[发明专利]一种虚拟机安全防护方法、装置、可读介质及存储控制器

说明书

本发明提供了一种虚拟机安全防护方法、装置、可读介质及存储控制器，方法包括：在目标主机上创建至少一个待防护虚拟机所对应的命名空间，并将流量过滤规则发送至命名空间；创建流量引流量表和流量转发流表，并将流量引流流表和流量转发流表发送至目标主机的OPEN VSWITCH桥，以使OPEN VSWITCH桥根据流量引流流表将对应于至少待防护虚拟机的各个访问流量转发至命名空间；命名空间根据流量过滤规则检测各个访问流量是否安全，并将对应检测结果为安全的各个访问流量返还给OPEN VSWITCH桥，以使OPEN VSWITCH桥根据流量转发流表将对应检测结果为安全的访问流量转发给对应的待防护虚拟机。通过本发明的技术方案，资源消耗较低。

技术领域

本发明涉及计算机技术领域，特别涉及一种虚拟机安全防护方法、装置、可读介质及存储控制器。

背景技术

随着计算计应用技术的快速发展，虚拟机应用技术也得到广泛的普及，为了实现对部署在主机上的一个或多个虚拟机进行安全防护，通常需要对相应的流量进行过滤，即对相应的流量进行检测以确定其是否安全，仅将检测结果为安全的流量发送至相应的虚拟机。

目前，在实现对主机上的虚拟机进行安全防护时，通过需要在主机的OPENVSWITCH桥与每一个虚拟机之间设置相应的Linux网桥。当主机上部署大量的虚拟机时，Linux网桥的数量也大量增多，数量较多的Linux网桥对主机的资源消耗较大。

发明内容

本发明实施例提供了一种虚拟机安全防护方法及装置，资源消耗较低。

第一方面，本发明提供了一种虚拟机安全防护方法，包括：

确定目标主机上的至少一个待防护虚拟机，并在所述目标主机上创建所述至少一个待防护虚拟机所对应的命名空间；

获取所述至少一个待防护虚拟机所对应的流量过滤规则，并将所述流量过滤规则发送至所述命名空间；

根据所述目标主机上已经创建的各个当前命名空间以及已经部署的各个当前虚拟机，创建流量引流量表和流量转发流表；

将所述流量引流流表和所述流量转发流表发送至所述目标主机的OPENVSWITCH桥，以使所述OPEN VSWITCH桥根据其接收并存储的所述流量引流流表将对应于所述至少一个待防护虚拟机的访问流量转发至所述命名空间；

利用所述命名空间根据其接收并存储的所述流量过滤规则检测接收的各个所述访问流量是否安全，并将对应检测结果为安全的各个所述访问流量返还给所述OPENVSWITCH桥，以使所述OPEN VSWITCH桥根据其接收并存储的所述流量转发流表将对应检测结果为安全的每一条所述访问流量分别转发给对应的待防护虚拟机。

优选地，

在所述在所述目标主机上创建所述至少一个待防护虚拟机所对应的命名空间之后，进一步包括：创建连接接口，将所述连接接口的第一端口与所述命名空间相连，并将所述连接接口的第二端口与所述OPEN VSWITCH桥相连。

优选地，

所述将所述连接接口的第一端口与所述命名空间相连，进一步包括：设置所述第一端口所对应的网络地址，并提供。

优选地，

进一步包括：接收外部根据所述网络地址发送的对应于所述命名空间的规则管理请求，根据所述规则管理请求对所述目标命名空间中存储的当前流量过滤规则进行管理。

第二方面，本发明实施例提供了一种虚拟机安全防护装置，包括：

命名空间构建模块，用于确定目标主机上的至少一个待防护虚拟机，并在所述目标主机上创建所述至少一个待防护虚拟机所对应的命名空间；