WO2014127668A1

WO2014127668A1 - 虚拟机安全组的配置方法及装置

Info

Publication number: WO2014127668A1
Application number: PCT/CN2013/089864
Authority: WO
Inventors: 楚俊生; 顾忠禹; 陶源
Original assignee: 中兴通讯股份有限公司
Priority date: 2013-02-22
Filing date: 2013-12-18
Publication date: 2014-08-28
Also published as: CN104007997A

Abstract

本发明公开了一种虚拟机安全组的配置方法及装置。其中，该方法包括：当接收到对虚拟机与安全组进行绑定、更新或解绑定的操作请求时，虚拟化平台对虚拟机与安全组进行绑定、更新或解绑定；当接收到对指定安全组进行导入和导出的操作请求时，虚拟化平台对指定安全组进行导入和导出。通过本发明，达到了方便用户根据应用服务的需求灵活地对虚拟机与安全组进行配置的效果。

Description

虚拟机安全组的配置方法及装置

技术领域本发明涉及通信领域，具体而言，涉及一种虚拟机安全组的配置方法及装置。背景技术虚拟化技术是云服务平台构建的基础。虚拟化技术是指在物理服务器上，通过虚拟化管理软件 Hypervisor将物理资源分割为多个逻辑分区，每个逻辑分区相互隔离，各自成为独立的虚拟机。对操作系统和应用程序来说，虚拟机与物理服务器没有区别，它们可以共享同一台物理服务器的资源。安全组是用于控制数据流进入和外发一组虚拟机的访问控制规则，也指满足这些规则的虚拟机组。即在虚拟化平台中，为了满足用户的应用部署的需求，即将用户申请的虚拟机进行分组，每组虚拟机都有各自的数据流访问控制规则，只有满足该虚拟机组所配置的进入访问控制规则的数据流才允许进入该虚拟机组，其他的数据流将被禁止转入该虚拟机组。同时，对于一些虚拟化平台也支持对虚拟机组发出的数据流按配置的访问规则进行控制，即该虚拟机组内虚拟机所外发的数据流中只有满足该虚拟机组所配置的外出访问控制规则的数据流才允许转发出该虚拟机组，其他的数据流将被禁止转发出该虚拟机组。图 1根据相关技术的安全组的模型示意图。如图 1所示，该安全组的模型包括- 安全组管理器 101，用于管理用户的安全组，包括对用户发起的安全组创建、更新、查询和删除等操作，以及安全组规则等管理请求进行处理；配置信息 102，包含用户的安全组及其规则配置信息；物理服务器 103，通过虚拟化管理软件 Hypervisor提供虚拟机；虚拟交换机 104，即物理网卡虚拟化后为物理主机内部的虚拟机提供虚拟交换功能；虚拟机 105是封装了 CPU、内存、本地磁盘和网络等虚拟化的资源实体；安全组执行器 106，即主机内为属于安全组的虚拟机执行安全策略的实体；安全组存放设备 107即用户将配置的安全组及其规则进行导入所存放的位置。图 2根据相关技术的安全组的结构示意图。如图 2所示，该安全组的结构包括：安全组管理器 201，其具体功能如图 1中的安全组管理器 101所描述；配置信息 202，其具体功能如图 1中的配置信息 102所描述；虚拟化平台 203，是虚拟机资源服务管理平台，安全组功能是在虚拟化平台上实现的；安全组 210，即为用户所创建的管理用于该用户一组虚拟机的访问控制策略；规则集 211，描述安全组中的规则，规则包括数据包的进入规则和数据包的发出规则；虚拟机 212，指用户申请的属于某安全组的虚拟化服务器。图 3根据相关技术的安全组的网络模型图。如图 3所示，该安全组的网络模型包括：外部网络 301，该外部网络可以是 Internet或其他私有网络，该外部网络可以访问内部网络中的虚拟机；内部网络 302，即在图 2中虚拟化平台 203的基础上构建的网络；安全组管理器 303，即图 1中的安全组管理器 101 ; 虚拟机 304，即图 2中的虚拟机 212，该虚拟机可以属于多个安全组；配置信息 305，其具体功能如图 1中的配置信息 102所描述；安全组 306，具体功能即图 2中的安全组 210的描述，安全组可以包含多个虚拟机。图 4根据相关技术的创建虚拟机时配置默认安全组的流程图。如图 4所示，该流程包括以下步骤：

