(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211058528.5 (22)申请日 2022.08.31 (71)申请人 中电云数智科技有限公司 地址 430100 湖北省武汉市经济技 术开发 区人工智能科技园N栋研发楼3层 N3013号 (72)发明人 王世钰　李磊　包亚飞　 (74)专利代理 机构 工业和信息化部电子专利中 心 11010 专利代理师 袁鸿 (51)Int.Cl. G06F 21/60(2013.01) G06F 9/455(2006.01) G06F 9/50(2006.01) H04L 67/56(2022.01)H04L 67/2866(2022.01) H04L 67/02(2022.01) (54)发明名称 虚拟化场景下虚拟机热迁移的数据加密方 法及设备 (57)摘要 本申请公开了一种虚拟化场景下虚拟机热 迁移的数据加密方法及设备 ， 包括 ： 基于 Kubernetes云原生架构， 为一个节点Node配置多 个应用实例Pod， 并将虚拟机运行于Pod中； 为任 一节点配置一个代理应用实例AgentPod， 以基于 所述AgentPod管理所述任一节点的Pod和虚拟 机； 在虚拟机执行热迁移的情况下， 在源端节点 的AgentPod和目标端节点的AgentPod分别临时 启动一个Proxy代理， 以使得源端节点的Proxy代 理与目标端节点的Proxy代理之间通过预设通信 方式进行交互， 并在数据传输过程中实现加密。 本申请的方法在kubernetes的场景下， 虚拟机运 行在Pod中， 虚拟机热迁移通过代理实现数据的 传输， 从而通过代理来实现虚拟机的热迁移， 支 持自定义数据传输， 支持多种灵活的加密方式。 权利要求书1页 说明书5页 附图1页 CN 115525912 A 2022.12.27 CN 115525912 A 1.一种虚拟化场景 下虚拟机热迁移的数据加密方法， 其特 征在于， 包括： 基于Kubernetes云原生架构， 为一个节点Node配置多个应用实例Pod， 并将虚拟机运行 于Pod中； 为任一节点配置一个代理应用实例Agent  Pod， 以基于所述Agent  Pod管理所述任一节 点的Pod和虚拟机； 在虚拟机执行热迁移的情况下， 在源端节点的Agent  Pod和目标端节点的Agent  Pod分 别临时启动一个Proxy代理， 以使得源端节点的Proxy代理与目标端节点的Proxy代理之间 通过预设通信方式进行交 互， 并在数据传输过程中实现加密。 2.如权利要求1所述的虚拟化场景下虚拟机热迁移的数据加密方法， 其特征在于， 基于 所述Agentpod管理所述任一节点的Pod和虚拟机包括管理所述任一节点的Pod和虚拟机的 如下操作中的一种或多种： Pod的创建操作、 销毁操作、 变配操作以及VM的创建操作、 开机操作、 关机操作、 销毁操 作。 3.如权利要求1所述的虚拟化场景下虚拟机热迁移的数据加密方法， 其特征在于， 所述 预设通信方式包括Un ix Socket通信方式。 4.如权利要求3所述的虚拟化场景下虚拟机热迁移的数据加密方法， 其特征在于， 所述 源端节点的Proxy代理与目标端节点的Proxy代理之间通过自定义数据传输方式进行数据 传输， 其中所述自定义数据传输方式包括TCP、 HT TP2、 HTTPS、 SPDY或RPC。 5.一种计算机设备， 其特 征在于， 包括处 理器， 被配置为： 基于Kubernetes云原生架构， 为一个节点Node配置多个应用实例Pod， 并将虚拟机运行 于Pod中； 为任一节点配置一个代理应用实例Agent  Pod， 以基于所述Agent  Pod管理所述任一节 点的Pod和虚拟机； 在虚拟机执行热迁移的情况下， 在源端节点的Agent  Pod和目标端节点的Agent  Pod分 别临时启动一个Proxy代理， 以使得源端节点的Proxy代理与目标端节点的Proxy代理之间 通过预设通信方式进行交 互， 并在数据传输过程中实现加密。 6.如权利要求5所述的计算机设备， 其特征在于， 所述处理器被配置为包括管理所述任 一节点的Pod和虚拟机的如下操作中的一种或多种： Pod的创建操作、 销毁操作、 变配操作以及VM的创建操作、 开机操作、 关机操作、 销毁操 作。 7.如权利要求5所述的计算机设备， 其特征在于， 所述预设通信方式包括Unix  Socket 通信方式。 8.如权利要求7所述的计算机设备， 其特征在于， 所述源端节点的Proxy代理与目标端 节点的Proxy代理之间通过自定义数据传输方式进行数据传输， 其中所述自定义数据传输 方式包括TCP、 HT TP2、 HTTPS、 SPDY或RPC。权　利　要　求　书 1/1 页 2 CN 115525912 A 2虚拟化场景下虚拟机热迁移的数据加密方 法及设备 技术领域 [0001]本申请涉及计算机技术领域， 尤其涉及一种虚拟化场景下虚拟机热迁移的数据加 密方法及设备。 背景技术 [0002]虚拟机(Virtual  Machine)指通过软件模拟的具有完整硬件系统功能的、 运行在 一个完全隔离环境中的完整计算机系统。 在实体计算机中能够完成的工作在虚拟机中都能 够实现。 在计算机中创建虚拟机时， 需要将实体机的部分硬盘和内存容量作为虚拟机的硬 盘和内存容量。 每个虚拟 机都有独立的CM OS、 硬盘和操作系统， 可以像使用实体机一样对虚 拟机进行操作。 [0003]基于openstack搭建的虚拟化平台上， 虚拟机热迁移加密有两种方式： [0004]方式一、 利用l ibvirt加密 [0005]首先创建根证书、 服 务端证书、 客户端证书。 [0006]将根证书、 服 务端证书和客户端证书拷贝到每 个计算节点的固定目录下。 [0007]修改/etc /libvirt/libvirtd.conf的配置， 配置l isten_tls＝1。 [0008]修改/etc/nova/nova.conf的配置， 在libvirt的配置下live_migration_ tunnelled＝true。 [0009]重启nova服务和libvirtd。 [0010]方式二、 利用qemu加密 [0011]首先创建根证书、 服 务端证书、 客户端证书。 [0012]将根证书、 服 务端证书和客户端证书拷贝到每 个计算节点的固定目录下。 [0013]修改/etc/libvirt/qemu.conf配置， migrate_tls_x509_cert_dir＝"/var/lib / nova/qemu"， migrate_tls_x5 09_verify＝1。 [0014]修改/etc/nova/nova.conf的配置， #live_migration_tunnelled＝true//注释或 者删除掉用l ibvirt加密， live_migrati on_with_native_tls＝t rue。 [0015]重启nova服务。 [0016]现有的两种方式的缺 点： [0017]1、 支持的加密方式少， 依赖libvirt模块和qemu模块支持的种类， 而他们仅能支持 TCP/TLS加密。 [0018]2、 不能精细化控制， 无法设置具体的虚机热迁移时是加密 传输还是非加密 传输。 [0019]3、 对开源代码l ibvirt、 qemu依赖， 扩展性 不好， 例如无法支持国密。 发明内容 [0020]本申请实施例提供一种虚拟化场景下虚拟机热迁移的数据加密方法及设备， 用以 实现在kubernetes的场景 下， 虚拟机热迁移通过代理实现数据的传输 。 [0021]本申请实施例提供一种虚拟化场景 下虚拟机热迁移的数据加密方法， 包括：说　明　书 1/5 页 3 CN 115525912 A 3