基于云管理平台的虚拟机网络安全管理方法技术

本发明专利技术公开了基于云管理平台的虚拟机网络安全管理方法，包括：步骤(1)：云管理平台调用OpenStack云操作系统REST API实现安全域的创建：创建自服务网络；在自服务网络上创建子网；每一个自服务网络对应一个安全域；步骤(2)：云管理平台创建虚拟机，同时为虚拟机指定安全域；如果安全域中的虚拟机有添加或删除操作，则修改虚拟机所属的网络；步骤(3)：设置安全域之间的访问规则；虚拟机基于访问规则进行访问。

Virtual Machine Network Security Management Method Based on Cloud Management Platform

The invention discloses a security management method of virtual machine network based on cloud management platform, which includes steps (1): cloud management platform calls OpenStack cloud operating system REST API to realize the creation of security domain: creating self-service network; creating sub-network on self-service network; each self-service network corresponds to a security domain; step (2): creating virtual machine for cloud management platform while virtual Machines specify security domains; if virtual machines in security domains add or delete operations, then modify the network to which they belong; step (3): set access rules between security domains; virtual machines access based on access rules.

【技术实现步骤摘要】
基于云管理平台的虚拟机网络安全管理方法
本专利技术涉及基于云管理平台的虚拟机网络安全管理方法。
技术介绍
随着各行业的迅速发展，IT行业也进入了新的时代，各类软硬件技术陆续出现。虚拟化技术是指计算原件不是在真实的基础上而是在虚拟的基础上运行，虚拟化技术能够在一定程度上扩大计算机硬件的容量，简化软件的从新配置过程。CPU的虚拟化技术可以单CPU模拟多CPU并行，允许一个平台同时运行多个操作系统，并且应用程序都可以在相互独立的空间内互不影响的运行，从而使得计算机的运行速度有明显的提高。在未出现虚拟化技术之前，一台物理计算机仅能够配置几个程序，大量的资源因此而得不到充分的利用，造成资源的浪费，后来出现了可以在服务器上启动虚拟机，可以实现一台服务器上多台虚拟机被同时运行，根据用户不同的需求将物理计算机中内存和硬盘等硬件资源进行划分，避免了物理资源被大量的浪费，很大程度上节约了物理资源。虚拟机是一个完整的计算机系统，它通过模拟软件的功能而拥有了完整的硬件系统功能，可以运行在一个被隔离的独立空间中，虚拟机具有可以在一台物理计算机中模拟出多台虚拟机的特性，所被模拟出来的虚拟的计算机同真正的计算机一样，用户可以根据需要安装操作系统、安装应用程序、访问网络资源等等。对于用户来说，他只是在物理计算机上安装的一个应用程序，但是他对于在虚拟机上运行的应用程序来讲，就是一个完整的、真正的计算机。所以，当我们在虚拟机中对软件进行评测时，系统同样可能会崩溃，但是，所崩溃的并不是真正的计算机系统，而仅仅是虚拟机上的操作系统，并且，使用虚拟机的“Undo”(恢复)功能，可以马上恢复虚拟机到安装软件之前的状态。OpenStack是最近几年被推出的一款云操作系统管理平台，并且这个平台是开源免费的应用该系统能够很方便地对服务器上的虚拟机进行管理和操作。OpenStack主要配置在云平台的各个节点中，由几个大的组件组成。它增加了一个可视化的用户操作界面，通过该可视化界面，用户能够方便地对虚拟机进行创建、管理和删除操作。当用户需要对虚拟机进行一系列的操作时，该系统中各组件会统筹兼顾，通过各类算法计算出哪一个节点可以配置用户所需要的虚拟机，很大程度上方便了用户管理，同时也推动了整个云平台的发展。该系统主要有以下几个重要的组件，第一个为Horizon组件，该组件是云操作系统的控制台，它配置了一个Web端的页面，用户可以通过该组件进行各类操作。第二个为Nova组件，该组件提供了云操作系统的计算服务，当发出请求后，系统会通过该组件各类算法，计算出虚拟机最优节点以及最佳配置，进行虚拟机的创建或删除，当虚拟机需要修改配置时，也会通过该组件进行计算。第三个为Neutron网络组件，该组件提供了系统中各台虚拟机的网络配置，为每一个虚拟机进行网络ip地址的划分或修改，创建安全区域等功能。第四个为Glance镜像组件，该组件提供了虚拟机镜像文件的存储方案，每台虚拟机都需要一个镜像文件，该组件可以管理各个镜像文件。第五个为Keystone认证组件，该组件提供了云操作系统中的各类认证机制，包括用户权限认证，虚拟机启动认证等，可以说是整个系统的通行证。目前，针对Linux系统环境下，基于云操作系统各节点启动虚拟机时存在的安全问题，尚缺乏有效的解决方案，因此，需要以Linux操作系统为基础建设安全管理方法。
技术实现思路
为了解决现有技术的不足，本专利技术提供了基于云管理平台的虚拟机网络安全管理方法；为了实现上述目的，本专利技术提出如下技术方案：基于云管理平台的虚拟机网络安全管理方法，具体包括：步骤(1)：云管理平台调用OpenStack云操作系统RESTAPI实现安全域的创建：创建自服务网络；在自服务网络上创建子网，目的为了对网络进行进一步划分，同时可以指定IP等参数；每一个自服务网络对应一个安全域；步骤(2)：云管理平台创建虚拟机，同时为虚拟机指定安全域；如果安全域中的虚拟机有添加或删除操作，则修改虚拟机所属的网络；步骤(3)：设置安全域之间的访问规则；虚拟机基于访问规则进行访问。进一步的，所述步骤(2)的创建虚拟机具体步骤为：步骤(201)：云管理平台向计算节点发起创建虚拟机请求，并将安全域ID传送给已经创建的虚拟机，即VXLANID；步骤(202)：计算节点接收创建虚拟机请求，调用OpenStack云操作系统的虚拟网络端口POST，并在network.-id参数中指定虚拟机所属安全域ID；步骤(203)：OpenStack云操作系统的nova-compute向OpenStack云操作系统的Neutron-server请求虚拟机对应的port资源；步骤(204)：OpenStack云操作系统的Neutron-server根据OpenStack云操作系统的neutron-database生成port资源，在计算节点的br-int上创建port端口，并将port端口连接到指定的安全域；每创建一个虚拟机，虚拟机所在计算节点的br-int上就会创建一个port端口，供该虚拟机连接；步骤(205)：OpenStack云操作系统自动生成接口Interface，连接新创建的虚拟机和port端口；当虚拟机连接到port端口时，虚拟机才能获得MAC地址和fixedIP地址；步骤(206)：OpenStack云操作系统的Neutron-server将虚拟机信息传输给OpenStack云操作系统的NeutronDHCP-agent；步骤(207)：OpenStack云操作系统的NeutronDHCPagent将虚拟机信息传输给OpenStack云操作系统的DHCPserver；步骤(208)：虚拟机接入网络并启动；步骤(209)：虚拟机从DHCPserver处获得IP地址。虚拟机信息，例如虚拟机安全状态。进一步的，所述步骤(2)修改虚拟机所属的网络的具体步骤为：步骤(211)：解除虚拟机绑定的端口接口portInterface，从而解除虚拟机所在原网络上的port，通过DELETE/servers/{server_id}/os-interface/{port_id}实现；步骤(212)：在新网络上的创建一个port，通POST/v2.0/ports实现，在参数中指定新网络id；步骤(213)：创建一个新的端口接口portInterface，把新创建的port连接到虚拟机上，通过POST/servers/{server_id}/os-interface实现。进一步的，所述步骤(3)的步骤为：在实现安全域的创建和添加/删除虚拟机后，安全域间访问控制、虚拟机间的访问控制都由iptables来实现，通过security_group_rules这组RESTAPI来制定访问规则。创建规则：POST/v2.0/security-groups/删除规则：DELETE/v2.0/security-groups/{security_group_id}通过步骤(301)-步骤(303)为虚拟机制定访问规则：步骤(301)：每个虚拟机创建时都会被分配一个port端口，port端口的参数device_id指定使用该端口的设备ID，即虚拟机ID，并自动创建interface将port连接到虚拟机上；步骤(302)：每本文档来自技高网...

【技术保护点】
1.基于云管理平台的虚拟机网络安全管理方法，其特征是，包括：步骤(1)：云管理平台调用OpenStack云操作系统REST API实现安全域的创建：创建自服务网络；在自服务网络上创建子网；每一个自服务网络对应一个安全域；步骤(2)：云管理平台创建虚拟机，同时为虚拟机指定安全域；如果安全域中的虚拟机有添加或删除操作，则修改虚拟机所属的网络；步骤(3)：设置安全域之间的访问规则；虚拟机基于访问规则进行访问。

【技术特征摘要】
1.基于云管理平台的虚拟机网络安全管理方法，其特征是，包括：步骤(1)：云管理平台调用OpenStack云操作系统RESTAPI实现安全域的创建：创建自服务网络；在自服务网络上创建子网；每一个自服务网络对应一个安全域；步骤(2)：云管理平台创建虚拟机，同时为虚拟机指定安全域；如果安全域中的虚拟机有添加或删除操作，则修改虚拟机所属的网络；步骤(3)：设置安全域之间的访问规则；虚拟机基于访问规则进行访问。2.如权利要求1所述的基于云管理平台的虚拟机网络安全管理方法，其特征是，所述步骤(2)的创建虚拟机具体步骤为：步骤(201)：云管理平台向计算节点发起创建虚拟机请求，并将安全域ID传送给已经创建的虚拟机，即VXLANID；步骤(202)：计算节点接收创建虚拟机请求，调用OpenStack云操作系统的虚拟网络端口POST，并在虚拟网络端口POST的network.-id参数中指定虚拟机所属安全域ID；步骤(203)：OpenStack云操作系统的nova-compute向OpenStack云操作系统的Neutron-server请求虚拟机对应的port端口；步骤(204)：OpenStack云操作系统的Neutron-server根据OpenStack云操作系统的neutron-database生成port端口，在计算节点的br-int上创建port端口，并将port端口连接到指定的安全域；每创建一个虚拟机，虚拟机所在计算节点的br-int上就会创建一个port端口，供该虚拟机连接；步骤(205)：OpenStack云操作系统自动生成接口Interface，连接新创建的虚拟机和port端口；当虚拟机连接到port端口时，虚拟机才能获得MAC地址和fixedIP地址；步骤(206)：OpenStack云操作系统的Neutron-server将虚拟机信息传输给OpenStack云操作系统的NeutronDHCP-agent；步骤(207)：OpenStack云操作系统的NeutronDHCPagent将虚拟机信息传输给OpenStack云操作系统的DHCPserver；步骤(208)：虚拟机接入网络并启动；步骤(209)：虚拟机从DHCPserver处获得IP地址。3.如权利要求1所述的基于云管理平台的虚拟机网络安全管理方法，其特征是，所述步骤(2)修改虚拟机所属的网络的具体步骤为：步骤(211)：解除虚拟机绑定的端口接口portInterface，从而解除虚拟机所在原网络上的port，通过DELETE/servers/{server_id}/os-interface/{port_id}实现；步骤(212)：在新网络上的创建一个port，通POST/v2.0/ports实现，在参数中指定新网络id；步骤(213)：创建一个新的端口接口portInterface，把新创建的port连接到虚拟机上，通过POST/servers/{server_id}/os-interface实现。4.如权利要求1所述的基于云管理平台的虚拟机网络安全管理方法，其特征是，所述步骤(3)的步骤为：在实现安全域的创建和添加/删除虚拟机后，安全域间访问控制、虚拟机间的访问控制都由iptables来实现，通过security_group_rules这组RESTAPI来制定访问规则；创建规则：POST/v2.0/security-groups/删除规则：DELETE/v2.0/security-groups/{security_group_id}。5.如权利要求4所述的基于云管理平台的虚拟机网络安全管理方法，其特征是，通过步骤(301)-步骤(303)为虚拟机制定访问规则：步骤(301)：每个虚拟机创建时都会被分配一个port端口，port端口的参数device_id指定使用该端口的设备ID，即虚拟机ID，并自动创建interface将port连接到虚拟机上；步骤(302)：每个port端口包含若干个安全组securitygro...

【专利技术属性】
技术研发人员：刘丽，王雪，马双涛，王玉梅，郑顺心，孔德鑫，陈思琦，
申请(专利权)人：山东师范大学，
类型：发明
国别省市：山东,37