CN115622815B - 基于虚拟化环境的端口隔离实现方法、装置、设备及介质 - Google Patents
基于虚拟化环境的端口隔离实现方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN115622815B CN115622815B CN202211631853.6A CN202211631853A CN115622815B CN 115622815 B CN115622815 B CN 115622815B CN 202211631853 A CN202211631853 A CN 202211631853A CN 115622815 B CN115622815 B CN 115622815B
- Authority
- CN
- China
- Prior art keywords
- target
- security group
- virtual machine
- isolation
- target security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000002955 isolation Methods 0.000 title claims abstract description 216
- 238000000034 method Methods 0.000 title claims abstract description 66
- 230000004044 response Effects 0.000 claims abstract description 66
- 230000027455 binding Effects 0.000 claims abstract description 10
- 238000009739 binding Methods 0.000 claims abstract description 10
- 238000012217 deletion Methods 0.000 claims description 24
- 230000037430 deletion Effects 0.000 claims description 24
- 238000004590 computer program Methods 0.000 claims description 11
- 238000004364 calculation method Methods 0.000 claims description 9
- 230000000694 effects Effects 0.000 abstract description 13
- 230000008569 process Effects 0.000 description 13
- 238000010586 diagram Methods 0.000 description 9
- 230000001360 synchronised effect Effects 0.000 description 5
- 230000008859 change Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及云计算技术领域,尤其涉及一种基于虚拟化环境的端口隔离实现方法、装置、设备及介质。所述方法包括:响应于接收到针对目标虚拟机的创建端口隔离请求,则为所述目标虚拟机创建一个对应的目标安全组;将所述目标虚拟机的所有虚拟网卡均绑定到所述目标安全组上;根据所述创建端口隔离请求所包括的端口隔离需求进行计算,以生成隔离规则,并将生成的隔离规则配置到所述目标安全组中。本发明的方案通过一个安全组绑定且仅绑定一个虚拟机的所有虚拟网卡的方式,使安全组的隔离规则在该虚拟机的所有虚拟网卡上同时生效,从而达到通过所有虚拟网卡访问虚拟机都是相同的端口隔离效果。
Description
技术领域
本发明涉及云计算技术领域,尤其涉及一种基于虚拟化环境的端口隔离实现方法、装置、设备及介质。
背景技术
云计算(Cloud Computing)是分布式计算的一种,指的是通过网络“云”将巨大的数据计算处理程序分解成无数个小程序,然后,通过多部服务器组成的系统进行处理和分析这些小程序得到结果并返回给用户。近些年来随着云计算的不断发展,虚拟化服务器集群越来越庞大,相应的虚拟化网络越来越复杂,对虚拟机的安全需求也越来越多样。
目前,虚拟化环境中用于虚拟机的安全功能主要是针对虚拟单个网卡的安全组(Security Group,简称SG),缺少控制虚拟机端口的安全功能,尽管通过安全组也能实现控制端口的目的,但是需要对虚拟机的每张虚拟网卡手动配置安全组隔离规则,配置过程复杂。
发明内容
有鉴于此,有必要针对以上技术问题,提供一种基于虚拟化环境的端口隔离实现方法、装置、设备及介质。
根据本发明的第一方面,提供了一种基于虚拟化环境的端口隔离实现方法,所述装置包括:
响应于接收到针对目标虚拟机的创建端口隔离请求,则为所述目标虚拟机创建一个对应的目标安全组;
将所述目标虚拟机的所有虚拟网卡均绑定到所述目标安全组上;
