CN102307246B - 基于云计算的虚拟机间安全通信保护*** - Google Patents
基于云计算的虚拟机间安全通信保护*** Download PDFInfo
- Publication number
- CN102307246B CN102307246B CN201010292144.0A CN201010292144A CN102307246B CN 102307246 B CN102307246 B CN 102307246B CN 201010292144 A CN201010292144 A CN 201010292144A CN 102307246 B CN102307246 B CN 102307246B
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- communication
- resilient
- address
- security routing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims abstract description 53
- 238000012545 processing Methods 0.000 claims abstract description 28
- 230000007704 transition Effects 0.000 claims abstract description 9
- RJKFOVLPORLFTN-LEKSSAKUSA-N Progesterone Chemical compound C1CC2=CC(=O)CC[C@]2(C)[C@@H]2[C@@H]1[C@@H]1CC[C@H](C(=O)C)[C@@]1(C)CC2 RJKFOVLPORLFTN-LEKSSAKUSA-N 0.000 claims description 10
- 230000002596 correlated effect Effects 0.000 claims description 5
- 230000000875 corresponding effect Effects 0.000 claims description 5
- 238000000034 method Methods 0.000 claims description 5
- 238000006243 chemical reaction Methods 0.000 claims description 4
- 230000008569 process Effects 0.000 claims description 3
- 230000004913 activation Effects 0.000 claims description 2
- 230000007246 mechanism Effects 0.000 claims description 2
- 238000005516 engineering process Methods 0.000 abstract description 12
- 238000004364 calculation method Methods 0.000 abstract description 4
- 230000008859 change Effects 0.000 description 3
- 238000004883 computer application Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000013519 translation Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000035800 maturation Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及云计算技术领域,特指一种基于云计算的虚拟机间安全通信保护***。包括虚拟机安全通信输入/输出处理单元、弹性IP查询和修改单元、安全路由查询和修改单元、通信策略处理单元、地址转换处理单元和虚拟网络接口处理单元。本发明为云计算领域虚拟机之间的通信提供了一种安全、简单、高性能的***;可应用于虚拟机之间的通信。
Description
技术领域
本发明涉及云计算技术领域,特指一种基于云计算的虚拟机间安全通信保护***。
背景技术
计算机的应用模式大体经历了以大型机为主体的集中式架构(数据中心1.0)、以PC机为主体的客户/服务器分布式计算架构(数据中心2.0)、以虚拟化技术为核心面向服务的体系结构(SOA)及基于Web2.0应用特征的新型架构(数据中心3.0)。计算机的应用模式、技术架构及实现特征的演变是云计算发展的时代背景。
互联网技术成为ICT应用的基础,层出不穷的互联网应用需求也要求ICT理念进行重新思考和设计。这种改变不仅带来ICT应用平台的更新换代,而且也带来ICT应用实现和商用模式的创新。这种变化的影响是如此巨大而鲜明,以至于人们可以从多个角度和视角来描述这些新的特征和现象。尽管云计算的概念和定义很多,但究其本质还是为了满足ICT应用和业务的网络实现。为了理论和讨论的严谨性,给云计算更为明确而严格的定义:云计算是在整合的架构之下,基于IP网络的虚拟化资源平台,提供规模化ICT应用的实现方式。
云计算的实质是网络下的应用,是由IP和IT技术共同构建的。从发展的角度来看,“云”的技术和目标是一个逐步演化的过程。比如,Web技术出现时,就具备了云计算的应用特征有了统一界面的雏形。随着服务器应用平台上的虚拟化技术的成熟和Web统一界面的推出,虚拟化和Web走向结合,使得云计算可以在一个整合的架构上统一实现。
虚拟机是指支持多操作***并行运行在单个物理服务器上的一种***,能够提供更加有效的底层硬件使用。在虚拟机中,中央处理器芯片从***其它部分划分出一段存储区域,操作***和应用程序运行在“保护模式”环境下。如果在某虚拟机中出现程序冻结现象,这并不会影响运行在虚拟机外的程序操作和操作***的正常工作。
在云计算领域中,物理上相邻的物理服务器可以联合成一个集群,多个集群又可以联合成一个***,在这种拓扑结构下虚拟机一般来说是分配给不同的用户使用的,这时候如何限制这些虚拟机之间的通信,同时在有必要是又可以提供相互访问的灵活性就显得尤为重要。因此,在云计算领域需要一个虚拟机间安全通信保护***和方法。
发明内容
本发明解决的技术间题在于提供一种基于云计算的虚拟机间安全通信保护***,为云计算虚拟机安全通信提供一个标准的***。
本发明解决上述技术问题的技术方案是:
包括虚拟机安全通信输入/输出处理单元(10)、弹性IP查询和修改单元(11)、安全路由查询和修改单元(12)、通信策略处理单元(13)、地址转换处理单元(14)和虚拟机网络接口处理单元(15);
虚拟机安全通信输入/输出处理单元(10),用于接收虚拟机安全通信相关的命令、判断命令的类型并把命令输出到相应的功能单元,最后把返回的结果进行显示;
弹性IP查询和修改单元(11),用于查询用户的弹性IP资源和对弹性IP的属性进行操作,包括分配新的弹性IP、释放所分配的弹性IP、绑定弹性IP到虚拟机和解除弹性IP与虚拟机的绑定;
安全路由查询和修改单元(12),用于查询用户设置的安全路由规则和对路由规则进行操作,包括创建新的安全路由规则、删除已有的安全路由规则和修改已有的安全路由规则;
通信策略处理单元(13),用于判断虚拟机通信的类型,针对不同的类型采用不同的通信策略、使用不同的通道;
地址转换处理单元(14),用于把外部入口的数据包中的公共IP地址转换成虚拟机内部使用的私有IP地址;
虚拟机网络接口处理单元(15),用于在虚拟机通信的网络接口上设置和执行用户设置的安全路由规则。
所述虚拟机安全通信相关的命令包括弹性IP的查询和修改命令、安全路由规则的查询和修改命令以及通信连接的命令;
所述弹性IP是指一个IP地址池中的IP,IP地址池是一组不用的公共IP地址,用户能在虚拟机启动或运行时动态地请求这个组中的一个IP,在虚拟机暂停或关闭时把请求的IP释放到这个组中;
所述安全路由规则是一种IP数据包的转发规则,所有通过***的入口数据包都要符合这些规则才会被转发,否则被丢弃;
所述通信策略处理是一种根据虚拟机之间所处位置的具体情况决定采用何种通信方式的决策机制,是虚拟机通信的全面考虑,确保处在任何位置的虚拟机之间的连通性;
所述地址转换是公共IP地址与虚拟网络中使用的私有IP地址之间的转换;
所述虚拟机网络接口是虚拟机连接到物理网络的接口,其通过桥接的方式连接到物理网卡。
所述的安全路由规则的结构包括协议、源端口、目标端口、用户/组和源CIDR,其中,
协议,用于表示具体的通信协议,安全路由规则只转发此种协议的数据,包括TCP、UDP以及ICMP;
源端口表示一个端口范围的左边界,目标端口表示一个端口范围的右边界,安全路由规则只允许访问此左边界和右边界端口范围内的数据进入***,否则数据将会被丢弃;
用户/组与源CIDR二选其一,用户/组表示安全路由规则只允许拥有此用户/组标识的数据进入***,否则数据将会被丢弃;
源CIDR与用户/组二选其一,源CIDR表示安全路由规则只允许此CIDR表示的IP地址范围内的主机发送的数据进入***,否则数据将会被丢弃。
本发明可达到的有益效果如下:
1、本发明限制了虚拟机与虚拟机、虚拟机与外网之间的通信,避免了虚拟机之间的相互干扰;
2、本发明在限制通信的同时提供了可配置的灵活性,通过配置,需要进行通信的虚拟机可以互连;
3、本发明全面了考虑了当前云计算领域虚拟机分布的特点,智能地选择虚拟机之间的通信方式;
4、本发明的实现对于Linux***无入侵性,充分利用其原有的软件包而不对操作***本身做改动,实施相对容易。
附图说明
下面结合附图对本发明进一步说明:
图1为本发明基于云计算的虚拟机间安全通信保护***的结构框图;
图2为本发明安全路由示意图;
图3为本发明虚拟机间通信示意图。
具体实施方式
如图1所示,本发明基于云计算的虚拟机间安全通信保护***包括虚拟机安全通信输入/输出处理单元10、弹性IP查询和修改单元11、安全路由查询和修改单元12、通信策略处理单元13、地址转换处理单元14和虚拟机网络接口处理单元15。
虚拟机安全通信输入/输出处理单元10,用于接收虚拟机安全通信相关的命令、判断命令的类型并把命令输出到相应的功能单元,最后把返回的结果进行显示。
弹性IP查询和修改单元11,用于查询用户的弹性IP资源和对弹性IP的属性进行操作,包括分配新的弹性IP、释放所分配的弹性IP、绑定弹性IP到虚拟机和解除弹性IP与虚拟机的绑定。
安全路由查询和修改单元12,用于查询用户设置的安全路由规则和对路由规则进行操作,包括创建新的安全路由规则、删除已有的安全路由规则和修改已有的安全路由规则。
通信策略处理单元13,用于判断要与虚拟机通信的类型,针对不同的类型采用不同的通信策略、使用不同的通道。
地址转换处理单元14,用于把外部入口的数据包中的公共IP地址转换成虚拟机内部使用的私有IP地址。
虚拟机网络接口处理单元15,用于在虚拟机通信的网络接口上设置和执行用户设置的安全规则,是实现基于云计算的虚拟机间安全通信的实际软件单位。
对于弹性IP,本***各模块之间以及***和外界之间的信息交互是通过IP地址来进行的。本***IP地址包括三大类:公共IP地址、私有IP地址以及弹性IP地址。虚拟机一旦被创建就会自动地分配两个IP地址,也就是公共IP地址和私有IP地址。公共IP地址和私有IP地址之间通过网络地址转换(NAT)技术来实现相互之间的转换。公共IP地址和特定的实例相对应,在某个虚拟机关闭或者被弹性IP地址替代之前,公共IP地址会一直存在,虚拟机通过这个公共IP地址和外界进行通信。私有IP地址也和某个特定的虚拟机相对应,它由动态主机配置协议(DHCP)分配产生。公共IP地址和弹性IP地址都在一个由管理员分配的公共IP地址池里获取,弹性IP可以被用户分配占用,然后把其与某个正在运行的虚拟机关联,相反,弹性IP也可以被用户取消与某个正在运行的虚拟机的关联以及释放不再使用。本***使用Linuxiptables网络地址转换(NAT)的特性进行公共IP到私有IP或弹性IP到私有IP之间的转换。
如图2所示,通过设置安全路由规则限制了虚拟网络A与虚拟网络B之间的通信。本***使用Linuxiptables包过滤***执行安全路由入口规则。
对于通信方式,指的是虚拟机之间通信,虚拟机以集群的方式组织,在同一个集群下,虚拟机又被划分为不同的虚拟子网,因此,虚拟机之间有三种位置关系:
关系一:两台虚拟机在同一集群的同一个虚拟子网下
关系二:两台虚拟机在同一集群的不同虚拟子网下
关系三:两台虚拟机在不同的集群下
两台虚拟机在同一集群的同一个虚拟子网下时,通过如图3所示的虚拟机网络接口直接互连;
两台虚拟机在同一个集群的不同虚拟子网下时,通过如图3所示的虚拟机网络接口连接到物理网络然后间接互连;
两台虚拟机在不同的集群下是,通过如图3所示的物理网络接口连接到物理网络然后间接互连。
Claims (3)
1.基于云计算的虚拟机间安全通信保护***,其特征在于:包括虚拟机安全通信输入/输出处理单元(10)、弹性IP查询和修改单元(11)、安全路由查询和修改单元(12)、通信策略处理单元(13)、地址转换处理单元(14)和虚拟机网络接口处理单元(15);
虚拟机安全通信输入/输出处理单元(10),用于接收虚拟机安全通信相关的命令、判断命令的类型并把命令输出到相应的功能单元,最后把返回的结果进行显示;
弹性IP查询和修改单元(11),用于查询用户的弹性IP资源和对弹性IP的属性进行操作,包括分配新的弹性IP、释放所分配的弹性IP、绑定弹性IP到虚拟机和解除弹性IP与虚拟机的绑定;
安全路由查询和修改单元(12),用于查询用户设置的安全路由规则和对路由规则进行操作,包括创建新的安全路由规则、删除已有的安全路由规则和修改已有的安全路由规则;
通信策略处理单元(13),用于判断虚拟机通信的类型,针对不同的类型采用不同的通信策略、使用不同的通道;
地址转换处理单元(14),用于把外部入口的数据包中的公共IP地址转换成虚拟机内部使用的私有IP地址;
虚拟机网络接口处理单元(15),用于在虚拟机通信的网络接口上设置和执行用户设置的安全路由规则。
2.根据权利要求1所述的基于云计算的虚拟机间安全通信保护***,其特征在于:所述虚拟机安全通信相关的命令包括弹性IP的查询和修改命令、安全路由规则的查询和修改命令以及通信连接的命令;
所述弹性IP是指一个IP地址池中的IP,IP地址池是一组不用的公共IP地址,用户能在虚拟机启动或运行时动态地请求这个组中的一个IP,在虚拟机暂停或关闭时把请求的IP释放到这个组中;
所述安全路由规则是一种IP数据包的转发规则,所有通过***的入口数据包都要符合这些规则才会被转发,否则被丢弃;
所述通信策略处理是一种根据虚拟机之间所处位置的具体情况决定采用何种通信方式的决策机制,是虚拟机通信的全面考虑,确保处在任何位置的虚拟机之间的连通性;
所述地址转换是公共IP地址与虚拟网络中使用的私有IP地址之间的转换;
所述虚拟机网络接口是虚拟机连接到物理网络的接口,其通过桥接的方式连接到物理网卡。
3.根据权利要求2所述的基于云计算的虚拟机间安全通信保护***,其特征在于:所述的安全路由规则的结构包括协议、源端口、目标端口、用户/组和源CIDR,其中,
协议,用于表示具体的通信协议,安全路由规则只转发此种协议的数据,包括TCP、UDP以及ICMP;
源端口表示一个端口范围的左边界,目标端口表示一个端口范围的右边界,安全路由规则只允许访问此左边界和右边界端口范围内的数据进入***,否则数据将会被丢弃;
用户/组与源CIDR二选其一,用户/组表示安全路由规则只允许拥有此用户/组标识的数据进入***,否则数据将会被丢弃;
源CIDR与用户/组二选其一,源CIDR表示安全路由规则只允许此CIDR表示的IP地址范围内的主机发送的数据进入***,否则数据将会被丢弃。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010292144.0A CN102307246B (zh) | 2010-09-25 | 2010-09-25 | 基于云计算的虚拟机间安全通信保护*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010292144.0A CN102307246B (zh) | 2010-09-25 | 2010-09-25 | 基于云计算的虚拟机间安全通信保护*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102307246A CN102307246A (zh) | 2012-01-04 |
CN102307246B true CN102307246B (zh) | 2015-12-09 |
Family
ID=45381049
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201010292144.0A Active CN102307246B (zh) | 2010-09-25 | 2010-09-25 | 基于云计算的虚拟机间安全通信保护*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102307246B (zh) |
Families Citing this family (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102768629B (zh) * | 2012-04-16 | 2017-02-08 | 中兴通讯股份有限公司 | 基于调度层实现虚拟机间通讯的方法和装置 |
CN102685140B (zh) * | 2012-05-22 | 2014-08-13 | 汉柏科技有限公司 | 透明模式的防火墙支持aaa认证功能的方法及*** |
CN102710669B (zh) * | 2012-06-29 | 2016-03-02 | 杭州华三通信技术有限公司 | 一种防火墙策略控制的方法及装置 |
CN103856460A (zh) * | 2012-12-04 | 2014-06-11 | 华为技术有限公司 | 一种访问控制的方法、装置及*** |
CN103747020B (zh) * | 2014-02-18 | 2017-01-11 | 成都致云科技有限公司 | 一种安全可控的公网访问虚拟资源方法 |
CN105323750A (zh) * | 2014-07-02 | 2016-02-10 | 上海新联纬讯科技发展有限公司 | 无线路由器接入点服务隔离配置方法 |
CN104394130B (zh) * | 2014-11-12 | 2017-07-25 | 国云科技股份有限公司 | 一种多租户虚拟网络隔离方法 |
CN105516148B (zh) * | 2015-12-14 | 2018-06-12 | 北京奇虎科技有限公司 | 终端访问服务器的方法和装置 |
CN105491061A (zh) * | 2015-12-30 | 2016-04-13 | 中电长城网际***应用有限公司 | 一种访问控制***及其方法 |
EP3229405B1 (en) * | 2015-12-31 | 2020-07-15 | Huawei Technologies Co., Ltd. | Software defined data center and scheduling and traffic-monitoring method for service cluster therein |
CN106452971B (zh) * | 2016-10-27 | 2019-09-24 | 郑州云海信息技术有限公司 | 一种基于分布式集群***的监控网口检测方法及*** |
CN106789176A (zh) * | 2016-11-30 | 2017-05-31 | 国云科技股份有限公司 | 一种云平台虚拟网络映射机房网络的方法 |
CN106603330A (zh) * | 2016-12-07 | 2017-04-26 | 国云科技股份有限公司 | 一种云平台检查虚拟机连接状态的方法 |
CN108228318B (zh) * | 2017-12-29 | 2021-08-06 | 优刻得科技股份有限公司 | 云容器与管理装置通信的方法、宿主机、***和存储介质 |
US11550616B2 (en) | 2019-08-30 | 2023-01-10 | Nutanix, Inc. | Virtual IP support for bare metal cloud infrastructures |
US11429411B2 (en) | 2019-08-30 | 2022-08-30 | Nutanix, Inc. | Fast ARP cache rewrites in a cloud-based virtualization environment |
US11438280B2 (en) | 2019-08-30 | 2022-09-06 | Nutanix, Inc. | Handling IP network addresses in a virtualization system |
CN113014682B (zh) * | 2019-12-20 | 2023-09-15 | 中兴通讯股份有限公司 | 实现网络动态性的方法、***、终端设备及存储介质 |
CN111262960A (zh) * | 2020-01-15 | 2020-06-09 | 山东汇贸电子口岸有限公司 | 一种公有云弹性公网ip集群实现方法及*** |
CN111628906B (zh) * | 2020-05-11 | 2023-05-09 | 紫光云技术有限公司 | 一种对弹性公网ip进行流量统计和监控的方法 |
US11456987B1 (en) | 2021-05-07 | 2022-09-27 | State Farm Mutual Automobile Insurance Company | Systems and methods for automatic internet protocol address management |
CN113923253A (zh) * | 2021-10-12 | 2022-01-11 | 西安万像电子科技有限公司 | 一种虚拟机图像传输方法、电子设备及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101605084A (zh) * | 2009-06-29 | 2009-12-16 | 北京航空航天大学 | 基于虚拟机的虚拟网络报文处理方法和*** |
CN101668022A (zh) * | 2009-09-14 | 2010-03-10 | 陈博东 | 一种建立在虚拟机上的虚拟网络隔离***及实现方法 |
CN101800762A (zh) * | 2009-12-30 | 2010-08-11 | 中兴通讯股份有限公司 | 一种对多个业务进行融合的业务云***及业务实现方法 |
CN101840346A (zh) * | 2009-12-30 | 2010-09-22 | 北京世纪互联宽带数据中心有限公司 | 云主机部署的方法及*** |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070073858A1 (en) * | 2005-09-27 | 2007-03-29 | Nokia Corporation | Security of virtual computing platforms |
US20070079307A1 (en) * | 2005-09-30 | 2007-04-05 | Puneet Dhawan | Virtual machine based network carriers |
-
2010
- 2010-09-25 CN CN201010292144.0A patent/CN102307246B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101605084A (zh) * | 2009-06-29 | 2009-12-16 | 北京航空航天大学 | 基于虚拟机的虚拟网络报文处理方法和*** |
CN101668022A (zh) * | 2009-09-14 | 2010-03-10 | 陈博东 | 一种建立在虚拟机上的虚拟网络隔离***及实现方法 |
CN101800762A (zh) * | 2009-12-30 | 2010-08-11 | 中兴通讯股份有限公司 | 一种对多个业务进行融合的业务云***及业务实现方法 |
CN101840346A (zh) * | 2009-12-30 | 2010-09-22 | 北京世纪互联宽带数据中心有限公司 | 云主机部署的方法及*** |
Also Published As
Publication number | Publication date |
---|---|
CN102307246A (zh) | 2012-01-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102307246B (zh) | 基于云计算的虚拟机间安全通信保护*** | |
CN102457439B (zh) | 一种云计算***的虚拟交换***及其虚拟交换方法 | |
CN103346981B (zh) | 虚拟交换方法、相关装置和计算机*** | |
CN104253770B (zh) | 实现分布式虚拟交换机***的方法及设备 | |
CN104125110B (zh) | 网络资源监控方法及装置 | |
CN102473114B (zh) | 动态迁移计算机网络 | |
CN108989091A (zh) | 基于Kubernetes网络的租户网络隔离方法、存储介质、电子设备 | |
CN107409096A (zh) | 自适应负载平衡 | |
CN106712988B (zh) | 一种虚拟网络管理方法及装置 | |
EP3430512A1 (en) | Network virtualization of containers in computing systems | |
CN111638957B (zh) | 一种集群共享式公有云负载均衡的实现方法 | |
CN106462408A (zh) | 到云计算环境中的工作空间的低延迟连接 | |
CN102347959A (zh) | 基于身份和会话的资源访问***和方法 | |
CN104113602B (zh) | 一种基于物名的物联网设备访问管理***及方法 | |
CN104954239B (zh) | 一种内置cgn的宽带接入网关及其实现方法 | |
CN104601738B (zh) | 一种分布式网络地址转换*** | |
CN104301129A (zh) | 一种软件定义网络中的动态主机配置方法及*** | |
CN107409097A (zh) | 利用自动化结构架构的负载平衡移动性 | |
CN104407913A (zh) | 一种单网卡虚拟机实现双线接入的方法 | |
CN103067287B (zh) | 在转发和控制分离架构下实现虚拟可编程路由器的方法 | |
CN103905312B (zh) | IPv6/IPv4协议翻译网关及数据报文处理方法 | |
CN104363306A (zh) | 一种企业私有云管理控制方法 | |
CN111475283A (zh) | 一种基于OpenStack裸机的负载均衡方法及*** | |
CN103067270B (zh) | 一种虚拟机互访安全控制方法及装置 | |
CN114124714B (zh) | 一种多层级网络部署方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |