技術領域

本發明涉及計算機網絡技術領域，特別涉及一種虛擬機的訪問控制方法、系統和裝置。

背景技術

隨著云計算的飛速發展，在過去幾年中云計算的概念、核心技術及其應用得到了政府、科研機構以及業界廠商的高度重視。從技術上來講，云計算就是計算的虛擬化，即通過虛擬機實現云計算，從而帶來虛擬化的網絡訪問問題。與傳統網絡相比，虛擬化網絡的訪問方式有了很大變化，因此不能采用原有的技術來規劃現在的虛擬化網絡。而虛擬化網絡內各個虛擬機之間的隔離技術，作為實現虛擬化網絡安全控制的必要步驟，成為了困擾云計算發展的瓶頸。

現有的實現虛擬機之間互相隔離的方法主要有兩種方式，

第一種方式，利用iptables(ip表)防火墻對同一物理機上運行的多個虛擬機進行隔離。然而，利用iptables隔離多個虛擬機，需要在該物理機上手動添加iptables的規則，即添加不同IP地址的input/output/forward(輸入/輸出/轉發)方法。

第二種方式，利用PVLAN(Private?Virtual?Local?Area?Network，專用虛擬局域網)技術隔離屬于不同物理機之間的虛擬機。需要在交換機上進行配置，并將物理機與交換機連接的端口設置成isolated(隔離)。

從以上兩種方式中可以看出，現有實現虛擬機之間互相隔離的方式都是基于交換機層面的控制，即一個交換機端口對應一個控制點。這無法解決多個虛擬機通過一個交換機端口發出數據包而導致的數據安全控制問題。例如，一個物理機與交換機的一個端口相連接，但是該物理機之上運行有多個虛擬機，此時交換機就無法獲知接收到的數據包來自于該物理機上的哪一個虛擬機，從而無法進行有效的安全控制。同樣地，同一個物理機內虛擬機之間數據流的控制，也沒有通過交換機層面的控制，在物理機內部就完成了，因此對于這種不通過交換機的情況也無法進行有效地進行虛擬機之間的相互隔離，從而滿足網絡控制的安全需要。

發明內容

本發明旨在至少解決現有技術中存在的技術問題之一，為此，本發明的一個目的在于提出一種虛擬機的訪問控制方法、系統和裝置。

本發明實施例第一方面提出了一種虛擬機的訪問控制方法，包括以下步驟：源物理機向交換機發送數據包，且所述數據包中標記有與所述源物理機上運行的源虛擬機所對應的標簽；所述交換機將所述數據包轉發至目的物理機，所述目的物理機上運行有目的虛擬機；所述目的物理機判斷所述數據包中的標簽及所述數據包的目的地址是否與所述目的虛擬機所對應的標簽及所述目的虛擬機的IP地址均相同；如果均相同，則所述目的物理機將所述數據包發至所述目的虛擬機，否則，所述目的物理機攔截所述數據包。

本發明實施例第二方面提出了一種虛擬機的訪問控制系統，包括：源物理機，所述源物理機上運行有源虛擬機，所述源物理機用于發送數據包，且所述數據包中標記有與所述源虛擬機所對應的標簽；交換機，用于接收并轉發所述源物理機發送的數據包；以及目的物理機，用于在接收到所述交換機轉發的所述數據包之后，判斷所述數據包中的標簽及所述數據包的目的地址是否與所述目的虛擬機所對應的標簽及所述目的虛擬機的IP地址均相同，如均相同，則所述目的物理機將所述數據包發至所述目的虛擬機，否則，所述目的物理機攔截所述數據包。

本發明實施例第三方面提出了一種物理機，所述物理機上運行有至少一個虛擬機，所述物理機包括：標記模塊，用于在所述虛擬機發送的數據包中標記所述虛擬機的標簽；發送模塊，用于發送標記有標簽的所述數據包。

本發明實施例第四方面提出了一種交換機，包括：第一接收模塊，用于接收源物理機發送的數據包，其中，所述數據包中標記有與所述源物理機上運行的源虛擬機所對應的標簽；輪詢模塊，用于根據所述標簽對與所述交換機相連的其他物理機進行輪詢，以確定在與所述交換機相連的其他物理機上是否運行有與所述數據包中的標簽所對應的虛擬機；第二接收模塊，用于接收與所述交換機相連的其他物理機的響應，并將響應的所述其他物理機確定為所述目的物理機，將所述目的物理機上運行的與所述數據包中的標簽所對應的虛擬機確定為所述目的虛擬機；以及發送模塊，用于將所述數據包發送至所述目的物理機。

本發明實施例提供的虛擬機的訪問控制方法系統和裝置，通過在數據包中標記標簽從而能夠隔離不同用戶間的虛擬機訪問，對于物理機來說只接收具有與其內部虛擬機的標簽相同的標簽的數據包，如果不相同則將其攔截，從而避免標簽不同的數據包達到同一個虛擬機，即虛擬機僅能接收到具有與自身標簽相同的標簽的數據包，有效地提高了網絡安全。