CN103581183B - 一种虚拟化安全隔离方法与装置 - Google Patents
一种虚拟化安全隔离方法与装置 Download PDFInfo
- Publication number
- CN103581183B CN103581183B CN201310530252.0A CN201310530252A CN103581183B CN 103581183 B CN103581183 B CN 103581183B CN 201310530252 A CN201310530252 A CN 201310530252A CN 103581183 B CN103581183 B CN 103581183B
- Authority
- CN
- China
- Prior art keywords
- strategy
- virtual machine
- updated
- group
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Stored Programmes (AREA)
Abstract
本发明实施例公开了一种虚拟化安全隔离方法与装置,涉及通信技术领域,能够在保证所有虚拟机的安全性的前提下,避免由于重新划分安全组所导致的需要重新配置安全策略的问题,从而节省了技术维护人员的大量时间和精力,降低了维护成本。本发明的方法包括:将至少二个虚拟机划分为策略组;在策略组的安全策略的基础上,添加待更新的虚拟机配套的安全策略,得到更新后的策略组的安全策略;将待更新的虚拟机更新至策略组,并在策略组启动时,下发更新后的策略组的安全策略。本发明适用于对虚拟机进行安全隔离的场景中。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种虚拟化安全隔离方法与装置。
背景技术
目前,随着云技术的不断发展,大量传统的数据中心也采用云技术,升级成为了云数据中心,云数据中心运用大量虚拟机作为服务器向用户提供各种服务。云数据中心一般会将虚拟机混合部署,由于虚拟机的安全等级不同,且不同安全等级的虚拟机之间可以直接自由访问,所以存在虚拟机之间相互攻击的安全隐患。为了消除虚拟机之间相互攻击的隐患,现有技术采用安全组的形式来进行虚拟机的安全隔离,将安全等级相同的虚拟机划分到同一个安全组,同一个安全组中的不同虚拟机配套的安全策略相同,安全组的安全策略的定义方式为三元组ACL(Access Control List,接入访问控制),三元组ACL表示为(源IP,协议号,目的端口),安全组的安全策略能够控制不同安全组之间的访问,所以可以防止不同安全等级的虚拟机互相自由访问,从而实现虚拟机之间的安全隔离,消除了虚拟机之间相互攻击的隐患。
但是,当系统进行更新升级,需要增加、减少或改变虚拟机时,由于同一个安全组内的虚拟机使用相同的安全策略,使得增加、减少或改变虚拟机会导致安全策略发生改变,如果想要保证所有虚拟机都可以得到满足各自安全性要求的安全策略,就需要将组内全部的虚拟机退出原安全组,并将这些虚拟机按照它们配套的安全策略重新划分,形成新的安全组,并根据新的安全组重新制定安全策略,再下发给新的安全组中的虚拟机。因此在系统更新升级中,为了保证安全组中所有虚拟机的安全性,需要重新划分安全组,并重新配置所有安全策略,这需要耗费技术维护人员的大量时间和精力,提高了维护成本。
发明内容
本发明的实施例提供一种虚拟化安全隔离方法与装置,能够在保证所有虚拟机的安全性的前提下,避免由于重新划分安全组所导致的需要重新配置安全策略的问题,从而节省技术维护人员的大量时间和精力,降低了维护成本。
为达到上述目的,本发明的实施例采用如下技术方案:
第一方面,本发明实施例提供一种虚拟化安全隔离方法,包括:
将至少二个虚拟机划分为策略组,所述策略组是一组虚拟机的集合,所述策略组中的不同虚拟机配套的安全策略不完全相同或不同;
在所述策略组的安全策略的基础上,添加所述待更新的虚拟机配套的安全策略,得到更新后的所述策略组的安全策略;
将所述待更新的虚拟机更新至所述策略组,并在所述策略组启动时,下发所述更新后的所述策略组的安全策略。
进一步的,所述将至少二个虚拟机划分为策略组,包括:
从安全域中获取所述至少二个虚拟机配套的安全策略;
将所述至少二个虚拟机配套的安全策略添加至所述策略组的安全策略中;
将所述从安全域中获取的所述至少二个虚拟机加入所述策略组,并下发所述策略组的安全策略。
可选的,所述待更新的虚拟机至少包括:新增加的虚拟机、替换的虚拟机、新增加端口的虚拟机、更改端口的虚拟机。
可选的,所述待更新的虚拟机是新增加的虚拟机或新增加端口的虚拟机;所述在所述策略组的安全策略的基础上,添加所述待更新的虚拟机配套的安全策略,包括:
获取所述待更新的虚拟机配套的安全策略;
将所述待更新的虚拟机配套的安全策略和所述策略组的安全策略进行对比,并得到特有安全策略,所述特有安全策略是所述待更新的虚拟机与所述策略组不同的安全策略;
将所述特有安全策略添加至所述策略组的安全策略中。
可选的,所述待更新的虚拟机是替换的虚拟机或更改端口的虚拟机;所述在所述策略组的安全策略的基础上,添加所述待更新的虚拟机配套的安全策略,包括:
获取所述待更新的虚拟机配套的安全策略和所述待更新的虚拟机配套的原安全策略;
检测所述待更新的虚拟机配套的原安全策略是否与所述策略组内的其他虚拟机或端口对应;
若对应,则修改或删除影响安全策略,并将所述待更新的虚拟机配套的安全策略添加至所述策略组,所述影响安全策略为所述待更新的虚拟机配套的原安全策略中与所述策略组内的其他虚拟机或端口对应的安全策略;
若不对应,则将所述待更新的虚拟机配套的安全策略添加至所述策略组的安全策略中。
进一步的,所述将所述待更新的虚拟机更新至所述策略组,包括:
获取所述待更新的虚拟机的标识信息;
获取所述策略组的标识;
根据所述标识信息与所述策略组的标识,将所述待更新的虚拟机添加至所述策略组。
第二方面,本发明实施例提供一种虚拟化安全隔离装置,包括:
