一种虚拟资源的管控方法及服务器

本发明涉及计算机领域，具体涉及一种虚拟资源的管控方法及服务器。

在计算机领域中，虚拟化技术(Virtualization)是一种资源管理技术，是将计算 机的各种实体资源，如服务器、网络、内存及存储等，予以抽象、转换后呈现出来，打破实体 结构间的不可切割的障碍，使用户可以比原来的组态更好的方式来应用这些资源。这些资 源的新虚拟部分是不受现有资源的架设方式、地域或物理组态所限制。一般所指的虚拟化 资源包括计算能力和资料存储。

在实际的生产环境中，虚拟化技术主要用来解决高性能的物理硬件产能过剩和老 旧的硬件产能过低的重组重用，透明化底层物理硬件，从而最大化的利用物理硬件。

云环境是指能够从动态虚拟化的资源池中向用户或者各种应用系统按需提供计 算能力、存储能力或者虚拟机服务等的互联网或者大数据环境。典型的云环境有VMvare等。

对于虚拟资源的使用，现有的技术方案是，用户可在云环境中创建虚拟资源，创建 完成后，云环境默认将虚拟资源下发给用户，用户在使用虚拟资源的过程中不受任何审计 和保护。

然而，这种所有用户默认拥有使用云环境中所有虚拟资源的权限、且在使用虚拟 资源的过程中不受控制以及无法进行操作过程记录的方式，极易造成用户滥用虚拟资源的 情况，加之这种方式缺失审计环节，导致出现问题时无从追溯责任。

因此，如何提出一种方法，可避免虚拟资源的滥用，并规避安全风险，成为亟待解 决的问题。

针对现有技术中的缺陷，本发明实施例提供一种虚拟资源的管控方法及装置。

一方面，本发明实施例提出一种虚拟资源的管控方法，包括：

第一服务器在接收到第一终端的登录请求消息后，对登录请求消息中携带的登录 信息进行验证；

若验证成功，则第一服务器向第一终端发送登录反馈消息，以使第一终端在接收 到登录反馈消息后，对第二服务器发送给第一终端的第二终端虚拟资源申请消息进行审 批；

若审批通过，第一服务器则根据第二终端虚拟资源申请消息，相应地创建虚拟资 源，并向第二终端发送创建虚拟资源的反馈消息，以使第二终端通过登录第二服务器使用 所述虚拟资源。

本发明实施例提出的虚拟资源的管控方法，由于创建虚拟资源需要第二终端进行 申请，以及第一终端的审批，因此可有效避免虚拟资源的滥用，以及规避安全风险。

另一方面，本发明实施例还提出一种虚拟资源的管控方法，包括：

第二服务器在接收到第二终端的登录请求消息后，对登录请求消息中携带的登录 信息进行验证；

若验证成功，第二服务器则允许第二终端进行第二终端虚拟资源申请，并在第二 终端虚拟资源申请完成后，向第一终端发送第二终端虚拟资源申请消息，以使第一终端通 过登录第一服务器，对第二终端虚拟资源申请消息进行审批；

若审批通过，第二服务器则在收到第一服务器发送的创建虚拟资源的反馈消息 后，允许第二终端使用虚拟资源；其中，所述虚拟资源由第一服务器根据第二终端虚拟资源 申请消息创建。

本发明实施例提出的虚拟资源的管控方法，由于可对第二终端的登录信息进行验 证，因此，可规避安全风险。此外，由于第二终端需要提出申请、以及获得审批后才可使用虚 拟资源，因此避免了虚拟资源的滥用。

另一方面，本发明实施例还提出一种虚拟资源的管控服务器，包括：

登录验证模块，用于在接收到第一终端的登录请求消息后，对登录请求消息中携 带的登录信息进行验证；

申请审批模块，用于在验证成功后，向第一终端发送登录反馈消息，以使第一终端 在接收到登录反馈消息后，对第二服务器发送给第一终端的第二终端虚拟资源申请消息进 行审批；

资源创建模块，用于在审批通过后，根据第二终端虚拟资源申请消息，相应地创建 虚拟资源，并向第二终端发送创建虚拟资源的反馈消息，以使第二终端通过登录第二服务 器使用所述虚拟资源。

本发明实施例提出的虚拟资源的管控服务器，由于使创建虚拟资源需要第二终端 进行申请，以及第一终端的审批，因此可有效避免虚拟资源的滥用，以及规避安全风险。

最后一方面，本发明实施例还提出一种虚拟资源的管控服务器，包括：

登录验证模块，用于在接收到第二终端的登录请求消息后，对登录请求消息中携 带的登录信息进行验证；

资源申请模块，用于在验证成功后，允许第二终端进行第二终端虚拟资源申请，并 在第二终端虚拟资源申请完成后，向第一终端发送第二终端虚拟资源申请消息，以使第一 终端通过登录第一服务器，对第二终端虚拟资源申请消息进行审批；

资源控制模块，用于在审批通过，且收到第一服务器发送的创建虚拟资源的反馈 消息后，允许第二终端使用虚拟资源；其中，所述虚拟资源由第一服务器根据第二终端虚拟 资源申请消息创建。

本发明实施例提出的虚拟资源的管控服务器，由于登录验证模块可对第二终端的 登录信息进行验证，因此，可规避安全风险。此外，由于该装置使第二终端需要提出申请、以 及获得审批后才可使用虚拟资源，因此避免了虚拟资源的滥用。

图1为本发明虚拟资源的管控方法实施例的流程示意图；

图2为本发明虚拟资源管控方法实施例中第一服务器获取第一终端创建的虚拟资 源的流程示意图；

图3为本发明虚拟资源的管控方法实施例的流程示意图；

图4为本发明虚拟资源的管控方法实施例的流程示意图；

图5为本发明虚拟资源的管控服务器实施例的结构示意图；

图6为本发明虚拟资源的管控服务器实施例的结构示意图。

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例 中的附图，对本发明实施例中的技术方案进行清楚地描述，显然，所描述的实施例是本发明 一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有 做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图1为本发明虚拟资源的管控方法实施例的流程示意图，参看图1，本实施例公开 一种虚拟资源的管控方法，包括：

S1、第一服务器在接收到第一终端的登录请求消息后，对登录请求消息中携带的 登录信息进行验证；

S2、若验证成功，则第一服务器向第一终端发送登录反馈消息，以使第一终端在接 收到登录反馈消息后，对第二服务器发送给第一终端的第二终端虚拟资源申请消息进行审 批；

S3、若审批通过，第一服务器则根据第二终端虚拟资源申请消息，相应地创建虚拟 资源，并向第二终端发送创建虚拟资源的反馈消息，以使第二终端通过登录第二服务器使 用所述虚拟资源。

本发明实施例提出的虚拟资源的管控方法，由于创建虚拟资源需要第二终端进行 申请，以及第一终端的审批，因此可有效避免虚拟资源的滥用，以及规避安全风险。

其中，所述第一服务器可以为云安全管控服务器，其用于运行云安全管控平台，所 述云安全管控平台为计算机软件产品，其能从云环境中获取虚拟资源，并可通过自身平台 创建虚拟资源并能够对虚拟资源进行配置，包括发布授权给用户终端、配置安全网关等，并 且能将上述信息同步至云环境。

所述第二服务器可以为云运维门户服务器，其用于运行云运维门户，所述云运维 门户为计算机软件产品，其能进行虚拟资源申请，且用户终端可通过云运维门户访问虚拟 资源。云运维门户配置的安全网关可对用户终端访问虚拟资源的过程进行控制。

所述第一终端可以为管理员终端，所述第二终端可以为用户终端。

具体地，在步骤S1中，第一终端向第一服务器发起登录请求，第一服务器则对第一 终端的登录信息进行验证，所述登录信息可以为例如账号、密码等。

若验证成功，则第一服务器允许第一终端登录，以使第一终端在其权限范围内对 第二服务器发送给第一终端的第二终端的虚拟资源申请进行审批。其中，所述第一服务器 与所述第二服务器共用一个数据库，且两者之间通过通信接口通信连接，从而实现两者之 间的信息同步。

