CN108363611A - 虚拟机的安全管理方法、装置及全方位虚拟化系统 - Google Patents
虚拟机的安全管理方法、装置及全方位虚拟化系统 Download PDFInfo
- Publication number
- CN108363611A CN108363611A CN201810151197.7A CN201810151197A CN108363611A CN 108363611 A CN108363611 A CN 108363611A CN 201810151197 A CN201810151197 A CN 201810151197A CN 108363611 A CN108363611 A CN 108363611A
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- equipment
- migration
- security strategy
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种虚拟机的安全管理方法、装置及全方位虚拟化系统,涉及网络通信技术领域,以缓解现有技术中采用管理员人工操作的虚拟机的安全管理方式存在的安全系数低的技术问题,能够提高安全系数。该方法包括:接收虚拟机的迁移报文,并对迁移报文进行解析以获取虚拟机地址信息;根据虚拟机地址信息确定虚拟机在迁移过程中所属的初始安全设备以及最终安全设备;获取配置在初始安全设备上的虚拟机的安全策略;将安全策略重新配置到最终安全设备上;注销配置在初始安全设备上的虚拟机的安全策略。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种虚拟机的安全管理方法、装置及全方位虚拟化系统。
背景技术
虚拟化技术作为云计算关键技术之一,可以提高数据中心服务器资源的利用率、降低管理难度以及减少企业成本,因而得到广泛使用。
近年来,虚拟化技术的发展促进了虚拟机技术的出现。通过虚拟硬件来实现虚拟机,将一台物理计算机系统虚拟化为一台或多台虚拟计算机系统,每个虚拟计算机系统都拥有自己的虚拟硬件(如CPU、内存和设备等)。虚拟机的各种优点促使了虚拟计算环境的发展。
但是虚拟机的安全问题一直令人担忧,目前,传统的虚拟机的安全管理通常采用管理员进行手动操作的方式,配置不仅复杂,而且难度较大,稍有疏忽可能导致较大的安全风险。
综上所述,现有的虚拟机的安全管理方式存在安全系数低的问题。
发明内容
有鉴于此,本发明实施例的目的在于提供一种虚拟机的安全管理方法、装置及全方位虚拟化系统,以缓解现有技术中存在的安全系数不高的技术问题,能够提高安全系数。
第一方面,本发明实施例提供了一种虚拟机的安全管理方法,包括:
接收虚拟机的迁移报文,并对所述迁移报文进行解析以获取虚拟机地址信息;
根据所述虚拟机地址信息确定所述虚拟机在迁移过程中所属的初始安全设备以及最终安全设备;
获取配置在所述初始安全设备上的所述虚拟机的安全策略;
将所述安全策略重新配置到所述最终安全设备上;
注销配置在所述初始安全设备上的所述虚拟机的安全策略。
结合第一方面,本发明实施例提供了第一方面的第一种可能的实施方式,其中,该方法还包括:
接收数据报文;其中,所述数据报文中至少包括介质访问控制地址;
基于所述介质访问控制地址判断所述数据报文的对象是否为虚拟机;
当判定所述数据报文的对象为虚拟机时,执行所述接收虚拟机的迁移报文,并对所述迁移报文进行解析以获取虚拟机地址信息的步骤。
结合第一方面,本发明实施例提供了第一方面的第二种可能的实施方式,其中,该方法还包括:
接收虚拟机监控器发送的所述虚拟机在迁移过程中的监控信息。
结合第一方面,本发明实施例提供了第一方面的第三种可能的实施方式,其中,该方法还包括:
利用虚拟机监控器进行隐藏进程检测。
结合第一方面,本发明实施例提供了第一方面的第四种可能的实施方式,其中,该方法还包括:
当虚拟机为多个时,利用数据采集器采集各个虚拟机的检测数据。
结合第一方面的第四种可能的实施方式,本发明实施例提供了第一方面的第五种可能的实施方式,其中,所述检测数据包括CPU使用率、内存使用率、磁盘I/O速率和网络速率中的至少一种。
第二方面,本发明实施例提供一种虚拟机的安全管理装置,应用于全方位虚拟化系统,所述安全迁移装置包括:
接收解析模块,用于接收虚拟机的迁移报文,并对所述迁移报文进行解析以获取虚拟机地址信息;
确定模块,用于根据所述虚拟机地址信息确定所述虚拟机在迁移过程中所属的初始安全设备以及最终安全设备;
获取模块,用于获取配置在所述初始安全设备上的所述虚拟机的安全策略;
配置模块,用于将所述安全策略重新配置到所述最终安全设备上;
注销模块,用于注销配置在所述初始安全设备上的所述虚拟机的安全策略。
第三方面,本发明实施例还提供一种全方位虚拟化系统,所述全方位虚拟化系统包括服务器端和多个客户端,所述服务器端和所述客户端网络连接,所述全方位虚拟化系统通过以下方法搭建:
通过应用推送技术将应用从客户端上分离,实现应用的虚拟化;
采用计算虚拟化技术将服务器端的计算资源整合,构建计算能力池,实现计算资源的虚拟化;
利用存储虚拟化技术将服务器端的存储资源进行整合,构建得到存储资源池,实现存储资源的虚拟化。
第四方面,本发明实施例还提供一种电子设备,包括存储器、处理器,存储器上存储有可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述第一方面所述的方法的步骤。
第五方面,本发明实施例还提供一种具有处理器可执行的非易失的程序代码的计算机可读介质,程序代码使处理器执行如第一方面所述的方法。
本发明实施例带来了以下有益效果:
在本发明实施例提供的虚拟机的安全管理方法中,首先通过接收虚拟机的迁移报文,并对迁移报文进行解析以获取虚拟机地址信息;然后根据虚拟机地址信息确定虚拟机在迁移过程中所属的初始安全设备以及最终安全设备;接下来,获取配置在初始安全设备上的虚拟机的安全策略;将安全策略重新配置到最终安全设备上;最后注销配置在初始安全设备上的虚拟机的安全策略。因此,本发明实施例提供的技术方案,缓解了现有技术中采用管理员人工操作的虚拟机的安全管理方式存在的安全系数低的技术问题,能够提高安全系数。
本发明的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来路径实现和获得。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了本发明实施例所提供的一种虚拟机的安全管理方法的流程图;
图2示出了本发明实施例所提供的另一种虚拟机的安全管理方法的流程图;
图3示出了本发明实施例所提供的第三种虚拟机的安全管理方法的流程图;
图4示出了本发明实施例所提供的一种虚拟机的安全管理装置的结构示意图;
图5示出了本发明实施例所提供的一种电子设备的结构示意图。
具体实施方式
下面将结合本发明实施例中附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
目前,传统的虚拟机的安全管理通常采用管理员进行手动操作的方式,配置不仅复杂,而且难道较高,存在安全系数低的问题。基于此,本发明实施例提供了一种虚拟机的安全管理方法、装置及全方位虚拟化系统,以缓解现有技术中存在的安全系数不高的技术问题,能够提高安全系数。
为便于对本实施例进行理解,首先对本发明实施例所公开的一种虚拟机的安全管理方法进行详细介绍。
实施例一:
本发明实施例提供了一种虚拟机的安全管理方法,参见图1所示,该方法包括以下步骤:
步骤S101:接收虚拟机的迁移报文,并对上述迁移报文进行解析以获取虚拟机地址信息。
其中,上述迁移报文至少包括虚拟机地址信息,还可以包括虚拟机拓扑信息,该虚拟机拓扑信息包括虚拟机代码以及与虚拟机代码对应的网卡信息、虚拟机磁盘大小、虚拟机连接的虚拟交换机名、该虚拟交换机端口号等信息;该虚拟机地址信息包括虚拟机IP地址、虚拟机MAC地址(介质访问控制地址)、迁移前后的物理服务器IP地址、迁移前后虚拟机的接入端口ID以及迁移前后虚拟机(VM)的VLAN ID中任意一种或多种。
具体的,接收来自网络设备的虚拟机的迁移报文,并对上述迁移报文进行解析以获取虚拟机地址信息。这里的网络设备可以是路由器或者虚拟机管理装置。
步骤S102:根据上述虚拟机地址信息确定上述虚拟机在迁移过程中所属的初始安全设备以及最终安全设备。
其中,迁移过程包括迁移前(第一阶段)、迁移中(第二阶段)和迁移后(第三阶段)三个阶段。
本实施例中,主要根据上述虚拟机的地址信息确定虚拟机迁移前(第一阶段)该虚拟机所归属的初始安全设备以及虚拟机迁移后(第三阶段)该虚拟机所归属的最终安全设备,并不需要考虑迁移中是否归属其他安全设备,取得了节约系统资源的效果。
该步骤在执行时可以通过以下步骤实现:
A从多个定位算法中选择一个定位算法,其中上述多个定位算法分别使用不同的地址信息或者不同的位置参数的组合确定虚拟机所归属的安全设备。
考虑到网络设备以及执行安全管理方法的安全管理装置可能是由不同厂商提供的,因此为了更好地与对端兼容,安全管理装置中可以预置多个定位子单元,这些定位子单元分别使用不同的VM位置参数来确定VM归属的安全设备,也就是说即便虚拟机管理装置发送的迁移报告中的VM位置参数种类很少,安全管理装置依然可以借助多种定位算法(也就是多个内置的定位子单元)来确定VM所归属的安全设备。同样的道理,即便不同的虚拟机管理装置发送的迁移报告中的VM位置参数种类不同,由于预置多个定位子单元,可以应对对端的变化,具有更好的兼容性。
步骤S103:获取配置在上述初始安全设备上的上述虚拟机的安全策略。
具体的,由于虚拟机发生了迁移,因此需要虚拟机安全管理装置获取配置在上述初始安全设备上的上述虚拟机的安全策略。
步骤S104:将上述安全策略重新配置到上述最终安全设备上。
具体的,虚拟机安全管理装置将获取的上述安全策略以下发的方式重新写入到上述最终安全设备上。
这里通过使最终安全设备与初始安全设备具有同样的安全策略,能够实现安全策略跟随VM的无缝迁移,减小了VM对外提供业务服务的影响,使得外部访问VM的用户基本不会感知到VM有任何变化。
步骤S105:注销配置在上述初始安全设备上的上述虚拟机的安全策略。
当成功将虚拟机的安全策略下发到最终安全设备后,虚拟机安全管理装置注销配置在上述初始安全设备上的上述虚拟机的安全策略,在实现安全策略的无缝迁移以及保证虚拟机安全的同时,节约了初始安全设备的空间,减少其业务处理时间,提高业务处理效率。
具体的,该步骤通过以下步骤实现:
虚拟机安全管理装置通过网络设备向上述虚拟机迁移前所在的初始安全设备发送注销报文,以告知上述迁移前连接的初始安全设备对上述虚拟机的安全策略进行注销,这里的注销是完全消除安全策略,并不是使其无效。从而实现节约初始安全设备的空间,减少其业务处理时间,提高业务处理效率的效果。
在本发明实施例提供的虚拟机的安全管理方法中,首先通过接收虚拟机的迁移报文,并对迁移报文进行解析以获取虚拟机地址信息;然后根据虚拟机地址信息确定所述虚拟机在迁移过程中所属的初始安全设备以及最终安全设备;接下来,获取配置在初始安全设备上的虚拟机的安全策略;将安全策略重新配置到最终安全设备上;最后注销配置在初始安全设备上的虚拟机的安全策略。因此,本发明实施例提供的技术方案,缓解了现有技术中采用管理员人工操作的虚拟机的安全管理方式存在的安全系数低的技术问题,能够提高安全系数。
实施例二:
如图2所示,在实施例一的基础上,本发明实施例提供了另一种虚拟机的安全管理方法,与实施例一的区别在于,该方法还包括:
步骤S201:接收数据报文,其中,上述数据报文中至少包括介质访问控制地址。
具体的,虚拟机的安全管理装置接收由网络设备发送的数据报文,并解析上述数据报文以获取上述数据报文中的介质访问控制地址。
步骤S202:基于上述介质访问控制地址判断数据报文的对象是否为虚拟机;
具体的,虚拟机的安全管理装置根据数据报文中的介质访问控制地址与预先存储的虚拟机介质访问控制地址进行对比,识别发送上述数据报文的对象是否为虚拟机。
当判定上述数据报文的对象为虚拟机时,执行上述接收虚拟机的迁移报文,并对上述迁移报文进行解析以获取虚拟机地址信息的步骤,即步骤S101。
在一个实施例中,步骤S101具体可以按照以下步骤执行:
根据迁移报文中的虚拟机介质访问控制地址以及获取的虚拟机状态表,判断上述虚拟机是否发生迁移。
当判断结果为上述虚拟机发生迁移时,执行步骤S102。
考虑到系统中有多个主机(或者物理机)的,每个主机有多个虚拟机的情况,进一步的是,该方法还包括:根据各虚拟机的负载情况在不同的虚拟机监控器之间发起虚拟机动态迁移,以实现负载均衡。
由于虚拟机和物理资源的重映射可以借助虚拟机动态迁移技术来实现。借助运行在操作系统和物理硬件之间的虚拟机监控器,把包括操作系统在内的整个运行环境从一台物理主机迁移到另一台物理主机上,虚拟机动态迁移能够帮助管理人员进行动态的负载均衡、出错管理和在线维护。目前,虚拟机的动态迁移主要是通过人工手动发起的,且只能在相同类型的虚拟机监控器间进行。在云计算环境下,大规模的计算存储资源被整合在一起,这些资源可能由不同的虚拟机监控器进行管理。此外,在动态迁移被用来进行负载均衡以满足虚拟机服务等级协议(Service Level Agreement,SLA)的同时,迁移本身也需要占用CPU和网络带宽等资源。如果不对动态迁移的过程加以控制,必然会造成在迁移过程中虚拟机的SLA被严重破坏。反应速度慢、容易出错和缺少动态控制,这些缺点导致传统由人工发起的迁移不能做到资源的最佳利用和保证迁移过程中虚拟机的SLA。而只能在相同类型的虚拟机监控期之间进行迁移,缺乏灵活性,又限制了动态迁移技术的广泛应用。
进一步的是,该方法还包括:实时监控云计算环境中资源的使用情况,自主发起动态迁移,以做到负载均衡。此外,该方法支持在不同类型的虚拟机监控器问进行虚拟机的动态迁移,从而大大提高了动态迁移的灵活性。最后,该方法能够对动态迁移的过程进行实时控制,避免迁移过程占用过多资源,从而保证虚拟机的SLA。实验中以两种具有代表性的开源虚拟机监控器Xen和KVM为基础实现了名为Vagrant的虚拟机动态迁移框架。该框架能够根据负载情况,在Xen和KVM之间自主发起虚拟机动态迁移,同时能够对迁移过程进行实时控制,保证虚拟机的SLA。在性能方面,由该迁移框架发起的虚拟机动态迁移的在迁移总时间上与传统的虚拟机动态迁移基本相当,而造成的停机时间基本在2秒以内。
实施例三:
如图3所示,,在实施例一的基础上,本发明实施例提供了第三种虚拟机的安全管理方法,与实施例一的区别在于,该方法还包括:
步骤S301:接收虚拟机监控器发送的上述虚拟机在迁移过程中的监控信息。
这里的虚拟机监控器可以是相同类型的,也可以是不同类型的。
本实施例中,通过设置虚拟机监控器来监控虚拟机的迁移过程,实现对虚拟机的安全监控,进一步提高了虚拟机的安全系数,有利于系统安全。
需要说明的是,该方法还可以包括获取虚拟机在非迁移过程中的监控信息,以确保虚拟机的安全状态。
其中,虚拟机监控信息包括虚拟机在迁移过程中的监控信息和非迁移过程中的监控信息,所述虚拟机监控信息通过虚拟机监控器监控获取。
步骤S302:利用虚拟机监控器进行隐藏进程检测。
具体的,利用虚拟机监控器进行隐藏进程检测,获取虚拟机隐藏进程检测信息。
在一个实施例中,该步骤主要通过以下步骤执行:
(1)分别获得用户态(User-level)、内核态(Kernel-level)以及虚拟机监控器(VMM-level)维护的网络连接信息。
(2)比较虚拟机内部用户态程序维护的网络连接信息与虚拟机内核态程序维护的网络连接信息,获得用户态中的隐藏的网络连接。
(3)比较上述虚拟机内核态程序维护的网络连接信息与上述虚拟机监控器维护的网络连接信息,获得内核态中的隐藏的网络连接。
(4)根据上述用户态中的隐藏的网络连接和内核态中的隐藏的网络连接的端口,以及虚拟机监控器获取进程与端口的映射信息,分别获得用户态中的隐藏进程以及内核态中的隐藏进程。
其中,上述虚拟机通过对应的测试访问端口对数据包进行接收和发送。
步骤S303:当虚拟机为多个时,利用数据采集器采集各个虚拟机的检测数据。
其中,上述检测数据包括CPU使用率、内存使用率、磁盘使用率和网络使用率中的至少一种,还可以包括磁盘I/O速率、网络速率。
进一步的,该方法还包括:根据上述检测数据判断上述虚拟机的负载情况。
具体的,每个检测数据有预设权重,根据预先设置的评分公式对检测数据进行计算,得到每个虚拟机的评分,根据上述评分来判断虚拟机的负载情况,然后根据上述负载情况发起虚拟机自主迁移,以实现负载均衡。
这里以检测数据包括CPU使用率、内存使用率、磁盘使用率和网络使用率为例对计算方法进行说明,评分公式为:Sn=KAn+MBn+NCn+PDn。
式中,Sn代表第n个虚拟机的评分,An表示第n个虚拟机的CPU使用率,K表示CPU使用率的预设权重;Bn表示第n个虚拟机的CPU使用率,M表示内存使用率的预设权重;Cn表示第n个虚拟机的磁盘使用率,N表示磁盘使用率的预设权重;Dn表示第n个虚拟机的网络使用率,P表示网络使用率的预设权重。评分越高,则说明虚拟机的负载越大;反之,则说明虚拟机的负载越小。
考虑到虚拟机可能出现异常情况(例如外界病毒入侵),进一步的是,该方法还包括:部署安全监测虚拟机或入侵检测虚拟机,以进一步的提高虚拟机的安全性能,保证系统的正常运行。
具体的,安全监测虚拟机或入侵检测虚拟机的部署方法如下:首先通过异常监控模块监测各虚拟机的异常值以识别异常虚拟机;当所述异常监控模块识别到异常虚拟机时,指示部署执行器在本地启动运行安全监测虚拟机或入侵检测虚拟机;所述部署执行器从所述异常监控模块获取异常虚拟机标识,并根据所述异常虚拟机标识设置虚拟交换机与所述安全监测虚拟机或入侵检测虚拟机的连接;所述虚拟交换机将发往或来自所述异常虚拟机的报文通过安全监测虚拟机或入侵检测虚拟机上的检测专用虚拟网卡发送给所述安全监测虚拟机或入侵检测虚拟机,以进行安全监测分析或入侵检测分析。
实施例四:
如图4所示,本发明实施例一种虚拟机的安全管理装置,可应用于全方位虚拟化系统,上述安全迁移装置包括:
接收解析模块10,用于接收虚拟机的迁移报文,并对上述迁移报文进行解析以获取虚拟机地址信息;
确定模块20,用于根据上述虚拟机地址信息确定上述虚拟机在迁移过程中所属的初始安全设备以及最终安全设备;
获取模块30,用于获取配置在上述初始安全设备上的上述虚拟机的安全策略;
配置模块40,用于将上述安全策略重新配置到上述最终安全设备上;
注销模块50,用于注销配置在上述初始安全设备上的上述虚拟机的安全策略。
进一步的是,接收解析模块10还用于接收数据报文;其中,上述数据报文中至少包括介质访问控制地址。
进一步的是,该装置还包括判断模块(未示于图中),用于基于上述介质访问控制地址判断上述数据报文的对象是否为虚拟机;当判定上述数据报文的对象为虚拟机时,由接收解析模块10执行接收虚拟机的迁移报文,并对上述迁移报文进行解析以获取虚拟机地址信息。
进一步的是,上述接收解析模块还用于接收虚拟机监控器发送的上述虚拟机在迁移过程中的监控信息。
进一步的是,该装置还包括检测模块(未示于图中),用于利用虚拟机监控器进行隐藏进程检测。
进一步的是,该装置还包括采集模块(未示于图中),用于当虚拟机为多个时,利用数据采集器采集各个虚拟机的检测数据。其中,检测数据包括CPU使用率、内存使用率、磁盘I/O速率和网络速率中的至少一种。
本发明实施例提供的虚拟机的安全管理装置与上述虚拟机的安全管理方法具有相同的技术特征,能够解决相同的技术问题,取得相同的技术效果。
实施例五:
本发明实施例提供了一种全方位虚拟化系统,上述全方位虚拟化系统包括服务器端和多个客户端,上述服务器端和上述客户端网络连接,具体的,服务器端与客户端通过网络设备相连接;上述客户端为个人计算机。
服务器端或者客户端中安装有前述的虚拟机的安全管理装置。
上述全方位虚拟化系统通过以下方法搭建:
a通过应用推送技术将应用从客户端上分离,实现应用的虚拟化。
b采用计算虚拟化技术将服务器端的计算资源整合,构建计算能力池,实现计算资源的虚拟化;上述计算虚拟化技术具体采用桌面虚拟化。
c利用存储虚拟化技术将服务器端的存储资源进行整合,构建得到存储资源池,实现存储资源的虚拟化。
d利用网络虚拟化技术实现网络的虚拟化。
本发明实施例还提供了一种虚拟机双向自动伸缩服务系统,可以采用前述实施例提供的虚拟机的安全管理方法该虚拟机双向自动伸缩服务系统从底到上依次包括基础设施层、系统层、服务层和管理层;
基础设施层,为基础架构云平台提供基础的硬件设施,包括服务器、存储设备和网络设备;
系统层,实现云操作系统,基于CentOS操作系统和KVM虚拟化技术,提供虚拟化的管理和对外接口;
服务层,包括监控服务、虚拟化服务、负载均衡服务和双向自动伸缩服务;
监控服务,为双向自动伸缩服务提供虚拟机监控信息,包括CPU使用率、内存使用率、磁盘使用率和网络状况;
虚拟化服务,为双向自动伸缩服务提供了虚拟机操作接口服务,包括启动虚拟机、关闭虚拟机、动态调整虚拟机的CPU、内存和磁盘大小;
负载均衡服务,为应用服务的外部请求分配不同的虚拟机进行响应,以确保虚拟机之间的负载均衡;
双向自动伸缩服务,根据服务创建时的策略配置、监控的反馈信息和自动化的决策策略进行虚拟机横向和纵向的伸缩,其中横向伸缩包括启动新的虚拟机提供服务或关闭运行的虚拟机,纵向伸缩包括动态调整虚拟机CPU数、内存大小和磁盘大小;
管理层,是整个服务系统的用户接口层,为用户创建和管理双向自动伸缩服务提供基于B/S的访问接口,包括服务的配置、服务的创建和删除、服务的监控。
需要说明的是,上述虚拟机具有双向伸缩服务功能,该双向伸缩服功能的实现方法如下:
(1)搭建云计算基础设施硬件环境,使用不少于2台服务器,连接内部局域网环境;
(2)安装云计算操作系统,配置云计算IaaS环境;
(3)准备基于网络的应用服务虚拟机镜像和负载均衡服务虚拟机镜像,并上传至云环境中;
(4)运行监控服务、双向自动伸缩服务;
(5)配置监控参数、负载均衡参数、双向自动伸缩参数,创建双向自动伸缩服务实例,系统根据配置的各项参数,启动应用服务虚拟机集群和负载均衡服务虚拟机;
(6)双向自动伸缩服务每隔设定时间向监控服务请求监控数据,监控服务则监控应用服务虚拟机集群,并将监控数据反馈给双向自动伸缩服务;
(7)同时,随着应用请求的不断到来,运行于负载均衡服务虚拟机上的负载均衡服务将应用请求分别负载到应用服务虚拟机集群中不同的应用服务虚拟机上;
(8)双向自动伸缩服务根据配置的参数和监控返回的数据,采用自动化决策算法决定是否进行虚拟机集群的伸缩,以及采用横向还是纵向伸缩方式;上述自动化决策算法包括:当发生单个虚拟机的计算/存储能力不足、无法启动更多虚拟机、单个虚拟机计算能力过剩、无法关闭更多虚拟机四种情况之一时,自动采取纵向伸缩的方式;上述情况发生的依据来自于监控反馈和服务的配置阈值;
(9)当需要进行伸缩时,则调用虚拟化服务接口,进行虚拟机集群的伸缩,横向伸缩则启停虚拟机,纵向伸缩则按虚拟机的编号依次动态调整虚拟机的计算资源和存储资源;
(10)当双向自动伸缩服务实例不再被需要时,通过管理接口将该实例删除。
实施例六:
本发明实施例提供一种电子设备,参见图5所示,该电子设备包括:处理器50,存储器51,总线52和通信接口53,所述处理器50、通信接口53和存储器51通过总线52连接;处理器50用于执行存储器51中存储的可执行模块,例如计算机程序。处理器执行计算机程序时实现如方法实施例所述的方法的步骤。
其中,存储器51可能包含高速随机存取存储器(RAM,RandomAccessMemory),也可能还包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个通信接口53(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接,可以使用互联网,广域网,本地网,城域网等。
总线52可以是ISA总线、PCI总线或EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图5中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
其中,存储器51用于存储程序,所述处理器50在接收到执行指令后,执行所述程序,前述本发明实施例任一实施例揭示的流过程定义的装置所执行的方法可以应用于处理器50中,或者由处理器50实现。
处理器50可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器50中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器50可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital SignalProcessing,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)、现成可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器51,处理器50读取存储器51中的信息,结合其硬件完成上述方法的步骤。
虚拟机的安全管理方法的计算机程序产品,包括存储了处理器可执行的非易失的程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置及电子设备的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
附图中的流程图和框图显示了根据本发明的多个实施例方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种虚拟机的安全管理方法,其特征在于,包括:
接收虚拟机的迁移报文,并对所述迁移报文进行解析以获取虚拟机地址信息;
根据所述虚拟机地址信息确定所述虚拟机在迁移过程中所属的初始安全设备以及最终安全设备;
获取配置在所述初始安全设备上的所述虚拟机的安全策略;
将所述安全策略重新配置到所述最终安全设备上;
注销配置在所述初始安全设备上的所述虚拟机的安全策略。
2.根据权利要求1所述的方法,其特征在于,还包括:
接收数据报文;其中,所述数据报文中至少包括介质访问控制地址;
基于所述介质访问控制地址判断所述数据报文的对象是否为虚拟机;
当判定所述数据报文的对象为虚拟机时,执行所述接收虚拟机的迁移报文,并对所述迁移报文进行解析以获取虚拟机地址信息的步骤。
3.根据权利要求1所述的方法,其特征在于,还包括:
接收虚拟机监控器发送的所述虚拟机在迁移过程中的监控信息。
4.根据权利要求1所述的方法,其特征在于,还包括:
利用虚拟机监控器进行隐藏进程检测。
5.根据权利要求1所述的方法,其特征在于,还包括:
当虚拟机为多个时,利用数据采集器采集各个虚拟机的检测数据。
6.根据权利要求5所述的方法,其特征在于,所述检测数据包括CPU使用率、内存使用率、磁盘I/O速率和网络速率中的至少一种。
7.一种虚拟机的安全管理装置,其特征在于,应用于全方位虚拟化系统,所述安全迁移装置包括:
接收解析模块,用于接收虚拟机的迁移报文,并对所述迁移报文进行解析以获取虚拟机地址信息;
确定模块,用于根据所述虚拟机地址信息确定所述虚拟机在迁移过程中所属的初始安全设备以及最终安全设备;
获取模块,用于获取配置在所述初始安全设备上的所述虚拟机的安全策略;
配置模块,用于将所述安全策略重新配置到所述最终安全设备上;
注销模块,用于注销配置在所述初始安全设备上的所述虚拟机的安全策略。
8.一种全方位虚拟化系统,其特征在于,所述全方位虚拟化系统包括服务器端和多个客户端,所述服务器端和所述客户端网络连接,所述全方位虚拟化系统通过以下方法搭建:
通过应用推送技术将应用从客户端上分离,实现应用的虚拟化;
采用计算虚拟化技术将服务器端的计算资源整合,构建计算能力池,实现计算资源的虚拟化;
利用存储虚拟化技术将服务器端的存储资源进行整合,构建得到存储资源池,实现存储资源的虚拟化。
9.一种电子设备,包括存储器、处理器,所述存储器上存储有可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现上述权利要求1至6任一项所述的方法的步骤。
10.一种具有处理器可执行的非易失的程序代码的计算机可读介质,其特征在于,所述程序代码使所述处理器执行所述权利要求1至6任一项所述的方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711067066 | 2017-11-02 | ||
| CN2017110670662 | 2017-11-02 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108363611A true CN108363611A (zh) | 2018-08-03 |
Family
ID=63002466
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810151197.7A Pending CN108363611A (zh) | 2017-11-02 | 2018-02-13 | 虚拟机的安全管理方法、装置及全方位虚拟化系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108363611A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109901909A (zh) * | 2019-01-04 | 2019-06-18 | 中国科学院计算技术研究所 | 用于虚拟化系统的方法及虚拟化系统 |
| CN111510435A (zh) * | 2020-03-25 | 2020-08-07 | 新华三大数据技术有限公司 | 一种网络安全策略迁移方法及装置 |
| CN112231063A (zh) * | 2020-10-23 | 2021-01-15 | 新华三信息安全技术有限公司 | 一种故障处理方法及装置 |
| CN114389876A (zh) * | 2022-01-13 | 2022-04-22 | 平安普惠企业管理有限公司 | 安全策略实施方法、装置、设备及存储介质 |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101465770A (zh) * | 2009-01-06 | 2009-06-24 | 北京航空航天大学 | 入侵检测系统部署方法 |
| US20100175063A1 (en) * | 2009-01-05 | 2010-07-08 | International Business Machines Corporation | Detection and Management of Dynamic Migration of Virtual Environments |
| CN102025535A (zh) * | 2010-11-17 | 2011-04-20 | 福建星网锐捷网络有限公司 | 虚拟机管理方法、装置及网络设备 |
| CN102521537A (zh) * | 2011-12-06 | 2012-06-27 | 北京航空航天大学 | 基于虚拟机监控器的隐藏进程检测方法和装置 |
| CN102739645A (zh) * | 2012-04-23 | 2012-10-17 | 杭州华三通信技术有限公司 | 虚拟机安全策略的迁移方法及装置 |
| CN103023993A (zh) * | 2012-11-28 | 2013-04-03 | 青岛双瑞海洋环境工程股份有限公司 | 一种基于云计算的企业信息系统 |
| CN103167006A (zh) * | 2011-12-19 | 2013-06-19 | 中国电信股份有限公司 | 虚拟机提供Web服务的方法、虚拟机监控器与系统 |
| CN103365704A (zh) * | 2012-03-26 | 2013-10-23 | 中国移动通信集团公司 | 虚拟机迁移中的内存预拷贝方法及执行该方法的装置和系统 |
| CN103399778A (zh) * | 2013-07-01 | 2013-11-20 | 华为技术有限公司 | 一种虚拟机在线整体迁移方法和设备 |
| CN103559072A (zh) * | 2013-10-22 | 2014-02-05 | 无锡中科方德软件有限公司 | 虚拟机双向自动伸缩服务实现方法及其系统 |
| CN103685250A (zh) * | 2013-12-04 | 2014-03-26 | 蓝盾信息安全技术股份有限公司 | 一种基于sdn的虚拟机安全策略迁移的系统及方法 |
| CN106528270A (zh) * | 2016-11-16 | 2017-03-22 | 航天信息股份有限公司 | 一种基于OpenStack云平台的虚拟机自动迁移方法及系统 |
-
2018
- 2018-02-13 CN CN201810151197.7A patent/CN108363611A/zh active Pending
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100175063A1 (en) * | 2009-01-05 | 2010-07-08 | International Business Machines Corporation | Detection and Management of Dynamic Migration of Virtual Environments |
| CN101465770A (zh) * | 2009-01-06 | 2009-06-24 | 北京航空航天大学 | 入侵检测系统部署方法 |
| CN102025535A (zh) * | 2010-11-17 | 2011-04-20 | 福建星网锐捷网络有限公司 | 虚拟机管理方法、装置及网络设备 |
| CN102521537A (zh) * | 2011-12-06 | 2012-06-27 | 北京航空航天大学 | 基于虚拟机监控器的隐藏进程检测方法和装置 |
| CN103167006A (zh) * | 2011-12-19 | 2013-06-19 | 中国电信股份有限公司 | 虚拟机提供Web服务的方法、虚拟机监控器与系统 |
| CN103365704A (zh) * | 2012-03-26 | 2013-10-23 | 中国移动通信集团公司 | 虚拟机迁移中的内存预拷贝方法及执行该方法的装置和系统 |
| CN102739645A (zh) * | 2012-04-23 | 2012-10-17 | 杭州华三通信技术有限公司 | 虚拟机安全策略的迁移方法及装置 |
| CN103023993A (zh) * | 2012-11-28 | 2013-04-03 | 青岛双瑞海洋环境工程股份有限公司 | 一种基于云计算的企业信息系统 |
| CN103399778A (zh) * | 2013-07-01 | 2013-11-20 | 华为技术有限公司 | 一种虚拟机在线整体迁移方法和设备 |
| CN103559072A (zh) * | 2013-10-22 | 2014-02-05 | 无锡中科方德软件有限公司 | 虚拟机双向自动伸缩服务实现方法及其系统 |
| CN103685250A (zh) * | 2013-12-04 | 2014-03-26 | 蓝盾信息安全技术股份有限公司 | 一种基于sdn的虚拟机安全策略迁移的系统及方法 |
| CN106528270A (zh) * | 2016-11-16 | 2017-03-22 | 航天信息股份有限公司 | 一种基于OpenStack云平台的虚拟机自动迁移方法及系统 |
Non-Patent Citations (2)
| Title |
|---|
| 范伟,孔斌等: ""KVM 虚拟化动态迁移技术的安全防护模型"", 《软件学报》 * |
| 马佳琳: "《电子商务云计算》", 31 May 2017 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109901909A (zh) * | 2019-01-04 | 2019-06-18 | 中国科学院计算技术研究所 | 用于虚拟化系统的方法及虚拟化系统 |
| CN109901909B (zh) * | 2019-01-04 | 2020-12-29 | 中国科学院计算技术研究所 | 用于虚拟化系统的方法及虚拟化系统 |
| CN111510435A (zh) * | 2020-03-25 | 2020-08-07 | 新华三大数据技术有限公司 | 一种网络安全策略迁移方法及装置 |
| CN111510435B (zh) * | 2020-03-25 | 2022-02-22 | 新华三大数据技术有限公司 | 一种网络安全策略迁移方法及装置 |
| CN112231063A (zh) * | 2020-10-23 | 2021-01-15 | 新华三信息安全技术有限公司 | 一种故障处理方法及装置 |
| CN114389876A (zh) * | 2022-01-13 | 2022-04-22 | 平安普惠企业管理有限公司 | 安全策略实施方法、装置、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9749402B2 (en) | Workload deployment with real-time consideration of global network congestion | |
| CN106489251B (zh) | 应用拓扑关系发现的方法、装置和系统 | |
| CN107924341B (zh) | 基于平台遥测数据的实时的本地和全局数据中心网络优化 | |
| CN104636184B (zh) | 虚拟机实例的部署方法和装置及设备 | |
| CN104718723B (zh) | 用于虚拟网络中的联网和安全服务的框架 | |
| EP3606008A1 (en) | Method and device for realizing resource scheduling | |
| CN107070972A (zh) | 一种分布式文件处理方法及装置 | |
| CN108363611A (zh) | 虚拟机的安全管理方法、装置及全方位虚拟化系统 | |
| TWI458314B (zh) | 傳送遠端封包至主機的伺服器系統及其管理方法 | |
| EP3269088B1 (en) | Method, computer program, network function control system, service data and record carrier, for controlling provisioning of a service in a network | |
| CN108259216A (zh) | 网络服务应用和客户意识的虚拟化网络功能放置 | |
| US9547519B2 (en) | Overcommitting virtual machine hosts | |
| CN103645957B (zh) | 一种虚拟机资源管控方法及装置 | |
| US9910687B2 (en) | Data flow affinity for heterogenous virtual machines | |
| CN103685608B (zh) | 一种自动配置安全虚拟机ip地址的方法及装置 | |
| CN107077340A (zh) | 负载均衡 | |
| CN103455363B (zh) | 一种虚拟机的指令处理方法、装置及物理主机 | |
| JP2017199367A (ja) | ポストパッケージリペアにおける記録及び使用を分析するための方法及びシステム | |
| CN107193499A (zh) | 一种容器数据卷的迁移方法及装置 | |
| CN109587105A (zh) | 基于策略的网络服务指纹识别 | |
| CN106155264B (zh) | 管理存储子系统的电力消耗的计算机方法与计算机系统 | |
| CN107707622A (zh) | 一种访问桌面云虚拟机的方法、装置及桌面云控制器 | |
| CN104077187B (zh) | 用于调度应用程序的执行的方法和系统 | |
| US8533303B2 (en) | Network management system node and method for use in a network management system node for re-configuring a set of data network nodes in a data network | |
| CN106161603A (zh) | 一种组网的方法、设备及架构 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180803 |