虚拟机切换系统及切换方法
【专利摘要】本发明提供一种虚拟机切换系统,其用于在虚拟机出现异常时进行虚拟机切换,虚拟机切换系统包括基础镜像设置模块、虚拟机生成模块及自动切换模块,基础镜像设置模块用于根据至少一个虚拟机对应设置至少一个虚拟机基础镜像并存储,虚拟机生成模块用于在虚拟机出现异常时根据虚拟机信息及虚拟机所对应的虚拟机镜像信息生成对应的新虚拟机并启动,自动切换模块用于在新虚拟机与对应的异常虚拟机之间切换以使新虚拟机代替异常虚拟机正常工作。该切换系统在虚拟机工作出现异常时在新生成的虚拟机与异常虚拟机之间自动切换以新虚拟机以代替异常虚拟机正常工作,操作方便,保证虚拟机所提供的服务不间断继续进行。本发明还提供了一种虚拟机自动切换方法。
【专利说明】虚拟机切换系统及切换方法
【技术领域】
[0001]本发明涉及虚拟化技术,尤其涉及一种虚拟机切换系统及切换方法。
【背景技术】
[0002]目前,服务器虚拟化技术将一台物理服务器虚拟成多台相互隔离的虚拟服务器,每台虚拟服务器拥有独立的CPU、内存、磁盘空间和网络带宽,提高资源的使用效率,简化系统管理,在虚拟化技术的使用过程中,网络信息的安全性是虚拟化技术正常使用需要保障的,传统的网络安全防护采用入侵检测、防火墙技术等保护系统免受网络攻击的危害。
[0003]然而,系统运行时遇到的内部及外界各种不稳定因素,传统的安全防护技术在虚拟服务器出现异常如遭到木马或者病毒攻击时,需要人工干预操作来对系统进行恢复,操作不方便的同时影响虚拟服务器的正常工作。
【发明内容】
[0004]有鉴于此,本发明提供一种能在虚拟服务器出现异常时保障虚拟服务器正常工作且操作方便的虚拟机切换系统及切换方法。
[0005]一种虚拟机切换系统,其用于在虚拟机出现异常时进行虚拟机切换,所述虚拟机切换系统包括一个基础镜像设置模块、一个虚拟机生成模块及一个自动切换模块,所述基础镜像设置模块用于根据至少一个虚拟机对应设置至少一个虚拟机基础镜像并存储,所述虚拟机生成模块用于在虚拟机工作出现异常时根据虚拟机信息及虚拟机所对应的虚拟机镜像信息生成对应的新虚拟机并启动,所述自动切换模块用于在所述新虚拟机启动后与对应的异常虚拟机之间进行切换以使新虚拟机代替异常虚拟机正常工作。
[0006]一种虚拟机切换方法,其用于在虚拟机出现异常时进行虚拟机切换,所述虚拟机切换方法包括以下步骤:
[0007]根据至少一个虚拟机对应设置至少一个虚拟机基础镜像并存储;
[0008]在虚拟机工作出现异常时根据虚拟机信息及异常虚拟机所对应的虚拟机镜像信息生成对应的新虚拟机并启动;
[0009]在所述新虚拟机启动后与对应的异常虚拟机之间进行切换以使新虚拟机代替异常虚拟机正常工作。
[0010]与现有技术相比,本发明提供的虚拟机切换系统及切换方法通过基础镜像设置模块设置相应虚拟机的虚拟机基础镜像,在虚拟机工作出现异常如遭到病毒攻击时根据虚拟机信息及异常虚拟机所对应的虚拟机镜像信息生成对应的新虚拟机,并利用自动切换模块在新生成的虚拟机与出现异常的虚拟机之间自动切换,以生成的新虚拟机代替出现异常的虚拟机正常工作,无需人工干预维护,操作方便,从而保证在虚拟机出现异常如遭到病毒攻击时虚拟机所提供的服务不间断继续进行。
【专利附图】
【附图说明】
[0011]图1是本发明提供的虚拟机切换系统的模块示意图。
[0012]图2是图1中虚拟机对外服务框图。
[0013]图3是图2中虚拟机出现异常时生成新虚拟机对外服务框图。
[0014]图4是启动新虚拟机并关闭出现异常虚拟机后对外服务框图。
[0015]图5是本发明提供的虚拟机切换方法的流程图
[0016]主要元件符号说明
[0017]虚拟机切换系统100
[0018]基础镜像设置模块120
[0019]镜像加固模块130
[0020]虚拟机启动模块140
[0021]虚拟机生成模块160
[0022]自动切换模块180
