虚拟机安全组的配置方法及装置制造方法及图纸

本发明专利技术公开了一种虚拟机安全组的配置方法及装置。其中，该方法包括：当接收到对已经创建完成的虚拟机与安全组进行绑定、更新或解绑定的操作请求时，虚拟化平台对虚拟机与安全组进行绑定、更新或解绑定；当接收到对指定安全组进行导入和导出的操作请求时，虚拟化平台对指定安全组进行导入和导出。通过本发明专利技术，达到了方便用户根据应用服务的需求灵活地对虚拟机与安全组进行配置的效果。

【技术实现步骤摘要】
虚拟机安全组的配置方法及装置
本专利技术涉及通信领域，具体而言，涉及一种虚拟机安全组的配置方法及装置。
技术介绍
虚拟化技术是云服务平台构建的基础。虚拟化技术是指在物理服务器上，通过虚拟化管理软件Hypervisor将物理资源分割为多个逻辑分区，每个逻辑分区相互隔离，各自成为独立的虚拟机。对操作系统和应用程序来说，虚拟机与物理服务器没有区别，它们可以共享同一台物理服务器的资源。安全组是用于控制数据流进入和外发一组虚拟机的访问控制规则，也指满足这些规则的虚拟机组。即在虚拟化平台中，为了满足用户的应用部署的需求，即将用户申请的虚拟机进行分组，每组虚拟机都有各自的数据流访问控制规则，只有满足该虚拟机组所配置的进入访问控制规则的数据流才允许进入该虚拟机组，其他的数据流将被禁止转入该虚拟机组。同时，对于一些虚拟化平台也支持对虚拟机组发出的数据流按配置的访问规则进行控制，即该虚拟机组内虚拟机所外发的数据流中只有满足该虚拟机组所配置的外出访问控制规则的数据流才允许转发出该虚拟机组，其他的数据流将被禁止转发出该虚拟机组。图1根据相关技术的安全组的模型示意图。如图1所示，该安全组的模型包括:安全组管理器101，用于管理用户的安全组，包括对用户发起的安全组创建、更新、查询和删除等操作，以及安全组规则等管理请求进行处理；配置信息102，包含用户的安全组及其规则配置信息；物理服务器103，通过虚拟化管理软件Hypervisor提供虚拟机；虚拟交换机104，即物理网卡虚拟化后为物理主机内部的虚拟机提供虚拟交换功能；虚拟机105是封装了 CPU、内存、本地磁盘和网络等虚拟化的资源实体；安全组执行器106，即主机内为属于安全组的虚拟机执行安全策略的实体；安全组存放设备107即用户将配置的安全组及其规则进行导入所存放的位置。图2根据相关技术的安全组的结构示意图。如图2所示，该安全组的结构包括:安全组管理器201，其具体功能如图1中的安全组管理器101所描述；配置信息202，其具体功能如图1中的配置信息102所描述；虚拟化平台203，是虚拟机资源服务管理平台，安全组功能是在虚拟化平台上实现的；安全组210，即为用户所创建的管理用于该用户一组虚拟机的访问控制策略；规则集211，描述安全组中的规则，规则包括数据包的进入规则和数据包的发出规则；虚拟机212，指用户申请的属于某安全组的虚拟化服务器。图3根据相关技术的安全组的网络模型图。如图3所示，该安全组的网络模型包括:外部网络301，该外部网络可以是Internet或其他私有网络，该外部网络可以访问内部网络中的虚拟机；内部网络302，即在图2中虚拟化平台203的基础上构建的网络；安全组管理器303，即图1中的安全组管理器101 ;虚拟机304，即图2中的虚拟机212，该虚拟机可以属于多个安全组；配置信息305，其具体功能如图1中的配置信息102所描述；安全组306，具体功能即图2中的安全组210的描述，安全组可以包含多个虚拟机。图4根据相关技术的创建虚拟机时配置默认安全组的流程图。如图4所示，该流程包括以下步骤:S401，虚拟化平台在用户管理时为该用户创建默认安全组。默认安全组不包含任何规则，即默认安全组允许所有外出的网络流，禁止所有进入的网络流，并允许安全组内的虚拟机互相访问。S402,用户向虚拟化平台发起虚拟机创建请求,该创建请求没有为该虚拟机指定任何安全组。S403，虚拟化平台的安全组管理器为该虚拟机指定用户的默认安全组。S404，加载安全组规则到虚拟机所在主机的安全组执行器。S405，虚拟化平台向用户返回虚拟机创建完成响应，其中携带已创建虚拟机的ID和默认安全组标识。S406,可选的，用户可以修改默认安全组中的规则，如果用户增加了出口规则，则将禁止除满足出口规则外的网络流。S407，安全组执行器根据安全组的规则对默认安全组的网络流进行控制。S408，安全组执行器分发满足安全组规则的网络流。图5根据相关技术的创建虚拟机时配置指定安全组的流程图。如图5所示，该流程包括以下步骤:S501，用户在创建虚拟机之前，先创建完成该虚拟机所属的安全组及其规则。S502，用户向虚拟化平台发起虚拟机创建请求，其中携带该虚拟机所属的安全组标识(本实施例假定为安全组I)。S503，虚拟化平台的安全组管理器更新安全组I的配置信息，即增加属于该安全组的虚拟机。S504，加载安全组规则到虚拟机所在主机的安全组执行器。S505，虚拟化平台向用户返回虚拟机创建完成响应，其中携带已创建虚拟机的ID和安全组I。S506，可选的，用户可以修改安全组I中的规则。S507，安全组执行器根据安全组的规则对安全组的网络流进行控制。S508，安全组执行器分发满足安全组规则的网络流。目前的虚拟化平台为用户申请的虚拟机组提供安全组功能，但是目前的虚拟化平台都要求用户先配置安全组，然后在创建虚拟机时进行与安全组的绑定，并且在虚拟机的整个生命期无法修改虚拟机与安全组的关系；而且，目前的安全组一般能够最大支持上百条规则，如果用户创建一个类似的安全组，则需要对安全组规则一个一个输入，这显然不方便安全组的快速创建，造成这些问题的原因在于当前配置的安全组的功能较弱，例如，缺乏以下功能:(1)安全组与虚拟机的绑定和解绑定功能；(2)安全组与虚拟机的更新功能；(3)安全组的导入和导出功能等，同时这些原因也使得当前的虚拟化平台无法为用户提供灵活的安全组操作，导致用户不能根据应用服务的需求灵活地对虚拟机与安全组进行相应处理。针对相关技术中用户创建安全组的过程较为繁杂、虚拟机与安全组的关系无法修改以及用户不能根据应用服务的需求灵活地对虚拟机与安全组进行相应处理的问题，目前尚未提出有效的解决方案。
技术实现思路
本专利技术提供了一种虚拟机安全组的配置方法及装置，以至少解决上述问题。根据本专利技术的一个方面，提供了 一种虚拟机安全组的配置方法，包括:当接收到对已经创建完成的虚拟机与安全组进行绑定、更新或解绑定的操作请求时，虚拟化平台对虚拟机与安全组进行绑定、更新或解绑定；当接收到对指定安全组进行导入和导出的操作请求时，虚拟化平台对指定安全组进行导入和导出。优选地，对虚拟机与安全组进行绑定是指将已经创建完成的虚拟机加入到已经创建完成的安全组中。优选地，对虚拟机与安全组进行更新是指将已创建完成的虚拟机从当前已经加入到的一个安全组中迁移到另外一个安全组中。优选地，对虚拟机与安全组进行解绑定是指将已创建完成的虚拟机从当前已经加入到的安全组中移除。优选地，在虚拟化平台完成对虚拟机与安全组的解绑定之后，该方法还包括:虚拟化平台判断解绑定后的虚拟机是否还关联有其他用户创建的安全组，在判断结果为否的情况下，虚拟化平台将解绑定后的虚拟机放入到当前用户的缺省安全组中。优选地，对虚拟机与安全组进行的绑定、更新或解绑定是在虚拟机已经创建完成且未运行的状态下或者在虚拟机已经创建完成且已经运行的状态下进行的。优选地，虚拟机能够同时属于多个安全组，安全组能够同时包含多个虚拟机。优选地，对虚拟机与安全组进行绑定、更新或解绑定时，能够同时针对一个虚拟机所属的一个或多个安全组进行。优选地，对虚拟机与安全组进行绑定、更新或解绑定时，能够同时针对一个安全组所属的一个或多个虚拟机进行。优选地本文档来自技高网...

