一种处理多个虚拟机间访问规则最少化的方法技术

本发明专利技术公开了一种处理多个虚拟机间访问规则最少化的方法，该方法包括：管理平台获取服务器创建命令信息；根据所述服务器创建命令信息确定虚拟机的属性，其中，所述虚拟机属性包含WEB服务器IP、各中间服务器IP、中间服务器数量；根据所述虚拟机属性创建WEB服务器及中间服务器，将所述WEB服务器IP映射给所述WEB服务器，并依据策略引擎将安全策略的规则配置给各中间服务器；所述中间服务器配置访问控制列表ACL规则，并建立ACL规则与WEB服务器IP的对应关系，将对应关系输入到策略引擎，策略引擎进行计算后，输出各所述中间服务器的访问控制规则并下发数据库服务端。本发明专利技术的有益效果：利用标签组到ACL访问控制列表规则的转换，大大减少运维的工作量。大减少运维的工作量。大减少运维的工作量。

【技术实现步骤摘要】
一种处理多个虚拟机间访问规则最少化的方法


[0001]本专利技术涉及网络安全
，具体来说，涉及一种处理多个虚拟机间访问规则最少化的方法。

技术介绍

[0002]目前，云计算以其低成本、便携化、可扩展性高等特征，为大数据、互联网、人工智能的发展提供了切实的技术保障，已然是信息基础发展的必然趋势，在云环境里，一个业务系统由多个虚拟机承载，需要对虚拟机之间的访问做控制，传统的技术是使用者配置一个ACL访问控制列表，然后对流量进行访问控制，其方法存在如下技术缺陷，当ACL访问控制列表规则里引用的是源IP、目的IP、端口等维度，对数据传输流量进行访问控制，需要添加的规则数量较多，其次，当虚拟机数量较多或迁移时，使用源IP、目的IP会引发访问控制规则不正确等问题。

技术实现思路

[0003]针对相关技术中的上述技术问题，本专利技术提出一种处理多个虚拟机间访问规则最少化的方法，能够利用标签组到ACL访问控制列表规则的转换，大大减少运维的工作量。
[0004]为实现上述技术目的，本专利技术的技术方案是这样实现的：一种处理多个虚拟机间访问规则最少化的方法，该方法包括：管理平台获取服务器创建命令信息；根据所述服务器创建命令信息确定虚拟机的属性，其中，所述虚拟机属性包含WEB服务器IP、各中间服务器IP、中间服务器数量；根据所述虚拟机属性创建WEB服务器及中间服务器，将所述WEB服务器IP映射给所述WEB服务器，并依据策略引擎将安全策略的规则配置给各中间服务器；所述中间服务器配置访问控制列表ACL规则，并建立ACL规则与WEB服务器IP的对应关系，将对应关系输入到策略引擎，策略引擎进行计算后，输出各所述中间服务器的访问控制规则并下发数据库服务端。
[0005]进一步地，所述中间服务器配置的ACL规则为源IP、目的IP、端口地址等多维度信息。
[0006]进一步地，所述中间服务器IP配置所述WEB服务器IP中的一种或组合。
[0007]进一步地，所述安全策略的规则配置顺序为所述WEB服务器配置所述中间服务器，所述中间件服务器配置数据库服务器。
[0008]进一步地，所述中间服务器查找到ACL规则对应的IP,然后在自身保存在所述对应关系中，查找与选定的ACL规则对应的标签，将查找到的标签作为该数据包的标签。
[0009]进一步地，所述的查找与选定的ACL规则中，选择优先级最高的ACL规则。
[0010]本专利技术的有益效果：鉴于现有技术中存在的不足，本申请采用标签化安全策略，根据业务系统定义标签，在每台虚拟机上分别设有一组多维度标签，并根据标签配置访问控
制策略，实现虚拟机间访问规则数量最少，仅要少量策略便能覆盖多台虚拟主机，利用标签组到ACL访问控制列表规则的转换，大大减少运维的工作量。
附图说明
[0011]为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0012]图1是根据本专利技术实施例所述的处理多个虚拟机间访问规则最少化的方法服务器配置示意图；图2是根据本专利技术实施例所述的处理多个虚拟机间访问规则最少化的方法实施流程框图。
具体实施方式
[0013]下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员所获得的所有其他实施例，都属于本专利技术保护的范围。
[0014]如图 1-2 所示，根据本专利技术实施例所述的处理多个虚拟机间访问规则最少化的方法，该方法包括以下步骤：步骤一，管理平台获取服务器创建命令信息；步骤二，根据所述服务器创建命令信息确定虚拟机的属性，其中，所述虚拟机属性包含WEB服务器IP、各中间服务器IP、中间服务器数量；步骤三，根据所述虚拟机属性创建WEB服务器及中间服务器，将所述WEB服务器IP映射给所述WEB服务器，并依据策略引擎将安全策略的规则配置给各中间服务器；步骤四，所述中间服务器配置访问控制列表ACL规则，并建立ACL规则与WEB服务器IP的对应关系，将对应关系输入到策略引擎，策略引擎进行计算后，输出各所述中间服务器的访问控制规则并下发数据库服务端，进一步包括：其一，所述中间服务器配置的ACL规则为源IP、目的IP、端口地址等多维度信息；其二，所述中间服务器IP配置所述WEB服务器IP中的一种或组合；其三，所述中间服务器查找到ACL规则对应的IP,然后在自身保存在所述对应关系中，查找与选定的ACL规则对应的标签，将查找到的标签作为该数据包的标签；其四，所述的查找与选定的ACL规则中，选择优先级最高的ACL规则；其五，所述安全策略的规则配置顺序为所述WEB服务器配置所述中间服务器，所述中间件服务器配置数据库服务器。
[0015]为了方便理解本专利技术的上述技术方案，以下通过具体使用方式上对本专利技术的上述技术方案进行详细说明。
[0016]在具体使用时，根据本专利技术所述的处理多个虚拟机间访问规则最少化的方法，具体实施例说明：管理平台获取预先建立目的IP：WEB服务器 192.168.1.1与中间服务
器 192.168.1.2，配置访问控制列表ACL规则，并建立ACL规则与WEB服务器IP的对应关系，WEB服务器IP映射给所述WEB服务器，WEB服务器保存该对应关系，将查找到的标签作为该数据包的标签，查找与选定的ACL规则中，选择优先级最高的ACL规则，然后，将对应关系输入到策略引擎，策略引擎进行计算后，输出各所述中间服务器的访问控制规则并下发数据库服务端，所述安全策略的规则配置顺序为所述WEB服务器配置所述中间服务器，所述中间件服务器配置数据库服务器；实现虚拟机间访问规则数量最少，仅要少量策略便能覆盖多台虚拟主机，利用标签组到ACL访问控制列表规则的转换。
[0017]综上所述，借助于本专利技术的上述技术方案，通过标签化安全策略，根据业务系统定义标签，在每台虚拟机上分别设有一组多维度标签，并根据标签配置访问控制策略，实现虚拟机间访问规则数量最少，仅要少量策略便能覆盖多台虚拟主机，利用标签组到ACL访问控制列表规则的转换，大大减少运维的工作量。
[0018]以上对本申请所提供的一种处理多个虚拟机间访问规则最少化的方法，服务器可读存储介质进行了详细介绍，本文中应用了具体个例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的方法及其核心思想，应当指出，对于本
的普通技术人员来说，在不脱离本申请原理的前提下，还可以对本申请进行若干改进和修饰，这些改进和修饰也落入本申请权利要求的保护范围内，凡在本专利技术的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本专利技术的保护范围之内。
[0019]还需要说明的是，在本说明书中，诸如第一和第二等之类的关系术语仅本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种处理多个虚拟机间访问规则最少化的方法，其特征在于，该方法包括：管理平台获取服务器创建命令信息；根据所述服务器创建命令信息确定虚拟机的属性，其中，所述虚拟机属性包含WEB服务器IP、各中间服务器IP、中间服务器数量；根据所述虚拟机属性创建WEB服务器及中间服务器，将所述WEB服务器IP映射给所述WEB服务器，并依据策略引擎将安全策略的规则配置给各中间服务器；所述中间服务器配置访问控制列表ACL规则，并建立ACL规则与WEB服务器IP的对应关系，将对应关系输入到策略引擎，策略引擎进行计算后，输出各所述中间服务器的访问控制规则并下发数据库服务端。2.根据权利要求1所述的处理多个虚拟机间访问规则最少化的方法，其特征在于，所述中间服务器配置的ACL规则为源IP、目的IP、端口地...

【专利技术属性】
技术研发人员：邓微微，匡俊华，
申请(专利权)人：北京京投信安科技发展有限公司，
类型：发明
国别省市：