对虚拟化环境下的多台主机进行管理的方法、可读介质与流程

本发明涉及虚拟机技术领域，具体涉及一种对虚拟化环境下的多台主机进行管理的方法、计算机可读存储介质，计算机可读存储介质被处理器执行时能实现对虚拟化环境下的多台主机进行管理的方法。

背景技术：

虚拟化成为当前数据中心的标配之一，也是云计算的基础技术之一。虚拟化，是指通过虚拟化技术将一台计算机虚拟为多台逻辑计算机。在一台计算机上同时运行多个逻辑计算机，每个逻辑计算机可运行不同的操作系统，并且多个应用程序都可以在相互独立的空间内运行而互不影响，从而显著提高计算机的工作效率。虚拟化使用软件的方法重新定义划分it资源，可以实现it资源的动态分配、灵活调度、跨域共享，提高it资源利用率，使it资源能够真正成为社会基础设施，服务于各行各业中灵活多变的应用需求。

对于云计算数据中心，虚拟化环境中的安全问题不容忽视。在这个环境中，不仅旧有的安全问题依然存在；由虚拟化技术引入的问题带来了更多的安全威胁。云计算数据中心的计算资源和存储资源主要由（服务器）主机组成，网络虚拟化也可能用到一些（服务器）主机。这些主机的安全性十分关键。保证主机可信，是数据中心安全的基石。如果主机已经被植入病毒，或留有后门供攻击者调用，把主机接入到数据中心就会感染其他机器。现有技术中通过安全秘钥验证等方式实现对主机及其数据传输的安全保障，安全性保障较低。

技术实现要素：

区块链（blockchain）是一种分布式数据库，是一串使用密码学方法相关联产生的数据块，每一个数据块中包含了一次交易的信息，用于验证其信息的有效性（防伪）和生成下一个区块。区块链通过去中心化和去信息的方式集体维护一个可靠数据库的技术方案。目前，区块链的节点设备往往是在物理主机上创建的虚拟机，而发明人想到：云计算数据中心本身拥有大量的主机资源，因此利用这些主机资源本身作为区块链的节点来构建区块链，使用方便且能通过区块链技术有效保障云计算数据中心中的主机安全可信。

本发明提供一种安全性保障较高的对虚拟化环境下的多台主机进行管理的方法。

对虚拟化环境下的多台主机进行管理的方法，包括：

区块链构建步骤，其以虚拟化环境下的多台主机分别作为多个节点设备构建区块链；

区块链应用步骤，其具体包括如下步骤：

主机状态获取步骤，其获取当前主机的变化信息；

记录步骤，其将所获取的变化信息记录到该主机所属区块的存储内容，将当前时间记录到该区块的时间戳；

广播步骤，当前主机向全网发起广播；

验证步骤，区块链上的其他区块链节点收到当前主机的广播，则分别向云管理平台验证发起广播的主机所属区块的存储内容，验证的结果为合规或不合规；

接收步骤，若存在所述验证步骤的验证结果为合规，则发起验证的区块链节点接收广播的内容，将所接收的内容添加至链上形成记录。

其中，所述主机状态获取步骤中，服务器主机的变化信息包括主机退出、主机特性变化、主机授权信息变化、主机位置变化中的一种或多种。

其中，判断所获取的主机状态是否属于预设的主机授权信息变化，若判断结果为是则将主机授权信息记录至区块链上当前区块的存储内容，将当前时间记入至区块的时间戳。

其中，所述主机授权信息包括主机事件、主机机器特征、主机位置信息、编辑者信息中的一种或多种。

其中，所述验证步骤中，若主机事件为主机授权信息变化，则通过云管理平台的license管理模块查找预存的license库，判断变化后的授权信息是否在所述预存的license库内，若判断结果为是则验证的结果为合规。