根据所述创建端口隔离请求所包括的端口隔离需求进行计算,以生成隔离规则,并将生成的隔离规则配置到所述目标安全组中。
在一些实施例中,所述方法还包括:
响应于接收到针对目标虚拟机的删除端口隔离请求,则调用目标安全组的接口解绑所述目标虚拟机的所有虚拟网卡;
删除所述目标安全组中的所有隔离规则;
将已删除所有隔离规则的目标安全组删除。
在一些实施例中,所述方法还包括:
响应于接收到针对目标虚拟机的更新端口隔离请求,则删除所述目标安全组的所有隔离规则;
根据所述更新端口隔离请求所包括的新端口隔离需求重新进行计算,以生成新隔离规则,并将生成的新隔离规则配置到所述目标安全组中。
在一些实施例中,所述方法还包括:
响应于接收到针对目标虚拟机的删除虚拟机请求,则判断是否存在与目标虚拟机对应的目标安全组;
响应于存在与目标虚拟机对应的目标安全组,则执行以下操作删除所述目标安全组:
调用目标安全组的接口将所述目标虚拟机的所有虚拟网卡与所述目标安全组解绑;
判断所述目标安全组中是否配置了隔离规则;
响应于所述目标安全组中配置了隔离规则,则先将所述目标安全组中的所有隔离规则删除,再删除所述目标安全组;
响应于所述目标安全组中未配置隔离规则,则直接删除所述目标安全组;
响应于不存在与目标虚拟机对应的目标安全组或目标安全组已删除,则调用目标虚拟机的接口删除所述目标虚拟机。
在一些实施例中,所述方法还包括:
响应于接收到针对目标虚拟机的添加虚拟网卡请求,则根据所述添加虚拟网卡请求确定新虚拟网卡信息,判断是否存在与所述目标虚拟机对应的目标安全组;
响应于存在与所述目标虚拟机对应的目标安全组,则先调用目标虚拟机的接口根据所述新虚拟网卡信息创建新虚拟网卡,再调用目标安全组的接口将所述新虚拟网卡绑定到所述目标安全组;
响应于不存在与所述目标虚拟机对应的目标安全组,则直接调用目标虚拟机的接口根据所述新虚拟网卡信息创建新虚拟网卡。
在一些实施例中,所述方法还包括:
响应于接收到针对所述目标虚拟机的删除虚拟网卡请求,则根据所述删除虚拟网卡请求遍历所述目标安全组的所有网卡以确定待删除虚拟网卡;
调用目标安全组的接口将所述待删除虚拟网卡与所述目标安全组解绑;
调用目标虚拟机的接口将所述待删除虚拟网卡删除。
在一些实施例中,所述方法应用于虚拟机管理平台。
在一些实施例中,所述目标虚拟机为所述虚拟机管理平台所管理的多个虚拟机的中任意一个。
在一些实施例中,所述虚拟机管理平台所管理的每个虚拟机均包括多个虚拟网卡。
根据本发明的第二方面,提供了一种基于虚拟化环境的端口隔离实现装置,所述装置包括:
第一请求模块,配置用于响应于接收到针对目标虚拟机的创建端口隔离请求,则为所述目标虚拟机创建一个对应的目标安全组;
绑定模块,配置用于将所述目标虚拟机的所有虚拟网卡均绑定到所述目标安全组上;
第一计算模块,配置用于根据所述创建端口隔离请求所包括的端口隔离需求进行计算,以生成隔离规则,并将生成的隔离规则配置到所述目标安全组中。
在一些实施例中,所述装置还包括:
第二请求模块,配置用于响应于接收到针对目标虚拟机的删除端口隔离请求,则调用目标安全组的接口解绑所述目标虚拟机的所有虚拟网卡;
第一删除模块,配置用于删除所述目标安全组中的所有隔离规则;
第二删除模块,配置用于将已删除所有隔离规则的目标安全组删除。
在一些实施例中,所述装置还包括:
第三请求模块,配置用于响应于接收到针对目标虚拟机的更新端口隔离请求,则删除所述目标安全组的所有隔离规则;
第二计算模块,配置用于根据所述更新端口隔离请求所包括的新端口隔离需求重新进行计算,以生成新隔离规则,并将生成的新隔离规则配置到所述目标安全组中。
在一些实施例中,所述装置还包括:
第四请求模块,配置用于响应于接收到针对目标虚拟机的删除虚拟机请求,则判断是否存在与目标虚拟机对应的目标安全组;
第三删除模块,配置用于响应于存在与目标虚拟机对应的目标安全组,则执行以下操作删除所述目标安全组:
调用目标安全组的接口将所述目标虚拟机的所有虚拟网卡与所述目标安全组解绑;
判断所述目标安全组中是否配置了隔离规则;
响应于所述目标安全组中配置了隔离规则,则先将所述目标安全组中的所有隔离规则删除,再删除所述目标安全组;
响应于所述目标安全组中未配置隔离规则,则直接删除所述目标安全组;
第四删除模块,配置用于响应于不存在与目标虚拟机对应的目标安全组或目标安全组已删除,则调用目标虚拟机的接口删除所述目标虚拟机。
在一些实施例中,所述装置还包括:
第五请求模块,配置用于响应于接收到针对目标虚拟机的添加虚拟网卡请求,则根据所述添加虚拟网卡请求确定新虚拟网卡信息,判断是否存在与所述目标虚拟机对应的目标安全组;
第一创建模块,配置用于响应于存在与所述目标虚拟机对应的目标安全组,则先调用目标虚拟机的接口根据所述新虚拟网卡信息创建新虚拟网卡,再调用目标安全组的接口将所述新虚拟网卡绑定到所述目标安全组;
第二创建模块,配置用于响应于不存在与所述目标虚拟机对应的目标安全组,则直接调用目标虚拟机的接口根据所述新虚拟网卡信息创建新虚拟网卡。
在一些实施例中,所述装置还包括:
第六请求模块,配置用于响应于接收到针对所述目标虚拟机的删除虚拟网卡请求,则根据所述删除虚拟网卡请求遍历所述目标安全组的所有网卡以确定待删除虚拟网卡;
解绑模块,配置用于调用目标安全组的接口将所述待删除虚拟网卡与所述目标安全组解绑;
