一种虚拟化平台、安全防护方法及装置的制造方法
【技术领域】
[0001]本发明涉及计算机网络技术领域,尤其涉及一种虚拟化平台、安全防护方法及装置。
【背景技术】
[0002]在目前的虚拟化平台中,主要通过防火墙为虚拟化平台中的虚拟机提供安全防护。防火墙作为虚拟机的网关设备,对进出虚拟机的流量进行过滤,过滤的规则通常由虚拟化平台的管理系统设置。
[0003]目前,对于虚拟化平台,主要采用专用的硬件防火墙设备提供安全防护。图1为虚拟化平台中第一种为虚拟机提供安全防护的方案的示意图。如图1所示,虚拟化平台中的所有虚拟机的流量经由形成的多个虚拟局域网(Virtual Local Area Network, VLAN)由同一台硬件防火墙设备进行安全防护。图1中的防火墙通常与传统硬件防火墙的工作原理相同,虚拟化平台的管理系统通过调用防火墙的管理接口实现对防火墙规则的动态控制。
[0004]图1中采用专用的硬件防火墙设备为整个虚拟化平台提供安全防护的方案存在以下缺点:
[0005]图1中的硬件防火墙为虚拟化平台中的所有虚拟机(Virtual Machine,VM)提供进行安全防护,当虚拟化平台中的进出各虚拟机的流量均较大时,其性能可能满足对所有虚拟机进行安全防护的要求,此外,由于其网络拓扑位置决定了,当该硬件防火墙出现故障时,整个虚拟化平台中的虚拟机均无法实现安全防护的问题。
[0006]综上,图1中采用专用的硬件防火墙设备为整个虚拟化平台提供安全防护的方案存在性能瓶颈和单点故障的问题。
【发明内容】
[0007]本发明实施例提供一种虚拟化平台、安全防护方法及装置,用以解决采用专用的硬件防火墙设备为整个虚拟化平台提供安全防护的方案存在性能瓶颈和单点故障的问题。
[0008]第一方面,本发明实施例提供一种虚拟化平台,包括:
[0009]至少一台服务器,每一台服务器上运行至少一个虚拟机,
[0010]每一台所述服务器用于向该服务器上的每个所述虚拟机分别提供安全防护服务。
[0011]本方案中,由于虚拟化平台中的每一台服务器向该服务器上的每个虚拟机分别体统安全防护服务,避免了采用专用硬件防火墙设备为整个虚拟机提供安全防护服务存在的性能瓶颈和单点故障的问题。
[0012]较佳地,所述虚拟化平台还包括安全防护管理器;
[0013]所述安全防护管理器用于在每一台所述服务器上,针对该服务器上的每个所述虚拟机分别设置安全防护规则。
[0014]采用本优选方案,可通过阿安全防护管理器为虚拟化平台中的每个虚拟机设置安全防护规则。
[0015]较佳地,所述虚拟化平台还包括虚拟机资源管理器,所述虚拟机资源管理器用于管理所述虚拟化平台中的虚拟机;所述安全防护管理器具体用于:
[0016]在收到用户设置所述虚拟化平台上的第一虚拟机的安全防护规则的指令后,向所述虚拟机资源管理器发送用于查询所述第一虚拟机所在服务器的地址的请求,接收所述虚拟机资源管理器响应所述请求返回的服务器的地址,在收到的所述服务器的地址所指示的服务器上,设置所述第一虚拟机的安全防护规则;或
[0017]在收到所述虚拟机资源管理器在所述虚拟化平台中创建第二虚拟机的指令后,从收到的所述创建指令中获取所述第二虚拟机所在服务器的地址,并在获取的服务器地址所指示的服务器上,创建所述第二虚拟机的安全防护规则;或
[0018]在收到所述虚拟机资源管理器删除所述虚拟化平台中的第三虚拟机的指令后,从收到的所述删除指令中获取所述第三虚拟机所在服务器的地址,并在获取的服务器地址所指示的服务器上,删除所述第三虚拟机的安全防护规则;或
[0019]在收到所述虚拟机资源管理器将所述虚拟化平台中的第四虚拟机迁移到第五虚拟机的指令后,将收到的所述迁移指令中获取所述第五虚拟机所在服务器的地址,并在获取的服务器地址所指示的服务器上,将所述第五虚拟机的安全防护规则设置为所述第四虚拟机的安全防护规则。
[0020]采用本优选方案,通过虚拟机资源管理器与安全防护管理器之间的交互,可实现实时、动态地配置虚拟机安全防护规则。
[0021]第二方面,本发明实施例还提供了一种虚拟化平台中的安全防护方法,该方法包括:
[0022]虚拟化平台中的服务器接收网络数据;
[0023]所述服务器在确定收到的网络数据是发给所述服务器上运行的一个虚拟机时,根据所述服务器上的该虚拟机的安全防护规则对收到的网络数据进行过滤。
[0024]本方案中,由于虚拟化平台中的每一台服务器向该服务器上的每个虚拟机分别体统安全防护服务,避免了采用专用硬件防火墙设备为整个虚拟机提供安全防护服务存在的性能瓶颈和单点故障的问题。
[0025]第三方面,本发明实施例还提供了一种用于虚拟化平台中的服务器,所述服务器上运行至少一个虚拟机,所述服务器包括:
[0026]接收模块,用于接收网络数据;
[0027]处理模块,用于在确定所述接收模块收到的网络数据是发给所述服务器上运行的一个虚拟机时,根据所述服务器上的该虚拟机的安全防护规则对收到的网络数据进行过滤。
[0028]本方案中,由于虚拟化平台中的每一台服务器向该服务器上的每个虚拟机分别体统安全防护服务,避免了采用专用硬件防火墙设备为整个虚拟机提供安全防护服务存在的性能瓶颈和单点故障的问题。
[0029]第四方面,本发明实施例还提供了一种虚拟化平台中设置虚拟机的安全防护规则的方法,用以提供一种设置虚拟化平台中虚拟机的安全防护规则的方法,所述方法包括:
[0030]在确定需要设置所述虚拟化平台中的特定虚拟机的安全防护规则后,确定所述特定虚拟机所在服务器的地址;
[0031]向确定的所述服务器的地址指示的服务器发送设置指令,以在确定的所述服务器上设置所述特定虚拟机的安全防护规则。
[0032]采用本方案,当需要设置特定虚拟机的安全防护规则时,由于对虚拟机的安全防护功能是由虚拟机所在的服务器实现的,所以需要确定虚拟机所在服务器的地址,之后,向获取的地址指示的服务器发送设置指令,以在该服务器上设置所述特定虚拟机的安全防护规则。
[0033]较佳地,所述确定需要设置所述特定虚拟机的安全防护规则,包括:在收到用户设置所述特定虚拟机的安全防护规则的指令后,确定需要设置所述特定虚拟机的安全防护规则;确定所述特定虚拟机所在服务器的地址,包括:向所述虚拟化平台的虚拟机资源管理器发送用于查询所述特定虚拟机所在服务器的地址的请求,将收到的所述虚拟机资源管理器响应所述请求返回的服务器的地址作为所述特定虚拟机所在服务器的地址;或
[0034]所述确定需要设置所述特定虚拟机的安全防护规则,包括:在收到所述虚拟机资源管理器创建所述特定虚拟机的指令后,确定需要创建所述特定虚拟机的安全防护规则;确定所述特定虚拟机所在服务器的地址,包括:从收到的所述创建指令中获取所述特定虚拟机所在服务器的地址;或
[0035]所述确定需要设置所述特定虚拟机的安全防护规则,包括:在收到所述虚拟机资源管理器删除所述特定虚拟机的指令后,确定需要删除所述特定虚拟机的安全防护规则;确定所述特定虚拟机所在服务器的地址,包括:从收到的所述删除指令中获取所述特定虚拟机所在服务器的地址;或
[0036]所述确定需要设置所述特定虚拟机的安全防护规则,包括:在收到所述虚拟机资源管理器将所述虚拟化平台中的源虚拟机迁移到所述特定虚拟机的指令后,确定需要创建所述特定虚拟机的安全防护规则;确定所述特定虚拟机所在服务器的地址,包括:从收到的所述迁移指令中获取所述特定虚拟机所在服务器的地址;所述向确定的所述服务器的地址指示的服务器发送设置指令,以在确定的所述服务器上设置所述特定虚拟机的安全防护规则,包括:向确定的所述服务器的地址指示的服务器发送设置指令,所述设置指令中包括所述源虚拟机的安全防护规则,以在确定的所述服务器上将所述特定虚拟机的安全防护规则设置为所述源虚拟机的安全防护规则;或
[0037]所述确定需要设置所述特定虚拟机的安全防护规则,包括:在收到所述虚拟机资源管理器将所述特定虚拟机迁移到所述虚拟化平台中的目的虚拟机的指令后,确定删除创建所述特定虚拟机的安全防护规则;确定所述特定虚拟机所在服务器的地址,包括:从收到的所述迁移指令中获取所述特定虚拟机所在服务器的地址。
[0038]采用本优选方案,可实现根据用户指令或虚拟化平台平台中虚拟机的动态变化,实现为虚拟机动态配置安全防护规则。
[0039]第五方面,本发明实施例还提供了一种虚拟化平台中的安全防护管理器,所述安全防护管理器包括:
[0040]处理模块,用于在确定需要设置所述虚拟化平台中的特定虚拟机的安全防护规则后,确定所述第一虚拟机所在服务器的地址;
[0041]发送模块,用于向所述处理模块确定的所述服务器的地址指示的服务器发送设置指令,以在确定的所述服务器上设置所述特定虚拟机的安全防护规则。
[0042]采用本方案,当需要设置特定虚拟机的安全防护规则时,由于对虚拟机的安全防护功能是由虚拟机所在的服务器实现的,所以需要确定虚拟机所在服务器的地址,之后,向获取的地址指示的服务器发送设置指令,以在该服务器上设置所述特定虚拟机的安全防护规则。
[0043]较佳地,所述处理模块具体用于:在收到用户设置所述特定虚拟机的安全防护规则的指令后,确定需要设置所述特定虚拟机的安全防护规则;所述发送模块还用于:在所述处理模块确定需要设置所述特定虚拟机的安全防护规则后,向所述虚拟化平台的虚拟机资源管理器发送用于查询所述特定虚拟机所在服务器的地址的请求;所述处理模块具体用于:将收到的所述虚拟机资源管理器响应所述请求返回的服务器的地址作为所述特定虚拟机所在服务器的地址;或
[0044]所述处理模块具体用于:在收到所述虚拟机资源管理器创建所述特定虚拟机的指令后,确定需要创建所述特定虚拟机的安全防护规则,并从收到