虚拟资源的访问控制方法及装置、存储介质、计算机设备

技术领域

本发明涉及一种虚拟资源处理技术领域，特别是涉及一种虚拟资源的访问控制方法及装置、存储介质、计算机设备。

背景技术

云计算管理平台整合了互联网应用三大核心要素：计算、存储、网络，向用户提供虚拟化资源，如虚拟出多个类似独立主机的部分，每个部分都可以做单独的操作系统，这种可以独立运行的部分称为虚拟机。但是，即使是虚拟资源也具有有限性，需要进行合理分配和访问控制。

现有技术中，对云计算管理平台中资源的分配和访问控制需要管理人员在后台进行人工控制和调整。但是，采用人工控制和调整的方式容易受到人为因素影响，在访问虚拟资源过程中引入误差，降低了资源访问的准确率，且访问效率不高。

发明内容

有鉴于此，本发明提供一种虚拟资源的访问控制方法及装置、存储介质、计算机设备，主要目的在于解决现有技术中人工对云计算管理平台中进行资源分配和访问控制的效率低的问题。

依据本发明一个方面，提供了一种虚拟资源的访问控制方法，包括：

当接收到用户虚拟资源请求的审批通过消息时，向云计算管理平台发送虚拟机创建请求，以使得所述云计算管理平台基于所述虚拟机创建请求创建目标虚拟机；

当接收到所述云计算管理平台发送的所述目标虚拟机的虚拟机信息时，向堡垒机发送携带所述虚拟机信息的资源创建请求，以使得所述堡垒机基于所述虚拟机信息为所述目标虚拟机创建虚拟机资源，并生成与所述虚拟机资源对应的堡垒机登录接口；

接收所述堡垒机发送的所述堡垒机登录接口，并当所述用户请求访问所述目标虚拟机时，将所述堡垒机登录接口发送至所述用户，以使得所述用户基于所述堡垒机登录接口登录所述目标虚拟机，完成对所述目标虚拟机的访问控制。

进一步的，所述接收用户虚拟资源请求的审批通过消息之前，所述方法还包括：

向所述云计算管理平台发送集群状态查询请求，以使得所述云计算管理平台基于所述集群状态查询请求查询各服务器集群的集群状态；

接收所述用户发出的虚拟资源请求，从所述虚拟资源请求中获取使用人信息、归属项目和虚拟资源容量信息；

接收所述用户基于所述集群状态确定的目标集群；

获取所述目标集群的资源分配规则，基于所述资源分配规则从所述目标集群中确定与所述虚拟资源容量信息对应的待创建虚拟机资源。

进一步的，所述获取所述目标集群的资源分配规则，基于所述资源分配规则从所述目标集群中确定与所述虚拟资源容量信息对应的待创建虚拟机资源包括：

获取所述目标集群的资源分配规则，所述资源分配规则包括基于预留资源、可分配服务器资源和资源超分比的资源分配方法；

基于所述资源分配规则确定可分配虚拟资源；

获取所述目标集群的已分配虚拟资源，将所述已分配虚拟资源与所述可分配虚拟资源进行比较，确定待创建虚拟机资源。

进一步的，所述虚拟机创建请求携带所述目标集群和所述待创建虚拟机资源，所述云计算管理平台在所述目标集群中基于所述待创建虚拟机资源创建目标虚拟机，包括：

所述云计算管理平台接收所述虚拟机创建请求，获取所述目标集群和所述待创建虚拟机资源；

向所述目标集群发送携带所述待创建虚拟机资源的资源分配请求；

基于所述资源分配请求从所述目标集群中确定待分配资源，并基于所述待分配资源创建目标虚拟机。

进一步的，所述虚拟机信息包括虚拟机IP地址、虚拟机名称、登录协议、协议端口、登录账号和登录密码；

所述向堡垒机发送携带所述虚拟机信息的资源创建请求之前，所述方法还包括：

将所述虚拟机IP地址、所述虚拟机名称、所述登录协议、所述协议端口、所述登录账号和所述登录密码与所述使用人信息建立对应关系，以使得所述堡垒机在为所述目标虚拟机创建虚拟机资源之后，对所述虚拟机信息对应的使用人信息进行授权处理。

进一步的，所述方法还包括：

在所述用户登录时，向所述用户发送多个身份认证系统对应的身份认证链接，以使得所述用户从多个所述身份认证链接中确定目标身份认证链接；

基于所述目标身份认证链接确定对应的目标身份认证系统；

向所述目标身份认证系统发送用户登录认证请求，以使得所述目标身份认证系统基于所述用户登录认证请求进行身份认证。

进一步的，所述方法还包括：

基于所述归属项目确定审批规则，所述审批规则包括基于所述审批方、审批节点和审批时间信息的审批方法；

基于所述审批规则向所述审批节点对应的所述审批方发送包含所述虚拟资源请求的审批请求，并记录所述审批方的审批时长；

当所述审批时长超出所述审批时间信息时，向所述审批方发送审批超期提醒信息。

依据本发明另一个方面，提供了一种虚拟资源的访问控制装置，包括：

虚拟机创建请求发送模块，用于当接收到用户虚拟资源请求的审批通过消息时，向云计算管理平台发送虚拟机创建请求，以使得所述云计算管理平台基于所述虚拟机创建请求创建目标虚拟机；

堡垒机接口请求发送模块，用于当接收到所述云计算管理平台发送的所述目标虚拟机的虚拟机信息时，向堡垒机发送携带所述虚拟机信息的资源创建请求，以使得所述堡垒机基于所述虚拟机信息为所述目标虚拟机创建虚拟机资源，并生成与所述虚拟机资源对应的堡垒机登录接口；

访问认证模块，用于接收所述堡垒机发送的所述堡垒机登录接口，并当所述用户请求访问所述目标虚拟机时，将所述堡垒机登录接口发送至所述用户，以使得所述用户基于所述堡垒机登录接口登录所述目标虚拟机，完成对所述目标虚拟机的访问控制。

进一步的，所述装置还包括待创建资源确定模块，用于：

向所述云计算管理平台发送集群状态查询请求，以使得所述云计算管理平台基于所述集群状态查询请求查询各服务器集群的集群状态；

接收所述用户发出的虚拟资源请求，从所述虚拟资源请求中获取使用人信息、归属项目和虚拟资源容量信息；

接收所述用户基于所述集群状态确定的目标集群；

获取所述目标集群的资源分配规则，基于所述资源分配规则从所述目标集群中确定与所述虚拟资源容量信息对应的待创建虚拟机资源。

进一步的，所述待创建资源确定模块还用于：

获取所述目标集群的资源分配规则，所述资源分配规则包括基于预留资源、可分配服务器资源和资源超分比的资源分配方法；

基于所述资源分配规则确定可分配虚拟资源；

获取所述目标集群的已分配虚拟资源，将所述已分配虚拟资源与所述可分配虚拟资源进行比较，确定待创建虚拟机资源。

进一步的，所述虚拟机创建请求携带所述目标集群和所述待创建虚拟机资源，所述云计算管理平台在所述目标集群中基于所述待创建虚拟机资源创建目标虚拟机，包括：

所述云计算管理平台接收所述虚拟机创建请求，获取所述目标集群和所述待创建虚拟机资源；

向所述目标集群发送携带所述待创建虚拟机资源的资源分配请求；

基于所述资源分配请求从所述目标集群中确定待分配资源，并基于所述待分配资源创建目标虚拟机。

进一步的，所述虚拟机信息包括虚拟机IP地址、虚拟机名称、登录协议、协议端口、登录账号和登录密码；

所述向堡垒机发送携带所述虚拟机信息的资源创建请求之前，所述方法还包括：

将所述虚拟机IP地址、所述虚拟机名称、所述登录协议、所述协议端口、所述登录账号和所述登录密码与所述使用人信息建立对应关系，以使得所述堡垒机在为所述目标虚拟机创建虚拟机资源之后，对所述虚拟机信息对应的使用人信息进行授权处理。

进一步的，所述装置还包括身份认证模块，用于：

在所述用户登录时，向所述用户发送多个身份认证系统对应的身份认证链接，以使得所述用户从多个所述身份认证链接中确定目标身份认证链接；

基于所述目标身份认证链接确定对应的目标身份认证系统；

向所述目标身份认证系统发送用户登录认证请求，以使得所述目标身份认证系统基于所述用户登录认证请求进行身份认证。

进一步的，所述装置还包括审批处理模块，用于：

基于所述归属项目确定审批规则，所述审批规则包括基于所述审批方、审批节点和审批时间信息的审批方法；

基于所述审批规则向所述审批节点对应的所述审批方发送包含所述虚拟资源请求的审批请求，并记录所述审批方的审批时长；

当所述审批时长超出所述审批时间信息时，向所述审批方发送审批超期提醒信息。

根据本发明的又一方面，提供了一种存储介质，所述存储介质中存储有至少一可执行指令，所述可执行指令使处理器执行如上述虚拟资源的访问控制方法对应的操作。

依据本发明再一个方面，提供了一种计算机设备，包括处理器、存储器、通信接口和通信总线，所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信；

所述存储器用于存放至少一可执行指令，所述可执行指令使所述处理器执行如上述虚拟资源的访问控制方法对应的操作。

借由上述技术方案，本发明实施例提供的技术方案至少具有下列优点：

本发明提供了一种虚拟资源的访问控制方法及装置、存储介质、计算机设备，与现有技术采用人工对云计算管理平台进行资源分配和访问控制相比，本发明通过当接收到用户虚拟资源请求的审批通过消息时，向云计算管理平台发送虚拟机创建请求，由云计算管理平台创建目标虚拟机；当接收到云计算管理平台发送的目标虚拟机的虚拟机信息时，向堡垒机发送资源创建请求，由堡垒机为目标虚拟机创建虚拟机资源，并生成与虚拟机资源对应的堡垒机登录接口；接收堡垒机发送的堡垒机登录接口，并当用户请求访问目标虚拟机时，将堡垒机登录接口发送至用户，由用户基于堡垒机登录接口登录目标虚拟机，完成对目标虚拟机的访问控制，实现了对虚拟机资源的自动申请和访问控制，减少了后台人工操作，不仅有效避免了人为因素导致的偏差，还提高了对虚拟资源访问控制的效率。由于通过堡垒机提供的登录接口登录虚拟机，还加强了对虚拟机使用人员的权限管控和行为审计。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1示出了本发明实施例提供的一种虚拟资源的访问控制方法的流程示意图；

图2示出了本发明实施例提供的另一种虚拟资源的访问控制方法的流程示意图；

图3示出了本发明实施例提供的又一种虚拟资源的访问控制方法的流程示意图；

图4示出了本发明实施例提供的再一种虚拟资源的访问控制方法的流程示意图；

图5示出了本发明实施例提供的一种虚拟资源的访问控制装置的结构示意图；

图6示出了本发明实施例提供的一种计算机设备的结构示意图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

本发明实施例提供了一种虚拟资源的访问控制方法，如图1所示，该方法包括：

101、当接收到用户虚拟资源请求的审批通过消息时，向云计算管理平台发送虚拟机创建请求，以使得所述云计算管理平台基于所述虚拟机创建请求创建目标虚拟机；

本发明实施例中，当前执行端接收用户虚拟资源请求的审批通过消息时，向云计算管理平台发送虚拟机创建请求，以使得云计算管理平台基于虚拟机创建请求创建目标虚拟机。其中，虚拟资源请求为用户根据业务需求提出的对虚拟资源中服务器的CPU大小、内存量、存储空间大小等资源的需求。用户在提出虚拟资源请求后，需要经过当前执行端设定的审批流程，待审批通过后，才能向云计算管理平台发送虚拟机创建请求。当前执行端设定的审批流程可以是预设的审批流程，也可以根据业务的重要程度设定不同的审批流程，本发明实施例不做具体限定。其中，云计算管理平台可以同时为多个用户提供虚拟化资源，其包含了多个服务器集群，用户可以根据业务场景的需要，对服务器集群的类型进行选择。另外，每个服务器集群都设置有集群资源分配规则，在对单个服务器集群进行资源分配时，需要基于集群资源分配规则进行资源分配。现有的云计算管理平台包括openstack云平台、阿里云、华为云、IBM蓝云等，本发明实施例不做具体限定。其中，目标虚拟机为满足用户对CPU大小、内存量、存储空间大小等资源需求的服务器。

102、当接收到所述云计算管理平台发送的所述目标虚拟机的虚拟机信息时，向堡垒机发送携带所述虚拟机信息的资源创建请求，以使得所述堡垒机基于所述虚拟机信息为所述目标虚拟机创建虚拟机资源，并生成与所述虚拟机资源对应的堡垒机登录接口；

本发明实施例中，当前执行端接收云计算管理平台发送的目标虚拟机的虚拟机信息，向堡垒机发送携带虚拟机信息的资源创建请求。其中，虚拟机信息包括虚拟机IP地址、虚拟机名称、登录协议、协议端口、登录账号和登录密码等，本发明实施例不做具体限定。当前执行端接收到虚拟机信息时，向堡垒机发送携带虚拟机信息的资源创建请求。其中，堡垒机通过切断当前执行端对云计算平台中创建的目标虚拟机的直接访问，采用协议代理的方式，接管了当前执行端对目标虚拟机的访问，即当前执行端中用户对目标虚拟机的访问都会经过堡垒机运维安全审计。所述运维安全审计能够拦截非法访问和恶意攻击，对不合法命令进行阻断，过滤掉所有对目标虚拟机的非法访问行为，并对用户误操作或非法操作进行审计监控，以便事后责任追踪。当堡垒机接到当前执行端发送的资源创建请求后，获取虚拟机信息中的虚拟机IP地址、虚拟机名称、登录协议、协议端口、登录账号和登录密码等信息，再基于获取的虚拟机信息给目标虚拟机创建虚拟机资源，并由堡垒机基为创建的虚拟机资源生成与之对应的堡垒机登录接口。堡垒机在生成与虚拟机资源对应的堡垒机登录接口后，将堡垒机登录接口发送到当前执行端，由当前执行端基于堡垒机登录接口登录目标虚拟机。

需要说明的是，当前执行端在向堡垒机发送携带所述虚拟机信息的资源创建请求之前，需要将虚拟机IP地址、虚拟机名称、登录协议、协议端口、登录账号和登录密码等虚拟机信息和目标虚拟机的使用人信息之间建立对应关系，以使得堡垒机在为目标虚拟机创建虚拟机资源之后，对所述虚拟机信息对应的使用人信息进行授权处理。其中，目标虚拟机的使用人信息默认为提出虚拟资源请求的使用人信息，即审批流程的发起人信息。此外，使用人信息还可以根据企业的组织架构或者业务的归属项目进行扩展，本发明实施例不做具体限定。被扩展的使用人可以通过增加附属使用人的方式，以使得堡垒机对审批流程的发起人以外的相关人员进行授权处理。

103、接收所述堡垒机发送的所述堡垒机登录接口，并当所述用户请求访问所述目标虚拟机时，将所述堡垒机登录接口发送至所述用户，以使得所述用户基于所述堡垒机登录接口登录所述目标虚拟机，完成对所述目标虚拟机的访问控制。

本发明实施例中，当前执行端接收堡垒机发送的堡垒机登录接口，当用户在当前执行端中发出请求来访问目标虚拟机时，当前执行端将堡垒机登录接口发送给提出访问请求的用户，以使得用户基于堡垒机生成的堡垒机登录接口登录目标虚拟机，即在不需要人工辅助的情况下，在当前执行端实现了用户通过堡垒机访问目标虚拟机，完成对目标虚拟机的访问控制。

进一步的，作为上述实施例具体实施方式的细化和扩展，为了在云计算平台中创建符合业务需求的虚拟资源，使得虚拟资源更好的服务于业务，提供了另一种虚拟资源的访问控制方法，如图2所示，步骤接收用户虚拟资源请求的审批通过消息之前，所述方法还包括：

201、向所述云计算管理平台发送集群状态查询请求，以使得所述云计算管理平台基于所述集群状态查询请求查询各服务器集群的集群状态；

202、接收所述用户发出的虚拟资源请求，从所述虚拟资源请求中获取使用人信息、归属项目和虚拟资源容量信息；

203、接收所述用户基于所述集群状态确定的目标集群；

204、获取所述目标集群的资源分配规则，基于所述资源分配规则从所述目标集群中确定与所述虚拟资源容量信息对应的待创建虚拟机资源。

本发明实施例中，当前执行端向云计算管理平台发送集群状态查询请求，以使得所述云计算管理平台基于集群状态查询请求查询各服务器集群的集群状态。云计算管理平台包含了多个服务器集群，在云计算管理平台中可以根据不同集群的服务类型对各个服务器集群进行分类设置，如将服务器集群分为生产集群、开发集群、等，本发明实施例不做具体限定。所述集群状态即不同类型集群的运行状态，包括上线运行状态、下线停止运行状态等，本发明实施例不做具体限定。当集群状态处于上线运行状态时，可被当前执行端选择，相反的，当集群状态处于下线停止运行状态时，不可被当前执行端选择。当前执行端接收用户发出的虚拟资源请求，从虚拟资源请求中获取使用人信息、归属项目和虚拟资源容量信息。其中，使用人信息用于表征提出虚拟资源请求的人员，还可以根据企业的组织架构或者业务的归属项目增加附属使用人，本发明实施例不做具体限定。归属项目用于表征请求的虚拟资源即将用于的项目或业务。虚拟资源容量信息一般包括CPU大小、内存量、存储空间大小等信息，本发明实施例不做具体限定。

本发明实施例中，在当前执行端接收到云计算管理平台中各个类型服务器集群的集群状态后，将处于上线运行状态下的服务器集群类型提供给用户选择，用户可以根据业务类型或者项目类型对处于上线运行状态下的服务器集群类型进行选择，从而确定目标集群。当前执行端获取目标集群的资源分配规则，基于资源分配规则从目标集群中确定与虚拟资源容量信息对应的待创建虚拟机资源。其中，资源分配规则用于表征对虚拟资源的资源分配方法，可以包括用户要求预留资源的分配，还可以包括可超分资源的分配等，本发明实施例不做具体限定。

进一步的，作为上述实施例具体实施方式的细化和扩展，为了使待创建虚拟机资源符合资源分配规则，且不超出虚拟资源的限额，提供了另一种虚拟资源的访问控制方法，如图3所示，步骤获取所述目标集群的资源分配规则，基于所述资源分配规则从所述目标集群中确定与所述虚拟资源容量信息对应的待创建虚拟机资源包括：

301、获取所述目标集群的资源分配规则；

302、基于所述资源分配规则确定可分配虚拟资源；

303、获取所述目标集群的已分配虚拟资源，将所述已分配虚拟资源与所述可分配虚拟资源进行比较，确定待创建虚拟机资源。

本发明实施例中，当前执行端获取目标集群的资源分配规则，其中，资源分配规则包括基于预留资源、可分配服务器资源和资源超分比的资源分配方法；预留资源用于表征暂时不能被分配的虚拟资源；可分配服务器资源用于表征可用于分配的物理服务器资源，包括服务器的CPU大小、内存量、存储空间大小等资源，本发明实施例不做具体限定；资源超分比用于表征物理服务器资源中的CPU大小、内存量、存储空间大小等资源分配可超出的比例。如，目标集群下有一台物理服务器的可分配服务器资源为：CPU100核、内存200G、存储空间1000G，可以针对该物理服务器设定资源分配规则为：CPU预留5个、内存预留409600MB、磁盘预留50GB、CPU超分比为3、内存超分比为1、硬盘超分比为1等，本发明实施例不做具体限定。当前执行端基于资源分配规则确定可分配虚拟资源，即可分配虚拟资源等于可分配服务器资源与预留资源之间的差值乘以资源超分比。如，以CPU大小为例，预留资源为5，服务器CPU为100核，CPU超分比为3，则确定的可分配资源为(100-5)*3核，本发明实施例不做具体限定。当前执行端获取目标集群的已分配虚拟资源，将已分配虚拟资源与可分配虚拟资源进行比较，确定待创建虚拟机资源。其中已分配虚拟资源由云计算管理平台进行统计，用于表征已经被分配，不能被重复分配的虚拟资源。当前执行端将申请的虚拟资源容量信息和可分配虚拟资源与已分配虚拟资源之间的差值进行比较，如果虚拟资源容量信息没有超出可分配虚拟资源与已分配虚拟资源之间的差值，则根据申请的虚拟资源容量信息确定待创建虚拟机资源。如果虚拟资源容量信息超出可分配虚拟资源与已分配虚拟资源之间的差值，则不能确定待创建虚拟机资源，以保证创建的目标虚拟机未超出虚拟资源的限额，本发明实施例不做具体限定。

进一步的，作为上述实施例具体实施方式的细化和扩展，为了减少人工带来的偏差，通过当前执行端自动得创建目标虚拟机，提供了另一种虚拟资源的访问控制方法，如图4所示，所述云计算管理平台在所述目标集群中基于所述待创建虚拟机资源创建目标虚拟机，包括：

401、所述云计算管理平台接收所述虚拟机创建请求，获取所述目标集群和所述待创建虚拟机资源；

402、向所述目标集群发送携带所述待创建虚拟机资源的资源分配请求；

403、基于所述资源分配请求从所述目标集群中确定待分配资源，并基于所述待分配资源创建目标虚拟机。

本发明实施例中，当前执行端向云计算管理平台发送虚拟机创建请求，其中，虚拟机创建请求携带目标集群和待创建虚拟机资源。云计算管理平台接收到当前执行端发出的虚拟机创建请求后，获取其中的目标集群和待创建虚拟机资源。云计算管理平台向目标集群发送携带待创建虚拟机资源的资源分配请求，基于资源分配请求从目标集群中确定待分配资源，并基于待分配资源创建目标虚拟机，如，目标集群为开发集群，待创建虚拟机资源包括CPU8核、内存10G、存储空间300G等，本发明实施例不做具体限定。云计算管理平台接受到虚拟机创建请求后，将包括CPU8核、内存10G、存储空间300G等资源信息的待创建虚拟机资源发送到开发集群，从目标集群中划分出CPU8核、内存10G、存储空间300G等虚拟资源作为待分配资源，云计算管理平台确定完上述待分配资源后，将上述待配置资源分配给目标虚拟机，即目标虚拟机基于上述待分配资源创建生成，目标虚拟机的CPU为8核、内存为10G、存储空间为300G等，本发明实施例不做具体限定。

进一步的，作为上述实施例具体实施方式的细化和扩展，为了扩展当前执行端的身份认证功能，提供了另一种虚拟资源的访问控制方法，所述方法还包括：

在所述用户登录时，向所述用户发送多个身份认证系统对应的身份认证链接，以使得所述用户从多个所述身份认证链接中确定目标身份认证链接；

基于所述目标身份认证链接确定对应的目标身份认证系统；

向所述目标身份认证系统发送用户登录认证请求，以使得所述目标身份认证系统基于所述用户登录认证请求进行身份认证。

本发明实施例中，当前执行端在用户提出登录请求时，向用于发送多个身份认证系统对应的身份认证链接，以使得用户从多个身份认证链接中确定目标身份认证链接。其中，身份认证系统用于表征包含身份认证功能的系统，如企业微信、钉钉等包含身份认证功能的系统，本发明实施例不做具体限定。身份认证链接用于表征身份认证系统中可以链接到身份认证功能模块进行身份认证的接口。用户在当前执行端中对多个身份认证链接进行选择，确定目标身份认证链接。由于身份认证链接与身份认证系统之间存在关联关系，所以可以基于目标身份认证链接查到到与之关联的身份认证系统，确定为目标身份认证系统。当前执行端向目标身份认证系统发送用户登录认证请求，以使得目标身份认证系统基于用户登录认证请求进行身份认证。

进一步的，作为上述实施例具体实施方式的细化和扩展，为了方便企业用户对虚拟资源的管控，提供了另一种虚拟资源的访问控制方法，所述方法还包括：

基于所述归属项目确定审批规则；

基于所述审批规则向所述审批节点对应的所述审批方发送包含所述虚拟资源请求的审批请求，并记录所述审批方的审批时长；

当所述审批时长超出所述审批时间信息时，向所述审批方发送审批超期提醒信息。

本发明实施例中，当前执行端获取虚拟资源请求中包含的归属项目信息，并基于归属项目确定审批规则，所述审批规则包括基于所述审批方、审批节点和审批时间信息的审批方法。其中，归属项目用于表征请求的虚拟资源即将用于的项目或业务。审批方用于表征执行审批的人员或部门。审批节点用于表征审批过程中用于控制审批进度的时间节点。审批时间信息用于表征审批过程中用于审批控制的时间，如8小时、1天等，本发明实施例不做具体限定。当前执行端基于审批规则相审批节点对应的审批方发送包含虚拟资源请求的审批请求，并记录审批方的审批时长。一个审批规则可以包含一个或多个审批节点，每个审批节点与对应的审批方之间具有关联关系，如，项目A确定的审批规则包含两个审批节点分别为审批节点1和审批节点2，其中审批节点1对应的审批方为项目负责人，审批节点2对应的审批方为责任部门，本发明实施例不做具体限定。当前执行端将审批节点对应的审批方执行审批的审批时长与用于控制审批时间的审批时间信息进行比较，当审批时长超出审批时间信息时，当前执行端向审批节点对应的审批方发送审批超期提醒信息，以使得审批方接受到审批超期提醒信息后尽快执行审批操作。

本发明实施例提供了一种虚拟资源的访问控制方法，与现有技术采用人工对云计算管理平台进行资源分配和访问控制相比，本发明通过当接收到用户虚拟资源请求的审批通过消息时，向云计算管理平台发送虚拟机创建请求，由云计算管理平台创建目标虚拟机；当接收到云计算管理平台发送的目标虚拟机的虚拟机信息时，向堡垒机发送资源创建请求，由堡垒机为目标虚拟机创建虚拟机资源，并生成与虚拟机资源对应的堡垒机登录接口；接收堡垒机发送的堡垒机登录接口，并当用户请求访问目标虚拟机时，将堡垒机登录接口发送至用户，由用户基于堡垒机登录接口登录目标虚拟机，完成对目标虚拟机的访问控制，实现了对虚拟机资源的自动申请和访问控制，减少了后台人工操作，不仅有效避免了人为因素导致的偏差，还提高了对虚拟资源访问控制的效率。由于通过堡垒机提供的登录接口登录虚拟机，还加强了对虚拟机使用人员的权限管控和行为审计。

作为对上述图1所示方法的实现，本发明实施例提供了一种虚拟资源的访问控制装置，如图5所示，所述装置包括：

虚拟机创建请求发送模块51，用于当接收到用户虚拟资源请求的审批通过消息时，向云计算管理平台发送虚拟机创建请求，以使得所述云计算管理平台基于所述虚拟机创建请求创建目标虚拟机；

堡垒机接口请求发送模块52，用于当接收到所述云计算管理平台发送的所述目标虚拟机的虚拟机信息时，向堡垒机发送携带所述虚拟机信息的资源创建请求，以使得所述堡垒机基于所述虚拟机信息为所述目标虚拟机创建虚拟机资源，并生成与所述虚拟机资源对应的堡垒机登录接口；

访问认证模块53，用于接收所述堡垒机发送的所述堡垒机登录接口，并当所述用户请求访问所述目标虚拟机时，将所述堡垒机登录接口发送至所述用户，以使得所述用户基于所述堡垒机登录接口登录所述目标虚拟机，完成对所述目标虚拟机的访问控制。

进一步的，所述装置还包括待创建资源确定模块，用于：

向所述云计算管理平台发送集群状态查询请求，以使得所述云计算管理平台基于所述集群状态查询请求查询各服务器集群的集群状态；

接收所述用户发出的虚拟资源请求，从所述虚拟资源请求中获取使用人信息、归属项目和虚拟资源容量信息；

接收所述用户基于所述集群状态确定的目标集群；

获取所述目标集群的资源分配规则，基于所述资源分配规则从所述目标集群中确定与所述虚拟资源容量信息对应的待创建虚拟机资源。

进一步的，所述待创建资源确定模块还用于：

获取所述目标集群的资源分配规则，所述资源分配规则包括基于预留资源、可分配服务器资源和资源超分比的资源分配方法；

基于所述资源分配规则确定可分配虚拟资源；

获取所述目标集群的已分配虚拟资源，将所述已分配虚拟资源与所述可分配虚拟资源进行比较，确定待创建虚拟机资源。

进一步的，所述虚拟机创建请求携带所述目标集群和所述待创建虚拟机资源，所述云计算管理平台在所述目标集群中基于所述待创建虚拟机资源创建目标虚拟机，包括：

所述云计算管理平台接收所述虚拟机创建请求，获取所述目标集群和所述待创建虚拟机资源；

向所述目标集群发送携带所述待创建虚拟机资源的资源分配请求；

基于所述资源分配请求从所述目标集群中确定待分配资源，并基于所述待分配资源创建目标虚拟机。

进一步的，所述虚拟机信息包括虚拟机IP地址、虚拟机名称、登录协议、协议端口、登录账号和登录密码；

所述向堡垒机发送携带所述虚拟机信息的资源创建请求之前，所述方法还包括：

将所述虚拟机IP地址、所述虚拟机名称、所述登录协议、所述协议端口、所述登录账号和所述登录密码与所述使用人信息建立对应关系，以使得所述堡垒机在为所述目标虚拟机创建虚拟机资源之后，对所述虚拟机信息对应的使用人信息进行授权处理。

进一步的，所述装置还包括身份认证模块，用于：

在所述用户登录时，向所述用户发送多个身份认证系统对应的身份认证链接，以使得所述用户从多个所述身份认证链接中确定目标身份认证链接；

基于所述目标身份认证链接确定对应的目标身份认证系统；

向所述目标身份认证系统发送用户登录认证请求，以使得所述目标身份认证系统基于所述用户登录认证请求进行身份认证。

进一步的，所述装置还包括审批处理模块，用于：

基于所述归属项目确定审批规则，所述审批规则包括基于所述审批方、审批节点和审批时间信息的审批方法；

基于所述审批规则向所述审批节点对应的所述审批方发送包含所述虚拟资源请求的审批请求，并记录所述审批方的审批时长；

当所述审批时长超出所述审批时间信息时，向所述审批方发送审批超期提醒信息。

本发明实施例提供了一种虚拟资源的访问控制装置，与现有技术采用人工对云计算管理平台进行资源分配和访问控制相比，本发明通过当接收到用户虚拟资源请求的审批通过消息时，向云计算管理平台发送虚拟机创建请求，由云计算管理平台创建目标虚拟机；当接收到云计算管理平台发送的目标虚拟机的虚拟机信息时，向堡垒机发送资源创建请求，由堡垒机为目标虚拟机创建虚拟机资源，并生成与虚拟机资源对应的堡垒机登录接口；接收堡垒机发送的堡垒机登录接口，并当用户请求访问目标虚拟机时，将堡垒机登录接口发送至用户，由用户基于堡垒机登录接口登录目标虚拟机，完成对目标虚拟机的访问控制，实现了对虚拟机资源的自动申请和访问控制，减少了后台人工操作，不仅有效避免了人为因素导致的偏差，还提高了对虚拟资源访问控制的效率。由于通过堡垒机提供的登录接口登录虚拟机，还加强了对虚拟机使用人员的权限管控和行为审计。

根据本发明一个实施例提供了一种存储介质，所述存储介质存储有至少一可执行指令，该计算机可执行指令可执行上述任意方法实施例中的虚拟资源的访问控制方法。

图6示出了根据本发明一个实施例提供的一种计算机设备的结构示意图，本发明具体实施例并不对计算机设备的具体实现做限定。

如图6所示，该计算机设备可以包括：处理器(processor)602、通信接口(Communications Interface)604、存储器(memory)606、以及通信总线608。

其中：处理器602、通信接口604、以及存储器606通过通信总线608完成相互间的通信。

通信接口604，用于与其它设备比如客户端或其它服务器等的网元通信。

处理器602，用于执行程序610，具体可以执行上述虚拟资源的访问控制方法实施例中的相关步骤。

具体地，程序610可以包括程序代码，该程序代码包括计算机操作指令。

处理器602可能是中央处理器CPU，或者是特定集成电路ASIC(ApplicationSpecific Integrated Circuit)，或者是被配置成实施本发明实施例的一个或多个集成电路。计算机设备包括的一个或多个处理器，可以是同一类型的处理器，如一个或多个CPU；也可以是不同类型的处理器，如一个或多个CPU以及一个或多个ASIC。

存储器606，用于存放程序610。存储器606可能包含高速RAM存储器，也可能还包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。

程序610具体可以用于使得处理器602执行以下操作：

当接收到用户虚拟资源请求的审批通过消息时，向云计算管理平台发送虚拟机创建请求，以使得所述云计算管理平台基于所述虚拟机创建请求创建目标虚拟机；

当接收到所述云计算管理平台发送的所述目标虚拟机的虚拟机信息时，向堡垒机发送携带所述虚拟机信息的资源创建请求，以使得所述堡垒机基于所述虚拟机信息为所述目标虚拟机创建虚拟机资源，并生成与所述虚拟机资源对应的堡垒机登录接口；

接收所述堡垒机发送的所述堡垒机登录接口，并当所述用户请求访问所述目标虚拟机时，将所述堡垒机登录接口发送至所述用户，以使得所述用户基于所述堡垒机登录接口登录所述目标虚拟机，完成对所述目标虚拟机的访问控制。

显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包括在本发明的保护范围之内。