虛擬機切換系統及切換方法
【專利摘要】本發明提供一種虛擬機切換系統,其用于在虛擬機出現異常時進行虛擬機切換,虛擬機切換系統包括基礎鏡像設置模塊、虛擬機生成模塊及自動切換模塊,基礎鏡像設置模塊用于根據至少一個虛擬機對應設置至少一個虛擬機基礎鏡像并存儲,虛擬機生成模塊用于在虛擬機出現異常時根據虛擬機信息及虛擬機所對應的虛擬機鏡像信息生成對應的新虛擬機并啟動,自動切換模塊用于在新虛擬機與對應的異常虛擬機之間切換以使新虛擬機代替異常虛擬機正常工作。該切換系統在虛擬機工作出現異常時在新生成的虛擬機與異常虛擬機之間自動切換以新虛擬機以代替異常虛擬機正常工作,操作方便,保證虛擬機所提供的服務不間斷繼續進行。本發明還提供了一種虛擬機自動切換方法。
【專利說明】虛擬機切換系統及切換方法
【技術領域】
[0001]本發明涉及虛擬化技術,尤其涉及一種虛擬機切換系統及切換方法。
【背景技術】
[0002]目前,服務器虛擬化技術將一臺物理服務器虛擬成多臺相互隔離的虛擬服務器,每臺虛擬服務器擁有獨立的CPU、內存、磁盤空間和網絡帶寬,提高資源的使用效率,簡化系統管理,在虛擬化技術的使用過程中,網絡信息的安全性是虛擬化技術正常使用需要保障的,傳統的網絡安全防護采用入侵檢測、防火墻技術等保護系統免受網絡攻擊的危害。
[0003]然而,系統運行時遇到的內部及外界各種不穩定因素,傳統的安全防護技術在虛擬服務器出現異常如遭到木馬或者病毒攻擊時,需要人工干預操作來對系統進行恢復,操作不方便的同時影響虛擬服務器的正常工作。
【發明內容】
[0004]有鑒于此,本發明提供一種能在虛擬服務器出現異常時保障虛擬服務器正常工作且操作方便的虛擬機切換系統及切換方法。
[0005]一種虛擬機切換系統,其用于在虛擬機出現異常時進行虛擬機切換,所述虛擬機切換系統包括一個基礎鏡像設置模塊、一個虛擬機生成模塊及一個自動切換模塊,所述基礎鏡像設置模塊用于根據至少一個虛擬機對應設置至少一個虛擬機基礎鏡像并存儲,所述虛擬機生成模塊用于在虛擬機工作出現異常時根據虛擬機信息及虛擬機所對應的虛擬機鏡像信息生成對應的新虛擬機并啟動,所述自動切換模塊用于在所述新虛擬機啟動后與對應的異常虛擬機之間進行切換以使新虛擬機代替異常虛擬機正常工作。
[0006]一種虛擬機切換方法,其用于在虛擬機出現異常時進行虛擬機切換,所述虛擬機切換方法包括以下步驟:
[0007]根據至少一個虛擬機對應設置至少一個虛擬機基礎鏡像并存儲;
[0008]在虛擬機工作出現異常時根據虛擬機信息及異常虛擬機所對應的虛擬機鏡像信息生成對應的新虛擬機并啟動;
[0009]在所述新虛擬機啟動后與對應的異常虛擬機之間進行切換以使新虛擬機代替異常虛擬機正常工作。
[0010]與現有技術相比,本發明提供的虛擬機切換系統及切換方法通過基礎鏡像設置模塊設置相應虛擬機的虛擬機基礎鏡像,在虛擬機工作出現異常如遭到病毒攻擊時根據虛擬機信息及異常虛擬機所對應的虛擬機鏡像信息生成對應的新虛擬機,并利用自動切換模塊在新生成的虛擬機與出現異常的虛擬機之間自動切換,以生成的新虛擬機代替出現異常的虛擬機正常工作,無需人工干預維護,操作方便,從而保證在虛擬機出現異常如遭到病毒攻擊時虛擬機所提供的服務不間斷繼續進行。
【專利附圖】