S401 , 虚拟化平台在用户管理时为该用户创建默认安全组。默认安全组不包含任何规则，即默认安全组允许所有外出的网络流，禁止所有进入的网络流，并允许安全组内的虚拟机互相访问。 S402, 用户向虚拟化平台发起虚拟机创建请求，该创建请求没有为该虚拟机指定任何安全组。

5403, 虚拟化平台的安全组管理器为该虚拟机指定用户的默认安全组。

5404, 加载安全组规则到虚拟机所在主机的安全组执行器。

5405, 虚拟化平台向用户返回虚拟机创建完成响应，其中携带已创建虚拟机的 ID 和默认安全组标识。

5406, 可选的，用户可以修改默认安全组中的规则，如果用户增加了出口规则，则将禁止除满足出口规则外的网络流。

5407, 安全组执行器根据安全组的规则对默认安全组的网络流进行控制。

5408, 安全组执行器分发满足安全组规则的网络流。图 5根据相关技术的创建虚拟机时配置指定安全组的流程图。如图 5所示，该流程包括以下步骤：

S501 , 用户在创建虚拟机之前，先创建完成该虚拟机所属的安全组及其规则。 5502, 用户向虚拟化平台发起虚拟机创建请求，其中携带该虚拟机所属的安全组标识（本实施例假定为安全组 1 )。

5503, 虚拟化平台的安全组管理器更新安全组 1的配置信息，即增加属于该安全组的虚拟机。 S504, 加载安全组规则到虚拟机所在主机的安全组执行器。

5505, 虚拟化平台向用户返回虚拟机创建完成响应，其中携带已创建虚拟机的 ID 和安全组 1。

5506, 可选的，用户可以修改安全组 1中的规则。

5507, 安全组执行器根据安全组的规则对安全组的网络流进行控制。 S508, 安全组执行器分发满足安全组规则的网络流。目前的虚拟化平台为用户申请的虚拟机组提供安全组功能，但是目前的虚拟化平台都要求用户先配置安全组，然后在创建虚拟机时进行与安全组的绑定，并且在虚拟机的整个生命期无法修改虚拟机与安全组的关系；而且，目前的安全组一般能够最大支持上百条规则，如果用户创建一个类似的安全组，则需要对安全组规则一个一个输入，这显然不方便安全组的快速创建，造成这些问题的原因在于当前配置的安全组的功能较弱，例如，缺乏以下功能：（1 ) 安全组与虚拟机的绑定和解绑定功能；（2) 安全组与虚拟机的更新功能；（3 ) 安全组的导入和导出功能等，同时这些原因也使得当前的虚拟化平台无法为用户提供灵活的安全组操作，导致用户不能根据应用服务的需求灵活地对虚拟机与安全组进行相应处理。针对相关技术中用户创建安全组的过程较为繁杂、虚拟机与安全组的关系无法修改以及用户不能根据应用服务的需求灵活地对虚拟机与安全组进行相应处理的问题，目前尚未提出有效的解决方案。发明内容本发明提供了一种虚拟机安全组的配置方法及装置，以至少解决上述问题。根据本发明的一个方面，提供了一种虚拟机安全组的配置方法，包括：当接收到对虚拟机与安全组进行绑定、更新或解绑定的操作请求时，虚拟化平台对虚拟机与安全组进行绑定、更新或解绑定；当接收到对指定安全组进行导入和导出的操作请求时，虚拟化平台对指定安全组进行导入和导出。优选地，对虚拟机与安全组进行绑定是指将虚拟机加入到安全组中。优选地，对虚拟机与安全组进行更新是指将虚拟机从当前已经加入到的一个安全组中迁移到另外一个安全组中。优选地，对虚拟机与安全组进行解绑定是指将虚拟机从当前已经加入到的安全组中移除。优选地，在虚拟化平台完成对虚拟机与安全组的解绑定之后，该方法还包括：在解绑定后的虚拟机不再关联其他安全组的情况下，虚拟化平台将解绑定后的虚拟机放入到缺省安全组中。优选地，对虚拟机与安全组进行的绑定、更新或解绑定是在虚拟机已经创建完成且未运行的状态下或者在虚拟机已经创建完成且已经运行的状态下进行的。优选地，虚拟机能够同时属于多个安全组，安全组能够同时包含多个虚拟机。优选地，对虚拟机与安全组进行绑定、更新或解绑定时，能够同时针对一个虚拟机所属的一个或多个安全组进行。优选地，对虚拟机与安全组进行绑定、更新或解绑定时，能够同时针对一个安全组所属的一个或多个虚拟机进行。优选地，安全组的创建时间与虚拟机的创建时间没有先后顺序。优选地，在虚拟化平台对虚拟机与安全组进行绑定、更新或解绑定的过程中，虚拟机处于停止、运行或挂起状态。优选地，在虚拟化平台完成对虚拟机与安全组的绑定、更新或解绑定之后，虚拟机对应的安全组规则立即生效。优选地，当虚拟机属于多个安全组时，虚拟机的入口流量只有在满足全部安全组的入口规则时才能进人，虚拟机的出口流量只有在满足全部安全组的出口规则时才能发出。优选地，在对指定安全组进行导出时，虚拟化平台将指定安全组及指定安全组的规则存放在指定的路径。优选地，在对指定安全组进行导入时，虚拟化平台按照指定的路径，根据指定安全组的名称和描述信息创建一个新的安全组，并为新的安全组分配一个安全组标识 (ID)。根据本发明的另一方面，提供了一种虚拟机安全组的配置装置，包括：第一处理模块，设置为当接收到对虚拟机与安全组进行绑定、更新或解绑定的操作请求时，对虚拟机与安全组进行绑定、更新或解绑定；第二处理模块，设置为当接收到对指定安全组进行导入和导出的操作请求时，对指定安全组进行导入和导出。优选地，对虚拟机与安全组进行绑定是指将虚拟机加入到安全组中。优选地，对虚拟机与安全组进行更新是指将虚拟机从当前已经加入到的一个安全组中迁移到另外一个安全组中。优选地，对虚拟机与安全组进行解绑定是指将虚拟机从当前已经加入到的安全组中移除。优选地，该装置还包括：放入模块，设置为在所述解绑定后的虚拟机不再关联其他安全组的情况下，将解绑定后的虚拟机放入到缺省安全组中。优选地，对虚拟机与安全组进行的绑定、更新或解绑定是在虚拟机已经创建完成且未运行的状态下或者在虚拟机已经创建完成且已经运行的状态下进行的。优选地，虚拟机能够同时属于多个安全组，安全组能够同时包含多个虚拟机。优选地，当虚拟机属于多个安全组时，虚拟机的入口流量只有在满足全部安全组的入口规则时才能进人，虚拟机的出口流量只有在满足全部安全组的出口规则时才能发出。优选地，第二处理模块包括：存放单元，设置为将指定安全组及指定安全组的规则存放在指定的路径。优选地，第二处理模块包括：创建单元，设置为按照指定的路径根据指定安全组的名称和描述信息创建一个新的安全组；分配单元，设置为为新的安全组分配一个安全组标识（ID)。