CN102929690A - 虚拟机访问控制的方法和装置 - Google Patents
虚拟机访问控制的方法和装置 Download PDFInfo
- Publication number
- CN102929690A CN102929690A CN2012104415851A CN201210441585A CN102929690A CN 102929690 A CN102929690 A CN 102929690A CN 2012104415851 A CN2012104415851 A CN 2012104415851A CN 201210441585 A CN201210441585 A CN 201210441585A CN 102929690 A CN102929690 A CN 102929690A
- Authority
- CN
- China
- Prior art keywords
- access
- virtual machine
- virtual machines
- virtual
- accessed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明公开了一种虚拟机访问控制的方法,该方法包括:对物理服务器中的多个虚拟机进行隔离;在接收到访问请求的情况下,从访问请求中提取访问条件,并根据访问条件确定需要访问的虚拟机。本发明通过对物理服务器中的多个虚拟机进行隔离,在接收到访问请求的情况下,从访问请求中提取访问条件,并根据访问条件确定需要访问的虚拟机,能够对物理服务器中的虚拟机进行访问控制。
Description
技术领域
本发明涉及计算机领域,具体地,涉及一种虚拟机访问控制的方法和装置。
背景技术
目前传统的物理防火墙可以做到对物理服务器的访问控制,通过在物理防火墙中设置相应的规则,控制物理服务器中的不同用户、不同应用程序、不同端口的访问规则。
现有技术中的物理防火墙只能够做到控制物理服务器的层面,对于物理机内部的虚拟机之间的访问控制是无法实现的,因为,虚拟机之间的数据交互和访问是不通过外部的交换设备的,所以传统物理防火墙不能够对访问进行控制。
针对相关技术中无法针对物理机内虚拟机访问进行控制的问题,目前尚未提出有效的解决方案。
发明内容
针对相关技术中无法针对物理机内虚拟机访问进行控制的问题,本发明提出一种虚拟机访问控制的方法和装置,能够对物理服务器中的虚拟机进行访问控制。
本发明的技术方案是这样实现的:
根据本发明的一个方面,提供了一种虚拟机访问控制的方法。
该方法包括:对物理服务器中的多个虚拟机进行隔离;在接收到访问请求的情况下,从访问请求中提取访问条件,并根据访问条件确定需要访问的虚拟机。
其中,该方法进一步包括:
将多个虚拟机划分至不同的域。
并且,根据以下任一方式将多个虚拟机划分至不同的域:
根据IP地址将多个虚拟机划分至不同的域;
根据操作系统将多个虚拟机划分至不同的域。
此外,访问条件包括:
需要访问的虚拟机的端口号。
而且,在用户通过一虚拟机访问其他虚拟机的情况下,根据被访问虚拟机的访问限制条件确定该虚拟机是否能被访问,其中,访问限制条件用于表示该虚拟机是否能够被其他虚拟机访问。
根据本发明的另一个方面,提供了一种虚拟机访问控制的装置。
该装置包括:隔离配置模块,用于对物理服务器中的多个虚拟机进行隔离;确定模块,用于在接收到访问请求的情况下,从访问请求中提取访问条件,并根据访问条件确定需要访问的虚拟机。
其中,隔离配置模块用于通过将多个虚拟机划分至不同的域来对多个虚拟机进行隔离。
并且,隔离配置模块用于根据虚拟机的IP地址和/或虚拟机的操作系统将多个虚拟机划分至不同的域。
此外,访问条件包括需要访问的虚拟机的端口号。
而且,确定模块用于在用户通过一虚拟机访问其他虚拟机的情况下,根据被访问虚拟机的访问限制条件确定该虚拟机是否能被访问,其中,访问限制条件用于表示该虚拟机是否能够被其他虚拟机访问。
本发明通过对物理服务器中的多个虚拟机进行隔离,在接收到访问请求的情况下,从访问请求中提取访问条件,并根据访问条件确定需要访问的虚拟机,能够实现对物理服务器中的虚拟机进行访问控制。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例的虚拟机访问控制的方法的流程图;
图2是根据本发明实施例的虚拟机访问控制的装置的原理框图;
图3是根据本发明实施例的物理服务器及其中虚拟机的关系框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本发明保护的范围。
根据本发明的实施例,提供了一种虚拟机访问控制的方法。
如图1所示,根据本发明实施例的虚拟机访问控制的方法包括:
步骤S101,对物理服务器中的多个虚拟机进行隔离;
步骤S103,在接收到访问请求的情况下,从访问请求中提取访问条件,并根据访问条件确定需要访问的虚拟机。
其中,该方法进一步包括:
将多个虚拟机划分至不同的域。
并且,该方法可以根据以下任一方式将多个虚拟机划分至不同的域:
根据IP地址将多个虚拟机划分至不同的域;
根据操作系统将多个虚拟机划分至不同的域。
此外,上述的访问条件可以包括需要访问的虚拟机的端口号。
而且,在用户通过一虚拟机访问其他虚拟机的情况下,根据被访问虚拟机的访问限制条件确定该虚拟机是否能被访问,其中,访问限制条件用于表示该虚拟机是否能够被其他虚拟机访问。
根据本发明的实施例,提供了一种虚拟机访问控制的装置。
如图2所示,根据本发明实施例的虚拟机访问控制装置包括:
隔离配置模块21,用于对物理服务器中的多个虚拟机进行隔离;
确定模块22,用于在接收到访问请求的情况下,从访问请求中提取访问条件,并根据访问条件确定需要访问的虚拟机。
其中,隔离配置模块21用于通过将多个虚拟机划分至不同的域来对多个虚拟机进行隔离。
并且,隔离配置模块21用于根据虚拟机的IP地址和/或虚拟机的操作系统将多个虚拟机划分至不同的域。
此外,访问条件包括需要访问的虚拟机的端口号。
而且,确定模块22用于在用户通过一虚拟机访问其他虚拟机的情况下,根据被访问虚拟机的访问限制条件确定该虚拟机是否能被访问,其中,访问限制条件用于表示该虚拟机是否能够被其他虚拟机访问。
根据本发明的技术方案,首先,在一台物理服务器中安装操作系统,然后在操作系统中安装虚拟机软件,并且在虚拟机软件中安装多个windows或者linux操作系统。为了保证多个操作系统之间的隔离,需要在其中一个虚拟出来的操作系统中安装防火墙软件。然后通过防火墙软件将物理机中的不同虚拟机进行隔离,为不同的操作系统提供访问控制服务,可以控制访问所需的端口、规则。虚拟机可以划分不同的域,通过虚拟防火墙实现不同域之间的访问控制。
如图3所示,为根据本发明实施例的物理服务器及其中虚拟机的关系框图。
例如,首先在某台虚拟机中安装虚拟防火墙软件(可以理解为将这台虚拟机配置为具有上述虚拟机访问控制的装置的功能),这台虚拟机可以与虚拟机1、虚拟机2、虚拟机3进行交互,可以根据用户的要求访问任意一台虚拟机。并且,每台虚拟机都根据防火墙软件预先被配置是否可以接受其他虚拟机的访问。例如,如果虚拟机1被配置为可以接受其他虚拟机的访问,则虚拟机2和虚拟机3均可以访问虚拟机1;如果虚拟机2被配置为不可以接受其他虚拟机的访问,则虚拟机1和虚拟机3均不可以访问虚拟机2。
在本发明的技术方案中,利用了虚拟防火墙能够控制虚拟机之间互相通信的特点,实现了虚拟机之间的访问控制。同时,由于没有采用物理防火墙,可以节约成本。虚拟的防火墙由于是软件产品,可以在需要的时候任意生成,所以可以做到任意的虚拟机之间的访问控制。虚拟机可以划分不同的域,通过虚拟防火墙可以做到不同域之间的访问控制。
综上所述,借助于本发明的上述技术方案,通过对物理服务器中的多个虚拟机进行隔离,在接收到访问请求的情况下,从访问请求中提取访问条件,并根据访问条件确定需要访问的虚拟机,能够对物理服务器中的虚拟机进行访问控制。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种虚拟机访问控制的方法,其特征在于,所述方法包括:
对物理服务器中的多个虚拟机进行隔离;
在接收到访问请求的情况下,从所述访问请求中提取访问条件,并根据所述访问条件确定需要访问的虚拟机。
2.根据权利要求1所述的方法,其特征在于,进一步包括:
将所述多个虚拟机划分至不同的域。
3.根据权利要求2所述的方法,其特征在于,根据以下任一方式将所述多个虚拟机划分至不同的域:
根据IP地址将所述多个虚拟机划分至不同的域;
根据操作系统将所述多个虚拟机划分至不同的域。
4.根据权利要求1所述的方法,其特征在于,所述访问条件包括:
需要访问的虚拟机的端口号。
5.根据权利要求1所述的方法,其特征在于,在用户通过一虚拟机访问其他虚拟机的情况下,根据被访问虚拟机的访问限制条件确定该虚拟机是否能被访问,其中,所述访问限制条件用于表示该虚拟机是否能够被其他虚拟机访问。
6.一种虚拟机访问控制的装置,其特征在于,所述装置包括:
隔离配置模块,用于对物理服务器中的多个虚拟机进行隔离;
确定模块,用于在接收到访问请求的情况下,从所述访问请求中提取访问条件,并根据所述访问条件确定需要访问的虚拟机。
7.根据权利要求6所述的装置,其特征在于,所述隔离配置模块用于通过将所述多个虚拟机划分至不同的域来对所述多个虚拟机进行隔离。
8.根据权利要求7所述的装置,其特征在于,所述隔离配置模块用于根据虚拟机的IP地址和/或虚拟机的操作系统将所述多个虚拟机划分至不同的域。
9.根据权利要求6所述的装置,其特征在于,所述访问条件包括需要访问的虚拟机的端口号。
10.根据权利要求6所述的装置,其特征在于,所述确定模块用于在用户通过一虚拟机访问其他虚拟机的情况下,根据被访问虚拟机的访问限制条件确定该虚拟机是否能被访问,其中,所述访问限制条件用于表示该虚拟机是否能够被其他虚拟机访问。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012104415851A CN102929690A (zh) | 2012-11-07 | 2012-11-07 | 虚拟机访问控制的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012104415851A CN102929690A (zh) | 2012-11-07 | 2012-11-07 | 虚拟机访问控制的方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102929690A true CN102929690A (zh) | 2013-02-13 |
Family
ID=47644500
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2012104415851A Pending CN102929690A (zh) | 2012-11-07 | 2012-11-07 | 虚拟机访问控制的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102929690A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105808318A (zh) * | 2016-03-07 | 2016-07-27 | 联想(北京)有限公司 | 一种信息处理方法和电子设备 |
| US9553768B2 (en) | 2013-11-04 | 2017-01-24 | Illumio, Inc. | Determining, without using a network, whether a firewall will block a particular network packet |
| CN108292234A (zh) * | 2015-12-22 | 2018-07-17 | 英特尔公司 | 用于实施对虚拟机的网络访问控制的技术 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101668022A (zh) * | 2009-09-14 | 2010-03-10 | 陈博东 | 一种建立在虚拟机上的虚拟网络隔离系统及实现方法 |
| CN102299929A (zh) * | 2011-09-15 | 2011-12-28 | 北京天地云箱科技有限公司 | 虚拟机的访问控制方法、系统和装置 |
| US8171176B2 (en) * | 2010-08-31 | 2012-05-01 | Lsi Corporation | Method for selective replication of physical devices on a virtual self-configuring zoning expander |
| CN102571698A (zh) * | 2010-12-17 | 2012-07-11 | 中国移动通信集团公司 | 一种虚拟机访问权限的控制方法、系统及装置 |
| CN102707985A (zh) * | 2011-03-28 | 2012-10-03 | 中兴通讯股份有限公司 | 一种虚拟机系统的访问控制方法和系统 |
-
2012
- 2012-11-07 CN CN2012104415851A patent/CN102929690A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101668022A (zh) * | 2009-09-14 | 2010-03-10 | 陈博东 | 一种建立在虚拟机上的虚拟网络隔离系统及实现方法 |
| US8171176B2 (en) * | 2010-08-31 | 2012-05-01 | Lsi Corporation | Method for selective replication of physical devices on a virtual self-configuring zoning expander |
| CN102571698A (zh) * | 2010-12-17 | 2012-07-11 | 中国移动通信集团公司 | 一种虚拟机访问权限的控制方法、系统及装置 |
| CN102707985A (zh) * | 2011-03-28 | 2012-10-03 | 中兴通讯股份有限公司 | 一种虚拟机系统的访问控制方法和系统 |
| CN102299929A (zh) * | 2011-09-15 | 2011-12-28 | 北京天地云箱科技有限公司 | 虚拟机的访问控制方法、系统和装置 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9553768B2 (en) | 2013-11-04 | 2017-01-24 | Illumio, Inc. | Determining, without using a network, whether a firewall will block a particular network packet |
| CN108292234A (zh) * | 2015-12-22 | 2018-07-17 | 英特尔公司 | 用于实施对虚拟机的网络访问控制的技术 |
| CN105808318A (zh) * | 2016-03-07 | 2016-07-27 | 联想(北京)有限公司 | 一种信息处理方法和电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107038128B (zh) | 一种执行环境的虚拟化、虚拟执行环境的访问方法及装置 | |
| CN101257413B (zh) | 用于能够实现安全的位置感知平台的方法、装置和系统 | |
| US10257041B2 (en) | Deep network validation of configuration inputs for a network-dependent system | |
