[发明专利]一种云密码机虚拟机热迁移方法

说明书

本发明公开了一种云密码机虚拟机热迁移方法，云密码机具备支持SR‑IOV虚拟化技术的物理密码卡，创建虚拟机时，物理密码卡通过SR‑IOV虚拟化技术虚拟出虚拟密码卡，虚拟密码卡透传至虚拟机内部，用来生成、保存虚拟密码机密钥；物理密码卡虚拟出一张特殊的虚拟密码卡节点，该节点对其他虚拟密码卡进行管理，通过该节点导出、导入虚拟机密钥；使用自动快照技术定时备份虚拟机的运行状态；虚拟机迁移时使用自动快照技术实现运行状态的迁移；采用共享存储技术实现源虚拟机和目标虚拟机的影像迁移。本发明能够实现虚拟密码机的热迁移，保证迁移过程中网络及业务的连续性，整个迁移过程对用户或应用来说是透明且无感知的。

技术领域

本发明涉及虚拟机热迁移技术领域，更具体的说是涉及一种云密码机虚拟机热迁移方法。

背景技术

虚拟化技术是目前飞速发展的云密码机的基础，虚拟化的核心是高效的资源调度管理，通过虚拟化技术，能够有效的节省硬件开支、实现资源的弹性调配。基于虚拟化可以快速部署和按需使用的优势，云密码机逐渐替代传统密码机，在密码行业应用越来越广。

各密码机厂商借助不同的虚拟机化技术实现密码机的虚拟化，其中SR-IOV虚拟化技术隔离性最好，得到业界认可。虚拟机迁移技术是指将一台虚拟机的数据及运行状态恢复至另外一台虚拟机中，主要用于物理机资源负载的均衡或物理机及虚机的容灾、备份场景。

目前虚拟密码机的迁移方法主要包括两种：

1)离线人工迁移：是一种“stop and copy”的迁移模式，借助安全存储介质人工备份源密码机密钥和数据，查找负载较低的空闲虚拟机，人工从安全存储介质恢复密钥和数据到目标虚拟机，释放源虚机降低源主机负载。

2)在线自动冷迁移：借助控制协议备份源虚拟机密钥和数据，借助控制协议恢复密钥和数据到目标虚拟机。

上述两种方式需要重启虚拟机或服务重新加载密钥和数据，对用户来讲一定时间段内业务处于中断的状态，无法达到迁移过程中虚拟机平滑运行、用户察觉不到任何差异的理想效果。

因此，如何提供一种能够实现迁移过程中网络及业务连续性的虚拟机迁移方法是本领域技术人员亟需解决的问题。

发明内容

有鉴于此，本发明提供了一种云密码机虚拟机热迁移方法，能够实现虚拟密码机的热迁移，保证迁移过程中网络及业务的连续性，整个迁移过程对用户或应用来说是透明且无感知的，极大地增强云密码机系统的高可用性及负载均衡能力，解决现有技术迁移过程中业务中断的弊端。

为了实现上述目的，本发明采用如下技术方案：

一种云密码机虚拟机热迁移方法，包括：

物理密码卡通过SR-IOV虚拟化技术虚拟出虚拟密码卡和虚拟密钥管理密码卡，将虚拟密码卡和虚拟密钥管理密码卡透传至对应云密码机的虚拟机内，虚拟密码卡用于生成、保存虚拟机密钥，虚拟密钥管理密码卡对每台云密码机中的虚拟密码卡进行管理；

对虚拟机中的密钥进行加密和签名，并定时备份至对应虚拟密码卡中；

定时备份每台虚拟机的影像并记录影像摘要；

将准备热迁移的虚拟机所在的云密码机作为源云密码机，将准备热迁移的虚拟机作为源虚拟机，基于自动快照技术定时备份源云密码机中源虚拟机的运行状态；

自动迁移前，源虚拟机重新计算影像摘要值，比较影像摘要值是否改变，若改变则更新影像摘要值及影像；

获取集群内目标云密码机，在目标云密码机中查找与源虚拟机影像ID一致且空闲的虚拟机作为目的虚拟机；

基于共享存储技术将源虚拟机的影像共享至目标云密码机，计算影像摘要值是否改变，若一致将共享存储区中的影像拷贝至目的虚拟机；