技術領域

本發明涉及通信領域，具體而言，涉及一種虛擬機安全組的配置方法及裝置。

背景技術

虛擬化技術是云服務平臺構建的基礎。虛擬化技術是指在物理服務器上，通過虛擬化管理軟件Hypervisor將物理資源分割為多個邏輯分區，每個邏輯分區相互隔離，各自成為獨立的虛擬機。對操作系統和應用程序來說，虛擬機與物理服務器沒有區別，它們可以共享同一臺物理服務器的資源。

安全組是用于控制數據流進入和外發一組虛擬機的訪問控制規則，也指滿足這些規則的虛擬機組。即在虛擬化平臺中，為了滿足用戶的應用部署的需求，即將用戶申請的虛擬機進行分組，每組虛擬機都有各自的數據流訪問控制規則，只有滿足該虛擬機組所配置的進入訪問控制規則的數據流才允許進入該虛擬機組，其他的數據流將被禁止轉入該虛擬機組。同時，對于一些虛擬化平臺也支持對虛擬機組發出的數據流按配置的訪問規則進行控制，即該虛擬機組內虛擬機所外發的數據流中只有滿足該虛擬機組所配置的外出訪問控制規則的數據流才允許轉發出該虛擬機組，其他的數據流將被禁止轉發出該虛擬機組。

圖1根據相關技術的安全組的模型示意圖。如圖1所示，該安全組的模型包括：安全組管理器101，用于管理用戶的安全組，包括對用戶發起的安全組創建、更新、查詢和刪除等操作，以及安全組規則等管理請求進行處理；配置信息102，包含用戶的安全組及其規則配置信息；物理服務器103，通過虛擬化管理軟件Hypervisor提供虛擬機；虛擬交換機104，即物理網卡虛擬化后為物理主機內部的虛擬機提供虛擬交換功能；虛擬機105是封裝了CPU、內存、本地磁盤和網絡等虛擬化的資源實體；安全組執行器106，即主機內為屬于安全組的虛擬機執行安全策略的實體；安全組存放設備107即用戶將配置的安全組及其規則進行導入所存放的位置。

圖2根據相關技術的安全組的結構示意圖。如圖2所示，該安全組的結構包括：安全組管理器201，其具體功能如圖1中的安全組管理器101所描述；配置信息202，其具體功能如圖1中的配置信息102所描述；虛擬化平臺203，是虛擬機資源服務管理平臺，安全組功能是在虛擬化平臺上實現的；安全組210，即為用戶所創建的管理用于該用戶一組虛擬機的訪問控制策略；規則集211，描述安全組中的規則，規則包括數據包的進入規則和數據包的發出規則；虛擬機212，指用戶申請的屬于某安全組的虛擬化服務器。

圖3根據相關技術的安全組的網絡模型圖。如圖3所示，該安全組的網絡模型包括：外部網絡301，該外部網絡可以是Internet或其他私有網絡，該外部網絡可以訪問內部網絡中的虛擬機；內部網絡302，即在圖2中虛擬化平臺203的基礎上構建的網絡；安全組管理器303，即圖1中的安全組管理器101；虛擬機304，即圖2中的虛擬機212，該虛擬機可以屬于多個安全組；配置信息305，其具體功能如圖1中的配置信息102所描述；安全組306，具體功能即圖2中的安全組210的描述，安全組可以包含多個虛擬機。

圖4根據相關技術的創建虛擬機時配置默認安全組的流程圖。如圖4所示，該流程包括以下步驟：

S401，虛擬化平臺在用戶管理時為該用戶創建默認安全組。默認安全組不包含任何規則，即默認安全組允許所有外出的網絡流，禁止所有進入的網絡流，并允許安全組內的虛擬機互相訪問。

S402，用戶向虛擬化平臺發起虛擬機創建請求，該創建請求沒有為該虛擬機指定任何安全組。

S403，虛擬化平臺的安全組管理器為該虛擬機指定用戶的默認安全組。

S404，加載安全組規則到虛擬機所在主機的安全組執行器。

S405，虛擬化平臺向用戶返回虛擬機創建完成響應，其中攜帶已創建虛擬機的ID和默認安全組標識。

S406，可選的，用戶可以修改默認安全組中的規則，如果用戶增加了出口規則，則將禁止除滿足出口規則外的網絡流。

S407，安全組執行器根據安全組的規則對默認安全組的網絡流進行控制。

S408，安全組執行器分發滿足安全組規則的網絡流。

圖5根據相關技術的創建虛擬機時配置指定安全組的流程圖。如圖5所示，該流程包括以下步驟：

S501，用戶在創建虛擬機之前，先創建完成該虛擬機所屬的安全組及其規則。

S502，用戶向虛擬化平臺發起虛擬機創建請求，其中攜帶該虛擬機所屬的安全組標識（本實施例假定為安全組1）。

S503，虛擬化平臺的安全組管理器更新安全組1的配置信息，即增加屬于該安全組的虛擬機。

S504，加載安全組規則到虛擬機所在主機的安全組執行器。