平臺，或者是得到了廠家的底層安全API接口，如VMware的VMSafe接口，你可以利用接口插入自己的安全代碼，對虛擬機(jī)上的流量進(jìn)行安全檢查與控制。

這種方式直接在虛擬化平臺的底層hypervisor上控制用戶數(shù)據(jù)流，有些象我們所理解的操作系統(tǒng)分為內(nèi)核態(tài)與用戶態(tài)，黑客要突破hypervisor到內(nèi)核層是比較困難的，想繞過這種安全監(jiān)控也是十分困難的。

第二種情況是得不到虛擬化平臺的底層接口，或者是希望通過第三方的安全控制措施，用戶才放心(虛擬化平臺自己管理、自己控制的安全，總讓人有些疑惑)。這種方式是目前安全廠家流行的流量牽引的安全控制措施。

實(shí)現(xiàn)的思路是利用SDN技術(shù)中的流量牽引控制協(xié)議openflow，引導(dǎo)用戶業(yè)務(wù)流量按照規(guī)定的安全策略流向，結(jié)合安全產(chǎn)品的虛擬化技術(shù)，建立防火墻、入侵檢測、用戶行為審計、病毒過濾等資源池，在用戶申請?zhí)摂M機(jī)資源時，隨著計算資源、存儲資源一起下發(fā)給用戶，保證用戶業(yè)務(wù)的安全。

實(shí)現(xiàn)的步驟大致如下：

1.對安全資源虛擬池化：先對安全設(shè)備進(jìn)行“多到一”的虛擬化，形成一個虛擬的、邏輯的、高處理能力的安全設(shè)備，如虛擬防火墻、虛擬入侵檢測等;再對虛擬的安全設(shè)備進(jìn)行“一到多”的虛擬，生成用戶定制的、處理能力匹配的虛擬安全設(shè)備;

2.部署流量控制服務(wù)器：為流量控制管理的中心，接受并部署用戶流量的安全策略，當(dāng)用戶業(yè)務(wù)虛擬機(jī)遷移時，負(fù)責(zé)流量牽引策略的遷移落地;該服務(wù)器可以是雙機(jī)熱備，提高系統(tǒng)安全性，也可以采用虛擬機(jī)模式。同時，在虛擬計算資源池內(nèi)安裝流量控制引擎：具體方法是在每個物理服務(wù)器內(nèi)開一個虛擬機(jī)運(yùn)行流量控制引擎，負(fù)責(zé)引導(dǎo)該物理服務(wù)器上所有虛擬機(jī)，按照安全策略進(jìn)行流量的牽引;

3.用戶業(yè)務(wù)流量的牽引分為兩種模式：

a)鏡像模式：針對入侵檢測、行為審計等旁路接入的安全設(shè)備，需要把用戶流量復(fù)制出來即可，不影響原先的用戶業(yè)務(wù)流量;

b)控制模式：針對防火墻等安全網(wǎng)關(guān)類安全設(shè)備，需要把用戶的流量先引導(dǎo)到安全設(shè)備虛擬化池中，“清洗”流量以后，再把流量引導(dǎo)到正常的業(yè)務(wù)處理虛擬機(jī);

4.因為需要改變用戶流量的流向，需要對目的MAC、目的IP進(jìn)行修改。具體的方案很多，這里我們采用的是MAC in MAC技術(shù)，對數(shù)據(jù)包二次封裝，經(jīng)過安全設(shè)備處理以后的“安全流量”恢復(fù)到“正常”狀態(tài);在云朵中的物理交換機(jī)與虛擬交換機(jī)支持SDN模式時，也可以采用openflow協(xié)議進(jìn)行導(dǎo)引時的封裝;

5.當(dāng)用戶業(yè)務(wù)服務(wù)的虛擬機(jī)在不同的物理服務(wù)中遷移時，該用戶業(yè)務(wù)的安全策略也隨著遷移到目的物理服務(wù)內(nèi)的流量控制虛擬機(jī)，繼續(xù)執(zhí)行對該用戶的業(yè)務(wù)流量進(jìn)行引導(dǎo)。