[发明专利]安全策略迁移的方法、装置和系统

说明书

技术领域

本发明涉及光网络领域，尤其涉及一种安全策略迁移的方法、装置和系统。

背景技术

虚拟化数据中心由计算、存储、网络三种资源深度融合而成，因此主机虚拟化技术能够顺利实现必须由合适的网络安全策略与之匹配，否则一切都无从谈起。虚拟化数据中心出现较早，主要包括集群计算等技术，以提升计算性能为主；而主机虚拟化技术主要是近几年出现的在一台物理X86系统上的多操作系统同时并存的技术，以缩短业务部署时间，提高资源使用效率为主要目的。虚拟化数据中心给网络安全带来了一些挑战，尤其是虚拟机的迁移，计算集群主机的加入与离开等都是传统数据中心所没有的。虚拟化数据中心的最大挑战就是网络安全策略要跟随虚拟机自动迁移。在创建虚拟机或虚拟机迁移时，虚拟机主机需要能够正常运行，除了服务器上的资源合理调度，其网络连接的合理调度也是必需的。数据中心网络一般都采用扁平化的组网方式，是大二层网络，和虚拟化相结合的二层网络安全技术也是虚拟化数据中心网络建设的重要关注点。

在传统二层网络安全技术下，网络安全策略无法随虚拟机的迁移而自动迁移。目前比较常见的基于网管或者虚拟机发现和配置协议(英文全称：Virtual Station Interface Discovery and Configuration Protocol，简称：VDP)的虚拟机迁移方案中，网络安全策略的迁移相对于虚拟机的迁移存在一定的滞后性。

发明内容

本发明实施例提供了一种安全策略迁移的方法、装置和系统，可以实现安全策略配置随虚拟机迁移而迁移。

一方面，本发明实施提供了一种安全策略迁移的方法，所述方法包括：

数据中心接入交换机接收迁入虚拟机的服务器发送的虚拟机发现和配置协议VDP关联消息；

根据所述VDP关联消息，将VDP关联状态设置为关联；

获取所述虚拟机的配置信息，并根据所述配置信息生成安全策略；

当所述虚拟机迁出所述服务器时，接收所述服务器发送的VDP解关联消息，并根据所述VDP解关联消息，将所述VDP关联状态设置为解关联；

删除所述虚拟机的所述安全策略。

另一方面，本发明实施例提供了一种安全策略迁移的装置，所述装置包括：

接收器，用于接收迁入虚拟机的服务器发送的虚拟机发现和配置协议VDP关联消息；

关联单元，用于根据所述VDP关联消息，将VDP关联状态设置为关联；

生成单元，用于获取所述虚拟机的配置信息，并根据所述配置信息生成安全策略；

解关联单元，用于当所述虚拟机迁出所述服务器时，接收所述服务器发送的VDP解关联消息，并根据所述VDP解关联消息，将所述VDP关联状态设置为解关联；

删除单元，用于删除所述虚拟机的所述安全策略。

第三方面，本发明实施例提供了一种包括上述安全策略迁移的装置的系统。

本发明上述实施例中，虚拟机迁入服务器时，虚拟机和与服务器直接相连的数据中心接入交换机VDP关联，数据中心接入交换机获取该虚拟机的配置信息，下发虚拟机的安全策略；所述虚拟机迁出时，虚拟机和与服务器直接相连的数据中心接入交换机VDP解关联，所述数据中心接入交换删除所述虚拟机的安全策略，实现了安全策略的下发和删除与VDP关联和解关联紧密相连，无需人工配置，而且解决了现有技术中安全策略的迁移相对虚拟机的迁移滞后的问题，节省了大量的时间成本和经济成本。

附图说明

图1为本发明实施例提供的安全策略迁移的方法流程图；

图2为本发明实施例中的服务器和数据中心接入交换机之间传输的VDP报文的报文格式；

图3为本发明实施例中的服务器和数据中心接入交换机之间VDP关联的时序图；

图4为本发明实施例提供的安全策略迁移的架构图；

图5为本发明实施例提供的另一种安全策略迁移的方法流程图；

图6为本发明实施例提供的安全策略迁移的装置示意图。

具体实施方式