[发明专利]一种高安全的集群共享存储虚拟化方法

说明书

本发明属于虚拟化与云计算领域，具体涉及一种高安全的集群共享存储虚拟化方法，所述方法分为两个子环节：存储安全访问控制子环节、存储服务完整性监控子环节；该方法是一种在集群模式下，通过一种高度安全的管理与监控机制，对集群共享存储进行虚拟化管理的系统，具体实现了集群环境下，对共享存储数据的读写访问、集群节点状态实时监控、故障与异常条件下数据保护等功能。

技术领域

本发明属于虚拟化与云计算领域，具体涉及一种高安全的集群共享存储虚拟化方法，其是一种在集群模式下，通过一种高度安全的管理与监控机制，对集群共享存储进行虚拟化管理的系统，具体实现了集群环境下，对共享存储数据的读写访问、集群节点状态实时监控、故障与异常条件下数据保护等功能。

背景技术

随着云计算技术应用日益广泛，公有云与私有云的概念逐渐深入人心，云计算中心逐渐成为行业准则。虚拟化系统作为云计算解决方案的基础，主要解决了计算虚拟化、存储虚拟化、网络虚拟化三个问题。

存储虚拟化实现了将系统(或者集群)中存储设备进行统一资源化管理，形成一个面向全局的逻辑存储池，为整个系统提供统一的存储服务。当用户通过系统请求分配或者释放存储空间时，相关管理子系统会依次为不同用户从池中建立或者删除相关的存储空间。以虚拟化系统上的虚拟机服务为例，建立虚拟机时，系统会自动根据配置从存储池中申请空间并为虚拟机建立存储卷，虚拟机删除时，为虚拟机建立的存储卷会同步被归还给存储池。

目前条件下，为虚拟机创建的存储卷主要有两种方式：镜像文件、逻辑卷(块设备)。镜像文件这种分配方式，主要基于共享文件系统(例如GFS2、GlusterFS等)，优点是灵活，缺点是效率较低。逻辑卷(块设备)则缺少细粒度的控制方式，直接提供裸设备接口，效率较高。

在生产应用中，一个虚拟机可以被分配多个存储卷。当系统的规模较大(例如数据中心)，需要管理的虚拟机数量较多时，虚拟机存储卷管理面临以下挑战：

1、存储卷安全访问

安全访问分为两个角度。第一，每个虚拟机对应若干个存储卷，这些存储卷属于用户私有，应该不允许其它用户或者虚拟机进行访问，无保护措施的访问机制可能造成用户数据泄露或被窃取；第二，虚拟机私有数据被其它用户访问，从技术层面上，会造成对存储卷数据的损坏，甚至数据丢失。无论私有云，还是公有云，用户数据均属于商业机密，在涉密环境，任何程度的数据泄露或者损坏，其后果会更加严重。任何系统都不可能工作于理想状态，均有不可预测的设计缺陷或者运行时异常，以及各种不可预测的外部或者内部攻击。

目前技术条件下，对于镜像文件级别的存储卷划分方式，对于存储卷的安全访问控制，相对常用的方式是文件锁。对于块设备级别的分配方式，则普遍面临着访问控制与保护的问题。

2、存储卷完整性保护

集群环境中，任何服务器节点上服务或者硬件异常均可能造成不可预测的结果。数据属于敏感资源，任何不健康状态下的读写均有可能对数据造成不可逆的损坏，系统应该有专门的存储卷保护措施。如何在最大化用户系统可用性的前提下，对存储卷进行完整性保护，也是目前面临的问题。

发明内容

(一)要解决的技术问题

本发明要解决的技术问题是：如何为云计算与虚拟化系统提供一种高度安全的集群共享存储虚拟化方法，解决集群中虚拟机存储卷管理的安全访问控制、完整性保护的问题。

(二)技术方案

为解决上述技术问题，本发明提供一种高安全的集群共享存储虚拟化方法，所述方法分为两个子环节：存储安全访问控制子环节、存储服务完整性监控子环节；存储安全访问控制子环节相对独立，通过标准接口的方式，对外提供服务；存储服务完整性监控子环节配置之后，即可实时对存储卷进行完整性保护。

其中，所述存储安全访问控制子环节中，存储卷访问步骤包括：