[发明专利]一种确定虚拟机漂移的方法和装置

说明书

技术领域

本发明涉及通信领域，尤其涉及一种确定虚拟机漂移的方法和装置。

背景技术

当今虚拟机技术被普遍应用于各种云计算环境中，云计算的核心思想是将大量用网络连接的资源(这里的资源包括存储资源、计算资源、各种应用软件)统一管理和调度，构成一个资源池向用户按需提供服务。虚拟机技术能够在一台物理主机上虚拟出一台或多台虚拟机，从而使得几个甚至几十个虚拟机可以共用一个物理主机的硬件资源，从而提高了资源的利用率。但是虚拟机技术的应用也给网络安全管理带来了新的挑战。现有物理安全设备保护的是由物理主机组成的域的安全，例如公司内部局域网的安全，无法对由若干虚拟机组成的虚拟化网络、特别是同一宿主机(在本说明书中，将为虚拟机提供硬件资源的物理主机称为宿主机)上的各个虚拟机之间的流量进行监控，同时虚拟机的漂移，也使静态的安全策略不再适用，其中虚拟机的漂移是指原本基于一个物理主机的硬件资源和处理资源实现的虚拟机，转而由另一个物理主机的硬件资源和处理资源来实现的现象。

现有技术中，无论是由物理安全设备，还是由宿主机上的安全虚拟机来实现对虚拟化网络中的虚拟机流量进行监控，都需要能够在发生虚拟机漂移时，动态调整安全策略，因此如何确定虚拟机发生漂移成为一个关键问题。

当前一种确定虚拟机漂移的方式是将虚拟机的流量完全导入交换机中，由交换机确定虚拟机的存在。但是，此种方式需要特制的支持某种协议的交换机，例如支持VEPA(Virtual Ethernet Port Aggregator，虚拟以太端口汇聚器)协议的交换机，并且虚拟机厂商也需要提供支持，因而，部署成本较高。

发明内容

本发明实施例提供一种确定虚拟机漂移的方法和装置，能够降低部署成本。

第一方面，提供一种确定虚拟机漂移的方法，所述方法包括：

宿主机中的客户端获取所述宿主机上的虚拟机的唯一标识和所述宿主机的地址；

若所述客户端的本地记录中不存在所述虚拟机的唯一标识，则所述客户端向所述宿主机所在网络中的服务器发送报文，所述报文中携带所述虚拟机的唯一标识和所述宿主机的地址，以使所述服务器根据所述虚拟机的唯一标识和所述宿主机的地址，确定所述虚拟机是否发生漂移；并且所述客户端将所述虚拟机的唯一标识添加到所述本地记录中以便更新所述本地记录。

在第一方面的第一种可能的实现方式中，所述宿主机中的客户端获取所述宿主机上的虚拟机的唯一标识包括：所述宿主机中的客户端截取来自于所述宿主机上的虚拟机的报文，所述报文中携带所述虚拟机的唯一标识；从截取的所述报文中，获取所述虚拟机的唯一标识；

在第一方面的第二种可能的实现方式中，所述宿主机中的客户端获取所述宿主机上的虚拟机的唯一标识包括：所述宿主机中的客户端接收所述宿主机上的虚拟交换机转发的来自于所述宿主机上的虚拟机的报文，所述报文中携带所述宿主机上的虚拟机的唯一标识；从接收的所述报文中，获取所述虚拟机的唯一标识。

结合第一方面的第一种或第二种可能的实现方式，在第一方面的第三种可能的实现方式中，所述来自于所述宿主机上的虚拟机的报文为ARP(Address Resolution Protocol，地址解析协议)报文。

结合第一方面、第一方面的第一种、第二种、或第三种可能的实现方式，在第一方面的第四种可能的实现方式中，在所述客户端将所述虚拟机的唯一标识添加到本地记录中之前，所述方法还包括：

所述客户端接收所述服务器发送的确认接收成功的回应报文；

若接收到所述服务器发送的确认接收成功的回应报文时，则所述客户端将所述虚拟机的唯一标识添加到所述本地记录中。

结合第一方面、第一方面的第一种、第二种、或第三种可能的实现方式，在第一方面的第五种可能的实现方式中，所述唯一标识为虚拟机的MAC地址、或静态配置的虚拟机的IP地址。

结合第一方面、第一方面的第一种、第二种、或第三种可能的实现方式，在第一方面的第六种可能的实现方式中，所述客户端设置于所述宿主机中的安全虚拟机、或虚拟交换机、或与物理网卡连接的组件中。

第二方面，提供一种确定虚拟机漂移的方法，所述方法包括：

服务器接收宿主机中的客户端发送的报文，所述报文中携带所述宿主机上的虚拟机的唯一标识和所述客户端所在的宿主机的地址；

若所述服务器的本地记录中不存在所述虚拟机的唯一标识，所述服务器将所述虚拟机的唯一标识和所述宿主机的地址的对应关系添加到所述服务器的本地记录中；