CN104461683A - 一种虚拟机非法配置的校验方法、装置及系统 - Google Patents
一种虚拟机非法配置的校验方法、装置及系统 Download PDFInfo
- Publication number
- CN104461683A CN104461683A CN201410623918.1A CN201410623918A CN104461683A CN 104461683 A CN104461683 A CN 104461683A CN 201410623918 A CN201410623918 A CN 201410623918A CN 104461683 A CN104461683 A CN 104461683A
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- configuration
- key parameters
- indexes
- monitoring table
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 58
- 238000012795 verification Methods 0.000 title claims abstract description 41
- 238000012544 monitoring process Methods 0.000 claims abstract description 156
- 238000012545 processing Methods 0.000 claims description 19
- 238000004891 communication Methods 0.000 description 13
- 230000008569 process Effects 0.000 description 10
- 238000010586 diagram Methods 0.000 description 8
- 230000008859 change Effects 0.000 description 7
- 230000001360 synchronised effect Effects 0.000 description 7
- 230000006870 function Effects 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000006467 substitution reaction Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Landscapes
- Debugging And Monitoring (AREA)
Abstract
本发明的实施例提供一种虚拟机非法配置的校验方法、装置及系统,涉及虚拟化技术领域,解决了现有技术中无法感知虚拟层中对虚拟机内的关键参数的错误配置或者恶意配置的问题。该方案包括:获取虚拟化管理平台发送的配置监控表项,所述配置监控表项中配置有第一虚拟机合法的关键参数及指标,所述配置监控表项用于指示是否对所述第一虚拟机的配置进行监控,所述第一虚拟机为虚拟层中配置的N个虚拟机中的一个;在所述第一虚拟机启动后,获取所述第一虚拟机当前的关键参数及指标;根据所述配置监控表项和所述当前的关键参数及指标,对所述第一虚拟机的配置进行校验,以便于检测所述第一虚拟机内是否出现非法配置。
Description
技术领域
本发明涉及虚拟机技术领域,尤其涉及一种虚拟机非法配置的校验方法、装置及系统。
背景技术
在物理主机虚拟化技术中,虚拟层(Hypervisor)是一种运行在服务器和操作系统之间的中间软件层,它允许多个操作系统和应用共享硬件。
Hypervisor可以访问服务器上包括磁盘和内存在内的所有物理设备。Hypervisor不但协调着这些物理设备的硬件资源的访问,也同时在各个虚拟机(VM,Virtual Machine)之间施加防护。当服务器启动并执行Hypervisor时,它会加载所有虚拟机客户端的操作系统,同时为每一台虚拟机分配适量的内存,CPU,网络和磁盘等关键参数,实现对虚拟机的这些关键参数的管理。如图1所示,每一台服务器的Hypervisor上部署着多台虚拟机,虚拟化管理平台在创建虚拟机时为每一台虚拟机分配适量的内存,CPU,网络和磁盘等关键参数,每一台虚拟机与Hypervisor内的配置模块通过接口通信,配置模块中包括虚拟机配置表(VM configure table),该虚拟机配置表中存储有每一台虚拟机的各项关键参数,拥有权限的管理员可以在虚拟机配置表中对每一台虚拟机的各项关键参数进行配置。
然而,在Hypervisor内可能会出现对虚拟机内的关键参数的错误配置或者恶意配置的情况,由于虚拟化管理平台无法感知各个虚拟机的关键参数的错误配置或者恶意配置,就会造成对虚拟机的非法访问、恶意攻击以及资源滥用等问题。例如,管理员修改虚拟机配置表,将用户A的虚拟机从第一VPC(Virtual Private Cloud,虚拟私有云)修改到用户B所属的第二VPC,那么第二VPC中就会引入非可信的虚拟机,用户A便可以在第二VPC的网络内访问受控业务,甚至可能在第二VPC中发起恶意攻击。又例如,用户可能通过非法手段篡改虚拟机配置表中用户虚拟机的磁盘配置和CPU配置等关键参数,造成资源的滥用。
发明内容
本发明的实施例提供一种虚拟机非法配置的校验方法、装置及系统,解决了现有技术中无法感知Hypervisor中对虚拟机内的关键参数的错误配置或者恶意配置的问题。
为达到上述目的,本发明的实施例采用如下技术方案:
第一方面,本发明的实施例提供一种虚拟机非法配置的校验方法,所述方法包括:
获取虚拟化管理平台发送的配置监控表项,所述配置监控表项中配置有第一虚拟机合法的关键参数及指标,所述配置监控表项用于指示是否对所述第一虚拟机的配置进行监控,所述第一虚拟机为虚拟层中配置的N个虚拟机中的一个,N>0;
在所述第一虚拟机启动后,获取所述第一虚拟机当前的关键参数及指标;
根据所述配置监控表项和所述当前的关键参数及指标,对所述第一虚拟机的配置进行校验,以便于检测所述第一虚拟机内是否出现非法配置。
在第一方面的第一种可能的实现方式中,所述配置监控表项中所述第一虚拟机合法的关键参数,具体包括所述第一虚拟机的ID以及接口ID、所述第一虚拟机所属的VPC、所述第一虚拟机所属的安全组、所述第一虚拟机的磁盘大小、所述第一虚拟机的内存大小、所述第一虚拟机的CPU大小中的一个或多个。
结合第一方面或第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,所述根据所述配置监控表项和所述当前的关键参数及指标,对所述第一虚拟机的配置进行校验,包括:
将所述第一虚拟机当前的关键参数及指标分别与所述配置监控表项中第一虚拟机合法的关键参数及指标进行对比;
若所述当前的关键参数及指标与所述合法的关键参数及指标不一致,则将虚拟机配置表中的所述虚拟机的关键参数及指标替换为所述合法的关键参数及指标。
结合第一方面的第二种可能的实现方式,在第一方面的第三种可能的实现方式中,若所述当前的关键参数及指标与所述合法的关键参数及指标不一致,所述方法还包括:
若所述当前的关键参数中第一虚拟机所属的VPC与所述配置监控表项中所述第一虚拟机所属的VPC不一致,则禁止所述第一虚拟机在所述当前的关键参数中第一虚拟机所属的VPC中执行任何操作。
结合第一方面的第二种可能的实现方式,在第一方面的第四种可能的实现方式中,在所述将虚拟机配置表中的所述虚拟机的关键参数及指标替换为所述合法的关键参数及指标之后,还包括:
生成警报信息并上报至所述虚拟化管理平台,所述警报信息用于指示所述当前的关键参数及指标中与所述合法的关键参数及指标不一致的信息。
结合第一方面的第四种可能的实现方式,在第一方面的第五种可能的实现方式中,在所述生成警报信息并上报至所述虚拟化管理平台之后,还包括:
