虚拟化平台中下发策略的方法和装置制造方法

虚拟化平台中下发策略的方法和装置制造方法
【专利摘要】本发明公开了一种虚拟化平台中下发策略的方法和装置，涉及互联网【技术领域】，能够解决虚拟化平台的规模受限于局域网带宽的问题。本发明的方法包括：在所有虚拟机中选取代理虚拟机；代理虚拟机通过物理机与控制台之间的通讯连接，接收控制台下发的策略；代理虚拟机通过物理机的内部通讯方式，将策略转发给其他虚拟机。本发明适用于在虚拟化平台中下发策略的场景中。
【专利说明】虚拟化平台中下发策略的方法和装置

【技术领域】
[0001]本发明涉及互联网【技术领域】，尤其涉及一种虚拟化平台中下发策略的方法和装置。

【背景技术】
[0002]虚拟机技术是指，在一个物理机上通过虚拟机软件模拟出一个或多个虚拟机，其中，每台虚拟机均使用物理机的一部分处理资源(CPU、内存等)，并且各台虚拟机的配置通常相同。实际应用中，虚拟机技术经常应用于公司、单位、团体等局域网环境下，将模拟出的虚拟机用作客户机，从而可以构建出一套基于局域网环境的虚拟化平台。
[0003]在虚拟化平台中，控制台作为独立于物理机的外部设备，用于对各台物理机下的虚拟机进行状态监控、策略下发等管理控制。作为虚拟机的上层设备，控制台与物理机之间建立有通讯连接，基于该通讯连接，控制台可以实现与虚拟机之间的数据交互。
[0004]在现有虚拟化平台的运维过程中，发明人发现，控制台的控制过程是以单个虚拟机为对象实现的，例如对于策略下发而言，控制台会向各台虚拟机分别下发策略。这种控制方式对前述通讯连接的带宽提出了较高的要求，当虚拟机数量增加时，控制台与物理机之间需要分配更大的带宽用以通讯。理论上，物理机下的虚拟机数量可以无限扩充，而局域网的带宽则无法随着虚拟机数量的扩充而无限增大，因此在现有技术中，虚拟化平台的规模往往会受限于局域网带宽。


【发明内容】

[0005]鉴于上述问题，本发明提出的虚拟化环境平台中下发策略的方法和装置，能够解决虚拟化平台的规模受限于局域网带宽的问题。
[0006]为解决上述技术问题，一方面，本发明提供了一种虚拟化平台中下发策略的方法，所述方法包括:
[0007]在所有虚拟机中选取代理虚拟机；
[0008]所述代理虚拟机通过物理机与控制台之间的通讯连接，接收所述控制台下发的策略；
[0009]所述代理虚拟机通过物理机的内部通讯方式，将所述策略转发给其他虚拟机。
[0010]另一方面，本发明提供了一种虚拟化平台中下发策略的装置，所述装置位于代理虚拟机中，所述代理虚拟机为从所有虚拟机中选取的虚拟机；
[0011]所述装置包括:
[0012]接收单元，用于通过物理机与控制台之间的通讯连接，接收控制台下发的策略；
[0013]转发单元，用于通过物理机的内部通讯方式，将所述接收单元接收到的所述策略转发给其他虚拟机。
[0014]借由上述技术方案，本发明提供的虚拟化平台中下发策略的方法和装置，能够在控制台下发策略前，先从所有虚拟机中选取代理虚拟机，由代理虚拟机负责接收控制台下发的策略。代理虚拟机在接收到控制台下发的策略后，再将该策略在物理机内部转发给其他的虚拟机。与现有技术中每个虚拟机均需要单独向控制台获取策略相比，本发明可以仅由一个或少数几个代理虚拟机代为接收策略。由于能够减少与控制台进行数据交互的虚拟机数量，并且虚拟机之间的策略转发不占用物理机外部的通讯带宽，因此本发明可以降低控制台与物理机之间通讯的数据量，进而降低控制台与物理机之间通讯所需的带宽。
[0015]上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的【具体实施方式】。

【专利附图】

【附图说明】
[0016]通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中:
