System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind() 用于虚拟功能权限管理的方法、计算机设备及介质技术_技高网

用于虚拟功能权限管理的方法、计算机设备及介质技术

技术编号:43118572 阅读:3 留言:0更新日期:2024-10-26 09:56
本申请涉及计算机技术领域并提供一种用于虚拟功能权限管理的方法、计算机设备及介质。方法包括:通过物理功能驱动,配置物理功能和配置与物理功能之间存在关联关系的多个虚拟功能,以及管理虚拟功能各自的操作权限配置,其中包括第一和第二虚拟功能;通过第一虚拟机,至少在第一虚拟功能的加载完成之前,判断第一虚拟功能相关联的第一操作是否得到第一操作权限配置的授权,并且当没有得到授权时返回加载出错;通过第一容器,至少在第二虚拟功能的加载完成之前,判断第二虚拟功能相关联的第二操作是否得到第二操作权限配置的授权,并且当没有得到授权时返回加载出错。如此,为虚拟功能提供了差异化的权限管理和精选报文过滤。

【技术实现步骤摘要】

本申请涉及计算机,尤其涉及一种用于虚拟功能权限管理的方法、计算机设备及介质


技术介绍

1、随着云计算和虚拟化技术的应用,云厂商通过虚拟机、容器还有直通技术来满足输入输出资源的分配需求,以及提供高吞吐率和低时延。云厂商将物理功能虚拟出多个虚拟功能,再将虚拟功能直通给虚拟机和容器,这些物理功能和虚拟功能共享硬件资源。但是,虚拟机或者容器的用户可能存在操作错误或者恶意攻击,从而可能影响网络正常运行。现有技术中,通过隧道技术,例如隧道报文等,将不同虚拟机和容器的网络通道进行隔离,从而避免出现操作错误或者恶意攻击的网络通道会影响其它网络通道的业务。但是,隧道技术涉及到隧道报文的封装、分析和解包,占用额外的资源和增加延时,对于中小型网络的厂商来说过于臃肿。并且,隧道技术难以从根源上限制用户的错误操作或者恶意攻击,例如,虚拟机或者容器的用户可能修改机器地址(mac地址)或者创建大量的子接口来抢占硬件资源的表格规格,这些难以通过隧道技术加以防范。

2、为此,本申请提供了一种用于虚拟功能权限管理的方法、计算机设备及介质,用于应对现有技术中的技术难题。


技术实现思路

1、第一方面,本申请提供了一种用于虚拟功能权限管理的方法。所述方法包括:通过位于宿主机的内核态的物理功能驱动,配置至少一个物理功能,配置与所述至少一个物理功能之间存在关联关系的多个虚拟功能,以及,管理所述多个虚拟功能各自的操作权限配置,其中,所述多个虚拟功能包括第一虚拟功能和第二虚拟功能;通过位于所述宿主机的用户态的第一虚拟机,至少在所述第一虚拟功能的加载完成之前,从所述物理功能驱动获取所述第一虚拟功能的第一操作权限配置,然后,判断所述第一虚拟功能相关联的第一操作是否得到所述第一操作权限配置的授权,并且,当所述第一操作没有得到所述第一操作权限配置的授权时返回所述第一虚拟功能的加载出错;通过所述宿主机的第一容器,至少在所述第二虚拟功能的加载完成之前,从所述物理功能驱动获取所述第二虚拟功能的第二操作权限配置,然后,判断所述第二虚拟功能相关联的第二操作是否得到所述第二操作权限配置的授权,并且,当所述第二操作没有得到所述第二操作权限配置的授权时返回所述第二虚拟功能的加载出错。

2、通过本申请的第一方面,提供了虚拟功能权限管理方面的差异化的权限管理和精选报文过滤,有利于云厂商分配虚拟功能资源给虚拟机和容器,可以根据租户购买的配置来灵活管理租户资源,可以避免租户操作错误和恶意攻击导致的负面影响,并且占用资源少,对中小型网络的厂商友好;从根源上限制用户的错误操作或者恶意攻击,因此支持非隧道技术的应用场景和非隧道报文过滤;考虑到了虚拟机和容器之间的差异,以及考虑到,在同时存在虚拟机网络和容器网络的应用场景下,物理功能与虚拟功能互相看不到对方的操作系统和文件系统的因素,通过物理功能驱动来管理所述多个虚拟功能各自的操作权限配置,这样可以依赖硬件总线通道来传递消息,以便实现物理功能与虚拟功能之间的通信机制。

3、在本申请的第一方面的一种可能的实现方式中,所述多个虚拟功能各自的操作权限配置包括以下一项或者多项:是否具备修改机器地址的操作权限,是否具备修改最大传输单元的操作权限,是否具备修改虚拟局域网子接口数量的操作权限,是否具备开启和关闭源机器地址防欺诈检查的操作权限,是否具备配置下行带宽的操作权限,是否具备配置上行带宽的操作权限。

4、在本申请的第一方面的一种可能的实现方式中,所述多个虚拟功能各自的操作权限配置包括虚拟文件系统配置,所述虚拟文件系统配置包括机器地址修改权限文件,最大传输单元修改权限文件和虚拟局域网子接口数量配置权限文件。

5、在本申请的第一方面的一种可能的实现方式中,所述第一虚拟机包括第一虚拟功能驱动,所述第一虚拟功能驱动位于所述用户态并且用于加载所述第一虚拟功能以及执行所述第一操作,所述第一容器包括第二虚拟功能驱动,所述第二虚拟功能驱动位于所述内核态并且用于加载所述第二虚拟功能以及执行所述第二操作。

6、在本申请的第一方面的一种可能的实现方式中,当所述第一操作得到所述第一操作权限配置的授权时,所述第一虚拟功能驱动执行所述第一操作,并且,当所述第二操作得到所述第二操作权限配置的授权时,所述第二虚拟功能驱动执行所述第二操作。

7、在本申请的第一方面的一种可能的实现方式中,所述第一虚拟功能驱动包括第一发送邮箱和第一接收邮箱,所述第二虚拟功能驱动包括第二发送邮箱和第二接收邮箱,所述物理功能驱动包括第三发送邮箱和第三接收邮箱,所述宿主机的硬件侧包括公共邮箱,所述第一虚拟功能驱动与所述物理功能驱动之间的交互是通过所述第一发送邮箱、所述第一接收邮箱、所述第三发送邮箱、所述第三接收邮箱以及所述公共邮箱实现的,所述第二虚拟功能驱动与所述物理功能驱动之间的交互是通过所述第二发送邮箱、所述第二接收邮箱、所述第三发送邮箱、所述第三接收邮箱以及所述公共邮箱实现的。

8、在本申请的第一方面的一种可能的实现方式中,所述第一虚拟功能驱动与所述物理功能驱动之间的交互是基于非隧道报文来隔离于所述第二虚拟功能驱动与所述物理功能驱动之间的交互。

9、在本申请的第一方面的一种可能的实现方式中,所述硬件侧包括报文安全模块,所述报文安全模块用于支持所述物理功能驱动以便,针对所述第一虚拟功能驱动与所述物理功能驱动之间的交互和所述第二虚拟功能驱动与所述物理功能驱动之间的交互,提供镜像报文过滤功能。

10、在本申请的第一方面的一种可能的实现方式中,所述镜像报文过滤功能包括,基于网络协议地址或者机器地址的过滤功能。

11、在本申请的第一方面的一种可能的实现方式中,所述物理功能驱动还用于提供配置接口,所述配置接口用于设定所述镜像报文过滤功能的参数,所述参数包括以下一项或者多项:是否是二层报文,是否有配套隧道内层报文,二层报文的源机器地址,二层报文的目的机器地址,二层报文的以太网类型,是否是网络协议层报文,网络协议层报文的源网络协议地址,网络协议层报文的目的网络协议地址,网络协议层报文的协议号,网络协议层报文的源端口,网络协议层报文的目的端口,是否执行报文丢弃,是否执行报文限速。

12、在本申请的第一方面的一种可能的实现方式中,所述方法还包括:通过所述第一虚拟机,卸载所述第一虚拟功能并且通知所述物理功能驱动,然后,通过所述物理功能驱动回收所述第一虚拟功能的资源;通过所述第一容器,卸载所述第二虚拟功能并且通知所述物理功能驱动,然后,通过所述物理功能驱动回收所述第二虚拟功能的资源。

13、在本申请的第一方面的一种可能的实现方式中,所述物理功能驱动通过管理所述多个虚拟功能各自的操作权限配置从而预防操作错误和恶意攻击。

14、第二方面,本申请实施例还提供了一种计算机设备,所述计算机设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现根据上述任一方面的任一种实现方式的方法。

15、第三方面,本申请实本文档来自技高网...

【技术保护点】

1.一种用于虚拟功能权限管理的方法,其特征在于,所述方法包括:

2.根据权利要求1所述的方法,其特征在于,所述多个虚拟功能各自的操作权限配置包括以下一项或者多项:是否具备修改机器地址的操作权限,是否具备修改最大传输单元的操作权限,是否具备修改虚拟局域网子接口数量的操作权限,是否具备开启和关闭源机器地址防欺诈检查的操作权限,是否具备配置下行带宽的操作权限,是否具备配置上行带宽的操作权限。

3.根据权利要求1所述的方法,其特征在于,所述多个虚拟功能各自的操作权限配置包括虚拟文件系统配置,所述虚拟文件系统配置包括机器地址修改权限文件,最大传输单元修改权限文件和虚拟局域网子接口数量配置权限文件。

4.根据权利要求1所述的方法,其特征在于,所述第一虚拟机包括第一虚拟功能驱动,所述第一虚拟功能驱动位于所述用户态并且用于加载所述第一虚拟功能以及执行所述第一操作,所述第一容器包括第二虚拟功能驱动,所述第二虚拟功能驱动位于所述内核态并且用于加载所述第二虚拟功能以及执行所述第二操作。

5.根据权利要求4所述的方法,其特征在于,当所述第一操作得到所述第一操作权限配置的授权时,所述第一虚拟功能驱动执行所述第一操作,并且,当所述第二操作得到所述第二操作权限配置的授权时,所述第二虚拟功能驱动执行所述第二操作。

6.根据权利要求4所述的方法,其特征在于,所述第一虚拟功能驱动包括第一发送邮箱和第一接收邮箱,所述第二虚拟功能驱动包括第二发送邮箱和第二接收邮箱,所述物理功能驱动包括第三发送邮箱和第三接收邮箱,所述宿主机的硬件侧包括公共邮箱,所述第一虚拟功能驱动与所述物理功能驱动之间的交互是通过所述第一发送邮箱、所述第一接收邮箱、所述第三发送邮箱、所述第三接收邮箱以及所述公共邮箱实现的,所述第二虚拟功能驱动与所述物理功能驱动之间的交互是通过所述第二发送邮箱、所述第二接收邮箱、所述第三发送邮箱、所述第三接收邮箱以及所述公共邮箱实现的。

7.根据权利要求6所述的方法,其特征在于,所述第一虚拟功能驱动与所述物理功能驱动之间的交互是基于非隧道报文来隔离于所述第二虚拟功能驱动与所述物理功能驱动之间的交互。

8.根据权利要求6所述的方法,其特征在于,所述硬件侧包括报文安全模块,所述报文安全模块用于支持所述物理功能驱动以便,针对所述第一虚拟功能驱动与所述物理功能驱动之间的交互和所述第二虚拟功能驱动与所述物理功能驱动之间的交互,提供镜像报文过滤功能。

9.根据权利要求8所述的方法,其特征在于,所述镜像报文过滤功能包括,基于网络协议地址或者机器地址的过滤功能。

10.根据权利要求8所述的方法,其特征在于,所述物理功能驱动还用于提供配置接口,所述配置接口用于设定所述镜像报文过滤功能的参数,所述参数包括以下一项或者多项:是否是二层报文,是否有配套隧道内层报文,二层报文的源机器地址,二层报文的目的机器地址,二层报文的以太网类型,是否是网络协议层报文,网络协议层报文的源网络协议地址,网络协议层报文的目的网络协议地址,网络协议层报文的协议号,网络协议层报文的源端口,网络协议层报文的目的端口,是否执行报文丢弃,是否执行报文限速。

11.根据权利要求1所述的方法,其特征在于,所述方法还包括:

12.根据权利要求1所述的方法,其特征在于,所述物理功能驱动通过管理所述多个虚拟功能各自的操作权限配置从而预防操作错误和恶意攻击。

13.一种计算机设备,其特征在于,所述计算机设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现根据权利要求1至12中任一项所述的方法。

14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,当所述计算机指令在计算机设备上运行时使得所述计算机设备执行根据权利要求1至12中任一项所述的方法。

...

【技术特征摘要】

1.一种用于虚拟功能权限管理的方法,其特征在于,所述方法包括:

2.根据权利要求1所述的方法,其特征在于,所述多个虚拟功能各自的操作权限配置包括以下一项或者多项:是否具备修改机器地址的操作权限,是否具备修改最大传输单元的操作权限,是否具备修改虚拟局域网子接口数量的操作权限,是否具备开启和关闭源机器地址防欺诈检查的操作权限,是否具备配置下行带宽的操作权限,是否具备配置上行带宽的操作权限。

3.根据权利要求1所述的方法,其特征在于,所述多个虚拟功能各自的操作权限配置包括虚拟文件系统配置,所述虚拟文件系统配置包括机器地址修改权限文件,最大传输单元修改权限文件和虚拟局域网子接口数量配置权限文件。

4.根据权利要求1所述的方法,其特征在于,所述第一虚拟机包括第一虚拟功能驱动,所述第一虚拟功能驱动位于所述用户态并且用于加载所述第一虚拟功能以及执行所述第一操作,所述第一容器包括第二虚拟功能驱动,所述第二虚拟功能驱动位于所述内核态并且用于加载所述第二虚拟功能以及执行所述第二操作。

5.根据权利要求4所述的方法,其特征在于,当所述第一操作得到所述第一操作权限配置的授权时,所述第一虚拟功能驱动执行所述第一操作,并且,当所述第二操作得到所述第二操作权限配置的授权时,所述第二虚拟功能驱动执行所述第二操作。

6.根据权利要求4所述的方法,其特征在于,所述第一虚拟功能驱动包括第一发送邮箱和第一接收邮箱,所述第二虚拟功能驱动包括第二发送邮箱和第二接收邮箱,所述物理功能驱动包括第三发送邮箱和第三接收邮箱,所述宿主机的硬件侧包括公共邮箱,所述第一虚拟功能驱动与所述物理功能驱动之间的交互是通过所述第一发送邮箱、所述第一接收邮箱、所述第三发送邮箱、所述第三接收邮箱以及所述公共邮箱实现的,所述第二虚拟功能驱动与所述物理功能驱动之间的交互是通过所述第二发送邮箱、所述第二接收邮箱、所述第三发送邮箱、所述第三接收邮箱以及所述公共...

【专利技术属性】
技术研发人员:陈森法
申请(专利权)人:珠海星云智联科技有限公司
类型:发明
国别省市:

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1