專利名稱:虛擬機訪問控制的方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計算機領(lǐng)域,具體地,涉及一種虛擬機訪問控制的方法和裝置。
背景技術(shù):
目前傳統(tǒng)的物理防火墻可以做到對物理服務(wù)器的訪問控制,通過在物理防火墻中設(shè)置相應(yīng)的規(guī)則,控制物理服務(wù)器中的不同用戶、不同應(yīng)用程序、不同端口的訪問規(guī)則?,F(xiàn)有技術(shù)中的物理防火墻只能夠做到控制物理服務(wù)器的層面,對于物理機內(nèi)部的虛擬機之間的訪問控制是無法實現(xiàn)的,因為,虛擬機之間的數(shù)據(jù)交互和訪問是不通過外部的交換設(shè)備的,所以傳統(tǒng)物理防火墻不能夠?qū)υL問進行控制。
針對相關(guān)技術(shù)中無法針對物理機內(nèi)虛擬機訪問進行控制的問題,目前尚未提出有效的解決方案。
發(fā)明內(nèi)容
針對相關(guān)技術(shù)中無法針對物理機內(nèi)虛擬機訪問進行控制的問題,本發(fā)明提出一種虛擬機訪問控制的方法和裝置,能夠?qū)ξ锢矸?wù)器中的虛擬機進行訪問控制。本發(fā)明的技術(shù)方案是這樣實現(xiàn)的根據(jù)本發(fā)明的一個方面,提供了一種虛擬機訪問控制的方法。該方法包括對物理服務(wù)器中的多個虛擬機進行隔離;在接收到訪問請求的情況下,從訪問請求中提取訪問條件,并根據(jù)訪問條件確定需要訪問的虛擬機。其中,該方法進一步包括將多個虛擬機劃分至不同的域。并且,根據(jù)以下任一方式將多個虛擬機劃分至不同的域根據(jù)IP地址將多個虛擬機劃分至不同的域;根據(jù)操作系統(tǒng)將多個虛擬機劃分至不同的域。此外,訪問條件包括需要訪問的虛擬機的端口號。而且,在用戶通過一虛擬機訪問其他虛擬機的情況下,根據(jù)被訪問虛擬機的訪問限制條件確定該虛擬機是否能被訪問,其中,訪問限制條件用于表示該虛擬機是否能夠被其他虛擬機訪問。根據(jù)本發(fā)明的另一個方面,提供了一種虛擬機訪問控制的裝置。該裝置包括隔離配置模塊,用于對物理服務(wù)器中的多個虛擬機進行隔離;確定模塊,用于在接收到訪問請求的情況下,從訪問請求中提取訪問條件,并根據(jù)訪問條件確定需要訪問的虛擬機。其中,隔離配置模塊用于通過將多個虛擬機劃分至不同的域來對多個虛擬機進行隔離。并且,隔離配置模塊用于根據(jù)虛擬機的IP地址和/或虛擬機的操作系統(tǒng)將多個虛擬機劃分至不同的域。 此外,訪問條件包括需要訪問的虛擬機的端口號。而且,確定模塊用于在用戶通過一虛擬機訪問其他虛擬機的情況下,根據(jù)被訪問虛擬機的訪問限制條件確定該虛擬機是否能被訪問,其中,訪問限制條件用于表示該虛擬機是否能夠被其他虛擬機訪問。本發(fā)明通過對物理服務(wù)器中的多個虛擬機進行隔離,在接收到訪問請求的情況下,從訪問請求中提取訪問條件,并根據(jù)訪問條件確定需要訪問的虛擬機,能夠?qū)崿F(xiàn)對物理服務(wù)器中的虛擬機進行訪問控制。
為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實施例中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他的附圖。圖I是根據(jù)本發(fā)明實施例的虛擬機訪問控制的方法的流程圖;圖2是根據(jù)本發(fā)明實施例的虛擬機訪問控制的裝置的原理框圖;圖3是根據(jù)本發(fā)明實施例的物理服務(wù)器及其中虛擬機的關(guān)系框圖。
具體實施例方式下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例。基于本發(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍。根據(jù)本發(fā)明的實施例,提供了一種虛擬機訪問控制的方法。如圖I所示,根據(jù)本發(fā)明實施例的虛擬機訪問控制的方法包括步驟S101,對物理服務(wù)器中的多個虛擬機進行隔離;步驟S103,在接收到訪問請求的情況下,從訪問請求中提取訪問條件,并根據(jù)訪問條件確定需要訪問的虛擬機。其中,該方法進一步包括將多個虛擬機劃分至不同的域。并且,該方法可以根據(jù)以下任一方式將多個虛擬機劃分至不同的域根據(jù)IP地址將多個虛擬機劃分至不同的域;根據(jù)操作系統(tǒng)將多個虛擬機劃分至不同的域。此外,上述的訪問條件可以包括需要訪問的虛擬機的端口號。而且,在用戶通過一虛擬機訪問其他虛擬機的情況下,根據(jù)被訪問虛擬機的訪問限制條件確定該虛擬機是否能被訪問,其中,訪問限制條件用于表示該虛擬機是否能夠被其他虛擬機訪問。根據(jù)本發(fā)明的實施例,提供了一種虛擬機訪問控制的裝置。如圖2所示,根據(jù)本發(fā)明實施例的虛擬機訪問控制裝置包括
隔離配置模塊21,用于對物理服務(wù)器中的多個虛擬機進行隔離;確定模塊22,用于在接收到訪問請求的情況下,從訪問請求中提取訪問條件,并根據(jù)訪問條件確定需要訪問的虛擬機。其中,隔離配置模塊21用于通過將多個虛擬機劃分至不同的域來對多個虛擬機進行隔離。并且,隔離配置模塊21用于根據(jù)虛擬機的IP地址和/或虛擬機的操作系統(tǒng)將多個虛擬機劃分至不同的域。此外,訪問條件包括需要訪問的虛擬機的端口號。而且,確定模塊22用于在用戶通過一虛擬機訪問其他虛擬機的情況下,根據(jù)被訪問虛擬機的訪問限制條件確定該虛擬機是否能被訪問,其中,訪問限制條件用于表示該虛 擬機是否能夠被其他虛擬機訪問。根據(jù)本發(fā)明的技術(shù)方案,首先,在一臺物理服務(wù)器中安裝操作系統(tǒng),然后在操作系統(tǒng)中安裝虛擬機軟件,并且在虛擬機軟件中安裝多個windows或者Iinux操作系統(tǒng)。為了保證多個操作系統(tǒng)之間的隔離,需要在其中一個虛擬出來的操作系統(tǒng)中安裝防火墻軟件。然后通過防火墻軟件將物理機中的不同虛擬機進行隔離,為不同的操作系統(tǒng)提供訪問控制服務(wù),可以控制訪問所需的端口、規(guī)則。虛擬機可以劃分不同的域,通過虛擬防火墻實現(xiàn)不同域之間的訪問控制。如圖3所示,為根據(jù)本發(fā)明實施例的物理服務(wù)器及其中虛擬機的關(guān)系框圖。例如,首先在某臺虛擬機中安裝虛擬防火墻軟件(可以理解為將這臺虛擬機配置為具有上述虛擬機訪問控制的裝置的功能),這臺虛擬機可以與虛擬機I、虛擬機2、虛擬機3進行交互,可以根據(jù)用戶的要求訪問任意一臺虛擬機。并且,每臺虛擬機都根據(jù)防火墻軟件預(yù)先被配置是否可以接受其他虛擬機的訪問。例如,如果虛擬機I被配置為可以接受其他虛擬機的訪問,則虛擬機2和虛擬機3均可以訪問虛擬機I ;如果虛擬機2被配置為不可以接受其他虛擬機的訪問,則虛擬機I和虛擬機3均不可以訪問虛擬機2。在本發(fā)明的技術(shù)方案中,利用了虛擬防火墻能夠控制虛擬機之間互相通信的特點,實現(xiàn)了虛擬機之間的訪問控制。同時,由于沒有采用物理防火墻,可以節(jié)約成本。虛擬的防火墻由于是軟件產(chǎn)品,可以在需要的時候任意生成,所以可以做到任意的虛擬機之間的訪問控制。虛擬機可以劃分不同的域,通過虛擬防火墻可以做到不同域之間的訪問控制。綜上所述,借助于本發(fā)明的上述技術(shù)方案,通過對物理服務(wù)器中的多個虛擬機進行隔離,在接收到訪問請求的情況下,從訪問請求中提取訪問條件,并根據(jù)訪問條件確定需要訪問的虛擬機,能夠?qū)ξ锢矸?wù)器中的虛擬機進行訪問控制。以上所述僅為本發(fā)明的較佳實施例而已,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改、等同替換、改進等,均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)。
權(quán)利要求
1.一種虛擬機訪問控制的方法,其特征在于,所述方法包括 對物理服務(wù)器中的多個虛擬機進行隔離; 在接收到訪問請求的情況下,從所述訪問請求中提取訪問條件,并根據(jù)所述訪問條件確定需要訪問的虛擬機。
2.根據(jù)權(quán)利要求I所述的方法,其特征在于,進一步包括 將所述多個虛擬機劃分至不同的域。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于,根據(jù)以下任一方式將所述多個虛擬機劃分至不同的域 根據(jù)IP地址將所述多個虛擬機劃分至不同的域; 根據(jù)操作系統(tǒng)將所述多個虛擬機劃分至不同的域。
4 根據(jù)權(quán)利要求I所述的方法,其特征在于,所述訪問條件包括 需要訪問的虛擬機的端口號。
5.根據(jù)權(quán)利要求I所述的方法,其特征在于,在用戶通過一虛擬機訪問其他虛擬機的情況下,根據(jù)被訪問虛擬機的訪問限制條件確定該虛擬機是否能被訪問,其中,所述訪問限制條件用于表示該虛擬機是否能夠被其他虛擬機訪問。
6.一種虛擬機訪問控制的裝置,其特征在于,所述裝置包括 隔離配置模塊,用于對物理服務(wù)器中的多個虛擬機進行隔離; 確定模塊,用于在接收到訪問請求的情況下,從所述訪問請求中提取訪問條件,并根據(jù)所述訪問條件確定需要訪問的虛擬機。
7.根據(jù)權(quán)利要求6所述的裝置,其特征在于,所述隔離配置模塊用于通過將所述多個虛擬機劃分至不同的域來對所述多個虛擬機進行隔離。
8.根據(jù)權(quán)利要求7所述的裝置,其特征在于,所述隔離配置模塊用于根據(jù)虛擬機的IP地址和/或虛擬機的操作系統(tǒng)將所述多個虛擬機劃分至不同的域。
9.根據(jù)權(quán)利要求6所述的裝置,其特征在于,所述訪問條件包括需要訪問的虛擬機的端口號。
10.根據(jù)權(quán)利要求6所述的裝置,其特征在于,所述確定模塊用于在用戶通過一虛擬機訪問其他虛擬機的情況下,根據(jù)被訪問虛擬機的訪問限制條件確定該虛擬機是否能被訪問,其中,所述訪問限制條件用于表示該虛擬機是否能夠被其他虛擬機訪問。
全文摘要
本發(fā)明公開了一種虛擬機訪問控制的方法,該方法包括對物理服務(wù)器中的多個虛擬機進行隔離;在接收到訪問請求的情況下,從訪問請求中提取訪問條件,并根據(jù)訪問條件確定需要訪問的虛擬機。本發(fā)明通過對物理服務(wù)器中的多個虛擬機進行隔離,在接收到訪問請求的情況下,從訪問請求中提取訪問條件,并根據(jù)訪問條件確定需要訪問的虛擬機,能夠?qū)ξ锢矸?wù)器中的虛擬機進行訪問控制。
文檔編號G06F9/455GK102929690SQ20121044158
公開日2013年2月13日 申請日期2012年11月7日 優(yōu)先權(quán)日2012年11月7日
發(fā)明者丁明威 申請人:曙光云計算技術(shù)有限公司