划分模块,用于将至少二个虚拟机划分为策略组,所述策略组是一组虚拟机的集合,所述策略组中的不同虚拟机配套的安全策略不完全相同或不同;
策略添加模块,用于在所述策略组的安全策略的基础上,添加所述待更新的虚拟机配套的安全策略,得到更新后的所述策略组的安全策略;
更新模块,用于将所述待更新的虚拟机更新至所述策略组,并在所述策略组启动时,下发所述更新后的所述策略组的安全策略。
进一步的,所述划分模块,包括:
第一获取单元,用于从安全域中获取所述至少二个虚拟机配套的安全策略;
第一策略添加单元,用于将所述至少二个虚拟机配套的安全策略添加至所述策略组的安全策略中;
加入单元,用于将所述从安全域中获取的所述至少二个虚拟机加入所述策略组,并下发所述策略组的安全策略。
可选的,所述待更新的虚拟机至少包括:新增加的虚拟机、替换的虚拟机、新增加端口的虚拟机、更改端口的虚拟机。
可选的,所述待更新的虚拟机是新增加的虚拟机或新增加端口的虚拟机;所述策略添加模块,包括:
第二获取单元,用于获取所述待更新的虚拟机配套的安全策略;
对比单元,用于将所述待更新的虚拟机配套的安全策略和所述策略组的安全策略进行对比,并得到特有安全策略,所述特有安全策略是所述待更新的虚拟机与所述策略组不同的安全策略;
第二策略添加单元,用于将所述特有安全策略添加至所述策略组的安全策略中。
可选的,所述待更新的虚拟机是替换的虚拟机或更改端口的虚拟机;所述策略添加模块,还包括:
第三获取单元,用于获取所述待更新的虚拟机配套的安全策略和所述待更新的虚拟机配套的原安全策略;
检测单元,用于检测所述待更新的虚拟机配套的原安全策略是否与所述策略组内的其他虚拟机或端口对应;
修改单元,用于当对应时,修改或删除影响安全策略,并将所述待更新的虚拟机配套的安全策略添加至所述策略组,所述影响安全策略为所述待更新的虚拟机配套的原安全策略中与所述策略组内的其他虚拟机或端口对应的安全策略;
第三策略添加单元,用于当不对应时,将所述待更新的虚拟机配套的安全策略添加至所述策略组的安全策略中。
进一步的,所述更新模块,包括:
第四获取单元,用于获取所述待更新的虚拟机的标识信息;
第五获取单元,用于获取所述策略组的标识;
添加单元,用于根据所述标识信息与所述策略组的标识,将所述待更新的虚拟机添加至所述策略组。
本发明实施例提供的一种虚拟化安全隔离方法与装置,采用了策略组进行安全隔离。当需要对系统进行更新升级时,针对待更新的虚拟机,获取该待更新的虚拟机配套的安全策略,并将该待更新的虚拟机配套的安全策略添加到策略组的安全策略中。
在现有技术进行系统更新升级的方案中,需要将组内全部的虚拟机退出原安全组,获取更新的虚拟机配套的安全策略,并根据包括更新的虚拟机在内的所有虚拟机配套的安全策略,将所有虚拟机重新分组,重新制定每个安全组的安全策略,将所有虚拟机加入各自对应的策略组,从而完成系统更新升级的过程。
与现有技术的方案相比,本发明不需要将所有虚拟机重新分组,因此也不需要重新配置整个组的安全策略,而是在将所更新的虚拟机配套的安全策略添加至策略组的安全策略后,自动将虚拟机更新至策略组即可。在保证所有虚拟机的安全性的前提下,避免由于重新划分安全组所导致的需要重新配置安全策略的问题,从而节省了技术维护人员的大量时间和精力,降低了维护成本。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明实施例提供的一种虚拟化安全隔离方法的流程图;
图2为本发明实施例提供的一种虚拟化安全隔离方法的一种具体实现方式的流程图;
图3a为本发明实施例提供的一种虚拟化安全隔离方法的另一种具体实现方式的流程图;
图3b为本发明实施例提供的一种虚拟化安全隔离方法的又一种具体实现方式的流程图;
图4为本发明实施例提供的一种虚拟化安全隔离装置的结构示意图;
图5为本发明实施例提供的一种虚拟化安全隔离装置的一种具体实现方式的结构示意图;
图6为本发明实施例提供的一种虚拟化安全隔离装置的另一种具体实现方式的结构示意图;
图7为本发明实施例提供的一种虚拟化安全隔离装置的又一种具体实现方式的结构示意图;
图8为本发明实施例提供的一种虚拟化安全隔离装置的再一种具体实现方式的结构示意图;
图9为本发明实施例提供的一种策略组安全隔离装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
本发明实施例提供的技术方案能够将多个虚拟机划分为策略组,在系统进行更新升级时,在策略组的安全策略的基础上,添加待更新的虚拟机配套的安全策略,将待更新的虚拟机更新至策略组,并下发策略组更新后的安全策略。在实际应用中,该技术方案可以应用于虚拟化数据中心,虚拟化数据中心中的服务器可以是虚拟机,且不同的虚拟机可以用于不同的服务,如WEB服务(网络服务)、APP服务(应用服务)、DB服务(数据库服务)等。
本发明实施例提供了一种虚拟化安全隔离方法,如图1所示,包括:
101,将至少二个虚拟机划分为策略组。
其中,至少两个虚拟机可以是新创建的虚拟机,也可以是已经被划入安全域的虚拟机。
其中,策略组是一组虚拟机的集合,策略组中的不同虚拟机配套的安全策略不完全相同或不同,策略组的安全策略可以定义为五元组接入访问控制(五元组ACL)中五个元素中任意个元素的组合,五元组ACL中五个元素是源IP、目的IP、协议号、源端口、目的端口。比如:系统将三个虚拟机划分为一个策略组,三个虚拟机分别为VM1、VM2、VM3,VM1配套的安全策略为允许HTTP报文的访问、允许VM1访问VM3,VM2配套的安全策略为允许FTP报文的访问、允许VM2访问VM3,VM3配套的安全策略为允许VM1和VM2访问VM3。策略组中的不同虚拟机配套的安全策略也可以相同,但是策略组中的所有虚拟机配套的安全策略不能都相同,比如:系统将三个虚拟机划分为一个策略组,三个虚拟机分别为VM1、VM2、VM3,VM1配套的安全策略为允许HTTP报文的访问、允许VM1访问VM2,VM2配套的安全策略为允许HTTP报文的访问、允许VM1访问VM2,VM3配套的安全策略为允许HTTP报文的访问,VM1配套的安全策略与VM2配套的安全策略完全相同,但是VM1配套的安全策略不会与VM3配套的安全策略完全相同。
102,在所述策略组的安全策略的基础上,添加所述待更新的虚拟机配套的安全策略,得到更新后的所述策略组的安全策略。
其中,待更新的虚拟机可以是新增加的虚拟机、替换的虚拟机、新增加端口的虚拟机、更改端口的虚拟机,系统将待更新的虚拟机配套的安全策略添加至策略组的安全策略中。待更新的虚拟机也可以是需要删除的虚拟机,更新策略组时,系统要将需要删除的虚拟机配套的安全策略删去。待更新的虚拟机也可以是需要删除端口的虚拟机,更新策略组时,系统要将需要删除的端口对应的安全策略删去。
103,将所述待更新的虚拟机更新至所述策略组,并在所述策略组启动时,下发所述更新后的所述策略组的安全策略。
其中,待更新的虚拟机可以是新增加的虚拟机、替换的虚拟机、新增加端口的虚拟机、更改端口的虚拟机,系统将待更新的虚拟机更新至策略组。当待更新的虚拟机为新增加的虚拟机或替换的虚拟机时,系统需要将新增加的虚拟机或替换的虚拟机添加至策略组中;当待更新的虚拟机为新增加端口的虚拟机或更改端口的虚拟机,系统需要在操作中将新增加的端口或者更改的端口添加到虚拟机中。
本发明实施例提供的一种虚拟化安全隔离方法,将至少二个虚拟机划分为策略组,当需要对系统进行更新升级时,针对待更新的虚拟机,获取该待更新的虚拟机配套的安全策略,并将该待更新的虚拟机配套的安全策略添加到策略组的安全策略中。与现有技术的方案相比,本发明不需要将所有虚拟机重新分组,因此也不需要重新配置整个组的安全策略,而是在将所更新的虚拟机配套的安全策略添加至策略组的安全策略后,将虚拟机更新至策略组即可。在保证所有虚拟机的安全性的前提下,避免由于重新划分安全组所导致的需要重新配置安全策略的问题,从而节省了技术维护人员的大量时间和精力,降低了维护成本。
可选的,在图1所示的方案的基础上,本发明实施例还提供了一种虚拟化安全隔离方法的具体方案,对图1所示的方案中的101进行进一步细化,101可以具体实现为1011-1013,如图2所示,包括:
1011,从安全域中获取所述至少二个虚拟机配套的安全策略。
其中,至少二个虚拟机在添加至策略组前,可以是已经被划入安全域的虚拟机。若至少二个虚拟机是它们所属安全域中的所有虚拟机,那么获取至少二个虚拟机所属安全域的所有安全策略,比如:安全域中共有三个虚拟机,分别为VM1、VM2、VM3,现需要将VM1、VM2、VM3划分为策略组,安全域中VM1配套的安全策略为开通80端口、允许VM1访问VM2,安全域中VM2配套的安全策略为开通53端口、允许VM1访问VM2,安全域中VM3配套的安全策略为开通53端口,则安全域的安全策略为VM1开通80端口、允许VM1访问VM2、VM2开通53端口、VM3开通53端口,系统获取安全域的安全策略作为划分为策略组的三个虚拟机配套的安全策略。若至少二个虚拟机是它们所属安全域中的部分虚拟机,则只需要获取没有与至少二个虚拟机所属的安全域中的其他虚拟机有对应关系的安全策略,比如:安全域中共有三个虚拟机,分别为VM1、VM2、VM3,现只需要将VM1和VM2划分为策略组,安全域中VM1配套的安全策略为开通80端口、允许VM1访问VM3、允许VM1访问VM2,安全域中VM2配套的安全策略为开通53端口、允许VM1访问VM2,安全域中VM3配套的安全策略为开通53端口、允许VM1访问VM3,则安全域的安全策略为VM1开通80端口、允许VM1访问VM3、允许VM1访问VM2、VM2开通53端口、VM3开通53端口,系统获取VM1开通80端口、允许VM1访问VM2、VM2开通53端口作为划分为策略组的二个虚拟机配套的安全策略。
1012,将所述至少二个虚拟机配套的安全策略添加至所述策略组的安全策略中。
1013,将所述从安全域中获取的所述至少二个虚拟机加入所述策略组,并下发所述策略组的安全策略。
其中,系统可以接收用户的指定命令,将虚拟机加入由用户指定的策略组中。系统也可以根据虚拟机的属性,直接将虚拟机加入至于虚拟机属性匹配的策略组中。
本发明实施例提供的一种虚拟化安全隔离方法,从安全域中获取至少二个虚拟机配套的安全策略,将该安全策略添加至策略组的安全策略中,在将安全域中需要划分到策略组的至少二个虚拟机加入策略组,并下发安全策略,当需要对系统进行更新升级时,针对待更新的虚拟机,获取该待更新的虚拟机配套的安全策略,并将该待更新的虚拟机配套的安全策略添加到策略组的安全策略中。现有技术采用了安全组进行安全隔离,当将安全域中的至少二个虚拟机划分为安全组时,需要按照至少二个虚拟机配套的安全策略,将至少二个虚拟机重新分组,安全策略完全相同的虚拟机划分在同一个安全组中。与现有技术的方案相比,本发明在将安全域中的虚拟机划分为策略组时或在系统更新升级时,不需要将所有虚拟机重新分组,因此也不需要重新配置整个组的安全策略,而是在将所更新的虚拟机配套的安全策略添加至策略组的安全策略后,将虚拟机更新至策略组即可。在保证所有虚拟机的安全性的前提下,避免由于重新划分安全组所导致的需要重新配置安全策略的问题,从而节省了技术维护人员的大量时间和精力,降低了维护成本。
可选的,在图2所示方案的基础上,本发明实施例又提供了一种虚拟化安全隔离方法的具体方案,可以对102-103进行进一步的细化,102可以具体实现为1021a-1023a,103可以具体实现为1031-1033,如图3a所示,包括:
1021a,获取所述待更新的虚拟机配套的安全策略。
其中,待更新的虚拟机是新增加的虚拟机或新增加端口的虚拟机。
1022a,将所述待更新的虚拟机配套的安全策略和所述策略组的安全策略进行对比,并得到特有安全策略。
其中,特有安全策略是待更新的虚拟机与所述策略组不同的安全策略。比如:策略组中有三个虚拟机,分别为VM1、VM2、VM3,策略组的安全策略为允许HTTP报文的访问、允许VM1访问VM2、VM3开通21端口;现需要新增加一个虚拟机VM4,VM4配套的安全策略是允许HTTP报文的访问、开通23端口,则特有安全策略是VM4开通23端口。
1023a,将所述特有安全策略添加至所述策略组的安全策略中,得到更新后的所述策略组的安全策略。
其中,将待更新的虚拟机的特有安全策略添加至策略组的安全策略中即可,比如:在1022a的例子中,只需要将VM4配套的安全策略中的VM4开通23端口添加到策略组的安全策略中,更新后的策略组的安全策略为允许HTTP报文的访问、允许VM1访问VM2、VM3开通21端口、VM4开通23端口。
1031,获取所述待更新的虚拟机的标识信息。
其中,待更新的虚拟机的标识信息可以是创建虚拟机时指定的虚拟机的属性,比如:在创建待更新的虚拟机时,指定虚拟机的group属性为DMZ,则待更新的虚拟机的标识信息为group属性DMZ。
1032,获取所述策略组的标识。
其中,策略组的标识可以是策略组的组名,如策略组的组名是DMZ。
1033,根据所述标识信息与所述策略组的标识,将所述待更新的虚拟机添加至所述策略组,并在所述策略组启动时,下发所述更新后的所述策略组的安全策略。
其中,系统不需要接受用户的指定命令,就可以将待更新的虚拟机添加到拥有与标识信息匹配的标识的策略组中,比如:系统可以将group属性为DMZ的待更新的虚拟机添加至组名为DMZ的策略组中。
本发明实施例提供的一种虚拟化安全隔离方法,将至少二个虚拟机划分为策略组,当需要对系统进行更新升级时,针对待更新的虚拟机,获取该待更新的虚拟机配套的安全策略,得到待更新的虚拟机的特有安全策略,并将该待更新的虚拟机的特有安全策略添加到策略组的安全策略中。现有技术采用安全组进行安全隔离,在系统更新升级时,需要将所有虚拟机退出它们所在的安全组,再根据更新的安全策略,重新划分安全组,并重新为各个安全组配置安全策略。与现有技术的方案相比,本发明不需要将所有虚拟机重新分组,因此也不需要重新配置整个组的安全策略,而是在将所更新的虚拟机配套的安全策略添加至策略组的安全策略后,自动将虚拟机更新至策略组,不需要由用户输入指定命令,方便用户的操作。在保证所有虚拟机的安全性的前提下,避免由于重新划分安全组所导致的需要重新配置安全策略的问题,从而节省了技术维护人员的大量时间和精力,降低了维护成本。
可选的,在图3a所示的方案的基础上,本发明实施例还提供了一种虚拟化安全隔离方法的具体方案,102还可以具体实现为1021b-1024b,如图3b所示,包括:
1021b,获取所述待更新的虚拟机配套的安全策略和所述待更新的虚拟机配套的原安全策略。
其中,待更新的虚拟机可以为替换的虚拟机或更改端口的虚拟机。若待更新的虚拟机为替换的虚拟机,则待更新的虚拟机配套的原安全策略为被替换的虚拟机配套的安全策略。若待更新的虚拟机为更改端口的虚拟机,则待更新的虚拟机配套的原安全策略为更改端口前的虚拟机配套的安全策略。比如:策略组中共有四个虚拟机,分别为VM1、VM2、VM3、VM4,策略组的安全策略为允许VM1访问VM2、允许HTTP报文访问、VM2开通22端口、允许VM3访问VM4、VM3开通21端口、VM3开通53端口、VM4开通53端口,系统进行更新升级,要将VM3替换为VM5,则获取VM5配套的安全策略和系统升级前VM3配套的安全策略。还比如:策略组中共有三个虚拟机,分别为VM1、VM2、VM3,策略组的安全策略为允许VM1访问VM2、VM2开通22端口、VM3开通21端口、VM3开通53端口,系统进行更新升级,要将VM2开通的22端口更改为80端口,则获取VM2更改端口前配套的安全策略和VM更改端口后配套的安全策略。
1022b,检测所述待更新的虚拟机配套的原安全策略是否与所述策略组内的其他虚拟机或端口对应。
其中,与策略组内的其他虚拟机或端口对应是指待更新的虚拟机配套的原安全策略涉及到其他虚拟机或端口,比如:1021b的策略组中共有四个虚拟机的例子中,待更新的虚拟机配套的原安全策略为VM3配套的安全策略,也就是允许VM3访问VM4、VM3开通21端口、VM3开通53端口,其中的允许VM3访问VM4就与VM4对应。
1023b,若对应,则修改或删除影响安全策略,并将所述待更新的虚拟机配套的安全策略添加至所述策略组,得到更新后的所述策略组的安全策略。
其中,影响安全策略为待更新的虚拟机配套的原安全策略中与策略组内的其他虚拟机或端口对应的安全策略。比如:在1021b-1022b的策略组共有四个虚拟机的例子中,允许VM3访问VM4、VM3开通53端口为影响安全策略,若VM5配套的安全策略为允许VM5访问VM4、VM5允许HTTP报文访问、VM5开通53端口,则将允许VM3访问VM4、VM3开通53端口更改为允许VM5访问VM4、VM5开通53端口,删除VM3开通21端口,并将VM5允许HTTP报文访问添加至策略组的安全策略中,更新后的策略组的安全策略为允许VM1访问VM2、允许HTTP报文访问、VM2开通22端口、允许VM5访问VM4、VM5开通53端口、VM4开通53端口。
1024b,若不对应,则将所述待更新的虚拟机配套的安全策略添加至所述策略组的安全策略中,得到更新后的所述策略组的安全策略。
其中,若待更新的虚拟机配套的原安全策略不与其他虚拟机或端口对应,可以直接将待更新的虚拟机配套的安全策略添加至策略组的安全策略中,与策略组内的其他虚拟机或端口对应的待更新的虚拟机配套的原安全策略可以保留,也可以删除,或者从策略组的安全策略中移除,但作为备份存储。比如:策略组中共有三个虚拟机,分别为VM1、VM2、VM3,策略组的安全策略为允许VM1访问VM2、VM2开通22端口、VM3允许HTTP报文访问,系统进行更新升级,要将VM3替换为VM4,VM4配套的安全策略为允许VM4访问VM1,则将允许VM4访问VM1添加到策略组的安全策略中,更新后的策略组的安全策略是允许VM1访问VM2、VM2开通22端口、允许VM4访问VM1;更新后的策略组的安全策略可以保留VM3允许HTTP报文访问,但是在实际应用中,VM3允许HTTP报文访问这条安全策略不会发挥效力。
本发明实施例提供的一种虚拟化安全隔离方法,将至少二个虚拟机划分为策略组,当需要对系统进行更新升级时,针对待更新的虚拟机,获取待更新的虚拟机配套的安全策略和待更新的虚拟机配套的原安全策略,检测待更新的虚拟机配套的原安全策略是否与策略组内的其他虚拟机或端口对应,通过检测确定是否要修改或删除策略组的安全策略中的一部分。现有技术采用安全组进行安全隔离,在系统更新升级时,需要将所有虚拟机退出它们所在的安全组,再根据更新的安全策略,重新划分安全组,并重新为各个安全组配置安全策略。与现有技术的方案相比,本发明不需要将所有虚拟机重新分组,因此也不需要重新配置整个组的安全策略,而是在将所更新的虚拟机配套的安全策略添加至策略组的安全策略后,自动将虚拟机更新至策略组,不需要由用户输入指定命令,方便用户的操作。在保证所有虚拟机的安全性的前提下,避免由于重新划分安全组所导致的需要重新配置安全策略的问题,从而节省了技术维护人员的大量时间和精力,降低了维护成本。
本发明实施例提供了一种虚拟化安全隔离装置200,如图4所示,包括:
划分模块201,用于将至少二个虚拟机划分为策略组。
其中,策略组是一组虚拟机的集合,策略组中的不同虚拟机配套的安全策略不完全相同或不同。
策略添加模块202,用于在所述策略组的安全策略的基础上,添加所述待更新的虚拟机配套的安全策略,得到更新后的所述策略组的安全策略。
更新模块203,用于将所述待更新的虚拟机更新至所述策略组,并在所述策略组启动时,下发所述更新后的所述策略组的安全策略。
本发明实施例提供的一种虚拟化安全隔离装置,将至少二个虚拟机划分为策略组,当需要对系统进行更新升级时,针对待更新的虚拟机,获取该待更新的虚拟机配套的安全策略,并将该待更新的虚拟机配套的安全策略添加到策略组的安全策略中。与现有技术的方案相比,本发明不需要将所有虚拟机重新分组,因此也不需要重新配置整个组的安全策略,而是在将所更新的虚拟机配套的安全策略添加至策略组的安全策略后,将虚拟机更新至策略组即可。在保证所有虚拟机的安全性的前提下,避免由于重新划分安全组所导致的需要重新配置安全策略的问题,从而节省了技术维护人员的大量时间和精力,降低了维护成本。
可选的,在图4所示的方案的基础上,本发明实施例还提供了一种虚拟化安全隔离装置的具体方案,如图5所示,所述划分模块201,包括:
第一获取单元2011,用于从安全域中获取所述至少二个虚拟机配套的安全策略。
第一策略添加单元2012,用于将所述至少二个虚拟机配套的安全策略添加至所述策略组的安全策略中。
加入单元2013,用于将所述从安全域中获取的所述至少二个虚拟机加入所述策略组,并下发所述策略组的安全策略。
本发明实施例提供的一种虚拟化安全隔离装置,从安全域中获取至少二个虚拟机配套的安全策略,将该安全策略添加至策略组的安全策略中,在将安全域中需要划分到策略组的至少二个虚拟机加入策略组,并下发安全策略,当需要对系统进行更新升级时,针对待更新的虚拟机,获取该待更新的虚拟机配套的安全策略,并将该待更新的虚拟机配套的安全策略添加到策略组的安全策略中。现有技术采用了安全组进行安全隔离,当将安全域中的至少二个虚拟机划分为安全组时,需要按照至少二个虚拟机配套的安全策略,将至少二个虚拟机重新分组,安全策略完全相同的虚拟机划分在同一个安全组中。与现有技术的方案相比,本发明在将安全域中的虚拟机划分为策略组时或在系统更新升级时,不需要将所有虚拟机重新分组,因此也不需要重新配置整个组的安全策略,而是在将所更新的虚拟机配套的安全策略添加至策略组的安全策略后,将虚拟机更新至策略组即可。在保证所有虚拟机的安全性的前提下,避免由于重新划分安全组所导致的需要重新配置安全策略的问题,从而节省了技术维护人员的大量时间和精力,降低了维护成本。
可选的,在图5所示的方案的基础上,本发明实施例还提供了一种虚拟化安全隔离装置的具体方案,如图6所示,所述策略添加模块202,包括:
第二获取单元2021,用于获取所述待更新的虚拟机配套的安全策略。
其中,待更新的虚拟机是新增加的虚拟机或新增加端口的虚拟机。
对比单元2022,用于将所述待更新的虚拟机配套的安全策略和所述策略组的安全策略进行对比,并得到特有安全策略。
其中,特有安全策略是待更新的虚拟机与策略组不同的安全策略。
第二策略添加单元2023,用于将所述特有安全策略添加至所述策略组的安全策略中。
本发明实施例提供的一种虚拟化安全隔离装置,将至少二个虚拟机划分为策略组,当需要对系统进行更新升级时,针对待更新的虚拟机,获取该待更新的虚拟机配套的安全策略,得到待更新的虚拟机的特有安全策略,并将该待更新的虚拟机的特有安全策略添加到策略组的安全策略中。现有技术采用安全组进行安全隔离,在系统更新升级时,需要将所有虚拟机退出它们所在的安全组,再根据更新的安全策略,重新划分安全组,并重新为各个安全组配置安全策略。与现有技术的方案相比,本发明不需要将所有虚拟机重新分组,因此也不需要重新配置整个组的安全策略,而是在将所更新的虚拟机配套的安全策略添加至策略组的安全策略后,将虚拟机更新至策略组。在保证所有虚拟机的安全性的前提下,避免由于重新划分安全组所导致的需要重新配置安全策略的问题,从而节省了技术维护人员的大量时间和精力,降低了维护成本。
可选的,在图6所示的方案的基础上,本发明实施例还提供了一种虚拟化安全隔离装置的具体方案,如图7所示,所述策略添加模块202,还包括:
第三获取单元2024,用于获取所述待更新的虚拟机配套的安全策略和所述待更新的虚拟机配套的原安全策略。
其中,待更新的虚拟机是替换的虚拟机或更改端口的虚拟机。
检测单元2025,用于检测所述待更新的虚拟机配套的原安全策略是否与所述策略组内的其他虚拟机或端口对应。
修改单元2026,用于当对应时,修改或删除影响安全策略,并将所述待更新的虚拟机配套的安全策略添加至所述策略组。
其中,影响安全策略为待更新的虚拟机配套的原安全策略中与策略组内的其他虚拟机或端口对应的安全策略。
第三策略添加单元2027,用于当不对应时,将所述待更新的虚拟机配套的安全策略添加至所述策略组的安全策略中。
本发明实施例提供的一种虚拟化安全隔离装置,将至少二个虚拟机划分为策略组,当需要对系统进行更新升级时,针对待更新的虚拟机,获取待更新的虚拟机配套的安全策略和待更新的虚拟机配套的原安全策略,检测待更新的虚拟机配套的原安全策略是否与策略组内的其他虚拟机或端口对应,通过检测确定是否要修改或删除策略组的安全策略中的一部分。现有技术采用安全组进行安全隔离,在系统更新升级时,需要将所有虚拟机退出它们所在的安全组,再根据更新的安全策略,重新划分安全组,并重新为各个安全组配置安全策略。与现有技术的方案相比,本发明不需要将所有虚拟机重新分组,因此也不需要重新配置整个组的安全策略,而是在将所更新的虚拟机配套的安全策略添加至策略组的安全策略后,将虚拟机更新至策略组。在保证所有虚拟机的安全性的前提下,避免由于重新划分安全组所导致的需要重新配置安全策略的问题,从而节省了技术维护人员的大量时间和精力,降低了维护成本。
可选的,在图7所示的方案的基础上,本发明实施例还提供了一种虚拟化安全隔离装置的具体方案,如图8所示,所述更新模块203,包括:
第四获取单元2031,用于获取所述待更新的虚拟机的标识信息。
第五获取单元2032,用于获取所述策略组的标识。
添加单元2033,用于根据所述标识信息与所述策略组的标识,将所述待更新的虚拟机添加至所述策略组。
本发明实施例提供的一种虚拟化安全隔离装置,将至少二个虚拟机划分为策略组,当需要对系统进行更新升级时,针对待更新的虚拟机,获取该待更新的虚拟机配套的安全策略,并将该待更新的虚拟机配套的安全策略添加到策略组的安全策略中。与现有技术的方案相比,本发明不需要将所有虚拟机重新分组,因此也不需要重新配置整个组的安全策略,而是在将所更新的虚拟机配套的安全策略添加至策略组的安全策略后,自动将虚拟机更新至策略组,不需要由用户输入指定命令,方便用户的操作。在保证所有虚拟机的安全性的前提下,避免由于重新划分安全组所导致的需要重新配置安全策略的问题,从而节省了技术维护人员的大量时间和精力,降低了维护成本。
本发明实施例提供了一种策略组安全隔离装置300,如图9所示,包括:至少一个处理器301,例如CPU,至少一个通信总线302,至少一个网络接口303和/或至少一个用户接口304,存储器305。通信总线302用于实现这些组件之间的连接通信。网络接口303可以用于传输数据。用户接口304可以包括显示器、键盘、鼠标等设备。存储器305可能包含高速RAM存储器,也可能还包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。存储器305可以用于存储待更新的虚拟机配套的安全策略、待更新的虚拟机配套的原安全策略,也可以存储特有安全策略、影响安全策略,还可以存储待更新的虚拟机的标识信息和策略组的标识。
具体的,处理器301,可以用于将至少二个虚拟机划分为策略组,所述策略组是一组虚拟机的集合,所述策略组中的不同虚拟机配套的安全策略不完全相同或不同;以及,用于在所述策略组的安全策略的基础上,添加所述待更新的虚拟机配套的安全策略,得到更新后的所述策略组的安全策略;以及,用于将所述待更新的虚拟机更新至所述策略组,并在所述策略组启动时,下发所述更新后的所述策略组的安全策略。
可选的,待更新的虚拟机是新增加的虚拟机或新增加端口的虚拟机,处理器301还可以用于获取所述待更新的虚拟机配套的安全策略;以及,用于将所述待更新的虚拟机配套的安全策略和所述策略组的安全策略进行对比,并得到特有安全策略,所述特有安全策略是所述待更新的虚拟机与所述策略组不同的安全策略;以及,用于将所述特有安全策略添加至所述策略组的安全策略中。
可选的,待更新的虚拟机是替换的虚拟机或更改端口的虚拟机,处理器301还可以用于获取所述待更新的虚拟机配套的安全策略和所述待更新的虚拟机配套的原安全策略;以及,用于检测所述待更新的虚拟机配套的原安全策略是否与所述策略组内的其他虚拟机或端口对应;以及,用于当对应时,修改或删除影响安全策略,并将所述待更新的虚拟机配套的安全策略添加至所述策略组,所述影响安全策略为所述待更新的虚拟机配套的原安全策略中与所述策略组内的其他虚拟机或端口对应的安全策略;以及,用于当不对应时,将所述待更新的虚拟机配套的安全策略添加至所述策略组的安全策略中。
可选的,处理器301还可以用于获取所述待更新的虚拟机的标识信息;以及,用于获取所述策略组的标识;以及,用于根据所述标识信息与所述策略组的标识,将所述待更新的虚拟机添加至所述策略组。
本发明实施例提供的一种策略组安全隔离装置,将至少二个虚拟机划分为策略组,当需要对系统进行更新升级时,根据待更新的虚拟机是新增加的虚拟机或新增加端口的虚拟机,还是替换的虚拟机或更改端口的虚拟机,获取该待更新的虚拟机配套的安全策略,并以不同的方式将该待更新的虚拟机配套的安全策略添加到策略组的安全策略中。与现有技术的方案相比,本发明不需要将所有虚拟机重新分组,因此也不需要重新配置整个组的安全策略,而是在将所更新的虚拟机配套的安全策略添加至策略组的安全策略后,自动将虚拟机更新至策略组,不需要由用户输入指定命令,方便用户的操作。在保证所有虚拟机的安全性的前提下,避免由于重新划分安全组所导致的需要重新配置安全策略的问题,从而节省了技术维护人员的大量时间和精力,降低了维护成本。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于设备实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (12)
1.一种虚拟化安全隔离方法,其特征在于,包括:
将至少二个虚拟机划分为策略组,所述策略组是一组虚拟机的集合,所述策略组中的不同虚拟机配套的安全策略不完全相同或不同;
在所述策略组的安全策略的基础上,添加待更新的虚拟机配套的安全策略,得到更新后的所述策略组的安全策略;
将所述待更新的虚拟机更新至所述策略组,并在所述策略组启动时,下发所述更新后的所述策略组的安全策略。
2.根据权利要求1所述的方法,其特征在于,所述将至少二个虚拟机划分为策略组,包括:
从安全域中获取所述至少二个虚拟机配套的安全策略;
将所述至少二个虚拟机配套的安全策略添加至所述策略组的安全策略中;
将所述从安全域中获取的所述至少二个虚拟机加入所述策略组,并下发所述策略组的安全策略。
3.根据权利要求1所述的方法,其特征在于,所述待更新的虚拟机至少包括:新增加的虚拟机、替换的虚拟机、新增加端口的虚拟机、更改端口的虚拟机。
4.根据权利要求1或3所述的方法,其特征在于,所述待更新的虚拟机是新增加的虚拟机或新增加端口的虚拟机;所述在所述策略组的安全策略的基础上,添加所述待更新的虚拟机配套的安全策略,包括:
获取所述待更新的虚拟机配套的安全策略;
将所述待更新的虚拟机配套的安全策略和所述策略组的安全策略进行对比,并得到特有安全策略,所述特有安全策略是所述待更新的虚拟机与所述策略组不同的安全策略;
将所述特有安全策略添加至所述策略组的安全策略中。
5.根据权利要求1或3所述的方法,其特征在于,所述待更新的虚拟机是替换的虚拟机或更改端口的虚拟机;所述在所述策略组的安全策略的基础上,添加所述待更新的虚拟机配套的安全策略,包括:
获取所述待更新的虚拟机配套的安全策略和所述待更新的虚拟机配套的原安全策略;
检测所述待更新的虚拟机配套的原安全策略是否与所述策略组内的其他虚拟机或端口对应;
若对应,则修改或删除影响安全策略,并将所述待更新的虚拟机配套的安全策略添加至所述策略组,所述影响安全策略为所述待更新的虚拟机配套的原安全策略中与所述策略组内的其他虚拟机或端口对应的安全策略;
若不对应,则将所述待更新的虚拟机配套的安全策略添加至所述策略组的安全策略中。
6.根据权利要求1-3中任一项所述的方法,其特征在于,所述将所述待更新的虚拟机更新至所述策略组,包括:
获取所述待更新的虚拟机的标识信息;
获取所述策略组的标识;
根据所述标识信息与所述策略组的标识,将所述待更新的虚拟机添加至所述策略组。
7.一种虚拟化安全隔离装置,其特征在于,包括:
划分模块,用于将至少二个虚拟机划分为策略组,所述策略组是一组虚拟机的集合,所述策略组中的不同虚拟机配套的安全策略不完全相同或不同;
策略添加模块,用于在所述策略组的安全策略的基础上,添加待更新的虚拟机配套的安全策略,得到更新后的所述策略组的安全策略;
更新模块,用于将所述待更新的虚拟机更新至所述策略组,并在所述策略组启动时,下发所述更新后的所述策略组的安全策略。
8.根据权利要求7所述的装置,其特征在于,所述划分模块,包括:
第一获取单元,用于从安全域中获取所述至少二个虚拟机配套的安全策略;
第一策略添加单元,用于将所述至少二个虚拟机配套的安全策略添加至所述策略组的安全策略中;
加入单元,用于将所述从安全域中获取的所述至少二个虚拟机加入所述策略组,并下发所述策略组的安全策略。
9.根据权利要求7所述的装置,其特征在于,所述待更新的虚拟机至少包括:新增加的虚拟机、替换的虚拟机、新增加端口的虚拟机、更改端口的虚拟机。
10.根据权利要求7或9所述的装置,其特征在于,所述待更新的虚拟机是新增加的虚拟机或新增加端口的虚拟机;所述策略添加模块,包括:
第二获取单元,用于获取所述待更新的虚拟机配套的安全策略;
对比单元,用于将所述待更新的虚拟机配套的安全策略和所述策略组的安全策略进行对比,并得到特有安全策略,所述特有安全策略是所述待更新的虚拟机与所述策略组不同的安全策略;
第二策略添加单元,用于将所述特有安全策略添加至所述策略组的安全策略中。
11.根据权利要求7或9所述的装置,其特征在于,所述待更新的虚拟机是替换的虚拟机或更改端口的虚拟机;所述策略添加模块,还包括:
第三获取单元,用于获取所述待更新的虚拟机配套的安全策略和所述待更新的虚拟机配套的原安全策略;
检测单元,用于检测所述待更新的虚拟机配套的原安全策略是否与所述策略组内的其他虚拟机或端口对应;
修改单元,用于当对应时,修改或删除影响安全策略,并将所述待更新的虚拟机配套的安全策略添加至所述策略组,所述影响安全策略为所述待更新的虚拟机配套的原安全策略中与所述策略组内的其他虚拟机或端口对应的安全策略;
第三策略添加单元,用于当不对应时,将所述待更新的虚拟机配套的安全策略添加至所述策略组的安全策略中。
12.根据权利要求7-9中任一项所述的装置,其特征在于,所述更新模块,包括:
第四获取单元,用于获取所述待更新的虚拟机的标识信息;
第五获取单元,用于获取所述策略组的标识;
添加单元,用于根据所述标识信息与所述策略组的标识,将所述待更新的虚拟机添加至所述策略组。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310530252.0A CN103581183B (zh) | 2013-10-30 | 2013-10-30 | 一种虚拟化安全隔离方法与装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310530252.0A CN103581183B (zh) | 2013-10-30 | 2013-10-30 | 一种虚拟化安全隔离方法与装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103581183A CN103581183A (zh) | 2014-02-12 |
| CN103581183B true CN103581183B (zh) | 2017-01-04 |
Family
ID=50052113
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310530252.0A Active CN103581183B (zh) | 2013-10-30 | 2013-10-30 | 一种虚拟化安全隔离方法与装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103581183B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016106718A1 (zh) * | 2014-12-31 | 2016-07-07 | 华为技术有限公司 | 一种网络控制方法与虚拟交换机 |
