CN109995759B - 一种物理机接入vpc的方法及相关装置 - Google Patents
一种物理机接入vpc的方法及相关装置 Download PDFInfo
- Publication number
- CN109995759B CN109995759B CN201910160003.4A CN201910160003A CN109995759B CN 109995759 B CN109995759 B CN 109995759B CN 201910160003 A CN201910160003 A CN 201910160003A CN 109995759 B CN109995759 B CN 109995759B
- Authority
- CN
- China
- Prior art keywords
- physical machine
- server
- access
- vpc
- security group
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种物理机接入VPC的方法,包括:服务器接收物理机发送的请求,所述请求携带身份信息,所述请求用于指示接入第一VPC的第一IP;所述服务器从安全组规则数据库中获取与所述身份信息匹配的第一安全组规则;所述服务器确认所述第一安全组规则与所述第一VPC匹配;所述服务器将所述物理机接入所述第一VPC的第一IP;所述服务器向所述物理机发送接入成功的消息,以响应所述物理机发送的请求。采用该手段,使得物理机接入VPC更加安全、便捷,保障了VPC接入的安全性。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种物理机接入VPC的方法及相关装置。
背景技术
随着云计算的兴起,公有云(Public Cloud)作为一种提供方便安全的数据共享服务的云计算模型得到了快速普及和发展,公有云通常指第三方云提供商为用户提供的能够使用的云。专有网络(VirtualPrivate Cloud,VPC)是基于公有云构建出的一个隔离的网络环境,企业用户可以按需对网络环境进行规划和管理,比如,选择自有IP地址范围、划分网段、配置路由表和网关等。专有网络一般部署在一个安全的主机托管场所,由第三方云提供商来进行实际管理。
目前的云计算厂商裸机服务,因为安全隔离的原因,无法接入用户专有网络VPC,只能在单独的裸机VPC内使用,不能与用户VPC内的云主机实现互联互通,十分不方便。
发明内容
本申请实施例提供一种物理机接入VPC的方法及相关装置,能够实现物理机安全、便捷的接入VPC。
本申请实施例的第一方面提供了一种物理机接入VPC的方法,包括:
服务器接收物理机发送的请求,所述请求携带身份信息,所述请求用于指示接入第一VPC的第一IP;
所述服务器从安全组规则数据库中获取与所述身份信息匹配的第一安全组规则;
所述服务器确认所述第一安全组规则是否与所述第一VPC匹配;
所述服务器在所述第一安全组规则与所述第一VPC匹配的情况下,将所述物理机接入所述第一VPC的第一IP;
所述服务器响应所述物理机发送的请求,向所述物理机发送接入成功的消息。
优选的,所述服务器从安全组规则数据库中获取与所述身份信息匹配的第一安全组规则,包括:
所述服务器根据预设的身份等级与身份信息的映射关系,获取与所述身份信息对应的身份等级;
所述服务器获取与所述身份等级对应的安全组规则数据库;
所述身份信息包括所述物理机的位置信息,所述服务器确认所述位置信息在预设位置范围内,则所述服务器从所述安全组规则数据库中获取与所述物理机的位置信息匹配的第一安全组规则。
优选的,所述服务器在确认所述第一安全组规则与所述第一VPC匹配之后,所述服务器将所述物理机接入所述第一VPC的第一IP之前,包括:
所述服务器获取所述第一VPC的第一IP的接入客户端数量;
所述服务器确认所述第一VPC的第一IP的接入客户端数量是否未超出预设值;
若超出,则所述服务器在预设时间间隔后再次获取所述第一VPC的第一IP的接入客户端数量;
所述服务器确认所述第一VPC的第一IP的接入客户端数量未超出所述预设值。
优选的,所述服务器接收物理机发送的请求之后,所述服务器从安全组规则数据库中获取与所述身份信息匹配的第一安全组规则之前,包括:
所述服务器向所述物理机发送病毒查杀请求,所述病毒查杀请求用于确认所述物理机是否携带病毒;
若所述物理机未携带病毒,则所述服务器确认所述物理机是否携带窃听装置;
当所述物理机未携带窃听装置时,所述服务器确认预设权限信息库中是否包含所述身份信息;
当所述预设权限信息库中包含所述身份信息时,则所述服务器确认所述物理机具备请求权限。
进一步,还包括:
所述服务器获取所述物理机的历史数据,所述历史数据包括所述物理机的历史访问网址信息;
所述服务器确认所述历史访问网址信息中的网址访问数量最大的网址信息;
所述服务器根据预设网址信息与访问兴趣点之间的映射关系,确认所述网址访问数量最大的网址信息所对应的访问兴趣点;
所述服务器获取与所述访问兴趣点相关的安全组规则数据库;
所述服务器从与所述访问兴趣点相关的安全组规则数据库中获取与所述身份等级对应的第二安全组规则;
所述服务器将所述第二安全组规则下发至所述物理机。
进一步,还包括:
所述服务器获取所述历史访问网址信息中的网址访问数量最小的网址信息;
所述服务器确认所述物理机在超出预设时长内未访问所述网址访问数量最小的网址信息;
所述服务器获取所述网址访问数量最小的网址信息所对应的访问兴趣点;
所述服务器确认所述网址访问数量最小的网址信息所对应的访问兴趣点与所述网址访问数量最大的网址信息所对应的访问兴趣点不同;
所述服务器获取所述网址访问数量最小的网址信息所对应的第三安全组规则;
所述服务器更新所述网址访问数量最小的网址信息所对应的第三安全组规则,使得所述物理机没有权限访问所述网址访问数量最小的网址信息。
进一步,还包括:
所述服务器接收所述物理机发送的迁移请求,所述迁移请求携带所述物理机的基本信息和安全组规则,所述请求用于指示将所述物理机迁移至云平台;
所述服务器根据所述物理机的基本信息生成配置文件;
所述服务器根据所述配置文件建立与所述物理机配置相同的虚拟机;
所述服务器获取所述物理机的若干个安全组规则;
所述服务器将所述若干个安全组规则发送至所述云平台,并启动所述虚拟机。
本申请实施例的第二方面提供了一种物理机接入VPC的装置,包括:
接收模块,用于接收物理机发送的请求,所述请求携带身份信息,所述请求用于指示接入第一VPC的第一IP;
获取模块,用于从安全组规则数据库中获取与所述身份信息匹配的第一安全组规则;
确认模块,用于确认所述第一安全组规则是否与所述第一VPC匹配;
接入模块,用于在所述第一安全组规则与所述第一VPC匹配的情况下,将所述物理机接入所述第一VPC的第一IP;
发送模块,用于向所述物理机发送接入成功的消息,以响应所述物理机发送的请求。
本申请实施例的第三方面提供了一种服务器,包括处理器、输入设备、输出设备和存储器,所述处理器、输入设备、输出设备和存储器相互连接,其中,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行所述的方法。
本申请实施例的第四方面提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行,以实现所述的方法。
实施本申请实施例,至少具有如下有益效果:
通过本申请实施例,通过从安全组规则数据库中获取与物理机身份信息匹配的第一安全组规则,当确认第一安全组规则与第一VPC匹配时,则将物理机接入第一VPC的第一IP。采用该手段,使得物理机接入VPC更加安全、便捷,保障了VPC接入的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
其中:
图1为本发明实施例提供的一种物理机接入VPC的方法的交互示意图;
图2是本发明实施例提供的一种物理机接入VPC的方法的流程示意图;
图3是本发明实施例提供的一种物理机接入VPC的方法的流程示意图;
图4是本发明实施例提供的一种物理机接入VPC的方法的流程示意图;
图5是本发明实施例提供的一种物理机接入VPC的方法的流程示意图;
图6是本发明实施例提供的一种物理机接入VPC的方法的流程示意图;
图7是本发明实施例提供的一种服务器的结构示意图;
图8是本发明实施例提供的一种物理机接入VPC的装置的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别不同对象,而不是用于描述特定顺序。此外,术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其他步骤或单元。
在本申请中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本申请所描述的实施例可以与其它实施例相结合。
请参阅图1,图1为本发明实施例提供的一种物理机接入VPC的方法的交互示意图。如图1所示,其包括服务器101、物理机102、安全组规则数据库103,其中:服务器101接收物理机102发送的请求,所述请求携带身份信息,所述请求用于指示接入第一VPC的第一IP;所述服务器101从安全组规则数据库103中获取与所述身份信息匹配的第一安全组规则;所述服务器101确认所述第一安全组规则与所述第一VPC匹配;所述服务器101将所述物理机102接入所述第一VPC的第一IP;所述服务器101向所述物理机102发送接入成功的消息,以响应所述物理机102发送的请求。
通过本申请实施例,通过从安全组规则数据库中获取与物理机身份信息匹配的第一安全组规则,当确认第一安全组规则与第一VPC匹配时,则将物理机接入第一VPC的第一IP。采用该手段,使得物理机接入VPC更加安全、便捷,保障了VPC接入的安全性。