其中，所述验证步骤中，若主机事件为非主机授权信息变化，则通过云管理平台的服务器管理模块查找预存的服务器信息记录库，判断变化后的非主机授权信息是否在所述预存的服务器信息记录库内，若判断结果为是则验证的结果为合规。

其中，所述非主机授权信息变化包括主机退出、主机特性变化、主机位置变化中的一种或多种。

其中，所述验证步骤中，若验证结果为不合规，则其他区块链节点判断发生非法主机事件，分别报告给云管理平台。

还提供一种计算机可读存储介质，其存储有计算机程序，所述计算机程序被处理器执行时能够实现上述对虚拟化环境下的多台主机进行管理的方法。

还提供一种对虚拟化环境下的多台主机进行管理的系统，包括云管理平台服务器、计算虚拟化服务器、网络服务器和存储服务器，还包括上述计算机可读存储介质，该计算机可读存储介质上的计算机程序可被处理器执行，还包括以所述多个服务器在虚拟化环境下的多台主机为节点设备的区块链。

有益效果：该对虚拟化环境下的多台主机进行管理的方法，以虚拟化环境下的多台主机分别作为多个节点设备构建区块链，全部的信息变化都公开广播到链上，一旦发生验证的结果为不合规，即验证不通过事件，则说明当前主机存在感染风险，主机可能被植入病毒或被攻击篡改，此时该对虚拟化环境下的多台主机进行管理的系统提醒用户进行安全检查或者直接断开该主机的链接。使用区块链技术来保证数据中心中主的安全可信，相对安全秘钥验证等方式具备更高级别的安全性，能够保证用户在使用资源时能获得可信安全的服务，安全性保障很高。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是对虚拟化环境下的多台主机进行管理的系统结构拓扑图。

图2是对虚拟化环境下的多台主机进行管理的系统架构图。

图3是以虚拟化环境下的多台主机分别作为多个节点设备构建的区块链的结构示意图。

图4是主机可信区块链创建流程示意图。

图5是云管平台认证主机流程。

图6是主机资源使用流程。

具体实施方式

以下结合具体实施方式对本发明创造作进一步详细说明。

本实施例的对虚拟化环境下的多台主机进行管理的方法通过如图1所示的虚拟化系统实现，其中虚拟化环境包括云管理平台服务器、多个计算虚拟化服务器、网络服务器和存储服务器，云管理平台服务器和网络服务器部署在物理机上，而计算虚拟化服务器和存储服务器则为虚拟主机，其中网络服务器也可以为虚拟主机，在区块链构建步骤中以虚拟化环境下的多台主机分别作为多个节点设备构建区块链后，上述全部服务器都是以公有链技术构建的区块链的成员。

其中，如图2所示，云管理平台包括区块链运维模块、资源分配管理模块、服务器管理模块、主机事件管理模块、主机状态审核模块、认证主机模块、license管理模块，并且预存有服务器信息记录库、主机事件记录库、license库和区块链记录库。以下对各个模块进行详细说明。

区块链运维模块：区块链运行和维护的保障，包括区块创建模块、区块链运维模块和区块查找模块；其中区块创建模块负责新区块的创建，区块链运维模块包括区块链中的挖矿工作和共识计算的达成（共识约定需要超过85%的群体验证），区块查找模块在区块链记录中查找所有包含指定主机信息即主机机器特征的区块。

资源分配管理模块：是云平台负责向用户发放及回收计算、存储、网络资源的管理模块，包括预分配模块和分配模块；预分配模块根据用户的需求如创建虚拟机、存储变化、网络变化的需要，在数据中心现有计算、存储、网络资源规划分配，此时资源仅被锁定，没有真正的分配给用户；分配模块是在云管理平台对资源相关的主机进行验证成功之后再将资源分配给用户使用。

服务器管理模块：对数据中心的所有服务器主机进行管理，包括将云管理平台使用服务器管理模块记录至服务器信息记录库。

主机事件管理模块：对数据中心内所有服务器主机发生的事件进行管理，包括主机事件合法性的审核及记录，主机事件包括新主机加入、主机退出、主机特性变化、主机授权信息变化、主机位置变化，外部模块可调用主机事件管理模块以判断指定的主机事件及时间是否合法。

