虚拟实例的流量镜像方法、装置、虚拟机平台及存储介质 -pg电子娱乐平台

(19)国家知识产权局(12)发明专利(10)授权公告号(45)授权公告日(21)申请号202310050246.9(22)申请日2023.02.01(65)同一申请的已公布的文献号申请公布号cn115865802(43)申请公布日2023.03.28(73)专利权人天翼云科技有限公司地址100093北京市海淀区西山赢府商务中心e座4层(72)发明人郭云铃　胡西宁　廖上榜　董侠飞　(74)专利代理机构北京润泽恒知识产权代理有限公司11319专利代理师(51)int.cl.h04l45/745(2022.01)h04l45/76(2022.01)h04l45/586(2022.01)h04l67/1095(2022.01)(56)对比文件us2020403826a1,2020.12.24审查员黄欣欣(54)发明名称虚拟实例的流量镜像方法、装置、虚拟机平台及存储介质(57)摘要本发明实施例提供了虚拟实例的流量镜像方法、装置、虚拟机平台及存储介质，涉及通信技术领域，所述方法包括：获取虚拟实例的待镜像流量；在虚拟实例的计算节点对虚拟实例的入流量和出流量进行镜像，得到镜像流量；获取所构建的针对镜像流量的流量流表，根据镜像流量和流量流表生成镜像流量报文；向目的终端发送镜像流量报文，以便目的终端根据镜像流量报文区分端口的入出镜像流量。通过在计算节点实现对待镜像流量的镜像以及镜像流量报文的生成，将虚拟实例镜像流量的相关信息设计到报文中，以报文携带方式从计算节点发送出去，在占用数据中心最少的情况下实现对虚拟实例的流量的镜像以及镜像发送，实现在终端节点对镜像流量进行的区分。权利要求书4页说明书15页附图4页cn1158658021.一种虚拟实例的流量镜像方法，其特征在于，应用于虚拟机平台，涉及公有云或私有云平台，所述公有云或私有云平台包含所述虚拟实例的计算节点，所述方法包括：获取所述虚拟实例的待镜像流量，所述虚拟实例的待镜像流量包括入流量和/或出流量；其中，所述虚拟实例作为配置镜像源的虚拟实例；在所述虚拟实例的计算节点对所述虚拟实例的入流量和出流量进行镜像，得到镜像流获取所构建的针对所述镜像流量的流量流表，根据所述镜像流量和所述流量流表生成镜像流量报文；所述流量流表基于流量镜像信息构建得到，其中，所述流量镜像信息至少包括流量方向信息以及流量过滤策略信息，所述流量过滤策略信息用于对流量进行选择性过滤；其中，在所述流量流表中出流量的镜像点在限速流表之后以及安全组流表之前，入流量的镜像点在安全组流表和限速流表之后，所述流量方向信息按照流表方式在正常编排的流量流表中添加，所述流量方向信息携带在镜像流量报文内存的源端的物理地址中；向目的终端发送所述镜像流量报文，以便所述目的终端根据所述镜像流量报文区分端口的入出镜像流量；所述流量流表还用于和路由转发表对镜像流量报文进行报文处理，所述路由转发表基于匹配域的路由转发信息以及基于动作域的路由转发信息得到，其中，所述匹配域的路由转发信息包括用于标识虚拟实例的用户标识vni，所述vni携带到所述镜像流量报文中发送给所述目的终端。2.根据权利要求1所述的方法，其特征在于，所述获取所构建的针对所述镜像流量的流量流表，还包括：获取所配置的流量镜像信息，采用所述流量镜像信息构建针对所述镜像流量的流量流表；其中，所述流量镜像信息至少还包括流量镜像实例信息、终端节点信息以及用户自定义标签信息。3.根据权利要求2所述的方法，其特征在于，所述镜像流量包括针对入流量的入镜像流量和针对出流量的出镜像流量；所述采用所述流量镜像信息构建针对所述镜像流量的流量流表，包括：采用所述流量镜像实例信息、流量方向信息、终端节点信息、流量过滤策略信息以及用户自定义标签信息，分别构建入镜像流量的入流量流表，以及出镜像流量的出流量流表。4.