本發(fā)明實(shí)施例公開了一種虛擬機(jī)的安全補(bǔ)丁升級方法，及裝置，應(yīng)用于虛擬主機(jī)，所述虛擬主機(jī)內(nèi)包含有虛擬機(jī)，所述虛擬機(jī)具有提供操作系統(tǒng)的映像文件，其中方法的實(shí)現(xiàn)包括：拷貝所述映像文件，得到映像文件備份；在安全環(huán)境下啟動(dòng)所述映像文件備份，對所述映像文件備份進(jìn)行安全補(bǔ)丁升級得到目標(biāo)映像文件；在安全補(bǔ)丁升級成功后，使用所述目標(biāo)映像文件替換所述映像文件。該過程，補(bǔ)丁升級在安全環(huán)境下進(jìn)行不存在時(shí)間窗的問題，也不需要虛擬機(jī)去適配所有類型的操作系統(tǒng)的版本，及其所有的補(bǔ)丁，因此安全補(bǔ)丁的升級工作量較小。綜上，本發(fā)明實(shí)施例提供了安全并且能夠廣泛應(yīng)用的虛擬機(jī)安全補(bǔ)丁升級的方案。

技術(shù)領(lǐng)域

本發(fā)明涉及計(jì)算機(jī)技術(shù)領(lǐng)域，特別涉及一種虛擬機(jī)的安全補(bǔ)丁升級方法，及裝置。

背景技術(shù)

主機(jī)虛擬化是實(shí)現(xiàn)主機(jī)功能的一種虛擬技術(shù)；在主機(jī)虛擬化場景下，主機(jī)內(nèi)包含租戶的虛擬機(jī)(Virtual Machine，VM)。租戶的虛擬機(jī)內(nèi)可以安裝各種軟件，軟件可能因虛擬機(jī)長時(shí)間關(guān)機(jī)/休眠而錯(cuò)過關(guān)鍵安全補(bǔ)丁升級，從而導(dǎo)致該虛擬機(jī)啟動(dòng)后到打上安全補(bǔ)丁之前的時(shí)間窗內(nèi)處于不安全狀態(tài)，該時(shí)間窗內(nèi)容易遭到黑客入侵或感染病毒。業(yè)界就該問題有廣泛的討論和需求。

其中一種解決方案如下：基于虛擬化解決方案提供的專用應(yīng)用程序編程接口(Application Programming Interface，API)，對在線的VM的補(bǔ)丁和安全狀態(tài)進(jìn)行探測，然后對缺乏的安全補(bǔ)丁進(jìn)行升級。專用API例如：VMWARE VMSAFE API(威睿VM安全API)。該方案，需要專用的API，上述專用的API一般由防病毒廠商和軟件供應(yīng)商共同定義，具體實(shí)現(xiàn)流程如下：在VM啟動(dòng)以后，防病毒廠商提供的防病毒軟件通過上述專用的API從VM內(nèi)的軟件側(cè)探測VM內(nèi)安全補(bǔ)丁的安裝情況；在發(fā)現(xiàn)VM缺乏的安全補(bǔ)丁后，對缺乏的安全補(bǔ)丁進(jìn)行升級。但是，使用API進(jìn)行探測到安全補(bǔ)丁升級完成之前的時(shí)間窗內(nèi)，仍然會(huì)處于不安全的狀態(tài)。

為了解決存在不安全狀態(tài)的時(shí)間窗的問題，業(yè)界又提出了另一種解決方案如下：在VM安裝專用的安全代理(Agent)軟件，在VM啟動(dòng)后通過該安全Agent軟件自動(dòng)進(jìn)行安全補(bǔ)丁的檢測和升級，具體流程如下：首先在VM內(nèi)安裝專用的安全Agent軟件，上述安全Agent軟件隨VM的操作系統(tǒng)啟動(dòng)而啟動(dòng)，上述安全Agent軟件啟動(dòng)后自動(dòng)檢查本機(jī)安全補(bǔ)丁的狀態(tài)，檢測到安全補(bǔ)丁缺失后，自動(dòng)向服務(wù)器側(cè)發(fā)起補(bǔ)丁升級過程，對缺失的安全補(bǔ)丁進(jìn)行升級。

采用安全Agent的方案，需要做一個(gè)安全Agent軟件安裝到所有客戶的虛擬機(jī)，安全Agent軟件需要適配所有類型的操作系統(tǒng)的版本，及其所有的補(bǔ)丁。由于適配工作量過大，該技術(shù)方案目前僅在企業(yè)私有云受控的場景下使用。因此，采用安全Agent的方案對系統(tǒng)版本和補(bǔ)丁檢測的適配工作量過大，難以廣泛應(yīng)用。

發(fā)明內(nèi)容

本申請?zhí)峁┝艘环N虛擬機(jī)的安全補(bǔ)丁升級方法，及裝置，用于提供安全并且能夠廣泛應(yīng)用的虛擬機(jī)安全補(bǔ)丁升級的方案。

一方面，本申請的實(shí)施例提供一種虛擬機(jī)的安全補(bǔ)丁升級方法，應(yīng)用于虛擬主機(jī)，虛擬主機(jī)內(nèi)包含有虛擬機(jī)，虛擬機(jī)具有提供操作系統(tǒng)的映像文件,該映像文件通常可以是包括系統(tǒng)盤在內(nèi)的任意能夠提供操作系統(tǒng)功能的文件，方法具體包括：拷貝映像文件，得到映像文件備份；映像文件備份是映像文件的備份文件，和原始的映像文件通常是相同的；在安全環(huán)境下啟動(dòng)映像文件備份，對映像文件備份進(jìn)行安全補(bǔ)丁升級得到目標(biāo)映像文件；安全補(bǔ)丁的升級可以參考系統(tǒng)升級的方式，在這里啟動(dòng)映像文件備份的運(yùn)行環(huán)境應(yīng)當(dāng)是被認(rèn)為是安全的環(huán)境，例如私有云或者別的安全環(huán)境；在安全補(bǔ)丁升級成功后，使用目標(biāo)映像文件替換映像文件。