[0017]图1示出了一种虚拟化平台中下发策略的方法的流程图；
[0018]图2示出了另一种虚拟化平台中下发策略的方法的流程图；
[0019]图3示出了一种虚拟化平台中下发策略的装置的结构示意图；
[0020]图4示出了另一种虚拟化平台中下发策略的装置的结构示意图。

【具体实施方式】
[0021]下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。
[0022]本发明实施例提供了一种虚拟化平台中下发策略的方法，本发明可以应用于虚拟机侧，也可以应用于虚拟机中的客户端侧，下面以虚拟机侧执行为例进行说明，如图1所示，该方法包括:
[0023]101、在所有虚拟机中选取代理虚拟机。
[0024]其中，所选取的代理虚拟机可以为一个，也可以为多个。当代理虚拟机为一个时，该代理虚拟机可以代为接收其他所有的虚拟机的策略；当代理虚拟机为多个时，可以将其他虚拟机分为若干组，并由代理虚拟机分别代为接收各自组中的虚拟机的策略。
[0025]需要说明的是，本实施例是在已有的虚拟机中选取代理虚拟机为例进行说明的，实际应用中，也可以在物理机中重新镜像出一个新的虚拟机作为专用的代理虚拟机。
[0026]102、所述代理虚拟机通过物理机与控制台之间的通讯连接，接收所述控制台下发的策略。
[0027]其中，控制台可以对一个或多个物理机中的虚拟机进行管理以及策略下发。控制台通过与物理机之间的通讯连接，将策略下发给物理机，但是与现有技术不同的是，控制台不再将策略分别下发给每台虚拟机，而是仅将策略下发给代理虚拟机。控制台无需关注策略如何在物理机内部进行分发。
[0028]需要说明的是，代理虚拟机所接收的策略可以为一个简单的指令，如:全盘扫描、应用升级、上报日志等等；也可以为一个附加条件的指令，如:每天晚上十点进行全盘扫描、在接收到策略起十分钟后关机、在保存所需数据后，断网十分钟等等；此外，控制台下发的策略也可以为一个对象，如:病毒库、某个插件、某个文件或补丁等等。本实施例不对策略的具体内容及形式进行限定。
[0029]103、所述代理虚拟机通过物理机的内部通讯方式，将所述策略转发给其他虚拟机。
[0030]由于在前述步骤中，只有代理虚拟机接收到了控制台下发的策略，因此在本步骤中，代理虚拟机需要在物理机内部将此前接收到的策略转发给其他虚拟机。需要注意的是，本步骤中的策略转发是在物理机内部进行的，其基于虚拟机之间的内部通讯连接实现，不涉及物理机与控制台之间的通讯连接，因此，无论策略在物理机内部进行多少次转发，均不会对物理机与控制台之间通讯连接的带宽造成额外占用。
[0031]例如，物理机I中含有6个虚拟机，若选取虚拟机2为代理虚拟机，则虚拟机2接收控制台下发的策略，并将策略转发给其他5个虚拟机；若选取虚拟机2和虚拟机3为代理虚拟机，其中，虚拟机2接收自身、虚拟机I和虚拟机4的策略，虚拟机3接收自身、虚拟机5和虚拟机6的策略，则虚拟机I和虚拟机4的策略由虚拟机2转发，虚拟机5和虚拟机6的策略由虚拟机3转发。
[0032]本发明提供的虚拟化平台中下发策略的方法，能够在控制台下发策略前，先从所有虚拟机中选取代理虚拟机，由代理虚拟机负责接收控制台下发的策略。代理虚拟机在接收到控制台下发的策略后，再将该策略在物理机内部转发给其他的虚拟机。与现有技术中每个虚拟机均需要单独向控制台获取策略相比，本发明可以仅由一个或少数几个代理虚拟机代为接收策略。由于能够减少与控制台进行数据交互的虚拟机数量，并且虚拟机之间的策略转发不占用物理机外部的通讯带宽，因此本发明可以降低控制台与物理机之间通讯的数据量，进而降低控制台与物理机之间通讯所需的带宽。
[0033]进一步的，作为对图1所示方法的细化及扩展，本发明的另一个实施例还提供了一种虚拟化平台中下发策略的方法，如图2所示，该方法包括:
[0034]201、在所有虚拟机中选取代理虚拟机。
[0035]本步骤可以采用不同的选取方式对代理虚拟机进行选取:
[0036]方式一:为随机选取所述代理虚拟机。
[0037]其中，随机选取为无条件的选取。
[0038]方式二:选取空闲状态的虚拟机作为所述代理虚拟机。
[0039]其中，空闲状态即为未进行任何操作，如未进行扫描、未进行网页浏览、未进行其他应用的运行等等。
[0040]当所有虚拟机都处于忙时状态时，可以选取资源占用率少的虚拟机作为代理虚拟机。判断资源占用率的参数可以为CPU、磁盘以及内存等。若设CPU为判断资源占用率的标准，则选取CPU占用率少的虚拟机为代理虚拟机；若设磁盘读写为判断资源占用率的标准，则选取磁盘占用率少的虚拟机为代理虚拟机；若设内存为判断资源占用率的标准，则选取内存占用率少的虚拟机为代理虚拟机。
[0041]本实施例通过选取空闲状态或资源占用率少的虚拟机作为代理虚拟机，使得代理虚拟机能够快速接收并转发控制台下发的策略，同时不会对代理虚拟机内部正常执行的任务造成过大的负荷压力，因此可以提高接收策略的效率。
[0042]202、所述代理虚拟机通过所述通讯连接向所述控制台发送心跳包。
[0043]其中，通常控制台在下发任务时无法主动向虚拟机下发任务，为保证下行方向上的管理，一般情况下虚拟机需要周期性的向控制台上报心跳包，该心跳包的内容并无实际意义，只是告知控制台当前自身的存活状态。当控制台下发任务时，控制台需要等待心跳包上报后才能对其进行响应，下发任务。当所有的虚拟机分别同时向控制台发送心跳包时，会因为心跳包的数量过多而需要占用更宽的带宽。为了减小控制台与物理机之间通讯连接所需的带宽，本实施例提供了两种发送心跳包的方式，即代理虚拟机向控制台发送的心跳包可以仅为代理虚拟机本身的心跳包，也可以为所有虚拟机的心跳包。
[0044]方式一:代理虚拟机可以通过所述通讯连接向所述控制台发送所述代理虚拟机的心跳包。
[0045]其中，代理虚拟机的心跳包中可以包含IP(Internet Protocol，网协)地址及其他信息，IP地址可以包括源IP地址和目的IP地址，则源IP地址为代理虚拟机的IP地址，目的IP地址为控制台的IP地址。
[0046]方式二:代理虚拟机可以通过所述通讯连接向所述控制台发送心跳组合包，所述心跳组合包包含所有虚拟机的心跳包。
[0047]其中，心跳组合包可以为心跳状态位图或心跳状态字段。心跳状态位图中的每一位都与特定的一个虚拟机相对应，每一位中的状态信息代表着虚拟机的当前状态，例如，“O”表示虚拟机的当前状态为空闲状态，“I”表示虚拟机的当前状态为忙时状态。此外，心跳状态字段可以包含每一个虚拟机的IP地址、控制台的地址及代表虚拟机的当前状态的字符串。
[0048]203、所述代理虚拟机通过所述通讯连接接收所述控制台发送的、针对所述心跳包的响应通知，所述响应通知中携带有所述策略的属性标识。
[0049]现有技术中，控制台向虚拟机下发的心跳包携带有策略的内容，当策略内容数据量较大时，发送心跳包的虚拟机因不能快速接收到控制台的响应信息，而再次向控制台发送心跳包，从而使得传送的心跳包过多而造成广播风暴的现象，进而使得控制台与物理机之间的通讯连接出现拥塞现象。本实施例中控制台对心跳包的响应仅为一个通知，在该通知中携带用于获取策略内容的属性信息，由代理虚拟机基于其他旁路的连接，并通过该属性标识获取策略，从而使得代理虚拟机可以快速接收到控制台的响应信息，进而达到正常通信的目的。其中，策略的属性标识可以为策略的名称、MD5 (Message-Digest Algorithm5，信息摘要算法5)值或者策略的存储路径。
