一种虚拟机访问装置和方法
【技术领域】
[0001]本发明涉及虚拟化技术领域,尤其涉及一种虚拟机访问装置和方法。
【背景技术】
[0002]随着硬件速度的不断提高,服务器性能大大提升,数据中心里面的部分服务器的使用率有所下降,为了提高服务器硬件利用率,降低数据中心的运行和维护成本,近年来,虚拟化技术得到了很大的发展。
[0003]虚拟机(Virtual Machine)是虚拟化技术的一种。虚拟机是通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。通过虚拟机软件,我们可以在一台物理计算机上模拟出一台或者多台虚拟的计算机,这些虚拟机完全就像真正的计算机那样进行工作。例如:可以安装操作系统、安装应用程序、访问网络资源等等。从用户角度看,它只是运行在物理计算机上的一个应用程序。但是,对于在虚拟机中运行的应用程序而言,它就像是在真正的计算机中进行工作一样。
【发明内容】
[0004]有鉴于此,本发明提供一种虚拟机访问装置和方法,应用在网关上。
[0005]具体地,所述装置包括:
[0006]权限获取单元,用于接收客户端发送的虚拟机访问请求报文,根据所述访问请求报文的源IP地址获取所述客户端对应的虚拟机访问权限,根据所述访问请求报文的目的IP地址,确定与该目的IP地址对应的虚拟机,并确定所述虚拟机所接入的虚拟交换机;
[0007]权限下发单元,用于将所述客户端对应的虚拟机访问权限下发给所述虚拟交换机,以供所述虚拟交换机控制所述虚拟机访问网络资源的权限;
[0008]接入代理单元,用于在所述访问权限成功下发后,将所述客户端发送的虚拟机访问请求报文转发给虚拟机,并将虚拟机返回的成功接入报文转发给客户端。
[0009]进一步地,所述装置还包括:
[0010]断开代理单元,用于接收客户端发送的虚拟机断开请求报文,并将所述断开请求报文转发给所述虚拟机;
[0011]权限重置单元,用于在接收到所述虚拟机返回的成功断开报文后,将预设的虚拟机缺省访问权限下发给所述虚拟交换机;
[0012]所述断开代理单元,进一步用于在所述虚拟机缺省访问权限成功下发后,将所述成功断开报文转发给客户端。
[0013]进一步地,所述虚拟交换机位于所述虚拟机所在的服务器上。
[0014]进一步地,IP地址在同一网段的客户端对应的虚拟机访问权限相同。
[0015]所述方法包括:接收客户端发送的虚拟机访问请求报文,根据所述访问请求报文的源IP地址获取所述客户端对应的虚拟机访问权限,根据所述访问请求报文的目的IP地址,确定与该目的IP地址对应的虚拟机,并确定所述虚拟机所接入的虚拟交换机;
[0016]将所述客户端对应的虚拟机访问权限下发给所述虚拟交换机,以供所述虚拟交换机控制所述虚拟机访问网络资源的权限;
[0017]在所述访问权限成功下发后,将所述客户端发送的虚拟机访问请求报文转发给虚拟机,并将虚拟机返回的成功接入报文转发给客户端。
[0018]进一步地,所述方法还包括:
[0019]接收客户端发送的虚拟机断开请求报文,并将所述断开请求报文转发给所述虚拟机;
[0020]在接收到所述虚拟机返回的成功断开报文后,将预设的虚拟机缺省访问权限下发给所述虚拟交换机;
[0021]在所述虚拟机缺省访问权限成功下发后,将所述成功断开报文转发给客户端。
[0022]进一步地,所述虚拟交换机位于所述虚拟机所在的服务器上。
[0023]进一步地,IP地址在同一网段的客户端对应的虚拟机访问权限相同。
[0024]由以上描述可以看出,本发明在网关设备上配置客户端IP地址和虚拟机访问权限的对应关系,在客户端要访问虚拟机的时候,将其访问权限下发给对应的虚拟交换机,由虚拟交换机来控制虚拟机读写数据的权限,从而控制客户端只能访问其有权限访问的资源,保证了企业数据的安全性。
【附图说明】
[0025]图1是本发明一种实施方式中虚拟机访问装置的逻辑结构示意图;
[0026]图2是本发明一种实施方式中虚拟机访问方法的一种流程示意图;
[0027]图3是本发明一种实施方式中虚拟机访问方法的另一种流程示意图。
【具体实施方式】
[0028]随着企业信息化程度的不断加深,很多企业引入了虚拟机,用于企业员工办公使用,而企业的商业机密和敏感信息也都存储在企业的网络以及IT环境中,这样,信息安全问题就变得尤其突出。比如,研发人员在企业研发部门内部访问虚拟机,就应该具有比较高的权限,可以访问规则相关的代码配置服务器以及网络资源。而在非研发部门登录虚拟机,就应该禁止其访问代码配置服务器。
[0029]有鉴于此,本发明提供一种虚拟机访问方案,可以实现对于不同区域的客户端进行虚拟机访问权限控制,进而确保企业数据安全。
[0030]下面以软件实现为例,详细描述本发明具体实现。本发明提供的虚拟机访问装置,其运行在网关设备上。作为本发明装置的运行载体,所述网关设备通常至少包括有CPU、内存以及非易失性存储器,当然还可能包括各种转发芯片以及I/o接口等硬件。请参考图1、图2和图3,所述装置包括有:权限获取单元、权限下发单元、接入代理单元、断开代理单元以及权限重置单元。在一个示例性的实施方案中,该装置在运行过程中执行如下步骤:
[0031]步骤101,权限获取单元接收客户端发送的虚拟机访问请求报文,根据所述访问请求报文的源IP地址获取所述客户端对应的虚拟机访问权限,根据所述访问请求报文的目的IP地址,确定与该目的IP地址对应的虚拟机,并确定所述虚拟机所接入的虚拟交换机。
[0032]步骤102,权限下发单元将所述客户端对应的虚拟机访问权限下发给所述虚拟交换机,以供所述虚拟交换机控制所述虚拟机访问网络资源的权限。
[0033]步骤103,接入代理单元在所述访问权限成功下发后,将所述客户端发送的虚拟机访问请求报文转发给虚拟机,并将虚拟机返回的成功接入报文转发给客户端。
[0034]本发明设计通过网关设备查询并向虚拟交换机下发客户端对应的虚拟机访问权限,以此来控制虚拟机只能读写其有权限访问的数据,进而实现对不同客户端的虚拟机访问权限进行不同的控制。
[0035]下面具体描述本发明的实现过程。由于本发明提供的装置是运行在网关设备上,故客户端发送的所有非局域网报文都会通过网关设备。所述权限获取单元接收到客户端发送的虚拟机访问请求报文,所述虚拟机访问请求报文的源IP地址是客户端的IP地址,目的IP地址是虚拟机的IP地址。所述权限获取单元根据所述虚拟机访问请求报文的源IP地址从本机获取所述客户端对应的虚拟机访问权限,根据所述目的IP地址确定所述虚拟机所接入的虚拟交换机。
[0036]具体地,为实现本发明目的,通常需要网络管理人员预先在网关设备上配置客户端对应的虚拟机访问权限。比如,网络管理人员可以根据