[发明专利]一种虚拟机流量监控方法

说明书

本发明公开了一种虚拟机流量监控方法及系统，首先启动包含监控模块的虚拟机；部署数据包捕获模块和数据缓存模块到虚拟机监控器内核中；数据包捕获模块根据过滤机制复制流经TCP/IP协议栈的数据包，并存储到数据缓存模块的缓存中；数据缓存模块将缓存中的数据包转发给监控模块；监控模块对数据包进行统计分析，实现对虚拟机的流量监控。解决服务器虚拟化带来的虚拟机间通信失去监控的问题，并且实现了同一物理服务器上虚拟机间的通信以及虚拟机与服务器外部网络的通信的统一监控。

技术领域

该发明涉及服务器虚拟机化虚拟机流量监控，尤其涉及物理服务器上的虚拟机流量监控方法和系统。

背景技术

服务器虚拟化可以提高计算资源的利用率，增强IT资源的管理灵活性，因此，该技术成为当前数据中心重要技术。然而，服务器虚拟化后，同一台物理服务器上存在多个虚拟机，这些虚拟机之间的通信无法被部署在物理服务器外的监控系统所感知。

现有方法是通过流量重定向策略来实现，包括两大类，一类是将虚拟机流量重定向到服务器外的网络设备上进行监控处理。另一类是将虚拟机流量通过虚拟机交换机进行重定向到虚拟机监控器(Virtual Machine Monitor，VMM)上的虚拟机中进行监控。第一类方法的优势是可以利用现有的监控资源，但需要修改网络协议驱动或增加新的网络硬件设备。第二类方法比较常见，但依赖虚拟交换机的可配置能力，缺乏性能方面的优化能力，同时，对于虚拟机与外部的通信流量监控只能交给外部监控设备来处理，缺乏统一监控的管理能力。

发明内容

本发明的目的在于：利用虚拟机监控器的钩子机制来获取虚拟机的通信数据流，并引入缓存机制和过滤策略，提高监控的效率；同时本发明公开了一套监控系统，可以实现对虚拟机间通信和虚拟机与服务器外部通信的统一监控。

本发明是这样实现的：

一种虚拟机流量监控方法包括以下步骤：

步骤一：在虚拟机监控器(Virtual Machine Monitor，VMM)上启动包含监控模块的虚拟机，通过内核模块加载接口，将数据包捕获模块和数据缓存模块加载到内核中；将监控模块和数据缓存模块建立通信连接；监控模块下发过滤地址列表到内核；监控模块发送启动命令到内核。具体流程如下：

①、启动包含监控模块的虚拟机后，监控模块也启动运行；

②、监控模块调用内核模块加载接口，加载数据包捕获模块和数据缓存模块到内核；

③、数据缓存模块与安全监控模块建立连接；

④、安全监控模块向所述数据缓存模块发送地址过滤表；

⑤、安全监控模块向所述数据缓存模块发送启动指令；

⑥、数据缓存模块设置内核全局变量值为启动。

步骤二：数据包捕获模块监听通过虚拟机监控器VMM内核TCP/IP协议栈中数据；根据数据地址过滤表复制数据包，并存储到数据缓存模块的缓存中；数据模块模块将数据发送给监控模块。具体流程如下：

①、数据缓存模块判断所述内核全局变量值，如果为启动，则分配一定大小的缓存，并启动数据缓存处理进程；否则不作任何处理；

②、数据包捕获模块判断所述内核全局变量值，如果为启动，则启动所述数据包捕获模，否则，不作任何处理；

③、数据包捕获模块判断当前TCP/IP协议栈数据包地址是否匹配所述地址过滤表；匹配则复制数据包并存储到所述数据缓存模块的缓存中；否则，不作任何处理；

④、数据缓存进程判断所述缓存内是否为空，不空则读取缓存数据并通过所述数据缓存模块与所述安全监控模块建立的连接发送数据；空则不做任何处理。