请参阅图2,图2为本申请实施例提供了一种物理机接入VPC的方法的流程示意图。如图2所示,其可包括步骤201-205,具体如下:
201、服务器接收物理机发送的请求,所述请求携带身份信息,所述请求用于指示接入第一VPC的第一IP;
所述身份信息可以是所述物理机的编码信息,或者也可携带其他信息,如密钥账号等,如所述请求中携带有密钥账号,所述服务器对所述密钥账号进行认定,预先服务器设定有可接入特定VPC的密钥账号,当接收到物理机发送的对应密钥账号后,则服务器通过与保存的对应密钥账号及对应的访问权限进行比较,以确认所述物理机是否有资格接入所述特定VPC;
202、所述服务器从安全组规则数据库中获取与所述身份信息匹配的第一安全组规则;
其中,安全组规则数据库中包含若干安全组规则,安全组规则可以为xx与xx可以进行通信,或者xx与xx不可以通信等,具体如xx可以访问百度或者谷歌等;
203、所述服务器确认所述第一安全组规则是否与所述第一VPC匹配;
所述服务器判断第一安全组规则是否是与第一VPC匹配,即第一安全组规则是否是涉及第一VPC的,是否与第一VPC相关联;
204、所述服务器在所述第一安全组规则与所述第一VPC匹配的情况下,将所述物理机接入所述第一VPC的第一IP;
当所述服务器确认所述第一安全组规则与所述第一VPC匹配时,则将所述物理机接入所述第一VPC的第一IP;
205、所述服务器向所述物理机发送接入成功的消息,以响应所述物理机发送的请求。
通过本申请实施例,通过从安全组规则数据库中获取与物理机身份信息匹配的第一安全组规则,当确认第一安全组规则与第一VPC匹配时,则将物理机接入第一VPC的第一IP。采用该手段,使得物理机接入VPC更加安全、便捷,保障了VPC接入的安全性。
请参阅图3,图3为本申请实施例提供了一种物理机接入VPC的方法的流程示意图。如图3所示,其可包括步骤301-307,具体如下:
301、服务器接收物理机发送的请求,所述请求携带身份信息,所述请求用于指示接入第一VPC的第一IP;
302、所述服务器根据预设的身份等级与身份信息的映射关系,获取与所述身份信息对应的身份等级;
303、所述服务器获取与所述身份等级对应的安全组规则数据库;
304、所述身份信息包括所述物理机的位置信息,所述服务器确认所述位置信息在预设位置范围内,则所述服务器从所述安全组规则数据库中获取与所述物理机的位置信息匹配的第一安全组规则;
优选的,所述第一安全组规则的确定,可根据与所述身份信息对应的安全组规则数据库中,与所述物理机的位置信息匹配的第一安全组规则来确定;
305、所述服务器确认所述第一安全组规则与所述第一VPC匹配;
306、所述服务器将所述物理机接入所述第一VPC的第一IP;
307、所述服务器向所述物理机发送接入成功的消息,以响应所述物理机发送的请求。
通过本申请实施例,根据物理机的位置信息,服务器确认所述位置信息在预设位置范围内后进而从安全组规则数据库中获取与所述物理机的位置信息匹配的第一安全组规则,当确认第一安全组规则与第一VPC匹配时,则将物理机接入第一VPC的第一IP。采用该手段,进一步对第一安全组规则的获取进行限定,使得物理机接入VPC更加安全、便捷,保障了VPC接入的安全性。
请参阅图4,图4为本申请实施例提供了一种物理机接入VPC的方法的流程示意图。如图4所示,其可包括步骤401-411,具体如下:
401、服务器接收物理机发送的请求,所述请求携带身份信息,所述请求用于指示接入第一VPC的第一IP;
402、所述服务器根据预设的身份等级与身份信息的映射关系,获取与所述身份信息对应的身份等级;
403、所述服务器获取与所述身份等级对应的安全组规则数据库;
404、所述身份信息包括所述物理机的位置信息,所述服务器确认所述位置信息在预设位置范围内,则所述服务器从所述安全组规则数据库中获取与所述物理机的位置信息匹配的第一安全组规则;
405、所述服务器确认所述第一安全组规则与所述第一VPC匹配;
406、所述服务器获取所述第一VPC的第一IP的接入客户端数量;
407、所述服务器确认所述第一VPC的第一IP的接入客户端数量是否未超出预设值;
408、若超出,则所述服务器在预设时间间隔后再次获取所述第一VPC的第一IP的接入客户端数量;
409、所述服务器确认所述第一VPC的第一IP的接入客户端数量未超出所述预设值;
410、所述服务器将所述物理机接入所述第一VPC的第一IP;
所述服务器在将所述物理机接入所述第一VPC的第一IP之前,还包括确认所述第一VPC的第一IP的接入客户端数量,并判断是否未超出预设值;如果超出所述预设值,则所述服务器在预设时间间隔后再次获取所述第一VPC的第一IP的接入客户端数量,在确认所述第一VPC的第一IP的接入客户端数量未超出所述预设值时,则所述服务器确认将所述物理机接入所述第一VPC的第一IP;
