技术领域
[0001] 本
发明涉及
云计算技术领域,具体地,涉及基于安全态势感知的计算环境重构动态防御方法及系统。
背景技术
[0002] 现有的计算中心普遍采用云计算技术,主要是虚拟化技术和容器技术对资源
[0003] 进行统一调度和弹性分配。虚拟化技术在提高设备利用率及部署灵活性的同时,也引入带来了新的安全性的挑战。虚拟化环境除了要面临常规安全威胁,还会面临
虚拟机跳跃攻击、虚拟机逃逸攻击等新的针对虚拟化环境的安全威胁。由于处在同一Hypervisor都是基于共享内存,虚拟交换连接的,虚拟机跳跃攻击者就可以利用Hypervisor的
缺陷获取同一Hypervisor上其他虚拟机的
访问权限,攻击其他虚拟机或窃取秘密数据。虚拟机逃逸攻击是指攻击者利用Hypervisor的实现缺陷,利用非法参数造成Hypervisor缓冲区溢出从而逃逸出虚拟机,直接控制虚拟机所在的物理机,逃逸出虚拟机后攻击者就可以以物理宿主机作为跳板机对整个
数据中心造成威胁,目前针对数据中心的安全方法,常规的做法还是打
补丁,但由于目前攻防的不对称性,防守方一直处于被动地位,因此有必要找到一种新的方法来弥补常规安全方法的不足。
[0004] 针对上述
现有技术中的缺陷,本发明要解决的技术问题体现在以下几点:
[0005] 1)在计算中心物理层,采用不同厂家,不同型号的CPU实现物理层的异构,通过业务的迁移来实现物理层的重构;
[0006] 2)通过虚拟化异构动态热迁移实现虚拟化Hypervisor的重构,通过容器动态服务技术实现容器的重构;
[0007] 3)通过在虚拟化镜像中安装相关驱动实现CPU,内存和重要外设的热拔插,通过动态改变容器的CPU和内存,外设的配额来实现容器的热拔插。
[0008] 4)整个计算环境重构依赖于系统对安全态势的感知,不同的安全态势对应不同的重构
频率,通过相关的重构
控制器实现了从物理层,控制层,平台层的不同层次的重构从而有效的弥补了常规安全手段的不足。
[0009] 相关检索结果:
[0010]
申请(
专利)号:201410206795.1,名称:一种异构CPU
服务器集群中虚拟机的热迁移方法及装置
[0011]
摘要:本发明公开了一种异构CPU服务器集群中虚拟机的热迁移方法,包括:获取当前集群中全部CPU的操作指令集;计算出全部所述操作指令集的最大交集以作为当前集群的CPU指令集基线;在所述CPU指令集基线范围内选取一个目标虚拟机操作指令集,
指定给各所述虚拟机以启动当前集群中的各虚拟机;当接收到热迁移指令时,控制目标
虚拟机迁移至目标服务器中。由此可见,当虚拟机在热迁移时,不需要考虑目标迁移服务器对应的CPU操作指令集,可以直接进行热迁移,避免了由于异构CPU而造成的迁移失败的问题,从而提高集群的
稳定性。此外,本发明还公开一种异构CPU服务器集群中虚拟机的热迁移装置,效果如上所述。
[0012] 技术要点比较:
[0013] 1.技术手段目的不同:检索专利主要是保证云中心不同CPU架构的兼容性,而本发明中CPU异构迁移只是实现计算环境重构的技术手段,此外还涉及了设备,内存等重构,容器的异构迁移,最终的目的是弥补常规安全措施的不足。
[0014] 2.异构范围不同:检索专利中实现异构CPU迁移的前提是相同的指令集,只是CPU某一些特征不同,而本发明中的异构是从物理层到应用层的异构并且支持不同指令集的异构CPU。
发明内容
[0015] 针对现有技术中的缺陷,本发明的目的是提供一种基于安全态势感知的计算环境重构动态防御方法及系统。
[0016] 根据本发明提供的一种基于安全态势感知的计算环境重构动态防御方法,包括:
[0017] 物理层异构步骤:进行计算环境的物理层异构,在数据中心中将物理设备按云计算技术的不同分为虚拟化和容器组;
[0018] 管理系统重构步骤:在计算环境的物理层异构的
基础上实现重构管理系统;
[0019] 虚拟化技术下重构步骤:在实现重构管理系统的基础上实现虚拟化技术下的计算环境重构,包括:Hypervisor的重构,CPU、内存和外设的重构;
