CN104007997A - 虚拟机安全组的配置方法及装置 - Google Patents
虚拟机安全组的配置方法及装置 Download PDFInfo
- Publication number
- CN104007997A CN104007997A CN201310057680.6A CN201310057680A CN104007997A CN 104007997 A CN104007997 A CN 104007997A CN 201310057680 A CN201310057680 A CN 201310057680A CN 104007997 A CN104007997 A CN 104007997A
- Authority
- CN
- China
- Prior art keywords
- secure group
- virtual machine
- secure
- group
- binding
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种虚拟机安全组的配置方法及装置。其中,该方法包括:当接收到对已经创建完成的虚拟机与安全组进行绑定、更新或解绑定的操作请求时,虚拟化平台对虚拟机与安全组进行绑定、更新或解绑定;当接收到对指定安全组进行导入和导出的操作请求时,虚拟化平台对指定安全组进行导入和导出。通过本发明,达到了方便用户根据应用服务的需求灵活地对虚拟机与安全组进行配置的效果。
Description
技术领域
本发明涉及通信领域,具体而言,涉及一种虚拟机安全组的配置方法及装置。
背景技术
虚拟化技术是云服务平台构建的基础。虚拟化技术是指在物理服务器上,通过虚拟化管理软件Hypervisor将物理资源分割为多个逻辑分区,每个逻辑分区相互隔离,各自成为独立的虚拟机。对操作系统和应用程序来说,虚拟机与物理服务器没有区别,它们可以共享同一台物理服务器的资源。
安全组是用于控制数据流进入和外发一组虚拟机的访问控制规则,也指满足这些规则的虚拟机组。即在虚拟化平台中,为了满足用户的应用部署的需求,即将用户申请的虚拟机进行分组,每组虚拟机都有各自的数据流访问控制规则,只有满足该虚拟机组所配置的进入访问控制规则的数据流才允许进入该虚拟机组,其他的数据流将被禁止转入该虚拟机组。同时,对于一些虚拟化平台也支持对虚拟机组发出的数据流按配置的访问规则进行控制,即该虚拟机组内虚拟机所外发的数据流中只有满足该虚拟机组所配置的外出访问控制规则的数据流才允许转发出该虚拟机组,其他的数据流将被禁止转发出该虚拟机组。
图1根据相关技术的安全组的模型示意图。如图1所示,该安全组的模型包括:安全组管理器101,用于管理用户的安全组,包括对用户发起的安全组创建、更新、查询和删除等操作,以及安全组规则等管理请求进行处理;配置信息102,包含用户的安全组及其规则配置信息;物理服务器103,通过虚拟化管理软件Hypervisor提供虚拟机;虚拟交换机104,即物理网卡虚拟化后为物理主机内部的虚拟机提供虚拟交换功能;虚拟机105是封装了CPU、内存、本地磁盘和网络等虚拟化的资源实体;安全组执行器106,即主机内为属于安全组的虚拟机执行安全策略的实体;安全组存放设备107即用户将配置的安全组及其规则进行导入所存放的位置。
图2根据相关技术的安全组的结构示意图。如图2所示,该安全组的结构包括:安全组管理器201,其具体功能如图1中的安全组管理器101所描述;配置信息202,其具体功能如图1中的配置信息102所描述;虚拟化平台203,是虚拟机资源服务管理平台,安全组功能是在虚拟化平台上实现的;安全组210,即为用户所创建的管理用于该用户一组虚拟机的访问控制策略;规则集211,描述安全组中的规则,规则包括数据包的进入规则和数据包的发出规则;虚拟机212,指用户申请的属于某安全组的虚拟化服务器。
图3根据相关技术的安全组的网络模型图。如图3所示,该安全组的网络模型包括:外部网络301,该外部网络可以是Internet或其他私有网络,该外部网络可以访问内部网络中的虚拟机;内部网络302,即在图2中虚拟化平台203的基础上构建的网络;安全组管理器303,即图1中的安全组管理器101;虚拟机304,即图2中的虚拟机212,该虚拟机可以属于多个安全组;配置信息305,其具体功能如图1中的配置信息102所描述;安全组306,具体功能即图2中的安全组210的描述,安全组可以包含多个虚拟机。
图4根据相关技术的创建虚拟机时配置默认安全组的流程图。如图4所示,该流程包括以下步骤:
S401,虚拟化平台在用户管理时为该用户创建默认安全组。默认安全组不包含任何规则,即默认安全组允许所有外出的网络流,禁止所有进入的网络流,并允许安全组内的虚拟机互相访问。
S402,用户向虚拟化平台发起虚拟机创建请求,该创建请求没有为该虚拟机指定任何安全组。
S403,虚拟化平台的安全组管理器为该虚拟机指定用户的默认安全组。
S404,加载安全组规则到虚拟机所在主机的安全组执行器。
S405,虚拟化平台向用户返回虚拟机创建完成响应,其中携带已创建虚拟机的ID和默认安全组标识。
S406,可选的,用户可以修改默认安全组中的规则,如果用户增加了出口规则,则将禁止除满足出口规则外的网络流。
S407,安全组执行器根据安全组的规则对默认安全组的网络流进行控制。
S408,安全组执行器分发满足安全组规则的网络流。
