【技术实现步骤摘要】
虚拟网络中的数据引流装置及数据引流方法
本申请涉及虚拟网络
,特别涉及一种虚拟网络中的数据引流装置及数据引流方法。
技术介绍
在云场景等虚拟化网络中,两个虚拟机(virtualmachine,VM)之间可以相互发送数据,以进行通信。并且,一个虚拟机在向另一个虚拟机发送数据的过程中,该数据在传递至另一个虚拟机之前,通常被引流至安全服务节点,由安全服务节点对该数据进行处理,以监测两个虚拟机之间的通信的安全性,并由安全服务节点将该数据转发至另一个虚拟机。相关技术中可以通过虚拟网关的方式将数据引流至安全服务节点。具体地,当虚拟机A需要向虚拟机B发送数据时,虚拟机A先将数据发送至虚拟机A所在的虚拟局域网(virtualextensibleLAN,VxLAN)的虚拟网关A,由虚拟网关A对该数据进行封装,封装之后的数据中携带的目的地址为安全服务节点的地址。当安全服务节点接收到封装之后的数据时,进行解封之后得到该数据,以便后续对该数据进行处理。另外,安全服务节点在解封得到该数据之后,重新对该数据进行封装,封装之后的数据中携带的目的地址为虚拟机B所在的虚拟局域网中的虚拟网关B...
【技术保护点】
1.一种虚拟网络中的数据引流装置,其特征在于,所述数据引流装置包括第一虚拟机、第二虚拟机、安全服务节点和虚拟交换机;所述第一虚拟机、所述第二虚拟机、所述安全服务节点分别与所述虚拟交换机连接;所述虚拟交换机用于根据流表将所述第一虚拟机和所述第二虚拟机之间传输的数据转发至所述安全服务节点,以指示所述安全服务节点对所述第一数据进行处理,所述流表用于指示所述虚拟交换机传输数据的路由规则。
【技术特征摘要】
1.一种虚拟网络中的数据引流装置,其特征在于,所述数据引流装置包括第一虚拟机、第二虚拟机、安全服务节点和虚拟交换机;所述第一虚拟机、所述第二虚拟机、所述安全服务节点分别与所述虚拟交换机连接;所述虚拟交换机用于根据流表将所述第一虚拟机和所述第二虚拟机之间传输的数据转发至所述安全服务节点,以指示所述安全服务节点对所述第一数据进行处理,所述流表用于指示所述虚拟交换机传输数据的路由规则。2.根据权利要求1所述的数据引流装置,其特征在于,所述虚拟交换机包括第一虚拟机网桥、第二虚拟机网桥、安全监测网桥模块和集成网桥;所述第一虚拟机和所述第一虚拟机网桥连接,所述第二虚拟机和所述第二虚拟机网桥连接,所述安全服务节点与所述安全监测网桥模块连接,所述第一虚拟机网桥、所述第二虚拟机网桥、所述安全监测网桥模块分别与所述集成网桥连接;所述第一虚拟机网桥和所述安全监测网桥模块上存在互为配对的一对或多对端口,互为配对的一对端口是指一个端口发出的数据由另一个端口接收、所述另一端口发送的数据由所述一个端口接收,所述流表用于指示在所述第一虚拟机网桥、所述第二虚拟机网桥、所述安全监测网桥模块和所述集成网桥中任一个的内部传递数据的路由规则。3.根据权利要求2所述的数据引流装置,其特征在于,所述安全服务节点包括第一安全虚拟机,所述安全监测网桥模块包括第一安全虚拟机网桥组件,第一安全虚拟机和所述第一安全虚拟机网桥组件连接,所述第一虚拟机网桥包括第一端口和第二端口,所述第一安全虚拟机网桥组件包括第三端口和第四端口;所述第一端口和所述第一安全虚拟机网桥组件上的第三端口是互为配对的一对端口,所述第二端口和所述第一安全虚拟机网桥组件上的第四端口是互为配对的一对端口。4.根据权利要求2所述的数据引流装置,其特征在于,所述安全服务节点包括N个安全虚拟机,所述安全监测网桥模块包括N个安全虚拟机网桥组件,所述N个安全虚拟机和所述N个安全虚拟机网桥组件一一对应,所述N个安全虚拟机网桥组件按照参考顺序排序之后每相邻的两个安全虚拟机网桥组件上存在互为配对的一对端口,所述N为大于或等于2的正整数,所述第一虚拟机网桥包括第一端口和第二端口,每个安全虚拟机网桥组件包括第三端口和第四端口;所述第一端口和排序之后的第一个安全虚拟机网桥组件上的第三端口是互为配对的一对端口,所述第二端口和排序之后的最后一个安全虚拟机网桥组件上的第四端口是互为配对的一对端口。5.根据权利要求4所述的数据引流装置,其特征在于,对于排序之后的第i个安全虚拟机网桥组件,所述第i个安全虚拟机网桥组件上的第三端口与第i-1个安全虚拟机网桥组件的第四端口是互为配对的一对端口,所述i为大于等于2且小于等于N的正整数。6.根据权利要求3至5任一所述的数据引流装置,其特征在于,任一安全虚拟机网桥组件上还包括第五端口和第六端口,任一安全虚拟机网桥组件上的第五端口和第六端口用于连接一个安全虚拟机;所述流表用于指示任一安全虚拟机网桥组件上第三端口发送的数据由位于同一安全虚拟机网桥组件的第五端口发送出去,任一安全虚拟机网桥组件上第五端口发送的数据由位于同一安全虚拟机网桥组件的第三端口发送出去;所述流表还用于指示任一安全虚拟机网桥组件上第六端口发送的数据由位于同一安全虚拟机网桥组件的第四端口发送出去,任一安全虚拟机网桥组件上第四端口发送的数据由位于同一安全虚拟机网桥组件的第六端口发送出去。7.根据权利要求3至6任一所述的数据引流装置,其特征在于,所述第一虚拟机网桥中还包括第七端口,所述第七端口和所述第一虚拟机连接,所述流表用于指示所述第七端口接收到的数据由所述第一端口发送出去,所述第一端口接收到的数据由所述第七端口发送出去。8.根据权利要求3至7任一所述的数据引流装置,其特征在于,所述第一虚拟机网桥中还包括第八端口、所述集成网桥中包括第九端口,所述第八端口和所述第九端口连接;所述流表还用于指示所述第二端口接收到的数据由所述第八端口发送出去,所述第八端口接收到的数据由所述第九端口发送出去。9.根据权利要求8所述的数据引流装置,其特征在于,所述集成网桥还包括第十端口,所述第二虚拟机网桥还包括第十一端口和第十二端口,所述第十端口和所述第十一端口连接,所述第十二端口与所述第二虚拟机连接;所述流表还用于指示所述第九端口接收到的数据由所述第十端口发送出去,所述第十端口接收到的数据由所述第九端口发送出去;所述流表还用于指示所述第十一端口接收到的数据由所述第十二端口发送出去,所述第十二端口接收到的数据由所述第十一端口发送出去。10.根据权利要求3至9任一所述的数据引流装置,其特征在于,任一安全虚拟机网桥组件包括第一安全虚拟机网桥和第二安全虚拟机网桥;所述第一安全虚拟机网桥上部署有所述第三端口和所述第五端口,所述第二安全虚拟机网桥上部署有所述第四端口和所述第六端口。11.根据权利要求1至10任一所述的数据引流装置,其特征在于,所述虚拟交换机是由软件定义网络SDN控制器创建的,所述流表由所述SDN控制器下发至所述虚拟交换机。12.一种虚拟网络中的数据引流方法,其特征在于,应用于权利要求1至11任一所述的数据引流装置,所述方法包括:所述虚拟交换机接收所述第一虚拟机发送的第一数据;所述虚拟交换机根据流表将所述第一数据转发至所述安全服务节点,以指示所述安全服务节点对所述第一数据进行处理,所述流表用于指示所述虚拟交换机传输数据的路由规则;当所述虚拟交换机接收到所述安全服务节点发送的第一数据时,根据所述流表将所述第一数据发送至所述第二虚拟机。13.根据权利要求12所述的方法,其特征在于,所述虚拟交换机包括第一虚拟机网桥、第二虚拟机网桥、安全监测网桥模块和集成网桥;所述虚拟交换机接收所述第一虚拟机发送的第一数据,包括:所述第一虚拟机网桥接收所述第一虚拟机发送的第一数据;相应地,所述虚拟交换机根据流表将所述第一数据转发至所述安全服务节点,以指示所述安全服务节点对所述第一数据进行处理,包括:所述第一虚拟机网桥根据所述流表将所述第一数据发送至所述安全监测网桥模块;所述安全监测网桥模块根据所述流表将接收到的第一数据转发给所述安全服务节点,以指示所述安全服务节点对所述第一数据进行处理;相应地,所述当所述虚拟交换机接收到所述安全服务节点发送的第一数据时,根据所述流表将所述第一数据发送至所述第二虚拟机,包括:所述安全监测网桥模块根据所述流表将所述安全服务节点发送的第一数据发送至所述第一虚拟机网桥;所述第一虚拟机网桥在接收到所述安全监测网桥模块发送的第一数据时,根据所述流表将所述第一数据发送至所述集成网桥;所述集成网桥在接收到所述第一数据时,根据所述流表将所述第一数据发送至所述第二虚拟机网桥,由所述第二虚拟机网桥根据所述流表将所述第一数据发送至所述第二虚拟机。14.根据权利要求13所述的方法,其特征在于,所述安全服务节点包括第一安全虚拟机,所述安全监测网桥模块包括第一安全虚拟机网桥组件;所述第一虚拟机网桥根据所述流表将所述第一数据发送至所述安全监测网桥模块,包括:当所述第一虚拟机网桥接收到所述第一虚拟机发送的第一数据时,所述第一虚拟机网桥通过第一端口发送所述第一数据;相应地,所述安全监测网桥模块根据所述流表将接收到的第一数据转发给所述安全服务节点,用于指示所述安全服务节点对所述第一数据进行处理,包括:所述第一安全虚拟机网桥组件通过第三端口接收所述第一数据,并将所述第一数据发送至所述第一安全虚拟机,所述第一端口和所述第一安全虚拟机网桥组件上的第三端口是互...
【专利技术属性】
技术研发人员:巩泉吉,王华,周栋臣,高超,朱娜,李力军,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。