本發明實施例公開了一種基于安全組的訪問控制方法及裝置。該方法包括：接收針對至少兩個目標安全組的配置請求；確定目標虛擬機；建立目標虛擬機分別與每一目標安全組之間的訪問控制關系。應用本發明實施例提供的方案進行訪問控制，可以提高虛擬機之間的通信效率。

技術領域

本發明涉及信息安全領域，特別涉及一種基于安全組的訪問控制方法及裝置。

背景技術

安全組是一種虛擬防火墻，用于設置一臺或多臺虛擬機的網絡訪問控制，它是重要的網絡安全隔離手段，配置在宿主機上，用于在云端劃分安全域。通過設定各安全組之間的訪問規則，可搭建復雜的多層訪問控制體系，達到系統整體安全?，F有的安全組可按安全組、IP(Internet Protocol，網際協議)地址、端口、通信協議、內外網等條件進行訪問控制；針對不同的虛擬機，可以根據需要工作在同一個安全組中，也可以不在同一個安全組中，而同一安全組中的虛擬機，默認是互通的；其中，一個安全組可以對應一臺或多臺虛擬機，但一臺虛擬機只能對應一個安全組，也就是一臺虛擬機只能與一個安全組建立訪問控制關系，即一臺虛擬機只能根據一個安全組來與其它虛擬機實現訪問。

基于上述情況，由于同一安全組中的虛擬機是互通的，所以同一安全組內的兩個虛擬機之間可以直接進行通信，而不同安全組中的虛擬機則無法按照上述方式直接進行通信。

現有技術中，針對不同安全組內的虛擬機之間的通信，一般是通過設置安全組訪問控制規則來實現，具體來說，會為各個安全組設置針對安全組間虛擬機訪問控制和IP授權控制的規則，當第一安全組內的第一虛擬機需要與第二安全組內的第二虛擬機進行通信時，可以首先將第一安全組對應的訪問控制規則與第二安全組對應的訪問控制規則進行匹配，匹配成功的情況下，才允許第一虛擬機與第二虛擬機進行通信。

根據上述方式可以實現同一安全組內虛擬機之間、不同安全組內虛擬機之間的通信，但是，一個VPC(Virtual Private Cloud，虛擬專有網絡)中往往包含多個宿主機，而一臺宿主機上可以部署多臺虛擬機，當虛擬機數量很大，需求復雜時，要實現不同安全組中虛擬機之間的通信，需要為各個安全組配置大量的訪問控制規則，隨著每一安全組對應的訪問控制規則數量增大，規則匹配所需要消耗的時間增多，因而無法快速實現不同安全組中虛擬機之間的通信，導致虛擬機之間的通信效率低。

發明內容

本發明實施例的目的在于提供一種基于安全組的訪問控制方法及裝置，以提高虛擬機之間的通信效率。具體技術方案如下：

第一方面，本發明實施例提供了一種基于安全組的訪問控制方法，應用于宿主機，所述方法包括：

接收針對至少兩個目標安全組的配置請求；

確定目標虛擬機；

建立所述目標虛擬機分別與每一所述目標安全組之間的訪問控制關系。

可選地，在所述接收針對至少兩個目標安全組的配置請求之后，還包括：

獲得每一所述目標安全組的訪問控制規則；

根據所述目標安全組的訪問控制規則之間的邏輯關系，對所獲得的規則進行合并處理，生成目標訪問控制規則。

可選地，本發明實施例所提供的基于安全組的訪問控制方法，還包括：

接收目標報文；

判斷第一類安全組和第二類安全組中是否存在相同的安全組，其中，所述第一類安全組與所述目標報文的源虛擬機之間存在訪問控制關系，所述第二類安全組為與所述目標報文的目的虛擬機之間存在訪問控制關系；

若存在，向所述目的虛擬機發送所述目標報文。

可選地，本發明實施例所提供的基于安全組的訪問控制方法，還包括：