虚拟机管理方法、 装置及网络设备 【技术领域】
本发明涉及网络通信技术,尤其涉及一种虚拟机管理方法、装置及网络设备。背景技术 服务器虚拟化是一种使得在单一物理服务器上可以运行多个虚拟服务器 ( 业界 又称为虚拟机 ) 的技术,该物理服务器为多个虚拟机提供支持其运行的硬件资源抽象, 例 如 虚 拟 基 本 输 入 输 出 系 统 (Basic Input Output System ;简 称 为 :BIOS)、 虚 拟 处 理 器、虚拟内存和虚拟设备与输入输出 (Input Output ;简称为 :IO) 等,同时还为各个虚 拟机提供良好的隔离性和安全性。 例如 :在采用服务器虚拟化技术之前,客户关系管 理 (Customer Relationship Management ;简称为 :CRM) 系统、在线游戏和企业资源计 划 (Enterprise Resource Planning ;简称为 :ERP) 系统需要在三台独立的物理服务器上运 行 ;而在采用服务器虚拟化技术之后,上述三个应用可以运行在三个虚拟机上,而三个 虚拟机被一台物理服务器托管。 由此可见,服务器虚拟技术可以使物理服务器资源得到 更加充分的利用。 例如在数据中心环境的实际运行中通常会采用服务器虚拟化技术在一 台物理服务器上安装多个系统,将一台物理服务器虚拟成多个虚拟机来使用,以提高物 理服务器的利用率。
服务器实时迁移是一种在虚拟机运行过程中,将整个虚拟机的运行状态完整、 快速的从原来所在的物理服务器 ( 称为源物理服务器 ) 上迁移到新的物理服务器 ( 目标物 理服务器 ) 上的技术。 整个虚拟机的迁移过程是平滑的,且对用户来说是透明的。 由 于虚拟化抽象了真实物理资源,因此,服务器实时迁移可以支持源物理服务器和目标物 理服务器之间的异构性。 服务器实时迁移需要通过源物理服务器上的虚拟机监视器 ( 称 为源虚拟机监视器 ) 和目标物理服务器上的虚拟机监视器 ( 目标虚拟机监视器 ) 相互配 合来完成虚拟机操作系统的内存或其他状态信息的拷贝。 服务器实时迁移开始后,内存 页面被不断地从源虚拟机监视器拷贝到目标虚拟机监视器 ;当最后一部分内存页面被拷 贝到目标虚拟机监视器之后,由源虚拟机监视器和目标虚拟机监视器完成虚拟机的切换 操作,目标物理服务器上的虚拟机开始运行,源物理服务器上的虚拟机被终止,服务器 实时迁移完成。 例如 :在数据中心环境中,对系统硬件的维护和更新可以采用服务器 实时迁移技术来完成,即将虚拟机从一台物理服务器上迁移到另一台物理服务器上,然 后,对原来的物理服务器进行硬件维护 ;待维护完成后,再将虚拟机迁回到原来的物理 服务器上,整个过程可以在不宕机的情况下完成,进一步提升数据中心环境中资源的利 用率。
通常,物理服务器是通过挂接在网络设备上,通过网络设备与外界进行通讯 的。 其中,网络设备肩负着物理服务器上虚拟机对外通讯的数据流的安全性和可靠性传 输等,因此,网络设备上会配置一些安全策略。 当虚拟机发生迁移后,上述安全策略需 要相应的被迁移到新的网络设备或新的端口上并在新的网络设备或新的端口上生效。 但 是,由于目前的网络设备无法感知到虚拟机的迁移,因此,待虚拟机迁移后,虚拟机所
对应的安全策略只能由网络管理员手动或通过网管软件迁移到新的网络设备或新的端口 上。 上述操作方式不仅效率低,而且操作起来也极为不方便,因此,网络设备如何能够 识别虚拟机的迁移成为目前服务器虚拟化技术中首要解决的问题。 发明内容 本发明提供一种虚拟机管理方法、装置及网络设备,用以识别虚拟机,从整体 上提高管理虚拟机的效率。
本发明提供一种虚拟机管理方法,包括 :
网络设备接收数据报文,并解析所述数据报文以获取所述数据报文中的介质访 问控制地址 ;
所述网络设备根据所述介质访问控制地址和预先存储的虚拟机介质访问控制地 址,识别发送所述数据报文的对象是否为虚拟机。
本发明提供一种虚拟机管理装置,包括 :
接收模块,用于接收数据报文,并解析所述数据报文以获取所述数据报文中的 介质访问控制地址 ;
识别模块,用于根据所述介质访问控制地址和预先存储的虚拟机介质访问控制 地址,识别发送所述数据报文的对象是否为虚拟机。
本发明提供一种网络设备,包括本发明提供的任一虚拟机管理装置。