通过本发明，采用增加安全组与虚拟机的绑定、更新以及解绑定功能，增加安全组的导入和导出功能的方式，解决了用户创建安全组的过程较为繁杂、虚拟机与安全组的关系无法修改以及用户不能根据应用服务的需求灵活地对虚拟机与安全组进行相应处理的问题，进而达到了方便用户根据应用服务的需求灵活地对虚拟机与安全组进行配置的效果。附图说明此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中- 图 1根据相关技术的安全组的模型示意图；图 2根据相关技术的安全组的结构示意图；图 3根据相关技术的安全组的网络模型图；图 4根据相关技术的创建虚拟机时配置默认安全组的流程图；图 5根据相关技术的创建虚拟机时配置指定安全组的流程图；图 6是根据本发明实施例的虚拟机安全组的配置方法流程图；图 7是根据本发明优选实施例的虚拟机安全组的创建流程图；图 8是根据本发明优选实施例的虚拟机创建后绑定安全组的流程图；图 9是根据本发明优选实施例的虚拟机创建后更新安全组的流程图；图 10 是根据本发明优选实施例的虚拟机创建后解绑定部分用户创建的安全组的流程图；图 11 是根据本发明优选实施例的虚拟机创建后解绑定最后一个用户创建的安全组的流程图；图 12是根据本发明优选实施例的安全组导出流程图；图 13是根据本发明优选实施例的安全组导入流程图; 图 14是根据本发明实施例的虚拟机安全组的配置装置的结构框图；以及图 15是根据本发明优选实施例的虚拟机安全组的配置装置的结构框图。具体实施方式下文中将参考附图并结合实施例来详细说明本发明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。图 6是根据本发明实施例的虚拟机安全组的配置方法流程图，如图 6所示，该方法主要包括以下步骤（步骤 S602-步骤 S604): 步骤 S602，当接收到对虚拟机与安全组进行绑定、更新或解绑定的操作请求时，虚拟化平台对虚拟机与安全组进行绑定、更新或解绑定。步骤 S604，当接收到对指定安全组进行导入和导出的操作请求时，虚拟化平台对指定安全组进行导入和导出。在本实施例中，对虚拟机与安全组进行绑定是指将虚拟机加入到安全组中。在实际应用中，虚拟机和安全组都可以是已经创建完成的。在本实施例中，对虚拟机与安全组进行更新是指将虚拟机（例如，可以是已创建完成的虚拟机）从当前已经加入到的一个安全组中迁移到另外一个安全组中。在本实施例中，对虚拟机与安全组进行解绑定是指将虚拟机（例如，可以是已创建完成的虚拟机）从当前已经加入到的安全组中移除。在本实施例中，在虚拟化平台完成对虚拟机与安全组的解绑定之后，该方法还包括：在解绑定后的虚拟机不再关联其他安全组的情况下，虚拟化平台将解绑定后的虚拟机放入到缺省安全组（可以是当前用户的）中。在本实施例中，对虚拟机与安全组进行的绑定、更新或解绑定是在虚拟机已经创建完成且未运行的状态下或者在虚拟机已经创建完成且已经运行的状态下进行的。在本实施例中，虚拟机能够同时属于多个安全组，安全组能够同时包含多个虚拟机。在本实施例中，对虚拟机与安全组进行绑定、更新或解绑定时，能够同时针对一个虚拟机所属的一个或多个安全组进行。在本实施例中，对虚拟机与安全组进行绑定、更新或解绑定时，能够同时针对一个安全组所属的一个或多个虚拟机进行。在本实施例中，安全组的创建时间与虚拟机的创建时间没有先后顺序。在本实施例中，在虚拟化平台对虚拟机与安全组进行绑定、更新或解绑定的过程中，虚拟机处于停止、运行或挂起状态。在本实施例中，在虚拟化平台完成对虚拟机与安全组的绑定、更新或解绑定之后，虚拟机对应的安全组规则立即生效。在本实施例中，当虚拟机属于多个安全组时，虚拟机的入口流量只有在满足全部安全组的入口规则时才能进人，虚拟机的出口流量只有在满足全部安全组的出口规则时才能发出。在本实施例中，在对指定安全组进行导出时，虚拟化平台将指定安全组及指定安全组的规则存放在指定的路径。在本实施例中，在对指定安全组进行导入时，虚拟化平台按照指定的路径，根据指定安全组的名称和描述信息创建一个新的安全组，并为新的安全组分配一个安全组标识（ID)。下面结合图 7至图 13以及优选实施例对上述实施例提供的虚拟机安全组的配置方法进行更加详细的描述。图 7是根据本发明优选实施例的虚拟机安全组的创建流程图，如图 7所示，该流程包括以下步骤（步骤 S702-步骤 S706): 步骤 S702，用户创建虚拟机，并从已创建的安全组中选择该虚拟机所属的安全组; 如果没有选择，则创建的虚拟机属于用户的缺省安全组。步骤 S704，虚拟机创建后，用户可以根据应用服务的需求，绑定、解绑定虚拟机与其安全组，或迁移该虚拟机到其他安全组中。步骤 S706，用户将安全组及其规则导入到某个位置进行保存，并通过导出操作快速创建一个类似的新的安全组。图 8是根据本发明优选实施例的虚拟机创建后绑定安全组的流程图，如图 8所示，该流程包括以下步骤（步骤 S802-步骤 S816): 步骤 S802，用户创建虚拟机，虚拟化平台为用户已创建缺省安全组。步骤 S804，用户创建安全组及其规则（用户创建安全组和创建虚拟机没有顺序关系要求）。步骤 S806，用户发起安全组与虚拟机绑定请求，其中，携带已创建的安全组 ID 和已创建的虚拟机 ID。步骤 S808，安全组管理器判断安全组绑定请求的合法性，例如根据安全组 ID判断该安全组是否存在，根据虚拟机 ID判断虚拟机是否存在，该虚拟机与安全组是否已绑定。如果满足条件，则安全组管理器更新安全组配置信息。步骤 S810，安全组管理器通知负责该虚拟机网络流接入控制的安全组执行器，加载该安全组的规则。步骤 S812，安全组管理器向用户返回安全组与虚拟机绑定成功响应。步骤 S814，安全组执行器根据安全组的规则对安全组的网络流进行控制。步骤 S816，安全组执行器分发满足安全组规则的网络流。图 9是根据本发明优选实施例的虚拟机创建后更新安全组的流程图，如图 9所示，该流程包括以下步骤（步骤 S902-步骤 S920): 步骤 S902，用户创建安全组及其规则，假定用户创建了安全组 1和安全组 2。步骤 S904，用户创建虚拟机，并设置该虚拟机属于安全组 1。步骤 S906，安全组执行器根据安全组的规则对安全组的网络流进行控制。步骤 S908，安全组执行器分发满足安全组规则的网络流。需要说明的是，步骤 S902和步骤 S908是预置步骤，即虚拟机首先属于安全组 1，并且在安全组 1下网络流能够正常控制，然后更新到安全组 2下。步骤 S910，用户发起安全组与虚拟机更新请求，其中携带虚拟机 ID、源安全组 1 和要迁移到的安全组 2。步骤 S912，安全组管理器判断安全组更新请求的合法性，比如源安全组和目标安全组是否存在，要迁移的虚拟机是否存在，该虚拟机与源安全组是否已绑定。如果满足条件，则安全组管理器更新安全组配置信息，即解绑定虚拟机与源安全组的关系，绑定与目标安全组的关系。步骤 S914，安全组管理器通知负责该虚拟机网络流接入控制的安全组执行器，更新安全组规则。步骤 S916，安全组管理器向用户返回虚拟机安全组更新成功响应。步骤 S918，安全组执行器根据安全组的规则对安全组的网络流进行控制。步骤 S920，安全组执行器分发满足安全组规则的网络流。图 10 是根据本发明优选实施例的虚拟机创建后解绑定部分用户创建的安全组的流程图，如图 10所示，该流程包括以下步骤（步骤 S1002-步骤 S1020): 步骤 S1002, 用户创建安全组 1和安全组 2及其入口和 /或出口规则。步骤 S1004, 用户创建虚拟机，该虚拟机绑定安全组 1和安全组 2 (用户创建安全组和创建虚拟机没有顺序关系要求）。步骤 S1006, 安全组执行器根据安全组 1和安全组 2的规则对安全组的网络流进行控制。步骤 S1008, 安全组执行器分发满足安全组规则的网络流。需要说明的是，步骤 S1002和步骤 S1008是预置步骤，即虚拟机首先属于安全组 1和安全中，并且网络流受控于安全组 1和安全中，然后解绑定安全组 2。步骤 S1010, 用户发起安全组与虚拟机解绑定请求，其中携带已创建的虚拟机 ID 和要解绑定的安全组 2。步骤 S1012, 安全组管理器判断安全组绑定请求的合法性，比如判断安全组 2是否存在，虚拟机是否存在，该虚拟机与安全组 2是否已绑定。如果满足条件，则安全组管理器更新安全组配置信息。步骤 S1014, 安全组管理器通知负责该虚拟机网络流接入控制的安全组执行器，更新安全组的规则。步骤 S1016, 安全组管理器向用户返回安全组与虚拟机解绑定成功响应。步骤 S1018，安全组执行器根据安全组的规则对安全组的网络流进行控制。步骤 S1020, 安全组执行器分发满足安全组规则的网络流。图 11 是根据本发明优选实施例的虚拟机创建后解绑定最后一个用户创建的安全组的流程图，如图 11所示，该流程包括以下步骤（步骤 S1102-步骤 S1104): 步骤 S1102, 用户创建安全组 1及其规则。步骤 S1104, 用户创建虚拟机，该虚拟机绑定安全组 1 (用户创建安全组和创建虚拟机没有顺序关系要求）。步骤 S1106, 安全组执行器根据安全组 1的规则对安全组的网络流进行控制。步骤 S1108, 安全组执行器分发满足安全组规则的网络流。需要说明的是，步骤 S1102和步骤 S1108是预置步骤，即虚拟机当前只关联最后一个用户定义的安全组中，然后解绑定该安全组。步骤 S1110, 用户发起安全组与虚拟机解绑定请求，其中携带已创建的虚拟机 ID 和要解绑定的安全组 1。步骤 S1112, 安全组管理器判断安全组绑定请求的合法性，比如判断安全组 1是否存在，虚拟机是否存在，该虚拟机与安全组 1是否已绑定。如果满足条件，则安全组管理器更新安全组配置信息，即解绑定安全组 1，然后将虚拟机加入到用户的缺省安全组中。步骤 S1114, 安全组管理器通知负责该虚拟机网络流接入控制的安全组执行器，更新安全组的规则为用户缺省安全组的规则。步骤 S1116, 安全组管理器向用户返回安全组与虚拟机解绑定成功响应。步骤 S1118, 安全组执行器根据缺省安全组的规则对安全组的网络流进行控制。步骤 S1120, 安全组执行器分发满足缺省安全组规则的网络流。图 12是根据本发明优选实施例的安全组导出流程图，如图 12所示，该流程包括以下步骤（步骤 S1202-步骤 S1212): 步骤 S1202, 用户创建安全组及其规则。步骤 S1204，用户创建虚拟机及其所属的安全组。需要说明的是，步骤 S 1202和步骤 S 1204是预置步骤，类似步骤 S1102到步骤 S 1108 执行虚拟机和安全组的创建，以及根据安全组规则进行网络流的控制。步骤 S1206, 用户发起安全组导出请求，其中携带安全组 ID和安全组及其规则的存放路径等信息。步骤 S1208, 安全组管理器判断安全组导出请求的合法性，比如判断安全组 ID是否存在。如果满足条件，则安全组管理器读取安全组配置信息。步骤 S1210, 安全组管理器将该安全组及其规则存放在指定的存储位置。步骤 S1212, 安全组管理器向用户返回安全组导出成功响应。图 13是根据本发明优选实施例的安全组导入流程图，如图 13所示，该流程包括以下步骤（步骤 S1302-步骤 S1312): 步骤 S1302, 用户创建安全组及其规则。步骤 S1304, 用户创建虚拟机及其所属的安全组。需要说明的是，步骤 S 1302和步骤 S 1304是预置步骤，类似步骤 S1102到步骤 S 1108 执行虚拟机和安全组的创建，以及根据安全组规则进行网络流的控制。步骤 S1306, 用户发起安全组导入请求，其中携带安全组名称和已存放的安全组及其规则的路径等信息。步骤 S1308, 安全组管理器判断安全组导入请求的合法性，比如判断该存放路径的有效性，用户的读取权限等。如果满足条件，则安全组管理器从存储器读取已存储的安全组配置信息。步骤 S1310, 安全组管理器根据存储的安全组及其规则创建一个新的安全组。步骤 S1312, 安全组管理器向用户返回安全组导入成功响应，并携带新创建的安全组 ID。采用上述实施例提供的虚拟机安全组的配置方法，可以增加安全组与虚拟机的绑定、更新以及解绑定功能，增加安全组的导入和导出功能，达到了方便用户根据应用服务的需求灵活地对虚拟机与安全组进行配置的效果。图 14是根据本发明实施例的虚拟机安全组的配置装置的结构框图，该装置用以实现上述方法实施例提供的虚拟机安全组的配置，如图 14所示，该装置主要包括：第一处理模块 10和第二处理模块 20。其中，第一处理模块 10，设置为当接收到对虚拟机与安全组进行绑定、更新或解绑定的操作请求时，对虚拟机与安全组进行绑定、更新或解绑定；第二处理模块 20，设置为当接收到对指定安全组进行导入和导出的操作请求时，对指定安全组进行导入和导出。在本实施例中，对虚拟机与安全组进行绑定是指将虚拟机加入到安全组中。在实际应用中，虚拟机和安全组都可以是已经创建完成的。在本实施例中，对虚拟机与安全组进行更新是指将虚拟机（可以是已创建完成的）从当前已经加入到的一个安全组中迁移到另外一个安全组中。在本实施例中，对虚拟机与安全组进行解绑定是指将虚拟机（可以是已创建完成的）从当前已经加入到的安全组中移除。在本实施例中，对虚拟机与安全组进行的绑定、更新或解绑定是在虚拟机已经创建完成且未运行的状态下或者在虚拟机已经创建完成且已经运行的状态下进行的。在本实施例中，虚拟机能够同时属于多个安全组，安全组能够同时包含多个虚拟机。在本实施例中，当虚拟机属于多个安全组时，虚拟机的入口流量只有在满足全部安全组的入口规则时才能进人，虚拟机的出口流量只有在满足全部安全组的出口规则时才能发出。图 15是根据本发明优选实施例的虚拟机安全组的配置装置的结构框图，如图 15 所示，在该优选实施例提供的虚拟机安全组的配置装置中，还包括：放入模块 30，连接至第一处理模块 10，设置为在解绑定后的虚拟机不再关联其他安全组的情况下，将解绑定后的虚拟机放入缺省安全组（可以是当前用户的）中。优选地，第二处理模块 20包括：存放单元 22，设置为将指定安全组及指定安全组的规则存放在指定的路径。优选地，第二处理模块 20包括：创建单元 24，设置为按照指定的路径根据指定安全组的名称和描述信息创建一个新的安全组；分配单元 26，连接至创建单元 24，设置为为新的安全组分配一个安全组标识（ID)。采用上述实施例提供的虚拟机安全组的配置装置，可以增加安全组与虚拟机的绑定、更新以及解绑定功能，增加安全组的导入和导出功能，达到了方便用户根据应用服务的需求灵活地对虚拟机与安全组进行配置的效果。从以上的描述中，可以看出，本发明实现了如下技术效果：为安全组与虚拟机增加绑定、更新以及解绑定功能，为安全组增加导入和导出功能，通过这种方式，解决了用户创建安全组的过程较为繁杂、虚拟机与安全组的关系无法修改以及用户不能根据应用服务的需求灵活地对虚拟机与安全组进行相应处理的问题，进而达到了方便用户根据应用服务的需求灵活地对虚拟机与安全组进行配置的效果。显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

权利要求书

1. 一种虚拟机安全组的配置方法，包括：

当接收到对虚拟机与安全组进行绑定、更新或解绑定的操作请求时，虚拟化平台对所述虚拟机与所述安全组进行绑定、更新或解绑定；

当接收到对指定安全组进行导入和导出的操作请求时，所述虚拟化平台对指定安全组进行导入和导出。

2. 根据权利要求 1所述的方法，其中，对所述虚拟机与所述安全组进行绑定是指将虚拟机加入到安全组中。

3. 根据权利要求 1所述的方法，其中，对所述虚拟机与安全组进行更新是指将虚拟机从当前已经加入到的一个安全组中迁移到另外一个安全组中。

4. 根据权利要求 1所述的方法，其中，对所述虚拟机与安全组进行解绑定是指将虚拟机从当前已经加入到的安全组中移除。

5. 根据权利要求 1所述的方法，其中，在所述虚拟化平台完成对所述虚拟机与所述安全组的解绑定之后，所述方法还包括：

在所述解绑定后的虚拟机不再关联其他安全组的情况下，所述虚拟化平台将所述解绑定后的虚拟机放入到缺省安全组中。

6. 根据权利要求 1至 5中任一项所述的方法，其中，对所述虚拟机与所述安全组进行的绑定、更新或解绑定是在所述虚拟机已经创建完成且未运行的状态下或者在所述虚拟机已经创建完成且已经运行的状态下进行的。

7. 根据权利要求 1至 5中任一项所述的方法，其中，所述虚拟机能够同时属于多个所述安全组，所述安全组能够同时包含多个所述虚拟机。

8. 根据权利要求 1至 5中任一项所述的方法，其中，对所述虚拟机与所述安全组进行绑定、更新或解绑定时，能够同时针对一个所述虚拟机所属的一个或多个所述安全组进行。

9. 根据权利要求 1至 5中任一项所述的方法，其中，对所述虚拟机与所述安全组进行绑定、更新或解绑定时，能够同时针对一个所述安全组所属的一个或多个所述虚拟机进行。

10. 根据权利要求 1至 5中任一项所述的方法，其中，所述安全组的创建时间与所述虚拟机的创建时间没有先后顺序。

11. 根据权利要求 1至 5中任一项所述的方法，其中，在所述虚拟化平台对所述虚拟机与所述安全组进行绑定、更新或解绑定的过程中，所述虚拟机处于停止、运行或挂起状态。

12. 根据权利要求 1至 5中任一项所述的方法，其中，在所述虚拟化平台完成对所述虚拟机与所述安全组的绑定、更新或解绑定之后，所述虚拟机对应的安全组规则立即生效。

13. 根据权利要求 1至 5中任一项所述的方法，其中，当所述虚拟机属于多个所述安全组时，所述虚拟机的入口流量只有在满足全部安全组的入口规则时才能进人，所述虚拟机的出口流量只有在满足全部安全组的出口规则时才能发出。

14. 根据权利要求 1所述的方法，其中，在对所述指定安全组进行导出时，所述虚拟化平台将所述指定安全组及所述指定安全组的规则存放在指定的路径。

15. 根据权利要求 1所述的方法，其中，在对所述指定安全组进行导入时，所述虚拟化平台按照指定的路径，根据所述指定安全组的名称和描述信息创建一个新的安全组，并为所述新的安全组分配一个安全组标识 ID。

16. 一种虚拟机安全组的配置装置，包括：

第一处理模块，设置为当接收到对虚拟机与安全组进行绑定、更新或解绑定的操作请求时，对所述虚拟机与所述安全组进行绑定、更新或解绑定；第二处理模块，设置为当接收到对指定安全组进行导入和导出的操作请求时，对指定安全组进行导入和导出。

17. 根据权利要求 16所述的装置，其中，对所述虚拟机与所述安全组进行绑定是指将虚拟机加入到安全组中。

18. 根据权利要求 16所述的装置，其中，对所述虚拟机与所述安全组进行更新是指将虚拟机从当前已经加入到的一个安全组中迁移到另外一个安全组中。

19 根据权利要求 16所述的装置，其中，对所述虚拟机与所述安全组进行解绑定是指将虚拟机从当前已经加入到的安全组中移除。根据权利要求 16所述的装置，其中，所述装置还包括: 放入模块，设置为在所述解绑定后的虚拟机不再关联其他安全组的情况下，将所述解绑定后的虚拟机放入到缺省安全组中。

21. 根据权利要求 16至 20中任一项所述的装置，其中，对所述虚拟机与所述安全组进行的绑定、更新或解绑定是在所述虚拟机已经创建完成且未运行的状态下或者在所述虚拟机已经创建完成且已经运行的状态下进行的。

22. 根据权利要求 16至 20中任一项所述的装置，其中，所述虚拟机能够同时属于多个所述安全组，所述安全组能够同时包含多个所述虚拟机。

23. 根据权利要求 16至 20中任一项所述的装置，其中，当所述虚拟机属于多个所述安全组时，所述虚拟机的入口流量只有在满足全部安全组的入口规则时才能进人，所述虚拟机的出口流量只有在满足全部安全组的出口规则时才能发出。

24. 根据权利要求 16至 20中任一项所述的装置，其中，所述第二处理模块包括：存放单元，设置为将所述指定安全组及所述指定安全组的规则存放在指定的路径。

25. 根据权利要求 16至 20中任一项所述的装置，其中，所述第二处理模块包括：创建单元，设置为按照指定的路径根据所述指定安全组的名称和描述信息创建一个新的安全组；

分配单元，设置为为所述新的安全组分配一个安全组标识 ID。