技術(shù)領(lǐng)域

本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)領(lǐng)域，尤其涉及一種虛擬化平臺(tái)、安全防護(hù)方法及裝置。

背景技術(shù)

在目前的虛擬化平臺(tái)中，主要通過(guò)防火墻為虛擬化平臺(tái)中的虛擬機(jī)提供安全防護(hù)。防火墻作為虛擬機(jī)的網(wǎng)關(guān)設(shè)備，對(duì)進(jìn)出虛擬機(jī)的流量進(jìn)行過(guò)濾，過(guò)濾的規(guī)則通常由虛擬化平臺(tái)的管理系統(tǒng)設(shè)置。

目前，對(duì)于虛擬化平臺(tái)，主要采用專用的硬件防火墻設(shè)備提供安全防護(hù)。圖1為虛擬化平臺(tái)中第一種為虛擬機(jī)提供安全防護(hù)的方案的示意圖。如圖1所示，虛擬化平臺(tái)中的所有虛擬機(jī)的流量經(jīng)由形成的多個(gè)虛擬局域網(wǎng)（Virtual?Local?Area?Network，VLAN）由同一臺(tái)硬件防火墻設(shè)備進(jìn)行安全防護(hù)。圖1中的防火墻通常與傳統(tǒng)硬件防火墻的工作原理相同，虛擬化平臺(tái)的管理系統(tǒng)通過(guò)調(diào)用防火墻的管理接口實(shí)現(xiàn)對(duì)防火墻規(guī)則的動(dòng)態(tài)控制。

圖1中采用專用的硬件防火墻設(shè)備為整個(gè)虛擬化平臺(tái)提供安全防護(hù)的方案存在以下缺點(diǎn)：

圖1中的硬件防火墻為虛擬化平臺(tái)中的所有虛擬機(jī)（Virtual?Machine，VM）提供進(jìn)行安全防護(hù)，當(dāng)虛擬化平臺(tái)中的進(jìn)出各虛擬機(jī)的流量均較大時(shí)，其性能可能滿足對(duì)所有虛擬機(jī)進(jìn)行安全防護(hù)的要求，此外，由于其網(wǎng)絡(luò)拓?fù)湮恢脹Q定了，當(dāng)該硬件防火墻出現(xiàn)故障時(shí)，整個(gè)虛擬化平臺(tái)中的虛擬機(jī)均無(wú)法實(shí)現(xiàn)安全防護(hù)的問(wèn)題。

綜上，圖1中采用專用的硬件防火墻設(shè)備為整個(gè)虛擬化平臺(tái)提供安全防護(hù)的方案存在性能瓶頸和單點(diǎn)故障的問(wèn)題。

發(fā)明內(nèi)容

本發(fā)明實(shí)施例提供一種虛擬化平臺(tái)、安全防護(hù)方法及裝置，用以解決采用專用的硬件防火墻設(shè)備為整個(gè)虛擬化平臺(tái)提供安全防護(hù)的方案存在性能瓶頸和單點(diǎn)故障的問(wèn)題。

第一方面，本發(fā)明實(shí)施例提供一種虛擬化平臺(tái)，包括：

至少一臺(tái)服務(wù)器，每一臺(tái)服務(wù)器上運(yùn)行至少一個(gè)虛擬機(jī)，

每一臺(tái)所述服務(wù)器用于向該服務(wù)器上的每個(gè)所述虛擬機(jī)分別提供安全防護(hù)服務(wù)。

本方案中，由于虛擬化平臺(tái)中的每一臺(tái)服務(wù)器向該服務(wù)器上的每個(gè)虛擬機(jī)分別體統(tǒng)安全防護(hù)服務(wù)，避免了采用專用硬件防火墻設(shè)備為整個(gè)虛擬機(jī)提供安全防護(hù)服務(wù)存在的性能瓶頸和單點(diǎn)故障的問(wèn)題。

較佳地，所述虛擬化平臺(tái)還包括安全防護(hù)管理器；

所述安全防護(hù)管理器用于在每一臺(tái)所述服務(wù)器上，針對(duì)該服務(wù)器上的每個(gè)所述虛擬機(jī)分別設(shè)置安全防護(hù)規(guī)則。

采用本優(yōu)選方案，可通過(guò)阿安全防護(hù)管理器為虛擬化平臺(tái)中的每個(gè)虛擬機(jī)設(shè)置安全防護(hù)規(guī)則。

較佳地，所述虛擬化平臺(tái)還包括虛擬機(jī)資源管理器，所述虛擬機(jī)資源管理器用于管理所述虛擬化平臺(tái)中的虛擬機(jī)；所述安全防護(hù)管理器具體用于：

在收到用戶設(shè)置所述虛擬化平臺(tái)上的第一虛擬機(jī)的安全防護(hù)規(guī)則的指令后，向所述虛擬機(jī)資源管理器發(fā)送用于查詢所述第一虛擬機(jī)所在服務(wù)器的地址的請(qǐng)求，接收所述虛擬機(jī)資源管理器響應(yīng)所述請(qǐng)求返回的服務(wù)器的地址，在收到的所述服務(wù)器的地址所指示的服務(wù)器上，設(shè)置所述第一虛擬機(jī)的安全防護(hù)規(guī)則；或

在收到所述虛擬機(jī)資源管理器在所述虛擬化平臺(tái)中創(chuàng)建第二虛擬機(jī)的指令后，從收到的所述創(chuàng)建指令中獲取所述第二虛擬機(jī)所在服務(wù)器的地址，并在獲取的服務(wù)器地址所指示的服務(wù)器上，創(chuàng)建所述第二虛擬機(jī)的安全防護(hù)規(guī)則；或

在收到所述虛擬機(jī)資源管理器刪除所述虛擬化平臺(tái)中的第三虛擬機(jī)的指令后，從收到的所述刪除指令中獲取所述第三虛擬機(jī)所在服務(wù)器的地址，并在獲取的服務(wù)器地址所指示的服務(wù)器上，刪除所述第三虛擬機(jī)的安全防護(hù)規(guī)則；或

在收到所述虛擬機(jī)資源管理器將所述虛擬化平臺(tái)中的第四虛擬機(jī)遷移到第五虛擬機(jī)的指令后，將收到的所述遷移指令中獲取所述第五虛擬機(jī)所在服務(wù)器的地址，并在獲取的服務(wù)器地址所指示的服務(wù)器上，將所述第五虛擬機(jī)的安全防護(hù)規(guī)則設(shè)置為所述第四虛擬機(jī)的安全防護(hù)規(guī)則。

采用本優(yōu)選方案，通過(guò)虛擬機(jī)資源管理器與安全防護(hù)管理器之間的交互，可實(shí)現(xiàn)實(shí)時(shí)、動(dòng)態(tài)地配置虛擬機(jī)安全防護(hù)規(guī)則。

第二方面，本發(fā)明實(shí)施例還提供了一種虛擬化平臺(tái)中的安全防護(hù)方法，該方法包括：

虛擬化平臺(tái)中的服務(wù)器接收網(wǎng)絡(luò)數(shù)據(jù)；

所述服務(wù)器在確定收到的網(wǎng)絡(luò)數(shù)據(jù)是發(fā)給所述服務(wù)器上運(yùn)行的一個(gè)虛擬機(jī)時(shí)，根據(jù)所述服務(wù)器上的該虛擬機(jī)的安全防護(hù)規(guī)則對(duì)收到的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行過(guò)濾。

本方案中，由于虛擬化平臺(tái)中的每一臺(tái)服務(wù)器向該服務(wù)器上的每個(gè)虛擬機(jī)分別體統(tǒng)安全防護(hù)服務(wù)，避免了采用專用硬件防火墻設(shè)備為整個(gè)虛擬機(jī)提供安全防護(hù)服務(wù)存在的性能瓶頸和單點(diǎn)故障的問(wèn)題。