[发明专利]一种比格云拟态云主机的构建方法

说明书

本发明提出一种比格云拟态云主机的构建方法，在于：物理机设有中央控制器、信息收集系统，并设置XEN类型资源池、KVM类型资源池、VMWARE类型资源池，分别对应存放实现这三种虚拟化技术实现的主机，中央控制器接收到创建虚机任务请求后，由统一的命令执行器每隔2秒轮询检测获取任务请求，节点控制器通过调用虚拟化工具接口，进行虚拟机的操作，默认分别在这三种类型资源池中选择最佳的物理机进行创建，同时对创建虚拟机操作的结果上报到信息收集系统进行记录。本发明在底层控制处理器上进行底层虚拟机的异构冗余，从而可以对恶意攻击加强防范。

技术领域

本发明涉及一种云主机的构建方法，尤其是涉及一种比格云拟态云主机的构建方法。

背景技术

当前网络空间存在“未知的未知威胁”或称之为不确定威胁。此类威胁通常基于信息系统软硬构件中的漏洞，或者在全球化时代产业链中蓄意植入软硬件后门实施人为攻击，但目前尚无法从理论层面对给定的复杂信息系统做出无漏洞、无后门的科学判定，也无法从工程层面彻底避免设计缺陷或完全杜绝后门，这使得基于防御方未知漏洞后门或病毒木马等实施的攻击成为网络空间最大的安全威胁。

同时因为网络空间现有防御体系是基于威胁特征感知的精确防御。建立在“已知风险”或者是“已知的未知风险”前提条件上，需要攻击来源、攻击特征、攻击途径、攻击行为等先验知识的支撑，在防御机理上属于“后天获得性免疫”，通常需要加密或认证功能作为“底线防御”。显然，在应对基于未知漏洞后门或病毒木马等未知攻击时存在防御体制和机制上的脆弱性。由于平台虚机开始使用的是xen虚拟化技术，一些恶意攻击者会利用已知的xen技术漏洞进行攻击平台上的用户的虚拟机，造成用户业务无法访问，继而影响整个物理机的运行稳定，造成大面积的访问延迟或者中断，引起用户数据丢失造成无法挽回的严重影响。

发明内容

针对上述问题，本发明提出一种比格云拟态云主机的构建方法，在于：

物理机设有中央控制器，且物理机设有信息收集系统，信息收集系统收集虚拟层及物理层信息，物理机上部署有节点控制器，节点控制器负责与中央控制器进行通信和执行中央控制器发送的指令。

物理机设置有三种类型的资源池，分别为XEN类型的资源池、KVM类型的资源池、VMWARE类型的资源池，分别对应存放实现这三种虚拟化技术实现的主机；

中央控制器接收到对外提供的应用接口创建虚机任务请求后，依次进行参数检验，安全校验，请求解析，记录请求数据到统一队列池里，然后由统一的命令执行器每隔2秒轮询检测获取任务请求。

节点控制器通过调用虚拟化工具接口，进行虚拟机的操作，并进入管理程序，节点控制器基于信息收集系统收集的信息和监控数据，调用虚拟层应用接口，执行创建虚拟机操作，管理程序对创建结果上报信息收集系统。

节点控制器根据信息收集系统收集的信息进行执行创建虚拟机操作，默认分别在三种类型的资源池中选择最佳的物理机进行创建，同时对创建虚拟机操作的结果上报到信息收集系统进行记录。

如果创建虚拟机操作任务失败，信息收集系统记录该物理机的可信度，最高默认是10，最低是0，每次创建失败一次，就扣减1，最低到0，每创建成功一次，就加1，最高到10。当物理机的可信度降到设定的阈值时，信息收集系统发出报警信息。

当某个虚拟机无法访问，节点控制器根据信息收集系统收集到的信息进行动态调度，访问三种类型的资源池中其他池中的冗余机器进行执行创建虚拟机操作，并在系统空闲阶段，对其他异构虚拟机进行数据同步操作。

中央控制器负责集群内部的资源管理，包括物理机的管理、虚拟机的管理、镜像的管理、资源池的管理，并协调从对外提供的应用接口发出的请求操作。

选择最佳的物理机的方法如下：

选择空闲资源满足需求的所有物理机器，归为一个list A，