图5根据相关技术的创建虚拟机时配置指定安全组的流程图。如图5所示,该流程包括以下步骤:
S501,用户在创建虚拟机之前,先创建完成该虚拟机所属的安全组及其规则。
S502,用户向虚拟化平台发起虚拟机创建请求,其中携带该虚拟机所属的安全组标识(本实施例假定为安全组1)。
S503,虚拟化平台的安全组管理器更新安全组1的配置信息,即增加属于该安全组的虚拟机。
S504,加载安全组规则到虚拟机所在主机的安全组执行器。
S505,虚拟化平台向用户返回虚拟机创建完成响应,其中携带已创建虚拟机的ID和安全组1。
S506,可选的,用户可以修改安全组1中的规则。
S507,安全组执行器根据安全组的规则对安全组的网络流进行控制。
S508,安全组执行器分发满足安全组规则的网络流。
目前的虚拟化平台为用户申请的虚拟机组提供安全组功能,但是目前的虚拟化平台都要求用户先配置安全组,然后在创建虚拟机时进行与安全组的绑定,并且在虚拟机的整个生命期无法修改虚拟机与安全组的关系;而且,目前的安全组一般能够最大支持上百条规则,如果用户创建一个类似的安全组,则需要对安全组规则一个一个输入,这显然不方便安全组的快速创建,造成这些问题的原因在于当前配置的安全组的功能较弱,例如,缺乏以下功能:(1)安全组与虚拟机的绑定和解绑定功能;(2)安全组与虚拟机的更新功能;(3)安全组的导入和导出功能等,同时这些原因也使得当前的虚拟化平台无法为用户提供灵活的安全组操作,导致用户不能根据应用服务的需求灵活地对虚拟机与安全组进行相应处理。
针对相关技术中用户创建安全组的过程较为繁杂、虚拟机与安全组的关系无法修改以及用户不能根据应用服务的需求灵活地对虚拟机与安全组进行相应处理的问题,目前尚未提出有效的解决方案。
发明内容
本发明提供了一种虚拟机安全组的配置方法及装置,以至少解决上述问题。
根据本发明的一个方面,提供了一种虚拟机安全组的配置方法,包括:当接收到对已经创建完成的虚拟机与安全组进行绑定、更新或解绑定的操作请求时,虚拟化平台对虚拟机与安全组进行绑定、更新或解绑定;当接收到对指定安全组进行导入和导出的操作请求时,虚拟化平台对指定安全组进行导入和导出。
优选地,对虚拟机与安全组进行绑定是指将已经创建完成的虚拟机加入到已经创建完成的安全组中。
优选地,对虚拟机与安全组进行更新是指将已创建完成的虚拟机从当前已经加入到的一个安全组中迁移到另外一个安全组中。
优选地,对虚拟机与安全组进行解绑定是指将已创建完成的虚拟机从当前已经加入到的安全组中移除。
优选地,在虚拟化平台完成对虚拟机与安全组的解绑定之后,该方法还包括:虚拟化平台判断解绑定后的虚拟机是否还关联有其他用户创建的安全组,在判断结果为否的情况下,虚拟化平台将解绑定后的虚拟机放入到当前用户的缺省安全组中。
优选地,对虚拟机与安全组进行的绑定、更新或解绑定是在虚拟机已经创建完成且未运行的状态下或者在虚拟机已经创建完成且已经运行的状态下进行的。
优选地,虚拟机能够同时属于多个安全组,安全组能够同时包含多个虚拟机。
优选地,对虚拟机与安全组进行绑定、更新或解绑定时,能够同时针对一个虚拟机所属的一个或多个安全组进行。
优选地,对虚拟机与安全组进行绑定、更新或解绑定时,能够同时针对一个安全组所属的一个或多个虚拟机进行。
优选地,安全组的创建时间与虚拟机的创建时间没有先后顺序。
优选地,在虚拟化平台对虚拟机与安全组进行绑定、更新或解绑定的过程中,虚拟机处于停止、运行或挂起状态。
优选地,在虚拟化平台完成对虚拟机与安全组的绑定、更新或解绑定之后,虚拟机对应的安全组规则立即生效。
优选地,当虚拟机属于多个安全组时,虚拟机的入口流量只有在满足全部安全组的入口规则时才能进人,虚拟机的出口流量只有在满足全部安全组的出口规则时才能发出。
优选地,在对指定安全组进行导出时,虚拟化平台将指定安全组及指定安全组的规则存放在指定的路径。
优选地,在对指定安全组进行导入时,虚拟化平台按照指定的路径,根据指定安全组的名称和描述信息创建一个新的安全组,并为新的安全组分配一个安全组标识(ID)。
根据本发明的另一方面,提供了一种虚拟机安全组的配置装置,包括:第一处理模块,用于当接收到对已经创建完成的虚拟机与安全组进行绑定、更新或解绑定的操作请求时,对虚拟机与安全组进行绑定、更新或解绑定;第二处理模块,用于当接收到对指定安全组进行导入和导出的操作请求时,对指定安全组进行导入和导出。
优选地,对虚拟机与安全组进行绑定是指将已经创建完成的虚拟机加入到已经创建完成的安全组中。
优选地,对虚拟机与安全组进行更新是指将已创建完成的虚拟机从当前已经加入到的一个安全组中迁移到另外一个安全组中。
优选地,对虚拟机与安全组进行解绑定是指将已创建完成的虚拟机从当前已经加入到的安全组中移除。
优选地,该装置还包括:判断模块,用于在第一处理模块完成对虚拟机与安全组的解绑定之后,判断解绑定后的虚拟机是否还关联有其他用户创建的安全组;放入模块,用于在判断模块的判断结果为否的情况下,将解绑定后的虚拟机放入到当前用户的缺省安全组中。
优选地,对虚拟机与安全组进行的绑定、更新或解绑定是在虚拟机已经创建完成且未运行的状态下或者在虚拟机已经创建完成且已经运行的状态下进行的。
优选地,虚拟机能够同时属于多个安全组,安全组能够同时包含多个虚拟机。
优选地,当虚拟机属于多个安全组时,虚拟机的入口流量只有在满足全部安全组的入口规则时才能进人,虚拟机的出口流量只有在满足全部安全组的出口规则时才能发出。
优选地,第二处理模块包括:存放单元,用于将指定安全组及指定安全组的规则存放在指定的路径。
优选地,第二处理模块包括:创建单元,用于按照指定的路径根据指定安全组的名称和描述信息创建一个新的安全组;分配单元,用于为新的安全组分配一个安全组标识(ID)。
通过本发明,采用增加安全组与虚拟机的绑定、更新以及解绑定功能,增加安全组的导入和导出功能的方式,解决了用户创建安全组的过程较为繁杂、虚拟机与安全组的关系无法修改以及用户不能根据应用服务的需求灵活地对虚拟机与安全组进行相应处理的问题,进而达到了方便用户根据应用服务的需求灵活地对虚拟机与安全组进行配置的效果。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1根据相关技术的安全组的模型示意图;
图2根据相关技术的安全组的结构示意图;
图3根据相关技术的安全组的网络模型图;
图4根据相关技术的创建虚拟机时配置默认安全组的流程图;
图5根据相关技术的创建虚拟机时配置指定安全组的流程图;
图6是根据本发明实施例的虚拟机安全组的配置方法流程图;
图7是根据本发明优选实施例的虚拟机安全组的创建流程图;
图8是根据本发明优选实施例的虚拟机创建后绑定安全组的流程图;
图9是根据本发明优选实施例的虚拟机创建后更新安全组的流程图;
图10是根据本发明优选实施例的虚拟机创建后解绑定部分用户创建的安全组的流程图;
图11是根据本发明优选实施例的虚拟机创建后解绑定最后一个用户创建的安全组的流程图;
图12是根据本发明优选实施例的安全组导出流程图;
图13是根据本发明优选实施例的安全组导入流程图;
图14是根据本发明实施例的虚拟机安全组的配置装置的结构框图;
图15是根据本发明优选实施例的虚拟机安全组的配置装置的结构框图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
图6是根据本发明实施例的虚拟机安全组的配置方法流程图,如图6所示,该方法主要包括以下步骤(步骤S602-步骤S604):
步骤S602,当接收到对已经创建完成的虚拟机与安全组进行绑定、更新或解绑定的操作请求时,虚拟化平台对虚拟机与安全组进行绑定、更新或解绑定;
步骤S604,当接收到对指定安全组进行导入和导出的操作请求时,虚拟化平台对指定安全组进行导入和导出。
在本实施例中,对虚拟机与安全组进行绑定是指将已经创建完成的虚拟机加入到已经创建完成的安全组中。
在本实施例中,对虚拟机与安全组进行更新是指将已创建完成的虚拟机从当前已经加入到的一个安全组中迁移到另外一个安全组中。
在本实施例中,对虚拟机与安全组进行解绑定是指将已创建完成的虚拟机从当前已经加入到的安全组中移除。
在本实施例中,在虚拟化平台完成对虚拟机与安全组的解绑定之后,该方法还包括:虚拟化平台判断解绑定后的虚拟机是否还关联有其他用户创建的安全组,在判断结果为否的情况下,虚拟化平台将解绑定后的虚拟机放入到当前用户的缺省安全组中。
在本实施例中,对虚拟机与安全组进行的绑定、更新或解绑定是在虚拟机已经创建完成且未运行的状态下或者在虚拟机已经创建完成且已经运行的状态下进行的。
在本实施例中,虚拟机能够同时属于多个安全组,安全组能够同时包含多个虚拟机。
在本实施例中,对虚拟机与安全组进行绑定、更新或解绑定时,能够同时针对一个虚拟机所属的一个或多个安全组进行。
在本实施例中,对虚拟机与安全组进行绑定、更新或解绑定时,能够同时针对一个安全组所属的一个或多个虚拟机进行。
在本实施例中,安全组的创建时间与虚拟机的创建时间没有先后顺序。
在本实施例中,在虚拟化平台对虚拟机与安全组进行绑定、更新或解绑定的过程中,虚拟机处于停止、运行或挂起状态。
在本实施例中,在虚拟化平台完成对虚拟机与安全组的绑定、更新或解绑定之后,虚拟机对应的安全组规则立即生效。
在本实施例中,当虚拟机属于多个安全组时,虚拟机的入口流量只有在满足全部安全组的入口规则时才能进人,虚拟机的出口流量只有在满足全部安全组的出口规则时才能发出。
在本实施例中,在对指定安全组进行导出时,虚拟化平台将指定安全组及指定安全组的规则存放在指定的路径。
在本实施例中,在对指定安全组进行导入时,虚拟化平台按照指定的路径,根据指定安全组的名称和描述信息创建一个新的安全组,并为新的安全组分配一个安全组标识(ID)。
下面结合图7至图13以及优选实施例对上述实施例提供的虚拟机安全组的配置方法进行更加详细的描述。
图7是根据本发明优选实施例的虚拟机安全组的创建流程图,如图7所示,该流程包括以下步骤(步骤S702-步骤S706):
步骤S702,用户创建虚拟机,并从已创建的安全组中选择该虚拟机所属的安全组;如果没有选择,则创建的虚拟机属于用户的缺省安全组。
步骤S704,虚拟机创建后,用户可以根据应用服务的需求,绑定、解绑定虚拟机与其安全组,或迁移该虚拟机到其他安全组中。
步骤S706,用户将安全组及其规则导入到某个位置进行保存,并通过导出操作快速创建一个类似的新的安全组。
图8是根据本发明优选实施例的虚拟机创建后绑定安全组的流程图,如图8所示,该流程包括以下步骤(步骤S802-步骤S816):
步骤S802,用户创建虚拟机,虚拟化平台为用户已创建缺省安全组;
步骤S804,用户创建安全组及其规则(用户创建安全组和创建虚拟机没有顺序关系要求)。
步骤S806,用户发起安全组与虚拟机绑定请求,其中,携带已创建的安全组ID和已创建的虚拟机ID。