| CN108293019B (zh) * | 2016-03-09 | 2020-06-02 | 华为技术有限公司 | 流表处理方法及装置 |
| EP3226168A1 (en) * | 2016-03-31 | 2017-10-04 | Nxp B.V. | Electronic device and protection method |
| CN107995144B (zh) * | 2016-10-26 | 2020-11-06 | 北京金山云网络技术有限公司 | 一种基于安全组的访问控制方法及装置 |
| CN107612923B (zh) * | 2017-10-09 | 2020-05-01 | 中国银联股份有限公司 | 一种基于网络策略组的业务访问方法及装置 |
| CN109379384A (zh) * | 2018-12-10 | 2019-02-22 | 广东电网有限责任公司 | 无线网络安全隔离方法、装置及电子设备 |
| CN114389876A (zh) * | 2022-01-13 | 2022-04-22 | 平安普惠企业管理有限公司 | 安全策略实施方法、装置、设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8010990B2 (en) * | 2006-10-26 | 2011-08-30 | Intel Corporation | Acceleration of packet flow classification in a virtualized system |
| CN102609309A (zh) * | 2012-01-19 | 2012-07-25 | 中兴通讯股份有限公司 | 一种用于云计算的策略调度系统和方法 |
| CN102843387A (zh) * | 2011-06-20 | 2012-12-26 | 倪海宇 | 一种基于安全分级的云计算安全控制平台 |
-
2013
- 2013-10-30 CN CN201310530252.0A patent/CN103581183B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8010990B2 (en) * | 2006-10-26 | 2011-08-30 | Intel Corporation | Acceleration of packet flow classification in a virtualized system |
| CN102843387A (zh) * | 2011-06-20 | 2012-12-26 | 倪海宇 | 一种基于安全分级的云计算安全控制平台 |
| CN102609309A (zh) * | 2012-01-19 | 2012-07-25 | 中兴通讯股份有限公司 | 一种用于云计算的策略调度系统和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103581183A (zh) | 2014-02-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103581183B (zh) | 一种虚拟化安全隔离方法与装置 | |
| CN102571698B (zh) | 一种虚拟机访问权限的控制方法、系统及装置 | |
| CN107070705B (zh) | 一种云资源的编排方法 | |
| CN104536909B (zh) | 一种存储管理方法,存储管理装置及存储设备 | |
| CN103701633B (zh) | 对分布式搜索SolrCloud进行可视化集群应用搭建和维护的系统 | |
| CN107580083A (zh) | 一种容器ip地址分配的方法和系统 | |
| CN109791500A (zh) | 虚拟机实例和客户可编程逻辑之间的中间主机集成电路 | |
| CN103399781B (zh) | 云服务器及其虚拟机管理方法 | |
| CN107995064A (zh) | 基于虚拟化技术的测试平台搭建方法 | |
| CN103077070A (zh) | 云计算管理系统以及云计算系统的管理方法 | |
| CN109643251A (zh) | 基于计算系统中的利用模式的资源过度订阅 | |
| CN109254831A (zh) | 基于云管理平台的虚拟机网络安全管理方法 | |
| CN112887121B (zh) | 一种管理网络服务的方法、设备及系统 | |
| WO2017185303A1 (zh) | 一种nfv mano策略描述符的管理方法及装置 | |
| CN103631931A (zh) | 一种数据分级存储方法及系统 | |
| CN108052569A (zh) | 数据库访问方法、装置、计算机可读存储介质和计算设备 | |
| CN109032799A (zh) | 存储资源管理方法、装置、设备及可读存储介质 | |
| CN108073352A (zh) | 虚拟磁盘处理方法及装置 | |
| CN111767139A (zh) | 一种跨地域多数据中心资源云服务建模方法及系统 | |
| CN104461779B (zh) | 一种分布式数据的存储方法、装置及系统 | |
| CN104657216B (zh) | 一种资源池的资源分配方法及装置 | |
| CN107992351A (zh) | 一种硬件资源分配方法及装置、电子设备 | |
| CN107562520A (zh) | 扩容虚拟机的内存的方法和装置 | |
| DE112020004801T5 (de) | Intelligenter datenpool | |
| CN107623699A (zh) | 一种基于云环境的加密系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |