文/王宏财

目前，服务虚拟化技术已经广泛应用于各级数据中心，通过该技术可以在单台物理服务器上，虚拟化出多个相互独立的VM虚拟机，这些VM虚拟机可以被当作一台独立的物理服务器，其有自己的IP地址和MAC地址，有自己的操作系统和各种应用程序。出于对数据中心的安全运营、维护和管理的需要，有时需要对VM虚拟机进行迁移。一旦VM虚拟机迁移，该VM虚拟机对应的VLAN ID和QOS等网络层信息可以通过后端的管理平台自动跟随VM虚拟机迁移到新的位置，但是对于在外置防火墙上部署的针对该迁移VM虚拟机的策略，只能手动进行配置调整，不能实现自动化的迁移。

本专利发明要解决的问题是：在KVM虚拟化环境下，一旦VM虚拟机迁移之后，对应该VM虚拟机的全部安全策略，亦能及时感知该迁移动作并自动将这些安全策略迁移到新的防火墙上，以保证迁移后的VM的网络安全配置环境和迁移前的一致。

假设同一个云计算服务商在多个不同地点建设有2个数据中心（如图1所示），每个数据中心的服务器采取基于KVM的虚拟化软件进行大量虚拟机创建，这些VM虚拟机通过接入层交换机和汇聚交换机连接到防火墙，针对这些VM虚拟机的访问控制策略需要在外置防火墙上部署，以保证由外到内的流量交付和访问可以受控进行。

http://www.h3c.com.cn/res/201204/18/20120418_1338730_image001_741993_30008_0.jpg图1 本专利典型组网

在需要对VM虚拟机的业务进行迁移时，通过配置VM虚拟机的迁移策略，将VM虚拟机从DC1的某个服务器，备份到DC2的另外的物理服务器并创建该VM虚拟机。此时，针对上层部署的防火墙产品，为了能自动感知VM虚拟机的迁移动作并自动将这些安全策略迁移到新的防火墙上，本发明通过如下方案来实现：

1．通过KVM Manager管理平台实现对全部VM虚拟机的创建、配置和运维管理。在此过程中管理员可以为每个VM进行CPU等资源进行配置，对VM虚拟机所属接入端口的各种网络属性进行设置和管理，如VLAN ID和QOS策略等Profile规则；

2．当VM虚拟机在达到预配置迁移条件之后，开始自动迁移到新的服务器位置；

3．KVM manager管理平台及时获取到该VM迁移后的新位置和相关参数，并同时通过特定的消息机制，将这些参数发送到防火墙管理平台，告知防火墙管理平台此次VM迁移事件；

4．防火墙管理平台在获取该消息后及时感知此次VM虚拟机迁移过程，同时提取该特定消息中的有效信息，并通过内部维护的网络拓扑关系等技术定位到新的防火墙；

5．对于VM迁移之前所对应的防火墙产品，防火墙管理平台将对其的安全策略进行重新标记，以体现出VM已经迁移出该防火墙，相关安全策略将不再处于激活状态；

6．基于VM迁移后所对应的新的防火墙，防火墙管理平台将VM虚拟机所绑定或对应的安全策略组进行配置下发，以保证VM仍然可以得到和迁移前相同的访问控制权限。

至此，实现了防火墙对应的安全策略自动跟随VM虚拟机的迁移，详细的流程如图2所示。

http://www.h3c.com.cn/res/201204/18/20120418_1338731_image002_741993_30008_0.jpg图2：安全策略迁移流程示意图

专利点评：

由于虚拟化已经成为数据中心建设的支撑技术，基于虚拟化环境下的VM迁移正在成为现实。在这种模型下，安全策略的动态迁移将提升数据中心的自动化安全管理水平，将极大地降低和简化数据中心的安全运营、维护和管理成本。