步骤S808,安全组管理器判断安全组绑定请求的合法性,例如根据安全组ID判断该安全组是否存在,根据虚拟机ID判断虚拟机是否存在,该虚拟机与安全组是否已绑定。如果满足条件,则安全组管理器更新安全组配置信息。
步骤S810,安全组管理器通知负责该虚拟机网络流接入控制的安全组执行器,加载该安全组的规则。
步骤S812,安全组管理器向用户返回安全组与虚拟机绑定成功响应。
步骤S814,安全组执行器根据安全组的规则对安全组的网络流进行控制。
步骤S816,安全组执行器分发满足安全组规则的网络流。
图9是根据本发明优选实施例的虚拟机创建后更新安全组的流程图,如图9所示,该流程包括以下步骤(步骤S902-步骤S920):
步骤S902,用户创建安全组及其规则,假定用户创建了安全组1和安全组2。
步骤S904,用户创建虚拟机,并设置该虚拟机属于安全组1;
步骤S906,安全组执行器根据安全组的规则对安全组的网络流进行控制。
步骤S908,安全组执行器分发满足安全组规则的网络流。
需要说明的是,步骤S902和步骤S908是预置步骤,即虚拟机首先属于安全组1,并且在安全组1下网络流能够正常控制,然后更新到安全组2下。
步骤S910,用户发起安全组与虚拟机更新请求,其中携带虚拟机ID、源安全组1和要迁移到的安全组2。
步骤S912,安全组管理器判断安全组更新请求的合法性,比如源安全组和目标安全组是否存在,要迁移的虚拟机是否存在,该虚拟机与源安全组是否已绑定。如果满足条件,则安全组管理器更新安全组配置信息,即解绑定虚拟机与源安全组的关系,绑定与目标安全组的关系。
步骤S914,安全组管理器通知负责该虚拟机网络流接入控制的安全组执行器,更新安全组规则。
步骤S916,安全组管理器向用户返回虚拟机安全组更新成功响应。
步骤S918,安全组执行器根据安全组的规则对安全组的网络流进行控制。
步骤S920,安全组执行器分发满足安全组规则的网络流。
图10是根据本发明优选实施例的虚拟机创建后解绑定部分用户创建的安全组的流程图,如图10所示,该流程包括以下步骤(步骤S1002-步骤S1020):
步骤S1002,用户创建安全组1和安全组2及其入口和/或出口规则。
步骤S1004,用户创建虚拟机,该虚拟机绑定安全组1和安全组2(用户创建安全组和创建虚拟机没有顺序关系要求)。
步骤S1006,安全组执行器根据安全组1和安全组2的规则对安全组的网络流进行控制。
步骤S1008,安全组执行器分发满足安全组规则的网络流。
需要说明的是,步骤S1002和步骤S1008是预置步骤,即虚拟机首先属于安全组1和安全中,并且网络流受控于安全组1和安全中,然后解绑定安全组2。
步骤S1010,用户发起安全组与虚拟机解绑定请求,其中携带已创建的虚拟机ID和要解绑定的安全组2。
步骤S1012,安全组管理器判断安全组绑定请求的合法性,比如判断安全组2是否存在,虚拟机是否存在,该虚拟机与安全组2是否已绑定。如果满足条件,则安全组管理器更新安全组配置信息。
步骤S1014,安全组管理器通知负责该虚拟机网络流接入控制的安全组执行器,更新安全组的规则。
步骤S1016,安全组管理器向用户返回安全组与虚拟机解绑定成功响应。
步骤S1018,安全组执行器根据安全组的规则对安全组的网络流进行控制。
步骤S1020,安全组执行器分发满足安全组规则的网络流。
图11是根据本发明优选实施例的虚拟机创建后解绑定最后一个用户创建的安全组的流程图,如图11所示,该流程包括以下步骤(步骤S1102-步骤S1104):
步骤S1102,用户创建安全组1及其规则。
步骤S1104,用户创建虚拟机,该虚拟机绑定安全组1(用户创建安全组和创建虚拟机没有顺序关系要求)。
步骤S1106,安全组执行器根据安全组1的规则对安全组的网络流进行控制。
步骤S1108,安全组执行器分发满足安全组规则的网络流。
需要说明的是,步骤S1102和步骤S1108是预置步骤,即虚拟机当前只关联最后一个用户定义的安全组中,然后解绑定该安全组。
步骤S1110,用户发起安全组与虚拟机解绑定请求,其中携带已创建的虚拟机ID和要解绑定的安全组1。
步骤S1112,安全组管理器判断安全组绑定请求的合法性,比如判断安全组1是否存在,虚拟机是否存在,该虚拟机与安全组1是否已绑定。如果满足条件,则安全组管理器更新安全组配置信息,即解绑定安全组1,然后将虚拟机加入到用户的缺省安全组中。
步骤S1114,安全组管理器通知负责该虚拟机网络流接入控制的安全组执行器,更新安全组的规则为用户缺省安全组的规则。
步骤S1116,安全组管理器向用户返回安全组与虚拟机解绑定成功响应。
步骤S1118,安全组执行器根据缺省安全组的规则对安全组的网络流进行控制。
步骤S1120,安全组执行器分发满足缺省安全组规则的网络流。
图12是根据本发明优选实施例的安全组导出流程图,如图12所示,该流程包括以下步骤(步骤S1202-步骤S1212):
步骤S1202,用户创建安全组及其规则。
步骤S1204,用户创建虚拟机及其所属的安全组。
需要说明的是,步骤S1202和步骤S1204是预置步骤,类似步骤S1102到步骤S1108执行虚拟机和安全组的创建,以及根据安全组规则进行网络流的控制。
步骤S1206,用户发起安全组导出请求,其中携带安全组ID和安全组及其规则的存放路径等信息。
步骤S1208,安全组管理器判断安全组导出请求的合法性,比如判断安全组ID是否存在。如果满足条件,则安全组管理器读取安全组配置信息。
步骤S1210,安全组管理器将该安全组及其规则存放在指定的存储位置。
步骤S1212,安全组管理器向用户返回安全组导出成功响应。
图13是根据本发明优选实施例的安全组导入流程图,如图13所示,该流程包括以下步骤(步骤S1302-步骤S1312):
步骤S1302,用户创建安全组及其规则。
步骤S1304,用户创建虚拟机及其所属的安全组。
需要说明的是,步骤S1302和步骤S1304是预置步骤,类似步骤S1102到步骤S1108执行虚拟机和安全组的创建,以及根据安全组规则进行网络流的控制。
步骤S1306,用户发起安全组导入请求,其中携带安全组名称和已存放的安全组及其规则的路径等信息。
步骤S1308,安全组管理器判断安全组导入请求的合法性,比如判断该存放路径的有效性,用户的读取权限等。如果满足条件,则安全组管理器从存储器读取已存储的安全组配置信息。
步骤S1310,安全组管理器根据存储的安全组及其规则创建一个新的安全组。
步骤S1312,安全组管理器向用户返回安全组导入成功响应,并携带新创建的安全组ID。
采用上述实施例提供的虚拟机安全组的配置方法,采用增加安全组与虚拟机的绑定、更新以及解绑定功能,增加安全组的导入和导出功能的方式,达到了方便用户根据应用服务的需求灵活地对虚拟机与安全组进行配置的效果。
图14是根据本发明实施例的虚拟机安全组的配置装置的结构框图,该装置用以实现上述方法实施例提供的虚拟机安全组的配置,如图14所示,该装置主要包括:第一处理模块10和第二处理模块20。其中,第一处理模块10,用于当接收到对已经创建完成的虚拟机与安全组进行绑定、更新或解绑定的操作请求时,对虚拟机与安全组进行绑定、更新或解绑定;第二处理模块20,用于当接收到对指定安全组进行导入和导出的操作请求时,对指定安全组进行导入和导出。
在本实施例中,对虚拟机与安全组进行绑定是指将已经创建完成的虚拟机加入到已经创建完成的安全组中。
在本实施例中,对虚拟机与安全组进行更新是指将已创建完成的虚拟机从当前已经加入到的一个安全组中迁移到另外一个安全组中。
在本实施例中,对虚拟机与安全组进行解绑定是指将已创建完成的虚拟机从当前已经加入到的安全组中移除。
在本实施例中,对虚拟机与安全组进行的绑定、更新或解绑定是在虚拟机已经创建完成且未运行的状态下或者在虚拟机已经创建完成且已经运行的状态下进行的。
在本实施例中,虚拟机能够同时属于多个安全组,安全组能够同时包含多个虚拟机。
在本实施例中,当虚拟机属于多个安全组时,虚拟机的入口流量只有在满足全部安全组的入口规则时才能进人,虚拟机的出口流量只有在满足全部安全组的出口规则时才能发出。
图15是根据本发明优选实施例的虚拟机安全组的配置装置的结构框图,如图15所示,在该优选实施例提供的虚拟机安全组的配置装置中,还包括:判断模块30,连接至第一处理模块10,用于在第一处理模块10完成对虚拟机与安全组的解绑定之后,判断解绑定后的虚拟机是否还关联有其他用户创建的安全组;放入模块10,连接至判断模块30,用于在判断模块30的判断结果为否的情况下,将解绑定后的虚拟机放入到当前用户的缺省安全组中。
优选地,第二处理模块20包括:存放单元22,用于将指定安全组及指定安全组的规则存放在指定的路径。
优选地,第二处理模块20包括:创建单元24,用于按照指定的路径根据指定安全组的名称和描述信息创建一个新的安全组;分配单元26,连接至创建单元24,用于为新的安全组分配一个安全组标识(ID)。
采用上述实施例提供的虚拟机安全组的配置装置,采用增加安全组与虚拟机的绑定、更新以及解绑定功能,增加安全组的导入和导出功能的方式,达到了方便用户根据应用服务的需求灵活地对虚拟机与安全组进行配置的效果。
从以上的描述中,可以看出,本发明实现了如下技术效果:为安全组与虚拟机增加绑定、更新以及解绑定功能,为安全组增加导入和导出功能,通过这种方式解决了用户创建安全组的过程较为繁杂、虚拟机与安全组的关系无法修改以及用户不能根据应用服务的需求灵活地对虚拟机与安全组进行相应处理的问题,进而达到了方便用户根据应用服务的需求灵活地对虚拟机与安全组进行配置的效果。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (25)
1.一种虚拟机安全组的配置方法,其特征在于,包括:
当接收到对已经创建完成的虚拟机与安全组进行绑定、更新或解绑定的操作请求时,虚拟化平台对所述虚拟机与所述安全组进行绑定、更新或解绑定;
当接收到对指定安全组进行导入和导出的操作请求时,所述虚拟化平台对指定安全组进行导入和导出。
2.根据权利要求1所述的方法,其特征在于,对所述虚拟机与所述安全组进行绑定是指将已经创建完成的虚拟机加入到已经创建完成的安全组中。
3.根据权利要求1所述的方法,其特征在于,对所述虚拟机与安全组进行更新是指将已创建完成的虚拟机从当前已经加入到的一个安全组中迁移到另外一个安全组中。
4.根据权利要求1所述的方法,其特征在于,对所述虚拟机与安全组进行解绑定是指将已创建完成的虚拟机从当前已经加入到的安全组中移除。
5.根据权利要求1所述的方法,其特征在于,在所述虚拟化平台完成对所述虚拟机与所述安全组的解绑定之后,所述方法还包括:
所述虚拟化平台判断解绑定后的虚拟机是否还关联有其他用户创建的安全组,在判断结果为否的情况下,所述虚拟化平台将所述解绑定后的虚拟机放入到当前用户的缺省安全组中。
6.根据权利要求1至5中任一项所述的方法,其特征在于,对所述虚拟机与所述安全组进行的绑定、更新或解绑定是在所述虚拟机已经创建完成且未运行的状态下或者在所述虚拟机已经创建完成且已经运行的状态下进行的。
7.根据权利要求6所述的方法,其特征在于,所述虚拟机能够同时属于多个所述安全组,所述安全组能够同时包含多个所述虚拟机。
8.根据权利要求7所述的方法,其特征在于,对所述虚拟机与所述安全组进行绑定、更新或解绑定时,能够同时针对一个所述虚拟机所属的一个或多个所述安全组进行。
9.根据权利要求7所述的方法,其特征在于,对所述虚拟机与所述安全组进行绑定、更新或解绑定时,能够同时针对一个所述安全组所属的一个或多个所述虚拟机进行。
10.根据权利要求7所述的方法,其特征在于,所述安全组的创建时间与所述虚拟机的创建时间没有先后顺序。
11.根据权利要求7所述的方法,其特征在于,在所述虚拟化平台对所述虚拟机与所述安全组进行绑定、更新或解绑定的过程中,所述虚拟机处于停止、运行或挂起状态。
12.根据权利要求7所述的方法,其特征在于,在所述虚拟化平台完成对所述虚拟机与所述安全组的绑定、更新或解绑定之后,所述虚拟机对应的安全组规则立即生效。
13.根据权利要求7所述的方法,其特征在于,当所述虚拟机属于多个所述安全组时,所述虚拟机的入口流量只有在满足全部安全组的入口规则时才能进人,所述虚拟机的出口流量只有在满足全部安全组的出口规则时才能发出。
14.根据权利要求13所述的方法,其特征在于,在对所述指定安全组进行导出时,所述虚拟化平台将所述指定安全组及所述指定安全组的规则存放在指定的路径。
15.根据权利要求13所述的方法,其特征在于,在对所述指定安全组进行导入时,所述虚拟化平台按照指定的路径,根据所述指定安全组的名称和描述信息创建一个新的安全组,并为所述新的安全组分配一个安全组标识ID。
16.一种虚拟机安全组的配置装置,其特征在于,包括:
第一处理模块,用于当接收到对已经创建完成的虚拟机与安全组进行绑定、更新或解绑定的操作请求时,对所述虚拟机与所述安全组进行绑定、更新或解绑定;
第二处理模块,用于当接收到对指定安全组进行导入和导出的操作请求时,对指定安全组进行导入和导出。
17.根据权利要求16所述的装置,其特征在于,对所述虚拟机与所述安全组进行绑定是指将已经创建完成的虚拟机加入到已经创建完成的安全组中。
18.根据权利要求16所述的装置,其特征在于,对所述虚拟机与所述安全组进行更新是指将已创建完成的虚拟机从当前已经加入到的一个安全组中迁移到另外一个安全组中。
19.根据权利要求16所述的装置,其特征在于,对所述虚拟机与所述安全组进行解绑定是指将已创建完成的虚拟机从当前已经加入到的安全组中移除。
20.根据权利要求16所述的装置,其特征在于,所述装置还包括:
判断模块,用于在所述第一处理模块完成对所述虚拟机与所述安全组的解绑定之后,判断解绑定后的虚拟机是否还关联有其他用户创建的安全组;
放入模块,用于在所述判断模块的判断结果为否的情况下,将所述解绑定后的虚拟机放入到当前用户的缺省安全组中。
21.根据权利要求16至20中任一项所述的装置,其特征在于,对所述虚拟机与所述安全组进行的绑定、更新或解绑定是在所述虚拟机已经创建完成且未运行的状态下或者在所述虚拟机已经创建完成且已经运行的状态下进行的。
22.根据权利要求21所述的装置,其特征在于,所述虚拟机能够同时属于多个所述安全组,所述安全组能够同时包含多个所述虚拟机。
23.根据权利要求22所述的装置,其特征在于,当所述虚拟机属于多个所述安全组时,所述虚拟机的入口流量只有在满足全部安全组的入口规则时才能进人,所述虚拟机的出口流量只有在满足全部安全组的出口规则时才能发出。
24.根据权利要求22所述的装置,其特征在于,所述第二处理模块包括:
存放单元,用于将所述指定安全组及所述指定安全组的规则存放在指定的路径。
25.根据权利要求22所述的装置,其特征在于,所述第二处理模块包括:
创建单元,用于按照指定的路径根据所述指定安全组的名称和描述信息创建一个新的安全组;
分配单元,用于为所述新的安全组分配一个安全组标识ID。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310057680.6A CN104007997A (zh) | 2013-02-22 | 2013-02-22 | 虚拟机安全组的配置方法及装置 |
| PCT/CN2013/089864 WO2014127668A1 (zh) | 2013-02-22 | 2013-12-18 | 虚拟机安全组的配置方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310057680.6A CN104007997A (zh) | 2013-02-22 | 2013-02-22 | 虚拟机安全组的配置方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104007997A true CN104007997A (zh) | 2014-08-27 |
Family
ID=51368664
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310057680.6A Pending CN104007997A (zh) | 2013-02-22 | 2013-02-22 | 虚拟机安全组的配置方法及装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN104007997A (zh) |
| WO (1) | WO2014127668A1 (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016106718A1 (zh) * | 2014-12-31 | 2016-07-07 | 华为技术有限公司 | 一种网络控制方法与虚拟交换机 |
| WO2017152396A1 (zh) * | 2016-03-09 | 2017-09-14 | 华为技术有限公司 | 流表处理方法及装置 |
| CN107995144A (zh) * | 2016-10-26 | 2018-05-04 | 北京金山云网络技术有限公司 | 一种基于安全组的访问控制方法及装置 |
| CN110516431A (zh) * | 2019-08-29 | 2019-11-29 | 北京浪潮数据技术有限公司 | 动态配置虚拟机操作权限的方法、系统、设备及存储介质 |
| CN111224922A (zh) * | 2018-11-26 | 2020-06-02 | 顺丰科技有限公司 | 分布式安全组模块访问控制方法、系统 |
| CN112688913A (zh) * | 2020-11-25 | 2021-04-20 | 紫光云技术有限公司 | 一种OpenStack安全组优化方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101739282A (zh) * | 2008-11-18 | 2010-06-16 | 华为技术有限公司 | 一种虚拟机的管理方法、装置和系统 |
| US20110247047A1 (en) * | 2010-04-02 | 2011-10-06 | Sergio Loureiro | Method for securing data and/or applications in a cloud computing architecture |
| CN102214117A (zh) * | 2010-04-07 | 2011-10-12 | 中兴通讯股份有限公司 | 虚拟机管理方法、系统及虚拟机管理服务器 |
| CN102571689A (zh) * | 2010-12-10 | 2012-07-11 | 中兴通讯股份有限公司 | 一种数据传输方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8281307B2 (en) * | 2009-06-01 | 2012-10-02 | International Business Machines Corporation | Virtual solution composition and deployment system and method |
-
2013
- 2013-02-22 CN CN201310057680.6A patent/CN104007997A/zh active Pending
- 2013-12-18 WO PCT/CN2013/089864 patent/WO2014127668A1/zh active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101739282A (zh) * | 2008-11-18 | 2010-06-16 | 华为技术有限公司 | 一种虚拟机的管理方法、装置和系统 |
| US20110247047A1 (en) * | 2010-04-02 | 2011-10-06 | Sergio Loureiro | Method for securing data and/or applications in a cloud computing architecture |
| CN102214117A (zh) * | 2010-04-07 | 2011-10-12 | 中兴通讯股份有限公司 | 虚拟机管理方法、系统及虚拟机管理服务器 |
| CN102571689A (zh) * | 2010-12-10 | 2012-07-11 | 中兴通讯股份有限公司 | 一种数据传输方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| AMAZON WEB SERVICES: ""Amazon Virtual Private Cloud:User Guide"", 《URL:HTTPS://GITHUB.COM/EUCALYPTUS/ARCHITECTURE/BLOB/MASTER/VPC/DOCS/VPC-UG-2012-08-15.PDF》 * |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016106718A1 (zh) * | 2014-12-31 | 2016-07-07 | 华为技术有限公司 | 一种网络控制方法与虚拟交换机 |
| CN107113280A (zh) * | 2014-12-31 | 2017-08-29 | 华为技术有限公司 | 一种网络控制方法与虚拟交换机 |
| WO2017152396A1 (zh) * | 2016-03-09 | 2017-09-14 | 华为技术有限公司 | 流表处理方法及装置 |
| US10715492B2 (en) | 2016-03-09 | 2020-07-14 | Huawei Technologies Co., Ltd. | Flow table processing method and apparatus |
| CN107995144A (zh) * | 2016-10-26 | 2018-05-04 | 北京金山云网络技术有限公司 | 一种基于安全组的访问控制方法及装置 |
| CN107995144B (zh) * | 2016-10-26 | 2020-11-06 | 北京金山云网络技术有限公司 | 一种基于安全组的访问控制方法及装置 |
| CN111224922A (zh) * | 2018-11-26 | 2020-06-02 | 顺丰科技有限公司 | 分布式安全组模块访问控制方法、系统 |
| CN110516431A (zh) * | 2019-08-29 | 2019-11-29 | 北京浪潮数据技术有限公司 | 动态配置虚拟机操作权限的方法、系统、设备及存储介质 |
| CN110516431B (zh) * | 2019-08-29 | 2022-02-18 | 北京浪潮数据技术有限公司 | 动态配置虚拟机操作权限的方法、系统、设备及存储介质 |
| CN112688913A (zh) * | 2020-11-25 | 2021-04-20 | 紫光云技术有限公司 | 一种OpenStack安全组优化方法 |
| CN112688913B (zh) * | 2020-11-25 | 2023-03-24 | 紫光云技术有限公司 | 一种OpenStack安全组优化方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2014127668A1 (zh) | 2014-08-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107153565B (zh) | 配置资源的方法及其网络设备 | |
| CN104007997A (zh) | 虚拟机安全组的配置方法及装置 | |
| CN105354076B (zh) | 一种应用部署方法及装置 | |
| EP3314816B1 (en) | Network function virtualization (nfv) hardware trust in data communication systems | |
| US10972542B2 (en) | Data storage method and apparatus | |
| CN105052078B (zh) | 扩展来自外部服务的路由规则 | |
| CN104025073B (zh) | 用于计算环境中的策略实施的装置和方法 | |
| CN107580083A (zh) | 一种容器ip地址分配的方法和系统 | |
| JP6533475B2 (ja) | 管理装置、および、ネットワークサービス管理方法 | |
| CN107209694A (zh) | 用于控制按需服务供应的方法 | |
| CN103152197B (zh) | 规则集编排处理方法、装置及集群数据系统 | |
| CN102412978A (zh) | 一种针对虚拟主机进行网络配置的方法和系统 | |
| CN106034046A (zh) | 访问控制列表acl的发送方法及装置 | |
| CN105607950A (zh) | 一种虚拟机资源配置方法和装置 | |
| CN103207965A (zh) | 一种虚拟环境下License认证的方法及装置 | |
| KR20190007043A (ko) | 재구성가능한 분산 처리 | |
| CN109479029A (zh) | 软件定义网络中的数据包转发单元 | |
| CN110167092A (zh) | 一种业务迁移的方法及装置 | |
| CN107122627A (zh) | 基于云计算的数字出版系统 | |
| CN107534577B (zh) | 一种网络业务实例化的方法及设备 | |
| CN107888663A (zh) | 一种分发文件的方法、设备及计算机可读介质 | |
| EP3528112B1 (en) | Management ecosystem of superdistributed hashes | |
| CN106557690A (zh) | 管理多容器系统的方法及装置 | |
| CN110362350A (zh) | 管理集成电路卡中的多个操作系统 | |
| US10193998B2 (en) | Communication apparatus, communication system, and circuit configuration control method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20140827 |