[0023]资源回收模块190
[0024]如下【具体实施方式】将结合上述附图进一步说明本发明。
【具体实施方式】
[0025]请参阅图1,其为本发明实施方式提供的一种虚拟机切换系统100,其用于在虚拟机出现异常时进行虚拟机切换,所述虚拟机切换系统100包括一个基础镜像设置模块120、一个虚拟机启动模块140、一个虚拟机生成模块160及一个自动切换模块180。
[0026]所述基础镜像设置模块120用于根据至少一个虚拟机对应设置至少一个虚拟机基础镜像,可以理解的是,虚拟机的数量依需要设置,本实施方式中,基础镜像设置模块120根据虚拟机I与虚拟机2分别对应设置虚拟机基础镜像I及虚拟机基础镜像2。基础镜像设置模块120设置的虚拟机基础镜像只包含虚拟机操作系统,不包含应用程序,可以理解的是,用户一般根据实际需要选择对应的虚拟机类型,基础镜像设置模块120根据用户选择的虚拟机类型来设置相应的基础镜像,基础镜像可以是用户通过互联网下载的一个包含用户需要的操作系统类型的虚拟机镜像作为基础镜像,也可以是用户通过镜像制作工具自己制作一个虚拟机镜像作为基础镜像。本实施方式中,设置的虚拟机基础镜像是下载的虚拟机镜像,可以理解的是,下载的虚拟机镜像的大小有可能不是用户需要的镜像大小,所以需要对基础镜像的大小进行定制。
[0027]例如,以Windows操作系统中为例,下载的虚拟机镜像为对应的C盘,C盘大小通常只有I?2G,而对于一个对外提供服务的Windows Server来讲,在安装应用系统以后,一般需要C盘空间为40G或以上,因此需要对镜像空间进行定制。在KVM(kernel-based VirtualMachine)虚拟机环境中通过命令行对镜像大小进行定制,例如,为镜像增加5G的空间,采用“qemu-1mg resize trusty-server-cloudimg-amd64-diskl.raw+5G),,进行设置,以满足应用系统的使用需求。
[0028]可以理解的是,如图2所示,虚拟机基础镜像生成后,通过命令行工具或图形界面工具可将基础镜像上传至管理服务器200的虚拟化管理平台以便对基础镜像进行管理,相应的虚拟机基础镜像信息包括CPU数量,内存数量,硬盘大小等存储在数据库中。
[0029]所述虚拟机启动模块140用于根据用户需要安装和配置用户需加载的服务程序后,再根据虚拟机上所运行的应用系统的运行负载等信息选择合适的虚拟机模板以及与所选虚拟机模板对应的虚拟机配置文件以启动虚拟机。所加载的服务程序包括传输控制协议(Transmiss1n Control Protocol,TCP)、用户数据包协议(User Datagram Protocol,UDP)及超文本传输协议(HyperText Transfer Protocol,HTTP)等服务程序,本实施方式中,虚拟机启动模块120加载HTTP服务程序,所加载的HTTP服务程序的所有会话(sess1n)状态信息存储在系统的数据库中。
[0030]虚拟机模板信息定义了虚拟机启动所需要的资源,包括CPU数量,内存数量,硬盘大小等,配置文件定义了虚拟机和应用系统的各种运行参数信息,虚拟机模板信息及配置文件信息一般直接存储在数据库中,启动虚拟机并在虚拟机和应用系统完成启动以后,即可对外提供服务,即通过应用代理300响应业务请求。
[0031]所述虚拟机生成模块160用于在虚拟机工作出现异常如虚拟机遭到病毒、木马等攻击时根据虚拟机信息及虚拟机所对应的虚拟机镜像信息生成对应的新虚拟机,虚拟机信息包括出现异常的虚拟机模板信息、配置文件及异常虚拟机的HTTP服务程序的所有会话(sess1n)状态信息。
[0032]请一并参阅图1至图3,本实施方式中,如虚拟机I工作出现异常时,虚拟机生成模块160根据异常虚拟机I对应的虚拟机模块信息、异常虚拟机I对应的配置文件及异常虚拟机I中安装的http服务程序的所有会话(sess1n)状态信息生成新的虚拟机3。可以理解的是,当虚拟机被病毒攻击,不管病毒攻击虚拟机I是否成功,虚拟机生成模块160会自动生成新虚拟机3。
[0033]所述自动切换模块180用于在新虚拟机启动后与对应的异常虚拟机之间进行切换以使新虚拟机代替异常虚拟机正常工作,也即在新虚拟机启动后,关闭异常虚拟机,停止该虚拟机对外提供服务,新虚拟机代替异常虚拟机继续工作,如图4所示,如虚拟机I被病毒攻击后,自动切换模块180启动新虚拟机3后关闭虚拟机I以使新虚拟机3代替虚拟机I进行工作。可以理解的是,由于异常虚拟机中提供的HTTP服务的sess1n状态信息存储到数据库中,进行虚拟机切换时可保证HTTP服务不间断的继续进行。
[0034]为提高系统安全性,虚拟机切换系统100还包括一个镜像加固模块130,如图1所示,所述镜像加固模块130用于对基础镜像设置模块120设置的虚拟机基础镜像进行加固。虚拟机基础镜像的加固是通过对文件、目录、进程、服务等的强制访问控制,有效的制约和分散了原有系统管理员的权限,综合了对文件和服务的完整性检测、Web过滤防护和防缓冲区溢出等功能,能够把普通的操作系统从体系上升级,在操作系统的级别上对各种攻击提供一定的免疫,防止对操作系统和数据的破坏。
[0035]对虚拟机基础镜像的加固过程包括正确安装操作系统、安装最新的操作系统安全补丁、操作系统和应用软件的安全配置、系统安全风险防范、系统安全风险测试、系统完整性备份、系统账户口令加固等。
[0036]为合理利用内存资源及硬盘空间,虚拟机切换系统100还包括一个资源回收模块190,如图1所示,所述资源回收模块190在异常虚拟机关闭时回收异常虚拟机所占用的内存资源以及在服务器上的硬盘空间,回收后可给其他需要的虚拟机以合理使用,并通过数据覆盖的方法清除硬盘上所有的数据和痕迹,如向该内存或硬盘上写入‘0101’等无具体意义的信息。对硬盘而言通过写入上述信息将比硬盘格式化更加彻底的清除原有数据,彻底消除被攻击虚拟机操作系统的任何数据。
[0037]请参阅图5,其为本发明实施方式提供的一种虚拟机切换方法,其用于在虚拟机出现异常时进行虚拟机切换,所述虚拟机切换方法包括以下步骤:
[0038]SllO:根据至少一个虚拟机对应设置至少一个虚拟机基础镜像并存储;
[0039]S120:根据需要安装和配置服务程序;
[0040]S130:根据需要选择相应的虚拟机模板以及与所选虚拟机对应的配置文件启动相应的虚拟机;
[0041]S140:在虚拟机工作出现异常时根据虚拟机信息及异常虚拟机所对应的虚拟机镜像信息生成对应的新虚拟机并启动;
[0042]S150:在所述新虚拟机启动后与对应的异常虚拟机之间进行切换以使新虚拟机代替异常虚拟机正常工作。
[0043]在步骤SI 10中,利用基础镜像设置模块120根据虚拟机I与虚拟机2分别对应设置虚拟机基础镜像I及虚拟机基础镜像2。可以理解的是,虚拟机基础镜像可以是用户通过互联网下载的一个包含用户需要的操作系统类型的虚拟机镜像作为基础镜像,也可以是用户通过镜像制作工具自己制作一个虚拟机镜像作为基础镜像。
[0044]本实施方式中,设置的虚拟机基础镜像是下载的虚拟机镜像,下载的虚拟机镜像的大小有可能不是用户需要的镜像大小,所以需要对基础镜像的大小进行定制。例如,在KVM(kernel-based Virtual Machine)虚拟机环境中通过命令行对虚拟机镜像大小进行定制,若需为虚拟机镜像增加5G的空间,则采用“qemu-1mg resize trusty-server-cloudimg-amd64-diskl.raw+5G) ”进行设置,以满足应用系统的使用需求。
[0045]可以理解的是,虚拟机基础镜像生成后,通过命令行工具或图形界面工具可将基础镜像上传至虚拟化管理平台以便对基础镜像进行管理,相应的虚拟机基础镜像信息包括CPU数量,内存数量,硬盘大小等存储在系统数据库中。
[0046]在步骤S120中,利用虚拟机启动模块140根据用户需要安装和配置用户需加载的HTTP服务程序。可以理解的是,用户也可以根据实际需要安装相应的服务程序。本实施方式中,虚拟机启动模块120所加载的HTTP服务程序的所有会话(sess1n)状态信息存储在系统的数据库中。
[0047]在步骤S130中,利用虚拟机启动模块140根据虚拟机上所运行的应用系统的运行负载等信息选择合适的虚拟机模板以及与所选虚拟机模板对应的虚拟机配置文件以启动虚拟机。虚拟机模板定义了虚拟机启动所需要的资源,包括CPU数量,内存数量,硬盘大小等,配置文件定义了虚拟机和应用系统的各种运行参数信息,虚拟机模板信息及配置文件信息一般直接存储在数据库中。
[0048]在步骤S140中,利用虚拟机生成模块160在虚拟机工作出现异常如虚拟机遭到病毒、木马等攻击时根据虚拟机信息及与虚拟机所对应的虚拟机镜像信息生成对应的新虚拟机,虚拟机信息包括出现异常的虚拟机模板信息、配置文件及异常虚拟机的HTTP服务程序的所有会话(sess1n)状态信息。
[0049]本实施方式中,如图2至图4所示,虚拟机I工作出现异常时,虚拟机生成模块160根据异常虚拟机I对应的虚拟机模板信息、异常虚拟机I对应的配置文件、异常虚拟机I中安装的HTTP服务程序的所有会话(sess1n)状态信息及虚拟机基础镜像I的信息生成新的虚拟机3。可以理解的是,当虚拟机被病毒攻击,不管病毒攻击虚拟机I是否成功,虚拟机生成模块160都会自动生成新虚拟机3。
[0050]在步骤S150中,利用自动切换模块180在新虚拟机启动后与出现异常的虚拟机之间进行切换以使新虚拟机代替异常虚拟机正常工作,也即在新虚拟机启动后,关闭异常虚拟机,停止该虚拟机对外提供服务,新虚拟机代替异常虚拟机继续工作,如虚拟机I被病毒攻击后,自动切换模块180启动新虚拟机3后关闭虚拟机I以使新虚拟机3代替虚拟机I进行工作。可以理解的是,由于异常虚拟机中提供的HTTP服务的会话(sess1n)状态信息存储在数据库中,进行虚拟机切换时可保证HTTP服务不间断的继续进行。
[0051]为提高系统安全性,在步骤SllO与步骤S120之间还包括以下步骤:加固所设置的虚拟机基础镜像。
[0052]在所述加固步骤中,利用镜像加固模块130对基础镜像设置模块120设置的虚拟机基础镜像进行加固,通过对文件、目录、进程、服务等的强制访问控制,有效的制约和分散了原有系统管理员的权限,综合了对文件和服务的完整性检测、Web过滤防护和防缓冲区溢出等功能,能够把普通的操作系统从体系上升级,在操作系统的级别上对各种攻击提供一定的免疫,防止对操作系统和数据的破坏。
[0053]对虚拟机基础镜像的加固过程包括正确安装操作系统、安装最新的操作系统安全补丁、操作系统和应用软件的安全配置、系统安全风险防范、系统安全风险测试、系统完整性备份、系统账户口令加固等。
[0054]为合理利用内存资源及硬盘空间,在步骤S150后还包括以下步骤:在异常虚拟机关闭时回收异常虚拟机所占用的内存资源以及在服务器上的硬盘空间。
[0055]在所述回收步骤中,利用资源回收模块190在出现异常的虚拟机I关闭时回收异常虚拟机I所占用的内存资源以及在服务器上的硬盘空间,回收后可给其他需要的虚拟机以合理使用,并通过数据覆盖的方法清除硬盘上所有的数据和痕迹,如向该内存或硬盘写入‘0101’等无具体意义的信息。对硬盘而言通过写入上述信息比硬盘格式化更加彻底的清除原有数据,彻底消除被攻击虚拟机操作系统的任何数据。
[0056]本发明提供的虚拟机切换系统100及切换方法通过基础镜像设置模块120设置相应虚拟机的虚拟机基础镜像,在虚拟机工作出现异常如遭到病毒攻击时,虚拟机生成模块160根据虚拟机信息及异常虚拟机所对应的虚拟机镜像信息生成对应的新虚拟机,生成的新的虚拟机通过镜像加固模块130的加密成为安全可靠的虚拟机,自动切换模块180在新生成的虚拟机与出现异常的虚拟机之间自动切换,以生成的新虚拟机代替出现异常的虚拟机正常工作,无需人工干预维护,操作方便,同时由于异常虚拟机的镜像信息中HTTP服务器的所有会话(sess1n)状态信息是存储在系统的数据库中,被攻击的虚拟机的所有资源和数据被资源回收模块190回收和清除而HTTP服务状态信息依然可以继续保留,新的虚拟机替代被攻击的虚拟机继续对外提供服务,使系统恢复到被攻击以前的状态,实现对病毒、木马等网络攻击的免疫,从而保证了在虚拟机出现异常如遭到病毒、木马攻击时提供的服务不间断继续进行。
[0057]可以理解的是,对于本领域的普通技术人员来说,可以根据本发明的技术构思做出其他各种相应的改变与变形,而所有这些改变与变形都应属于本发明权利要求的保护范围。
【权利要求】
1.一种虚拟机切换系统,其用于在虚拟机出现异常时进行虚拟机切换,所述虚拟机切换系统包括: 一个基础镜像设置模块,其用于根据至少一个虚拟机对应设置至少一个虚拟机基础镜像并存储; 一个虚拟机生成模块,其用于在虚拟机工作出现异常时根据虚拟机信息及虚拟机所对应的虚拟机镜像信息生成对应的新虚拟机并启动;及 一个自动切换模块,其用于在所述新虚拟机启动后与对应的异常虚拟机之间进行切换以使新虚拟机代替异常虚拟机正常工作。
2.如权利要求1所述的虚拟机切换系统,其特征在于,所述虚拟机切换系统还包括一个镜像加固模块,所述镜像加固模块用于对所述基础镜像设置模块设置的所述至少一个虚拟机基础镜像进行加固。
3.如权利要求1所述的虚拟机切换系统,其特征在于,所述虚拟机切换系统包括一个虚拟机启动模块,所述虚拟机启动模块用于根据用户需要安装和配置HTTP服务程序后选择相应的虚拟机模板以及与所选虚拟机模板对应的配置文件以启动相应的虚拟机。
4.如权利要求3所述的虚拟机切换系统,其特征在于,所述异常虚拟机信息包括所述异常虚拟机对应的虚拟机模块信息、所述异常虚拟机对应的配置文件及所述异常虚拟机中安装的HTTP服务程序的所有会话(sess1n)状态信息。
5.如权利要求1所述的虚拟机切换系统,其特征在于,所述虚拟机切换系统还包括一个资源回收模块,所述资源回收模块在异常虚拟机关闭时回收所述异常虚拟机占用的内存资源及硬盘空间并清除硬盘数据。
6.—种虚拟机切换方法,其用于在虚拟机出现异常时进行虚拟机切换,所述虚拟机切换方法包括以下步骤: 根据至少一个虚拟机对应设置至少一个虚拟机基础镜像并存储; 在虚拟机工作出现异常时根据虚拟机信息及异常虚拟机所对应的虚拟机镜像信息生成对应的新虚拟机并启动; 在所述新虚拟机启动后与对应的异常虚拟机之间进行切换以使新虚拟机代替异常虚拟机正常工作。
7.如权利要求6所述的虚拟机切换方法,其特征在于,在设置虚拟机基础镜像步骤与生成新虚拟机步骤之间还包括以下步骤:加固所设置的至少一个虚拟机基础镜像。
8.如权利要求6所述的虚拟机切换系统,其特征在于,在设置虚拟机基础镜像的步骤之后包括以下步骤: 根据需要安装和配置Http服务程序; 选择相应的虚拟机模板以及与所选虚拟机模板对应的配置文件启动相应的虚拟机。
9.如权利要求8所述的虚拟机切换系统,其特征在于,所述异常虚拟机信息包括所述异常虚拟机对应的虚拟机模块信息、所述异常虚拟机对应的配置文件及所述异常虚拟机中安装的HTTP服务程序的所有会话(sess1n)状态信息。
10.如权利要求6所述的虚拟机切换系统,其特征在于,在虚拟机自动切换步骤后还包括以下步骤,在异常虚拟机关闭时回收所述异常虚拟机占用的内存资源及硬盘空间并清除硬盘数据。
【文档编号】G06F11/14GK104484231SQ201410854790
【公开日】2015年4月1日 申请日期:2014年12月31日 优先权日:2014年12月31日
【发明者】李伟, 桑梓勤, 余少华, 秦伟, 王若舟, 肖凌 申请人:武汉邮电科学研究院