技術(shù)領(lǐng)域

本發(fā)明涉及虛擬機(jī)技術(shù)領(lǐng)域，尤其涉及一種虛擬機(jī)非法配置的校驗(yàn)方法、裝置及系統(tǒng)。

背景技術(shù)

在物理主機(jī)虛擬化技術(shù)中，虛擬層(Hypervisor)是一種運(yùn)行在服務(wù)器和操作系統(tǒng)之間的中間軟件層,它允許多個(gè)操作系統(tǒng)和應(yīng)用共享硬件。

Hypervisor可以訪問(wèn)服務(wù)器上包括磁盤(pán)和內(nèi)存在內(nèi)的所有物理設(shè)備。Hypervisor不但協(xié)調(diào)著這些物理設(shè)備的硬件資源的訪問(wèn)，也同時(shí)在各個(gè)虛擬機(jī)(VM，Virtual Machine)之間施加防護(hù)。當(dāng)服務(wù)器啟動(dòng)并執(zhí)行Hypervisor時(shí)，它會(huì)加載所有虛擬機(jī)客戶(hù)端的操作系統(tǒng)，同時(shí)為每一臺(tái)虛擬機(jī)分配適量的內(nèi)存，CPU，網(wǎng)絡(luò)和磁盤(pán)等關(guān)鍵參數(shù)，實(shí)現(xiàn)對(duì)虛擬機(jī)的這些關(guān)鍵參數(shù)的管理。如圖1所示，每一臺(tái)服務(wù)器的Hypervisor上部署著多臺(tái)虛擬機(jī)，虛擬化管理平臺(tái)在創(chuàng)建虛擬機(jī)時(shí)為每一臺(tái)虛擬機(jī)分配適量的內(nèi)存，CPU，網(wǎng)絡(luò)和磁盤(pán)等關(guān)鍵參數(shù)，每一臺(tái)虛擬機(jī)與Hypervisor內(nèi)的配置模塊通過(guò)接口通信，配置模塊中包括虛擬機(jī)配置表(VM configure table)，該虛擬機(jī)配置表中存儲(chǔ)有每一臺(tái)虛擬機(jī)的各項(xiàng)關(guān)鍵參數(shù)，擁有權(quán)限的管理員可以在虛擬機(jī)配置表中對(duì)每一臺(tái)虛擬機(jī)的各項(xiàng)關(guān)鍵參數(shù)進(jìn)行配置。

然而，在Hypervisor內(nèi)可能會(huì)出現(xiàn)對(duì)虛擬機(jī)內(nèi)的關(guān)鍵參數(shù)的錯(cuò)誤配置或者惡意配置的情況，由于虛擬化管理平臺(tái)無(wú)法感知各個(gè)虛擬機(jī)的關(guān)鍵參數(shù)的錯(cuò)誤配置或者惡意配置，就會(huì)造成對(duì)虛擬機(jī)的非法訪問(wèn)、惡意攻擊以及資源濫用等問(wèn)題。例如，管理員修改虛擬機(jī)配置表，將用戶(hù)A的虛擬機(jī)從第一VPC(Virtual Private Cloud,虛擬私有云)修改到用戶(hù)B所屬的第二VPC，那么第二VPC中就會(huì)引入非可信的虛擬機(jī)，用戶(hù)A便可以在第二VPC的網(wǎng)絡(luò)內(nèi)訪問(wèn)受控業(yè)務(wù)，甚至可能在第二VPC中發(fā)起惡意攻擊。又例如，用戶(hù)可能通過(guò)非法手段篡改虛擬機(jī)配置表中用戶(hù)虛擬機(jī)的磁盤(pán)配置和CPU配置等關(guān)鍵參數(shù)，造成資源的濫用。

發(fā)明內(nèi)容

本發(fā)明的實(shí)施例提供一種虛擬機(jī)非法配置的校驗(yàn)方法、裝置及系統(tǒng)，解決了現(xiàn)有技術(shù)中無(wú)法感知Hypervisor中對(duì)虛擬機(jī)內(nèi)的關(guān)鍵參數(shù)的錯(cuò)誤配置或者惡意配置的問(wèn)題。

為達(dá)到上述目的，本發(fā)明的實(shí)施例采用如下技術(shù)方案：

第一方面，本發(fā)明的實(shí)施例提供一種虛擬機(jī)非法配置的校驗(yàn)方法，所述方法包括：

獲取虛擬化管理平臺(tái)發(fā)送的配置監(jiān)控表項(xiàng)，所述配置監(jiān)控表項(xiàng)中配置有第一虛擬機(jī)合法的關(guān)鍵參數(shù)及指標(biāo)，所述配置監(jiān)控表項(xiàng)用于指示是否對(duì)所述第一虛擬機(jī)的配置進(jìn)行監(jiān)控，所述第一虛擬機(jī)為虛擬層中配置的N個(gè)虛擬機(jī)中的一個(gè)，N＞0；

在所述第一虛擬機(jī)啟動(dòng)后，獲取所述第一虛擬機(jī)當(dāng)前的關(guān)鍵參數(shù)及指標(biāo)；

根據(jù)所述配置監(jiān)控表項(xiàng)和所述當(dāng)前的關(guān)鍵參數(shù)及指標(biāo)，對(duì)所述第一虛擬機(jī)的配置進(jìn)行校驗(yàn)，以便于檢測(cè)所述第一虛擬機(jī)內(nèi)是否出現(xiàn)非法配置。

在第一方面的第一種可能的實(shí)現(xiàn)方式中，所述配置監(jiān)控表項(xiàng)中所述第一虛擬機(jī)合法的關(guān)鍵參數(shù)，具體包括所述第一虛擬機(jī)的ID以及接口ID、所述第一虛擬機(jī)所屬的VPC、所述第一虛擬機(jī)所屬的安全組、所述第一虛擬機(jī)的磁盤(pán)大小、所述第一虛擬機(jī)的內(nèi)存大小、所述第一虛擬機(jī)的CPU大小中的一個(gè)或多個(gè)。

結(jié)合第一方面或第一方面的第一種可能的實(shí)現(xiàn)方式，在第一方面的第二種可能的實(shí)現(xiàn)方式中，所述根據(jù)所述配置監(jiān)控表項(xiàng)和所述當(dāng)前的關(guān)鍵參數(shù)及指標(biāo)，對(duì)所述第一虛擬機(jī)的配置進(jìn)行校驗(yàn)，包括：

將所述第一虛擬機(jī)當(dāng)前的關(guān)鍵參數(shù)及指標(biāo)分別與所述配置監(jiān)控表項(xiàng)中第一虛擬機(jī)合法的關(guān)鍵參數(shù)及指標(biāo)進(jìn)行對(duì)比；

若所述當(dāng)前的關(guān)鍵參數(shù)及指標(biāo)與所述合法的關(guān)鍵參數(shù)及指標(biāo)不一致，則將虛擬機(jī)配置表中的所述虛擬機(jī)的關(guān)鍵參數(shù)及指標(biāo)替換為所述合法的關(guān)鍵參數(shù)及指標(biāo)。

結(jié)合第一方面的第二種可能的實(shí)現(xiàn)方式，在第一方面的第三種可能的實(shí)現(xiàn)方式中，若所述當(dāng)前的關(guān)鍵參數(shù)及指標(biāo)與所述合法的關(guān)鍵參數(shù)及指標(biāo)不一致，所述方法還包括：

若所述當(dāng)前的關(guān)鍵參數(shù)中第一虛擬機(jī)所屬的VPC與所述配置監(jiān)控表項(xiàng)中所述第一虛擬機(jī)所屬的VPC不一致，則禁止所述第一虛擬機(jī)在所述當(dāng)前的關(guān)鍵參數(shù)中第一虛擬機(jī)所屬的VPC中執(zhí)行任何操作。

結(jié)合第一方面的第二種可能的實(shí)現(xiàn)方式，在第一方面的第四種可能的實(shí)現(xiàn)方式中，在所述將虛擬機(jī)配置表中的所述虛擬機(jī)的關(guān)鍵參數(shù)及指標(biāo)替換為所述合法的關(guān)鍵參數(shù)及指標(biāo)之后，還包括：

生成警報(bào)信息并上報(bào)至所述虛擬化管理平臺(tái)，所述警報(bào)信息用于指示所述當(dāng)前的關(guān)鍵參數(shù)及指標(biāo)中與所述合法的關(guān)鍵參數(shù)及指標(biāo)不一致的信息。