专利1一种虚拟机安全策略迁移装置

申请(专利)号

CN201210121457.9

申请日

2012.04.23

公开(公告)号

CN102739645A

公开(公告)日

2012.10.17

最终专利权人

新华三技术有限公司

地址

310053 浙江省杭州市高新技术产业开发区之江科技工业园六和路310号华为杭州生产基地

主分类号

H04L29/06(2006.01)I

国省代码

浙江;33

申请(专利权)人

杭州华三通信技术有限公司

 

发明(设计)人

孙松儿;吕振峰

 

技术领域

本发明涉及一种数据中心虚拟化技术,尤其涉及数据中心虚拟服务器安全 策略迁移方法及装置。

背景技术

       随着互联网的发展,虚拟化技术已经广泛应用在各级数据中心,尤其是服 务器虚拟化技术更是被广大用户所接受并成功实施。虚拟化技术可以在单台物 理服务器上虚拟化出多个相互独立的虚拟机(VM,Virtual Machine),这些VM 可以被当作一台独立的服务器,与物理服务器一样有自己的IP地址和MAC地 址,有自己的操作系统和各种应用程序;现阶段流行的虚拟化软件主要有 VMware、Xen、微软的HypervisorV以及开源的KVM虚拟化平台。

      主流虚拟化技术还支持VM在不同物理服务器之间的迁移,甚至是可以保证虚拟机原先提供的业务服务不中断的在线迁移。在虚拟机迁移到新的物理服务器后,管理员需要在安全设备(比如防火墙)上部署VM的安全策略。然而管理员的操作面临很多问题,管理员首先需要知道迁移后的VM是否被新的安全设备所管理,比如说在同一个数据中心内做迁移时,可能迁移前后VM都在同一个安全设备的保护之下,因此不需要在安全设备上做任何配置调整。如果管理员判断VM在新的位置下会由新的防火墙来进行安全防护,那么管理员需要在新的防火墙上进行手动进行配置调整,而且还要删除原来防火墙下的配置,操作起来速度缓慢,并且可能会导致业务服务长时间中断,这使得VM的在线迁移失去了意义。此外,由于防火墙的安全策略配置起来是比较复杂且专业,稍有不慎可能导致较大的安全风险,因此要求管理员反复地手工操作可能引发较大的安全风险。由此看来,目前VM的迁移过程给数据中心的管理人员带来了很大的困扰。

发明内容

有鉴于此,本发明提供一种虚拟机安全策略迁移装置,应用于数据中心的安全管理服务器上,该装置包括:迁移感知单元、定位单元以及安全策略管理单元;其中,

迁移感知单元,用于接收来自虚拟机管理装置的虚拟机迁移报告,所述虚拟机迁移报告至少包括虚拟机的位置参数;

定位单元,用于根据所述虚拟机的位置参数确定迁移前该虚拟机所归属的原安全设备以及虚拟机迁移后该虚拟机所归属的新安全设备;

安全策略管理单元,用于获取配置在原安全设备上的该虚拟机的安全策略,并将所述安全策略下发到新安全设备上。

本发明还提供一种虚拟机安全策略迁移方法,应用于数据中心的安全管理服务器上,该方法包括:

A、接收来自虚拟机管理装置的虚拟机迁移报告,所述虚拟机迁移报告至少包括虚拟机的位置参数;

B、根据所述虚拟机的位置参数确定迁移前该虚拟机所归属的原安全设备以及虚拟机迁移后该虚拟机所归属的新安全设备;

C、获取配置在原安全设备上的该虚拟机的安全策略,并将所述安全策略下发到新安全设备上。

本发明通过虚拟机管理装置(也就是VM侧管理服务器一侧)与虚拟机安全策略迁移装置(也就是安全管理服务器一侧)之间的联动实现了VM在安全设备上的安全策略自动跟随着VM迁移而无缝迁移,免除了管理员因为VM迁移而进行的安全设备手工配置操作,这对VM迁移事件较多的大型数据中心来说意义非常显著。


附图说明

图1是本发明一种典型的数据中心VM迁移示意图。


图2是本发明一种实施方式中安全管理服务器的硬件结构图。

图3是本发明一种实施方式中虚拟机安全策略迁移装置逻辑结构图。


图4是本发明一种实施方式中虚拟机安全策略迁移流程图。

具体实施方式

本发明通过虚拟机管理装置安全设备管理装置的配合来解决VM的安全 策略迁移问题。以下结合附图详细

介绍本发明在一种实施方式中的具体实现。

很多大型用户(如各大互联网公司)会在在多个不同地点建设有多个数据 中心站点DC Site(如图1中的DC1以及DC2)。每个数据中心站点的服务器 可以由虚拟机管理装置(未图示),比如运行在一台独立服务器上的KVM虚拟 化软件,进行单个或者批量的VM创建与管理工作,这一工作通常包括在VM 所在的物理服务器上为VM分配包括CPU在内的各种底层硬件资源以及各种软 件资源,设置和管理VM所属接入端口的各种网络属性,如VLAN ID和QOS 策略等Profile规则等。VM创建好之后就可以通过网络对外提供业务服务了。 请参考图1,在典型的应用环境中,各个VM通过接入层交换机和汇聚交换机连 接到安全设备(如防火墙)进而连接到外部网络(如互联网)。

如前所述,在安全设备上需要针对这些VM部署对应的安全策略,以保证 从内网与外网之间的通信是受控,尤其是需要避免受到来自外网的攻击。以防 火墙为例,安全策略可以覆盖到非常广义的范畴。最简单的安全策略是所有的 防火墙都具有的基于IP地址过滤功能。这项任务要检查IP包头,根据其源IP 地址和目的IP地址做出报文放行或丢弃决定。如今主流的防火墙在网络层面的 安全策略已经能够包括源IP地址、目的IP地址、协议类型、源端口、目的端口、 等在内的多个要素的任意组合。很多防火墙还包括应用层面的安全策略,比如 针对应用程序名称或者特定的协议报文载荷中的字段进行报文过滤,还可以基 于TTL值、来源的网域名称等要素进行过滤。而网络层面的安全策略与应用层 面的安全策略又可以组合起来使用。由于不同VM承担的业务服务可能不尽相 同,因此管理员在防火墙等安全设备上为其所部署的安全策略也不尽相同,但 本发明的实现并不受限于安全策略的具体内容。

在数据中心的管理过程中,由于一些特定的原因,比如调整物理服务器硬 件资源在VM上的分配,或者需要进行物理服务器硬件资源维护,或者为了进 行系统备份操作,都可能需要对相关的VM进行迁移,因此对于KVM来说, VM迁移是常见的管理操作。KVM需要通过配置VM的迁移策略,将VM从 DC1的某个服务器迁移到DC2的另外的物理服务器。在本发明中,除了VM自 身以外,网络上层所部署的安全设备上的VM安全策略迁移装置10也会在KVM 的配合下自动感知VM的迁移动作,并完成安全策略的相应迁移。以下结合图1 图2、图3以及图4,以计算机程序实现为例来描述本发明的虚拟机安全策略迁 移装置10是如何在虚拟机管理装置的配合下实现安全设备上的安全策略跟随 VM迁移而无缝迁移的。需要说明的是,本发明并不局限于VM在不同数据中 心站点之间的迁移,即便是同一个数据中心站点(可能部署了多个安全设备) 内部进行迁移也是同样适用的。

图3示出了本发明一种实施方式中虚拟机安全策略迁移装置10的逻辑结构 图,该装置包括迁移感知单元11、定位单元12以及安全策略管理单元13。虚 拟机安全策略迁移装置10在本实施方式中是计算机程序在安全管理服务器CPU 上运行所形成的逻辑装置。而所述安全管理服务器可以各种通用的服务器,其 硬件架构如图2所示。同样的道理,虚拟机管理装置在本实施方式中是计算机 程序在VM管理服务器CPU上运行所形成的逻辑装置,本发明未给出其逻辑结 构图,然而本领域普通技术人员可以轻易地根据下文的描述结合现有技术抽象 出与本发明思路一致的逻辑结构。

步骤101,虚拟机管理装置启动VM迁移并向虚拟机安全策略迁移装置10 的感知单元发送迁移报告。

虚拟机管理装置对VM进行迁移的细节本发明不再一一描述。在本发明中, 迁移报告的发送时机可以有多种选择,可以在迁移完成后再发送,也可以在迁 移启动前或者迁移过程中来发送。在较佳的实施方式中,可以选择在迁移完成 后来发送VM迁移报告,虽然在理论上来说迁移完成后发送可能会对VM及时 对外提供业务服务产生影响,但是后续的安全策略迁移将是自动完成的,所需 时间很短,因此这种影响很轻微。而且迁移后再发送可以避免其他方式中迁移 不成功而触发的安全策略的错误迁移。

