专利名称:虚拟机访问控制的方法和装置的制作方法
技术领域:
本发明涉及计算机领域,具体地,涉及一种虚拟机访问控制的方法和装置。
背景技术:
目前传统的物理防火墙可以做到对物理服务器的访问控制,通过在物理防火墙中设置相应的规则,控制物理服务器中的不同用户、不同应用程序、不同端口的访问规则。现有技术中的物理防火墙只能够做到控制物理服务器的层面,对于物理机内部的虚拟机之间的访问控制是无法实现的,因为,虚拟机之间的数据交互和访问是不通过外部的交换设备的,所以传统物理防火墙不能够对访问进行控制。
针对相关技术中无法针对物理机内虚拟机访问进行控制的问题,目前尚未提出有效的解决方案。
发明内容
针对相关技术中无法针对物理机内虚拟机访问进行控制的问题,本发明提出一种虚拟机访问控制的方法和装置,能够对物理服务器中的虚拟机进行访问控制。本发明的技术方案是这样实现的根据本发明的一个方面,提供了一种虚拟机访问控制的方法。该方法包括对物理服务器中的多个虚拟机进行隔离;在接收到访问请求的情况下,从访问请求中提取访问条件,并根据访问条件确定需要访问的虚拟机。其中,该方法进一步包括将多个虚拟机划分至不同的域。并且,根据以下任一方式将多个虚拟机划分至不同的域根据IP地址将多个虚拟机划分至不同的域;根据操作系统将多个虚拟机划分至不同的域。此外,访问条件包括需要访问的虚拟机的端口号。而且,在用户通过一虚拟机访问其他虚拟机的情况下,根据被访问虚拟机的访问限制条件确定该虚拟机是否能被访问,其中,访问限制条件用于表示该虚拟机是否能够被其他虚拟机访问。根据本发明的另一个方面,提供了一种虚拟机访问控制的装置。该装置包括隔离配置模块,用于对物理服务器中的多个虚拟机进行隔离;确定模块,用于在接收到访问请求的情况下,从访问请求中提取访问条件,并根据访问条件确定需要访问的虚拟机。其中,隔离配置模块用于通过将多个虚拟机划分至不同的域来对多个虚拟机进行隔离。并且,隔离配置模块用于根据虚拟机的IP地址和/或虚拟机的操作系统将多个虚拟机划分至不同的域。 此外,访问条件包括需要访问的虚拟机的端口号。而且,确定模块用于在用户通过一虚拟机访问其他虚拟机的情况下,根据被访问虚拟机的访问限制条件确定该虚拟机是否能被访问,其中,访问限制条件用于表示该虚拟机是否能够被其他虚拟机访问。本发明通过对物理服务器中的多个虚拟机进行隔离,在接收到访问请求的情况下,从访问请求中提取访问条件,并根据访问条件确定需要访问的虚拟机,能够实现对物理服务器中的虚拟机进行访问控制。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图I是根据本发明实施例的虚拟机访问控制的方法的流程图;图2是根据本发明实施例的虚拟机访问控制的装置的原理框图;图3是根据本发明实施例的物理服务器及其中虚拟机的关系框图。
具体实施例方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本发明保护的范围。根据本发明的实施例,提供了一种虚拟机访问控制的方法。如图I所示,根据本发明实施例的虚拟机访问控制的方法包括步骤S101,对物理服务器中的多个虚拟机进行隔离;步骤S103,在接收到访问请求的情况下,从访问请求中提取访问条件,并根据访问条件确定需要访问的虚拟机。其中,该方法进一步包括将多个虚拟机划分至不同的域。并且,该方法可以根据以下任一方式将多个虚拟机划分至不同的域根据IP地址将多个虚拟机划分至不同的域;根据操作系统将多个虚拟机划分至不同的域。此外,上述的访问条件可以包括需要访问的虚拟机的端口号。而且,在用户通过一虚拟机访问其他虚拟机的情况下,根据被访问虚拟机的访问限制条件确定该虚拟机是否能被访问,其中,访问限制条件用于表示该虚拟机是否能够被其他虚拟机访问。根据本发明的实施例,提供了一种虚拟机访问控制的装置。如图2所示,根据本发明实施例的虚拟机访问控制装置包括
隔离配置模块21,用于对物理服务器中的多个虚拟机进行隔离;确定模块22,用于在接收到访问请求的情况下,从访问请求中提取访问条件,并根据访问条件确定需要访问的虚拟机。其中,隔离配置模块21用于通过将多个虚拟机划分至不同的域来对多个虚拟机进行隔离。并且,隔离配置模块21用于根据虚拟机的IP地址和/或虚拟机的操作系统将多个虚拟机划分至不同的域。此外,访问条件包括需要访问的虚拟机的端口号。而且,确定模块22用于在用户通过一虚拟机访问其他虚拟机的情况下,根据被访问虚拟机的访问限制条件确定该虚拟机是否能被访问,其中,访问限制条件用于表示该虚 拟机是否能够被其他虚拟机访问。根据本发明的技术方案,首先,在一台物理服务器中安装操作系统,然后在操作系统中安装虚拟机软件,并且在虚拟机软件中安装多个windows或者Iinux操作系统。为了保证多个操作系统之间的隔离,需要在其中一个虚拟出来的操作系统中安装防火墙软件。然后通过防火墙软件将物理机中的不同虚拟机进行隔离,为不同的操作系统提供访问控制服务,可以控制访问所需的端口、规则。虚拟机可以划分不同的域,通过虚拟防火墙实现不同域之间的访问控制。如图3所示,为根据本发明实施例的物理服务器及其中虚拟机的关系框图。例如,首先在某台虚拟机中安装虚拟防火墙软件(可以理解为将这台虚拟机配置为具有上述虚拟机访问控制的装置的功能),这台虚拟机可以与虚拟机I、虚拟机2、虚拟机3进行交互,可以根据用户的要求访问任意一台虚拟机。并且,每台虚拟机都根据防火墙软件预先被配置是否可以接受其他虚拟机的访问。例如,如果虚拟机I被配置为可以接受其他虚拟机的访问,则虚拟机2和虚拟机3均可以访问虚拟机I ;如果虚拟机2被配置为不可以接受其他虚拟机的访问,则虚拟机I和虚拟机3均不可以访问虚拟机2。在本发明的技术方案中,利用了虚拟防火墙能够控制虚拟机之间互相通信的特点,实现了虚拟机之间的访问控制。同时,由于没有采用物理防火墙,可以节约成本。虚拟的防火墙由于是软件产品,可以在需要的时候任意生成,所以可以做到任意的虚拟机之间的访问控制。虚拟机可以划分不同的域,通过虚拟防火墙可以做到不同域之间的访问控制。综上所述,借助于本发明的上述技术方案,通过对物理服务器中的多个虚拟机进行隔离,在接收到访问请求的情况下,从访问请求中提取访问条件,并根据访问条件确定需要访问的虚拟机,能够对物理服务器中的虚拟机进行访问控制。以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种虚拟机访问控制的方法,其特征在于,所述方法包括 对物理服务器中的多个虚拟机进行隔离; 在接收到访问请求的情况下,从所述访问请求中提取访问条件,并根据所述访问条件确定需要访问的虚拟机。
2.根据权利要求I所述的方法,其特征在于,进一步包括 将所述多个虚拟机划分至不同的域。
3.根据权利要求2所述的方法,其特征在于,根据以下任一方式将所述多个虚拟机划分至不同的域 根据IP地址将所述多个虚拟机划分至不同的域; 根据操作系统将所述多个虚拟机划分至不同的域。
4 根据权利要求I所述的方法,其特征在于,所述访问条件包括 需要访问的虚拟机的端口号。
5.根据权利要求I所述的方法,其特征在于,在用户通过一虚拟机访问其他虚拟机的情况下,根据被访问虚拟机的访问限制条件确定该虚拟机是否能被访问,其中,所述访问限制条件用于表示该虚拟机是否能够被其他虚拟机访问。
6.一种虚拟机访问控制的装置,其特征在于,所述装置包括 隔离配置模块,用于对物理服务器中的多个虚拟机进行隔离; 确定模块,用于在接收到访问请求的情况下,从所述访问请求中提取访问条件,并根据所述访问条件确定需要访问的虚拟机。
7.根据权利要求6所述的装置,其特征在于,所述隔离配置模块用于通过将所述多个虚拟机划分至不同的域来对所述多个虚拟机进行隔离。
8.根据权利要求7所述的装置,其特征在于,所述隔离配置模块用于根据虚拟机的IP地址和/或虚拟机的操作系统将所述多个虚拟机划分至不同的域。
9.根据权利要求6所述的装置,其特征在于,所述访问条件包括需要访问的虚拟机的端口号。
10.根据权利要求6所述的装置,其特征在于,所述确定模块用于在用户通过一虚拟机访问其他虚拟机的情况下,根据被访问虚拟机的访问限制条件确定该虚拟机是否能被访问,其中,所述访问限制条件用于表示该虚拟机是否能够被其他虚拟机访问。
全文摘要
本发明公开了一种虚拟机访问控制的方法,该方法包括对物理服务器中的多个虚拟机进行隔离;在接收到访问请求的情况下,从访问请求中提取访问条件,并根据访问条件确定需要访问的虚拟机。本发明通过对物理服务器中的多个虚拟机进行隔离,在接收到访问请求的情况下,从访问请求中提取访问条件,并根据访问条件确定需要访问的虚拟机,能够对物理服务器中的虚拟机进行访问控制。
文档编号G06F9/455GK102929690SQ20121044158
公开日2013年2月13日 申请日期2012年11月7日 优先权日2012年11月7日
发明者丁明威 申请人:曙光云计算技术有限公司