[0050]需要说明的是，若策略的属性标识为策略的名称，则代理虚拟机可以通过策略的名称从控制台获取策略；若策略的属性标识为MD5值，则代理虚拟机通过策略的属性标识从控制台获取策略时，需要经过MD5值的校验，当MD5值校验无误时，才可以获取策略；若策略的属性标识为策略的存储路径，则代理虚拟机可以通过向控制台提供策略的存储路径来获取策略。
[0051]204、所述代理虚拟机调用预设通讯接口，通过旁路通讯连接向所述控制台发送所述属性标识，并通过所述旁路通讯连接接收所述控制台下发的对应所述属性标识的策略。
[0052]其中，预设通讯接口与心跳包传输过程中所需的接口是不同的接口。预设接口可以为处于空闲状态的接口，代理虚拟机通过旁路通讯连接向控制台发送策略的属性标识，并通过所述旁路通讯连接接收所述控制台下发的对应所述属性标识的策略，可以避免与心跳包的传输发生冲突而发生的堵塞，从而进一步保证了通信的正常进行。
[0053]需要说明的是，本实施例可以采用串行和并行两种方式对策略进行传输。串行方式为:代理虚拟机对不同策略先后进行接收。
[0054]现有技术是将所有携带有策略的心跳包同时进行传输，而本实施例将策略的传输方式由并行改为串行，从而降低了同一时间内策略的传输数量，进而降低了策略在控制台与物理机之间瞬时带宽占用过高的问题，可以避免产生网络拥塞。
[0055]并行方式为:代理虚拟机接收控制台下发的策略组合包，策略组合包包含一个共有的包头，以及与策略数量相同的数据字段，其中每个数据字段用于记录一个策略的内容。
[0056]其中，若以以太网为例，贝U包头包含以太头、IP(Internet Protocol，网间协议)头和ICMP (Internet Control Message Protocol，网络控制报文协议)头。其中，IP头中含有策略组合包的源IP地址和目的IP地址，ICMP头可以用于检测网路的连线状况。
[0057]需要说明的是，策略组合包的源IP地址是相同的，目的IP地址中包含第一目的IP地址和第二目的IP地址。其中，第一 IP地址为代理虚拟机的IP地址，第二目的IP地址为策略所对应的虚拟机的IP地址。
[0058]现有技术中，每一个策略包都含有以太头、源IP地址、目的IP地址、ICMP头和策略内容。本实施例中的策略组合包相对于现有技术中所有策略包的集合来说，将不同策略打包成一个策略组合包可以节省诸如源IP地址等重复的报文格式，从而节省控制台与物理机之间的数据传输量，进而减少通讯连接的带宽占用。
[0059]205、所述代理虚拟机通过物理机的内部通讯方式，将所述策略转发给其他虚拟机。
[0060]可选的，代理虚拟机可以采用以下两种方式将策略转发给其他虚拟机:
[0061]方式一:代理虚拟机通过内存共享的方式，将策略转发给其他虚拟机。
[0062]其中，代理虚拟机采用内存共享的方式，将策略存储于可供其他虚拟机共享的存储空间当中，则其他虚拟机可以通过查看代理虚拟机中的共享内存中的内容，并从中获取与自身相关的策略。
[0063]方式二:代理虚拟机通过内部的逻辑接口，将策略转发给其他虚拟机。
[0064]其中，虚拟机之间可以通过内部的逻辑接口进行通信，所以可以通过内部的逻辑接口，将策略依次转发给其他虚拟机。
[0065]在现有技术中，控制台可以控制所有的虚拟机，每个虚拟机与控制台之间通过发送心跳包进行通信，控制台接收到虚拟机发送的心跳包后，会回复一个携带策略信息的心跳包，其中，策略信息是虚拟机所需的。当控制台所要回复的心跳包中的策略信息数据量过大时，发送心跳包的虚拟机因不能快速接收到控制台的回复信息，而再次向控制台发送心跳包，从而使得传送的心跳包过多而造成广播风暴的现象，进而使得虚拟机更加难以接收到所需的策略信息。而本实施例提供的虚拟化平台中下发策略的方法，能够针对代理虚拟机发送的心跳包，先做出响应，让代理虚拟机获知控制台已经接收到心跳包，再根据响应中的策略属性内容，通过旁路进行策略的获取，从而使得心跳包与策略通过不同的通道进行传输，进而避免心跳包与策略的冲突。
[0066]需要说明的是，以上所述方法实施例可以应用于病毒查杀的场景中，其中，控制台下发的策略包括病毒库和/或杀毒引擎，也可以应用于其他场景中，在此不做限定。
[0067]进一步的，作为对上述各方法实施例的实现，在本发明的另一个实施例中，还提供了一种虚拟化平台中下发策略的装置，该装置位于代理虚拟机中，代理虚拟机为从所有虚拟机中选取的虚拟机。如图3所示，该装置包括:接收单元301、转发单元302。其中，
[0068]接收单元301，用于通过物理机与控制台之间的通讯连接，接收控制台下发的策略。
[0069]转发单元302，用于通过物理机的内部通讯方式，将所述接收单元301接收到的所述策略转发给其他虚拟机。
[0070]进一步的，如图4所示，接收单元301，包括:
[0071]发送模块3011，用于通过所述通讯连接向所述控制台发送心跳包。
[0072]接收模块3012，用于通过所述通讯连接接收所述控制台发送的、针对所述心跳包的响应通知，所述响应通知中携带有所述策略的属性标识。
[0073]调用模块3013，用于调用预设通讯接口，通过旁路通讯连接向所述控制台发送所述接收模块3012接收到的所述属性标识，并通过所述旁路通讯连接接收所述控制台下发的对应所述属性标识的策略。
[0074]进一步的，发送模块3011，用于通过所述通讯连接向所述控制台发送所述代理虚拟机的心跳包。
[0075]进一步的，发送模块3011，用于通过所述通讯连接向所述控制台发送心跳组合包，所述心跳组合包包含所有虚拟机的心跳包。
[0076]其中，发送模块3011发送的所述心跳组合包为心跳状态位图或心跳状态字段。
[0077]进一步的，接收单元301，用于若接收到的策略为针对不同虚拟机的不同策略，则对所述不同策略先后进行接收。
[0078]进一步的，接收单元301，用于若所述策略为针对不同虚拟机的不同策略，则接收所述控制台下发的策略组合包，所述策略组合包包含一个共有的包头，以及与策略数量相同的数据字段，其中每个数据字段用于记录一个策略的内容。
[0079]进一步的，如图4所示，转发单元302，包括:
[0080]第一转发模块3021，用于通过内存共享的方式，将所述策略转发给其他虚拟机。[0081 ] 第二转发模块3022，用于通过内部的逻辑接口，将所述策略转发给其他虚拟机。
[0082]需要说明的是，本实施例提供的虚拟化平台中下发策略的装置中的接收单元301所接收的策略包括病毒库和/或杀毒引擎。
[0083]本发明提供的虚拟化平台中下发策略的装置，能够在控制台下发策略前，先从所有虚拟机中选取代理虚拟机，由代理虚拟机负责接收控制台下发的策略。代理虚拟机在接收到控制台下发的策略后，再将该策略在物理机内部转发给其他的虚拟机。与现有技术中每个虚拟机均需要单独向控制台获取策略相比，本发明可以仅由一个或少数几个代理虚拟机代为接收策略。由于能够减少与控制台进行数据交互的虚拟机数量，并且虚拟机之间的策略转发不占用物理机外部的通讯带宽，因此本发明可以降低控制台与物理机之间通讯的数据量，进而降低控制台与物理机之间通讯所需的带宽。
[0084]现有技术中，每一个策略包都含有以太头、源IP地址、目的IP地址、ICMP头和策略内容。本实施例中的策略组合包相对于现有技术中所有策略包的集合来说，由于源IP地址是相同的，所以本实施例中只有一个源IP地址，从而减少了源IP地址所占用的带宽。
[0085]通过选取空闲状态或资源占用率少的虚拟机作为代理虚拟机，使得代理虚拟机能够快速接收并转发控制台下发的策略，同时不会对代理虚拟机内部正常执行的任务造成过大的负荷压力，因此可以提高接收策略的效率。
[0086]现有技术中，每一个策略包都含有以太头、源IP地址、目的IP地址、ICMP头和策略内容。本实施例中的策略组合包相对于现有技术中所有策略包的集合来说，将不同策略打包成一个策略组合包可以节省诸如源IP地址等重复的报文格式，从而节省控制台与物理机之间的数据传输量，进而减少通讯连接的带宽占用。
[0087]在现有技术中，控制台可以控制所有的虚拟机，每个虚拟机与控制台之间通过发送心跳包进行通信，控制台接收到虚拟机发送的心跳包后，会回复一个携带策略信息的心跳包，其中，策略信息是虚拟机所需的。当控制台所要回复的心跳包中的策略信息数据量过大时，发送心跳包的虚拟机因不能快速接收到控制台的回复信息，而再次向控制台发送心跳包，从而使得传送的心跳包过多而造成广播风暴的现象，进而使得虚拟机更加难以接收到所需的策略信息。而本实施例提供的虚拟化平台中下发策略的方法，能够针对代理虚拟机发送的心跳包，先做出响应，让代理虚拟机获知控制台已经接收到心跳包，再根据响应中的策略属性内容，通过旁路进行策略的获取，从而使得心跳包与策略通过不同的通道进行传输，进而避免心跳包与策略的冲突。
[0088]本发明的实施例公开了:
[0089]Al、一种虚拟化平台中下发策略的方法，其特征在于，所述方法包括:
[0090]在所有虚拟机中选取代理虚拟机；
[0091]所述代理虚拟机通过物理机与控制台之间的通讯连接，接收所述控制台下发的策略；
[0092]所述代理虚拟机通过物理机的内部通讯方式，将所述策略转发给其他虚拟机。
[0093]A2、根据权利要求Al所述的方法，其特征在于，代理虚拟机接收所述控制台下发的策略，包括:
[0094]所述代理虚拟机通过所述通讯连接向所述控制台发送心跳包；
[0095]所述代理虚拟机通过所述通讯连接接收所述控制台发送的、针对所述心跳包的响应通知，所述响应通知中携带有所述策略的属性标识；
[0096]所述代理虚拟机调用预设通讯接口，通过旁路通讯连接向所述控制台发送所述属性标识，并通过所述旁路通讯连接接收所述控制台下发的对应所述属性标识的策略。
[0097]A3、根据权利要求A2所述的方法，其特征在于，所述代理虚拟机通过所述通讯连接向所述控制台发送心跳包，包括:
[0098]所述代理虚拟机通过所述通讯连接向所述控制台发送所述代理虚拟机的心跳包。
[0099]A4、根据权利要求A2所述的方法，其特征在于，所述代理虚拟机通过所述通讯连接向所述控制台发送心跳包，包括:
[0100]所述代理虚拟机通过所述通讯连接向所述控制台发送心跳组合包，所述心跳组合包包含所有虚拟机的心跳包。
[0101]A5、根据权利要求A4所述的方法，其特征在于，所述心跳组合包为心跳状态位图或心跳状态字段。
[0102]A6、根据权利要求Al所述的方法，其特征在于，所述在虚拟机中选取代理虚拟机，包括，在所述控制台下发所述策略前:
[0103]随机选取所述代理虚拟机；
[0104]或者，选取空闲状态的虚拟机作为所述代理虚拟机。
[0105]A7、根据权利要求Al所述的方法，其特征在于，若所述策略为针对不同虚拟机的不同策略，则代理虚拟机接收所述控制台下发的策略，包括:
[0106]所述代理虚拟机对所述不同策略先后进行接收。
[0107]AS、根据权利要求Al所述的方法，其特征在于，若所述策略为针对不同虚拟机的不同策略，则代理虚拟机接收所述控制台下发的策略，包括:
[0108]所述代理虚拟机接收所述控制台下发的策略组合包，所述策略组合包包含一个共有的包头，以及与策略数量相同的数据字段，其中每个数据字段用于记录一个策略的内容。
[0109]A9、根据权利要求Al所述的方法，其特征在于，所述代理虚拟机通过物理机的内部通讯方式，将所述策略转发给其他虚拟机，包括:
[0110]所述代理虚拟机通过内存共享的方式，将所述策略转发给其他虚拟机；
[0111]或者，所述代理虚拟机通过内部的逻辑接口，将所述策略转发给其他虚拟机。
[0112]A10、根据权利要求Al至A9中任一项所述的方法，其特征在于，所述策略包括病毒库和/或杀毒引擎。
[0113]B11、一种虚拟化平台中下发策略的装置，其特征在于，所述装置位于代理虚拟机中，所述代理虚拟机为从所有虚拟机中选取的虚拟机；
[0114]所述装置包括:
[0115]接收单元，用于通过物理机与控制台之间的通讯连接，接收控制台下发的策略；
[0116]转发单元，用于通过物理机的内部通讯方式，将所述接收单元接收到的所述策略转发给其他虚拟机。
[0117]B12、根据权利要求Bll所述的装置，其特征在于，所述接收单元，包括:
[0118]发送模块，用于通过所述通讯连接向所述控制台发送心跳包；
[0119]接收模块，用于通过所述通讯连接接收所述控制台发送的、针对所述心跳包的响应通知，所述响应通知中携带有所述策略的属性标识；
[0120]调用模块，用于调用预设通讯接口，通过旁路通讯连接向所述控制台发送所述接收模块接收到的所述属性标识，并通过所述旁路通讯连接接收所述控制台下发的对应所述属性标识的策略。
[0121]B13、根据权利要求B12所述的装置，其特征在于，所述发送模块用于通过所述通讯连接向所述控制台发送所述代理虚拟机的心跳包。
[0122]B14、根据权利要求B12所述的装置，其特征在于，所述发送模块用于通过所述通讯连接向所述控制台发送心跳组合包，所述心跳组合包包含所有虚拟机的心跳包。
[0123]B15、根据权利要求B14所述的装置，其特征在于，所述发送模块发送的所述心跳组合包为心跳状态位图或心跳状态字段。
[0124]B16、根据权利要求Bll所述的装置，其特征在于，所述接收单元用于若接收到的策略为针对不同虚拟机的不同策略，则对所述不同策略先后进行接收。
[0125]B17、根据权利要求Bll所述的装置，其特征在于，所述接收单元用于若所述策略为针对不同虚拟机的不同策略，则接收所述控制台下发的策略组合包，所述策略组合包包含一个共有的包头，以及与策略数量相同的数据字段，其中每个数据字段用于记录一个策略的内容。
[0126]B18、根据权利要求Bll所述的装置，其特征在于，所述转发单元，包括:
[0127]第一转发模块，用于通过内存共享的方式，将所述策略转发给其他虚拟机；
[0128]第二转发模块，用于通过内部的逻辑接口，将所述策略转发给其他虚拟机。
[0129]B19、根据权利要求Bll至B18中任一项所述的装置，其特征在于，所述接收单元接收的所述策略包括病毒库和/或杀毒引擎。
[0130]在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。
[0131]可以理解的是，上述方法及装置中的相关特征可以相互参考。另外，上述实施例中的“第一”、“第二”等是用于区分各实施例，而并不代表各实施例的优劣。
[0132]所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
[0133]在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
[0134]在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。
[0135]类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循【具体实施方式】的权利要求书由此明确地并入该【具体实施方式】，其中每个权利要求本身都作为本发明的单独实施例。
