一虚拟防火墙建立连接;
所述第一虚拟防火墙,还用于将所述策略和会话信息同步至所述第二虚拟防火墙;
所述安管平台,还用于在所述目标虚拟机的迁移动作完成时,发送迁移完成通知信息至所述第一虚拟防火墙;
所述第一虚拟防火墙,还用于接收迁移完成通知信息,将所述第一虚拟防火墙中所述策略和会话信息进行删除;
其中,所述虚拟机迁移系统还包括云平台,其中,
所述云平台,用于在检测到所述目标虚拟机的迁移动作时,通过预先配置的认证信息发送所述目标虚拟机的迁移信息至所述安管平台;
所述安管平台,还用于接收所述迁移信息;并根据所述迁移信息生成迁移通知信息,并执行所述的发送针对所述目标虚拟机的迁移通知信息至所述第一虚拟防火墙的步骤。
2.根据权利要求1所述的虚拟机迁移系统,其特征在于,所述云平台,还用于在检测到所述目标虚拟机的迁移动作完成时,发送所述目标虚拟机的迁移完成状态信息至所述安管平台;
所述安管平台,还用于接收所述迁移完成状态信息,并根据所述迁移完成状态信息生成迁移完成通知信息,并执行所述的发送迁移完成通知信息至所述第一虚拟防火墙。
3.根据权利要求1所述的虚拟机迁移系统,其特征在于,所述安管平台,还用于在所述云平台检测到所述目标虚拟机的迁移动作之前,注册对接过的所述云平台的相关信息,并根据所述相关信息获取所述云平台的认证信息,其中,所述认证信息包括虚拟机迁移通知函数以及所述安管平台的通信地址;
所述云平台,还用于获取所述认证信息并存储,以及判断是否检测到所述目标虚拟机的迁移动作,如果是,执行所述的通过预先配置的认证信息发送所述目标虚拟机的迁移信息至所述安管平台。
4.根据权利要求3所述的虚拟机迁移系统,其特征在于,所述安管平台,在根据所述相关信息获取所述云平台的认证信息时,具体用于根据所述相关信息调用所述云平台的认证接口进行用户密码认证,并判断是否认证通过;如果认证通过,则获取安管认证证书;并对所述安管认证证书进行解密处理,得到认证信息;以及根据所述认证信息在所述云平台注册虚拟机迁移函数,并将所述认证信息发送至所述云平台进行存储。
5.一种虚拟机迁移方法,应用于权利要求1所述的第一虚拟防火墙,所述第一虚拟防火墙为目标虚拟机迁移前对应的虚拟防火墙,其特征在于,包括:
接收安管平台发送的针对所述目标虚拟机迁移通知信息;
根据所述迁移通知信息生成目标键值对;所述目标键值对包括迁移后的第二虚拟防火墙的通信地址以及所述目标虚拟机在所述第一虚拟防火墙上的策略和会话信息;
将所述目标键值对添加至预设的全局键值数据库中,以使所述第二虚拟防火墙监控到所述全局键值数据库中新增的所述目标键值对,并根据所述目标键值对与所述第一虚拟防火墙建立连接;
将所述策略和会话信息同步至所述第二虚拟防火墙;
接收所述安管平台发送针对所述目标虚拟机的迁移完成通知信息,将所述第一虚拟防火墙中所述目标虚拟机的所述策略和会话信息进行删除。
6.一种虚拟机迁移方法,其特征在于,应用于权利要求1所述的安管平台,包括:
在所述目标虚拟机进行迁移时,发送针对所述目标虚拟机的迁移通知信息至第一虚拟防火墙,以使所述第一虚拟防火墙与迁移后的第二虚拟防火墙建立连接,并将所述目标虚拟机在所述第一虚拟防火墙上的策略和会话信息同步到所述第二虚拟防火墙上;
在所述目标虚拟机的迁移动作完成时,发送迁移完成通知信息至所述第一虚拟防火墙,以使所述第一虚拟防火墙根据所述迁移完成通知信息将所述第一虚拟防火墙中所述策略和会话信息进行删除。
7.根据权利要求6所述的虚拟机迁移方法,其特征在于,在发送针对所述目标虚拟机的迁移通知信息至所述第一虚拟防火墙之前,所述方法还包括:
注册对接过的云平台的相关信息,并根据所述相关信息调用所述云平台的认证接口进行用户密码认证;
判断是否认证通过;
如果是,则获取安管认证证书;
对所述安管认证证书进行解密处理,得到认证信息;
根据所述认证信息在所述云平台注册虚拟机迁移函数,并将所述认证信息发送至所述云平台进行存储;其中,所述认证信息包括虚拟机迁移通知函数以及所述安管平台的通信地址。
8.一种电子设备,其特征在于,所述电子设备包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行权利要求5至7中任一项所述的虚拟机迁移方法。
9.一种可读存储介质,其特征在于,所述可读存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行权利要求5至7任一项所述的虚拟机迁移方法。
CN202111448929.7A 2021-11-30 2021-11-30 一种虚拟机迁移系统及方法 Active CN114143087B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111448929.7A CN114143087B (zh) 2021-11-30 2021-11-30 一种虚拟机迁移系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111448929.7A CN114143087B (zh) 2021-11-30 2021-11-30 一种虚拟机迁移系统及方法

Publications (2)

Publication Number Publication Date
CN114143087A CN114143087A (zh) 2022-03-04
CN114143087B true CN114143087B (zh) 2023-09-26

Family

ID=80386337

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111448929.7A Active CN114143087B (zh) 2021-11-30 2021-11-30 一种虚拟机迁移系统及方法

Country Status (1)

Country Link
CN (1) CN114143087B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103500146A (zh) * 2013-09-30 2014-01-08 北京邮电大学 虚拟机磁盘存储数据迁移方法和系统
WO2015081766A1 (zh) * 2013-12-04 2015-06-11 蓝盾信息安全技术有限公司 一种基于sdn的虚拟机安全策略迁移的系统及方法
WO2015196774A1 (zh) * 2014-06-24 2015-12-30 华为技术有限公司 虚拟机迁移方法及设备
CN105227541A (zh) * 2015-08-21 2016-01-06 华为技术有限公司 一种安全策略动态迁移方法及装置
CN109495422A (zh) * 2017-09-11 2019-03-19 中国电信股份有限公司 虚拟防火墙的配置方法、装置以及计算机可读存储介质

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8984114B2 (en) * 2011-10-06 2015-03-17 Varmour Networks, Inc. Dynamic session migration between network security gateways
US20140101656A1 (en) * 2012-10-10 2014-04-10 Zhongwen Zhu Virtual firewall mobility
US10083062B2 (en) * 2015-07-31 2018-09-25 Cisco Technology, Inc. Data suppression for faster migration

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103500146A (zh) * 2013-09-30 2014-01-08 北京邮电大学 虚拟机磁盘存储数据迁移方法和系统
WO2015081766A1 (zh) * 2013-12-04 2015-06-11 蓝盾信息安全技术有限公司 一种基于sdn的虚拟机安全策略迁移的系统及方法
WO2015196774A1 (zh) * 2014-06-24 2015-12-30 华为技术有限公司 虚拟机迁移方法及设备
CN105227541A (zh) * 2015-08-21 2016-01-06 华为技术有限公司 一种安全策略动态迁移方法及装置
CN109495422A (zh) * 2017-09-11 2019-03-19 中国电信股份有限公司 虚拟防火墙的配置方法、装置以及计算机可读存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
多虚拟机下基于内存缓存的动态块迁移算法;刘典型;;计算机应用与软件(第03期);全文 *

Also Published As

Publication number Publication date
CN114143087A (zh) 2022-03-04

Similar Documents

Publication Publication Date Title
CN106331098B (zh) 一种服务器集群系统
US11740975B2 (en) System and method for managing blockchain nodes
US7512815B1 (en) Systems, methods and computer program products for high availability enhancements of virtual security module servers
US11368407B2 (en) Failover management using availability groups
US10798218B2 (en) Environment isolation method and device
CN106888245B (zh) 一种数据处理方法、装置及系统
US9952947B2 (en) Method and system for processing fault of lock server in distributed system
CN104506654B (zh) 云计算系统及动态主机配置协议服务器备份方法
US11953997B2 (en) Systems and methods for cross-regional back up of distributed databases on a cloud service
US20190372835A1 (en) Private network mirroring
US20180349239A1 (en) High availability and disaster recovery system architecture
US11190359B2 (en) Device and system for accessing a distributed ledger
CN112181593A (zh) 虚拟机调度方法、装置、设备及存储介质
CN112328366A (zh) 一种高效的云平台主机保护方法及系统
US9774600B1 (en) Methods, systems, and computer readable mediums for managing infrastructure elements in a network system
CN104516744A (zh) 软件更新方法及系统
KR101250881B1 (ko) 클라우드 컴퓨팅의 블럭 스토리지 서비스의 데이터 이중화 방법
CN114143087B (zh) 一种虚拟机迁移系统及方法
US11153173B1 (en) Dynamically updating compute node location information in a distributed computing environment
WO2019178839A1 (zh) 为分布式应用创建一致性快照的方法、装置和分布式系统
CN113127137A (zh) 使用自托管虚拟机的云计算管理平台及其创建实现方法
CN112000437A (zh) 一种灾备方法、装置、电子设备及存储介质
CN112162967A (zh) 工控系统数据安全的拟态存储系统及方法
US20240168824A1 (en) Automated synchronization of network addresses across public cloud environments
US20240004712A1 (en) Fencing off cluster services based on shared storage access keys

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant