[发明专利]虚拟机安全策略的迁移方法及装置

说明书

技术领域

本发明涉及一种数据中心虚拟化技术，尤其涉及数据中心虚拟服务器安全策略迁移方法及装置。

背景技术

随着互联网的发展，虚拟化技术已经广泛应用在各级数据中心，尤其是服务器虚拟化技术更是被广大用户所接受并成功实施。虚拟化技术可以在单台物理服务器上虚拟化出多个相互独立的虚拟机(VM，Virtual Machine)，这些VM可以被当作一台独立的服务器，与物理服务器一样有自己的IP地址和MAC地址，有自己的操作系统和各种应用程序；现阶段流行的虚拟化软件主要有VMware、Xen、微软的Hypervisor-V以及开源的KVM虚拟化平台。用的状况。

主流虚拟化技术还支持VM在不同物理服务器之间的迁移，甚至是可以保证虚拟机原先提供的业务服务不中断的在线迁移。在虚拟机迁移到新的物理服务器后，管理员需要在安全设备(比如防火墙)上部署VM的安全策略。然而管理员的操作面临很多问题，管理员首先需要知道迁移后的VM是否被新的安全设备所管理，比如说在同一个数据中心内做迁移时，可能迁移前后VM都在同一个安全设备的保护之下，因此不需要在安全设备上做任何配置调整。如果管理员判断VM在新的位置下会由新的防火墙来进行安全防护，那么管理员需要在新的防火墙上进行手动进行配置调整，而且还要删除原来防火墙下的配置，操作起来速度缓慢，并且可能会导致业务服务长时间中断，这使得VM的在线迁移失去了意义。此外，由于防火墙的安全策略配置起来是比较复杂且专业，稍有不慎可能导致较大的安全风险，因此要求管理员反复地手工操作可能引发较大的安全风险。由此看来，目前VM的迁移过程给数据中心的管理人员带来了很大的困扰。

发明内容

有鉴于此，本发明提供一种虚拟机安全策略迁移装置，应用于数据中心的安全管理服务器上，该装置包括：迁移感知单元、定位单元以及安全策略管理单元；其中，

迁移感知单元，用于接收来自虚拟机管理装置的虚拟机迁移报告，所述虚拟机迁移报告至少包括虚拟机的位置参数；

定位单元，用于根据所述虚拟机的位置参数确定迁移前该虚拟机所归属的原安全设备以及虚拟机迁移后该虚拟机所归属的新安全设备；

安全策略管理单元，用于获取配置在原安全设备上的该虚拟机的安全策略，并将所述安全策略下发到新安全设备上。

本发明还提供一种虚拟机安全策略迁移方法，应用于数据中心的安全管理服务器上，该方法包括：

A、接收来自虚拟机管理装置的虚拟机迁移报告，所述虚拟机迁移报告至少包括虚拟机的位置参数；

B、根据所述虚拟机的位置参数确定迁移前该虚拟机所归属的原安全设备以及虚拟机迁移后该虚拟机所归属的新安全设备；

C、获取配置在原安全设备上的该虚拟机的安全策略，并将所述安全策略下发到新安全设备上。

本发明通过虚拟机管理装置(也就是VM侧管理服务器一侧)与虚拟机安全策略迁移装置(也就是安全管理服务器一侧)之间的联动实现了VM在安全设备上的安全策略自动跟随着VM迁移而无缝迁移，免除了管理员因为VM迁移而进行的安全设备手工配置操作，这对VM迁移事件较多的大型数据中心来说意义非常显著。

附图说明

图1是本发明一种典型的数据中心VM迁移示意图。

图2是本发明一种实施方式中安全管理服务器的硬件结构图。

图3是本发明一种实施方式中虚拟机安全策略迁移装置逻辑结构图。

图4是本发明一种实施方式中虚拟机安全策略迁移流程图。

具体实施方式

本发明通过虚拟机管理装置与安全设备管理装置的配合来解决VM的安全策略迁移问题。以下结合附图详细介绍本发明在一种实施方式中的具体实现。

很多大型用户(如各大互联网公司)会在在多个不同地点建设有多个数据中心站点DC Site(如图1中的DC1以及DC2)。每个数据中心站点的服务器可以由虚拟机管理装置(未图示)，比如运行在一台独立服务器上的KVM虚拟化软件，进行单个或者批量的VM创建与管理工作，这一工作通常包括在VM所在的物理服务器上为VM分配包括CPU在内的各种底层硬件资源以及各种软件资源，设置和管理VM所属接入端口的各种网络属性，如VLAN ID和QOS策略等Profile规则等。VM创建好之后就可以通过网络对外提供业务服务了。请参考图1，在典型的应用环境中，各个VM通过接入层交换机和汇聚交换机连接到安全设备(如防火墙)进而连接到外部网络(如互联网)。