[0136]本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
[0137]此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
[0138]本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的发明名称(如确定网站内链接等级的装置)中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。
[0139]应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
【权利要求】
1.一种虚拟化平台中下发策略的方法，其特征在于，所述方法包括: 在所有虚拟机中选取代理虚拟机； 所述代理虚拟机通过物理机与控制台之间的通讯连接，接收所述控制台下发的策略； 所述代理虚拟机通过物理机的内部通讯方式，将所述策略转发给其他虚拟机。
2.根据权利要求1所述的方法，其特征在于，代理虚拟机接收所述控制台下发的策略，包括: 所述代理虚拟机通过所述通讯连接向所述控制台发送心跳包； 所述代理虚拟机通过所述通讯连接接收所述控制台发送的、针对所述心跳包的响应通知，所述响应通知中携带有所述策略的属性标识； 所述代理虚拟机调用预设通讯接口，通过旁路通讯连接向所述控制台发送所述属性标识，并通过所述旁路通讯连接接收所述控制台下发的对应所述属性标识的策略。
3.根据权利要求2所述的方法，其特征在于，所述代理虚拟机通过所述通讯连接向所述控制台发送心跳包，包括: 所述代理虚拟机通过所述通讯连接向所述控制台发送所述代理虚拟机的心跳包。
4.根据权利要求2所述的方法，其特征在于，所述代理虚拟机通过所述通讯连接向所述控制台发送心跳包，包括: 所述代理虚拟机通过所述通讯连接向所述控制台发送心跳组合包，所述心跳组合包包含所有虚拟机的心跳包。
5.根据权利要求4所述的方法，其特征在于，所述心跳组合包为心跳状态位图或心跳状态字段。
6.根据权利要求1所述的方法，其特征在于，所述在虚拟机中选取代理虚拟机，包括，在所述控制台下发所述策略前: 随机选取所述代理虚拟机； 或者，选取空闲状态的虚拟机作为所述代理虚拟机。
7.根据权利要求1所述的方法，其特征在于，若所述策略为针对不同虚拟机的不同策略，则代理虚拟机接收所述控制台下发的策略，包括: 所述代理虚拟机对所述不同策略先后进行接收。
8.根据权利要求1所述的方法，其特征在于，若所述策略为针对不同虚拟机的不同策略，则代理虚拟机接收所述控制台下发的策略，包括: 所述代理虚拟机接收所述控制台下发的策略组合包，所述策略组合包包含一个共有的包头，以及与策略数量相同的数据字段，其中每个数据字段用于记录一个策略的内容。
9.根据权利要求1所述的方法，其特征在于，所述代理虚拟机通过物理机的内部通讯方式，将所述策略转发给其他虚拟机，包括: 所述代理虚拟机通过内存共享的方式，将所述策略转发给其他虚拟机； 或者，所述代理虚拟机通过内部的逻辑接口，将所述策略转发给其他虚拟机。
10.—种虚拟化平台中下发策略的装置，其特征在于，所述装置位于代理虚拟机中，所述代理虚拟机为从所有虚拟机中选取的虚拟机； 所述装置包括: 接收单元，用于通过物理机与控制台之间的通讯连接，接收控制台下发的策略； 转发单元，用于通过物理机的内部通讯方式，将所述接收单元接收到的所述策略转发给其他虚拟机。
【文档编号】G06F9/50GK104484219SQ201410681796
【公开日】2015年4月1日 申请日期:2014年11月24日 优先权日:2014年11月24日
【发明者】沓世勤, 王院生, 赵小宁 申请人:北京奇虎科技有限公司, 奇智软件（北京）有限公司