所述VM迁移报告至少包括VM位置参数;该位置参数可以包括VM的IP 地址、VM的MAC地址、迁移前后的物理服务器IP地址、迁移前后VM的接 入端口ID以及迁移前后VM的VLAN ID中任意一种或多种。迁移报告可以由 各种私有或者公有的协议报文来承载,而消息的格式在较佳的事实方式中可以 采用JSON格式,该消息包含的具体内容如下:

{″Version″:″1.0″,″Type″:1,″Src_Host_IP″:″192.168.0.1″,″Src_Host_Name″:″srchost″, ″Dest_Host_IP″:″192.168.2.2″,″Dest_Host_Name″:″desthost″,″VM_Ip″:″10.10.0.1″, ″VM_Name″:″vmname″,″VM_Vlan″:500,″VM_IF_name″:″eth0/0″,″VM_Port_Profile_index″: 1234,″VM_MAC″:″112233ccddee″,}

Version表示版本号,其取值1.0,1.1等等。

Type表示报文类型,可以取值为1,表示这是虚拟机迁移后的上报消息。

Src_Host_IP表示虚拟机迁移前所在物理服务器的IP地址。

Src_Host_name表示虚拟机迁移前所在物理服务器的名称。

Dest_Host_IP表示虚拟机迁移后所在物理服务器的IP地址。

Dest_Host_name表示虚拟机迁移后所在实服务器名称。

VM_IP表示虚拟机的IP地址。

VM_Name表示虚拟机的名称描述。

VM_Vlan表示虚拟机所属的VLAN ID,取值范围是14094。

VM_IF_Port表示虚拟机接入的交换机的端口ID。

VM_Port_Profile_index表示虚拟机对应接入的交换机端口的QOS等策略的 profile索引。

VM_MAC表示虚拟机MAC地址信息,格式为“xxxxxxxxxxxx”。

其中物理服务器以及虚拟机的名称主要是为了在交互界面上提供给管理员 更为直观的标识,因为IP地址对于管理员来说并不容易记忆。迁移报告中的各 种位置参数并不是要求全部发送,这取决于厂商在管理平面的技术实现方式。

步骤102,根据所述VM的位置参数确定迁移前该虚拟机所归属的原安全设 备以及迁移后该虚拟机所归属的新安全设备。

有了上述VM位置参数以后,定位单元可以根据所述VM的位置参数确定 迁移前该虚拟机所归属的原安全设备以及迁移后该虚拟机所归属的新安全设 备。在较佳的实施方式中,考虑到虚拟机管理装置以及安全策略迁移装置10可 能是由不同厂商提供的,因此为了更好地与对端兼容,虚拟机管理装置可以将 尽可能多的VM位置参数放在迁移报告中发送过来,这样一来定位单元的实现 就会更加灵活,不同厂商在定位单元的实现上各有不同,不同的算法所需要的 VM位置参数也自然不尽相同。

以最为简单的方式为例,请参考图1,安全管理服务器上保存有各个防火墙 所管辖的物理服务器的IP地址,比如说防火墙1所管辖的物理服务器的IP地址 段是192.168.1.2192.168.1.100,防火墙3所管辖的物理服务器的IP地址段 192.168.1.101192.168.1.200。假设迁移前VM所在的物理服务器的IP地址是 192.168.1.20,迁移后VM所在的物理服务器的IP地址是192.168.1.120,由此定 位单元可以获知VM迁移之前归属于防火墙1,VM迁移之后归属于防火墙3。

再比如说,假设安全管理服务器上保存有各个安全设备所辖区域的网络拓 扑信息,定位单元可以判断迁移报告中的VM接入交换机的端口ID或者VM所 属的VLAN ID在哪个安全设备所辖区域的网络拓扑信息中,进而可以得知迁移 之前VM所归属的安全设备以及迁移之后VM所归属的安全设备。再比如说, 假设安全管理服务器上保存有各个安全设备所辖区域的网络拓扑信息,定位单 元可以使用MAC地址定位技术来确定VM是从哪个交换机接入到网络中来,进 而根据网络拓扑确定VM所归属的安全设备。同样的道理,在定位单元实现时, 可以采用其他算法结合不同的VM位置参数(或者位置参数的组合)来确定VM 归属的安全设备,在此不再一一列举。

