的所述创建指令中获取所述特定虚拟机所在服务器的地址;或
[0045]所述处理模块具体用于:在收到所述虚拟机资源管理器删除所述特定虚拟机的指令后,确定需要删除所述特定虚拟机的安全防护规则;并从收到的所述删除指令中获取所述特定虚拟机所在服务器的地址;或
[0046]所述处理模块具体用于:在收到所述虚拟机资源管理器将所述虚拟化平台中的源虚拟机迁移到所述特定虚拟机的指令后,确定需要创建所述特定虚拟机的安全防护规则;并从收到的所述迁移指令中获取所述特定虚拟机所在服务器的地址;所述发送模块具体用于:向确定的所述服务器的地址指示的服务器发送设置指令,所述设置指令中包括所述源虚拟机的安全防护规则,以在确定的所述服务器上将所述特定虚拟机的安全防护规则设置为所述源虚拟机的安全防护规则;或
[0047]所述处理模块具体用于:在收到所述虚拟机资源管理器将所述特定虚拟机迁移到所述虚拟化平台中的目的虚拟机的指令后,确定删除创建所述特定虚拟机的安全防护规则,并从收到的所述迁移指令中获取所述特定虚拟机所在服务器的地址。
[0048]采用本优选方案,可实现根据用户指令或虚拟化平台平台中虚拟机的动态变化,实现为虚拟机动态配置安全防护规则。
[0049]第六方面,本发明实施例还提供了一种虚拟化平台中设置虚拟机的安全防护规则的方法,所述方法包括:
[0050]接收虚拟化平台的安全防护管理器发送的用于查询第一虚拟机所在服务器的地址的请求,所述请求是所述安全防护管理器在收到用户设置所述第一虚拟机的安全防护规则的指令后发送的;
[0051]将所述第一虚拟机所在服务器的地址返回给所述安全防护管理器,以使所述安全防护管理器在收到的服务器的地址指示的服务器上设置所述第一虚拟机的安全防护规则。
[0052]采用本方案,当需要设置第一虚拟机的安全防护规则时,由于对第一虚拟机的安全防护功能是由第一虚拟机所在的服务器实现的,所以在收到安全防护管理器发送的查询第一虚拟机所在服务器的地址的请求后,将第一虚拟机所在服务器的地址返回给安全防护管理器,以使安全防护管理器在该地址指示的服务器上设置第一虚拟机的安全防护规则。
[0053]较佳地,所述方法还包括:
[0054]确定需要在所述虚拟化平台中创建第二虚拟机;向所述安全防护管理器发送创建所述第二虚拟机的指令,所述创建指令中包括所述第二虚拟机所在服务器的地址,以使所述安全防护管理器在收到的服务器的地址指示的服务器上创建所述第二虚拟机的安全防护规则;或
[0055]确定需要删除所述虚拟化平台中的第三虚拟机;向所述安全防护管理器发送删除所述第三虚拟机的指令,所述删除指令中包括所述第三虚拟机所在服务器的地址,以使所述安全防护管理器在收到的服务器的地址指示的服务器上删除所述第三虚拟机的安全防护规则;或
[0056]确定需要将所述虚拟化平台中的第四虚拟机迁移到第五虚拟机;向所述安全防护管理器发送将所述第四虚拟机迁移到所述第五虚拟机的指令,所述迁移指令中包括所述第四虚拟机所在服务器的地址、所述第五虚拟机所在服务器的地址,以使所述安全防护管理器在收到的所述第五虚拟机所在服务器的地址指示的服务器上,将所述第五虚拟机的安全防护规则设置为所述第四虚拟机的安全防护规则,并在收到的所述第四虚拟机所在服务器的地址指示的服务器上,删除所述第四虚拟机的安全防护规则。
[0057]采用本优选方案,可实现根据虚拟化平台中虚拟机的动态变化来设置虚拟机的安全防护规则。
[0058]第七方面,本发明实施例还提供一种虚拟化平台中的虚拟机资源管理器,所述虚拟机资源管理器包括:
[0059]第一处理模块,用于接收虚拟化平台的安全防护管理器发送的用于查询第一虚拟机所在服务器的地址的请求,所述请求是所述安全防护管理器在收到用户设置所述第一虚拟机的安全防护规则的指令后发送的;
[0060]第二处理模块,用于将所述第一虚拟机所在服务器的地址返回给所述安全防护管理器,以使所述安全防护管理器在收到的服务器的地址指示的服务器上设置所述第一虚拟机的安全防护规则。
[0061]采用本方案,当需要设置第一虚拟机的安全防护规则时,由于对第一虚拟机的安全防护功能是由第一虚拟机所在的服务器实现的,所以在收到安全防护管理器发送的查询第一虚拟机所在服务器的地址的请求后,将第一虚拟机所在服务器的地址返回给安全防护管理器,以使安全防护管理器在该地址指示的服务器上设置第一虚拟机的安全防护规则。
[0062]较佳地,所述第一处理模块还用于:确定需要在所述虚拟化平台中创建第二虚拟机;所述第二处理模块还用于:向所述安全防护管理器发送创建所述第二虚拟机的指令,所述创建指令中包括所述第二虚拟机所在服务器的地址,以使所述安全防护管理器在收到的服务器的地址指示的服务器上创建所述第二虚拟机的安全防护规则;或
[0063]所述第一处理模块还用于:确定需要删除所述虚拟化平台中的第三虚拟机;所述第二处理模块还用于:向所述安全防护管理器发送删除所述第三虚拟机的指令,所述删除指令中包括所述第三虚拟机所在服务器的地址,以使所述安全防护管理器在收到的服务器的地址指示的服务器上删除所述第三虚拟机的安全防护规则;或
[0064]所述第一处理模块还用于:确定需要将所述虚拟化平台中的第四虚拟机迁移到第五虚拟机;所述第二处理模块还用于:向所述安全防护管理器发送将所述第四虚拟机迁移到所述第五虚拟机的指令,所述迁移指令中包括所述第四虚拟机所在服务器的地址、所述第五虚拟机所在服务器的地址,以使所述安全防护管理器在收到的所述第五虚拟机所在服务器的地址指示的服务器上,将所述第五虚拟机的安全防护规则设置为所述第四虚拟机的安全防护规则,并在收到的所述第四虚拟机所在服务器的地址指示的服务器上,删除所述第四虚拟机的安全防护规则。
[0065]采用本优选方案,可实现根据虚拟化平台中虚拟机的动态变化来设置虚拟机的安全防护规则。
【附图说明】
[0066]图1为现有的第一种虚拟化平台中为虚拟机提供安全防护的方案的示意图;
[0067]图2为本发明实施例提供的虚拟化平台的结构示意图;
[0068]图3为现有的第二种虚拟化平台中为虚拟机提供安全防护的方案的示意图;
[0069]图4为本发明实施例提供的虚拟化平台中,安全防护管理器根据用户指令设置虚拟机的安全防护规则的方法的流程图;
[0070]图5为本发明实施例提供的虚拟化平台中,安全防护管理器收到虚拟机资源管理器创建虚拟机的指令后的处理方法的流程图;
[0071]图6为本发明实施例提供的虚拟化平台中,安全防护管理器收到虚拟机资源管理器创建虚拟机的指令后的处理方法的流程图;
[0072]图7为本发明实施例提供的虚拟化平台中,安全防护管理器收到虚拟机资源管理器将一个虚拟机迁移到另一个虚拟机的指令后的处理方法的流程图;
[0073]图8为本发明实施例提供的创建虚拟机和设置虚拟机的安全防护规则的方法流程图;
[0074]图9为本发明实施例中的安全防护规则链的示意图;
[0075]图10为本发明实施例提供的虚拟化平台中的安全防护方法的流程图;
[0076]图11为本发明实施例提供的虚拟化平台中的服务器的结构示意图;
[0077]图12为本发明实施例提供的第一种虚拟化平台中设置虚拟机的安全防护规则的方法的流程图;
[0078]图13为本发明实施例提供的虚拟化平台中的安全防护管理器的结构示意图;
[0079]图14为本发明实施例提供的第二种虚拟化平台中设置虚拟机的安全防护规则的方法流程图;
[0080]图15为本发明实施例提供的虚拟化平台中的虚拟机资源管理器的结构示意图。
【具体实施方式】
[0081]本发明实施例提供一种虚拟化平台、安全防护方法及装置,用以解决采用专用的硬件防火墙设备为整个虚拟化平台提供安全防护的方案存在性能瓶颈和单点故障的问题。在本发明实施例提供的虚拟化平台中,包括:至少一台服务器,每一台服务器上运行至少一个虚拟机,其中,每一台服务器用于向该服务器上的每个虚拟机分别提供安全防护服务。由于虚拟化平台中的每一台服务器向该服务器上的每个虚拟机分别体统安全防护服务,避免了采用专用硬件防火墙设备为整个虚拟机提供安全防护服务存在的性能瓶颈和单点故障的问题。
[0082]下面,参考附图对本发明实施例进行详细说明。
[0083]图2为本发明实施例提供的虚拟化平台的结构示意图。如图2所示,该虚拟化平台包括:
[0084]至少一台服务器;
[0085]每一台服务器上运行至少一个虚拟机VM ;
[0086]其中,每一台服务器为其上的每个虚拟机分别提供安全防护服务。
[0087]由于服务器仅为其上的虚拟机提供安全防护服务,所以避免了当一台硬件防火墙设备为虚拟化平台上的所有虚拟机提供安全防护服务时存在的单点故障和性能瓶颈的问题,并具有良好的内网隔离性。
[0088]图3为现有的虚拟化平台中第二种为虚拟机提供安全防护的示意图。如图3所示,该方案中,在每一个虚拟机上实现对该虚拟机进行安全防护的虚拟防火墙,根据虚拟机可以动态创建的特点,动态创建虚拟防火墙,并且通过虚拟化平台的管理系统控制,使不同VLAN的虚拟机流量流经不同的虚拟防火墙,从而达到负荷分担的效果。该方案相对于图1中的硬件防火墙相比,可部分缓解单点故障和性能瓶颈的问题,但其存在如下缺点:
[0089]I)显著增加了虚拟化平台的管理系统的复杂度,虚拟化平台的管理系统需要根据各VLAN的负载动态管理虚拟防火墙的实例数,还要确保虚拟防火墙的高可用行;
[0090]2)虚拟防火墙的性能远不及物理防火墙,容易造成性能瓶颈。
[0091]采用本发明实施例提供的虚拟化平台,由于虚拟机的安全防护功能由该虚拟机所在的服务器提供,网络性能由每一台服务器的处理性能决定,且不需要图3方案中的复杂的防火墙的管理,实现简单,性