平臺，或者是得到了廠家的底層安全API接口，如VMware的VMSafe接口，你可以利用接口插入自己的安全代碼，對虛擬機上的流量進行安全檢查與控制。

這種方式直接在虛擬化平臺的底層hypervisor上控制用戶數(shù)據(jù)流，有些象我們所理解的操作系統(tǒng)分為內核態(tài)與用戶態(tài)，黑客要突破hypervisor到內核層是比較困難的，想繞過這種安全監(jiān)控也是十分困難的。

第二種情況是得不到虛擬化平臺的底層接口，或者是希望通過第三方的安全控制措施，用戶才放心(虛擬化平臺自己管理、自己控制的安全，總讓人有些疑惑)。這種方式是目前安全廠家流行的流量牽引的安全控制措施。

實現(xiàn)的思路是利用SDN技術中的流量牽引控制協(xié)議openflow，引導用戶業(yè)務流量按照規(guī)定的安全策略流向，結合安全產品的虛擬化技術，建立防火墻、入侵檢測、用戶行為審計、病毒過濾等資源池，在用戶申請?zhí)摂M機資源時，隨著計算資源、存儲資源一起下發(fā)給用戶，保證用戶業(yè)務的安全。

實現(xiàn)的步驟大致如下：

1.對安全資源虛擬池化：先對安全設備進行“多到一”的虛擬化，形成一個虛擬的、邏輯的、高處理能力的安全設備，如虛擬防火墻、虛擬入侵檢測等;再對虛擬的安全設備進行“一到多”的虛擬，生成用戶定制的、處理能力匹配的虛擬安全設備;

2.部署流量控制服務器：為流量控制管理的中心，接受并部署用戶流量的安全策略，當用戶業(yè)務虛擬機遷移時，負責流量牽引策略的遷移落地;該服務器可以是雙機熱備，提高系統(tǒng)安全性，也可以采用虛擬機模式。同時，在虛擬計算資源池內安裝流量控制引擎：具體方法是在每個物理服務器內開一個虛擬機運行流量控制引擎，負責引導該物理服務器上所有虛擬機，按照安全策略進行流量的牽引;

3.用戶業(yè)務流量的牽引分為兩種模式：

a)鏡像模式：針對入侵檢測、行為審計等旁路接入的安全設備，需要把用戶流量復制出來即可，不影響原先的用戶業(yè)務流量;

b)控制模式：針對防火墻等安全網關類安全設備，需要把用戶的流量先引導到安全設備虛擬化池中，“清洗”流量以后，再把流量引導到正常的業(yè)務處理虛擬機;

4.因為需要改變用戶流量的流向，需要對目的MAC、目的IP進行修改。具體的方案很多，這里我們采用的是MAC in MAC技術，對數(shù)據(jù)包二次封裝，經過安全設備處理以后的“安全流量”恢復到“正常”狀態(tài);在云朵中的物理交換機與虛擬交換機支持SDN模式時，也可以采用openflow協(xié)議進行導引時的封裝;

5.當用戶業(yè)務服務的虛擬機在不同的物理服務中遷移時，該用戶業(yè)務的安全策略也隨著遷移到目的物理服務內的流量控制虛擬機，繼續(xù)執(zhí)行對該用戶的業(yè)務流量進行引導。