进一步来说,考虑到虚拟机管理装置以及安全策略迁移装置10可能是由不 同厂商提供的,因此为了更好地与对端兼容,定位单元中可以预置多个定位子 单元(如图3所示的那样),这些定位子单元分别使用不同的VM位置参数来 确定VM归属的安全设备,也就是说即便虚拟机管理装置发送的迁移报告中的 VM位置参数种类很少,定位单元依然可以借助多种定位算法(也就是多个内置 的定位子单元)来确定VM所归属的安全设备。同样的道理,即便不同的虚拟 机管理装置发送的迁移报告中的VM位置参数种类不同,由于预置多个定位子 单元,可以应对对端的变化,具有更好的兼容性。

步骤103,判断所述原安全设备与所述新安全设备是否为同一个安全设备, 如果是则返回,否则通知安全策略处理单元进行处理。

在有的数据中心中,一个防火墙这样的安全设备可能管辖着较大的区域, 有可能VM迁移之后归属的安全设备没有变化,因此再做进一步处理之前还需 要判断迁移前后VM归属的安全设备是否是同一台,比如说比较一下设备的标 识。如果是同一台,那么就不需要做处理,返回即可;如果不是同一台,可以 通知安全策略处理单元进行进一步处理。

步骤104,获取配置在原安全设备上的该虚拟机的安全策略,并将所述安全 策略下发到新安全设备上。

安全管理服务器与各个安全设备之间存在管理通道。安全策略管理单元可 以借助该管理通道从VM所归属的原安全设备读取其上的为VM配置的安全策 略,然后再下发到VM所归属的新安全设备。当然,很显然原安全设备上的VM 的安全策略也是安全策略管理单元下发的,因此安全策略管理单元很可能本来 在安全管理服务器上保存有该VM的安全策略,因此安全策略管理单元还可以 从安全管理服务器的存储单元中获取到。由于新的安全设备使用了与原安全设 备同样的安全策略,因此实现了安全策略跟随VM迁移而无缝迁移,对于VM 对外提供业务服务的影响很小,外部访问VM的用户基本不会感知到VM有任 何变化。进一步来说,在成功将VM的安全策略下发到VM归属的新安全设备 后,原安全设备不再需要VM的安全策略了,安全策略管理单元还可以将原安 全设备上的安全策略对应移除,比如删除或者使之处于无效装置,以节约原安 全设备的空间,减少其业务处理时间。

本发明通过虚拟机管理装置(也就是VM侧管理服务器一侧)与虚拟机安 全策略迁移装置(也就是安全管理服务器一侧)之间的联动实现了VM在安全 设备上的安全策略自动跟随着VM迁移而无缝迁移,免除了管理员因为VM迁 移而进行的安全设备手工配置操作,这对VM迁移事件较多的大型数据中心来 说意义非常显著。

以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发 明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发 明保护的范围之内。

专利2一种基于SDN的虚拟机安全策略迁移的系统及方法

技术领域

本发明涉及虚拟化技术领域,尤其涉及一种基于SDN的虚拟机安全策略迁移的系统及方法。

背景技术

虚拟机迁移技术为服务器虚拟化提供了便捷的方法。目前流行的虚拟化工具如VMware,Xen,HyperV,KVM都提供了各自的迁移组件。迁移服务器可以为用户节省管理资金、维护费用和升级费用。迁移的优势在于简化系统维护管理,提高系统负载均衡,增强系统错误容忍度和优化系统电源管理。但是迁移也带来了一些安全策略实施的问题,如一旦VM虚拟机迁移,该VM虚拟机对应的网络层信息可以通过后端的管理平台自动跟随VM虚拟机迁移到新的位置,但是对于在VM主机所在的网络中针对该VM的安全策略如防火墙、 IPS、IDS,只能由网络管理员手动重新单独配置和维护,不能从原有网络自动的迁移至新的网络中去。  

