[发明专利]一种部署安全访问控制策略的方法及装置

权利要求书

1.一种部署安全访问控制策略的方法，其特征在于，包括：

云管理平台根据创建应用指令确定所需创建的应用采用的应用模板，以及对应所述应用模板的安全模板；

云管理平台通知虚拟化平台根据所述应用模板为所述应用中的每一个应用组件创建对应的虚拟机，并获取所述虚拟化平台创建的每一个虚拟机的IP地址；

云管理平台根据所述每一个虚拟机的IP地址，采用所述安全模板生成对应所述应用的一组安全访问控制策略；

云管理平台下发所述一组安全访问控制策略至对应的防火墙；

当所述云管理平台根据所述创建应用指令中携带的所述应用的弹性策略，确定所述应用中包括的第一类型应用组件满足所述弹性策略中的横向扩展条件时，通知虚拟化平台新添加一个第一类型应用组件对应的虚拟机，获取新添加的应用组件对应虚拟机的IP地址；

所述云管理平台确定所述第一类型应用组件存在对应的安全访问控制策略时，根据所述新添加的应用组件对应虚拟机的IP地址，采用所述安全模板中对应所述第一类型应用组件的安全访问控制策略模板为所述新添加的应用组件生成一条安全访问控制策略；

云管理平台下发为所述新添加的应用组件配置对应的安全访问控制策略至对应的防火墙；

其中，所述横向扩展条件是指所述应用中的第一类型应用组件的预设参数达到第一阈值时，新添加一个第一类型应用组件。

2.如权利要求1所述的方法，其特征在于，在云管理平台根据创建应用指令确定所需创建的应用采用的应用模板，以及对应所述应用模板的安全模板之前，还包括：

云管理平台根据预设的应用组件配置参数生成至少一个应用模板；

云管理平台根据预设的安全参数，针对所述任意一个应用模板生成对应的安全模板，其中，所述安全模板至少包括一条安全访问控制策略模板。

3.如权利要求1或2所述的方法，其特征在于，云管理平台根据创建应用指令确定所需创建的应用采用的应用模板，以及对应所述应用模板的安全模板之后，还包括：

云管理平台根据所述创建应用指令中携带的安全配置信息，对已确定的所述安全模板进行修改，并将修改完成的安全模板作为创建所述应用对应的安全模板。

4.如权利要求1所述的方法，其特征在于，所述方法还包括：

当所述云管理平台根据所述创建应用指令中携带的所述应用的弹性策略，确定所述应用中包括的第一类型应用组件满足所述弹性策略中的横向收缩条件时，通知虚拟化平台删除任意一个第一类型应用组件对应的虚拟机；

所述云管理平台确定所述任意一个第一类型应用组件存在对应的安全访问控制策略时，通知所述防火墙删除所述任意一个第一类型应用组件对应的安全访问控制策略；

其中，所述横向收缩条件是指当所述应用中的第一类型应用组件的预设参数低于第二阈值时，删除任意一个第一类型应用组件。

5.如权利要求1所述的方法，其特征在于，云管理平台下发所述一组安全访问控制策略至对应的防火墙之后，还包括：

当所述云管理平台根据应用迁移指令确定所述应用所在网络环境发生变化时，通知所述虚拟化平台根据所述应用模板为所述应用中的每一个应用组件创建对应的新虚拟机，并获取每一个新虚拟机的IP地址；

所述云管理平台将所述应用中的每一个应用组件对应的原虚拟机中的数据同步至对应的所述新虚拟机中，并

删除所述应用中每一个应用组件对应的原虚拟机，以及通知所述防火墙删除原来为所述应用配置的一组安全访问控制策略；

云管理平台根据所述每一个应用组件对应的新虚拟机的IP地址，采用所述安全模板生成一组新安全访问控制策略；

云管理平台下发所述一组新安全访问控制策略至对应的防火墙。