411、所述服务器向所述物理机发送接入成功的消息,以响应所述物理机发送的请求。
通过本申请实施例,通过从安全组规则数据库中获取与物理机身份信息匹配的第一安全组规则,当确认第一安全组规则与第一VPC匹配时,通过对第一VPC的第一IP的接入客户端数量进行确认,当所述接入客户端数量未超出预设值时,则将物理机接入第一VPC的第一IP。采用该手段,使得物理机接入VPC更加安全、便捷,保障了VPC接入的安全性。
请参阅图5,图5为本申请实施例提供了一种物理机接入VPC的方法的流程示意图。如图5所示,其可包括步骤501-509,具体如下:
501、服务器接收物理机发送的请求,所述请求携带身份信息,所述请求用于指示接入第一VPC的第一IP;
502、所述服务器向所述物理机发送病毒查杀请求,以确认所述物理机是否携带病毒;
503、当所述物理机未携带病毒时,所述服务器确认所述物理机是否携带窃听装置;
504、当所述物理机未携带窃听装置时,所述服务器确认预设权限信息库中是否包含所述身份信息;
505、当所述预设权限信息库中包含所述身份信息时,所述服务器确认所述物理机具备请求权限;
在所述服务器接收所述物理机发送的请求后,包括对所述物理机进行安全检测,如确认所述物理机未携带病毒,未携带窃听装置等;
506、所述服务器从安全组规则数据库中获取与所述身份信息匹配的第一安全组规则;
507、所述服务器确认所述第一安全组规则与所述第一VPC匹配;
508、所述服务器将所述物理机接入所述第一VPC的第一IP;
509、所述服务器向所述物理机发送接入成功的消息,以响应所述物理机发送的请求。
通过本申请实施例,在接收到物理机的请求后,对所述物理机进行安全检测,当确认所述物理机安全后,通过从安全组规则数据库中获取与物理机身份信息匹配的第一安全组规则,当确认第一安全组规则与第一VPC匹配时,则将物理机接入第一VPC的第一IP。采用该手段,保障了网络接入的安全性,使得物理机接入VPC更加安全、便捷。
请参阅图6,图6为本申请实施例提供了一种物理机接入VPC的方法的流程示意图。如图6所示,其可包括步骤601-611,具体如下:
601、服务器接收物理机发送的请求,所述请求携带身份信息,所述请求用于指示接入第一VPC的第一IP;
602、所述服务器从安全组规则数据库中获取与所述身份信息匹配的第一安全组规则;
603、所述服务器确认所述第一安全组规则与所述第一VPC匹配;
604、所述服务器将所述物理机接入所述第一VPC的第一IP;
605、所述服务器向所述物理机发送接入成功的消息,以响应所述物理机发送的请求;
606、所述服务器获取所述物理机的历史数据,所述历史数据包括所述物理机的历史访问网址信息;
607、所述服务器确认所述历史访问网址信息中的网址访问数量最大的网址信息;
608、所述服务器根据预设网址信息与访问兴趣点之间的映射关系,确认所述网址访问数量最大的网址信息所对应的访问兴趣点;
609、所述服务器获取与所述访问兴趣点相关的安全组规则数据库;
610、所述服务器从与所述访问兴趣点相关的安全组规则数据库中获取与所述身份等级对应的第二安全组规则;
611、所述服务器将所述第二安全组规则下发至所述物理机。
可替代的,所述服务器可通过流表将所述第二安全组规则发送给物理机,其中所述物理机上设有智能网卡,可以用来接收流表发送的安全组规则,流表定义了许多包括一系列匹配字段(如数据包入口、IP地址、协议类型、链路层地址、端口号等)、计数器及动作(如转发、丢弃、修改包头域等)的流表项,在转发时将数据包信息即安全组规则并与流表项中的字段进行匹配,一旦匹配成功就执行相应的动作。
通过本申请实施例,通过从安全组规则数据库中获取与物理机身份信息匹配的第一安全组规则,当确认第一安全组规则与第一VPC匹配时,则将物理机接入第一VPC的第一IP之后,还包括获取所述物理机的历史访问网址信息,以获取其兴趣点,进而推送相应安全组规则,便于所述物理机接入VPC更加安全、便捷。
进一步,在上述实施例的基础上,还包括:
所述服务器获取所述历史访问网址信息中的网址访问数量最小的网址信息;
所述服务器确认所述物理机在超出预设时长内未访问所述网址访问数量最小的网址信息;
所述服务器获取所述网址访问数量最小的网址信息所对应的访问兴趣点;
所述服务器确认所述网址访问数量最小的网址信息所对应的访问兴趣点与所述网址访问数量最大的网址信息所对应的访问兴趣点不同;
所述服务器获取所述网址访问数量最小的网址信息所对应的第三安全组规则;
所述服务器更新所述网址访问数量最小的网址信息所对应的第三安全组规则,使得所述物理机没有权限访问所述网址访问数量最小的网址信息。
该实施例通过获取所述物理机网址访问数量最小的网址信息,并确认所述网址访问数量最小的网址信息所对应的访问兴趣点与访问数量最大的网址信息所对应的访问兴趣点不同时,则对所述相应安全组规则进行更新,以便于其他物理机对相应安全组规则的使用,如当设定预设时间内允诺使用安全组规则的物理机数,则在更新之后,为其他物理机提供便利。