因此，可以理解的是，在第二服务器将第二终端虚拟资源申请信息发送给第一终 端的同时，第一服务器也会获取该第二终端虚拟资源申请信息，进而可使第一终端通过登 录第一服务器，对第二终端虚拟资源申请进行审批。

在步骤S3中，若第一终端通过第一服务器，批准了第二终端的虚拟资源申请，则第 一服务器根据该虚拟资源申请信息，相应地创建虚拟资源。

具体地，第一服务器可通过调取云环境中的虚拟主机创建接口，自动创建相应的 虚拟资源，并将该创建的虚拟资源默认授权给第二终端。

同时，在虚拟资源创建完成后，第一服务器还会通过其与云环境之间的虚拟资源 同步接口，将创建的虚拟资源消息发送至云环境，从而实现第一服务器与云环境的资源信 息同步。

图2为本发明虚拟资源管控方法实施例中第一服务器获取第一终端创建的虚拟资 源的流程示意图，参看图2，可选地，第一服务器还可获取第一终端预先在云环境中创建的 虚拟资源。

具体地，第一终端可预先在云环境中创建虚拟资源，并向第一服务器发送指令，以 使第一服务器获取该预先创建的虚拟资源。在第一服务器获取该预先创建的虚拟资源并保 存后，第一终端则在登录信息验证成功的情况下，登录第一服务器，根据该预先创建的虚拟 资源对相应的第二终端进行授权。

在第一终端完成虚拟资源的授权后，第一服务器还可将授权结果信息发送至相应 的第二终端，以实现对第二终端虚拟资源申请结果的反馈。

其中，第一服务器可依据云环境的类型通过GetHost虚拟资源获取接口，获取第一 终端预先在云环境中创建的虚拟资源以及虚拟资源信息，所述虚拟资源信息包括虚拟资源 的CPU、内存、硬盘、网络信息等。

进一步地，第一服务器还可允许第一终端通过第一服务器，对第一终端创建的虚 拟资源进行管理，包括选择堡垒主机进行访问控制、选择所发布的客户端等。

在上述各实施例中，第一服务器还可对虚拟资源设置使用期限，并将超过使用期 限的虚拟资源进行回收，以实现虚拟资源的节约利用。

本发明实施例提出的虚拟资源的管控方法，由于实现了对第一终端的登录信息验 证，进而允许第一终端对虚拟资源申请的审批，因此，可避免虚拟资源的滥用以及安全隐 患。此外，由于还可实现对超过使用期限的虚拟资源的回收，因此能进一步地节约虚拟资 源。

图3为本发明虚拟资源的管控方法实施例的流程示意图，参看图3，本实施例还提 出一种虚拟资源的管控方法，包括：

S31、第二服务器在接收到第二终端的登录请求消息后，对登录请求消息中携带的 登录信息进行验证；

S32、若验证成功，第二服务器则允许第二终端进行第二终端虚拟资源申请，并在 第二终端虚拟资源申请完成后，向第一终端发送第二终端虚拟资源申请消息，以使第一终 端通过登录第一服务器，对第二终端虚拟资源申请消息进行审批；

S33、若审批通过，第二服务器则在收到第一服务器发送的创建虚拟资源的反馈消 息后，允许第二终端使用虚拟资源；其中，所述虚拟资源由第一服务器根据第二终端虚拟资 源申请消息创建。

本发明实施例提出的虚拟资源的管控方法，由于可对第二终端的登录信息进行验 证，因此，可规避安全风险。此外，由于第二终端需要提出申请、以及获得审批后才可使用虚 拟资源，因此避免了虚拟资源的滥用。

其中，所述第一服务器可以为云安全管控服务器，其用于运行云安全管控平台，所 述云安全管控平台为计算机软件产品，其能从云环境中获取虚拟资源，并可通过自身平台 创建虚拟资源并能够对虚拟资源进行配置，包括发布授权给用户终端、配置安全网关等，并 且能将上述信息同步至云环境。

所述第二服务器可以为云运维门户服务器，其用于运行云运维门户，所述云运维 门户为计算机软件产品，其能进行虚拟资源申请，且用户终端可通过云运维门户访问虚拟 资源。云运维门户配置的安全网关可对用户终端访问虚拟资源的过程进行控制。

所述第一终端可以为管理员终端，所述第二终端可以为用户终端。

具体地，在步骤S31中，当第二终端登录第二服务器时，第二服务器会对第二终端 的登录信息，如账号以及密码等，进行验证，若验证成功，则允许第二终端登录，以便第二终 端通过第二服务器，进行虚拟资源申请。

在步骤S32中，第二终端完成虚拟资源申请后，第二服务器则将虚拟资源申请信息 同步至第一服务器，并向第一终端发送虚拟资源申请消息，以通知第一终端登录第一服务 器，对第二终端的虚拟资源申请进行审批。

其中，所述第一服务器与所述第二服务器共用一个数据库，且两者之间通过通信 接口通信连接，从而实现两者之间的信息同步。

在步骤S33中，若第一终端通过第一服务器，批准了第二终端的虚拟资源申请，第 二服务器则在第二终端登录信息通过验证的情况下，允许第二终端使用所述虚拟资源。

其中，所述虚拟资源由第一服务器创建和/或获取。

进一步地，第二服务器还可记录第二终端对虚拟资源的访问及使用操作，进而实 现对第二终端访问及使用虚拟资源过程的认证、鉴权以及记录的全方位监管。

可选地，对于第二终端访问及使用虚拟资源过程的监管，还可通过设置堡垒主机， 实现审计和进一步的控制，从而进一步提升使用虚拟资源的安全性。

本发明实施例提供的虚拟资源的管控方法，由于实现了从第二终端申请虚拟资 源，到第二终端使用虚拟资源过程的鉴权认证、控制和记录，因此，可有效规避安全风险，避 免虚拟资源滥用情况的发生。

图4为本发明虚拟资源的管控方法实施例的流程示意图，参看图4，本发明还提出 一种虚拟资源的管控方法，包括：

S401、第二终端向第二服务器发送登录请求消息；

S402、第二服务器对第二终端的登录信息进行验证；

在接收到第二终端的登录请求消息后，第二服务器对登录请求消息中的登录信息 进行验证，若验证通过，则允许第二终端登录第二服务器。

S403、第二终端登录第二服务器后，进行虚拟资源申请；

S404、第二服务器向第一终端发送第二终端虚拟资源申请消息；

具体地，在第二终端进行虚拟资源申请后，第二服务器则会相应地生成第二终端 虚拟资源申请消息，所述消息包括申请的虚拟资源的CPU、内存、硬盘、网络参数等信息。

在生成第二终端虚拟资源申请消息后，第二服务器将第二终端虚拟资源申请消息 发送至第一终端，以使第一终端通过登录第一服务器，对第二终端虚拟资源申请消息进行 审批。

S405、第一终端在接收到第二终端虚拟资源申请消息后，登录第一服务器；

S406、第一服务器对第一终端的登录信息进行验证；

在接收到第一终端的登录请求消息后，第一服务器对第一终端的登录请求消息中 的登录信息进行验证，若验证通过，则允许第一终端登录第一服务器。

S407、第一终端对第二终端虚拟资源申请进行审批；

需要说明的是，第二服务器与第一服务器可共用一个数据库，或，第二服务器与第 一服务器之间通过通信接口实现通信连接，从而实现第二服务器与第一服务器之间的信息 同步。

因此，在第二终端完成第二终端虚拟资源申请后，第一服务器也会获得同步的第 二终端虚拟资源申请信息，以便第一终端通过登录第一服务器，对第二终端虚拟资源申请 进行审批。

S408、第一服务器根据第二终端虚拟资源申请创建虚拟资源；

若第二终端虚拟资源申请通过了第一终端的审批，第一服务器则根据第二终端虚 拟资源申请，相应地创建虚拟资源。

具体地，第一服务器可通过调取云环境中的虚拟主机创建接口，自动创建相应的 虚拟资源，并将该创建的虚拟资源默认授权给第二终端。

同时，在虚拟资源创建完成后，第一服务器还会通过其与云环境之间的虚拟资源 同步接口，将创建的虚拟资源消息发送至云环境，从而实现第一服务器与云环境的资源信 息同步。

S409、第一服务器向第二终端发送创建虚拟资源的反馈消息；

在第一服务器根据第二终端虚拟资源申请创建相应的虚拟资源后，第一服务器会 向第二终端发送创建虚拟资源的反馈消息，以告知第二终端其虚拟资源申请是否通过审 批，以及虚拟资源的创建情况，进而使第二终端做出是否登录第二服务器，以使用所述虚拟 资源的决定。

S410、第二终端登录第二服务器；

在接收到第一服务器发送的创建虚拟资源的反馈消息后，第二终端则可登录第二 服务器，以使用虚拟资源。

S411、第二服务器对第二终端的登录信息进行验证，若验证成功，则允许第二终端 登录第二服务器，以使第二终端使用虚拟资源。

需要说明的是，第二服务器还可对第二终端通过其使用虚拟资源的过程进行记 录。

可选地，还可设置堡垒主机，以对第二终端使用虚拟资源的过程进行审计和进一 步的控制，以进一步提升使用虚拟资源的安全性。

其中，所述第一服务器可以为云安全管控服务器，其用于运行云安全管控平台，所 述云安全管控平台为计算机软件产品，其能从云环境中获取虚拟资源，并可通过自身平台 创建虚拟资源并能够对虚拟资源进行配置，包括发布授权给用户终端、配置安全网关等，并 且能将上述信息同步至云环境。

所述第二服务器可以为云运维门户服务器，其用于运行云运维门户，所述云运维 门户为计算机软件产品，其能进行虚拟资源申请，且用户终端可通过云运维门户访问虚拟 资源。云运维门户配置的安全网关可对用户终端访问虚拟资源的过程进行控制。

所述第一终端可以为管理员终端，所述第二终端可以为用户终端。

图5为本发明虚拟资源的管控装置实施例的结构示意图，参看图5，本实施例提出 一种虚拟资源的管控服务器，包括：

登录验证模块51，用于在接收到第一终端的登录请求消息后，对登录请求消息中 携带的登录信息进行验证；

申请审批模块52，用于在验证成功后，向第一终端发送登录反馈消息，以使第一终 端在接收到登录反馈消息后，对第二服务器发送给第一终端的第二终端虚拟资源申请消息 进行审批；

资源创建模块53，用于在审批通过后，根据第二终端虚拟资源申请消息，相应地创 建虚拟资源，并向第二终端发送创建虚拟资源的反馈消息，以使第二终端通过登录第二服 务器使用所述虚拟资源。

本发明实施例提出的虚拟资源的管控装置，由于使创建虚拟资源需要第二终端进 行申请，以及第一终端的审批，因此可有效避免虚拟资源的滥用，以及规避安全风险。

具体地，在第一终端向第一服务器发起登录请求后，登录验证模块51则对第一终 端的登录信息进行验证，所述登录信息可以为例如账号、密码等。

若验证成功，登录验证模块51则允许第一终端登录，进而申请审批模块52使第一 终端在其权限范围内对第二服务器发送给第一终端的第二终端的虚拟资源申请进行审批。

其中，所述服务器与所述第二服务器共用一个数据库，且两者之间通过通信接口 通信连接，从而实现两者之间的信息同步。

因此，可以理解的是，在第二服务器将第二终端虚拟资源申请信息发送给第一终 端的同时，所述服务器也会获取该第二终端虚拟资源申请信息，进而可使第一终端通过登 录第一服务器，对第二终端虚拟资源申请进行审批。

若第一终端通过申请审批模块52，批准了第二终端的虚拟资源申请，则资源创建 模块53根据该虚拟资源申请信息，相应地创建虚拟资源。

具体地，资源创建模块53可通过调取云环境中的虚拟主机创建接口，自动创建相 应的虚拟资源，并将该创建的虚拟资源默认授权给第二终端。

同时，在虚拟资源创建完成后，资源创建模块53还会通过所述服务器与云环境之 间的虚拟资源同步接口，将创建的虚拟资源消息发送至云环境，从而实现所述服务器与云 环境的资源信息同步。

可选地，资源创建模块53还可获取第一终端预先在云环境中创建的虚拟资源。

具体地，第一终端可预先在云环境中创建虚拟资源，并向所述服务器发送指令，以 使资源创建模块53获取该预先创建的虚拟资源。在资源创建模块53获取该预先创建的虚拟 资源并保存后，第一终端则在登录信息验证成功的情况下，登录所述服务器，根据该预先创 建的虚拟资源对相应的第二终端进行授权。

在第一终端完成虚拟资源的授权后，资源创建模块53还可将授权结果信息发送至 相应的第二终端，以实现对第二终端虚拟资源申请结果的反馈。

其中，资源创建模块53可依据云环境的类型通过GetHost虚拟资源获取接口，获取 第一终端预先在云环境中创建的虚拟资源以及虚拟资源信息，所述虚拟资源信息包括虚拟 资源的CPU、内存、硬盘、网络信息等。

进一步地，申请审批模块52还可允许第一终端通过第一服务器，对第一终端创建 的虚拟资源进行管理，包括选择堡垒主机进行访问控制、选择所发布的客户端等。

在上述各实施例中，资源创建模块53还可对虚拟资源设置使用期限，并将超过使 用期限的虚拟资源进行回收，以实现虚拟资源的节约利用。

本发明实施例提出的虚拟资源的管控服务器，由于实现了对第一终端的登录信息 验证，进而允许第一终端对虚拟资源申请的审批，因此，可避免虚拟资源的滥用以及安全隐 患。此外，由于还可实现对超过使用期限的虚拟资源的回收，因此能进一步地节约虚拟资 源。

图6为本发明虚拟资源的管控服务器实施例的结构示意图，参看图6，本实施例提 出一种虚拟资源的管控服务器，包括：

登录验证模块61，用于在接收到第二终端的登录请求消息后，对登录请求消息中 携带的登录信息进行验证；

资源申请模块62，用于在验证成功后，允许第二终端进行第二终端虚拟资源申请， 并在第二终端虚拟资源申请完成后，向第一终端发送第二终端虚拟资源申请消息，以使第 一终端通过登录第一服务器，对第二终端虚拟资源申请消息进行审批；

资源控制模块63，用于在审批通过，且收到第一服务器发送的创建虚拟资源的反 馈消息后，允许第二终端使用虚拟资源；其中，所述虚拟资源由第一服务器根据第二终端虚 拟资源申请消息创建。

本发明实施例提出的虚拟资源的管控服务器，由于可对第二终端的登录信息进行 验证，因此，可规避安全风险。此外，由于该服务器使第二终端需要提出申请、以及获得审批 后才可使用虚拟资源，因此避免了虚拟资源的滥用。

具体地，当第二终端登录所述服务器时，登录验证模块61会对第二终端的登录信 息，如账号以及密码等，进行验证，若验证成功，则允许第二终端登录，以便第二终端通过资 源申请模块62，进行虚拟资源申请。

第二终端完成虚拟资源申请后，资源申请模块62则将虚拟资源申请信息同步至第 一服务器，并向第一终端发送虚拟资源申请消息，以通知第一终端登录第一服务器，对第二 终端的虚拟资源申请进行审批。

其中，所述第一服务器与所述服务器共用一个数据库，且两者之间通过通信接口 通信连接，从而实现两者之间的信息同步。

若第一终端通过第一服务器，批准了第二终端的虚拟资源申请，资源控制模块63 则在第二终端登录信息通过验证的情况下，允许第二终端使用所述虚拟资源。

其中，所述虚拟资源由第一服务器创建和/或获取。

进一步地，资源控制模块63还可记录第二终端对虚拟资源的访问及使用操作，进 而实现对第二终端访问及使用虚拟资源过程的认证、鉴权以及记录的全方位监管。

可选地，对于第二终端访问及使用虚拟资源过程的监管，还可通过设置堡垒主机， 实现审计和进一步的控制，从而进一步提升使用虚拟资源的安全性。

本发明实施例提供的虚拟资源的管控服务器，由于实现了从第二终端申请虚拟资 源，到第二终端使用虚拟资源过程的鉴权认证、控制和记录，因此，可有效规避安全风险，避 免虚拟资源滥用情况的发生。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管 参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可 以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换； 而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和 范围。