[发明专利]一种基于selinux的openstack公有云多租户隔离方法、系统及终端

说明书

本申请公开了一种基于selinux的openstack公有云多租户隔离方法、系统及终端，该方法包括：在新建租户时，增加新的selinux标签类型，并将selinux标签类型写入nova数据库；根据用户向当前租户发送的创建或启动虚拟机请求，确定与当前租户相匹配的selinux标签；调用selinux规则包生成导入模块，将selinux标签配置到xml文件中；根据xml文件，创建或启动带有selinux标签的虚拟机。该系统包括：虚拟机标签处理模块、Selinux规则包生成导入模块和标签创建模块。该终端包括处理器以及与处理器通信连接的存储器。通过本申请，能够实现物理机资源的灵活配置，大大提高物理机资源的利用率。

技术领域

本申请涉及虚拟机安全技术领域，特别是涉及一种基于selinux的openstack公有云多租户隔离方法、系统及终端。

背景技术

Openstack是一个开源的云计算资源管理平台项目，由一系列较小的、负责各方面功能的开源项目组合而成，经过十几个版本的迭代，Openstack已成为许多企业构建云服务的首选方案。

在Openstack中，一个公有云通常出于功能或业务角度的不同，而将整个虚拟机集群划分为多个较小规模的功能集群，这些划分出来的较小规模的功能集群被称为租户，英文名称为project。每个租户均管理着成百上千台运行相同业务功能的虚拟机。不同租户间的功能业务不同，对资源的访问需求也不同，但是同一个租户内的虚拟机在经过openstack分发处理后，通常运行在同一台物理机上。因此，不同业务租户的虚拟机之间如果不能进行有效隔离，就可能使得遭受攻击的虚拟机通过跨进程、跨租户的方式获得原本不属于它的访问权限，进而导致信息泄露等问题，甚至威胁主机系统的安全稳定性。因此，如何对不同租户间的虚拟机进行隔离，从而确保主机系统和虚拟机运行的安全稳定性，是个重要的技术问题。

目前对虚拟机集群进行隔离，主要是使用物理划分隔离的方法。具体地，通过开发大量的判断和划分管理逻辑，对整个物理机集群进行强制划分，然后在虚拟机分发过程中识别和读取虚拟机所属的集群信息，并将其分发至集群专属的物理机上，从而实现集群隔离。

然而，由于对于openstack来说整个物理机集群是一个完整的资源池，对其进行强制划分需要大量的的判断和划分管理逻辑开发，会占用大量的物理机资源，而且由于是强制划分，资源分配不够灵活，无法动态调整，容易出现一个集群的物理机资源盈余，而另一个集群的物理机资源吃紧的状态，使得物理机资源的利用率不够高。因此，目前对虚拟机集群进行隔离的方法无法动态调整物理机资源，使得物理机资源的利用率较低。

发明内容

本申请提供了一种基于selinux的openstack公有云多租户隔离方法、系统及终端，以解决现有技术中对虚拟机集群进行隔离的方法无法动态调整物理机资源，使得物理机资源的利用率较低的问题。

为了解决上述技术问题，本申请实施例公开了如下技术方案：

一种基于selinux的openstack公有云多租户隔离方法，所述方法以租户为单位进行虚拟机隔离，所述方法包括：

在新建租户时，增加新的selinux标签类型，并将所述selinux标签类型写入nova数据库；

根据用户向当前租户发送的创建或启动虚拟机请求，确定与当前租户相匹配的selinux标签，所述创建或启动虚拟机请求中包含：selinux标签类型、用于表示是否开启selinux标签的开关信息以及当前租户ID，所述开关信息包括：开启状态和关闭状态；

调用selinux规则包生成导入模块，将所述selinux标签配置到xml文件中，所述selinux规则包生成导入模块包括客户端和服务端，所述xml文件为创建或启动虚拟机的基础参数文件；

根据所述xml文件，创建或启动带有selinux标签的虚拟机。