一種安全可控的公網(wǎng)訪問虛擬資源方法
【專利摘要】本發(fā)明公開了一種安全可控的公網(wǎng)訪問虛擬資源方法���,主要解決了現(xiàn)有技術(shù)中存在的公網(wǎng)訪問虛擬資源存在較大的安全隱患�����、可靠性較低���、工作繁瑣���、難以管理的問題。該一種安全可控的公網(wǎng)訪問虛擬資源方法���,包括以下步驟:物理節(jié)點創(chuàng)建擁有私有網(wǎng)段的一個以上虛擬網(wǎng)絡(luò);用戶請求創(chuàng)建虛擬機時����,物理節(jié)點在某一虛擬網(wǎng)絡(luò)的私有網(wǎng)段中為該虛擬機分配一個固定IP,并將創(chuàng)建的虛擬機加入虛擬網(wǎng)絡(luò)���,獲取指定IP�;虛擬機用戶指定需要開放的網(wǎng)絡(luò)端口后�,物理節(jié)點從本地端口池中分配一個空閑端口,該空閑端口將網(wǎng)絡(luò)端口訪問請求轉(zhuǎn)發(fā)到虛擬網(wǎng)絡(luò)中的指定端口上實現(xiàn)訪問�����。通過上述方案,本發(fā)明達到了安全可靠�、便于實施與管理的目的,具有很高的實用價值和推廣價值����。
【專利說明】—種安全可控的公網(wǎng)訪問虛擬資源方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種安全可控的公網(wǎng)訪問虛擬資源方法。
【背景技術(shù)】
[0002]隨著云計算領(lǐng)域快速發(fā)展��,大規(guī)模的云服務(wù)數(shù)據(jù)中心不斷涌現(xiàn)��,其中���,云計算的基石是虛擬機技術(shù)�,目前�,大部分云主機運營商將虛擬化的服務(wù)器放在公網(wǎng),租用給客戶��,客戶在虛擬服務(wù)器運行各種網(wǎng)絡(luò)服務(wù)�,客戶若需對服務(wù)器進行遠程訪問與控制,必然要求運營商提供虛擬服務(wù)器的公網(wǎng)訪問權(quán)限��,而且云主機申請都需要實時開通���,這給云計算運營商帶來一些全新的安全與管理上的挑戰(zhàn)�����。眾所周知�,虛擬化的云主機都運行在物理主機上,而且利用物理主機的網(wǎng)絡(luò)設(shè)備進行網(wǎng)絡(luò)通訊和訪問�,目前云主機運營商采用的主要方式是虛擬主機通過物理主機的網(wǎng)絡(luò)設(shè)備橋接到物理主機工作網(wǎng)絡(luò)中,然后通過從管理員預(yù)先分配的ip地址池中獲取虛擬主機ip地址�����,最后在公網(wǎng)路由進行NAT�,將公網(wǎng)ip的特定端口訪問請求轉(zhuǎn)發(fā)到虛擬主機ip上進行處理,這種方案存在以下比較嚴(yán)重的問題:
1�����、ip地址池在主控服務(wù)器集中管理���,需要資源互斥和同步機制,一般采用數(shù)據(jù)庫管理��,所有物理機都向主控服務(wù)器統(tǒng)一申請�����、性能偏低、容易出錯�����,還會引入新的故障點�����;
2��、內(nèi)部網(wǎng)絡(luò)ip地址池有限���,難以滿足大規(guī)模運營需要�,而且必須手動預(yù)先分配��、釋放��,工作繁瑣�����、難以管理��、容易出錯;
3�、由于虛擬主機與物理主機同一網(wǎng)段,工作在運營商內(nèi)部網(wǎng)絡(luò)上���,因而當(dāng)虛擬主機遭受到惡意用戶控制后��,惡意用戶就能通過虛擬主機對運營商內(nèi)部網(wǎng)絡(luò)的所有服務(wù)器進行直接攻擊���,存在極大的安全隱患;
4�、虛擬主機直接連接在運營商內(nèi)部網(wǎng)絡(luò),一旦被劫持�����,很難迅速進行隔離或者精準(zhǔn)控制�,可靠性較低;
5�、如果ip分配使用了dhcp機制,則特定虛擬機的ip可能發(fā)生變化�,給NAT管理帶來了極大困難。
【發(fā)明內(nèi)容】
[0003]本發(fā)明的目的在于提供一種安全可控的公網(wǎng)訪問虛擬資源方法�,主要解決現(xiàn)有技術(shù)中存在的公網(wǎng)訪問虛擬資源存在較大的安全隱患、可靠性較低�、工作繁瑣����、難以管理的問題�����。
[0004]為了實現(xiàn)上述目的����,本發(fā)明采用的技術(shù)方案如下:
一種安全可控的公網(wǎng)訪問虛擬資源方法,包括以下步驟:
(1)物理節(jié)點創(chuàng)建擁有私有網(wǎng)段的一個以上虛擬網(wǎng)絡(luò)����;
(2)用戶請求創(chuàng)建虛擬機時,物理節(jié)點在某一虛擬網(wǎng)絡(luò)的私有網(wǎng)段中為該虛擬機分配一個固定IP����,并將創(chuàng)建的虛擬機加入虛擬網(wǎng)絡(luò),獲取指定IP ;
(3)虛擬機用戶指定需要開放的網(wǎng)絡(luò)端口后����,物理節(jié)點從本地端口池中分配一個空閑端口,該空閑端口將網(wǎng)絡(luò)端口訪問請求轉(zhuǎn)發(fā)到虛擬網(wǎng)絡(luò)中的指定端口上實現(xiàn)訪問���。[0005]進一步地�����,所述步驟(2)中���,分配給虛擬機的固定IP通過MAC綁定方式寫入虛擬網(wǎng)絡(luò)中��。
[0006]具體地說�����,所述步驟(2)中����,虛擬機的創(chuàng)建具體包括以下步驟:
(2a)用戶請求創(chuàng)建虛擬機�����,并開通該虛擬機網(wǎng)絡(luò)端口 ����;
(2b)主控系統(tǒng)為該虛擬機分配公網(wǎng)地址和訪問端口,并將創(chuàng)建請求發(fā)送給物理機��;(2c)物理機創(chuàng)建虛擬機�����,在虛擬網(wǎng)絡(luò)中分配一個IP地址給該虛擬機,在虛擬網(wǎng)絡(luò)中將虛擬機的MAC地址綁定到分配的IP地址上����,并將虛擬機連接到虛擬網(wǎng)絡(luò);
(2d)從本地端口池中給創(chuàng)建的虛擬機分配一空閑端口����,創(chuàng)建本地防火墻和路由規(guī)則,將訪問該空閑端口的請求轉(zhuǎn)發(fā)到本機虛擬網(wǎng)絡(luò)中的指定端口上�����;
(2e)物理機將虛擬機創(chuàng)建成功的信息及分配給該虛擬機的空閑端口反饋給主控系
統(tǒng)����;
(2f)主控系統(tǒng)設(shè)置網(wǎng)絡(luò)地址轉(zhuǎn)換規(guī)則,將網(wǎng)絡(luò)端口訪問請求轉(zhuǎn)發(fā)至分配的空閑端口上���,并啟動虛擬機��;
(2g)虛擬機通過虛擬網(wǎng)絡(luò)獲取分配給其的IP地址��,服務(wù)器啟動��。
[0007]所述步驟(3 )具體包括:
(3a)用戶在瀏覽器上輸入虛擬機對應(yīng)的公網(wǎng)地址和網(wǎng)絡(luò)端口 �;
(3b)公網(wǎng)路由器將用戶訪問請求轉(zhuǎn)發(fā)到物理機分配給該虛擬機的空閑端口 ;
(3c)空閑端口將接收到的訪問請求轉(zhuǎn)發(fā)到本機虛擬網(wǎng)絡(luò)中的指定端口上��,允許為該接收到請求的虛擬機提供WEB服務(wù)�����。
[0008]本發(fā)明中���,所述防火墻和路由規(guī)則為:僅允許各虛擬機用戶明確申請開放的請求通過�����。
[0009]與現(xiàn)有技術(shù)相比�,本發(fā)明具有以下有益效果:
(I)本發(fā)明中����,各用戶只能訪問運營商開放的公網(wǎng)ip與特定端口,只能看到自己的虛擬機和私有網(wǎng)段ip�����,無法探知到系統(tǒng)內(nèi)其他虛擬機和物理機,因此無法發(fā)起網(wǎng)絡(luò)攻擊和嗅
探�����,可靠性較高�����。
[0010](2)本發(fā)明中����,所有網(wǎng)絡(luò)訪問均由所在物理節(jié)點進行控制����,一旦管理員懷疑該虛擬機被劫持或者攻擊,可以隨時將虛擬機從虛擬網(wǎng)絡(luò)中徹底隔絕或者屏蔽特定訪問���,從而能夠有效保障系統(tǒng)的安全性�。
[0011](3)本發(fā)明構(gòu)思巧妙�,將虛擬機與物理網(wǎng)絡(luò)完全隔離屏蔽,內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)對虛擬機用戶不可見���、不可檢測�、不可連接,徹底隔絕了安全隱患���,且網(wǎng)絡(luò)資源由各物理節(jié)點自行分配管理����,高效可靠無沖突�,易于實施部署和遷移,不需要引入中央數(shù)據(jù)庫���,從而有效提升了系統(tǒng)的可用性和穩(wěn)定性�����。
[0012](4)本發(fā)明無需消耗內(nèi)網(wǎng)ip��,理論上支持無限虛擬機資源�����,無需手動配置地址池���,便于實施和管理,具有突出的實質(zhì)性特點和顯著進步����,適合大規(guī)模推廣應(yīng)用�����。
【專利附圖】
【附圖說明】
[0013]圖1為本發(fā)明-實施例的工作流程圖����。
【具體實施方式】[0014]下面結(jié)合附圖和實施例對本發(fā)明作進一步說明�,本發(fā)明的實施方式包括但不限于下列實施例��。
實施例
[0015]為了提高公網(wǎng)訪問虛擬資源的安全可靠性�,如圖1所示,本發(fā)明公開了一種安全可控的公網(wǎng)訪問虛擬資源方法��,該方法中��,網(wǎng)絡(luò)資源分配和控制均在虛擬資源所在的物理機進行�,由物理節(jié)點全權(quán)控制虛擬資源的申請、分配����、管理與釋放,無需中央控制節(jié)點參與�����。
[0016]應(yīng)用時,物理節(jié)點會創(chuàng)建一個或者多個擁有自己的私有網(wǎng)段的虛擬網(wǎng)絡(luò)��,各虛擬網(wǎng)絡(luò)可擁有多個不重復(fù)的私有網(wǎng)段����,物理節(jié)點創(chuàng)建虛擬機時,在虛擬網(wǎng)絡(luò)的網(wǎng)段中為虛擬機分配一個固定IP�����,將該IP通過MAC綁定方式寫入在虛擬網(wǎng)絡(luò)里�,確保該虛擬機每次都必定分配到該IP,并將創(chuàng)建后的虛擬機加入虛擬網(wǎng)絡(luò)獲取到指定IP��。虛擬機用戶指定需要開放的網(wǎng)絡(luò)端口后�,物理節(jié)點從本地端口池中分配一個端口,通過防火墻與網(wǎng)絡(luò)轉(zhuǎn)換(NAT)規(guī)貝U����,將該端口訪問請求轉(zhuǎn)發(fā)到虛擬機的特定端口上,公網(wǎng)路由器將公網(wǎng)訪問轉(zhuǎn)換到物理節(jié)點的分配端口�,用戶即可通過公網(wǎng)IP、端口訪問到虛擬機的指定端口����,并且不暴露物理網(wǎng)絡(luò)結(jié)構(gòu)�����。
[0017]通過上述方法��,虛擬機用戶只能訪問運營商開放的公網(wǎng)IP與特定端口����,用戶通過虛擬機只能看到自己的虛擬機和私有網(wǎng)段IP�����,無法探知到系統(tǒng)內(nèi)其他虛擬機和物理機(在系統(tǒng)許可情況下�,可以訪問同一用戶所屬的其他虛擬機)�����,因此無法發(fā)起網(wǎng)絡(luò)攻擊和嗅探����。
[0018]如圖1所示,左側(cè)為公網(wǎng)���,右側(cè)為運營商內(nèi)部網(wǎng)絡(luò)��,物理機地址為172.168.0.120�,端口池為5100廣59000,內(nèi)部包含一個虛擬網(wǎng)絡(luò)���,網(wǎng)段為192.168.0.1�,此時����,虛擬機的創(chuàng)建步驟如下:
用戶請求創(chuàng)建虛擬機,并開通該虛擬機tcp 80端口訪問;
主控系統(tǒng)為該虛擬機分配公網(wǎng)地址10.12.13.14��,端口 80�,將創(chuàng)建請求發(fā)送給物理機172.168.0.120 ;
物理機創(chuàng)建虛擬機vmOO I�����,在虛擬網(wǎng)絡(luò)中分配ip 192.168.0.21�,在虛擬網(wǎng)絡(luò)中設(shè)置vmOOl的mac地址綁定到ip 192.168.0.21,將虛擬機連接到虛擬網(wǎng)絡(luò)�;
從本地端口池分配空閑tcp端口 51001,創(chuàng)建本地防火墻與路由規(guī)則�,將訪問本地172.168.0.120:51001的請求轉(zhuǎn)發(fā)到本機虛擬網(wǎng)絡(luò)中的192.168.0.21:80 �����;
物理機通知主控系統(tǒng)虛擬機創(chuàng)建成功�����,并告知分配端口為172.168.0.120:51001 ����; 主控系統(tǒng)設(shè)置 NAT 規(guī)則���,將 10.12.13.14:80 轉(zhuǎn)發(fā)到 172.168.0.120:51001 ���;
啟動虛擬機,虛擬機通過虛擬網(wǎng)絡(luò)獲取到本機ip 192.168.0.21��,服務(wù)處于啟動狀態(tài)����。
[0019]網(wǎng)絡(luò)訪問步驟如下:
公網(wǎng)用戶在瀏覽器輸入地址10.12.13.14:80,運營商公網(wǎng)路由將請求轉(zhuǎn)發(fā)到物理宿主機 172.168.0.120:51001 ����;
物理宿主機51001端口接收到http請求�����,轉(zhuǎn)發(fā)到本地私有網(wǎng)絡(luò)192.168.0.21:80 ��; 虛擬機80端口接收到http請求,提供web服務(wù)�。
[0020]本發(fā)明中�,在默認情況下,虛擬機vmOOl只能看到自己的私網(wǎng)ip 192.168.0.21����,對其他網(wǎng)絡(luò)地址(如vm002的192.168.0.22)的請求、廣播�、ping請求均被宿主機防火墻規(guī)則屏蔽,無法探知其他虛擬機����、物理機和運營商網(wǎng)絡(luò)架構(gòu)。[0021]當(dāng)管理員懷疑某虛擬機被攻擊或者劫持后����,可以采取以下保護方法:關(guān)閉NAT,中斷所有外部用戶對該虛擬機的訪問和控制�;防火墻限制,中斷該虛擬機所有對外的網(wǎng)絡(luò)請求����;將虛擬機從虛擬網(wǎng)絡(luò)中斷開�,隔絕該虛擬機所有的網(wǎng)絡(luò)連接和請求���。
[0022]按照上述實施例�,便可很好地實現(xiàn)本發(fā)明�����。
【權(quán)利要求】
1.一種安全可控的公網(wǎng)訪問虛擬資源方法�����,其特征在于���,包括以下步驟: (1)物理節(jié)點創(chuàng)建擁有私有網(wǎng)段的一個以上虛擬網(wǎng)絡(luò)���; (2)用戶請求創(chuàng)建虛擬機時�����,物理節(jié)點在某一虛擬網(wǎng)絡(luò)的私有網(wǎng)段中為該虛擬機分配一個固定IP�,并將創(chuàng)建的虛擬機加入虛擬網(wǎng)絡(luò)�,獲取指定IP �; (3)虛擬機用戶指定需要開放的網(wǎng)絡(luò)端口后,物理節(jié)點從本地端口池中分配一個空閑端口���,該空閑端口將網(wǎng)絡(luò)端口訪問請求轉(zhuǎn)發(fā)到虛擬網(wǎng)絡(luò)中的指定端口上實現(xiàn)訪問���。
2.根據(jù)權(quán)利要求1所述的一種安全可控的公網(wǎng)訪問虛擬資源方法,其特征在于�,所述步驟(2)中,分配給虛擬機的固定IP通過MAC綁定方式寫入虛擬網(wǎng)絡(luò)中���。
3.根據(jù)權(quán)利要求2所述的一種安全可控的公網(wǎng)訪問虛擬資源方法�,其特征在于��,所述步驟(2)中���,虛擬機的創(chuàng)建具體包括以下步驟: (2a)用戶請求創(chuàng)建虛擬機�,并開通該虛擬機網(wǎng)絡(luò)端口 ����; (2b)主控系統(tǒng)為該虛擬機分配公網(wǎng)地址和訪問端口,并將創(chuàng)建請求發(fā)送給物理機;(2c)物理機創(chuàng)建虛擬機��,在虛擬網(wǎng)絡(luò)中分配一個IP地址給該虛擬機,在虛擬網(wǎng)絡(luò)中將虛擬機的MAC地址綁定到分配的IP地址上���,并將虛擬機連接到虛擬網(wǎng)絡(luò)�; (2d)從本地端口池中給創(chuàng)建的虛擬機分配一空閑端口��,創(chuàng)建本地防火墻和路由規(guī)則���,將訪問該空閑端口的請求轉(zhuǎn)發(fā)到本機虛擬網(wǎng)絡(luò)中的指定端口上��; (2e)物理機將虛擬機創(chuàng)建成功的信息及分配給該虛擬機的空閑端口反饋給主控系統(tǒng)��; (2f)主控系統(tǒng)設(shè)置網(wǎng)絡(luò)地址轉(zhuǎn)換規(guī)則��,將網(wǎng)絡(luò)端口訪問請求轉(zhuǎn)發(fā)至分配的空閑端口上��,并啟動虛擬機�; (2g)虛擬機通過虛擬網(wǎng)絡(luò)獲取分配給其的IP地址��,服務(wù)器啟動��。
4.根據(jù)權(quán)利要求3所述的一種安全可控的公網(wǎng)訪問虛擬資源方法���,其特征在于����,所述步驟(3)具體包括: (3a)用戶在瀏覽器上輸入虛擬機對應(yīng)的公網(wǎng)地址和網(wǎng)絡(luò)端口 �; (3b)公網(wǎng)路由器將用戶訪問請求轉(zhuǎn)發(fā)到物理機分配給該虛擬機的空閑端口 ; (3c)空閑端口將接收到的訪問請求轉(zhuǎn)發(fā)到本機虛擬網(wǎng)絡(luò)中的指定端口上���,允許為該接收到請求的虛擬機提供WEB服務(wù)��。
5.根據(jù)權(quán)利要求4所述的一種安全可控的公網(wǎng)訪問虛擬資源方法�����,其特征在于��,所述防火墻和路由規(guī)則為:僅允許各虛擬機用戶明確申請開放的請求通過��。
【文檔編號】H04L29/06GK103747020SQ201410054499
【公開日】2014年4月23日 申請日期:2014年2月18日 優(yōu)先權(quán)日:2014年2月18日
【發(fā)明者】黃睿 申請人:成都致云科技有限公司