根据所述当前的关键参数及指标中与所述合法的关键参数及指标不一致的信息,确定非法配置的第一虚拟机ID;
根据所述非法配置的第一虚拟机ID,禁止所述非法配置的第一虚拟机运行。
结合第一方面以及第一方面的第一至第五种可能的实现方式,在第一方面的第六种可能的实现方式中,在所述周期性对所述第一虚拟机的配置进行校验之后,还包括:
若所述第一虚拟机迁移至目标主机,则将所述第一虚拟机的所述配置监控表项发送至所述目标主机,以便于所述目标主机对所述第一虚拟机的配置进行校验。
第二方面,本发明的实施例提供一种虚拟机非法配置的校验装置,所述装置包括:
获取单元,用于获取虚拟化管理平台发送的配置监控表项,所述配置监控表项中配置有第一虚拟机合法的关键参数及指标,所述配置监控表项用于指示是否对所述第一虚拟机的配置进行监控;以及在所述第一虚拟机启动后,获取所述第一虚拟机当前的关键参数及指标,所述第一虚拟机为虚拟层中配置的N个虚拟机中的一个,N>0;
校验单元,用于根据所述获取单元中的配置监控表项和所述当前的关键参数及指标,对所述第一虚拟机的配置进行校验,以便于检测所述第一虚拟机内是否出现非法配置。
在第二方面的第一种可能的实现方式中,
所述校验单元,具体用于将所述第一虚拟机当前的关键参数及指标分别与所述配置监控表项中第一虚拟机合法的关键参数及指标进行对比;若所述当前的关键参数及指标与所述合法的关键参数及指标不一致,则将虚拟机配置表中的所述虚拟机的关键参数及指标替换为所述合法的关键参数及指标;
其中,所述配置监控表项中所述第一虚拟机合法的关键参数,具体包括所述第一虚拟机的ID以及接口ID、所述第一虚拟机所属的VPC、所述第一虚拟机所属的安全组、所述第一虚拟机的磁盘大小、所述第一虚拟机的内存大小、所述第一虚拟机的CPU大小中的一个或多个。
结合第二方面的第一种可能的实现方式,在第二方面的第二种可能的实现方式中,所述装置还包括处理单元,其中,
所述处理单元,用于所述若校验单元中当前的关键参数中第一虚拟机所属的VPC与所述配置监控表项中所述第一虚拟机所属的VPC不一致,则禁止所述第一虚拟机在所述当前的关键参数中第一虚拟机所属的VPC中执行任何操作。
结合第二方面的第一种可能的实现方式,在第二方面的第三种可能的实现方式中,所述装置还包括发送单元,
所述处理单元,用于生成警报信息并所述警报信息用于指示所述当前的关键参数及指标中与所述合法的关键参数及指标不一致的信息;
所述发送单元,用于上报所述处理单元中的警报信息至所述虚拟化管理平台。
结合第二方面的第二种可能的实现方式,在第二方面的第四种可能的实现方式中,
所述处理单元,还用于根据所述当前的关键参数及指标中与所述合法的关键参数及指标不一致的信息,确定非法配置的第一虚拟机ID;根据所述非法配置的第一虚拟机ID,禁止所述非法配置的第一虚拟机运行。
结合第二方面以及第二方面的第一至第四种可能的实现方式,在第二方面的第五种可能的实现方式中,
所述发送单元,还用于若所述第一虚拟机迁移至目标主机,则将所述获取单元中所述第一虚拟机的所述配置监控表项发送至所述目标主机,以便于所述目标主机对所述第一虚拟机的配置进行校验。
第三方面,本发明的实施例提供一种虚拟机非法配置的校验系统,所述系统包括如第二方面以及第二方面的第一至第六种可能的实现方式中任一项可能的实现方式中所述的虚拟机非法配置的校验装置,以及与所述虚拟机非法配置的校验装置相连的虚拟化管理平台;其中,
所述虚拟机非法配置的校验装置与所述虚拟化管理平台之间使用第一接口通信,所述第一接口用于实现配置监控表项的转发和同步,所述配置监控表项中配置有第一虚拟机合法的关键参数及指标,所述配置监控表项用于指示是否对所述第一虚拟机的配置进行监控,所述第一虚拟机为虚拟层中配置的N个虚拟机中的一个,N>0。
在第三方面的第一种可能的实现方式中,所述虚拟机非法配置的校验装置应用于服务器中,所述服务器的配置模块还包括虚拟机配置表,所述虚拟机配置表用于配置所述第一虚拟机的关键参数及指标;其中,
所述配置模块与所述虚拟机非法配置的校验装置之间使用第二接口通信,所述第二接口用于实现所述配置监控表项内所述第一虚拟机合法的关键参数及指标的校验。
本发明的实施例提供一种虚拟机非法配置的校验方法、装置及系统,通过获取虚拟化管理平台新定义并发送的配置监控表项,根据配置监控表项中各个虚拟机合法的关键参数及指标对虚拟机当前的关键参数及指标进行监控和校验,进而感知到所述各个虚拟机内是否出现非法配置,保证了对虚拟机中可能出现的非法访问和恶意配置进行监控并校验,解决了现有技术中虚拟化管理平台无法感知Hypervisor中对虚拟机内的关键参数的错误配置或者恶意配置的问题。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为现有技术中虚拟层架构示意图;
图2为本发明实施例提供的一种虚拟机非法配置的校验系统的架构图一;
图3为本发明实施例提供的一种虚拟机非法配置的校验系统的架构图二;
图4为本发明实施例提供的一种虚拟机非法配置的校验方法的流程图一;
图5为本发明实施例提供的一种虚拟机非法配置的校验方法的流程图二;
图6为本发明的实施例提供的一种虚拟机非法配置的校验装置的硬件示意图;
图7为本发明的实施例提供的一种虚拟机非法配置的校验装置的结构示意图一;
图8为本发明的实施例提供的一种虚拟机非法配置的校验装置的结构示意图二;
图9为本发明的实施例提供的一种虚拟机非法配置的校验装置的结构示意图三。
具体实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、接口、技术之类的具体细节,以便透彻理解本发明。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本发明。在其它情况中,省略对众所周知的装置、电路以及方法的详细说明,以免不必要的细节妨碍本发明的描述。
为了方便理解本发明实施例,首先在此介绍本发明实施例描述中会引入的几个术语;
虚拟机VM:通过虚拟机软件可以在一台物理主机上模拟出一台或者多台虚拟的计算机,而这些虚拟机就像真正的计算机那样进行工作,虚拟机上可以安装操作系统和应用程序,虚拟机还可访问网络资源。对于在虚拟机中运行的应用程序而言,虚拟机就像是真正的计算机进行工作。
硬件层:虚拟化环境运行的硬件平台。其中,硬件层可包括多种硬件,例如某物理主机的硬件层可包括处理器(例如CPU)和内存,还可以包括网卡(例如RDMA网卡)、存储器、高速/低速输入/输出(I/O,Input/Output)设备,及具有特定处理功能的其它设备。
虚拟层(Hypervisor):是一种运行在服务器和操作系统之间的中间软件层,它允许多个操作系统和应用共享硬件。Hypervisor可以访问服务器上包括磁盘和内存在内的所有物理设备。Hypervisor不但协调着这些物理设备的硬件资源的访问,也同时在各个虚拟机(VM,Virtual Machine)之间施加防护。当服务器启动并执行Hypervisor时,它会加载所有虚拟机客户端的操作系统,同时为每一台虚拟机分配适量的内存,CPU,网络和磁盘等关键参数,实现对虚拟机的这些关键参数的管理。
实施例一
本发明的实施例提供一种虚拟机非法配置的校验系统,如图2所示,所述系统包括虚拟机非法配置的校验装置01,以及与所述虚拟机非法配置的校验装置01相连的虚拟化管理平台02;其中,
所述虚拟机非法配置的校验装置01与所述虚拟化管理平台02之间使用第一接口通信,所述第一接口用于实现配置监控表项的转发和同步,所述配置监控表项中配置有虚拟化管理平台02所管理的各个虚拟机合法的关键参数及指标,所述配置监控表项用于指示是否对所述各个虚拟机的配置进行监控,示例性的本发明的后续实施例中以第一虚拟机为例进行说明,该第一虚拟机为虚拟层(Hypervisor)中配置的N个虚拟机中的一个。
另外,上述虚拟机合法的关键参数,是指虚拟化管理平台02为虚拟机配置的参数类别,例如虚拟机的ID、内存大小等;上述虚拟机合法的关键指标,是指虚拟化管理平台02为虚拟机配置的每一个参数所对应的合理阈值或者合理的阈值范围,例如,第一虚拟机的内存大小的关键指标为500兆(M)至600兆。
进一步地,如图3所示,所述虚拟机非法配置的校验装置01应用于服务器中,所述服务器的配置模块03还包括虚拟机配置表,所述虚拟机配置表03用于配置所述第一虚拟机的关键参数及指标;其中,
所述服务器的配置模块03与所述虚拟机非法配置的校验装置01之间使用第二接口通信,所述第二接口用于实现所述配置监控表项内第一虚拟机合法的关键参数及指标的校验。
具体的,虚拟机非法配置的校验装置01获取虚拟化管理平台02发送的配置监控表项,所述配置监控表项中配置有第一虚拟机合法的关键参数及指标,所述配置监控表项用于指示是否对所述第一虚拟机的配置进行监控;虚拟机非法配置的校验装置01在所述第一虚拟机启动后,周期性地从服务器中的配置模块获取所述第一虚拟机当前的关键参数及指标;虚拟机非法配置的校验装置01根据所述配置监控表项和所述当前的关键参数及指标,周期性对所述第一虚拟机的配置进行校验,以便于检测所述第一虚拟机内是否出现非法配置。
进一步地,所述配置监控表项中的第一虚拟机合法的关键参数,包括所述第一虚拟机的ID以及接口ID、所述第一虚拟机所属的VPC(Virtual Private Cloud,虚拟私有云)、所述第一虚拟机所属的安全组(Security Group)、所述第一虚拟机的磁盘大小(Storage Size)、所述第一虚拟机的内存大小(Memory Size)、所述第一虚拟机的CPU大小(CPU Size)中的一个或多个。
进一步地,步骤虚拟机非法配置的校验装置01根据所述配置监控表项和所述当前的关键参数及指标,周期性对所述第一虚拟机的配置进行校验,可以具体包括:虚拟机非法配置的校验装置01将所述第一虚拟机当前的关键参数及指标分别与所述配置监控表项中第一虚拟机合法的关键参数及指标进行对比;若所述当前的关键参数及指标与所述合法的关键参数及指标不一致,虚拟机非法配置的校验装置01则将所述合法的关键参数及指标覆盖至虚拟机配置表03,以更改所述虚拟机配置表03中的非法配置。
进一步地,在步骤虚拟机非法配置的校验装置01将所述合法的关键参数及指标覆盖至虚拟机配置表03之后,还可以包括:虚拟机非法配置的校验装置01生成警报信息并通过所述第一接口上报至所述虚拟化管理平台02,所述警报信息用于指示所述当前的关键参数及指标中与所述合法的关键参数及指标不一致的信息。
进一步地,在步骤虚拟机非法配置的校验装置01生成警报信息并上报至所述虚拟化管理平台02之后,还可以包括:虚拟机非法配置的校验装置01根据所述当前的关键参数及指标中与所述合法的关键参数及指标不一致的信息,确定非法配置的第一虚拟机ID;虚拟机非法配置的校验装置01根据所述非法配置的第一虚拟机ID,禁止所述非法配置的第一虚拟机对外通信。
进一步地,在步骤虚拟机非法配置的校验装置01确定非法配置的第一虚拟机ID之后,还可以包括:针对所述当前的关键参数及指标中与所述合法的关键参数及指标一致的信息,虚拟机非法配置的校验装置01允许所述非法配置的第一虚拟机对外通信;针对所述当前的关键参数及指标中与所述合法的关键参数及指标不一致的信息,虚拟机非法配置的校验装置01禁止所述非法配置的第一虚拟机对外通信。
进一步地,在步骤虚拟机非法配置的校验装置01获取虚拟化管理平台02发送的配置监控表项之后,还可以包括:虚拟机非法配置的校验装置01将所述配置监控表项通过所述第二接口同步至所述虚拟机配置表03,以便于检测所述虚拟机配置表03中出现的非法配置。
进一步地,在步骤虚拟机非法配置的校验装置01周期性对所述第一虚拟机的配置进行校验之后,还可以包括:若所述第一虚拟机迁移至目标主机,虚拟机非法配置的校验装置01则将所述第一虚拟机的所述配置监控表项发送至所述目标主机,以便于所述目标主机对所述第一虚拟机的配置进行校验。
本发明的实施例提供一种虚拟机非法配置的校验系统,首先,获取虚拟化管理平台发送的配置监控表项,配置监控表项中配置有第一虚拟机合法的关键参数及指标,配置监控表项用于指示是否对第一虚拟机的配置进行监控;在第一虚拟机启动后,周期性获取第一虚拟机当前的关键参数及指标;最后,根据配置监控表项和当前的关键参数及指标,周期性对第一虚拟机的配置进行校验,以便于检测第一虚拟机内是否出现非法配置。该方案通过获取虚拟化管理平台发送的配置监控表项,根据配置监控表项中第一虚拟机合法的关键参数及指标对虚拟机当前的关键参数及指标进行监控和校验,进而感知到第一虚拟机内是否出现非法配置,保证了对虚拟机中可能出现的非法访问和恶意配置进行监控并校验,解决了现有技术中虚拟化管理平台无法感知Hypervisor中对虚拟机内的关键参数的错误配置或者恶意配置的问题。
实施例二
本发明的实施例提供一种虚拟机非法配置的校验方法,如图4所示,包括:
101、虚拟机非法配置的校验装置获取虚拟化管理平台发送的配置监控表项;
102、在第一虚拟机启动后,虚拟机非法配置的校验装置获取第一虚拟机当前的关键参数及指标;
103、虚拟机非法配置的校验装置根据配置监控表项和当前的关键参数及指标,对第一虚拟机的配置进行校验。
本发明的实施例提供一种虚拟机非法配置的校验方法,应用于虚拟机非法配置的校验系统(如图3所示),在对虚拟机进行非法配置的校验过程中,首先需要创建虚拟机,且为所述虚拟机分配IP(Internet Protocol,网络之间互联的协议)地址,具体的,可以使用基于虚拟化平台静态分配方式或基于DHCP(Dynamic HostConfiguration Protocol,动态主机配置协议)的动态分配方式两种分配IP地址的方法为虚拟机分配IP地址,本发明实施例对此不作限制。
在步骤101中,每一台物理服务器中可以创建一个或多个虚拟机,具体的,在虚拟机的创建过程中,虚拟机非法配置的校验装置可以从虚拟化管理平台处获取配置监控表项。
其中,所述配置监控表项中配置有第一虚拟机合法的关键参数及指标,配置监控表项用于指示是否对第一虚拟机的配置进行监控。所述虚拟化管理平台是整个虚拟机非法配置的校验系统的管理和控制中心,虚拟化管理平台可以为各个物理服务器的第一虚拟机配置初始的关键参数和指标,例如第一虚拟机所属的安全组、所述第一虚拟机的磁盘大小、所述第一虚拟机的内存大小等等,具有虚拟化管理平台管理权限的管理员可以更改第一虚拟机的关键参数并下发至第一虚拟机。
另外,在每一台物理服务器的配置模块中还配置有虚拟机配置表(VM CONFIGURE TABLE),该虚拟机配置表中配置有对应的服务器中的第一虚拟机的关键参数,拥有虚拟机配置表的管理权限的管理员可以更改虚拟机配置表中的配置,进而使得第一虚拟机中的配置得到修改。
可以看出,一旦服务器中的虚拟机配置表被恶意修改或者错误配置,就会导致对虚拟机的非法访问、恶意攻击以及资源滥用等问题,同时由于虚拟化管理平台不能感知对虚拟机的非法访问、恶意攻击以及资源滥用等问题,进而会对用户的网络安全,隐私等内容造成持续性的影响。
为解决上述问题,在虚拟机的创建过程中,虚拟机非法配置的校验装置可以从虚拟化管理平台处获取配置监控表项,所述配置监控表项中的第一虚拟机合法的关键参数,包括所述第一虚拟机的ID以及接口ID、所述第一虚拟机所属的VPC、所述第一虚拟机所属的安全组、所述第一虚拟机的磁盘大小、所述第一虚拟机的内存大小、所述第一虚拟机的CPU大小中的一个或多个;并将所述配置监控表项通过第二接口同步至虚拟机配置表,以使得虚拟机配置表内的关键参数的配置与虚拟化管理平台中对第一虚拟机的关键参数的配置同步。
在步骤102中,在获取虚拟化管理平台发送的配置监控表项之后,启动所述第一虚拟机,虚拟机此时处于运行状态,虚拟机非法配置的校验装置可以获取所述第一虚拟机当前的关键参数及指标。
具体的,为保证虚拟机配置表内的关键参数的配置与虚拟化管理平台中对第一虚拟机的关键参数的配置同步,避免对虚拟机配置表内的关键参数的配置的非法篡改,虚拟机非法配置的校验装置的从虚拟机配置表中获取第一虚拟机当前的关键参数及指标,例如第一虚拟机所属的安全组、所述第一虚拟机的磁盘大小、所述第一虚拟机的内存大小等,以便于虚拟机非法配置的校验装置对当前虚拟机的运行情况进行评估。
在步骤103中,虚拟机非法配置的校验装置获取所述第一虚拟机当前的关键参数及指标之后,可以根据所述配置监控表项和所述当前的关键参数及指标,对所述第一虚拟机的配置进行校验,以便于检测所述第一虚拟机内是否出现非法配置。
具体的,虚拟机非法配置的校验装置获取所述第一虚拟机当前的关键参数及指标之后,可以先将所述第一虚拟机当前的关键参数及指标分别与所述配置监控表项中第一虚拟机合法的关键参数及指标进行对比;若所述当前的关键参数及指标与所述合法的关键参数及指标不一致,虚拟机非法配置的校验装置则将虚拟机配置表中的所述虚拟机的关键参数及指标替换为所述合法的关键参数及指标。这样一来,通过对所述第一虚拟机的配置进行校验,保证了保证虚拟机配置表内的关键参数的配置与虚拟化管理平台中对第一虚拟机的关键参数的配置同步,避免对虚拟机配置表内的关键参数的配置的非法篡改。
当然,虚拟机非法配置的校验装置获取所述第一虚拟机当前的关键参数及指标之后,还可以将从虚拟化管理平台发送的配置监控表项直接同步至虚拟机配置表内,以保证了虚拟机配置表内的关键参数的配置与虚拟化管理平台中对第一虚拟机的关键参数的配置同步。
进一步地,若所述当前的关键参数及指标与所述合法的关键参数及指标不一致,虚拟机非法配置的校验装置还可以将该不一致的非法配置上报至虚拟化管理平台,以使得虚拟化管理平台及时获知服务器内的虚拟机的配置是否被篡改,进而回溯篡改位置和篡改原因,及时对非法篡改虚拟机配置情况进行查处。
具体的,在将所述合法的关键参数及指标覆盖至虚拟机配置表之后,虚拟机非法配置的校验装置可以生成警报信息并上报至所述虚拟化管理平台,所述警报信息用于指示所述当前的关键参数及指标中与所述合法的关键参数及指标不一致的信息。
进一步地,虚拟机非法配置的校验装置可以根据所述当前的关键参数及指标中与所述合法的关键参数及指标不一致的信息,确定非法配置的第一虚拟机ID;并根据所述非法配置的第一虚拟机ID,禁止所述非法配置的第一虚拟机对外通信,直至所述非法配置的第一虚拟机的当前的关键参数及指标与所述合法的关键参数及指标一致后,虚拟机非法配置的校验装置恢复所述第一虚拟机对外通信,以保证该第一虚拟机内没有非法配置。
相应的,如果所述当前的关键参数中第一虚拟机所属的VPC与所述配置监控表项中所述第一虚拟机所属的VPC不一致,则禁止所述第一虚拟机在所述当前的关键参数中第一虚拟机所属的VPC中执行任何操作,以保证第一虚拟机在不影响其他虚拟机的与其所在的VPC交互的同时制止自身使用恶意篡改的VPC对外通信。
另外,在虚拟机非法配置的校验装置对第一虚拟机的关键参数进行校验的过程中,若所述第一虚拟机迁移至目标主机,虚拟机非法配置的校验装置则将所述第一虚拟机的所述配置监控表项发送至所述目标主机,以便于所述目标主机对第一虚拟机的配置进行校验。
本发明的实施例提供一种虚拟机非法配置的校验方法,首先,获取虚拟化管理平台发送的配置监控表项,配置监控表项中配置有第一虚拟机合法的关键参数及指标,配置监控表项用于指示是否对第一虚拟机的配置进行监控;在第一虚拟机启动后,周期性获取第一虚拟机当前的关键参数及指标;最后,根据配置监控表项和当前的关键参数及指标,周期性对第一虚拟机的配置进行校验,以便于检测第一虚拟机内是否出现非法配置。该方案通过获取虚拟化管理平台发送的配置监控表项,根据配置监控表项中第一虚拟机合法的关键参数及指标对虚拟机当前的关键参数及指标进行监控和校验,进而感知到第一虚拟机内是否出现非法配置,保证了对虚拟机中可能出现的非法访问和恶意配置进行监控并校验,解决了现有技术中虚拟化管理平台无法感知Hypervisor中对虚拟机内的关键参数的错误配置或者恶意配置的问题。
实施例三
本发明的实施例提供一种虚拟机非法配置的校验方法,如图5所示,包括:
201、虚拟机非法配置的校验装置获取虚拟化管理平台发送的配置监控表项;
202、虚拟机非法配置的校验装置将所述配置监控表项同步至所述虚拟机配置表;
203、在第一虚拟机启动后,虚拟机非法配置的校验装置周期性获取第一虚拟机当前的关键参数及指标;
204、虚拟机非法配置的校验装置根据配置监控表项和当前的关键参数及指标,周期性对第一虚拟机的配置进行校验;
205、虚拟机非法配置的校验装置生成警报信息并上报至所述虚拟化管理平台;
206、虚拟机非法配置的校验装置根据所述当前的关键参数及指标中与所述合法的关键参数及指标不一致的信息,确定非法配置的第一虚拟机ID;
207、虚拟机非法配置的校验装置根据所述非法配置的第一虚拟机ID,禁止所述非法配置的第一虚拟机对外通信。
在步骤201中,在虚拟机的创建过程中,虚拟机非法配置的校验装置可以通过第一接口从虚拟化管理平台处获取配置监控表项。其中,所述配置监控表项中配置有第一虚拟机合法的关键参数及指标,配置监控表项用于指示是否对第一虚拟机的配置进行监控。如表1所示,所述配置监控表项中配置有第一虚拟机合法的关键参数及指标,配置监控表项用于指示是否对第一虚拟机的配置进行监控。其中,虚拟机合法的关键参数,是指虚拟化管理平台02为虚拟机配置的参数类别,例如虚拟机的ID、内存大小等;虚拟机合法的关键指标,是指虚拟化管理平台02为虚拟机配置的每一个参数所对应的合理阈值或者合理的阈值范围,例如,第一虚拟机的内存大小的关键指标为500兆至600兆。
所述虚拟化管理平台是整个虚拟机非法配置的校验系统的管理和控制中心,虚拟化管理平台可以为各个物理服务器的第一虚拟机配置初始的关键参数,例如第一虚拟机所属的安全组、所述第一虚拟机的磁盘大小、所述第一虚拟机的内存大小等等,具有虚拟化管理平台管理权限的管理员可以更改第一虚拟机的关键参数并下发至第一虚拟机。
表1
进一步地,在虚拟机启动后,虚拟机非法配置的校验装置仍然可以从虚拟化管理平台处获取配置监控表项,以保证第一虚拟机可以实时的获取虚拟机的合法的关键参数,防止恶意篡改。
在步骤202中,虚拟机非法配置的校验装置获取虚拟化管理平台发送的配置监控表项之后,将所述配置监控表项同步至所述虚拟机配置表。
具体的,在每一台物理服务器的配置模块中还配置有虚拟机配置表(VM CONFIGURE TABLE),该虚拟机配置表中配置有对应的服务器中的第一虚拟机的关键参数,拥有虚拟机配置表的管理权限的管理员可以更改虚拟机配置表中的配置,进而使得第一虚拟机中的配置得到修改。
虚拟机非法配置的校验装置获取虚拟化管理平台发送的配置监控表项之后,虚拟机非法配置的校验装置通过第二接口将所述配置监控表项同步至所述虚拟机配置表中,以使得第一虚拟机的关键参数及指标与虚拟化管理平台保持一致,防止恶意篡改。
在步骤203中,当虚拟机的创建完成之后,虚拟机开始启动,进入运行状态,此时,虚拟机非法配置的校验装置周期性地从服务器的配置模块中的虚拟机配置表里获取第一虚拟机当前的关键参数及指标。
具体的,为保证虚拟机配置表内的关键参数的配置与虚拟化管理平台中对第一虚拟机的关键参数的配置同步,避免对虚拟机配置表内的关键参数的配置的非法篡改,虚拟机非法配置的校验装置周期性的从虚拟机配置表中获取第一虚拟机当前的关键参数及指标,例如第一虚拟机所属的安全组、所述第一虚拟机的磁盘大小、所述第一虚拟机的内存大小等,以便于虚拟机非法配置的校验装置对当前虚拟机的运行情况进行评估。
在步骤204中,虚拟机非法配置的校验装置周期性获取所述第一虚拟机当前的关键参数及指标之后,可以根据所述配置监控表项和所述当前的关键参数及指标,周期性对所述第一虚拟机的配置进行校验。
具体的,虚拟机非法配置的校验装置周期性获取所述第一虚拟机当前的关键参数及指标之后,可以先将所述第一虚拟机当前的关键参数及指标分别与所述配置监控表项中第一虚拟机合法的关键参数及指标进行对比;若所述当前的关键参数及指标与所述合法的关键参数及指标不一致,虚拟机非法配置的校验装置则将所述合法的关键参数及指标覆盖至虚拟机配置表,以更改所述虚拟机配置表中的非法配置。这样一来,通过周期性对所述第一虚拟机的配置进行校验,保证了保证虚拟机配置表内的关键参数的配置与虚拟化管理平台中对第一虚拟机的关键参数的配置同步,避免对虚拟机配置表内的关键参数的配置的非法篡改。
示例性的,如表2所示,为虚拟化管理平台下发至虚拟机非法配置的校验装置的第一虚拟机的配置监控表项。虚拟机非法配置的校验装置获取第一虚拟机当前的内存大小为500G,磁盘大小为500M,进而,虚拟机非法配置的校验装置将上述第一虚拟机当前的关键参数及指标分别与上述配置监控表项(如表2所示)中第一虚拟机合法的关键参数及指标进行对比可知,第一虚拟机当前的内存大小(500G)与配置监控表项中第一虚拟机的内存大小不一致,说明服务器内的虚拟机配置表被篡改,减小了第一虚拟机的内存大小,此时,虚拟机非法配置的校验装置则将所述合法的关键参数及指标覆盖至虚拟机配置表,以更改所述虚拟机配置表中的非法配置。这样一来,第一虚拟机的内存大小又恢复到500G,保证了保证虚拟机配置表内的关键参数的配置与虚拟化管理平台中对第一虚拟机的关键参数的配置同步,避免对虚拟机配置表内的关键参数的配置的非法篡改。
表2
在步骤205中,在虚拟机非法配置的校验装置对所述第一虚拟机的配置进行校验之后,虚拟机非法配置的校验装置还可以生成警报信息并上报至所述虚拟化管理平台。
其中,所述警报信息用于指示所述当前的关键参数及指标中与所述合法的关键参数及指标不一致的信息,以使得虚拟化管理平台及时获知虚拟机配置表中被篡改的参数和指标。这样一来,在发生虚拟机遭到非法配置的情况下,虚拟化管理平台可以及时回溯进而获知篡改信息,同时,虚拟化管理平台还可以调用邮件或者短信系统,向发生篡改的虚拟机的用户进行上报,提高用户体验。
在步骤206中,虚拟机非法配置的校验装置还可以根据所述当前的关键参数及指标中与所述合法的关键参数及指标不一致的信息,确定非法配置的第一虚拟机ID。
具体的,虚拟机非法配置的校验装置可以从对应虚拟机的配置监控表中获取非法配置的第一虚拟机ID。
在步骤207中,在虚拟机非法配置的校验装置确定非法配置的第一虚拟机ID之后,虚拟机非法配置的校验装置进一步地根据所述非法配置的第一虚拟机ID,禁止所述非法配置的第一虚拟机对外通信,以保护遭到非法配置的第一虚拟机。
具体的,禁止所述非法配置的第一虚拟机对外通信可以包括两种情况,第一,禁止所述非法配置的第一虚拟机对外的所有通信,第二,针对所述当前的关键参数及指标中与所述合法的关键参数及指标一致的信息,可以允许所述非法配置的第一虚拟机对外通信;而针对所述当前的关键参数及指标中与所述合法的关键参数及指标不一致的信息,则禁止所述非法配置的第一虚拟机对外通信,例如,第一虚拟机的所述VPC由网络群组1篡改至网络群组2,那么,虚拟机非法配置的校验装置可以禁止第一虚拟机在网络群组2中执行任何操作,以保证网络群组2所对应的合法虚拟机的网络资源不被他人使用。当所述非法配置的第一虚拟机的当前的关键参数及指标与所述合法的关键参数及指标一致后,虚拟机非法配置的校验装置可以恢复该第一虚拟机对外通信保证第一虚拟机内没有非法配置。
另外,在虚拟机非法配置的校验装置对第一虚拟机的关键参数进行校验的过程中,若所述第一虚拟机迁移至目标主机,虚拟机非法配置的校验装置则将所述第一虚拟机的所述配置监控表项发送至所述目标主机,以便于所述目标主机对所述第一虚拟机的配置进行校验。
本发明的实施例提供一种虚拟机非法配置的校验方法,首先,获取虚拟化管理平台发送的配置监控表项,配置监控表项中配置有第一虚拟机合法的关键参数及指标,配置监控表项用于指示是否对第一虚拟机的配置进行监控;在第一虚拟机启动后,周期性获取第一虚拟机当前的关键参数及指标;最后,根据配置监控表项和当前的关键参数及指标,周期性对第一虚拟机的配置进行校验,以便于检测第一虚拟机内是否出现非法配置。该方案通过获取虚拟化管理平台发送的配置监控表项,根据配置监控表项中第一虚拟机合法的关键参数及指标对虚拟机当前的关键参数及指标进行监控和校验,进而感知到第一虚拟机内是否出现非法配置,保证了对虚拟机中可能出现的非法访问和恶意配置进行监控并校验,解决了现有技术中虚拟化管理平台无法感知Hypervisor中对虚拟机内的关键参数的错误配置或者恶意配置的问题。
实施例四
如图6所示,为本发明的实施例提供一种虚拟机非法配置的校验装置的硬件示意图。
该虚拟机非法配置的校验装置可以应用于服务器中,该服务器中部署有至少一个虚拟机,该服务器中还包括有虚拟机配置表,所述虚拟机配置表用于配置所述第一虚拟机的关键参数及指标,所示虚拟机非法配置的校验装置用于对所述服务器中的虚拟机的关键参数及指标进行校验,已更改所述虚拟机中的非法配置。
如图6,所述虚拟机非法配置的校验装置包括处理器11、收发器12、存储器13以及总线14。
其中,处理器11、收发器12和存储器13通过总线14通信连接。
处理器11,是所述虚拟机非法配置的校验装置的控制中心,处理器11通过对收发器12接收到的数据进行处理,并调用存储器13中的软件或程序,执行所述虚拟机非法配置的校验装置的各项功能。
收发器12,可用于收发信息或通话过程中,信号的接收和发送,收发器12接收终端发送的信息后,给处理器11处理;另外,收发器12可以通过无线通信与网络和其他设备通信。所述无线通信可以使用任一通信标准或协议,包括但不限于GSM(G lobal System of Mobilecommunication,全球移动通讯系统)、GPRS(General Packet RadioService,通用分组无线服务)、CDMA(Code Division MultipleAccess,码分多址)、WCDMA(Wideband Code Division Multiple Access,宽带码分多址)、LTE(Long Term Evolution,长期演进)等。
存储器13,可用于存储软件程序,处理器11通过运行存储在存储器13的软件程序,从而执行所述虚拟机非法配置的校验装置的各种功能应用以及数据处理。
在本发明实施例中,收发器12获取虚拟化管理平台发送的配置监控表项并发送至处理器11,所述配置监控表项中配置有第一虚拟机合法的关键参数及指标,所述配置监控表项用于指示是否对所述第一虚拟机的配置进行监控;在所述第一虚拟机启动后,收发器12周期性获取所述第一虚拟机当前的关键参数及指标并发送至处理器11;处理器11根据所述配置监控表项和所述当前的关键参数及指标,周期性对所述第一虚拟机的配置进行校验,以便于检测所述第一虚拟机内是否出现非法配置,所述第一虚拟机为虚拟层中配置的N个虚拟机中的一个,N>0。
进一步地,所述配置监控表项中的第一虚拟机合法的关键参数,包括所述第一虚拟机的ID以及接口ID、所述第一虚拟机所属的VPC、所述第一虚拟机所属的安全组、所述第一虚拟机的磁盘大小、所述第一虚拟机的内存大小、所述第一虚拟机的CPU大小中的一个或多个。
进一步地,步骤处理器11根据所述配置监控表项和所述当前的关键参数及指标,周期性对所述第一虚拟机的配置进行校验,可以具体包括:处理器11将所述第一虚拟机当前的关键参数及指标分别与所述配置监控表项中第一虚拟机合法的关键参数及指标进行对比;若所述当前的关键参数及指标与所述合法的关键参数及指标不一致,处理器11则将虚拟机配置表中的所述虚拟机的关键参数及指标替换为所述合法的关键参数及指标。
进一步地,在步骤处理器11将所述合法的关键参数及指标覆盖至虚拟机配置表之后,还可以包括:处理器11生成警报信息并通过收发器12中的所述第一接口上报至所述虚拟化管理平台,所述警报信息用于指示所述当前的关键参数及指标中与所述合法的关键参数及指标不一致的信息。
进一步地,在步骤处理器11生成警报信息并通过收发器12上报至所述虚拟化管理平台之后,还可以包括:处理器11根据所述当前的关键参数及指标中与所述合法的关键参数及指标不一致的信息,确定非法配置的第一虚拟机ID;处理器11根据所述非法配置的第一虚拟机ID,禁止所述非法配置的第一虚拟机对外通信。
进一步地,在所述当前的关键参数及指标与所述合法的关键参数及指标不一致时,还可以包括:若所述当前的关键参数中第一虚拟机所属的VPC与所述配置监控表项中所述第一虚拟机所属的VPC不一致,处理器11则禁止所述第一虚拟机在所述当前的关键参数中第一虚拟机所属的VPC中执行任何操作。
进一步地,在步骤收发器12获取虚拟化管理平台发送的配置监控表项之后,还可以包括:收发器12将所述配置监控表项通过所述第二接口同步至所述虚拟机配置表,以便于检测所述虚拟机配置表中出现的非法配置。
进一步地,在步骤处理器11周期性对所述第一虚拟机的配置进行校验之后,还可以包括:若所述第一虚拟机迁移至目标主机,收发器12则将所述第一虚拟机的所述配置监控表项发送至所述目标主机,以便于所述目标主机对所述第一虚拟机的配置进行校验。
本发明的实施例提供一种虚拟机非法配置的校验装置,首先,获取虚拟化管理平台发送的配置监控表项,配置监控表项中配置有第一虚拟机合法的关键参数及指标,配置监控表项用于指示是否对第一虚拟机的配置进行监控;在第一虚拟机启动后,周期性获取第一虚拟机当前的关键参数及指标;最后,根据配置监控表项和当前的关键参数及指标,周期性对第一虚拟机的配置进行校验,以便于检测第一虚拟机内是否出现非法配置。该方案通过获取虚拟化管理平台发送的配置监控表项,根据配置监控表项中第一虚拟机合法的关键参数及指标对虚拟机当前的关键参数及指标进行监控和校验,进而感知到第一虚拟机内是否出现非法配置,保证了对虚拟机中可能出现的非法访问和恶意配置进行监控并校验,解决了现有技术中虚拟化管理平台无法感知Hypervisor中对虚拟机内的关键参数的错误配置或者恶意配置的问题。
实施例五
本发明的实施例提供一种虚拟机非法配置的校验装置,如图7所示,包括:
获取单元21,用于获取虚拟化管理平台发送的配置监控表项,所述配置监控表项中配置有第一虚拟机合法的关键参数及指标,所述配置监控表项用于指示是否对所述第一虚拟机的配置进行监控;以及在所述第一虚拟机启动后,周期性获取所述第一虚拟机当前的关键参数及指标,所述第一虚拟机为虚拟层中配置的N个虚拟机中的一个,N>0;
校验单元22,用于根据所述获取单元21中的配置监控表项和所述当前的关键参数及指标,周期性对所述第一虚拟机的配置进行校验,以便于检测所述第一虚拟机内是否出现非法配置。
进一步地,所述校验单元22,具体用于将所述第一虚拟机当前的关键参数及指标分别与所述配置监控表项中第一虚拟机合法的关键参数及指标进行对比;若所述当前的关键参数及指标与所述合法的关键参数及指标不一致,则将虚拟机配置表中的所述虚拟机的关键参数及指标替换为所述合法的关键参数及指标;
其中,所述配置监控表项中的第一虚拟机合法的关键参数,包括所述第一虚拟机的ID以及接口ID、所述第一虚拟机所属的VPC、所述第一虚拟机所属的安全组、所述第一虚拟机的磁盘大小、所述第一虚拟机的内存大小、所述第一虚拟机的CPU大小中的一个或多个。
进一步地,如图8所示,所述装置还包括处理单元23,
所述处理单元23,用于所述若校验单元22中当前的关键参数中第一虚拟机所属的VPC与所述配置监控表项中所述第一虚拟机所属的VPC不一致,则禁止所述第一虚拟机在所述当前的关键参数中第一虚拟机所属的VPC中执行任何操作。
进一步地,如图9所示,所述装置还包括发送单元24,其中,
所述处理单元23,还用于生成警报信息并所述警报信息用于指示所述当前的关键参数及指标中与所述合法的关键参数及指标不一致的信息;
所述发送单元24,用于上报所述处理单元23中的警报信息至所述虚拟化管理平台。
进一步地,所述处理单元23,还用于根据所述当前的关键参数及指标中与所述合法的关键参数及指标不一致的信息,确定非法配置的第一虚拟机ID;根据所述非法配置的第一虚拟机ID,禁止所述非法配置的第一虚拟机运行。
进一步地,所述发送单元24,还用于若所述第一虚拟机迁移至目标主机,则将所述获取单元21中的第一虚拟机的所述配置监控表项发送至所述目标主机,以便于所述目标主机对所述第一虚拟机的配置进行校验。
本发明的实施例提供一种虚拟机非法配置的校验装置,首先,获取虚拟化管理平台发送的配置监控表项,配置监控表项中配置有第一虚拟机合法的关键参数及指标,配置监控表项用于指示是否对第一虚拟机的配置进行监控;在第一虚拟机启动后,周期性获取第一虚拟机当前的关键参数及指标;最后,根据配置监控表项和当前的关键参数及指标,周期性对第一虚拟机的配置进行校验,以便于检测第一虚拟机内是否出现非法配置。该方案通过获取虚拟化管理平台发送的配置监控表项,根据配置监控表项中第一虚拟机合法的关键参数及指标对虚拟机当前的关键参数及指标进行监控和校验,进而感知到第一虚拟机内是否出现非法配置,保证了对虚拟机中可能出现的非法访问和恶意配置进行监控并校验,解决了现有技术中虚拟化管理平台无法感知Hypervisor中对虚拟机内的关键参数的错误配置或者恶意配置的问题。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (15)
1.一种虚拟机非法配置的校验方法,其特征在于,所述方法包括:
获取虚拟化管理平台发送的配置监控表项,所述配置监控表项中配置有第一虚拟机合法的关键参数及指标,所述配置监控表项用于指示是否对所述第一虚拟机的配置进行监控,所述第一虚拟机为虚拟层中配置的N个虚拟机中的一个,N>0;
在所述第一虚拟机启动后,获取所述第一虚拟机当前的关键参数及指标;
根据所述配置监控表项和所述当前的关键参数及指标,对所述第一虚拟机的配置进行校验,以便于检测所述第一虚拟机内是否出现非法配置。
2.根据权利要求1所述的方法,其特征在于,所述配置监控表项中所述第一虚拟机合法的关键参数,具体包括所述第一虚拟机的ID以及接口ID、所述第一虚拟机所属的虚拟私有云VPC、所述第一虚拟机所属的安全组、所述第一虚拟机的磁盘大小、所述第一虚拟机的内存大小、所述第一虚拟机的CPU大小中的一个或多个。
3.根据权利要求1或2所述的方法,其特征在于,所述根据所述配置监控表项和所述当前的关键参数及指标,对所述第一虚拟机的配置进行校验,包括:
将所述第一虚拟机当前的关键参数及指标分别与所述配置监控表项中第一虚拟机合法的关键参数及指标进行对比;
若所述当前的关键参数及指标与所述合法的关键参数及指标不一致,则将虚拟机配置表中的所述虚拟机的关键参数及指标替换为所述合法的关键参数及指标。
4.根据权利要求3所述的方法,其特征在于,若所述当前的关键参数及指标与所述合法的关键参数及指标不一致,所述方法还包括:
若所述当前的关键参数中第一虚拟机所属的VPC与所述配置监控表项中所述第一虚拟机所属的VPC不一致,则禁止所述第一虚拟机在所述当前的关键参数中第一虚拟机所属的VPC中执行任何操作。
5.根据权利要求3所述的方法,其特征在于,在所述将虚拟机配置表中的所述虚拟机的关键参数及指标替换为所述合法的关键参数及指标之后,还包括:
生成警报信息并上报至所述虚拟化管理平台,所述警报信息用于指示所述当前的关键参数及指标中与所述合法的关键参数及指标不一致的信息。
6.根据权利要求5所述的方法,其特征在于,在所述生成警报信息并上报至所述虚拟化管理平台之后,还包括:
根据所述当前的关键参数及指标中与所述合法的关键参数及指标不一致的信息,确定非法配置的第一虚拟机ID;
根据所述非法配置的第一虚拟机ID,禁止所述非法配置的第一虚拟机运行。
7.根据权利要求1至6中任一项所述的方法,其特征在于,在所述周期性对所述第一虚拟机的配置进行校验之后,还包括:
若所述第一虚拟机迁移至目标主机,则将所述第一虚拟机的所述配置监控表项发送至所述目标主机,以便于所述目标主机对所述第一虚拟机的配置进行校验。
8.一种虚拟机非法配置的校验装置,其特征在于,所述装置包括:
获取单元,用于获取虚拟化管理平台发送的配置监控表项,所述配置监控表项中配置有第一虚拟机合法的关键参数及指标,所述配置监控表项用于指示是否对所述第一虚拟机的配置进行监控;以及在所述第一虚拟机启动后,获取所述第一虚拟机当前的关键参数及指标,所述第一虚拟机为虚拟层中配置的N个虚拟机中的一个,N>0;
校验单元,用于根据所述获取单元中的配置监控表项和所述当前的关键参数及指标,对所述第一虚拟机的配置进行校验,以便于检测所述第一虚拟机内是否出现非法配置。
9.根据权利要求8所述的装置,其特征在于,
所述校验单元,具体用于将所述第一虚拟机当前的关键参数及指标分别与所述配置监控表项中第一虚拟机合法的关键参数及指标进行对比;若所述当前的关键参数及指标与所述合法的关键参数及指标不一致,则将虚拟机配置表中的所述虚拟机的关键参数及指标替换为所述合法的关键参数及指标;
其中,所述配置监控表项中所述第一虚拟机合法的关键参数,具体包括所述第一虚拟机的ID以及接口ID、所述第一虚拟机所属的虚拟私有云VPC、所述第一虚拟机所属的安全组、所述第一虚拟机的磁盘大小、所述第一虚拟机的内存大小、所述第一虚拟机的CPU大小中的一个或多个。
10.根据权利要求9所述的装置,其特征在于,所述装置还包括处理单元,其中,
所述处理单元,用于所述若校验单元中当前的关键参数中第一虚拟机所属的VPC与所述配置监控表项中所述第一虚拟机所属的VPC不一致,则禁止所述第一虚拟机在所述当前的关键参数中第一虚拟机所属的VPC中执行任何操作。
11.根据权利要求9所述的装置,其特征在于,所述装置还包括发送单元,
所述处理单元,用于生成警报信息并所述警报信息用于指示所述当前的关键参数及指标中与所述合法的关键参数及指标不一致的信息;
所述发送单元,用于上报所述处理单元中的警报信息至所述虚拟化管理平台。
12.根据权利要求11所述的装置,其特征在于,
所述处理单元,还用于根据所述当前的关键参数及指标中与所述合法的关键参数及指标不一致的信息,确定非法配置的第一虚拟机ID;根据所述非法配置的第一虚拟机ID,禁止所述非法配置的第一虚拟机运行。
13.根据权利要求8至12中任一项所述的装置,其特征在于,
所述发送单元,还用于若所述第一虚拟机迁移至目标主机,则将所述获取单元中所述第一虚拟机的所述配置监控表项发送至所述目标主机,以便于所述目标主机对所述第一虚拟机的配置进行校验。
14.一种虚拟机非法配置的校验系统,其特征在于,所述系统包括如权利要求8至13中任一项所述的虚拟机非法配置的校验装置,以及与所述虚拟机非法配置的校验装置相连的虚拟化管理平台;其中,
所述虚拟机非法配置的校验装置与所述虚拟化管理平台之间使用第一接口通信,所述第一接口用于实现配置监控表项的转发和同步,所述配置监控表项中配置有第一虚拟机合法的关键参数及指标,所述配置监控表项用于指示是否对所述第一虚拟机的配置进行监控,所述第一虚拟机为虚拟层中配置的N个虚拟机中的一个,N>0。
15.根据权利要求14所述的系统,其特征在于,所述虚拟机非法配置的校验装置应用于服务器中,所述服务器的配置模块还包括虚拟机配置表,所述虚拟机配置表用于配置所述第一虚拟机的关键参数及指标;其中,
所述配置模块与所述虚拟机非法配置的校验装置之间使用第二接口通信,所述第二接口用于实现所述配置监控表项内所述第一虚拟机合法的关键参数及指标的校验。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410623918.1A CN104461683B (zh) | 2014-11-07 | 2014-11-07 | 一种虚拟机非法配置的校验方法、装置及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410623918.1A CN104461683B (zh) | 2014-11-07 | 2014-11-07 | 一种虚拟机非法配置的校验方法、装置及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104461683A true CN104461683A (zh) | 2015-03-25 |
CN104461683B CN104461683B (zh) | 2017-11-24 |
Family
ID=52907787
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410623918.1A Active CN104461683B (zh) | 2014-11-07 | 2014-11-07 | 一种虚拟机非法配置的校验方法、装置及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104461683B (zh) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105119736A (zh) * | 2015-07-15 | 2015-12-02 | 华为技术有限公司 | 网络功能虚拟化架构中数据检查的方法和装置 |
CN105550015A (zh) * | 2015-12-08 | 2016-05-04 | 国云科技股份有限公司 | 一种监控Linux虚拟机内部进程的方法 |
CN105550013A (zh) * | 2015-12-08 | 2016-05-04 | 国云科技股份有限公司 | 一种监控Windows虚拟机内部进程的方法 |
CN106487633A (zh) * | 2016-10-11 | 2017-03-08 | 中国银联股份有限公司 | 一种虚拟机异常的监测方法和装置 |
CN106549800A (zh) * | 2016-10-31 | 2017-03-29 | 北京奇鱼时代科技有限公司 | 用于在网络系统中批量校验数据接口的方法和装置 |
CN108205460A (zh) * | 2016-12-16 | 2018-06-26 | 北京国双科技有限公司 | 宿主机可用资源的生成方法和装置 |
CN110489208A (zh) * | 2019-07-17 | 2019-11-22 | 南京苏宁软件技术有限公司 | 虚拟机配置参数核查方法、系统、计算机设备和存储介质 |
CN111262771A (zh) * | 2018-11-30 | 2020-06-09 | 北京金山云网络技术有限公司 | 虚拟私有云通信系统、系统配置方法及控制器 |
CN112711319A (zh) * | 2020-12-29 | 2021-04-27 | 杭州迪普科技股份有限公司 | 一种数字电源供电控制方法、装置、电子设备及存储介质 |
WO2021174655A1 (zh) * | 2020-03-06 | 2021-09-10 | 苏州浪潮智能科技有限公司 | 虚拟数据中心可信状态确定方法、装置、设备及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060198525A1 (en) * | 2005-03-02 | 2006-09-07 | Brey Thomas M | Systems and arrangements to adjust resource accessibility based upon usage modes |
US20090300760A1 (en) * | 2008-05-28 | 2009-12-03 | International Business Machines Corporation | Grid Security Intrusion Detection Configuration Mechanism |
CN103593249A (zh) * | 2013-11-13 | 2014-02-19 | 华为技术有限公司 | 一种ha预警方法及虚拟资源管理器 |
CN103870749A (zh) * | 2014-03-20 | 2014-06-18 | 中国科学院信息工程研究所 | 一种实现虚拟机系统的安全监控系统及方法 |
-
2014
- 2014-11-07 CN CN201410623918.1A patent/CN104461683B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060198525A1 (en) * | 2005-03-02 | 2006-09-07 | Brey Thomas M | Systems and arrangements to adjust resource accessibility based upon usage modes |
US20090300760A1 (en) * | 2008-05-28 | 2009-12-03 | International Business Machines Corporation | Grid Security Intrusion Detection Configuration Mechanism |
CN103593249A (zh) * | 2013-11-13 | 2014-02-19 | 华为技术有限公司 | 一种ha预警方法及虚拟资源管理器 |
CN103870749A (zh) * | 2014-03-20 | 2014-06-18 | 中国科学院信息工程研究所 | 一种实现虚拟机系统的安全监控系统及方法 |
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017008578A1 (zh) * | 2015-07-15 | 2017-01-19 | 华为技术有限公司 | 网络功能虚拟化架构中数据检查的方法和装置 |
CN105119736B (zh) * | 2015-07-15 | 2019-01-18 | 华为技术有限公司 | 网络功能虚拟化架构中数据检查的方法和装置 |
CN105119736A (zh) * | 2015-07-15 | 2015-12-02 | 华为技术有限公司 | 网络功能虚拟化架构中数据检查的方法和装置 |
CN105550015A (zh) * | 2015-12-08 | 2016-05-04 | 国云科技股份有限公司 | 一种监控Linux虚拟机内部进程的方法 |
CN105550013A (zh) * | 2015-12-08 | 2016-05-04 | 国云科技股份有限公司 | 一种监控Windows虚拟机内部进程的方法 |
CN106487633B (zh) * | 2016-10-11 | 2019-12-06 | 中国银联股份有限公司 | 一种虚拟机异常的监测方法和装置 |
CN106487633A (zh) * | 2016-10-11 | 2017-03-08 | 中国银联股份有限公司 | 一种虚拟机异常的监测方法和装置 |
CN106549800A (zh) * | 2016-10-31 | 2017-03-29 | 北京奇鱼时代科技有限公司 | 用于在网络系统中批量校验数据接口的方法和装置 |
CN108205460A (zh) * | 2016-12-16 | 2018-06-26 | 北京国双科技有限公司 | 宿主机可用资源的生成方法和装置 |
CN111262771B (zh) * | 2018-11-30 | 2021-06-22 | 北京金山云网络技术有限公司 | 虚拟私有云通信系统、系统配置方法及控制器 |
CN111262771A (zh) * | 2018-11-30 | 2020-06-09 | 北京金山云网络技术有限公司 | 虚拟私有云通信系统、系统配置方法及控制器 |
CN110489208A (zh) * | 2019-07-17 | 2019-11-22 | 南京苏宁软件技术有限公司 | 虚拟机配置参数核查方法、系统、计算机设备和存储介质 |
CN110489208B (zh) * | 2019-07-17 | 2022-03-22 | 南京苏宁软件技术有限公司 | 虚拟机配置参数核查方法、系统、计算机设备和存储介质 |
WO2021174655A1 (zh) * | 2020-03-06 | 2021-09-10 | 苏州浪潮智能科技有限公司 | 虚拟数据中心可信状态确定方法、装置、设备及存储介质 |
CN112711319A (zh) * | 2020-12-29 | 2021-04-27 | 杭州迪普科技股份有限公司 | 一种数字电源供电控制方法、装置、电子设备及存储介质 |
CN112711319B (zh) * | 2020-12-29 | 2024-02-27 | 杭州迪普科技股份有限公司 | 一种数字电源供电控制方法、装置、电子设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN104461683B (zh) | 2017-11-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104461683B (zh) | 一种虚拟机非法配置的校验方法、装置及系统 | |
US10666686B1 (en) | Virtualized exploit detection system | |
CN107612895B (zh) | 一种互联网防攻击方法及认证服务器 | |
US10091228B2 (en) | Secured event monitoring leveraging blockchain | |
CN107038128B (zh) | 一种执行环境的虚拟化、虚拟执行环境的访问方法及装置 | |
CN108092984B (zh) | 一种应用客户端的授权方法、装置及设备 | |
CN110233817B (zh) | 一种基于云计算的容器安全系统 | |
CN104767713B (zh) | 账号绑定的方法、服务器及系统 | |
EP3476101B1 (en) | Method, device and system for network security | |
CN109379347B (zh) | 一种安全防护方法及设备 | |
US10691475B2 (en) | Security application for a guest operating system in a virtual computing environment | |
CN108605264B (zh) | 用于网络管理的方法和设备 | |
US11368361B2 (en) | Tamper-resistant service management for enterprise systems | |
CN112099904B (zh) | 一种虚拟机的嵌套页表管理方法、装置、处理器芯片及服务器 | |
CN109347876B (zh) | 一种安全防御方法及相关装置 | |
CN105303102A (zh) | 一种虚拟机的安全访问方法及虚拟机系统 | |
US8938805B1 (en) | Detection of tampering with software installed on a processing device | |
CN113098852B (zh) | 一种日志处理方法及装置 | |
CN113922975A (zh) | 一种安全控制方法、服务器、终端、系统和存储介质 | |
CN107911500B (zh) | 基于态势感知定位用户的方法、设备、装置及存储介质 | |
CN111181831A (zh) | 通信数据处理方法和装置、存储介质及电子装置 | |
US11019496B2 (en) | Method and electronic device for identifying a pseudo wireless access point | |
US20200174995A1 (en) | Measurement Update Method, Apparatus, System, Storage Media, and Computing Device | |
JP5814138B2 (ja) | セキュリティ設定システム、セキュリティ設定方法およびプログラム | |
JP6010672B2 (ja) | セキュリティ設定システム、セキュリティ設定方法およびプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |