[发明专利]一种云计算中虚拟机流量在安全域中的传输方法及装置

说明书

本发明提供了一种云计算中虚拟机流量在安全域中的传输方法及装置，涉及虚拟机安全技术领域。首先，虚拟机将第一流量报文发送至虚拟交换机。其次，虚拟交换机接收第一流量报文后，对第一流量报文进行可扩展虚拟局域网络封装；对封装后的第一流量报文进行改造，并分别添加标识标签，生成第二流量报文；最后，通过租户网关对第二流量报文进行分析，根据标识标签将第二流量报文经过预设的安全域路径进行流量清洗，最后将其进行传输。在本发明中，实现了基于虚拟机为颗粒度的流量安全解决方案，使虚拟机流量通过定义的标签，按照安全业务逻辑所要求的既定顺序，经过安全域路径节点，将流量进行过滤和清洗，实现深度流量安全。

技术领域

本发明涉及虚拟机安全技术领域，尤其涉及一种云计算中虚拟机流量在安全域中的传输方法及装置。

背景技术

在云计算中，网络主要是大二层技术及虚拟化技术，绝大多数云厂商的网络虚拟化技术是VXLAN技术。云平台结合SDN的架构让网络虚拟化更加便捷和方便。使网络进行切片。网络虚拟化使两个租户完全可以使用相同的网络地址，并进行数据流量的隔离，任何一个租户和应用都不会感知或捕获到其他虚拟网络内部的流量。随着《信息安全技术-网络安全等级保护基本要求》，简称等保2.0的发布，等级保护的对象是网络基础设施、信息系统、大数据、物联网、云平台、工控系统、移动互联网、智能设备等。等保的核心是等级保护、管理规范和技术标准。等保要求组织企业和个人对信息系统进行分等级的安全保护，对安全保护的实施进行监督和管理，从而保证安全信息系统的基础安全。云计算中的流量安全问题也越来越被各大云厂商重视，如何保证虚拟机发出的流量安全是一项重要的研究课题。

但是在相关技术中，存在以下问题：

一、没有一种成熟的虚拟机流量安全的解决方案。

虚拟机流量安全越来越重要，但是现在没有标准的虚拟机南北向、东西向流量深度安全的解决方案，往往只能解决虚拟机的南北向流量的部分流量安全需求，无法做到南北向和东西向流量深度安全的兼顾。

二、流量安全颗粒度无法做到基于虚拟机。

传统的网络安全解决方案流量安全只能做到的是基于整个网络，无法做到对某个虚拟机流量的定制化的流量安全需求。同一系统中，针对不同虚拟机的等级保护评定，不能定制化的做出流量安全方案。

三、传统云数据中心安全解决方案无法按照业务逻辑所要求的既定顺序实现流量安全诉求。

虚拟机的数据报文在网络中传递时，需要经过各种各样的安全业务节点，才能保证系统能够按照安全设计要求。传统解决方案无法要求虚拟机流量按照安全业务逻辑所要求的既定顺序，经过这些安全业务节点，也就是说无法对虚拟机的安全业务进行按顺序编排。

发明内容

本发明实施例提供一种云计算中虚拟机流量在安全域中的传输方法及装置，旨在解决或者部分解决上述技术问题。

为了解决上述技术问题，本发明是这样实现的：

在本申请的第一方面，提供了一种云计算中虚拟机流量在安全域中的传输方法，方法包括：

虚拟机将第一流量报文发送至虚拟交换机；

虚拟交换机接收第一流量报文后，对第一流量报文进行改造，并添加标识标签，进行可扩展虚拟局域网络封装，生成第二流量报文；

通过租户网关对第二流量报文进行分析，根据标识标签将第二流量报文经过预设的安全域路径进行流量清洗，最后将其进行传输。

可选地，执行虚拟机将第一流量报文发送至虚拟交换机的步骤之前，方法还包括：

控制器通过Openf l ow下发流表至虚拟交换机、通过Netconf下发配置至租户网关。