【附圖說明】
[0011]圖1是本發明提供的虛擬機切換系統的模塊示意圖。
[0012]圖2是圖1中虛擬機對外服務框圖。
[0013]圖3是圖2中虛擬機出現異常時生成新虛擬機對外服務框圖。
[0014]圖4是啟動新虛擬機并關閉出現異常虛擬機后對外服務框圖。
[0015]圖5是本發明提供的虛擬機切換方法的流程圖
[0016]主要元件符號說明
[0017]虛擬機切換系統100
[0018]基礎鏡像設置模塊120
[0019]鏡像加固模塊130
[0020]虛擬機啟動模塊140
[0021]虛擬機生成模塊160
[0022]自動切換模塊180
[0023]資源回收模塊190
[0024]如下【具體實施方式】將結合上述附圖進一步說明本發明。
【具體實施方式】
[0025]請參閱圖1,其為本發明實施方式提供的一種虛擬機切換系統100,其用于在虛擬機出現異常時進行虛擬機切換,所述虛擬機切換系統100包括一個基礎鏡像設置模塊120、一個虛擬機啟動模塊140、一個虛擬機生成模塊160及一個自動切換模塊180。
[0026]所述基礎鏡像設置模塊120用于根據至少一個虛擬機對應設置至少一個虛擬機基礎鏡像,可以理解的是,虛擬機的數量依需要設置,本實施方式中,基礎鏡像設置模塊120根據虛擬機I與虛擬機2分別對應設置虛擬機基礎鏡像I及虛擬機基礎鏡像2。基礎鏡像設置模塊120設置的虛擬機基礎鏡像只包含虛擬機操作系統,不包含應用程序,可以理解的是,用戶一般根據實際需要選擇對應的虛擬機類型,基礎鏡像設置模塊120根據用戶選擇的虛擬機類型來設置相應的基礎鏡像,基礎鏡像可以是用戶通過互聯網下載的一個包含用戶需要的操作系統類型的虛擬機鏡像作為基礎鏡像,也可以是用戶通過鏡像制作工具自己制作一個虛擬機鏡像作為基礎鏡像。本實施方式中,設置的虛擬機基礎鏡像是下載的虛擬機鏡像,可以理解的是,下載的虛擬機鏡像的大小有可能不是用戶需要的鏡像大小,所以需要對基礎鏡像的大小進行定制。
[0027]例如,以Windows操作系統中為例,下載的虛擬機鏡像為對應的C盤,C盤大小通常只有I?2G,而對于一個對外提供服務的Windows Server來講,在安裝應用系統以后,一般需要C盤空間為40G或以上,因此需要對鏡像空間進行定制。在KVM(kernel-based VirtualMachine)虛擬機環境中通過命令行對鏡像大小進行定制,例如,為鏡像增加5G的空間,采用“qemu-1mg resize trusty-server-cloudimg-amd64-diskl.raw+5G),,進行設置,以滿足應用系統的使用需求。
[0028]可以理解的是,如圖2所示,虛擬機基礎鏡像生成后,通過命令行工具或圖形界面工具可將基礎鏡像上傳至管理服務器200的虛擬化管理平臺以便對基礎鏡像進行管理,相應的虛擬機基礎鏡像信息包括CPU數量,內存數量,硬盤大小等存儲在數據庫中。
[0029]所述虛擬機啟動模塊140用于根據用戶需要安裝和配置用戶需加載的服務程序后,再根據虛擬機上所運行的應用系統的運行負載等信息選擇合適的虛擬機模板以及與所選虛擬機模板對應的虛擬機配置文件以啟動虛擬機。所加載的服務程序包括傳輸控制協議(Transmiss1n Control Protocol,TCP)、用戶數據包協議(User Datagram Protocol,UDP)及超文本傳輸協議(HyperText Transfer Protocol,HTTP)等服務程序,本實施方式中,虛擬機啟動模塊120加載HTTP服務程序,所加載的HTTP服務程序的所有會話(sess1n)狀態信息存儲在系統的數據庫中。
[0030]虛擬機模板信息定義了虛擬機啟動所需要的資源,包括CPU數量,內存數量,硬盤大小等,配置文件定義了虛擬機和應用系統的各種運行參數信息,虛擬機模板信息及配置文件信息一般直接存儲在數據庫中,啟動虛擬機并在虛擬機和應用系統完成啟動以后,即可對外提供服務,即通過應用代理300響應業務請求。
[0031]所述虛擬機生成模塊160用于在虛擬機工作出現異常如虛擬機遭到病毒、木馬等攻擊時根據虛擬機信息及虛擬機所對應的虛擬機鏡像信息生成對應的新虛擬機,虛擬機信息包括出現異常的虛擬機模板信息、配置文件及異常虛擬機的HTTP服務程序的所有會話(sess1n)狀態信息。
[0032]請一并參閱圖1至圖3,本實施方式中,如虛擬機I工作出現異常時,虛擬機生成模塊160根據異常虛擬機I對應的虛擬機模塊信息、異常虛擬機I對應的配置文件及異常虛擬機I中安裝的http服務程序的所有會話(sess1n)狀態信息生成新的虛擬機3。可以理解的是,當虛擬機被病毒攻擊,不管病毒攻擊虛擬機I是否成功,虛擬機生成模塊160會自動生成新虛擬機3。
[0033]所述自動切換模塊180用于在新虛擬機啟動后與對應的異常虛擬機之間進行切換以使新虛擬機代替異常虛擬機正常工作,也即在新虛擬機啟動后,關閉異常虛擬機,停止該虛擬機對外提供服務,新虛擬機代替異常虛擬機繼續工作,如圖4所示,如虛擬機I被病毒攻擊后,自動切換模塊180啟動新虛擬機3后關閉虛擬機I以使新虛擬機3代替虛擬機I進行工作。可以理解的是,由于異常虛擬機中提供的HTTP服務的sess1n狀態信息存儲到數據庫中,進行虛擬機切換時可保證HTTP服務不間斷的繼續進行。
[0034]為提高系統安全性,虛擬機切換系統100還包括一個鏡像加固模塊130,如圖1所示,所述鏡像加固模塊130用于對基礎鏡像設置模塊120設置的虛擬機基礎鏡像進行加固。虛擬機基礎鏡像的加固是通過對文件、目錄、進程、服務等的強制訪問控制,有效的制約和分散了原有系統管理員的權限,綜合了對文件和服務的完整性檢測、Web過濾防護和防緩沖區溢出等功能,能夠把普通的操作系統從體系上升級,在操作系統的級別上對各種攻擊提供一定的免疫,防止對操作系統和數據的破壞。
[0035]對虛擬機基礎鏡像的加固過程包括正確安裝操作系統、安裝最新的操作系統安全補丁、操作系統和應用軟件的安全配置、系統安全風險防范、系統安全風險測試、系統完整性備份、系統賬戶口令加固等。
[0036]為合理利用內存資源及硬盤空間,虛擬機切換系統100還包括一個資源回收模塊190,如圖1所示,所述資源回收模塊190在異常虛擬機關閉時回收異常虛擬機所占用的內存資源以及在服務器上的硬盤空間,回收后可給其他需要的虛擬機以合理使用,并通過數據覆蓋的方法清除硬盤上所有的數據和痕跡,如向該內存或硬盤上寫入‘0101’等無具體意義的信息。對硬盤而言通過寫入上述信息將比硬盤格式化更加徹底的清除原有數據,徹底消除被攻擊虛擬機操作系統的任何數據。
[0037]請參閱圖5,其為本發明實施方式提供的一種虛擬機切換方法,其用于在虛擬機出現異常時進行虛擬機切換,所述虛擬機切換方法包括以下步驟:
[0038]SllO:根據至少一個虛擬機對應設置至少一個虛擬機基礎鏡像并存儲;
[0039]S120:根據需要安裝和配置服務程序;
[0040]S130:根據需要選擇相應的虛擬機模板以及與所選虛擬機對應的配置文件啟動相應的虛擬機;
[0041]S140:在虛擬機工作出現異常時根據虛擬機信息及異常虛擬機所對應的虛擬機鏡像信息生成對應的新虛擬機并啟動;
[0042]S150:在所述新虛擬機啟動后與對應的異常虛擬機之間進行切換以使新虛擬機代替異常虛擬機正常工作。
[0043]在步驟SI 10中,利用基礎鏡像設置模塊120根據虛擬機I與虛擬機2分別對應設置虛擬機基礎鏡像I及虛擬機基礎鏡像2。可以理解的是,虛擬機基礎鏡像可以是用戶通過互聯網下載的一個包含用戶需要的操作系統類型的虛擬機鏡像作為基礎鏡像,也可以是用戶通過鏡像制作工具自己制作一個虛擬機鏡像作為基礎鏡像。
[0044]本實施方式中,設置的虛擬機基礎鏡像是下載的虛擬機鏡像,下載的虛擬機鏡像的大小有可能不是用戶需要的鏡像大小,所以需要對基礎鏡像的大小進行定制。例如,在KVM(kernel-based Virtual Machine)虛擬機環境中通過命令行對虛擬機鏡像大小進行定制,若需為虛擬機鏡像增加5G的空間,則采用“qemu-1mg resize trusty-server-cloudimg-amd64-diskl.raw+5G) ”進行設置,以滿足應用系統的使用需求。
[0045]可以理解的是,虛擬機基礎鏡像生成后,通過命令行工具或圖形界面工具可將基礎鏡像上傳至虛擬化管理平臺以便對基礎鏡像進行管理,相應的虛擬機基礎鏡像信息包括CPU數量,內存數量,硬盤大小等存儲在系統數據庫中。
[0046]在步驟S120中,利用虛擬機啟動模塊140根據用戶需要安裝和配置用戶需加載的HTTP服務程序。可以理解的是,用戶也可以根據實際需要安裝相應的服務程序。本實施方式中,虛擬機啟動模塊120所加載的HTTP服務程序的所有會話(sess1n)狀態信息存儲在系統的數據庫中。
[0047]在步驟S130中,利用虛擬機啟動模塊140根據虛擬機上所運行的應用系統的運行負載等信息選擇合適的虛擬機模板以及與所選虛擬機模板對應的虛擬機配置文件以啟動虛擬機。虛擬機模板定義了虛擬機啟動所需要的資源,包括CPU數量,內存數量,硬盤大小等,配置文件定義了虛擬機和應用系統的各種運行參數信息,虛擬機模板信息及配置文件信息一般直接存儲在數據庫中。
[0048]在步驟S140中,利用虛擬機生成模塊160在虛擬機工作出現異常如虛擬機遭到病毒、木馬等攻擊時根據虛擬機信息及與虛擬機所對應的虛擬機鏡像信息生成對應的新虛擬機,虛擬機信息包括出現異常的虛擬機模板信息、配置文件及異常虛擬機的HTTP服務程序的所有會話(sess1n)狀態信息。
[0049]本實施方式中,如圖2至圖4所示,虛擬機I工作出現異常時,虛擬機生成模塊160根據異常虛擬機I對應的虛擬機模板信息、異常虛擬機I對應的配置文件、異常虛擬機I中安裝的HTTP服務程序的所有會話(sess1n)狀態信息及虛擬機基礎鏡像I的信息生成新的虛擬機3。可以理解的是,當虛擬機被病毒攻擊,不管病毒攻擊虛擬機I是否成功,虛擬機生成模塊160都會自動生成新虛擬機3。
[0050]在步驟S150中,利用自動切換模塊180在新虛擬機啟動后與出現異常的虛擬機之間進行切換以使新虛擬機代替異常虛擬機正常工作,也即在新虛擬機啟動后,關閉異常虛擬機,停止該虛擬機對外提供服務,新虛擬機代替異常虛擬機繼續工作,如虛擬機I被病毒攻擊后,自動切換模塊180啟動新虛擬機3后關閉虛擬機I以使新虛擬機3代替虛擬機I進行工作。可以理解的是,由于異常虛擬機中提供的HTTP服務的會話(sess1n)狀態信息存儲在數據庫中,進行虛擬機切換時可保證HTTP服務不間斷的繼續進行。
[0051]為提高系統安全性,在步驟SllO與步驟S120之間還包括以下步驟:加固所設置的虛擬機基礎鏡像。
[0052]在所述加固步驟中,利用鏡像加固模塊130對基礎鏡像設置模塊120設置的虛擬機基礎鏡像進行加固,通過對文件、目錄、進程、服務等的強制訪問控制,有效的制約和分散了原有系統管理員的權限,綜合了對文件和服務的完整性檢測、Web過濾防護和防緩沖區溢出等功能,能夠把普通的操作系統從體系上升級,在操作系統的級別上對各種攻擊提供一定的免疫,防止對操作系統和數據的破壞。
[0053]對虛擬機基礎鏡像的加固過程包括正確安裝操作系統、安裝最新的操作系統安全補丁、操作系統和應用軟件的安全配置、系統安全風險防范、系統安全風險測試、系統完整性備份、系統賬戶口令加固等。
[0054]為合理利用內存資源及硬盤空間,在步驟S150后還包括以下步驟:在異常虛擬機關閉時回收異常虛擬機所占用的內存資源以及在服務器上的硬盤空間。
[0055]在所述回收步驟中,利用資源回收模塊190在出現異常的虛擬機I關閉時回收異常虛擬機I所占用的內存資源以及在服務器上的硬盤空間,回收后可給其他需要的虛擬機以合理使用,并通過數據覆蓋的方法清除硬盤上所有的數據和痕跡,如向該內存或硬盤寫入‘0101’等無具體意義的信息。對硬盤而言通過寫入上述信息比硬盤格式化更加徹底的清除原有數據,徹底消除被攻擊虛擬機操作系統的任何數據。
[0056]本發明提供的虛擬機切換系統100及切換方法通過基礎鏡像設置模塊120設置相應虛擬機的虛擬機基礎鏡像,在虛擬機工作出現異常如遭到病毒攻擊時,虛擬機生成模塊160根據虛擬機信息及異常虛擬機所對應的虛擬機鏡像信息生成對應的新虛擬機,生成的新的虛擬機通過鏡像加固模塊130的加密成為安全可靠的虛擬機,自動切換模塊180在新生成的虛擬機與出現異常的虛擬機之間自動切換,以生成的新虛擬機代替出現異常的虛擬機正常工作,無需人工干預維護,操作方便,同時由于異常虛擬機的鏡像信息中HTTP服務器的所有會話(sess1n)狀態信息是存儲在系統的數據庫中,被攻擊的虛擬機的所有資源和數據被資源回收模塊190回收和清除而HTTP服務狀態信息依然可以繼續保留,新的虛擬機替代被攻擊的虛擬機繼續對外提供服務,使系統恢復到被攻擊以前的狀態,實現對病毒、木馬等網絡攻擊的免疫,從而保證了在虛擬機出現異常如遭到病毒、木馬攻擊時提供的服務不間斷繼續進行。
[0057]可以理解的是,對于本領域的普通技術人員來說,可以根據本發明的技術構思做出其他各種相應的改變與變形,而所有這些改變與變形都應屬于本發明權利要求的保護范圍。
【權利要求】
1.一種虛擬機切換系統,其用于在虛擬機出現異常時進行虛擬機切換,所述虛擬機切換系統包括: 一個基礎鏡像設置模塊,其用于根據至少一個虛擬機對應設置至少一個虛擬機基礎鏡像并存儲; 一個虛擬機生成模塊,其用于在虛擬機工作出現異常時根據虛擬機信息及虛擬機所對應的虛擬機鏡像信息生成對應的新虛擬機并啟動;及 一個自動切換模塊,其用于在所述新虛擬機啟動后與對應的異常虛擬機之間進行切換以使新虛擬機代替異常虛擬機正常工作。
2.如權利要求1所述的虛擬機切換系統,其特征在于,所述虛擬機切換系統還包括一個鏡像加固模塊,所述鏡像加固模塊用于對所述基礎鏡像設置模塊設置的所述至少一個虛擬機基礎鏡像進行加固。
3.如權利要求1所述的虛擬機切換系統,其特征在于,所述虛擬機切換系統包括一個虛擬機啟動模塊,所述虛擬機啟動模塊用于根據用戶需要安裝和配置HTTP服務程序后選擇相應的虛擬機模板以及與所選虛擬機模板對應的配置文件以啟動相應的虛擬機。
4.如權利要求3所述的虛擬機切換系統,其特征在于,所述異常虛擬機信息包括所述異常虛擬機對應的虛擬機模塊信息、所述異常虛擬機對應的配置文件及所述異常虛擬機中安裝的HTTP服務程序的所有會話(sess1n)狀態信息。
5.如權利要求1所述的虛擬機切換系統,其特征在于,所述虛擬機切換系統還包括一個資源回收模塊,所述資源回收模塊在異常虛擬機關閉時回收所述異常虛擬機占用的內存資源及硬盤空間并清除硬盤數據。
6.—種虛擬機切換方法,其用于在虛擬機出現異常時進行虛擬機切換,所述虛擬機切換方法包括以下步驟: 根據至少一個虛擬機對應設置至少一個虛擬機基礎鏡像并存儲; 在虛擬機工作出現異常時根據虛擬機信息及異常虛擬機所對應的虛擬機鏡像信息生成對應的新虛擬機并啟動; 在所述新虛擬機啟動后與對應的異常虛擬機之間進行切換以使新虛擬機代替異常虛擬機正常工作。
7.如權利要求6所述的虛擬機切換方法,其特征在于,在設置虛擬機基礎鏡像步驟與生成新虛擬機步驟之間還包括以下步驟:加固所設置的至少一個虛擬機基礎鏡像。
8.如權利要求6所述的虛擬機切換系統,其特征在于,在設置虛擬機基礎鏡像的步驟之后包括以下步驟: 根據需要安裝和配置Http服務程序; 選擇相應的虛擬機模板以及與所選虛擬機模板對應的配置文件啟動相應的虛擬機。
9.如權利要求8所述的虛擬機切換系統,其特征在于,所述異常虛擬機信息包括所述異常虛擬機對應的虛擬機模塊信息、所述異常虛擬機對應的配置文件及所述異常虛擬機中安裝的HTTP服務程序的所有會話(sess1n)狀態信息。
10.如權利要求6所述的虛擬機切換系統,其特征在于,在虛擬機自動切換步驟后還包括以下步驟,在異常虛擬機關閉時回收所述異常虛擬機占用的內存資源及硬盤空間并清除硬盤數據。
【文檔編號】G06F11/14GK104484231SQ201410854790
【公開日】2015年4月1日 申請日期:2014年12月31日 優先權日:2014年12月31日
【發明者】李偉, 桑梓勤, 余少華, 秦偉, 王若舟, 肖凌 申請人:武漢郵電科學研究院