一种虚拟机调度和安全访问方法、装置、设备及可读介质
技术领域
本发明涉及虚拟机
技术领域
,尤其涉及一种虚拟机调度和安全访问方法、装置、设备及可读介质。背景技术
随着虚拟化技术的不断发展与创新,越来越多的单位和企业应用虚拟化系统来管理服务器,而某些涉密企业,如军工,对虚拟机及主机资源的安全访问有很高的要求。
而目前很多虚拟化系统并未解决此类问题,如根据不同密级的业务和资源部署于不同的虚拟机和主机,并通过密级标识进行这些业务与资源的访问控制,以达到对应不同密级标识的保密效果。
发明内容
有鉴于此,本发明实施例的目的在于提出一种虚拟机调度和安全访问方法、装置、设备及可读介质,通过对虚拟机进行不同密级标识的划分,在开机或者负载均衡调度时将其调度到对应密级标识的主机上,从而实现不同密级标识的虚拟机在物理上的以个划分和隔离,通过主机和虚拟机的密级标识进一步实现主机和虚拟机资源的访问控制。
基于上述目的,本发明实施例的一方面提供了一种虚拟机调度和安全访问方法,包括以下步骤:为虚拟机配置密级标识,并基于所述虚拟机的运行指标获取可选主机列表;遍历所述可选主机列表,并逐个判断所述可选主机列表中主机的密级标识是否与所述虚拟机的密级标识一致;若所述可选主机列表中主机的密级标识与所述虚拟机的密级标识一致或所述可选主机列表中主机无密级标识且所述主机上无运行的虚拟机,将所述虚拟机调度到所述主机上运行;以及响应于接收到用户访问系统请求,获取所述用户访问权限对应的密级标识,并为所述用户提供低于所述访问权限对应的密级标识的虚拟机和主机资源。
在一些实施方式中,为虚拟机配置密级标识包括:根据所述虚拟机的保密程度配置密级标识,所述虚拟机密级标识默认配置为无。
在一些实施方式中,基于所述虚拟机的运行指标获取可选主机列表包括:基于所述虚拟机的运行指标筛选可选主机,并基于所述可选主机生成可选主机列表;其中,所述运行指标包括内存、CPU、存储和网络。
在一些实施方式中,遍历所述可选主机列表还包括:基于主机标识和所述主机对应的密级标识设置全局缓存变量,通过所述全局缓存变量进行虚拟机的调度。
在一些实施方式中,逐个判断所述可选主机列表中主机的密级标识是否与所述虚拟机的密级标识一致包括:获取缓存中所述可选主机列表中主机的密级标识,若是所述缓存中没有所述主机的密级标识,进一步获取所述主机上已运行的虚拟机,并将所述主机上已运行的虚拟机的密级标识作为所述主机的密级标识;并判断所述主机的密级标识是否与所述虚拟机的密级标识一致。
在一些实施方式中,若所述可选主机列表中主机的密级标识与所述虚拟机的密级标识一致或所述可选主机列表中主机无密级标识且所述主机上无运行的虚拟机,将所述虚拟机调度到所述主机上运行包括:若所述可选主机列表中主机的密级标识与所述虚拟机的密级标识一致,将所述虚拟机调度到所述主机上运行;若所述可选主机列表中主机无密级标识且所述主机上无运行的虚拟机,将所述虚拟机的密级标识设置为所述主机的密级标识,并将所述虚拟机调度到所述主机上运行。
在一些实施方式中,获取所述用户访问权限对应的密级标识,并为所述用户提供低于所述访问权限对应的密级标识的虚拟机和主机资源还包括:若是所述用户访问权限未设置密级标识,为所述用户提供密级标识为无的虚拟机和主机资源。
本发明实施例的另一方面,还提供了一种虚拟机调度和安全访问装置,包括:第一模块,配置用于为虚拟机配置密级标识,并基于所述虚拟机的运行指标获取可选主机列表;第二模块,配置用于遍历所述可选主机列表,并逐个判断所述可选主机列表中主机的密级标识是否与所述虚拟机的密级标识一致;第三模块,配置用于若所述可选主机列表中主机的密级标识与所述虚拟机的密级标识一致或所述可选主机列表中主机无密级标识且所述主机上无运行的虚拟机,将所述虚拟机调度到所述主机上运行;以及第四模块,配置用于响应于接收到用户访问系统请求,获取所述用户访问权限对应的密级标识,并为所述用户提供低于所述访问权限对应的密级标识的虚拟机和主机资源。
本发明实施例的再一方面,还提供了一种计算机设备,包括:至少一个处理器;以及存储器,存储器存储有可在处理器上运行的计算机指令,指令由处理器执行时实现方法步骤包括:为虚拟机配置密级标识,并基于所述虚拟机的运行指标获取可选主机列表;遍历所述可选主机列表,并逐个判断所述可选主机列表中主机的密级标识是否与所述虚拟机的密级标识一致;若所述可选主机列表中主机的密级标识与所述虚拟机的密级标识一致或所述可选主机列表中主机无密级标识且所述主机上无运行的虚拟机,将所述虚拟机调度到所述主机上运行;以及响应于接收到用户访问系统请求,获取所述用户访问权限对应的密级标识,并为所述用户提供低于所述访问权限对应的密级标识的虚拟机和主机资源。
在一些实施方式中,为虚拟机配置密级标识包括:根据所述虚拟机的保密程度配置密级标识,所述虚拟机密级标识默认配置为无。
在一些实施方式中,基于所述虚拟机的运行指标获取可选主机列表包括:基于所述虚拟机的运行指标筛选可选主机,并基于所述可选主机生成可选主机列表;其中,所述运行指标包括内存、CPU、存储和网络。
在一些实施方式中,遍历所述可选主机列表还包括:基于主机标识和所述主机对应的密级标识设置全局缓存变量,通过所述全局缓存变量进行虚拟机的调度。
在一些实施方式中,逐个判断所述可选主机列表中主机的密级标识是否与所述虚拟机的密级标识一致包括:获取缓存中所述可选主机列表中主机的密级标识,若是所述缓存中没有所述主机的密级标识,进一步获取所述主机上已运行的虚拟机,并将所述主机上已运行的虚拟机的密级标识作为所述主机的密级标识;并判断所述主机的密级标识是否与所述虚拟机的密级标识一致。
在一些实施方式中,若所述可选主机列表中主机的密级标识与所述虚拟机的密级标识一致或所述可选主机列表中主机无密级标识且所述主机上无运行的虚拟机,将所述虚拟机调度到所述主机上运行包括:若所述可选主机列表中主机的密级标识与所述虚拟机的密级标识一致,将所述虚拟机调度到所述主机上运行;若所述可选主机列表中主机无密级标识且所述主机上无运行的虚拟机,将所述虚拟机的密级标识设置为所述主机的密级标识,并将所述虚拟机调度到所述主机上运行。
在一些实施方式中,获取所述用户访问权限对应的密级标识,并为所述用户提供低于所述访问权限对应的密级标识的虚拟机和主机资源还包括:若是所述用户访问权限未设置密级标识,为所述用户提供密级标识为无的虚拟机和主机资源。
本发明实施例的再一方面,还提供了一种计算机可读存储介质,计算机可读存储介质存储有被处理器执行时实现如上方法步骤的计算机程序。
本发明具有以下有益技术效果:通过对虚拟机进行不同密级标识的划分,在开机或者负载均衡调度时将其调度到对应密级标识的主机上,从而实现不同密级标识的虚拟机在物理上的以个划分和隔离,通过主机和虚拟机的密级标识进一步实现主机和虚拟机资源的访问控制。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的实施例。
图1为本发明提供的虚拟机调度和安全访问方法的实施例的示意图;
图2为本发明提供的虚拟机调度和安全访问方法的实施例的流程示意图;
图3为本发明提供的虚拟机调度和安全访问装置的实施例的示意图;
图4为本发明提供的计算机设备的实施例的示意图;
图5为本发明提供的计算机可读存储介质的实施例的示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明实施例进一步详细说明。
需要说明的是,本发明实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量,可见“第一”“第二”仅为了表述的方便,不应理解为对本发明实施例的限定,后续实施例对此不再一一说明。
基于上述目的,本发明实施例的第一个方面,提出了虚拟机调度和安全访问方法的实施例。图1示出的是本发明提供的虚拟机调度和安全访问方法的实施例的示意图。如图1所示,本发明实施例包括如下步骤:
S01、为虚拟机配置密级标识,并基于虚拟机的运行指标获取可选主机列表;
S02、遍历可选主机列表,并逐个判断可选主机列表中主机的密级标识是否与虚拟机的密级标识一致;
S03、若可选主机列表中主机的密级标识与虚拟机的密级标识一致或可选主机列表中主机无密级标识且主机上无运行的虚拟机,将虚拟机调度到主机上运行;以及
S04、响应于接收到用户访问系统请求,获取用户访问权限对应的密级标识,并为用户提供低于访问权限对应的密级标识的虚拟机和主机资源。
在本实施例中,包括虚拟机密级标识配置模块、虚拟机调度模块、虚拟机访问控制模块共三个核心模块。虚拟机密级标识配置模块,关机的虚拟机支持编辑虚拟机密级标识,并且只有安全管理员有编辑密级标识的权限,其他如系统管理员、审计管理员、普通用户等无权限编辑;虚拟机调度模块首先保证将虚拟机调度到内存、CPU、存储、网络均满足运行的条件的主机,然后再考虑密级标识是否满足,并且需要考虑大批量虚拟机同时开机的情况,避免出现有两种不同密级标识的虚拟机运行于同一主机,需要设置全局缓存变量,以键值对<主机ID,密级标识>来保存调度过程中调度成功的主机密级标识,并且对密级标识调度过程加锁,保证基于密级标识的虚拟机调度的正确性;调度中需要找与虚拟机密级标识相匹配的主机,或者其上还没有运行虚拟机的主机;虚拟机访问控制模块,用户角色需要设置相应的对不同密级标识的虚拟机的访问权限,只有相对应的密级标识访问权限的角色的用户才可以访问操作对应密级标识的虚拟机,用户登录系统,访问虚拟机资源时,首先判断角色具有的密级标识权限,然后过滤出相应密级标识的虚拟机该用户展示,如果角色没有设置密级标识权限,则只能查看和操作密级标识为无的虚拟机。
在本实施例中,通过给虚拟机进行密级标识分级,达到根据不同的保密级别达到安全访问虚拟机的目的,图2示出的是本发明提供的虚拟机调度和安全访问方法的实施例的流程示意图,如图2所示具体实施过程包括:
配置虚拟机密级标识,默认为无;批量开启虚拟机电源;调度模块根据逊尼基密级标识开始调度虚拟机,实现不同密级标识的虚拟机运行在不同的主机上;调度时首先获取虚拟机可选主机列表;遍历可选主机列表,逐个判断缓存中是否存在该主机密级标识信息,如果有则判断该主机的密级标识是否与虚拟机一致,如果一致则在该主机上运行虚拟机;如果缓存中无该主机密级标识信息,则获取该主机上已运行的虚拟机,将运行虚拟机的密级标识作为主机密级标识,在判断主机的密级标识是否与虚拟机密级标识一致,如果一致则在该主机上运行虚拟机;如果该主机上无运行的虚拟机,则在该主机上运行虚拟机,并将该虚拟机的密级标识作为主机的密级标识记录在缓存中;虚拟机调度完成后,使用拥有不同密级标识访问权限角色的用户登录系统,通过匹配该用户角色所有的密级标识权限过滤比该密级标识低的密级标识的虚拟机和主机资源,从而控制好虚拟机与主机的保密性与安全性。
在本发明的一些实施例中,为虚拟机配置密级标识包括:根据虚拟机的保密程度配置密级标识,虚拟机密级标识默认配置为无。
在本发明的一些实施例中,基于虚拟机的运行指标获取可选主机列表包括:基于虚拟机的运行指标筛选可选主机,并基于可选主机生成可选主机列表;其中,运行指标包括内存、CPU、存储和网络。
在本发明的一些实施例中,遍历可选主机列表还包括:基于主机标识和主机对应的密级标识设置全局缓存变量,通过全局缓存变量进行虚拟机的调度。
在本发明的一些实施例中,逐个判断可选主机列表中主机的密级标识是否与虚拟机的密级标识一致包括:获取缓存中可选主机列表中主机的密级标识,若是缓存中没有主机的密级标识,进一步获取主机上已运行的虚拟机,并将主机上已运行的虚拟机的密级标识作为主机的密级标识;并判断主机的密级标识是否与虚拟机的密级标识一致。
在本发明的一些实施例中,若可选主机列表中主机的密级标识与虚拟机的密级标识一致或可选主机列表中主机无密级标识且主机上无运行的虚拟机,将虚拟机调度到主机上运行包括:若可选主机列表中主机的密级标识与虚拟机的密级标识一致,将虚拟机调度到主机上运行;若可选主机列表中主机无密级标识且主机上无运行的虚拟机,将虚拟机的密级标识设置为主机的密级标识,并将虚拟机调度到主机上运行。
在本发明的一些实施例中,获取用户访问权限对应的密级标识,并为用户提供低于访问权限对应的密级标识的虚拟机和主机资源还包括:若是用户访问权限未设置密级标识,为用户提供密级标识为无的虚拟机和主机资源。
需要特别指出的是,上述虚拟机调度和安全访问方法的各个实施例中的各个步骤均可以相互交叉、替换、增加、删减,因此,这些合理的排列组合变换之于虚拟机调度和安全访问方法也应当属于本发明的保护范围,并且不应将本发明的保护范围局限在实施例之上。
基于上述目的,本发明实施例的第二个方面,提出了一种虚拟机调度和安全访问装置。图3示出的是本发明提供的虚拟机调度和安全访问装置的实施例的示意图。如图3所示,本发明实施例包括如下模块:第一模块S11,配置用于为虚拟机配置密级标识,并基于虚拟机的运行指标获取可选主机列表;第二模块S12,配置用于遍历可选主机列表,并逐个判断可选主机列表中主机的密级标识是否与虚拟机的密级标识一致;第三模块S13,配置用于若可选主机列表中主机的密级标识与虚拟机的密级标识一致或可选主机列表中主机无密级标识且主机上无运行的虚拟机,将虚拟机调度到主机上运行;以及第四模块S14,配置用于响应于接收到用户访问系统请求,获取用户访问权限对应的密级标识,并为用户提供低于访问权限对应的密级标识的虚拟机和主机资源。
基于上述目的,本发明实施例的第三个方面,提出了一种计算机设备。图4示出的是本发明提供的计算机设备的实施例的示意图。如图4所示,本发明实施例包括如下装置:至少一个处理器S21;以及存储器S22,存储器S22存储有可在处理器上运行的计算机指令S23,指令由处理器执行时实现以上方法步骤包括:为虚拟机配置密级标识,并基于虚拟机的运行指标获取可选主机列表;遍历可选主机列表,并逐个判断可选主机列表中主机的密级标识是否与虚拟机的密级标识一致;若可选主机列表中主机的密级标识与虚拟机的密级标识一致或可选主机列表中主机无密级标识且主机上无运行的虚拟机,将虚拟机调度到主机上运行;以及响应于接收到用户访问系统请求,获取用户访问权限对应的密级标识,并为用户提供低于访问权限对应的密级标识的虚拟机和主机资源。
在本发明的一些实施例中,为虚拟机配置密级标识包括:根据虚拟机的保密程度配置密级标识,虚拟机密级标识默认配置为无。
在本发明的一些实施例中,基于虚拟机的运行指标获取可选主机列表包括:基于虚拟机的运行指标筛选可选主机,并基于可选主机生成可选主机列表;其中,运行指标包括内存、CPU、存储和网络。
在本发明的一些实施例中,遍历可选主机列表还包括:基于主机标识和主机对应的密级标识设置全局缓存变量,通过全局缓存变量进行虚拟机的调度。
在本发明的一些实施例中,逐个判断可选主机列表中主机的密级标识是否与虚拟机的密级标识一致包括:获取缓存中可选主机列表中主机的密级标识,若是缓存中没有主机的密级标识,进一步获取主机上已运行的虚拟机,并将主机上已运行的虚拟机的密级标识作为主机的密级标识;并判断主机的密级标识是否与虚拟机的密级标识一致。
在本发明的一些实施例中,若可选主机列表中主机的密级标识与虚拟机的密级标识一致或可选主机列表中主机无密级标识且主机上无运行的虚拟机,将虚拟机调度到主机上运行包括:若可选主机列表中主机的密级标识与虚拟机的密级标识一致,将虚拟机调度到主机上运行;若可选主机列表中主机无密级标识且主机上无运行的虚拟机,将虚拟机的密级标识设置为主机的密级标识,并将虚拟机调度到主机上运行。
在本发明的一些实施例中,获取用户访问权限对应的密级标识,并为用户提供低于访问权限对应的密级标识的虚拟机和主机资源还包括:若是用户访问权限未设置密级标识,为用户提供密级标识为无的虚拟机和主机资源。
本发明还提供了一种计算机可读存储介质。图5示出的是本发明提供的计算机可读存储介质的实施例的示意图。如图5所示,计算机可读存储介质存储S31有被处理器执行时执行如上方法的计算机程序S32。
最后需要说明的是,本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,可以通过计算机程序来指令相关硬件来完成,虚拟机调度和安全访问方法的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,程序的存储介质可为磁碟、光盘、只读存储记忆体(ROM)或随机存储记忆体(RAM)等。上述计算机程序的实施例,可以达到与之对应的前述任意方法实施例相同或者相类似的效果。
此外,根据本发明实施例公开的方法还可以被实现为由处理器执行的计算机程序,该计算机程序可以存储在计算机可读存储介质中。在该计算机程序被处理器执行时,执行本发明实施例公开的方法中限定的上述功能。
此外,上述方法步骤以及系统单元也可以利用控制器以及用于存储使得控制器实现上述步骤或单元功能的计算机程序的计算机可读存储介质实现。
本领域技术人员还将明白的是,结合这里的公开所描述的各种示例性逻辑块、模块、电路和算法步骤可以被实现为电子硬件、计算机软件或两者的组合。为了清楚地说明硬件和软件的这种可互换性,已经就各种示意性组件、方块、模块、电路和步骤的功能对其进行了一般性的描述。这种功能是被实现为软件还是被实现为硬件取决于具体应用以及施加给整个系统的设计约束。本领域技术人员可以针对每种具体应用以各种方式来实现的功能,但是这种实现决定不应被解释为导致脱离本发明实施例公开的范围。
在一个或多个示例性设计中,功能可以在硬件、软件、固件或其任意组合中实现。如果在软件中实现,则可以将功能作为一个或多个指令或代码存储在计算机可读介质上或通过计算机可读介质来传送。计算机可读介质包括计算机存储介质和通信介质,该通信介质包括有助于将计算机程序从一个位置传送到另一个位置的任何介质。存储介质可以是能够被通用或专用计算机访问的任何可用介质。作为例子而非限制性的,该计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM或其它光盘存储设备、磁盘存储设备或其它磁性存储设备,或者是可以用于携带或存储形式为指令或数据结构的所需程序代码并且能够被通用或专用计算机或者通用或专用处理器访问的任何其它介质。此外,任何连接都可以适当地称为计算机可读介质。例如,如果使用同轴线缆、光纤线缆、双绞线、数字用户线路(DSL)或诸如红外线、无线电和微波的无线技术来从网站、服务器或其它远程源发送软件,则上述同轴线缆、光纤线缆、双绞线、DSL或诸如红外线、无线电和微波的无线技术均包括在介质的定义。如这里所使用的,磁盘和光盘包括压缩盘(CD)、激光盘、光盘、数字多功能盘(DVD)、软盘、蓝光盘,其中磁盘通常磁性地再现数据,而光盘利用激光光学地再现数据。上述内容的组合也应当包括在计算机可读介质的范围内。
以上是本发明公开的示例性实施例,但是应当注意,在不背离权利要求限定的本发明实施例公开的范围的前提下,可以进行多种改变和修改。根据这里描述的公开实施例的方法权利要求的功能、步骤和/或动作不需以任何特定顺序执行。此外,尽管本发明实施例公开的元素可以以个体形式描述或要求,但除非明确限制为单数,也可以理解为多个。
应当理解的是,在本文中使用的,除非上下文清楚地支持例外情况,单数形式“一个”旨在也包括复数形式。还应当理解的是,在本文中使用的“和/或”是指包括一个或者一个以上相关联地列出的项目的任意和所有可能组合。
上述本发明实施例公开实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本发明实施例公开的范围(包括权利要求)被限于这些例子;在本发明实施例的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,并存在如上的本发明实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。因此,凡在本发明实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本发明实施例的保护范围之内。