安全交互方法、计算节点、控制中心、云平台及存储介质
技术领域
本发明涉及云计算安全技术领域,尤其涉及一种安全交互方法、计算节点、控制中心、云平台及存储介质。
背景技术
随着云计算的快速发展,基于云的应用和场景愈发广泛,越来越多的企业或组织将自己的业务和数据迁移到云端,因此,云主机和中间件的数量呈现爆发式的增长。
在目前的云场景下,为了建立一个统一的控制中心通过与租户虚拟机之间的通信,完成租户虚拟机的管理和防护,一种方案为打通虚拟私有云,使租户虚拟机网络互通,然而将降低每个租户虚拟机的安全性和私密性,且网络较为复杂,难以运维,另一种方案为通过映射公网IP地址的方式,使用公网完成控制中心和租户虚拟机之间的通信,但是不仅浪费资源较多,网络延时较长,且控制中心如果没有对外提供服务的需要,一般不能直接暴露在公网上,一旦被攻击和控制后,将进一步控制到租户虚拟机,租户虚拟机和控制中心的安全性较低。
发明内容
为解决上述技术问题,本发明实施例期望提供一种安全交互方法、计算节点、控制中心、云平台及存储介质,以组群虚拟机作为中间屏障,实现租户虚拟机和控制中心的交互需求,将安全风险控制在组群虚拟机,从而提高了控制中心和租户虚拟机之间交互的安全性。
本发明的技术方案是这样实现的:
本发明实施例提供了一种安全交互方法,应用于计算节点,所述计算节点由云平台创建的至少一个组群虚拟机和至少一个租户虚拟机,第一组群虚拟机为所述至少一个组群虚拟机中任意一个虚拟机,第一租户虚拟机为所述至少一个租户虚拟机中任意一个虚拟机,所述方法包括:
通过所述第一组群虚拟机,将所述第一组群虚拟机对应的第一注册信息发送至控制中心进行校验,以实现所述第一组群虚拟机向所述控制中心的注册;
通过所述第一组群虚拟机,接收所述第一租户虚拟机发送的所述第一租户虚拟机对应的第二注册信息,并请求所述控制中心进行校验,以实现所述第一租户虚拟机向所述第一组群虚拟机的注册;
在完成两种注册时,通过所述第一组群虚拟机进行所述第一租户虚拟机与所述控制中心之间的信息交互。
在上述技术方案中,所述第一注册信息为采用所述第一组群虚拟机的合法签名加密后的注册信息。
在上述技术方案中,所述实现所述第一租户虚拟机向所述第一组群虚拟机的注册之后,所述方法还包括:
通过所述第一组群虚拟机,接收所述控制中心提供的纳管互换信息,以实现对所述第一租户虚拟机的纳管互换。
在上述技术方案中,所述实现所述第一租户虚拟机向所述第一组群虚拟机的注册之后,所述方法还包括:
通过所述第一组群虚拟机接收所述控制中心发送的预设虚拟机防火墙策略;
通过所述第一组群虚拟机和所述第一租户虚拟机执行所述预设虚拟机防火墙策略。
本发明实施例提供了一种安全交互方法,应用于控制中心,所述方法包括:
接收云平台发送的第一组群虚拟机对应的第一报备信息,以及第一租户虚拟机对应的第二报备信息;
接收所述第一组群虚拟机发送的所述第一组群虚拟机对应的第一注册信息,并基于所述第一报备信息对所述第一注册信息校验通过时,允许所述第一组群虚拟机的注册;
接收所述第一组群虚拟机发送的所述第一租户虚拟机对应第二注册信息,并基于所述第二报备信息对所述第二注册信息校验通过时,将校验通过信息发送至所述第一组群虚拟机,以供所述第一组群虚拟机允许第一租户虚拟机的注册;
在完成两种注册时,基于所述第一组群虚拟机与所述第一租户虚拟机进行信息交互。
在上述技术方案中,所述控制中心上注册有至少一个组群虚拟机,所述第一组群虚拟机为其中任意一个虚拟机,所述将校验通过信息发送至所述第一组群虚拟机之后,所述方法还包括:
按照预设查询周期查询所述至少一个组群虚拟机纳管的租户虚拟机数量;
在所述至少一个组群虚拟机中每一个虚拟机纳管的租户虚拟机数量达到最大预设阈值时,向所述云平台发送新增组群虚拟机请求,以供所述云平台根据所述新增组群虚拟机创建新的组群虚拟机。
在上述技术方案中,所述将校验通过信息发送至所述第一组群虚拟机之后,所述方法还包括:
获取预设虚拟机防火墙策略和预设控制防火墙策略;
将所述预设虚拟机防火墙策略发送至所述第一组群虚拟机,以供所述第一组群虚拟机和所述第一租户虚拟机执行所述预设虚拟机防火墙策略;
执行所述预设控制防火墙策略。
本发明实施例提供了一种安全交互方法,应用于云平台,所述方法包括:
接收租户发送的租户创建请求,以及控制中心发送的组群创建请求;
根据所述租户创建请求在计算节点上创建第一租户虚拟机,并根据所述组群创建请求在所述计算节点上创建第一组群虚拟机;
获取所述第一组群虚拟机对应的第一报备信息,以及所述第一租户虚拟机对应的第二报备信息;
将所述第一报备信息和所述第二报备信息发送至所述控制中心。
本发明实施例提供了一种计算节点,所述计算节点包括由云平台创建的至少一个组群虚拟机和至少一个租户虚拟机,第一组群虚拟机为所述至少一个组群虚拟机中任意一个虚拟机,第一租户虚拟机为所述至少一个租户虚拟机中任意一个虚拟机,
所述第一组群虚拟机,用于将所述第一组群虚拟机对应的第一注册信息发送至控制中心进行校验,以实现所述第一组群虚拟机向所述控制中心的注册;
所述第一租户虚拟机,用于将述第一租户虚拟机对应的第二注册信息发送至所述第一组群虚拟机;
所述第一组群虚拟机,还用于接收所述第二注册信息,并请求所述控制中心进行校验,以实现所述第一租户虚拟机向所述第一组群虚拟机的注册;在完成两种注册时,进行所述第一租户虚拟机与所述控制中心之间的信息交互。
本发明实施例提供了一种计算节点,所述计算节点包括第一处理器、第一存储器和第一通信总线;
所述第一通信总线,用于实现所述第一处理器和所述第一存储器之间的通信连接;
所述第一处理器,用于执行所述第一存储器中存储的第一交互程序,以实现上述应用于计算节点的安全交互方法。
本发明实施例提供了一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可以被一个或者多个处理器执行,以实现上述应用于计算节点的安全交互方法。
本发明实施例提供了一种控制中心,所述控制中心包括:
第一通信模块,用于接收云平台发送的第一组群虚拟机对应的第一报备信息,以及第一租户虚拟机对应的第二报备信息;接收所述第一组群虚拟机发送的所述第一组群虚拟机对应的第一注册信息;接收所述第一组群虚拟机发送的所述第一租户虚拟机对应第二注册信息;
处理模块,用于基于所述第一报备信息对所述第一注册信息校验通过时,允许所述第一组群虚拟机的注册;基于所述第二报备信息对所述第二注册信息校验通过时,将校验通过信息输出至所述第一通信模块;
所述第一通信模块,还用于将所述校验通过信息发送至所述第一组群虚拟机,以供所述第一组群虚拟机允许第一租户虚拟机的注册;
所述第一通信模块,还用于在完成两种注册时,基于所述第一组群虚拟机与所述第一租户虚拟机进行信息交互。
本发明实施例提供了一种控制中心,所述控制中心包括第二处理器、第二存储器和第二通信总线;
所述第二通信总线,用于实现所述第二处理器和所述第二存储器之间的通信连接;
所述第二处理器,用于执行所述第二存储器中存储的第二交互程序,以实现上述应用于控制中心的安全交互方法。
本发明实施例提供了一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可以被一个或者多个处理器执行,以实现上述应用于控制中心的安全交互方法。
本发明实施例提供了一种云平台,所述云平台包括:
第二通信模块,用于接收租户发送的租户创建请求,以及控制中心发送的组群创建请求;
创建模块,用于根据所述租户创建请求在计算节点上创建第一租户虚拟机,并根据所述组群创建请求在所述计算节点上创建第一组群虚拟机;
获取模块,用于获取所述第一组群虚拟机对应的第一报备信息,以及所述第一租户虚拟机对应的第二报备信息;
所述第二通信模块,还用于将所述第一报备信息和所述第二报备信息发送至所述控制中心。
本发明实施例提供了一种云平台,所述云平台包括第三处理器、第三存储器和第三通信总线;
所述第三通信总线,用于实现所述第三处理器和所述第三存储器之间的通信连接;
所述第三处理器,用于执行所述第三存储器中存储的第三交互程序,以实现上述应用于云平台的安全交互方法。
本发明实施例提供了一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可以被一个或者多个处理器执行,以实现上述应用于云平台的安全交互方法。
在本发明的技术方案中,计算节点包括由云平台创建的至少一个组群虚拟机和至少一个租户虚拟机,第一组群虚拟机为至少一个组群虚拟机中任意一个虚拟机,第一租户虚拟机为至少一个租户虚拟机中任意一个虚拟机,通过第一组群虚拟机,将第一组群虚拟机对应的第一注册信息发送至控制中心进行校验,以实现第一组群虚拟机向控制中心的注册;通过第一组群虚拟机,接收第一租户虚拟机发送的第一租户虚拟机对应的第二注册信息,并请求控制中心进行校验,以实现第一租户虚拟机向第一组群虚拟机的注册;在完成两种注册时,通过第一组群虚拟机进行第一租户虚拟机与控制中心之间的信息交互。也就是说,本发明实施例提供的技术方案,以组群虚拟机作为中间屏障,实现租户虚拟机和控制中心的交互需求,将安全风险控制在组群虚拟机,从而提高了控制中心和租户虚拟机之间交互的安全性。
附图说明
图1为本发明实施例提供的一种安全交互方法的流程示意图一;
图2为本发明实施例提供的一种安全交互方法的流程示意图二;
图3为本发明实施例提供的一种安全交互方法的流程示意图三;
图4为本发明实施例提供的一种注册交互过程的示意图;
图5为本发明实施例提供的一种示例性的交互系统示意图;
图6为本发明实施例提供的一种计算节点的结构示意图一;
图7为本发明实施例提供的一种计算节点的结构示意图二;
图8为本发明实施例提供的一种控制中心的结构示意图一;
图9为本发明实施例提供的一种控制中心的结构示意图二;
图10为本发明实施例提供的一种云平台的结构示意图一;
图11为本发明实施例提供的一种云平台的结构示意图二。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
在本发明的实施例中,安全交互方法涉及到三个对象,分别为:计算节点、控制中心和云平台。
需要说明的是,在本发明的实施例中,最终目的在于使计算节点的租户虚拟机和控制中心进行信息交互,在此过程中,还涉及到了计算节点的组群虚拟机,以组群虚拟机为媒介,实现两者安全交互,而全部交互过程的基础在于云平台先在计算节点上创建租户虚拟机和组群虚拟机,并将租户虚拟机和组群虚拟机的相关信息报备给控制中心,之后,才能进行后续注册交互过程。
以下基于计算节点、控制中心和云平台分别说明安全交互方法。
实施例一
本发明实施例提供了一种安全交互方法,应用于云平台,图1为本发明实施例提供的一种安全交互方法的流程示意图一。如图1所示,主要包括以下步骤:
S101、接收租户发送的租户创建请求,以及控制中心发送的组群创建请求。
在本发明的实施例中,云平台可以直接接收租户发送的租户创建请求,以及控制中心发送的组群创建请求。
需要说明的是,在本发明的实施例中,租户创建请求用于进行租户虚拟机的创建,组群创建请求用于进行组群虚拟机的创建,具体的租户创建请求和组群创建请求本发明实施例不作限定。
S102、根据租户创建请求在计算节点上创建第一租户虚拟机,并根据组群创建请求在计算节点上创建第一组群虚拟机。
在本发明的实施例中,云平台在接收到租户创建请求和组群创建请求之后,即可根据租户创建请求在计算节点上创建第一租户虚拟机,并根据组群创建请求在计算节点上创建第一组群虚拟机。
需要说明的是,在本发明的实施例中,计算节点实际上可以看作资源池,因此,云平台可以在其上创建需要的第一租户虚拟机,以及第一组群虚拟机。具体的第一租户虚拟机和第一组群虚拟机本发明实施例不作限定。
可以理解的是,在本发明的实施例中,第一组群虚拟机用于建立第一租户虚拟机和控制中心的交互,第一组群虚拟机需要注册到控制中心上,而第一租户虚拟机需要注册到第一组群虚拟机上。
需要说明的是,在本发明的实施例中,云平台创建的第一租户虚拟机和第一组群虚拟机均配置有一个虚拟网卡,具体的,第一组群虚拟机配置有第一虚拟网卡,第一租户虚拟机配置有第二虚拟网卡,第一虚拟网卡和第二虚拟网卡,与控制中心处于同一网段,即目标网段,以保证三者之间的网络可达,具体的第一虚拟网卡、第二虚拟网卡,以及目标网段本发明实施例不作限定。
S103、获取第一组群虚拟机对应的第一报备信息,以及第一租户虚拟机对应的第二报备信息。
在本发明的实施例中,云平台在创建第一租户虚拟机和第一组群虚拟机之后,即可获取第一组群虚拟机对应的第一报备信息,以及第一租户虚拟机对应的第二报备信息。
需要说明的是,在本发明的实施例中,第一报备信息至少包括第一虚拟网卡的网卡信息,第二报备信息至少包括第二虚拟网卡的网卡信息,网卡信息具体可以包括媒体访问控制地址(Media Access Control Address,MAC)、互联网协议(Internet Protocol,IP)地址,以及端口号等,具体的第一报备信息和第二报备信息本发明实施例不作限定。
S104、将第一报备信息和第二报备信息发送至控制中心。
在本发明的实施例中,云平台在获取第一报备信息和第二报备信息之后,进一步的,将第一报备信息和第二报备信息发送至控制中心。
可以理解的是,在本发明的实施例中,后续进行第一组群虚拟机注册到控制中心上第一租户虚拟机注册到第一组群虚拟机上,均需要进行相关注册信息的校验,其校验依据也就是对应的第一报备信息和第二报备信息,因此,需要进行云平台和控制中心的交互,将第一报备信息和第二报备信息发送至控制中心。
需要说明的是,在本发明的实施例中,云平台实际上可以在计算节点创建至少一个租户虚拟机和至少一个组群虚拟机,本发明中的第一组群虚拟机为至少一个组群虚拟机中任意一个虚拟机,第一租户虚拟机为至少一个租户虚拟机中任意一个虚拟机,创建过程完全相同,具体的第一租户虚拟机和第一组群虚拟机本发明实施例不作限定。
本发明实施例提供了一种安全交互方法,应用于云平台,接收租户发送的租户创建请求,以及控制中心发送的组群创建请求;根据租户创建请求在计算节点上创建第一租户虚拟机,并根据组群创建请求在计算节点上创建第一组群虚拟机;获取第一组群虚拟机对应的第一报备信息,以及第一租户虚拟机对应的第二报备信息;将第一报备信息和第二报备信息发送至控制中心。也就是说,本发明实施例的技术方案,云平台在计算节点创建了两种虚拟机,即租户虚拟机和组群虚拟机,并将相关信息报备给控制中心,为后续实现组群虚拟机向控制中心的注册,租户虚拟机向组群虚拟机的注册提供了基础,并且,由云平台进行信息报备,避免了租户虚拟机与控制中心的直接通信,提高了安全性。
实施例二
本发明实施例提供了一种安全交互方法,应用于计算节点,计算节点包括由云平台创建的至少一个组群虚拟机和至少一个租户虚拟机,第一组群虚拟机为至少一个组群虚拟机中任意一个虚拟机,第一租户虚拟机为至少一个租户虚拟机中任意一个虚拟机。
图2为本发明实施例提供的一种安全交互方法的流程示意图二。如图2所示,主要包括以下步骤:
S201、通过第一组群虚拟机,将第一组群虚拟机对应的第一注册信息发送至控制中心进行校验,以实现第一组群虚拟机向控制中心的注册。
在本发明的实施例中,计算节点通过第一组群虚拟机,将第一组群虚拟机对应的第一注册信息发送至控制中心进行校验,以实现第一组群虚拟机向控制中心的注册。
需要说明的是,在本发明的实施例中,第一注册信息为采用第一组群虚拟机的合法签名加密后的注册信息。
需要说明的是,在本发明的实施例中,第一组群虚拟机有特定的镜像,镜像中包含了自身的签名证书,第一组群虚拟机可以先发送至控制中心确认其是否合法,如果合法即为合法签名,以利用合法签名对自身相关的注册信息进行加密,获得第一注册信息。
需要说明的是,在本发明的实施例中,第一注册信息实际上至少包括了第一虚拟网卡的网卡信息,具体的第一注册信息本发明实施例不作限定。
需要说明的是,在本发明的实施例中,第一组群虚拟机将第一注册信息发送至控制中心,控制中心可以对其进行解密,以获得具体的注册信息,如第一虚拟网卡的网卡信息,而控制中心实际之前已经同步获取到了第一报备信息,因此,可以根据第一报备信息校验第一注册信息,如果两者相同,则表明第一组群虚拟机是一个合法的虚拟机,控制中心将允许第一组群虚拟机的注册。
可以理解的是,在本发明的实施例中,如果控制中心确定第一组群虚拟机是一个非法的虚拟机,将拒绝第一组群虚拟机的注册,进一步的,还可以以特定的方式进行告警,本发明实施例不作限定。
S202、通过第一组群虚拟机,接收第一租户虚拟机发送的第一租户虚拟机对应的第二注册信息,并请求控制中心进行校验,以实现第一租户虚拟机向第一组群虚拟机的注册。
在本发明的实施例中,第一组群虚拟机向控制中心注册之后,计算节点进一步通过第一组群虚拟机接收第一租户虚拟机进行注册。
需要说明的是,在本发明的实施例中,第一组群虚拟机向控制中心注册之后,第一组群虚拟机即可通过所在的目标网段开放特定端口和服务,第一租户虚拟机扫描到第一组群虚拟机的特定端口和服务,并向第一组群虚拟机进行注册,具体的,第一租户虚拟机将向第一组群虚拟机发送自身对应的第二注册信息,相应的,第一组群虚拟机将接收到第二注册信息。
需要说明的是,在本发明的实施例中,第二注册信息至少包括了第二虚拟网卡的网卡信息,具体的第二注册信息本发明实施例不作限定。
需要说明的是,在本发明的实施例中,第一组群虚拟机接收到第二注册信息,需要对第二注册信息进行校验,以实现注册,然而,第一组群虚拟机并未存储相关的信息进行校验,控制中心之前同步了第一租户虚拟机对应的第二报备信息,因此,将第二注册信息发送至控制中心,请求控制中心根据第二报备信息对第二注册信息进行校验,在校验通过时,即第一租户虚拟机为一个合法的虚拟机,第一组群虚拟机允许第一租户虚拟机的注册。
可以理解的是,在本发明的实施例中,第一组群虚拟机请求控制中心进行第二注册信息的校验,如果第一租户虚拟机为一个非法的虚拟机,第一组群虚拟机将拒绝第一租户虚拟机的注册。
需要说明的是,在本发明的实施例中,第一组群虚拟机可以允许多个第一租户虚拟机的注册,每一个第一租户虚拟机均可以提供对应的第二注册信息进行注册,但是,第一组群虚拟机可纳管的第一租户虚拟机数量有限,当达到最大预设阈值时,将不允许任何新的第一租户虚拟机的注册。
S203、在完成两种注册时,通过第一组群虚拟机进行第一租户虚拟机与控制中心之间的信息交互。
在本发明的实施例中,计算节点中,第一组群虚拟机向控制中心进行注册,第一租户虚拟机向第一组群虚拟机进行注册,在完成两种注册时,通过第一组群虚拟机即可进行第一租户虚拟机与控制中心之间的信息交互。
需要说明的是,在本发明的实施例中,计算节点通过第一组群虚拟机进行第一租户虚拟机和控制中心之间的信息交互,在整个交互过程中,第一组群虚拟机可以接收到第一租户虚拟机发送的交互信息,并利用合法签名进行加密,以发送至控制中心,第一组群虚拟机还可以接收到控制中心发送的交互信息,此时,直接下发至第一租户虚拟机中。
可以理解的是,在本发明的实施例中,实际上进行了两次反向注册,一次是第一组群虚拟机向控制中心的注册,另一次是第一租户虚拟机向第一组群虚拟机的注册,其中,第一租户虚拟机向第一组群虚拟机的注册,实际上需要由第一组群虚拟机请求控制中心校验注册的相关信息。
可以理解的是,在本发明的实施例中,以第一组群虚拟机作为中间屏障层和桥梁层,以实现第一租户虚拟机和控制中心之间安全交互的需求,使第一租户虚拟机不能和控制中心直接交互,将安全风险主要控制在第一组群虚拟机,从而降低了控制中心发生风险的可能,以及第一租户虚拟机风险蔓延的可能。
在本发明的实施例中,在实现第一租户虚拟机向第一组群虚拟机的注册之后,还可以包括:通过第一组群虚拟机,接收控制中心提供的纳管互换信息,以实现第一租户虚拟机的纳管互换。
需要说明的是,在本发明的实施例中,一个组群虚拟机上注册的所有租户虚拟机,即由该组群虚拟机进行纳管。
需要说明的是,在本发明的实施例中,计算节点包括的每一个组群虚拟机和租户虚拟机,与上述注册过程完全相同,在此不再赘述。控制中心可以按照预设纳管互换规则,例如,在一定时间进行纳管的第一租户虚拟机的随机互换等,也就是将不同第一组群虚拟机上注册的第一租户虚拟机,进行交换,从而向每一个组群虚拟机提供纳管互换信息,例如,发送群组虚拟机将纳管的其它租户虚拟机的ID等,从而降低了外部攻击对象掌握各个组群虚拟机的信息的可能,增加攻击难度,具体的纳管互换规则本发明实施例不作限定。
示例性的,在本发明的实施例中,计算节点中包括组群虚拟机G1、组群虚拟机G2、组群虚拟机G3、租户虚拟机C1、租户虚拟机C2、租户虚拟机C3、租户虚拟机C4,以及租户虚拟机C5,其中,租户虚拟机C1注册在组群虚拟机G1上,租户虚拟机C2和租户虚拟机C3注册在组群虚拟机G2上,租户虚拟机C4和租户虚拟机C5注册在组群虚拟机G3上,控制中心管理的纳管互换规则为三天随机互换,因此,以每三天为一个周期,组群虚拟机G1、组群虚拟机G2和组群虚拟机G3之间将随机交换纳管的租户虚拟机。
在本发明的实施例中,实现第一租户虚拟机向第一组群虚拟机的注册之后,还包括:通过第一组群虚拟机接收控制中心发送的预设虚拟机防火墙策略;通过第一组群虚拟机和第一租户虚拟机执行预设虚拟机防火墙策略。
需要说明的是,在本发明的实施例中,在通过第一组群虚拟机进行第一租户虚拟机与控制中心之前的信息交互时,为了进一步保证交互过程的安全性,第一组群虚拟机和第一租户虚拟机还可以执行预设虚拟机防火墙策略,进行安全防护,具体的预设虚拟机防火墙策略本发明实施例不作限定。
具体的,在本发明的实施例中,预设虚拟机防火墙策略可以包括以下两条规则:第一条为第一租户虚拟机仅接受第一组群虚拟机作为被连接方的回应连接,不接受第一组群虚拟机作为连接请求方的新建连接,第二条为第一组群虚拟机仅接受控制中心作为被连接方的回应连接,不接受控制中心作为连接请求方的新建连接。
需要说明的是,在本发明的实施例中,虚拟机防火墙策略还可以包括:第一组群虚拟机仅允许目标网段的租户虚拟机请求注册,且在注册的租户虚拟机到达最大预设阈值时,拒绝注册。
需要说明的是,在本发明的实施例中,云平台在创建第一组群虚拟机时,还可以为第一组群虚拟机设置禁止路由转发策略,在信息交互过程中可以防止被攻击后,去控制其它虚拟机,以提高安全性。
本发明实施例提供了一种安全交互方法,应用于计算节点,计算节点包括由云平台创建的至少一个组群虚拟机和至少一个租户虚拟机,第一组群虚拟机为至少一个组群虚拟机中任意一个虚拟机,第一租户虚拟机为至少一个租户虚拟机中任意一个虚拟机,通过第一组群虚拟机,将第一组群虚拟机对应的第一注册信息发送至控制中心进行校验,以实现第一组群虚拟机向控制中心的注册;通过第一组群虚拟机,接收第一租户虚拟机发送的第一租户虚拟机对应的第二注册信息,并请求控制中心进行校验,以实现第一租户虚拟机向第一组群虚拟机的注册;在完成两种注册时,通过第一组群虚拟机进行第一租户虚拟机与控制中心之间的信息交互。也就是说,本发明实施例提供的技术方案,以组群虚拟机作为中间屏障,实现租户虚拟机和控制中心的交互需求,将安全风险控制在组群虚拟机,从而提高了控制中心和租户虚拟机之间交互的安全性。
实施例三
本发明实施例提供了一种安全交互方法,应用于控制中心,图3为本发明实施例提供的一种安全交互方法的流程示意图三。如图3所示,主要包括以下步骤:
S301、接收云平台发送的第一组群虚拟机对应的第一报备信息,以及第一租户虚拟机对应的第二报备信息。
在本发明的实施例中,控制中心可以接收到云平台发送的第一组群虚拟机对应的第一报备信息,以及第一租户虚拟机对应的第二报备信息。
需要说明的是,在本发明的实施例中,云平台可以在计算节点中创建第一组群虚拟机和第一租户虚拟机,并且将第一组群虚拟机对应的第一报备信息,以及第一租户虚拟机对应的第二报备信息同步至控制中心。具体的第一报备信息和第二报备信息已在实施例一中进行详细说明,在此不再赘述。
需要说明的是,在本发明的实施例中,控制中心还可以配置有一个独立的数据库,该数据库可以为虚拟机,也可以为服务器,用于保存控制中心全部的服务数据,且仅与控制中心进行通信,当然,控制中心在接收到第一报备信息和第二报备信息之后,可以存储到该数据库中,具体的数据库和存储方式本发明实施例不作限定。
需要说明的是,在本发明的实施例中,第一组群虚拟机和第一租户虚拟机,均采用控制中心采用的目标网段进行之间的通信,具体的目标网段本发明实施例不作限定。
S302、接收第一组群虚拟机发送的第一组群虚拟机对应的第一注册信息,并基于第一报备信息对第一注册信息校验通过时,允许第一组群虚拟机的注册。
在本发明的实施例中,控制中心还可以接收到第一组群虚拟机发送的第一注册信息,并基于第一报备信息对第一注册信息校验通过时,允许第一组群虚拟机的注册。
需要说明的是,在本发明的实施例中,第一注册信息为第一组群虚拟机请求注册的信息,具体的第一注册信息已在实施例一种详述,在此不再赘述。
可以理解的是,在本发明的实施例中,控制中心接收到的第一报备信息实际上就是第一组群虚拟机的相关信息,同样的,接收到的第一注册信息也是第一组群虚拟机的相关信息,如果校验两者相同,则说明第一组群虚拟机是一个合法的虚拟机,因此,控制中心允许第一组群虚拟机的注册,当然,如果两个并不相同,即说明并不是同一个虚拟机,当前发送第一注册信息的可能并非真实的第一组群虚拟机,可能是虚假的,因此,控制中心拒绝第一组群虚拟机的注册。
S303、接收第一组群虚拟机发送的第一租户虚拟机对应的第二注册信息,并基于第二报备信息对第二注册信息校验通过时,将校验通过信息发送至第一组群虚拟机,以供第一组群虚拟机允许第一租户虚拟机的注册。
在本发明的实施例中,控制中心还可以接收到第一组群虚拟机发送的第一租户虚拟机对应的第二注册信息,并基于第二报备信息进行校验,将校验通过信息发送至第一组群虚拟机。
需要说明的是,在本发明的实施例中,第一组群虚拟机并未同步有第一租户虚拟机对应的第二报备信息,因此,在第一租户虚拟机向第一组群虚拟机发送第二注册信息请求注册时,第一组群虚拟机将第二注册信息发送给控制中心,控制中心接收第二注册信息,与第二报备信息进行校验,如果相同,则校验通过并通知第一组群虚拟机,第一组群虚拟机即可获知第一租户虚拟机是一个合法的虚拟机,从而允许第一租户虚拟机的注册。
可以理解的是,在本发明的实施例中,控制中心如果比较第二注册信息和第二报备信息不同,则将校验未通过信息下发给第一组群虚拟机,从而第一组群虚拟机拒绝第一租户虚拟机的注册。
S304、在完成两种注册时,基于第一组群虚拟机与第一租户虚拟机进行信息交互。
在本发明的实施例中,控制中心在允许第一组群虚拟机的注册,并为第一组群虚拟机提供第二注册信息的校验,使第一租户虚拟机注册到第一组群虚拟机上之后,即在完成两种注册时,可基于第一组群虚拟机与第一租户虚拟机进行信息交互。
可以理解的是,在本发明的实施例中,第一租户虚拟机在第一组群虚拟机上注册,第一组群虚拟机在控制中心上注册,因此,以第一组群虚拟机为媒介,控制中心即可与第一租户虚拟机间接交互,从而降低交互风险。
在本发明的实施例中,控制中心上注册有至少一个组群虚拟机,第一组群虚拟机为其中任意一个虚拟机,控制中心将校验通过信息发送至第一组群虚拟机之后,还可以执行以下步骤:按照预设查询周期查询至少一个组群虚拟机中每一个虚拟机纳管的租户虚拟机数量;在至少一个组群虚拟机中每一个虚拟机纳管的租户虚拟机数量均达到最大预设阈值时,向云平台发送新增组群创建请求,以供云平台根据新增组群创建请求在计算节点上创建新的组群虚拟机。
需要说明的是,在本发明的实施例中至少一个组群虚拟机包括在计算节点中,由云平台创建,并且,计算节点中还包括至少一个租户虚拟机,其中至少一个租户虚拟机包括上述第一租户虚拟机,至少一个租户虚拟机中每一个虚拟机注册在至少一个组群虚拟机中的任意一个虚拟机上,即至少一个组群虚拟机纳管至少一个租户虚拟机。
需要说明的是,在本发明的实施例中,第一租户虚拟机可以注册到第一组群虚拟机,云平台可能还创建其它的租户虚拟机,同样的,也可以注册到第一组群虚拟机上,具体的注册过程与第一租户虚拟机相同。
需要说明的是,在本发明的实施例中,控制中心实际管理了注册的至少一个组群虚拟机,而每一个组群虚拟机可允许注册,即可纳管的租户虚拟机是有限的,因此,控制中心需要按照预设查询周期查询每一个组群虚拟机纳管的租户虚拟机的数量,在全部达到最大预设阈值时,即无法再允许注册新的租户虚拟机,需要创建新的组群虚拟机。具体的预设查询周期和最大预设阈值本发明实施例不作限定。
可以理解的是,在本发明的实施例中,是由云平台在计算节点创建组群虚拟机的,因此,在控制中心查询到每一个组群虚拟机纳管的租户虚拟机均达到最大预设阈值时,即向云平台请求在计算节点上创建新的组群虚拟机。
在本发明的实施例中,控制中心将校验通过信息发送至第一组群虚拟机之后,还包括:获取预设虚拟机防火墙策略和预设控制防火墙策略;将预设虚拟机防火墙策略发送至第一组群虚拟机,以供第一组群虚拟机和第一租户虚拟机执行预设虚拟机防火墙策略;执行预设控制防火墙策略。
具体的,在本发明的实施例中,控制中心中存储有预设有预设虚拟机防火墙策略和预设控制防火墙策略,其中,预设控制防火墙策略为仅允许当前已连接的组群虚拟机的地址通过,或者下一个即将开放注册的组群虚拟机的地址通过。
可以理解的是,在本发明的实施例中,控制中心本身还可以设置有禁止路由转发策略,可以防止在信息交互过程中被攻击后,去控制其它虚拟机,以提高安全性。
需要说明的是,在本发明的实施例中,控制中心和第一租户虚拟机通过第一组群虚拟机交互完成,不再需要进行交互时,云平台可以将第一租户虚拟机删除,并且,如果在第一组群虚拟机还纳管了其它租户虚拟机,而其它租户虚拟机也全部被删除的情况下,控制中心还可以删除相关的防火墙策略,释放与第一组群虚拟机的连接。
本发明实施例提供了一种安全交互方法,应用于控制中心,接收云平台发送的第一组群虚拟机对应的第一报备信息,以及第一租户虚拟机对应的第二报备信息;接收第一组群虚拟机发送的第一组群虚拟机对应的第一注册信息,并基于第一报备信息对第一注册信息校验通过时,允许第一组群虚拟机的注册;接收第一组群虚拟机发送的第一租户虚拟机对应第二注册信息,并基于第二报备信息对第二注册信息校验通过时,将校验通过信息发送至第一组群虚拟机,以供第一组群虚拟机允许第一租户虚拟机的注册;在完成两种注册时,基于第一组群虚拟机与第一租户虚拟机进行信息交互。也就是说,本发明实施例提供的技术方案,以组群虚拟机作为中间屏障,实现租户虚拟机和控制中心的交互需求,将安全风险控制在组群虚拟机,从而提高了控制中心和租户虚拟机之间交互的安全性。
实施例四
基于上述实施例一、实施例二和实施例三提供的安全交互方法,以下提供一个完整的交互过程。图4为本发明实施例提供的一种注册交互过程的示意图。如图4所示,主要包括以下步骤:
S401、云平台在计算节点上创建第一组群虚拟机和第一租户虚拟机。
S402、云平台将第一组群虚拟机对应的第一报备信息,以及第一租户虚拟机对应的第二报备信息同步至控制中心。
S403、第一组群虚拟机将自身对应的第一注册信息发送至控制中心进行注册,控制中心基于第一报备信息对第一注册信息进行校验,校验通过后,允许第一组群虚拟机注册到控制中心。
S404、第一租户虚拟机将自身对应的第二注册信息发送至第一组群虚拟机进行注册。
S405、第一组群虚拟机请求控制中心对第二注册信息进行校验,在校验通过后,第一租户虚拟机注册到第一组群虚拟机。
需要说明的是,在本发明的实施例中,云平台作为一个中立角色,仅进行虚拟机的创建,以及虚拟机相关信息报备至控制中心,不涉及具体的交互注册流程。
可以理解的是,在本发明的实施例中,第一组群虚拟机注册到控制中心,第一租户虚拟机注册到第一组群虚拟机,即第一组群虚拟机成为第一租户虚拟机和控制中心交互的中间媒介,因此,在注册完成后,即可基于第一组群虚拟机进行第一租户虚拟机和控制中心的交互信息的转发。
需要说明的是,在本发明的实施例中,第一组群虚拟机、第一租户虚拟机,均配置有虚拟网卡,且处于控制中心所在的目标网段,以实现三者的网络互通。
图5为本发明实施例提供的一种示例性的交互系统示意图。如图5所示,云平台在计算节点创建了租户虚拟机C1、租户虚拟机C2、租户虚拟机C3、组群虚拟机G1、组群虚拟机G2,以及组群虚拟机G3,组群虚拟机G1、组群虚拟机G2,以及组群虚拟机G3均注册在控制中心上,租户虚拟机C1、租户虚拟机C2,以及租户虚拟机C3均注册在组群虚拟机G1上,此外,控制中心还与一个独立的数据库可以进行交互,该数据库中可以存储控制中心接收到的信息和自身的相关服务信息,组群虚拟机G1、组群虚拟机G2,以及组群虚拟机G3中每一个虚拟机的注册流程与上述第一组群虚拟机的注册流程完全相同,相应的,租户虚拟机C1、租户虚拟机C2,以及租户虚拟机C3中每一个虚拟机的注册流程与上述第一租户虚拟机的注册流程完全相同,在此不再赘述,租户虚拟机C1、租户虚拟机C2、租户虚拟机C3可以通过组群虚拟机G1与控制中心实现信息交互,若组群虚拟机G1、组群虚拟机G2,以及组群虚拟机G3最大纳管的租户虚拟机数量为三个,在创建出新的租户虚拟机时,可以接入组群虚拟机G2或G3。
实施例五
本发明实施例提供了一种计算节点,图6为本发明实施例提供的一种计算节点的结构示意图一。如图6所示,计算节点包括由云平台创建的至少一个组群虚拟机601和至少一个租户虚拟机602,第一组群虚拟机6011为所述至少一个组群虚拟机中任意一个虚拟机,第一租户虚拟机6021为所述至少一个租户虚拟机中任意一个虚拟机,
所述第一组群虚拟机6011,用于将所述第一组群虚拟机6011对应的第一注册信息发送至控制中心进行校验,以实现所述第一组群虚拟机向所述控制中心的注册;接收所述第一租户虚拟机6021发送的所述第一租户虚拟机6021对应的第二注册信息,并请求所述控制中心进行校验,以实现所述第一租户虚拟机6021向所述第一组群虚拟机6011的注册;在完成两种注册时,进行所述第一租户虚拟机6021与所述控制中心之间的信息交互。
可选的,所述第一注册信息为采用所述第一组群虚拟机6011的合法签名加密后的注册信息。
可选的,所述第一组群虚拟机6011,还用于接收所述控制中心提供的纳管互换信息,以实现对所述第一租户虚拟机6021的纳管互换。
可选的,所述第一组群虚拟机6011,还用于接收所述控制中心发送的预设虚拟机防火墙策略;
所述第一组群虚拟机6011和所述第一租户虚拟机6021,还用于执行所述预设虚拟机防火墙策略。
图7为本发明实施例提供的一种计算节点的结构示意图二,如图7所示,所述计算节点包括第一处理器701、第一存储器702和第一通信总线703;
所述第一通信总线703,用于实现所述第一处理器701和所述第一存储器702之间的通信连接;
所述第一处理器701,用于执行所述第一存储器702中存储的第一交互程序,以实现上述应用于计算节点的安全交互方法。
本发明实施例提供了一种计算节点,计算节点包括由云平台创建的至少一个组群虚拟机和至少一个租户虚拟机,第一组群虚拟机为至少一个组群虚拟机中任意一个虚拟机,第一租户虚拟机为至少一个租户虚拟机中任意一个虚拟机,通过第一组群虚拟机,将第一组群虚拟机对应的第一注册信息发送至控制中心进行校验,以实现第一组群虚拟机向控制中心的注册;通过第一组群虚拟机,接收第一租户虚拟机发送的第一租户虚拟机对应的第二注册信息,并请求控制中心进行校验,以实现第一租户虚拟机向第一组群虚拟机的注册;在完成两种注册时,通过第一组群虚拟机进行第一租户虚拟机与控制中心之间的信息交互。也就是说,本发明实施例提供的计算节点,以组群虚拟机作为中间屏障,实现租户虚拟机和控制中心的交互需求,将安全风险控制在组群虚拟机,从而提高了控制中心和租户虚拟机之间交互的安全性。
本发明实施例提供了一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可以被一个或者多个处理器执行,以实现上述应用于计算节点的安全交互方法。
本发明实施例提供了一种控制中心,图8为本发明实施例提供的一种控制中心的结构示意图一。如图8所示,所述控制中心包括:
第一通信模块801,用于接收云平台发送的第一组群虚拟机对应的第一报备信息,以及第一租户虚拟机对应的第二报备信息;接收所述第一组群虚拟机发送的所述第一组群虚拟机对应的第一注册信息;接收所述第一组群虚拟机发送的所述第一租户虚拟机对应第二注册信息;
处理模块802,用于基于所述第一报备信息对所述第一注册信息校验通过时,允许所述第一组群虚拟机的注册;基于所述第二报备信息对所述第二注册信息校验通过时,将校验通过信息输出至所述第一通信模块;
所述第一通信模块801,还用于将所述校验通过信息发送至所述第一组群虚拟机,以供所述第一组群虚拟机允许第一租户虚拟机的注册;
所述第一通信模块801,还用于在完成两种注册时,基于所述第一组群虚拟机与所述第一租户虚拟机进行信息交互。
可选的,所述控制中心上注册有至少一个组群虚拟机,所述第一组群虚拟机为其中任意一个虚拟机,
所述处理模块802,还用于按照预设查询周期查询所述至少一个组群虚拟机纳管的租户虚拟机数量;在所述至少一个组群虚拟机中每一个虚拟机纳管的租户虚拟机数量达到最大预设阈值时,输出新增组群虚拟机请求至所述第一通信模块801;
所述第一通信模块801,还用于向所述云平台发送新增组群虚拟机请求,以供所述云平台根据所述新增组群虚拟机创建新的组群虚拟机。
可选的,所述处理模块802,还用于获取预设虚拟机防火墙策略和预设控制防火墙策略;
所述第一通信模块801,还用于将所述预设虚拟机防火墙策略发送至所述第一组群虚拟机,以供所述第一组群虚拟机和所述第一租户虚拟机执行所述预设虚拟机防火墙策略;
所述处理模块802,还用于执行所述预设控制防火墙策略。
图9为本发明实施例提供的一种控制中心的结构示意图二。如图9所示,所述控制中心包括第二处理器901、第二存储器902和第二通信总线903;
所述第二通信总线903,用于实现所述第二处理器901和所述第二存储器902之间的通信连接;
所述第二处理器901,用于执行所述第二存储器902中存储的第二交互程序,以实现上述应用于控制中心的安全交互方法。
本发明实施例提供了一种控制中心,接收云平台发送的第一组群虚拟机对应的第一报备信息,以及第一租户虚拟机对应的第二报备信息;接收第一组群虚拟机发送的第一组群虚拟机对应的第一注册信息,并基于第一报备信息对第一注册信息校验通过时,允许第一组群虚拟机的注册;接收第一组群虚拟机发送的第一租户虚拟机对应第二注册信息,并基于第二报备信息对第二注册信息校验通过时,将校验通过信息发送至第一组群虚拟机,以供第一组群虚拟机允许第一租户虚拟机的注册;在完成两种注册时,基于第一组群虚拟机与第一租户虚拟机进行信息交互。也就是说,本发明实施例提供的控制中心,以组群虚拟机作为中间屏障,实现租户虚拟机和控制中心的交互需求,将安全风险控制在组群虚拟机,从而提高了控制中心和租户虚拟机之间交互的安全性。
本发明实施例提供了一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可以被一个或者多个处理器执行,以实现上述应用于控制中心的安全交互方法。
本发明实施例提供了一种云平台,图10为本发明实施例提供的一种云平台的结构示意图一。如图10所示,所述云平台包括:
第二通信模块1001,用于接收租户发送的租户创建请求,以及控制中心发送的组群创建请求;
创建模块1002,用于根据所述租户创建请求在计算节点上创建第一租户虚拟机,并根据所述组群创建请求在所述计算节点上创建第一组群虚拟机;
获取模块1003,用于获取所述第一组群虚拟机对应的第一报备信息,以及所述第一租户虚拟机对应的第二报备信息;
所述第二通信模块1001,还用于将所述第一报备信息和所述第二报备信息发送至所述控制中心。
图11为本发明实施例提供的一种云平台的结构示意图二。如图11所示,所述云平台包括第三处理器1101、第三存储器1102和第三通信总线1103;
所述第三通信总线1103,用于实现所述第三处理器1101和所述第三存储器1102之间的通信连接;
所述第三处理器1101,用于执行所述第三存储器1102中存储的第三交互程序,以实现上述应用于云平台的安全交互方法。
本发明实施例提供了一种云平台,接收租户发送的租户创建请求,以及控制中心发送的组群创建请求;根据租户创建请求在计算节点上创建第一租户虚拟机,并根据组群创建请求在计算节点上创建第一组群虚拟机;获取第一组群虚拟机对应的第一报备信息,以及第一租户虚拟机对应的第二报备信息;将第一报备信息和第二报备信息发送至控制中心。也就是说,本发明实施例的云平台,在计算节点创建了两种虚拟机,即租户虚拟机和组群虚拟机,并将相关信息报备给控制中心,为后续实现组群虚拟机向控制中心的注册,租户虚拟机向组群虚拟机的注册提供了基础,并且,由云平台进行信息报备,避免了租户虚拟机与控制中心的直接通信,提高了安全性。
本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可以被一个或者多个处理器执行,以实现上述应用于云平台的安全交互方法。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