本发明提供的虚拟机管理方法、装置及网络设备,预先存储虚拟机介质访问控 制地址,通过解析获取接收到的数据报文中的介质访问控制地址,并将数据报文中的介 质访问控制地址和虚拟机介质访问控制地址进行比较,以此可以识别出发送数据报文的 对象是否为虚拟机。 通过本发明技术方案,网络设备可以识别虚拟机,进而可以对虚拟 机做进一步管理,例如安全策略配置等,克服了现有技术中网络设备因无法识别虚拟机 造成的缺陷,利于从整体上提高网络设备对虚拟机进行管理的效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或 现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是 本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提 下,还可以根据这些附图获得其他的附图。
图 1 为本发明实施例一提供的虚拟机管理方法的流程图 ;
图 2 为本发明实施例二提供的虚拟机管理方法的流程图 ;
图 3A 为本发明实施例三提供的虚拟机管理方法的一种流程图 ;
图 3B 为本发明实施例三提供的虚拟机管理方法的另一种流程图 ;
图 4A 为本发明实施例四提供的虚拟机管理方法的流程图 ;
图 4B 为本发明实施例四提供的虚拟机管理方法所基于的网络拓扑结构示意图 ;
图 5 为本发明实施例五提供的虚拟机管理装置的结构示意图 ;
图 6A 为本发明实施例六提供的虚拟机管理装置的一种结构示意图 ;
图 6B 为本发明实施例六提供的虚拟机管理装置的另一种结构示意图。具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施 例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实 施例是本发明一部分实施例,而不是全部的实施例。 基于本发明中的实施例,本领域普 通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护 的范围。
实施例一
图 1 为本发明实施例一提供的虚拟机管理方法的流程图。 本实施例的执行主体 为网络设备,如图 1 所示,本实施例的方法包括 :
步骤 101,网络设备接收数据报文,并解析数据报文以获取数据报文中的介质访 问控制 (Media Access Control ;简称为 :MAC) 地址 ;
在本实施例中,网络设备与服务器连接,服务器通过网络设备与外界进行通 信。
步骤 102,网络设备根据 MAC 地址和预先存储的虚拟机 MAC 地址,识别发送数 据报文的对象是否为虚拟机。 其中,每个虚拟机都对应一个虚拟机 MAC 地址,在本发明各实施例中将虚拟机 对应的 MAC 地址称为虚拟机 MAC 地址。 具体的,在网络设备中预先存储有所在网络中 的虚拟机 MAC 地址 ;当网络设备接收到数据报文时,将学习到的数据报文中的 MAC 地 址与本地存储的虚拟机 MAC 地址进行比较 ;若比较结果为发现与学习到的 MAC 地址一 致的虚拟机 MAC 地址,则确认发送数据报文的对象为运行于物理服务器上的虚拟机 ;反 之,则确认发送数据报文的对象为非虚拟机。
本实施例提供的虚拟机管理方法,通过预先存储虚拟机 MAC 地址,使网络设备 可以通过 MAC 地址学习和比较两个过程,自动识别出发送数据报文的对象是否为虚拟 机,以达到识别虚拟机的目的,进而可以在识别出是虚拟机时对虚拟机进行后续管理操 作,为提高对虚拟机进行管理时的便利性和效率打下了基础。
其中,各个虚拟机的生产商均有独自申请使用的虚拟机 MAC 地址,例如 VM ware 公司的虚拟机 MAC 地址字段有 00-1C-14-XX-XX-XX。 因此,在本发明各实施例 中,可以由管理员预先为网络设备配置各个虚拟机生产商申请的虚拟机 MAC 地址,并通 过软件升级或在线更新的方式更新这些虚拟机生产商的虚拟机 MAC 地址字段。
当网络设备接收到数据报文时,通过 MAC 地址学习和比较,一旦得到虚拟机生 产商的虚拟机 MAC 地址,就可以认为感知到虚拟机的存在,即识别出虚拟机。
另外,本发明各实施例中的虚拟机 MAC 地址并不限于各个虚拟机生产商申请的 虚拟机 MAC 地址,还可以是特殊配置的虚拟机 MAC 地址,例如在一个网络中的网络设 备间预先约定特殊的虚拟机 MAC 地址,并由管理员手动为网络设备进行添加。 其中,只 有该网络中的网络设备能够识别所添加的 MAC 地址为虚拟机 MAC 地址。
进一步,本发明各实施例中的虚拟机 MAC 地址可以同时包括虚拟机生产商申请 的虚拟机 MAC 地址和特殊约定使用的虚拟机 MAC 地址。 其中,特殊约定的虚拟机 MAC 地址,可以满足部分虚拟机因特殊需要或原因不得不使用特殊 MAC 地址时的需求。
实施例二
图 2 为本发明实施例二提供的虚拟机管理方法的流程图。 本实施例可基于实施 例一实现,如图 2 所示,本实施例的虚拟机管理方法包括 :
步骤 201,网络设备接收数据报文,并解析数据报文以获取数据报文中的 MAC 地址 ;即网络设备进行 MAC 地址的学习。
步骤 202,网络设备将学习到的 MAC 地址与预先存储的虚拟机 MAC 地址进行 匹配,并判断是否匹配到与学习到的 MAC 地址相一致的虚拟机 MAC 地址 ;当判断结果 为是时,说明匹配到与学习到的 MAC 地址相一致的虚拟机 MAC 地址,即识别出发送数 据报文的对象为虚拟机,则继续执行步骤 203 ;反之,说明未匹配到与学习到的 MAC 地 址相一致的虚拟机 MAC 地址,即识别出发送数据报文的对象为非虚拟机,则执行步骤 204。
步骤 203,网络设备根据学习到的 MAC 地址和预先获取的虚拟机安全策略对应 表,对接收到数据报文的端口进行安全策略配置,并结束。
在本发明各实施例中,虚拟机安全策略对应表是由网络设备预先获取的。 其 中,虚拟机安全策略对应表可以是由管理员根据网络状态、布局等情况手动配置的,也 可以是由各网络设备通过信息交互相互学习到的。 其中,由于相互学习获取虚拟机安全 策略对应表的方式具有灵活方便、以及可随网络情况变化而自行变化等优点,而成为一 种优选方式。 其中,虚拟机安全策略对应表中存储有各个虚拟机 MAC 地址以及与各个虚拟机 MAC 地址对应的安全策略。 且虚拟机安全策略对应表中的虚拟机 MAC 地址与网络设备 预先存储的虚拟机 MAC 地址相一致。 因此,当网络设备经学习、匹配等操作识别到虚拟 机 MAC 地址时,可以通过查询虚拟机安全策略对应表以获取发送数据报文的虚拟机对应 的安全策略,并将该安全策略配置在网络设备的连接该虚拟机的端口 ( 即接收到数据报 文的端口 ) 上,即将安全策略在该端口上对该虚拟机生效 ;在后续将根据该安全策略对 该虚拟机的报文进行安全控制。
其中,网络设备主要通过安全策略来负责服务器对外通信时的数据流的安全和 可靠传输。常用的实现安全策略的方式主要有配置访问控制列表 (Access Control List ;简 称为 :ACL)。 其中, ACL 是通过定义一些规则对网络设备的端口接收的数据报文进行 控制 :允许通过或丢弃。 网络设备通过 ACL 可以在数据报文通过网络设备时对其进行分 类过滤,并对从指定端口输入或者输出的数据报文进行检查,根据匹配条件 (Conditions) 决定是允许其通过 (Permit) 还是丢弃 (Deny)。 ACL 由一系列的表项组成,每个 ACL 对 应表项包括满足该表项的匹配条件和满足匹配条件时的行为。 而访问 ACL 的规则可以针 对数据报文的源 MAC 或源网际协议 (Internet Protocol ;简称为 :IP) 地址、目标 MAC 或 目标 IP 地址、上层协议,时间区域等信息。 例如 :只允许 192.168.1.0/24 这个网段的 IP 地址访问虚拟机时,则网络设备应该在该虚拟机连接的端口的输出方向上配置 ACL,且 ACL 规则为 :PERMIT( 允许 ) 源 IP = 192.168.1.0/24,并将该 ACL 规则在该端口上生 效。 其中,通过设置 ACL 的缺省规则为禁止其他数据报文通过,因此源 IP 地址不满足 上述要求的数据报文将被过滤掉。
另外,网络设备还可以通过服务质量 (Quality of Service ;简称为 :QOS) 进行
安全控制,例如 :可以根据网络带宽的限制来进行安全控制。 例如 :只允许虚拟机发送 10M 的数据报文时,网络设备需要在虚拟机连接的端口上配置 QOS 带宽限制规则, QOS 带宽限制规则为 :rate limit 10M,并将该 QOS 带宽限制规则配置在该端口。
步骤 204,网络设备对数据报文进行常规处理。 例如 :网络设备可以对数据报 文中的各字段进行合法性检查 ;又例如 :网络设备也可以根据数据报文中的目的 MAC 地 址,查找 MAC 地址表,如果查询到该目的 MAC 地址,则将数据报文转发到相应的端口 上 ;反之,则将数据报文广播到所有端口上。 其中,本实施例中的常规处理是指对非虚 拟机发送的数据报文进行的处理,该常规处理中也可能包括有安全性检测处理,在本实 施例中并不对常规处理进行限定。
在此需要说明,在本实施例技术方案中,当虚拟机一直与网络设备的某一端口 连接时,只需根据初始学习到的 MAC 地址对接收到虚拟机发送的数据报文的端口进行一 次安全策略配置即可,无需在每次学习到 MAC 地址时均进行安全策略配置。
本实施例的虚拟机管理方法,通过预先存储虚拟机 MAC 地址、进行 MAC 地址 学习、匹配和判断等操作,可以使网络设备识别虚拟机,并在识别出虚拟机之后根据预 先获取的虚拟机安全策略对应表自行进行安全策略配置,以保证虚拟机与外界通信时的 数据报文的安全和可靠传输 ;同时,本实施例基于对虚拟机的识别,可由网络设备对虚 拟机进行安全策略配置,无须管理员手动操作,提高了配置安全策略的效率,可以更加 方便地对虚拟机进行管理。 实施例三
图 3A 为本发明实施例三提供的虚拟机管理方法的一种流程图。 本实施例可基于 实施例一和实施例二实现,如图 3A 所示,本实施例的管理方法包括 :
步骤 301,网络设备接收数据报文,并解析数据报文以获取数据报文中的 MAC 地址 ;即网络设备进行 MAC 地址的学习。
步骤 302,网络设备将学习到的 MAC 地址与预先存储的虚拟机 MAC 地址进行匹 配,并判断是否匹配到与学习到的 MAC 地址相一致的虚拟机 MAC 地址 ;当判断结果为 是时,执行步骤 303 ;反之,执行步骤 305。
步骤 303,网络设备根据学习到的 MAC 地址和预先获取的虚拟机状态表,判断 学习到的 MAC 地址对应的虚拟机是否发生迁移 ;若判断结果为是,则执行步骤 304,若 判断结果为否,则结束。
其中,网络设备接收到的该 MAC 地址对应的数据报文可能是由一直被一台服务 器托管的虚拟机在新启动时发出的,也可能是由从一台服务器 ( 物理服务器 ) 迁移到另一 台服务器上的虚拟机发出的。 通过步骤 303 的判断操作可以识别上述虚拟机是否发生迁 移。
其中,虚拟机状态表中存储有网络中各个网络设备连接的服务器上运行的虚拟 机的状态信息,例如包括网络设备的端口、连接的服务器、服务器上对应该端口运行的 虚拟机列表,以及虚拟机的 MAC 地址等信息。
步骤 304,网络设备根据虚拟机状态表向虚拟机迁移前连接的网络设备发送失败 通告报文,以告知虚拟机迁移前连接的网络设备对虚拟机的安全策略进行失效处理,并 结束。
其中,当发现虚拟机是由一台服务器迁移到另一台服务器,需要通告原来的网 络设备,以便告知迁移前连接的网络设备对连接虚拟机的端口上的安全策略进行删除, 即失效操作。 当迁移前连接的网络设备接收到失效通告报文后,可以解析获取通告报文 中携带的虚拟机 MAC 地址,然后根据该虚拟机 MAC 地址对相应端口上的安全策略进行 失效处理。 这样可以保证安全策略迁移的完整性。
步骤 305,网络设备对数据报文进行常规处理。
本实施例的虚拟机管理方法,通过预先存储虚拟机 MAC 地址、进行 MAC 地 址学习、匹配和判断等操作,可以使网络设备识别虚拟机,并可识别出虚拟机的迁移, 同时通过失效通告报文通告迁移前连接的网络设备使其对迁移前的安全策略进行失效操 作,以完成安全策略的完整迁移 ;本实施例可以识别虚拟机和虚拟机迁移,解决了无法 识别虚拟机和虚拟机的迁移问题,便于后续对安全策略的迁移或配置
上述技术方案,当网络设备识别出虚拟机时,无论该虚拟机是由一台服务器迁 移到另一台服务的还是一直被一台服务器所托管的,网络设备需要在连接虚拟机的端口 上进行安全策略配置。 图 3B 所示为本发明实施例三提供的虚拟机管理方法的另一种结构 示意图 ;图 3B 所示流程与图 3A 的区别在于在步骤 302 之后还包括步骤 303a :网络设备 根据学习到的 MAC 地址和预先获取的虚拟机安全策略对应表,对接收到数据报文的端口 进行安全策略配置。
在此说明,无论是一直被一台物理服务器托管的虚拟机,还是发生迁移的虚拟 机,在本实施例步骤 303a 中,网络设备只需根据初始学习到的 MAC 地址对接收虚拟机发 送的数据报文的端口进行一次安全策略配置即可。
在此需要说明,步骤 303a 和步骤 303 两者没有先后顺序,即可以是先进行安全 策略配置,然后执行是否迁移的判断 ;也可以是先判断是否发生迁移,然后再进行安全 策略配置,此时可以将安全策略配置称为安全策略迁移。
进一步,本地网络设备在完成对虚拟机的安全策略配置之后,还可以将其各个 端口上配置的安全策略以及与安全策略对应的虚拟机信息发送给其他网络设备,以便其 他网络设备记录或更新所存储的信息。
本实施例的虚拟机管理方法,网络设备可以识别虚拟机和虚拟机的迁移,并在 识别出虚拟机之后根据预先获取的虚拟机安全策略对应表自行进行安全策略配置,保证 了虚拟机与外界通信时的数据报文的安全和可靠传输 ;而基于对虚拟机迁移的识别,网 络设备可自行对虚拟机进行安全策略配置,无须管理员手动操作,提高了配置安全策略 的效率,可以更加方便地对虚拟机进行管理。
其中,本实施例提供一种网络设备预先获取虚拟机安全策略对应表和虚拟机状 态表的实施方式,但并不限于此。 本实施例提供的实施方式包括 :
步骤 3031,在各个网络设备启动时,均发送第一管理报文,第一管理报文中包 括网络设备的 MAC 地址和发送第一管理报文的端口信息,其中端口信息包括端口号以及 端口的类型 ( 例如是设备端口还是服务器端口 ) 等信息。
步骤 3033,作为本实施例的执行主体的网络设备接收其他网络设备发送的第一 管理报文,根据第一管理报文识别出网络设备的设备端口和服务器端口 ;其中,网络设 备不仅和服务器连接,同时也会与其他网络设备连接,与服务器连接的端口称为服务器端口,与网络设备连接的端口称为设备端口 ;其中,预先约定第一管理报文只能通过与 网络设备连接的端口 ( 即设备端口 ) 发送,且只能通过设备端口接收。 因此,网络设 备可以将接收到第一管理报文的端口识别为设备端口,而其他端口则作为服务器端口。 然后,各网络设备均可以根据上述实施例提供的方法在各自服务器端口上进行虚拟机识 别、虚拟机安全策略配置或迁移等操作,或者也可以由管理员根据网络约定使用的虚拟 机 MAC 地址在相应网络设备上进行安全策略配置。 当各个网络设备配置完安全策略之 后,可以通过各自的设备端口向除自己以外的其他网络设备发送其所配置的安全策略以 及安全策略对应的虚拟机信息等信息。
步骤 3035,作为本实施例的执行主体的网络设备通过设备端口接收其他网络设 备发送的第二管理报文,第二管理报文中包括运行于其他网络设备的各个服务器端口上 的虚拟机的信息和为处于运行状态的各虚拟机配置的安全策略 ;
步骤 3037,作为本实施例执行主体的网络设备根据第二管理报文,生成虚拟机 安全策略对应表和虚拟机状态表。
具体地,网络设备通过获取各个其他网络设备发送的第二管理报文中的虚拟机 的信息、为各虚拟机配置的安全策略,以及相互间的对应关系,进行综合处理以生成虚 拟机安全策略对应表,该虚拟机安全策略对应表中包括虚拟机的信息、安全策略以及安 全策略和虚拟机之间的对应关系 ;而根据第二管理报文中的服务器端口信息 ( 例如端口 号 ) 和对应的虚拟机信息 ( 例如虚拟机 MAC 地址 ) 生成虚拟机状态表,该虚拟机状态表 包括虚拟机、虚拟机所处的服务器以及服务器所连接的网络设备的端口等信息以及上述 信息的对应关系。 因此,当作为执行主体的网络设备识别到虚拟机 MAC 地址时,可根据 前一时刻的虚拟机状态表识别虚拟机是否发生迁移,如果虚拟机 MAC 地址同时出现在其 他服务器端口上,说明该虚拟机发生了迁移,并对该虚拟机的安全策略进行相应迁移。 其中,若无需对虚拟机是否发生迁移进行识别时 ( 例如实施例二所描述的场 景 ),可以仅根据本实施例技术方案生成虚拟机安全策略对应表,而无需生成虚拟机状态 表。
通过上述方式,各个网络设备均可以预先获取虚拟机安全策略对应表和 / 或虚 拟机状态表。 其中为了保证各个网络设备上的虚拟机安全策略对应表和虚拟机状态表能 够跟随网络状态或虚拟机的迁移而相应变化,本实施例中还规定各个网络设备定时向其 他网络设备发送第二管理报文,以供各网络设备实时获取其他网络设备上运行的虚拟机 的信息以及处于运行状态的虚拟机所对应的安全策略,以据此对虚拟机安全策略对应表 和 / 或虚拟机状态表进行更新。
进一步,在上述实施例中,在 3033 之后还包括步骤 3034,即作为本实施例的执 行主体的网络设备对其服务器端口上的虚拟机进行安全策略配置,并通过设备端口定时 向其他网络设备发送运行于其各个服务器端口上的虚拟机的信息与为各虚拟机配置的安 全策略 ( 即第二管理报文 ),用于供其他网络设备预先生成虚拟机安全策略对应表和虚拟 机状态表,以及更新虚拟机安全策略对应表和虚拟机状态表。
上述为本发明获取虚拟机安全策略对应表和虚拟机状态表的一种实施方式,该 实施方式主要是通过根据预先约定的规则发送第一管理报文以供各个网络设备识别设备 端口和服务器端口,然后,进行安全策略配置,并通过设备端口发送第二管理报文,以
进行虚拟机和虚拟机对应的安全策略的全网统一操作,即在各个网络设备上均生成内容 基本相同的虚拟机安全策略对应表和虚拟机状态表,进而为本发明各实施例的实施打下 基础。
以下将通过具体实施例,结合网络拓扑结构详细说明本发明技术方案的流程。
实施例四
图 4A 为本发明实施例四提供的虚拟机管理方法的流程图 ;图 4B 为本发明实施 例四提供的虚拟机管理方法所基于的网络拓扑结构示意图。 如图 4B 所示,本实施例包括 网络设备 41、网络设备 42、网络设备 43、网络设备 44 以及服务器 45 和服务器 46。 网 络设备 41 分别与网络设备 42、网络设备 43 和网络设备 44 连接,服务器 45 和网络设备 41 连接,服务器 46 和网络设备 42 连接。 其中网络设备 41、网络设备 42、网络设备 43 和网络设备 44 分别遵循预先约定的虚拟机统一管理机制,并且在各个网络设备上均配置 了网络所使用的虚拟机 MAC 地址。 则本实施例的方法包括 :
步骤 401,在网络设备 41- 网络设备 44 开机后均定时向外广播第一管理报文,声 明自己支持虚拟机管理机制,并让其他网络设备知晓。 其中,网络设备 41- 网络设备 44 将收到第一管理报文的端口,记为设备端口 (Net-Port),根据虚拟机管理机制预先约定 的规则可知 :各网络设备只有通过设备端口向其他网络设备发送第一管理报文,而连接 虚拟机的端口不会收到第一管理报文,因此可将其他未接收到第一管理报文的端口记为 服务器端口 (Server-Port)。 基于此,在图 4B 所示网络拓扑中,存在设备端口 51、52 和 53 ;服务器端口 54 和 55。 其中,第一管理报文的格式包括但并不限于以下信息字段 : 网络设备 MAC 地址 ;发送第一管理报文的当前网络设备的端口的编号 ;发送第一管理报 文的当前网络设备的端口类型 ( 例如是 Server-Port 还是 Net-Port)。 步骤 402,针对预先配置的虚拟机 MAC 地址,识别出虚拟机,并在网络设备上 生成 “虚拟机配置单元”,网络管理员将虚拟机的 “安全策略” ( 即上文提到的 ACL、 QOS 等策略 ) 生效在这些 “虚拟机配置单元”上。 其中,因为网络设备的一个物理端口 连接一台物理服务器,物理服务器上可以安装有多个虚拟机,因此网络设备的一个物理 端口可以包含多个 “虚拟机配置单元”,并在网络设备上生成多个虚拟机 MAC 地址与安 全策略的对应关系。
步骤 403,通过第二管理报文,把 < 虚拟机 MAC 地址,安全策略 > 的对应关系 通过设备端口通告给全网支持虚拟机管理机制的所有其他网络设备。 此时第二管理报文 在第一管理报文的基础上增加了但并不限于以下字段 :本网络设备的 “Server-Port” 列 表及其总个数 ;本网络设备的虚拟机配置单元列表及其总个数 ;应用在每个虚拟机配置 单元上的虚拟机 MAC 地址与安全策略的对应关系等。
基于上述,网络设备 41- 网络设备 44 上已经全部保存有虚拟机安全策略对应表 了,为进行安全策略实时快速生效做好了准备。
步骤 404,假设虚拟机从服务器 45 迁移到服务器 46 上,这时网络设备 42 立即通 过 MAC 地址学习和虚拟机安全策略对应表中的信息获知虚拟机从服务器 45 上迁移到了服 务器 46 上,并发现 MAC 地址是在服务器端口 55 上学习到的,则把该虚拟机 MAC 地址 对应的安全策略生效在新的服务器端口 55 上。 其中,与虚拟机 MAC 地址对应的安全策 略只能生效在服务器端口 (Server-Port) 并随着 MAC 地址的变化而生效,不能生效在设备
端口 (net-port)。 在此需要说明,在本实施例中虚拟机安全策略对应表中同时包括了网络 中处于运行状态的虚拟机的信息、虚拟机所对应的安全策略信息以及虚拟机所在服务器 信息 ;即在本实施例中网络设备不需要单独生成虚拟机状态表来存储虚拟机与虚拟机所 在服务器及其对应关系的信息。
步骤 405,在网络设备 42 上的新安全策略生效成功后,要通知原有网络设备 41 把原安全策略删除,以便完整达成 “安全策略迁移” 的过程。
通过上述方式可以解决现有网络设备对虚拟机应用安全策略无法独立进行自动 迁移的问题,达到数据中心网络环境中全网智能化、自动化管理安全策略的目的。
实施例五
图 5 为本发明实施例五提供的虚拟机管理装置的结构示意图。 如图 5 所示,本 实施例的虚拟机管理装置包括 :接收模块 61 和识别模块 62。
其中,接收模块 61,用于接收数据报文,并解析数据报文以获取数据报文中的 MAC 地址 ;识别模块 62,与接收模块 61 连接,用于根据接收模块 61 获取的 MAC 地址 和预先存储的虚拟机 MAC 地址,识别发送数据报文的对象是否为虚拟机。
本实施例提供的虚拟机管理装置,可用于执行本发明实施例提供的虚拟机管理 方法的流程,通过预先存储虚拟机 MAC 地址,使网络设备可以通过 MAC 地址学习和 比较两个过程,自动识别出发送数据报文的对象是否为虚拟机,以达到识别虚拟机的目 的,进而可以在识别出是虚拟机时对虚拟机进行后续管理操作,为提高对虚拟机进行管 理时的便利性和效率打下了基础。 实施例六
图 6A 为本发明实施例六提供的虚拟机管理装置的一种结构示意图。 本实施例 可基于实施例五实现,如图 6A 所示,本实施例的虚拟机管理装置还包括 :第一配置模块 63。
其中,第一配置模块 63,与识别模块 62 连接,用于在识别模块 62 识别发送数据 报文的对象为虚拟机时,根据 MAC 地址和预先获取的虚拟机安全策略对应表,对接收到 的数据报文的端口进行安全策略配置。
本实施例的虚拟机管理装置,同样可用于执行本发明实施例提供的虚拟机管理 方法的流程,通过预先存储虚拟机 MAC 地址、进行 MAC 地址学习、匹配和判断等操 作,可以识别虚拟机,并在识别出虚拟机之后根据预先获取的虚拟机安全策略对应表自 行进行安全策略配置,以保证虚拟机与外界通信时的数据报文的安全和可靠传输 ;同 时,本实施例基于对虚拟机的识别,可自行对虚拟机进行安全策略配置,无须管理员手 动操作,提高了配置安全策略的效率,可以更加方便地对虚拟机进行管理。
图 6B 为本发明实施例六提供的虚拟机管理装置的另一种结构示意图。 如图 6B 所示,本实施例的虚拟机管理装置还包括 :判断模块 64 和发送模块 65。
当识别出发送数据报文的对象为虚拟机时,还可以识别该虚拟机是否发生迁 移。 判断模块 64,分别与接收模块 61 和识别模块 62 连接,用于根据 MAC 地址和预先 获取的虚拟机状态表,判断虚拟机是否发生迁移 ;发送模块 65,与判断模块 64 连接,用 于在判断模块 64 判断出虚拟机发生迁移时,根据虚拟机状态表向虚拟机迁移前连接的虚 拟机管理装置发送失效通告报文,以告知迁移前连接的虚拟机管理装置对虚拟机的安全
策略进行失效处理。
本实施例图 6B 所示的虚拟机管理装置,同样可用于执行本发明实施例提供的虚 拟机管理方法的流程,在识别出虚拟机之后进一步判断虚拟机是否迁移,当发现虚拟机 迁移时,通过向虚拟机迁移前连接的虚拟机管理装置发送失效通告报文,以使迁移前连 接的虚拟机管理装置对相应端口上的安全策略进行失效处理,保证了安全策略随虚拟机 的迁移而完全迁移。
其中,当识别出虚拟机时,无论是否对虚拟机的迁移进行识别,虚拟机管理装 置均需要在相应端口上进行安全策略配置。 基于此,如图 6B 所示,本实施例的虚拟机管 理装置还包括 :第二配置模块 67,与识别模块 62 连接,用于在识别模块 62 识别出虚拟 机时,根据 MAC 地址和预先获取的虚拟机安全策略对应表,对接收到的数据报文的端口 进行安全策略配置。
其中,图 6A 中的第一配置模块 63 用于在识别出虚拟机而无需识别虚拟机是否发 生迁移的情况下进行安全策略配置 ;而第二配置模块 67 用于在识别出虚拟机且需要识别 虚拟机发生迁移的情况下进行安全策略配置。 但在具体实施过程中,第一配置模块 63 和 第二配置模块 67 可由不同模块分别来实现 ;也可以由同一模块来实现,并用于在不同情 况下进行安全策略配置 ( 在图 6B 中以一个配置模块为例,即第二配置模块 67),本实施 例并不对此进行限制。
基于上述技术方案,如图 6B 所示,本实施例的虚拟机管理装置还包括获取模块 66,分别与第二配置模块 67 和判断模块 64 连接,用于预先获取虚拟机安全策略对应表 和虚拟机状态表。 具体的,该获取模块 66 包括 :第一接收单元、第二接收单元和生成 单元。 其中,第一接收单元,用于接收其他虚拟机管理装置发送的第一管理报文,并根 据第一管理报文识别出本地虚拟机管理装置的设备端口和服务器端口,所述第一管理报 文包括其他网络设备的 MAC 地址、发送第一管理报文的端口信息 ;第二接收单元,用于 通过设备端口接收其他虚拟机管理装置发送的第二管理报文,所述第二管理报文包括运 行在其他虚拟机管理装置上的虚拟机信息和为该虚拟机配置的安全策略 ;生成单元,用 于根据第二管理报文,生成包括虚拟机和安全策略对应关系的所述虚拟机安全策略对应 表,以及包括处于运行状态的虚拟机信息的所述虚拟机状态表。 在此需要说明,当不需 要识别虚拟机是否发生迁移时,该生成单元可以只生成虚拟机安全策略对应表,而无需 生成虚拟机状态表。
进一步,该获取模块 66 还包括 :发送单元,用于对运行于本地虚拟机管理装置 的服务器端口上的虚拟机进行安全策略配置,并通过设备端口定时向其他虚拟机管理装 置发送运行于本地虚拟机管理装置的各个服务器端口上的虚拟机信息与为各虚拟机配置 的安全策略 ( 即第二管理报文 ),以供其他虚拟机管理装置预先生成虚拟机安全策略对 应表和虚拟机状态表。 同理,对于其他虚拟机管理装置而言,当仅需对虚拟机进行识别 而无需识别虚拟机是否迁移时,可以仅生成虚拟机安全策略对应表而不生成虚拟机状态 表,但具体是否生成虚拟机状态表本实施例并不做限定。
通过上述技术方案,本实施例的虚拟机管理装置可以以信息交互的方式预先获 取其他虚拟机管理装置上运行的虚拟机的信息和为各虚拟机配置的安全策略,以及上述 信息的对应关系,进而预先生成虚拟机安全策略对应表和虚拟机状态表,为本发明各实施例的实施提供基础。 通过上述技术方案获取的其他虚拟机管理装置上的虚拟机信息、 安全策略以及上述信息的对应关系更加准确和及时,且可对虚拟机安全策略对应表和虚 拟机状态表及时更新,提高了基于获取的上述信息进行虚拟机管理的准确性和实时性。
实施例七
本发明实施例七提供一种网络设备,包括虚拟机管理装置。 其中,虚拟机管理 装置可以为本发明实施例提供的虚拟机管理装置,其工作原理和结构请参见本发明上述 实施例的描述,在此不再赘述。 本实施例的网络设备可以为与运行有虚拟机的物理服务 器连接的各种网络设备,例如路由器、交换机,也可以是各种网关设备,可用于对虚拟 机进行管理。
本实施例的网络设备具有本发明实施例提供的虚拟机管理装置,并可用于执行 本发明实施例提供的虚拟机管理方法的流程,因此,采用本实施例的网络设备对虚拟机 进行管理,可以自行识别虚拟机的迁移,并对虚拟机进行安全策略配置,无须管理员手 动配置,提高了配置安全策略的效率,极大地提高了对虚拟机进行管理的便利性。
本领域普通技术人员可以理解 :实现上述方法实施例的全部或部分步骤可以 通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中, 该程序在执行时,执行包括上述方法实施例的步骤 ;而前述的存储介质包括 :ROM、 RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是 :以上实施例仅用以说明本发明的技术方案,而非对其限制 ; 尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解 :其 依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等 同替换 ;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方 案的精神和范围。