[0020] 容器技术下重构步骤:在实现重构管理系统的基础上实现容器技术下的计算环境重构,主要包括容器的重构,CPU、内存和外设的重构。
[0021] 优选地,所述虚拟化组的物理机的CPU架构采用AMD和Intel的产品;
[0022] 虚拟化组中按采用的虚拟化技术的不同打上不同的标志,包括:VMWARE、KVM、XEN;
[0023] 所述容器组中CPU架构采用国产化的架构,为申威和飞腾。
[0024] 优选地,所述管理系统包括:
[0025] 安全态势感知接收器、策略控制器、调度控制器和操控相关虚拟化和容器的驱动;
[0026] 策略控制器根据预设配置将安全态势数据转化为不同的重构调度频率并通知调度控制器,系统调度器根据不同的调度频率来控制计算环境的重构;
[0027] 所述管理系统接收安全态势数据,根据相关策略由调度控制器控制虚拟化技术和容器技术下的计算环境重构。
[0028] 优选地,所述虚拟化技术下重构步骤:
[0029] Hypervisor重构步骤:通过虚拟机的异构热迁移实现Hypervisor的重构,针对不同的Hypervisor架构实现不同的Agent,热迁移控制器由调度控制器统一管理,调度控制器根据设置的重构调度频率周期性的向热迁移控制器发出异构热迁移指令,热迁移控制器接收指令后选择运行的虚拟机作为源Agent,如果源Agent的类型为XEN则选择KVM类型的虚拟机作为目的Agent,如果源Agent的类型为KVM则选择XEN类型的虚拟机作为目的Agent,直到系统的所有虚拟机全部完成迁移;源Agent从热迁移控制器获取相关的迁移命令和参数,启动热迁移,目的Agent将创建和源相同规格的虚拟机,并将虚拟机状态设置为挂起,源Agent将相关的热迁移的数据、内存数据、设备状态数据和CPU状态数据从相关的Hypervisor获取并转化为系统统一的格式传送给目的端的Agent,目的端Agent接收后数据后将数据转化为本地Hypervisor的数据通过相关
接口传递给本地Hypervisor,当所有数据迁移完成后,目的Agent将挂起的虚拟机设置为运行状态,此时以前运行在XEN上的虚拟机迁移到了KVM上面,KVM上面的虚拟机迁移到了XEN上完成了Hypervisor的重构;
[0030] CPU和内存重构步骤:Hypervisor的重构完成后进行CPU和内存的重构,设计针对虚拟化的CPU热拔插Agent并安装到虚拟化镜像中,Agent从调度控制器收到重构命令后通过相关的API将CPU状态动态进行
修改,从而实现CPU的热拔插从而完成CPU的重构,通过虚拟化的气球驱动动态改变虚拟机内存大小实现内存的重构;
[0031] 虚拟机外设重构步骤:CPU和内存的重构后实现虚拟机外设的重构,设计针对虚拟化的外设热拔插Agent并安装到虚拟化镜像中,针对外设实现部署多个异构的虚拟化
硬件比如网卡,该Agent从调度控制器接收到重构命令后通过设备驱动启用,停用设备实现外设的热拔插和重构。
[0032] 优选地,所述容器技术下重构步骤::
[0033] 容器重构步骤:通过动态服务技术来实现容器的重构,事先针对同一应用部署多套异构的镜像,这一些应用必须满足无状态或自己负责状态的同步,当需要重构时重构管理系统中的相关控制器通过相关的接口从部署的多个应用中选择出一个作为对外提供的服务并负责相关的IP转化,使应用对外的IP不变,通过这种动态服务技术实现了容器的重构;
[0034] CPU和内存重构步骤:容器重构后,进行容器的CPU和内存的重构,针对容器技术在重构管理系统中设计相关的容器驱动通过Cgroup技术同时修改容器的CPU和内存的配额,导致容器使用CPU,内存的数量发生改变,容器重构后以前运行在Intel上面的容器现在运行在申威或飞腾的处理器上面,通过Cgroup技术对容器使用的CPU数量,内存使用的数量做了修改从而实现了容器的CPU和内存的重构;
[0035] 容器外设重构步骤:容器的CPU和内存的重构后,进行容器的外设重构,事先在容器部署的物理机上部署多个异构的硬件,通过修改Cgroup的device子系统的允许访问设备列表和禁止访问设备列表来实现容器的外设重构,当外设重构时重构管理系统中的容器驱动交换异构硬件在允许访问设备列表和禁止访问设备列表中的
位置,从而使以前不能访问的硬件变为可访问,以前能访问的硬件变为不能访问从而实现容器的外设重构。
[0036] 根据本发明提供的一种基于安全态势感知的计算环境重构动态防御系统,包括:
[0037] 物理层异构模
块:进行计算环境的物理层异构,在数据中心中将物理设备按云计算技术的不同分为虚拟化和容器组;
[0038] 管理系统重构模块:在计算环境的物理层异构的基础上实现重构管理系统;
[0039] 虚拟化技术下重构模块:在实现重构管理系统的基础上实现虚拟化技术下的计算环境重构,包括:Hypervisor的重构,CPU、内存和外设的重构;
[0040] 容器技术下重构模块:在实现重构管理系统的基础上实现容器技术下的计算环境重构,主要包括容器的重构,CPU、内存和外设的重构。
[0041] 优选地,所述虚拟化组的物理机的CPU架构采用AMD和Intel的产品;
[0042] 虚拟化组中按采用的虚拟化技术的不同打上不同的标志,包括:VMWARE、KVM、XEN;
[0043] 所述容器组中CPU架构采用国产化的架构,为申威和飞腾。
[0044] 优选地,所述管理系统包括:
[0045] 安全态势感知接收器、策略控制器、调度控制器和操控相关虚拟化和容器的驱动;
[0046] 策略控制器根据预设配置将安全态势数据转化为不同的重构调度频率并通知调度控制器,系统调度器根据不同的调度频率来控制计算环境的重构;
[0047] 所述管理系统接收安全态势数据,根据相关策略由调度控制器控制虚拟化技术和容器技术下的计算环境重构。
[0048] 优选地,所述虚拟化技术下重构模块:
[0049] Hypervisor重构模块:通过虚拟机的异构热迁移实现Hypervisor的重构,针对不同的Hypervisor架构实现不同的Agent,热迁移控制器由调度控制器统一管理,调度控制器根据设置的重构调度频率周期性的向热迁移控制器发出异构热迁移指令,热迁移控制器接收指令后选择运行的虚拟机作为源Agent,如果源Agent的类型为XEN则选择KVM类型的虚拟机作为目的Agent,如果源Agent的类型为KVM则选择XEN类型的虚拟机作为目的Agent,直到系统的所有虚拟机全部完成迁移;源Agent从热迁移控制器获取相关的迁移命令和参数,启动热迁移,目的Agent将创建和源相同规格的虚拟机,并将虚拟机状态设置为挂起,源Agent将相关的热迁移的数据、内存数据、设备状态数据和CPU状态数据从相关的Hypervisor获取并转化为系统统一的格式传送给目的端的Agent,目的端Agent接收后数据后将数据转化为本地Hypervisor的数据通过相关接口传递给本地Hypervisor,当所有数据迁移完成后,目的Agent将挂起的虚拟机设置为运行状态,此时以前运行在XEN上的虚拟机迁移到了KVM上面,KVM上面的虚拟机迁移到了XEN上完成了Hypervisor的重构;
[0050] CPU和内存重构模块:Hypervisor的重构完成后进行CPU和内存的重构,设计针对虚拟化的CPU热拔插Agent并安装到虚拟化镜像中,Agent从调度控制器收到重构命令后通过相关的API将CPU状态动态进行修改,从而实现CPU的热拔插从而完成CPU的重构,通过虚拟化的气球驱动动态改变虚拟机内存大小实现内存的重构;
[0051] 虚拟机外设重构模块:CPU和内存的重构后实现虚拟机外设的重构,设计针对虚拟化的外设热拔插Agent并安装到虚拟化镜像中,针对外设实现部署多个异构的虚拟化硬件比如网卡,该Agent从调度控制器接收到重构命令后通过设备驱动启用,停用设备实现外设的热拔插和重构。
[0052] 优选地,所述容器技术下重构模块::
[0053] 容器重构模块:通过动态服务技术来实现容器的重构,事先针对同一应用部署多套异构的镜像,这一些应用必须满足无状态或自己负责状态的同步,当需要重构时重构管理系统中的相关控制器通过相关的接口从部署的多个应用中选择出一个作为对外提供的服务并负责相关的IP转化,使应用对外的IP不变,通过这种动态服务技术实现了容器的重构;
[0054] CPU和内存重构模块:容器重构后,进行容器的CPU和内存的重构,针对容器技术在重构管理系统中设计相关的容器驱动通过Cgroup技术同时修改容器的CPU和内存的配额,导致容器使用CPU,内存的数量发生改变,容器重构后以前运行在Intel上面的容器现在运行在申威或飞腾的处理器上面,通过Cgroup技术对容器使用的CPU数量,内存使用的数量做了修改从而实现了容器的CPU和内存的重构;
[0055] 容器外设重构模块:容器的CPU和内存的重构后,进行容器的外设重构,事先在容器部署的物理机上部署多个异构的硬件,通过修改Cgroup的device子系统的允许访问设备列表和禁止访问设备列表来实现容器的外设重构,当外设重构时重构管理系统中的容器驱动交换异构硬件在允许访问设备列表和禁止访问设备列表中的位置,从而使以前不能访问的硬件变为可访问,以前能访问的硬件变为不能访问从而实现容器的外设重构。
[0056] 与现有技术相比,本发明具有如下的有益效果:
[0057] 1、本发明计算安全性提高:大大提高了云中心计算环境的安全性,通过不断的对计算环境从物理层到应用层的环境重构,大大降低了攻击者攻击成功的概率,增加了攻击的难度,是针对常规防御手段的有益补充。
[0058] 2、本发明计算资源利用率提高:由于重构过程需要不断的对计算环境进行迁移,因此整个计算中心的资源利用率又进一步提高,整个的迁移都是热迁移,用户基本不感知,如果将安全态势和计算负载结合对计算资源的利用会更加合理。
[0059] 3、本发明计算环境适配度提高:由于对计算环境的重构系统本身就需要适配不同的CPU和相关的
软件架构,而且大多数云中心本身就存在多种不同架构的机器,以前需要部署多
套管理软件进行管理,现在只需要部署一套软件进行管理,因此计算环境的适配度得到了提高。
附图说明
[0060] 通过阅读参照以下附图对非限制性
实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显:
[0061] 图1为本发明提供的安全态势感知计算环境异构架构示意图。
[0062] 图2为本发明提供的容器异构原理示意图。
[0063] 图3为本发明提供的虚拟化异构热迁移原理示意图。
具体实施方式
[0064] 下面结合具体实施例对本发明进行详细说明。以下实施例将有助于本领域的技术人员进一步理解本发明,但不以任何形式限制本发明。应当指出的是,对本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变化和改进。这些都属于本发明的保护范围。
[0065] 根据本发明提供的一种基于安全态势感知的计算环境重构动态防御方法,包括:
[0066] 物理层异构步骤:进行计算环境的物理层异构,在数据中心中将物理设备按云计算技术的不同分为虚拟化和容器组;
[0067] 管理系统重构步骤:在计算环境的物理层异构的基础上实现重构管理系统;
[0068] 虚拟化技术下重构步骤:在实现重构管理系统的基础上实现虚拟化技术下的计算环境重构,包括:Hypervisor的重构,CPU、内存和外设的重构;
[0069] 容器技术下重构步骤:在实现重构管理系统的基础上实现容器技术下的计算环境重构,主要包括容器的重构,CPU、内存和外设的重构。
[0070] 具体地,所述虚拟化组的物理机的CPU架构采用AMD和Intel的产品;
[0071] 虚拟化组中按采用的虚拟化技术的不同打上不同的标志,包括:VMWARE、KVM、XEN;
[0072] 所述容器组中CPU架构采用国产化的架构,为申威和飞腾。
[0073] 具体地,所述管理系统包括:
[0074] 安全态势感知接收器、策略控制器、调度控制器和操控相关虚拟化和容器的驱动;
[0075] 策略控制器根据预设配置将安全态势数据转化为不同的重构调度频率并通知调度控制器,系统调度器根据不同的调度频率来控制计算环境的重构;
[0076] 所述管理系统接收安全态势数据,根据相关策略由调度控制器控制虚拟化技术和容器技术下的计算环境重构。
[0077] 具体地,所述虚拟化技术下重构步骤:
[0078] Hypervisor重构步骤:通过虚拟机的异构热迁移实现Hypervisor的重构,针对不同的Hypervisor架构实现不同的Agent,热迁移控制器由调度控制器统一管理,调度控制器根据设置的重构调度频率周期性的向热迁移控制器发出异构热迁移指令,热迁移控制器接收指令后选择运行的虚拟机作为源Agent,如果源Agent的类型为XEN则选择KVM类型的虚拟机作为目的Agent,如果源Agent的类型为KVM则选择XEN类型的虚拟机作为目的Agent,直到系统的所有虚拟机全部完成迁移;源Agent从热迁移控制器获取相关的迁移命令和参数,启动热迁移,目的Agent将创建和源相同规格的虚拟机,并将虚拟机状态设置为挂起,源Agent将相关的热迁移的数据、内存数据、设备状态数据和CPU状态数据从相关的Hypervisor获取并转化为系统统一的格式传送给目的端的Agent,目的端Agent接收后数据后将数据转化为本地Hypervisor的数据通过相关接口传递给本地Hypervisor,当所有数据迁移完成后,目的Agent将挂起的虚拟机设置为运行状态,此时以前运行在XEN上的虚拟机迁移到了KVM上面,KVM上面的虚拟机迁移到了XEN上完成了Hypervisor的重构;
[0079] CPU和内存重构步骤:Hypervisor的重构完成后进行CPU和内存的重构,设计针对虚拟化的CPU热拔插Agent并安装到虚拟化镜像中,Agent从调度控制器收到重构命令后通过相关的API将CPU状态动态进行修改,从而实现CPU的热拔插从而完成CPU的重构,通过虚拟化的气球驱动动态改变虚拟机内存大小实现内存的重构;
[0080] 虚拟机外设重构步骤:CPU和内存的重构后实现虚拟机外设的重构,设计针对虚拟化的外设热拔插Agent并安装到虚拟化镜像中,针对外设实现部署多个异构的虚拟化硬件比如网卡,该Agent从调度控制器接收到重构命令后通过设备驱动启用,停用设备实现外设的热拔插和重构。
[0081] 具体地,所述容器技术下重构步骤::
[0082] 容器重构步骤:通过动态服务技术来实现容器的重构,事先针对同一应用部署多套异构的镜像,这一些应用必须满足无状态或自己负责状态的同步,当需要重构时重构管理系统中的相关控制器通过相关的接口从部署的多个应用中选择出一个作为对外提供的服务并负责相关的IP转化,使应用对外的IP不变,通过这种动态服务技术实现了容器的重构;
[0083] CPU和内存重构步骤:容器重构后,进行容器的CPU和内存的重构,针对容器技术在重构管理系统中设计相关的容器驱动通过Cgroup技术同时修改容器的CPU和内存的配额,导致容器使用CPU,内存的数量发生改变,容器重构后以前运行在Intel上面的容器现在运行在申威或飞腾的处理器上面,通过Cgroup技术对容器使用的CPU数量,内存使用的数量做了修改从而实现了容器的CPU和内存的重构;
[0084] 容器外设重构步骤:容器的CPU和内存的重构后,进行容器的外设重构,事先在容器部署的物理机上部署多个异构的硬件,通过修改Cgroup的device子系统的允许访问设备列表和禁止访问设备列表来实现容器的外设重构,当外设重构时重构管理系统中的容器驱动交换异构硬件在允许访问设备列表和禁止访问设备列表中的位置,从而使以前不能访问的硬件变为可访问,以前能访问的硬件变为不能访问从而实现容器的外设重构。
[0085] 本发明提供的基于安全态势感知的计算环境重构动态防御系统,可以通过本发明给的基于安全态势感知的计算环境重构动态防御方法的步骤流程实现。本领域技术人员可以将所述基于安全态势感知的计算环境重构动态防御方法,理解为所述基于安全态势感知的计算环境重构动态防御系统的一个优选例。
[0086] 根据本发明提供的一种基于安全态势感知的计算环境重构动态防御系统,包括:
[0087] 物理层异构模块:进行计算环境的物理层异构,在数据中心中将物理设备按云计算技术的不同分为虚拟化和容器组;
[0088] 管理系统重构模块:在计算环境的物理层异构的基础上实现重构管理系统;
[0089] 虚拟化技术下重构模块:在实现重构管理系统的基础上实现虚拟化技术下的计算环境重构,包括:Hypervisor的重构,CPU、内存和外设的重构;
[0090] 容器技术下重构模块:在实现重构管理系统的基础上实现容器技术下的计算环境重构,主要包括容器的重构,CPU、内存和外设的重构。
[0091] 具体地,所述虚拟化组的物理机的CPU架构采用AMD和Intel的产品;
[0092] 虚拟化组中按采用的虚拟化技术的不同打上不同的标志,包括:VMWARE、KVM、XEN;
[0093] 所述容器组中CPU架构采用国产化的架构,为申威和飞腾。
[0094] 具体地,所述管理系统包括:
[0095] 安全态势感知接收器、策略控制器、调度控制器和操控相关虚拟化和容器的驱动;
[0096] 策略控制器根据预设配置将安全态势数据转化为不同的重构调度频率并通知调度控制器,系统调度器根据不同的调度频率来控制计算环境的重构;
[0097] 所述管理系统接收安全态势数据,根据相关策略由调度控制器控制虚拟化技术和容器技术下的计算环境重构。
[0098] 具体地,所述虚拟化技术下重构模块:
[0099] Hypervisor重构模块:通过虚拟机的异构热迁移实现Hypervisor的重构,针对不同的Hypervisor架构实现不同的Agent,热迁移控制器由调度控制器统一管理,调度控制器根据设置的重构调度频率周期性的向热迁移控制器发出异构热迁移指令,热迁移控制器接收指令后选择运行的虚拟机作为源Agent,如果源Agent的类型为XEN则选择KVM类型的虚拟机作为目的Agent,如果源Agent的类型为KVM则选择XEN类型的虚拟机作为目的Agent,直到系统的所有虚拟机全部完成迁移;源Agent从热迁移控制器获取相关的迁移命令和参数,启动热迁移,目的Agent将创建和源相同规格的虚拟机,并将虚拟机状态设置为挂起,源Agent将相关的热迁移的数据、内存数据、设备状态数据和CPU状态数据从相关的Hypervisor获取并转化为系统统一的格式传送给目的端的Agent,目的端Agent接收后数据后将数据转化为本地Hypervisor的数据通过相关接口传递给本地Hypervisor,当所有数据迁移完成后,目的Agent将挂起的虚拟机设置为运行状态,此时以前运行在XEN上的虚拟机迁移到了KVM上面,KVM上面的虚拟机迁移到了XEN上完成了Hypervisor的重构;
[0100] CPU和内存重构模块:Hypervisor的重构完成后进行CPU和内存的重构,设计针对虚拟化的CPU热拔插Agent并安装到虚拟化镜像中,Agent从调度控制器收到重构命令后通过相关的API将CPU状态动态进行修改,从而实现CPU的热拔插从而完成CPU的重构,通过虚拟化的气球驱动动态改变虚拟机内存大小实现内存的重构;
[0101] 虚拟机外设重构模块:CPU和内存的重构后实现虚拟机外设的重构,设计针对虚拟化的外设热拔插Agent并安装到虚拟化镜像中,针对外设实现部署多个异构的虚拟化硬件比如网卡,该Agent从调度控制器接收到重构命令后通过设备驱动启用,停用设备实现外设的热拔插和重构。
[0102] 具体地,所述容器技术下重构模块::
[0103] 容器重构模块:通过动态服务技术来实现容器的重构,事先针对同一应用部署多套异构的镜像,这一些应用必须满足无状态或自己负责状态的同步,当需要重构时重构管理系统中的相关控制器通过相关的接口从部署的多个应用中选择出一个作为对外提供的服务并负责相关的IP转化,使应用对外的IP不变,通过这种动态服务技术实现了容器的重构;
[0104] CPU和内存重构模块:容器重构后,进行容器的CPU和内存的重构,针对容器技术在重构管理系统中设计相关的容器驱动通过Cgroup技术同时修改容器的CPU和内存的配额,导致容器使用CPU,内存的数量发生改变,容器重构后以前运行在Intel上面的容器现在运行在申威或飞腾的处理器上面,通过Cgroup技术对容器使用的CPU数量,内存使用的数量做了修改从而实现了容器的CPU和内存的重构;
[0105] 容器外设重构模块:容器的CPU和内存的重构后,进行容器的外设重构,事先在容器部署的物理机上部署多个异构的硬件,通过修改Cgroup的device子系统的允许访问设备列表和禁止访问设备列表来实现容器的外设重构,当外设重构时重构管理系统中的容器驱动交换异构硬件在允许访问设备列表和禁止访问设备列表中的位置,从而使以前不能访问的硬件变为可访问,以前能访问的硬件变为不能访问从而实现容器的外设重构。
[0106] 下面通过优选例,对本发明进行更为具体地说明。
[0107] 优选例1:
[0108] 基于安全态势感知的计算环境重构动态防御方法,本方法包括如下步骤:
[0109] 步骤1:实现计算环境的物理层异构,在数据中心中将物理设备按云计算技术的不同分成两个组,一个组为虚拟化组,一个组为容器组,在虚拟化组的物理机其CPU架构分别采用AMD和Intel的产品,虚拟化组中按采用的虚拟化技术的不同打上不同的标志,比如VMWARE,KVM,XEN。在容器组中CPU的架构采用完全国产化的架构分别为申威和飞腾。如图1所示,为本发明提供的安全态势感知计算环境异构架构示意图。
[0110] 步骤2:在计算环境的物理层异构的基础上实现重构管理系统,该管理系统包括了相关的安全态势感知接收器,策略控制器,调度控制器,以及能够操控相关虚拟化和容器的驱动,策略控制器根据配置(见表1)将安全态势数据转化为不同的重构调度频率并通知调度控制器,系统调度器根据不同的调度频率来控制计算环境的重构,整个管理系统的主要作用就是接收安全态势数据,根据相关策略由调度控制器控制虚拟化技术和容器技术下的计算环境重构。
[0111]
[0112] 表1重构调度配置
[0113] 步骤3:在实现重构管理系统的基础上实现虚拟化技术下的计算环境重构,主要包括Hypervisor的重构,CPU、内存和外设的重构。
[0114] 步骤3.1:通过虚拟机的异构热迁移实现Hypervisor的重构,针对不同的Hypervisor架构实现不同的Agent,热迁移控制器由调度控制器统一管理,调度控制器根据设置的重构调度频率周期性的向热迁移控制器发出异构热迁移指令,热迁移控制器接收指令后会选择运行的虚拟机作为源Agent,如果源Agent的类型为XEN则选择KVM类型的虚拟机作为目的Agent,如果源Agent的类型为KVM则选择XEN类型的虚拟机作为目的Agent,直到系统的所有虚拟机全部完成迁移。源Agent从热迁移控制器获取相关的迁移命令和参数,启动热迁移,目的Agent将创建和源相同规格的虚拟机,并将虚拟机状态设置为挂起,源Agent将相关的热迁移的数据,内存数据,设备状态数据,CPU状态数据从相关的Hypervisor获取并转化为系统统一的格式传送给目的端的Agent,目的端Agent接收后数据后将数据转化为本地Hypervisor的数据通过相关接口传递给本地Hypervisor,当所有数据迁移完成后,目的Agent将挂起的虚拟机设置为运行状态,此时以前运行在XEN上的虚拟机迁移到了KVM上面,KVM上面的虚拟机迁移到了XEN上完成了Hypervisor的重构。如图3所示,为本发明提供的虚拟化异构热迁移原理示意图。
[0115] 步骤3.2:Hypervisor的重构完成后进行CPU和内存的重构,设计针对虚拟化的CPU热拔插Agent并安装到虚拟化镜像中,Agent从调度控制器收到重构命令后通过相关的API将CPU状态动态进行修改,从而实现CPU的热拔插从而完成CPU的重构,通过虚拟化的气球驱动动态改变虚拟机内存大小实现内存的重构。
[0116] 步骤3.3:CPU和内存的重构后实现虚拟机外设的重构,设计针对虚拟化的外设热拔插Agent并安装到虚拟化镜像中,针对外设实现部署多个异构的虚拟化硬件比如网卡,该Agent从调度控制器接收到重构命令后通过设备驱动启用,停用设备实现外设的热拔插和重构。
[0117] 步骤4:在实现重构管理系统的基础上实现容器技术下的计算环境重构,主要包括容器的重构,CPU、内存和外设的重构。
[0118] 步骤4.1:通过动态服务技术来实现容器的重构,事先针对同一应用部署多套异构的镜像,这一些应用必须满足无状态或自己负责状态的同步,当需要重构时重构管理系统中的相关控制器通过相关的接口从部署的多个应用中选择出一个作为对外提供的服务并负责相关的IP转化,使应用对外的IP不变,通过这种动态服务技术实现了容器的重构。如图2所示,为本发明提供的容器异构原理示意图。
[0119] 步骤4.2:容器重构后,实现容器的CPU,内存的重构,针对容器技术在重构管理系统中设计相关的容器驱动通过Cgroup技术同时修改容器的CPU,内存的配额导致容器使用CPU,内存的数量发生改变,容器重构后以前运行在Intel上面的容器现在运行在申威或飞腾的处理器上面,通过Cgroup技术对容器使用的CPU数量,内存使用的数量做了修改从而实现了容器的CPU,内存的重构。
[0120] 步骤4.3:容器的CPU,内存的重构后,实现容器的外设重构,事先在容器部署的物理机上部署多个异构的硬件,通过修改Cgroup的device子系统的devices.allow(允许访问设备列表),devices.deny(禁止访问设备列表)来实现容器的外设重构,当外设重构时重构管理系统中的容器驱动交换异构硬件在devices.allow和devices.deny中的位置,从而使以前不能访问的硬件变为可访问,以前能访问的硬件变为不能访问从而实现容器的外设重构。
[0121] 优选例2:
[0122] 实现动态防御管理系统从第三方成熟的安全态势软件获取安全态势数据,根据策略控制重构,对于虚拟化的重构采用基于KVM和XEN两个开源软件做基础开发,两者外设的虚拟均采用了QEMU,但二者Hypervisor架构差异大,二者热迁移的协议差异也大,需要针对二者各自实现不同的Agent来统一热迁移协议,完成二者数据结构和状态数据的转化,容器重构可以采用红帽公司的开源软件Openshift,通过其提供的基于Restful的接口实现容器的重构。
[0123] 随着国产化CPU和其相关的生态环境的逐步普及,下一步可以实现基于全国产化的云计算中心动态防御方案。
[0124] 在本申请的描述中,需要理解的是,术语“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“
水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本申请和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本申请的限制。
[0125] 本领域技术人员知道,除了以纯计算机可读程序代码方式实现本发明提供的系统、装置及其各个模块以外,完全可以通过将方法步骤进行逻辑编程来使得本发明提供的系统、装置及其各个模块以
逻辑门、
开关、专用集成
电路、可编程逻辑控制器以及嵌入式
微控制器等的形式来实现相同程序。所以,本发明提供的系统、装置及其各个模块可以被认为是一种硬件部件,而对其内包括的用于实现各种程序的模块也可以视为硬件部件内的结构;也可以将用于实现各种功能的模块视为既可以是实现方法的软件程序又可以是硬件部件内的结构。
[0126] 以上对本发明的具体实施例进行了描述。需要理解的是,本发明并不局限于上述特定实施方式,本领域技术人员可以在
权利要求的范围内做出各种变化或修改,这并不影响本发明的实质内容。在不冲突的情况下,本申请的实施例和实施例中的特征可以任意相互组合。
