第一种情况是开源的平台，或者是得到了厂家的底层安全API 接口，如VMware 的VMSafe 接口，你可以利用接口插入自己的安全代码，对虚拟机上的流量进行安全检查与控制。

 

　　这种方式直接在虚拟化平台的底层hypervisor上控制用户数据流，有些像我们所理解的操作系统分为内核态与用户态，黑客要突破hypervisor 到内核层是比较困难的，想绕过这种安全监控也是十分困难的。

 

　　第二种情况是得不到虚拟化平台的底层接口，或者是希望通过第三方的安全控制措施，用户才放心( 虚拟化平台自己管理、自己控制的安全，总让人有些疑惑)。这种方式是目前安全厂家流行的流量牵引的安全控制措施。

 

　　实现的思路是利用SDN 技术中的流量牵引控制协议openflow，引导用户业务流量按照规定的安全策略流向，结合安全产品的虚拟化技术，建立防火墙、入侵检测、用户行为审计、病毒过滤等资源池，在用户申请虚拟机资源时，随着计算资源、存储资源一起下发给用户，保证用户业务的安全。

 

　　实现的步骤大致如下：

 

　　对安全资源虚拟池化：先对安全设备进行“多到一”的虚拟化，形成一个虚拟的、逻辑的、高处理能力的安全设备，如虚拟防火墙、虚拟入侵检测等；再对虚拟的安全设备进行“一到多”的虚拟，生成用户定制的、处理能力匹配的虚拟安全设备；

 

　　部署流量控制服务器：它是流量控制管理的中心，接受并部署用户流量的安全策略，当用户业务虚拟机迁移时，负责流量牵引策略的迁移落地；该服务器可以是双机热备，提高系统安全性，也可以采用虚拟机模式。同时，在虚拟计算资源池内安装流量控制引擎：具体方法是在每个物理服务器内开一个虚拟机运行流量控制引擎，负责引导该物理服务器上所有虚拟机，按照安全策略进行流量的牵引；

 

　　用户业务流量的牵引分为两种模式：

 

　　a) 镜像模式：针对入侵检测、行为审计等旁路接入的安全设备，把用户流量复制出来即可，不影响原先的用户业务流量；

 

　　b) 控制模式：针对防火墙等安全网关类安全设备，需要把用户的流量先引导到安全设备虚拟化池中，“清洗”流量以后，再把流量引导到正常的业务处理虚拟机。

 

　　因为需要改变用户流量的流向，需要对目的MAC、目的IP 进行修改。具体的方案很多，这里我们采用的是MAC in MAC 技术，对数据包二次封装，经过安全设备处理以后的“安全流量”恢复到“正常”状态；在云朵中的物理交换机与虚拟交换机支持SDN 模式时，也可以采用openflow 协议进行导引时的封装；

 

　　l当用户业务服务的虚拟机在不同的物理服务中迁移时，该用户业务的安全策略也随着迁移到目的物理服务内的流量控制虚拟机，继续执行对该用户的业务流量进行引导。

 

　　小结

 

　　“云朵”方案通过把不同安全需求的业务系统部署在不同的云朵内，降低了对云内业务流隔离的需求，而在云朵内部，通过流量牵引与虚拟机加固等办法，实现网络层面的安全过滤，同时加强业务系统自身的安全管理，如用户权限管理、业务行为审计等，实现应用层面的访问控制，对敏感数据的存储与传输都建议采用加密方式。

 

　　“云朵”方案是个过渡性质的方案，等到云朵内的安全隔离与控制技术成熟，多个云朵就可以合成一个云了。