第五删除模块,配置用于调用目标虚拟机的接口将所述待删除虚拟网卡删除。
在一些实施例中,所述装置应用于虚拟机管理平台。
在一些实施例中,所述目标虚拟机为所述虚拟机管理平台所管理的多个虚拟机的中任意一个。
在一些实施例中,所述虚拟机管理平台所管理的每个虚拟机均包括多个虚拟网卡。
根据本发明的第三方面,还提供了一种计算机设备,该计算机设备包括:
至少一个处理器;以及
存储器,存储器存储有可在处理器上运行的计算机程序,处理器执行程序时执行前述的基于虚拟化环境的端口隔离实现方法。
根据本发明的第四方面,还提供了一种计算机可读存储介质,计算机可读存储介质存储有计算机程序,计算机程序被处理器执行时执行前述的基于虚拟化环境的端口隔离实现方法。
上述一种基于虚拟化环境的端口隔离实现方法,通过一个安全组绑定且仅绑定一个虚拟机的所有虚拟网卡的方式,使安全组的隔离规则在该虚拟机的所有虚拟网卡上同时生效,从而达到通过所有虚拟网卡访问虚拟机都是相同的端口隔离效果,并且当虚拟机虚拟网卡变动时,能够自动同步隔离规则到该虚拟网卡,保证端口隔离效果不变,对于用户而言只需指定虚拟机要隔离的端口信息就能快速实现端口隔离,无需配置虚拟机的每张虚拟网卡,简化配置流程,提高配置效率。
此外,本发明还提供了一种基于虚拟化环境的端口隔离实现装置、一种计算机设备和一种计算机可读存储介质,同样能实现上述技术效果,这里不再赘述。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的实施例。
图1为本发明一个实施例提供的一种基于虚拟化环境的端口隔离实现方法的流程图;
图2为本发明一个实施例提供的三个虚拟机与三个安全组一一对应的拓扑示意图;
图3为本发明另一个实施例提供的新建端口隔离业务流程示意图;
图4为本发明一个实施例提供的删除端口隔离业务流程示意图;
图5为本发明一个实施例提供的更新端口隔离业务流程示意图;
图6为本发明一个实施例提供的删除虚拟机涉及的端口隔离规则同步流程示意图;
图7为本发明一个实施例提供的添加虚拟网卡涉及的端口隔离规则同步流程示意图;
图8为本发明一个实施例提供的删除虚拟网卡涉及的端口隔离规则同步流程示意图;
图9为本发明另一个实施例提供的一种基于虚拟化环境的端口隔离实现装置的结构示意图;
图10为本发明另一个实施例中计算机设备的内部结构图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明实施例进一步详细说明。
需要说明的是,本发明实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量,可见“第一”“第二”仅为了表述的方便,不应理解为对本发明实施例的限定,后续实施例对此不再一一说明。
在一个实施例中,请参照图1所示,本发明提供了一种基于虚拟化环境的端口隔离实现方法100,具体来说,所述方法包括以下步骤:
S101. 响应于接收到针对目标虚拟机的创建端口隔离请求,则为所述目标虚拟机创建一个对应的目标安全组;
S102. 将所述目标虚拟机的所有虚拟网卡均绑定到所述目标安全组上;
S103. 根据所述创建端口隔离请求所包括的端口隔离需求进行计算,以生成隔离规则,并将生成的隔离规则配置到所述目标安全组中。
上述一种基于虚拟化环境的端口隔离实现方法,通过一个安全组绑定且仅绑定一个虚拟机的所有虚拟网卡的方式,使安全组的隔离规则在该虚拟机的所有虚拟网卡上同时生效,从而达到通过所有虚拟网卡访问虚拟机都是相同的端口隔离效果,并且当虚拟机虚拟网卡变动时,能够自动同步隔离规则到该虚拟网卡,保证端口隔离效果不变,对于用户而言只需指定虚拟机要隔离的端口信息就能快速实现端口隔离,无需配置虚拟机的每张虚拟网卡,简化配置流程,提高配置效率。
在一些实施例中,所述方法还包括:
响应于接收到针对目标虚拟机的删除端口隔离请求,则调用目标安全组的接口解绑所述目标虚拟机的所有虚拟网卡;
删除所述目标安全组中的所有隔离规则;
将已删除所有隔离规则的目标安全组删除。
在一些实施例中,所述方法还包括:
响应于接收到针对目标虚拟机的更新端口隔离请求,则删除所述目标安全组的所有隔离规则;
根据所述更新端口隔离请求所包括的新端口隔离需求重新进行计算,以生成新隔离规则,并将生成的新隔离规则配置到所述目标安全组中。
在一些实施例中,所述方法还包括:
响应于接收到针对目标虚拟机的删除虚拟机请求,则判断是否存在与目标虚拟机对应的目标安全组;
响应于存在与目标虚拟机对应的目标安全组,则执行以下操作删除所述目标安全组:
调用目标安全组的接口将所述目标虚拟机的所有虚拟网卡与所述目标安全组解绑;
判断所述目标安全组中是否配置了隔离规则;
响应于所述目标安全组中配置了隔离规则,则先将所述目标安全组中的所有隔离规则删除,再删除所述目标安全组;
响应于所述目标安全组中未配置隔离规则,则直接删除所述目标安全组;
响应于不存在与目标虚拟机对应的目标安全组或目标安全组已删除,则调用目标虚拟机的接口删除所述目标虚拟机。
在一些实施例中,所述方法还包括:
响应于接收到针对目标虚拟机的添加虚拟网卡请求,则根据所述添加虚拟网卡请求确定新虚拟网卡信息,判断是否存在与所述目标虚拟机对应的目标安全组;