主机状态审核模块：对收到的主机状态发生的变化通知进行审核，以确保该变动是合法有效的。

认证主机模块：对计划加入数据中心的服务器主机进行认证。

license管理模块：负责对数据中心采购的软件的许可证的发放和回收进行管理，对许可证的整个生命周期进行管理。

相对的，服务器主机（含计算虚拟化服务器、网络服务器和存储服务器）上包括区块链运维模块、主机状态监控模块、license管理模块和区块链记录库。以下对各个模块进行详细说明。

区块链运维模块：区块链运行和维护的保障，包括区块创建模块和区块链运维模块；其中区块创建模块负责新区块的创建，区块链运维模块包括区块链中的挖矿工作和共识计算的达成（共识约定需要超过85%的群体验证）。

主机状态监控模块：对本地服务器主机的状态进行监控，一旦主机状态发生变化，则向云管理平台的主机状态审核模块进行报告。

license管理模块：对本地服务器主机所使用所有软件的许可证的有效期和合法性进行管理。

优选地，区块链结构为常规的公有链，具体如图3所示，包括以下4个部分：

（1）哈希数值是区块链上一个区块的哈希值；

（2）存储内容，包括如下四个部分：

主机机器特征：cpu编号、bios编号、网卡mac地址、显卡编号、硬盘序列号；

主机授权信息：主机安装软件（虚拟化平台或其他系统）的名称、版本号、license信息、购买软件的用户信息、软件激活时间、软件失效时间；

主机位置信息：主机的ip地址，所属的数据中心和资源池信息；

编辑者信息：办理主机入网的人员信息随机数是由区块链成员竞争算出；

（3）随机数是由其他区块链成员竞争算出；

（4）时间戳是生成区块的时刻。

该对虚拟化环境下的多台主机进行管理的方法，在通过上述系统以虚拟化环境下的多台主机分别作为多个节点设备构建区块链后，对该区块链进行应用。具体应用步骤如下：

主机状态获取步骤.获取当前主机的变化信息；

记录步骤.将所获取的变化信息记录到该主机所属区块的存储内容，将当前时间记录到该区块的时间戳；

广播步骤.当前主机向全网广播；

验证步骤.区块链上的其他区块链节点收到当前主机的广播，分别则向云管理平台验证发起广播的区块的存储内容，验证的结果为合规或不合规；

接收步骤.若存在所述验证步骤的验证结果为合规，则发起验证的区块链节点接收广播的内容，将所接收的内容添加至链上形成记录。

该对虚拟化环境下的多台主机进行管理的方法，以虚拟化环境下的多台主机分别作为多个节点设备构建区块链，全部的信息变化都公开广播到链上，每个服务器都是参与记账者，共同存储当前的所有的区块链信息。一旦发生验证的结果为不合规，即验证不通过事件，则说明当前主机存在感染风险，可提醒用户进行安全检查或者直接断开该主机的链接。使用区块链技术来保证数据中心中主的安全可信，从而保证用户在使用资源时能获得可信安全的服务，安全性保障很高。

以下对该虚拟化环境下的多台主机进行管理的方法的三个主要流程进行说明：主机可信区块链创建流程、云管平台认证主机流程和主机资源使用流程。

一、主机可信区块链创建流程（见图4）。

1）服务器主机状态变化，具体包括主机退出、主机特性变化、主机授权信息变化、主机位置变化。

2）判断主机事件是否为主机授权信息变化：

a）如是则进入第3步；

b)如不是，这种情况为主机退出、主机特性变化、主机位置变化情况；主机首先向云管理平台报备，并经管理员审核；云管理平台使用服务器管理模块记录至服务器信息记录库。

3）服务器主机将“主机事件”、“主机机器特征”、“主机授权信息”、“主机位置信息”、“编辑者信息”记录至区块的“存储内容”，将当前时间记入至区块的“时间戳”。

4）服务器主机向全网广播，等待其他服务器确认。

5）区块链成员收到信息，向云管理平台验证区块的存储内容：

a）若主机事件为“主机授权信息变化”，则通过云管理平台的license管理模块查找license库，并且使用主机事件管理模块来确定事件是否合规；

b）其他事件如主机退出、主机特性变化、主机位置变化，则通过云管理平台的服务器管理模块查找服务器信息记录库，并且使用主机事件管理模块来确定事件是否合规。

6）根据以上的合规结果进行分类处理：

a）若第5步结果为合规；则其他区块链节点接收内容，并添加至链上提供永久透明的记录；

b）若第5步结果为不合规；则其他区块链节点将此非法主机事件，并报告给云管理平台；云管理平台日志记录。

7）流程结束。

优选地，主机事件为主机授权信息变化时，事件是由云管理平台上的license管理模块触发，直接更新license库。如果此时授权失效且授权为主机虚拟化平台/主机操作系统授权失效，那么在执行完本次主机可信区块链创建流程后，直接执行主机退出流程的主机可信区块链创建流程。

二、云管平台认证主机流程（见图5）。

1）服务器主机加入数据中心。

2）服务器主机向云管理平台申请认证并提供：（１）主机机器特征，包括cpu编号、bios编号、网卡mac地址、显卡编号、硬盘序列号；（２）主机所安装的虚拟化平台或其他系统的名称、版本号、购买软件的用户信息。

3）管理员在云管理平台上根据合同备案文档，查看服务器主机提供的消息是否合规：

a）若合规，则云管理平台的license管理模块在license库中记录许可信息，包括主机机器特征、安装软件名称/版本、失效期；云管理平台的服务器管理模块将主机信息记录至服务器信息记录库；云管理平台的license管理模块根据服务器主机提供的信息和合同备案，生成许可证文件，并推送给服务器主机，要求其在24小时内导入文件以激活；服务器主机导入许可证文件并完成激活，准备进入数据中心；

b)若不合规，则该服务器主机不能通过认证，不能进入数据中心。

4）流程结束。

三、主机资源使用流程（见图6）。

1）用户在客户端向云管理平台申请使用资源，如申请创建虚拟机、更改存储盘、更改网络。

2）云管理平台根据现有资料情况，使用资源分配管理模块预分配资源，即锁定预分配的计算服务器、存储服务器、网络服务器的服务器主机资源。

3）云管理平台根据以上服务器的信息，对每个服务器进行以下验证。

4）云管理平台根据服务器的信息，查找区块链中包含此服务器信息的所有区块；按区块生成的时间戳进行逆向排序，即队伍的第一个区块是时间最近生成的，最后一个区块是最早生成的区块。

5）对队伍的第一个区块，进行以下认证操作：

a）与服务器主机通信，以确认区块中存储内容关于此主机的特征及主机位置信息是否符合；

b）使用license管理模块，确定主机授权信息是否有效；

c）使用主机事件管理模块，判断区块中主机事件及时间是否合法。

6）根据第5步的认证结果，执行：

a）若认证通过，则使用主机事件管理模块，判定队伍的其他区块中记录的主机事件及时间是否合法：

a1）若所有记录均合法，则云管理平台使用资源分配管理模块将预分配的资源正式分配给用户；流程结束；

a2）若不合法，则此主机不是可信安全的服务器主机，云管理平台记录日志，重新预分配合适的新主机；返回第3步流程执行；

b）若认证未能通过，则此主机不是可信安全的服务器主机，云管理平台记录日志，重新预分配合适的新主机；返回第3步流程执行。

如上所述仅为本发明创造的实施方式，不以此限定专利保护范围。本领域技术人员在本发明创造的基础上作出非实质性的变化或替换，仍落入专利保护范围。