根据权利要求1所述的方法，其特征在于，所述虚拟实例位于虚拟私有云，所述虚拟私有云在镜像网关具有所创建的相应的流量镜像网关实例，用于承载不同流量镜像网关实例的镜像网关组包括多个镜像网关节点。5.根据权利要求4所述的方法，其特征在于，所述根据所述镜像流量和所述流量流表生成镜像流量报文，包括：在所述虚拟实例的计算节点构建得到镜像流量后，通过所述镜像网关组的镜像网关节点接收所述镜像流量和所述流量流表；采用所述镜像流量和所述流量流表生成镜像流量报文；还包括：通过所述镜像网关节点获取路由转发表，并根据所述路由转发表和所述流量流表对所述镜像流量报文进行报文处理，生成镜像流量包。6.根据权利要求5所述的方法，其特征在于，所述根据所述路由转发表和所述流量流表cn115865802对所述镜像流量报文进行报文处理，生成镜像流量包，包括：获取所述流量流表的流量镜像信息，以及获取所述路由转发表的路由转发信息；响应所述流量流表的流量镜像信息分别与所述路由转发信息匹配成功，采用所述路由转发信息对所述镜像流量报文进行封装，得到镜像流量包。7.根据权利要求1或4所述的方法，其特征在于，在所述根据所述镜像流量和所述流量流表生成镜像流量报文之前，还包括：接收所述目的终端发送的访问请求；其中，所述访问请求包括所要访问的虚拟实例，所述虚拟实例在镜像网关具有所创建的相应的流量镜像网关实例。8.根据权利要求7所述的方法，其特征在于，所述向目的终端发送所述镜像流量报文，包括：通过镜像网关获取路由转发表并获取所述路由转发表的目的网关地址；基于所述目的网关地址确定所述目的终端的目的终端节点，并向所述目的终端节点发送所述镜像流量报文。9.根据权利要求8所述的方法，其特征在于，所述向所述目的终端节点发送所述镜像流量报文，包括：获取所要访问的流量镜像网关实例当前所在的虚拟实例，向所对应的流量镜像网关实例转发所述路由转发表，以便所对应的流量镜像网关实例基于所述路由转发表将所述镜像流量报文转发至目的终端节点。10.一种虚拟实例的流量镜像方法，其特征在于，应用于目的终端，所述目的终端与虚拟机平台通信连接，涉及公有云或私有云平台，所述公有云或私有云平台包含所述虚拟实例的计算节点，其中，所述虚拟实例作为配置镜像源的虚拟实例；所述方法包括：接收所述虚拟实例的计算节点发送的镜像流量报文；所述镜像流量报文基于镜像流量和流量流表生成，其中，所述镜像流量基于对虚拟实例的入流量和出流量进行镜像得到，所述流量流表基于流量镜像信息构建得到，其中所述流量镜像信息至少包括流量方向信息以及流量过滤策略信息，所述流量过滤策略信息用于对流量进行选择性过滤；其中，在所述流量流表中出流量的镜像点在限速流表之后以及安全组流表之前，入流量的镜像点在安全组流表和限速流表之后，所述流量方向信息按照流表方式在正常编排的流量流表中添加，所述流量方向信息携带在镜像流量报文内存的源端的物理地址中；所述流量流表还用于和路由转发表对镜像流量报文进行报文处理，所述路由转发表基于匹配域的路由转发信息以及基于动作域的路由转发信息得到，其中，所述匹配域的路由转发信息包括用于标识虚拟实 例的用户标识vni，所述vni携带到所述镜像流量报文中发送给所述目的终端； 根据所述镜像流量报文区分端口的入出镜像流量。 11.根据权利要求10所述的方法，其特征在于，所述流量流表基于所配置的流量镜像信 息构建，所述流量镜像信息至少包括流量方向信息和/或流量镜像实例信息； 所述根据所述镜像流量报文区分端口的入出镜像流量，包括： 基于镜像流量包的流量方向信息区分所述镜像流量的入镜像流量和出镜像流量，对所 述入流量和出流量进行分析； 和/或，基于所述镜像流量包的流量镜像实例信息和所述流量方向区分与所述流量镜 像实例信息相应虚拟实例的入镜像流量和出镜像流量，对与所述流量镜像实例信息相应虚 cn115865802 拟实例的入流量和出流量进行分析；和/或，基于所述镜像流量包的流量镜像实例信息区分与不同流量镜像实例信息相应 虚拟实例的镜像流量，对不同虚拟实例的镜像流量进行分析。 12.一种虚拟实例的流量镜像装置，其特征在于，应用于虚拟机平台，涉及公有云或私 有云平台，所述公有云或私有云平台包含所述虚拟实例的计算节点，所述装置包括： 待镜像流量获取模块，用于获取所述虚拟实例的待镜像流量，所述虚拟实例的待镜像 流量包括入流量和/或出流量；其中，所述虚拟实例作为配置镜像源的虚拟实例； 流量镜像模块，用于在所述虚拟实例的计算节点对所述虚拟实例的入流量和出流量进 行镜像，得到镜像流量； 镜像流量报文生成模块，用于获取所构建的针对所述镜像流量的流量流表，根据所述 镜像流量和所述流量流表生成镜像流量报文；所述流量流表基于流量镜像信息构建得到， 其中，所述流量镜像信息至少包括流量方向信息以及流量过滤策略信息，所述流量过滤策 略信息用于对流量进行选择性过滤；其中，在所述流量流表中出流量的镜像点在限速流表 之后以及安全组流表之前，入流量的镜像点在安全组流表和限速流表之后，所述流量方向 信息按照流表方式在正常编排的流量流表中添加，所述流量方向信息携带在镜像流量报文 内存的源端的物理地址中； 镜像流量报文发送模块，用于向目的终端发送所述镜像流量报文，以便所述目的终端 根据所述镜像流量报文区分端口的入出镜像流量；所述流量流表还用于和路由转发表对镜 像流量报文进行报文处理，所述路由转发表基于匹配域的路由转发信息以及基于动作域的 路由转发信息得到，其中，所述匹配域的路由转发信息包括用于标识虚拟实例的用户标识 vni，所述vni携带到所述镜像流量报文中发送给所述目的终端。 13.一种虚拟实例的流量镜像装置，其特征在于，应用于目的终端，所述目的终端与虚 拟机平台通信连接，涉及公有云或私有云平台，所述公有云或私有云平台包含所述虚拟实 例的计算节点，其中，所述虚拟实例作为配置镜像源的虚拟实例；所述装置包括： 镜像流量报文接收模块，用于接收所述虚拟实例的计算节点发送的镜像流量报文；所 述镜像流量报文基于镜像流量和流量流表生成，其中，所述镜像流量基于对虚拟实例的入 流量和出流量进行镜像得到，所述流量流表基于流量镜像信息构建得到，其中所述流量镜 像信息至少包括流量方向信息以及流量过滤策略信息，所述流量过滤策略信息用于对流量 进行选择性过滤；其中，在所述流量流表中出流量的镜像点在限速流表之后以及安全组流 表之前，入流量的镜像点在安全组流表和限速流表之后，所述流量方向信息按照流表方式 在正常编排的流量流表中添加，所述流量方向信息携带在镜像流量报文内存的源端的物理 地址中；所述流量流表还用于和路由转发表对镜像流量报文进行报文处理，所述路由转发 表基于匹配域的路由转发信息以及基于动作域的路由转发信息得到，其中，所述匹配域的 路由转发信息包括用于标识虚拟实例的用户标识vni，所述vni携带到所述镜像流量报文中 发送给所述目的终端； 镜像流量区分模块，用于根据所述镜像流量报文区分端口的入出镜像流量。 14.一种虚拟机平台，其特征在于，包括：处理器、存储器及存储在所述存储器上并能够 在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现如权利要求 1至9或权利要求10至11中任一项所述虚拟实例的流量镜像方法。 cn115865802 15.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储计算机程序，所述计算机程序被处理器执行时实现如权利要求1至9或权利要求10至11中任一项所述 虚拟实例的流量镜像方法。 cn115865802 虚拟实例的流量镜像方法、装置、虚拟机平台及存储介质技术领域 [0001] 本发明涉及通信技术领域，特别是涉及一种虚拟实例的流量镜像方法、一种虚拟 实例的流量镜像装置、相应的一种虚拟机平台以及相应的一种计算机可读存储介质。 背景技术 [0002] 在公有云虚拟网络中，用户通常会有对云上虚拟实例（虚拟机或docker容器）的入 出流量进行镜像的需求，镜像流量后导入到用户指定的终端节点进行流量分析及审计。