[发明专利]一种基于隧道协议的OpenStack流量采集方法

说明书

本发明提供了一种基于隧道协议的OpenStack流量采集方法，具体方法为：设置镜像代理和镜像管理中心；所述镜像代理部署在OpenStack的网络节点或计算节点上；所述镜像管理中心部署在其他物理设备或者虚拟机上；镜像管理中心向镜像代理发送镜像命令；镜像代理收到所述镜像命令后，通过与目的IP建立的隧道，将复制的指定源端口的流量加上隧道头发送到对应的流量分析应用。与现有技术相比，便于区分汇总的流量所属的虚拟机或虚拟网络或业务，能够很方便地自由选择镜像虚拟机的流量、虚拟网络对外的流量及虚拟路由器对公网的流量。

技术领域

本发明涉及一种基于隧道协议的OpenStack流量采集方法，特别是涉及一种适用于基于隧道协议的OpenStack流量采集方法。

背景技术

现今，OpenStack已经演变成一种被广泛采用的云管理框架，而在OpenStack快速增长的同时，OpenStack云平台的安全及网络故障分析的需求越来越多，其中的一个要求是能够监控在OpenStack数据中心发现的基于虚拟网络结构的流量。通常，OpenStack虚拟机和虚拟网络的流量都要通过vswitch，目前即使在每个物理机上的vswitch上抓到包，由于OpenStack多租户的特点，流量汇总后也难以区分这些流量属于哪个业务或哪个虚拟机或者哪个虚拟网络，并且并没有一种可视化的方式来让用户根据自己的需求选择虚拟端口做镜像。

发明内容

本发明要解决的技术问题是提供一种基于隧道协议的，便于区分汇总的流量所属的虚拟机或虚拟网络或业务的，OpenStack流量采集方法。

本发明采用的技术方案如下：一种基于隧道协议的OpenStack流量采集方法，具体方法为：设置镜像代理（Port Mirror Agent）和镜像管理中心（Port Mirror Manager）；所述镜像代理部署在OpenStack的网络节点或计算节点上；所述镜像管理中心部署在其他物理设备(如服务器)或者虚拟机上；镜像管理中心向镜像代理发送镜像命令；镜像代理收到所述镜像命令后，通过与目的IP建立的隧道，将复制的指定源端口的流量加上隧道头发送到对应的流量分析应用。

所述镜像代理为一个openstack虚拟端口流量镜像插件；所述镜像管理中心为openstack虚拟端口流量镜像管理中心；所有虚拟端口的镜像通过镜像管理中心来控制。

具体方法步骤为：

S1、镜像代理连接镜像管理中心，并将镜像代理所在本机（一台OpenStack计算节点或网络节点）的虚拟端口信息列表上报给镜像管理中心；

S2、镜像管理中心发送镜像命令给目的镜像所在端口的镜像代理；

S3、镜像代理收到镜像命令，将指定源端口的流量复制一份并加上隧道头通过隧道端口发送给流量分析应用所在的目的IP；

所述虚拟端口指OpenStack创建的集成网桥（br-int）上的端口； 每个端口信息包括端口ID、租户名称、在集成网桥上对应的端口名称和IP地址。

镜像代理启动时，读取保存到本地的本机镜像列表，及配置的镜像管理中心 IP地址、隧道本地IP、调用OpenStack API所需的用户名和密码等。随后连接镜像管理中心，直到连接成功，连接成功后，将本机的名称告诉镜像管理中心（可选）。随后镜像代理定时上报本机端口列表到镜像管理中心。

集成网桥上的端口有四类：虚拟机的端口（qvo开头）、虚拟网络在虚拟路由器上的路由接口（qr开头）、虚拟路由器上的外部网关（qg开头）、dhcp服务接口（tap开头），分别对应虚拟机的流量、虚拟网络对外的流量、虚拟路由器对公网的流量、虚拟网络dhcp流量。

其中，所述S1中的虚拟端口信息的获取是通过调用OpenStack的API，先获取所有OpenStack环境的所有端口列表，再筛选出本机集成网桥上的端口。