[发明专利]云系统数据管理方法

说明书

技术领域

本发明涉及计算机领域，具体涉及一种云系统数据管理方法及装置。

背景技术

云数据存储环境中，用户对存储数据的所有权和控制权分离。在现有的云计算基本架构中，包括虚拟机（Virtual Machine，简称VM）和虚拟数据卷，虚拟机控制虚拟数据卷，虚拟数据卷也称为逻辑单元或逻辑卷，是将硬件存储空间中，属于同一用户的存储空间逻辑上划分成的数据卷，管理员可以通过云操作系统(Cloud OS)建立虚拟机和虚拟数据卷之间的对应关系，每个虚拟机对应一个用户。

管理员具有操作维护的权限，可以通过云操作系统将一个虚拟数据卷挂载到另一个虚拟机上，以虚拟数据卷通过逻辑存储单元（Logic Unit Number,LUN）实现为例说明。LUN1原本属于虚拟机VM1，虚拟数据卷LUN2原本属于虚拟机VM2，但是管理员可以通过云操作系统将虚拟数据卷LUN1挂载到虚拟机VM2上，这样虚拟机VM2的用户就可以看到虚拟数据卷LUN1的数据，如果虚拟机VM1和虚拟机VM2分属不同的用户，则存在数据泄漏的风险。

发明内容

本发明实施例提供一种云系统管理方法和装置，以减少虚拟数据卷挂载到其他虚拟机所造成的数据泄露风险。

第一方面，本发明实施例提供了一种云系统数据管理方法，所述方法包括：

为用户创建第一虚拟机，将虚拟数据卷分配给所述第一虚拟机，所述第一虚拟机具有归属标识，所述第一虚拟机的归属标识用于标识所述第一虚拟机的归属用户；

将所述虚拟数据卷的标识设置为所述第一虚拟机的归属标识对应的标识；

当需要将所述虚拟数据卷挂载到第二虚拟机时，判断所述第二虚拟机的归属标识和所述虚拟数据卷的标识是否对应；

如果对应，则允许将所述虚拟数据卷挂载到所述第二虚拟机；

如果不对应，则不允许将所述虚拟数据卷挂载到所述第二虚拟机。

基于第一方面，在第一种可能的实施方式中，判断所述第二虚拟机的归属标识和所述虚拟数据卷的标识是否对应，具体包括：

判断所述第二虚拟机的归属标识和所述虚拟数据卷的标识是否相同。

基于第一方面，或第一方面的第一种可能的实施方式，在第二种可能的实施方式中，所述方法还包括：将所述第一虚拟机的动态数据的标识设置为所述第一虚拟机的归属标识对应的标识，当需要将所述动态数据转移到所述第二虚拟机时，判断所述第二虚拟机的归属标识和所述动态数据的标识是否对应；

如果对应，则允许将所述动态数据转移到所述第二虚拟机；

如果不对应，则不允许将所述动态数据转移到所述第二虚拟机。

基于第一方面的第二种可能的实施方式，在第三种可能的实施方式中，所述动态数据为所述虚拟机的内存中的数据。

基于第一方面，在第四种可能的实施方式中，所述方法还包括：当所述虚拟数据卷还没有分配给任何虚拟机之前，将所述虚拟数据卷的标识设置为公共标签，表示所述虚拟数据卷可以挂载到任一虚拟机。

第二方面，本发明实施例提供了一种云系统数据管理装置，所述装置包括：

创建单元，用于为用户创建第一虚拟机，将虚拟数据卷分配给所述第一虚拟机，所述第一虚拟机具有归属标识，所述第一虚拟机的归属标识用于标识所述第一虚拟机的归属用户；

设置单元，用于将所述虚拟数据卷的标识设置为所述第一虚拟机的归属标识对应的标识；

判断单元，用于当需要将所述虚拟数据卷挂载到第二虚拟机时，判断所述第二虚拟机的归属标识和所述虚拟数据卷的标识是否对应；

处理单元，用于在所述第二虚拟机的归属标识和所述虚拟数据卷的标识对应时，允许将所述虚拟数据卷挂载到所述第二虚拟机；

在所述第二虚拟机的归属标识和所述虚拟数据卷的标识不对应时，不允许将所述虚拟数据卷挂载到所述第二虚拟机。

基于第二方面，在第一种可能的实施方式中，所述判断单元，具体用于：判断所述第二虚拟机的归属标识和所述虚拟数据卷的标识是否相同。

基于第二方面或第二方面的第一种可能的实施方式，在第二种可能的实施方式中，所述设置单元还用于：将所述第一虚拟机的动态数据的标识设置为所述第一虚拟机的归属标识对应的标识；

所述判断单元还用于：当需要将所述动态数据转移到所述第二虚拟机时，判断所述第二虚拟机的归属标识和所述动态数据的标识是否对应；

所述处理单元还用于：当所述第二虚拟机的归属标识和所述动态数据的标识对应时，允许将所述动态数据转移到所述第二虚拟机；