进一步,还包括:
所述服务器接收所述物理机发送的迁移请求,所述迁移请求携带所述物理机的基本信息和安全组规则,所述请求用于指示将所述物理机迁移至云平台;
所述服务器根据所述物理机的基本信息生成配置文件;
所述服务器根据所述配置文件建立与所述物理机配置相同的虚拟机;
所述服务器获取所述物理机的若干个安全组规则;
所述服务器将所述若干个安全组规则发送至所述云平台,并启动所述虚拟机。
该实施例对于物理机发出迁移请求时,通过获取物理机的相关信息,以生成与所述物理机配置相同的虚拟机,并获取所述物理机的安全组规则,进而发送至云平台,以便启动所述虚拟机。
与上述实施例一致的,请参阅图7,图7为本申请实施例提供的一种服务器的结构示意图,如图所示,包括处理器、输入设备、输出设备和存储器,所述处理器、输入设备、输出设备和存储器相互连接,其中,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,上述程序包括用于执行以下步骤的指令;
接收物理机发送的请求,所述请求携带身份信息,所述请求用于指示接入第一VPC的第一IP;
从安全组规则数据库中获取与所述身份信息匹配的第一安全组规则;
确认所述第一安全组规则是否与所述第一VPC匹配;
当确认匹配时,将所述物理机接入所述第一VPC的第一IP;
向所述物理机发送接入成功的消息,以响应所述物理机发送的请求。
通过本申请实施例,通过从安全组规则数据库中获取与物理机身份信息匹配的第一安全组规则,当确认第一安全组规则与第一VPC匹配时,则将物理机接入第一VPC的第一IP。采用该手段,使得物理机接入VPC更加安全、便捷,保障了VPC接入的安全性。
上述主要从方法侧执行过程的角度对本申请实施例的方案进行了介绍。可以理解的是,终端为了实现上述功能,其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本文中所提供的实施例描述的各示例的单元及算法步骤,本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
本申请实施例可以根据上述方法示例对终端进行功能单元的划分,例如,可以对应各个功能划分各个功能单元,也可以将两个或两个以上的功能集成在一个处理单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。需要说明的是,本申请实施例中对单元的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
与上述一致的,请参阅图8,图8为本申请实施例提供了一种物理机接入VPC的装置的结构示意图。其包括:接收模块801、获取模块802、确认模块803、接入模块804、发送模块805,具体如下:
接收模块801,用于接收物理机发送的请求,所述请求携带身份信息,所述请求用于指示接入第一VPC的第一IP;
获取模块802,用于从安全组规则数据库中获取与所述身份信息匹配的第一安全组规则;
确认模块803,用于确认所述第一安全组规则是否与所述第一VPC匹配;
接入模块804,用于当确认匹配时,将所述物理机接入所述第一VPC的第一IP;
发送模块805,用于向所述物理机发送接入成功的消息,以响应所述物理机发送的请求。
可以看出,通过本申请实施例,通过从安全组规则数据库中获取与物理机身份信息匹配的第一安全组规则,当确认第一安全组规则与第一VPC匹配时,则将物理机接入第一VPC的第一IP。采用该手段,使得物理机接入VPC更加安全、便捷,保障了VPC接入的安全性。
本申请实施例还提供一种计算机存储介质,其中,该计算机存储介质存储用于电子数据交换的计算机程序,该计算机程序使得计算机执行如上述方法实施例中记载的任何一种物理机接入VPC的方法的部分或全部步骤。
本申请实施例还提供一种计算机程序产品,所述计算机程序产品包括存储了计算机程序的非瞬时性计算机可读存储介质,该计算机程序使得计算机执行如上述方法实施例中记载的任何一种物理机接入VPC的方法的部分或全部步骤。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置,可通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在申请明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件程序模块的形式实现。
所述集成的单元如果以软件程序模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储器中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储器中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储器包括:U盘、只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储器中,存储器可以包括:闪存盘、只读存储器、随机存取器、磁盘或光盘等。
以上对本申请实施例进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (8)
1.一种物理机接入VPC的方法,其特征在于,包括:
服务器接收物理机发送的请求,所述请求携带所述物理机的身份信息,所述请求用于指示接入第一VPC的第一IP,所述身份信息用于确认所述物理机是否有资格接入所述第一VPC;
所述服务器向所述物理机发送病毒查杀请求,所述病毒查杀请求用于确认所述物理机是否携带病毒;
若所述物理机未携带病毒,则所述服务器确认所述物理机是否携带窃听装置;
当所述物理机未携带窃听装置时,所述服务器确认预设权限信息库中是否包含所述身份信息;
当所述预设权限信息库中包含所述身份信息时,则所述服务器确认所述物理机具备请求权限,所述服务器从安全组规则数据库中获取与所述身份信息匹配的第一安全组规则;
所述服务器确认所述第一安全组规则是否与所述第一VPC匹配;
所述服务器在所述第一安全组规则与所述第一VPC匹配的情况下,将所述物理机接入所述第一VPC的第一IP;
所述服务器响应所述物理机发送的请求,向所述物理机发送接入成功的消息;
所述服务器获取所述物理机的历史数据,所述历史数据包括所述物理机的历史访问网址信息;
所述服务器确认所述历史访问网址信息中的网址访问数量最大的网址信息;
所述服务器根据预设网址信息与访问兴趣点之间的映射关系,确认所述网址访问数量最大的网址信息所对应的访问兴趣点;
所述服务器获取与所述访问兴趣点相关的安全组规则数据库;
所述服务器从与所述访问兴趣点相关的安全组规则数据库中获取与所述身份信息对应身份等级所对应的第二安全组规则;
所述服务器将所述第二安全组规则下发至所述物理机。
2.根据权利要求1所述的方法,其特征在于,所述服务器从安全组规则数据库中获取与所述身份信息匹配的第一安全组规则,包括:
所述服务器根据预设的身份等级与身份信息的映射关系,获取与所述身份信息对应的身份等级;
所述服务器获取与所述身份等级对应的安全组规则数据库;
所述身份信息包括所述物理机的位置信息,所述服务器确认所述位置信息在预设位置范围内,则所述服务器从所述安全组规则数据库中获取与所述物理机的位置信息匹配的第一安全组规则。
3.根据权利要求2所述的方法,其特征在于,所述服务器在确认所述第一安全组规则与所述第一VPC匹配之后,所述服务器将所述物理机接入所述第一VPC的第一IP之前,包括:
所述服务器获取所述第一VPC的第一IP的接入客户端数量;
所述服务器确认所述第一VPC的第一IP的接入客户端数量是否未超出预设值;
若超出,则所述服务器在预设时间间隔后再次获取所述第一VPC的第一IP的接入客户端数量;
所述服务器确认所述第一VPC的第一IP的接入客户端数量未超出所述预设值。
4.根据权利要求1所述的方法,其特征在于,还包括:
所述服务器获取所述历史访问网址信息中的网址访问数量最小的网址信息;
所述服务器确认所述物理机在超出预设时长内未访问所述网址访问数量最小的网址信息;
所述服务器获取所述网址访问数量最小的网址信息所对应的访问兴趣点;
所述服务器确认所述网址访问数量最小的网址信息所对应的访问兴趣点与所述网址访问数量最大的网址信息所对应的访问兴趣点不同;
所述服务器获取所述网址访问数量最小的网址信息所对应的第三安全组规则;
所述服务器更新所述网址访问数量最小的网址信息所对应的第三安全组规则,使得所述物理机没有权限访问所述网址访问数量最小的网址信息。
5.根据权利要求4所述的方法,其特征在于,还包括:
所述服务器接收所述物理机发送的迁移请求,所述迁移请求携带所述物理机的基本信息和安全组规则,所述请求用于指示将所述物理机迁移至云平台;
所述服务器根据所述物理机的基本信息生成配置文件;
所述服务器根据所述配置文件建立与所述物理机配置相同的虚拟机;
所述服务器获取所述物理机的若干个安全组规则;
所述服务器将所述若干个安全组规则发送至所述云平台,并启动所述虚拟机。
6.一种物理机接入VPC的装置,其特征在于,包括:
接收模块,用于接收物理机发送的请求,所述请求携带所述物理机的身份信息,所述请求用于指示接入第一VPC的第一IP,所述身份信息用于确认所述物理机是否有资格接入所述第一VPC;
获取模块,用于向所述物理机发送病毒查杀请求,所述病毒查杀请求用于确认所述物理机是否携带病毒;若所述物理机未携带病毒,则确认所述物理机是否携带窃听装置;当所述物理机未携带窃听装置时,确认预设权限信息库中是否包含所述身份信息;当所述预设权限信息库中包含所述身份信息时,则确认所述物理机具备请求权限,从安全组规则数据库中获取与所述身份信息匹配的第一安全组规则;
确认模块,用于确认所述第一安全组规则是否与所述第一VPC匹配;
接入模块,用于在所述第一安全组规则与所述第一VPC匹配的情况下,将所述物理机接入所述第一VPC的第一IP;
发送模块,用于向所述物理机发送接入成功的消息,以响应所述物理机发送的请求;
获取模块,还用于获取所述物理机的历史数据,所述历史数据包括所述物理机的历史访问网址信息;
确认模块,还用于确认所述历史访问网址信息中的网址访问数量最大的网址信息,根据预设网址信息与访问兴趣点之间的映射关系,确认所述网址访问数量最大的网址信息所对应的访问兴趣点;
获取模块,还用于获取与所述访问兴趣点相关的安全组规则数据库,从与所述访问兴趣点相关的安全组规则数据库中获取与所述身份信息对应身份等级所对应的第二安全组规则;
发送模块,还用于将所述第二安全组规则下发至所述物理机。
7.一种服务器,其特征在于,包括处理器、输入设备、输出设备和存储器,所述处理器、输入设备、输出设备和存储器相互连接,其中,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行如权利要求1-5任一项所述的方法。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行,以实现如权利要求1-5任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910160003.4A CN109995759B (zh) | 2019-03-04 | 2019-03-04 | 一种物理机接入vpc的方法及相关装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910160003.4A CN109995759B (zh) | 2019-03-04 | 2019-03-04 | 一种物理机接入vpc的方法及相关装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109995759A CN109995759A (zh) | 2019-07-09 |
| CN109995759B true CN109995759B (zh) | 2022-10-28 |
Family
ID=67130500
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910160003.4A Active CN109995759B (zh) | 2019-03-04 | 2019-03-04 | 一种物理机接入vpc的方法及相关装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109995759B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111614541B (zh) * | 2020-06-09 | 2022-02-18 | 浪潮云信息技术股份公司 | 公有云网络物理主机加入vpc的方法 |
| CN113965343A (zh) * | 2021-09-06 | 2022-01-21 | 锐捷网络股份有限公司 | 一种基于局域网的终端设备隔离方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013056585A1 (zh) * | 2011-10-18 | 2013-04-25 | 华为技术有限公司 | 一种虚拟私云接入认证方法及相关装置 |
| WO2017020452A1 (zh) * | 2015-08-04 | 2017-02-09 | 北京百度网讯科技有限公司 | 认证方法和认证系统 |
| CN108322366A (zh) * | 2017-01-17 | 2018-07-24 | 阿里巴巴集团控股有限公司 | 接入网络的方法、装置和系统 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9940470B2 (en) * | 2015-10-06 | 2018-04-10 | Symantec Corporation | Techniques for generating a virtual private container |
| CN107872542B (zh) * | 2016-09-27 | 2021-05-04 | 阿里巴巴集团控股有限公司 | 一种数据传输的方法及网络设备 |
| US10721275B2 (en) * | 2017-01-23 | 2020-07-21 | Fireeye, Inc. | Automated enforcement of security policies in cloud and hybrid infrastructure environments |
| KR20180126960A (ko) * | 2017-05-19 | 2018-11-28 | 한국전자통신연구원 | 가상 데스크탑 서비스 제공 장치 및 그 방법 |
| CN109361764B (zh) * | 2018-11-29 | 2021-02-05 | 杭州数梦工场科技有限公司 | 内跨vpc的服务访问方法、装置、设备及可读存储介质 |
-
2019
- 2019-03-04 CN CN201910160003.4A patent/CN109995759B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013056585A1 (zh) * | 2011-10-18 | 2013-04-25 | 华为技术有限公司 | 一种虚拟私云接入认证方法及相关装置 |
| WO2017020452A1 (zh) * | 2015-08-04 | 2017-02-09 | 北京百度网讯科技有限公司 | 认证方法和认证系统 |
| CN108322366A (zh) * | 2017-01-17 | 2018-07-24 | 阿里巴巴集团控股有限公司 | 接入网络的方法、装置和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109995759A (zh) | 2019-07-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111010372A (zh) | 区块链网络身份认证系统、数据处理方法及网关设备 | |
| CN110611723B (zh) | 一种服务资源的调度方法及装置 | |
| EP2633667B1 (en) | System and method for on the fly protocol conversion in obtaining policy enforcement information | |
| CN106302346A (zh) | Api调用的安全认证方法、装置、系统 | |
| CN104580496A (zh) | 一种基于临时代理的虚拟机访问系统及服务器 | |
| CN108881308A (zh) | 一种用户终端及其认证方法、系统、介质 | |
| US8522336B2 (en) | Gateway device and method for using the same to prevent phishing attacks | |
| CN105939326A (zh) | 处理报文的方法及装置 | |
| CN110661670A (zh) | 一种网络设备配置管理方法及装置 | |
| CN112532605B (zh) | 一种网络攻击溯源方法及系统、存储介质、电子设备 | |
| CN109995759B (zh) | 一种物理机接入vpc的方法及相关装置 | |
| KR102407136B1 (ko) | 컨트롤러 기반 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 | |
| CN105592046A (zh) | 一种免认证访问方法和装置 | |
| CN108234516B (zh) | 一种网络泛洪攻击的检测方法及装置 | |
| CN109088884A (zh) | 基于身份验证的网址访问方法、装置、服务器及存储介质 | |
| CN108737407A (zh) | 一种劫持网络流量的方法及装置 | |
| US20190068635A1 (en) | Data processing method, apparatus, and system | |
| CN109660535A (zh) | Linux系统中数据的处理方法和装置 | |
| CN110943962B (zh) | 一种认证方法、网络设备和认证服务器以及转发设备 | |
| CN112395586A (zh) | 文件访问的控制方法及装置、系统、存储介质、电子装置 | |
| CN108781367A (zh) | 减少Cookie注入和Cookie重放攻击的方法 | |
| CN107040401A (zh) | 具安全与功能扩充性的有线局域网络用户管理系统及方法 | |
| CN108282786A (zh) | 一种用于检测无线局域网中dns欺骗攻击的方法与设备 | |
| JP7140845B2 (ja) | ネットワーク接続をセキュアにするためのデバイスおよび方法 | |
| CN112565203B (zh) | 一种集中管理平台 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |