(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210945171.6 (22)申请日 2022.08.08 (71)申请人 东软集团股份有限公司 地址 110179 辽宁省沈阳市 浑南新区新秀 街2号 (72)发明人 郑菲　孙尧　王维敏　 (74)专利代理 机构 北京英创嘉友知识产权代理 事务所(普通 合伙) 11447 专利代理师 王修雨 (51)Int.Cl. H04L 9/40(2022.01) H04L 12/46(2006.01) H04L 41/40(2022.01) (54)发明名称 虚拟机安全通信方法及计算节点 (57)摘要 本公开涉及网络安全技术领域， 具体涉及一 种虚拟机安全通信方法及计算节点， 该方法包 括： 确定第一虚拟交换机 上的目标Vlan下的目标 虚拟机； 在第三虚拟交换机上创建引流Vlan， 断 开目标虚拟机与目标Vlan的连接， 并将目标虚拟 机连接到该引流Vlan； 在虚拟防火墙中， 将该引 流Vlan与目标Vlan 分别作为子Vlan， 关联到同一 SuperVlan中； 目标虚拟机通过第三虚拟交换机 和虚拟防火墙， 与SuperVlan中关联的各子Vlan 下的虚拟 机进行通信。 本公开能够实现云计算场 景下虚拟机之间东西向流 量的防护。 权利要求书3页 说明书10页 附图5页 CN 115396160 A 2022.11.25 CN 115396160 A 1.一种虚拟机安全通信方法， 其特征在于， 应用于OpenStack计算节点， 所述Op enStack 计算节点包括第一虚拟交换机、 第二虚拟交换机、 第三虚拟交换机和虚拟防火墙， 所述第一 虚拟交换机与所述第二虚拟交换机连接， 所述第二虚拟交换机用于连接外部网络， 所述第 一虚拟交换机与所述虚拟防火墙连接， 所述虚拟防火墙与所述第三虚拟交换机连接， 在所 述第一虚拟交换机上创建有至少一个Vlan； 所述方法包括： 确定所述第一虚拟交换机上的目标Vlan下的目标虚拟机； 在所述第三虚拟交换机上创建引流Vlan， 断开所述目标虚拟机与所述目标Vlan的连 接， 并将所述目标虚拟机连接 到所述引流Vlan； 在所述虚拟防火墙中， 将所述引流Vlan与所述目标Vlan分别作为子Vlan， 关联到同一 SuperVlan中； 所述目标虚拟机通过所述第三虚拟交换机和所述虚拟防火墙， 与所述SuperVlan中关 联的各子Vlan下的虚拟机进行通信。 2.根据权利要求1所述的方法， 其特征在于， 所述目标虚拟机通过所述第 三虚拟交换机 和所述虚拟防火墙， 与所述Super Vlan中关联的各子Vlan下的虚拟机进行通信， 包括： 所述目标虚拟机生成第一数据并在所述引流Vlan中广播所述第一数据； 所述第三虚拟交换机针对所述第一数据添加所述引流Vlan的标记， 得到第一标记数 据， 并将所述第一标记数据转发到所述虚拟防火墙； 所述虚拟防火墙接收所述第 一标记数据， 将所述第 一标记数据中的标记分别转换为所 述SuperVlan中关联的其他各子Vlan的标记， 得到不同的第一转换数据， 并在对应子Vlan中 广播对应的第一 转换数据； 所述第一虚拟交换机接收广播的第一转换数据， 根据所述第一转换数据中的标记， 在 去除该标记后将原始的第一数据转发给所述第一虚拟交换机上对应于该标记的子Vlan下 的虚拟机； 所述第三虚拟交换机接收广播的第一转换数据， 根据所述第一转换数据中的标记， 在 去除该标记后将原始的第一数据转发给所述第三虚拟交换机上对应于该标记的子Vlan下 的虚拟机 。 3.根据权利要求1所述的方法， 其特征在于， 所述目标虚拟机通过所述第 三虚拟交换机 和所述虚拟防火墙， 与所述Super Vlan中关联的各子Vlan下的虚拟机进行通信， 包括： 所述目标Vlan下的一虚拟机生成第二数据并在所述目标Vlan中广播所述第二数据； 所述第一虚拟交换机针对所述第二数据添加所述目标Vlan的标记， 得到第二标记数 据， 并将所述第二标记数据转发到所述虚拟防火墙； 所述虚拟防火墙接收所述第 二标记数据， 将所述第 二标记数据中的标记分别转换为所 述SuperVlan中关联的其他各子Vlan的标记， 得到不同的第二转换数据， 并在对应子Vlan中 广播对应的第二 转换数据； 所述第三虚拟交换机接收广播的第二转换数据， 根据所述第二转换数据中的标记， 在 去除该标记后将原始的第二数据转发给所述第三虚拟交换机上对应于该标记的子Vlan下 的虚拟机， 使得 所述目标虚拟机获得 所述第二数据。 4.根据权利要求1所述的方法， 其特征在于， 所述在所述虚拟防火墙中， 将所述引流 Vlan与所述目标Vlan分别作为子Vlan， 关联到同一Super Vlan中， 包括：权　利　要　求　书 1/3 页 2 CN 115396160 A 2确定在所述虚拟防火墙中是否存在所述目标Vlan关联的Super Vlan； 若不存在所述目标Vlan关联的SuperVlan， 则创建一个新的SuperVlan， 并将所述引流 Vlan与所述目标Vlan分别作为子Vlan， 关联到所述 新的Super Vlan中。 5.根据权利要求 4所述的方法， 其特 征在于， 所述方法还 包括： 若存在所述目标Vlan关联的SuperVlan， 则将所述引流Vlan作为子Vlan， 关联到所述目 标Vlan关联的Super Vlan中。 6.根据权利要求1 ‑5任一项所述的方法， 其特 征在于， 所述方法还 包括： 响应于针对所述引流Vlan下的所述目标虚拟机的防护解除命令， 断开所述目标虚拟机 与所述引流V lan的连接， 并将所述目标虚拟机重新连接到所述第一虚拟交换机上的所述目 标Vlan； 清除所述引流Vlan， 并将所述引流Vlan从关联的Super Vlan中清除。 7.根据权利要求1 ‑5任一项所述的方法， 其特征在于， 在所述第三虚拟交换机上创建的 每个引流Vlan下只连接一个虚拟机 。 8.一种Op enStack计算节点， 其特征在于， 包括第一虚拟交换机、 第二虚拟交换机、 第三 虚拟交换机和虚拟防火墙， 所述第一虚拟交换机与所述第二虚拟交换机连接， 所述第二虚 拟交换机用于连接外部网络， 所述第一虚拟交换机与所述虚拟防火墙连接， 所述虚拟防火 墙与所述第三虚拟交换机连接， 在所述第一虚拟交换机上创建有至少一个Vlan； 还 包括： 虚拟机确定模块， 用于确定所述第一虚拟交换机上的目标Vlan下的目标虚拟机； 虚拟机引流模块， 用于在所述第三虚拟交换机上创建引流Vlan， 断开所述目标虚拟机 与所述目标Vlan的连接， 并将所述目标虚拟机连接 到所述引流Vlan； Vlan聚合模块， 用于在所述虚拟防火墙中， 将所述引流Vlan与所述目标Vlan分别作为 子Vlan， 关联到同一Super Vlan中； 其中， 所述目标虚拟机用于， 通过所述第三虚拟交换机和所述虚拟防火墙， 与所述 SuperVlan中关联的各子Vlan下的虚拟机进行通信。 9.根据权利要求8所述的OpenStack计算节点， 其特 征在于， 所述目标虚拟机用于， 生成第一数据并在所述引流Vlan中广播所述第一数据； 所述第三虚拟交换机用于， 针对所述第一数据添加所述引流Vlan的标记， 得到第一标 记数据， 并将所述第一标记数据转发到所述虚拟防火墙； 所述虚拟防火墙用于， 接收所述第一标记数据， 将所述第一标记数据中的标记分别转 换为所述SuperVlan中关联的其他各子Vlan的标记， 得到不同的第一转换数据， 并在对应子 Vlan中广播对应的第一 转换数据； 所述第一虚拟交换机用于， 接收广播的第一转换数据， 根据所述第一转换数据中的标 记， 在去除该标记后将原始的第一数据转发给所述第一虚拟交换机上对应于该标记的子 Vlan下的虚拟机； 所述第三虚拟交换机用于， 接收广播的第一转换数据， 根据所述第一转换数据中的标 记， 在去除该标记后将原始的第一数据转发给所述第三虚拟交换机上对应于该标记的子 Vlan下的虚拟机 。 10.根据权利要求8所述的OpenStack计算节点， 其特 征在于， 所述目标Vlan下的虚拟机用于， 生成第二数据并在所述目标Vlan中广播所述第二数权　利　要　求　书 2/3 页 3 CN 115396160 A 3