[发明专利]一种安全可控的公网访问虚拟资源方法

说明书

技术领域

本发明涉及一种安全可控的公网访问虚拟资源方法。

背景技术

随着云计算领域快速发展，大规模的云服务数据中心不断涌现，其中，云计算的基石是虚拟机技术，目前，大部分云主机运营商将虚拟化的服务器放在公网，租用给客户，客户在虚拟服务器运行各种网络服务，客户若需对服务器进行远程访问与控制，必然要求运营商提供虚拟服务器的公网访问权限，而且云主机申请都需要实时开通，这给云计算运营商带来一些全新的安全与管理上的挑战。众所周知，虚拟化的云主机都运行在物理主机上，而且利用物理主机的网络设备进行网络通讯和访问，目前云主机运营商采用的主要方式是虚拟主机通过物理主机的网络设备桥接到物理主机工作网络中，然后通过从管理员预先分配的ip地址池中获取虚拟主机ip地址，最后在公网路由进行NAT，将公网ip的特定端口访问请求转发到虚拟主机ip上进行处理，这种方案存在以下比较严重的问题：

1、ip地址池在主控服务器集中管理，需要资源互斥和同步机制，一般采用数据库管理，所有物理机都向主控服务器统一申请、性能偏低、容易出错，还会引入新的故障点；

2、内部网络ip地址池有限，难以满足大规模运营需要，而且必须手动预先分配、释放，工作繁琐、难以管理、容易出错；

3、由于虚拟主机与物理主机同一网段，工作在运营商内部网络上，因而当虚拟主机遭受到恶意用户控制后，恶意用户就能通过虚拟主机对运营商内部网络的所有服务器进行直接攻击，存在极大的安全隐患；

4、虚拟主机直接连接在运营商内部网络，一旦被劫持，很难迅速进行隔离或者精准控制，可靠性较低；

5、如果ip分配使用了dhcp机制，则特定虚拟机的ip可能发生变化，给NAT管理带来了极大困难。

发明内容

本发明的目的在于提供一种安全可控的公网访问虚拟资源方法，主要解决现有技术中存在的公网访问虚拟资源存在较大的安全隐患、可靠性较低、工作繁琐、难以管理的问题。

为了实现上述目的，本发明采用的技术方案如下：

一种安全可控的公网访问虚拟资源方法，包括以下步骤：

（1）物理节点创建拥有私有网段的一个以上虚拟网络；

（2）用户请求创建虚拟机时，物理节点在某一虚拟网络的私有网段中为该虚拟机分配一个固定IP，并将创建的虚拟机加入虚拟网络，获取指定IP；

（3）虚拟机用户指定需要开放的网络端口后，物理节点从本地端口池中分配一个空闲端口，该空闲端口将网络端口访问请求转发到虚拟网络中的指定端口上实现访问。

进一步地，所述步骤（2）中，分配给虚拟机的固定IP通过MAC绑定方式写入虚拟网络中。

具体地说，所述步骤（2）中，虚拟机的创建具体包括以下步骤：

（2a）用户请求创建虚拟机，并开通该虚拟机网络端口；

（2b）主控系统为该虚拟机分配公网地址和访问端口，并将创建请求发送给物理机；

（2c）物理机创建虚拟机，在虚拟网络中分配一个IP地址给该虚拟机，在虚拟网络中将虚拟机的MAC地址绑定到分配的IP地址上，并将虚拟机连接到虚拟网络；

（2d）从本地端口池中给创建的虚拟机分配一空闲端口，创建本地防火墙和路由规则，将访问该空闲端口的请求转发到本机虚拟网络中的指定端口上；

（2e）物理机将虚拟机创建成功的信息及分配给该虚拟机的空闲端口反馈给主控系统；

（2f）主控系统设置网络地址转换规则，将网络端口访问请求转发至分配的空闲端口上，并启动虚拟机；

（2g）虚拟机通过虚拟网络获取分配给其的IP地址，服务器启动。

所述步骤（3）具体包括：

（3a）用户在浏览器上输入虚拟机对应的公网地址和网络端口；

（3b）公网路由器将用户访问请求转发到物理机分配给该虚拟机的空闲端口；

（3c）空闲端口将接收到的访问请求转发到本机虚拟网络中的指定端口上，允许为该接收到请求的虚拟机提供WEB服务。

本发明中，所述防火墙和路由规则为：仅允许各虚拟机用户明确申请开放的请求通过。

与现有技术相比，本发明具有以下有益效果：

（1）本发明中，各用户只能访问运营商开放的公网ip与特定端口，只能看到自己的虚拟机和私有网段ip，无法探知到系统内其他虚拟机和物理机，因此无法发起网络攻击和嗅探，可靠性较高。