虚拟化平台的防火墙规则创建方法及装置与流程
本发明涉及虚拟化技术领域,尤其涉及一种虚拟化平台的防火墙规则创建方法及装置。
背景技术:
随着虚拟化技术的成熟,虚拟化和云计算技术开始普遍为用户所接受,市场上提供虚拟化和云计算技术的厂商也比较多,并且越来越多的用户把业务迁移到虚拟化平台上。由此,虚拟化环境中的安全日益凸显其重要性。
目前,关于虚拟化环境的安全防护一般是使用虚拟交换机的ACL(Access Control List,访问控制列表)访问控制策略进行防护,虽然这种方式能够达到防护的目的,但是其配置过程过于繁琐,需要到各个虚拟交换机上进行配置,而且一旦虚拟机发生了迁移,防护策略必须要重新配置。
技术实现要素:
本发明提供一种虚拟化平台的防火墙规则创建方法及装置,其主要目的在于解决现有技术中虚拟化平台中防火墙规则的配置过程过于繁琐的技术问题。
为实现上述目的,本发明提供一种虚拟化平台的防火墙规则创建方法,该虚拟化平台的防火墙规则创建方法包括:
A、接收防火墙规则信息,并基于接收到的所述防火墙规则信息生成防火墙规则的创建请求;
B、基于生成的所述创建请求,获取所述防火墙规则的标识组信息;
C、将所述标识组信息关联到所述防火墙规则,并将所述防火墙规则发送到集群中的各个主机节点上所有的虚拟交换机或者所述防火墙规则指定的虚拟机接入的虚拟交换机,以完成所述防火墙规则的创建。
可选地,所述步骤B包括:基于所述创建请求,判断所述防火墙规则信息中是否包含有所述防火墙规则指定的虚拟机信息;
若没有,则从所述防火墙规则信息中识别所述防火墙规则指定的标识信息,并从标识配置中查找所述标识信息所属的标识组信息;
所述步骤C包括:将所述标识组信息关联到所述防火墙规则,并根据所述集群的网络拓扑将所述防火墙规则发送到集群中的各个主机节点上所有的虚拟交换机,以完成所述防火墙规则的创建。
可选地,所述判断所述防火墙规则信息中是否包含有所述防火墙规则指定的虚拟机信息的步骤之后,所述步骤B还包括:
若有,则从标识配置中获取与所述虚拟机信息匹配的标识信息,查找所述标识信息所属的标识组信息;
所述步骤C包括:
将查找到的所述标识组信息关联到所述防火墙规则;
查找所述虚拟机信息对应的虚拟机在所述集群中运行的主机节点以及接入的虚拟交换机;
将所述防火墙规则发送到查找到的所述主机节点上所述虚拟机接入的所述虚拟交换机,以完成所述防火墙规则的创建。
可选地,所述步骤A包括:
基于防火墙规则的创建页面接收防火墙规则信息,通过所述创建页面对所述防火墙规则信息进行基准检验;
若校验合格,则基于接收到的所述防火墙规则信息生成防火墙规则的创建请求;
在所述步骤B之前,所述虚拟化平台的防火墙规则创建方法还包括步骤:
判断生成的所述创建请求是否为合法请求;
若所述请求为合法请求,则执行步骤B。
可选地,所述完成所述防火墙规则的创建的步骤之后,所述虚拟化平台的防火墙规则创建方法还包括:
当检测到所述虚拟机的运行位置发生改变时,根据所述虚拟机对应的虚拟机信息确定所述虚拟机变更后的主机节点以及接入的虚拟交换机;
将所述虚拟机变更前的所述主机节点上接入的所述虚拟交换机处的所述防火墙规则删除,并在变更后的所述主机节点上所述虚拟机接入的所述虚拟交换机处创建所述防火墙规则。
此外,为实现上述目的,本发明还提供一种虚拟化平台的防火墙规则创建装置,该虚拟化平台的防火墙规则创建装置包括:
生成模块,用于接收防火墙规则信息,并基于接收到的所述防火墙规则信息生成防火墙规则的创建请求;
获取模块,用于基于生成的所述创建请求,获取所述防火墙规则的标识组信息;
关联模块,用于将所述标识组信息关联到所述防火墙规则;
创建模块,用于将所述防火墙规则发送到集群中的各个主机节点上所有的虚拟交换机或者所述防火墙规则指定的虚拟机接入的虚拟交换机,以完成所述防火墙规则的创建。
可选地,所述虚拟化平台的防火墙规则创建装置还包括:
判断模块,用于基于所述创建请求,判断所述防火墙规则信息中是否包含有所述防火墙规则指定的虚拟机信息;
所述获取模块还用于:若所述防火墙规则信息中没有包含所述防火墙规则指定的虚拟机信息,则从所述防火墙规则信息中识别所述防火墙规则指定的标识信息,并从标识配置中查找所述标识信息所属的标识组信息;
所述创建模块还用于:若所述防火墙规则信息中没有包含所述防火墙规则指定的虚拟机信息,则将所述防火墙规则发送到集群中的各个主机节点上所有的虚拟交换机,以完成所述防火墙规则的创建。
可选地,所述获取模块还用于:若所述防火墙规则信息中包含所述防火墙规则指定的虚拟机信息,则从标识配置中获取与所述虚拟机信息匹配的标识信息,查找所述标识信息所属的标识组信息;
所述关联模块还用于:将查找到的所述标识组信息关联到所述防火墙规则;
所述创建模块还用于:若所述防火墙规则信息中包含所述防火墙规则指定的虚拟机信息,则查找所述虚拟机信息对应的虚拟机在所述集群中运行的主机节点以及接入的虚拟交换机;以及,将所述防火墙规则发送到查找到的所述主机节点上所述虚拟机接入的所述虚拟交换机,以完成所述防火墙规则的创建。
可选地,所述生成模块还用于:
基于防火墙规则的创建页面接收防火墙规则信息,通过所述创建页面对所述防火墙规则信息进行基准检验;以及,若校验合格,则基于接收到的所述防火墙规则信息生成防火墙规则的创建请求;
所述虚拟化平台的防火墙规则创建装置还包括:
校验模块,用于判断所述生成模块生成的所述创建请求是否为合法请求;
所述获取模块还用于:若所述请求为合法请求,则基于生成的所述创建请求,获取所述防火墙规则的标识组信息。
可选地,所述创建模块还用于:当检测到所述虚拟机的运行位置发生改变时,根据所述虚拟机对应的虚拟机信息确定所述虚拟机变更后的主机节点以及接入的虚拟交换机;
以及,将所述虚拟机变更前的所述主机节点上接入的所述虚拟交换机处的所述防火墙规则删除,并在变更后的所述主机节点上所述虚拟机接入的所述虚拟交换机处创建所述防火墙规则。
本发明提出的虚拟化平台的防火墙规则创建方法及装置,基于接收到的防火墙规则信息生成防火墙规则的创建请求,基于生产的创建请求,获取防火墙规则的标识组信息,将获取到的标识组信息关联到防火墙规则,根据集群的网络拓扑将防火墙规则发送到集群中的各个主机节点上所有的虚拟交换机或者防火墙规则指定的虚拟机,实现了分布式防护,防火墙规则统一配置入口,无需到各个交换机上进行设置,无论虚拟机在该集群中如何迁移,运行位置怎么改变都可以实现防护,解决了现有技术中虚拟化平台中防火墙规则的配置过程过于繁琐的技术问题。
附图说明
图1为本发明虚拟化平台的防火墙规则创建方法第一实施例的流程图;
图2为本发明虚拟化平台的防火墙规则创建方法第二实施例的流程图;
图3为本发明虚拟化平台的防火墙规则创建装置第一实施例的功能模块示意图;
图4为本发明虚拟化平台的防火墙规则创建装置第二实施例的功能模块示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明提供一种虚拟化平台的防火墙规则创建方法。参照图1所示,为本发明虚拟化平台的防火墙规则创建方法第一实施例的流程图。
在本实施例中,该虚拟化平台的防火墙规则创建方法包括:
步骤S10,接收防火墙规则信息,并基于接收到的所述防火墙规则信息生成防火墙规则的创建请求;
需要说明的是,本发明实施例中的虚拟化平台具有一防火墙功能配置的管理系统,在管理系统设置统一的配置入口,在配置入口处实现防火墙规则的新建以及管理等,并提供一防火墙规则创建页面,用户在创建防火墙规则时,可以基于防火墙规则创建页面输入防火墙规则信息,例如,新建防火墙规则的名称、指定的虚拟机信息、指定的标识信息以及该规则的服务等,其中服务可以定义具体的协议。具体地,可以通过输入虚拟机信息指定虚拟机,其中,虚拟机信息可以是虚拟机名称、虚拟机分组、标签等等;或者可以通过输入虚拟机标识信息指定特定标识的虚拟机,其中,标识信息可以是IP地址等能够区别虚拟机的标识即可,以下以IP地址为例进行说明。
基于上述创建页面接收防火墙规则信息,该页面对接收到的防火墙规则信息进行基准校验,当基准校验通过之后,将基于上述防火墙规则信息生成的防火墙规则的创建请求发送到上述管理系统的后台,后台对该创建请求进行合法性校验,其中,页面的基准校验主要是对防火墙规则信息的格式等基本信息进行校验,合法性校验主要是对防火墙规则的依赖性进行校验。
步骤S20,基于生成的所述创建请求,获取所述防火墙规则的标识组信息;
步骤S30,将所述标识组信息关联到所述防火墙规则,并将所述防火墙规则发送到集群中的各个主机节点上所有的虚拟交换机或者所述防火墙规则指定的虚拟机接入的虚拟交换机,以完成所述防火墙规则的创建。
当管理系统的判定此次创建请求为合法请求时,执行步骤S20,若经过校验,判定为不合法请求时,提示用户防火墙规则创建失败,同时输出防火墙规则创建失败的原因,例如该创建请求不合法等。
以标识组信息为IP组信息为例进行说明,当管理系统的后台检测到此次创建请求为合法请求时,基于收到的创建请求解析防火墙规则信息,获取到防火墙规则对应的IP组信息,将IP组信息关联到创建请求对应的防火墙规则,管理系统根据虚拟化平台的集群的网络拓扑,把防火墙规则发送到各个主机节点上的所有虚拟交换机上,在每一个虚拟交换机上创建防火墙规则;或者,若防火墙规则中指定了虚拟机,则将防火墙规则发送到指定的虚拟机接入的虚拟交换机。可以理解的是,上述IP组信息一般为一个IP段,该IP段中包含有多个IP地址信息。
通过上述规则创建过程可以看出,创建的每一条防火墙规则都会预先下发到各个主机节点上的所有虚拟机交换机上,就算在防火墙规则下发时虚拟机没有接入到某个交换机,规则一样会在该交换机上预先创建出来,当虚拟机迁移到新的虚拟交换机上时,一样可以实现防火功能,极大地降低了虚拟化环境中安全策略的管理维护难度;而对于将防火墙规则发送到指定的虚拟机接入的虚拟交换机的方案,集群中的其他虚拟交换机或者其他主机节点不会有任何关于该条防火墙规则的实例。本实施例的方法不仅成本低,而且能够实现虚拟化环境中的东西向流量安全防护,同时解决了当一台设备中毒之后被当成跳板去攻击虚拟化环境里面的其他业务设备的问题。
进一步地,在步骤S30之后,检测防火墙规则是否创建成功,如果防火墙规则创建成功,则输出创建成功的提示信息,如果创建失败,则返回创建失败的提示信息,并在提示信息中说明创建失败的原因。
本实施例提出的虚拟化平台的防火墙规则创建方法,基于接收到的防火墙规则信息生成防火墙规则的创建请求,基于生产的创建请求,获取防火墙规则的标识组信息,将获取到的标识组信息关联到防火墙规则,根据集群的网络拓扑将防火墙规则发送到集群中的各个主机节点上所有的虚拟交换机,实现了分布式防护,防火墙规则统一配置入口,无需到各个交换机上进行设置,无论虚拟机在该集群中如何迁移,运行位置怎么改变都可以实现防护,解决了现有技术中虚拟化平台中防火墙规则的配置过程过于繁琐的技术问题。
基于第一实施例提出本发明虚拟化平台的防火墙规则创建方法的第二实施例。
由于用户在创建防火墙规则时,可能指定了特定的虚拟机信息,也有可能没有指定虚拟机,而是指定了IP信息,基于上述第一实施例中防火墙规则的创建过程,若从防火墙规则信息中获取到防火墙规则指定的虚拟机信息,则根据虚拟机信息中的名称、ID或者标签等信息以及预先存储的虚拟机IP配置信息获取该虚拟机信息对应的IP信息,从而获取该IP信息所述的IP组信息;如果防火墙规则没有指定的虚拟机信息,而是指定了IP信息,则根据虚拟机IP配置信息获取该IP信息所属的IP组信息。
也就是说,在该实施例中,无论防火墙规则指定的是虚拟机信息还是IP信息,都可以将其转换为IP组信息。将转换得到的IP组信息与防火墙规则关联,并将该防火墙规则下发到集群中所有的主机节点中所有虚拟交换机上,在每一个虚拟交换机上创建防火墙规则。
基于第一实施例提出本发明虚拟化平台的防火墙规则创建方法的第三实施例。参照图2所示,在本实施例中,根据防火墙规则信息中指定的信息的不同,按照不同的方式创建防火墙规则。
步骤S20包括:
S21,基于所述创建请求,判断所述防火墙规则信息中是否包含有所述防火墙规则指定的虚拟机信息;
S22,若没有,则从所述防火墙规则信息中识别所述防火墙规则指定的标识信息,并从标识配置中查找所述标识信息所属的标识组信息;
步骤S30包括:将所述标识组信息关联到所述防火墙规则,并根据所述集群的网络拓扑将所述防火墙规则发送到集群中的各个主机节点上所有的虚拟交换机,以完成所述防火墙规则的创建。
当管理系统的后台检测到此次创建请求为合法请求时,基于收到的创建请求解析防火墙规则信息中的数据,具体地,判断所述防火墙规则信息中是否包含有所述防火墙规则指定的虚拟机信息,其中,虚拟机信息可以是虚拟机名称、虚拟机分组、标签等。若没有,则基于所述创建请求,从所述防火墙规则信息中识别所述防火墙规则指定的标识信息,并从标识配置中查找所述标识信息所属的标识组信息。
以标识信息为IP信息为例进行说明,则标识配置为预先存储的虚拟机IP配置信息,当从防火墙规则信息识别不到虚拟机信息时,从其中识别指定的IP信息,若识别到,则从上述虚拟机IP配置信息中查找该IP信息所属的IP组信息,将IP组信息关联到创建请求对应的防火墙规则,管理系统根据虚拟化平台的集群的网络拓扑,把防火墙规则发送到各个主机节点上的所有虚拟交换机上,在每一个虚拟交换机上创建防火墙规则。
可选地,在步骤S21之后,步骤S20还包括:
若有,则从标识配置中获取与所述虚拟机信息匹配的标识信息,查找所述标识信息所属的标识组信息;
步骤S30包括:
将查找到的所述标识组信息关联到所述防火墙规则;
查找所述虚拟机信息对应的虚拟机在所述集群中运行的主机节点以及接入的虚拟交换机;
将所述防火墙规则发送到查找到的所述主机节点上所述虚拟机接入的所述虚拟交换机,以完成所述防火墙规则的创建。
若防火墙规则信息中包含有虚拟机信息,则说明防火墙规则指定了虚拟机信息,根据从防火墙规则信息中获取到的虚拟机信息,以及虚拟机IP配置信息中获取对应的虚拟机IP信息,并把IP信息转换为IP组信息,将IP组信息关联到创建请求对应的防火墙规则,然后查找该虚拟机信息对应的虚拟机在集群中运行的主机节点以及接入的虚拟交换机,将创建的防火墙规则发送到该虚拟机的运行主机节点上该虚拟机接入的虚拟交换机,进行防火墙规则的创建,集群中的其他虚拟交换机或者其他主机节点不会有任何关于该条防火墙规则的实例。
进一步地,该虚拟化平台的防火墙规则创建方法还包括以下步骤:
当检测到所述虚拟机的运行位置发生改变时,根据所述虚拟机对应的虚拟机信息确定所述虚拟机变更后的主机节点以及接入的虚拟交换机;
将所述虚拟机变更前的所述主机节点上接入的所述虚拟交换机处的所述防火墙规则删除,并在变更后的所述主机节点上所述虚拟机接入的所述虚拟交换机处创建所述防火墙规则。
也就是说,当虚拟机的接入位置,或者虚拟机的运行位置发生改变了之后,管理系统会把之前位置上的规则删除,并在变更后的位置处新的虚拟交换机上重新创建防火墙规则,不仅达到分布式防护的目的,而且能够避免资源的浪费以及规则配置性能的消耗。
本发明还提出一种虚拟化平台的防火墙规则创建装置。
参照图3所示,为本发明虚拟化平台的防火墙规则创建装置第一实施例的功能模块示意图。
在该实施例中,该虚拟化平台的防火墙规则创建装置包括:
生成模块10,用于接收防火墙规则信息,并基于接收到的所述防火墙规则信息生成防火墙规则的创建请求;
需要说明的是,本发明实施例中的虚拟化平台具有一防火墙功能配置的管理系统,该管理系统运行与本实施例提出的所述虚拟化平台的防火墙规则创建装置。在管理系统设置统一的配置入口,在配置入口处实现防火墙规则的新建以及管理等,并提供一防火墙规则创建页面,用户在创建防火墙规则时,可以基于防火墙规则创建页面输入防火墙规则信息,例如,新建防火墙规则的名称、指定的虚拟机信息、指定的标识信息以及该规则的服务等,其中服务可以定义具体的协议。具体地,可以通过输入虚拟机信息指定虚拟机,其中,虚拟机信息可以是虚拟机名称、虚拟机分组、标签等等;或者可以通过输入虚拟机标识信息指定特定标识的虚拟机,其中,标识信息可以是IP地址等能够区别虚拟机的标识即可,以下以IP地址为例进行说明。
基于上述创建页面接收防火墙规则信息,该页面对接收到的防火墙规则信息进行基准校验,当基准校验通过之后,生成模块10基于上述防火墙规则信息生成防火墙规则的创建请求,并发送到上述管理系统的后台,该装置还包括:校验模块,用于判断所述生成模块生成的所述创建请求是否为合法请求。校验模块对该创建请求进行合法性校验,其中,页面的基准校验主要是对防火墙规则信息的格式等基本信息进行校验,合法性校验主要是对防火墙规则的依赖性进行校验。
获取模块20,用于基于生成的所述创建请求,获取所述防火墙规则的标识组信息;
关联模块30,用于将所述标识组信息关联到所述防火墙规则;
创建模块40,用于将所述防火墙规则发送到集群中的各个主机节点上所有的虚拟交换机或者所述防火墙规则指定的虚拟机接入的虚拟交换机,以完成所述防火墙规则的创建。
当管理系统的判定此次创建请求为合法请求时,获取模块20获取所述防火墙规则的标识组信息,若经过校验,判定为不合法请求时,提示用户防火墙规则创建失败,同时输出防火墙规则创建失败的原因,例如该创建请求不合法等。
以标识组信息为IP组信息为例进行说明,当管理系统的后台检测到此次创建请求为合法请求时,获取模块20基于收到的创建请求解析防火墙规则信息,获取到防火墙规则对应的IP组信息,关联模块30将IP组信息关联到创建请求对应的防火墙规则,创建模块40根据虚拟化平台的集群的网络拓扑,把防火墙规则发送到各个主机节点上的所有虚拟交换机上,在每一个虚拟交换机上创建防火墙规则;或者,若防火墙规则中指定了虚拟机,则创建模块40将防火墙规则发送到指定的虚拟机接入的虚拟交换机。可以理解的是,上述IP组信息一般为一个IP段,该IP段中包含有多个IP地址信息。
通过上述规则创建过程可以看出,创建的每一条防火墙规则都会预先下发到各个主机节点上的所有虚拟机交换机上,就算在防火墙规则下发时虚拟机没有接入到某个交换机,规则一样会在该交换机上预先创建出来,当虚拟机迁移到新的虚拟交换机上时,一样可以实现防火功能,极大地降低了虚拟化环境中安全策略的管理维护难度;而对于将防火墙规则发送到指定的虚拟机接入的虚拟交换机的方案,集群中的其他虚拟交换机或者其他主机节点不会有任何关于该条防火墙规则的实例。不仅成本低,而且能够实现虚拟化环境中的东西向流量安全防护,同时解决了当一台设备中毒之后被当成跳板去攻击虚拟化环境里面的其他业务设备的问题。
进一步地,如果防火墙规则创建成功,管理系统输出创建成功的提示信息,如果创建失败,则返回创建失败的提示信息,并在提示信息中说明创建失败的原因。
本实施例提出的虚拟化平台的防火墙规则创建装置,基于接收到的防火墙规则信息生成防火墙规则的创建请求,基于生产的创建请求,获取防火墙规则的标识组信息,将获取到的标识组信息关联到防火墙规则,根据集群的网络拓扑将防火墙规则发送到集群中的各个主机节点上所有的虚拟交换机,实现了分布式防护,防火墙规则统一配置入口,无需到各个交换机上进行设置,无论虚拟机在该集群中如何迁移,运行位置怎么改变都可以实现防护,解决了现有技术中虚拟化平台中防火墙规则的配置过程过于繁琐的技术问题。
基于第一实施例提出本发明虚拟化平台的防火墙规则创建装置的第二实施例。
由于用户在创建防火墙规则时,可能指定了特定的虚拟机信息,也有可能没有指定虚拟机,而是指定了IP信息,基于上述第一实施例中防火墙规则的创建过程,若从防火墙规则信息中获取到防火墙规则指定的虚拟机信息,则根据虚拟机信息中的名称、ID或者标签等信息以及预先存储的虚拟机IP配置信息获取该虚拟机信息对应的IP信息,从而获取该IP信息所述的IP组信息;如果防火墙规则没有指定的虚拟机信息,而是指定了IP信息,则根据虚拟机IP配置信息获取该IP信息所属的IP组信息。
也就是说,在该实施例中,无论防火墙规则指定的是虚拟机信息还是IP信息,获取模块20都可以将其转换为IP组信息。关联模块30将转换得到的IP组信息与防火墙规则关联,创建模块40将该防火墙规则下发到集群中所有的主机节点中所有虚拟交换机上,在每一个虚拟交换机上创建防火墙规则。
基于第一实施例提出本发明虚拟化平台的防火墙规则创建装置的第三实施例。参照图4所示,在本实施例中,根据防火墙规则信息中指定的信息的不同,创建模块40按照不同的方式创建防火墙规则。
该虚拟化平台的防火墙规则创建装置还包括:
判断模块50,用于基于所述创建请求,判断所述防火墙规则信息中是否包含有所述防火墙规则指定的虚拟机信息;
获取模块20还用于:若所述防火墙规则信息中没有包含所述防火墙规则指定的虚拟机信息,则从所述防火墙规则信息中识别所述防火墙规则指定的标识信息,并从标识配置中查找所述标识信息所属的标识组信息。
创建模块40还用于:若所述防火墙规则信息中没有包含所述防火墙规则指定的虚拟机信息,则将所述防火墙规则发送到集群中的各个主机节点上所有的虚拟交换机,以完成所述防火墙规则的创建。
当管理系统的后台检测到此次创建请求为合法请求时,获取模块20基于收到的创建请求解析防火墙规则信息中的数据,具体地,判断模块50判断所述防火墙规则信息中是否包含有所述防火墙规则指定的虚拟机信息,其中,虚拟机信息可以是虚拟机名称、虚拟机分组、标签等。若没有,则基于所述创建请求,获取模块20从所述防火墙规则信息中识别所述防火墙规则指定的标识信息,并从标识配置中查找所述标识信息所属的标识组信息。
以标识信息为IP信息为例进行说明,则标识配置为预先存储的虚拟机IP配置信息,当从防火墙规则信息识别不到虚拟机信息时,从其中识别指定的IP信息,若识别到,则获取模块20从上述虚拟机IP配置信息中查找该IP信息所属的IP组信息,将IP组信息关联到创建请求对应的防火墙规则,创建模块40根据虚拟化平台的集群的网络拓扑,把防火墙规则发送到各个主机节点上的所有虚拟交换机上,在每一个虚拟交换机上创建防火墙规则。
可选地,获取模块20还用于:若所述防火墙规则信息中包含所述防火墙规则指定的虚拟机信息,则从标识配置中获取与所述虚拟机信息匹配的标识信息,查找所述标识信息所属的标识组信息;
关联模块30还用于:将查找到的所述标识组信息关联到所述防火墙规则;
创建模块40还用于:若所述防火墙规则信息中包含所述防火墙规则指定的虚拟机信息,则查找所述虚拟机信息对应的虚拟机在所述集群中运行的主机节点以及接入的虚拟交换机;以及,将所述防火墙规则发送到查找到的所述主机节点上所述虚拟机接入的所述虚拟交换机,以完成所述防火墙规则的创建。
若防火墙规则信息中包含有虚拟机信息,则说明防火墙规则指定了虚拟机信息,获取模块20根据从防火墙规则信息中获取到的虚拟机信息,以及虚拟机IP配置信息中获取对应的虚拟机IP信息,并把IP信息转换为IP组信息,将IP组信息关联到创建请求对应的防火墙规则,然后查找该虚拟机信息对应的虚拟机在集群中运行的主机节点以及接入的虚拟交换机,创建模块40将创建的防火墙规则发送到该虚拟机的运行主机节点上该虚拟机接入的虚拟交换机,进行防火墙规则的创建,集群中的其他虚拟交换机或者其他主机节点不会有任何关于该条防火墙规则的实例。
进一步地,创建模块40还用于:当检测到所述虚拟机的运行位置发生改变时,根据所述虚拟机对应的虚拟机信息确定所述虚拟机变更后的主机节点以及接入的虚拟交换机;
以及,将所述虚拟机变更前的所述主机节点上接入的所述虚拟交换机处的所述防火墙规则删除,并在变更后的所述主机节点上所述虚拟机接入的所述虚拟交换机处创建所述防火墙规则。
也就是说,当虚拟机的接入位置,或者虚拟机的运行位置发生改变了之后,创建模块40会把之前位置上的规则删除,并在变更后的位置处新的虚拟交换机上重新创建防火墙规则,不仅达到分布式防护的目的,而且能够避免资源的浪费以及规则配置性能的消耗。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
另外,在发明中涉及“第一”、“第二”等等的描述仅描述目的,而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。另外,各个实施例之间的技术方案可以相互结合,但是必须是以本领域普通技术人员能够实现为基础,当技术方案的结合出现相互矛盾或无法实现时应当人认为这种技术方案的结合不存在,也不在本发明要求的保护范围之内。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
- 还没有人留言评论。精彩留言会获得点赞!