[发明专利]基于云平台的多租户网络拓扑重构方法

摘要

本发明公开了基于云平台的多租户网络拓扑重构方法，属于可信云计算领域。由于云用户不能完全信任云平台提供的底层网络隔离环境。本方法基于Hypervisor获取云平台各个计算节点VM信息，基于底层设备命令获取虚拟网络设备信息，再根据VM和网络设备之间的连接关系，设计拓扑重构算法，直观表达当前云平台底层多租户网络隔离状态。与云平台提供给租户网络拓扑相比，本发明绕过云平台而直接从底层获取相关网络信息，能够有效地发现如从Hypervisor直接挂载到租户网络的VM，便于租户判断自己的底层网络是否被渗透，对云平台提供的底层网络隔离环境做出判断，同时也便于云平台管理员及时发现并解决问题，对于可信云的构建有重要意义。

主权项

基于云平台的多租户网络拓扑重构方法，其特征在于：该方法的思路如下：在云平台各个计算节点上，通过Hypervisor获取对应节点上运行的所有VM信息，之后对获取的所有VM信息进行遍历，得到每个VM的网络连接信息，包括MAC地址以及其挂载的网桥信息；另一方面，通过底层设备命令获取每个计算节点的网桥信息，网桥信息包括传统网桥和OVS网桥，之后根据获取的VM信息和网桥信息，确定VM和各个网桥之间的连接关系，重构该计算节点的VM网络拓扑，形成整体的实时运行环境中的云平台多租户网络拓扑；该方法的步骤包括：步骤一，读取云平台相关网络配置和租户信息，确定云平台采用的网络模式和各个租户预先规划的网络拓扑；步骤二，调用各个计算节点相关虚拟化平台API，获取各个计算节点上所有的VM，遍历所有VM，获取配置文件，依据配置文件解析出各个VM的网络连接信息，包括该VM各个网络接口的MAC地址信息，该接口挂载的网桥信息以及在该网桥对应的连接接口信息；步骤三，通过底层设备命令获取各个计算节点部署的网桥信息，网桥分为两类：传统网桥和OVS网桥，获取的信息包括网桥的名称、网桥的所有接口名称和网桥的类别；步骤四，步骤二中获取的VM网络连接信息和步骤三获取的网桥信息对应，即确定VM和网桥的连接关系，依此，建立计算节点上所有VM与网桥的连接关系，以及网桥和网桥之间的连接关系，即重构出该计算节点上的网络拓扑树；步骤五，在某一计算节点，尝试通过虚拟化平台API创建一台VM，并私自挂载到某个租户VM所挂载的网桥上，重新进行步骤二至步骤五，重构计算节点租户拓扑，并与步骤一中获取的该租户预先规划的云平台网络拓扑进行对比，看重构的租户拓扑是否能发现管理员私自创建的可疑VM。