【技术保护点】
一种虚拟机安全组的配置方法，其特征在于，包括：当接收到对已经创建完成的虚拟机与安全组进行绑定、更新或解绑定的操作请求时，虚拟化平台对所述虚拟机与所述安全组进行绑定、更新或解绑定；当接收到对指定安全组进行导入和导出的操作请求时，所述虚拟化平台对指定安全组进行导入和导出。

【技术特征摘要】
1.一种虚拟机安全组的配置方法，其特征在于，包括: 当接收到对已经创建完成的虚拟机与安全组进行绑定、更新或解绑定的操作请求时，虚拟化平台对所述虚拟机与所述安全组进行绑定、更新或解绑定； 当接收到对指定安全组进行导入和导出的操作请求时，所述虚拟化平台对指定安全组进行导入和导出。2.根据权利要求1所述的方法，其特征在于，对所述虚拟机与所述安全组进行绑定是指将已经创建完成的虚拟机加入到已经创建完成的安全组中。3.根据权利要求1所述的方法，其特征在于，对所述虚拟机与安全组进行更新是指将已创建完成的虚拟机从当前已经加入到的一个安全组中迁移到另外一个安全组中。4.根据权利要求1所述的方法，其特征在于，对所述虚拟机与安全组进行解绑定是指将已创建完成的虚拟机从当前已经加入到的安全组中移除。5.根据权利要求1所述的方法，其特征在于，在所述虚拟化平台完成对所述虚拟机与所述安全组的解绑定之后，所述方法还包括: 所述虚拟化平台判断解绑定后的虚拟 机是否还关联有其他用户创建的安全组，在判断结果为否的情况下，所述虚拟化平台将所述解绑定后的虚拟机放入到当前用户的缺省安全组中。6.根据权利要求1至5中任一项所述的方法，其特征在于，对所述虚拟机与所述安全组进行的绑定、更新或解绑定是在所述虚拟机已经创建完成且未运行的状态下或者在所述虚拟机已经创建完成且已经运行的状态下进行的。7.根据权利要求6所述的方法，其特征在于，所述虚拟机能够同时属于多个所述安全组，所述安全组能够同时包含多个所述虚拟机。8.根据权利要求7所述的方法，其特征在于，对所述虚拟机与所述安全组进行绑定、更新或解绑定时，能够同时针对一个所述虚拟机所属的一个或多个所述安全组进行。9.根据权利要求7所述的方法，其特征在于，对所述虚拟机与所述安全组进行绑定、更新或解绑定时，能够同时针对一个所述安全组所属的一个或多个所述虚拟机进行。10.根据权利要求7所述的方法，其特征在于，所述安全组的创建时间与所述虚拟机的创建时间没有先后顺序。11.根据权利要求7所述的方法，其特征在于，在所述虚拟化平台对所述虚拟机与所述安全组进行绑定、更新或解绑定的过程中，所述虚拟机处于停止、运行或挂起状态。12.根据权利要求7所述的方法，其特征在于，在所述虚拟化平台完成对所述虚拟机与所述安全组的绑定、更新或解绑定之后，所述虚拟机对应的安全组规则立即生效。13.根据权利要求7所述的方法，其特征在于，当所述虚拟机属于多个所述安全组时，所述虚拟机的入口流量只有在满足全部安全组的入口规则时才能进人，所述虚拟机的出口流量只有在满足全部安全组的出口规则时才能发出。14.根据权利要求13所述的方法，...

【专利技术属性】
技术研发人员：楚俊生，顾忠禹，陶源，
申请(专利权)人：中兴通讯股份有限公司，
类型：发明
国别省市：广东;44