WO2018000195A1

WO2018000195A1 - 一种报文传输方法、虚拟交换机及服务器

Info

Publication number: WO2018000195A1
Application number: PCT/CN2016/087482
Authority: WO
Inventors: 陈文�; 常波
Original assignee: 华为技术有限公司
Priority date: 2016-06-28
Filing date: 2016-06-28
Publication date: 2018-01-04

Abstract

本发明公开了一种报文传输方法、虚拟交换机及服务器，方法包括：服务器的主机进程获得报文及报文的目的地址；如果报文的目的地址为第一虚拟机的地址，主机进程将报文复制到运行在服务器上的第一虚拟机的第一共享内存中；如果报文的目的地址与服务器的物理地址不同，主机进程通知服务器的物理网卡获得报文并进行传输。本发明基于报文的目的地址的不同，以不同的方式进行报文交互，若目的地址为运行在服务器上的虚拟机的地址，则将报文从源虚拟机复制到目的虚拟机的共享内存，保证了虚拟机的内存的安全性；若目的地址与服务器的物理地址不同，则通知物理网卡直接读取报文并进行传输，保证报文通信的高效性。

Description

一种报文传输方法、虚拟交换机及服务器

技术领域

本申请涉及通信领域，尤其涉及一种报文传输方法、虚拟交换机及服务器。

背景技术

在虚拟化技术中，一台服务器上能够运行多个虚拟机，服务器能够通过物理网卡与其它设备相连接，而虚拟机之间的通信可以通过服务器上运行的虚拟交换机来实现，服务器上的虚拟机与服务器之外的其它设备的通信也可以通过虚拟交换机来实现。

目前，亟需一种报文传输方案，兼顾虚拟机的安全性和报文通信的高效性。

发明内容

本申请提供了一种报文传输方法、虚拟交换机及服务器，目的在于兼顾虚拟机的安全性和报文通信的高效性。

本发明的第一方面提供了一种报文传输方法，其中包括以下步骤：服务器的主机进程获得报文及报文的目的地址，如果报文的目的地址为第一虚拟机的地址，主机进程将报文复制到运行在服务器上的第一虚拟机的第一共享内存中，如果报文的目的地址与服务器的物理地址不同，主机进程通知服务器的物理网卡获得报文并进行传输。可见，在报文在进行传输时，基于报文的目的地址的不同，以不同的方式发送报文：若目的地址为运行在服务器上的虚拟机的地址，则将报文从源虚拟机复制到目的虚拟机的共享内存中，避免了现有技术中目的虚拟机利用指针直接从源虚拟机中读取报文而导致的报文泄密的安全隐患，保证了虚拟机的内存的安全性；若目的地址与服务器的物理地址不同，则通知物理网卡直接读取报文并进行传输，而不是将报文复制到物理网卡的缓存中，由此节省了报文复制的时间消耗，保证报文通信的高效性。综上所述，实现了兼顾虚拟机的安全性和报文通信的高效性的目的。

本发明的第二方面提供了一种虚拟交换机，其中包括有以下结构：

报文及地址获得模块获得报文及报文的目的地址，地址判断模块判断报文的目的地址，如果报文的目的地址为第一虚拟机的地址，则运行报文复制模块将报文复制到运行在服务器上的第一虚拟机的第一共享内存中，如果报文的目的地址与服务器的物理地址不同，则运行报文触发模块通知服务器的物理网卡获得报文并进行传输。可见，虚拟交换机在报文在进行传输时，基于报文的目的地址的不同，以不同的方式发送报文：若目的地址为运行在服务器上的虚拟机的地址，则将报文从源虚拟机复制到目的虚拟机的共享内存，避免了现有技术中目的虚拟机利用指针直接从源虚拟机中读取报文而导致的报文泄密的安全隐患，保证了虚拟机的内存的安全性；若目的地址与服务器的物理地址不同，则通知物理网卡直接读取报文并进行传输，而不是将报文复制到物理网卡的缓存中，由此节省了报文复制的时间消耗，保证报文通信的高效性。综上所述，实现了兼顾虚拟机的安全性和报文通信的高效性的目的。

本发明的第三方面提供了一种服务器，其中包括以下结构：

存储应用程序及应用程序运行过程中所产生的数据的存储器、物理网卡及处理器，处理器通过运行应用程序，构建虚拟交换机及至少两个虚拟机，其中的虚拟交换机获得报文及报文的目的地址后，如果报文的目的地址为第一虚拟机的地址，将报文复制到运行在服务器上的第一虚拟机的第一共享内存中，如果报文的目的地址与服务器的物理地址不同，通知服务器的物理网卡获得报文并进行传输。由此可知，服务器在传输报文时，基于报文的目的地址的不同，以不同的方式发送报文：若目的地址为运行在服务器上的虚拟机的地址，则将报文从源虚拟机复制到目的虚拟机的共享内存，避免了现有技术中目的虚拟机利用指针直接从源虚拟机中读取报文而导致的报文泄密的安全隐患，保证了虚拟机的内存的安全性；若目的地址与服务器的物理地址不同，则通知物理网卡直接读取报文并进行传输，而不是将报文复制到物理网卡的缓存中，由此节省了报文复制的时间消耗，保证报文通信的高效性。综上所述，实现了兼顾虚拟机的安全性和报文通信的高效性的目的。

在一个实现方式中，报文在被传输之前处于第二共享内存或主机内存，第二共享内存是为第二虚拟机访问所分配的内存，第二虚拟机为运行在服务器上的虚拟机。由此，基于此主机进程准确的获得报文的目的地址，更好的实现兼顾虚拟机的安全性和报文通信的高效性的目的。

在一个实现方式中，第一共享内存不能被服务器上除第一虚拟机之外的其它虚拟机访问；第二共享内存不能被服务器上除第二虚拟机之外的其它虚拟机访问。可见，虚拟机之间不能直接进行内存读取，避免了目的虚拟机直接从源虚拟机的内存中读取报文时出现报文被泄密的情况，进一步避免虚拟机之间直接进行报文读取所导致的报文泄密的安全隐患。

在一个实现方式中，主机进程获得报文及报文的目的地址，包括：主机进程读取报文的当前指针，并根据报文的当前指针，从第二共享内存或主机内存中读取报文及报文的目的地址。由此，基于此主机进程准确的获得报文的目的地址，更好的实现兼顾虚拟机的安全性和报文通信的高效性的目的。

在一个实现方式中，主机进程将报文经由服务器的物理网卡进行传输，包括：主机进程将报文的当前指针传输给服务器的物理网卡，物理网卡用于依据报文的当前指针从第二共享内存中获得报文并将报文进行传输。可见，无需将报文复制到物理网卡，而是通过指针的传输通知物理网卡直接从虚拟机的共享内存中进行报文的读取，节省了报文的传输时间，进一步保证服务器与其它设备之间进行报文通信的高效性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为服务器中运行有虚拟交换机及多个虚拟机的场景示意图；

图2为本发明实施例公开的一种报文传输方法的流程图；

图3为虚拟机系统中报文传输的场景示意图；

图4为本发明实施例公开的一种虚拟交换机的结构示意图。

具体实施方式

图1所示为一台服务器的结构示意图，其中，服务器中包括有存储器、处理器和物理网卡等硬件层组件。物理网卡用于利用网络连接服务器与其它设备，服务器通过物理网卡与这些设备进行报文的传输。存储器中存储有应用程序以及这些应用程序在运行过程中产生的数据。处理器运行存储器中所存储的应用程序，以在服务器上构建并运行至少一个虚拟交换机及至少两个虚拟机。以图1中第一虚拟机及第二虚拟机为例。每个虚拟机均被分配有虚拟机内存，服务器内有主机内存，这里的虚拟机内存及主机内存用于存储报文等。虚拟交换机被分配有作为接收队列的内存，用于存放报文的指针等。

虚拟交换机的功能是通过服务器中的主机进程来实现的，图2所示为图1中的虚拟交换机、第一虚拟机、第二虚拟机以及物理网卡协同进行报文传输的过程，虚拟交换机实现报文传输时，包括以下步骤：

S201：虚拟交换机将接收到的报文的指针放到虚拟交换机的接收队列中。

需要说明的是，报文的指针指向在第二虚拟机的第二共享内存中报文所存放的地址，其中的第二共享内存是为第二虚拟机访问所分配的内存；或者，报文的指针指向主机内存中报文所存放的地址。报文的指针被放到虚拟交换机的接收队列中，来通知虚拟交换机需要开始进行报文传输。

S202：虚拟交换机读取接收队列中报文的指针。

S203：虚拟交换机根据读取到的指针，从第二虚拟机的第二共享内存或主机内存中读取报文。

S204：虚拟交换机通过解析读取到的报文，获得报文的目的地址。

在一种实现中，虚拟交换机可以在报文中的各个字段中找到与目的地址相关的字段，由此来提取出报文的目的地址。

以上S202-S204的目的在于实现虚拟交换机获得报文及报文的目的地址，而虚拟交换机获得目的地址的方式并不限于以上步骤，还可以采用其它可实现方案，此处不再详述。

S205：虚拟交换机判断报文的目的地址是第一虚拟机的地址还是与服务器的物理地址不同的地址，若目的地址为第一虚拟机的地址，则执行S206，若目的地址为与服务器的物理地址不同的地址，那么执行S208。

因为这里的第一虚拟机是图1中与第二虚拟机运行在同一服务器上的虚拟机，所以若目的地址为第一虚拟机的地址，则说明报文是在同一服务器的两个虚拟机之间进行传输，此时执行S206；若目标地址为与服务器的物理地址不同的地址，则说明报文是在服务器与除服务器之外的其它设备之间进行传输，此时执行S208。可见，本实施例中，对于目的地址不同的报文，采用的处理方式不同。

S206：虚拟交换机将报文从第二共享内存或主机内存复制到第一虚拟机的第一共享内存中。

其中的第一共享内存是为第一虚拟机访问所分配的内存。

S207：虚拟交换机将复制到第一共享内存的报文的指针放置到第一虚拟机的接收队列中，后续可以由第一虚拟机利用报文的指针对报文进行读取等操作。

可选的，本发明实施例中，虚拟交换机在进行内存的读取或写入时，采用DMA(Direct Memory Access，直接内存存取)技术，以进一步提升报文通信的效率。

从以上方案中可知，在服务器上，第一共享内存不能被服务器上除第一虚拟机之外的其它虚拟机访问，第二共享内存不能被服务器上除第二虚拟机之外的其它虚拟机访问。

也就是说，每个虚拟机均只能访问自己的共享内存中的报文内容，不能访问其它虚拟机的共享内存中的报文内容。各虚拟机的共享内存对于其它虚拟机不可见，虚拟机之间的报文交互都是通过虚拟交换机进行的，即报文从源虚拟机到目的虚拟机的传输需要通过虚拟交换机进行复制来完成的，并且虚拟交换机将复制到目的虚拟机的报文的指针放到目的虚拟机的接收队列中，因此，在服务器上的某个虚拟机发生崩溃时，不会影响虚拟机的运行，保证虚拟机系统的可靠性，同时，通过虚拟交换机将报文从源虚拟机复制到目的虚拟机，避免了现有技术中目的虚拟机利用指针直接从源虚拟机中读取报文而导致的报文泄密的安全隐患，保证了虚拟机的内存的安全性。

S208：虚拟交换机将报文的指针放置到物理网卡的发送队列中，以通知服务器的物理网卡向目的地址传输报文。

之后，物理网卡从发送队列中读取报文的指针，再根据指针从第二虚拟机的第二共享内存或主机内存中读取出报文，并将报文向目的地址进行传输。

从以上方案可知，在服务器上，主机内存与虚拟机的共享内存对于物理网卡是可见的，报文向通过物理网卡与服务器连接的其它设备传输时，虚拟交换机将源虚拟机的共享内存中或主机内存中的报文的指针放到物理网卡的发送队列中，由物理网卡基于指针直接从源虚拟机的共享内存或主机内存中读取出报文并向目的地址传输，而不是由虚拟交换机将源虚拟机的内存或主机内存中的报文复制到物理网卡的缓存，再去更新物理网卡的发送队列，由此避免了虚拟交换机复制报文到物理网卡的时间消耗，保证报文通信的高效性。

图2所示的报文传输示意如图3所示：

在第二虚拟机的报文需要向第一虚拟机发送时，虚拟交换机从第二虚拟机的第二共享内存中读取出报文，之后，虚拟交换机将报文复制到第一虚拟机的第一共享内存中。即为：报文是从第二共享内存传输到第一共享内存的过程，是由虚拟交换机经过一次报文复制操作来完成，至此，虚拟交换机完成报文由第二虚拟机到第一虚拟机的传输。也就是说，虚拟交换机通过报文复制完成虚拟机与虚拟机之间的报文交互，区别于现有技术中源虚拟机与目的虚拟机之间直接从对方的内存中进行报文读取操作，避免了虚拟机之间存在偷窥报文的情况，保证了虚拟机之间进行报文通信的安全性。

而在第一虚拟机中的报文需要与服务器的物理地址不同的其它设备传输时，虚拟交换机通过指针的传递通知物理网卡从第二虚拟机的第二共享内存中读取出报文并进行传输。也就是说，虚拟机的共享内存对于物理网卡来说是可以直接访问的，物理网卡利用指针能够在虚拟机的共享内存中直接读取指针所指向的报文，这一过程中，虚拟交换机无需将报文复制到物理网卡中，节省报文复制的时间，以保证服务器向服务器之外的其它设备进行报文传输的高效性。

图1中所示的服务器中，处理器通过运行存储器中存储的应用程序，实现图2中所示的流程。

图4为图1中的虚拟交换机的结构示意，包括以下结构：

报文及地址获得模块401，用于获得报文及报文的目的地址。

地址判断模块402，用于判断报文的目的地址，如果报文的目的地址为第一虚拟机的地址，运行报文复制模块403，如果报文的目的地址与服务器的物理地址不同，运行报文触发模块404。

报文复制模块403，用于将报文复制到第一共享内存中。第一虚拟机为运行在服务器上的虚拟机，第一共享内存是为第一虚拟机访问所分配的内存。

而报文在被传输之前处于第二共享内存或主机内存，第二共享内存是为第二虚拟机访问所分配的内存，第二虚拟机为运行在所述服务器上的虚拟机。

传输触发模块404，用于通知所述服务器的物理网卡获得所述报文并进行传输。

而传输触发模块404可以通过将报文的指针放置到物理网卡的发送队列中，来实现通知物理网卡将报文向目的地址进行传输的目的。之后，物理网卡从发送队列中读取待发送的报文的指针，再根据指针，从第二虚拟机的第二共享内存或主机内存中读取报文并向目的地址进行传输。

图4所示为虚拟交换机的一种实现结构，虚拟交换机中各个模块的实现功能可以参考前文中实现，此处不再详述。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。

Claims

一种报文传输方法，其特征在于，包括：

服务器的主机进程获得报文及所述报文的目的地址；

如果所述报文的目的地址为第一虚拟机的地址，所述主机进程将所述报文复制到第一共享内存中，所述第一虚拟机为运行在所述服务器上的虚拟机，所述第一共享内存是为所述第一虚拟机访问所分配的内存；

如果所述报文的目的地址与所述服务器的物理地址不同，所述主机进程通知所述服务器的物理网卡获得所述报文并进行传输。
根据权利要求1所述的方法，其特征在于，所述报文在被传输之前处于第二共享内存或主机内存，所述第二共享内存是为第二虚拟机访问所分配的内存，所述第二虚拟机为运行在所述服务器上的虚拟机。
根据权利要求2所述的方法，其特征在于，所述第一共享内存不能被所述服务器上除所述第一虚拟机之外的其它虚拟机访问；

所述第二共享内存不能被所述服务器上除所述第二虚拟机之外的其它虚拟机访问。
根据权利要求3所述的方法，其特征在于，所述主机进程获得报文及所述报文的目的地址，包括：

所述主机进程读取报文的当前指针；

所述主机进程根据所述报文的当前指针，从所述第二共享内存或所述主机内存中读取所述报文及所述报文的目的地址。
根据权利要求3所述的方法，其特征在于，所述主机进程通知所述服务器的物理网卡获得所述报文并进行传输，包括：

所述主机进程将所述报文的当前指针传输给所述服务器的物理网卡，所述物理网卡用于依据所述报文的当前指针从所述第二共享内存中获得所述报文并将所述报文进行传输。
一种虚拟交换机，其特征在于，包括：

报文及地址获得模块，用于获得报文及所述报文的目的地址；

地址判断模块，用于判断所述报文的目的地址，如果所述报文的目的地址为第一虚拟机的地址，运行报文复制模块，如果所述报文的目的地址与所述服务器的物理地址不同，运行报文触发模块；

报文复制模块，用于将所述报文复制到第一共享内存中，所述第一虚拟机为运行在所述服务器上的虚拟机，所述第一共享内存是为所述第一虚拟机访问所分配的内存；

传输触发模块，用于通知所述服务器的物理网卡获得所述报文并进行传输。
根据权利要求6所述的虚拟交换机，其特征在于，所述报文在被传输之前处于第二共享内存或主机内存，所述第二共享内存是为第二虚拟机访问所分配的内存，所述第二虚拟机为运行在所述服务器上的虚拟机。
根据权利要求7所述的虚拟交换机，其特征在于，所述第一共享内存不能被所述服务器上除所述第一虚拟机之外的其它虚拟机访问；

所述第二共享内存不能被所述服务器上除所述第二虚拟机之外的其它虚拟机访问。
根据权利要求8所述的虚拟交换机，其特征在于，所述报文及地址获得模块具体用于：

读取报文的当前指针，并根据所述报文的当前指针，从所述第二共享内存或所述主机内存中读取所述报文及所述报文的目的地址。
根据权利要求8所述的虚拟交换机，其特征在于，所述传输触发模块具体用于：

将所述报文的当前指针传输给所述服务器的物理网卡，所述物理网卡用于依据所述报文的当前指针从所述第二共享内存中获得所述报文并将所述报文进行传输。
一种服务器，其特征在于，包括：

存储器，用于存储应用程序及所述应用程序运行过程中所产生的数据；

物理网卡；

处理器，用于通过运行所述应用程序，构建虚拟交换机及至少两个虚拟机；

所述虚拟交换机，用于获得报文及所述报文的目的地址，如果所述报文的目的地址为第一虚拟机的地址，将所述报文复制到第一共享内存中，所述第一虚拟机为运行在所述服务器上的虚拟机，所述第一共享内存是为所述第一虚拟机访问所分配的内存，如果所述报文的目的地址与所述服务器的物理地址不同，通知所述服务器的物理网卡获得所述报文并进行传输。
根据权利要求11所述的服务器，其特征在于，所述报文在被传输之前处于第二共享内存或主机内存，所述第二共享内存是为第二虚拟机访问所分配的内存，所述第二虚拟机为运行在所述服务器上的虚拟机。
根据权利要求12所述的服务器，其特征在于，所述第一共享内存不能被所述服务器上除所述第一虚拟机之外的其它虚拟机访问；

所述第二共享内存不能被所述服务器上除所述第二虚拟机之外的其它虚拟机访问。
根据权利要求13所述的服务器，其特征在于，所述虚拟交换机获得报文及所述报文的目的地址，具体为：

所述虚拟交换机读取报文的当前指针，并根据所述报文的当前指针，从所述第二共享内存或所述主机内存中读取所述报文及所述报文的目的地址。
根据权利要求13所述的服务器，其特征在于，所述虚拟交换机通知所述服务器的物理网卡获得所述报文并进行传输，具体为：

所述虚拟交换机将所述报文的当前指针传输给所述服务器的物理网卡，所述物理网卡用于依据所述报文的当前指针从所述第二共享内存中获得所述报文并将所述报文进行传输。