虚拟化平台存储隔离的检测方法及装置

技术领域

本发明涉及安全检测技术领域，尤其涉及一种虚拟化平台存储隔离的检测方法及装置。

背景技术

在虚拟化平台中，要构建一个安全应用环境，需要实现存储隔离技术。存储隔离技术是指：一个虚拟磁盘挂载在一个虚拟机A上，虚拟机B不能通过宿主机再访问该虚拟机A，即不能使虚拟磁盘再挂靠在虚拟机B上。但目前虚拟机平台对物理机建立多个虚拟机后，直接投入使用，不能检测确定这些虚拟机是否满足存储隔离的要求。

发明内容

针对现有技术存在的问题，本发明实施例提供一种虚拟化平台存储隔离的检测方法及装置。

第一方面，本发明实施例提供一种虚拟化平台存储隔离的检测方法，包括：

使检测用逻辑卷挂载在第一检测用虚拟机中，所述检测用逻辑卷为虚拟化平台中目标物理机的目标磁盘上新增的逻辑卷；

使第二检测用虚拟机对所述检测用逻辑卷进行访问，获得访问信息；

根据所述访问信息确定虚拟化平台存储隔离的检测结果；

其中，所述第一检测用虚拟机和第二检测用虚拟机为虚拟化平台中目标物理机上新建的虚拟机。

进一步地，所述根据所述访问信息确定虚拟化平台存储隔离的检测结果，包括：

若确定所述访问信息包括成功访问反馈信号，则确定检测结果为虚拟化平台存储隔离不达标。

进一步地，在使第二检测用虚拟机对所述检测用逻辑卷进行访问，获得访问信息之前，还包括：

在所述检测用逻辑卷中写入特征码；

相应地，根据所述访问信息确定虚拟化平台存储隔离的检测结果，包括：

若确定所述访问信息包括所述特征码和/或成功访问反馈信号，则确定检测结果为虚拟化平台存储隔离不达标。

进一步地，在使第二检测用虚拟机对第一检测用虚拟机进行访问，获得访问信息之前，还包括：

构建第一检测用虚拟机和第二检测用虚拟机。

进一步地，所述构建第一检测用虚拟机和第二检测用虚拟机，包括：

根据物理机的终端标识确定目标物理机；

启动虚拟化管理程序在所述目标物理机上新建至少两台检测用虚拟机，其中，所述虚拟化管理程序具有逻辑分区的功能。

进一步地，所述检测用逻辑卷的新增步骤，包括：

根据磁盘标识确定目标磁盘，获取目标磁盘的资源信息，根据所述资源信息在目标磁盘上新增一个检测用逻辑卷，所述资源信息为目标磁盘的剩余使用量。

第二方面，本发明实施例提供一种虚拟化平台存储隔离的检测装置，包括：

访问模块，用于使检测用逻辑卷挂载在第一检测用虚拟机中，所述检测用逻辑卷为虚拟化平台中目标物理机的目标磁盘上新增的逻辑卷；使第二检测用虚拟机对所述检测用逻辑卷进行访问，获得访问信息；

检测模块，用于根据所述访问信息确定虚拟化平台存储隔离的检测结果；

其中，所述第一检测用虚拟机和第二检测用虚拟机为虚拟化平台中目标物理机上新建的虚拟机。

进一步地，所述检测模块具体用于：

若确定所述访问信息包括成功访问反馈信号，则确定检测结果为虚拟化平台存储隔离不达标。

进一步地，在使第二检测用虚拟机对所述检测用逻辑卷进行访问，获得访问信息之前，在所述检测用逻辑卷中写入特征码；

相应地，所述检测模块具体用于：若确定所述访问信息包括所述特征码和/或成功访问反馈信号，则确定检测结果为虚拟化平台存储隔离不达标。

进一步地，还包括建立模块，用于在使第二检测用虚拟机对第一检测用虚拟机进行访问，获得访问信息之前，构建第一检测用虚拟机和第二检测用虚拟机。

进一步地，所述建立模块具体用于：

根据物理机的终端标识确定目标物理机；

启动虚拟化管理程序在所述目标物理机上新建至少两台检测用虚拟机，其中，所述虚拟化管理程序具有逻辑分区的功能。

进一步地，还包括增设模块，用于：

根据磁盘标识确定目标磁盘，获取目标磁盘的资源信息，根据所述资源信息在目标磁盘上新增一个检测用逻辑卷，所述资源信息为目标磁盘的剩余使用量。

第三方面，本发明实施例一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述虚拟化平台存储隔离的检测方法的步骤。

第四方面，本发明实施例提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述虚拟化平台存储隔离的检测方法的步骤。

第五方面，本发明实施例提供一种计算机程序产品，所述计算机程序产品包括计算机可执行指令，所述指令在被执行时用于实现如上述虚拟化平台存储隔离的检测方法的步骤。

本发明实施例提供的一种虚拟化平台存储隔离的检测方法及装置，通过在目标物理机上新建至少两台检测用虚拟机，使其中一个检测用虚拟机访问另一检测用虚拟机，获得访问信息，从而能够根据访问信息确定虚拟化平台存储隔离是否达标，实现对虚拟化平台存储隔离的检测，避免投入使用的虚拟化平台出现安全问题。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明虚拟化平台存储隔离的检测方法实施例流程图；

图2为本发明虚拟化平台存储隔离的检测方法另一实施例流程图；

图3为本发明虚拟化平台存储隔离的检测装置实施例结构图；

图4为本发明电子设备实施例结构图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在虚拟化平台中，要构建一个安全应用环境，需要实现存储隔离技术，使；虚拟机不能通过宿主机再访问另一个虚拟机。但目前虚拟机平台对物理机建立多个虚拟机后，直接投入使用，不能检测确定这些虚拟机是否满足存储隔离的要求。

为此，图1示出了本发明一实施例提供的一种虚拟化平台存储隔离的检测方法，参见图1，该方法包括：

S11、使检测用逻辑卷挂载在第一检测用虚拟机中，所述检测用逻辑卷为虚拟化平台中目标物理机的目标磁盘上新增的逻辑卷；使第二检测用虚拟机对所述检测用逻辑卷进行访问，获得访问信息；

S12、根据所述访问信息确定虚拟化平台存储隔离的检测结果；

其中，所述第一检测用虚拟机和第二检测用虚拟机为虚拟化平台中目标物理机上新建的虚拟机。

针对步骤S11-步骤S12，需要说明的是，在本发明实施例中，目标物理机中针对目标磁盘已设置有用于使用的虚拟磁盘。为此，在存储隔离检测过程中，需要在目标物理机的目标磁盘上新增一个检测用逻辑卷，该逻辑卷为虚拟磁盘。由此可知，所新建的逻辑卷为本次存储隔离检测之用的虚拟磁盘，其不同于已设置的虚拟磁盘。也可以说，这些检测用逻辑卷在完成检测之后，会被删除。

使检测用逻辑卷挂载在第一检测用虚拟机中，即第一检测用虚拟机为该检测用逻辑卷配置盘符。第一检测用虚拟机为新建的两台以上检测用虚拟机中的任一一台虚拟机。

在存储隔离检测过程中，需要在目标物理机上新建至少两台检测用虚拟机，由此可知，所新建的虚拟机为本次存储隔离检测之用的虚拟机，其不同于已设置的用于使用的虚拟机。也可以说，这些检测用虚拟机在完成检测之后，会被删除。

使第二检测用虚拟机对第一检测用虚拟机进行访问，获得访问信息，根据访问信息则可确定虚拟化平台存储隔离的检测结果。

其中，第一检测用虚拟机和第二检测用虚拟机为虚拟化平台中目标物理机上新建的虚拟机。即从本次存储隔离检测之用的虚拟机中任一选取两个虚拟机作为第一检测用虚拟机和第二检测用虚拟机。

在上述实施例方法的进一步实施例中，若确定访问信息包括成功访问反馈信号，则确定检测结果为虚拟化平台存储隔离不达标。反之，则确定检测结果为虚拟化平台存储隔离达标。

根据该访问信息确定虚拟化平台存储隔离的检测结果。也就是根据该访问信息确定第二检测用虚拟机是否完成对检测用逻辑卷的挂载。在本发明实施例中，当能够完成对检测用逻辑卷的挂载，则将虚拟化平台存储隔离不达标配置为该检测结果。反之，将虚拟化平台存储隔离达标配置为该检测结果。

本发明实施例提供的一种虚拟化平台存储隔离的检测方法，通过在目标物理机上新建至少两台检测用虚拟机，在目标物理机的目标磁盘上新增一个检测用逻辑卷，使检测用逻辑卷挂载在第一检测用虚拟机中，并使第二检测用虚拟机访问检测用逻辑卷，获得访问信息，从而能够根据访问信息确定虚拟化平台存储隔离是否达标，实现对虚拟化平台存储隔离的检测，避免投入使用的虚拟化平台出现安全问题。

图2示出了本发明一实施例提供的一种虚拟化平台存储隔离的检测方法，参见图2，该方法包括：

S21、在目标物理机上新建至少两台检测用虚拟机；

S22、在所述目标物理机的目标磁盘上新增一个检测用逻辑卷，并在所述检测用逻辑卷中写入特征码；

S23、使所述检测用逻辑卷挂载在第一检测用虚拟机中；

S24、使第二检测用虚拟机访问所述检测用逻辑卷，获得访问信息；

S25、根据所述访问信息确定虚拟化平台存储隔离的检测结果。

针对步骤S21-步骤S25，需要说明的是，在本发明实施例中，在对虚拟化平台上的目标物理机进行存储隔离检测之前，目标物理机中已设置有用于使用的虚拟机。为此，在存储隔离检测过程中，需要在目标物理机上新建至少两台检测用虚拟机，由此可知，所新建的虚拟机为本次存储隔离检测之用的虚拟机，其不同于已设置的用于使用的虚拟机。也可以说，这些检测用虚拟机在完成检测之后，会被删除。

在本实施例方法的进一步实施例中，主要是对检测用虚拟机的建立进行解释说明，具体为：根据物理机的终端标识确定目标物理机，启动虚拟化管理程序在所述目标物理机上新建至少两台检测用虚拟机。该虚拟化管理程序具有逻辑分区的功能。

对此，需要说明的是，对整个虚拟化平台进行存储隔离检测，需要对每个物理机内的虚拟机进行检测。为此，根据物理机的终端标识可确定当前要检测的目标物理机，然后启动虚拟化管理程序在所述目标物理机上新建至少两台检测用虚拟机。该虚拟化管理程序为针对存储隔离检测过程所设计的专门程序，其用来在目标物理机上新建至少两台检测用虚拟机。

目标物理机中针对目标磁盘已设置有用于使用的虚拟磁盘。为此，在存储隔离检测过程中，需要在目标物理机的目标磁盘上新增一个检测用逻辑卷，该逻辑卷为虚拟磁盘。由此可知，所新建的逻辑卷为本次存储隔离检测之用的虚拟磁盘，其不同于已设置的虚拟磁盘。也可以说，这些检测用逻辑卷在完成检测之后，会被删除。另外，在检测用逻辑卷中写入特征码。该特征码为用于另一虚拟机访问时所读取到的内容。

在本实施例方法的进一步实施例中，主要是对检测用逻辑卷的增加做出解释说明，具体为：根据磁盘标识确定目标磁盘，启动目标物理机上的agent程序，使agent程序获取目标磁盘的资源信息，根据资源信息在目标磁盘上新增一个检测用逻辑卷。agent程序为物理机中进行业务部署的代理程序。

使检测用逻辑卷挂载在第一检测用虚拟机中，即第一检测用虚拟机为该检测用逻辑卷配置盘符。第一检测用虚拟机为新建的两台以上检测用虚拟机中的任一一台虚拟机。

使第二检测用虚拟机访问检测用逻辑卷，获得访问信息。也就是使第二检测用虚拟机去挂载检测用逻辑卷，检测是否能够完成对检测用逻辑卷的挂载。该是否挂载成功的信息便存储在该访问信息中。第二检测用虚拟机为新建的两台以上检测用虚拟机中的任一一台虚拟机。

根据该访问信息确定虚拟化平台存储隔离的检测结果。也就是根据该访问信息确定第二检测用虚拟机是否完成对检测用逻辑卷的挂载。在本发明实施例中，当能够完成对检测用逻辑卷的挂载，则将虚拟化平台存储隔离不达标配置为该检测结果。反之，将虚拟化平台存储隔离达标配置为该检测结果。

当第二检测用虚拟机能够访问检测用逻辑卷，则会获得成功访问反馈信号。在成功访问检测用逻辑卷后，会识别出特征码。此时，可确定检测结果为虚拟化平台存储隔离不达标。

本发明实施例提供的一种虚拟化平台存储隔离的检测方法，通过在目标物理机上新建至少两台检测用虚拟机，在目标物理机的目标磁盘上新增一个检测用逻辑卷，并在检测用逻辑卷中写入特征码，使检测用逻辑卷挂载在第一检测用虚拟机中，并使第二检测用虚拟机访问检测用逻辑卷，获得访问信息，从而能够根据访问信息确定虚拟化平台存储隔离是否达标，实现对虚拟化平台存储隔离的检测，避免投入使用的虚拟化平台出现安全问题。

图3示出了本发明一实施例提供的一种虚拟化平台存储隔离的检测装置的结构示意图，参见图3，该装置包括访问模块31和检测模块32，其中：

访问模块31，用于使检测用逻辑卷挂载在第一检测用虚拟机中，所述检测用逻辑卷为虚拟化平台中目标物理机的目标磁盘上新增的逻辑卷；使第二检测用虚拟机对所述检测用逻辑卷进行访问，获得访问信息；

检测模块32，用于根据所述访问信息确定虚拟化平台存储隔离的检测结果；

其中，所述第一检测用虚拟机和第二检测用虚拟机为虚拟化平台中目标物理机上新建的虚拟机。

由于本发明实施例所述装置与上述实施例所述方法的原理相同，对于更加详细的解释内容在此不再赘述。

需要说明的是，本发明实施例中可以通过硬件处理器(hardware processor)来实现相关功能模块。

本发明实施例提供的一种虚拟化平台存储隔离的检测装置，通过在目标物理机上新建至少两台检测用虚拟机，使其中一个检测用虚拟机访问另一检测用虚拟机，获得访问信息，从而能够根据访问信息确定虚拟化平台存储隔离是否达标，实现对虚拟化平台存储隔离的检测，避免投入使用的虚拟化平台出现安全问题。

在上述实施例装置的进一步实施例中，所述检测模块具体用于：

若确定所述访问信息包括成功访问反馈信号，则确定检测结果为虚拟化平台存储隔离不达标。

进一步地，在使第二检测用虚拟机对所述检测用逻辑卷进行访问，获得访问信息之前，在所述检测用逻辑卷中写入特征码；

相应地，所述检测模块具体用于：若确定所述访问信息包括所述特征码和/或成功访问反馈信号，则确定检测结果为虚拟化平台存储隔离不达标。

进一步地，还包括建立模块，用于在使第二检测用虚拟机对第一检测用虚拟机进行访问，获得访问信息之前，构建第一检测用虚拟机和第二检测用虚拟机。

进一步地，所述建立模块具体用于：

根据物理机的终端标识确定目标物理机；

启动虚拟化管理程序在所述目标物理机上新建至少两台检测用虚拟机，其中，所述虚拟化管理程序具有逻辑分区的功能。

进一步地，还包括增设模块，用于：

根据磁盘标识确定目标磁盘，获取目标磁盘的资源信息，根据所述资源信息在目标磁盘上新增一个检测用逻辑卷，所述资源信息为目标磁盘的剩余使用量。

由于本发明实施例所述装置与上述实施例所述方法的原理相同，对于更加详细的解释内容在此不再赘述。

需要说明的是，本发明实施例中可以通过硬件处理器(hardware processor)来实现相关功能模块。

图4示例了一种电子设备的实体结构示意图，如图4所示，该电子设备可以包括：处理器(processor)41、通信接口(Communications Interface)42、存储器(memory)43和通信总线44，其中，处理器41，通信接口42，存储器43通过通信总线44完成相互间的通信。处理器41可以调用存储器43中的逻辑指令，以执行如下方法：使检测用逻辑卷挂载在第一检测用虚拟机中，所述检测用逻辑卷为虚拟化平台中目标物理机的目标磁盘上新增的逻辑卷；使第二检测用虚拟机对所述检测用逻辑卷进行访问，获得访问信息；根据所述访问信息确定虚拟化平台存储隔离的检测结果。

此外，上述的存储器43中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

本发明实施例还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以执行上述各实施例提供的方法，例如包括：使检测用逻辑卷挂载在第一检测用虚拟机中，所述检测用逻辑卷为虚拟化平台中目标物理机的目标磁盘上新增的逻辑卷；使第二检测用虚拟机对所述检测用逻辑卷进行访问，获得访问信息；根据所述访问信息确定虚拟化平台存储隔离的检测结果。

本发明实施例还提供一种计算机程序产品，所述计算机程序产品包括计算机可执行指令，所述指令在被执行时实现以执行上述各实施例提供的方法，例如包括：使检测用逻辑卷挂载在第一检测用虚拟机中，所述检测用逻辑卷为虚拟化平台中目标物理机的目标磁盘上新增的逻辑卷；使第二检测用虚拟机对所述检测用逻辑卷进行访问，获得访问信息；根据所述访问信息确定虚拟化平台存储隔离的检测结果。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。