响应于存在与所述目标虚拟机对应的目标安全组,则先调用目标虚拟机的接口根据所述新虚拟网卡信息创建新虚拟网卡,再调用目标安全组的接口将所述新虚拟网卡绑定到所述目标安全组;
响应于不存在与所述目标虚拟机对应的目标安全组,则直接调用目标虚拟机的接口根据所述新虚拟网卡信息创建新虚拟网卡。
在一些实施例中,所述方法还包括:
响应于接收到针对所述目标虚拟机的删除虚拟网卡请求,则根据所述删除虚拟网卡请求遍历所述目标安全组的所有网卡以确定待删除虚拟网卡;
调用目标安全组的接口将所述待删除虚拟网卡与所述目标安全组解绑;
调用目标虚拟机的接口将所述待删除虚拟网卡删除。
在一些实施例中,所述方法应用于虚拟机管理平台。
在一些实施例中,所述目标虚拟机为所述虚拟机管理平台所管理的多个虚拟机的中任意一个。
在一些实施例中,所述虚拟机管理平台所管理的每个虚拟机均包括多个虚拟网卡。
在又一个实施例中,为了便于理解本发明的方案,下面以用户通过前端页面发送请求、并采用虚拟机管理平台作为执行主体说明本发明方案,本实施例提出了能够使虚拟机快速实现端口隔离的一种基于虚拟化环境的端口隔离实现方法,该方法的实现原理为通过一个安全组绑定且仅绑定一个虚拟机的所有虚拟网卡的方式,使安全组的隔离规则在该虚拟机的所有虚拟网卡上同时生效,从而使通过所有虚拟网卡访问虚拟机都是相同的端口隔离效果,并且当虚拟机虚拟网卡变动时,能够自动同步隔离规则到该虚拟网卡,保证端口隔离效果不变。下面将从拓扑描述、控制场景描述、规则描述三个方面分别说明本发明的方法:
第一部分:拓扑描述。请参照图2所示,不妨以包括三个虚拟机VMa、虚拟机VMb、虚拟机VMc的场景为例,每个安全组配置不同的隔离规则,同一个虚拟机的所有虚拟网卡绑定到同一个安全组,由此同属一个虚拟机的所有虚拟网卡隔离规则一样:
(1)虚拟机VMa、虚拟机VMb、虚拟机VMc分别和安全组1、安全组2、安全组3对应。
(2)虚拟机VMa的所有虚拟网卡绑定安全组1,配置规则1、2。
(3)虚拟机VMb的所有虚拟网卡绑定安全组2,配置规则1、2、3。
(4))虚拟机VMc的所有虚拟网卡绑定安全组3,配置规则1。
(5)所有的虚拟机都连接到桥br-int。
第二部分:控制场景描述。此部分包括三种情况:新建端口隔离、删除端口隔离和更新端口隔离,下面对每种情况进行详细说明:
请结合图3所示,新建端口隔离具体流程如下:
(1)前端页面发起对虚拟机新建端口隔离的请求到平台。
(2)平台收到请求后遍历虚拟机的所有虚拟网卡获取虚拟网卡绑定的安全组信息。
(3)平台根据获取到的所有安全组信息,调用安全组接口解绑当前虚拟机的所有虚拟网卡。
(4)平台根据端口隔离需求计算隔离规则。
(5)平台新建一个安全组SG,并调用安全组接口绑定当前虚拟机的所有虚拟网卡到安全组SG。
(6)平台配置隔离规则到安全组SG。
请结合图4所示,删除端口隔离具体流程如下:
(1)前端页面发起对虚拟机删除端口隔离的请求到平台。
(2)平台收到请求后根据当前虚拟机安全组信息调用安全组接口解绑当前虚拟机的所有虚拟网卡。
(3)平台删除当前安全组的所有隔离规则。
(4)平台删除当前安全组。
请参照图5所示,更新端口隔离具体流程如下:
(1)前端页面发起对虚拟机更新端口隔离的请求到平台。
(2)平台收到请求后删除当前安全组的所有隔离规则
(3)平台根据新的端口隔离需求重新计算隔离规则。
(4)平台配置隔离规则到当前安全组。
第三部分:规则同步描述;此部分包括三种情况:删除虚拟机、添加虚拟网卡和删除虚拟网卡,下面对每种情况进行详细说明:
请结合图6所示,删除虚拟机涉及的端口隔离规则同步具体流程如下:
(1)前端页面发起删除虚拟机的请求到平台。
(2)平台收到请求后调用删除虚拟机的接口,当前虚拟化环境删除虚拟机会自动触发虚拟网卡和安全组解绑。
(3)如果当前虚拟机配置了端口隔离,平台删除当前虚拟机对应安全组的所有隔离规则。
(4)平台删除当前虚拟机对应的安全组。
请结合图7所示,添加虚拟网卡涉及的端口隔离规则同步具体流程如下:
(1)前端页面发起添加虚拟网卡到虚拟机的请求到平台。
(2)平台收到请求后调用虚拟机接口添加虚拟网卡。
(3)如果当前虚拟机配置了端口隔离,则调用安全组接口绑定新添加的虚拟网卡到对应的安全组。
请结合图8所示,删除虚拟网卡涉及的端口隔离规则同步具体流程如下:
(1)前端页面发起删除虚拟机虚拟网卡的请求到平台。
(2)平台收到请求后调用虚拟机接口删除虚拟网卡。
(3)平台调用安全组接口从虚拟机对应的安全组解绑当前虚拟网卡。
本实施例的一种基于虚拟化环境的端口隔离实现方法,具备以下有益技术效果:基于安全组实现了虚拟机的端口隔离功能,控制粒度为虚拟机,简化了通过安全组配置虚拟机端口隔离的流程,节省了这个过程中的劳动成本,显著提升虚拟机的管理维护效率。
在一些实施例中,请参照图9所示,本发明还提供了一种基于虚拟化环境的端口隔离实现装置200,所述装置包括:
第一请求模块201,配置用于响应于接收到针对目标虚拟机的创建端口隔离请求,则为所述目标虚拟机创建一个对应的目标安全组;
绑定模块202,配置用于将所述目标虚拟机的所有虚拟网卡均绑定到所述目标安全组上;
第一计算模块203,配置用于根据所述创建端口隔离请求所包括的端口隔离需求进行计算,以生成隔离规则,并将生成的隔离规则配置到所述目标安全组中。
