WO2023004992A1

WO2023004992A1 - Open Stack租户网络的流量监控方法、装置

Info

Publication number: WO2023004992A1
Application number: PCT/CN2021/121906
Authority: WO
Inventors: 孙希发; 雷亚帅
Original assignee: 苏州浪潮智能科技有限公司
Priority date: 2021-07-27
Filing date: 2021-09-29
Publication date: 2023-02-02
Also published as: CN113300917A; US20240048468A1; CN113300917B

Abstract

本申请公开了一种Open Stack租户网络的流量监控方法，包括：利用回调函数对第一虚拟机的流量进出状态进行检测；当检测到该虚拟机向同一主机内的第二虚拟机发送第一流量时，利用集成网桥中的目标流表规则匹配与第一流量相对应的第一数据流，并将复制后的第一数据流发送至流量监控平台；当检测到第一虚拟机向远程主机内的第三虚拟机发送第二流量时，利用目标流表规则匹配与第二流量相对应的第二数据流，并将复制后的第二数据流发送至物理网桥，以利用物理网桥对复制后的第二数据流进行反射学习，得到第三数据流；当集成网桥接收到第三数据流时，将其发送至流量监控平台。显然，通过该方法就可以对虚拟机之间的流量交互情况进行监控。

Description

Open Stack租户网络的流量监控方法、装置

本申请要求在2021年7月27日提交中国专利局、申请号为202110848075.5、发明名称为“Open Stack租户网络的流量监控方法、装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及计算机技术领域，特别涉及一种Open Stack租户网络的流量监控方法、装置、设备及介质。

背景技术

企业上云以后，很多企业已经不再大规模使用物理机进行业务部署，而是采用虚拟机化技术对计算资源进行统一池化管理。传统数据中心的流量监控方法已经十分成熟，但云环境下的流量采集面临着诸多挑战，云计算和虚拟化技术已经将网络的边界延伸到了物理服务器的内部，而不同虚拟机之间的流量交互已经不再经过物理交换机，因此传统的流量监控方法已经不能适用于虚拟机。

由此可见，如何对虚拟机之间的流量交互情况进行监控，是本领域技术人员亟待解决的技术问题。

发明内容

有鉴于此，本申请的目的在于提供一种Open Satck租户网络的流量监控方法、装置、设备及介质，以对虚拟机之间的流量交互情况进行监控。其具体方案如下：

一种Open Stack租户网络的流量监控方法，包括：

利用回调函数对第一Open Stack主机内第一虚拟机的流量进出状态进行检测；其中，所述回调函数为预先注册在所述第一Open Stack主机内Linux网桥中的函数；

当检测到所述第一虚拟机向所述第一Open Stack主机内的第二虚拟机发送第一流量时，则利用所述第一Open Stack主机内集成网桥中所存储的目标流表规则匹配与所述第一流量相对应的第一数据流，并将复制后的所述第一数据流发送至流量监控平台，以对所述第一流量进行监控；

当检测到所述第一虚拟机向第二Open Stack主机内的第三虚拟机发送第二流量时，则利用所述目标流表规则匹配与所述第二流量相对应的第二数据流，并将复制后的所述第二数据流发送至所述第一Open Stack主机的物理网桥；

当所述物理网桥接收到复制后的所述第二数据流时，则根据所述目标流表规则对所述第二数据流进行反射学习，得到第三数据流，并将所述第三数据流发送至所述集成网桥；

当所述集成网桥接收到所述第三数据流时，则将所述第三数据流发送至所述流量监控平台，以对所述第二流量进行监控。

优选的，所述当所述物理网桥接收到复制后的所述第二数据流时，则根据所述目标流表规则对所述第二数据流进行反射学习，得到第三数据流，并将所述第三数据流发送至所述集成网桥的过程，包括：

当所述物理网桥接收到复制后的所述第二数据流时，则根据所述目标流表规则将复制后的所述第二数据流反射至所述物理网桥的目标接收端口；

当所述目标接收端口接收到复制后的所述第二数据流时，则对复制后的所述第二数据流进行单播学习，得到所述第三数据流，并将所述第三数据流发送至所述集成网桥。

优选的，还包括：

利用所述流量监控平台对复制后的所述第一数据流和/或所述第三数据流的完整性进行校验。

优选的，还包括：

根据所述第一数据流将所述第一流量发送至所述第二虚拟机；

根据所述第二数据流将所述第二流量发送至所述第三虚拟机。

优选的，所述当所述集成网桥接收到所述第三数据流时，则将所述第三数据流发送至所述流量监控平台，以对所述第二流量进行监控的过程，包括：

当所述集成网桥接收到所述第三数据流时，则将所述第三数据流中的vlan修改为与所述流量监控平台相对应的目标vlan，并通过所述目标vlan将所述第三数据流发送至所述流量监控平台，以对所述第二流量进行监控。

优选的，还包括：

当利用所述流量监控平台监测到所述第一流量或第二流量出现异常时，则提示预警信息。

优选的，还包括：

当利用所述流量监控平台监测到所述第一虚拟机和/或所述第二虚拟机和/或所述第三虚拟机的IP地址和/或MAC地址和/或目标端口出现异常时，则禁用所述IP地址和/或所述MAC地址和/或所述目标端口。

相应的，本申请还公开了一种Open Stack租户网络的流量监控装置，包括：

状态检测模块，用于利用回调函数对第一Open Stack主机内第一虚拟机的流量进出状态进行检测；其中，所述回调函数为预先注册在所述第一Open Stack主机内Linux网桥中的函数；

第一监控模块，用于当检测到所述第一虚拟机向所述第一Open Stack主机内的第二虚拟机发送第一流量时，则利用所述第一Open Stack主机内集成网桥中所存储的目标流表规则匹配与所述第一流量相对应的第一数据流，并将复制后的所述第一数据流发送至流量监控平台，以对所述第一流量进行监控；

数据发送模块，用于当检测到所述第一虚拟机向第二Open Stack主机内的第三虚拟机发送第二流量时，则利用所述目标流表规则匹配与所述第二流量相对应的第二数据流，并将复制后的所述第二数据流发送至所述第一Open Stack主机的物理网桥；

数据处理模块，用于当所述物理网桥接收到复制后的所述第二数据流时，则根据所述目标流表规则对所述第二数据流进行反射学习，得到第三数据流，并将所述第三数据流发送至所述集成网桥；

第二监控模块，用于当所述集成网桥接收到所述第三数据流时，则将所述第三数据流发送至所述流量监控平台，以对所述第二流量进行监控。

相应的，本申请还公开了一种Open Stack租户网络的流量监控设备，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如前述所公开的一种Open Stack租户网络的流量监控方法的步骤。

相应的，本申请还公开了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如前述所公开的一种Open Stack租户网络的流量监控方法的步骤。

可见，在本申请中，首先是在第一Open Stack主机内Linux网桥中注册回调函数，并利用回调函数对第一Open Stack主机内第一虚拟机的流量进出状态进行检测，当检测到第一虚拟机向第一Open Stack主机内的第二虚拟机发送第一流量时，则利用第一Open Stack主机内集成网桥中所存储的目标流表规则匹配与第一流量相对应的第一数据流，并将复制后的第一数据流发送至流量监控平台，以利用流量监控平台对第一流量进行监控；当检测到第一虚拟机向第二Open Stack主机内的第三虚拟机发送第二流量时，则利用目标流表规则匹配与第二流量相对应的第二数据流，并将复制后的第二数据流发送至第一Open Stack主机的物理网桥；当第一Open Stack主机的物理网桥接收到复制后的第二数据流时，则根据目标流表规则对第二数据流进行反射学习，得到第三数据流，并将第三数据流发送至第一Open Stack主机内的集成网桥；当集成网桥接收到第三数据流时，则将第三数据流发送至流量监控平台，以利用流量监控平台对第二流量进行监控。显然，通过本申请所提供的方法就可以对虚拟机之间的流量交互情况进行监控。相应的，本申请所提供的一种Open Stack租户网络的流量监控装置、设备及介质，同样具有上述有益效果。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本申请实施例所提供的一种Open Stack租户网络的流量监控方法的流程图；

图2为Open Stack租户网络的模型示意图；

图3为本申请实施例所提供的一种Open Stack租户网络的流量监控装置的结构图；

图4为本申请实施例所提供的一种Open Stack租户网络的流量监控设备的结构图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

请参见图1，图1为本申请实施例所提供的一种Open Stack租户网络的流量监控方法的流程图，该方法包括：

步骤S11：利用回调函数对第一Open Stack主机内第一虚拟机的流量进出状态进行检测；

其中，回调函数为预先注册在第一Open Stack主机内Linux网桥中的函数；

步骤S12：当检测到第一虚拟机向第一Open Stack主机内的第二虚拟机发送第一流量时，则利用第一Open Stack主机内集成网桥中所存储的目标流表规则匹配与第一流量相对应的第一数据流，并将复制后的第一数据流发送至流量监控平台，以对第一流量进行监控；

步骤S13：当检测到第一虚拟机向第二Open Stack主机内的第三虚拟机发送第二流量时，则利用目标流表规则匹配与第二流量相对应的第二数据流，并将复制后的第二数据流发送至第一Open Stack主机的物理网桥；

步骤S14：当物理网桥接收到复制后的第二数据流时，则根据目标流表规则对第二数据流进行反射学习，得到第三数据流，并将第三数据流发送至集成网桥；

步骤S15：当集成网桥接收到第三数据流时，则将第三数据流发送至流量监控平台，以对第二流量进行监控。

在本实施例中，为了使得本领域技术人员能够更好的理解本申请的实现原理，先对Open Stack租户网络的模型进行介绍。请参见图2，图2为Open Stack租户网络的模型示意图。在图2中，Node1和Node2分别为Open Stack租户网络中两个物理主机，其中，VM1和VM2为第一Open Stack主机Node1中的两台虚拟机，VM3为第二Open Stack主机Node2中的一台虚拟机，它们均属于vlan(Virtual Local Area Network，虚拟局域网)100；br-int是集成网桥，br-phy是物理网桥，用于连接物理网络。

当VM1向VM3发送流量时，VM1的流量会通过虚拟网卡tap-xxx进入到Linux网桥qbr-xxx中，之后，Linux网桥会通过一对虚拟设备qvb-xxx和qvo-xxx将流量发送到集成网桥br-int中，集成网桥br-int会通过流表规则来指定如何对进入或离开集成网桥br-int的数据进行传输或转发，对于进入到物理网桥br-phy的流量，会通过流表规则完成内部vlan ID到外部vlan ID的转换，从而使得进入到物理网桥br-phy上的数据有正确的vlan ID；之后，流量会通过Node1中的物理网卡eth1直接发送到物理交换机上，物理交换机通过物理vlan设置再将流量转发到Node2的物理网卡eth1中，这样就将VM1中的流量发送到VM3中。

当VM3向VM1返回流量时，VM3返回的流量会通过Node1的物理网卡eth1转发给物理网桥br-phy，物理网桥br-phy再将流量转发给集成网桥br-int，之后，集成网桥br-int会按照流表规则对流量进行转换，把外部vlan转换为内部vlan，并通过内部vlan标识将数据准确地发送到VM1所对应的虚拟设备qvb-xxx和qvo-xxx中，并将内部vlan标识去掉；当Linux网桥接收到虚拟设备qvb-xxx和qvo-xxx发送来的流量之后，会通过网络分流器tap设备将流量发送给VM1，VM1通过虚拟网卡就会接收到VM3所返回的流量，并完成数据的传输。

基于现有Open Stack租户网络的架构，本实施例提出了一种Open Stack租户网络的流量监控方法，通过该方法可以对虚拟机之间的流量交互情况进行监控。从上述Open Stack租户网络的架构中可以看出，虚拟机的关键网路设备为连接Linux网桥的tap-xxx设备。其中，Linux网桥是Linux上用来做 tcp/ip二层协议交换的设备，与现实世界中交换机的功能相似。Linux网桥可以和Linux上其它的网络设备进行连接，Linux网桥的功能主要在内核中实现。当一个从设备被连接到Linux网桥上时，相当于现实世界中交换机的端口被插入了一根连接有终端的网线。这时在内核程序里，netdev_rx_handler_register()被调用，一个用于接收数据的函数被注册，以后每当从这个设备接收到数据时都会调用这个函数，并通过这个函数将数据转发到Linux网桥上。

通过上述理论分析，在该监控方法中需要预先在第一Open Stack主机内的Linux网桥中注册回调函数，以利用该回调函数来对虚拟机的流量进出状态进行检测。具体的，当第一虚拟机VM1接收流量到或向其它设备发送流量时，会向回调函数上报心跳信息，并以此来表征第一虚拟机VM1正在接收或发送数据，这样就可以根据虚拟机的数据流以及流向监控虚拟机正在进行的数据传输情况。需要说明的是，回调函数仅仅只会完成一个简单的流量触发动作，并不会执行实际的数据操作，所以，该流量检测过程不会对虚拟网络的数据处理产生任何影响。当在Linux网桥中插入了回调函数之后，为了对虚拟机之间的网络交互情况进行监控，还需要在集成网桥br-int上插入目标流表规则，并在集成网桥中关联一个端口来将进出集成网桥的流量数据镜像至流量监控平台的目标端口上，从而达到对进出虚拟机的流量进行监控的目的。

具体的，在该流量监控方法中，首先是利用回调函数来对第一Open Stack主机内第一虚拟机VM1的流量进出状态进行检测，当检测到第一虚拟机VM1向同一物理主机内的第二虚拟机VM2发送第一流量时，则利用第一Open Stack主机内集成网桥br-int中所存储的目标流表规则匹配与第一流量相对应的第一数据流，并对第一数据流进行复制，之后，再将复制后的第一数据流发送到第三方的流量监控平台中，以利用流量监控平台来对第一虚拟机VM1和第二虚拟机VM2之间的第一流量进行监控。显然，通过这样的设置方式就可以实现对同一Open Stack主机内不同虚拟机之间的流量交互情况进行监控的目的。

能够想到的是，除了同一Open Stack主机内不同的虚拟机可以进行流量交互之外，不同Open Stack主机中的虚拟机也可以进行流量交互。因此，当利用第一Open Stack主机内Linux网桥所插入的回调函数检测到第一虚拟机VM1向第二Open Stack主机内的第三虚拟机VM3发送第二流量时，则利用第一Open Stack主机内集成网桥br-int中所存储的目标流表规则匹配与第二流量相对应的第二数据流，并对第二数据流进行复制，得到复制后的第二数据流。

可以理解的是，当对第二数据流进行复制之后，根据第二数据流会发现第二流量的目的端口并不在本地主机中。因此，集成网桥br-int会将复制后的第二数据流发送到第一Open Stack主机内的物理网桥br-phy中，当物理网桥br-phy接收到复制后的第二数据流时，会根据目标流表规则对第二数据流进行反射学习，从而使得第二流量能够从第一虚拟机VM1发送至第三虚拟机VM3中。具体的，物理网桥br-phy根据目标流表规则对第二数据流进行反射学习之后，会得到第三数据流，之后，物理网桥br-phy会将第三数据流发送到集成网桥br-int中。当集成网桥br-int接收到第三数据流时，会将第三数据流发送至第三方的流量监控平台中，以利用第三方的流量监控平台来对第一虚拟机VM1和第三虚拟机VM3之间的第二流量进行监控。

显然，通过本实施例所提供的技术方案，不仅可以对同一Open Stack主机内虚拟机之间的流量交互情况进行监控，而且，也可以对远程Open Stack主机内虚拟机之间的流量交互情况进行监控，这样就可以达到对虚拟机流量进行监控的目的。并且，通过本实施例所提供的流量监控方法也可以有效提高Open Stack租户网络的问题定位以及排查效率。

具体的，在实际应用中，可以将流量监控平台设置为Traffic Monitor，因为Traffic Monitor不仅是一款开源免费的Windows平台流量监控软件，而且，Traffic Monitor还可以将监控到的信息实时显示在其任务栏或者是桌面的悬浮窗中，这样就方便用户能够实时查看到虚拟机之间的流量交互情况，由此就可以提高用户在使用流量监控平台时的便捷性。

可见，在本实施例中，首先是在第一Open Stack主机内Linux网桥中注册回调函数，并利用回调函数对第一Open Stack主机内第一虚拟机的流量进出状态进行检测，当检测到第一虚拟机向第一Open Stack主机内的第二虚拟机发送第一流量时，则利用第一Open Stack主机内集成网桥中所存储的目标流表规则匹配与第一流量相对应的第一数据流，并将复制后的第一数据流发送至流量监控平台，以利用流量监控平台对第一流量进行监控；当检测到第一虚拟机向第二Open Stack主机内的第三虚拟机发送第二流量时，则利用目标流表规则匹配与第二流量相对应的第二数据流，并将复制后的第二数据流发送至第一Open Stack主机的物理网桥；当第一Open Stack主机的物理网桥接收到复制后的第二数据流时，则根据目标流表规则对第二数据流进行反射学习，得到第三数据流，并将第三数据流发送至第一Open Stack主机内的集成网桥；当集成网桥接收到第三数据流时，则将第三数据流发送至流量监控平台，以利用流量监控平台对第二流量进行监控。显然，通过本实施例所提供的方法就可以对虚拟机之间的流量交互情况进行监控。

基于上述实施例，本实施例对技术方案作进一步的说明与优化，作为一种优选的实施方式，上述步骤：当物理网桥接收到复制后的第二数据流时，则根据目标流表规则对第二数据流进行反射学习，得到第三数据流，并将第三数据流发送至集成网桥的过程，包括：

当物理网桥接收到复制后的第二数据流时，则根据目标流表规则将复制后的第二数据流反射至物理网桥的目标接收端口；

当目标接收端口接收到复制后的第二数据流时，则对复制后的第二数据流进行单播学习，得到第三数据流，并将第三数据流发送至集成网桥。

具体的，当第一Open Stack主机内的物理网桥接收到复制后的第二数据流时，会根据目标流表规则将复制后的第二数据流发送至物理网桥的目标接收端口；当物理网桥的目标接收端口接收到第二数据流之后，会对第二数据流进行单播学习，从而得到能够将第二流量从第一虚拟机发送至第三虚拟机的第三数据流；当物理网桥获取得到第三数据流之后，会将第三数据流发送到集成网桥中，以通过集成网桥将复制后的第二流量发送至流量监控平台中。

显然，通过本实施例所提供的技术方案，就可以保证流量监控平台能够对第一虚拟机和第三虚拟机之间的流量交互情况进行监控。

基于上述实施例，本实施例对技术方案作进一步的说明与优化，作为一种优选的实施方式，上述Open Stack租户网络的流量监控方法还包括：

利用流量监控平台对复制后的第一数据流和/或第三数据流的完整性进行校验。

能够想到的是，数据在传输过程中有时会遇到被不法分子篡改或者数据发生丢失的情形，从而影响流量监控平台对虚拟机流量的监测结果。因此，在本实施例中，为了避免上述情况的发生，流量监控平台在接收到复制后的第一数据流或者是第三数据流时，还会对复制后的第一数据流以及第三数据流的完整性进行校验。

其中，流量监控平台对复制后的第一数据流和/或第三数据流进行完整性校验的方法包括但不限于奇偶校验法(Parity Check)、BBC(Block Check Character)、异或校验法、或者是CRC(Cyclic Redundancy Check，循环冗余校验)等。

并且，相较于流量监控平台直接对第一虚拟机所发送的第一流量或第二流量进行完整性校验而言，通过本实施例所提供的校验检测方法既可以达到对数据完整性进行校验的目的，而且，也不会影响流量数据的传输性能，这样就可以相对提高在对虚拟机流量进行监测时的效率。

可见，通过本实施例所提供的技术方案，就可以进一步保证流量监控平台对虚拟机流量进行监测时的准确性与可靠性。

根据第一数据流将第一流量发送至第二虚拟机；

根据第二数据流将第二流量发送至第三虚拟机。

可以理解的是，因为利用目标流表规则能够匹配出与第一流量相对应的第一数据流，所以，第一数据流中会蕴含着第一流量从第一虚拟机到第二虚拟机的传输路径。因此，为了将第一虚拟机的第一流量发送至第二虚拟机，则需要根据第一数据流来将第一流量发送至第二虚拟机。

同理，当利用回调函数检测到第一虚拟机向第二Open Stack主机内的第三虚拟机发送第二流量时，第一Open Stack主机内集成网桥中所存储的目标流表规则就会匹配与第二流量相对应的第二数据流。因此，当利用目标流表规则匹配出与第二流量相对应的第二数据流之后，就可以根据第二数据流中的传输路径与传输规则将第一虚拟机的第二流量发送至第二Open Stack主机内的第三虚拟机中。

可见，通过本实施例所提供的技术方案，不仅可以实现同一Open Stack主机内不同虚拟机之间的数据交互，而且，还可以实现远程Open Stack主机内不同虚拟机之间的数据交互。

基于上述实施例，本实施例对技术方案作进一步的说明与优化，作为一种优选的实施方式，上述步骤：当集成网桥接收到第三数据流时，则将第三数据流发送至流量监控平台，以对第二流量进行监控的过程，包括：

当集成网桥接收到第三数据流时，则将第三数据流中的vlan修改为与流量监控平台相对应的目标vlan，并通过目标vlan将第三数据流发送至流量监控平台，以对第二流量进行监控。

在本实施例中，当集成网桥接收到第三数据流之后，会将第三数据流中的vlan修改为与流量监控平台相对应的目标vlan，这样就相当于建立了集成网桥与流量监控平台之间的通道连接。在此情况下，通过目标vlan就可以将第三数据流发送至流量监控平台中，并利用流量监控平台来对第一虚拟机和第三虚拟机之间的流量交互情况进行监控。

显然，通过本实施例所提供的技术方案，就可以保证流量监控平台在对第二流量进行监控过程中的整体可靠性。

当利用流量监控平台监测到第一流量或第二流量出现异常时，则提示预警信息。

在实际应用中，如果流量监控平台监测到第一虚拟机向第二虚拟机所发送的第一流量或者第一虚拟机向第三虚拟机所发送的第二流量出现异常时，比如：第一流量或第二流量中出现大量的重发数据、无效数据以及错误数据等等，则说明系统中存在故障组件或者是异常线程。

在此情况下，就可以通过提示预警信息的方式来使得维修人员能够及时知悉到各虚拟机之间的流量传输情况，并采取相应的补救措施，这样就可以极大的降低用户所遭受的经济损失。

当利用流量监控平台监测到第一虚拟机和/或第二虚拟机和/或第三虚拟机的IP地址和/或MAC地址和/或目标端口出现异常时，则禁用IP地址和/或MAC地址和/或目标端口。

可以理解的是，如果流量监控平台监测到第一虚拟机和/或第二虚拟机和/或第三虚拟机的IP地址和/或MAC地址和/或目标端口出现异常时，则说明第一虚拟机和/或第二虚拟机和/或第三虚拟机已经无法执行正常的数据传输工作。此时如果继续使用第一虚拟机和/或第二虚拟机和/或第三虚拟机的IP地址和/或MAC地址和/或目标端口来传输流量数据，不仅会增加错误数据的传输量，浪费虚拟机的资源，而且，也会增加第一Open Stack主机和/或第二Open Stack主机的安全风险。

所以，在本实施例中，为了避免上述情形的出现，是在流量监控平台监测到第一虚拟机和/或第二虚拟机和/或第三虚拟机的IP地址和/或MAC地址和/或目标端口出现异常时，禁用第一虚拟机和/或第二虚拟机和/或第三虚拟机的IP地址和/或MAC地址和/或目标端口，也即，暂停对发生故障的IP地址和/或MAC地址和/或目标端口的使用。

显然，通过本实施例所提供的技术方案，就可以进一步提高各虚拟机在进行数据交互时的整体可靠性。

请参见图3，图3为本申请实施例所提供的一种Open Stack租户网络的流量监控装置的结构图，该装置包括：

状态检测模块21，用于利用回调函数对第一Open Stack主机内第一虚拟机的流量进出状态进行检测；其中，回调函数为预先注册在第一Open Stack主机内Linux网桥中的函数；

第一监控模块22，用于当检测到第一虚拟机向第一Open Stack主机内的第二虚拟机发送第一流量时，则利用第一Open Stack主机内集成网桥中所存储的目标流表规则匹配与第一流量相对应的第一数据流，并将复制后的第一数据流发送至流量监控平台，以对第一流量进行监控；

数据发送模块23，用于当检测到第一虚拟机向第二Open Stack主机内的第三虚拟机发送第二流量时，则利用目标流表规则匹配与第二流量相对应的第二数据流，并将复制后的第二数据流发送至第一Open Stack主机的物理网桥；

数据处理模块24，用于当物理网桥接收到复制后的第二数据流时，则根据目标流表规则对第二数据流进行反射学习，得到第三数据流，并将第三数据流发送至集成网桥；

第二监控模块25，用于当集成网桥接收到第三数据流时，则将第三数据流发送至流量监控平台，以对第二流量进行监控。

本申请实施例所提供的一种Open Stack租户网络的流量监控装置，具有前述所公开的一种Open Stack租户网络的流量监控方法所具有的有益效果。

请参见图4，图4为本申请实施例所提供的一种Open Stack租户网络的流量监控设备的结构图，该设备包括：

存储器31，用于存储计算机程序；

处理器32，用于执行计算机程序时实现如前述所公开的一种Open Stack租户网络的流量监控方法的步骤。

本申请实施例所提供的一种Open Stack租户网络的流量监控设备，具有前述所公开的一种Open Stack租户网络的流量监控方法所具有的有益效果。

相应的，本申请实施例还提供了一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时实现如前述所公开的一种Open Stack租户网络的流量监控方法的步骤。

本申请实施例所提供的一种计算机可读存储介质，具有前述所公开的一种Open Stack租户网络的流量监控方法所具有的有益效果。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上对本申请所提供的一种Open Stack租户网络的流量监控方法、装置、设备及介质进行了详细介绍，本文中应用了具体个例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的方法及其核心思想；同时，对于本领域的一般技术人员，依据本申请的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本申请的限制。

Claims

一种Open Stack租户网络的流量监控方法，其特征在于，包括：

利用回调函数对第一Open Stack主机内第一虚拟机的流量进出状态进行检测；其中，所述回调函数为预先注册在所述第一Open Stack主机内Linux网桥中的函数；

当检测到所述第一虚拟机向所述第一Open Stack主机内的第二虚拟机发送第一流量时，则利用所述第一Open Stack主机内集成网桥中所存储的目标流表规则匹配与所述第一流量相对应的第一数据流，并将复制后的所述第一数据流发送至流量监控平台，以对所述第一流量进行监控；

当检测到所述第一虚拟机向第二Open Stack主机内的第三虚拟机发送第二流量时，则利用所述目标流表规则匹配与所述第二流量相对应的第二数据流，并将复制后的所述第二数据流发送至所述第一Open Stack主机的物理网桥；

当所述物理网桥接收到复制后的所述第二数据流时，则根据所述目标流表规则对所述第二数据流进行反射学习，得到第三数据流，并将所述第三数据流发送至所述集成网桥；

当所述集成网桥接收到所述第三数据流时，则将所述第三数据流发送至所述流量监控平台，以对所述第二流量进行监控。
根据权利要求1所述的流量监控方法，其特征在于，所述当所述物理网桥接收到复制后的所述第二数据流时，则根据所述目标流表规则对所述第二数据流进行反射学习，得到第三数据流，并将所述第三数据流发送至所述集成网桥的过程，包括：

当所述物理网桥接收到复制后的所述第二数据流时，则根据所述目标流表规则将复制后的所述第二数据流反射至所述物理网桥的目标接收端口；

当所述目标接收端口接收到复制后的所述第二数据流时，则对复制后的所述第二数据流进行单播学习，得到所述第三数据流，并将所述第三数据流发送至所述集成网桥。
根据权利要求1所述的流量监控方法，其特征在于，还包括：

利用所述流量监控平台对复制后的所述第一数据流和/或所述第三数据流的完整性进行校验。
根据权利要求1所述的流量监控方法，其特征在于，还包括：

根据所述第一数据流将所述第一流量发送至所述第二虚拟机；

根据所述第二数据流将所述第二流量发送至所述第三虚拟机。
根据权利要求1所述的流量监控方法，其特征在于，所述当所述集成网桥接收到所述第三数据流时，则将所述第三数据流发送至所述流量监控平台，以对所述第二流量进行监控的过程，包括：

当所述集成网桥接收到所述第三数据流时，则将所述第三数据流中的vlan修改为与所述流量监控平台相对应的目标vlan，并通过所述目标vlan将所述第三数据流发送至所述流量监控平台，以对所述第二流量进行监控。
根据权利要求1所述的流量监控方法，其特征在于，还包括：

当利用所述流量监控平台监测到所述第一流量或第二流量出现异常时，则提示预警信息。
根据权利要求1至6任一项所述的流量监控方法，其特征在于，还包括：

当利用所述流量监控平台监测到所述第一虚拟机和/或所述第二虚拟机和/或所述第三虚拟机的IP地址和/或MAC地址和/或目标端口出现异常时，则禁用所述IP地址和/或所述MAC地址和/或所述目标端口。
一种Open Stack租户网络的流量监控装置，其特征在于，包括：

状态检测模块，用于利用回调函数对第一Open Stack主机内第一虚拟机的流量进出状态进行检测；其中，所述回调函数为预先注册在所述第一Open Stack主机内Linux网桥中的函数；

第一监控模块，用于当检测到所述第一虚拟机向所述第一Open Stack主机内的第二虚拟机发送第一流量时，则利用所述第一Open Stack主机内集成网桥中所存储的目标流表规则匹配与所述第一流量相对应的第一数据流，并将复制后的所述第一数据流发送至流量监控平台，以对所述第一流量进行监控；

数据发送模块，用于当检测到所述第一虚拟机向第二Open Stack主机内的第三虚拟机发送第二流量时，则利用所述目标流表规则匹配与所述第二流量相对应的第二数据流，并将复制后的所述第二数据流发送至所述第一Open Stack主机的物理网桥；

数据处理模块，用于当所述物理网桥接收到复制后的所述第二数据流时，则根据所述目标流表规则对所述第二数据流进行反射学习，得到第三数据流，并将所述第三数据流发送至所述集成网桥；

第二监控模块，用于当所述集成网桥接收到所述第三数据流时，则将所述第三数据流发送至所述流量监控平台，以对所述第二流量进行监控。
一种Open Stack租户网络的流量监控设备，其特征在于，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如权利要求1至7任一项所述的一种Open Stack租户网络的流量监控方法的步骤。
一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的一种Open Stack租户网络的流量监控方法的步骤。