发明内容

本发明为了解决现有技术中虚拟机迁移时其安全策略不能与其同步迁移至 新主机所在网络以实现策略的无缝迁移的缺点或不足,采用了一种基于SDN的 虚拟机安全策略迁移的系统及方法,从而实现了安全策略如防火墙、流量管理 等随虚拟机迁移至目标网络的目的。

一种基于SDN的虚拟机安全策略迁移的系统,其由安全策略管理模块、控 制器集群控制模块和虚拟机迁移监控模块构成。

安全策略管理模块是系统中最重要的模块,包括安全策略执行模块,策略 同步模块,安全策略获取模块,安全策略加密传输模块和安全策略数据库。

安全策略执行模块负责将迁入的虚拟机相关的安全策略添加到安全策略数 据库中,并通过与安全策略相关的安全设备的接口将迁入虚拟机的安全策略添 加到相关的安全设备上。

策略同步模块更新指定虚拟机的安全策略至相关的安全设备上并更新安全 策略数据库,或将迁出虚拟机相关的安全设备上的安全策略移除并在迁移完成 后将此虚拟机的安全策略从本地的安全策略数据库中删去。

安全策略获取模块从安全策略数据库中提取迁移虚拟机相关的所有安全策 略。

安全策略加密传输模块对待迁移的虚拟机安全策略进行加密,并选择安全 的方式传输到目标网络中的安全策略服务器,或接收待迁入的虚拟机安全策略 进行解密。

控制器集群控制模块对数据中心内的多控制器进行协调管理,包括状态分 发/同步模块,分域管理模块,分布式存储管理模块,交换机共享控制模块,交 换机接口通信模块。

虚拟机迁移监控模块对虚拟机的迁移情况进行监控。

一种基于SDN的虚拟机安全策略迁移的方法,其具体的步骤如下:

1)当虚拟机准备迁移时,支持SDN的交换机匹配到虚拟机迁移的相关流量, 按照SDN控制器下发的流表规则,立即通过南向接口协议报告给SDN控制器;

2)SDN控制器收到由交换机发来的消息后,将信息直接转发给安全策略管 理服务器;

3)安全策略管理服务器收到控制器集群中其中一台SDN控制器发送的信 息,察觉有虚拟机待迁移;

4)安全策略管理服务器通过信息分析出虚拟机迁移的目标网络地址,查找 安全策略数据库以寻找出目标网络的安全策略管理服务器地址;

5)安全策略管理服务器调用安全策略获取模块查找安全策略数据库以提取 该虚拟机相关的安全策略;

6)安全策略管理服务器调用安全策略加密传输模块通过带外安全传输到目 标网络的安全策略管理服务器;

7)目标网络的安全策略管理服务器调用安全策略加密传输模块解密待迁入 虚拟机的安全策略信息,通知安全策略执行模块;

8)安全策略执行模块将迁入的虚拟机相关的安全策略添加到安全策略数据 库中,并通过与安全策略相关的安全设备的接口将迁入虚拟机的安全策略添加 到相关的安全设备上,通知迁出网络的安全策略管理服务器;

9)迁出网络的安全策略管理服务器调用策略同步模块,将迁出虚拟机相关 的安全设备上的安全策略移除并将此虚拟机的安全策略从本地的安全策略数据 库中删去。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施 例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述 中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付 出创造性劳动的前提下,还可以根据这些附图获得其它的附图。

图1是本发明的一种基于SDN的虚拟机安全策略迁移的系统功能模块图;

图2是本发明的一种基于SDN的虚拟机安全策略迁移的方法网络拓扑图。



具体实施方式

下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清 楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是 全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造 性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。

一种基于SDN的虚拟机安全策略迁移的系统功能模块图如图1所示:

它由安全策略管理模块、控制器集群控制模块和虚拟机迁移监控模块构成。

安全策略管理模块是系统中最重要的模块,包括安全策略执行模块,策略 同步模块,安全策略获取模块,安全策略加密传输模块和安全策略数据库。安 全策略执行模块负责将迁入的虚拟机相关的安全策略添加到安全策略数据库 中,并通过与安全策略相关的安全设备的接口将迁入虚拟机的安全策略添加到 相关的安全设备上。策略同步模块可更新指定虚拟机的安全策略至相关的安全 设备上并更新安全策略数据库,或将迁出虚拟机相关的安全设备上的安全策略 移除并在迁移完成后将此虚拟机的安全策略从本地的安全策略数据库中删去。 安全策略获取模块从安全策略数据库中提取迁移虚拟机相关的所有安全策略。 安全策略加密传输模块对待迁移的虚拟机安全策略进行加密,并选择安全的方 式传输到目标网络中的安全策略服务器;或接收待迁入的虚拟机安全策略进行 解密。

控制器集群控制模块对数据中心内的多控制器进行协调管理,包括状态分 发/同步模块,分域管理模块,分布式存储管理模块,交换机共享控制模块,交 换机接口通信模块。控制器集群控制模块通过交换机接口通信模块使用南向接 口协议与支持SDN的交换机进行通信,使用其他模块实现多控制器之间的流表 的同步。

虚拟机迁移监控模块对虚拟机的迁移情况进行监控。通过SDN控制器定义 “虚拟迁移发现”流表项,并且下发到数据中心内的支持SDN的交换机。当虚 拟机开始迁移时,支持SDN的交换机立即接收到虚拟机迁移的相关数据包并且 匹配到“虚拟迁移发现”流表项,并且根据此流表项的动作执行将虚拟迁移信 息通知发送给SDN控制器,进而通知到安全策略管理模块。

一种基于SDN的虚拟机安全策略迁移的方法针对虚拟机迁移时安全策略需 要随同迁移的问题,基于SDN技术,将安全策略迁移与虚拟机迁移分离开来。 这种方法中安全策略迁移不再依赖虚拟机完成,而是依赖于支持SDN的交换机。

一种基于SDN的虚拟机安全策略迁移的方法的网络拓扑图如图2所示,其 具体的实施流程如下:

1)当虚拟机准备迁移时,支持SDN的交换机匹配到虚拟机迁移的相关 流量,按照SDN控制器下发的流表规则,立即通过南向接口协议报告给SDN 控制器;

2)SDN控制器收到由交换机发来的消息后,将信息直接转发给安全策略 管理服务器;

3)安全策略管理服务器收到控制器集群中其中一台SDN控制器发送的 信息,察觉有虚拟机待迁移;

4)安全策略管理服务器通过信息分析出虚拟机迁移的目标网络地址,查 找安全策略数据库以寻找出目标网络的安全策略管理服务器地址;

5)安全策略管理服务器调用安全策略获取模块查找安全策略数据库以 提取该虚拟机相关的安全策略;

6)安全策略管理服务器调用安全策略加密传输模块通过带外方式将信 息安全传输到目标网络的安全策略管理服务器;

7)目标网络的安全策略管理服务器调用安全策略加密传输模块解密待 迁入虚拟机的安全策略信息,通知安全策略执行模块;

8)安全策略执行模块将迁入的虚拟机相关的安全策略添加到安全策略 数据库中,并通过与安全策略相关的安全设备的接口将迁入虚拟机的安全策略 添加到相关的安全设备上,通知迁出网络的安全策略管理服务器;

9)迁出网络的安全策略管理服务器调用策略同步模块,将迁出虚拟机相 关的安全设备上的安全策略移除并将此虚拟机的安全策略从本地的安全策略数 据库中删去。

此外,本发明还可在现有技术的基础上,通过使用专门算法来识别出虚拟 机并在虚拟机中记录其相应的安全策略,最终在迁入网络中使用专门函数提取 其安全策略部署至各安全设备上。这需要使用额外对虚拟机较高的识别能力, 安全策略提取,跨平台的能力,到达目标网络将安全策略分发到相应安全设备 的能力等。

本发明还可直接迁移虚拟机,之后由人工根据每个虚拟机的不同安全策略 在迁入的网络中进行设计、配置,并从迁出网络中删去此虚拟机相关的安全策 略。这种方法费时费力,且协调虚拟机在目标环境的使用和此虚拟机在目标网 络的相关安全策略部署事件上存在困难。

以上对本发明实施例所提供的一种基于SDN的虚拟机安全策略迁移的系统 及方法进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进 行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想; 同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应 用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限 制。

Logo

华为开发者空间,是为全球开发者打造的专属开发空间,汇聚了华为优质开发资源及工具,致力于让每一位开发者拥有一台云主机,基于华为根生态开发、创新。

更多推荐