一种分布式虚拟交换机端口镜像的方法、装置及存储介质

摘要

本申请涉及分布式虚拟交换机端口镜像的方法、装置及存储介质。本申请记录宿主机、宿主机上运行虚拟机、虚拟交换机、连接宿主机的物理交换机所形成的分布式网络的网络信息；监测虚拟机的状态，所述状态包括开机、运行、关机、重启及迁移；根据采集的宿主机中虚拟机的状态和网络信息，按照用户制定的端口镜像配置生成端口镜像策略；将端口镜像策略下发至对应的宿主机，宿主机执行端口镜像策略实现宿主机内或跨宿主机的端口镜像。本申请利用宿主机之间的vxlan隧道来实现跨宿主机的端口镜像；本申请利用宿主机内运行的虚拟交换机实现宿主机内部的端口镜像。支持为源端口配置至少一个目的端口，可以提供具有冗余性更健壮的流量监测。

说明书

技术领域

本申请涉及端口镜像领域，尤其涉及一种分布式虚拟交换机端口镜像的方法、装置及存储介质。

背景技术

随着云计算技术的广泛应用，各种网络功能被虚拟化，以虚拟的形式在云计算网络中发挥作用。在云计算网络中，位于各个宿主机中虚拟交换机，组成了一个逻辑上的交换机，为宿主机中的虚拟机提供一个大型而又灵活的分布式网络。

端口镜像技术，本是一个物理交换机的技术，即选择某个，或多个交换机端口作为源端口，将源端口的网络流量，复制一份到目的端口，目的端口上接分析流量的设备，达到对流量分析、网络监控及快速定位故障的目的。

现有技术中有一种采用GRE隧道的远程镜像方式，这种镜像方式，需要在目的端口上配置一个IP，来接收镜像流量，这种方式只能选择一个端口作为源端口，即点对点的架构，这就使得GRE隧道仅仅支持一个源端口对应一个目的端口的形式，缺乏冗余，健壮性差。且在实际应用中，受限于流量大小及应用场景，应用并不广泛，此外，报文被封装在GRE报文内，里面的信息无法直接通过镜像报文分析设备分析。

现有技术中还有些解决方案，需要依赖于物理网络的配置，多次设置，接力完成流量的镜像：将虚拟交换机端口流量镜像到物理网卡，由物理网卡发到宿主机外的物理交换机，然后在物交换机上配置端口镜像功能，将流量镜像到物理交换机的某端口。如果更进一步，想要把流量由宿主机1的虚拟机1，镜像到宿主机2的虚拟机2，那么除了上述配置物理交换机、在宿主机1内配置一次端口镜像之外，还需要在宿主机2中再次配置一次端口镜像。通过上述方式将流量一步一步的复制才能达到目的。这样，流量需要经过三次接力复制，并且这么复杂且依赖硬件的配置，需要源宿主机端口有专门物理网口被镜像独占，需要两个交换机端口专门负责端口镜像流量转发，需要目的宿主机物理网口被镜像独占。这样的配置方式及资源耗费，在实际的应用中是不可行的。且上述现有方案，端口镜像的源端口可以设置一个或者多个，但目的端口只能设置一个。即，端口镜像仅能将流量复制一个端口上。

发明内容

为了解决上述技术问题或者至少部分地解决上述技术问题，本申请提供一种分布式虚拟交换机端口镜像的方法、装置及介质。

第一方面，本申请提供一种分布式虚拟交换机端口镜像的方法，包括：

记录宿主机、宿主机上运行虚拟机、虚拟交换机、连接宿主机的物理交换机所形成的分布式网络的网络信息；

监测虚拟机的状态，所述状态包括开机、运行、关机、重启及迁移；

根据采集的宿主机中虚拟机的状态和网络信息，按照用户制定的端口镜像配置生成端口镜像策略；

将端口镜像策略下发至对应的宿主机，宿主机执行端口镜像策略实现宿主机内或跨宿主机的端口镜像。

更进一步地，采集宿主机、宿主机上运行虚拟机、虚拟交换机、连接宿主机的物理交换机运行状况，并根据所采集的运行状况更新所记录的网络信息。

更进一步地，构建为用户提供制定端口镜像配置的镜像配置接口，采集并解析用户所制定的端口镜像配置获取源端口和目的端口，其中，源端口对应至少一个目的端口。

更进一步地，根据采集的宿主机中虚拟机的状态和网络信息，按照用户制定的端口镜像配置生成端口镜像策略包括：

遍历端口镜像配置中源端口和目的端口的成对组合；

根据网络信息判断每个成对组合中的源端口和目的端口是否处于同一宿主机；

是则制定第一端口镜像策略下发到源端口和目的端口所在的宿主机执行以实现端口镜像；

否则制定第二端口镜像策略下发到源端口所在宿主机以及目的端口所在宿主机执行以实现端口镜像。

更进一步地，所述第一端口镜像策略包括：

确定源端口和目的端口，根据网络信息及源端口和目的端口确定宿主机；

在所确定的宿主机中构造源端口的第一流量镜像；

通过宿主机中的虚拟交换机搭建流量镜像与目的端口之间的数据链路；

通过数据链路将流量镜像转发到目的端口。

更进一步地，所述第二端口镜像策略包括：

确定源端口和目的端口，根据网络信息及源端口和目的端口确定源端口所在宿主机和目的端口所在宿主机及对应的物理交换机；

利用源端口所在宿主机和目的端口所在宿主机之间的至少一个物理交换机搭建宿主机之间的vxlan隧道；

在源端口所在宿主机内构建源端口的第二流量镜像；

利用vxlan隧道实现将源端口的流量镜像跨宿主机传输到目的端口所在宿主机；

目的端口所在宿主机将流量镜像转发到目的端口。

更进一步地，对源端口的流量内容，第一端口镜像策略和第二端口镜像策略细化构建传输流量内容的对应接口以实现构建第一流量镜像或第二流量镜像。

更进一步地，检测源端口对应的虚拟机关机后，删除镜像源端口的第一端口镜像策略或第二端口镜像策略。

第二方面，本申请提供一种实现分布式虚拟交换机端口镜像的装置，包括：

监测模块，所述监测模块用于采集宿主机、宿主机上运行虚拟机、虚拟交换机、连接宿主机的物理交换机运行状况；

网络信息管理模块，所述网络信息管理模块用于记录并更新宿主机、宿主机上运行虚拟机、虚拟交换机、连接宿主机的物理交换机所形成的分布式网络的网络信息；

配置模块，配置模块用于供用户制定端口镜像配置；

策略构建模块，所述策略构建模块用于为根据网络信息、端口镜像配置以及虚拟机状态生成第一端口镜像策略或第二端口镜像策略；

策略分配模块，策略分配模块将策略分配到对应的宿主机；

执行模块，所述执行模块用于执行第一端口镜像策略或第二端口镜像策略以实现端口镜像配置。

第三方面，本申请提供一种实现分布式虚拟交换机端口镜像的方法的存储介质，所述实现分布式虚拟交换机端口镜像的方法的存储介质存储至少一条指令，读取执行所述指令实现所述的分布式虚拟交换机端口镜像的方法。

本申请实施例提供的上述技术方案与现有技术相比具有如下优点：

本申请通过根据端口镜像配置、网络信息、虚拟机的状态来生成相应的端口镜像策略，并将端口镜像策略下发至相应的宿主机和物理交换机，以实现将源端口的流量镜像传到目的端口。

本申请通过物理交换机在宿主机之间构建实现跨宿主机的端口镜像的vxlan隧道，vxlan隧道的隧道端点设置于宿主机，vxlan隧道仅对隧道端点可见，在由隧道端点将经vxlan隧道传输的流量镜像内容发送给目的端口；vxlan隧道的通信采用UDP封装，其可靠性无需靠隧道的连接来维持，通过策略的设置支持一对多的交互，避免了GRE隧道点对点模式的局限，因而，本申请可以为一个源端口配置至少一个目的端口；避免了GRE隧道报文封装在GRE报文内，无法直接通过GRE报文直接进行流量分析的问题。

本申请既支持宿主机内部的端口镜像又支持跨宿主机的端口镜像，且跨宿主机的端口镜像通过vxlan隧道实现无需重复对流量数据进行多次复制。本申请根据虚拟机的运行情况来生成端口镜像策略，端口镜像策略动态调整，能够节约分布式系统的计算资源。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本发明的实施例，并与说明书一起用于解释本发明的原理。

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例提供的简单的分布式网络示意图；

图2为本申请实施例提供的分布式虚拟交换机端口镜像的方法的流程图；

图3为本申请实施例提供的利用构建的安全性验证系统验证设备的安全性中验证第六证书的合法性的流程图；

图4为本申请实施例提供的实现分布式虚拟交换机端口镜像的装置示意图。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请的一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本申请保护的范围。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

vxlan技术是一种采用mac in UDP模式的隧道封装技术，能够利用现有的IP网络作为基础网络构造虚拟二层网络，能够实现大二层互联。vxlan提供了24位的vxlan网络标识符，支持千万量级的用户通过vxlan交互。

实施例1

本申请实施例提供一种分布式虚拟交换机端口镜像的方法。本方法应用于宿主机、网卡、物理交换机以及宿主机内虚拟交换机和虚拟机构成的分布式网络，如图1所示,图1提供一种简单的分布式网络。

参阅图2所示，所述分布式虚拟交换机端口镜像的方法包括：

S100，记录宿主机、宿主机上运行虚拟机、虚拟交换机、连接宿主机的物理交换机所形成的分布式网络的网络信息；具体实施过程中，通过在至少一个宿主机上构建一个主控节点，主控节点记录分布式网络中的每个宿主机、宿主机上运行的虚拟机和虚拟交换机、连接宿主机的物理交换机的网络信息。网络信息包括虚拟机与宿主机的对应关系、宿主机与物理交换机端口的映射关系、虚拟机所使用的虚拟端口信息、虚拟机IP地址信息、虚拟机mac地址信息及虚拟机经vxlan划分的网段信息。

所述主控节点采集宿主机、宿主机上运行虚拟机、虚拟交换机、连接宿主机的物理交换机运行状况，并根据所采集的运行状况更新所记录的网络信息。如：在某一宿主机中创建新的虚拟机作为分布式网络的节点时，采集当前分布式网络中宿主机、宿主机上运行虚拟机、虚拟交换机、连接宿主机的物理交换机运行状况更新网络信息，更新后的网络信息添加新创建的虚拟机。如：分布式网络中的物理交换机连接一般采用冗余设计，为避免冗余设计带来的数据传输混乱采用生成树协议维护管理各个宿主机之间的冗余数据链路，物理交换机故障可能导致宿主机之间的实际数据链路改变是网络信息发生变化。

S200，用户通过提供的端口镜像配置接口来制定端口镜像配置。具体实施过程中，在所述主控节点构建为用户提供制定端口镜像配置的镜像配置接口，主控节点通过镜像配置接口采集用户制定的端口镜像配置，主控节点对用户所制定的端口镜像配置进行解析获取端口镜像配置中的源端口和对应的目的端口，其中，源端口对应至少一个目的端口，且目的端口既能与源端口处于同一宿主机，又能与源端口跨宿主机。如配置宿主机2中的虚拟机VM2-1的虚拟端口2-1为源端口，既可以配置宿主机3中虚拟机VM3-1的虚拟端口3-1为目的端口，又可以配置宿主机2中的虚拟机VM2-2的虚拟端口2-2为目的端口。

S300，监测虚拟机的状态，所述状态包括开机、运行、关机、重启及迁移。

S400，根据采集的宿主机中虚拟机的状态和网络信息，按照用户制定的端口镜像配置生成端口镜像策略。

对于端口镜像配置中源端口或者目的端口对应的虚拟机关机，虚拟机对应的虚拟端口不复存在，即使那还早端口镜像配置生成相应的端口镜像策略也无执行的对象或载体。

根据网络信息可以获取源端口和对应目的端口之间具体可行的数据链路情况，基于相应的数据链路来实现端口镜像。

具体实施过程中，参阅图3所示，所述根据采集的宿主机中虚拟机的状态和网络信息，按照用户制定的端口镜像配置生成端口镜像策略包括：

S401，遍历端口镜像配置中源端口和目的端口的成对组合；具体实施过程中，对于设置多个目的端口的源端口，将源端口与每个目的端口组合形成所述成对组合。

S402，根据网络信息判断每个成对组合中的源端口和目的端口是否处于同一宿主机；

是则S403，制定第一端口镜像策略下发到源端口和目的端口所在的宿主机执行以实现端口镜像；

否则S404，制定第二端口镜像策略下发到源端口所在宿主机以及目的端口所在宿主机执行以实现端口镜像。

其中，所述第一端口镜像策略，应用在源端口和目的端口处于同一宿主机中时，包括：

确定源端口和目的端口，根据网络信息及源端口和目的端口确定宿主机；

将第一端口镜像策略实现端口镜像的指令发送给所确定的宿主机；

在所确定的宿主机执行指令以构造源端口的第一流量镜像；

利用网络信息所提供的相关网络信息通过宿主机中的虚拟交换机搭建流量镜像与目的端口之间的数据链路；

通过搭建的数据链路将流量镜像转发到目的端口。

具体实施过程中，所述第一端口镜像策略，应用在源端口和目的端口跨宿主机时，包括：

确定源端口和目的端口，根据网络信息及源端口和目的端口确定源端口所在宿主机和目的端口所在宿主机及对应的物理交换机；

利用源端口所在宿主机和目的端口所在宿主机之间的至少一个物理交换机搭建宿主机之间的vxlan隧道；

在源端口所在宿主机内构建源端口的第二流量镜像；

利用vxlan隧道实现将源端口的流量镜像跨宿主机传输到目的端口所在宿主机；具体的，第二流量镜像的内容发送给源端口所在宿主机的vxlan隧道端点，经UDP封装后通过vxlan隧道发送到目的端口所在宿主机中的另外一个vxlan隧道端点。

目的端口所在宿主机的vxlan隧道端点将流量镜像转发到目的端口。

具体实施过程中，对源端口的流量内容，第一端口镜像策略和第二端口镜像策略细化构建传输流量内容的对应接口以实现构建第一流量镜像或第二流量镜像。对于同一个源端口，进行一次流量内容的复制镜像，通过提供不同接口的方式实现宿主机内端口镜像或者跨宿主机的端口镜像。

具体实施过程中，检测源端口对应的虚拟机关机后，删除镜像源端口的第一端口镜像策略或第二端口镜像策略；在目的端口对应的虚拟机关机后，删除第一端口镜像策略或第二端口镜像策略中对应该目的端口的策略部分。

具体实施过程中，在生成第一流量镜像或第二流量镜像过程时，细化数据流量配置，使第一流量镜像或第二流量镜像复制输入源端口数据和/或者输出源端口的数据。

S500，将端口镜像策略下发至对应的宿主机，宿主机执行端口镜像策略实现宿主机内或跨宿主机的端口镜像。

实施例2

参阅图4所示，本申请实施例提供一种实现分布式虚拟交换机端口镜像的装置，包括：

监测模块，所述监测模块用于采集宿主机、宿主机上运行虚拟机、虚拟交换机、连接宿主机的物理交换机运行状况。

网络信息管理模块，所述网络信息管理模块用于记录并更新宿主机、宿主机上运行虚拟机、虚拟交换机、连接宿主机的物理交换机所形成的分布式网络的网络信息。

配置模块，配置模块用于供用户制定端口镜像配置。

策略构建模块，所述策略构建模块根据网络信息管理模块管理的网络信息、监测模块监测的虚拟机状态以及用户制定的端口镜像配置来生成相应的第一端口镜像策略或第二端口镜像策略。

策略分配模块，策略分配模块将策略分配到对应的宿主机。

策略管理模块，所述策略管理模块根据虚拟机状态来控制管理策略，对于虚拟机迁移，迁移源宿主机中迁出虚拟机的端口镜像策略删除，根据虚拟机状态和网络信息重新生成相应的端口镜像策略添加到迁移目的宿主机。

执行模块，所述执行模块用于执行第一端口镜像策略或第二端口镜像策略以实现宿主机内或跨宿主机的端口镜像配置。

实施例3

本申请实施例提供一种实现分布式虚拟交换机端口镜像的方法的存储介质。所述实现分布式虚拟交换机端口镜像的方法的存储介质存储至少一条指令，读取执行所述指令实现所述的分布式虚拟交换机端口镜像的方法。

本申请通过根据端口镜像配置、网络信息、虚拟机的状态来生成相应的端口镜像策略，并将端口镜像策略下发至相应的宿主机和物理交换机，以实现将源端口的流量镜像传到目的端口。

本申请通过物理交换机在宿主机之间构建实现跨宿主机的端口镜像的vxlan隧道，vxlan隧道的隧道端点设置于宿主机，vxlan隧道仅对隧道端点可见，在由隧道端点将经vxlan隧道传输的流量镜像内容发送给目的端口；vxlan隧道的通信采用UDP封装，其可靠性无需靠隧道的连接来维持，通过策略的设置支持一对多的交互，避免了GRE隧道点对点模式的局限，因而，本申请可以为一个源端口配置至少一个目的端口；避免了GRE隧道报文封装在GRE报文内，无法直接通过GRE报文直接进行流量分析的问题。

本申请既支持宿主机内部的端口镜像又支持跨宿主机的端口镜像，且跨宿主机的端口镜像通过vxlan隧道实现无需重复对流量数据进行多次复制。本申请根据虚拟机的运行情况来生成端口镜像策略，端口镜像策略动态调整，能够节约分布式系统的计算资源。

在本发明所提供的实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

以上所述仅是本发明的具体实施方式，使本领域技术人员能够理解或实现本发明。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所申请的原理和新颖特点相一致的最宽的范围。