CN104683165A - 一种Xen虚拟化环境下虚拟机网络数据的监控方法 - Google Patents
一种Xen虚拟化环境下虚拟机网络数据的监控方法 Download PDFInfo
- Publication number
- CN104683165A CN104683165A CN201310616790.1A CN201310616790A CN104683165A CN 104683165 A CN104683165 A CN 104683165A CN 201310616790 A CN201310616790 A CN 201310616790A CN 104683165 A CN104683165 A CN 104683165A
- Authority
- CN
- China
- Prior art keywords
- virtual
- virtual machine
- network
- port
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及云计算技术领域,具体公开了一种Xeh虚拟化环境下虚拟机网络数据的监控方法;包括:在宿主机上,用Open vSwitch搭建网络架构,创建网桥;建立虚拟机,并将虚拟机加入网桥;将真实的网络接口对应虚拟机的虚拟接口,保持真实的网络接口与虚拟机的虚拟接口对应一致;将虚拟机的虚拟接口与网桥桥接,同时为各个虚拟机创建虚拟端口;使网络数据都经过相应的虚拟机的虚拟端口进行网络数据的通信;用Open vSwitch创建一个额外的网络监控数据端口,通过网络监控数据端口来监控网络数据。本发明使用Xeh虚拟化***中的Open vSwitch虚拟交换机实现了大规模网络的自动化;对虚拟机网络数据的监控,利于后续对数据的过滤、检测的处理。
Description
技术领域
本发明涉及云计算技术领域,尤其是涉及一种Xen虚拟化环境下虚拟机网络数据的监控方法。
背景技术
Xen是一个开放源代码虚拟机监视器,由剑桥大学开发。它打算在单个计算机上运行多达100个满特征的操作***。操作***必须进行显式地修改(“移植”),以在Xen上运行(但是提供对用户应用的兼容性)。这使得Xen无需特殊硬件支持,就能达到高性能的虚拟化。
所谓网络数据监控即对于网上流动的数据,首先按事先设定的截获原则完成有效截取,然后对截获下的数据进行数据还原,最后对还原后的数据进行分析并做出某种控制决定。由此可见网络监控需分三个阶段:先完成数据截获,然后是数据的还原,最后才是进行控制。而网络监控的难处在于如何完成第一、第二阶段的工作。
虚拟化网络技术其核心目标是在一个物理网络基础设施上同时运行多个互不干扰的逻辑网络,这些网络可以有自己特定的拓扑和路由算法,并允许各逻辑网络(或称为虚拟子网)采用完全不同的体系结构,从而允许虚拟子网中实现充分实验、完全创新、各具特色的网络技术。由于虚拟化网络的复杂性与多样性,在Host宿主机内部是无法获取到虚拟机的网络数据的,从而更无法对网络数据进行监控。在虚拟化环境下至今没有针对虚拟机网络数据进行监控的方法。
发明内容
本发明所解决的技术问题是提供一种Xen虚拟化环境下虚拟机网络数据的监控方法,为了达到清除安全死角,将网络监控需求蔓延到虚拟网络环境中,特提出本方案;本方案使用Xen虚拟化***中的Open vSwitch(OVS)虚拟交换机实现,OVS是一个具有高质量的多层虚拟交换机,通过可编程扩展,可以实现大规模网络的自动化(配置、管理和维护);它支持现有标准管理接口和协议(例如netFlow,sFlow,SPAN,RSPAN,CLI,LACP,802.1ag等)。对虚拟机网络数据的监控,利于后续对数据的过滤、检测等处理。
为了解决上述技术问题,本发明提供了一种Xen虚拟化环境下虚拟机网络数据的监控方法,包括:
S1:在宿主机上,用Open vSwitch搭建网络架构,创建网桥;
S2:建立虚拟机,并将所述虚拟机加入所述网桥;
S3:将真实的网络接口对应所述虚拟机的虚拟接口,保持真实的网络接口与所述虚拟机的虚拟接口对应一致;
S4:将所述虚拟机的虚拟接口与所述网桥桥接,同时为各个虚拟机创建虚拟端口;使网络数据都经过相应的所述虚拟机的虚拟端口进行网络数据的通信;
S5:用所述Open vSwitch创建一个额外的网络监控数据端口,通过所述网络监控数据端口来监控所述网络数据。
优选的,所述步骤3中,保持真实的网络接口与所述虚拟机的虚拟接口对应一致的方法是:在所述宿主机内,截取每个到达虚拟机虚拟端口的数据包头部的前128KB个字节,分析所述数据包头部,解析所述数据包头部的协议,根据解析后所述数据包,确定虚拟机对应的网桥端口。
更加优选的,所述步骤3中,保持真实的网络接口与所述虚拟机的虚拟接口对应一致的方法是:在虚拟机的虚拟端口被创建后,发送数据包时,数据包从虚拟机内部到达虚拟端口,判断数据包是否是第一个数据包;若数据包是第一个数据包,正常发送所述数据包;若数据包不是第一个数据包,构建新数据包,新数据包的目的地址为所述宿主机,所述宿主机接受新数据包,保持真实的网络接口与虚拟机的虚拟接口对应一致。
更加优选的,所述新数据包包含虚拟机的唯一标识、以及所述虚拟端口的标识。
更加优选的,所述步骤5中,将所述网络监控数据端口添加到所述OpenvSwitch中,做所述网络监控数据端口的镜像,通过所述网络监控数据端口实现虚拟机网络数据的监控。
其中,所述云计算(cloud computing)是基于互联网的相关服务的增加、使用和交付模式,通常涉及通过互联网来提供动态易扩展且经常是虚拟化的资源。
其中,所述Open vSwitch即开放虚拟交换标准!Open vSwitch是在开源的Apache2.0许可下的产品级质量的多层虚拟交换标准。它旨在通过编程扩展,使庞大的网络自动化(配置、管理、维护),同时还支持标准的管理接口和协议(如NetFlow,sFlow,SPAN,RSPAN,CL1,LACP,802.1ag)。总的来说,它被设计为支持分布在多个物理服务器,例如VMware的vNetwork分布式vSwitch或思科的Nexus1000V。
本发明与现有技术相比,具有如下有益效果:
本发明在Xen虚拟化环境下利用Open vSwitch实现虚拟机网络数据的监控;能够监控虚拟机网络的数据,利于后续对对数据的过滤、检测等处理。
附图说明
图1示例性的示出了本发明监控流程示意图;
图2示例性的示出了本发明保持真实的网络接口与虚拟机的虚拟接口对应一致的方法流程示意图;
图3示例性的示出了本发明用Open vSwitch搭建后的网络示意图。
具体实施方式
为了更好的理解本发明所解决的技术问题、所提供的技术方案,以下结合附图及实施例,对本发明进行进一步详细说明。此处所描述的具体实施例仅用以解释本发明的实施,但并不用于限定本发明。
在优选的实施例中,图1示例性的示出了一种Xen虚拟化环境下虚拟机网络数据的监控流程示意图;包括:
步骤一:在宿主机上,用Open vSwitch搭建网络架构,如图3所示;创建网桥;
步骤二:建立虚拟机,并将所述虚拟机加入网桥;
步骤三:将真实的网络接口对应所述虚拟机的虚拟接口,保持真实的网络接口与所述虚拟机的虚拟接口对应一致;
步骤四:将所述虚拟机的虚拟接口与所述网桥桥接,同时为各个虚拟机创建虚拟端口;使网络数据都经过相应的所述虚拟机的虚拟端口进行网络数据的通信;
步骤五:用所述Open vSwitch创建一个额外的网络监控数据端口,通过所述网络监控数据端口来监控所述网络数据。
在更加优选的实施例中,所述步骤三中,保持真实的网络接口与所述虚拟机的虚拟接口对应一致的方法是:在所述宿主机内,截取每个到达虚拟机虚拟端口的数据包头部的前128KB个字节,分析所述数据包头部,解析所述数据包头部的协议,根据解析后所述数据包,确定虚拟机对应的网桥端口。
在更加优选的实施例中,所述步骤三中,图2示例性的示出了本发明保持真实的网络接口与所述虚拟机的虚拟接口对应一致的方法流程示意图;具体方法是:在虚拟机的虚拟端口被创建后,发送数据包时,数据包从虚拟机内部到达虚拟端口,判断数据包是否是第一个数据包;若数据包是第一个数据包,正常发送所述数据包;若数据包不是第一个数据包,构建新数据包,新数据包的目的地址为所述宿主机,所述宿主机接受新数据包,保持真实的网络接口与虚拟机的虚拟接口对应一致。
在更加优选的实施例中,所述新数据包包含虚拟机的唯一标识、以及所述虚拟端口的标识。
在更加优选的实施例中,所述步骤五中,将所述网络监控数据端口添加到所述Open vSwitch中,做所述网络监控数据端口的镜像,通过所述网络监控数据端口实现虚拟机网络数据的监控。
具体的实施例中:
(一)为了应对虚拟化网络的复杂性与多样性,实现针对Xen虚拟化环境下的网络环境管理,我们使用Open vSwitch来实现对于Xen的网络管理。利用Open vSwitch搭建后的网络示意图如图3所示:
在Host宿主机上,我们利用Open vSwitch搭建了如上图所示的网络架构。利用Open vSwitch,创建了网桥bridge,将真实的网络接口eth0对应的Port br0与网桥bridge桥接,同时为各个虚拟机创建端口Port。也就是说,以后各个虚拟机的网络数据都会经过相应端口进行网络的数据通信。然而,虚拟机与端口的对应关系是一直变化的。虚拟机在重启、关闭之后,对应的端口是会发生变化的。我们利用监控ARP、RARP数据包,确定虚拟机与对应端口之间的对应关系。但是由于Open vSwitch并不进行数据包的协议分析,这是我们需要解决的重点问题。也是本专利对应的创新之处。
(二)我们有两种解决保持虚拟机端口一致性的办法:
方法一:在Host宿主机内,截取每个到达虚拟机端口的数据的前128个字节,分析数据包头部,解析协议。根据解析后数据包,确定虚拟机与对应端口之间的关系。但是,这种方法对于每个数据包均需要过滤,容易造成网络的拥堵与延迟。
方法二:在虚拟port被创建后,发送的第一个数据包时,构造新的数据包,通知Host宿主机该Port对应的虚拟机。具体的流程如图2所示:
在虚拟机的虚拟端口被创建后,发送数据包时,数据包从虚拟机内部到达虚拟端口,判断数据包是否是第一个数据包;若数据包是第一个数据包,正常发送所述数据包;若数据包不是第一个数据包,构建新数据包,新数据包的目的地址为所述宿主机,所述宿主机接受新数据包,保持真实的网络接口与虚拟机的虚拟接口对应一致。
(三)在保证了虚拟机与端口的一致性的情况下,我们就可以利用OpenvSwitch创建一个额外的网络监控数据端口dummy0,用来监控虚拟数据。
1)建立dummy设备并加入网桥
modprobe dummy
ip link set up dummy0
