虛擬機(jī)安全組的配置方法及裝置制造方法
【專利摘要】本發(fā)明公開了一種虛擬機(jī)安全組的配置方法及裝置。其中��,該方法包括:當(dāng)接收到對(duì)已經(jīng)創(chuàng)建完成的虛擬機(jī)與安全組進(jìn)行綁定�����、更新或解綁定的操作請(qǐng)求時(shí)���,虛擬化平臺(tái)對(duì)虛擬機(jī)與安全組進(jìn)行綁定��、更新或解綁定���;當(dāng)接收到對(duì)指定安全組進(jìn)行導(dǎo)入和導(dǎo)出的操作請(qǐng)求時(shí),虛擬化平臺(tái)對(duì)指定安全組進(jìn)行導(dǎo)入和導(dǎo)出�。通過本發(fā)明,達(dá)到了方便用戶根據(jù)應(yīng)用服務(wù)的需求靈活地對(duì)虛擬機(jī)與安全組進(jìn)行配置的效果����。
【專利說明】虛擬機(jī)安全組的配置方法及裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信領(lǐng)域,具體而言��,涉及一種虛擬機(jī)安全組的配置方法及裝置����。
【背景技術(shù)】
[0002]虛擬化技術(shù)是云服務(wù)平臺(tái)構(gòu)建的基礎(chǔ)。虛擬化技術(shù)是指在物理服務(wù)器上��,通過虛擬化管理軟件Hypervisor將物理資源分割為多個(gè)邏輯分區(qū)�,每個(gè)邏輯分區(qū)相互隔離,各自成為獨(dú)立的虛擬機(jī)�。對(duì)操作系統(tǒng)和應(yīng)用程序來說�,虛擬機(jī)與物理服務(wù)器沒有區(qū)別����,它們可以共享同一臺(tái)物理服務(wù)器的資源。
[0003]安全組是用于控制數(shù)據(jù)流進(jìn)入和外發(fā)一組虛擬機(jī)的訪問控制規(guī)則���,也指滿足這些規(guī)則的虛擬機(jī)組���。即在虛擬化平臺(tái)中,為了滿足用戶的應(yīng)用部署的需求�,即將用戶申請(qǐng)的虛擬機(jī)進(jìn)行分組,每組虛擬機(jī)都有各自的數(shù)據(jù)流訪問控制規(guī)則�����,只有滿足該虛擬機(jī)組所配置的進(jìn)入訪問控制規(guī)則的數(shù)據(jù)流才允許進(jìn)入該虛擬機(jī)組����,其他的數(shù)據(jù)流將被禁止轉(zhuǎn)入該虛擬機(jī)組。同時(shí)�,對(duì)于一些虛擬化平臺(tái)也支持對(duì)虛擬機(jī)組發(fā)出的數(shù)據(jù)流按配置的訪問規(guī)則進(jìn)行控制��,即該虛擬機(jī)組內(nèi)虛擬機(jī)所外發(fā)的數(shù)據(jù)流中只有滿足該虛擬機(jī)組所配置的外出訪問控制規(guī)則的數(shù)據(jù)流才允許轉(zhuǎn)發(fā)出該虛擬機(jī)組��,其他的數(shù)據(jù)流將被禁止轉(zhuǎn)發(fā)出該虛擬機(jī)組。
[0004]圖1根據(jù)相關(guān)技術(shù)的安全組的模型示意圖�����。如圖1所示����,該安全組的模型包括:安全組管理器101,用于管理用戶的安全組��,包括對(duì)用戶發(fā)起的安全組創(chuàng)建�、更新、查詢和刪除等操作��,以及安全組規(guī)則等管理請(qǐng)求進(jìn)行處理�;配置信息102,包含用戶的安全組及其規(guī)則配置信息�;物理服務(wù)器103,通過虛擬化管理軟件Hypervisor提供虛擬機(jī)�����;虛擬交換機(jī)104�,即物理網(wǎng)卡虛擬化后為物理主機(jī)內(nèi)部的虛擬機(jī)提供虛擬交換功能;虛擬機(jī)105是封裝了 CPU�����、內(nèi)存、本地磁盤和網(wǎng)絡(luò)等虛擬化的資源實(shí)體����;安全組執(zhí)行器106,即主機(jī)內(nèi)為屬于安全組的虛擬機(jī)執(zhí)行安全策略的實(shí)體����;安全組存放設(shè)備107即用戶將配置的安全組及其規(guī)則進(jìn)行導(dǎo)入所存放的位置。
[0005]圖2根據(jù)相關(guān)技術(shù)的安全組的結(jié)構(gòu)示意圖�����。如圖2所示����,該安全組的結(jié)構(gòu)包括:安全組管理器201,其具體功能如圖1中的安全組管理器101所描述����;配置信息202,其具體功能如圖1中的配置信息102所描述����;虛擬化平臺(tái)203,是虛擬機(jī)資源服務(wù)管理平臺(tái)��,安全組功能是在虛擬化平臺(tái)上實(shí)現(xiàn)的��;安全組210����,即為用戶所創(chuàng)建的管理用于該用戶一組虛擬機(jī)的訪問控制策略;規(guī)則集211���,描述安全組中的規(guī)則��,規(guī)則包括數(shù)據(jù)包的進(jìn)入規(guī)則和數(shù)據(jù)包的發(fā)出規(guī)則�����;虛擬機(jī)212���,指用戶申請(qǐng)的屬于某安全組的虛擬化服務(wù)器。
[0006]圖3根據(jù)相關(guān)技術(shù)的安全組的網(wǎng)絡(luò)模型圖��。如圖3所示����,該安全組的網(wǎng)絡(luò)模型包括:外部網(wǎng)絡(luò)301��,該外部網(wǎng)絡(luò)可以是Internet或其他私有網(wǎng)絡(luò)�,該外部網(wǎng)絡(luò)可以訪問內(nèi)部網(wǎng)絡(luò)中的虛擬機(jī)���;內(nèi)部網(wǎng)絡(luò)302�,即在圖2中虛擬化平臺(tái)203的基礎(chǔ)上構(gòu)建的網(wǎng)絡(luò)��;安全組管理器303��,即圖1中的安全組管理器101 ;虛擬機(jī)304�,即圖2中的虛擬機(jī)212,該虛擬機(jī)可以屬于多個(gè)安全組�����;配置信息305�,其具體功能如圖1中的配置信息102所描述;安全組306��,具體功能即圖2中的安全組210的描述���,安全組可以包含多個(gè)虛擬機(jī)�����。
[0007]圖4根據(jù)相關(guān)技術(shù)的創(chuàng)建虛擬機(jī)時(shí)配置默認(rèn)安全組的流程圖�。如圖4所示,該流程包括以下步驟:
[0008]S401�����,虛擬化平臺(tái)在用戶管理時(shí)為該用戶創(chuàng)建默認(rèn)安全組����。默認(rèn)安全組不包含任何規(guī)則����,即默認(rèn)安全組允許所有外出的網(wǎng)絡(luò)流,禁止所有進(jìn)入的網(wǎng)絡(luò)流�,并允許安全組內(nèi)的虛擬機(jī)互相訪問。
[0009]S402,用戶向虛擬化平臺(tái)發(fā)起虛擬機(jī)創(chuàng)建請(qǐng)求,該創(chuàng)建請(qǐng)求沒有為該虛擬機(jī)指定任何安全組�。
[0010]S403,虛擬化平臺(tái)的安全組管理器為該虛擬機(jī)指定用戶的默認(rèn)安全組�。
[0011]S404,加載安全組規(guī)則到虛擬機(jī)所在主機(jī)的安全組執(zhí)行器����。
[0012]S405,虛擬化平臺(tái)向用戶返回虛擬機(jī)創(chuàng)建完成響應(yīng),其中攜帶已創(chuàng)建虛擬機(jī)的ID和默認(rèn)安全組標(biāo)識(shí)��。
[0013]S406,可選的����,用戶可以修改默認(rèn)安全組中的規(guī)則,如果用戶增加了出口規(guī)則�����,則將禁止除滿足出口規(guī)則外的網(wǎng)絡(luò)流����。
[0014]S407,安全組執(zhí)行器根據(jù)安全組的規(guī)則對(duì)默認(rèn)安全組的網(wǎng)絡(luò)流進(jìn)行控制���。
[0015]S408�����,安全組執(zhí)行器分發(fā)滿足安全組規(guī)則的網(wǎng)絡(luò)流��。
[0016]圖5根據(jù)相關(guān)技術(shù)的創(chuàng)建虛擬機(jī)時(shí)配置指定安全組的流程圖����。如圖5所示,該流程包括以下步驟:
[0017]S501��,用戶在創(chuàng)建虛擬機(jī)之前����,先創(chuàng)建完成該虛擬機(jī)所屬的安全組及其規(guī)則。
[0018]S502��,用戶向虛擬化平臺(tái)發(fā)起虛擬機(jī)創(chuàng)建請(qǐng)求�����,其中攜帶該虛擬機(jī)所屬的安全組標(biāo)識(shí)(本實(shí)施例假定為安全組I)�����。
[0019]S503�,虛擬化平臺(tái)的安全組管理器更新安全組I的配置信息����,即增加屬于該安全組的虛擬機(jī)。
[0020]S504���,加載安全組規(guī)則到虛擬機(jī)所在主機(jī)的安全組執(zhí)行器�。
[0021]S505,虛擬化平臺(tái)向用戶返回虛擬機(jī)創(chuàng)建完成響應(yīng)�����,其中攜帶已創(chuàng)建虛擬機(jī)的ID和安全組I��。
[0022]S506�����,可選的�,用戶可以修改安全組I中的規(guī)則。
[0023]S507��,安全組執(zhí)行器根據(jù)安全組的規(guī)則對(duì)安全組的網(wǎng)絡(luò)流進(jìn)行控制���。
[0024]S508���,安全組執(zhí)行器分發(fā)滿足安全組規(guī)則的網(wǎng)絡(luò)流。
[0025]目前的虛擬化平臺(tái)為用戶申請(qǐng)的虛擬機(jī)組提供安全組功能�����,但是目前的虛擬化平臺(tái)都要求用戶先配置安全組�����,然后在創(chuàng)建虛擬機(jī)時(shí)進(jìn)行與安全組的綁定,并且在虛擬機(jī)的整個(gè)生命期無法修改虛擬機(jī)與安全組的關(guān)系��;而且����,目前的安全組一般能夠最大支持上百條規(guī)則,如果用戶創(chuàng)建一個(gè)類似的安全組�,則需要對(duì)安全組規(guī)則一個(gè)一個(gè)輸入,這顯然不方便安全組的快速創(chuàng)建�,造成這些問題的原因在于當(dāng)前配置的安全組的功能較弱,例如����,缺乏以下功能:(1)安全組與虛擬機(jī)的綁定和解綁定功能�;(2)安全組與虛擬機(jī)的更新功能;
(3)安全組的導(dǎo)入和導(dǎo)出功能等����,同時(shí)這些原因也使得當(dāng)前的虛擬化平臺(tái)無法為用戶提供靈活的安全組操作,導(dǎo)致用戶不能根據(jù)應(yīng)用服務(wù)的需求靈活地對(duì)虛擬機(jī)與安全組進(jìn)行相應(yīng)處理��。
[0026]針對(duì)相關(guān)技術(shù)中用戶創(chuàng)建安全組的過程較為繁雜���、虛擬機(jī)與安全組的關(guān)系無法修改以及用戶不能根據(jù)應(yīng)用服務(wù)的需求靈活地對(duì)虛擬機(jī)與安全組進(jìn)行相應(yīng)處理的問題��,目前尚未提出有效的解決方案��。
【發(fā)明內(nèi)容】
[0027]本發(fā)明提供了一種虛擬機(jī)安全組的配置方法及裝置�,以至少解決上述問題。
[0028]根據(jù)本發(fā)明的一個(gè)方面�,提供了 一種虛擬機(jī)安全組的配置方法,包括:當(dāng)接收到對(duì)已經(jīng)創(chuàng)建完成的虛擬機(jī)與安全組進(jìn)行綁定����、更新或解綁定的操作請(qǐng)求時(shí),虛擬化平臺(tái)對(duì)虛擬機(jī)與安全組進(jìn)行綁定�����、更新或解綁定�;當(dāng)接收到對(duì)指定安全組進(jìn)行導(dǎo)入和導(dǎo)出的操作請(qǐng)求時(shí),虛擬化平臺(tái)對(duì)指定安全組進(jìn)行導(dǎo)入和導(dǎo)出���。
[0029]優(yōu)選地��,對(duì)虛擬機(jī)與安全組進(jìn)行綁定是指將已經(jīng)創(chuàng)建完成的虛擬機(jī)加入到已經(jīng)創(chuàng)建完成的安全組中��。
[0030]優(yōu)選地�,對(duì)虛擬機(jī)與安全組進(jìn)行更新是指將已創(chuàng)建完成的虛擬機(jī)從當(dāng)前已經(jīng)加入到的一個(gè)安全組中遷移到另外一個(gè)安全組中。
[0031]優(yōu)選地�����,對(duì)虛擬機(jī)與安全組進(jìn)行解綁定是指將已創(chuàng)建完成的虛擬機(jī)從當(dāng)前已經(jīng)加入到的安全組中移除�。
[0032]優(yōu)選地,在虛擬化平臺(tái)完成對(duì)虛擬機(jī)與安全組的解綁定之后����,該方法還包括:虛擬化平臺(tái)判斷解綁定后的虛擬機(jī)是否還關(guān)聯(lián)有其他用戶創(chuàng)建的安全組,在判斷結(jié)果為否的情況下����,虛擬化平臺(tái)將解綁定后的虛擬機(jī)放入到當(dāng)前用戶的缺省安全組中。
[0033]優(yōu)選地����,對(duì)虛擬機(jī)與安全組進(jìn)行的綁定���、更新或解綁定是在虛擬機(jī)已經(jīng)創(chuàng)建完成且未運(yùn)行的狀態(tài)下或者在虛擬機(jī)已經(jīng)創(chuàng)建完成且已經(jīng)運(yùn)行的狀態(tài)下進(jìn)行的���。
[0034]優(yōu)選地,虛擬機(jī)能夠同時(shí)屬于多個(gè)安全組���,安全組能夠同時(shí)包含多個(gè)虛擬機(jī)��。
[0035]優(yōu)選地����,對(duì)虛擬機(jī)與安全組進(jìn)行綁定、更新或解綁定時(shí)�����,能夠同時(shí)針對(duì)一個(gè)虛擬機(jī)所屬的一個(gè)或多個(gè)安全組進(jìn)行���。
[0036]優(yōu)選地�,對(duì)虛擬機(jī)與安全組進(jìn)行綁定���、更新或解綁定時(shí)�����,能夠同時(shí)針對(duì)一個(gè)安全組所屬的一個(gè)或多個(gè)虛擬機(jī)進(jìn)行�����。
[0037]優(yōu)選地�����,安全組的創(chuàng)建時(shí)間與虛擬機(jī)的創(chuàng)建時(shí)間沒有先后順序�����。
[0038]優(yōu)選地���,在虛擬化平臺(tái)對(duì)虛擬機(jī)與安全組進(jìn)行綁定���、更新或解綁定的過程中,虛擬機(jī)處于停止�、運(yùn)行或掛起狀態(tài)。
[0039]優(yōu)選地����,在虛擬化平臺(tái)完成對(duì)虛擬機(jī)與安全組的綁定、更新或解綁定之后����,虛擬機(jī)對(duì)應(yīng)的安全組規(guī)則立即生效��。
[0040]優(yōu)選地�����,當(dāng)虛擬機(jī)屬于多個(gè)安全組時(shí),虛擬機(jī)的入口流量只有在滿足全部安全組的入口規(guī)則時(shí)才能進(jìn)人�����,虛擬機(jī)的出口流量只有在滿足全部安全組的出口規(guī)則時(shí)才能發(fā)出����。
[0041]優(yōu)選地,在對(duì)指定安全組進(jìn)行導(dǎo)出時(shí)�����,虛擬化平臺(tái)將指定安全組及指定安全組的規(guī)則存放在指定的路徑���。
[0042]優(yōu)選地���,在對(duì)指定安全組進(jìn)行導(dǎo)入時(shí),虛擬化平臺(tái)按照指定的路徑���,根據(jù)指定安全組的名稱和描述信息創(chuàng)建一個(gè)新的安全組�,并為新的安全組分配一個(gè)安全組標(biāo)識(shí)(ID)。
[0043]根據(jù)本發(fā)明的另一方面�����,提供了一種虛擬機(jī)安全組的配置裝置��,包括:第一處理模塊����,用于當(dāng)接收到對(duì)已經(jīng)創(chuàng)建完成的虛擬機(jī)與安全組進(jìn)行綁定、更新或解綁定的操作請(qǐng)求時(shí)�����,對(duì)虛擬機(jī)與安全組進(jìn)行綁定�����、更新或解綁定��;第二處理模塊����,用于當(dāng)接收到對(duì)指定安全組進(jìn)行導(dǎo)入和導(dǎo)出的操作請(qǐng)求時(shí),對(duì)指定安全組進(jìn)行導(dǎo)入和導(dǎo)出���。[0044]優(yōu)選地����,對(duì)虛擬機(jī)與安全組進(jìn)行綁定是指將已經(jīng)創(chuàng)建完成的虛擬機(jī)加入到已經(jīng)創(chuàng)建完成的安全組中����。
[0045]優(yōu)選地,對(duì)虛擬機(jī)與安全組進(jìn)行更新是指將已創(chuàng)建完成的虛擬機(jī)從當(dāng)前已經(jīng)加入到的一個(gè)安全組中遷移到另外一個(gè)安全組中����。
[0046]優(yōu)選地,對(duì)虛擬機(jī)與安全組進(jìn)行解綁定是指將已創(chuàng)建完成的虛擬機(jī)從當(dāng)前已經(jīng)加入到的安全組中移除����。
[0047]優(yōu)選地,該裝置還包括:判斷模塊����,用于在第一處理模塊完成對(duì)虛擬機(jī)與安全組的解綁定之后,判斷解綁定后的虛擬機(jī)是否還關(guān)聯(lián)有其他用戶創(chuàng)建的安全組����;放入模塊,用于在判斷模塊的判斷結(jié)果為否的情況下��,將解綁定后的虛擬機(jī)放入到當(dāng)前用戶的缺省安全組中。
[0048]優(yōu)選地��,對(duì)虛擬機(jī)與安全組進(jìn)行的綁定�����、更新或解綁定是在虛擬機(jī)已經(jīng)創(chuàng)建完成且未運(yùn)行的狀態(tài)下或者在虛擬機(jī)已經(jīng)創(chuàng)建完成且已經(jīng)運(yùn)行的狀態(tài)下進(jìn)行的���。
[0049]優(yōu)選地���,虛擬機(jī)能夠同時(shí)屬于多個(gè)安全組,安全組能夠同時(shí)包含多個(gè)虛擬機(jī)�����。
[0050]優(yōu)選地���,當(dāng)虛擬機(jī)屬于多個(gè)安全組時(shí)��,虛擬機(jī)的入口流量只有在滿足全部安全組的入口規(guī)則時(shí)才能進(jìn)人����,虛擬機(jī)的出口流量只有在滿足全部安全組的出口規(guī)則時(shí)才能發(fā)出�����。
[0051]優(yōu)選地,第二處理模塊包括:存放單元�����,用于將指定安全組及指定安全組的規(guī)則存放在指定的路徑。
[0052]優(yōu)選地����,第二處理模塊包括:創(chuàng)建單元,用于按照指定的路徑根據(jù)指定安全組的名稱和描述信息創(chuàng)建一個(gè)新的安全組����;分配單元�����,用于為新的安全組分配一個(gè)安全組標(biāo)識(shí)(ID)0
[0053]通過本發(fā)明�����,采用增加安全組與虛擬機(jī)的綁定、更新以及解綁定功能���,增加安全組的導(dǎo)入和導(dǎo)出功能的方式,解決了用戶創(chuàng)建安全組的過程較為繁雜���、虛擬機(jī)與安全組的關(guān)系無法修改以及用戶不能根據(jù)應(yīng)用服務(wù)的需求靈活地對(duì)虛擬機(jī)與安全組進(jìn)行相應(yīng)處理的問題���,進(jìn)而達(dá)到了方便用戶根據(jù)應(yīng)用服務(wù)的需求靈活地對(duì)虛擬機(jī)與安全組進(jìn)行配置的效果O
【專利附圖】
【附圖說明】
[0054]此處所說明的附圖用來提供對(duì)本發(fā)明的進(jìn)一步理解,構(gòu)成本申請(qǐng)的一部分��,本發(fā)明的示意性實(shí)施例及其說明用于解釋本發(fā)明����,并不構(gòu)成對(duì)本發(fā)明的不當(dāng)限定。在附圖中:
[0055]圖1根據(jù)相關(guān)技術(shù)的安全組的模型示意圖����;
[0056]圖2根據(jù)相關(guān)技術(shù)的安全組的結(jié)構(gòu)示意圖��;
[0057]圖3根據(jù)相關(guān)技術(shù)的安全組的網(wǎng)絡(luò)模型圖���;
[0058]圖4根據(jù)相關(guān)技術(shù)的創(chuàng)建虛擬機(jī)時(shí)配置默認(rèn)安全組的流程圖��;
[0059]圖5根據(jù)相關(guān)技術(shù)的創(chuàng)建虛擬機(jī)時(shí)配置指定安全組的流程圖�;
[0060]圖6是根據(jù)本發(fā)明實(shí)施例的虛擬機(jī)安全組的配置方法流程圖��;
[0061]圖7是根據(jù)本發(fā)明優(yōu)選實(shí)施例的虛擬機(jī)安全組的創(chuàng)建流程圖��;
[0062]圖8是根據(jù)本發(fā)明優(yōu)選實(shí)施例的虛擬機(jī)創(chuàng)建后綁定安全組的流程圖����;
[0063]圖9是根據(jù)本發(fā)明優(yōu)選實(shí)施例的虛擬機(jī)創(chuàng)建后更新安全組的流程圖;[0064]圖10是根據(jù)本發(fā)明優(yōu)選實(shí)施例的虛擬機(jī)創(chuàng)建后解綁定部分用戶創(chuàng)建的安全組的流程圖����;
[0065]圖11是根據(jù)本發(fā)明優(yōu)選實(shí)施例的虛擬機(jī)創(chuàng)建后解綁定最后一個(gè)用戶創(chuàng)建的安全組的流程圖;
[0066]圖12是根據(jù)本發(fā)明優(yōu)選實(shí)施例的安全組導(dǎo)出流程圖�;
[0067]圖13是根據(jù)本發(fā)明優(yōu)選實(shí)施例的安全組導(dǎo)入流程圖;
[0068]圖14是根據(jù)本發(fā)明實(shí)施例的虛擬機(jī)安全組的配置裝置的結(jié)構(gòu)框圖��;
[0069]圖15是根據(jù)本發(fā)明優(yōu)選實(shí)施例的虛擬機(jī)安全組的配置裝置的結(jié)構(gòu)框圖�����。
【具體實(shí)施方式】
[0070]下文中將參考附圖并結(jié)合實(shí)施例來詳細(xì)說明本發(fā)明。需要說明的是�,在不沖突的情況下��,本申請(qǐng)中的實(shí)施例及實(shí)施例中的特征可以相互組合����。
[0071]圖6是根據(jù)本發(fā)明實(shí)施例的虛擬機(jī)安全組的配置方法流程圖,如圖6所示�����,該方法主要包括以下步驟(步驟S602-步驟S604):
[0072]步驟S602�,當(dāng)接收到對(duì)已經(jīng)創(chuàng)建完成的虛擬機(jī)與安全組進(jìn)行綁定�、更新或解綁定的操作請(qǐng)求時(shí),虛擬化平臺(tái)對(duì)虛擬機(jī)與安全組進(jìn)行綁定、更新或解綁定;
[0073]步驟S604����,當(dāng)接收到對(duì)指定安全組進(jìn)行導(dǎo)入和導(dǎo)出的操作請(qǐng)求時(shí),虛擬化平臺(tái)對(duì)指定安全組進(jìn)行導(dǎo)入和導(dǎo)出�。
[0074]在本實(shí)施例中���,對(duì)虛擬機(jī)與安全組進(jìn)行綁定是指將已經(jīng)創(chuàng)建完成的虛擬機(jī)加入到已經(jīng)創(chuàng)建完成的安全組中���。
[0075]在本實(shí)施例中��,對(duì)虛擬機(jī)與安全組進(jìn)行更新是指將已創(chuàng)建完成的虛擬機(jī)從當(dāng)前已經(jīng)加入到的一個(gè)安全組中遷移到另外一個(gè)安全組中����。
[0076]在本實(shí)施例中����,對(duì)虛擬機(jī)與安全組進(jìn)行解綁定是指將已創(chuàng)建完成的虛擬機(jī)從當(dāng)前已經(jīng)加入到的安全組中移除�����。
[0077]在本實(shí)施例中�����,在虛擬化平臺(tái)完成對(duì)虛擬機(jī)與安全組的解綁定之后�,該方法還包括:虛擬化平臺(tái)判斷解綁定后的虛擬機(jī)是否還關(guān)聯(lián)有其他用戶創(chuàng)建的安全組,在判斷結(jié)果為否的情況下�,虛擬化平臺(tái)將解綁定后的虛擬機(jī)放入到當(dāng)前用戶的缺省安全組中。
[0078]在本實(shí)施例中��,對(duì)虛擬機(jī)與安全組進(jìn)行的綁定����、更新或解綁定是在虛擬機(jī)已經(jīng)創(chuàng)建完成且未運(yùn)行的狀態(tài)下或者在虛擬機(jī)已經(jīng)創(chuàng)建完成且已經(jīng)運(yùn)行的狀態(tài)下進(jìn)行的。
[0079]在本實(shí)施例中���,虛擬機(jī)能夠同時(shí)屬于多個(gè)安全組�����,安全組能夠同時(shí)包含多個(gè)虛擬機(jī)����。
[0080]在本實(shí)施例中�����,對(duì)虛擬機(jī)與安全組進(jìn)行綁定、更新或解綁定時(shí)����,能夠同時(shí)針對(duì)一個(gè)虛擬機(jī)所屬的一個(gè)或多個(gè)安全組進(jìn)行。
[0081]在本實(shí)施例中���,對(duì)虛擬機(jī)與安全組進(jìn)行綁定�����、更新或解綁定時(shí),能夠同時(shí)針對(duì)一個(gè)安全組所屬的一個(gè)或多個(gè)虛擬機(jī)進(jìn)行���。
[0082]在本實(shí)施例中�,安全組的創(chuàng)建時(shí)間與虛擬機(jī)的創(chuàng)建時(shí)間沒有先后順序����。
[0083]在本實(shí)施例中,在虛擬化平臺(tái)對(duì)虛擬機(jī)與安全組進(jìn)行綁定��、更新或解綁定的過程中����,虛擬機(jī)處于停止、運(yùn)行或掛起狀態(tài)。
[0084]在本實(shí)施例中����,在虛擬化平臺(tái)完成對(duì)虛擬機(jī)與安全組的綁定、更新或解綁定之后����,虛擬機(jī)對(duì)應(yīng)的安全組規(guī)則立即生效。
[0085]在本實(shí)施例中�����,當(dāng)虛擬機(jī)屬于多個(gè)安全組時(shí)���,虛擬機(jī)的入口流量只有在滿足全部安全組的入口規(guī)則時(shí)才能進(jìn)人��,虛擬機(jī)的出口流量只有在滿足全部安全組的出口規(guī)則時(shí)才能發(fā)出�����。
[0086]在本實(shí)施例中�����,在對(duì)指定安全組進(jìn)行導(dǎo)出時(shí)���,虛擬化平臺(tái)將指定安全組及指定安全組的規(guī)則存放在指定的路徑�����。
[0087]在本實(shí)施例中�����,在對(duì)指定安全組進(jìn)行導(dǎo)入時(shí)�����,虛擬化平臺(tái)按照指定的路徑,根據(jù)指定安全組的名稱和描述信息創(chuàng)建一個(gè)新的安全組��,并為新的安全組分配一個(gè)安全組標(biāo)識(shí)(ID)0
[0088]下面結(jié)合圖7至圖13以及優(yōu)選實(shí)施例對(duì)上述實(shí)施例提供的虛擬機(jī)安全組的配置方法進(jìn)行更加詳細(xì)的描述���。
[0089]圖7是根據(jù)本發(fā)明優(yōu)選實(shí)施例的虛擬機(jī)安全組的創(chuàng)建流程圖�����,如圖7所示����,該流程包括以下步驟(步驟S702-步驟S706):
[0090]步驟S702,用戶創(chuàng)建虛擬機(jī)��,并從已創(chuàng)建的安全組中選擇該虛擬機(jī)所屬的安全組��;如果沒有選擇�����,則創(chuàng)建的虛擬機(jī)屬于用戶的缺省安全組����。
[0091]步驟S704,虛擬機(jī)創(chuàng)建后���,用戶可以根據(jù)應(yīng)用服務(wù)的需求�����,綁定����、解綁定虛擬機(jī)與其安全組�,或遷移該虛擬機(jī)到其他安全組中。
[0092]步驟S706��,用戶將安全組及其規(guī)則導(dǎo)入到某個(gè)位置進(jìn)行保存,并通過導(dǎo)出操作快速創(chuàng)建一個(gè)類似的新的安全組����。
[0093]圖8是根據(jù)本發(fā)明優(yōu)選實(shí)施例的虛擬機(jī)創(chuàng)建后綁定安全組的流程圖,如圖8所示�����,該流程包括以下步驟(步驟S802-步驟S816):
[0094]步驟S802�,用戶創(chuàng)建虛擬機(jī),虛擬化平臺(tái)為用戶已創(chuàng)建缺省安全組�;
[0095]步驟S804,用戶創(chuàng)建安全組及其規(guī)則(用戶創(chuàng)建安全組和創(chuàng)建虛擬機(jī)沒有順序關(guān)系要求)�����。
[0096]步驟S806�,用戶發(fā)起安全組與虛擬機(jī)綁定請(qǐng)求����,其中,攜帶已創(chuàng)建的安全組ID和已創(chuàng)建的虛擬機(jī)ID���。
[0097]步驟S808�����,安全組管理器判斷安全組綁定請(qǐng)求的合法性�����,例如根據(jù)安全組ID判斷該安全組是否存在�,根據(jù)虛擬機(jī)ID判斷虛擬機(jī)是否存在,該虛擬機(jī)與安全組是否已綁定���。如果滿足條件�����,則安全組管理器更新安全組配置信息����。
[0098]步驟S810�,安全組管理器通知負(fù)責(zé)該虛擬機(jī)網(wǎng)絡(luò)流接入控制的安全組執(zhí)行器,力口載該安全組的規(guī)則�。
[0099]步驟S812,安全組管理器向用戶返回安全組與虛擬機(jī)綁定成功響應(yīng)�����。
[0100]步驟S814,安全組執(zhí)行器根據(jù)安全組的規(guī)則對(duì)安全組的網(wǎng)絡(luò)流進(jìn)行控制�����。
[0101]步驟S816�����,安全組執(zhí)行器分發(fā)滿足安全組規(guī)則的網(wǎng)絡(luò)流��。
[0102]圖9是根據(jù)本發(fā)明優(yōu)選實(shí)施例的虛擬機(jī)創(chuàng)建后更新安全組的流程圖�,如圖9所示,該流程包括以下步驟(步驟S902-步驟S920):
[0103]步驟S902�,用戶創(chuàng)建安全組及其規(guī)則,假定用戶創(chuàng)建了安全組I和安全組2�����。
[0104]步驟S904�,用戶創(chuàng)建虛擬機(jī),并設(shè)置該虛擬機(jī)屬于安全組I ;
[0105]步驟S906��,安全組執(zhí)行器根據(jù)安全組的規(guī)則對(duì)安全組的網(wǎng)絡(luò)流進(jìn)行控制�。[0106]步驟S908���,安全組執(zhí)行器分發(fā)滿足安全組規(guī)則的網(wǎng)絡(luò)流�����。
[0107]需要說明的是����,步驟S902和步驟S908是預(yù)置步驟,即虛擬機(jī)首先屬于安全組I��,并且在安全組I下網(wǎng)絡(luò)流能夠正?���?刂疲缓蟾碌桨踩M2下���。
[0108]步驟S910����,用戶發(fā)起安全組與虛擬機(jī)更新請(qǐng)求�,其中攜帶虛擬機(jī)ID、源安全組I和要遷移到的安全組2����。
[0109]步驟S912�,安全組管理器判斷安全組更新請(qǐng)求的合法性�����,比如源安全組和目標(biāo)安全組是否存在����,要遷移的虛擬機(jī)是否存在,該虛擬機(jī)與源安全組是否已綁定�����。如果滿足條件�����,則安全組管理器更新安全組配置信息��,即解綁定虛擬機(jī)與源安全組的關(guān)系�,綁定與目標(biāo)安全組的關(guān)系。
[0110]步驟S914���,安全組管理器通知負(fù)責(zé)該虛擬機(jī)網(wǎng)絡(luò)流接入控制的安全組執(zhí)行器��,更新安全組規(guī)則���。
[0111]步驟S916,安全組管理器向用戶返回虛擬機(jī)安全組更新成功響應(yīng)�����。
[0112]步驟S918�,安全組執(zhí)行器根據(jù)安全組的規(guī)則對(duì)安全組的網(wǎng)絡(luò)流進(jìn)行控制。
[0113]步驟S920�,安全組執(zhí)行器分發(fā)滿足安全組規(guī)則的網(wǎng)絡(luò)流。
[0114]圖10是根據(jù)本發(fā)明優(yōu)選實(shí)施例的虛擬機(jī)創(chuàng)建后解綁定部分用戶創(chuàng)建的安全組的流程圖����,如圖10所示,該流程包括以下步驟(步驟S1002-步驟S1020):
[0115]步驟S1002����,用戶創(chuàng)建安全組I和安全組2及其入口和/或出口規(guī)則。
[0116]步驟S1004�,用戶創(chuàng)建虛擬機(jī),該虛擬機(jī)綁定安全組I和安全組2 (用戶創(chuàng)建安全組和創(chuàng)建虛擬機(jī)沒有順序關(guān)系要求)����。
[0117]步驟S1006,安全組執(zhí)行器根據(jù)安全組I和安全組2的規(guī)則對(duì)安全組的網(wǎng)絡(luò)流進(jìn)行控制。
[0118]步驟S1008���,安全組執(zhí)行器分發(fā)滿足安全組規(guī)則的網(wǎng)絡(luò)流���。
[0119]需要說明的是,步驟S1002和步驟S1008是預(yù)置步驟���,即虛擬機(jī)首先屬于安全組I和安全中�,并且網(wǎng)絡(luò)流受控于安全組I和安全中�����,然后解綁定安全組2���。
[0120]步驟S1010,用戶發(fā)起安全組與虛擬機(jī)解綁定請(qǐng)求,其中攜帶已創(chuàng)建的虛擬機(jī)ID和要解綁定的安全組2���。
[0121]步驟S1012,安全組管理器判斷安全組綁定請(qǐng)求的合法性���,比如判斷安全組2是否存在�����,虛擬機(jī)是否存在�,該虛擬機(jī)與安全組2是否已綁定。如果滿足條件���,則安全組管理器更新安全組配置信息。
[0122]步驟S1014����,安全組管理器通知負(fù)責(zé)該虛擬機(jī)網(wǎng)絡(luò)流接入控制的安全組執(zhí)行器,更新安全組的規(guī)則��。
[0123]步驟S1016�����,安全組管理器向用戶返回安全組與虛擬機(jī)解綁定成功響應(yīng)�����。
[0124]步驟S1018�����,安全組執(zhí)行器根據(jù)安全組的規(guī)則對(duì)安全組的網(wǎng)絡(luò)流進(jìn)行控制�。
[0125]步驟S1020���,安全組執(zhí)行器分發(fā)滿足安全組規(guī)則的網(wǎng)絡(luò)流。
[0126]圖11是根據(jù)本發(fā)明優(yōu)選實(shí)施例的虛擬機(jī)創(chuàng)建后解綁定最后一個(gè)用戶創(chuàng)建的安全組的流程圖�����,如圖11所示�,該流程包括以下步驟(步驟S1102-步驟S1104):
[0127]步驟SI 102,用戶創(chuàng)建安全組I及其規(guī)則�。
[0128]步驟S1104,用戶創(chuàng)建虛擬機(jī)�,該虛擬機(jī)綁定安全組I (用戶創(chuàng)建安全組和創(chuàng)建虛擬機(jī)沒有順序關(guān)系要求)。[0129]步驟S1106��,安全組執(zhí)行器根據(jù)安全組I的規(guī)則對(duì)安全組的網(wǎng)絡(luò)流進(jìn)行控制�����。
[0130]步驟S1108�,安全組執(zhí)行器分發(fā)滿足安全組規(guī)則的網(wǎng)絡(luò)流。
[0131]需要說明的是�,步驟S1102和步驟S1108是預(yù)置步驟,即虛擬機(jī)當(dāng)前只關(guān)聯(lián)最后一個(gè)用戶定義的安全組中�,然后解綁定該安全組。
[0132]步驟S1110,用戶發(fā)起安全組與虛擬機(jī)解綁定請(qǐng)求,其中攜帶已創(chuàng)建的虛擬機(jī)ID和要解綁定的安全組I�。
[0133]步驟S1112���,安全組管理器判斷安全組綁定請(qǐng)求的合法性,比如判斷安全組I是否存在�����,虛擬機(jī)是否存在�����,該虛擬機(jī)與安全組I是否已綁定��。如果滿足條件�����,則安全組管理器更新安全組配置信息�,即解綁定安全組1�,然后將虛擬機(jī)加入到用戶的缺省安全組中。
[0134]步驟S1114�,安全組管理器通知負(fù)責(zé)該虛擬機(jī)網(wǎng)絡(luò)流接入控制的安全組執(zhí)行器,更新安全組的規(guī)則為用戶缺省安全組的規(guī)則��。
[0135]步驟S1116��,安全組管理器向用戶返回安全組與虛擬機(jī)解綁定成功響應(yīng)。
[0136]步驟S1118�����,安全組執(zhí)行器根據(jù)缺省安全組的規(guī)則對(duì)安全組的網(wǎng)絡(luò)流進(jìn)行控制���。
[0137]步驟S1120����,安全組執(zhí)行器分發(fā)滿足缺省安全組規(guī)則的網(wǎng)絡(luò)流����。
[0138]圖12是根據(jù)本發(fā)明優(yōu)選實(shí)施例的安全組導(dǎo)出流程圖,如圖12所示��,該流程包括以下步驟(步驟S1202-步驟S1212):
[0139]步驟S1202���,用戶創(chuàng)建安全組及其規(guī)則�����。
[0140]步驟S1204��,用戶創(chuàng)建虛擬機(jī)及其所屬的安全組����。
[0141]需要說明的是,步驟S1202和步驟S1204是預(yù)置步驟��,類似步驟S1102到步驟S1108執(zhí)行虛擬機(jī)和安全組的創(chuàng)建���,以及根據(jù)安全組規(guī)則進(jìn)行網(wǎng)絡(luò)流的控制���。
[0142]步驟S1206,用戶發(fā)起安全組導(dǎo)出請(qǐng)求��,其中攜帶安全組ID和安全組及其規(guī)則的存放路徑等信息�����。
[0143]步驟S1208�,安全組管理器判斷安全組導(dǎo)出請(qǐng)求的合法性����,比如判斷安全組ID是否存在。如果滿足條件��,則安全組管理器讀取安全組配置信息�。
[0144]步驟S1210����,安全組管理器將該安全組及其規(guī)則存放在指定的存儲(chǔ)位置���。
[0145]步驟S1212���,安全組管理器向用戶返回安全組導(dǎo)出成功響應(yīng)。
[0146]圖13是根據(jù)本發(fā)明優(yōu)選實(shí)施例的安全組導(dǎo)入流程圖�,如圖13所示,該流程包括以下步驟(步驟S1302-步驟S1312):
[0147]步驟S1302�����,用戶創(chuàng)建安全組及其規(guī)則����。
[0148]步驟S1304,用戶創(chuàng)建虛擬機(jī)及其所屬的安全組�。
[0149]需要說明的是,步驟S1302和步驟S1304是預(yù)置步驟�,類似步驟S1102到步驟S1108執(zhí)行虛擬機(jī)和安全組的創(chuàng)建,以及根據(jù)安全組規(guī)則進(jìn)行網(wǎng)絡(luò)流的控制��。
[0150]步驟S1306,用戶發(fā)起安全組導(dǎo)入請(qǐng)求����,其中攜帶安全組名稱和已存放的安全組及其規(guī)則的路徑等信息。
[0151]步驟S1308����,安全組管理器判斷安全組導(dǎo)入請(qǐng)求的合法性,比如判斷該存放路徑的有效性����,用戶的讀取權(quán)限等。如果滿足條件��,則安全組管理器從存儲(chǔ)器讀取已存儲(chǔ)的安全組配置信息���。
[0152]步驟S1310���,安全組管理器根據(jù)存儲(chǔ)的安全組及其規(guī)則創(chuàng)建一個(gè)新的安全組����。
[0153]步驟S1312,安全組管理器向用戶返回安全組導(dǎo)入成功響應(yīng)�����,并攜帶新創(chuàng)建的安全組ID。
[0154]采用上述實(shí)施例提供的虛擬機(jī)安全組的配置方法�,采用增加安全組與虛擬機(jī)的綁定、更新以及解綁定功能�����,增加安全組的導(dǎo)入和導(dǎo)出功能的方式��,達(dá)到了方便用戶根據(jù)應(yīng)用服務(wù)的需求靈活地對(duì)虛擬機(jī)與安全組進(jìn)行配置的效果����。
[0155]圖14是根據(jù)本發(fā)明實(shí)施例的虛擬機(jī)安全組的配置裝置的結(jié)構(gòu)框圖,該裝置用以實(shí)現(xiàn)上述方法實(shí)施例提供的虛擬機(jī)安全組的配置����,如圖14所示,該裝置主要包括:第一處理模塊10和第二處理模塊20�。其中,第一處理模塊10����,用于當(dāng)接收到對(duì)已經(jīng)創(chuàng)建完成的虛擬機(jī)與安全組進(jìn)行綁定、更新或解綁定的操作請(qǐng)求時(shí)�����,對(duì)虛擬機(jī)與安全組進(jìn)行綁定、更新或解綁定�;第二處理模塊20,用于當(dāng)接收到對(duì)指定安全組進(jìn)行導(dǎo)入和導(dǎo)出的操作請(qǐng)求時(shí)�����,對(duì)指定安全組進(jìn)行導(dǎo)入和導(dǎo)出��。
[0156]在本實(shí)施例中���,對(duì)虛擬機(jī)與安全組進(jìn)行綁定是指將已經(jīng)創(chuàng)建完成的虛擬機(jī)加入到已經(jīng)創(chuàng)建完成的安全組中�。
[0157]在本實(shí)施例中��,對(duì)虛擬機(jī)與安全組進(jìn)行更新是指將已創(chuàng)建完成的虛擬機(jī)從當(dāng)前已經(jīng)加入到的一個(gè)安全組中遷移到另外一個(gè)安全組中���。
[0158]在本實(shí)施例中��,對(duì)虛擬機(jī)與安全組進(jìn)行解綁定是指將已創(chuàng)建完成的虛擬機(jī)從當(dāng)前已經(jīng)加入到的安全組中移除����。
[0159]在本實(shí)施例中��,對(duì)虛擬機(jī)與安全組進(jìn)行的綁定��、更新或解綁定是在虛擬機(jī)已經(jīng)創(chuàng)建完成且未運(yùn)行的狀態(tài)下或者在虛擬機(jī)已經(jīng)創(chuàng)建完成且已經(jīng)運(yùn)行的狀態(tài)下進(jìn)行的�。
[0160]在本實(shí)施例中,虛擬機(jī)能夠同時(shí)屬于多個(gè)安全組�,安全組能夠同時(shí)包含多個(gè)虛擬機(jī)。
[0161]在本實(shí)施例中�,當(dāng)虛擬機(jī)屬于多個(gè)安全組時(shí),虛擬機(jī)的入口流量只有在滿足全部安全組的入口規(guī)則時(shí)才能進(jìn)人����,虛擬機(jī)的出口流量只有在滿足全部安全組的出口規(guī)則時(shí)才能發(fā)出。
[0162]圖15是根據(jù)本發(fā)明優(yōu)選實(shí)施例的虛擬機(jī)安全組的配置裝置的結(jié)構(gòu)框圖��,如圖15所示�,在該優(yōu)選實(shí)施例提供的虛擬機(jī)安全組的配置裝置中,還包括:判斷模塊30���,連接至第一處理模塊10���,用于在第一處理模塊10完成對(duì)虛擬機(jī)與安全組的解綁定之后,判斷解綁定后的虛擬機(jī)是否還關(guān)聯(lián)有其他用戶創(chuàng)建的安全組�;放入模塊10,連接至判斷模塊30���,用于在判斷模塊30的判斷結(jié)果為否的情況下���,將解綁定后的虛擬機(jī)放入到當(dāng)前用戶的缺省安全組中����。
[0163]優(yōu)選地��,第二處理模塊20包括:存放單元22�,用于將指定安全組及指定安全組的規(guī)則存放在指定的路徑。
[0164]優(yōu)選地����,第二處理模塊20包括:創(chuàng)建單元24,用于按照指定的路徑根據(jù)指定安全組的名稱和描述信息創(chuàng)建一個(gè)新的安全組����;分配單元26,連接至創(chuàng)建單元24�����,用于為新的安全組分配一個(gè)安全組標(biāo)識(shí)(ID)��。
[0165]采用上述實(shí)施例提供的虛擬機(jī)安全組的配置裝置�,采用增加安全組與虛擬機(jī)的綁定��、更新以及解綁定功能,增加安全組的導(dǎo)入和導(dǎo)出功能的方式��,達(dá)到了方便用戶根據(jù)應(yīng)用服務(wù)的需求靈活地對(duì)虛擬機(jī)與安全組進(jìn)行配置的效果�。
[0166]從以上的描述中,可以看出����,本發(fā)明實(shí)現(xiàn)了如下技術(shù)效果:為安全組與虛擬機(jī)增加綁定、更新以及解綁定功能��,為安全組增加導(dǎo)入和導(dǎo)出功能���,通過這種方式解決了用戶創(chuàng)建安全組的過程較為繁雜���、虛擬機(jī)與安全組的關(guān)系無法修改以及用戶不能根據(jù)應(yīng)用服務(wù)的需求靈活地對(duì)虛擬機(jī)與安全組進(jìn)行相應(yīng)處理的問題,進(jìn)而達(dá)到了方便用戶根據(jù)應(yīng)用服務(wù)的需求靈活地對(duì)虛擬機(jī)與安全組進(jìn)行配置的效果�����。
[0167]顯然��,本領(lǐng)域的技術(shù)人員應(yīng)該明白�����,上述的本發(fā)明的各模塊或各步驟可以用通用的計(jì)算裝置來實(shí)現(xiàn),它們可以集中在單個(gè)的計(jì)算裝置上�,或者分布在多個(gè)計(jì)算裝置所組成的網(wǎng)絡(luò)上,可選地��,它們可以用計(jì)算裝置可執(zhí)行的程序代碼來實(shí)現(xiàn)�����,從而�,可以將它們存儲(chǔ)在存儲(chǔ)裝置中由計(jì)算裝置來執(zhí)行,并且在某些情況下��,可以以不同于此處的順序執(zhí)行所示出或描述的步驟����,或者將它們分別制作成各個(gè)集成電路模塊,或者將它們中的多個(gè)模塊或步驟制作成單個(gè)集成電路模塊來實(shí)現(xiàn)�。這樣,本發(fā)明不限制于任何特定的硬件和軟件結(jié)合�����。
[0168]以上所述僅為本發(fā)明的優(yōu)選實(shí)施例而已��,并不用于限制本發(fā)明,對(duì)于本領(lǐng)域的技術(shù)人員來說�,本發(fā)明可以有各種更改和變化。凡在本發(fā)明的精神和原則之內(nèi)�����,所作的任何修改���、等同替換、改進(jìn)等��,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)�����。
【權(quán)利要求】
1.一種虛擬機(jī)安全組的配置方法�����,其特征在于����,包括: 當(dāng)接收到對(duì)已經(jīng)創(chuàng)建完成的虛擬機(jī)與安全組進(jìn)行綁定、更新或解綁定的操作請(qǐng)求時(shí)�,虛擬化平臺(tái)對(duì)所述虛擬機(jī)與所述安全組進(jìn)行綁定�、更新或解綁定�����; 當(dāng)接收到對(duì)指定安全組進(jìn)行導(dǎo)入和導(dǎo)出的操作請(qǐng)求時(shí)��,所述虛擬化平臺(tái)對(duì)指定安全組進(jìn)行導(dǎo)入和導(dǎo)出����。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于�,對(duì)所述虛擬機(jī)與所述安全組進(jìn)行綁定是指將已經(jīng)創(chuàng)建完成的虛擬機(jī)加入到已經(jīng)創(chuàng)建完成的安全組中。
3.根據(jù)權(quán)利要求1所述的方法��,其特征在于����,對(duì)所述虛擬機(jī)與安全組進(jìn)行更新是指將已創(chuàng)建完成的虛擬機(jī)從當(dāng)前已經(jīng)加入到的一個(gè)安全組中遷移到另外一個(gè)安全組中。
4.根據(jù)權(quán)利要求1所述的方法��,其特征在于��,對(duì)所述虛擬機(jī)與安全組進(jìn)行解綁定是指將已創(chuàng)建完成的虛擬機(jī)從當(dāng)前已經(jīng)加入到的安全組中移除��。
5.根據(jù)權(quán)利要求1所述的方法,其特征在于���,在所述虛擬化平臺(tái)完成對(duì)所述虛擬機(jī)與所述安全組的解綁定之后����,所述方法還包括: 所述虛擬化平臺(tái)判斷解綁定后的虛擬 機(jī)是否還關(guān)聯(lián)有其他用戶創(chuàng)建的安全組����,在判斷結(jié)果為否的情況下,所述虛擬化平臺(tái)將所述解綁定后的虛擬機(jī)放入到當(dāng)前用戶的缺省安全組中�。
6.根據(jù)權(quán)利要求1至5中任一項(xiàng)所述的方法���,其特征在于�����,對(duì)所述虛擬機(jī)與所述安全組進(jìn)行的綁定��、更新或解綁定是在所述虛擬機(jī)已經(jīng)創(chuàng)建完成且未運(yùn)行的狀態(tài)下或者在所述虛擬機(jī)已經(jīng)創(chuàng)建完成且已經(jīng)運(yùn)行的狀態(tài)下進(jìn)行的���。
7.根據(jù)權(quán)利要求6所述的方法,其特征在于����,所述虛擬機(jī)能夠同時(shí)屬于多個(gè)所述安全組�����,所述安全組能夠同時(shí)包含多個(gè)所述虛擬機(jī)�����。
8.根據(jù)權(quán)利要求7所述的方法���,其特征在于,對(duì)所述虛擬機(jī)與所述安全組進(jìn)行綁定�、更新或解綁定時(shí),能夠同時(shí)針對(duì)一個(gè)所述虛擬機(jī)所屬的一個(gè)或多個(gè)所述安全組進(jìn)行�����。
9.根據(jù)權(quán)利要求7所述的方法��,其特征在于��,對(duì)所述虛擬機(jī)與所述安全組進(jìn)行綁定�����、更新或解綁定時(shí),能夠同時(shí)針對(duì)一個(gè)所述安全組所屬的一個(gè)或多個(gè)所述虛擬機(jī)進(jìn)行�。
10.根據(jù)權(quán)利要求7所述的方法,其特征在于��,所述安全組的創(chuàng)建時(shí)間與所述虛擬機(jī)的創(chuàng)建時(shí)間沒有先后順序���。
11.根據(jù)權(quán)利要求7所述的方法���,其特征在于,在所述虛擬化平臺(tái)對(duì)所述虛擬機(jī)與所述安全組進(jìn)行綁定�、更新或解綁定的過程中,所述虛擬機(jī)處于停止�����、運(yùn)行或掛起狀態(tài)��。
12.根據(jù)權(quán)利要求7所述的方法���,其特征在于,在所述虛擬化平臺(tái)完成對(duì)所述虛擬機(jī)與所述安全組的綁定�����、更新或解綁定之后,所述虛擬機(jī)對(duì)應(yīng)的安全組規(guī)則立即生效��。
13.根據(jù)權(quán)利要求7所述的方法�,其特征在于,當(dāng)所述虛擬機(jī)屬于多個(gè)所述安全組時(shí)��,所述虛擬機(jī)的入口流量只有在滿足全部安全組的入口規(guī)則時(shí)才能進(jìn)人�����,所述虛擬機(jī)的出口流量只有在滿足全部安全組的出口規(guī)則時(shí)才能發(fā)出����。
14.根據(jù)權(quán)利要求13所述的方法,其特征在于���,在對(duì)所述指定安全組進(jìn)行導(dǎo)出時(shí)����,所述虛擬化平臺(tái)將所述指定安全組及所述指定安全組的規(guī)則存放在指定的路徑�����。
15.根據(jù)權(quán)利要求13所述的方法��,其特征在于,在對(duì)所述指定安全組進(jìn)行導(dǎo)入時(shí)�����,所述虛擬化平臺(tái)按照指定的路徑��,根據(jù)所述指定安全組的名稱和描述信息創(chuàng)建一個(gè)新的安全組���,并為所述新的安全組分配一個(gè)安全組標(biāo)識(shí)ID����。
16.一種虛擬機(jī)安全組的配置裝置����,其特征在于,包括: 第一處理模塊�����,用于當(dāng)接收到對(duì)已經(jīng)創(chuàng)建完成的虛擬機(jī)與安全組進(jìn)行綁定���、更新或解綁定的操作請(qǐng)求時(shí),對(duì)所述虛擬機(jī)與所述安全組進(jìn)行綁定����、更新或解綁定��; 第二處理模塊��,用于當(dāng)接收到對(duì)指定安全組進(jìn)行導(dǎo)入和導(dǎo)出的操作請(qǐng)求時(shí)����,對(duì)指定安全組進(jìn)行導(dǎo)入和導(dǎo)出�����。
17.根據(jù)權(quán)利要求16所述的裝置��,其特征在于�,對(duì)所述虛擬機(jī)與所述安全組進(jìn)行綁定是指將已經(jīng)創(chuàng)建完成的虛擬機(jī)加入到已經(jīng)創(chuàng)建完成的安全組中。
18.根據(jù)權(quán)利要求16所述的裝置����,其特征在于,對(duì)所述虛擬機(jī)與所述安全組進(jìn)行更新是指將已創(chuàng)建完成的虛擬機(jī)從當(dāng)前已經(jīng)加入到的一個(gè)安全組中遷移到另外一個(gè)安全組中���。
19.根據(jù)權(quán)利要求16所述的裝置�����,其特征在于�����,對(duì)所述虛擬機(jī)與所述安全組進(jìn)行解綁定是指將已創(chuàng)建完成的虛擬機(jī)從當(dāng)前已經(jīng)加入到的安全組中移除��。
20.根據(jù)權(quán)利要求16所述的裝置����,其特征在于,所述裝置還包括: 判斷模塊��,用于在所述第一處理模塊完成對(duì)所述虛擬機(jī)與所述安全組的解綁定之后�����,判斷解綁定后的虛擬機(jī)是否還關(guān)聯(lián)有其他用戶創(chuàng)建的安全組�����; 放入模塊���,用于在所述 判斷模塊的判斷結(jié)果為否的情況下���,將所述解綁定后的虛擬機(jī)放入到當(dāng)前用戶的缺省安全組中。
21.根據(jù)權(quán)利要求16至20中任一項(xiàng)所述的裝置��,其特征在于���,對(duì)所述虛擬機(jī)與所述安全組進(jìn)行的綁定����、更新或解綁定是在所述虛擬機(jī)已經(jīng)創(chuàng)建完成且未運(yùn)行的狀態(tài)下或者在所述虛擬機(jī)已經(jīng)創(chuàng)建完成且已經(jīng)運(yùn)行的狀態(tài)下進(jìn)行的��。
22.根據(jù)權(quán)利要求21所述的裝置����,其特征在于,所述虛擬機(jī)能夠同時(shí)屬于多個(gè)所述安全組�,所述安全組能夠同時(shí)包含多個(gè)所述虛擬機(jī)。
23.根據(jù)權(quán)利要求22所述的裝置�,其特征在于,當(dāng)所述虛擬機(jī)屬于多個(gè)所述安全組時(shí)����,所述虛擬機(jī)的入口流量只有在滿足全部安全組的入口規(guī)則時(shí)才能進(jìn)人,所述虛擬機(jī)的出口流量只有在滿足全部安全組的出口規(guī)則時(shí)才能發(fā)出�����。
24.根據(jù)權(quán)利要求22所述的裝置,其特征在于�����,所述第二處理模塊包括: 存放單元��,用于將所述指定安全組及所述指定安全組的規(guī)則存放在指定的路徑�。
25.根據(jù)權(quán)利要求22所述的裝置,其特征在于��,所述第二處理模塊包括: 創(chuàng)建單元���,用于按照指定的路徑根據(jù)所述指定安全組的名稱和描述信息創(chuàng)建一個(gè)新的安全組��; 分配單元���,用于為所述新的安全組分配一個(gè)安全組標(biāo)識(shí)ID。
【文檔編號(hào)】G06F9/455GK104007997SQ201310057680
【公開日】2014年8月27日 申請(qǐng)日期:2013年2月22日 優(yōu)先權(quán)日:2013年2月22日
【發(fā)明者】楚俊生, 顧忠禹, 陶源 申請(qǐng)人:中興通訊股份有限公司