CN105204902B - 一种虚拟机的安全补丁升级方法,及装置 - Google Patents
一种虚拟机的安全补丁升级方法,及装置 Download PDFInfo
- Publication number
- CN105204902B CN105204902B CN201510615532.0A CN201510615532A CN105204902B CN 105204902 B CN105204902 B CN 105204902B CN 201510615532 A CN201510615532 A CN 201510615532A CN 105204902 B CN105204902 B CN 105204902B
- Authority
- CN
- China
- Prior art keywords
- patch
- virtual machine
- upgrading
- security patch
- image file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明实施例公开了一种虚拟机的安全补丁升级方法,及装置,应用于虚拟主机,所述虚拟主机内包含有虚拟机,所述虚拟机具有提供操作系统的映像文件,其中方法的实现包括:拷贝所述映像文件,得到映像文件备份;在安全环境下启动所述映像文件备份,对所述映像文件备份进行安全补丁升级得到目标映像文件;在安全补丁升级成功后,使用所述目标映像文件替换所述映像文件。该过程,补丁升级在安全环境下进行不存在时间窗的问题,也不需要虚拟机去适配所有类型的操作系统的版本,及其所有的补丁,因此安全补丁的升级工作量较小。综上,本发明实施例提供了安全并且能够广泛应用的虚拟机安全补丁升级的方案。
Description
技术领域
本发明涉及计算机技术领域,特别涉及一种虚拟机的安全补丁升级方法,及装置。
背景技术
主机虚拟化是实现主机功能的一种虚拟技术;在主机虚拟化场景下,主机内包含租户的虚拟机(Virtual Machine,VM)。租户的虚拟机内可以安装各种软件,软件可能因虚拟机长时间关机/休眠而错过关键安全补丁升级,从而导致该虚拟机启动后到打上安全补丁之前的时间窗内处于不安全状态,该时间窗内容易遭到黑客入侵或感染病毒。业界就该问题有广泛的讨论和需求。
其中一种解决方案如下:基于虚拟化解决方案提供的专用应用程序编程接口(Application Programming Interface,API),对在线的VM的补丁和安全状态进行探测,然后对缺乏的安全补丁进行升级。专用API例如:VMWARE VMSAFE API(威睿VM安全API)。该方案,需要专用的API,上述专用的API一般由防病毒厂商和软件供应商共同定义,具体实现流程如下:在VM启动以后,防病毒厂商提供的防病毒软件通过上述专用的API从VM内的软件侧探测VM内安全补丁的安装情况;在发现VM缺乏的安全补丁后,对缺乏的安全补丁进行升级。但是,使用API进行探测到安全补丁升级完成之前的时间窗内,仍然会处于不安全的状态。
为了解决存在不安全状态的时间窗的问题,业界又提出了另一种解决方案如下:在VM安装专用的安全代理(Agent)软件,在VM启动后通过该安全Agent软件自动进行安全补丁的检测和升级,具体流程如下:首先在VM内安装专用的安全Agent软件,上述安全Agent软件随VM的操作系统启动而启动,上述安全Agent软件启动后自动检查本机安全补丁的状态,检测到安全补丁缺失后,自动向服务器侧发起补丁升级过程,对缺失的安全补丁进行升级。
采用安全Agent的方案,需要做一个安全Agent软件安装到所有客户的虚拟机,安全Agent软件需要适配所有类型的操作系统的版本,及其所有的补丁。由于适配工作量过大,该技术方案目前仅在企业私有云受控的场景下使用。因此,采用安全Agent的方案对系统版本和补丁检测的适配工作量过大,难以广泛应用。
发明内容
本申请提供了一种虚拟机的安全补丁升级方法,及装置,用于提供安全并且能够广泛应用的虚拟机安全补丁升级的方案。
一方面,本申请的实施例提供一种虚拟机的安全补丁升级方法,应用于虚拟主机,虚拟主机内包含有虚拟机,虚拟机具有提供操作系统的映像文件,该映像文件通常可以是包括系统盘在内的任意能够提供操作系统功能的文件,方法具体包括:拷贝映像文件,得到映像文件备份;映像文件备份是映像文件的备份文件,和原始的映像文件通常是相同的;在安全环境下启动映像文件备份,对映像文件备份进行安全补丁升级得到目标映像文件;安全补丁的升级可以参考系统升级的方式,在这里启动映像文件备份的运行环境应当是被认为是安全的环境,例如私有云或者别的安全环境;在安全补丁升级成功后,使用目标映像文件替换映像文件。
在一个可能的设计中,在安全环境下启动映像文件备份之前,所述方法还包括:同步本地与升级服务器的安全补丁的数据;该“本地”是指控制虚拟机安全补丁升级的实体设备的本地,更具体地可以是本地的数据库;安全补丁的数据同步,可以是下载全部的最新安全补丁,也可以是仅更新最新的安全补丁的版本号等标识性信息;依据安全补丁的数据确定虚拟机是否有需要升级的安全补丁,获取虚拟机当前状态;确定是否有需要升级的安全补丁的方式可以确定上述映像文件备份里面是否已经包含了最新的安全补丁,如果不是那么就有需要升级的安全补丁;虚拟机的状态可能有很多,本实施例主要关注其是不是处于运行状态;确定虚拟机有需要升级的安全补丁,并且虚拟机当前状态为非运行状态,则在安全环境下启动映像文件备份。
本实施例提供的安全补丁的获得方案,可以方便安全补丁的集中管理。
在一个可能的设计中,方法还包括:接收安全补丁升级的配置策略,配置策略至少包括:安全补丁升级的频率;配置策略是用来确定升级所采用的规则,除了升级频率,还可以定义升级顺序等任意规则;上述虚拟机当前状态为非运行状态包括:在安全补丁升级的频率对应的时间点,虚拟机的状态为非运行状态。
对于不同的租户而言,其租用的虚拟机的安全补丁升级,可以按照需求进行定制,本实施例则为该需求提供了支持。
在一个可能的设计中,在使用目标映像文件替换映像文件之前,方法还包括:同步本地与安全服务器的病毒库数据库;病毒数据库可以包含病毒特征码在内的用于识别病毒/木马等恶意软件的特征数据,其具体形式是特征码还是专用的杀毒软件本身并不影响本实施例的实现;启动目标映像文件使升级的安全补丁生效,使用病毒库数据库进行安全验证,安全验证通过后确定安全补丁升级成功。
在VM的映像文件进行安全补丁升级完成以后,有可能存在安全风险,本实施例则为消除这种风险提供了解决方案。
在一个可能的设计中,方法还包括:若安全补丁升级失败,则将目标映像文件回退到映像文件备份。
在一个可能的设计中,安全环境包括:虚拟私有云VPC。安全环境是包括安全升级域在内的任意能够提供安全的软件运行的环境,VPC作为一个可选实现方式并不是唯一实现方案。
二方面,本申请的实施例提供一种虚拟机的安全补丁升级装置,应用于虚拟主机,所述虚拟主机内包含有虚拟机,所述虚拟机具有提供操作系统的映像文件,包括:
文件拷贝单元,用于拷贝所述映像文件,得到映像文件备份;
补丁升级单元,用于在安全环境下启动所述映像文件备份,对所述映像文件备份进行安全补丁升级得到目标映像文件;
替换控制单元,用于在安全补丁升级成功后,使用所述目标映像文件替换所述映像文件。
在一个可能的设计中,所述装置还包括:
补丁同步单元,用于在所述补丁升级单元在安全环境下启动所述映像文件备份之前,同步本地与升级服务器的安全补丁的数据;
升级确认单元,用于依据所述安全补丁的数据确定所述虚拟机是否有需要升级的安全补丁;
状态获取单元,用于获取所述虚拟机当前状态;
所述补丁升级单元,用于在所述升级确认单元确定所述虚拟机有需要升级的安全补丁,并且所述状态确认单元获取到所述虚拟机当前状态为非运行状态,则在安全环境下启动所述映像文件备份。
在一个可能的设计中,所述装置还包括:
策略接收单元,用于接收安全补丁升级的配置策略,所述配置策略至少包括:安全补丁升级的频率;
所述虚拟机当前状态为非运行状态包括:在所述安全补丁升级的频率对应的时间点,所述虚拟机的状态为非运行状态。
在一个可能的设计中,所述装置还包括:
病毒库同步单元,用于在所述补丁升级单元在使用所述目标映像文件替换所述映像文件之前,同步本地与安全服务器的病毒库数据库;
映像启动单元,用于启动所述目标映像文件使升级的安全补丁生效;
安全验证单元,用于使用所述病毒库数据库进行安全验证,安全验证通过后确定安全补丁升级成功。
在一个可能的设计中,所述装置还包括:
回退控制单元,用于若安全补丁升级失败,则将所述目标映像文件回退到所述映像文件备份。
在一个可能的设计中,所述补丁升级单元,用于在虚拟私有云VPC启动所述映像文件备份。
三方面,本申请实施例还提供了另一种虚拟机的安全补丁升级装置,应用于虚拟主机,上述虚拟主机内包含有虚拟机,上述虚拟机具有提供操作系统的映像文件,包括:接收器、发射器、处理器以及存储器;
其中,处理器,用于拷贝上述映像文件,得到映像文件备份;在安全环境下启动上述映像文件备份,对上述映像文件备份进行安全补丁升级得到目标映像文件;在安全补丁升级成功后,使用上述目标映像文件替换上述映像文件。
基于本申请实施例提供的在虚拟主机一侧进行安全补丁升级的方案,本实施例还提供了安全补丁的获得方案,具体如下:上述处理器,还用于在安全环境下启动上述映像文件备份之前,同步本地与升级服务器的安全补丁的数据;依据上述安全补丁的数据确定上述虚拟机是否有需要升级的安全补丁,获取上述虚拟机当前状态;确定上述虚拟机有需要升级的安全补丁,并且上述虚拟机当前状态为非运行状态,则在安全环境下启动上述映像文件备份。
对于不同的租户而言,其租用的虚拟机的安全补丁升级,可以按照需求进行定制,相应的定制信息可以采用配置策略的形式存放在安全补丁升级的控制设备侧,具体如下:上述处理器,还用于接收安全补丁升级的配置策略,上述配置策略至少包括:安全补丁升级的频率。
上述虚拟机当前状态为非运行状态包括:在上述安全补丁升级的频率对应的时间点,上述虚拟机的状态为非运行状态。
在VM的映像文件进行安全补丁升级完成以后,有可能存在安全风险,因此本实施例还提供了再次确认的实现方案,具体如下:上述处理器,还用于在使用上述目标映像文件替换上述映像文件之前,同步本地与安全服务器的病毒库数据库;启动上述目标映像文件使升级的安全补丁生效,使用上述病毒库数据库进行安全验证,安全验证通过后确定安全补丁升级成功。
本申请实施例采用的是自动的安全补丁升级,有可能升级失败,升级失败之后本申请实施例还提供了处理方案,具体如下:上述处理器,还用于若安全补丁升级失败,则将上述目标映像文件回退到上述映像文件备份。
可选地,上述安全环境包括:虚拟私有云VPC。前面已经进行了说明,VPC作为一个可选实现方式,不应理解为对本申请实施例的唯一性限定。
四方面,本申请实施例还提供了一种服务器,该服务器可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上中央处理器(central processing units,CPU)(例如,一个或一个以上处理器)和存储器,一个或一个以上存储应用程序或数据的存储介质(例如一个或一个以上海量存储设备)。其中,存储器和存储介质可以是短暂存储或持久存储。存储在存储介质的程序可以包括一个或一个以上模块,每个模块可以包括对服务器中的一系列指令操作。更进一步地,中央处理器可以设置为与存储介质通信,在服务器上执行存储介质中的一系列指令操作。
服务器还可以包括一个或一个以上电源,一个或一个以上有线或无线网络接口,一个或一个以上输入输出接口,和/或,一个或一个以上操作系统,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等等。前述一方面提供的方法实施例所执行的安全补丁升级的步骤可以基于该服务器结构。
从以上技术方案可以看出,本申请具有以下优点:通过拷贝映像文件,到安全环境下对拷贝的映像文件进行安全补丁的升级,然后用安全补丁升级成功后的映像文件替换掉未升级安全补丁的映像文件,这样完成对虚拟机的安全补丁升级。该过程,补丁升级在安全环境下进行不存在时间窗的问题,也不需要虚拟机去适配所有类型的操作系统的版本,及其所有的补丁,因此安全补丁的升级工作量较小。综上,实施例提供了安全并且能够广泛应用的虚拟机安全补丁升级的方案。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例虚拟主机的安全补丁升级系统架构示意图;
图2为本发明实施例方法流程示意图;
图3为本发明实施例安全补丁升级系统架构示意图;
图4为本发明实施例装置结构示意图;
图5为本发明实施例装置结构示意图;
图6为本发明实施例装置结构示意图;
图7为本发明实施例装置结构示意图;
图8为本发明实施例装置结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部份实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
如图1所示,是本发明实施例提供的虚拟主机的安全补丁升级系统架构示意图。在主机虚拟化场景下,租户的虚拟机可能因长时间关机/休眠而错过关键安全补丁升级,导致虚拟机启动后到升级完成安全补丁之前的时间窗内处于不安全状态,可能遭到黑客入侵或感染病毒。长时间关机/休眠的VM通常可以称为长时间未启动VM(即:Dormant VM)通过本发明实施例方案为Dormant VM提供安全的补丁检测和升级解决方案。
主虚拟机内包含了VM1~VMn共n个VM,本发明实施例则增加了用于控制安全补丁升级的模块:其中主要有升级控制模块、监测模块、同步模块以及交互模块;
其中,交互模块,用于与VM的租户进行交互,接收安全补丁升级的策略等各种信息配置。
同步模块,则用于与外部服务器提供的安全补丁进行信息同步,这里的同步可以是下载最新的安全补丁到本地,也可以仅同步安全补丁的标识信息;还可以进行病毒数据库的同步。
监测模块,用于监测VM的状态,是处于工作状态还是非工作状态;对于那些处于工作状态的VM,本发明实施例可以不涉及这部分VM的安全补丁升级,还用于监测是否满足触发进行安全补丁升级的条件,触发进行安全补丁升级的条件可以依据交互模块接收的策略确定。比如:可以是周期性升级,那么此处需要检测是否到达配置的时间周期。
升级控制模块,用于按照以上三个模块获得的信息决策并控制安全补丁的升级。在本发明实施例中,升级控制模块,会拷贝一份VM的系统盘文件(即:映像文件),将VM的系统盘文件放到安全环境中启动,然后进行安全补丁升级,升级完毕后,重启VM使升级的安全补丁生效,然后使用病毒数据库进行安全检测,确定安全以后,使用升级后的系统盘文件替换原来的系统盘文件。这样,租户在启动VM时,VM是已经进行安全补丁升级的VM,如果在升级过程中启动VM,也不影响原VM的使用。
基于以上说明,本发明实施例提供了一种虚拟机的安全补丁升级方法,应用于虚拟主机,上述虚拟主机内包含有虚拟机,上述虚拟机具有提供操作系统的映像文件,如图2所示,包括:
201:拷贝上述映像文件,得到映像文件备份;
在本实施例中,映像文件通常可以是VM的系统盘文件,用于提供VM的操作系统。该映像文件可以存放在提供服务的主虚拟机的存储设备中。
202:在安全环境下启动上述映像文件备份,对上述映像文件备份进行安全补丁升级得到目标映像文件;
本发明实施例中安全环境包括:安全升级域在内的任意能够提供安全的软件运行的环境,安全升级域,可以如:虚拟私有云(Virtual Private Cloud,VPC)等。安全补丁是区别于一般软件补丁的补丁,安全补丁的显著特性是缺少安全补丁有可能会遭到病毒入侵,通常来说是对软件存在的漏洞进行修补的补丁;这不同于那些进行功能/业务增加或修改的软件补丁。
203:在安全补丁升级成功后,使用上述目标映像文件替换上述映像文件。
安全补丁升级成功,是指安全补丁被安装到映像文件备份中并且生效,安全补丁是否升级成功的信息可以通过一般的补丁升级检测方式获得。本实施例在此不作详述。本实施例的执行端通常可以设置在虚拟主机所在的硬件设备,也可以是独立的控制设备,对此本发明实施例不作唯一性限定。
本实施例,通过拷贝映像文件,到安全环境下对拷贝的映像文件进行安全补丁的升级,然后用安全补丁升级成功后的映像文件替换掉未升级安全补丁的映像文件,这样完成对虚拟机的安全补丁升级。该过程,补丁升级在安全环境下进行不存在时间窗的问题,也不需要虚拟机去适配所有类型的操作系统的版本,及其所有的补丁,因此安全补丁的升级工作量较小。综上,实施例提供了安全并且能够广泛应用的虚拟机安全补丁升级的方案。
基于本发明实施例提供的在虚拟主机一侧进行安全补丁升级的方案,本实施例还提供了安全补丁的获得方案,具体如下:在安全环境下启动上述映像文件备份之前,上述方法还包括:
同步本地与升级服务器的安全补丁的数据;
依据上述安全补丁的数据确定上述虚拟机是否有需要升级的安全补丁,获取上述虚拟机当前状态;
确定上述虚拟机有需要升级的安全补丁,并且上述虚拟机当前状态为非运行状态,则在安全环境下启动上述映像文件备份。
在本实施例中,安全补丁的数据同步,可以是下载全部的最新安全补丁,也可以是仅更新最新的安全补丁的版本号等标识性信息;只要能够确定VM对应的映像文件是否有需要升级的安全补丁就行。在后续安全补丁的升级过程中,如果已经下载了安全补丁那么直接使用已经下载的安全补丁进行升级,如果存的是安全补丁的标识性信息,则在升级过程中可以从升级服务器下载安全补丁并升级。本实施例可以方便安全补丁的统一管理,另外,还可以对在进行安全补丁升级之前对安全补丁进行病毒检测确保安全补丁是无害的。在本实施例中,升级服务器,仅代表能够提供安全补丁的服务器,并不具有其他的技术含义,不应对该名称作其他解读。升级服务器通常可以由VM的提供商/维护方提供。本实施例中,非运行状态是VM的一种状态,比如:关机/休眠等没有运行的状态。
对于不同的租户而言,其租用的虚拟机的安全补丁升级,可以按照需求进行定制,相应的定制信息可以采用配置策略的形式存放在安全补丁升级的控制设备侧,具体如下:上述方法还包括:
接收安全补丁升级的配置策略,上述配置策略至少包括:安全补丁升级的频率;
上述虚拟机当前状态为非运行状态包括:在上述安全补丁升级的频率对应的时间点,上述虚拟机的状态为非运行状态。
安全补丁的升级策略,可以除了频率以外,可以还有很多策略相关的信息,例如:虚拟机列表和地址配置、映像备份策略,日志和通知的配置等各种信息。后续实施了将会对此给出一个具体的举例进行说明。
在VM的映像文件进行安全补丁升级完成以后,有可能存在安全风险,因此本实施例还提供了再次确认的实现方案,具体如下:在使用上述目标映像文件替换上述映像文件之前,上述方法还包括:
同步本地与安全服务器的病毒库数据库;
启动上述目标映像文件使升级的安全补丁生效,使用上述病毒库数据库进行安全验证,安全验证通过后确定安全补丁升级成功。
安全服务器是能够提供病毒数据库的服务器,病毒数据库同步可以是同步最新的病毒特征码等能够进行病毒识别的信息,或者,可以是杀毒软件的病毒库更新操作。启动目标映像文件的过程是启动VM(该VM是VM的映像文件虚拟得到的VM)的过程,启动VM可以是在安全环境下启动的,启动VM会使安全补丁生效。使用病毒数据库进行安全验证是安全扫描的过程,与安全软件的病毒扫描类似。再此不在赘述。
本发明实施例采用的是自动的安全补丁升级,有可能升级失败,升级失败之后本发明实施例还提供了处理方案,具体如下:上述方法还包括:
若安全补丁升级失败,则将上述目标映像文件回退到上述映像文件备份。
回退完毕后,可以按照租户配置的策略进行提醒,还可以进行提示手动升级等。
可选地,上述安全环境包括:虚拟私有云VPC。前面已经进行了说明,VPC作为一个举例,不应理解为对本发明实施例的唯一性限定。
如图3所示,是本发明实施例的安全补丁升级系统架构示意图、以下将以此为例对本发明实施例的实现进行举例说明。
在图3所示的系统架构图中,包含如下几个部分:
长时间未启动VM(DORMANT VMIMAGE),在图3中示意为VM1为长期未启动的VM;此时可以执行如下操作:迁移(冷):Migrate(cold),启动(Launch),补丁和验证(patch&verify,migrate),以及迁移回(冷):back(cold)。
映像备份服务(IMAGE Backup Service),该部分示意为对映像进行备份的服务;
虚拟机模板(VM TEMPLATE),是虚拟机的模板;
更新代理(Update Agent);控制安全补丁更新(升级)的模块;执行更新系统(Update System)属于服务器(Servers)一侧;
补丁库(Patch Lib),用于存放安全补丁的数据库;
补丁引擎(Patch Engine),用于进行安全补丁和病毒数据库更新的模块;
补丁供应商(Patch Vendor),用于提供安全补丁的提供方示意;
客户前端(Customer Frontend),用于接收用户设定的安全补丁升级配置策略;配置策略可以有如下信息:
配置策略(Configurable Policy);补丁频率(Patch Frequency);软件和版本列表(Software&Version Lists);虚拟机列表和地址配置(VM List&IP Configuration);映像备份策略(Image Backup policy);日志和通知(Logs and Notification)。还可以有其他配置策略本实施例不再一一例举。
虚拟机安全补丁升级流程:
①、安全补丁的升级系统中的补丁引擎周期性从补丁供应商的服务器获取最新安全补丁(Security Patch),还可以从安全服务器获得病毒库特征码。
②、租户在服务器签约安全补丁管理(Security Patch Management)服务,配置补丁的升级策略,补丁的升级策略参见前述“Configurable Policy”。
③、升级安全补丁的时间点到了,若特定虚拟机映像(IMAGE,可以认为是虚拟机的系统盘)不在运行(或不在运行的时间超过预定义阈值)状态,映像备份服务器拷贝虚拟机映像(IMAGE)到虚拟机映像(IMAGE)备份(Backup)及安全升级域VPC。此时可以通知租户启动升级,在升级开始后租户无法使用VM。
本步骤执行的是:把虚拟机的系统盘拷贝到预定义的一个安全区域.
④、更新代理在VPC内启动VM,查找补丁库内的补丁根据用户配置的升级策略进行安全补丁升级。
升级策略可以是比如:有很多补丁,要制定升级的顺序、软件补丁状态信息等。
⑤、升级完成后,更新代理重启VM以使安全补丁(Patch)生效,基于扫描仪(Scanner)进行安全验证,验证通过后关机。
⑥、若升级成功,映像备份服务将升级后的IMAGE则备份到备份(Backup),并覆盖原有租户的IMAGE/Template(镜像/模板),即:图3所示的虚拟机模板部分;客户前端通知租户升级成功,以及VM IMAGE/Template可用;若升级失败,则回退到步骤①之前的IMAGE状态,通知租户手动升级。
以上实施例对目前的虚拟主机系统具有良好的兼容性,支持场景包括休眠(Dormant)VM、虚拟机回退、虚拟机模板(Template)补丁升级、病毒库升级等。功能模块可以拆解,具有较好的适应性。
本发明实施例还提供了另一种虚拟机的安全补丁升级装置,应用于虚拟主机,上述虚拟主机内包含有虚拟机,上述虚拟机具有提供操作系统的映像文件,如图4所示,包括:
文件拷贝单元401,用于拷贝上述映像文件,得到映像文件备份;
补丁升级单元402,用于在安全环境下启动上述映像文件备份,对上述映像文件备份进行安全补丁升级得到目标映像文件;
替换控制单元403,用于在安全补丁升级成功后,使用上述目标映像文件替换上述映像文件。
本实施例,通过拷贝映像文件,到安全环境下对拷贝的映像文件进行安全补丁的升级,然后用安全补丁升级成功后的映像文件替换掉未升级安全补丁的映像文件,这样完成对虚拟机的安全补丁升级。该过程,补丁升级在安全环境下进行不存在时间窗的问题,也不需要虚拟机去适配所有类型的操作系统的版本,及其所有的补丁,因此安全补丁的升级工作量较小。综上,实施例提供了安全并且能够广泛应用的虚拟机安全补丁升级的方案。
基于本发明实施例提供的在虚拟主机一侧进行安全补丁升级的方案,本实施例还提供了安全补丁的获得方案,具体如下:如图5所示,上述装置还包括:
补丁同步单元501,用于在上述补丁升级单元402在安全环境下启动上述映像文件备份之前,同步本地与升级服务器的安全补丁的数据;
升级确认单元502,用于依据上述安全补丁的数据确定上述虚拟机是否有需要升级的安全补丁;
状态获取单元503,用于获取上述虚拟机当前状态;
上述补丁升级单元402,用于在上述升级确认单元502确定上述虚拟机有需要升级的安全补丁,并且上述状态确认单元获取到上述虚拟机当前状态为非运行状态,则在安全环境下启动上述映像文件备份。
对于不同的租户而言,其租用的虚拟机的安全补丁升级,可以按照需求进行定制,相应的定制信息可以采用配置策略的形式存放在安全补丁升级的控制设备侧,具体如下:如图6所示,上述装置还包括:
策略接收单元601,用于接收安全补丁升级的配置策略,上述配置策略至少包括:安全补丁升级的频率;
上述虚拟机当前状态为非运行状态包括:在上述安全补丁升级的频率对应的时间点,上述虚拟机的状态为非运行状态。
在VM的映像文件进行安全补丁升级完成以后,有可能存在安全风险,因此本实施例还提供了再次确认的实现方案,具体如下:如图7所示,上述装置还包括:
病毒库同步单元701,用于在上述补丁升级单元402在使用上述目标映像文件替换上述映像文件之前,同步本地与安全服务器的病毒库数据库;
映像启动单元702,用于启动上述目标映像文件使升级的安全补丁生效;
安全验证单元703,用于使用上述病毒库数据库进行安全验证,安全验证通过后确定安全补丁升级成功。
本发明实施例采用的是自动的安全补丁升级,有可能升级失败,升级失败之后本发明实施例还提供了处理方案,具体如下:如图8所示,上述装置还包括:
回退控制单元801,用于若安全补丁升级失败,则将上述目标映像文件回退到上述映像文件备份。
可选地,上述补丁升级单元402,用于在虚拟私有云VPC启动上述映像文件备份。前面已经进行了说明,VPC作为一个举例,不应理解为对本发明实施例的唯一性限定。
值得注意的是,上述装置实施例中,所包括的各个单元只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
另外,本领域普通技术人员可以理解实现上述各方法实施例中的全部或部分步骤是可以通过程序来指令相关的硬件完成,相应的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明实施例揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (10)
1.一种虚拟机的安全补丁升级方法,应用于虚拟主机,所述虚拟主机内包含有虚拟机,所述虚拟机具有提供操作系统的映像文件,其特征在于,包括:
拷贝所述映像文件,得到映像文件备份;
同步本地与升级服务器的安全补丁的数据;
依据所述安全补丁的数据确定所述虚拟机是否有需要升级的安全补丁,获取所述虚拟机当前状态;
确定所述虚拟机有需要升级的安全补丁,并且所述虚拟机当前状态为非运行状态,则在安全环境下启动所述映像文件备份;
在安全环境下启动所述映像文件备份,对所述映像文件备份进行安全补丁升级得到目标映像文件;
在安全补丁升级成功后,使用所述目标映像文件替换所述映像文件。
2.根据权利要求1所述方法,其特征在于,所述方法还包括:
接收安全补丁升级的配置策略,所述配置策略至少包括:安全补丁升级的频率;
所述虚拟机当前状态为非运行状态包括:在所述安全补丁升级的频率对应的时间点,所述虚拟机的状态为非运行状态。
3.根据权利要求1所述方法,其特征在于,在使用所述目标映像文件替换所述映像文件之前,所述方法还包括:
同步本地与安全服务器的病毒库数据库;
启动所述目标映像文件使升级的安全补丁生效,使用所述病毒库数据库进行安全验证,安全验证通过后确定安全补丁升级成功。
4.根据权利要求1至3任意一项所述方法,其特征在于,所述方法还包括:
若安全补丁升级失败,则将所述目标映像文件回退到所述映像文件备份。
5.根据权利要求1至3任意一项所述方法,其特征在于,所述安全环境包括:虚拟私有云VPC。
6.一种虚拟机的安全补丁升级装置,应用于虚拟主机,所述虚拟主机内包含有虚拟机,所述虚拟机具有提供操作系统的映像文件,其特征在于,包括:
文件拷贝单元,用于拷贝所述映像文件,得到映像文件备份;
补丁同步单元,用于在所述补丁升级单元在安全环境下启动所述映像文件备份之前,同步本地与升级服务器的安全补丁的数据;
升级确认单元,用于依据所述安全补丁的数据确定所述虚拟机是否有需要升级的安全补丁;
状态获取单元,用于获取所述虚拟机当前状态;
所述补丁升级单元,用于在所述升级确认单元确定所述虚拟机有需要升级的安全补丁,并且所述状态确认单元获取到所述虚拟机当前状态为非运行状态,则在安全环境下启动所述映像文件备份;
补丁升级单元,用于在安全环境下启动所述映像文件备份,对所述映像文件备份进行安全补丁升级得到目标映像文件;
替换控制单元,用于在安全补丁升级成功后,使用所述目标映像文件替换所述映像文件。
7.根据权利要求6所述装置,其特征在于,所述装置还包括:
策略接收单元,用于接收安全补丁升级的配置策略,所述配置策略至少包括:安全补丁升级的频率;
所述虚拟机当前状态为非运行状态包括:在所述安全补丁升级的频率对应的时间点,所述虚拟机的状态为非运行状态。
8.根据权利要求6所述装置,其特征在于,所述装置还包括:
病毒库同步单元,用于在所述补丁升级单元在使用所述目标映像文件替换所述映像文件之前,同步本地与安全服务器的病毒库数据库;
映像启动单元,用于启动所述目标映像文件使升级的安全补丁生效;
安全验证单元,用于使用所述病毒库数据库进行安全验证,安全验证通过后确定安全补丁升级成功。
9.根据权利要求6至8任意一项所述装置,其特征在于,所述装置还包括:
回退控制单元,用于若安全补丁升级失败,则将所述目标映像文件回退到所述映像文件备份。
10.根据权利要求6至8任意一项所述装置,其特征在于,
所述补丁升级单元,用于在虚拟私有云VPC启动所述映像文件备份。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510615532.0A CN105204902B (zh) | 2015-09-24 | 2015-09-24 | 一种虚拟机的安全补丁升级方法,及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510615532.0A CN105204902B (zh) | 2015-09-24 | 2015-09-24 | 一种虚拟机的安全补丁升级方法,及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105204902A CN105204902A (zh) | 2015-12-30 |
| CN105204902B true CN105204902B (zh) | 2018-12-07 |
Family
ID=54952602
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510615532.0A Active CN105204902B (zh) | 2015-09-24 | 2015-09-24 | 一种虚拟机的安全补丁升级方法,及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105204902B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108021408B (zh) * | 2016-11-01 | 2021-01-29 | 阿里巴巴集团控股有限公司 | 升级方法及装置 |
| CN107861747A (zh) * | 2017-06-26 | 2018-03-30 | 平安普惠企业管理有限公司 | 产品更新方法、设备和计算机可读存储介质 |
| CN109688180B (zh) * | 2017-10-19 | 2022-05-10 | 阿里巴巴集团控股有限公司 | 一种基于镜像的云服务软件升级方法和装置 |
| US10261775B1 (en) * | 2018-04-17 | 2019-04-16 | Hewlett Packard Enterprise Development Lp | Upgrade orchestrator |
| CN111090470A (zh) * | 2019-10-15 | 2020-05-01 | 平安科技(深圳)有限公司 | 云主机的安全启动方法、装置、计算机设备和存储介质 |
| CN112579358B (zh) * | 2020-12-22 | 2024-03-22 | 深圳市科力锐科技有限公司 | 备份点检测方法、装置、设备及存储介质 |
| CN113934443A (zh) * | 2021-10-11 | 2022-01-14 | 西安万像电子科技有限公司 | 软件升级系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101996083A (zh) * | 2009-08-21 | 2011-03-30 | 中兴通讯股份有限公司 | 一种镜像升级的方法和装置 |
| CN104679527A (zh) * | 2013-11-26 | 2015-06-03 | 中国银联股份有限公司 | 虚拟机镜像离线升级方法 |
-
2015
- 2015-09-24 CN CN201510615532.0A patent/CN105204902B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101996083A (zh) * | 2009-08-21 | 2011-03-30 | 中兴通讯股份有限公司 | 一种镜像升级的方法和装置 |
| CN104679527A (zh) * | 2013-11-26 | 2015-06-03 | 中国银联股份有限公司 | 虚拟机镜像离线升级方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105204902A (zh) | 2015-12-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105204902B (zh) | 一种虚拟机的安全补丁升级方法,及装置 | |
| US7603440B1 (en) | System and method for management of end user computing devices | |
| US9003392B2 (en) | Use of cloning in maintenance of virtual appliances | |
| US9563460B2 (en) | Enforcement of compliance policies in managed virtual systems | |
| US8732665B2 (en) | Deploying environments for testing by providing instantaneous availability of prebuilt environments | |
| US9485151B2 (en) | Centralized system management on endpoints of a distributed data processing system | |
| US7937697B2 (en) | Method, system and computer program for distributing software patches | |
| US8006241B2 (en) | Automatic software installation and cleanup | |
| US20040117414A1 (en) | Method and system for automatically updating operating systems | |
| US9448834B2 (en) | Automated testing of physical servers using a virtual machine | |
| US20160203313A1 (en) | Method and apparatus for modifying a computer program in a trusted manner | |
| US20100083251A1 (en) | Techniques For Identifying And Comparing Virtual Machines In A Virtual Machine System | |
| US11886902B2 (en) | Physical-to-virtual migration method and apparatus, and storage medium | |
| US10379922B1 (en) | Error recovery in a virtual machine-based development environment | |
| US20060259819A1 (en) | Automated Method for Self-Sustaining Computer Security | |
| US10353729B1 (en) | Managing service dependencies across virtual machines in a development environment | |
| CN107643937B (zh) | 一种虚拟机监视器升级方法及装置 | |
| US9940461B2 (en) | Enabling an external operating system to access encrypted data units of a data storage system | |
| CN107766068B (zh) | 应用系统补丁安装方法、装置、计算机设备和存储介质 | |
| CN113467801A (zh) | 一种bmc固件应用更新方法、bmc、系统及存储介质 | |
| US20200167463A1 (en) | Out-of-Band Content Analysis | |
| KR100861751B1 (ko) | 다중 피씨사용시설에서의 다중 피씨의 관리시스템 | |
| CN112527624A (zh) | 检测系统、检测方法及使用检测方法执行的更新验证方法 | |
| CN116149691A (zh) | 一种批量升级方法、装置和存储介质 | |
| CN114651240A (zh) | 安全检查 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220209 Address after: 550025 Huawei cloud data center, jiaoxinggong Road, Qianzhong Avenue, Gui'an New District, Guiyang City, Guizhou Province Patentee after: Huawei Cloud Computing Technology Co.,Ltd. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee before: HUAWEI TECHNOLOGIES Co.,Ltd. |
|
| TR01 | Transfer of patent right |