| US20120167081A1 (en) | Application Service Performance in Cloud Computing | |
| CN102870377A (zh) | 虚拟端口监控方法和设备 | |
| CN101808123B (zh) | 在存储系统中访问存储资源的方法和装置 | |
| CN103281203A (zh) | 一种基于ecos系统的DHCP地址分配管理方法 | |
| EP3418932A1 (en) | Method, system, and device for securely handling virtual function driver communications with a physical function driver | |
| US9686237B2 (en) | Secure communication channel using a blade server | |
| CN101120317A (zh) | 将存储器从一个虚拟机动态再分配到另一个的方法、装置和系统 | |
| CN101477476A (zh) | 多操作系统之间切换显示的控制方法和计算机系统 | |
| EP2637091A1 (en) | Management interface for multiple storage subsystems virtualization | |
| CN104091102B (zh) | 一种基于安卓系统的多用户管理方法及其装置 | |
| US10616348B2 (en) | System and method for providing multiple IPMI serial over LAN (SOL) sessions in management controller stack | |
| US9898600B2 (en) | Method and apparatus for managing application data of portable terminal | |
| GB2573726A (en) | Systems and methods for authenticating platform trust in a network function virtualization environment | |
| CN102148715A (zh) | 虚拟网络配置迁移的方法及设备 | |
| CN102929690A (zh) | 虚拟机访问控制的方法和装置 | |
| CN107547258B (zh) | 一种网络策略的实现方法和装置 | |
| CN105574402A (zh) | 一种控制方法及电子设备 | |
| US20100030923A1 (en) | I/o device n_port id virtualization | |
| CN106130765B (zh) | 虚拟桌面分配方法及装置 | |
| CN105068944A (zh) | Usb外设在虚拟化环境下的高可用方法及其架构 | |
| US8402084B2 (en) | Host embedded controller interface bridge | |
| US10642771B2 (en) | Data channel allocation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: WUXI CITY CLOUD COMPUTER CENTER CO., LTD. Free format text: FORMER OWNER: SUGON CLOUD COMPUTING TECHNOLOGY CO., LTD. Effective date: 20130315 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 100193 HAIDIAN, BEIJING TO: 214028 WUXI, JIANGSU PROVINCE |
|
| TA01 | Transfer of patent application right |
Effective date of registration: 20130315 Address after: Wuxi District of Jiangsu city of Wuxi province Zhenze road 214028 No. 18 Wuxi (National) whale Software Park B District North layer Applicant after: Wuxi City Cloud Computer Center Co.,Ltd. Address before: 100193 Beijing, Haidian District, northeast Wang West Road, building 8, building 36, floor 5 Applicant before: Shuguang Cloud Computing Technology Co., Ltd. |
|
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20130213 |