上述一种基于虚拟化环境的端口隔离实现装置,通过一个安全组绑定且仅绑定一个虚拟机的所有虚拟网卡的方式,使安全组的隔离规则在该虚拟机的所有虚拟网卡上同时生效,从而达到通过所有虚拟网卡访问虚拟机都是相同的端口隔离效果,并且当虚拟机虚拟网卡变动时,能够自动同步隔离规则到该虚拟网卡,保证端口隔离效果不变,对于用户而言只需指定虚拟机要隔离的端口信息就能快速实现端口隔离,无需配置虚拟机的每张虚拟网卡,简化配置流程,提高配置效率。
在一些实施例中,所述装置还包括:
第二请求模块,配置用于响应于接收到针对目标虚拟机的删除端口隔离请求,则调用目标安全组的接口解绑所述目标虚拟机的所有虚拟网卡;
第一删除模块,配置用于删除所述目标安全组中的所有隔离规则;
第二删除模块,配置用于将已删除所有隔离规则的目标安全组删除。
在一些实施例中,所述装置还包括:
第三请求模块,配置用于响应于接收到针对目标虚拟机的更新端口隔离请求,则删除所述目标安全组的所有隔离规则;
第二计算模块,配置用于根据所述更新端口隔离请求所包括的新端口隔离需求重新进行计算,以生成新隔离规则,并将生成的新隔离规则配置到所述目标安全组中。
在一些实施例中,所述装置还包括:
第四请求模块,配置用于响应于接收到针对目标虚拟机的删除虚拟机请求,则判断是否存在与目标虚拟机对应的目标安全组;
第三删除模块,配置用于响应于存在与目标虚拟机对应的目标安全组,则执行以下操作删除所述目标安全组:
调用目标安全组的接口将所述目标虚拟机的所有虚拟网卡与所述目标安全组解绑;
判断所述目标安全组中是否配置了隔离规则;
响应于所述目标安全组中配置了隔离规则,则先将所述目标安全组中的所有隔离规则删除,再删除所述目标安全组;
响应于所述目标安全组中未配置隔离规则,则直接删除所述目标安全组;
第四删除模块,配置用于响应于不存在与目标虚拟机对应的目标安全组或目标安全组已删除,则调用目标虚拟机的接口删除所述目标虚拟机。
在一些实施例中,所述装置还包括:
第五请求模块,配置用于响应于接收到针对目标虚拟机的添加虚拟网卡请求,则根据所述添加虚拟网卡请求确定新虚拟网卡信息,判断是否存在与所述目标虚拟机对应的目标安全组;
第一创建模块,配置用于响应于存在与所述目标虚拟机对应的目标安全组,则先调用目标虚拟机的接口根据所述新虚拟网卡信息创建新虚拟网卡,再调用目标安全组的接口将所述新虚拟网卡绑定到所述目标安全组;
第二创建模块,配置用于响应于不存在与所述目标虚拟机对应的目标安全组,则直接调用目标虚拟机的接口根据所述新虚拟网卡信息创建新虚拟网卡。
在一些实施例中,所述装置还包括:
第六请求模块,配置用于响应于接收到针对所述目标虚拟机的删除虚拟网卡请求,则根据所述删除虚拟网卡请求遍历所述目标安全组的所有网卡以确定待删除虚拟网卡;
解绑模块,配置用于调用目标安全组的接口将所述待删除虚拟网卡与所述目标安全组解绑;
第五删除模块,配置用于调用目标虚拟机的接口将所述待删除虚拟网卡删除。
在一些实施例中,所述装置应用于虚拟机管理平台。
在一些实施例中,所述目标虚拟机为所述虚拟机管理平台所管理的多个虚拟机的中任意一个。
在一些实施例中,所述虚拟机管理平台所管理的每个虚拟机均包括多个虚拟网卡。
需要说明的是,关于基于虚拟化环境的端口隔离实现装置的具体限定可以参见上文中对基于虚拟化环境的端口隔离实现方法的限定,在此不再赘述。上述基于虚拟化环境的端口隔离实现装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
根据本发明的另一方面,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图请参照图10所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时实现以上所述的基于虚拟化环境的端口隔离实现方法,具体来说,所述方法包括以下步骤:
响应于接收到针对目标虚拟机的创建端口隔离请求,则为所述目标虚拟机创建一个对应的目标安全组;
将所述目标虚拟机的所有虚拟网卡均绑定到所述目标安全组上;
根据所述创建端口隔离请求所包括的端口隔离需求进行计算,以生成隔离规则,并将生成的隔离规则配置到所述目标安全组中。
根据本发明的又一方面,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以上所述的基于虚拟化环境的端口隔离实现方法,具体来说,包括执行以下步骤:
响应于接收到针对目标虚拟机的创建端口隔离请求,则为所述目标虚拟机创建一个对应的目标安全组;
将所述目标虚拟机的所有虚拟网卡均绑定到所述目标安全组上;
根据所述创建端口隔离请求所包括的端口隔离需求进行计算,以生成隔离规则,并将生成的隔离规则配置到所述目标安全组中。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink) DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (20)
1.一种基于虚拟化环境的端口隔离实现方法,其特征在于,所述方法包括:
响应于接收到针对目标虚拟机的创建端口隔离请求,则为所述目标虚拟机创建一个对应的目标安全组;
将所述目标虚拟机的所有虚拟网卡均绑定到所述目标安全组上;
根据所述创建端口隔离请求所包括的端口隔离需求进行计算,以生成隔离规则,并将生成的隔离规则配置到所述目标安全组中。
2.根据权利要求1所述的基于虚拟化环境的端口隔离实现方法,其特征在于,所述方法还包括:
响应于接收到针对目标虚拟机的删除端口隔离请求,则调用目标安全组的接口解绑所述目标虚拟机的所有虚拟网卡;
删除所述目标安全组中的所有隔离规则;
将已删除所有隔离规则的目标安全组删除。
3.根据权利要求1所述的基于虚拟化环境的端口隔离实现方法,其特征在于,所述方法还包括:
响应于接收到针对目标虚拟机的更新端口隔离请求,则删除所述目标安全组的所有隔离规则;
根据所述更新端口隔离请求所包括的新端口隔离需求重新进行计算,以生成新隔离规则,并将生成的新隔离规则配置到所述目标安全组中。
4.根据权利要求1所述的基于虚拟化环境的端口隔离实现方法,其特征在于,所述方法还包括:
响应于接收到针对目标虚拟机的删除虚拟机请求,则判断是否存在与目标虚拟机对应的目标安全组;
响应于存在与目标虚拟机对应的目标安全组,则执行以下操作删除所述目标安全组:
调用目标安全组的接口将所述目标虚拟机的所有虚拟网卡与所述目标安全组解绑;
判断所述目标安全组中是否配置了隔离规则;
响应于所述目标安全组中配置了隔离规则,则先将所述目标安全组中的所有隔离规则删除,再删除所述目标安全组;
响应于所述目标安全组中未配置隔离规则,则直接删除所述目标安全组;
响应于不存在与目标虚拟机对应的目标安全组或目标安全组已删除,则调用目标虚拟机的接口删除所述目标虚拟机。
5.根据权利要求1所述的基于虚拟化环境的端口隔离实现方法,其特征在于,所述方法还包括:
响应于接收到针对目标虚拟机的添加虚拟网卡请求,则根据所述添加虚拟网卡请求确定新虚拟网卡信息,判断是否存在与所述目标虚拟机对应的目标安全组;
响应于存在与所述目标虚拟机对应的目标安全组,则先调用目标虚拟机的接口根据所述新虚拟网卡信息创建新虚拟网卡,再调用目标安全组的接口将所述新虚拟网卡绑定到所述目标安全组;
响应于不存在与所述目标虚拟机对应的目标安全组,则直接调用目标虚拟机的接口根据所述新虚拟网卡信息创建新虚拟网卡。
6.根据权利要求1所述的基于虚拟化环境的端口隔离实现方法,其特征在于,所述方法还包括:
响应于接收到针对所述目标虚拟机的删除虚拟网卡请求,则根据所述删除虚拟网卡请求遍历所述目标安全组的所有网卡以确定待删除虚拟网卡;
调用目标安全组的接口将所述待删除虚拟网卡与所述目标安全组解绑;
调用目标虚拟机的接口将所述待删除虚拟网卡删除。
7.根据权利要求1所述的基于虚拟化环境的端口隔离实现方法,其特征在于,所述方法应用于虚拟机管理平台。
8.根据权利要求7所述的基于虚拟化环境的端口隔离实现方法,其特征在于,所述目标虚拟机为所述虚拟机管理平台所管理的多个虚拟机的中任意一个。
9.根据权利要求8所述的基于虚拟化环境的端口隔离实现方法,其特征在于,所述虚拟机管理平台所管理的每个虚拟机均包括多个虚拟网卡。
10.一种基于虚拟化环境的端口隔离实现装置,其特征在于,所述装置包括:
第一请求模块,配置用于响应于接收到针对目标虚拟机的创建端口隔离请求,则为所述目标虚拟机创建一个对应的目标安全组;
绑定模块,配置用于将所述目标虚拟机的所有虚拟网卡均绑定到所述目标安全组上;
第一计算模块,配置用于根据所述创建端口隔离请求所包括的端口隔离需求进行计算,以生成隔离规则,并将生成的隔离规则配置到所述目标安全组中。
11.根据权利要求10所述的基于虚拟化环境的端口隔离实现装置,其特征在于,所述装置还包括:
第二请求模块,配置用于响应于接收到针对目标虚拟机的删除端口隔离请求,则调用目标安全组的接口解绑所述目标虚拟机的所有虚拟网卡;
第一删除模块,配置用于删除所述目标安全组中的所有隔离规则;
第二删除模块,配置用于将已删除所有隔离规则的目标安全组删除。
12.根据权利要求10所述的基于虚拟化环境的端口隔离实现装置,其特征在于,所述装置还包括:
第三请求模块,配置用于响应于接收到针对目标虚拟机的更新端口隔离请求,则删除所述目标安全组的所有隔离规则;
第二计算模块,配置用于根据所述更新端口隔离请求所包括的新端口隔离需求重新进行计算,以生成新隔离规则,并将生成的新隔离规则配置到所述目标安全组中。
13.根据权利要求10所述的基于虚拟化环境的端口隔离实现装置,其特征在于,所述装置还包括:
第四请求模块,配置用于响应于接收到针对目标虚拟机的删除虚拟机请求,则判断是否存在与目标虚拟机对应的目标安全组;
第三删除模块,配置用于响应于存在与目标虚拟机对应的目标安全组,则执行以下操作删除所述目标安全组:
调用目标安全组的接口将所述目标虚拟机的所有虚拟网卡与所述目标安全组解绑;
判断所述目标安全组中是否配置了隔离规则;
响应于所述目标安全组中配置了隔离规则,则先将所述目标安全组中的所有隔离规则删除,再删除所述目标安全组;
响应于所述目标安全组中未配置隔离规则,则直接删除所述目标安全组;
第四删除模块,配置用于响应于不存在与目标虚拟机对应的目标安全组或目标安全组已删除,则调用目标虚拟机的接口删除所述目标虚拟机。
14.根据权利要求10所述的基于虚拟化环境的端口隔离实现装置,其特征在于,所述装置还包括:
第五请求模块,配置用于响应于接收到针对目标虚拟机的添加虚拟网卡请求,则根据所述添加虚拟网卡请求确定新虚拟网卡信息,判断是否存在与所述目标虚拟机对应的目标安全组;
第一创建模块,配置用于响应于存在与所述目标虚拟机对应的目标安全组,则先调用目标虚拟机的接口根据所述新虚拟网卡信息创建新虚拟网卡,再调用目标安全组的接口将所述新虚拟网卡绑定到所述目标安全组;
第二创建模块,配置用于响应于不存在与所述目标虚拟机对应的目标安全组,则直接调用目标虚拟机的接口根据所述新虚拟网卡信息创建新虚拟网卡。
15.根据权利要求10所述的基于虚拟化环境的端口隔离实现装置,其特征在于,所述装置还包括:
第六请求模块,配置用于响应于接收到针对所述目标虚拟机的删除虚拟网卡请求,则根据所述删除虚拟网卡请求遍历所述目标安全组的所有网卡以确定待删除虚拟网卡;
解绑模块,配置用于调用目标安全组的接口将所述待删除虚拟网卡与所述目标安全组解绑;
第五删除模块,配置用于调用目标虚拟机的接口将所述待删除虚拟网卡删除。
16.根据权利要求10所述的基于虚拟化环境的端口隔离实现装置,其特征在于,所述装置应用于虚拟机管理平台。
17.根据权利要求16所述的基于虚拟化环境的端口隔离实现装置,其特征在于,所述目标虚拟机为所述虚拟机管理平台所管理的多个虚拟机的中任意一个。
18.根据权利要求17所述的基于虚拟化环境的端口隔离实现装置,其特征在于,所述虚拟机管理平台所管理的每个虚拟机均包括多个虚拟网卡。
19.一种计算机设备,其特征在于,包括:
至少一个处理器;以及
存储器,所述存储器存储有可在所述处理器中运行的计算机程序,所述处理器执行所述程序时执行权利要求1-9任意一项所述的方法。
20.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时执行权利要求1-9任意一项所述的方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211631853.6A CN115622815B (zh) | 2022-12-19 | 2022-12-19 | 基于虚拟化环境的端口隔离实现方法、装置、设备及介质 |
| PCT/CN2023/108419 WO2024131055A1 (zh) | 2022-12-19 | 2023-07-20 | 基于虚拟化环境的端口隔离实现方法、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211631853.6A CN115622815B (zh) | 2022-12-19 | 2022-12-19 | 基于虚拟化环境的端口隔离实现方法、装置、设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115622815A CN115622815A (zh) | 2023-01-17 |
| CN115622815B true CN115622815B (zh) | 2023-02-24 |
Family
ID=84880913
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211631853.6A Active CN115622815B (zh) | 2022-12-19 | 2022-12-19 | 基于虚拟化环境的端口隔离实现方法、装置、设备及介质 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN115622815B (zh) |
| WO (1) | WO2024131055A1 (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016141749A1 (zh) * | 2015-03-06 | 2016-09-15 | 中兴通讯股份有限公司 | 虚拟机端口映射的实现方法、服务器、系统及存储介质 |
| CN111949375A (zh) * | 2020-08-24 | 2020-11-17 | 北京首都在线科技股份有限公司 | 虚拟机的配置方法、装置、设备和存储介质 |
| CN112104638A (zh) * | 2020-09-10 | 2020-12-18 | 安徽盛世华科电子科技有限公司 | 一种网络设备安全管理方法 |
| WO2021164385A1 (zh) * | 2020-02-21 | 2021-08-26 | 苏州浪潮智能科技有限公司 | 物联网设备系统的虚拟化方法、装置、设备及存储介质 |
| CN115361204A (zh) * | 2022-08-18 | 2022-11-18 | 缀初网络技术(上海)有限公司 | 边缘场景下共享公网ip的网络隔离方法及装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9912739B1 (en) * | 2017-01-12 | 2018-03-06 | Red Hat Israel, Ltd. | Open virtualized multitenant network scheme servicing virtual machine and container based connectivity |
| CN110727501B (zh) * | 2019-09-29 | 2021-12-17 | 上海英方软件股份有限公司 | 一种基于虚拟机备份数据的演练方法及系统 |
-
2022
- 2022-12-19 CN CN202211631853.6A patent/CN115622815B/zh active Active
-
2023
- 2023-07-20 WO PCT/CN2023/108419 patent/WO2024131055A1/zh unknown
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016141749A1 (zh) * | 2015-03-06 | 2016-09-15 | 中兴通讯股份有限公司 | 虚拟机端口映射的实现方法、服务器、系统及存储介质 |
| WO2021164385A1 (zh) * | 2020-02-21 | 2021-08-26 | 苏州浪潮智能科技有限公司 | 物联网设备系统的虚拟化方法、装置、设备及存储介质 |
| CN111949375A (zh) * | 2020-08-24 | 2020-11-17 | 北京首都在线科技股份有限公司 | 虚拟机的配置方法、装置、设备和存储介质 |
| CN112104638A (zh) * | 2020-09-10 | 2020-12-18 | 安徽盛世华科电子科技有限公司 | 一种网络设备安全管理方法 |
| CN115361204A (zh) * | 2022-08-18 | 2022-11-18 | 缀初网络技术(上海)有限公司 | 边缘场景下共享公网ip的网络隔离方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2024131055A1 (zh) | 2024-06-27 |
| CN115622815A (zh) | 2023-01-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108829459B (zh) | 基于Nginx服务器的配置方法、装置、计算机设备和存储介质 | |
| CN108632110B (zh) | 设备性能测试方法、系统、计算机设备和存储介质 | |
| CN106933648B (zh) | 用于多租户容器资源管理的方法和系统 | |
| CN110290112B (zh) | 权限控制方法、装置、计算机设备及存储介质 | |
| CN111277432B (zh) | 配置信息更新方法、装置、电子设备及存储介质 | |
| CN109981493B (zh) | 一种用于配置虚拟机网络的方法和装置 | |
| CN110008665B (zh) | 一种区块链的权限控制方法及装置 | |
| CN109460252B (zh) | 基于git的配置文件处理方法、装置和计算机设备 | |
| CN113268308B (zh) | 信息处理方法、装置以及存储介质 | |
| CN114281263A (zh) | 容器集群管理系统的存储资源处理方法、系统和设备 | |
| WO2021238301A1 (zh) | 一种应用更新方法、装置、设备及介质 | |
| CN110808857A (zh) | 实现Kubernetes集群的网络互通方法、装置、设备以及存储介质 | |
| CN110933160A (zh) | 一种数据访问方法、服务器、终端和存储介质 | |
| CN110741617B (zh) | 资源更新方法、装置、计算机设备和存储介质 | |
| CN115622815B (zh) | 基于虚拟化环境的端口隔离实现方法、装置、设备及介质 | |
| CN114143090A (zh) | 基于网络安全架构的防火墙部署方法、装置、设备及介质 | |
| CN113238756A (zh) | 直播业务处理方法、装置、电子设备及存储介质 | |
| CN110417856B (zh) | 多活负载均衡应用的扩容方法、装置、设备及存储介质 | |
| CN112995349A (zh) | 地址管理方法、服务器和计算机可读存储介质 | |
| CN106936643B (zh) | 一种设备联动方法以及终端设备 | |
| WO2022133827A1 (zh) | 一种任务处理请求的处理方法、装置以及区块链节点设备 | |
| CN114489754A (zh) | 可配置服务管理方法及装置 | |
| CN113904871A (zh) | 网络切片的接入方法、pcf实体、终端和通信系统 | |
| CN109936672B (zh) | 一种在线计费方法及装置 | |
| CN108769098B (zh) | 一种建立分布式存储系统网络连接的方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |