CN111865916B - 资源管理方法、装置及电子设备 - Google Patents
资源管理方法、装置及电子设备 Download PDFInfo
- Publication number
- CN111865916B CN111865916B CN202010544607.1A CN202010544607A CN111865916B CN 111865916 B CN111865916 B CN 111865916B CN 202010544607 A CN202010544607 A CN 202010544607A CN 111865916 B CN111865916 B CN 111865916B
- Authority
- CN
- China
- Prior art keywords
- target virtual
- management component
- identifier
- authority
- virtual volume
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本实施例公开了一种资源管理方法、装置及电子设备,涉及云计算领域。该方法包括:获取挂载请求,挂载请求包括目标虚拟机标识和目标虚拟卷标识;将目标虚拟机标识和目标虚拟卷标识发送至权限管理组件,以进行权限检测;接收权限管理组件发送的权限检测结果;在权限检测结果为通过的情况下,向资源管理组件发送挂载指令,以将目标虚拟卷挂载至目标虚拟机。该方法使得权限管理和资源管理相互剥离,从而降低了业务层面和资源管理层面的耦合性。
Description
技术领域
本发明涉及资源管理技术领域,更具体地,涉及一种资源管理方法、一种资源管理装置、一种电子设备以及一种计算机可读存储介质。
背景技术
在云数据存储***中,用户对存储数据的所有权和控制权是分离的。在现有的云服务架构中,包括虚拟机(VirtualMachine,VM)和虚拟数据卷(以下简称为虚拟卷),虚拟机可以访问虚拟卷中的数据。虚拟卷也称为逻辑单元或者逻辑卷,是将硬件存储空间中,属于同一用户的存储空间逻辑上划分成的数据卷。管理员可以通过云操作***管理虚拟机和虚拟卷之间的对应关系。管理员可以控制一个虚拟卷上的数据能够被一个虚拟机访问,即控制该虚拟卷挂载至该虚拟机。
为了提高云存储***的安全性,需要保证进行挂载的虚拟卷和虚拟机归属于同一用户。在一种现有的挂载方式中,在虚拟机和虚拟卷的记录中增加了用户的标签属性,进行挂载时对上述标签属性进行验证,从而保证虚拟卷和虚拟机归属于同一用户。但是,上述挂载方式仍然存在不足。例如,由于标签属性增加在了虚拟机和虚拟卷的存储记录中,如果出于业务原因试图调整虚拟机和虚拟卷的归属,则需要对虚拟机和虚拟卷的底层存储记录进行修改。因此,该方式在业务层面和资源管理层面的耦合性较大,导致业务层面的扩展性较差。
因此,有必要提出一种新的进行资源管理的技术方案。
发明内容
本发明的一个目的是提供一种进行资源管理的新的技术方案。
根据本发明的第一方面,提供了一种资源管理方法,由资源管理***中的认证组件实施,所述认证组件用于执行挂载过程中的权限认证操作,所述资源管理***还包括权限管理组件和资源管理组件,所述权限管理组件用于执行挂载过程中的权限检测操作,所述资源管理组件用于执行挂载操作,所述资源管理***中的各个组件之间相互通信连接,所述方法包括:
获取挂载请求,所述挂载请求包括目标虚拟机标识和目标虚拟卷标识;
将所述目标虚拟机标识和所述目标虚拟卷标识发送至所述权限管理组件,以进行权限检测;
接收所述权限管理组件发送的权限检测结果;
在所述权限检测结果为通过的情况下,向所述资源管理组件发送挂载指令,以将所述目标虚拟卷标识对应的目标虚拟卷挂载至所述目标虚拟机标识对应的目标虚拟机。
可选地,所述将目标虚拟卷挂载至目标虚拟机,包括:
所述资源管理组件向所述权限管理组件请求所述目标虚拟卷的加密密钥;
所述资源管理组件根据所述加密密钥,将所述目标虚拟卷挂载所述目标虚拟机。
可选地,所述资源管理组件向所述权限管理组件请求所述目标虚拟卷的加密密钥,包括:
所述资源管理组件接收所述认证组件发送的密钥令牌,所述密钥令牌为在所述权限检测结果为通过的情况下,由所述权限管理组件发送至所述认证组件;
所述资源管理组件将所述密钥令牌发送至所述权限管理组件,并接收所述权限管理组件发送的对应于所述密钥令牌的加密密钥。
可选地,所述进行权限检测包括:
所述权限管理组件根据权限记录,获取所述目标虚拟机标识对应的第一用户标识和所述目标虚拟卷标识对应的第二用户标识;
所述权限管理组件检测所述第一用户标识与所述第二用户标识是否相同;
所述权限管理组件在所述第一用户标识和所述第二用户标识相同的情况下,判断权限检测结果为通过。
可选地,还包括创建所述目标虚拟机的步骤,包括:
获取第一创建请求,所述第一创建请求包括第一用户标识;
将所述第一创建请求发送至所述资源管理组件,以创建所述目标虚拟机并获得所述目标虚拟机标识;
接收所述资源管理组件发送的所述目标虚拟机标识;
将所述第一用户标识和所述目标虚拟机标识发送至所述权限管理组件,以将所述第一用户标识和所述目标虚拟机标识的对应关系写入权限记录。
可选地,还包括创建所述目标虚拟卷的步骤,包括:
获取第二创建请求,所述第二创建请求包括第二用户标识;
将所述第二创建请求发送至所述资源管理组件,以创建所述目标虚拟卷并获得所述目标虚拟卷标识;
接收所述资源管理组件发送的所述目标虚拟卷标识;
将所述第二用户标识和所述目标虚拟卷标识发送至所述权限管理组件,以将所述第二用户标识和所述目标虚拟卷标识的对应关系写入权限记录。
可选地,所述创建所述目标虚拟卷的步骤还包括:
接收所述权限管理组件发送的所述目标虚拟卷的加密密钥;
将所述加密密钥发送至加密组件,以对所述目标虚拟卷进行加密。
根据本发明的第二方面,提供了一种资源管理装置,包括:
第一获取模块,用于获取挂载请求,所述挂载请求包括目标虚拟机标识和目标虚拟卷标识;
第一发送模块,用于将所述目标虚拟机标识和所述目标虚拟卷标识发送至权限管理组件,以进行权限检测;
第一接收模块,用于接收所述权限管理组件发送的权限检测结果;
第二发送模块,用于在所述权限检测结果为通过的情况下,向资源管理组件发送挂载指令,以将所述目标虚拟卷标识对应的目标虚拟卷挂载至所述目标虚拟机标识对应的目标虚拟机。
可选地,所述将目标虚拟卷挂载至目标虚拟机,包括:
所述资源管理组件向所述权限管理组件请求所述目标虚拟卷的加密密钥;
所述资源管理组件根据所述加密密钥,将所述目标虚拟卷挂载所述目标虚拟机。
可选地,所述资源管理组件向所述权限管理组件请求所述目标虚拟卷的加密密钥,包括:
所述资源管理组件接收所述认证组件发送的密钥令牌,所述密钥令牌为在所述权限检测结果为通过的情况下,由所述权限管理组件发送至所述认证组件;
所述资源管理组件将所述密钥令牌发送至所述权限管理组件,并接收所述权限管理组件发送的对应于所述密钥令牌的加密密钥。
可选地,所述进行权限检测包括:
所述权限管理组件根据权限记录,获取所述目标虚拟机标识对应的第一用户标识和所述目标虚拟卷标识对应的第二用户标识;
所述权限管理组件检测所述第一用户标识与所述第二用户标识是否相同;
所述权限管理组件在所述第一用户标识和所述第二用户标识相同的情况下,判断权限检测结果为通过。
可选地,还包括虚拟机创建模块,用于:
获取第一创建请求,所述第一创建请求包括第一用户标识;
将所述第一创建请求发送至所述资源管理组件,以创建所述目标虚拟机并获得所述目标虚拟机标识;
接收所述资源管理组件发送的所述目标虚拟机标识;
将所述第一用户标识和所述目标虚拟机标识发送至所述权限管理组件,以将所述第一用户标识和所述目标虚拟机标识的对应关系写入权限记录。
可选地,还包括虚拟卷创建模块,用于:
获取第二创建请求,所述第二创建请求包括第二用户标识;
将所述第二创建请求发送至所述资源管理组件,以创建所述目标虚拟卷并获得所述目标虚拟卷标识;
接收所述资源管理组件发送的所述目标虚拟卷标识;
将所述第二用户标识和所述目标虚拟卷标识发送至所述权限管理组件,以将所述第二用户标识和所述目标虚拟卷标识的对应关系写入权限记录。
可选地,所述虚拟卷创建模块还用于:
接收所述权限管理组件发送的所述目标虚拟卷的加密密钥;
将所述加密密钥发送至加密组件,以对所述目标虚拟卷进行加密。
根据本发明的第三方面,提供了一种电子设备,包括处理器和存储器,
所述存储器存储有能够被所述处理器执行的机器可执行指令;
所述处理器执行所述机器可执行指令以实现本发明第一方面所述的资源管理方法。
根据本发明的第四方面,提供了一种计算机可读存储介质,所述计算机可读存储介质存储有可执行指令,所述可执行指令在被处理器调用和执行时,所述可执行指令促使处理器实现本发明第一方面所述的资源管理方法。
本实施例中的资源管理方法,通过认证组件处理挂载请求,通过权限管理组件进行权限检测,在权限检测结果为通过的情况下才向资源管理组件发送挂载指令,权限管理的功能由认证组件和权限管理组件实现,无需资源管理组件介入,使得权限管理和资源管理相互剥离,从而降低了业务层面和资源管理层面的耦合性,有利于业务层面的扩展。
通过以下参照附图对本发明的示例性实施例的详细描述,本发明的其它特征及其优点将会变得清楚。
附图说明
被结合在说明书中并构成说明书的一部分的附图示出了本发明的实施例,并且连同其说明一起用于解释本发明的原理。
图1是可用于实现本发明实施例的电子设备的示意图。
图2是根据本发明实施例的资源管理的流程图。
图3是根据本发明实施例的挂载过程的示意图。
图4是根据本发明实施例的虚拟机创建过程的示意图。
图5是根据本发明实施例的虚拟卷创建过程的示意图。
图6是根据本发明实施例的资源归属关系表的示意图。
具体实施方式
现在将参照附图来详细描述本发明的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,技术、方法和设备应当被视为说明书的一部分。
在这里示出和讨论的所有例子中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它例子可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
<硬件配置>
图1示出了可用于实现本发明的实施例的电子设备的硬件配置。
参见图1,电子设备1000包括处理器1100、存储器1200、接口装置1300、通信装置1400、显示装置1500和输入装置1600。处理器1100例如可以是中央处理器CPU、微控制单元MCU等。存储器1200例如包括ROM(只读存储器)、RAM(随机存取存储器)、诸如硬盘的非易失性存储器等。接口装置1300例如包括USB接口、串行接口等。通信装置1400例如是有线网卡或无线网卡。显示装置1500例如是液晶显示屏。输入装置1600例如包括触摸屏、键盘、鼠标、麦克风等。
应用于本说明书的实施例中,电子设备1000的存储器1200用于存储指令,该指令用于控制处理器1100进行操作以支持实现根据本说明书任意实施例的方法。技术人员可以根据本说明书所公开方案设计指令。指令如何控制处理器进行操作,这是本领域公知,故在此不再详细描述。
本领域技术人员应当理解,尽管在图1中示出了电子设备1000的多个装置,但是,本说明书实施例的电子设备1000可以仅涉及其中的部分装置,例如,只涉及处理器1100、存储器1200和通信装置1400。
图1所示的硬件配置仅是解释性的,并且决不是为了要限制本发明、其应用或用途。
<方法实施例>
本实施例提供了一种资源管理方法,例如由图1所示的电子设备1000实施。电子设备1000中设置认证组件,用于执行挂载过程中的权限认证操作。上述资源管理方法可以由上述认证组件实施。上述认证组件属于资源管理***,上述资源管理***还包括权限管理组件和资源管理组件,上述权限管理组件用于执行挂载过程中的权限检测操作,上述资源管理组件用于执行挂载操作,上述资源管理***中的各个组件之间相互通信连接。
如图2所示,该方法包括以下步骤S1100-S1400。
在步骤S1100中,获取挂载请求,挂载请求包括目标虚拟机标识和目标虚拟卷标识。
本实施例中将虚拟机和虚拟卷统称为资源。可以由资源管理组件对资源进行管理,例如创建虚拟机、创建虚拟卷、将虚拟卷挂载至虚拟机等。
现有的挂载方式中,通常由资源管理组件直接接收并处理管理员发送的挂载请求。本实施例对此进行了改进,由认证组件直接接收管理员发送的挂载请求。
本实施例中,云存储***的管理员可以通过专门的请求发送组件,向认证组件发送上述挂载请求。
本实施例中的挂载请求包括目标虚拟机标识和目标虚拟卷标识。该挂载请求的含义为:请求将(目标虚拟卷标识对应的)目标虚拟卷挂载至(目标虚拟机标识对应的)目标虚拟机。
在步骤S1200中,将目标虚拟机标识和目标虚拟卷标识发送至权限管理组件,以进行权限检测。
本实施例中,认证组件在接收到挂载请求后,将其中包括的目标虚拟机标识和目标虚拟卷标识发送至权限管理组件。
权限管理组件接收到目标虚拟机标识和目标虚拟卷标识后,进行权限检测以判断目标虚拟机和目标虚拟卷是否归属于同一用户。
在一个例子中,权限管理组件进行权限检测的过程包括:权限管理组件根据权限记录,获取目标虚拟机标识对应的第一用户标识和目标虚拟卷标识对应的第二用户标识;权限管理组件检测第一用户标识与第二用户标识是否相同;权限管理组件在第一用户标识和第二用户标识相同的情况下,判断权限检测结果为通过。
本实施例中,权限管理组件中存储有权限记录,该权限记录中记录着虚拟卷与用户的对应关系、虚拟机与用户的对应关系。该对应关系例如记录在图6所示的资源归属关系表中。参见图6,该资源归属关系表包括资源标识、用户标识和资源类型三列内容,其中,资源标识为特定资源的唯一标识,例如是虚拟卷1、虚拟机1等。用户标识为特定用户的唯一标识,例如是用户标识1、用户标识2等。资源类型为Volume表示该资源为虚拟卷,资源类型为Instance表示该资源为虚拟机。
上述权限记录可以采用持久化存储的方式,例如存储在硬盘中。
在步骤S1300中,接收权限管理组件发送的权限检测结果。
权限管理组件完成权限检测后,将权限检测结果发送至认证组件。
权限检测结果可以包括“通过”或者“不通过”等情况。“通过”对应于第一用户标识和第二用户标识相同的情况,即目标虚拟机和目标虚拟机归属于同一用户。“不通过”对应于第一用户标识和第二用户标识不相同的情况,即目标虚拟机和目标虚拟机归属于不同用户。作为一个例子,以数值“0”代表“不通过”,以数值“1”代表“通过”。
在步骤S1400中,在权限检测结果为通过的情况下,向资源管理组件发送挂载指令,以将目标虚拟卷标识对应的目标虚拟卷挂载至目标虚拟机标识对应的目标虚拟机。
本实施例中,认证组件在权限检测结果为通过的情况下,向资源管理组件发送挂载指令。该挂载指令用于指示资源管理组件执行挂载操作,即将目标虚拟卷挂载至目标虚拟机。
本实施例中的资源管理方法,通过认证组件处理挂载请求,通过权限管理组件进行权限检测,在权限检测结果为通过的情况下才向资源管理组件发送挂载指令,权限管理的功能由认证组件和权限管理组件实现,无需资源管理组件介入,使得权限管理和资源管理相互剥离,从而降低了业务层面和资源管理层面的耦合性,有利于业务层面的扩展。
在一个例子中,将目标虚拟卷挂载至目标虚拟机,包括:资源管理组件向权限管理组件请求目标虚拟卷的加密密钥;资源管理组件根据加密密钥,将目标虚拟卷挂载目标虚拟机。
在现有挂载方式中,如果虚拟机节点遭受到了非法入侵,入侵者可以避开标签属性的验证环节,直接控制虚拟机访问虚拟卷的数据,因此现有挂载方式的安全性不够理想。
在上述例子中,虚拟卷采取了加密方式,需要借助加密密钥才能访问虚拟卷,而加密密钥由权限管理组件管理,因此即使虚拟机节点被非法入侵,入侵者也无法直接访问虚拟卷的数据,从而大大提高了数据的安全性。
在上述例子中,加密虚拟卷采用的算法例如是译码本、DES加密算法、3DES加密算法、RC2加密算法、RC4加密算法、国际数据加密算法IDEA、高级加密算法AES中的任意一种。
在上述例子中,资源管理组件向权限管理组件请求目标虚拟卷的加密密钥,包括:资源管理组件接收认证组件发送的密钥令牌,密钥令牌为在权限检测结果为通过的情况下,由权限管理组件发送至认证组件;资源管理组件将密钥令牌发送至权限管理组件,并接收权限管理组件发送的对应于密钥令牌的加密密钥。
在上述例子中,密钥令牌(Token)是用于换取密钥的对象。密钥令牌由权限管理组件在本次认证过程中生成,具有一定的有效期。
在上述例子中,权限管理组件基于密钥令牌向资源管理组件提供虚拟卷的加密密钥,有利于进一步提高数据的安全性。
在一个例子中,在换取加密密钥后,密钥令牌即时失效,即密钥令牌是一次性的。在每次挂载时或者虚拟机重启后,都需要重新获取密钥令牌进而获取加密密钥,能够大大提升数据的安全性。
在一个例子中,资源管理方法还包括创建目标虚拟机的步骤,具体包括以下步骤S2100-S2400。
在步骤S2100中,获取第一创建请求,第一创建请求包括第一用户标识。
该例子中,第一创建请求是用于创建虚拟机的请求。第一请求包括第一用户标识,其含义为:请求创建归属于第一用户的虚拟机。
在步骤S2200中,将第一创建请求发送至资源管理组件,以创建目标虚拟机并获得目标虚拟机标识。
该例子中,认证组件将第一创建请求转发给资源管理组件。资源管理组件根据第一创建请求创建目标虚拟机,并获得对应的目标虚拟机标识。
在步骤S2300中,接收资源管理组件发送的目标虚拟机标识。
该例子中,资源管理组件创建完目标虚拟机后,将目标虚拟机标识反馈给认证组件。
在步骤S2400中,将第一用户标识和目标虚拟机标识发送至权限管理组件,以将第一用户标识和目标虚拟机标识的对应关系写入权限记录。
该例子中,认证组件将第一用户标识和目标虚拟机标识发送至权限管理组件。权限管理组件将第一用户标识和目标虚拟机标识的对应关系写入权限记录,例如写入图6所示的资源归属关系表。
在上述例子中,由认证组件处理虚拟机创建请求,并由权限管理组件记录虚拟机的归属信息,无需在虚拟机记录中增加归属信息,有利于权限管理和资源管理之间的解耦。
在一个例子中,资源管理方法还包括创建目标虚拟卷的步骤,具体包括以下步骤S3100-S3400。
在步骤S3100中,获取第二创建请求,第二创建请求包括第二用户标识。
该例子中,第二创建请求是用于创建虚拟卷的请求。第二请求包括第二用户标识,其含义为:请求创建归属于第二用户的虚拟卷。
在步骤S3200中,将第二创建请求发送至资源管理组件,以创建目标虚拟卷并获得目标虚拟卷标识。
该例子中,认证组件将第二创建请求转发给资源管理组件。资源管理组件根据第二创建请求创建目标虚拟卷,并获得对应的目标虚拟卷标识。
在步骤S3300中,接收资源管理组件发送的目标虚拟卷标识。
该例子中,资源管理组件创建完目标虚拟卷后,将目标虚拟卷标识反馈给认证组件。
在步骤S3400中,将第二用户标识和目标虚拟卷标识发送至权限管理组件,以将第二用户标识和目标虚拟卷标识的对应关系写入权限记录。
该例子中,认证组件将第二用户标识和目标虚拟卷标识发送至权限管理组件。权限管理组件将第二用户标识和目标虚拟卷标识的对应关系写入权限记录,例如写入图6所示的资源归属关系表。
在上述例子中,由认证组件处理虚拟卷创建请求,并由权限管理组件记录虚拟卷的归属信息,无需在虚拟卷记录中增加归属信息,有利于权限管理和资源管理之间的解耦。
在上述例子中,创建目标虚拟卷的步骤还包括:接收权限管理组件发送的目标虚拟卷的加密密钥;将加密密钥发送至加密组件,以对目标虚拟卷进行加密。
该例子中,权限管理组件接收到目标虚拟卷标识后,根据预设算法生成对应的加密密钥并发送给认证组件。
该例子中,认证组件将加密密钥发送至加密组件。该加密组件根据加密密钥对虚拟卷进行加密处理。
以下结合图3-图5描述根据本发明实施例的挂载过程、虚拟机创建过程和虚拟卷创建过程。
图3是根据本发明实施例的挂载过程的示意图。如图3所示,首先,请求发送组件向认证组件发送挂载请求。认证组件将挂载请求中的目标虚拟机标识和目标虚拟机标识转发至权限管理组件。权限管理组件根据目标虚拟机标识和目标虚拟卷标识进行权限检测,并将权限检测结果发送至认证组件。在检测通过的情况下,权限管理组件还生成密钥令牌,并将密钥令牌发送至认证组件。在检测结果为通过的情况下,认证组件将挂载指令以及密钥令牌发送至资源管理组件。资源管理组件通过密钥令牌向权限管理组件换取目标虚拟卷的加密密钥,再通过加密密钥将目标虚拟卷挂载至目标虚拟机,从而完成整个挂载过程。
图4是根据本发明实施例的虚拟机创建过程的示意图。如图4所示,首先,请求发送组件向认证组件发送创建虚拟机的第一创建请求。认证组件将第一创建请求转发至资源管理组件。资源管理组件根据第一创建请求创建目标虚拟机,并获得目标虚拟机标识。之后,资源管理组件将目标虚拟机标识发送至认证组件。认证组件将第一用户标识和目标虚拟机标识发送至权限管理组件。权限管理组件将第一用户标识和目标虚拟机标识的对应关系写入权限记录,从而完成虚拟机的创建过程。
图5是根据本发明实施例的虚拟卷创建过程的示意图。如图5所示,首先,请求组件向认证组件发送创建目标虚拟卷的第二创建请求。认证组件将第二创建请求转发至资源管理组件。资源管理组件根据第二创建请求创建目标虚拟卷,并获得目标虚拟卷标识。之后,资源管理组件将目标虚拟卷标识发送至认证组件。认证组件将第二用户标识和目标虚拟卷标识发送至权限管理组件。权限管理组件将第二用户标识和目标虚拟卷标识之间的对应关系写入权限记录。此外,权限管理组件还生成目标虚拟卷的加密密钥,以便加密组件据此对目标虚拟卷进行加密。
<装置实施例>
本实施例提供了一种资源管理装置,包括第一获取模块、第一发送模块、第一接收模块和第二发送模块。
第一获取模块,用于获取挂载请求,挂载请求包括目标虚拟机标识和目标虚拟卷标识。
第一发送模块,用于将目标虚拟机标识和目标虚拟卷标识发送至权限管理组件,以进行权限检测。
第一接收模块,用于接收权限管理组件发送的权限检测结果。
第二发送模块,用于在权限检测结果为通过的情况下,向资源管理组件发送挂载指令,以将目标虚拟卷标识对应的目标虚拟卷挂载至目标虚拟机标识对应的目标虚拟机。
在一个例子中,将目标虚拟卷挂载至目标虚拟机,包括:资源管理组件向权限管理组件请求目标虚拟卷的加密密钥;资源管理组件根据加密密钥,将目标虚拟卷挂载目标虚拟机。
在一个例子中,资源管理组件向权限管理组件请求目标虚拟卷的加密密钥,包括:资源管理组件接收认证组件发送的密钥令牌,密钥令牌为在权限检测结果为通过的情况下,由权限管理组件发送至认证组件;资源管理组件将密钥令牌发送至权限管理组件,并接收权限管理组件发送的对应于密钥令牌的加密密钥。
在一个例子中,进行权限检测包括:权限管理组件根据权限记录,获取目标虚拟机标识对应的第一用户标识和目标虚拟卷标识对应的第二用户标识;权限管理组件检测第一用户标识与第二用户标识是否相同;权限管理组件在第一用户标识和第二用户标识相同的情况下,判断权限检测结果为通过。
在一个例子中,还包括虚拟机创建模块,用于:获取第一创建请求,第一创建请求包括第一用户标识;将第一创建请求发送至资源管理组件,以创建目标虚拟机并获得目标虚拟机标识;接收资源管理组件发送的目标虚拟机标识;将第一用户标识和目标虚拟机标识发送至权限管理组件,以将第一用户标识和目标虚拟机标识的对应关系写入权限记录。
在一个例子中,还包括虚拟卷创建模块,用于:获取第二创建请求,第二创建请求包括第二用户标识;将第二创建请求发送至资源管理组件,以创建目标虚拟卷并获得目标虚拟卷标识;接收资源管理组件发送的目标虚拟卷标识;将第二用户标识和目标虚拟卷标识发送至权限管理组件,以将第二用户标识和目标虚拟卷标识的对应关系写入权限记录。
在一个例子中,虚拟卷创建模块还用于:接收权限管理组件发送的目标虚拟卷的加密密钥;将加密密钥发送至加密组件,以对目标虚拟卷进行加密。
本实施例中资源管理装置能够实现本发明方法实施例中描述的各个步骤,也能实现相同的技术效果,这里不再赘述。
<电子设备实施例>
本实施例提供一种电子设备,包括处理器和存储器,存储器存储有能够被处理器执行的机器可执行指令,处理器执行机器可执行指令以实现本发明方法实施例描述的资源管理方法。
本实施例中的电子装置能够实现本发明方法实施例中描述的各个步骤,也能实现相同的技术效果,这里不再赘述。
<计算机可读存储介质>
本实施例提供一种计算机可读存储介质,计算机可读存储介质存储有可执行指令,可执行指令在被处理器调用和执行时,可执行指令促使处理器实现本发明方法实施例描述的资源管理方法。
本实施例中的计算机可读存储介质能够实现本发明方法实施例中描述的各个步骤,也能实现相同的技术效果,这里不再赘述。
本发明可以是***、方法和/或计算机程序产品。计算机程序产品可以包括计算机可读存储介质,其上载有用于使处理器实现本发明的各个方面的计算机可读程序指令。
计算机可读存储介质可以是可以保持和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以是――但不限于――电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、便携式压缩盘只读存储器(CD-ROM)、数字多功能盘(DVD)、记忆棒、软盘、机械编码设备、例如其上存储有指令的打孔卡或凹槽内凸起结构、以及上述的任意合适的组合。这里所使用的计算机可读存储介质不被解释为瞬时信号本身,诸如无线电波或者其他自由传播的电磁波、通过波导或其他传输媒介传播的电磁波(例如,通过光纤电缆的光脉冲)、或者通过电线传输的电信号。
这里所描述的计算机可读程序指令可以从计算机可读存储介质下载到各个计算/处理设备,或者通过网络、例如因特网、局域网、广域网和/或无线网下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络接口从网络接收计算机可读程序指令,并转发该计算机可读程序指令,以供存储在各个计算/处理设备中的计算机可读存储介质中。
用于执行本发明操作的计算机程序指令可以是汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码,编程语言包括面向对象的编程语言—诸如Smalltalk、C++等,以及常规的过程式编程语言—诸如“C”语言或类似的编程语言。计算机可读程序指令可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络—包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。在一些实施例中,通过利用计算机可读程序指令的状态信息来个性化定制电子电路,例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA),该电子电路可以执行计算机可读程序指令,从而实现本发明的各个方面。
这里参照根据本发明实施例的方法、装置(***)和计算机程序产品的流程图和/或框图描述了本发明的各个方面。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机可读程序指令实现。
这些计算机可读程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器,从而生产出一种机器,使得这些指令在通过计算机或其它可编程数据处理装置的处理器执行时,产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中,这些指令使得计算机、可编程数据处理装置和/或其他设备以特定方式工作,从而,存储有指令的计算机可读介质则包括一个制造品,其包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各个方面的指令。
也可以把计算机可读程序指令加载到计算机、其它可编程数据处理装置、或其它设备上,使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤,以产生计算机实现的过程,从而使得在计算机、其它可编程数据处理装置、或其它设备上执行的指令实现流程图和/或框图中的一个或多个方框中规定的功能/动作。
附图中的流程图和框图显示了根据本发明的多个实施例的***、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分,模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。对于本领域技术人员来说公知的是,通过硬件方式实现、通过软件方式实现以及通过软件和硬件结合的方式实现都是等价的。
以上已经描述了本发明的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场中的技术改进,或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。本发明的范围由所附权利要求来限定。
Claims (14)
1.一种资源管理方法,由资源管理***中的认证组件实施,所述认证组件用于执行挂载过程中的权限认证操作,所述资源管理***还包括权限管理组件和资源管理组件,所述权限管理组件用于执行挂载过程中的权限检测操作,所述资源管理组件用于执行挂载操作,所述资源管理***中的各个组件之间相互通信连接,所述方法包括:
获取挂载请求,所述挂载请求包括目标虚拟机标识和目标虚拟卷标识;
将所述目标虚拟机标识和所述目标虚拟卷标识发送至所述权限管理组件,以进行权限检测;
接收所述权限管理组件发送的权限检测结果;
在所述权限检测结果为通过的情况下,向所述资源管理组件发送挂载指令,以将所述目标虚拟卷标识对应的目标虚拟卷挂载至所述目标虚拟机标识对应的目标虚拟机,其中,所述资源管理组件进行资源挂载;
所述进行权限检测包括:
所述权限管理组件根据权限记录,获取所述目标虚拟机标识对应的第一用户标识和所述目标虚拟卷标识对应的第二用户标识;
所述权限管理组件检测所述第一用户标识与所述第二用户标识是否相同;
所述权限管理组件在所述第一用户标识和所述第二用户标识相同的情况下,判断权限检测结果为通过。
2.根据权利要求1所述的方法,其中,所述将目标虚拟卷挂载至目标虚拟机,包括:
所述资源管理组件向所述权限管理组件请求所述目标虚拟卷的加密密钥;
所述资源管理组件根据所述加密密钥,将所述目标虚拟卷挂载所述目标虚拟机。
3.根据权利要求2所述的方法,其中,所述资源管理组件向所述权限管理组件请求所述目标虚拟卷的加密密钥,包括:
所述资源管理组件接收所述认证组件发送的密钥令牌,其中,所述密钥令牌为在所述权限检测结果为通过的情况下,由所述权限管理组件发送至所述认证组件;
所述资源管理组件将所述密钥令牌发送至所述权限管理组件,并接收所述权限管理组件发送的对应于所述密钥令牌的加密密钥。
4.根据权利要求1所述的方法,其中,还包括创建所述目标虚拟机的步骤,包括:
获取第一创建请求,所述第一创建请求包括第一用户标识;
将所述第一创建请求发送至所述资源管理组件,以创建所述目标虚拟机并获得所述目标虚拟机标识;
接收所述资源管理组件发送的所述目标虚拟机标识;
将所述第一用户标识和所述目标虚拟机标识发送至所述权限管理组件,以将所述第一用户标识和所述目标虚拟机标识的对应关系写入权限记录。
5.根据权利要求1所述的方法,其中,还包括创建所述目标虚拟卷的步骤,包括:
获取第二创建请求,所述第二创建请求包括第二用户标识;
将所述第二创建请求发送至所述资源管理组件,以创建所述目标虚拟卷并获得所述目标虚拟卷标识;
接收所述资源管理组件发送的所述目标虚拟卷标识;
将所述第二用户标识和所述目标虚拟卷标识发送至所述权限管理组件,以将所述第二用户标识和所述目标虚拟卷标识的对应关系写入权限记录。
6.根据权利要求5所述的方法,其中,所述创建所述目标虚拟卷的步骤还包括:
接收所述权限管理组件发送的所述目标虚拟卷的加密密钥;
将所述加密密钥发送至加密组件,以对所述目标虚拟卷进行加密。
7.一种资源管理装置,包括:
第一获取模块,用于获取挂载请求,所述挂载请求包括目标虚拟机标识和目标虚拟卷标识;
第一发送模块,用于将所述目标虚拟机标识和所述目标虚拟卷标识发送至权限管理组件,以进行权限检测;
第一接收模块,用于接收所述权限管理组件发送的权限检测结果;
第二发送模块,用于在所述权限检测结果为通过的情况下,向资源管理组件发送挂载指令,以将所述目标虚拟卷标识对应的目标虚拟卷挂载至所述目标虚拟机标识对应的目标虚拟机;
所述权限管理组件根据权限记录,获取所述目标虚拟机标识对应的第一用户标识和所述目标虚拟卷标识对应的第二用户标识;
所述权限管理组件检测所述第一用户标识与所述第二用户标识是否相同;
所述权限管理组件在所述第一用户标识和所述第二用户标识相同的情况下,判断权限检测结果为通过。
8.根据权利要求7所述的装置,其中,所述将目标虚拟卷挂载至目标虚拟机,包括:
所述资源管理组件向所述权限管理组件请求所述目标虚拟卷的加密密钥;
所述资源管理组件根据所述加密密钥,将所述目标虚拟卷挂载所述目标虚拟机。
9.根据权利要求7所述的装置,其中,所述资源管理组件向所述权限管理组件请求所述目标虚拟卷的加密密钥,包括:
所述资源管理组件接收认证组件发送的密钥令牌,其中,所述密钥令牌为在所述权限检测结果为通过的情况下,由所述权限管理组件发送至所述认证组件;
所述资源管理组件将所述密钥令牌发送至所述权限管理组件,并接收所述权限管理组件发送的对应于所述密钥令牌的加密密钥。
10.根据权利要求7所述的装置,其中,还包括虚拟机创建模块,用于:
获取第一创建请求,所述第一创建请求包括第一用户标识;
将所述第一创建请求发送至所述资源管理组件,以创建所述目标虚拟机并获得所述目标虚拟机标识;
接收所述资源管理组件发送的所述目标虚拟机标识;
将所述第一用户标识和所述目标虚拟机标识发送至所述权限管理组件,以将所述第一用户标识和所述目标虚拟机标识的对应关系写入权限记录。
11.根据权利要求7所述的装置,其中,还包括虚拟卷创建模块,用于:
获取第二创建请求,所述第二创建请求包括第二用户标识;
将所述第二创建请求发送至所述资源管理组件,以创建所述目标虚拟卷并获得所述目标虚拟卷标识;
接收所述资源管理组件发送的所述目标虚拟卷标识;
将所述第二用户标识和所述目标虚拟卷标识发送至所述权限管理组件,以将所述第二用户标识和所述目标虚拟卷标识的对应关系写入权限记录。
12.根据权利要求11所述的装置,其中,所述虚拟卷创建模块还用于:
接收所述权限管理组件发送的所述目标虚拟卷的加密密钥;
将所述加密密钥发送至加密组件,以对所述目标虚拟卷进行加密。
13.一种电子设备,包括处理器和存储器,
所述存储器存储有能够被所述处理器执行的机器可执行指令;
所述处理器执行所述机器可执行指令以实现权利要求1至6中任一项所述的资源管理方法。
14.一种计算机可读存储介质,所述计算机可读存储介质存储有可执行指令,所述可执行指令在被处理器调用和执行时,所述可执行指令促使处理器实现权利要求1至6中任一项所述的资源管理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010544607.1A CN111865916B (zh) | 2020-06-15 | 2020-06-15 | 资源管理方法、装置及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010544607.1A CN111865916B (zh) | 2020-06-15 | 2020-06-15 | 资源管理方法、装置及电子设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111865916A CN111865916A (zh) | 2020-10-30 |
CN111865916B true CN111865916B (zh) | 2022-09-06 |
Family
ID=72987406
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010544607.1A Active CN111865916B (zh) | 2020-06-15 | 2020-06-15 | 资源管理方法、装置及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111865916B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113126912A (zh) * | 2021-03-15 | 2021-07-16 | 新华三大数据技术有限公司 | 一种个人磁盘的挂载方法及装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103023920A (zh) * | 2012-12-27 | 2013-04-03 | 华为技术有限公司 | 虚拟机安全保护方法及装置 |
CN103544047A (zh) * | 2013-10-25 | 2014-01-29 | 华为技术有限公司 | 云***数据管理方法 |
CN107391028A (zh) * | 2017-06-09 | 2017-11-24 | 华为技术有限公司 | 一种虚拟卷权限的控制方法及装置 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8650566B2 (en) * | 2011-08-29 | 2014-02-11 | Vmware, Inc. | Virtual machine provisioning in object storage system |
-
2020
- 2020-06-15 CN CN202010544607.1A patent/CN111865916B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103023920A (zh) * | 2012-12-27 | 2013-04-03 | 华为技术有限公司 | 虚拟机安全保护方法及装置 |
CN103544047A (zh) * | 2013-10-25 | 2014-01-29 | 华为技术有限公司 | 云***数据管理方法 |
CN107391028A (zh) * | 2017-06-09 | 2017-11-24 | 华为技术有限公司 | 一种虚拟卷权限的控制方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN111865916A (zh) | 2020-10-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11244061B2 (en) | Data encryption service | |
US10826881B2 (en) | Location-enforced data management in complex multi-region computing | |
US10277591B2 (en) | Protection and verification of user authentication credentials against server compromise | |
US10917394B2 (en) | Data operations using a proxy encryption key | |
US10614233B2 (en) | Managing access to documents with a file monitor | |
US9576147B1 (en) | Security policy application through data tagging | |
KR102539777B1 (ko) | 하드웨어 보안 모듈에 대한 보안 게스트들의 보안 키들의 바인딩 | |
US20180137303A1 (en) | Intercepting sensitive data using hashed candidates | |
US10579830B1 (en) | Just-in-time and secure activation of software | |
WO2017129660A1 (en) | Secure data storage | |
CN111132150A (zh) | 一种保护数据的方法、装置、存储介质和电子设备 | |
US9910997B1 (en) | Secure credential storage | |
CN111865916B (zh) | 资源管理方法、装置及电子设备 | |
US11799629B2 (en) | Access authorization utilizing homomorphically encrypted access authorization objects | |
US10621319B2 (en) | Digital certificate containing multimedia content | |
US20230169204A1 (en) | Secure sharing of personal data in distributed computing zones | |
JP2021530009A (ja) | 暗号化されたデータに対するセキュアな動作 | |
US11526633B2 (en) | Media exfiltration prevention system | |
US11930109B2 (en) | Encrypted storage with secure access | |
CN114003877A (zh) | 多租户***的数据访问方法、装置、介质及电子设备 | |
WO2023005704A1 (en) | Sensitive data encryption | |
CN114117460A (zh) | 数据保护方法、装置、电子设备及存储介质 | |
CN117614629A (zh) | 证书管理方法、装置、设备及存储介质 | |
Arora et al. | Securing the cloud with encryption and key management |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |