本發明公開了一種處理多個虛擬機間訪問規則最少化的方法，該方法包括：管理平臺獲取服務器創建命令信息；根據所述服務器創建命令信息確定虛擬機的屬性，其中，所述虛擬機屬性包含WEB服務器IP、各中間服務器IP、中間服務器數量；根據所述虛擬機屬性創建WEB服務器及中間服務器，將所述WEB服務器IP映射給所述WEB服務器，并依據策略引擎將安全策略的規則配置給各中間服務器；所述中間服務器配置訪問控制列表ACL規則，并建立ACL規則與WEB服務器IP的對應關系，將對應關系輸入到策略引擎，策略引擎進行計算后，輸出各所述中間服務器的訪問控制規則并下發數據庫服務端。本發明的有益效果：利用標簽組到ACL訪問控制列表規則的轉換，大大減少運維的工作量。

技術領域

本發明涉及網絡安全技術領域，具體來說，涉及一種處理多個虛擬機間訪問規則最少化的方法。

背景技術

目前，云計算以其低成本、便攜化、可擴展性高等特征，為大數據、互聯網、人工智能的發展提供了切實的技術保障，已然是信息基礎發展的必然趨勢，在云環境里，一個業務系統由多個虛擬機承載，需要對虛擬機之間的訪問做控制，傳統的技術是使用者配置一個ACL訪問控制列表，然后對流量進行訪問控制，其方法存在如下技術缺陷，當ACL訪問控制列表規則里引用的是源IP、目的IP、端口等維度，對數據傳輸流量進行訪問控制，需要添加的規則數量較多，其次，當虛擬機數量較多或遷移時，使用源IP、目的IP會引發訪問控制規則不正確等問題。

發明內容

針對相關技術中的上述技術問題，本發明提出一種處理多個虛擬機間訪問規則最少化的方法，能夠利用標簽組到ACL訪問控制列表規則的轉換，大大減少運維的工作量。

為實現上述技術目的，本發明的技術方案是這樣實現的：一種處理多個虛擬機間訪問規則最少化的方法，該方法包括：

管理平臺獲取服務器創建命令信息；

根據所述服務器創建命令信息確定虛擬機的屬性，其中，所述虛擬機屬性包含WEB服務器IP、各中間服務器IP、中間服務器數量；

根據所述虛擬機屬性創建WEB服務器及中間服務器，將所述WEB服務器IP映射給所述WEB服務器，并依據策略引擎將安全策略的規則配置給各中間服務器；

所述中間服務器配置訪問控制列表ACL規則，并建立ACL規則與WEB服務器IP的對應關系，將對應關系輸入到策略引擎，策略引擎進行計算后，輸出各所述中間服務器的訪問控制規則并下發數據庫服務端。

進一步地，所述中間服務器配置的ACL規則為源IP、目的IP、端口地址等多維度信息。

進一步地，所述中間服務器IP配置所述WEB服務器IP中的一種或組合。

進一步地，所述安全策略的規則配置順序為所述WEB服務器配置所述中間服務器，所述中間件服務器配置數據庫服務器。

進一步地，所述中間服務器查找到ACL規則對應的IP,然后在自身保存在所述對應關系中，查找與選定的ACL規則對應的標簽，將查找到的標簽作為該數據包的標簽。

進一步地，所述的查找與選定的ACL規則中，選擇優先級最高的ACL規則。

本發明的有益效果：鑒于現有技術中存在的不足，本申請采用標簽化安全策略，根據業務系統定義標簽，在每臺虛擬機上分別設有一組多維度標簽，并根據標簽配置訪問控制策略，實現虛擬機間訪問規則數量最少，僅要少量策略便能覆蓋多臺虛擬主機，利用標簽組到ACL訪問控制列表規則的轉換，大大減少運維的工作量。

附圖說明

為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明的一些實施例，對于本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據這些附圖獲得其他的附圖。