一種云平臺管理方法及系統的制作方法
【專利摘要】本發明公開一種云平臺管理方法及系統,方法包括:云主機生成請求獲取步驟,包括:云管理平臺接收到云主機生成請求,在云計算資源池滿足所述云主機生成請求所要求訪問的安全等級區內創建云主機,如果所述云主機生成請求所要求訪問的安全等級區為第一安全等級區,則執行第一安全等級區創建步驟,如果所述云主機生成請求所要求訪問的安全等級區為第二安全等級區,則執行第二安全等級區創建步驟,所述第二安全等級區的安全等級高于所述第一安全等級區。本發明充分利用VPN、4A、堡壘機等網絡安全設備功能完善、穩定可靠的優勢,將其集成進云計算資源池中,為云計算資源池中的云主機提供可靠、高效的網絡安全與系統審計服務。
【專利說明】
一種云平臺管理方法及系統
技術領域
[0001]本發明涉及云平臺相關技術領域,特別是一種云平臺管理方法及系統。【背景技術】
[0002]IaaS(Infrastructure as a Service基礎設施即服務)云計算技術通過虛擬化技術將一臺物理主機虛擬化為多臺虛擬機主機。虛擬機之間互相獨立,并且可以運行不同的操作系統。IaaS云計算資源池中將多臺相同配置、相同虛擬化軟件的物理主機組成集群,多個集群構成資源池。通過IaaS云計算技術,可以構建多種云服務,實現資源的快速供給、靈活復用、彈性伸縮。云計算資源池的虛擬機通過網絡與資源池中或外部的物理機、虛擬機進行交互,為保證信息安全,VPN(Virtual Private Network)、4A(認證Authenticat1n、賬號 Account、授權Authorizat1n、審計Audit)等網絡安全設施來提供相應的云安全服務。
[0003]4A 是指:認證 Authenticat1n、賬號 Account、授權 Authorizat1n、審計 Audit, 中文名稱為統一 4A安全管理平臺設備解決方案。即將身份認證、授權、審計和賬號(即不可否認性及數據完整性)定義為網絡安全的四大組成部分,從而確立了身份認證在整個網絡安全系統中的地位與作用。國內外安全廠商均實現了相應的商業化產品,即4A安全管理平臺設備,或稱為4A設備。
[0004]堡皇機,即在一個特定的網絡環境下,為了保障網絡和數據不受來自外部和內部用戶的入侵和破壞,而運用各種技術手段實時收集和監控網絡環境中每一個組成部分的系統狀態、安全事件、網絡活動,以便集中報警、記錄、分析、處理的一種設備。
[0005]虛擬專用網絡(Virtual Private Network,VPN),是指在公用網絡上建立專用網絡,進行加密通訊。在企業網絡中有廣泛應用。VPN網關通過對數據包的加密和數據包目標地址的轉換實現遠程訪問。VPN有多種分類方式,主要是按協議進行分類。VPN可通過服務器、硬件、軟件等多種方式實現。VPN具有成本低,易于使用的特點。
[0006]虛擬化是指通過虛擬化技術將一臺計算機虛擬為多臺邏輯計算機。在一臺計算機上同時運行多個邏輯計算機,每個邏輯計算機可運行不同的操作系統,并且應用程序都可以在相互獨立的空間內運行而互不影響,從而顯著提高計算機的工作效率。
[0007]現有的解決方案中,通常的做法是將虛擬主機視同為物理主機,以VPN、4A等系統連接物理主機的方式將其和虛擬主機連接。但是這種方法需要在不同的網絡安全設備中進行分別進行配置,無法實現云管理平臺對虛擬資源和網絡安全資源的統一管理和統一調度,對于資源池中大量的虛擬機主機非常耗時耗力,也無法根據運營需要靈活地增加或者減少相應的安全服務。
【發明內容】
[0008]基于此,有必要針對現有技術未能將不同的網絡安全設備中的虛擬主機進行統一管理的技術問題,提供一種云平臺管理方法及系統。
[0009]—種云平臺管理方法,包括:
[0010]云主機生成請求獲取步驟,包括:云管理平臺接收到云主機生成請求,在云計算資源池滿足所述云主機生成請求所要求訪問的安全等級區內創建云主機,如果所述云主機生成請求所要求訪問的安全等級區為第一安全等級區,則執行第一安全等級區創建步驟,如果所述云主機生成請求所要求訪問的安全等級區為第二安全等級區,則執行第二安全等級區創建步驟,所述第二安全等級區的安全等級高于所述第一安全等級區;
[0011]第一安全等級區創建步驟,包括:獲取所述云主機生成請求所包括的用戶聯系信息,向所述用戶聯系信息發送關于所述云主機的IP地址、主機名、云主機登錄帳號和云主機登錄密碼;
[0012]第二安全等級區創建步驟,包括:
[0013] 獲取在與所述云計算資源池連接的虛擬專用網絡設備上使用,且與所述云主機生成請求相關的虛擬專用網絡賬號和虛擬專用網絡密碼,將所述虛擬專用網絡賬號綁定至虛擬專用網絡設備上的云平臺專用用戶組,所述云平臺專用用戶組所使用的訪問策略為可訪問與所述云計算資源池依次連接的4A安全管理平臺設備和堡皇機;
[0014] 獲取云管理平臺在所述4A安全管理平臺設備上使用,且與所述云主機生成請求相關的4A安全管理平臺設備賬號和4A安全管理平臺設備密碼,將所述云主機的IP地址、 主機名、云主機登錄帳號和云主機登錄密碼同步至所述4A安全管理平臺設備;
[0015]根據所述云主機生成請求所包括的用戶聯系信息,向所述用戶聯系信息發送虛擬專用網絡賬號、虛擬專用網絡密碼、虛擬專用網絡設備登錄地址、4A安全管理平臺設備賬號、4A安全管理平臺設備密碼、4A安全管理平臺設備登錄地址、所述云主機的IP地址和主機名。
[0016] —種云平臺管理系統,包括:
[0017]云主機生成請求獲取模塊,用于:云管理平臺接收到云主機生成請求,在云計算資源池滿足所述云主機生成請求所要求訪問的安全等級區內創建云主機,如果所述云主機生成請求所要求訪問的安全等級區為第一安全等級區,則執行第一安全等級區創建模塊,如果所述云主機生成請求所要求訪問的安全等級區為第二安全等級區,則執行第二安全等級區創建模塊,所述第二安全等級區的安全等級高于所述第一安全等級區;
[0018]第一安全等級區創建模塊,用于:獲取所述云主機生成請求所包括的用戶聯系信息,向所述用戶聯系信息發送關于所述云主機的IP地址、主機名、云主機登錄帳號和云主機登錄密碼;
[0019]第二安全等級區創建模塊,用于:
[0020] 獲取在與所述云計算資源池連接的虛擬專用網絡設備上使用,且與所述云主機生成請求相關的虛擬專用網絡賬號和虛擬專用網絡密碼,將所述虛擬專用網絡賬號綁定至虛擬專用網絡設備上的云平臺專用用戶組,所述云平臺專用用戶組所使用的訪問策略為可訪問與所述云計算資源池依次連接的4A安全管理平臺設備和堡皇機;
[0021] 獲取云管理平臺在所述4A安全管理平臺設備上使用,且與所述云主機生成請求相關的4A安全管理平臺設備賬號和4A安全管理平臺設備密碼,將所述云主機的IP地址、 主機名、云主機登錄帳號和云主機登錄密碼同步至所述4A安全管理平臺設備;
[0022]根據所述云主機生成請求所包括的用戶聯系信息,向所述用戶聯系信息發送虛擬專用網絡賬號、虛擬專用網絡密碼、虛擬專用網絡設備登錄地址、4A安全管理平臺設備賬號、4A安全管理平臺設備密碼、4A安全管理平臺設備登錄地址、所述云主機的IP地址和主機名。
[0023]本發明通過對云主機生成請求所要求訪問的安全等級區進行區分,對于安全等級要求低的采用直接訪問的方式,而對于安全等級較高的,則為其建立VPN和4A,實現安全訪問。從而充分利用VPN、4A、堡皇機等網絡安全設備功能完善、穩定可靠的優勢,將其集成進云計算資源池中,為云計算資源池中的云主機提供可靠、高效的網絡安全與系統審計服務。 同時,通過完善的信息集成,由云管理平臺統一調度安全、計算、存儲、網絡等資源,可以方便地將不同服務進行組合,為用戶提供不同等級、不同功能等網絡安全與云主機服務。【附圖說明】
[0024]圖1為本發明一種云平臺管理方法的工作流程圖;
[0025]圖2為本發明最佳實施例的系統結構示意圖;
[0026]圖3為本發明一種云平臺管理系統的結構模塊圖。【具體實施方式】
[0027]下面結合附圖和具體實施例對本發明做進一步詳細的說明。
[0028]如圖1所示為本發明一種云平臺管理方法的工作流程圖,包括:
[0029]步驟S101,包括:云管理平臺接收到云主機生成請求,在云計算資源池滿足所述云主機生成請求所要求訪問的安全等級區內創建云主機,如果所述云主機生成請求所要求訪問的安全等級區為第一安全等級區,則執行步驟S102,如果所述云主機生成請求所要求訪問的安全等級區為第二安全等級區,則執行步驟S103,所述第二安全等級區的安全等級高于所述第一安全等級區;
[0030]步驟S102,包括:獲取所述云主機生成請求所包括的用戶聯系信息,向所述用戶聯系信息發送關于所述云主機的IP地址、主機名、云主機登錄帳號和云主機登錄密碼;
[0031]步驟S103,包括:
[0032]獲取在與所述云計算資源池連接的虛擬專用網絡設備上使用,且與所述云主機生成請求相關的虛擬專用網絡賬號和虛擬專用網絡密碼,將所述虛擬專用網絡賬號綁定至虛擬專用網絡設備上的云平臺專用用戶組,所述云平臺專用用戶組所使用的訪問策略為可訪問與所述云計算資源池依次連接的4A安全管理平臺設備和堡皇機;
[0033]獲取云管理平臺在所述4A安全管理平臺設備上使用,且與所述云主機生成請求相關的4A安全管理平臺設備賬號和4A安全管理平臺設備密碼,將所述云主機的IP地址、 主機名、云主機登錄帳號和云主機登錄密碼同步至所述4A安全管理平臺設備;
[0034]根據所述云主機生成請求所包括的用戶聯系信息,向所述用戶聯系信息發送虛擬專用網絡賬號、虛擬專用網絡密碼、虛擬專用網絡設備登錄地址、4A安全管理平臺設備賬號、4A安全管理平臺設備密碼、4A安全管理平臺設備登錄地址、所述云主機的IP地址和主機名。
[0035]其中,云主機是指通過虛擬化技術在云計算資源池中所創建的虛擬機。云計算資源池中包括有具有較低安全等級的第一安全等級區和具有較高安全等級的第二安全等級區,云管理平臺接收到云主機生成請求后,在接收到對該云主機生成請求的審核通過后,在云計算資源池滿足所述云主機生成請求所要求訪問的安全等級區內創建云主機。
[0036]第二安全等級區有加密連接,加強認證,加強審計等安全功能,在第二安全等級區,云計算資源池中的云主機只有通過所述4A安全管理平臺和堡皇機才能訪問
[0037]本發明針對用戶的不同的安全要求,實現不同的網絡連接訪問功能。對于第一安全等級區,即低安全等級區的訪問,當在第一安全等級區創建好云主機后,向用戶返回云主機的IP地址、主機名和登錄密碼,使得用戶可以直接對云主機進行訪問,而對于第二安全等級區,即高安全等級區的訪問,在第二安全等級區創建好云主機后,為用戶在VPN、4A上進行合適的設置,然后向用戶返回虛擬專用網絡賬號、虛擬專用網絡密碼、4A安全管理平臺設備賬號、4A安全管理平臺設備密碼、所述云主機的IP地址和主機名,使得用戶能夠順利地通過VPN、4A和堡皇機的方式訪問在高安全等級區中的云主機。
[0038]在其中一個實施例中,云管理平臺將生成的云主機登陸賬號和云主機密碼同步至 4A安全管理平臺,4A安全管理平臺設備立即修改所述云主機密碼并定期修改所述云主機密碼。
[0039]至此,云主機的密碼只有4A安全管理平臺設備掌握,用戶只能通過所述4A安全管理設備才能登陸云主機。4A安全管理平臺設備根據自身的策略,定期自動修改所述虛擬機登陸密碼,降低該密碼被破解的風險。
[0040]本實施例中,由4A安全管理平臺設備(4A設備)對于第二安全等級區中的云主機登錄密碼進行管理,定期修改。由于云主機登錄密碼由4A設備進行管理,因此,用戶必須通過4A設備訪問云主機,從而保證第二安全等級區內的云主機的安全。
[0041]在其中一個實施例中:
[0042]所述步驟S103中,虛擬專用網絡賬號和所述虛擬專用網絡密碼采用如下方式獲取:
[0043]檢查所述云主機生成請求的用戶是否具有虛擬專用網絡賬號和虛擬專用網絡密碼,如果具有,則使用已有的虛擬專用網絡賬號和虛擬專用網絡密碼,如果不具有,則在所述虛擬專用網絡設備上,生成虛擬專用網絡賬號和虛擬專用網絡密碼;
[0044]所述步驟S103中,4A安全管理平臺設備賬號和4A安全管理平臺設備密碼采用如下方式獲取:
[0045]檢查所述云主機生成請求的用戶是否具有4A安全管理平臺設備賬號和4A安全管理平臺設備密碼,如果具有,則使用已有的4A安全管理平臺設備賬號和4A安全管理平臺設備密碼,如果不具有,則在所述4A安全管理平臺設備上,生成4A安全管理平臺設備賬號和 4A安全管理平臺設備密碼。
[0046]在其中一個實施例中,還包括:
[0047]所述4A安全管理平臺設備定時從所述堡皇機獲取堡皇機審計日志并發送到所述云管理平臺,所述云管理平臺將所獲取的堡皇機審計日志整合進云管理平臺審計日志。
[0048]在其中一個實施例中,還包括:
[0049]訪問請求步驟,包括:響應于訪問請求,檢查所述訪問請求所要求訪問的安全等級區;
[0050]如果所述訪問請求所要求訪問的安全等級區域為第一安全等級區域,則顯示用于訪問所述第一安全等級區域內的云主機的遠程登錄用戶端的顯示界面;
[0051]如果所述訪問請求所要求訪問的安全等級區域為第二安全等級區域,則依據所述云管理平臺記錄的虛擬專用網絡賬號和虛擬專用網絡密碼,登錄所述虛擬專用網絡設備, 成功登錄虛擬專用網絡設備后,依據云管理平臺記錄的4A安全管理平臺設備賬號和4A安全管理平臺設備密碼登陸所述4A安全管理平臺設備,依據記錄在所述4A安全管理平臺設備上的云主機賬號和云主機密碼,通過堡皇機登陸所述云主機,成功登錄所述4A安全管理平臺設備后,通過堡皇機顯示用于訪問所述第二安全等級區的云主機的界面。堡皇機全程記錄下用戶操作該云主機的審計信息。
[0052]4A安全管理平臺設備4A安全管理平臺設備4A安全管理平臺設備4A安全管理平臺設備4A安全管理平臺設備4A安全管理平臺設備本實施例為用戶提供了一個訪問云主機的途徑,對于第一安全等級區,用戶可以直接進行訪問,而對于第二安全等級區,云管理平臺為用戶完成所有的VPN、4A的登錄步驟,使得用戶能夠方便地訪問云主機。
[0053]如圖2所示為本發明最佳實施例的系統結構示意圖,包括:云管理平臺21、VPNS 備22、4A設備23、堡皇機24和云計算資源池25,云計算資源池25劃分為低安全等級區251 和高安全等級區252。
[0054]針對用戶的不同的安全要求及使用場景,對系統間的集成方案進行詳細描述
[0055]1?用戶申請、使用低安全等級區的云主機
[0056]1)用戶通過云管理平臺21的自服務門戶211提交低安全等級區251的云主機使用申請,內容包括使用者信息、云主機配置(CPU、內存、硬盤大小)、對應的操作系統及應用軟件、網絡配置要求(內外網權限、網卡數量、IP地址等)使用期限等信息。
[0057]2)自服務門戶211通過IF1將相應的申請信息傳遞至云管理平臺21的管理門戶 212〇
[0058]3)系統管理員在管理門戶212對用戶的云主機申請進行審核,審核通過后,在管理門戶212對用戶的申請進行施工。
[0059]4)施工成功后,云管理平臺21通過短信網關和郵件網關向用戶發送短信和郵件, 通知用戶申請主機的IP地址,主機名,初始密碼等信息。
[0060]5)用戶可以通過云管理平臺21的自服務門戶211所帶的遠程登陸控制端登陸所申請的云主機(如圖2中bl所示),也可以通過其他遠程登陸用戶端直接登陸云主機。用戶可以自行修改云主機密碼,用戶自己對密碼的安全性和強度負責。
[0061]6)云管理平臺21的管理門戶212同樣帶有遠程登陸的用戶端,管理員可以通過他登陸用戶申請的云主機(如圖中al所示),主要用于系統檢查和故障排除。
[0062]2.用戶在外網,申請、使用高安全等級區域的云主機
[0063]1)用戶通過自服務門戶211提交高安全等級區252的云主機使用申請,內容包括使用者信息、云主機配置(CPU、內存、硬盤大小)、對應的操作系統及應用軟件、網絡配置要求(內外網權限、網卡數量、IP地址等)使用期限等信息。
[0064]2)自服務門戶211通過IF1以webservice方式將相應的申請信息傳遞至管理門戶 212。
[0065]3)系統管理員在管理門戶212對用戶的云主機申請進行審核,審核通過后,在管理門戶對用戶的申請進行施工操作。
[0066]4)云管理平臺21按照用戶要求為用戶生成相應的云主機。
[0067]5)檢查用戶是否有VPN設備賬號,如果有,云管理平臺21通過接口 IF2(可視VPN 設備的特點采用hppts連接串的方式或者webservice方式),則將VPN設備賬號綁定至云平臺專用的用戶組,如果沒有,云管理平臺21通過接口 IF2在VPN設備22上為云主機的用戶創建VPN設備賬號、密碼及訪問權限,并將VPN設備賬號綁定至云平臺專用的用戶組。用戶創建成功之后,VPN設備返回云平臺登陸VPN設備使用的URL。(VPN設備中,用戶和用戶組,策略是按用戶組來進行;用戶組對用戶數無限制,VPN設備系統中預先對云平臺設定了一個云平臺專用的用戶組,其訪問策略是可以對4A設備23和堡皇機24進行訪問)。
[0068]6)檢查云平臺管理平臺21是否為用戶在4A設備23中創建了主賬號(4A設備中資源使用者的賬號稱為主賬號),如果沒有,通過接口 IF3在4A設備23中為用戶創建主賬號。
[0069]7)將新創建的云主機的信息及賬號通過接口 IF3同步至4A設備23,同步的信息包括云主機所屬的業務域、業務系統的名稱及編號、資源名稱、主機名稱、資源類型 (windows 主機、liunx 主機、數據庫等)、系統類型(Windows、Redhat、Suse Linux、Ubuntu、 Oracle、DB2、Sybase、Sqlserver、infomix、MySQL 等)、IP 地址、負責人、訪問協議、4A 管理賬號、最高權限賬號、切換管理賬號模式(su模式;super模式;enable模式)、默認工作目錄、默認shell、數據庫或實例名、數據庫端口等信息。為保證信息安全,同步過程涉及的密碼均采用DES加密,同步成功后,4A設備23會定期自動修改云主機的登陸密碼,確保信息安全。
[0070]8)云管理平臺21通過短信網關和郵件網關向用戶發送短信和郵件,通知用戶VPN 設備22登陸信息(URL、用戶名,密碼),4A設備23登陸信息(URL、用戶名、密碼)以及申請主機的IP地址,主機名等信息。
[0071]9)用戶在外網使用云主機時,首先在外網登陸VPN設備22,進入內網,然后登陸4A 進行系統認證,認證通過后,通過堡皇機24對云主機進行操作。如果用戶通過云管理平臺 21的自服務門戶登錄所申請的云主機,則云管理平臺21自動完成VPN設備22和4A設備 23的登陸,通過遠程登陸空間顯示堡皇機24的登陸界面。登陸云主機過程如圖中cl,c2, c3, c4所示。
[0072]10)為確保云管理平臺21記錄完成的審計信息,4A設備23會通過IF4定時向云管理平臺21以syslog的方式發送堡皇機24的審計日志,發送內容包括:事件類別、事件類型、事件開始及結束時間、源及目的IP、Mac地址,端口,主賬號、從賬號、操作名稱、操作類另IJ、認證狀態、事件級別等信息。云管理平臺21接受到相應的審計信息后后,將該信息整合進平臺的審計日志中。
[0073]11)為確保4A設備23與云管理平臺21數據一致,在上述實時同步的基礎上,云管理平臺21定期將用戶和資源信息通過接口 IF3全量傳遞給4A設備23 (通過ftp方式),4A 設備23逐條核對相關信息。
[0074]12)若用戶申請的云主機注銷之后,云管理平臺21通過IF3接口將4A中的資源信息刪除。
[0075]13)若用戶不再擁有資源池中任何資源,經審批之后,分別通過IF3和IF2接口刪除4A主賬號及VPN設備22賬號。
[0076]3.用戶在內網,申請、使用用高安全等級區域的云主機
[0077]此種情況與用戶在外網的情況類似,但是由于在內網,用戶不需要首先登陸VPN 設備22,可以直接登陸4A,然后通過堡皇機24對系統進行操作,登陸云主機的過程如圖中 dl,d2, d3所示。因此,內網情況下,涉及云管理平臺21與VPN設備22的交互與數據同步均不需要,其余過程與外網情況下相同。
[0078]如圖3所示為本發明一種云平臺管理系統的結構模塊圖,包括:
[0079]云主機生成請求獲取模塊301,用于:云管理平臺接收到云主機生成請求,在云計算資源池滿足所述云主機生成請求所要求訪問的安全等級區內創建云主機,如果所述云主機生成請求所要求訪問的安全等級區為第一安全等級區,則執行第一安全等級區創建模塊,如果所述云主機生成請求所要求訪問的安全等級區為第二安全等級區,則執行第二安全等級區創建模塊,所述第二安全等級區的安全等級高于所述第一安全等級區;
[0080]第一安全等級區創建模塊302,用于:獲取所述云主機生成請求所包括的用戶聯系信息,向所述用戶聯系信息發送關于所述云主機的IP地址、主機名、云主機登錄帳號和云主機登錄密碼;
[0081]第二安全等級區創建模塊303,用于:
[0082]獲取在與所述云計算資源池連接的虛擬專用網絡設備上使用,且與所述云主機生成請求相關的虛擬專用網絡賬號和虛擬專用網絡密碼,將所述虛擬專用網絡賬號綁定至虛擬專用網絡設備上的云平臺專用用戶組,所述云平臺專用用戶組所使用的訪問策略為可訪問與所述云計算資源池依次連接的4A安全管理平臺設備和堡皇機;
[0083]獲取云管理平臺在所述4A安全管理平臺設備上使用,且與所述云主機生成請求相關的4A安全管理平臺設備賬號和4A安全管理平臺設備密碼,將所述云主機的IP地址、 主機名、云主機登錄帳號和云主機登錄密碼同步至所述4A安全管理平臺設備;
[0084]根據所述云主機生成請求所包括的用戶聯系信息,向所述用戶聯系信息發送虛擬專用網絡賬號、虛擬專用網絡密碼、虛擬專用網絡設備登錄地址、4A安全管理平臺設備賬號、4A安全管理平臺設備密碼、4A安全管理平臺設備登錄地址、所述云主機的IP地址和主機名。
[0085]在其中一個實施例中,云管理平臺將生成的云主機登陸賬號和云主機密碼同步至 4A安全管理平臺,4A安全管理平臺設備立即修改所述云主機密碼并定期修改所述云主機密碼。
[0086]在其中一個實施例中:
[0087]所述第二安全等級區創建模塊中,虛擬專用網絡賬號和所述虛擬專用網絡密碼采用如下方式獲取:
[0088]檢查所述云主機生成請求的用戶是否具有虛擬專用網絡賬號和虛擬專用網絡密碼,如果具有,則使用已有的虛擬專用網絡賬號和虛擬專用網絡密碼,如果不具有,則在所述虛擬專用網絡設備上,生成虛擬專用網絡賬號和虛擬專用網絡密碼;
[0089]所述第二安全等級區創建模塊中,4A安全管理平臺設備賬號和4A安全管理平臺設備密碼采用如下方式獲取:
[0090]檢查所述云主機生成請求的用戶是否具有4A安全管理平臺設備賬號和4A安全管理平臺設備密碼,如果具有,則使用已有的4A安全管理平臺設備賬號和4A安全管理平臺設備密碼,如果不具有,則在所述4A安全管理平臺設備上,生成4A安全管理平臺設備賬號和4A安全管理平臺設備密碼。
[0091]在其中一個實施例中,還包括:
[0092]所述4A安全管理平臺設備定時從所述堡皇機獲取堡皇機審計日志并發送到所述云管理平臺,所述云管理平臺將所獲取的堡皇機審計日志整合進云管理平臺審計日志。
[0093]在其中一個實施例中,還包括:
[0094]訪問請求模塊,用于:響應于訪問請求,檢查所述訪問請求所要求訪問的安全等級區;
[0095]如果所述訪問請求所要求訪問的安全等級區域為第一安全等級區域,則顯示用于訪問所述第一安全等級區域內的云主機的遠程登錄用戶端的顯示界面;
[0096]如果所述訪問請求所要求訪問的安全等級區域為第二安全等級區域,則依據所述云管理平臺記錄的虛擬專用網絡賬號和虛擬專用網絡密碼,登錄所述虛擬專用網絡設備, 成功登錄虛擬專用網絡設備后,依據云管理平臺記錄的4A安全管理平臺設備賬號和4A安全管理平臺設備密碼登陸所述4A安全管理平臺設備,依據記錄在所述4A安全管理平臺設備上的云主機賬號和云主機密碼,通過堡皇機登陸所述云主機,成功登錄所述4A安全管理平臺設備后,通過堡皇機顯示用于訪問所述第二安全等級區的云主機的界面。堡皇機全程記錄下用戶操作該云主機的審計信息。
[0097]4A安全管理平臺設備4A安全管理平臺設備4A安全管理平臺設備4A安全管理平臺設備4A安全管理平臺設備4A安全管理平臺設備
[0098]以上所述實施例僅表達了本發明的幾種實施方式,其描述較為具體和詳細,但并不能因此而理解為對本發明專利范圍的限制。應當指出的是,對于本領域的普通技術人員來說,在不脫離本發明構思的前提下,還可以做出若干變形和改進,這些都屬于本發明的保護范圍。因此,本發明專利的保護范圍應以所附權利要求為準。
【主權項】
1.一種云平臺管理方法,其特征在于,包括:云主機生成請求獲取步驟,包括:云管理平臺接收到云主機生成請求,在云計算資源池 滿足所述云主機生成請求所要求訪問的安全等級區內創建云主機,如果所述云主機生成請 求所要求訪問的安全等級區為第一安全等級區,則執行第一安全等級區創建步驟,如果所 述云主機生成請求所要求訪問的安全等級區為第二安全等級區,則執行第二安全等級區創 建步驟,所述第二安全等級區的安全等級高于所述第一安全等級區;第一安全等級區創建步驟,包括:獲取所述云主機生成請求所包括的用戶聯系信息,向 所述用戶聯系信息發送關于所述云主機的IP地址、主機名、云主機登錄帳號和云主機登錄 密碼;第二安全等級區創建步驟,包括:獲取在與所述云計算資源池連接的虛擬專用網絡設備上使用,且與所述云主機生成請 求相關的虛擬專用網絡賬號和虛擬專用網絡密碼,將所述虛擬專用網絡賬號綁定至虛擬專 用網絡設備上的云平臺專用用戶組,所述云平臺專用用戶組所使用的訪問策略為可訪問與 所述云計算資源池依次連接的4A安全管理平臺設備和堡皇機;獲取云管理平臺在所述4A安全管理平臺設備上使用,且與所述云主機生成請求相關 的4A安全管理平臺設備賬號和4A安全管理平臺設備密碼,將所述云主機的IP地址、主機 名、云主機登錄帳號和云主機登錄密碼同步至所述4A安全管理平臺設備;根據所述云主機生成請求所包括的用戶聯系信息,向所述用戶聯系信息發送虛擬專用 網絡賬號、虛擬專用網絡密碼、虛擬專用網絡設備登錄地址、4A安全管理平臺設備賬號、4A 安全管理平臺設備密碼、4A安全管理平臺設備登錄地址、所述云主機的IP地址和主機名。2.根據權利要求1所述的云平臺管理方法,其特征在于,云管理平臺將生成的云主機 登陸賬號和云主機密碼同步至4A安全管理平臺,4A安全管理平臺設備立即修改所述云主 機密碼并定期修改所述云主機密碼。3.根據權利要求1所述的云平臺管理方法,其特征在于:所述第二安全等級區創建步驟中,虛擬專用網絡賬號和所述虛擬專用網絡密碼采用如 下方式獲取:檢查所述云主機生成請求的用戶是否具有所述虛擬專用網絡賬號和虛擬專用網絡密 碼,如果具有,則使用已有的虛擬專用網網絡賬號和虛擬專用網絡密碼,如果不具有,則在 所述虛擬專用網絡設備上,生成虛擬專用網絡賬號和虛擬專用網絡密碼;所述第二安全等級區創建步驟中,4A安全管理平臺設備賬號和4A安全管理平臺設備 密碼采用如下方式獲取:檢查所述云主機生成請求的用戶是否具有4A安全管理平臺設備賬號和4A安全管理平 臺設備密碼,如果具有,則使用已有的4A安全管理平臺設備賬號和4A安全管理平臺設備密 碼,如果不具有,則在所述4A安全管理平臺設備上,生成4A安全管理平臺設備賬號和4A安 全管理平臺設備密碼。4.根據權利要求1所述的云平臺管理方法,其特征在于,還包括:所述4A安全管理平臺設備定時從所述堡皇機獲取堡皇機審計日志并發送到所述云管 理平臺,所述云管理平臺將所獲取的堡皇機審計日志整合進云管理平臺審計日志。5.根據權利要求1所述的云平臺管理方法,其特征在于,還包括:訪問請求步驟,包括:響應于訪問請求,檢查所述訪問請求所要求訪問的安全等級區;如果所述訪問請求所要求訪問的安全等級區域為第一安全等級區域,則顯示用于訪問 所述第一安全等級區域內的云主機的遠程登錄用戶端的顯示界面;如果所述訪問請求所要求訪問的安全等級區域為第二安全等級區域,則依據所述云管 理平臺記錄的虛擬專用網絡賬號和虛擬專用網絡密碼,登錄所述虛擬專用網絡設備,成功 登錄虛擬專用網絡設備后,依據云管理平臺記錄的4A安全管理平臺設備賬號和4A安全管 理平臺設備密碼登陸所述4A安全管理平臺設備,依據記錄在所述4A安全管理平臺設備上 的云主機賬號和云主機密碼,通過堡皇機登陸所述云主機,成功登錄所述4A安全管理平臺 設備后,通過堡皇機顯示用于訪問所述第二安全等級區的云主機的界面。6.—種云平臺管理系統,其特征在于,包括:云主機生成請求獲取模塊,用于:云管理平臺接收到云主機生成請求,在云計算資源池 滿足所述云主機生成請求所要求訪問的安全等級區內創建云主機,如果所述云主機生成請 求所要求訪問的安全等級區為第一安全等級區,則執行第一安全等級區創建模塊,如果所 述云主機生成請求所要求訪問的安全等級區為第二安全等級區,則執行第二安全等級區創 建模塊,所述第二安全等級區的安全等級高于所述第一安全等級區;第一安全等級區創建模塊,用于:獲取所述云主機生成請求所包括的用戶聯系信息,向 所述用戶聯系信息發送關于所述云主機的IP地址、主機名、云主機登錄帳號和云主機登錄 密碼;第二安全等級區創建模塊,用于:獲取在與所述云計算資源池連接的虛擬專用網絡設備上使用,且與所述云主機生成請 求相關的虛擬專用網絡賬號和虛擬專用網絡密碼,將所述虛擬專用網絡賬號綁定至虛擬專 用網絡設備上的云平臺專用用戶組,所述云平臺專用用戶組所使用的訪問策略為可訪問與 所述云計算資源池依次連接的4A安全管理平臺設備和堡皇機;獲取云管理平臺在所述4A安全管理平臺設備上使用,且與所述云主機生成請求相關 的4A安全管理平臺設備賬號和4A安全管理平臺設備密碼,將所述云主機的IP地址、主機 名、云主機登錄帳號和云主機登錄密碼同步至所述4A安全管理平臺設備;根據所述云主機生成請求所包括的用戶聯系信息,向所述用戶聯系信息發送虛擬專用 網絡賬號、虛擬專用網絡密碼、虛擬專用網絡設備登錄地址、4A安全管理平臺設備賬號、4A 安全管理平臺設備密碼、4A安全管理平臺設備登錄地址、所述云主機的IP地址和主機名。7.根據權利要求6所述的云平臺管理系統,其特征在于,云管理平臺將生成的云主機 登陸賬號和云主機密碼同步至4A安全管理平臺,4A安全管理平臺設備立即修改所述云主 機密碼并定期修改所述云主機密碼。8.根據權利要求6所述的云平臺管理系統,其特征在于:所述第二安全等級區創建模塊中,虛擬專用網絡賬號和所述虛擬專用網絡密碼采用如 下方式獲取:檢查所述云主機生成請求的用戶是否具有所述虛擬專用網絡賬號和虛擬專用網絡密 碼,如果具有,則使用已有的虛擬專用網絡賬號和虛擬專用網絡密碼,如果不具有,則在所 述虛擬專用網絡設備上,生成虛擬專用網絡賬號和虛擬專用網絡密碼;所述第二安全等級區創建模塊中,4A安全管理平臺設備賬號和4A安全管理平臺設備密碼采用如下方式獲取:檢查所述云主機生成請求的用戶是否具有4A安全管理平臺設備賬號和4A安全管理平 臺設備密碼,如果具有,則使用已有的4A安全管理平臺設備賬號和4A安全管理平臺設備密 碼,如果不具有,則在所述4A安全管理平臺設備上,生成4A安全管理平臺設備賬號和4A安 全管理平臺設備密碼。9.根據權利要求6所述的云平臺管理系統,其特征在于,還包括:所述4A安全管理平臺設備定時從所述堡皇機獲取堡皇機審計日志并發送到所述云管 理平臺,所述云管理平臺將所獲取的堡皇機審計日志整合進云管理平臺審計日志。10.根據權利要求6所述的云平臺管理系統,其特征在于,還包括:訪問請求模塊,用于:響應于訪問請求,檢查所述訪問請求所要求訪問的安全等級區;如果所述訪問請求所要求訪問的安全等級區域為第一安全等級區域,則顯示用于訪問 所述第一安全等級區域內的云主機的遠程登錄用戶端的顯示界面;如果所述訪問請求所要求訪問的安全等級區域為第二安全等級區域,則依據所述云管 理平臺記錄的虛擬專用網絡賬號和虛擬專用網絡密碼,登錄所述虛擬專用網絡設備,成功 登錄虛擬專用網絡設備后,依據云管理平臺記錄的4A安全管理平臺設備賬號和4A安全管 理平臺設備密碼登陸所述4A安全管理平臺設備,依據記錄在所述4A安全管理平臺設備上 的云主機賬號和云主機密碼,通過堡皇機登陸所述云主機,成功登錄所述4A安全管理平臺 設備后,通過堡皇機顯示用于訪問所述第二安全等級區的云主機的界面。
【文檔編號】H04L29/08GK105991734SQ201510085477
【公開日】2016年10月5日
【申請日】2015年2月16日
【發明人】梅樹燦, 郝偉勇, 鐘堅, 鄒國棟, 顏燕, 冼天友, 杜桂山
【申請人】廣東億迅科技有限公司