modprobe dummy
2)添加端口到Open vSwitch中
ovs-vsctl add-port br0dummy0
3)做端口镜像
ovs-vsctl----id=m create mirrer name=mirror0--add bridge br0
mirrorsm
ovs-vsctl list port dummy0
d3427810-8e68-40af-99c0-8cb935af9882
ovs-vsctl set mirror mirror0\
output_port=d3427810-8e68-40af-99c0-8cb935af9882
ovs-vsctl set mirror mirror0select all=1
经过以上的步骤,我们就可以用端口dummy0实现虚拟机网络数据的监控。
以上通过具体的和优选的实施例详细的描述了本发明,但本领域技术人员应该明白,本发明并不局限于以上所述实施例,凡在本发明的基本原理之内,所作的任何修改、组合及等同替换等,均包含在本发明的保护范围之内。
Claims (5)
1.一种Xen虚拟化环境下虚拟机网络数据的监控方法,其特征在于,包括:
S1:在宿主机上,用Open vSwitch搭建网络架构,创建网桥;
S2:建立虚拟机,并将所述虚拟机加入所述网桥;
S3:将真实的网络接口对应所述虚拟机的虚拟接口,保持真实的网络接口与所述虚拟机的虚拟接口对应一致;
S4:将所述虚拟机的虚拟接口与所述网桥桥接,同时为各个虚拟机创建虚拟端口;使网络数据都经过相应的所述虚拟机的虚拟端口进行网络数据的通信;
S5:用所述Open vSwitch创建一个额外的网络监控数据端口,通过所述网络监控数据端口来监控所述网络数据。
2.根据权利要求1所述的Xen虚拟化环境下虚拟机网络数据的监控方法,其特征在于,所述步骤3中,保持真实的网络接口与所述虚拟机的虚拟接口对应一致的方法是:在所述宿主机内,截取每个到达虚拟机虚拟端口的数据包头部的前128KB个字节,分析所述数据包头部,解析所述数据包头部的协议,根据解析后所述数据包,确定虚拟机对应的网桥端口。
3.根据权利要求1所述的Xen虚拟化环境下虚拟机网络数据的监控方法,其特征在于,所述步骤3中,保持真实的网络接口与所述虚拟机的虚拟接口对应一致的方法是:在虚拟机的虚拟端口被创建后,发送数据包时,数据包从虚拟机内部到达虚拟端口,判断数据包是否是第一个数据包;若数据包是第一个数据包,正常发送所述数据包;若数据包不是第一个数据包,构建新数据包,新数据包的目的地址为所述宿主机,所述宿主机接受新数据包,保持真实的网络接口与虚拟机的虚拟接口对应一致。
4.根据权利要求1~3之一所述的Xen虚拟化环境下虚拟机网络数据的监控方法,其特征在于,所述新数据包包含虚拟机的唯一标识、以及所述虚拟端口的标识。
5.根据权利要求1~3之一所述的Xen虚拟化环境下虚拟机网络数据的监控方法,其特征在于,所述步骤5中,将所述网络监控数据端口添加到所述OpenvSwitch中,做所述网络监控数据端口的镜像,通过所述网络监控数据端口实现虚拟机网络数据的监控。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310616790.1A CN104683165B (zh) | 2013-11-27 | 2013-11-27 | 一种Xen虚拟化环境下虚拟机网络数据的监控方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310616790.1A CN104683165B (zh) | 2013-11-27 | 2013-11-27 | 一种Xen虚拟化环境下虚拟机网络数据的监控方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104683165A true CN104683165A (zh) | 2015-06-03 |
| CN104683165B CN104683165B (zh) | 2018-06-22 |
Family
ID=53317792
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310616790.1A Active CN104683165B (zh) | 2013-11-27 | 2013-11-27 | 一种Xen虚拟化环境下虚拟机网络数据的监控方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104683165B (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106685741A (zh) * | 2017-02-28 | 2017-05-17 | 江苏省未来网络创新研究院 | 一种云主机网络接口的动态管理方法 |
| CN108632378A (zh) * | 2018-05-11 | 2018-10-09 | 国云科技股份有限公司 | 一种面向云平台业务的监控方法 |
| CN109428782A (zh) * | 2017-08-30 | 2019-03-05 | 杭州华为数字技术有限公司 | 网络监控的方法和设备 |
| CN110740095A (zh) * | 2018-07-19 | 2020-01-31 | 瑞昱半导体股份有限公司 | 多媒体串流及路由装置及其运作方法 |
| CN111970334A (zh) * | 2020-07-30 | 2020-11-20 | 杭州超级科技有限公司 | 基于tcp的数据传输方法、装置、电子设备及介质 |
| CN111988282A (zh) * | 2020-07-30 | 2020-11-24 | 杭州超级科技有限公司 | 基于tcp的数据传输***、方法、电子设备及介质 |
| CN112491896A (zh) * | 2020-11-30 | 2021-03-12 | 超越科技股份有限公司 | 一种基于虚拟化网络的可信接入认证*** |
| CN113765826A (zh) * | 2020-06-01 | 2021-12-07 | 中移(苏州)软件技术有限公司 | 一种网络监控方法、平台、装置和计算机可读存储介质 |
| CN115150327A (zh) * | 2022-06-29 | 2022-10-04 | 济南浪潮数据技术有限公司 | 一种接口设置方法、装置、设备及介质 |
| CN115967688A (zh) * | 2021-11-04 | 2023-04-14 | 贵州电网有限责任公司 | 一种基于OpenSwitch的流量采集性能优化方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101465770A (zh) * | 2009-01-06 | 2009-06-24 | 北京航空航天大学 | 入侵检测***部署方法 |
| CN102136931A (zh) * | 2010-09-20 | 2011-07-27 | 华为技术有限公司 | 虚端口网络策略配置方法、一种网络管理中心和相关设备 |
-
2013
- 2013-11-27 CN CN201310616790.1A patent/CN104683165B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101465770A (zh) * | 2009-01-06 | 2009-06-24 | 北京航空航天大学 | 入侵检测***部署方法 |
| CN102136931A (zh) * | 2010-09-20 | 2011-07-27 | 华为技术有限公司 | 虚端口网络策略配置方法、一种网络管理中心和相关设备 |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106685741B (zh) * | 2017-02-28 | 2020-10-30 | 江苏省未来网络创新研究院 | 一种云主机网络接口的动态管理方法 |
| CN106685741A (zh) * | 2017-02-28 | 2017-05-17 | 江苏省未来网络创新研究院 | 一种云主机网络接口的动态管理方法 |
| CN109428782B (zh) * | 2017-08-30 | 2021-05-18 | 华为技术有限公司 | 网络监控的方法和设备 |
| CN109428782A (zh) * | 2017-08-30 | 2019-03-05 | 杭州华为数字技术有限公司 | 网络监控的方法和设备 |
| CN108632378B (zh) * | 2018-05-11 | 2021-04-27 | 国云科技股份有限公司 | 一种面向云平台业务的监控方法 |
| CN108632378A (zh) * | 2018-05-11 | 2018-10-09 | 国云科技股份有限公司 | 一种面向云平台业务的监控方法 |
| CN110740095A (zh) * | 2018-07-19 | 2020-01-31 | 瑞昱半导体股份有限公司 | 多媒体串流及路由装置及其运作方法 |
| CN110740095B (zh) * | 2018-07-19 | 2022-07-12 | 瑞昱半导体股份有限公司 | 多媒体串流及路由装置及其运作方法 |
| CN113765826A (zh) * | 2020-06-01 | 2021-12-07 | 中移(苏州)软件技术有限公司 | 一种网络监控方法、平台、装置和计算机可读存储介质 |
| CN113765826B (zh) * | 2020-06-01 | 2024-05-28 | 中移(苏州)软件技术有限公司 | 一种网络监控方法、平台、装置和计算机可读存储介质 |
| CN111970334A (zh) * | 2020-07-30 | 2020-11-20 | 杭州超级科技有限公司 | 基于tcp的数据传输方法、装置、电子设备及介质 |
| CN111988282A (zh) * | 2020-07-30 | 2020-11-24 | 杭州超级科技有限公司 | 基于tcp的数据传输***、方法、电子设备及介质 |
| CN111988282B (zh) * | 2020-07-30 | 2021-09-07 | 杭州超级科技有限公司 | 基于tcp的数据传输***、方法、电子设备及介质 |
| CN112491896A (zh) * | 2020-11-30 | 2021-03-12 | 超越科技股份有限公司 | 一种基于虚拟化网络的可信接入认证*** |
| CN115967688A (zh) * | 2021-11-04 | 2023-04-14 | 贵州电网有限责任公司 | 一种基于OpenSwitch的流量采集性能优化方法 |
| CN115150327A (zh) * | 2022-06-29 | 2022-10-04 | 济南浪潮数据技术有限公司 | 一种接口设置方法、装置、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104683165B (zh) | 2018-06-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104683165A (zh) | 一种Xen虚拟化环境下虚拟机网络数据的监控方法 | |
| US11729059B2 (en) | Dynamic service device integration | |
| Fonseca et al. | A replication component for resilient OpenFlow-based networking | |
| US10341185B2 (en) | Dynamic service insertion | |
| Hu et al. | A survey on software-defined network and openflow: From concept to implementation | |
| US9940153B2 (en) | Method for generating configuration information, and network control unit | |
| WO2018228302A1 (zh) | 用于虚拟网络链路检测的方法及装置 | |
| CN103763310B (zh) | 基于虚拟网络的防火墙服务***及方法 | |
| CN103200123B (zh) | 一种交换机端口安全控制方法 | |
| US9860170B2 (en) | Method, device, and system for packet routing in a network | |
| US11153185B2 (en) | Network device snapshots | |
| Fonseca et al. | Resilience of sdns based on active and passive replication mechanisms | |
| US10205648B1 (en) | Network monitoring using traffic mirroring and encapsulated tunnel in virtualized information processing system | |
| Tran et al. | A network topology-aware selectively distributed firewall control in sdn | |
| Deri et al. | Wire-speed hardware-assisted traffic filtering with mainstream network adapters | |
| Ranjan et al. | A survey of past present and future of software defined networking | |
| US20140310377A1 (en) | Information processing method and information processing apparatus | |
| CN104168200A (zh) | 一种基于Open vSwitch实现ACL功能的方法及*** | |
| CN102984202B (zh) | 一种穿越NAT设备实现Telnet网管的***与方法 | |
| CN108833284B (zh) | 一种云平台和idc网络的通信方法及装置 | |
| CN112968879B (zh) | 一种实现防火墙管理的方法及设备 | |
| Meena et al. | Instant detection of host in SDN (IDH-SDN) | |
| US10931565B2 (en) | Multi-VRF and multi-service insertion on edge gateway virtual machines | |
| CN105515932B (zh) | 提高安全集群处理性能的方法及装置 | |
| RU126243U1 (ru) | Устройство изменения пути прохождения трафика для обработки |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| EXSB | Decision made by sipo to initiate substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |