[发明专利]虚拟网络中的数据引流装置及数据引流方法

说明书

一种虚拟网络中的数据引流装置及数据引流方法，涉及虚拟网络技术领域。在数据引流装置中，第一虚拟机、第二虚拟机、安全服务节点分别与虚拟交换机连接，而流表用于指示虚拟交换机传输数据的路由规则。通过该数据引流装置引流时，整个数据引流过程中无需通过虚拟机网关对数据进行封装，也无需虚拟机通过内存传递的方式进行数据引流。这样对于安全服务节点而言，也就无需预先明确虚拟网关封装数据采用的协议，也无需预先定制开发与虚拟机的内存匹配的API接口，相应地，无需对第三方提供的安全服务节点预先进行大量的适配工作，从而提高了数据引流装置的应用灵活性。

技术领域

本申请涉及虚拟网络技术领域，特别涉及一种虚拟网络中的数据引流装置及数据引流方法。

背景技术

在云场景等虚拟化网络中，两个虚拟机(virtual machine，VM)之间可以相互发送数据，以进行通信。并且，一个虚拟机在向另一个虚拟机发送数据的过程中，该数据在传递至另一个虚拟机之前，通常被引流至安全服务节点，由安全服务节点对该数据进行处理，以监测两个虚拟机之间的通信的安全性，并由安全服务节点将该数据转发至另一个虚拟机。

相关技术中可以通过虚拟网关的方式将数据引流至安全服务节点。具体地，当虚拟机A需要向虚拟机B发送数据时，虚拟机A先将数据发送至虚拟机A所在的虚拟局域网(virtual extensible LAN，VxLAN)的虚拟网关A，由虚拟网关A对该数据进行封装，封装之后的数据中携带的目的地址为安全服务节点的地址。当安全服务节点接收到封装之后的数据时，进行解封之后得到该数据，以便后续对该数据进行处理。另外，安全服务节点在解封得到该数据之后，重新对该数据进行封装，封装之后的数据中携带的目的地址为虚拟机B所在的虚拟局域网中的虚拟网关B的地址，由虚拟网关B最终将该数据发送至虚拟机B。

相关技术中还可以通过内存传递的方式将数据引流至安全服务节点。具体地，当虚拟机A需要向虚拟机B发送数据时，虚拟机A将数据写入虚拟机A对应的内存，安全服务节点从虚拟机A对应的内存中读取该数据，并将该数据重新写入虚拟机B对应的内存，以实现将虚拟机A的数据发送至虚拟机B。

对于上述通过虚拟网关的方式，需要安全服务节点能够提前明确虚拟网关封装数据时采用的协议。对于上述通过内存传递的方式，需要安全服务节点预先定制开发与虚拟机的内存匹配的应用程序编程接口(application programming interface，API)接口。而安全服务节点通常由第三方提供，导致这两种方式中均需要对第三方提供的安全服务节点预先进行大量的适配工作，影响了上述数据引流过程的灵活性。

发明内容

本申请实施例提供了一种虚拟网络中的数据引流装置及数据引流方法，可以提高数据引流的灵活性。

第一方面，提供了一种虚拟网络中的数据引流装置，该数据引流装置包括第一虚拟机、第二虚拟机、安全服务节点和虚拟交换机；第一虚拟机、第二虚拟机、安全服务节点分别与虚拟交换机连接；虚拟交换机用于根据流表将第一虚拟机和第二虚拟机之间传输的数据转发至安全服务节点，以指示安全服务节点对第一数据进行处理，流表用于指示虚拟交换机传输数据的路由规则。

由于第一虚拟机、第二虚拟机、安全服务节点分别与虚拟交换机连接，而流表用于指示虚拟交换机传输数据的路由规则，因此，在本申请实施例中，通过在第一虚拟机、第二虚拟机、安全服务节点之间创建的虚拟交换机以及流表即可实现将数据引流至安全服务节点。整个数据引流过程中无需通过虚拟机网关对数据进行封装，也无需虚拟机通过内存传递的方式进行数据引流。这样对于安全服务节点而言，也就无需预先明确虚拟网关封装数据采用的协议，也无需预先定制开发与虚拟机的内存匹配的API接口。因此，通过本申请实施例提供的数据引流装置，无需对第三方提供的安全服务节点预先进行大量的适配工作，从而提高了数据引流装置的应用灵活性。